BERAADSLAGING RR Nr 06 / 2005 van 13 april 2005 O. Ref. :
SA2 / RN / 2004 / 042
BETREFT : Beraadslaging betreffende de aanvraag van de Federale Overheidsdienst Volksgezondheid om gemachtigd te worden om toegang te hebben tot de informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken met het oog op de mededeling voorgeschreven door artikel 86 van de wet op de ziekenhuizen gecoördineerd op 7 augustus 1987.
De Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen; Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid artikel 31bis; Gelet op de wet van 25 maart 2003 tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen en van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, inzonderheid art. 19, § 3; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, inzonderheid artikel 18; Gelet op de aanvraag van de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, ontvangen op 2 september 2004 en de bijkomende informatie ontvangen op 22 februari 2005; Gelet op de aanvraag van het technisch en juridisch advies op 14 maart 2005 Gelet op het juridisch en technisch advies van de Federale Overheidsdienst Binnenlandse Zaken, ontvangen op 4 april 2005; Gelet op het verslag van de voorzitter; Beslist op 13 april 2005 , na beraadslaging, als volgt:
Ber. RR 06 / 2005 - 1 / 7
I. VOORWERP VAN DE AANVRAAG -------------------------------------------------------De aanvraag heeft tot doel om de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, hierna de aanvrager genoemd, te machtigen om: -
-
toegang te hebben tot een informatiegegeven van het Rijksregister van de natuurlijke personen, meer in het bijzonder tot datgene vermeld in artikel 3, eerste lid, 1°, van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (WRR); het identificatienummer van het Rijksregister te gebruiken (art. 8 WRR)
met het oog op de toepassing van artikel 86 van de wet op de ziekenhuizen gecoördineerd op 7 augustus 1987 (hierna ziekenhuiswet).
II. ONDERZOEK VAN DE AANVRAAG --------------------------------------------------------A.
TOEPASSELIJKE WETGEVING
A.1. Wet van 8 augustus 1983 (WRR). Overeenkomstig art. 5, eerste lid, 2°, WRR wordt de machtiging om toegang te verkrijgen van de informatiegegevens bedoeld in artikel 3, eerste en tweede lid, WRR en om het identificatienummer van het Rijksregister te gebruiken verleend door het sectoraal comité van het Rijksregister (de Commissie) aan openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het sectoraal comité. Artikel 86 van de ziekenhuiswet zegt: “De beheerder van het ziekenhuis moet aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft, volgens de door de Koning vastgestelde regels en binnen de termijn die Hij bepaalt, mededeling doen van de financiële toestand, de bedrijfsuitkomsten, het in artikel 82 bedoelde verslag, alle statistische gegevens die met zijn inrichting en met de medische activiteiten verband houden, alsmede de identiteit van de directeur en/of van de voor de bovengenoemde mededelingen verantwoordelijke persoon of personen.” Deze mededeling moet gezien worden als een controle- en informatie-instrument in het licht de bepalingen van de ziekenhuiswet die handelen over de programmatie, de financiering en de erkenning van ziekenhuizen. Zij maken een integrerend deel uit van het gezondheidsbeleid, dat als een taak van algemeen belang bestempeld wordt. De aanvrager komt dus in aanmerking om gemachtigd te worden om toegang te hebben tot de informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken. A.2. Wet van 8 december 1992 (WVP). Op grond van art. 4 WVP vormen de informatiegegevens van het Rijksregister persoonsgegevens, waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De persoonsgegevens dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verwerkt.
Ber. RR 06 / 2005 - 2 / 7
B.
FINALITEIT
Artikel 86 van de ziekenhuiswet verplicht de beheerder van een ziekenhuis tot het verrichten van een aantal mededelingen aan de aanvrager namelijk: de financiële toestand, de bedrijfsuitkomsten, het in artikel 82 bedoelde verslag, alle statistische gegevens die met zijn inrichting en met de medische activiteiten verband houden alsmede de identiteit van de directeur en/of van de voor de bovengenoemde mededelingen verantwoordelijke persoon of personen . De aanvrager wenst deze wettelijk voorgeschreven mededeling elektronisch te organiseren en uit te bouwen. Dit zal bijdragen tot een vlottere uitwisseling van informatie tussen de aanvrager en zijn “klanten”. Hieruit volgt dat het nagestreefde doeleinde een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde betreft in de zin van art. 4, § 1, 2° van de wet van 8 december 1992. C.
PROPORTIONALITEIT
C. 1. Gebruik van het identificatienummer Het identificatienummer van het Rijksregister zal een centrale rol spelen in het systeem dat door de aanvrager uitgewerkt wordt om het elektronisch mededelingsverkeer in toepassing van artikel 86 van de ziekenhuiswet te organiseren. De beheerder van het ziekenhuis deelt zijn naam, voornaam en identificatienummer van het Rijksregister mee aan de aanvrager. Deze beheerder zal tevens aan de aanvrager melden welke andere personen (gebruikers - users) voor het ziekenhuis in toepassing van artikel 86 van de ziekenhuiswet bepaalde mededelingen kunnen doen. De aard van de mededelingen die een persoon kan doen is zal bepalend zijn voor het vaststellen van diens toegangsrechten. Concreet betekent dit dat de beheerder aan de aanvrager de volgende gegevens meedeelt m.b.t. deze personen: de naam, de voornaam, het identificatienummer van het Rijksregister, het ziekenhuis en het niveau van de toegang. Deze gegevens worden door de aanvrager opgeslagen in een autorisatiegegevensbank. De mededelingen zullen gebeuren via een website van de aanvrager. Om de integriteit van de gegevens te waarborgen evenals de echtheid van de verzender te garanderen, geschiedt de identificatie en de authentificatie met het oog op toegang tot de website via Fedict. Met het oog daarop zal de beheerder voor de personen die hij als user opgaf bij de aanvrager, bij Fedict het nodige moeten doen om voor deze gebruikers een gebruikersnaam, een paswoord en een token aan te vragen. Wanneer Fedict de identificatie en authentificering heeft verricht, wordt een boodschap naar de aanvrager gestuurd. Die boodschap bevat de naam, de voornaam, het identificatienummer van het Rijksregister en de status van de authentificatie. Aan de hand van de naam, de voornaam en het identificatienummer van het Rijksregister, zal de aanvrager in zijn databank nakijken welke rechten de gebruiker allemaal heeft en voor wie deze gebruiker mag optreden. Pas wanneer dat positief uitvalt zal de betrokkene toegang krijgen tot de toepassing. Uit dit alles blijkt dat de aanvraag voor wat het gebruik van het identificatienummer betreft, in overeenstemming is met artikel 4, § 1, 3°, WVP.
Ber. RR 06 / 2005 - 3 / 7
C.2. Ten opzichte van de gegevens Er wordt toegang gevraagd tot het informatiegegeven vermeld in artikel 3, eerste lid, 1°, WRR, namelijk de naam en voornaam. Uit de uitleg verstrekt door aanvrager blijkt dat hij in het kader van de uitwerking van een systeem van elektronische mededeling met het oog op de toepassing van artikel 86 van de ziekenhuiswet, de naam en voornaam tezamen met het identificatienummer van het Rijksregister opslaat in zijn autorisatiegegevensbank. Hij zal echter niet in het Rijksregister te controleren of de naam en de voornaam wel bij het opgegeven identificatienummer van het Rijksregister horen. Daarvoor zorgt Fedict dat zoals uiteengezet onder punt C.1 zorgt voor de identificatie en authentificatie. Fedict zal de in het Rijksregister gecontroleerde naam en voornaam met het er bijhorend identificatienummer meedelen aan de aanvrager. Het is aan de hand van deze door Fedict meegedeelde gegevens dat de aanvrager de autorisatie van de betrokkene zal controleren in zijn autorisatiedatabank. De Commissie stelt vast dat, in het licht van de beoogde doeleinden, de toegang tot het informatiegegeven vermeld in artikel 3, eerste lid, 1°, WRR overbodig is. De toegang is dus niet nodig om de doeleinden te verwezenlijken, hij is bijgevolg overdreven het licht van artikel 4, § 1, 3°, WVP en wordt dan ook geweigerd. C.3. Ten opzichte van de duur de waarvoor het gebruik gevraagd wordt Uit de mondeling toelichting verstrekt door de aanvrager blijkt dat hij ervan uitging dat de permanente machtiging waarvan hij in zijn aanvraag gewag maakt, eigenlijk synoniem staat voor een machtiging van onbepaalde duur. De aanvrager wenst dus voor onbepaalde duur gemachtigd te worden om het identificatienummer van het Rijksregister te gebruiken. De mededelingsplicht opgenomen in artikel 86 van de ziekenhuiswet is immers niet beperkt in de tijd. De Commissie stelt vast dat een machtiging voor onbepaalde duur noodzakelijk is voor de verwezenlijking van de doeleinden (art. 4, § 1, 3° WVP). C.4. Ten opzichte van de bewaartermijn Het identificatienummer van het Rijksregister zal bewaard worden zolang als nodig om de gegevensstroom te garanderen tussen de aanvrager en instanties die in toepassing van artikel 86 van de ziekenhuiswet verplicht zijn om bepaalde mededelingen te doen. Van zodra er met betrekking tot een gebruiker een wijziging autorisatiegegevensbank van de aanvrager onmiddellijk aangepast.
gebeurt,
wordt
de
De Commissie besluit hieruit dat de gegevens van een persoon die niet langer als gebruiker kan optreden, onmiddellijk zullen vernietigd worden. Dit stemt overeen met de vereiste van artikel 4, § 1, 5°, WVP. C5. Intern gebruik en/ of mededeling aan derden Het identificatienummer van het Rijksregister zal uitsluitend intern gebruikt worden om elektronisch mededelingsverkeer in toepassing van artikel 86 van de ziekenhuiswet te organiseren (dus uitsluitend gebruik voor een ITC-toepassing). Het identificatienummer van het Rijksregister zal niet meegedeeld worden aan derden. De Commissie stelt vast dat in het licht van de doeleinden waarvoor de toegang wordt gevraagd, het vooropgestelde gebruik in het licht van art. 4, § 1, 3° WVP aanvaardbaar is. Ber. RR 06 / 2005 - 4 / 7
C.6. Netwerkverbindingen Volgens de toelichting verstrekt door de aanvrager zullen er geen netwerkverbindingen tot stand komen op basis van het identificatienummer van het Rijksregister. De bevestigingsboodschap van Fedict bevat o.a. het identificatienummer van het Rijksregister. Deze informatie wordt getoetst aan informatie waarover de aanvrager beschikt met het oog op de effectieve autorisatie, dus effectieve toegang, tot de site. De databank van de aanvrager waarin de gegevens met betrekking tot de autorisatie zijn opgenomen is niet met een andere databank verbonden. D.
BEVEILIGING
D.1. Consulent inzake informatieveiligheid De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. De betrokkene is veiligheidsofficier bij de aanvrager. Hij maakt deel uit van de stafdienst “Operaties” van het Directoraat-generaal ICT van de aanvrager. Zijn opdracht als veiligheidsofficier bestaat erin: -
-
de veiligheidsstrategie te bepalen en voor te stellen zodat de ontwikkeling van een homogeen veiligheidsbeleid wordt gewaarborgd, dat garant staat voor beschikbaarheid, betrouwbaarheid en fundamenteel respect voor de vertrouwelijkheid van de systemen en de verwerkte gegevens; er richtlijnen en het actieplan uit afleiden: veiligheidsaspecten van de projecten voor ICT en/ of e-government voorstellen, plannen en opvolgen.
De taken van een consulent inzake informatieveiligheid sluiten hier nauw bij aan. Er bestaat dus geen onverenigbaarheid tussen beide functies. D.2. Informatieveiligheidsplan Er wordt geen informatieveiligheidsplan in de strikte zin van het woord, opgesteld door de consulent inzake informatieveiligheid, voorgelegd. De aanvrager meldt dienaangaande het volgende: “Binnen het ICT-departement van de FOD VVVL worden er maatregelen getroffen om dit type van informatie ontoegangkelijk te maken voor de niet gemachtigde of eventueel kwaadwillige gebruiker. Deze gegevens zijn toegankelijk voor personeelsleden van de equipe die zich met toegangsbeheer bezig houden voor operationele doeleinden of voor het oplossen van mogelijke problemen. De fysieke toegang tot de lokalen waar zich de servers bevonden die deze gegevens stockeren is beperkt tot die personen die de toegangscode en –toelating bezitten. De toegang tot de servers op afstand (via netwerkverbindingenen dergelijke) wordt bewaakt door paswoorden en gebruikerspermissies.” De Commissie stelt vast dat dit niet voldoende is. De Commissie staat erop dat de consulent inzake informatieveiligheid een informatieveiligheidsplan opstelt, waarin alle veiligheidsfacetten worden opgesomd en omschreven. Hierbij wordt de aandacht gevestigd op het feit dat informatieveiligheid niet beperkt is tot technische veiligheid op informaticavlak. Het omvat o.a. beveiligingseisen t.o.v. personeel, Ber. RR 06 / 2005 - 5 / 7
fysieke beveiliging van de omgeving, toegangsbeveiliging, ontwikkeling en onderhoud van systeem, continuïteitsmanagement, interne en externe controle, beheer van communicatie- en bedieningsprocessen… Artikel 16, § 4, WVP bepaalt dat om de veiligheid van de persoonsgegevens te waarborgen, de verantwoordelijke voor de verwerking de gepaste technische en organisatorische maatregelen treft die nodig zijn voor de bescherming van de persoonsgegevens. De Commissie vestigt in het bijzonder de aandacht op het feit dat de aanvrager erover moet waken om periodiek een risicoanalyse te verrichten van alle elementen van het systeem temeer daar er in casu gewerkt wordt met een webbased applicatie. D.3. Personen die toegang hebben tot de informatiegegevens en lijst van deze personen Alleen de personeelsleden van de equipe die zich met toegangsbeheer bezig houden voor operationele doeleinden of voor het oplossen van mogelijke problemen hebben toegang tot het identificatienummer van het Rijksregister en zullen het in die context eventueel gebruiken. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst die ter beschikking wordt gehouden van de Commissie, opstellen van de personen die het identificatienummer van het Rijksregister gebruiken. Deze lijst zal voortdurend geactualiseerd worden. De personen die op deze lijst worden opgenomen zullen daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens waartoe zij toegang krijgen, te bewaren. OM DEZE REDENEN, de Commissie 1° machtigt de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu om, met het oog op het langs elektronisch weg organiseren en uitbouwen van de door artikel 86 van de wet op de ziekenhuizen gecoördineerd op 7 augustus 1987 voorgeschreven mededelingen, het identificatienummer van het Rijksregister te gebruiken. Deze machtiging zal evenwel slechts uitwerking krijgen nadat: -
de Commissie vanwege de aanvrager een schriftelijke, gedagtekende en ondertekende verklaring heeft ontvangen waarin hij zich er uitdrukkelijk toe verbindt de door de Commissie toegestuurde lijst met betrekking tot de minimale veiligheidsvereisten waarheidsgetrouw in te vullen en ondertekend terug te bezorgen aan de Commissie;
-
het informatieveiligheidsplan, bedoeld in punt D.2., aan de Commissie wordt meegedeeld.
2° weigert de toegang tot het informatiegegeven vermeld in artikel 3, eerste lid, 1°, WRR. De administrateur,
Jo BARET
Voor de voorzitter, wettig verhinderd
Willem DEBEUCKELAERE, ondervoorzitter
Ber. RR 06 / 2005 - 6 / 7
