1/10
Sectoraal comité van het Rijksregister Beraadslaging RR nr. 24/2008 van 4 juni 2008
Betreft: aanvraag van Brussels Network Operations tot herziening van de beraadslaging RR nr. 10/2008 van 12 maart 2008 (RN/MA/2008/013)
Het Sectoraal comité van het Rijksregister (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna "WVP"), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de beraadslaging RR nr. 10/2008 van 12 maart 2008; Gelet op de aanvraag van Brussels Network Operations, ontvangen op 02/04/2008; Gelet op de aanvraag van het technisch en juridisch advies, gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 05/05/2008; Gelet op het verslag van de Voorzitter; Beslist op 04/06/2008, na beraadslaging, als volgt:
Ber RR 24/2008 - 2/10
I. VOORWERP VAN DE AANVRAAG De aanvraag van Brussels Network Operations, hierna de aanvrager, strekt ertoe een herziening te bekomen van de beraadslaging RR nr. 10/2008 van 12 maart 2008 en bijgevolg vooralsnog toegang te bekomen tot een informatiegegeven van het Rijksregister en meer in het bijzonder datgene vermeld in artikel 3, eerste lid, 6°, WRR met het oog op de uitbetaling van pensioenen.
II. ONDERZOEK VAN DE AANVRAAG A. TOEPASSELIJKE WETGEVING A.1. Wet van 8 augustus 1983 (WRR) Overeenkomstig artikel 5, eerste lid, 2°, WRR wordt de machtiging om toegang te bekomen tot of mededeling te bekomen van de informatiegegevens van het Rijksregister door het Comité verleend
aan openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité. Sibelga 1 is een distributienetbeheerder voor elektriciteit in het Brussels Gewest. Zij is eigenares van deze netten. Zij biedt iedere verbruiker de mogelijkheid om zijn leverancier te kiezen door hem toegang tot betrouwbare netten te verlenen. Zij biedt alle energieleveranciers een vrij gebruik van haar netten aan. Artikel 9, § 2, van de ordonnantie van 19 juli 2001 bepaalt verder dat de distributienetbeheerder de
dagelijkse uitbating van zijn activiteiten geheel of gedeeltelijk kan toevertrouwen aan één of meer uitbatingsbedrijven.
De aanvrager is zo'n uitbatingsbedrijf. In die hoedanigheid staat hij in voor het aanvullend pensioen zoals dat voorzien is door de op hem toepasselijke collectieve arbeidsovereenkomst die verder wordt omkaderd door de wet van 28 april 2003 betreffende de aanvullende pensioenen en het
belastingstelsel van die pensioenen en van sommige aanvullende voordelen inzake sociale zekerheid. Bijgevolg komt de aanvrager in aanmerking om toegang tot de informatiegegevens van het Rijksregister te bekomen.
1
Sibelga is een coöperatieve vennootschap met beperkte aansprakelijkheid (CVBA). Haar vennoten zijn de 19 gemeenten van het Brussels Hoofdstedelijk Gewest en de privé-operator Electrabel.
Ber RR 24/2008 - 3/10
A.2. Wet van 8 december 1992 (WVP) Op grond van artikel 4 WVP vormen de informatiegegevens van het Rijksregister persoonsgegevens, waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Persoonsgegevens dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verwerkt.
B. FINALITEIT 1. De aanvrager valt onder het Paritair comité voor het gas- en elektriciteitsbedrijf. Ingevolge collectieve arbeidsovereenkomst werd voor de werknemers van deze sector reeds geruime tijd een aanvullend pensioen georganiseerd. Zoals in de beraadslaging RR nr.10/2008 werd uiteengezet zijn het de pensioeninstellingen – dus niet de aanvrager - die, in toepassing van de wet van 28 april 2003 betreffende de aanvullende
pensioenen en het belastingstelsel van die pensioenen en van sommige aanvullende voordelen inzake sociale zekerheid, en van de wet van 27 oktober 2006 betreffende het toezicht op de instellingen voor bedrijfspensioenvoorzieningen, instaan zowel voor de uitbetaling van het aanvullend pensioen aan de aangeslotene of zijn rechtverkrijgenden als van het verstrekken van door de wet voorgeschreven informatie. In het licht hiervan weigerde het Comité om aan de aanvrager een toegang te verlenen. 2. In zijn vraag tot herziening maakt de aanvrager melding van een nieuw feit. Artikel 165 van de wet van 27 oktober 2006 bepaalt dat:
"De ondernemingen die zelf een pensioenregeling beheren die op 1 januari 1986 bestond en die niet voorzag in de betaling van bijdragen door de aangeslotenen, noch in de aanleg van voorzieningen, richten een instelling voor bedrijfspensioenvoorziening op vóór 1 januari 2008, tenzij de pensioenregeling enkel betrekking heeft op aangeslotenen die vóór 1 januari 2007 uit dienst zijn getreden of met pensioen zijn gegaan. (…)". Dit betekent dat de aanvrager zelf, dus zonder de tussenkomst van een instelling voor bedrijfspensioenvoorziening, de betaling van de ingevolge CAO verschuldigde aanvullende pensioenen kan verzorgen van de personen die voor 1 januari 2007 uit dienst zijn getreden of met
Ber RR 24/2008 - 4/10
pensioen zijn gegaan. Dit blijkt trouwens ook uit de analyse die de CBFA, die waakt over de naleving van de wet van 27 oktober 2006 (artikel 4), bij schrijven van 19 maart 2008 bezorgde aan de Federatie van de Belgische Elektriciteits- en Gasbedrijven. Artikel 173, § 2, van dezelfde wet vereist dat om van die vrijstelling te kunnen genieten, de aanvrager voor 1 januari 2008 bij de CBFA moet ingeschreven worden. Daarnaast moet aan deze laatste jaarlijks voor 30 juni een verslag worden bezorgd. Het Comité stelt vast dat - in de mate dat de in artikel 173, § 2, eerste lid, van de wet van 27 oktober 2006 bedoelde inschrijving gebeurde - het doeleinde welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van artikel 4, § 1, 2°, WVP.
C. PROPORTIONALITEIT C.1. Ten overstaan van de gegevens De aanvrager wenst toegang te bekomen tot de gegevens vermeld in artikel 3, eerste lid, 6°, WRR, namelijk "de plaats en datum van overlijden". De aanvrager merkt op dat de nabestaanden van een rechthebbende hem niet systematisch informeren van diens overlijden wat ertoe leidt dat hij in een aantal gevallen ten onrechte: •
betalingen blijft verrichten aan de betrokkene terwijl die aan de overlevende echtgenoot zouden moeten gebeuren;
•
betalingen blijft verrichten aan de betrokkene terwijl die zouden moeten stopgezet worden.
Het Comité stelt vast dat het overlijden van een rechthebbende een impact heeft op de verplichtingen van de aanvrager omdat ze hetzij een einde nemen, hetzij moeten vervuld worden ten aanzien van een andere persoon. Het element "datum van overlijden" is dus voor de aanvrager pertinente informatie (artikel 4, § 1, 3°, WVP). Voor wat het element "plaats van overlijden" betreft wordt niet aangetoond dat het in casu ter zake dienend is.
C.2. Ten opzichte van de frequentie van de toegang en de duur van machtiging C.2.1. De aanvrager wenst een permanente toegang zodat hij op elk moment kan nagaan of de betrokkene nog in leven is of niet.
Ber RR 24/2008 - 5/10
Het Comité stelt vast dat de personen aan wie de aanvrager zelf betalingen kan verrichten op basis van de uitzondering van artikel 165 van de wet van 27 oktober 2006 welbepaald zijn, namelijk werknemers die vóór 1 januari 2007 uit dienst zijn getreden of met pensioen zijn gegaan. Volgens telefonische toelichting situeert hun aantal zich tussen de 1.500 en 2.000. Dit aantal zal in de loop van de tijd afnemen om uiteindelijk nul te bereiken. In de gegeven omstandigheden is het Comité van oordeel dat de aanvrager zijn doeleinde kan bereiken aan de hand van de mededeling door het Rijksregister van de datum van overlijden van de personen die deel uitmaken van de betrokken doelgroep. Dit impliceert dat de aanvrager aan de diensten van het Rijksregister een lijst met de betrokkenen bezorgt. De betalingen in het kader van het aanvullend pensioen gebeuren maandelijks. Bijgevolg stelt het Comité vast dat een maandelijkse mededeling van de informatie door het Rijksregister de aanvrager toelaat om onmiddellijk in te spelen op de gewijzigde omstandigheden. Samenvattend
is
een
maandelijkse
mededeling
van
de
gegevens
in
het
licht
van
artikel 4, § 1, 3°, WVP bijgevolg gepast. C.2.2. Het koninklijk besluit van 15 oktober 2004 tot uitbreiding van het netwerk van de sociale
zekerheid tot de pensioen- en solidariteitsinstellingen belast met het uitvoeren van de wet van 28 april 2003 betreffende de aanvullende pensioenen en het belastingstelsel van die pensioenen en van sommige aanvullende voordelen inzake sociale zekerheid, met toepassing van artikel 18 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid, breidt het netwerk van de sociale zekerheid uit tot pensioeninstellingen en de solidariteitsinstellingen. Deze staan normaal in voor de betaling van aanvullende pensioenen en solidariteitstoezeggingen. Met het oog op o.a. hun raadplegingen van het Rijksregister, houdt de Kruispuntbank van de Sociale Zekerheid een verwijzingsrepertorium bij. Zoals hiervoor onder punt B.2. werd aangetoond, kan de aanvrager ingevolge de uitzondering voorzien in artikel 165 van de wet van 27 oktober 2006 aan een welomlijnde doelgroep zelf het aanvullend pensioen uitbetalen (normaal moet dit gebeuren door een pensioeninstelling). Het Comité is van oordeel dat, alleszins voor wat de informatiestroom van de aanvrager met het Rijksregister betreft, het gepast is dat op dezelfde wijze wordt gehandeld als voor de pensioeninstellingen die normaal de betalingen verzorgen. Dit wil zeggen dat de mededeling van de
Ber RR 24/2008 - 6/10
gegevens via de Kruispuntbank van de Sociale Zekerheid zal verlopen die daartoe een verwijzingsrepertorium bijhoudt. C.2.3. De toegang wordt gevraagd voor onbepaalde duur. Het Comité stelt vast dat niet concreet kan bepaald worden hoe lang de aanvrager nog aan de doelgroep betalingen zal moeten verrichten. Ze zullen hoe dan ook een einde nemen wanneer alle rechthebbenden – de betrokkene zelf of de overlevende echtgenoot – uit de doelgroep overleden zijn. In het licht van het doeleinde is dan ook een machtiging van onbepaalde duur gepast (artikel 4, § 1, 3° WVP). Deze zal echter van rechtswege een einde nemen wanneer alle betrokkenen uit de doelgroep overleden zijn.
C.3. Ten opzichte van de bewaringstermijn C.3.1. De aanvrager stelt dat de gegevens: •
gedurende 10 jaar zullen bewaard worden:
o
in het personeelsdossier van de betrokkene, te rekenen vanaf de datum waarop hij overlijdt;
o
in het dossier van de overlevende echtgenoot, te rekenen vanaf de datum waarop deze overlijdt;
•
gedurende onbepaalde tijd in de gegevensbank voor het beheer van het personeel.
C.3.2. Artikel 49 van de wet van 28 april 2003 belast de CBFA met het toezicht op de naleving van de reglementaire bepalingen m.b.t. het aanvullend pensioen. Met het oog op het vervullen van die taak moeten aan de CBFA alle inlichtingen en documenten verstrekt worden die zij opvraagt, kan zij ter plaatse inspecties verrichten en kopie maken van alle gegevens die ter beschikking zijn (artikel 49ter). Het niet verstrekken van de gevraagde informatie of het verstrekken van onjuiste informatie wordt krachtens artikel 54 strafbaar gesteld met een correctionele gevangenisstraf en een geldboete. Dergelijke misdrijven verjaren na vijf jaar (artikel 21 van de voorafgaande titel van het
Wetboek van Strafvordering).
Ber RR 24/2008 - 7/10
In het kader van die controletaak moet de CBFA in de mogelijkheid zijn om desgevallend in individuele dossiers na te gaan of de wetgeving correct werd toegepast en juiste bedragen werden uitgekeerd. Rekening houdend met de verjaringstermijn is een bewaringstermijn van 5 jaar, te rekenen vanaf de door de aanvrager opgegeven ogenblikken, aanvaardbaar. De door hem voorgestelde bewaringstermijn van 10 jaar is in het licht van artikel 4, § 1,5°, WVP disproportioneel. C.3.3. Het Comité stelt vast dat het alleszins onaanvaardbaar is dat de gegevens gedurende onbepaalde duur bewaard worden in de gegevensbank van de aanvrager. Artikel 4, § 1, 5°, WVP bepaalt dat persoonsgegevens niet langer mogen bewaard worden dan noodzakelijk is voor de verwezenlijking van het doeleinde waarvoor zij werden verkregen. Eens dat doeleinde gerealiseerd, moeten die persoonsgegevens vernietigd worden. Dit betekent dat van zodra de verplichting van de aanvrager tot betaling van een aanvullend pensioen ten overstaan van een bepaalde gewezen werknemer een einde neemt, diens gegevens uit de gegevensbank moeten verwijderd en vernietigd worden. Er is geen reden om die informatie nog langer in de gegevensbank op te slaan, gelet op het feit dat deze informatie sowieso nog gedurende een zekere tijd wordt bewaard in het personeelsdossier van de betrokkene. Voor zover de aanvrager er zich toe verbindt om te handelen overeenkomstig wat hiervoor werd uiteengezet, bewaart hij de gegevens conform aan artikel 4, § 1, 5°, WVP.
C.4. Intern gebruik en/of mededeling aan derden Volgens de aanvraag zal het gegeven uitsluitend intern gebruikt worden met het oog op de uitbetaling van het aanvullend pensioen. Het Comité neemt hiervan akte.
D. BEVEILIGING D.1. Consulent inzake informatieveiligheid De aanvrager stelt twee personen voor om de functie van consulent inzake informatieveiligheid te vervullen. Volgens de informatie verstrekt door de aanvrager blijkt voor wat : •
de eerste persoon betreft dat hij:
o
ondergeschikt is aan de IT-manager;
Ber RR 24/2008 - 8/10
o •
bijdraagt tot het bepalen van de noden van het IT-departement;
de tweede persoon betreft dat hij:
o
ondergeschikt is aan de ICT-infrastuctuurmananger;
o
mee instaat voor de IT-beveiliging.
Uit de informatie blijkt evenwel niet dat de betrokkenen over de nodige onafhankelijkheid beschikken om de functie van consulent inzake informatieveiligheid uit te oefenen. Beiden zijn immers ondergeschikt aan een ICT-verantwoordelijke. Nu is de IT-veiligheid een onderdeel van de informatieveiligheid. Bijgevolg lijken zij dus niet in een positie te zijn om in alle onafhankelijkheid dit aspect van het informatieveiligheidsbeleid te beoordelen, temeer als zij dienaangaande aan hun onmiddellijke hiërarchie verslag moeten uitbrengen. In hoofde van de tweede persoon lijkt er daarenboven een onverenigbaarheid te bestaan. Hij staat mee in voor de IT-beveiliging. Als veiligheidsconsulent zou hij dus zijn eigen werk op dat vlak moeten controleren. Zoals reeds werd aangestipt is informatieveiligheid ruimer dan IT-veiligheid. Het omvat o.a. ook de fysieke - en omgevingsveiligheid en de beveiliging m.b.t. het personeel. Het is niet duidelijk of de voorgestelde personen ook die aspecten zullen controleren. Het Comité wenst dan ook dat de aanvrager, hetzij vooralsnog nadere toelichting verschaft m.b.t. de concrete werkzaamheden van de voorgestelde personen evenals hun verhouding tot hun onmiddellijke hiërarchie en hun onafhankelijkheid als veiligheidconsulent, hetzij een andere persoon voorstelt voor de functie van veiligheidsconsulent.
D.2. Veiligheidsbeleid Uit de door de aanvrager meegedeelde stukken blijkt dat een heleboel aspecten van het veiligheidsbeleid in de loop van 2007 op het terrein zouden toegepast worden. Gelet op het feit dat we inmiddels medio 2008 zijn, wenst het Comité dat haar de actuele stand van zaken wordt meegedeeld. Daarenboven merkt het Comité op dat, volgens het evaluatieformulier waarover het beschikt, er geen login gebeurt wanneer persoonsgegevens in de gegevensbank(en) van de aanvrager
Ber RR 24/2008 - 9/10
geraadpleegd worden. Dit maakt het onmogelijk om onregelmatigheden of misbruiken vast te stellen. De afwezigheid van een systeem van login dat registreert welke persoon wanneer welke gegevens over een bepaalde persoon raadpleegde en waarom, maakt van ieder veiligheidsbeleid een lege doos. Rekening houdend met het feit dat het misbruik maken van een toegang tot persoonsgegevens een strafbaar feit is, is het aangewezen dat degelijke logins minstens gedurende 10 jaar bewaard worden. Het Comité staat erop dat de aanvrager daartoe het nodige doet.
D.3. Personen die toegang hebben tot de meegedeelde informatiegegevens van het Rijksregister en lijst van deze personen Volgens de aanvraag zullen alleen personeelsleden van de Personeelsadministratie – Dienst Einde Loopbaan
en
Pensioenen
van
de
aanvrager
toegang
hebben
tot
de
meegedeelde
informatiegegevens. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die toegang hebben tot het Rijksregister en die het nummer gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden. De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren.
OM DEZE REDENEN, het Comité 1° herziet de beraadslaging RR nr. 10/2008 van 12 maart 2008 en machtigt bijgevolg Brussels Network Operations om, onder de voorwaarden bepaald in deze beraadslaging en voor het onder punt B.2. bepaalde doeleinde, voor onbepaalde duur vanwege het Rijksregister maandelijks mededeling te verkrijgen van de datum van overlijden van de doelgroep zoals opgegeven door eerstgenoemde; 2° bepaalt dat: a) de informatiestroom van de aanvrager met het Rijksregister via de Kruispuntbank van de Sociale Zekerheid zal verlopen;
Ber RR 24/2008 - 10/10
b) deze machtiging van rechtswege een einde zal nemen wanneer alle rechthebbenden – de betrokkene zelf of de overlevende echtgenoot – uit de doelgroep overleden zijn; c) deze machtiging slechts uitwerking zal krijgen nadat: •
Brussels Network Operations het bewijs heeft geleverd, aan de hand van een door de CBFA verstrekt document, dat de door artikel 173, § 2, van de wet van 27 oktober 2006 vereiste inschrijving, gebeurde;
•
het Comité op basis van de door de gemachtigde verstrekte stukken en inlichtingen heeft
vastgesteld
dat
één
van
de
voorgestelde
consulenten
inzake
informatieveiligheid aanvaardbaar is of een andere persoon die wordt voorgesteld, kan aanvaard worden; •
geactualiseerde informatie werd verstrekt m.b.t. het veiligheidsbeleid en werd voldaan
aan
de
onder
punt
D.2.
geformuleerde
opmerking
m.b.t.
het
logging-systeem; •
Brussels Network Operations zich, voor wat de bewaringstermijn betreft, ertoe verbindt om daarbij te handelen overeenkomstig punt C.3.;
d) wanneer het Comité aan Brussels Network Operations een vragenlijst met betrekking tot de informatieveiligheidstatus toestuurt, deze laatste deze lijst waarheidsgetrouw moet invullen en terugbezorgen aan het Comité. Het Comité zal de ontvangst bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren; 3° weigert het meer gevraagde.
Voor de Administrateur, m.v.,
De voorzitter,
Het Afdelingshoord O&RM
(get.) Patrick Van Wouwe
(get.) Mireille Salmon