1/7
Sectoraal comité van het Rijksregister
Beraadslaging RR nr 46/2015 van 29 juli 2015
Betreft: Machtigingsaanvraag van Forem om het Rijksregisternummer te gebruiken voor het toegangs- en gebruikersbeheer van zijn portaal “candidats” alsook voor het beheer van de aanwervingsdossiers door zijn personeelsdienst (RN-MA-2015-071)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van Forem ontvangen op 23/02/2015; Gelet op de bijkomende informatie, ontvangen op 18 mei, 5 en 9 juni 2015; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 15/06/2015; Gelet op het verslag van de Voorzitter;
Beraadslaging RR 46 /2015 - 2/7
Beslist op 29 juli 2015, na beraadslaging, als volgt: I.
ONDERWERP EN CONTEXT VAN DE AANVRAAG 1.
Forem (hierna “de aanvrager”), vraagt een machtiging om het Rijksregisternummer te
.
gebruiken om kandidaten voor vacatures bij Forem (als werkgever) eenduidig te
.
identificeren in de interne bestanden van zijn dienst Human Resources alsook voor het
.
toegangs- en gebruikersbeheer van zijn elektronisch portaal “candidats”. 2.
Teneinde de verwerkingen voor het invoeren van de curriculum vitae van de kandidaten te vereenvoudigen, zal de aanvrager een webportaal ontwikkelen via hetwelk iedereen kan reageren op vacatures in de schoot van zijn diensten (selectie of vergelijkend examen), een spontane kandidatuur kan indienen en de gegevens kan beheren die ze in dit verband meedelen. Om zich te wapenen tegen elke fout bij de identificatie en de stappen van authenticatie en machtiging voor toegang tot het portaal niet te hypothekeren, wenst de aanvrager het Rijksregisternummer te gebruiken.
II. ONDERZOEK VAN DE AANVRAAG 3.
De aanvrager is reeds gemachtigd om het Rijksregisternummer te gebruiken op basis van het koninklijk besluit van 20 november 19971. Bijgevolg kan het Comité er zich bij zijn onderzoek toe beperken na te gaan of het doeleinde waarvoor het gebruik van het Rijksregisternummer
wordt
gevraagd,
welbepaald,
uitdrukkelijk
gerechtvaardigd is (artikel 4, § 1, 2° van de WVP en artikel 5, 2
de
omschreven
en
lid van de WRR) en of het
gebruik van dit nummer in dit raam proportioneel is. A. DOELEINDEN 4.
De aanvrager vraagt een machtiging om het Rijksregisternummer te gebruiken als uniek identificatiemiddel voor personen die solliciteren voor zijn vacatures, in zijn interne bestanden van de dienst Human Resources alsook voor het toegangs- en gebruikersbeheer van zijn webportaal “candidats”.
1
Koninklijk besluit van 20/11/199 waarbij aan de Gemeenschaps- en Gewestelijke Dienst voor beroepsopleiding en arbeidsbemiddeling toegang wordt verleend tot de informatiegegevens en waarbij deze dienst gemachtigd wordt om het identificatienummer van het Rijksregister van de natuurlijke personen te gebruiken.
Beraadslaging RR 46 /2015 - 3/7
5.
De aanvrager verduidelijkte dat hij in dit raam de volgende gegevensverwerkingen wenst uit te voeren:
Identificatie, aan de hand van hun Rijksregisternummer, in de back office van zijn webportaal “candidats” van de persoonlijke accounts van personen die hun kandidatuur stellen bij zijn diensten, en dit voor het verzekeren van het toegangsen gebruikersbeheer tot de bedoelde persoonlijke accounts; en
het Rijksregisternummer van diezelfde personen als uniek identificatiemiddel gebruiken in zijn interne bestanden van zijn dienst Human Resources (Directie Selectie en Aanwerving).
6. De aanvrager is een instelling van openbaar nut die door het decreet van 6 mei 1999 betreffende de Waalse dienst voor beroepsopleiding en arbeidsbemiddeling, werd belast met opdrachten van openbare dienst. Om zijn opdrachten van openbare dienst uit te voeren dient elk openbaar organisme te beschikken over personeel. De gegevensverwerkingen die worden uitgevoerd in het raam van de aanwerving van dit personeel dragen bij tot de uitvoering van de opdrachten van openbare dienst. 7. Gelet op wat voorafgaat stelt het Comité het welbepaald, uitdrukkelijk omschreven en gerechtvaardigd karakter vast in de zin van artikel 4, § 1, 2° van de WVP van de door de aanvrager beoogde doeleinden. De verwerking is eveneens toelaatbaar op basis van artikel 5, 1ste lid, e) van de WVP. 8. Het Comité vestigt de aandacht van de aanvrager op het feit dat hij de toegang tot het webportaal dat hij zal oprichten adequaat moet beveiligen aangezien de persoonsgegevens van de kandidaten hierop zullen beschikbaar zijn (identificatiegegevens, kenmerken, curriculum vitae,…). Het Comité herinnert eveneens aan de aanbeveling van de Commissie 03/2011 krachtens welke wordt aanbevolen dat toegangen tot online diensten die toelaten kennis te nemen van persoonsgegevens, het gebruik vergen van de authenticatiemodule van de elektronische identiteitskaart of van een gelijkwaardig systeem (sterke beveiliging) die toelaten een adequaat beveiligingsniveau te garanderen. In dit verband beveelt het Comité de aanvrager aan te overwegen om het FAS-systeem (Federal Authentication Service) van Fedict te integreren in zijn applicatie voor het het toegangs- en gebruikersbeheer tot zijn webportaal.
Beraadslaging RR 46 /2015 - 4/7
B. PROPORTIONALITEIT
B.1. Betreffende het gebruik van het Rijksregisternummer 9. Het Rijksregisternummer vormt een adequaat instrument voor het verwezenlijken van de voormelde doeleinden. Het is een uniek nummer dat toelaat een persoon met grote nauwkeurigheid te identificeren. Misverstanden die kunnen ontstaan door homonymie of foutieve schrijfwijzen worden uitgesloten. 10. Gelet op wat voorafgaat wordt vastgesteld dat het gevraagde gebruik van het Rijksregisternummer conform artikel 4, § 1, 3° van de WVP en conform de WRR is.
B.2. Betreffende de frequentie van de toegang en de duur van de machtiging 11. De aanvrager wenst het Rijksregisternummer permanent en voor onbepaalde duur te gebruiken. 12. Het Comité stelt vast dat voor de verwezenlijking van de voormelde doeleinden, de frequentie van het gebruik van het nummer niet vooraf kan bepaald worden en een machtiging van onbepaalde duur gepast is aangezien de opdrachten die aan de aanvrager werden toevertrouwd niet beperkt zijn in de tijd (artikel 4, § 1, 3° van de WVP).
B.3. Betreffende de bewaringstermijn 13. De aanvrager bevestigde dat hij het Rijksregisternummer van personen die solliciteren voor een betrekking bij zijn diensten zal bewaren tot 2 jaar na de laatste actie van de betrokkenen op hun persoonlijke account in de schoot van zijn webportaal “candidats”. Deze termijn zal hem toelaten de kandidaten gedurende 2 jaar na het indienen van hun kandidatuur in te lichten over een vacature die beantwoordt aan hun profiel. Het Comité stelt vast dat deze termijn conform de vereisten van artikel , § 1, 5° van de WVP is.
B.4. Intern gebruik en/of mededeling aan derden 14. De aanvrager verduidelijkte dat geen enkele mededeling van het Rijksregisternummer aan derden zal plaatsvinden. 15. Het Comité neemt hiervan akte.
Beraadslaging RR 46 /2015 - 5/7
B.5. Netwerkverbindingen 16. Uit de door de aanvrager meegedeelde inlichtingen blijkt dat er momenteel geen enkele informatie wordt uitgewisseld met derden op basis van het Rijksregisternummer als primaire sleutel en dat er bijgevolg geen netwerkverbinding tot stand komt. 17. Het Comité neemt hiervan akte. Volledigheidshalve benadrukt het dat:
indien er later netwerkverbindingen mochten tot stand komen de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen;
het Rijksregisternummer in ieder geval slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog waarop zij eveneens gemachtigd werden om dit nummer te gebruiken.
C. BEVEILIGING
C.1. Consulent inzake informatiebeveiliging 18. De identiteit van de consulent inzake informatiebeveiliging werd meegedeeld. Het Comité neemt hiervan akte.
C.2. Informatiebeveiligingsbeleid 19. Uit de door de aanvrager meegedeelde documenten blijkt dat hij niet over een passend informatiebeveiligingsbeleid beschikt aangezien er geen sprake is van een logging van de toegangen, hij de dragers niet heeft geïdentificeerd waarmee de gegevens zullen worden verwerkt en hij geen lijst heeft opgesteld van personen die gemachtigd werden om voor zijn rekening toegang te hebben tot de gegevens. 20. Deze aspecten zijn fundamenteel voor de beveiliging van de gegevens. Het Comité oordeelt derhalve dat de onderhavige machtiging slechts uitwerking zal kunnen krijgen wanneer deze elementen operationeel zijn. Het Comité wenst hierover door de aanvrager geïnformeerd te worden via de ontvangst van het behoorlijk ingevuld ad hoc formulier.
Beraadslaging RR 46 /2015 - 6/7
C.3. Personen die toegang hebben tot de gegevens, het Rijksregisternummer gebruiken en de lijst van deze personen 21. Volgens de aanvraag zullen enkel de personeelsleden van de Directie “recrutement et sélection » van de aanvrager alsook de technische beheerders van zijn informaticadienst het Rijksregisternummer gebruiken voor de voormelde doeleinden. 22. Naar analogie met wat is voorgeschreven door artikel 12 van de WRR voor de toegangen tot het Rijksregister, beveelt het Comité de aanvrager aan een lijst op te stellen van de personen die het Rijksregisternummer zullen gebruiken voor de voormelde doeleinden. Deze lijst moet voortdurend bijgewerkt worden en ter beschikking gehouden worden van het Comité. D. ONDERAANNEMING 23. Het Comité vestigt de aandacht van de aanvrager op het feit dat elke opdracht van onderaanneming in de zin van de WVP moet omkaderd worden door een overeenkomst die beantwoordt aan de voorschriften van artikel 16 van de WVP en dat artikel 5, 1 ste lid, 3° van de WRR de onderaannemer verplicht de nodige maatregelen, die hij heeft genomen om de WVP te respecteren, te melden aan de personen voor wie hij als onderaannemer optreedt.
OM DIE REDENEN Het Comité, 1° breidt de machtiging om het Rijksregisternummer te gebruiken uit voor onbepaalde duur en onder de in onderhavige beraadslaging vermelde voorwaarden voor het verwezenlijken van de onder punt B vermelde doeleinden; Onderhavige machtiging zal evenwel slechts uitwerking krijgen nadat het Comité op basis van de voorgelegde stukken en documenten zal hebben vastgesteld dat de onder punt C.2. bedoelde beveiligingsmaatregelen werden ingevoerd; 2° bepaalt dat bij iedere latere wijziging in de organisatie van de informatiebeveiliging die een impact kan hebben op de antwoorden die via de vragenlijst betreffende de informatiebeveiliging aan het Comité werden verstrekt (aanduiding van een consulent inzake informatiebeveiliging en antwoorden op vragen betreffende de organisatie van de
Beraadslaging RR 46 /2015 - 7/7
beveiliging), de aanvrager een nieuwe, naar waarheid ingevulde vragenlijst betreffende de informatiebeveiliging aan het Comité moet toesturen. Het Comité zal de ontvangst bevestigen en behoudt het recht daar later desgevallend op te reageren; 3° bepaalt eveneens dat wanneer het Comité de aanvrager een vragenlijst stuurt over informatiebeveiliging, die vragenlijst volledig en naar waarheid moet worden ingevuld en naar het Comité teruggestuurd. Het Comité stuurt een ontvangstmelding en behoudt het recht daar later desgevallend op te reageren. Voor de Wnd. Administrateur, afw.
De Voorzitter,
(get.) Elly Corten
(get.) Mireille Salmon
Wnd. Afdelingshoofd Studie en Onderzoek
