logo VTC

Vlaamse Toezichtcommissie
voor het elektronische bestuurlijke gegevensverkeer

Logo Vlaamse leeuw

 

Aanvraag voor machtiging voor de elektronische mededeling van persoonsgegevens

De wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (de Privacywet of de WVP) omschrijft heel precies op welke manier en onder welke omstandigheden persoonsgegevens kunnen worden verwerkt of doorgegeven. Sommige verwerkingen zijn echter zo delicaat, dat ze enkel mogelijk zijn indien daar specifiek toestemming voor wordt gegeven (zogenaamde "machtigingen").

Instanties die persoonsgegevens wensen uit te wisselen, moeten hiervoor in heel wat situaties over een machtiging van de Vlaamse Toezichtcommissie en/of van één of meerdere Sectorale Comités binnen de Privacycommissie beschikken.

U vraagt een machtiging aan de Vlaamse Toezichtcommissie:

wanneer persoonsgegevens, afkomstig van een Vlaamse overheidsinstantie, op een elektronische wijze worden bezorgd. Dit moet echter niet wanneer die elektronische mededeling al onderworpen is aan een machtiging van een ander sectoraal comité, opgericht binnen de Privacycommissie.

Alle machtigingsaanvragen t.a.v. de Vlaamse Toezichtcommissie worden schriftelijk ingediend bij de Vlaamse Toezichtcommissie, Boudewijnlaan 30, bus 47, 1000 Brussel.

U vraagt een machtiging aan de Privacycommissie:

wanneer persoonsgegevens, afkomstig van een federale instantie, op een elektronische wijze worden bezorgd, dient vooraf een machtiging te worden aangevraagd bij het Sectoraal Comité voor de Federale Overheid (dat is opgericht binnen de Privacycommissie). Dit moet echter niet als deze gegevensstroom al onderworpen is aan een machtiging van een ander Sectoraal Comité dat binnen de Privacycommissie is opgericht, nl. het Sectoraal Comité van het Rijksregister, het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid, afdeling gezondheid en afdeling sociale zekerheid, het Sectoraal Comité van de Kruispuntbank van Ondernemingen of het Statistisch Toezichtscomité.

Enkele voorbeelden

Een overheidsdienst wil op elektronische wijze persoonsgegevens opvragen bij een Vlaamse instantie en bij het Rijksregister. Zij zal hiervoor een machtiging moeten krijgen van de Vlaamse Toezichtcommissie en van het Sectoraal Comité van het Rijksregister.

Een overheidsdienst wenst op elektronische wijze persoonsgegevens te verkrijgen vanwege de Federale Overheidsdienst Financiën en vanwege de FOD Sociale Zekerheid. Er is een machtiging nodig van het Sectoraal Comité voor de Federale Overheid en van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid.

Een overheidsdienst wenst statistisch onderzoek te doen op basis van gecodeerde gegevens die zij bij de Algemene Directie Statistiek en Economische Informatie van de FOD Economie zal opvragen. Een voorafgaande machtiging vanwege het Statistisch Toezichtcomité is noodzakelijk.

Procedure

De schriftelijke machtigingsaanvraag wordt gericht aan de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer, Boudewijnlaan 30 bus 47, 1000 Brussel of elektronisch naar toezichtcommissie@vlaanderen.be.

De dossiers over de machtigingsaanvragen worden voorbereid door de voorzitter van de toezichtcommissie of door een door hem onder de leden aangewezen verslaggever, bijgestaan door een personeelslid van het secretariaat van de toezichtcommissie.

Voor de behandeling ervan gaat de voorzitter zo snel mogelijk na of alle gegevens die noodzakelijk zijn voor de machtiging, aan de toezichtcommissie zijn meegedeeld. In voorkomend geval richt de voorzitter zich tot de betrokken aanvrager met het verzoek om de door hem te preciseren gegevens mee te delen.

Als de aanvraag volledig is, beslist de toezichtcommissie binnen zestig dagen over de machtigingsaanvraag.

Praktische informatie

Om de taak van de aanvrager te vergemakkelijken lijsten we op welke informatie de aanvraag moet bevatten. In combinatie met het verplicht te gebruiken formulier “Aanvraag van een machtiging tot elektronische mededeling van persoonsgegevens” (aanvraagformulier_machtiging.doc), zou de aanvraagprocedure vlot moeten verlopen.
Opdat de Vlaamse Toezichtcommissie zou kunnen beoordelen of er voldoende technische en organisatorische maatregelen zijn genomen, moet elke aanvraag vergezeld zijn van het formulier “Evaluatie van de beveiliging van het informatiesysteem voor de bescherming van persoonsgegevens” (evaluatieformulier_beveiliging.doc). Dat formulier moet volledig ingevuld en ondertekend worden. Die vragenlijst is gebaseerd op een document dat de Commissie voor de bescherming van de persoonlijke levenssfeer uitbracht, met name “Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens”.

Aanvraag van een machtiging tot elektronische mededeling van persoonsgegevens

De aanvraag voor een elektronische mededeling moet de elementen bevatten die worden vermeld in het formulier voor de aanvraag van een machtiging. De Vlaamse Toezichtcommissie onderzoekt of het dossier in staat van behandeling is. Zoniet worden bijkomende inlichtingen gevraagd.

Gegevens van de betrokken partijen

De aanvrager is de rechtspersoon die een elektronische mededeling van persoonsgegevens wenst te verkrijgen van een Vlaamse overheidsinstantie. Zij dient volgende gegevens mee te delen:

  1. naam;

  2. adres;

  3. contactgegevens van de instelling (telefoon, e-mail);

  4. contactpersoon (naam, voornaam, eventueel de functie);

  5. contactgegevens van deze persoon (telefoon, e-mail).

Wanneer de overheid de elektronische persoonsgegevens niet zelf verwerkt, maar daarvoor een beroep doet op een of meerdere externe verwerkers, dan moet per verwerker ook een aantal gegevens meegedeeld worden:

  1. naam;

  2. adres;

  3. contactgegevens van de instelling (telefoon, e-mail);

  4. contactpersoon (naam, voornaam, eventueel de functie);

  5. contactgegevens van deze persoon (telefoon, e-mail);

  6. omschrijving van de concrete taken

  7. duur samenwerking

Informatie over de bezorger van de Vlaamse persoonsgegevens

De verzender is een Vlaamse overheidsinstantie van waaruit de elektronische mededeling van Vlaamse persoonsgegevens gebeurt. De volgende gegevens van de verzender dienen vermeld te worden:

  1. naam;

  2. adres;

  3. contactgegevens van de instelling (telefoon, e-mail);

  4. contactpersoon (naam, voornaam, eventueel de functie);

  5. contactgegevens van deze persoon (telefoon, e-mail).

Algemene beschrijving en doel van de gevraagde elektronische mededeling van persoonsgegevens

Dit is een belangrijk element bij de beoordeling van de aanvraag door de Vlaamse Toezichtcommissie. Het is immers op basis van het doeleinde dat de toezichtcommissie kan nagaan of de gevraagde persoonsgegevens toereikend, ter zake dienend en niet overmatig zijn.
De doeleinden moeten:

  1. welbepaald zijn: opgave van wat er met de persoonsgegevens zal gebeuren om zowel de toezichtcommissie als de persoon wiens gegevens worden verwerkt, zo volledig mogelijk te informeren;

  2. uitdrukkelijk omschreven zijn: het doel moet niet alleen duidelijk zijn voor de toezichtcommissie, het moet ook zo precies mogelijk omschreven en afgebakend zijn zodat de inhoud voor elke burger begrijpelijk is;

  3. gerechtvaardigd zijn: aantonen dat er een evenwicht bestaat tussen het belang van de betrokkenen (wiens persoonsgegevens verwerkt worden) om hun rechten en vrijheden te bewaren en het belang van de aanvrager.

De volgende elementen maken het mogelijk om de legitimiteit van het doeleinde van de verwerking te beoordelen:

  1. de wetten, decreten of ordonnanties of hun respectieve uitvoeringsbesluiten die om ze te kunnen uitvoeren mededeling vereisen;

  2. de wetten, decreten of ordonnanties of hun respectieve uitvoeringsbesluiten die de basis vormen van de opdracht van algemeen belang die aan de aanvrager werd toevertrouwd en die mededeling vereisen om de opdracht te kunnen uitvoeren;

  3. het belang voor de aanvrager om mededeling te bekomen in het kader van zijn taken.

Vermeld daarbij de algemene context: situeer de overheid die de Vlaamse persoonsgegevens aanvraagt en omschrijf haar reglementaire opdrachten. Vermeld daarbij de wettelijke basis. Voeg een schematische voorstelling van het verloop van de geplande gegevensstroom. Verduidelijk in die voorstelling of de gegevensstroom via een dienstenintegrator verloopt.

Per gegeven

Omschrijf heel concreet en ondubbelzinnig de gevraagde persoonsgegevens.

  1. de exacte behoefte: vermeld het concrete gegeven dat u vraagt;

  2. bewijs van proportionaliteit: geef aan waarom het gegeven noodzakelijk is voor het gevraagde doel. De belangen van de betrokkene, wiens persoonsgegevens verwerkt worden, en de belangen van de aanvrager worden immers tegenover elkaar afgewogen;

  3. de voorziene bewaarduur: de bewaartermijn van de persoonsgegevens. Na het verstrijken van die termijn moeten de persoonsgegevens vernietigd worden.

  4. De verantwoording van de bewaartermijn

Gebruik van de persoonsgegevens

Er worden in het aanvraagformulier nog vragen gesteld over het gebruik van de gegevens door de overheid die de gegevens vraagt.

  1. Een concrete omschrijving van het oorspronkelijk gebruik van de gegevens door de overheid die de gegevens zal bezorgen

  2. Frequentie: eenmalig, periodiek of permanent en verantwoording van de frequentie

  3. Identificatie gebruikers: Het is wenselijk dat de toegang tot de informatie niet wordt toegekend volgens nader aangeduide organieke criteria maar volgens functionele criteria. Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie. Wanneer de verwerkte gegevens gevoelige gegevens, gezondheidsgegevens of gerechtelijke gegevens zijn, moeten ook de categorieën personen aangeduid worden die toegang hebben tot de gegevens, waarbij hun functie in de verwerking nauwkeurig wordt omschreven. De verantwoordelijke voor de verwerking (of de verwerker) moet de lijst van de categorieën van personen ter beschikking houden van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer.

  4. Classificatie gevoeligheid gegevens: Omwille van hun bijzondere aard zijn de gevoelige gegevens, gezondheidsgegevens en gerechtelijke gegevens onderworpen aan specifieke beveiligingsmaatregelen. De verantwoordelijke voor de verwerking moet erover waken dat de personen die de gegevens verwerken, gebonden zijn aan een wettelijke of statutaire bepaling of een gelijkwaardige contractuele bepaling die stelt dat de vertrouwelijkheid van de verwerkte gegevens geëerbiedigd moet worden.

  5. Informatieverstrekking aan de gebruikers: de aanvrager moet vermelden welke maatregelen hij heeft genomen om de betrokken persoon in te lichten dat zijn persoonsgegevens zullen worden medegedeeld (aangeven via welk kanaal de informatieverstrekking gebeurt, op welk tijdstip en welke informatie wordt meegedeeld).

  6. Duur van de machtiging en verantwoording van de gevraagde duur.

Evaluatie van de beveiliging van het informatiesysteem voor de bescherming van persoonsgegevens

Het informatiesysteem van de aanvrager moet aan bepaalde veiligheidsnormen beantwoorden.
Deze normen zijn nader omschreven in “Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens”, aanbevolen door de Commissie voor de bescherming van de persoonlijke levenssfeer.
Opdat de Vlaamse Toezichtcommissie zou kunnen beoordelen of die richtsnoeren worden nageleefd, moet de aanvrager de vragenlijst invullen, die het mogelijk maakt de beveiliging van het informatiesysteem dat persoonsgegevens verwerkt te toetsen aan de Privacywet.