logo VTC

Vlaamse Toezichtcommissie
voor de verwerking van persoonsgegevens

Logo Vlaamse leeuw

 

Protocol

1. Wanneer is een protocol verplicht?
2. Wat is een Vlaamse instantie?
3. Wat is een persoonsgegeven?
4. Wanneer is een protocol niet vereist?
5. Wie moet een protocol sluiten?
6. Welke elementen moeten opgenomen worden in een protocol?
7. Welke procedure moet gevolgd worden bij een protocol?
8. Modelformulier van protocol van de VTC
9. Hoe aan de VTC een advies vragen over een protocol?
10. Hoe een mededeling van persoonsgegevens beoordelen?

1. Wanneer is een protocol verplicht?

Het AVG-decreet voorziet in de verplichting tot het opmaken van een protocol voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie naar een andere Vlaamse instantie of naar een externe overheid.

Het principe is dat tussen de betrokken verwerkingsverantwoordelijken een protocol wordt gesloten over een elektronische mededeling van persoonsgegevens waarin een aantal zaken worden vastgelegd zodat duidelijk wordt dat aan de principes van de AVG wordt voldaan.

Vanaf wanneer geldt de protocolverplichting?
De verplichting tot het sluiten van een protocol geldt vanaf 26 juni 2018 (de datum van publicatie van het AVG-decreet in het Belgisch Staatsblad). Op dat moment werd de machtigingsverplichting opgeheven.

Wat is een mededeling?
Uit de memorie van toelichting van het e-govdecreet blijkt dat een mededeling het verstrekken is door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, en die op systematische wijze wordt georganiseerd.
Het gaat om een “latere verwerking”: gebruik van gegevens die oorspronkelijk ingezameld werden voor andere doeleinden door een andere verantwoordelijke. In hoofde van de instantie die de gegevens doorgeeft, is er sprake van een “verdere verwerking”.
Het begrip mededeling verwijst naar een georganiseerde gegevensuitwisseling vanuit elektronische databanken of toepassingen. De nadruk ligt op het gegevensverkeer. Occasioneel gegevensverkeer (bv een occasioneel e-mailbericht dat persoonsgegevens bevat) is uitgesloten. Een eenmalige overdracht van een omvangrijke verzameling persoonsgegevens wordt wel als systematisch beschouwd.
Het gaat om een elektronische mededeling (art. 8 e-govdecreet) dus niet als op papier, wel e-mail (tenzij occasioneel).

terug naar boven

 

2. Wat is een Vlaamse instantie?


Dit wordt bepaald in artikel 2, 10° e-govdecreet: de instantie, vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur;
Rechtspersoonlijkheid is geen criterium “: art. 4, §1, 1°: de diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest;” dus ook van dienst naar dienst.
De definitie van instantie zal waarschijnlijk aangepast worden door het toekomstige Bestuursdecreet.

Op deze pagina vindt u nog een overzicht dat kan helpen bij het uitzoeken of uw organisatie een Vlaamse instantie is.

terug naar boven


3. Wat is een persoonsgegeven?

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene”).
Anonieme gegevens zijn geen persoonsgegevens, gespeudonimiseerde of gecodeerde persoonsgegevens wel.
Zie verder bij de toelichting bij het model van protocol, DEEL 1.5 minimale gegevensverwerking

terug naar boven

4. Wanneer is een protocol niet vereist?

Een protocol is niet vereist als het het informatieveiligheidscomité (IVC) bevoegd is:
Op de protocolverplichting bestaat een uitzondering: in het geval het informatieveiligheidscomité (IVC) dat wordt opgericht met toepassing van de wet tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, bevoegd is om over die mededeling een beraadslaging te verlenen.
Het IVC zal enkel bevoegd zijn als bij een gegevensuitwisseling een van de basisdiensten van eHealth of de Kruispuntbank Sociale Zekerheid (KSZ) worden gebruikt. De reden hiervoor is dat moet kunnen nagegaan worden of de diensten correct worden gebruikt. (uit verslag VTC 18/7/2018)

Een protocol is niet vereist voor uitwisseling van persoonsgegevens binnen eenzelfde instantie:-
Een protocol ook niet verplicht in het geval van uitwisseling van persoonsgegevens binnen eenzelfde instantie, bijvoorbeeld twee afdelingen binnen een departement of binnen een agentschap. Dit betekent concreet dat zowel de oorspronkelijke verzameling als de verdere verwerking door een andere dienst deel uitmaken van de taken van de instantie. De verwerkingsverantwoordelijke beslist in voornoemde gevallen over de gevraagde mededeling.
Ook dan moet er, net zoals bij het opstellen van een protocol, telkens rekening worden gehouden met een aantal criteria. Dit zijn de criteria die elke verwerkingsverantwoordelijke moet toepassen bij het organiseren van de toegang tot de eigen persoonsgegevens. In die mate moeten deze criteria dan ook worden beoordeeld door de verwerkingsverantwoordelijke zelf die daartoe een beroep doet op het advies van de functionaris voor gegevensbescherming (Data Protection Officer (DPO)).
Voor de dienst aan wie de gegevens worden meegedeeld, moeten de gegevens noodzakelijk zijn voor haar taken. Ook hier mag de toegang (of uitwisseling) enkel betrekking hebben op de persoonsgegevens die absoluut noodzakelijk zijn voor de verwerkingen in hoofde van de ontvangende dienst.
Ook dient de mededeling op een beveiligde manier te gebeuren die kan worden aangetoond. Zo moet de interne toegang worden beveiligd, zodat van deze actie geen misbruik kan worden gemaakt om toegang te krijgen tot gegevens waar men niet toe gerechtigd is. In die mate dient gebruik te worden gemaakt van een gebruikers- en toegangsbeheer, aangevuld met een logging van de toegangen (en raadplegingen of uitwisselingen).
Indien de functionaris voor gegevensbescherming oordeelt dat de verwerking, gelet op onder meer de aard, de omvang, de context en de doeleinden van de mededeling, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wiens gegevens zouden worden meegedeeld, kan voorafgaand aan de mededeling het advies van de Vlaamse toezichtcommissie worden ingewonnen.

Het spreekt echter voor zich dat men het opstellen van een protocol niet mag omzeilen door een nog ruimere verspreiding dan tussen overheden, bv. door een voor iedereen toegankelijke publicatie op een website (waar de andere overheid de data zou kunnen ophalen).

terug naar boven

 

5. Wie moet een protocol sluiten?

De verwerkingsverantwoordelijken sluiten het protocol. Dit zijn dus de leidend-ambtenaren van de betrokken instanties.

terug naar boven

 

6. Welke elementen moeten opgenomen worden in een protocol?

Een protocol moet volgens het e-govdecreet volgende rubrieken bevatten (zie verder voor de beoordeling):
1° de identificatie van de verwerkingsverantwoordelijken;
2° de doeleinden waarvoor de persoonsgegevens worden medegedeeld;
3° de categorieën en omvang van de medegedeelde persoonsgegevens conform het proportionaliteitsbeginsel;
4° de categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen;
5° de wettelijke basis van zowel de mededeling als de inzameling van de gegevens;
6° de beveiligingsmaatregelen van de mededeling, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen;
7° de periodiciteit van de mededeling;
8° de duur van de mededeling;
9° de sancties in geval van niet-naleving van het protocol;
10° de beschrijving van de precieze doeleinden waarvoor de gegevens oorspronkelijk werden ingezameld door de instantie die beheerder is van de gevraagde gegevens;
11° ingeval van latere verwerking van de ingezamelde gegevens, vermelding van de verenigbaarheidsanalyse van de doeleinden van deze verwerking met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld overeenkomstig artikel 6, lid 4, van de algemene verordening gegevensbescherming;
12° afspraken omtrent de garantie van de kwaliteit van de gegevens en in voorkomend geval de eerbiediging van het wettelijk kader dat de toegang tot de authentieke gegevensbron regelt;
13° specifieke maatregelen die de gegevensmededeling omkaderen zoals de keuze van het formaat van de mededeling, de logging van de toegangen zodat men kan controleren wie wanneer toegang had tot welke gegevens en waarom en de invoering van een verwijzingsrepertorium in het geval van een automatische mededeling van de wijzigingen aan de gegevens.

terug naar boven

 

7. Welke procedure moet gevolgd worden bij een protocol?

Het protocol wordt gesloten door de betreffende verwerkingsverantwoordelijken na advies van de functionaris voor gegevensbescherming van alle betrokken instanties en wordt vervolgens onmiddellijk bekendgemaakt op de website van alle betrokken instanties.

Voorafgaand aan het sluiten van een protocol kan op verzoek van een betrokken partij het advies van de Vlaamse toezichtcommissie gevraagd worden. De Vlaamse toezichtcommissie brengt haar advies uit binnen een termijn van dertig dagen nadat alle daartoe noodzakelijke gegevens aan de Vlaamse toezichtcommissie zijn medegedeeld. In speciaal gemotiveerde dringende gevallen kan de termijn worden teruggebracht tot vijftien dagen. De adviezen van de Vlaamse toezichtcommissie zijn schriftelijk en met redenen omkleed. Ze worden aan de betreffende instantie meegedeeld en op de website van de Vlaamse toezichtcommissie bekendgemaakt.

Het volgende schema zal meestal van toepassing zijn:
- opmaak protocol door de betrokken instanties (projectleiders, juristen, …)
- advies functionarissen voor de gegevensbescherming van de betrokken instanties
- facultatief advies VTC
- eventuele aanpassing protocol
- goedkeuring protocol door ondertekening door leidend ambtenaren
- onmiddellijke publicatie protocol op de websites betrokken instanties

terug naar boven

 

8. Modelformulier van protocol van de VTC

De VTC heeft een model van protocol gemaakt waarin de vragen gesteld worden die het mogelijk maken voor alle partijen om de mededeling af te toetsen aan de vereisten van de AVG (en andere relevante wetgeving). Dit zonder dat er (veel) extra vragen moeten worden gesteld tijdens de procedure. De verplicht te beantwoorden vragen die in artikel 8, lid 2 van het e-govdecreet worden opgesomd, zijn te beperkt om de toetsing te doen en zouden te veel extra communicatie en dus tijd vragen. Daarom worden die vragen al in het formulier verwerkt.
In het formulier kunnen de functionarissen zonder veel schrijf of knip-en plakwerk hun opmerkingen geven (en in latere ontwerpversies wegwerken). Hetzelfde geldt voor de partijen en de VTC als die laatste om advies wordt gevraagd of nadien controleert.
De in de kaderwet bepaalde regels zijn nog niet verwerkt in het formulier. Het formulier zal in de loop van de tijd aangepast en verbeterd worden. Verdere afstemming met de andere overheden die bevoegd zijn voor protocollen en machtigingen is gepland.
Het model is opgedeeld in twee delen. In DEEL 1 gebeurt de toetsing aan de beginselen waarbij alle onderdelen moeten beantwoord worden. In DEEL 2 moeten enkel die rubrieken ingevuld worden die van toepassing zijn.
De publicatie van het protocol kan eventueel beperkt worden tot de verplichte punten volgens het e-govdecreet (in het model door een gekleurde achtergrond aangeduid), maar er moet voor gezorgd worden dat de transparantie naar de burger voldoende is. De bijlagen moeten niet gepubliceerd worden tenzij ze essentiële elementen bevatten zoals de (categorieën van) gegevens en hun motivering.
Andere modellen mogen ook gebruikt worden, maar de neerslag van de volledige toetsing moet wel voorhanden zijn bij alle partijen in het kader van de verantwoordingsplicht (artikel 5, lid 2, AVG).
Het model is eventueel ook bruikbaar om geplande initiële verwerkingen en mededelingen binnen een instantie te beoordelen.

Modelprotocol VTC
Toelichting bij formulier modelprotocol (pdf document, 177 kb)
Formulier modelprotocol (word, 87 kb) (pdf document, 289 kb)

terug naar boven

9. Hoe aan de VTC een advies vragen over een protocol?

U bezorgt volgende stukken per mail aan toezichtcommissie@vlaanderen.be:
- een kopie van het ontwerpprotocol;
- het gemotiveerde advies van de functionaris voor gegevensbescherming van alle betrokken instanties, al dan niet verwerkt in het ontwerpprotocol;
In principe brengt de VTC haar advies uit binnen een termijn van dertig dagen nadat haar alle daartoe noodzakelijke gegevens zijn meegedeeld. In speciaal gemotiveerde dringende gevallen kan de termijn worden teruggebracht tot vijftien dagen.

terug naar boven

 

10. Hoe een mededeling van persoonsgegevens beoordelen?

De mededeling moet getoetst worden aan de criteria van de AVG door zowel de verantwoordelijken als de functionarissen en de toezichthouder in het kader van advisering en/of controle.
De toetsing moet in eerste instantie gebeuren door de instantie aan welke gevraagd wordt de gegevens mee te delen.
Die mag namelijk de persoonsgegevens niet verwerken voor een doeleinde dat onverenigbaar is met dat van de oorspronkelijke verwerking (artikel 5, 1, b), AVG). Onder verwerking wordt ook verstaan “het verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen” (artikel 4, 2) AVG). Deze bepalingen beperken zich niet tot mededeling aan een andere instantie of naar een externe overheid zoals vermeld in artikel 8 e-govdecreet, maar de protocolregeling zelf lijkt alleen daarvoor verplicht door het decreet. Voor andere bestemmelingen zal dezelfde toetsing moeten gebeuren (en normaal gezien moeilijker positief kunnen geëvalueerd worden) en lijkt een protocol evenzeer aangewezen.
De verantwoordelijke die de persoonsgegevens meedeelt zal dan ook op verschillende punten moeten nagaan of de ontvangende instantie aan de AVG vereisten beantwoordt.
De criteria van de AVG waaraan iedere verwerking en dus ook de in artikel 8 e-govdecreet bedoelde mededelingen moeten getoetst worden, zijn in de eerste plaats de beginselen en aanvullend diverse bepalingen die in specifieke gevallen van toepassing zijn:

DEEL I Toetsing aan beginselen

  1. Verantwoordingsplicht
  2. Doelbinding
  3. Rechtmatigheid, behoorlijkheid
  4. Transparantie
  5. Minimale gegevensverwerking
  6. Opslagbeperking
  7. Juistheid
  8. Integriteits- en vertrouwelijkheidsbeginsel
  9. Risicobenadering

DEEL 2 Bijzondere gevallen (deze lijst en de onderdelen zijn nog niet volledig)

  1. De verwerking door een of meerdere verwerkers
  2. De inschakeling van een intermediair/TTP/dienstenintegrator
  3. Het gebruik van het rijksregisternummer of een andere authentieke gegevensbron
  4. Bijzondere categorieën van persoonsgegevens
  5. Persoonsgegevens m.b.t. strafrechtelijke veroordelingen en strafbare feiten
  6. Archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
  7. Doorgifte aan derde landen en internationale organisaties
  8. [andere]

Om u te helpen bij de evaluatie van de mededeling heeft de VTC een toelichting geschreven die u best samen leest met het modelformulier: KADER VOOR DE EVALUATIE VAN EEN MEDEDELING OP BASIS VAN EEN ONTWERPPROTOCOL

terug naar boven