De Commissie voor de bescherming van de persoonlijke levenssfeer;



Vergelijkbare documenten
Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 52 / 2005 van 21 december 2005

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 26 / 2005 VAN 6 JULI 2005

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011;

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

BERAADSLAGING RR Nr 26 / 2007 van 12 september 2007

Gelet op de aanvraag van de Chef Defensie ontvangen op 23/08/2010; Gelet op de bijkomende informatie ontvangen op 16 en 24/11/2010;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

Gelet op de aanvraag van het Vlaams Subsidieagentschap voor Werk en Sociale Economie ontvangen op 25/10/2011;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van het Instituut voor Gerechtelijke Opleiding ontvangen op 15/03/2012;

BERAADSLAGING RR Nr 27 / 2007 van 12 september 2007

Het Sectoraal comité van het Rijksregister, (hierna "het comité");

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

BERAADSLAGING RR Nr 12 / 2006 van 24 mei 2006

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

BERAADSLAGING RR Nr 25 / 2007 VAN 18 JULI 2007

Gelet op de aanvraag van het Parlement van het Brussels Hoofdstedelijk Gewest ontvangen op 15/10/2013;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van de provincie Luik ontvangen op 11/02/2013;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 51 / 2005 van 21 december 2005

Gelet op de aanvraag van het intern verzelfstandigd agentschap met rechtspersoonlijkheid Kind en Gezin ontvangen op 04/02/2011;

Sectoraal comité van het Rijksregister

Gelet op de aanvraag van de Vlaamse Landmaatschappij ontvangen op 03/11/2011;

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van het Vlaams Woningfonds van de Grote Gezinnen cvba ontvangen op 27/06/2011;

Gelet op de aanvraag van het Vlaams Agentschap Kind en Gezin ontvangen op 16 mei 2017;

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

BERAADSLAGING RR Nr 32 / 2005 VAN 15 JUNI 2005

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER ADVIES Nr 39 / 2006 van 27 september 2006

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

Sectoraal comité van het Rijksregister

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van de FOD Mobiliteit en Vervoer ontvangen op 03/11/2011;

De Commissie voor de bescherming van de persoonlijke levenssfeer;

De Commissie voor de bescherming van de persoonlijke levenssfeer;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van de Orde van Vlaamse Balies, ontvangen op 31/07/2015;

BERAADSLAGING RR Nr 27 / 2006 VAN 18 OKTOBER 2006

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de aanvraag van het Agentschap Inspectie RWO ontvangen op 12/09/2011;

Gelet op de aanvraag van de Kruispuntbank van de Sociale Zekerheid ontvangen op 08/07/2011;

Gelet op de aanvraag van de Vlaamse Vervoersmaatschappij De Lijn, ontvangen op 14/07/2014;

Gelet op de aanvraag van het Agentschap Ondernemen, afdeling Inspectie Economie, ontvangen op 13/07/2009;

Gelet op de aanvraag van de FOD Mobiliteit en Vervoer ontvangen op 14/07/2011; Gelet op de bijkomende informatie ontvangen op 20 oktober 2011;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING Nr 35 / 2004 van 25 november 2004

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Gelet op de aanvraag van de Federale Overheidsdienst Justitie, ontvangen op 07/05/2013;

BERAADSLAGING RR Nr 28 / 2007 van 12 september 2007

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING FO Nr 01 / 2005 van 10 januari 2005

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING Nr 02 / 2004 van 15 maart 2004

Gelet op de bijkomende informatie, ontvangen op 18 mei, 5 en 9 juni 2015;

Gelet op de aanvraag van het Vlaams Energieagentschap ontvangen op 18/08/2017;

Het Sectoraal comité van het Rijksregister, (hierna "het comité");

Gelet op de aanvraag van het Agentschap voor Binnenlands Bestuur ontvangen op 24/02/2012; Gelet op de bijkomende informatie ontvangen op 22/03/2012;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 25 / 2005 van 15 juni 2005

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Gelet op de aanvraag van Eandis System Operator cvba, ontvangen op 04/05/2016;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 47 / 2005 van 30 november 2005

Gelet op de aanvraag van de FOD Mobiliteit en Vervoer, ontvangen op 08/11/2013;

Gelet op de aanvraag van de private stichting Juridisch informatiecentrum JIC, ontvangen op 11/02/2011;

Betreft: aanvraag tot herziening van de beraadslaging RR nr. 34/2012 (RN-MA )

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

Brussel, Het Sectoraal comité van het Rijksregister (hierna het comité );

Gelet op de aanvullende informatie ontvangen op 18 april 2017, 8 juni 2017, 26 en 28 september 2017;

Gelet op de aanvraag van het Fonds voor bestaanszekerheid van de metaalverwerkende nijverheid, ontvangen op 02/10/2014;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 05 / 2006 van 1 maart 2006

Sectoraal comité van het Rijksregister

Het Sectoraal comité van het Rijksregister (hierna "het comité");

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 15 / 2007 van 23 mei 2007

Gelet op de bijkomende inlichtingen, ontvangen op 17/02/2014;

BERAADSLAGING RR Nr 20 / 2006 van 26 juli 2006

Sectoraal comité van het Rijksregister

Gelet op de aanvraag van Centrum voor Informatica voor het Brusselse Gewest (CIBG), ontvangen op 18 januari 2016;

Gelet op de herwerkte aanvraag van FAMIFED, ontvangen op 26/02/2018;

Gelet op de aanvraag van de Vlaamse Toezichtcommissie (ten behoeve van Vlabel) ontvangen op 21/01/2014;

Gelet op de aanvraag van de VMM en AIV ontvangen op 29 maart 2017;

Gelet op de bijkomende informatie ontvangen op 22/03 en 12/05/2016;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING RR Nr 36 / 2005 van 27 juli 2005

Betreft: aanvraag van de FOD Justitie om het Rijksregisternummer te gebruiken met het oog op het e-deposit pilootproject (RN-MA )

Gelet op de aanvraag van de Kruispuntbank van de Sociale Zekerheid ontvangen op 28/03/2012;

Sectoraal comité van het Rijksregister

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gelet op de aanvraag van het extern verzelfstandigd agentschap Agentschap voor Geografische Informatie Vlaanderen ontvangen op 06/06/2011;

Gelet op de aanvraag van de sociale huisvestingsmaatschappij - regio Bergen Toit et Moi ontvangen op 17/07/2011;

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

1/9. evenals het. (hierna "WRR"); persoonlijke. werking van

Gelet op de aanvraag van Parko AGB ontvangen op 25 augustus 2016; Gelet op de bijkomende informatie, ontvangen op 19 en 22 september 2016

Betreft: aanvraag van de Vlaamse Vervoermaatschappij De Lijn tot uitbreiding van de beraadslaging RR nr. 39/2007 (RN-MA )

Het Sectoraal comité van het Rijksregister (hierna "het Comité");

Gelet op de aanvraag van de Kruispuntbank van de Sociale Zekerheid ontvangen op 28/07/2010;

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Transcriptie:

BERAADSLAGING RR Nr 06 / 2005 van 13 april 2005 O. Ref. : SA2 / RN / 2004 / 042 BETREFT : Beraadslaging betreffende de aanvraag van de Federale Overheidsdienst Volksgezondheid om gemachtigd te worden om toegang te hebben tot de informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken met het oog op de mededeling voorgeschreven door artikel 86 van de wet op de ziekenhuizen gecoördineerd op 7 augustus 1987. De Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen; Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid artikel 31bis; Gelet op de wet van 25 maart 2003 tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen en van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, inzonderheid art. 19, 3; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, inzonderheid artikel 18; Gelet op de aanvraag van de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, ontvangen op 2 september 2004 en de bijkomende informatie ontvangen op 22 februari 2005; Gelet op de aanvraag van het technisch en juridisch advies op 14 maart 2005 Gelet op het juridisch en technisch advies van de Federale Overheidsdienst Binnenlandse Zaken, ontvangen op 4 april 2005; Gelet op het verslag van de voorzitter; Beslist op 13 april 2005, na beraadslaging, als volgt: Ber. RR 06 / 2005-1 / 7

I. VOORWERP VAN DE AANVRAAG -------------------------------------------------------- De aanvraag heeft tot doel om de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, hierna de aanvrager genoemd, te machtigen om: - toegang te hebben tot een informatiegegeven van het Rijksregister van de natuurlijke personen, meer in het bijzonder tot datgene vermeld in artikel 3, eerste lid, 1, van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (WRR); - het identificatienummer van het Rijksregister te gebruiken (art. 8 WRR) met het oog op de toepassing van artikel 86 van de wet op de ziekenhuizen gecoördineerd op 7 augustus 1987 (hierna ziekenhuiswet). II. ONDERZOEK VAN DE AANVRAAG --------------------------------------------------------- A. TOEPASSELIJKE WETGEVING A.1. Wet van 8 augustus 1983 (WRR). Overeenkomstig art. 5, eerste lid, 2, WRR wordt de machtiging om toegang te verkrijgen van de informatiegegevens bedoeld in artikel 3, eerste en tweede lid, WRR en om het identificatienummer van het Rijksregister te gebruiken verleend door het sectoraal comité van het Rijksregister (de Commissie) aan openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het sectoraal comité. Artikel 86 van de ziekenhuiswet zegt: De beheerder van het ziekenhuis moet aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft, volgens de door de Koning vastgestelde regels en binnen de termijn die Hij bepaalt, mededeling doen van de financiële toestand, de bedrijfsuitkomsten, het in artikel 82 bedoelde verslag, alle statistische gegevens die met zijn inrichting en met de medische activiteiten verband houden, alsmede de identiteit van de directeur en/of van de voor de bovengenoemde mededelingen verantwoordelijke persoon of personen. Deze mededeling moet gezien worden als een controle- en informatie-instrument in het licht de bepalingen van de ziekenhuiswet die handelen over de programmatie, de financiering en de erkenning van ziekenhuizen. Zij maken een integrerend deel uit van het gezondheidsbeleid, dat als een taak van algemeen belang bestempeld wordt. De aanvrager komt dus in aanmerking om gemachtigd te worden om toegang te hebben tot de informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken. A.2. Wet van 8 december 1992 (WVP). Op grond van art. 4 WVP vormen de informatiegegevens van het Rijksregister persoonsgegevens, waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De persoonsgegevens dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verwerkt. Ber. RR 06 / 2005-2 / 7

B. FINALITEIT Artikel 86 van de ziekenhuiswet verplicht de beheerder van een ziekenhuis tot het verrichten van een aantal mededelingen aan de aanvrager namelijk: de financiële toestand, de bedrijfsuitkomsten, het in artikel 82 bedoelde verslag, alle statistische gegevens die met zijn inrichting en met de medische activiteiten verband houden alsmede de identiteit van de directeur en/of van de voor de bovengenoemde mededelingen verantwoordelijke persoon of personen. De aanvrager wenst deze wettelijk voorgeschreven mededeling elektronisch te organiseren en uit te bouwen. Dit zal bijdragen tot een vlottere uitwisseling van informatie tussen de aanvrager en zijn klanten. Hieruit volgt dat het nagestreefde doeleinde een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde betreft in de zin van art. 4, 1, 2 van de wet van 8 december 1992. C. PROPORTIONALITEIT C. 1. Gebruik van het identificatienummer Het identificatienummer van het Rijksregister zal een centrale rol spelen in het systeem dat door de aanvrager uitgewerkt wordt om het elektronisch mededelingsverkeer in toepassing van artikel 86 van de ziekenhuiswet te organiseren. De beheerder van het ziekenhuis deelt zijn naam, voornaam en identificatienummer van het Rijksregister mee aan de aanvrager. Deze beheerder zal tevens aan de aanvrager melden welke andere personen (gebruikers - users) voor het ziekenhuis in toepassing van artikel 86 van de ziekenhuiswet bepaalde mededelingen kunnen doen. De aard van de mededelingen die een persoon kan doen is zal bepalend zijn voor het vaststellen van diens toegangsrechten. Concreet betekent dit dat de beheerder aan de aanvrager de volgende gegevens meedeelt m.b.t. deze personen: de naam, de voornaam, het identificatienummer van het Rijksregister, het ziekenhuis en het niveau van de toegang. Deze gegevens worden door de aanvrager opgeslagen in een autorisatiegegevensbank. De mededelingen zullen gebeuren via een website van de aanvrager. Om de integriteit van de gegevens te waarborgen evenals de echtheid van de verzender te garanderen, geschiedt de identificatie en de authentificatie met het oog op toegang tot de website via Fedict. Met het oog daarop zal de beheerder voor de personen die hij als user opgaf bij de aanvrager, bij Fedict het nodige moeten doen om voor deze gebruikers een gebruikersnaam, een paswoord en een token aan te vragen. Wanneer Fedict de identificatie en authentificering heeft verricht, wordt een boodschap naar de aanvrager gestuurd. Die boodschap bevat de naam, de voornaam, het identificatienummer van het Rijksregister en de status van de authentificatie. Aan de hand van de naam, de voornaam en het identificatienummer van het Rijksregister, zal de aanvrager in zijn databank nakijken welke rechten de gebruiker allemaal heeft en voor wie deze gebruiker mag optreden. Pas wanneer dat positief uitvalt zal de betrokkene toegang krijgen tot de toepassing. Uit dit alles blijkt dat de aanvraag voor wat het gebruik van het identificatienummer betreft, in overeenstemming is met artikel 4, 1, 3, WVP. Ber. RR 06 / 2005-3 / 7

C.2. Ten opzichte van de gegevens Er wordt toegang gevraagd tot het informatiegegeven vermeld in artikel 3, eerste lid, 1, WRR, namelijk de naam en voornaam. Uit de uitleg verstrekt door aanvrager blijkt dat hij in het kader van de uitwerking van een systeem van elektronische mededeling met het oog op de toepassing van artikel 86 van de ziekenhuiswet, de naam en voornaam tezamen met het identificatienummer van het Rijksregister opslaat in zijn autorisatiegegevensbank. Hij zal echter niet in het Rijksregister te controleren of de naam en de voornaam wel bij het opgegeven identificatienummer van het Rijksregister horen. Daarvoor zorgt Fedict dat zoals uiteengezet onder punt C.1 zorgt voor de identificatie en authentificatie. Fedict zal de in het Rijksregister gecontroleerde naam en voornaam met het er bijhorend identificatienummer meedelen aan de aanvrager. Het is aan de hand van deze door Fedict meegedeelde gegevens dat de aanvrager de autorisatie van de betrokkene zal controleren in zijn autorisatiedatabank. De Commissie stelt vast dat, in het licht van de beoogde doeleinden, de toegang tot het informatiegegeven vermeld in artikel 3, eerste lid, 1, WRR overbodig is. De toegang is dus niet nodig om de doeleinden te verwezenlijken, hij is bijgevolg overdreven het licht van artikel 4, 1, 3, WVP en wordt dan ook geweigerd. C.3. Ten opzichte van de duur de waarvoor het gebruik gevraagd wordt Uit de mondeling toelichting verstrekt door de aanvrager blijkt dat hij ervan uitging dat de permanente machtiging waarvan hij in zijn aanvraag gewag maakt, eigenlijk synoniem staat voor een machtiging van onbepaalde duur. De aanvrager wenst dus voor onbepaalde duur gemachtigd te worden om het identificatienummer van het Rijksregister te gebruiken. De mededelingsplicht opgenomen in artikel 86 van de ziekenhuiswet is immers niet beperkt in de tijd. De Commissie stelt vast dat een machtiging voor onbepaalde duur noodzakelijk is voor de verwezenlijking van de doeleinden (art. 4, 1, 3 WVP). C.4. Ten opzichte van de bewaartermijn Het identificatienummer van het Rijksregister zal bewaard worden zolang als nodig om de gegevensstroom te garanderen tussen de aanvrager en instanties die in toepassing van artikel 86 van de ziekenhuiswet verplicht zijn om bepaalde mededelingen te doen. Van zodra er met betrekking tot een gebruiker een wijziging gebeurt, wordt de autorisatiegegevensbank van de aanvrager onmiddellijk aangepast. De Commissie besluit hieruit dat de gegevens van een persoon die niet langer als gebruiker kan optreden, onmiddellijk zullen vernietigd worden. Dit stemt overeen met de vereiste van artikel 4, 1, 5, WVP. C5. Intern gebruik en/ of mededeling aan derden Het identificatienummer van het Rijksregister zal uitsluitend intern gebruikt worden om elektronisch mededelingsverkeer in toepassing van artikel 86 van de ziekenhuiswet te organiseren (dus uitsluitend gebruik voor een ITC-toepassing). Het identificatienummer van het Rijksregister zal niet meegedeeld worden aan derden. De Commissie stelt vast dat in het licht van de doeleinden waarvoor de toegang wordt gevraagd, het vooropgestelde gebruik in het licht van art. 4, 1, 3 WVP aanvaardbaar is. Ber. RR 06 / 2005-4 / 7

C.6. Netwerkverbindingen Volgens de toelichting verstrekt door de aanvrager zullen er geen netwerkverbindingen tot stand komen op basis van het identificatienummer van het Rijksregister. De bevestigingsboodschap van Fedict bevat o.a. het identificatienummer van het Rijksregister. Deze informatie wordt getoetst aan informatie waarover de aanvrager beschikt met het oog op de effectieve autorisatie, dus effectieve toegang, tot de site. De databank van de aanvrager waarin de gegevens met betrekking tot de autorisatie zijn opgenomen is niet met een andere databank verbonden. D. BEVEILIGING D.1. Consulent inzake informatieveiligheid De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. De betrokkene is veiligheidsofficier bij de aanvrager. Hij maakt deel uit van de stafdienst Operaties van het Directoraat-generaal ICT van de aanvrager. Zijn opdracht als veiligheidsofficier bestaat erin: - de veiligheidsstrategie te bepalen en voor te stellen zodat de ontwikkeling van een homogeen veiligheidsbeleid wordt gewaarborgd, dat garant staat voor beschikbaarheid, betrouwbaarheid en fundamenteel respect voor de vertrouwelijkheid van de systemen en de verwerkte gegevens; - er richtlijnen en het actieplan uit afleiden: veiligheidsaspecten van de projecten voor ICT en/ of e-government voorstellen, plannen en opvolgen. De taken van een consulent inzake informatieveiligheid sluiten hier nauw bij aan. Er bestaat dus geen onverenigbaarheid tussen beide functies. D.2. Informatieveiligheidsplan Er wordt geen informatieveiligheidsplan in de strikte zin van het woord, opgesteld door de consulent inzake informatieveiligheid, voorgelegd. De aanvrager meldt dienaangaande het volgende: Binnen het ICT-departement van de FOD VVVL worden er maatregelen getroffen om dit type van informatie ontoegangkelijk te maken voor de niet gemachtigde of eventueel kwaadwillige gebruiker. Deze gegevens zijn toegankelijk voor personeelsleden van de equipe die zich met toegangsbeheer bezig houden voor operationele doeleinden of voor het oplossen van mogelijke problemen. De fysieke toegang tot de lokalen waar zich de servers bevonden die deze gegevens stockeren is beperkt tot die personen die de toegangscode en toelating bezitten. De toegang tot de servers op afstand (via netwerkverbindingenen dergelijke) wordt bewaakt door paswoorden en gebruikerspermissies. De Commissie stelt vast dat dit niet voldoende is. De Commissie staat erop dat de consulent inzake informatieveiligheid een informatieveiligheidsplan opstelt, waarin alle veiligheidsfacetten worden opgesomd en omschreven. Hierbij wordt de aandacht gevestigd op het feit dat informatieveiligheid niet beperkt is tot technische veiligheid op informaticavlak. Het omvat o.a. beveiligingseisen t.o.v. personeel, Ber. RR 06 / 2005-5 / 7

fysieke beveiliging van de omgeving, toegangsbeveiliging, ontwikkeling en onderhoud van systeem, continuïteitsmanagement, interne en externe controle, beheer van communicatie- en bedieningsprocessen Artikel 16, 4, WVP bepaalt dat om de veiligheid van de persoonsgegevens te waarborgen, de verantwoordelijke voor de verwerking de gepaste technische en organisatorische maatregelen treft die nodig zijn voor de bescherming van de persoonsgegevens. De Commissie vestigt in het bijzonder de aandacht op het feit dat de aanvrager erover moet waken om periodiek een risicoanalyse te verrichten van alle elementen van het systeem temeer daar er in casu gewerkt wordt met een webbased applicatie. D.3. Personen die toegang hebben tot de informatiegegevens en lijst van deze personen Alleen de personeelsleden van de equipe die zich met toegangsbeheer bezig houden voor operationele doeleinden of voor het oplossen van mogelijke problemen hebben toegang tot het identificatienummer van het Rijksregister en zullen het in die context eventueel gebruiken. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst die ter beschikking wordt gehouden van de Commissie, opstellen van de personen die het identificatienummer van het Rijksregister gebruiken. Deze lijst zal voortdurend geactualiseerd worden. De personen die op deze lijst worden opgenomen zullen daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens waartoe zij toegang krijgen, te bewaren. OM DEZE REDENEN, de Commissie 1 machtigt de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu om, met het oog op het langs elektronisch weg organiseren en uitbouwen van de door artikel 86 van de wet op de ziekenhuizen gecoördineerd op 7 augustus 1987 voorgeschreven mededelingen, het identificatienummer van het Rijksregister te gebruiken. Deze machtiging zal evenwel slechts uitwerking krijgen nadat: - de Commissie vanwege de aanvrager een schriftelijke, gedagtekende en ondertekende verklaring heeft ontvangen waarin hij zich er uitdrukkelijk toe verbindt de door de Commissie toegestuurde lijst met betrekking tot de minimale veiligheidsvereisten waarheidsgetrouw in te vullen en ondertekend terug te bezorgen aan de Commissie; - het informatieveiligheidsplan, bedoeld in punt D.2., aan de Commissie wordt meegedeeld. 2 weigert de toegang tot het informatiegegeven vermeld in artikel 3, eerste lid, 1, WRR. De administrateur, Voor de voorzitter, wettig verhinderd Jo BARET Willem DEBEUCKELAERE, ondervoorzitter Ber. RR 06 / 2005-6 / 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback