1/10 Sectoraal comité van het Rijksregister Beraadslaging RR nr 32/2015 van 20 mei 2015 Betreft: aanvraag van de Federale Overheidsdienst Personeel en Organisatie voor gebruik van het Rijksregisternummer in het kader van de registratie en authenticatie van de gebruikers van de federale e-procurement toepassingen (RN-MA-2015-109) Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van de Federale Overheidsdienst Personeel en Organisatie ontvangen op 18/03/2015; Gelet op de bijkomende inlichtingen ontvangen op 24/04/2015; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 07/04/2015; Gelet op het technisch en juridisch advies ontvangen op 19/05/2015;
Beraadslaging RR 32 /2015-2/10 Gelet op het verslag van de Voorzitter; Beslist op 20 mei 2015, na beraadslaging, als volgt: I. VOORGAANDEN 1. Bij beraadslaging RR nr. 31/2014 werd de Federale Overheidsdienst Personeel en Organisatie (hierna de aanvrager) gemachtigd voor onbepaalde duur het Rijksregisternummer te gebruiken in het kader van de registratie en authenticatie (via FAS) in de federale voor e-procurement toepassingen.... 2. Deze machtiging zou slechts uitwerking krijgen nadat het Comité vanwege de aanvrager een document zou ontvangen waarin laatstgenoemde er zich toe verbindt om voor het gebruikersen toegangsbeheer een BTB databank in te schakelen. 1 Het door de aanvrager voorgestelde gebruikers- en toegangsbeheer vertrouwde erop dat derden ( super users ) stipt bijhouden wie welke hoedanigheid heeft binnen een organisatie, terwijl het de aanvrager zelf is die de registratie van deze super users afhandelt en dit op basis van zelf uitgewerkte checklist zonder daarbij gebruik te maken van een (extern) rollenbeheersysteem via authentieke bronnen hoewel zulks wordt aanbevolen 2 door de Commissie voor de bescherming van de persoonlijke levenssfeer. 3. Daarenboven werd in de beraadslaging RR nr. 31/2014 bepaald dat de verleende machtiging hoe dan ook van rechtswege een einde zou nemen indien de aanvrager na afloop van een 1 Zie randnrs. 25 e.v. van beraadslaging RR nr. 31/2014: Het Comité stelde reeds herhaaldelijk dat in e-government toepassingen het gebruikers- en toegangsbeheer best als volgt wordt georganiseerd: de verantwoordelijkheid voor toegang tot e-government toepassingen moet per onderneming/organisatie finaal bij één enkele persoon rusten. Deze persoon kan door delegatie van bevoegdheid ervoor zorgen dat de juiste persoon binnen de onderneming/organisatie toegang krijgt tot welbepaalde e-government toepassingen. Een wijziging in personeel of een verschuiving van taken kan en moet dan ook door deze verantwoordelijke persoon opgevolgd worden. Externe toepassingen kunnen automatisch gevolgen koppelen aan doorgevoerde wijzigingen. Dit systeem is nota bene in gebruik in het domein van de sociale zekerheid, de vennootschapsbelastingen en in het e- healthplatform. Voormelde domeinen doen beroep op een databank waarin voor elke deelnemende onderneming/organisatie het Beheer Toegang Beheerders (BTB) geregistreerd wordt. Hiertoe wordt in de KBO eerst nagegaan wie als wettelijke vertegenwoordiger van een onderneming mag optreden, het is deze persoon die een verantwoordelijke aanduidt voor het BTB. Binnen deze BTB kunnen volgens bepaalde regels taken en bevoegdheden worden toegewezen aan personen naargelang de behoeften binnen de organisatie. Het Comité is van oordeel dat deze BTB databank beantwoordt aan de functionele definitie van een authentieke bron. De beheerder van de BTB databank valideert dit gegeven en biedt specifieke garanties ten aanzien van juistheid, de volledigheid en de beschikbaarheid van dit gegeven. Het gegeven BTB wordt éénmalig geregistreerd en is vervolgens bruikbaar voor verschillende overheden. 2 Zie Aanbeveling nr. 01/2008 van 24 september 2008 met betrekking tot het gebruikers- en toegangsbeheer in de overheidssector
Beraadslaging RR 32 /2015-3/10 termijn van 6 maanden na datum van voormelde beraadslaging (t.t.z. tegen 9 oktober 2014) de BTB niet daadwerkelijk had ingeschakeld. 4. De aanvrager bracht het Comité op 7 oktober 2014 op het hoogte van het feit dat hij de inschakeling van de BTB-databank niet rond kreeg en bijgevolg de organisatie van zijn gebruikers- en toegangsbeheer had gewijzigd, waardoor zij geen gebruik meer maakte van het Rijksregisternummer, maar van de FedID (een gecodeerd Rijksregisternummer) 3, waardoor hij van oordeel was niet meer te moeten gemachtigd worden. 5. Het Comité oordeelde echter tijdens de bespreking van voormeld schrijven van de aanvrager op haar zitting van 8 oktober 2014 dat het gebruik van het Rijksregisternummer end to end moet worden gemachtigd, waardoor de aanvrager, die enkel een door FEDICT ten hare behoeve gecodeerd Rijksregisternummer gebruikt, toch moet worden gemachtigd voor het gebruik van het identificatienummer. 6. Conclusie: de beraadslaging RR nr. 31/2014 kreeg nooit effectief uitwerking en nam op 9 oktober 2014 van rechtswege een einde. II. ACTUELE AANVRAAG 7. Vijf maanden nadat de beraadslaging RR nr. 31/2015 een einde nam, diende de aanvrager op 18/03/2015 een nieuwe machtigingsaanvraag in. Volledigheidshalve vestigt het Comité er de aandacht op dat in de mate dat de aanvrager ondertussen het FedID gebruikte, dit gebeurde zonder dat hij daartoe behoorlijk gemachtigd was. Dit eventuele gebruik wordt door onderhavige beraadslaging geenszins (retroactief) gedekt. 8. In wezen is onderhavige aanvraag dezelfde als degene die leidde tot beraadslaging RR nr. 31/2014, behoudens dat geen toegang meer wordt gevraagd tot het gegeven naam en voornamen. Gelet op het feit dat de grond van de zaak niet wijzigde, kan het Comité voor wat betreft de ontvankelijkheidstoets, het doeleinde, de proportionaliteitstoets en de informatiebeveiliging, verwijzen naar de beschouwingen dienaangaande in de beraadslaging RR nr. 31/3014. 3 De FedID is een op zichzelf genomen betekenisloos nummer dat gegenereerd wordt op basis van het Rijksregisternummer en de parameter ( gebruik voor zichzelf of gebruik in naam van ) aan de hand van een versleutelingsalgoritme en waaruit op geen enkele manier bepaalde eigenschappen van het Rijksregisternummer kunnen worden afgeleid. Elke natuurlijke persoon krijgt dus 2 FedID nummers.
Beraadslaging RR 32 /2015-4/10 II. ONDERZOEK VAN DE AANVRAAG 2. De aanvrager werd reeds gemachtigd om toegang te hebben tot een aantal gegevens van het Rijksregister en het identificatienummer te gebruiken. 4 3. Bijgevolg kan het onderzoek van het Comité zich hier beperken tot het nagaan of: 4. ( ) het nieuwe doeleinde waarvoor gebruik van het nummer gevraagd wordt ( ), welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van artikel 4, 1, 2, WVP; het gebruik van het nummer ( ) proportioneel is in het licht van het doeleinde (artikel 4, 1, 3, WVP). A. DOELEINDE 5. De aanvraag heeft tot doel de aanvrager te machtigen om het identificatienummer van het Rijksregister te gebruiken van haar klanten/gebruikers (zijnde entiteiten-aanbestedende overheden 5 onderworpen aan de wetgeving overheidsopdrachten bedoeld in art. 2 van de wet overheidsopdrachten en bepaalde opdrachten voor werken, leveringen en diensten van 15 juni 2006) in het kader van hun registratie en authenticatie (via het FAS) in federale e-procurement toepassingen. 6. Het doel van e-procurement is het elektronisch laten verlopen van alle processen en transacties in verband met overheidsopdrachten, en dit via het internet. 6 Aangezien de gebruiker van de e- Procurement toepassingen officiële handelingen kunnen stellen, zoals het publiceren van een overheidsopdracht of het openen van offertes, is het noodzakelijk dat de registratie en authenticatie van deze gebruikers aan hoge veiligheidsvereisten voldoen. 7. De Ministerraad van 28 oktober 2004 heeft de aanvrager belast met het uitvoeren van het e- Procurement project. Deze beslissing heeft o.a. geresulteerd in een officieel bericht in het Belgisch 4 KB van 29 januari 1991 waarbij aan bepaalde personeelsleden van het Ministerie va Binnenlandse Zaken en Openbaar Ambt toegang tot het Rijksregister van de natuurlijke personen en machtiging tot het gebruik van het identificatiemiddel van dat register worden verleend (zie ook KB van 11 mei 2001 houdende oprichting van de Federale Overheidsdienst Personeel en Organisatie en Advies nr. 14/2004 van 25 november 2004 van de Commissie; Beraadslaging RR nr. 34/2006 van 20 december 2006 en Beraadslaging van RR nr. 83/2012 van 17 oktober 2012. 5 Het betreft aanbestedende overheden van alle bestuursniveau s zoals federaal, regionaal, provinciaal, lokaal, vzw s, ziekenhuizen,. 6 De strategische doelstellingen van de invoering van deze instrumenten zijn: een grotere doeltreffendheid en efficiëntie van de aankoopprocedures; administratieve vereenvoudiging en transparantie van de procedures voor overheidsopdrachten; een betere mededinging en de verdere ontwikkeling van de actoren bij overheidsopdrachten (zie http://www.publicprocurement.be/portal/page/portal/pubproc/beep%20algemeen/eprocurement/).
Beraadslaging RR 32 /2015-5/10 Staatsblad van 6 september 2010 waarin het Bulletin der Aanbestedingen van de FOD Justitie naar de aanvrager wordt overgedragen en in aanpassingen in de reglementering overheidsopdrachten, meer bepaald in het koninklijk besluit van 15 juli 2011 betreffende de plaatsing van overheidsopdrachten in de klassieke sectoren, waar in artikel 31 duidelijk wordt aangegeven dat de aanvrager de aankondiging in het Bulletin der Aanbestedingen bevestigt. Ook de omzendbrief P&O/2012/e-Proc. van 30 november 2012 Overheidsopdrachten Gebruik van e-procurement toepassingen door de diensten van de federale Staat verplicht de diensten van de federale Staat de e-procurement toepassingen te gebruiken. Zo heeft de aanvrager de opdracht om de ondernemingen te sensibiliseren en aan te moedigen om hun aanvragen tot deelneming en offertes ook daadwerkelijk met elektronische middelen in te dienen. 8. Het betreft dus een welbepaald en uitdrukkelijk omschreven doeleinde in de zin van artikel 4, 1, 2, WVP. De verwerking van persoonsgegevens met het oog op de realisatie van het doeleinde, is gestoeld op artikel 5, eerste lid, e), WVP. Het betreft bijgevolg ook een gerechtvaardigd doeleinde. B. PROPORTIONALITEIT B.1. Ten overstaan van het identificatienummer van het Rijksregister 9. Aangezien de gebruikers van de e-procurement toepassingen (die handelen voor een aanbestedende overheid) officiële handelingen kunnen stellen, zoals het publiceren van een overheidsopdracht of het openen van offertes, is het noodzakelijk dat gebruikers correct geïdentificeerd worden. Dit betekent dat misverstanden die kunnen ontstaan n.a.v. homonymie en foutieve schrijfwijzen uitgesloten moeten worden teneinde de verdere stappen van authenticatie en autorisatie niet te hypothekeren. 10. Aan de hand van het unieke identificatienummer van het Rijksregister kan een persoon precies geïdentificeerd worden. De gebruikers melden zich aan via hun eid en toegangsrechten worden gekoppeld aan het identificatienummer van de betrokkene. 11. ( ) 12. Het door de aanvrager gewenste gebruik van het identificatienummer is, in het licht van het opgegeven doeleinde, in overeenstemming met artikel 4, 1, 3, WVP.
Beraadslaging RR 32 /2015-6/10 B.2. Ten opzichte van de duur van de machtiging 13. De aanvrager wenst een machtiging voor onbepaalde duur. Het Comité stelt vast dat de diverse reglementaire bepalingen die de aanvrager met de realisatie van voormeld doeleinde belasten, niet in de tijd beperkt zijn. In het licht daarvan is een machtiging van onbepaalde duur gepast (artikel 4, 1, 3, WVP). B.3. Ten opzichte van de bewaringstermijn 14. De aanvrager stelt geen concrete termijn vast gedurende dewelke het identificatienummer bijgehouden wordt, maar geeft aan het nummer te zullen bewaren zolang als nodig. De duur van de bewaringstermijn is dus gekoppeld aan de periode van activiteit van een bepaalde gebruiker en anderzijds aan de geldende bewaringstermijnen. 15. Rekening houdend met het voorgaande stelt het Comité vast dat het inderdaad moeilijk is om een concrete bewaringstermijn voorop te stellen. Op voorwaarde dat de aanvrager de accounts en dossiers die niet langer actief zijn, archiveert of vernietigt overeenkomstig de Archiefwet van 24 juni 1955, handelt hij in overeenstemming met artikel 4, 1, 5, WVP. 16. In de mate dat het Rijksregisternummer bewaard wordt in de loggings, met het oog op de traceerbaarheid van de verrichte raadplegingen of handelingen, ligt het voor de hand dat het identificatienummer in die context bewaard wordt zolang de loggings moeten worden bijgehouden. B.4. Intern gebruik en/of mededeling aan derden 17. Uit de aanvraag blijkt dat de aanvrager het identificatienummer van het Rijksregister enkel gebruikt met het oog op zijn interne werkzaamheden. 18. Het Comité neemt hiervan akte en vestigt de aandacht op wat hierna wordt vermeld m.b.t. netwerkverbindingen. B.5. Netwerkverbindingen 19. De aanvrager wenst voor haar gebruikers- en toegangsbeheersysteem gebruik te maken van de Federal Authentication Service (FAS) van FEDICT. Bij een succesvolle authenticatie geeft de FAS de naam, de voornaam, het Rijksregisternummer (en in casu nu ook de FedID) automatisch door
Beraadslaging RR 32 /2015-7/10 aan de aanvrager. (Aangezien ook FEDICT gemachtigd is om het Rijksregisternummer in dit kader te gebruiken 7, stelt dit geen probleem.) 20. ( ) 21. Vanuit een bekommernis van volledigheid benadrukt het Comité dat: indien er (later andere) netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen; het identificatienummer van het Rijksregister in ieder geval slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke deze laatsten eveneens gemachtigd werden om dit nummer te gebruiken. 22. 29. ( ) D. BEVEILIGING D.1. Consulent inzake informatiebeveiliging 30. De identiteit van de consulent inzake informatiebeveiliging werd meegedeeld en kan in die functie worden aanvaard. D.2. Informatiebeveiligingsbeleid 31. Uit de door de aanvrager meegedeelde stukken blijkt dat hij over een informatiebeveiligingsbeleid beschikt evenals over een plan in toepassing ervan. Het Comité heeft er akte van genomen. 32. Het Comité benadrukt dat loggings dienen te worden bijgehouden teneinde te registreren wie, omwille van welke reden, op een bepaald tijdstip, een bepaald dossier heeft geraadpleegd op basis van het Rijksregisternummer. 7 Zie beraadslaging RR nr. 26/2005 van 6 juli 2005 betreffende de aanvraag van de Federale Overheidsdienst Informatie- en Communicatietechnologie (FEDICT) om gemachtigd te worden toegang te hebben tot de informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken voor gebruikersbeheer en communicatie met burgers en medewerkers.
Beraadslaging RR 32 /2015-8/10 D.3. Personen die ( ) het identificatienummer van het Rijksregister mogen gebruiken en lijst van deze personen 33. Uit de aanvraag blijkt dat de medewerkers van de help desk en de super users (enkel voor de aanbestedende overheden waarvoor zij verantwoordelijk zijn), toegang zullen hebben tot het identificatienummer met het oog op de uitvoering van hun taken. 34. Zoals artikel 12 van de WRR het vereist, moet de aanvrager een lijst opstellen van de personen die het identificatienummer van het Rijksregister gebruiken. Die lijst moet voortdurend worden bijgewerkt en ter beschikking worden gehouden van het Comité. 35. Bovendien moeten die personen een document ondertekenen waarin zij verklaren de beveiliging en de vertrouwelijkheid van de gegevens waartoe zij toegang krijgen, te bewaren. III. ACTUELE STAND VAN ZAKEN BETREFFENDE DE ORGANISATIE VAN HET GEBRUIKERS EN TOEGANGSBEHEER 9. Onderhavige aanvraag vermeldt dat de aanvrager het laatste kwartaal van 2014 is gestart met de integratie van de BTB-databank voor het gebruikers- en toegangsbeheer voor de federale e-procurement toepassingen, waarbij contractueel zou zijn voorzien deze aanpassingen tegen uiterlijk 30 mei 2015 in productie te plaatsen. 10. Tussen 1 juni 2015 en 31 december 2015 wordt vervolgens een overgangsperiode voorzien. In deze periode zullen organisaties/ondernemingen die nog geen toegangsbeheerder hebben aangeduid toch kunnen aanmelden op het e-procurement platform. De aanvrager voorziet voor deze periode een intense opvolging van het registratieproces, gecombineerd met een communicatiecampagne naar haar gebruikers. 8 11. Op 1 januari 2016 zal elke organisatie/onderneming over een toegangsbeheerder in het domein Overheidsopdrachten moeten beschikken die aldus geregistreerd is in de BTBdatabank. 12. Het Comité neemt akte van de concrete stappen en inspanningen die de aanvrager levert met het oog op de integratie van de BTB-databank, dat een van de diensten is van CSAM (Common 8 De aanvrager vermeldt dat deze overgangsperiode absoluut noodzakelijk is om de continuïteit van de dienstverlening te kunnen garanderen. Immers, nog niet alle gebruikers zijn reeds geregistreerd in de BTB-databank.
Beraadslaging RR 32 /2015-9/10 Secure Access Management) 9, waarvan de aanvrager de finalisering garandeert tegen 1 januari 2016. 10 13. Gelet op voormeld duidelijk engagement en met het oog op de continuïteit van de dienst, stemt het Comité in om de aanvrager tijdens de overgangsperiode waarin de integratie van de BTB-databank zal worden gefinaliseerd, tijdelijk te machtigen voor het gebruik van het Rijksregisternummer (en de daarvan afgeleide FedID), meer bepaald tot 31 december 2015. De aanvrager zal vóór deze datum het Comité inlichten betreffende de effectieve integratie van de BTB-databank, vergezeld van een bevestiging terzake van de verantwoordelijke van CSAM. Op basis daarvan zal het Comité zich alsdan uitspreken over een eventuele verlenging van onderhavige machtiging. DEZE REDENEN het Comité 1 machtigt de Federale Overheidsdienst Personeel en Organisatie om voor het doeleinde vermeld in punt A en onder de voorwaarden bepaald in deze beraadslaging om tot 31 december 2015 het Rijksregisternummer te gebruiken; Het Comité zal zich over een eventuele verlenging uitspreken op basis van uiterlijk vóór 1 december 2015 door de Federale Overheidsdienst Personeel en Organisatie te verstrekken inlichtingen betreffende de effectieve integratie van de BTB van CSAM voor diens gebruikers- en toegangsbeheer, zoals beschreven onder randnrs. 12 en 13 van deze beraadslaging; 2 bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van de informatiebeveiliging die een impact kan hebben op de antwoorden die aan het Comité werden verstrekt (evaluatievragenlijst voor de kandidaat-veiligheidsconsulent en conformiteitsverklaring inzake het informatiebeveiligingssysteem), de Federale Overheidsdienst Personeel en Organisatie een nieuwe vragenlijst i.v.m. de stand van de informatiebeveiliging naar waarheid moet invullen en aan het Comité moet bezorgen. Het Comité meldt de ontvangst ervan en behoudt het recht om daarop later eventueel te reageren; 9 Dit betreft een gemeenschappelijk initiatief van FEDICT, RSZ, FOD Financiën, Kruispunt van de Sociale Zekerheid en de FOD Economie dat ertoe strekt het beheer van de identiteiten en de toegangen binnen het e-governement te organiseren. Onder de leden van het Strategisch Comité van gebruikers van CSAM zetelen de Gewesten, FAVV,. Zie voor dit onderwerp: https://www.csam.be/. 10 Op 30 april oordeelde de Commissie voor de bescherming van de persoonlijke levenssfeer dat het BTB-systeem dat integraal deel uitmaakt van CSAM van FEDICT door de openbare diensten in hun gebruikers- en toegangsbeheer geïntegreerd dient te worden.
Beraadslaging RR 32 /2015-10/10 3 bepaalt dat wanneer het Comité de Federale Overheidsdienst Personeel en Organisatie een vragenlijst betreffende de informatiebeveiliging stuurt, deze laatste die vragenlijst waarheidsgetrouw moet invullen en terugsturen aan het Comité. Dit laatste zal de ontvangst bevestigen en hierop reageren indien hiertoe aanleiding bestaat. Voor de Wnd. Administrateur, afw. De Voorzitter, (get.) An Machtens Wnd. Afdelingshoofd ORM (get.) Mireille Salmon