1/7 Sectoraal comité van het Rijksregister Beraadslaging RR nr 64/2011 van 14 december 2011 Betreft: Aanvraag van de FOD Mobiliteit en Vervoer om het identificatienummer van het Rijksregister te gebruiken voor het gebruikersbeheer van het systeem EMPIC (RN-MA-2011-209). Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van de FOD Mobiliteit en Vervoer ontvangen op 14/07/2011; Gelet op de bijkomende informatie ontvangen op 20 oktober 2011; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 29/11/2011; Gelet op het verslag van de Voorzitter; Beslist op 14 december 2011, na beraadslaging, als volgt:.
Beraadslaging RR 64 /2011-2/7 I. VOORWERP VAN DE AANVRAAG 1. De aanvraag strekt ertoe om de FOD Mobiliteit en Vervoer, hierna de aanvrager, te machtigen om het identificatienummer van het Rijksregister te gebruiken voor het gebruikersbeheer van het systeem EMPIC. II. ONDERZOEK VAN DE AANVRAAG 2. De aanvrager werd in het verleden reeds gemachtigd om het identificatienummer van het Rijksregister te gebruiken (beraadslagingen RR nr. 25/2005 en RR nr. 18/2010). 3. Het onderzoek van het Comité kan zich dan ook beperken tot het nagaan of: de doeleinden met het oog op dewelke thans het gebruik gevraagd wordt, welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn in de zin van artikel 4, 1, 2, WVP en artikel 5, tweede lid, WRR; het gebruik van het nummer proportioneel is in het licht van deze doeleinden (artikel 4, 1, 3, WVP). A. DOELEINDEN 4. De aanvrager ontwikkelt EMPIC, een informatica applicatie. EMPIC wordt gebruikt in het kader van de informatisering en digitalisering van de medische dossiers van piloten. Alleen de gemachtigde dokters zullen toegang hebben tot deze applicatie. EMPIC werkt met verschillende rollen met elk hun bevoegdheden. De gemachtigde dokters kunnen vanuit hun werkomgeving een elektronisch dossier openen en beheren. Alle dossiers worden centraal ge-encrypteerd en bewaard, opgevolgd en afgesloten indien nodig. De dokters worden, zowel als ze inloggen vanuit hun thuiskantoor, als van uit een medisch centrum, geïdentificeerd via de E-ID. Het identificatienummer van het Rijksregister wordt gebruikt om de persoon die toegang krijgt tot de applicatie voor gebruikersbeheer te herkennen. Voor het luik garantie op identiteit van personen werd geopteerd voor het gebruik van elektronische identiteitskaart. Ten einde de toegang tot EMPIC te kunnen beperken tot de gepaste externen dient de aanvrager bij gebruik van het E-ID het identificatienummer te kunnen bijhouden, evenals de naam en voornaam van de betrokkenen. 5. De terbeschikkingstelling van een platform dat automatische uitwisselingen en raadplegingen toelaat van gezondheidsgegevens impliceert een strikt beleid inzake beheer van de toegangen zodanig dat de personen die gemachtigd zijn om toegang te hebben bij iedere raadpleging worden geïdentificeerd, geauthenticeerd en gemachtigd; temeer daar de bedoelde gegevens gevoelige
Beraadslaging RR 64 /2011-3/7 gegevens zijn in de zin van artikel 7 van de WVP. In een eerste fase 1 zal de aanvrager werken met authenticatie met de E-ID via de FAS+oplossing van Fedict. In een tweede fase 2 voorziet de aanvrager de toegang tot de applicatie via het ehealth portaal. Het Comité benadrukt dat de aanvrager, voor deze toegang tot de applicatie via het ehealth portaal, een voorafgaandelijke machtiging moet bekomen van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid, afdeling gezondheid, en dit overeenkomstig artikel 11 van de wet van 21 augustus 2008 houdende oprichting en organisatie van het ehealth-platform. Het Comité benadrukt tevens dat in de hierboven vermelde eerste fase de controle op de geldigheid van de licentie van een bepaalde arts (bijvoorbeeld al dan niet geschorst), problematisch is. Deze controle dient namelijk te gebeuren via de authentieke bron, i.e. het ehealth portaal. Enkel en alleen indien voormelde controle via het ehealth-portaal gebeurt, kan de aanvrager gebruik maken van het identificatienummer van het Rijksregister voor het gebruikersbeheer van het systeem Empic. 6. Een adequaat beleid inzake beheer van de geautomatiseerde toegangen tot persoonsgegevens draagt bij tot de beveiliging van de verwerkingen van persoonsgegevens. Het laat de verantwoordelijke(n) voor de verwerking eveneens toe zijn (hun) verplichtingen na te komen in toepassing van artikel 16 van de WVP (organisatorische maatregelen uitvoeren van onderzoek ingeval van vaststelling van anomalieën) en te beantwoorden aan eventuele vragen om toegang vanwege de betrokkenen. 7. Het Comité erkent eveneens dat het gebruik van het rijksregisternummer van de beroepsbeoefenaars in de gezondheidszorg voor het doeleinde van beheer van de toegang die de beroepsbeoefenaars in de gezondheidszorg hebben tot de medische documenten, in overeenstemming is met artikel 4, 1, 3 van de WVP. De invoering van een werkinstrument waardoor de correct gemachtigde beroepsbeoefenaars in de gezondheidszorg de medische documenten van hun patiënten geautomatiseerd kunnen inkijken, impliceert inderdaad een beleid om de toegang tot deze documenten te beheren op zodanige wijze dat alleen de beroepsbeoefenaars in de gezondheidszorg die gemachtigd zijn om die documenten in te kijken bij elke raadpleging, worden onderworpen aan een identificatie, authenticatie en een toelating. 1 De afgevaardigde of verantwoordelijke dokter van de medische sectie BCAA (Belgian Civil Aviation Authority) selecteert de dokters die toegang krijgen tot het nieuwe systeem voor de hierboven vermelde onderzoeken.we spreken voor België over een groep van 30 tot 50 dokters. Deze afgevaardigde dokter is tevens de veiligheidsbeheerder die de toegangen beheert in het systeem (dokters kan toevoegen of verwijderen indien zij niet meer voldoen aan de eisen gesteld door de medische sectie van de BCAA). De dokters worden geïdentificeerd via hun EID. Het is van belang dat de applicatie een eenduidige ID ontvangt om al of niet toegang te verzekeren tot de applicatie in de juiste hoedanigheid..het ontvangen rijksregister nummer,naam en voornaam van de E-ID via de authenticatie procedure zal vergeleken worden met de gebruikerslijst voor dewelke de veiligheidsbeheerder de toegang heeft toegestaan tot de applicatie. In fase 1 is het de verantwoordelijkheid van de veiligheidsbeheerder om in geval van een geschorste of vervallen licentie van een van de gemachtigde dokters de toegang te ontzeggen tot de applicatie. 2 Op termijn zullen de dokters kunnen inloggen via het E-healt portaal. De authenticatie zal eveneens gebeuren via de E-ID. Bijkomend kan dan automatisch de geldigheid van de licentie van de dokter (die wenst in te loggen )gecontroleerd worden.
Beraadslaging RR 64 /2011-4/7 8. De elektronische identiteitskaart is een geschikt authenticatie-instrument. De aanvrager verduidelijkte dat hij geen andere verwerkingen zal verrichten op het rijksregisternummer van de betrokken personen dan die ene bewerking om gericht de identiteit te verifiëren van de beroepsbeoefenaar in de gezondheidszorg die toegang wil hebben tot EMPIC met behulp van de authenticatiemodule van de elektronische identiteitskaart. Het Comité neemt daarvan akte. 9. Het Comité stelt vast dat het nagestreefde doeleinde welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van artikel 4, 1, 2, WVP en artikel 5, tweede lid, WRR. B. PROPORTIONALITEIT B.1. Ten overstaan van het identificatienummer van het Rijksregister 10. De aanvrager meldt dat zijn applicatie via de E-ID zal toegankelijk zijn. De elektronische identificatie en authenticatie zullen op een beveiligde en zekere manier gebeuren omdat op basis daarvan vervolgens een toegang tot bepaalde diensten of acties wordt verleend. De aanvrager moet zeker zijn van de identiteit van de betrokkene omdat de elektronisch aangeboden diensten te maken hebben met gevoelige gegevens (gezondheidsgegevens). 11. Het Comité stelt vast dat de aanvraag voor wat het gebruik van het identificatienummer betreft, in overeenstemming is met artikel 4, 1, 3, WVP. B.2. De duur van de machtiging 12. Er wordt een machtiging voor onbepaalde duur gevraagd, daar de uitvoering en controle van de reglementering waarmee de aanvrager belast is, niet in de tijd beperkt zijn. 13. De Comité stelt vast dat de reglementaire opdracht waarmee de aanvrager is belast, niet in de tijd werd bepaald. In het licht hiervan is een machtiging van onbepaalde duur gepast (artikel 4, 1, 3, WVP). B.3. Ten overstaan van de bewaringstermijn 14. De veiligheidsbeheerder van de aanvrager plaatst het identificatienummer van het Rijksregister, de naam en voornaam van een dokter-gebruiker in een LDAP voor authenticatiedoeleinden. Het identificatienummer en de naam/voornaam wordt bijgehouden zolang deze personen gemachtigd
Beraadslaging RR 64 /2011-5/7 zijn om toegang te krijgen tot de EMPIC databank. Als een persoon hiertoe niet meer gemachtigd is, worden de rechten veranderd en wordt het profiel verwijderd. 15. In de mate dat dit nummer bewaard wordt in de loggings, met het oog op de traceerbaarheid van de verrichte raadplegingen of handelingen, ligt het voor de hand dat het identificatienummer in die context bewaard wordt zolang de loggings moeten worden bijgehouden. 16. De bewaringstermijn van onbepaalde duur is dus aanvaardbaar in het licht van artikel 4, 1, 5, WVP. B.4. Intern gebruik en/ of mededeling aan derden 17. Uit de aanvraag blijkt dat de aanvrager alleen het identificatienummer uit het Rijksregister ophaalt en het opslaat met het oog op zijn werkzaamheden (intern). 18. Het Comité neemt hiervan akte en vestigt de aandacht op wat hierna onder punt B.5. wordt vermeld met betrekking tot de mededeling van dit nummer aan derden. B.5. Netwerkverbindingen 19. Uit de aanvraag blijkt dat er geen netwerkverbinding zal tot stand komen. 20. Het Comité vestigt er volledigheidshalve de aandacht op dat : indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen; het identificatienummer van het Rijksregister slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens gemachtigd werden om dit nummer te gebruiken.
Beraadslaging RR 64 /2011-6/7 C. BEVEILIGING C.1. Consulent inzake informatieveiligheid 21. De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. De betrokkene werd reeds door het Comité aanvaard als veiligheidsconsulent in het kader van het dossier waarin de beraadslaging RR nr. 34/2006 werd uitgebracht. C.2. Informatieveiligheidsbeleid 22. Uit de door de aanvrager meegedeelde stukken blijkt dat hij over een informatieveiligheidsbeleid beschikt, evenals over een plan in toepassing ervan. 23. Het Comité heeft er akte van genomen, en benadrukt dat loggings dienen te worden bijgehouden teneinde te registreren wie, omwille van welke reden, op een bepaald tijdstip, een bepaald dossier heeft geraadpleegd op basis van het rijksregisternummer. C.3. Personen die het identificatienummer gebruiken en lijst van deze personen 24. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die het identificatienummer gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden. 25. De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren. OM DEZE REDENEN, het Comité 1 machtigt de FOD Mobiliteit en Vervoer, onder opschortende voorwaarde van het bekomen van een voorafgaandelijke machtiging van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid, afdeling gezondheid, overeenkomstig artikel 11 van de wet van 21 augustus 2008 houdende oprichting en organisatie van het ehealth-platform, om met het oog op het doeleinde vermeld in punt A en onder de voorwaarden uiteengezet in de beraadslaging, voor onbepaalde duur: het identificatienummer van het Rijksregister te gebruiken;
Beraadslaging RR 64 /2011-7/7 2 bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van de informatieveiligheid die een impact kan hebben op de antwoorden die met het veiligheidsformulier aan het Comité werden verstrekt (aanstelling van een consulent inzake informatieveiligheid en antwoorden op de vragen m.b.t. de organisatie van de veiligheid), de FOD Mobiliteit en Vervoer een nieuwe vragenlijst i.v.m. de stand van de informatieveiligheid naar waarheid moet invullen en aan het Comité moet bezorgen. Het Comité meldt de ontvangst ervan en behoudt het recht om daarop later eventueel te reageren; 3 bepaalt dat wanneer het aan de FOD Mobiliteit en Vervoer een vragenlijst met betrekking tot de informatieveiligheidstatus toestuurt, deze laatste deze lijst waarheidsgetrouw moet invullen en terugbezorgen aan het Comité. Het Comité zal de ontvangst bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren. Voor de Administrateur m.v., De Voorzitter, (get.) Patrick Van Wouwe (get.) Mireille Salmon