1/12 Sectoraal comité van het Rijksregister Beraadslaging RR nr 25/2010 van 14 juli 2010 Betreft: aanvraag van GO! Onderwijs van de Vlaamse Gemeenschap om toegang te bekomen tot informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken met het oog op toegangs- en gebruikersbeheer (RN/MA/2009/305) Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van het GO! Onderwijs van de Vlaamse Gemeenschap ontvangen op 02/12/2009; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 08/06/2010; Gelet op het verslag van de Voorzitter;
Beraadslaging RR 25 /2010-2/12 Beslist op 14 juli 2010, na beraadslaging, als volgt: I. VOORWERP VAN DE AANVRAAG De aanvraag strekt ertoe om het GO! Onderwijs van de Vlaamse Gemeenschap, hierna de aanvrager genoemd, te machtigen om:. toegang te verkrijgen tot de informatiegegevens vermeld in artikel 3, eerste lid, 1 WRR, het identificatienummer van het Rijksregister te gebruiken, met het oog op een toegangs- en gebruikersbeheer van op afstand raadpleegbare gegevensbanken en diensten van de aanvrager. II. ONDERZOEK VAN DE AANVRAAG A. TOEPASSELIJKE WETGEVING A.1. Wet van 8 augustus 1983 (WRR) Overeenkomstig de artikelen 5, eerste lid, 2, en 8 WRR wordt machtiging om toegang te verkrijgen tot de informatiegegevens bedoeld in artikel 3, eerste lid, 1 WRR en om het identificatienummer van het Rijksregister te gebruiken, verleend door het Comité aan de openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité. De aanvrager is een openbare instelling met rechtspersoonlijkheid, opgericht krachtens artikel 3 van het bijzonder decreet van 14 juli 1998 betreffende het gemeenschapsonderwijs (hierna: bijzonder decreet). Hij heeft als bevoegdheid de inrichting van neutraal onderwijs overeenkomstig artikel 24, 1, van de Grondwet en vervult bijgevolg een taak van algemeen belang. Blijkens artikel 5, 1 van het bijzonder decreet heeft aanvrager drie verschillende bestuursniveaus: 1 het lokale niveau (scholen), 2 het meso-niveau (scholengroepen) en 3 het centrale niveau. Op elk bestuursniveau bestaan er bestuursorganen die o.a. over de volgende, bij het bijzonder decreet toegewezen bevoegdheden beschikken:
Beraadslaging RR 25 /2010-3/12 1 Het bestuur van scholen is o.a. bevoegd voor de algemene en pedagogische organisatie van de school, organisatie van extra muros- en parascolaire activiteiten, uitvoering van vernieuwingsprojecten; 2 Het bestuur van scholengroepen is o.a. bevoegd voor de organisatie van de werking van de centra voor leerlingenbegeleiding, de organisatie van het beleid inzake de contractuele personeelsleden, beheer van de loopbaan van personeelsleden, het maken van afspraken inzake de werving van personeelsleden, coördinatie van functiebeschrijvingen; 3 De Raad van het Gemeenschapsonderwijs is o.a. bevoegd voor interne kwaliteitszorg van het gemeenschapsonderwijs, ondersteuning van de andere bestuursniveaus, organisatie van de pedagogische begeleiding en nascholing; Artikel 5, 5, van het bijzonder decreet bepaalt dat de raden van bestuur van de scholengroepen en de Raad van het Gemeenschapsonderwijs, die een bestuursorgaan op het centrale niveau is, elk de juridische aansprakelijkheid dragen voor de hen in het bijzonder decreet verleende bevoegdheden. Aangezien de machtiging niet alleen wordt gevraagd ten behoeve van het centrale niveau, maar ook ten behoeve van de scholen en de scholengroepen van het gemeenschapsonderwijs, moet nagegaan worden over welke rechtspersoonlijkheid de scholen en de scholengroepen beschikken. Het Comité stelt vast dat de scholen noch de scholengroepen over een afzonderlijke, van aanvrager afgescheiden rechtspersoonlijkheid beschikken. De Raad van State stelt in het arrest nr. 144.324 dat de drie bestuursniveaus van de aanvrager, waaronder ook de scholengroepen, geen afzonderlijke, autonome organen in de zin van artikel 24, 2, van de Grondwet zijn en dat de bestuursorganen op de verschillende bestuursniveaus moeten beschouwd worden als bestuursorganen van aanvrager, niet als autonome organen; de scholen en scholengroepen van aanvrager hebben bijgevolg geen van de aanvrager gescheiden rechtspersoonlijkheid. 1 Het Comité stelt ook vast dat, wat betreft het lokale niveau van de scholen, de schooldirecties reeds uitdrukkelijk gemachtigd werden bij artikel 4 van het koninklijk besluit van 5 september 1994 2 om het identificatienummer te gebruiken voor het vervullen van bepaalde taken (o.a. controle op inschrijvingen en op geregeld schoolbezoek). 1 Raad van State, Afdeling Administratie, arrest nr. 144.324 van 12 mei 2005 in de zaak A.131.109/XII-3729 (Johan Brackeva v. het Gemeenschapsonderwijs, vertegenwoordigd door de Scholengroep 23 Meetjesland) 2 Koninklijk besluit tot regeling van de toegang tot de informatiegegevens en van het gebruik van het identificatienummer van het Rijksregister van de natuurlijke personen in hoofde van de afdeling Begroting en Gegevensbeheer en de Administraties Basisonderwijs, Secundair Onderwijs, Hoger Onderwijs en Wetenschappelijk Onderzoek en Permanente vorming van het departement Onderwijs van het Ministerie van de Vlaamse Gemeenschap en tot gebruik van het identificatienummer van het Rijksregister van de natuurlijke personen in hoofde van de schooldirecties, B.S. 14 september 1994, gewijzigd door het koninklijk besluit van 7 juli 2002, B.S. 17 september 2002.
Beraadslaging RR 25 /2010-4/12 Bijgevolg kom aanvrager als openbare instelling van Belgisch recht en in de mate dat de verwerking kadert binnen de bevoegdheden toegekend in het bijzonder decreet, overeenkomstig de artikelen 5, eerste lid, 2, en 8 WRR in aanmerking om gemachtigd te worden toegang te bekomen tot de informatiegegevens van het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken. A.2. Wet van 8 december 1992 (WVP) De informatiegegevens van het Rijksregister en het identificatienummer ervan vormen persoonsgegevens, waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De persoonsgegevens dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verwerkt (artikel 4 WVP). B. DOELEINDEN Aanvrager wenst een centraal platform te ontwikkelen waarop verschillende applicaties en gegevens beschikbaar zijn voor personeelsleden, leden van adviesorganen, sollicitanten, leerlingen en ouders en/of voogden van leerlingen. Hij wenst de identificatie, authenticatie en autorisatie van de gebruikers van dit platform beter te organiseren en te uniformiseren. Hiertoe zullen de gebruikers via een centraal toegangsysteem geïdentificeerd worden en in categorieën ingedeeld worden, zodat een gebruiker enkel toegang zal hebben tot de applicaties en gegevens op basis van zijn categorie (personeel, ouder, schooldirectie, ). Personeelsleden op het centrale niveau zullen bijv. toegang hebben tot andere applicaties en andere gegevens dan het technisch personeel van scholen. Hiertoe is een uniforme, efficiënte en zo veilig mogelijke identificatie, authenticatie en identificatie van de talrijke, verschillende gebruikers nodig.
Beraadslaging RR 25 /2010-5/12 Het toegang- en gebruikersbeheer waarvoor de aanvrager machtiging wenst te bekomen, omvat dus verschillende stadia, te weten: 1 identificatie: de vaststelling van de unieke identiteit van een gebruiker aan de hand van een uniek nummer (bijv. identificatienummer van het Rijksregister) of een reeks attributen die, althans samengenomen, toelaten een unieke gebruiker te onderscheiden van de andere gebruikers (bijv. combinatie van naam, voornaam, geboortedatum en - plaats, fysiek adres); 2 authenticatie: het proces van verificatie waarbij wordt nagegaan of de identiteit die een gebruiker beweert te hebben, hem wel degelijk toebehoort (bijv. de identiteit die een gebruiker beweert te hebben, wordt gecontroleerd aan de hand van een paswoord); 3 autorisatie: het verlenen van toelating aan een geauthenticeerde gebruiker om toegang te krijgen tot bepaalde informatie/gegevens, om bepaalde verwerkingen te verrichten of om bepaalde diensten te gebruiken; De identificatie en authenticatie van de gebruikers van het centraal toegangsysteem moet gebeuren op een beveiligde manier: de aanvrager moet zo zeker mogelijk zijn van de identiteit van de gebruikers en de toegang tot de verschillende (online) beschikbare applicaties en gegevens moet beperkt worden tot die personen die daartoe bevoegd zijn; de (online) beschikbare applicaties en gegevens kunnen bovendien vertrouwelijke informatie van de aanvrager en persoonsgegevens van derden bevatten. De eid en/of het federaal token zal de functie van instrument voor identificatie en authenticatie vervullen. Ook de autorisaties die verleend worden aan de verschillende gebruikers, moeten efficiënt en zo veilig mogelijk beheerd worden, omdat de autorisaties o.a. kunnen leiden tot toegang tot interne en confidentiële informatie en tot persoonsgegevens van derden. Om de identificatie, authenticatie en autorisatie van de gebruikers efficiënt en zo veilig mogelijk te verlenen, moet aanvrager dan ook gebruikersgegevens - zoals het identificatienummer van het Rijksregister, de naam en voornaam van de gebruiker - kunnen verzamelen en bewaren. Het Comité gaat er bij deze aanvraag vanuit dat de identificatie/authenticatie zal gebeuren aan de hand van de eid of het federaal token en dat de aanvraag strekt tot machtiging tot gebruik van het identificatienummer met als doel de achterliggende rollen (de verschillende autorisaties) en relaties (bijv. tussen leerlingen en ouders) te kunnen definiëren.
Beraadslaging RR 25 /2010-6/12 Het Comité stelt vast dat het nagestreefde doeleinde welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van artikel 4, 1, 2, WVP en artikel 5, tweede lid, WRR. C. PROPORTIONALITEIT C.1. Ten overstaan van de toegang tot informatiegegevens De aanvrager wenst toegang tot de informatiegegevens vermeld in artikel 3, eerste lid, 1, WRR, namelijk: - de naam en voornamen; De identificatie en de authenticatie, in het kader van het toegangs- en gebruikersbeheer waarvoor de aanvraag wordt ingediend, zou worden opgebouwd in twee fasen. In een overgangsfase zal een login met gebruikersnaam en paswoord worden gewerkt; in een tweede fase zal worden gewerkt via een eid en/of federaal token om toegang tot het systeem te verlenen. Wat betreft de aanmelding via gebruikersnaam en paswoord, herhaalt het Comité dat een goede registratie van de identiteit, de relevante kenmerken en de relevante mandaten cruciaal is bij de uitbouw van toegangs- en gebruikersbeheer. 3 Dit houdt in dat de identiteit gecontroleerd moet worden aan de hand van authentieke documenten/bronnen, waar dit mogelijk is. Het Comité staat in dat geval de uitbouw voor van een gebruikers- en toegangsbeheersysteem dat gebaseerd is op de eid en/of het federaal token: de elektronische authenticatie van de identiteit gebeurt aan de hand van een wettelijk beschermd en officieel document en de kennis van een paswoord moet aangevuld worden met het bezit van een document. 4 Aangezien het risico op ongeoorloofde toegang tot (gevoelige) gegevens groter is bij de aanmelding via gebruikersnaam en paswoord zonder het bezit van een token (bv. familielid verschaft zich via login en paswoord toegang tot de account van een leerling, leerlingen proberen in te loggen via de login en paswoord bekomen van andere leerlingen enz.) en aangezien aanvrager te kennen heeft gegeven een aanmelding via eid en/of het federaal token te voorzien, is het Comité van oordeel dat de aanmeldingsprocedure die is gebaseerd op deze machtigingsaanvraag reeds vanaf de inzet dient te gebeuren via het systeem van aanmelding via de eid en/of via het federaal token, die momenteel voor iedereen beschikbaar zijn. 3 Aanbeveling nr. 01/2008 van 24 september 2008 met betrekking tot het toegangs- en gebruikersbeheer in de overheidssector (SE/2008/028). 4 Ibid.
Beraadslaging RR 25 /2010-7/12 Wat betreft het systeem van aanmelding via de eid en/of via het federaal token, zal de aanvrager, nadat de identificatie en authenticatie is afgerond, een boodschap ontvangen houdende de naam, de voornaam en het identificatienummer van de betrokken persoon. De naam en voornaam kunnen dus bekomen worden via de eid en/of het federaal token, zonder dat daarvoor toegang tot dezelfde informatiegegevens in het Rijksregister nodig is. Het Comité is, in het licht hiervan, van oordeel dat een toegang van de aanvrager tot de gegevens vermeld in artikel 3, eerste lid, 1, WRR, geen enkele meerwaarde verschaft en derhalve niet in overeenstemming is met artikel 4 1, 3 WVP. C.2. Ten overstaan van het gebruik van het identificatienummer De aanvrager wenst bij het inloggen gebruik te maken van de EID en/of het federaal token om de gebruiker te identificeren en te authenticeren. Onder de voorwaarde dat de eid en/of het federaal token gebruikt wordt bij het inloggen, stelt het Comité vast dat het gebruik van het identificatienummer, met het oog op het doeleinde vermeld in punt B, in overeenstemming is met artikel 4, 1, 3, WVP. C.3. Ten opzichte van de frequentie en de duur waarvoor de toegang en het gebruik gevraagd worden C.3.1. Er wordt een permanente toegang gevraagd. Gezien het Comité geen toegang verleent tot de gegevens vermeld in artikel 3, eerste lid, 1, WRR, is deze vraag zonder voorwerp. C.3.2. Er wordt een machtiging voor onbepaalde duur gevraagd. Het Comité stelt vast dat de bevoegdheden van aanvrager, verleend in het bijzonder decreet, niet in de tijd zijn beperkt. In het licht hiervan is een machtiging van onbepaalde duur voor het gebruik van het identificatienummer gepast (artikel 4, 1, 3, WVP).
Beraadslaging RR 25 /2010-8/12 C.4. Ten overstaan van de bewaringstermijn C.4.1. De gebruikers van het centraal platform zijn enerzijds personeelsleden (op centraal niveau en op dat van de scholengroepen en scholen) en anderzijds externe gebruikers. De externe gebruikers zijn personen die zichzelf registreren en die door de aanvrager in vier categorieën ingedeeld worden: - leden van advies- of bestuursorganen die geen personeelslid zijn - sollicitanten - leerlingen - ouders en/of voogden van leerlingen C.4.2. Aanvrager stelt dat het identificatienummer van personeelsleden wordt bewaard zolang zij in dienst zijn. Vanaf het moment dat een persoon uit dienst gaat, worden de rechten veranderd en moet het identificatienummer van de betrokkene worden verwijderd. Hoewel niet expliciet gesteld door de aanvrager, gaat het Comité ervan uit dat het identificatienummer van leden van adviesof bestuursorganen die geen personeelslid zijn, ook wordt bijgehouden zolang zij ook lid zijn van het orgaan. Vanaf het moment dat iemand geen lid meer is, worden de rechten veranderd en moet het identificatienummer van de betrokkene onmiddellijk verwijderd worden. C.4.3. Aanvrager stelt dat het identificatienummer van de sollicitanten wordt bewaard vanaf het moment dat de sollicitant zichzelf registreert, totdat de sollicitant zich uitschrijft; schrijft de sollicitant zich niet uit, dan zouden de gegevens gedeactiveerd worden zodra de sollicitant gedurende twee jaar niet meer heeft ingelogd. Het Comité stelt dat sollicitanten, op het moment van registratie, in elk geval op eenvoudige en transparante wijze geïnformeerd moeten worden over de mogelijkheid om zich op elk ogenblik vrij en zonder opgave van reden uit te schrijven. Wanneer zij dit doen, moet het identificatienummer onmiddellijk worden verwijderd. Indien een sollicitant zich niet uitschrijft, volstaat deactivatie niet: in dat geval moet het identificatienummer onmiddellijk verwijderd worden zodra de betrokkene gedurende één jaar niet meer heeft ingelogd. C.4.4. Het identificatienummer van een leerling wordt bewaard vanaf het moment dat de leerling zichzelf registreert. Vanaf het moment dat een leerling niet meer is ingeschreven in een school van aanvrager, wordt een einde gesteld aan diens rechten en moet het identificatienummer worden verwijderd. De lokale beheerders zullen dit opvolgen.
Beraadslaging RR 25 /2010-9/12 C.4.5. Het identificatienummer van de ouders en/of voogden wordt bewaard vanaf het moment dat de ouder en/of voogd zich als zodanig registreert. Vanaf het moment dat een leerling niet meer is ingeschreven in een school van aanvrager, wordt een eind gesteld aan de rechten van de ouders en/of voogden en moet hun identificatienummer worden verwijderd. De lokale beheerders zullen dit opvolgen. Bovendien wil het Comité erop wijzen dat de persoon ook daadwerkelijk ouder en/of voogd van de leerling moet zijn op het moment dat die persoon zich als zodanig registreert en op het moment dat deze nadien inlogt. De aanvrager moet bijgevolg de beweerde hoedanigheid van ouder en/of voogd via een strikte procedure controleren en opvolgen: hij zal op het moment van eerste identificatie van een ouder en/of voogd moeten nagaan of de persoon effectief de hoedanigheid bezit; de ouders die ontzet zijn uit het ouderlijk gezag of familieleden met dezelfde naam die geen ouders of voogd zijn, mogen geen toegang hebben tot informatie betreffende leerlingen; veranderingen in ouderlijk gezag en/of voogdij, waarvan de leerlingenadministratie van scholen op de hoogte gebracht wordt, moeten onmiddellijk aan de systeembeheerder meegedeeld worden. Daarnaast is het Comité van oordeel dat ook de leerlingen zelf op de hoogte gebracht worden van de personen die geregistreerd staan als hun ouder en/of voogd; dit zou kunnen door in de digitale leeromgeving van de leerling een permanente vermelding te maken van degenen die op dat moment de mogelijkheid heeft om in te loggen als ouder en/of voogd. Dit laat de leerling toe, zonder daarbij de verantwoordelijkheid van aanvrager terzake te verminderen, zelf de hoedanigheid van de ouders en/of voogden en de wijzigingen in het ouderlijk gezag en/of voogdij te controleren, en waar nodig te melden aan de systeembeheerder; heeft iemand de hoedanigheid van ouder of voogd van de leerling verloren, dan worden diens rechten veranderd (waardoor de persoon geen toegang meer krijgt) en moet het identificatienummer van die persoon onmiddellijk verwijderd worden. C.4.6. De aanvrager stelt dat, afhankelijk van de applicatie, er verschillende beheerders aangesteld worden om het identificatienummer van het Rijksregister te gebruiken met het oog op de voormelde finaliteiten. Er is een centrale beheerder en er zijn lokale beheerders, die ook door de directie van de lokale instelling worden aangesteld. Aangezien de beheerders toegang krijgen tot de gegevens van de gebruikers, met inbegrip van hun identificatienummer en hun rollen, zullen zij zich ook zelf via de hierboven beschreven methode van eid en/of federaal token moeten identificeren en authenticeren wanneer zij toegang tot het systeem verkrijgen.
Beraadslaging RR 25 /2010-10/12 In de mate dat het identificatienummer van de beheerders bewaard wordt in de loggings, met het oog op traceerbaarheid van de verrichte raadplegingen of handelingen, ligt het voor de hand dat het identificatienummer in die context bewaard wordt zolang de loggings moeten worden bijgehouden. De loggings moeten tien jaar worden bijgehouden. Het Comité meent dat deze bewaringstermijnen aanvaardbaar zijn in het licht van artikel 4, 1, 5, WVP. C.5. Intern gebruik en/ of mededeling aan derden Uit de aanvraag blijkt dat de aanvrager het identificatienummer en de informatiegegevens enkel ophaalt en opslaat met het oog op zijn werkzaamheden (intern). Het Comité neemt hiervan akte en vestigt de aandacht op wat hierna onder punt C.6. wordt vermeld met betrekking tot de mededeling van dit nummer aan derden. C.6. Netwerkverbindingen Uit de aanvraag blijkt dat er geen netwerkverbinding zal tot stand komen. Het Comité vestigt er volledigheidshalve de aandacht op dat : - indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen; - het identificatienummer van het Rijksregister slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens gemachtigd werden om dit nummer te gebruiken. D. BEVEILIGING D.1. Consulent inzake informatieveiligheid Artikel 10 WRR verplicht iedere instantie die toegang tot of mededeling van de informatiegegevens van het Rijksregister verkrijgt om een consulent inzake informatieveiligheid aan te stellen. Een consulent inzake informatieveiligheid moet in alle onafhankelijkheid de informatieveiligheid kunnen appreciëren.
Beraadslaging RR 25 /2010-11/12 De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. Hieruit blijkt dat er één veiligheidsconsulent werd aangeduid, terwijl de toegang tot de gegevens en het gebruik van het identificatienummer zullen plaatsvinden door verschillende bestuursorganen op verschillende bestuursniveaus (centraal, scholengroepen, scholen). Het Comité kan aanvaarden dat verschillende bestuursniveaus van de aanvrager beroep zullen doen op een gemeenschappelijke consulent inzake informatieveiligheid die instaat voor de verzorging van hun veiligheidsbeleid. Het Comité benadrukt dat zulks niet mag neerkomen op een pro forma regeling. De betrokken veiligheidsconsulent zal alle verwerkers die onder de verantwoordelijkheid van de aanvrager op zijn diensten beroep zullen doen, regelmatig moeten: - bezoeken; - controleren en evalueren; - informeren; - stimuleren; - documenteren. D.2. Informatieveiligheidsbeleid Uit het door de aanvrager bezorgde evaluatieformulier i.v.m. de informatieveiligheid blijkt dat het informatieveiligheidsbeleid op een aantal essentiële punten nog niet uitgewerkt is en bijgevolg tekort schiet (punten 2, 4, 5, 9 tot en met 14). Deze moeten verholpen worden vooraleer de machtiging uitwerking kan krijgen. D.3. Personen die het identificatienummer gebruiken en lijst van deze personen De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die het identificatienummer gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden. De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren.
Beraadslaging RR 25 /2010-12/12 OM DEZE REDENEN, het Comité 1 machtigt het centrale niveau, de scholengroepen en de scholen van GO! Onderwijs van de Vlaamse Gemeenschap om, met het oog op het doeleinde vermeld in punt B en onder de voorwaarden en modaliteiten vermeld in deze beraadslaging, voor onbepaalde duur: het identificatienummer van het Rijksregister te gebruiken. Deze machtiging zal evenwel slechts uitwerking krijgen nadat het Comité op basis van de door de gemachtigde verstrekte stukken en inlichtingen heeft vastgesteld dat het veiligheidsbeleid voldoet aan de vereisten zoals die blijken uit de punten 2, 4, 5, 9 tot en met 14 van het evaluatieformulier. 2 bepaalt dat wanneer het Comité een vragenlijst met betrekking tot de informatieveiligheidstatus toestuurt naar de aanvrager, die laatste deze lijst waarheidsgetrouw moet invullen en terugbezorgen aan het Comité. Het Comité zal de ontvangst bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren; Voor de Administrateur m.v., De Voorzitter, (get.) Patrick Van Wouwe (get.) Mireille Salmon