1/3
Advies nr. 144/2019 van 21 augustus 2019
Betreft: advies m.b.t. het ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 5 juni 2004 tot vaststelling van het stelsel van de rechten tot inzage en verbetering van de gegevens die op elektronische wijze opgeslagen zijn op de identiteitskaart en van de informatiegegevens die zijn opgenomen in de bevolkingsregisters of in het Rijksregister van de natuurlijke personen (CO-A-2019- 148)
De Gegevensbeschermingsautoriteit (hierna de “Autoriteit”);
Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid op artikel 23 en 26 (hierna “WOG”);
Gelet op deVerordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna “AVG”);
Gelet op de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna “WVG”);
Gelet op het verzoek om advies van de heer Pieter De Crem, Minister van Veiligheid en Binnenlandse Zaken, ontvangen op 05/07/2019;
Advies 144/2019 - 2/3
Gelet op het verslag van Mevrouw Alexandra Jaspar, Directeur van het Kenniscentrum van de Gegevensbeschermingsautoriteit;
Brengt op 21 augustus 2019 het volgend advies uit:
VOORWERP VAN DE AANVRAAG
1. Het ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 5 juni 2004tot vaststelling van het stelsel van de rechten tot inzage en verbetering van de gegevens die op elektronische wijze opgeslagen zijn op de identiteitskaart en van de informatiegegevens die zijn opgenomen in de bevolkingsregisters of in het Rijksregister van de natuurlijke personen, (hierna het ontwerp) strekt ertoe burgers de mogelijkheid te bieden om attesten, die elektronisch verkrijgbaar zijn via de internetsite van het Rijksregister, elektronisch te laten legaliseren door de FOD Buitenlandse Zaken. Daartoe zullen deze attesten voortaan ook via een specifieke applicatie op de website van de FOD Buitenlandse Zaken ter beschikking worden gesteld.
ONDERZOEK VAN DE AANVRAAG
2. De tekst van het ontwerp strekt ertoe om de terbeschikkingstelling via de website van de FOD Buitenlandse Zaken, technisch mogelijk te maken. Daartoe wordt een zin toegevoegd aan artikel 3, § 1, eerste lid van het koninklijk besluit van 5 juni 2004.
3. Deze tekst geeft geen aanleiding tot bijzondere opmerkingen in het licht van de bepalingen van de AVG en de WVG.
4. Louter volledigheidshalve vestigt de Autoriteit de aandacht op de vereisten van de artikelen 5.1.f) en 32 AVG.
5. Artikel 32 AVG verplicht de verwerkingsverantwoordelijke om gepaste technische en organisatorische maatregelen te treffen die nodig zijn voor de bescherming van de persoonsgegevens.
Deze maatregelen moeten een passend beveiligingsniveau verzekeren rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico’s.
6. Artikel 32 AVG wijst in dit verband op een aantal voorbeeldmaatregelen om, waar passend, een op het risico afgestemd beveiligingsniveau te waarborgen:
• de pseudonimisering en versleuteling van persoonsgegevens;
Advies 144/2019 - 3/3
• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen te garanderen;
• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
7. Voor de concrete uitwerking hiervan wijst de Autoriteit op de Aanbeveling van de Commissie voor de bescherming van de persoonlijke levenssfeer1 ter voorkoming van gegevenslekken en op het document Referentiemaatregelen2 inzake beveiliging die bij elke verwerking van persoonsgegevens in acht moeten worden genomen. De Autoriteit onderstreept ook het belang van een behoorlijk gebruikers- en toegangsbeheer3.
OM DEZE REDENEN de Autoriteit,
stelt vast dat de tekst geen aanleiding geeft tot bijzondere opmerkingen.
(get.) Alexandra Jaspar
Directeur van het Kenniscentrum
1 Aanbeveling uit eigen beweging van de Commissie voor de bescherming van de persoonlijke levenssfeer nr. 01/2013 van 21 januari 2013 betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken
(https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_01_2013_0.pdf).
2 Referentiemaatregelen van de Commissie voor de bescherming van de persoonlijke levenssfeer voor de beveiliging van elke
verwerking van persoonsgegevens, Versie 1.0 (https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/referentiemaatregelen_voor_de_b
eveiliging_van_elke_verwerking_van_persoonsgegevens_0.pdf).
3 Zie ook Aanbeveling van de Commissie voor de bescherming van de persoonlijke levenssfeer nr. 01/2008 van 24 september 2008 met betrekking tot het toegangs- en gebruikersbeheer in de overheidssector
(https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_01_2008_0.pdf).
Verschillende instanties kunnen hiervoor aangepaste technologische oplossingen bieden (zoals bijvoorbeeld de Kruispuntbank van de Sociale zekerheid).
