Sectoraal comité van het Rijksregister
Beraadslaging RR nr 29/2009 van 18 mei 2009
Betreft: aanvraag van de NMBS om het identificatienummer van het Rijksregister te gebruiken met oog op controle van de geldigheid van vervoerbewijzen (RN/MA/09/014)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité");
Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR");
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;
Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer;
Gelet op de aanvraag van de NMBS ontvangen op 27/03/2009;
Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 05/05/2009;
Gelet op het technisch en juridisch advies ontvangen op 14/05/2009;
Gelet op het verslag van de Wnd. Voorzitter;
Beslist op 18 mei 2009, na beraadslaging, als volgt:
I. VOORWERP VAN DE AANVRAAG
De aanvraag strekt ertoe om de NMBS, hierna de aanvrager, te machtigen om het identificatienummer van het Rijksregister te gebruiken met het oog op “reizen met de EID”.
II. ONDERZOEK VAN DE AANVRAAG
De aanvrager werd reeds bij beraadslaging RR nr. 31/2006 van 29 november 2006 gemachtigd om toegang te hebben tot een aantal informatiegegevens van het Rijksregister en om het identificatienummer ervan te gebruiken met het oog op:
de toepassing van de wet van 15 april 1843 op de politie der spoorwegen;
het toekennen van gunsttarieven zonder dat nog attesten moeten verstrekt worden.
Dit betekent dat het onderzoek van het Comité zich kan beperken tot het nagaan of:
het doeleinde waarvoor thans het gebruik gevraagd wordt, welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van artikel 4, § 1, 2°, WVP;
het gebruik van het identificatienummer proportioneel is in het licht van dit doeleinde.
A. FINALITEIT
A.1. Artikel 17 van het koninklijk besluit van 20 december 2007 houdende reglement van de politie van de spoorwegen, bepaalt:
“De reizigers moeten hun vervoerbewijs vertonen en ter controle overhandigen aan de statutaire personeelsleden die beëdigd zijn telkens wanneer die daarom verzoeken.
De reizigers moeten hun identiteit bewijzen wanneer dit noodzakelijk is voor de controle van de regelmaat van het vervoerbewijs of bij afwezigheid van vervoerbewijs”.
Momenteel kunnen reizigers reeds via internet een vervoersbewijs kopen en afprinten. Ze beschikken dus over een document dat ze naar aanleiding van controle op de trein kunnen tonen.
. . . . . .
De aanvrager wenst thans, rekening houdend met de ervaring die hij inmiddels heeft opgedaan met de aankoop van vervoersbewijzen via internet, het gebruikersgemak te verhogen door “reizen met de EID” mogelijk te maken.
Een reiziger zou voortaan online een vervoersbewijs kunnen bestellen doch hoeft dit niet meer af te drukken (hij heeft dus geen printer meer nodig). De gegevens over de online aankoop van het vervoersbewijs door de reiziger worden bewaard in een database van de NMBS. Naar aanleiding van een controle van vervoersbewijzen op de trein toont de reiziger gewoon zijn EID. De controleur leest de EID van de reiziger via zijn draagbare computer die op regelmatige basis de gegevens uit de NMBS-database oplaadt. De draagbare computer kan indien nodig tussentijds een verbinding maken met de NMBS database. Deze werkwijze is – dixit de aanvrager - minder fraudegevoelig dan de die waarbij een papier wordt afgedrukt.
Om op onfeilbare manier de link te leggen tussen de persoon op de trein en de persoon die online een ticket kocht, wenst de NMBS het Rijksregisternummer te gebruiken.
Het Comité is van oordeel dat het nagestreefde doeleinde welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van art. 4, § 1, 2°, WVP.
A.2. Het Comité is van oordeel dat de burger anoniem van het openbaar vervoer moet kunnen blijven gebruik maken. Reizigers die gebruik willen maken van de faciliteiten die de moderne techniek biedt en dus hun vervoerbewijs online kopen, mogen niet gediscrimineerd worden ten overstaan van de reizigers die een traditioneel vervoersbewijs aan het loket in het station kopen of aan de al iets modernere biljettenautomaat in het station.
In deze laatste twee gevallen zal de reiziger anoniem reizen. De reiziger die een elektronisch vervoersbewijs koopt moet evenzeer anoniem kunnen reizen. Dit betekent dat wanneer hij online een elektronisch vervoersbewijs aankoopt hem de mogelijkheid moet geboden worden om ervoor de kiezen zijn vervoersbewijs af te drukken zonder dat de aanvrager enig persoonsgegeven van hem bijhoudt. Hij mag dus niet verplicht worden om in dat geval gebruik te maken van “reizen met de EID”.
Als de reiziger opteert voor “reizen met de EID”, moet de aanvrager hem duidelijk meedelen welke gegevens in de gegevensbank worden opgenomen en voor hoe lang. Ook hier moet de reiziger nog steeds de mogelijkheid geboden worden om hetzij het vervoerbewijs af te drukken als bewijs van de aankoop hetzij het te downloaden om in geval van discussie toch over een bewijsstuk te beschikken.
B. PROPORTIONALITEIT
B.1. Ten overstaan van het identificatienummer
Wanneer de mogelijkheid wordt geboden om met de trein te reizen zonder dat men een fysiek vervoersbewijs moet kunnen voorleggen, ligt het voor de hand dat de aanvrager moet kunnen controleren of diegenen die van die mogelijkheid gebruik maken ook effectief online een elektronisch vervoersbewijs aankochten.
Bij die controle is het van belang dat er geen vergissingen worden met betrekking tot de houder van een online aangekocht elektronisch vervoersbewijs. Als de betrokkene niet in de gegevensbank van de aanvrager kan teruggevonden worden, loopt hij het risico om als zwartrijder gesanctioneerd te worden.
Gelet op het feit dat heel wat reizigers dezelfde naam hebben is een controle louter op basis van de naam niet mogelijk, tenzij men bijkomende gegevens uit het Rijksregister opslaat en controleert.
Om dit te vermijden wenst de aanvrager met het oog op die controle het identificatienummer van het Rijksregister te gebruiken. Dit is immers een uniek nummer waarmee iemand zonder enige foutenmarge kan worden geïdentificeerd. Vergissingen waartoe homoniemen en schrijffouten in de naam aanleiding kunnen geven, worden erdoor vermeden worden.
Het Comité besluit dat het gebruik van het identificatienummer in het licht van het doeleinde verantwoord en dus in overeenstemming is met artikel 4, § 1, 3°, WVP.
B.2. Ten opzichte van de duur van de machtiging
De aanvrager wenst een machtiging voor de duur dat de dienst “reizen met de EID” of een soortgelijke dienst operationeel is.
Het Comité stelt vast dat momenteel niet kan bepaald worden hoe lang de bovenvermelde dienst ter beschikking van de reizigers zal blijven. In het licht hiervan is een machtiging van onbepaalde duur gepast (artikel 4, eerste lid, 3°), met dien verstande dat deze van rechtswege vervalt voor dat doeleinde zodra de dienst niet meer wordt aangeboden.
B.3. Ten opzichte van de bewaringstermijn
In de aanvraag wordt gesignaleerd dat het identificatienummer van het Rijksregister uit de draagbare computer van de controleur verwijderd wordt zodra het reisrecht vervallen is. Het zal evenwel pas uit de centrale operationele databank van de aanvrager verwijderd worden maximaal 4 weken nadat het reisrecht vervallen is.
Het Comité stelt vast dat in de mate dat de identificatienummers en het eraan verbonden reisrecht inderdaad op draagbare computers moeten worden opgeslagen, het inderdaad een must is dat deze gegevens onmiddellijk worden verwijderd en vernietigd zodra het reisrecht volledig vervallen is (artikel 4, eerste lid, 5°, WVP), dus wanneer de reis heeft plaats gehad ofwel de geldigheidsdatum vervallen is.
Deze redenering geldt eveneens voor de centrale operationele gegevensbank van de aanvrager:
eens het reisrecht volledig vervallen, moeten de gegevens verwijderd en vernietigd worden.
Indien er evenwel n.a.v. een controle een probleem of betwisting m.b.t. een reisrecht ontstaat, kan aanvaard worden dat het gegeven nog een korte tijd wordt bewaard totdat het probleem/de betwisting is uitgeklaard. Dit vereist dat de aanvrager zijn systeem zo organiseert dat de controleur de centrale operationele gegevensbank kan informeren over een betwisting/probleem. De door de aanvrager voorgestelde termijn van maximaal 4 weken is voor het uitklaren van dergelijke situaties aanvaardbaar.
B.4. Intern gebruik en/of mededeling aan derden
De aanvrager meldt dat hij het identificatienummer alleen intern gebruikt en niet meedeelt aan derden.
Het Comité neemt hiervan akte.
B.5. Netwerkverbindingen
Uit de uitleg verstrekt door de aanvrager blijkt dat er geen netwerkverbindingen tot stand komen waardoor gegevens van verschillende instanties elektronisch gekoppeld worden op basis van het identificatienummer van het Rijksregister.
Het Comité vestigt er volledigheidshalve de aandacht op dat:
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen;
het identificatienummer van het Rijksregister slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden waarvoor zij eveneens gemachtigd werden dit nummer te gebruiken.
C. VEILIGHEID
C.1. Consulent inzake informatieveiligheid
Op 18/05/2009 bevestigde de aanvrager per e-mail dat hij over een consulent inzake informatieveiligheid beschikt. Het betreft nog steeds de persoon die door het Comité werd aanvaard naar aanleiding van de machtiging verleend bij beraadslaging RR nr. 31/2006 van 29 november 2006, die op 14 februari 2007 uitwerking kreeg.
C.2. Informatieveiligheidsbeleid
C.2.1. Uit het door de aanvrager bezorgde evaluatieformulier i.v.m. de informatieveiligheid blijkt dat deze op een aantal essentiële punten tekort schiet (punten 2 tot en met 5, 11 en 14). Deze moeten verholpen worden vooraleer de machtiging uitwerking kan krijgen.
C.2.2. In verband met dit specifieke project vestigt het Comité er de aandacht op dat, in de mate dat er gewerkt wordt met draagbare computers waarop periodiek de reisrechten vanuit de centrale operationele gegevensbank worden gedownload, bijzonder moet gewaakt worden over de veiligheid en de proportionaliteit. Dit betekent dat:
alleen maar het reisrecht van de persoon wiens EID in het apparaat wordt gestoken kan bekeken worden;
op de draagbare computer alleen maar het Rijksregisternummer en het eraan verbonden reisrecht mogen opgeslagen worden en niets meer (ingeval van verlies of diefstal kunnen de erin opgenomen personen niet direct worden gelokaliseerd);
de draagbare computers moeten voldoende beveiligd zijn zodat ingeval van verlies en diefstal de gegevens niet zonder meer toegankelijk zijn.
C.3. Personen die het identificatienummer van het Rijksregister mogen gebruiken en lijst van deze personen
Uit de aanvraag leidt het Comité af dat het identificatienummer zal gebruikt worden door de beheerders van de centrale operationele gegevensbank, de controleurs en de personeelsleden die eventuele betwistingen zullen behandelen.
De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die toegang hebben tot het Rijksregister en die het nummer gebruiken.
Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden.
De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren.
OM DEZE REDENEN Het Comité
1° machtigt de NMBS om onder de voorwaarden bepaald in deze beraadslaging en met het oog op het doeleinde vermeld in punt A om voor onbepaalde duur het identificatienummer van het Rijksregister te gebruiken.
Deze machtiging zal evenwel slechts uitwerking krijgen nadat:
de NMBS zich ertoe verbonden heeft de voorwaarden geformuleerd in de punten A.2, B.3.
en C.2.2. na te leven;
het Comité op basis van de door de gemachtigde verstrekte stukken en inlichtingen heeft vastgesteld dat het veiligheidsbeleid voldoet aan de vereisten zoals die blijken uit de punten 2 tot en met 5, 11 en 14 van het evaluatieformulier
2° bepaalt dat wanneer het Comité aan de NMBS een vragenlijst met betrekking tot de informatieveiligheidsstatus toestuurt, dit laatste deze lijst waarheidsgetrouw moet invullen en terugbezorgen aan het Comité. Het Comité zal de ontvangst bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren.
Voor de Administrateur m.v., De wnd Voorzitter,
(get.) Patrick Van Wouwe (get.) Frank Robben
