Sectoraal comité van het Rijksregister
Beraadslaging RR nr 64/2016 van 27 juli 2016
Betreft: Machtigingsaanvraag van de Dienst "Netwerken en Diensten" van het Belgisch Instituut voor postdiensten en telecommunicatie om toegang te krijgen tot de gegevens van het Rijksregister en om het Rijksregisternummer te gebruiken voor het onderzoek van de vergunningaanvragen (RN-MA-2016- 090)
Het Sectoraal comité van het Rijksregister (hierna "het comité");
Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR");
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis ;
Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer ;
Gelet op de aanvraag van het Belgisch Instituut voor postdiensten en telecommunicatie, ontvangen op 28 april 2016;
Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 21 mei 2016;
Gelet op het verslag van de Voorzitter;
Beslist op 27 juli 2016 na beraadslaging, als volgt
I. VOORWERP EN CONTEXT VAN DE ALGEMENE MACHTIGING
1. In het raam van de levering van diensten of elektronische communicatienetwerken, is het Belgisch Instituut voor postdiensten en telecommunicatie (hierna "Instituut", "BIPT" of "de aanvrager") belast met de ontvangst van kennisgevingen en bezorgt het Instituut de operator een standaardverklaring waarin bevestigd wordt dat hij een kennisgeving heeft gedaan om elektronische communicatiediensten of -netwerken aan te bieden en dat hij in voorkomend geval de mogelijkheid heeft om :
1° een aanvraag in te dienen met het oog op het installeren van faciliteiten;
2° te onderhandelen over toegang;
3° toegang te verkrijgen1.
2. Momenteel dient de klant een aanvraag in voor het verkrijgen van een vergunning voor het aanbieden of het doorverkopen in eigen naam en voor eigen rekening van elektronische communicatiediensten of -netwerken door een kennisgevingsformulier op te sturen naar het Instituut dat volgende elementen bevat:
1° de naam, het adres, het BTW- en handelsregisternummer van de aanbieder of een vergelijkbaar identificatienummer dat deze gegevens op een rechtsgeldige manier bundelt;
2° de lasthebbers of verantwoordelijke vertegenwoordigers van de ondernemingen;
3° de contactpersoon met het Instituut;
4° een bondige en precieze beschrijving van zijn dienst of netwerk;
5° de datum waarop de activiteiten vermoedelijk van start gaan.
De kennisgeving wordt ondertekend door de lasthebber en geschiedt per aangetekende zending.
De gegevens worden rechtstreeks verkregen van de klant en worden ingevoerd in de databank van de dienst. De naam van de onderneming en de diensten en/of netwerk worden vermeld op de afgeleverde vergunning.
3. In de toekomst wenst het BIPT dat de lasthebbers of verantwoordelijke vertegenwoordigers van de ondernemingen die een getuigschrift van operator aanvragen hun identiteitskaart gebruiken om het kennisgevingsformulier en de bijwerking van gegevens te valideren. De identiteitskaart zal worden gelezen en de gegevens zullen enerzijds gebruikt worden voor de invoer en, anderzijds
1 Artikel 9, § 4 van de wet van 13 juni 2005 betreffende de elektronische communicatie.
. . . . . .
om te vergelijken met de gegevens van de KBO wat zijn hoedanigheid en bevoegdheden in de onderneming betreft.
4. Het is dus de identificatiemethode van de klant die zal worden gewijzigd. De controle van de gegevens zou automatisch moeten gebeuren. De voorafgaande stap is vanzelfsprekend de identificatie van de lasthebber of verantwoordelijke vertegenwoordiger van de onderneming via zijn Rijksregisternummer. Eens dit nummer gekend is zou het RR aan de gebruiker van de dienst operatoren (netwerken en diensten) per kerende de volgende gegevens sturen ter verificatie:
naam, voornaam, Rijksregisternummer (INSZ). Het INSZ zou bewaard worden in de databank van de dienst operatoren (netwerken en diensten).
5. Het gaat dus voornamelijk om het verkrijgen van de gegevens van de natuurlijke persoon of de vertegenwoordiger van de rechtspersoon, of zijn lasthebber die zich verantwoordelijk stelt door het aanvraagformulier hetzij elektronisch, hetzij manueel te ondertekenen.
II. ONDERZOEK VAN DE AANVRAAG A. TOEPASSELIJKE WETGEVING A.1. Wet van 8 augustus 1983 (WRR)
6. Overeenkomstig artikel 8, eerste lid, 8°, WRR en artikel 8 WRR wordt de machtiging om het Rijksregisternummer te gebruiken, verleend door het Comité "aan openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het Comité".
7. Krachtens artikel 71, eerste lid, van de wet van 21 maart 19912 is "het Belgisch Instituut voor postdiensten en telecommunicatie", afgekort "BIPT", een overheidsinstelling van openbaar nut met rechtspersoonlijkheid.
8. In een volledig geliberaliseerde markt voor elektronische communicaties en deze van de postdiensten op weg naar liberalisering, staat het BIPT in voor de economische regulering, de technische organisatie en de eerbiediging van de reglementaire kaders. Het BIPT ziet eveneens
2 Wet van 21 maart 1991, B.S., 27 maart 1991.
toe op de vrijwaring van de belangen van de actoren en gebruikers ten gunste van de gemeenschap3.
9. Zoals vermeld hiervoor, bepaalt artikel 9, § 4 van de wet van 13 juni 2005 dat het BIPT een document bezorgt aan de ondernemingen die een aanvraag indienen:
Na ontvangst van de kennisgeving bezorgt het Instituut de operator een standaardverklaring waarin bevestigd wordt dat hij een kennisgeving heeft gedaan om elektronische communicatiediensten of -netwerken aan te bieden en dat hij in voorkomend geval de mogelijkheid heeft om :
1° een aanvraag in te dienen met het oog op het installeren van faciliteiten;
2° te onderhandelen over toegang;
3° toegang te verkrijgen4.
10. Het BIPT wenst gemachtigd te worden om toegang te krijgen tot de gegevens van het Rijksregister om te voldoen aan zijn opdrachten.
11. De aanvrager is een Belgische openbare overheid zoals bedoeld in artikel 5 van de WRR voor de voor de informatiegegevens die zij gemachtigd zijn te kennen uit hoofde van een wet, een decreet of een ordonnantie (art. 35 en 39 van de Grondwet).
A.2. Wet van 8 december 1992 (WVP)
12. Op grond van artikel 4 van de WVP zijn het Rijksregisternummer en de informatiegegevens van het Rijksregister persoonsgegevens waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit gegeven dient bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor het wordt verwerkt.
B. DOELEINDE
13. Het BIPT wenst een toegang tot de gegevens van het Rijksregister van de lasthebbers en de vertegenwoordigers van de operatoren in het raam van de kennisgevingen die deze laatsten hem toesturen voor de levering van elektronische communicatiediensten waarvan de aanvrager akte dient te nemen en per kerende een standaardverklaring dient te versturen.
3 Zie wet van 13 juni 2005, betreffende de elektronische communicatie, Titel I, Hoofdstuk II, "Algemene opdrachten van het Instituut inzake elektronische communicatie". B.S., 20 juni 2005.
4 Artikel 9, § 4 van de wet van 13 juni 2005 betreffende de elektronische communicatie.
14. Zoals hiervoor vermeld is het BIPT met deze opdracht belast krachtens artikel 9, § 4 van de wet van 13 juni 2005 en dient het hiertoe de gegevens te verkrijgen van de natuurlijke persoon of de vertegenwoordiger van de rechtspersoon of diens lasthebber die zich verantwoordelijk stelt door het aanvraagformulier elektronisch of manueel te ondertekenen.
15. Het Comité is van mening dat dit doeleinde welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is zoals bedoeld in artikel 4, § 1, 2° en 5 van de WVP en artikel 5, tweede lid van de WRR.
C. PROPORTIONALITEIT
C.1. Toegang tot de gegevens van het Rijksregister
16. Voor het verwezenlijken van het onder punt 13 bedoelde doeleinde, wenst de aanvrager gemachtigd te worden om toegang te krijgen tot de gegevens "naam en voornamen ",
"geboortedatum", "geslacht ", "datum van overlijden of, in geval van een verklaring van afwezigheid, de datum van de overschrijving van de beslissing van afwezigheid”
en de "hoofdverblijfplaats".
17. De " naam en voornamen " laten toe een persoon te identificeren en zijn noodzakelijk voor het beheer van het dossier van de operator.
18. De "geboortedatum" zijn noodzakelijk voor de identificatie van de lasthebber van de operator.
19. Het gegeven "geslacht" is noodzakelijk voor het beheer van het dossier van de operator.
20. De "plaats en datum van overlijden of in geval van een verklaring van afwezigheid, de datum van de overschrijving van de beslissing van afwezigheid", zijn noodzakelijk voor de identificatie van de lasthebber van de operator teneinde de gegevens van de contactpersoon bij te werken.
21. Het gegeven "hoofdverblijfplaats" is eveneens noodzakelijk voor de identificatie van de lasthebber van de operator. Dit gegeven wordt overigens gepubliceerd in het Belgisch Staatsblad.
22. De aanvrager wenst voor het correcte beheer van de dossiers van de operatoren eveneens de mededeling te bekomen van de wijzigingen die worden aangebracht aan alle gevraagde gegevens, het gegeven " geboortedatum " uitgezonderd.
23. Het Comité herinnert er aan dat, om te kunnen genieten van deze functionaliteit, de aanvrager moet beschikken over een verwijzingsrepertorium. Dit repertorium dient als filter opdat de aanvrager slechts de informatie zou ontvangen die relevant is voor de behandeling van zijn dossiers. Het Comité stelt evenwel dat de aanvrager niet noodzakelijk zelf moet instaan voor het oprichten van dit verwijzingsrepertorium. Hij kan zich integreren in een bestaand repertorium van een dienstenintegrator.
24. In dit verband vermeldt de aanvrager dat hij hiervoor beroep zal doen op de dienstenintegrator FEDICT.
25. Gelet op wat voorafgaat is een toegang tot de informatiegegevens vermeld in artikel 3, 1°, 2°
(uitgezonderd de geboorteplaats), 3°, 5°, en 6° (de plaats van overlijden uitgezonderd) van de WRR, alsook tot de wijzigingen aangebracht aan deze gegevens, conform artikel 4, § 1, 3° van de WVP.
C.2. Gebruik van het Rijksregisternummer
26. De aanvrager wenst het Rijksregisternummer te gebruiken om de vertegenwoordiger van de rechtspersoon of zijn lasthebber formeel en eenduidig te identificeren. Dit laat eveneens toe na te gaan of de geïdentificeerde persoon wel degelijk gelast werd door de onderneming door te vergelijken met de gegevens van de KBO. Dit laat eveneens toe de mogelijkheden op fraude uit te sluiten.
27. Het Rijksregisternummer is een uniek nummer aan de hand waarvan een persoon precies geïdentificeerd kan worden en tevens toelaat misverstanden ingevolge homonymie en foutieve schrijfwijzen uit te sluiten.
28. Gelet op wat voorafgaat is het gevraagde gebruik van het Rijksregisternummer in overeenstemming met artikel 4, § 1, 3°, WVP en met de WRR.
C.3. Betreffende de frequentie van de toegang en de duur van de machtiging
29. De aanvrager wenst een permanente toegang omdat het voor hem onontbeerlijk is de aanvragers duidelijk te kunnen identificeren aangezien een steeds groeiend aantal aanvragen bij de dienst Operatoren Netwerken en Diensten wordt ingediend door toedoen van een lasthebber, en daarnaast vraagt hij een machtiging voor onbepaalde duur aangezien zijn opdrachten niet in de tijd beperkt zijn.
30. In het licht hiervan oordeelt het Comité dat een machtiging van onbepaalde duur gepast is (artikel 4, § 1, 3°, WVP).
C.4. Betreffende de bewaartermijn
31. De aanvrager zal de gegevens bewaren tot het beëindigen van de activiteiten van de betrokkene in de schoot van de onderneming (onder meer in geval van overlijden), of tot op het einde van de verplichtingen van de onderneming die voortvloeien uit haar activiteiten inzake elektronische communicatie. De gegevens zijn immers slechts nodig voor het beheer van het dossier en zijn niet langer nodig zodra de betrokkene zijn activiteiten inzake radiocommunicatie stopzet.
32. In het licht hiervan oordeelt het Comité dat de bewaringstermijn in overeenstemming is met artikel 4, §1, 5° van de WVP.
C.5. Intern gebruik en/of mededeling aan derden
33. De aanvrager verduidelijkt dat zijn diensten intern gebruik zullen maken van de gegevens en dat ze niet aan derden zullen worden meegedeeld.
34. Het Comité neemt hiervan akte.
C.6. Netwerkverbindingen
35. Uit de aanvraag blijkt dat er thans geen enkele netwerkverbinding tot stand komt.
36. Het Comité vestigt er volledigheidshalve de aandacht op dat:
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen;
het identificatienummer van het Rijksregister in ieder geval slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens gemachtigd werden om dit nummer te gebruiken.
D. BEVEILIGING
D.1 Consulent inzake informatiebeveiliging
37. De identiteit van de consulent inzake informatiebeveiliging werd aan het Comité meegedeeld. Uit de aanvraag en de verstrekte informatie blijkt dat de betrokkene kan aanvaard worden als consulent inzake informatiebeveiliging.
D.2. Beveiligingsbeleid
38. Uit de documentatie die de aanvrager verstrekte, blijkt dat hij beschikt over een beleid inzake informatiebeveiliging en over een uitvoeringsplan daarvan.
39. Het Comité heeft hier akte van genomen.
D.3. Personen die toegang hebben tot de informatie en lijst van die personen
40. De aanvrager preciseert in zijn aanvraagformulier dat de gevraagde gegevens intern zullen worden aangewend. De identiteit en de functie van die personen werden nader omschreven. Het gaat om personen die het algemeen toezicht uitoefenen op de toepassing van de bepalingen van de wet van 17 januari 2003, van 13 juni 2005 en hun uitvoeringsbesluiten, die belast zijn met de ondertekening en de aflevering van de getuigschriften van kennisgeving van de operatoren in naam van de Raad van het BIPT, met het dagelijks beheer van de databank met contactgegevens van de operatoren en lasthebbers die een kennisgeving hebben verricht, met de behandeling van de aanvragen en de opvolging van de dossiers, met de invoer van de gegevens, met de verbetering van ingevoerde gegevens, met het toezicht op de naleving van de wettelijke verplichtingen inzake
elektronische communicatie, met het toezicht op technische afhandeling van de controledossiers, met het toezicht op de behandeling van facturen en de invoer van deze facturen.
41. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die toegang hebben tot het Rijksregister en die het identificatienummer gebruiken. Deze lijst moet voortdurend bijgewerkt en ter beschikking van het Comité gehouden worden. Het is niet nodig om systematisch die lijst aan het Comité te bezorgen.
42. De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren.
43. Het Comité eist dat de aanvrager de nodige maatregelen zou nemen om de loggings te registreren (wie, wanneer en waarom toegang had tot de gegevens) zodat de toegangen kunnen worden gecontroleerd.
E. OPMERKINGEN OVER HET GEBRUIKERS- EN TOEGANGSBEHEER
44. De aanvrager deelde mee aan het Comité dat hij wenst dat de lasthebbers of verantwoordelijke vertegenwoordigers van de ondernemingen die een attest aanvragen van operator, in de toekomst hun identiteitskaart zouden gebruiken om het kennisgevingsformulier en de bijwerking van de gegevens te valideren. De identiteitskaart zal worden gelezen en de gegevens zullen enerzijds gebruikt worden voor de invoer en, anderzijds om te vergelijken met de gegevens van de KBO wat zijn hoedanigheid en bevoegdheden in de onderneming betreft.
45. De voorafgaande stap is vanzelfsprekend de identificatie van de lasthebber of verantwoordelijke vertegenwoordiger van de onderneming via zijn Rijksregisternummer. Eens dit nummer gekend is zou het RR aan de gebruiker van de dienst operatoren (netwerken en diensten) per kerende de volgende gegevens sturen ter verificatie: naam, voornaam, Rijksregisternummer (INSZ). Het INSZ zou bewaard worden in de databank van de dienst operatoren (netwerken en diensten).
46. In dit verband vestigt het Comité de aandacht van de aanvrager op het feit dat het op 25 maart 2015 een algemene machtiging nr. 21/2015 uitbracht om het Rijksregisternummer te gebruiken bij aanwending van het “Federal Authentication Service” –systeem van FEDICT voor het toegangs- en gebruikersbeheer van de informatietoepassingen die ontwikkeld zijn voor opdrachten van algemeen belang.
47. Het toegangsbeheer (de authenticatie inbegrepen) is een verificatieproces dat aan de verantwoordelijke voor de verwerking van een informaticatoepassing de garantie biedt dat de persoon die zich inlogt op zijn toepassing wel degelijk het recht heeft om er toegang toe te hebben en wel degelijk de persoon is die hij beweert te zijn. Zodoende is een persoonlijke ruimte binnen een informaticatoepassing uitsluitend toegankelijk voor de persoon die over toegangsrechten beschikt. Het gebruikersbeheer bestaat in het beheer van de specifieke rechten (zoals lezen, schrijven,...) in een informaticatoepassing waarover de betrokkenen beschikken, soms in functie van de rol of mandaten waarvan zij titularis zijn. De bedoelde informaticatoepassingen hebben immers in het algemeen tot doel de betrokkenen makkelijker toegang te bieden tot hun dossier om dit te raadplegen, op te volgen of er de nodige wijzigingen in aan te brengen, aanvragen in te dienen of documenten op te sturen.
OM DEZE REDENEN, het Comité
1° machtigt het BIPT om, voor de verwezenlijking van het onder punt B omschreven doeleinde en voor onbepaalde duur, onder de voorwaarden zoals uiteengezet in deze beraadslaging, toegang te hebben tot de informatiegegevens als bedoeld onder artikel 3, 1ste lid, 1°, 2°, (de geboorteplaats uitgezonderd), 3°, 5° en 6° (de plaats van overlijden uitgezonderd), alsook tot de wijzigingen aangebracht aan deze gegevens met uitzondering van dat bedoeld in artikel 3, 2° van de WRR, en om het Rijksregisternummer te gebruiken;
2° bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van de informatiebeveiliging die een impact kan hebben op de antwoorden uit het formulier inzake beveiliging dat aan het Comité werd verstrekt (aanstelling van een consulent inzake informatiebeveiliging en antwoorden op de vragen m.b.t. de organisatie van de beveiliging), de aanvrager een nieuwe vragenlijst i.v.m. de stand van de informatiebeveiliging naar waarheid moet invullen en aan het Comité moet bezorgen. Het Comité zal de ontvangst bevestigen en behoudt het recht daar later desgevallend op te reageren;
3° bepaalt dat wanneer het Comité een vragenlijst over het beveiligingsniveau van de aanvrager toestuurt, die laatste deze vragenlijst naar waarheid moet invullen en naar het Comité moet terugsturen. Het Comité stuurt een ontvangstmelding en behoudt het recht daar later desgevallend op te reageren.
De Wnd. Administrateur, Voorzitter
(get.) An Machtens (get.) Mireille Salmon
