Het AVG-decreet voorziet in de verplichting tot het opmaken van een protocol voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie naar een andere Vlaamse instantie of naar een externe overheid.

Het principe is dat tussen de betrokken verwerkingsverantwoordelijken een protocol wordt gesloten over een elektronische mededeling van persoonsgegevens waarin een aantal zaken worden vastgelegd zodat duidelijk wordt dat aan de principes van de AVG wordt voldaan.

Vanaf wanneer geldt de protocolverplichting?
De verplichting tot het sluiten van een protocol geldt vanaf 26 juni 2018 (de datum van publicatie van het AVG-decreet in het Belgisch Staatsblad). Op dat moment werd de machtigingsverplichting opgeheven. 

Wat is een mededeling?
Uit de memorie van toelichting van het e-govdecreet blijkt dat een mededeling het verstrekken is door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, en die op systematische wijze wordt georganiseerd. 
Het gaat om een “latere verwerking”: gebruik van gegevens die oorspronkelijk ingezameld werden voor andere doeleinden door een andere verantwoordelijke. In hoofde van de instantie die de gegevens doorgeeft, is er sprake van een “verdere verwerking”.
Het begrip mededeling verwijst naar een georganiseerde gegevensuitwisseling vanuit elektronische databanken of toepassingen. De nadruk ligt op het gegevensverkeer. Occasioneel gegevensverkeer (bv een occasioneel e-mailbericht dat persoonsgegevens bevat) is uitgesloten. Een eenmalige overdracht van een omvangrijke verzameling persoonsgegevens wordt wel als systematisch beschouwd.
Het gaat om een elektronische mededeling (art. 8 e-govdecreet) dus niet als op papier, wel e-mail (tenzij occasioneel).

Dit wordt bepaald in artikel 2, 10° e-govdecreet:
- een instantie van de Vlaamse overheid als vermeld in artikel I.3, 1°, van het Bestuursdecreet
- een instantie van een lokale overheid als vermeld in artikel I.3, 5°, van het Bestuursdecreet
- een instelling met een publieke taak als vermeld in artikel I.3, 6°, van het Bestuursdecreet
- een milieu-instantie als vermeld in artikel I.3, 7°, van het Bestuursdecreet.

Op deze pagina vindt u nog een overzicht dat kan helpen bij het uitzoeken of uw organisatie een Vlaamse instantie is.

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene”).
Anonieme gegevens zijn geen persoonsgegevens, gespeudonimiseerde of gecodeerde persoonsgegevens wel.
Zie verder bij de  toelichting bij het model van protocol , DEEL 1.5 minimale gegevensverwerking.

Een protocol conform artikel 8 van het Vlaamse e-govdecreet is volgens §2 van dat artikelniet verplicht als het federale Informatieveiligheidscomité bevoegd is om een beraadslaging te verlenen (zie punt 11 op deze pagina).

Een protocol  niet verplicht in het geval van uitwisseling van persoonsgegevens binnen eenzelfde instantie, bijvoorbeeld twee afdelingen binnen een departement of binnen een agentschap. Dit betekent concreet dat zowel de oorspronkelijke verzameling als de verdere verwerking door een andere dienst deel uitmaken van de taken van de instantie. De verwerkingsverantwoordelijke beslist in voornoemde gevallen over de gevraagde mededeling. 
Ook dan moet er, net zoals bij het opstellen van een protocol, telkens rekening worden gehouden met een aantal criteria. Dit zijn de criteria die elke verwerkingsverantwoordelijke moet toepassen bij het organiseren van de toegang tot de eigen persoonsgegevens. In die mate moeten deze criteria dan ook worden beoordeeld door de verwerkingsverantwoordelijke zelf die daartoe een beroep doet op het advies van de functionaris voor gegevensbescherming (Data Protection Officer (DPO)). 
Voor de dienst aan wie de gegevens worden meegedeeld, moeten de gegevens noodzakelijk zijn voor haar taken. Ook hier mag de toegang (of uitwisseling) enkel betrekking hebben op de persoonsgegevens die absoluut noodzakelijk zijn voor de verwerkingen in hoofde van de ontvangende dienst. 
Ook dient de mededeling op een beveiligde manier te gebeuren die kan worden aangetoond. Zo moet de interne toegang worden beveiligd, zodat van deze actie geen misbruik kan worden gemaakt om toegang te krijgen tot gegevens waar men niet toe gerechtigd is. In die mate dient gebruik te worden gemaakt van een gebruikers- en toegangsbeheer, aangevuld met een logging van de toegangen (en raadplegingen of uitwisselingen). 
Indien de functionaris voor gegevensbescherming oordeelt dat de verwerking, gelet op onder meer de aard, de omvang, de context en de doeleinden van de mededeling, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wiens gegevens zouden worden meegedeeld, kan voorafgaand aan de mededeling het advies van de Vlaamse toezichtcommissie worden ingewonnen. 

Het spreekt echter voor zich dat men het opstellen van een protocol niet mag omzeilen door een nog ruimere verspreiding dan tussen overheden, bv. door een voor iedereen toegankelijke publicatie op een website (waar de andere overheid de data zou kunnen ophalen).

De verwerkingsverantwoordelijken sluiten het protocol. Dit zijn dus de leidend-ambtenaren van de betrokken instanties.

Algemene protocollen voor meerdere besturen tegelijk zijn mogelijk.
Voor de gemeenten en de onderwijsinstellingen werd een werkwijze afgesproken met VVSG en OVSG. De gemeenten en de onderwijsinstellingen kunnen een mandaat geven aan VVSG en OVSG om in hun naam algemene protocollen af te sluiten. De VTC heeft hierover op 23 juli 2019 een advies gegeven aan de VVSG. Voor meer informatie wendt u zich tot VVSG en OVSG.

Een protocol moet volgens het e-govdecreet volgende rubrieken bevatten (zie verder voor de beoordeling): 
1° de identificatie van de verwerkingsverantwoordelijken; 
2° de doeleinden waarvoor de persoonsgegevens worden medegedeeld; 
3° de categorieën en omvang van de medegedeelde persoonsgegevens conform het proportionaliteitsbeginsel; 
4° de categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen;
5° de wettelijke basis van zowel de mededeling als de inzameling van de gegevens;
6° de beveiligingsmaatregelen van de mededeling, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen;
7° de periodiciteit van de mededeling;
8° de duur van de mededeling;
9° de sancties in geval van niet-naleving van het protocol;
10° de beschrijving van de precieze doeleinden waarvoor de gegevens oorspronkelijk werden ingezameld door de instantie die beheerder is van de gevraagde gegevens; 
11° ingeval van latere verwerking van de ingezamelde gegevens, vermelding van de verenigbaarheidsanalyse van de doeleinden van deze verwerking met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld overeenkomstig artikel 6, lid 4, van de algemene verordening gegevensbescherming; 
12° afspraken omtrent de garantie van de kwaliteit van de gegevens en in voorkomend geval de eerbiediging van het wettelijk kader dat de toegang tot de authentieke gegevensbron regelt; 
13° specifieke maatregelen die de gegevensmededeling omkaderen zoals de keuze van het formaat van de mededeling, de logging van de toegangen zodat men kan controleren wie wanneer toegang had tot welke gegevens en waarom en de invoering van een verwijzingsrepertorium in het geval van een automatische mededeling van de wijzigingen aan de gegevens.

Het protocol wordt gesloten door de betreffende verwerkingsverantwoordelijken na advies van de functionaris voor gegevensbescherming van alle betrokken instanties en wordt vervolgens onmiddellijk bekendgemaakt op de website van alle betrokken instanties.

Voorafgaand aan het sluiten van een protocol kan op verzoek van een betrokken partij het advies van de Vlaamse toezichtcommissie gevraagd worden. De Vlaamse toezichtcommissie brengt haar advies uit binnen een termijn van dertig dagen nadat alle daartoe noodzakelijke gegevens aan de Vlaamse toezichtcommissie zijn medegedeeld. In speciaal gemotiveerde dringende gevallen kan de termijn worden teruggebracht tot vijftien dagen. De adviezen van de Vlaamse toezichtcommissie zijn schriftelijk en met redenen omkleed. Ze worden aan de betreffende instantie meegedeeld en op de website van de Vlaamse toezichtcommissie bekendgemaakt.

Het volgende schema zal meestal van toepassing zijn:

• opmaak protocol door de betrokken instanties (projectleiders, juristen, …)
• advies functionarissen voor de gegevensbescherming van de betrokken instanties 
• facultatief advies VTC
• eventuele aanpassing protocol
• goedkeuring protocol door ondertekening door leidend ambtenaren
• onmiddellijke publicatie protocol op de websites betrokken instanties

Toelichting bij het modelformulier

Formulier voor protocol

U bezorgt volgende stukken per mail aan toezichtcommissie@vlaanderen.be:

• een kopie van het ontwerpprotocol;
• het gemotiveerde advies van de functionaris voor gegevensbescherming van alle betrokken instanties, al dan niet verwerkt in het ontwerpprotocol; 

In principe brengt de VTC haar advies uit binnen een termijn van dertig dagen nadat haar alle daartoe noodzakelijke gegevens zijn meegedeeld. In speciaal gemotiveerde dringende gevallen kan de termijn worden teruggebracht tot vijftien dagen.

De mededeling van de persoonsgegevens moet getoetst worden aan de principes van de AVG en aan bijzondere wettelijke bepalingen.

De principes van de AVG zijn de volgende:

1. Verantwoordingsplicht
2. Doelbinding
3. Rechtmatigheid, behoorlijkheid
4. Transparantie
5. Minimale gegevensverwerking
6. Opslagbeperking
7. Juistheid
8. Integriteits- en vertrouwelijkheidsbeginsel
9. Risicobenadering

Bijzondere gevallen (deze lijst en de onderdelen zijn nog niet volledig)

1. De verwerking door een of meerdere verwerkers
2. De inschakeling van een intermediair/TTP/dienstenintegrator
3. Het gebruik van het rijksregisternummer of een andere authentieke gegevensbron
4. Bijzondere categorieën van persoonsgegevens
5. Persoonsgegevens m.b.t. strafrechtelijke veroordelingen en strafbare feiten
6. Archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
7. Doorgifte aan derde landen en internationale organisaties
8. [andere]

Om u te helpen bij de evaluatie van de mededeling heeft de VTC een  toelichting geschreven die u best samen leest met het modelformulier .

Naast de protocolregeling in artikel 8 van het e-govdecreet, heeft de federale wetgever voorzien in nieuw systeem van beraadslagingen van het Informatieveiligheidscomité (IVC) en protocollen. Tot op heden heeft het IVC nog geen model van protocol opgesteld.
Het IVC bestaat uit 2 kamers: de kamer Sociale Zekerheid en Gezondheid en de kamer Federale Overheid.
De belangrijkste bepaling is het gewijzigde artikel 15 van de KSZ-wet. Meer info over de bevoegdheden vindt u hier.

De federale regeling is vrij complex.  Toch is deze ook in Vlaanderen van belang vooral voor OCMW en Vlaamse instanties die behoren tot het uitgebreid netwerk van de sociale zekerheid, nl:

- het departement Welzijn, Volksgezondheid en Gezin 
- het Agentschap Zorg en Gezondheid
- het Vlaams Zorgfonds 
- het Agentschap Sociale Bescherming
- het Vlaams Agentschap Kind en Gezin
- het Agentschap Jongerenwelzijn 
- de afdeling Studietoelagen van het Agentschap Hoger Onderwijs, Volwassenenonderwijs, Kwalificaties en Studietoelagen
- het team "Medisch verantwoord sporten"
- de VDAB
- de gewestelijke huisvestingsmaatschappijen (o.a. VMSW)
- het Agentschap Wonen-Vlaanderen
- het Vlaams Woningfonds van de Grote Gezinnen
- het Vlaams Ministerie van Cultuur, Jeugd en Media

Toelichting bij het modelformulier

Formulier voor protocol