FAQ

Een persoonsgegeven is iedere informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon (de 'betrokkene' genoemd in de privacywet).
Een persoon kan geïdentificeerd worden via de naam, een foto, een telefoonnummer, zelfs een telefoonnummer op het werk, een code, een bankrekeningnummer, een e-mailadres, een vingerafdruk, … of het combineren van deze of andere gegevens. Deze gegevens zijn op zich ook al persoonsgegevens.
Het gaat niet alleen over gegevens die te maken hebben met de persoonlijke levenssfeer (privacy) van personen, maar ook over gegevens die te maken hebben met het professionele of openbare leven van een persoon.
Er wordt alleen rekening gehouden met de gegevens over een natuurlijk (fysiek) persoon en niet met de gegevens die enkel betrekking hebben op een rechtspersoon of een vereniging (civiele of commerciële vennootschap of een v.z.w.).
Meer informatie over het begrip ‘persoonsgegeven’.

In een machtiging geeft de Vlaamse Toezichtcommissie toestemming om de gevraagde mededeling van persoonsgegevens uit te voeren, al dan niet onder bepaalde voorwaarden. 
De wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens legt een aantal principes vast waaraan moet voldoen worden bij de verwerking van persoonsgegevens. De principes zijn de volgende:
Legaliteit: De persoonsgegevens moeten uitsluitend verwerkt worden op een eerlijke en rechtmatige wijze.
Finaliteit: De persoonsgegevens moeten voorts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen niet verder worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden.
Proportionaliteit: Verder moeten de persoonsgegevens toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt, moeten ze nauwkeurig zijn (en zo nodig worden bijgewerkt) en mogen ze, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk voor de verwezenlijking van de vermelde doeleinden
Bij het verlenen van haar machtiging zal de Vlaamse Toezichtcommissie nagaan of de mededeling van persoonsgegevens in kwestie wel degelijk deze principes respecteert.
Er wordt ook onderzocht of aan eisen inzake (ICT-)veiligheid van de persoonsgegevens(externe link) wordt voldaan. Daarbij wordt nagegaan of de aanvragers een veiligheidsconsulent(externe link) hebben aangesteld en een veiligheidsplan hebben opgesteld.

De Vlaamse Toezichtcommissie is bevoegd voor de elektronische mededeling van persoonsgegevens die afkomstig zijn van een Vlaamse overheidsinstantie.

Met het begrip Vlaams overheidsinstantie wordt bedoeld, elke instantie in de zin van artikel 4, §1, van het decreet 26 maart 2006 betreffende de openbaarheid van bestuur. Dit zijn:
1° het Vlaams Parlement en de eraan verbonden instellingen; 
2° de diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest; 
3° de gemeenten en de districten; 
4° de provincies; 
5° de andere gemeentelijke en provinciale instellingen, met inbegrip van de verenigingen zonder winstoogmerk waarin één of meer gemeenten of de provincies minstens de helft van de stemmen in één van de beheersorganen heeft of de helft van de financiering voor haar rekening neemt; 
6° de verenigingen van provincies en gemeenten, bedoeld in de wet van 22 december 1986 betreffende de intercommunales, en de samenwerkingsvormen zoals geregeld in het decreet van 6 juli 2001 houdende de intergemeentelijke samenwerking; 
7° de openbare centra voor maatschappelijk welzijn, hierna O.C.M.W.'s te noemen, en de verenigingen, bedoeld in hoofdstuk 12 van de organieke wet van 8 juli 1976 betreffende O.C.M.W.'s; 
8° de polders, bedoeld in de wet van 3 juni 1957 betreffende de polders, en de wateringen, bedoeld in de wet van 5 juli 1956 betreffende de wateringen; 
9° de kerkfabrieken en de instellingen die belast zijn met het beheer van de temporaliën van de erkende erediensten; 
10° alle andere instanties binnen het Vlaamse Gewest en de Vlaamse Gemeenschap.

Voorbeelden van Vlaamse overheidsinstanties zijn: het Agentschap voor Landbouw en Visserij, de Vlaamse Milieumaatschappij, het Agentschap voor Geografische Informatie Vlaanderen, gemeenten, …

Wil u de mededeling van persoonsgegevens die afkomstig zijn van een federale overheidsdienst, dan moet u zich richten tot een sectoraal comité van de Commissie voor de bescherming van de persoonlijke levenssfeer, afhankelijk van de soort persoonsgegevens:

1. Toegang tot de gegevens uit het Rijksregister en gebruik van het rijksregisternummer: het sectoraal comité van het Rijksregister. Als de VTC een gegevensstroom machtigt en deze gegevensstroom ook het rijksregisternummer bevat, is de VTC sinds 14 juni 2014 bevoegd om tegelijk het gebruik van het rijksregisternummer te machtigen;
2. Persoonsgegevens via de Kruispuntbank Sociale Zekerheid: het sectoraal comité van de Sociale Zekerheid en de Gezondheid, afdeling Sociale Zekerheid;
3. Persoonsgegevens via het eHealthplatform: het sectoraal comité van de Sociale Zekerheid en de Gezondheid, afdeling Gezondheid;
4. Persoonsgegevens afkomstig van een andere federale instantie dan deze hierboven vermeld: het sectoraal comité Federale Overheid.

Meer informatie over de sectorale comités.(externe link)

Er dient een machtiging te worden gevraagd als een Vlaamse overheidsinstantiepersoonsgegevens elektronisch meedeelt aan een andere instantie(uit de privésector of uit de publieke sector). De aanvraag wordt gedaan door de verstrekker en de ontvanger van de gegevens samen.

Als een instantie op elektronische wijze persoonsgegevens wenst te verkrijgen van een Vlaamse overheidsinstantie, is een voorafgaande machtiging van de Vlaamse Toezichtcommissie vereist. Dit betekent dat het aan te raden is om van bij het begin van een project waarbij gebruik wil maken van persoonsgegevens van een Vlaamse overheidsinstantie, rekening te houden met de principes vermeld in de privacywet. 
Het moet dus gaan om de elektronische mededeling van persoonsgegevens en voor zover dat op systematische en georganiseerde wijze gebeurt.

Alle beslissingen omtrent de machtigingsaanvragen worden genomen binnen de in het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e-govdecreet) voorgeschreven termijn van 60 dagen, na ontvangst van de aanvraag en mits alle daartoe noodzakelijke gegevens aan de Vlaamse Toezichtcommissie zijn meegedeeld. De Vlaamse Toezichtcommissie komt één keer per maand samen.
Vergaderdatas(externe link)

Uw dienst kan een aanvraag tot machtiging richten aan de Vlaamse Toezichtcommissie d.m.v. volgende formulieren:

1. het volledig ingevuld formulier ‘aanvraag van een machtiging tot elektronische mededeling van persoonsgegevens’(externe link). Dit formulier moet ingevuld worden zowel door de aanvrager van de persoonsgegevens als door de Vlaamse overheidsinstantie die de gegevens zal meedelen.
2. het formulier ‘evaluatie van de beveiliging van het informatiesysteem voor de bescherming van persoonsgegevens’ (externe link)moet afzonderlijk door de aanvrager en door de instantie die de persoonsgegevens zal meedelen worden ingevuld.

Meer weten over machtiging aanvragen.

 De veiligheidsconsulent heeft tot taak het opmaken van een veiligheidsplan. Artikel 16 en 17 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, leggen een aantal verplichtingen op inzake beveiliging en vertrouwelijkheid van gegevensverwerking. Richtlijnen die helpen bij de beveiliging van de persoonsgegevens werden uitgewerkt door de Kruispuntbank van de Sociale Zekerheid (KSZ) en de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL).
Documentatie omtrent veiligheid van de KSZ(externe link).

Ook de CBPL heeft een aantal referentiemaatregelen opgesteld. Het betreft een lijst met tien actiedomeinen(externe link) in verband met de informatiebeveiligingwaarvoor elke instelling die persoonsgegevens bewaart, verwerkt of mededeelt, maatregelen moet nemen.

De belangrijkste vragen omtrent veiligheid komen ook aan bod in het formulier ‘evaluatie van de beveiliging van het informatiesysteem voor de bescherming van persoonsgegevens’.(externe link)

• persoonsgegevens verwerkt;
• authentieke gegevensbron beheert;
• tussenkomt bij mededeling van persoonsgegevens;
• ondersteunt bij gebruikers- en toegangsbeheer.

De veiligheidsconsulent moet aangesteld worden door de directie, dagelijkse leiding van de organisatie. De veiligheidsconsulent moet ook rapporteren aan de directie.

1. voldoende gevormd is om zijn functie van veiligheidsconsulent uit te oefenen;
2. over de vereiste tijd beschikt om zijn veiligheidsopdrachten uit te voeren;
3. geen activiteiten uitoefent die onverenigbaar zijn met de functie van veiligheidsconsulent.
   Meer duiding vindt u in de antwoorden op onderstaande vragen.

Over het algemeen heeft de dienst belast met de informatieveiligheid een adviserende, stimulerende, documenterende en controlerende opdracht m.b.t. informatieveiligheid. De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn.

Het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten geeft uitvoering aan artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e-governmentdecreet), nl. het bepalen van de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. De Memorie van Toelichting bij het voornoemde artikel 9 van het e-governementdecreet verduidelijkt dat bij de verdere omschrijving van de taken van de veiligheidsconsulenten de strengste voorwaarden die bij de Kruispuntbank van de Sociale Zekerheid (KSZ) gelden, eveneens voor de Vlaamse veiligheidsconsulenten zullen gelden. Vandaar dat in het specifieke uitvoeringsbesluit de bepaling van de opdrachten en de aanwijzingsvereisten zijn omschreven naar analogie met de KSZ-wet van 15 januari 1990 en het KB van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid.

De veiligheidsconsulent zal er op toezien dat de verschillende verantwoordelijkheden inzake veiligheid (preventie, toezicht, opsporing en verwerking) duidelijk in kaart zijn gebracht en dat de personen belast met de veiligheid in alle onafhankelijkheid kunnen handelen en ervan gevrijwaard blijven dat ze voor persoonlijke- of tegenstrijdige belangen onder druk worden gezet. Rechtstreeks rapporterend aan de directie van de instelling, moet hij kunnen beschikken over voldoende middelen (tijd, human ressources, uitrusting en budget) en vrijuit toegang hebben tot de informatie die noodzakelijk is voor zijn functie en voor zover hij binnen het kader van het veiligheidsbeleid blijft.

De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met vermelding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren.

1. Is de kandidaat voldoende gevormd?
   De veiligheidsconsulent hoeft geen informaticus te zijn, maar dient wel een goede kennis van informatica en informatieveiligheid te bezitten door het volgen van opleidingen of door werkervaring.
2. Beschikt de kandidaat over voldoende tijd om de specifieke opdrachten van de functie te vervullen?
3. Oefent de kandidaat geen activiteiten uit die onverenigbaar zijn met de functie van veiligheidsconsulent?

1. zijn objectiviteit, onpartijdigheid en onafhankelijkheid;
2. zijn professionele ingesteldheid;
3. zijn loyaliteit ten opzichte van zijn werkgever;
4. het interdisciplinair en vertrouwelijk karakter van zijn functie.

De code(externe link) kunt u raadplegen op de website van de kruispuntbank van de Sociale Zekerheid.

Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard als tijdsbesteding.
(externe link)
Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW vindt u op de website van de Kruispuntbank van de Sociale Zekerheid (KSZ)(externe link).
Bijkomende informatie vindt u in de rubriek ‘FAQ veiligheid en privacy’ op de website van de KSZ(externe link).

De gemeenten behoren niet tot het netwerk van de sociale zekerheid. Omdat de samenwerking tussen gemeente en OCMW steeds nauwer wordt, is het de bedoeling om het veiligheidsniveau van de gemeente op te tillen naar het niveau van het OCMW. Dergelijk proces vraagt tijd en inspanning. Er werd door de VVSG, de Vlaamse Toezichtcommissie en de Commissie voor de bescherming van de persoonlijke levenssfeer samen met een aantal veiligheidsconsulenten gewerkt aan het uitschrijven van eenvormige richtsnoeren informatieveiligheid die gelden voor zowel OCMW als gemeente(externe link) in Vlaanderen, gebaseerd op de minimale veiligheidsnormen van de KSZ.

1. toegang d.m.v. paswoord;
2. een lijst van gemachtigden van de gemeente en een lijst van gemachtigden van OCMW;
3. toegang voor de gemachtigden van de gemeente moet beperkt worden tot de finaliteiten van de gemeente, toegang voor de gemachtigde van het OCMW moet beperkt worden tot de finaliteiten van het OCMW;
4. bijhouden van loggings.

Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid willen uitbouwen, is een samenwerkingsakkoord tussen beiden vereist.

Als gemeente en OCMW dezelfde infrastructuur gebruiken en samen een informatieveiligheidsconsulent aanstellen, wordt 6 uur per week aanvaard als tijdsbesteding.
Zie ook Hoeveel tijd moet de informatieveiligheidsconsulent besteden aan zijn opdracht?(externe link)

Meer informatie omtrent het optreden van een veiligheidsconsulent voor gemeente en OCMW(externe link).