← Retour vers "Arrêté royal fixant les conditions auxquelles les institutions intervenant pour compte des redevables d'information au point de contact central des comptes et contrats financiers doivent satisfaire pour accéder au Registre national des personnes physiques "
| Arrêté royal fixant les conditions auxquelles les institutions intervenant pour compte des redevables d'information au point de contact central des comptes et contrats financiers doivent satisfaire pour accéder au Registre national des personnes physiques | Koninklijk besluit tot vaststelling van de voorwaarden waaraan de voor rekening van de informatieplichtigen jegens het centraal aanspreekpunt van rekeningen en financiële contacten tussenkomende instellingen moeten voldoen om toegang te hebben tot het Rijksregister van de natuurlijke personen |
|---|---|
| SERVICE PUBLIC FEDERAL INTERIEUR 22 AVRIL 2019. - Arrêté royal fixant les conditions auxquelles les institutions intervenant pour compte des redevables d'information au point de contact central des comptes et contrats financiers doivent satisfaire pour accéder au Registre national des personnes physiques PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. Vu la loi du 8 juillet 2018 portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès du fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt, telle que modifiée par la loi du 7 novembre 2018, l'article 12, § 1er, alinéa 2 ; | FEDERALE OVERHEIDSDIENST BINNENLANDSE ZAKEN 22 APRIL 2019. - Koninklijk besluit tot vaststelling van de voorwaarden waaraan de voor rekening van de informatieplichtigen jegens het centraal aanspreekpunt van rekeningen en financiële contacten tussenkomende instellingen moeten voldoen om toegang te hebben tot het Rijksregister van de natuurlijke personen FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet. Gelet op de wet van 8 juli 2018 houdende organisatie van een centraal aanspreekpunt van rekeningen en financiële contracten en tot uitbreiding van de toegang tot het centraal bestand van berichten van beslag, delegatie, overdracht, collectieve schuldenregeling en protest, zoals gewijzigd bij wet van 7 november 2018, artikel 12, § 1, tweede lid; |
| Vu l'arrêté royal du 3 février 2014 autorisant la Banque Nationale de | Gelet op het Koninklijk besluit van 3 februari 2014 waarbij de |
| Belgique et les établissements de banque, de change, de crédit et | Nationale Bank van België en de bank-, wissel, krediet- en |
| d'épargne visés à l'article 322 du code des impôts sur les revenus | spaarinstellingen bedoeld in artikel 322 van het Wetboek van de |
| (1992) à accéder temporairement au Registre national des personnes | inkomstenbelastingen (1992), gemachtigd worden tijdelijk toegang te |
| physiques ; | hebben tot het Rijksregister van de natuurlijke personen; |
| Vu l'analyse d'impact de la réglementation du 12 septembre 2018, | Gelet op de regelgevingsimpactanalyse van 12 september 2018, |
| réalisée conformément aux articles 6 et 7 de la loi du 15 décembre | uitgevoerd overeenkomstig de artikelen 6 en 7 van de wet van 15 |
| 2013 portant des dispositions diverses en matière de simplification | december 2013 houdende diverse bepalingen inzake administratieve |
| administrative ; | vereenvoudiging; |
| Vu l'avis de l'Inspecteur des finances auprès du Service public | Gelet op het advies van de Inspecteur van financiën bij de federale |
| fédéral Finances, donné le 31 juillet 2018 ; | Overheidsdienst Financiën, gegeven op 31 juli 2018; |
| Vu l'avis de l'Inspecteur des finances auprès du Service public | Gelet op het advies van de Inspecteur van financiën bij de federale |
| fédéral Intérieur, donné le 4 octobre 2018 ; | Overheidsdienst Binnenlandse Zaken, gegeven op 4 oktober 2018; |
| Vu l'avis de l'Inspecteur des finances auprès du Service public | Gelet op het advies van de Inspecteur van financiën bij de federale |
| fédéral Justice, donné le 29 octobre 2018 ; | Overheidsdienst Justitie, gegeven op 29 oktober 2018; |
| Vu l'avis n° 123/2018 de l'Autorité de protection des données, donné | Gelet op het advies nr. 123/2018 van de Autoriteit voor |
| le 7 novembre 2018 ; | Gegevensbescherming, gegeven op 7 november 2018; |
| Vu l'accord du Ministre du Budget, donné le 12 décembre 2018 ; | Gelet op de akkoordbevinding van de Minister van Begroting, gegeven op 12 december 2018; |
| Vu l'avis n° 65.230/2 du Conseil d'Etat, donné le 20 février 2019, en | Gelet op het advies nr. 65.230/2 van de Raad van State, gegeven op 20 |
| application de l'article 84, § 1er, premier alinéa, 2° des lois sur le | februari 2019, met toepassing van artikel 84, § 1, eerste lid, 2° van |
| Conseil d'Etat, coordonnées le 12 janvier 1973 ; | de wetten op de Raad van State, gecoördineerd op 12 januari 1973; |
| Sur la proposition du Vice-Premier Ministre et Ministre des Finances, | Op de voordracht van de Vice-Eerste Minister en Minister van |
| du Ministre de l'Intérieur et du Ministre de la Justice, | Financiën, van de Minister van Binnenlandse Zaken en van de Minister van Justitie, |
| Nous avons arrêté et arrêtons : | Hebben Wij besloten en besluiten Wij : |
Article 1er.Sans préjudice des conditions légalement posées par |
Artikel 1.Onverminderd de elders door de wet gestelde voorwaarden mag |
| ailleurs, aucune institution intervenant pour compte d'un redevable | geen enkele voor rekening van een informatieplichtige tussenkomende |
| d'information ne peut poser les actes visés à l'article 12, § 1er, | instelling de handelingen bedoeld in artikel 12, § 1, eerste lid, 3° |
| alinéa 1er, 3° de la loi du 8 juillet 2018 portant organisation d'un | van de wet van 8 juli 2018 houdende organisatie van een centraal |
| point de contact central des comptes et contrats financiers et portant | aanspreekpunt van rekeningen en financiële contracten en tot |
| extension de l'accès du fichier central des avis de saisie, de | uitbreiding van de toegang tot het centraal bestand van berichten van |
| délégation, de cession, de règlement collectif de dettes et de protêt, | beslag, delegatie, overdracht, collectieve schuldenregeling en protest |
| et communiquer à ce dernier les numéros de registre national qu'elle a | verrichten en de in dit kader ingezamelde rijksregisternummers aan |
| recueillis dans ce cadre, si, au moment d'initier cette recherche, | deze laatste meedelen tenzij zij, bij aanvang van deze opzoeking, over |
| elle ne dispose pas de garanties suffisantes : | afdoende waarborgen beschikt met betrekking tot: |
| (a) quant au respect des conditions auxquelles doivent satisfaire les | (a) de voorwaarden waaraan de door de informatieplichtigen aangestelde |
| conseillers en sécurité de l'information désignés par les redevables | informatieveiligheidsconsulenten moeten voldoen. Deze voorwaarde zijn |
| d'information. Ces conditions sont au moins les suivantes : | |
| (1) le conseiller en sécurité de l'information doit avoir été désigné | minstens de volgende: |
| sur la base de ses qualités professionnelles et de ses connaissances | (1) de informatieveiligheidsconsulent moet aangesteld zijn op grond |
| spécialisées, en particulier, en ce qui concerne les bonnes pratiques | van zijn/haar beroepskwaliteiten en gespecialiseerde kennis, in het |
| en matière de protection des données et le droit applicable dans le | bijzonder in het gebied van de goede praktijken inzake |
| contexte, de l'environnement informatique du redevable d'information, | gegevensbescherming en van het toepasselijke recht ter zake, van de |
| ainsi qu'en matière de sécurité de l'information. Le conseiller en | informatica-omgeving van de informatieplichtige en inzake |
| sécurité de l'information doit en permanence tenir ces connaissances à | informatieveiligheid. De informatieveiligheidsconsulent dient deze |
| jour ; | kennis permanent op peil te houden; |
| (2) Le conseiller en sécurité de l'information fait directement | (2) De informatieveiligheidsconsulent rapporteert rechtstreeks aan de |
| rapport à la direction générale, au comité de direction ou aux | algemene directie, het directiecomité of de personen belast met de |
| personnes chargées de la direction quotidienne du redevable | dagelijkse leiding van de informatieplichtige; |
| d'information ; | |
| (3) Il ne peut pas y avoir de conflit d'intérêts entre la fonction de | (3) Er mag geen tegenstrijdigheid van belangen bestaan tussen de |
| conseiller en sécurité de l'information et d'autres activités | functie van informatieveiligheidsconsulent en andere activiteiten |
| incompatibles avec cette fonction. En particulier, celle-ci ne peut | welke onverenigbaar zijn met deze functie. Deze mag in het bijzonder |
| pas être cumulée avec celle de responsable final du service | niet worden gecumuleerd met die van eindverantwoordelijke voor de |
| informatique, de personne chargée de la direction quotidienne, ou de | informaticadienst, van persoon belast met de dagelijkse leiding, of |
| membre de la direction générale ou du comité de direction du redevable | van lid van de algemene directie of van het directiecomité van de |
| d'information ; | informatieplichtige; |
| (4) Le redevable d'information doit veiller à ce que le conseiller en | (4) De informatieplichtige moet erop toezien dat de |
| informatieveiligheidsconsulent zijn opdrachten op een volledig | |
| sécurité de l'information puisse exercer ses missions en toute | onafhankelijke wijze kan uitoefenen en om hem/haar geen instructies te |
| indépendance et à ne pas lui donner d'instruction sur la manière de | geven nopens de wijze waarop deze opdrachten moeten worden vervuld. De |
| s'en acquitter. Le conseiller en sécurité de l'information ne peut en | informatieveiligheidsconsulent mag in geen geval van zijn functies |
| aucun cas être relevé de ses fonctions ou pénalisé du fait de | worden ontheven of een sanctie oplopen wegens de uitoefening van |
| l'exercice de ses missions ; | zijn/haar opdrachten; |
| (5) Si les tâches de conseiller en sécurité de l'information sont | (5) Indien de taken van informatieveiligheidsconsulent onder |
| réparties entre plusieurs personnes, la responsabilité finale doit en | verschillende personen worden verdeeld, moet een van hen als |
| être confiée à une d'entre elles en vue de faire rapport à la | eindverantwoordelijk worden aangesteld om aan de algemene directie, |
| direction générale, au comité de direction ou aux personnes chargées | het directiecomité of de personen belast met de dagelijkse leiding van |
| de la direction quotidienne du redevable d'information quant aux | de informatieplichtige te rapporteren omtrent de gezamenlijke |
| activités communes et pour assumer le rôle de personne de contact ; | activiteiten en om de rol van contactpersoon op zich te nemen; |
| (6) Le redevable d'information doit donner au conseiller en sécurité | (6) De informatieplichtige moet de nodige middelen en tijd aan de |
| de l'information les ressources et le temps nécessaires pour exercer | informatieveiligheidsconsulent geven om hem/haar toe te laten zijn |
| ses missions et lui permettre d'entretenir ses connaissances. | opdrachten uit te oefenen en zijn/haar kennissen op peil te houden. |
| (b) quant aux mesures de protection de la sécurité de l'information | (b) de informatieveiligheidsvoorzieningen die door de |
| prises par les redevables d'information. Ces mesures sont au moins les | informatieplichtige werden genomen. Deze voorzieningen zijn minstens |
| suivantes : | de volgende: |
| (1) une évaluation préalable des risques encourus par les données à | (1) een voorafgaande evaluatie van de risico's die de verwerkte |
| caractère personnel traitées et la définition des besoins en sécurité | persoonsgegevens lopen en de vaststelling van de hieruit |
| en découlant ; | voortvloeiende beveiligingsnoden; |
| (2) la rédaction d'un document de politique de sécurité décrivant les | (2) de opmaak van een beveiligingsbeleidsdocument waarin de |
| stratégies et les mesures retenues pour sécuriser les données à | strategieën en de weerhouden maatregelen voor de beveiliging van de |
| caractère personnel traitées ; | verwerkte persoonsgegevens worden omschreven; |
| (3) l'identification de tous les supports d'information susceptibles | (3) de identificatie van alle mogelijke informatiedragers die de |
| de contenir les données à caractère personnel traitées ; | verwerkte persoonsgegevens kunnen bevatten; |
| (4) l'information du personnel externe et interne impliqué dans le | (4) de inlichting van de externe en interne personeelsleden die bij de |
| traitement des données à caractère personnel traitées quant à ses | verwerking van de persoonsgegevens betrokken zijn over de |
| devoirs de confidentialité et de sécurité vis-à-vis de ces données | vertrouwelijkheids- en beveiligingsverplichtingen t.a.v. deze gegevens |
| tels qu'ils découlent tant des différentes dispositions légales | die zowel uit de verschillende geldende wettelijke vereisten als uit |
| applicables que de la politique de sécurité suivie ; | het gevolgde veiligheidsbeleid voortvloeien; |
| (5) l'adoption de mesures de sécurisation adéquates en vue d'empêcher | (5) de aanname van passende beveiligingsmaatregelen om elke niet |
| tout accès physique non autorisé ou inutile aux supports d'information | gemachtigde of onnodige fysieke toegang te verhinderen tot de |
| qui contiennent les données à caractère personnel traitées ; | informatiedragers die verwerkte persoonsgegevens bevatten; |
| (6) l'adoption des mesures nécessaires afin de prévenir tout dommage | (6) de aanname van de noodzakelijke maatregelen om elke fysieke schade |
| physique susceptible de mettre en péril les données à caractère | te verhinderen die de verwerkte persoonsgegevens in gevaar zouden |
| personnel traitées ; | kunnen brengen; |
| (7) la protection des différents réseaux auxquels sont connectés les | (7) de bescherming van de verschillende netwerken gekoppeld aan de |
| équipements traitant les données à caractère personnel ; | apparatuur die de persoonsgegevens verwerkt; |
| (8) la tenue d'une liste actualisée des différentes personnes | (8) de opmaak van een geactualiseerde lijst van de verschillende |
| habilitées à accéder aux données à caractère personnel dans le cadre | personen die bevoegd zijn om in het kader van de verwerking toegang te |
| du traitement ainsi que de leur niveau d'accès respectif (création, | hebben tot de persoonsgegevens alsook van hun respectieve |
| consultation, modification, destruction) ; | toegangsniveau (creatie, raadpleging, wijziging, vernietiging); |
| (9) la mise en place d'un mécanisme d'autorisation d'accès aux données | (9) de implementatie van een toegangsmachtigingsmechanisme waardoor de |
| conçu de manière telle que les données à caractère personnel traitées et les traitements qui s'y rapportent ne soient accessibles qu'aux personnes et applications explicitement habilitées à cette fin ; (10) la mise en place d'un système d'information permettant en permanence l'enregistrement, le traçage et l'analyse des accès des personnes et entités logiques aux données à caractère personnel traitées ; (11) la mise en place d'un contrôle de la validité et de l'efficacité dans le temps des mesures techniques ou opérationnelles mises en place ; (12) la mise en place de procédures de secours en vue de gérer les incidents de sécurité impliquant les données à caractère personnel traitées ; | verwerkte persoonsgegevens en de verwerking die hierop betrekking hebben uitsluitend toegankelijk zijn voor personen en toepassingen die daartoe uitdrukkelijk gemachtigd zijn; (10) de implementatie van een informatiesysteem dat permanente logging, opsporing en analyse mogelijk maakt van de toegang die personen en logische entiteiten tot de verwerkte persoonsgegevens gehad hebben; (11) de implementatie van een toezicht op de geldigheid en op de efficiëntie in de tijd van de geïmplementeerde technische of organisatorische maatregelen; (12) de implementatie van noodprocedures voor het beheer van veiligheidsincidenten met verwerkte persoonsgegevens; |
| (13) la constitution et la tenue à jour d'une documentation suffisante | (13) het samenstellen en bijwerken van voldoende documentatie met |
| se rapportant à l'organisation de la sécurité de l'information dans le | betrekking tot de organisatie van de informatieveiligheid in het raam |
| cadre du traitement de données à caractère personnel concerné. | van de bedoelde verwerking van persoonsgegevens. |
Art. 2.L'institution visée à l'article 1er dispose de compétences |
Art. 2.De in artikel 1 bedoelde instelling beschikt over |
| d'audit en ce qui concerne le respect des mesures et conditions visées à l'article 1er. Ces compétences englobent la possibilité d'effectuer tant des vérifications préalables que des contrôles a posteriori, par exemple par le biais d'audits ponctuels réalisés auprès des redevables d'information. A cette fin, l'institution visée à l'article 1er enregistre et conserve dans son système informatique, pour chaque recherche d'information effectuée dans les fichiers du Registre national des personnes physiques pour compte du redevable d'information, les données suivantes durant une période de dix ans suivant la date de cette recherche : (1) le numéro de registre national des personnes physiques sur lesquelles la recherche portait ; | auditbevoegdheden met betrekking tot de naleving van de in artikel 1 bedoelde voorzieningen en voorwaarden. Deze bevoegdheden omvatten de mogelijkheid om zowel voorafgaande verificaties als controles a posteriori te voeren, bijvoorbeeld via punctuele audits bij informatieplichtigen. Te dien einde registreert en bewaart de in artikel 1 bedoelde instelling, voor iedere opzoeking in de bestanden van het rijksregister van de natuurlijke personen voor rekening van een informatieplichtige, de volgende gegevens gedurende een periode van tien jaar volgend op de datum van deze opzoeking: (1) het rijksregisternummer van de natuurlijke personen die het voorwerp uitmaakten van de betrokken opzoeking; |
| (2) l'identification du redevable d'information et du préposé de ce | (2) de identificatie van de informatieplichtige en van diens |
| dernier qui a demandé cette recherche ; et | aangestelde die de opzoeking heeft opgedragen; alsook |
| (3) le motif de cette recherche. | (3) het motief van deze opzoeking. |
Art. 3.L'arrêté royal du 3 février 2014 autorisant la Banque |
Art. 3.Het Koninklijk besluit van 3 februari 2014 waarbij de |
| Nationale de Belgique et les établissements de banque, de change, de | Nationale Bank van België en de bank-, wissel, krediet- en |
| crédit et d'épargne visés à l'article 322 du code des impôts sur les | spaarinstellingen bedoeld in artikel 322 van het Wetboek van de |
| revenus 1992 à accéder temporairement au Registre national des | inkomstenbelastingen 1992, gemachtigd worden tijdelijk toegang te |
| personnes physiques, est abrogé. | hebben tot het Rijksregister van de natuurlijke personen wordt |
Art. 4.Les ministres qui ont les Finances, l'Intérieur et la Justice |
opgeheven. Art. 4.De ministers die bevoegd zijn voor Financiën, Binnenlandse |
| dans leurs attributions sont chargés de l'exécution du présent arrêté, | zaken, en Justitie zijn belast met de uitvoering van dit besluit, |
| chacun pour ce qui le concerne. | ieder voor wat hem aanbelangt. |
| Donné à Bruxelles, le 22 avril 2019. | Gegeven te Brussel, 22 april 2019. |
| PHILIPPE | FILIP |
| Par le Roi : | Van Koningswege : |
| Le Vice-Premier Ministre et Ministre des Finances, | De Vice-Eerste Minister en Minister van Financiën, |
| A. DE CROO | A. DE CROO |
| Le Ministre de l'Intérieur, | De Minister van Binnenlandse Zaken, |
| P. DE CREM | P. DE CREM |
| Le Ministre de la Justice, | De Minister van Justitie, |
| K. GEENS | K. GEENS |