← Retour vers "Directive commune contraignante des Ministres de la Justice et de l'Intérieur relative aux règles d'accès
des membres des services de police à la banque de données nationale générale, aux banques de données
de base, particulières et techniques A Au Commissaire
général de la police fédérale. Pour information à : Mesdames et Messieurs les (...)"
| Directive commune contraignante des Ministres de la Justice et de l'Intérieur relative aux règles d'accès des membres des services de police à la banque de données nationale générale, aux banques de données de base, particulières et techniques A Au Commissaire général de la police fédérale. Pour information à : Mesdames et Messieurs les (...) | Gemeenschappelijke bindende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de toegangsregels van de leden van de politiediensten tot de algemene nationale gegevensbank en de basis-, bijzondere en technische geg Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter(...) |
|---|---|
| SERVICE PUBLIC FEDERAL JUSTICE Directive commune contraignante des Ministres de la Justice et de l'Intérieur relative aux règles d'accès des membres des services de police à la banque de données nationale générale, aux banques de données de base, particulières et techniques A Mesdames et Messieurs les Bourgmestres, Au Commissaire général de la police fédérale. Pour information à : Mesdames et Messieurs les Procureurs généraux, Madame et Messieurs les Gouverneurs de province, Monsieur le Ministre-Président de la Région de Bruxelles-Capitale, Monsieur le Procureur fédéral et Mesdames et Messieurs les Magistrats du parquet fédéral, Mesdames et Messieurs les Commissaires d'arrondissement, Monsieur le Président de la Commission Permanente de la police locale, Mesdames et Messieurs les Chefs de corps de la police locale, Madame et Messieurs les Présidents de l'Organe de contrôle de l'information policière, du Comité permanent de contrôle des services de police et de l'Inspection générale de la police fédérale et de la police locale. Madame le Bourgmestre, Monsieur le Bourgmestre, Monsieur le Commissaire général, I. CADRE GENERAL | FEDERALE OVERHEIDSDIENST JUSTITIE Gemeenschappelijke bindende richtlijn van de Ministers van Justitie en van Binnenlandse Zaken met betrekking tot de toegangsregels van de leden van de politiediensten tot de algemene nationale gegevensbank en de basis-, bijzondere en technische gegevensbank Aan de Dames en Heren Burgemeesters, Aan de Commissaris-generaal van de federale politie. Ter kennisgeving van: De Dames en Heren Procureurs-generaal, Mevrouw en Heren Provinciegouverneurs, De Heer Minister-President van het Brussels Hoofdstedelijk Gewest, De Heer Federaal procureur en de Dames en Heren Magistraten van het federaal parket, Dames en Heren Arrondissementscommissarissen, De Heer Voorzitter van de Vaste Commissie van de lokale politie, De Dames en Heren Korpschefs van de lokale politie, Mevrouw en Heren Voorzitters van het Controleorgaan op de politionele informatie, het Vast Comité van Toezicht op de politiediensten en de Algemene inspectie van de federale politie en van de lokale politie. Mevrouw de Burgemeester, Mijnheer de Burgemeester, Mijnheer de Commissaris-generaal, I. ALGEMEEN KADER |
| L'article 44/4, § 3 de la loi sur la fonction de police (ci-après « | Het artikel 44/4, § 3 van de wet op het politieambt (hierna "WPA") |
| LFP ») constitue la base légale pour la présente directive concernant | vormt de wettelijke basis voor de onderhavige richtlijn aangaande de |
| les règles d'accès des membres des services de police à la Banque de | toegangsregels voor de leden van de politiediensten tot de Algemene |
| Données Nationale Générale (ci-après « BNG »), aux banques de données | Nationale Gegevensbank (hierna "ANG"), tot de basis-, bijzondere en |
| de base, particulières et techniques. | technische gegevensbanken. |
| Conformément à cet article, les ministres de l'Intérieur et de la | Conform dit artikel bepalen de ministers van Binnenlandse Zaken en van |
| Justice, chacun dans le cadre de leurs compétences et sans préjudice | Justitie, elk binnen het kader van hun bevoegdheden en onverminderd de |
| des compétences des autorités judiciaires, déterminent par directive | bevoegdheden van de gerechtelijke overheden, bij algemene en bindende |
| générale et contraignante, publiée au Moniteur belge, les règles | richtlijn gepubliceerd in het Belgisch Staatsblad, de toegangsregels |
| d'accès des membres des services de police aux banques de données | voor de leden van de politiediensten tot de gegevensbanken bedoeld in |
| visées à l'article 44/2, §§ 1er et 3. | artikel 44/2, §§ 1 en 3. |
| Pour ce qui concerne les données de police judiciaire, il y a lieu de | Wat de gegevens van gerechtelijke politie betreft, moeten de regels |
| se conformer également aux règles des autorités judiciaires et de | van de gerechtelijke overheden en strafprocedure ook worden nageleefd, |
| procédure pénale, en particulier en ce qui concerne le secret de | inzonderheid wat betreft het geheim van het opsporings- en het |
| l'information et de l'instruction. | gerechtelijk onderzoek. |
| Le 22 mai 2019, la LFP a été modifiée à la lumière des nouvelles | Op 22 mei 2019 werd de WPA gewijzigd in het licht van de nieuwe |
| dispositions en matière de protection des données. Auparavant, les | bepalingen inzake gegevensbescherming. Voordien dienden de |
| règles d'accès des membres des services de police ne devaient pas être | toegangsregels van de leden van de politiediensten niet gepubliceerd |
| publiées au Moniteur belge. De ce fait, les directives en la matière | te worden in het Belgisch Staatsblad. De richtlijnen ter zake werden |
| étaient incluses dans la partie non publiée de la circulaire MFO-3. | aldus opgenomen in het niet gepubliceerde deel van de omzendbrief |
| L'avis du Conseil des bourgmestres a été donne le 12 août 2020, celui | MFO-3. Het advies van de raad van burgemeesters werd op 12 augustus 2020 |
| de l'Organe de contrôle de l'information policière le 22 septembre | uitgebracht, dat van het Controleorgaan op de politionele informatie |
| 2020 et celui du Collège des Procureurs Généraux le 4 mars 2021. | op 22 september 2020 en dat van het College van procureurs-generaal op 4 maart 2021. |
| II. LES REGLES D'ACCES A LA BNG ET AUX BANQUES DE DONNEES DE BASE, PARTICULIERES ET TECHNIQUES Les membres des services de police ont un accès à la BNG, aux banques de données de base, particulières et techniques (ci-après « banques de données ») pour accomplir des missions de police administrative et de police judiciaire. L'accès à ces banques de données et aux données qu'elles contiennent leur est octroyé parce qu'ils ont le besoin d'en connaître. Pour cette raison, l'accès doit être nécessaire pour exécuter les tâches attribuées. Les membres des services de police s'identifient et sont authentifiés préalablement à chaque accès aux banques de données et aux données qu'elles contiennent et chaque accès fait l'objet d'une journalisation1. Les chefs de corps, pour la police locale, le commissaire général, les directeurs généraux et les directeurs, pour la police fédérale, ci-après "l'autorité", décident pour les membres de leur personnel quels accès sont nécessaires pour exécuter les tâches qu'ils leur confient. Pour déterminer si l'accès à une banque de données est nécessaire, l'autorité s'appuie sur les finalités définies dans la LFP pour cette catégorie de banque de données2. Si la tâche vise l'une des finalités, c'est que l'accès à la banque de données est nécessaire. L'autorité sera particulièrement vigilante lorsqu'elle appliquera cette règle pour décider de donner l'accès aux données relatives aux enquêtes et à la gestion de celles-ci. En effet, cet accès se justifie pour les membres des services de police réellement engagés dans ces tâches spécialisées et pour cette raison il fait partie d'un profil spécifique. Pour déterminer si l'accès à une catégorie de données est nécessaire, l'autorité s'appuie sur les critères suivants : | II. DE TOEGANGSREGELS TOT DE ANG EN DE BASIS-, BIJZONDERE EN TECHNISCHE GEGEVENSBANKEN. De leden van de politiediensten hebben toegang tot de ANG, de basis-, bijzondere en technische gegevensbanken (hierna "gegevensbanken") om opdrachten van bestuurlijke en gerechtelijke politie te vervullen. De toegang tot deze gegevensbanken en tot de gegevens die zij bevatten wordt hun verleend omdat zij de nood hebben om er kennis van te nemen. Om deze reden moet de toegang noodzakelijk zijn om de toegekende taken uit te voeren. De leden van de politiediensten worden voorafgaandelijk elke toegang tot de gegevensbanken en de gegevens die ze bevatten geïdentificeerd en geauthentiseerd en elke toegang wordt gelogd1. De korpschef, voor de lokale politie, de commissaris-generaal, de directeurs-generaal en directeurs, voor de federale politie, hierna "de overheid", beslissen voor de leden van hun personeel welke toegang noodzakelijk is om de hun toevertrouwde taken uit te voeren. Om te bepalen of een toegang tot een gegevensbank noodzakelijk is, steunt de overheid zich op de doeleinden bepaald in de WPA voor deze categorie van gegevensbank2. Als de taak één van de doeleinden beoogt, dan is de toegang tot de gegevensbank noodzakelijk. De overheid zal bijzonder waakzaam zijn bij de toepassing van deze regel wanneer zij besluit toegang te verlenen tot gegevens in verband met onderzoeken en het beheer daarvan. Deze toegang is immers gerechtvaardigd voor leden van de politiediensten die zich daadwerkelijk met deze gespecialiseerde taken bezighouden en maakt om die reden deel uit van een specifiek profiel. Om te bepalen of een toegang tot een categorie van gegevens noodzakelijk is, steunt de overheid zich op de volgende criteria: |
| 1) la ou les catégorie(s) de personnes visées à l'article 44/5 de la | 1) de categorie(ën) van personen bedoeld in artikel 44/5 van de WPA. |
| LFP. Les catégories des témoins et des victimes sont examinées avec la | De categorieën van getuigen en slachtoffers worden met grote |
| plus grande rigueur. | omzichtigheid onderzocht. |
| 2) le niveau d'évaluation des données3 sur la base de sa source, de la | 2) het evaluatieniveau van de gegevens3 op basis van hun bron, van de |
| qualité de la donnée et de l'usage qui peut en être fait; | kwaliteit van het gegeven en het gebruik dat ervan kan worden gemaakt; |
| 3) le niveau de validation des données. Les données sont soit | 4) het validatieniveau van de gegevens. De gegevens zijn ofwel |
| validées, soit non validées. | gevalideerd, ofwel niet gevalideerd. |
| Pour déterminer si l'accès aux données à caractère personnel relatives | Om te bepalen of een toegang tot persoonsgegevens betreffende de |
| à l'origine raciale ou ethnique, aux opinions politiques, aux | raciale of etnische afkomst, de politieke opvattingen, de |
| convictions religieuses ou philosophiques, à l'appartenance syndicale, | godsdienstige of levensbeschouwelijke overtuiging, het lidmaatschap |
| à la santé ou à la vie ou l'orientation sexuelle et si le traitement | van een vakvereniging, de gezondheid, seksueel gedrag of seksuele |
| de données génétiques ou biométriques4 est justifié pour un membre des services de police, il est en outre vérifié qu'il appartient à l'une des catégories de personnes désignées par le responsable du traitement pour un tel accès ou traitement5. Pour déterminer le droit d'accès nécessaire, l'autorité considère le traitement de données à réaliser : une consultation (lecture) simple ou sur la base de paramètres, un enregistrement (écriture), un transfert, une validation, une modification, un archivage, un effacement ou tout autre traitement de données. Afin de permettre une prise de décision en connaissance de cause, des directives internes à la police intégrée contiennent, pour les banques de données et les applications techniques, les informations suivantes : | gerichtheid en indien de verwerking van genetische of biometrische gegevens4 gerechtvaardigd is voor een lid van de politiediensten, moet bovendien worden nagegaan dat deze behoort tot de categorieën van personen aangesteld door de verwerkingsverantwoordelijke voor een dergelijke toegang of verwerking5. Om het recht tot noodzakelijke toegang te bepalen, neemt de overheid de te bereiken verwerking van gegevens in beschouwing: eenvoudige raadpleging of raadpleging op grond van parameters (lezen), registratie (schrijven), overdracht, validatie, wijziging, archivering, uitwissing of enige andere verwerking van gegevens. Om een besluitvorming met kennis van zaken mogelijk te maken, bevatten de interne richtlijnen voor de geïntegreerde politie de volgende informatie over gegevensbanken en technische toepassingen: |
| 1) les finalités; | 1) de doeleinden; |
| 2) les catégories de personnes visées à l'article 44/5 de la LFP; | 2) de categorieën van personen bedoeld in artikel 44/5 van de WPA; |
| 3) le niveau d'évaluation des données; | 3) het evaluatieniveau van de gegevens; |
| 4) le niveau de validation des données; | 4) het validatieniveau van de gegevens; |
| 5) le profil requis pour y accéder; | 5) het vereiste profiel om er toegang toe te krijgen; |
| 6) les droits d'accès et ce qu'ils permettent. | 6) het toegangsrechten en wat zij toelaten. |
| Ces directives sont tenues à la disposition de l'Organe de contrôle de | Deze richtlijnen worden ter beschikking gesteld van het Controleorgaan |
| l'information policière. | op de politionele informatie. |
| L'application de ces règles vise à individualiser les accès des | De toepassing van deze regels is bedoeld om de toegang voor leden van |
| membres des services de police. | de politiediensten te individualiseren. |
| L'autorité décide pour les membres de son personnel pour quelle durée | De overheid beslist voor de leden van haar personeel voor welke duur |
| l'accès est accordé. Une tâche temporaire ne nécessite pas un accès | de toegang wordt verleend. Voor een tijdelijke taak is geen permanente |
| permanent. Par exemple, en cas de détachement ou de réaffectation dans | toegang vereist. Bijvoorbeeld in geval van detachering of herplaatsing |
| une autre zone de police, l'accès à l'ISLP de la zone est accordé | in een andere politiezone, dan zal de toegang tot ISLP van deze zone |
| pendant la durée du détachement ou de la réaffectation. En revanche un | toegekend worden voor de duur van deze detachering of herplaatsing. |
| accès à la BNG peut être permanent et rester actif aussi longtemps que | Anderzijds kan de toegang tot de ANG permanent zijn en actief blijven |
| le membre des services de police est engagé dans des missions de | zolang het personeelslid van de politiedienst gerechtelijke of |
| police judiciaire ou de police administrative dans la mesure où la BNG | bestuurlijke politieopdrachten uitvoert, voor zover de ANG de |
| est la banque de données dont l'ensemble des services de police ont | gegevensbank is die alle politiediensten nodig hebben om hun |
| besoin pour exercer leurs missions. | opdrachten uit te voeren. |
| L'autorité s'assure que les membres de son personnel ont les | De overheid zorgt ervoor dat haar personeelsleden over de nodige |
| connaissances requises pour accéder aux banques de données et aux | kennis beschikken om toegang te krijgen tot de gegevensbanken en de |
| données qu'elles contiennent ainsi que pour effectuer les activités de | gegevens die deze bevatten evenals om de verwerkingsactiviteiten uit |
| traitement prévues pour le droit d'accès octroyé. | te voeren die zijn voorzien voor het verleende toegangsrecht. |
| L'autorité dispose d'une politique d'accès traduisant les règles en | De overheid beschikt over een toegangsbeleid dat de voorgeschreven |
| fonction de la situation locale dont elle est responsable. Pour | regels weerspiegelt in overeenstemming met haar lokale situatie |
| l'accès aux banques de données particulières et techniques locales, le | waarvoor zij verantwoordelijk is. Voor de toegang tot de bijzondere en |
| responsable du traitement peut déroger à certaines règles de la | de lokale technische gegevensbanken kan de |
| présente pour autant que l'objectif à atteindre par la règle ne soit | verwerkingsverantwoordelijke van sommige van deze regels afwijken in |
| pas ou très peu impacté. Il s'agit par conséquent de poursuivre le | zoverre dat het geen of zeer weinig invloed heeft op het te bereiken |
| même objectif mais en utilisant d'autres moyens. Dans ce cas, il faut | doel. Het gaat er bijgevolg om hetzelfde doel na te streven, maar door |
| gebruik van andere middelen. In dit geval is het noodzakelijk om de | |
| être en mesure d'en motiver la raison et de la conserver afin de | reden hiervoor te kunnen verantwoorden en deze bij te houden teneinde |
| pouvoir expliquer son approche en cas de contrôle par les services | hun aanpak toe te lichten in geval van een controle door de bevoegde |
| compétents. Il s'agit en premier lieu de l'Organe de contrôle de | diensten. Dit is in de eerste plaats het Controleorgaan op de |
| l'information policière. | politionele informatie. |
| Les accès des membres des services à la BNG, aux banques de données de | De toegang van de leden van de diensten tot de ANG, tot de |
| base, particulières et techniques sont donc encadrés par la présente | basisgegevensbanken, bijzondere gegevensbanken en technische |
| directive, par des directives internes à la police intégrée et par la | gegevensbanken wordt dus geregeld door de onderhavige richtlijn, door |
| interne richtlijnen van de geïntegreerde politie en door het | |
| politique d'accès de l'autorité. Chaque niveau est ainsi impliqué et | toegangsbeleid van de overheid. Elk niveau is dus betrokken en neemt |
| prend les responsabilités qui lui incombent pour permettre la bonne | de verantwoordelijkheden op zich die nodig zijn om te zorgen voor de |
| application des règles d'accès et la bonne gestion de ceux-ci. | juiste toepassing van de toegangsregels en het goede beheer daarvan. |
| III. LA GESTION DES ACCES Les règles sont mises en oeuvre dans le cadre d'une gestion globale des accès avec des procédures et des systèmes de gestion des accès. Les procédures de demande et d'autorisation d'accès font l'objet de directives internes à la police intégrée. Celles-ci sont tenues à la disposition de l'Organe de contrôle de l'information policière. Sauf dérogation dûment justifiée, la gestion des accès est supportée par un système de permissions basé sur des rôles. C'est le registre central des profils et des accès. Pour les banques de données particulières et techniques locales, le registre est organisé localement par le responsable du traitement et respecte les mêmes règles. Le registre a pour objectif de : 1) contenir les décisions portant sur les accès et les profils des | III. HET BEHEER VAN DE TOEGANGEN De regels worden ingevoerd in het raam van een algemeen toegangsbeheer met procedures en systemen voor het beheer van de toegangen. De procedures voor het aanvragen en verlenen van toegang maken het voorwerp uit van interne richtlijnen binnen de geïntegreerde politie. Deze worden ter beschikking gesteld van het Controleorgaan op de politionele Informatie. Tenzij naar behoren gemotiveerde uitzonderingen, wordt het toegangsbeheer ondersteund door een op rollen gebaseerd rechtensysteem. Dit is het centrale register van profielen en toegangen. Voor de bijzondere en de lokale technische gegevensbanken wordt het register lokaal georganiseerd door de verwerkingsverantwoordelijke en volgt deze dezelfde regels. Het doel van het register is om: 1) beslissingen te bevatten betreffende de toegang en de profielen van |
| membres des services de police; | de leden van de politiediensten; |
| 2) connaître en permanence les accès et profils qui leur sont | 2) een permanent zicht te hebben op de toegangen en profielen die |
| individuellement octroyés; | individueel werden toegekend; |
| 3) rendre compte globalement ou individuellement sur les accès et les | 3) rekenschap af te leggen, globaal of individueel, aangaande de |
| profils. Il s'agit notamment de tenir à la disposition de l'Organe de | toegangen en de profielen. Met name om toegangsprofielen en de |
| contrôle de l'information policière les profils d'accès et | identificatie van personen met toegang ter beschikking te stellen van |
| l'identification des personnes ayant accès. | het Controleorgaan op de politionele Informatie. |
| L'enregistrement des décisions, des accès et des profils et leur mise | De registratie van beslissingen, de toegang en de profielen en hun |
| à jour dans le registre central se fait localement au niveau le plus | actualisatie in het centrale register gebeurt lokaal op het niveau dat |
| proche de la décision. L'autorité peut décider de déléguer cette | het dichtst bij de beslissing ligt. De overheid kan beslissen deze |
| tâche. | taak te delegeren. |
| Exceptionnellement, la direction qui gère et développe la BNG procède | Bij wijze van uitzondering, voert de directie die de ANG beheert en |
| à l'enregistrement, par exemple, en raison de la sensibilité6 | ontwikkelt de registratie uit, bijvoorbeeld, wegens de bijzondere |
| particulière des données ou lorsqu'il s'agit de donner un profil | gevoeligheid6 van de gegevens of wanneer het om een bepaald profiel |
| déterminé. | gaat. |
| Les données à caractère personnel relatives aux membres des services | De persoonsgegevens van de leden van de politiediensten worden |
| de police sont automatiquement mises à jour dans le registre par la | automatisch bijgewerkt in het register door verbinding te maken met de |
| connexion avec la source authentique pour la gestion du personnel de | authentieke bron voor het personeelsbeheer van de geïntegreerde |
| la police intégrée. La mise à jour garantit notamment que les membres | politie. De bijwerking zorgt er met name voor dat personeelsleden die |
| du personnel partis à la retraite n'aient plus d'accès aux banques de | met pensioen zijn gegaan geen toegang meer hebben tot de |
| données. | gegevensbanken. |
| La gestion des accès est un processus dynamique avec des mises à jour | Toegangsbeheer is een dynamisch proces met regelmatige updates, zodat |
| régulières de sorte que seuls les accès nécessaires soient actifs. | alleen de noodzakelijke toegangen actief zijn. Bovendien dragen wij |
| Nous chargeons en plus chaque autorité de vérifier au moins une fois | elke autoriteit op ten minste eenmaal per jaar na te gaan of de |
| par an que les données du registre sont toujours à jour. Les accès | gegevens in het register nog actueel zijn. De toegangen moeten |
| doivent en effet rester nécessaires et autorisés. Les contrôles et mises à jour sont importants, par exemple, parce que les tâches d'un membre des services de police ont changé. IV. LES PROFILS Pour des raisons techniques et logiques liées aux processus de travail, des profils sont créés. Ils rendent uniforme la correspondance entre des tâches et les accès nécessaires pour les exécuter. Un profil est conforme à la loi s'il peut être démontré que, lors de sa détermination, il a été tenu compte des règles d'accès développées au point II. L'autorité décide pour les membres de son personnel quel profil est nécessaire pour exécuter les tâches qu'elle leur confie. De ce fait, elle donne l'autorisation de l'accès. Comme les profils peuvent évoluer en fonction du travail policier et de la technologie, ils sont déterminés dans des directives internes à la police intégrée. Celles-ci sont tenues à la disposition de l'Organe | noodzakelijk en geautoriseerd blijven. Controles en bijwerkingen zijn belangrijk, bijvoorbeeld omdat de taken van een lid van de politiediensten zijn veranderd. IV. DE PROFIELEN Om technische en logische redenen gebonden aan de werkprocessen worden er profielen aangemaakt. Ze uniformiseren de overeenstemming tussen de taken en de noodzakelijke toegangen. Een profiel is in overeenstemming met de wet als kan worden aangetoond dat bij de bepaling ervan rekening werd gehouden met de in punt II ontwikkelde toegangsregels. De overheid beslist voor haar personeelsleden welk profiel noodzakelijk is om de taken die ze aan hen toevertrouwt uit te voeren. Hierdoor geeft ze de toestemming voor de toegang. Omdat de profielen kunnen evolueren in functie van het politionele werk, zijn ze in interne richtlijnen van de geïntegreerde politie bepaald. Deze richtlijnen worden ter beschikking gesteld van het |
| de Contrôle de l'information policière. | Controleorgaan op de Politionele Informatie. |
| V. L'IDENTIFICATION, L'AUTHENTIFICATION ET LA JOURNALISATION (LOGGING) | V. IDENTIFICATIE, AUTHENTICATIE EN LOGBESTANDEN (LOGGING) |
| La règle d'identification et d'authentification vaut pour chaque accès | De identificatie- en authenticatieregel is van toepassing op elke |
| aux banques de données et aux données qu'elles contiennent. | toegang tot de gegevensbanken en de gegevens die ze bevatten. |
| L'identification vérifie techniquement que celui qui se connecte afin | Met de identificatie wordt technisch nagegaan of de persoon die |
| d'accéder aux banques de données est bien un membre des services de police et que son autorité hiérarchique a autorisé cet accès. La garantie que l'on est un membre des services de police est donnée en consultant la source authentique pour la gestion du personnel de la police intégrée. L'authentification garantit techniquement que le membre des services de police qui s'est identifié et dispose de l'accès requis est bien le membre du personnel réellement concerné. L'authentification multifacteur7 est la norme pour les solutions informatiques déployées postérieurement à la présente directive. L'identifiant et le moyen d'authentification sont strictement personnels. L'accès aux banques de données et le traitement de données qu'elles contiennent font l'objet d'une journalisation (logging) qui établit, a | verbinding maakt om toegang tot de gegevensbanken te hebben, effectief lid is van de politiediensten en of zijn of haar hiërarchische overheid deze toegang heeft goedgekeurd. De garantie dat men een personeelslid van de politiediensten is, wordt gegeven door het raadplegen van de authentieke bron voor het personeelsbeheer van de geïntegreerde politie. Authenticatie garandeert technisch gezien dat het lid van de politiediensten die zich heeft geïdentificeerd en de vereiste toegang heeft, wel degelijk het juiste lid is. De multifactor7 authenticatie is de standaard voor IT-oplossingen die na deze richtlijn worden geïmplementeerd. De identificatiecode en de wijze van authenticatie zijn strikt persoonlijk. De toegang tot de gegevensbanken en de verwerking van de gegevens die daarin zijn opgenomen, maken het voorwerp uit van een logbestand |
| posteriori, qui a eu accès et a fait quel traitement, de quelle | (logging), waarbij a posteriori wordt vastgesteld wie toegang heeft |
| donnée, quand et, formulé de façon compréhensible, pourquoi. Une consultation irrégulière peut constituer une infraction pénale, entraînant la rédaction d'un procès-verbal et est donc également susceptible de constituer une transgression disciplinaire. Lorsque le traitement est une communication de données, la journalisation établit aussi les systèmes qui les ont communiquées, les catégories de destinataires des données à caractère personnel, et, si possible, l'identité des destinataires de ces données. Sauf dérogation dûment justifiée, la journalisation est supportée par un système appelé « registre central des loggings ». Pour les banques de données particulières et techniques locales, le registre est organisé localement par le responsable du traitement et respecte les mêmes règles. Les données de journalisation sont conservées dans le registre pendant : | gehad en welke verwerking heeft uitgevoerd, van welke gegevens, wanneer en, begrijpelijk geformuleerd, waarom. Een onregelmatige raadpleging kan een strafbaar feit vormen, dat leidt tot de opstelling van een proces-verbaal, en kan dus ook een tuchtrechtelijke overtreding inhouden. Wanneer de verwerking een mededeling van gegevens is, worden in het logbestand ook de systemen vastgesteld die de gegevens hebben meegedeeld, de categorieën ontvangers van de persoonsgegevens en, indien mogelijk, de identiteit van de ontvangers van deze gegevens. Tenzij er een naar behoren gerechtvaardigde afwijking wordt gemaakt, wordt het logbestand ondersteund door een systeem dat "het centraal register van de logbestanden" wordt genoemd. Voor de bijzondere en lokale technische gegevensbanken wordt het register lokaal georganiseerd door de verwerkingsverantwoordelijke en volgt dezelfde regels. De logbestanden worden in het register bewaard voor een periode van: |
| 1) 30 ans à partir du traitement dans la BNG; | 1) 30 jaar na verwerking in de ANG; |
| 2) 15 ans à partir du traitement dans les banques de données de base; | 2) 15 jaar na verwerking in de basisgegevensbanken; |
| 3) 10 ans, au minimum, à partir du traitement dans les banques de | 3) ten minste 10 jaar na verwerking in de bijzondere gegevensbanken. |
| données particulières. Le responsable du traitement peut décider de | De verwerkingsverantwoordelijke kan besluiten deze periode te |
| prolonger ce délai de maximum 20 ans en motivant sa décision. | verlengen tot maximaal 20 jaar, mits motivatie van deze beslissing. |
| 4) 10 ans à partir du traitement dans les banques de données | 4) 10 jaar na verwerking in de technische gegevensbanken. |
| techniques. La journalisation est utilisée uniquement à des fins de vérification | De logbestanden worden alleen gebruikt om de rechtmatigheid van de |
| de la licéité du traitement, d'autocontrôle par les services de | verwerking te controleren, voor zelfcontrole door de politiediensten, |
| police, de garantie de l'intégrité et de la sécurité des données à | om de integriteit en de veiligheid van de persoonsgegevens te |
| caractère personnel, à des fins de procédures pénales et à des fins de | waarborgen en in het raam van strafrechtelijke procedures en voor |
| surveillance par l'Organe de contrôle de l'information policière ou | toezichtdoeleinden door het Controleorgaan op de politionele |
| par d'autres instances de contrôle. | |
| L'accès au registre des loggings est réglé par des procédures internes | informatie of andere toezichthoudende instanties. |
| garantissant la nécessité, la proportionnalité et la sécurité de | De toegang tot de logbestanden wordt geregeld door middel van interne |
| l'accès. Celles-ci sont soumises à l'avis de l'Organe de contrôle de | procedures die de noodzaak, de evenredigheid en de veiligheid van de |
| l'information policière. | toegang waarborgen. Deze zijn onderworpen aan het advies van het |
| Les procédures de demande de données de la journalisation et le | Controleorgaan op de Politionele Informatie. |
| traitement des demandes font l'objet de directives internes à la | De procedures voor het opvragen van logbestanden en de verwerking van |
| police intégrée. Celles-ci sont tenues à la disposition de l'Organe de | verzoeken maken het voorwerp uit van interne richtlijnen van de |
| geïntegreerde politie. Deze worden ter beschikking gesteld van het | |
| contrôle de l'information policière. | Controleorgaan op de Politionele Informatie. |
| Le Ministre de la Justice, | De Minister van Justitie, |
| V. VAN QUICKENBORNE | V. VAN QUICKENBORNE |
| La Ministre de l'Intérieur, | De Minister van Binnenlandse Zaken, |
| A. VERLINDEN | A. VERLINDEN |
| _______ | _______ |
| Notes | Nota's |
| 1 Le point V définit ces notions et leurs objectifs. | 1 Punt V definieert deze begrippen en hun doelstellingen. |
| 2 Pour la BNG à l'article 44/7; les banques de données de base à | 2 Voor de ANG op artikel 44/7; de basisgegevensbanken op artikel |
| l'article 44/11/2 § 1er; les banques de données particulières à | |
| l'article 44/11/3 § 2; les banques de données techniques à l'article | 44/11/2 § 1; de bijzondere gegevensbanken op artikel 44/11/3 § 2; de |
| 44/11/3septies. | technische gegevensbanken op artikel 44/11/3septies. |
| 3 Les niveaux d'évaluation des données sont déterminés dans des | 3 De evaluatieniveaus van gegevens worden bepaald in niet |
| directives non publiées. | gepubliceerde richtlijnen. |
| 4 Il s'agit des catégories particulières de données à caractère | 4 Het gaat over de bijzondere categorieën van personen bedoeld in |
| personnel visées à l'article 34 de la loi du 30 juillet 2018 relative | artikel 34 van de wet dd 30 juli 2018 betreffende de bescherming van |
| à la protection des personnes physiques à l'égard des traitements de | natuurlijke personen met betrekking tot de verwerking van |
| données à caractère personnel. | persoonsgegevens. |
| 5 Il s'agit de l'application de l'article 44/1 § 2, alinéa 3 de la loi | 5 Het gaat over de toepassing van artikel 44/1 § 2, lid 3 van de wet |
| sur la fonction de police. | op het politieambt. |
| 6 La sensibilité pourrait par exemple concerner des données | 6 De gevoeligheid zou bij voorbeeld de biometrische gegevens of nog de |
| biométriques ou encore des données relatives à la santé. | gegevens in verband met de gezondheid kunnen betreffen. |
| 7 Authentification basée sur plusieurs facteurs ou « Multi-Factor | 7 Authenticatie gebaseerd op verschillende factoren of "Multi-Factor |
| Authentication » (M.F.A.) repose sur au moins deux des trois éléments | Authentication" (M.F.A.). is gebaseerd op ten minste twee van de |
| suivants : un élément "connaissance" (quelque chose que seul | volgende drie elementen: een element "kennis" (iets dat alleen de |
| l'utilisateur connaît), un élément "possession" (quelque chose que | gebruiker weet), een element "bezit" (iets dat alleen de ondertekenaar |
| seul le signataire possède) et un élément "inhérence" (quelque chose | heeft) en een element "hoedanigheid" (iets dat de gebruiker is) |
| que l'utilisateur est) |