10 DECEMBER 2017. - Koninklijk besluit houdende uitvoering van artikel 4, derde lid, van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten

FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten, artikel 4, derde lid;

Gelet op het koninklijk besluit van 27 maart 2015Relevante gevonden documenten type koninklijk besluit prom. 27/03/2015 pub. 04/06/2015 numac 2015003218 bron federale overheidsdienst financien Koninklijk besluit houdende uitvoering van artikel 4, eerste lid van de wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende uitvoering van artikel 4, eerste lid van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten ;

Gelet op het advies van het sectoraal comité voor de Federale overheid van 20 februari 2014;

Gelet op advies 62.161/3 van de Raad van State, gegeven op 17 oktober 2017, met toepassing van artikel 84, § 1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;

Op de voordracht van de Minister van Financiën, belast met bestrijding van de fiscale fraude Hebben Wij besloten en besluiten Wij :

Artikel 1.Het reglement van 6 februari 2017 dat werd goedgekeurd door de instantie bedoeld in artikel 4, derde lid van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten, wordt door Ons goedgekeurd en als bijlage bijgevoegd bij dit besluit.

Art. 2.De minister bevoegd voor Financiën is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 10 december 2017.

FILIP Van Koningswege : De Minister van Financiën, belast met Bestrijding van de fiscale fraude, J. VAN OVERTVELDT

Bijlage bij het koninklijk besluit van 10 december 2017 genomen in uitvoering van artikel 4, derde lid, van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten: Reglement m.b.t. enerzijds de procedure inzake de aanvraag tot toegang tot persoonsgegevens bijgehouden door een administratie, en/of diensten van de Federale Overheidsdienst Financiën en anderzijds de procedure volgens dewelke de uitwisseling zal plaatsvinden 1. Inleiding In het kader van de uitoefening van zijn verschillende wettelijke opdrachten, verzamelt de Federale Overheidsdienst Financiën (FOD Financiën) persoonsgegevens. De verwerking van deze persoonsgegevens valt onder het toepassingsgebied van de wet van 8 december 1992 betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de FOD Financiën zelf.

Deze verwerking van persoonsgegevens bevat twee aspecten: een eerste, individueel aspect: de ambtenaar heeft een geautomatiseerde toegang tot de gegevens op basis van zijn profiel en een tweede : de massaverwerking via de uitwisseling van bestanden.

Om de uitvoering van zijn verschillende opdrachten te verzekeren beschikt de FOD Financiën over administraties en diensten(1) welke in de mogelijkheid dienen gesteld te worden om de verkregen, verwerkte gegevens onderling uit te wisselen.

Het is deze uitwisseling van gegevens welke bepaald is in artikel 4 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten welk het volgende bepaalt: "De administraties en/of diensten van de Federale Overheidsdienst Financiën wisselen persoonsgegevens uit op basis van een toelating van een instantie binnen de Federale Overheidsdienst Financiën aangewezen door een koninklijk besluit, na advies van het Sectoraal Comité voor de Federale Overheid." Deze instantie beslist welke soorten persoonsgegevens voorwerp mogen uitmaken van een uitwisseling tussen administraties en/of diensten van de FOD Financiën, op een systematische of precieze wijze, voor welbepaalde doeleinden en dit na te hebben nagegaan of die gegevens toereikend, ter zake dienend en niet overmatig zijn.

Zij stelt een reglement op waarin enerzijds het proces van aanvraag tot toegang tot de persoonsgegevens gehouden door een administratie en/of dienst van de FOD Financiën en anderzijds de procedure volgens dewelke deze uitwisseling plaats zal vinden uitgewerkt en beschreven wordt.

Dit regelement wordt goedgekeurd door de Koning, na advies van het" Sectoraal Comité voor de Federale Autoriteit." Het is de Voorzitter van het directiecomité die aangewezen wordt zoals de hogervermelde instantie bij Koninklijk besluit houdende uitvoering van artikel 4, eerste lid van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten.

Het is dus door middel van dit reglement dat de Voorzitter van het Directiecomité het toegangskader vastlegt en de voorwaarden en procedures voorschrijft welke nagekomen en gevolgd dienen te worden wanneer er uitwisseling van persoonsgegevens plaatsvindt tussen de algemene administraties en/of diensten van de FOD Financiën.

Dit reglement is alleen van toepassing op de geautomatiseerde uitwisseling van persoonsgegevens. De uitwisseling van gegevens met betrekking tot individuele zaken, éénmalig of op papier worden niet bedoelt. Zij maken deel uit van de beslissing van de Voorzitter van het directiecomité van 6 februari 2017. 2. Beginsel betreffende de interne uitwisseling van gegevens binnen de administraties en/of diensten in toepassing van artikel 4 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten In toepassing van artikel 4 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten stelt elke algemene administratie en/of dienst van de FOD Financiën alle gegevens, noodzakelijk voor de uitoefening van zijn wettelijke opdrachten, ter beschikking van de andere algemene administraties en/of diensten. Deze terbeschikkingstelling, die een gegevensuitwisseling is volgens het reglement, wordt toegestaan door de Voorzitter van het Directiecomité met toepassing van één van de drie hieronder beschreven procedures: toegangsmatrix, aanvraag om uitzonderlijke toegang en toegang tot de gegevens van de datawarehouse.

Iedere procedure laat toe om het doel, de evenredigheid en de veiligheid van de aanvraag te onderzoeken en garandeert aldus een toereikende, ter zake dienende en niet overmatige toegang tot de gegevens. Immers, de algemene administratie of de dienst moet concreet het functioneel belang rechtvaardigen ten overstaande van het geheel of een deel van zijn ambtenaren alsook rechtvaardigen dat de uitgewisselde inlichtingen evenredig, pertinent en niet buitensporig zijn ten opzichte van hun wettelijke opdrachten.

Dit onderzoek houdt rekening met de voorafgaandelijke toestemmingen van het Sectoraal Comité voor de Federale Overheid of enig andere bevoegde overheid evenals met de internationale en Europese reglementaire bepalingen.

Ondanks het bepaalde toegangskader kan de Voorzitter van het Directiecomité, voor alle vragen van gegevensverwerking, het advies vragen van het Sectoraal Comité voor de Federale Overheid.

De Voorzitter van het Directiecomité kan zijn bevoegdheid m.b.t. tot toestemming overdragen na voorafgaand advies van het Directiecomité De Voorzitter van het Directiecomité kan, na advies van het Directiecomité, een algemene en principiële machtiging verlenen gebruik makend van één van de hieronder beschreven procedures. 3. Toegang via een beheersysteem van de identiteiten en een toegangsmatrix Krachtens artikel 10 van de voornoemde wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten wordt het toegangsrecht individueel en persoonlijk toegekend op basis van een profiel.De toegang mag niet overgedragen worden. Iedere gebruiker van het interne net van de Federale Overheidsdienst aan wie een persoonlijke toegang verstrekt werd, is persoonlijk verantwoordelijk voor het gebruik ervan.

Elke toegang tot de dossiers, gegevens of electronische applicaties zal door het beheerssysteem gecontroleerd worden op vlak van de identiteit van de persoon die toegang vraagt en op vlak van de overeenstemming met zijn profiel.

Elke toegang of poging tot toegang tot de gegevens wordt gelogd en maakt het voorwerp uit van een automatische registratie.

Voor elke toepassing wordt een toegangsmatrix gecreëerd volgens een standaardprocedure rekening houdend met zakelijke en technische aspecten. Deze toegangsmatrix bevat de toegangsregels welke een antwoord kunnen geven op de vragen : "wie mag wat, waar, wanneer en in welke hoedanigheid", " wie krijgt inzage in wat" en "wat-waar".

De huidige standaard is het Identity & Access managementsysteem (IAM).

Het betreft een informaticatool waarin elke nieuwe toepassing die binnen de FOD wordt ontwikkeld, moet worden opgenomen. Dit systeem biedt een identificatie-, authenticatie-, machtigings-, login- en auditsysteem.

Volgens de IAM-standaard belast de Voorzitter van het Directiecomité de Dienst voor informatieveiligheid en Bescherming van de Persoonlijke levenssfeer (DIVBPL) met de controle, door middel van het integratiedocument business, in samenwerking met ICT en de verantwoordelijke van de toepassing en de dienst van toezicht, de toegangsmatrix evenals de maatregelen met betrekking tot de login, genomen ter controle van het doel, de evenredigheid en de veiligheidsmaatregelen van de verleende toegangen. De DIVBPL maakt zijn advies met betrekking tot het wel of niet verlenen van de machtiging over aan de Voorzitter van het Directiecomité. Wanneer er binnen de 7 dagen na overmaking van het advies geen opmerkingen geformuleerd worden door de Voorzitter van het Directiecomité wordt de machtiging geacht stilzwijgend verleend te zijn.

Elke toepassingsverantwoordelijke ("Business Owner") wordt geacht alle gegevens met betrekking tot het aanmaken en de aanpassingen van de toegangsmatrix te bewaren. Dit geldt eveneens voor de historiek van de uitzonderlijke toegangsaanvragen zoals voorzien in het volgende punt. 4. Procedure voor de aanvraag om uitzonderlijke toegang De procedure voor de aanvraag tot uitzonderlijke toegang betreft een toegang die niet is voorzien in de oorspronkelijke toegangsmatrix. Deze procedure wordt gebruikt wanneer een dienst vaststelt dat hij toegang tot bijkomende gegevens nodig heeft om zijn wettelijke opdracht uit te voeren. Deze toegang dient door middel van een intern formulier aangevraagd te worden bij de betrokken algemene administratie en/of dienst.

Het ingevulde formulier wordt overgemaakt aan de DIVBPL aan wie de Voorzitter van het Directiecomité de taak toevertrouwd heeft om het doel en de evenredigheid van de toegangsaanvraag in het licht van het integratiedocument van de toepassing na te gaan.

De DIVBPL maakt zijn advies, met betrekking tot de toelating, over aan de Voorzitter van het Directiecomité.

Bij ontstentenis van een beslissing van de Voorzitter van het Directiecomité binnen de 7 dagen na overmaking van het advies wordt de toelating geacht stilzwijgend verleend te zijn.

Het onderzoek naar het doel en de evenredigheid kan uitgevoerd worden door de Administrateur-Generaal/directeur of zijn afgevaardigde op voorwaarde dat de toegang gevraagd wordt door één van zijn diensten en enkel toegang gevraagd wordt met betrekking tot toepassingen en gegevens ontwikkeld en verzameld voor zijn algemene administratie en/of dienst of wanneer het een uitvoering is van een algemene en principiële machtiging zoals voorzien in punt 2. Het resultaat van dat onderzoek wordt overgemaakt aan de DIVBPL. De uitwisselingen worden opgeslagen in functie van een controle à posteriori van de toegangsaanvraag.

Wanneer de toegang verleend wordt, wordt deze geconcretiseerd door de aanpassing van het beheerssysteem van de identiteiten en/of de toegangsmatrix van de betrokken toepassing. 5. Bijzondere verwerking, inwerkingtreding van artikel 5 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten. Wanneer in het kader van de toepassing van artikel 5 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten blijkt dat het gemeenschappelijk gebruiken van gegevens van verschillende algemene administraties en/of diensten noodzakelijk blijkt, dan wordt dit beschouwd als een bijzondere verwerking inzake interne uitwisseling van gegevens.

Deze interne uitwisseling vindt plaats opdat enerzijds deze diensten doelgerichte controles zouden kunnen uitvoeren op basis van risico-indicatoren en anderzijds opdat deze diensten analyses zouden kunnen uitvoeren op gerelateerde gegevens afkomstig van verschillende administraties en/of diensten van de FOD Financiën.

Deze toegang is strikt voorbehouden aan gegevensanalisten, dataminers en gegevensbeheerders en wordt uitsluitend toegekend na een gewettigde aanvraag door middel van een daartoe voorzien document: de fiche Data & Access Management (fiche DAM).

Deze fiche herneemt de noodzakelijke elementen met betrekking tot de controle van de evenredigheid, veiligheidsmaatregelen en het documentaire aspect dit om de nagestreefde doelstellingen en de gebruikte methodologie te onderkennen.

Deze fiche wordt ingevuld door het projectteam dat verantwoordelijk is voor de analyse en de uitwerking van het project in samenwerking met de gegevensanalisten en de gegevensbeheerders.

De Voorzitter van het Directiecomité vertrouwt het onderzoek van deze fiche toe aan ICT voor wat betreft de technische en veiligheidsaspecten en aan de DIVBPL voor wat betreft de het doel en de evenredigheid. De DIVBPL maakt zijn advies welke het advies van de ICT bevat over aan de Voorzitter van het comité voor machtiging. De machtiging wordt geacht stilzwijgend verleend te zijn wanneer er geen opmerkingen geformuleerd werden binnen de 7 dagen na overmaking van het advies.

Het onderzoek van de fiche in functie van het doel en de evenredigheid kan uitgevoerd worden door de Administrateur-generaal/Directeur of zijn afgevaardigde op voorwaarde dat de toegang gevraagd wordt voor een van zijn diensten en enkel met betrekking tot gegevens van zijn administratie en/of stafdienst of wanneer het de uitvoering is van een algemene en principiële machtiging zoals voorzien in punt 2.

In dit geval dient het advies overgemaakt te worden aan DIVBPL welke het op zijn beurt overmaakt aan de Voorzitter van het Directiecomité.

Wanneer de toegang verleend wordt gebeurt de verwerking van de gegevens onder toezicht van de controledienst bedoeld in artikel 9 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten. 6. A posteriori controle van individuele toegangen Overeenkomstig artikel 10 § 4 van de wet van 3 augustus 2012Relevante gevonden documenten type wet prom. 03/08/2012 pub. 24/08/2012 numac 2012003257 bron federale overheidsdienst financien Wet houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten sluiten, wordt elke toegang of poging tot toegang tot de gegevens automatisch geregistreerd (log).Deze registratie wordt bewaard en zijn toegang is het voorwerp van een interne procedure.

Een specifiek formulier, beschikbaar op het Intranet, moet worden ingevuld door de aangewezen personen, zijnde : de procureur des Konings, een onderzoeksrechter, de politie die een kantschrift aflevert, de ICT-diensten, de Service Desk en elke autoriteit bevoegd om een voorstel tot tuchtstraf te formuleren. ( Ministerieel besluit van 17 december 2012Relevante gevonden documenten type ministerieel besluit prom. 17/12/2012 pub. 21/12/2012 numac 2012003329 bron federale overheidsdienst financien Ministerieel besluit tot aanwijzing van de hiërarchische meerderen die bevoegd zijn om een voorlopig voorstel van tuchtstraf te formuleren sluiten tot aanwijzing van de hiërarchische meerderen die bevoegd zijn om een voorlopig voorstel van tuchtstraf te formuleren).

De Voorzitter van het Directiecomité belast de dienst DIVBPL met de behandeling van het ingevulde formulier. In het geval een aanvraag niet afkomstig is van een agent van de FOD Financiën, beoordeelt deze dienst de validiteit/eigenheid van de aanvraag en kan deze meehelpen bij het bepalen van de toepassingen en de betreffende gegevens, alvorens de aanvraag over te maken aan de ICT- diensten. Indien de aanvraag afkomstig is van een agen van de FOD Financiën zal deze dienst de motivering en de evenredigheid van de gevraagde gegevens (type, duur, aantal betrokken ambtenaren) onderzoeken. Bij een gunstig advies, wordt de aanvraag ter uitvoering overgemaakt aan de ICT-diensten. Het resultaat van het onderzoek wordt via de DIVBPL aan de aanvrager meegedeeld voor verder gevolg.

Brussel, 6 februari 2017.

H. D'Hondt Gezien om te worden gevoegd bij Ons besluit van 10 december 2017.

FILIP Van Koningswege : De Minister van Financiën, J. VAN OVERTVELDT _______ Nota (1) De FOD Financiën bestaat uit verschillende operationele en niet-operationele diensten.Onder "administratie en/of andere diensten van de FOD Financiën " verstaan we de operationele diensten en de diensten andere dan de operationele diensten bepaald bij de organieke Koninklijke besluiten van 3 december 2009 houdende regeling van de operationele diensten van de Federale Overheidsdienst Financiën en het Koninklijk besluit van 19 juli 2013Relevante gevonden documenten type koninklijk besluit prom. 19/07/2013 pub. 02/08/2013 numac 2013003216 bron federale overheidsdienst financien Koninklijk besluit tot vaststelling van het organiek reglement van de Federale Overheidsdienst Financiën en van de bijzondere bepalingen die van toepassing zijn op het statutair personeel type koninklijk besluit prom. 19/07/2013 pub. 02/08/2013 numac 2013003213 bron federale overheidsdienst financien Koninklijk besluit tot wijziging van het koninklijk besluit van 3 maart 2005 houdende de bijzondere bepalingen met betrekking tot de bezoldigingsregeling van het personeel van de Federale Overheidsdienst Financiën en van de Pensioendienst voor de Overheidssector sluiten welke bepalingen met betrekking tot het organiek reglement van de Federale Overheidsdienst bevat naast bepalingen specifiek voor de statutaire ambtenaren