Sinds 1 januari 2018 moeten de administraties en de diensten van de FOD Financiën bij de geautomatiseerde uitwisseling van persoonsgegevens rekening houden met het ‘Uitwisselingsreglement van 6 februari 2017’ van Hans D’Hondt, de voorzitter van het Directiecomité. De tekst concretiseert onder meer de uitwisselingsvoorwaarden: gaande van individueel en persoonlijk toegangsrecht op basis van een profiel, over aanvragen om uitzonderlijke toegang tot de toegangscriteria voor gegevens uit de datawarehouse. Elke (poging tot) toegang wordt automatisch geregistreerd en kan het voorwerp uitmaken van een controleonderzoek.
Wettelijke vereiste
Conform de Privacywet en de
wet van 3 augustus 2012 over de verwerking van persoonsgegevens door de FOD Financiën zelf mogen de administraties en de diensten van de FOD Financiën persoonsgegevens alleen uitwisselen wanneer ze daarvoor een toelating kregen van ‘een instantie binnen de FOD Financiën’, zijnde de Voorzitter van het Directiecomité. Deze instantie bepaalt welke gegevens voorwerp mogen uitmaken van systematische uitwisseling en voor welke doeleinden. Maar de instantie is ook verplicht om een algemeen toegangsreglement op te stellen waarin enerzijds wordt bepaalt op welke manier personeel en diensten toegang krijgen tot persoonsgegevens die door de administraties en diensten worden gehouden én anderzijds de uitwisselingsprocedure beschrijft.
Op 6 februari 2017 heeft huidig voorzitter Hans Dhondt dit reglement gefinaliseerd. Op 10 december 2017 werd het goedgekeurd door de federale regering. Het is sinds 1 januari van toepassing.
Maar let op: het reglement is alleen van toepassing op de geautomatiseerde uitwisseling van persoonsgegevens binnen de diensten en administraties van de FOD Financiën. De bepalingen gelden niet voor de eenmalige uitwisseling van individuele zaken op papier.
Basisprincipes
Conform de wet van 3 augustus 2012 is iedere administratie en dienst van de FOD Financiën verplicht om alle gegevens die noodzakelijk zijn voor de uitvoering van de wettelijke opdrachten ter beschikking te stellen van andere algemene administraties en diensten. Die terbeschikkingstelling moet worden toegestaan door de Voorzitter van het Directiecomité.
Ofwel door toepassing van de toegangsmatrix, ofwel via een aanvraag om uitzonderlijke toegang of toegang tot de gegevens van de datawarehouse. Dit onderzoek houdt rekening met de voorafgaande toestemmingen van het Sectoraal Comité voor de federale overheid en die van andere bevoegde overheden én met de internationale en Europese regels ter zake.
Toegangsmatrix
De wet van 2012 kent ambtenaren een individueel en persoonlijk toegangsrecht toe op basis van een profiel. Die toegang mag niet worden overgedragen. Iedere gebruiker van het interne net van de FOD Financiën aan wie een persoonlijke toegang werd verstrekt, is persoonlijk verantwoordelijk voor het gebruik ervan. Elke toegang tot de dossiers, gegevens of elektronische applicaties zal door het beheerssysteem gecontroleerd worden op vlak van identiteit en overeenstemming met het profiel. Iedere (poging tot) toegang wordt gelogd en automatisch geregistreerd.
Voor iedere toepassing wordt een toegangsmatrix gecreëerd volgens een standaardprocedure. De matrix bevat de toegangsregels die en antwoord kunnen geven op de vragen ‘wie mag wat, waar, wanneer en in welke hoedanigheid’, ‘wie krijgt inzage in wat’, enz.
De huidige standaard is het ‘Identity & Access Managementsystem, een identificatie-, authenticatie-, machtigings-, login- en auditsysteem. De Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer (DIVBPL) geeft de voorzitter advies over het wel of niet verlenen van een toegangsmachtiging. Zijn er binnen de 7 dagen geen opmerkingen, dan wordt de machtiging geacht stilzwijgend te zijn verleend.
Uitzonderlijke toegang
Het gaat hier om een toegang die niet voorzien is in de oorspronkelijke toegangsmatrix. De procedure wordt gebruikt wanneer een dienst vaststelt dat hij toegang tot bijkomende gegevens nodig heeft om z’n wettelijke opdracht te kunnen uitvoeren. Deze toegang moet worden aangevraagd bij de betrokken algemene administratie of dienst via een intern aanvraagformulier.
Maar ook hier zal de DIVBPL de aanvraag controleren en advies geven.
Wanneer er toegang wordt verleend, wordt die geconcretiseerd via een aanpassing van het beheerssysteem van de identiteiten en/of toegangsmatrix van de betrokken toepassing.
Bijzondere verwerking
Als blijkt dat een gemeenschappelijk gebruik van gegevens van verschillende administraties of diensten noodzakelijk is, dan wordt dit beschouwd als ‘een bijzondere verwerking inzake interne uitwisseling van gegevens’. Bijvoorbeeld in het kader van doelgerichte controles op basis van risico-indicatoren.
Deze toegang is strikt voorbehouden aan gegevensanalisten, dataminers en gegevensbeheerders. En kan pas worden toegekend na een gewettigde aanvraag via de fiche ‘Data & Access Management (fiche DAM). Ook hier is de DIVBPL aan zet.
Wanneer de toegang wordt verleend, gebeurt de gegevensverwerking onder toezicht van de controledienst.
A posteriori controle van individuele toegangen
Elke (poging tot) toegang wordt automatisch geregistreerd ('gelogd') en kan het voorwerp uitmaken van een controleonderzoek. Daarvoor moet een specifiek formulier (beschikbaar op het Intranet) ingevuld worden door de aangewezen personen: de procureur des Konings, een onderzoeksrechter, de politie die een kantschrift aflevert, de ICT-diensten, de Service Desk en iedere autoriteit die bevoegd is om een voorstel tot tuchtstraf te formuleren. De DIVBPL zal die formulieren nakijken en verder behandelen.
