Informatieveiligheidscomité (IVC)

Bij de wet van 5 september 2018 werd het informatieveiligheidscomité opgericht.

Het bestaat uit twee kamers: de kamer sociale zekerheid en gezondheid, die is gevestigd bij de KSZ en het eHealth-platform, en de kamer federale overheid, die is gevestigd bij de federale overheidsdienst Beleid en Ondersteuning.
Het heeft specifieke opdrachten op het vlak van de informatieveiligheid – waaronder het verlenen van beraadslagingen voor bepaalde types mededelingen van persoonsgegevens – maar is geen toezichthoudende autoriteit in de zin van de Algemene Verordening Gegevensbescherming (AVG of GDPR). Het is bijgevolg niet bevoegd voor het toezicht op de naleving van de regelgeving, het oplossen van problemen en geschillen of het behandelen van klachten. Voor die aangelegenheden is immers de Gegevensbeschermingsautoriteit bevoegd.

De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is de opvolger van het sectoraal comité van de sociale zekerheid en van de gezondheid, waarvan het enkele bevoegdheden heeft overgenomen, zoals het formuleren van goede praktijken, het verlenen van beraadslagingen en het ondersteunen van functionarissen voor gegevensbescherming. De regelgeving voorziet dat het mandaat van de externe leden van het sectoraal comité van de sociale zekerheid en van de gezondheid gehandhaafd wordt tot de datum van de benoeming van de leden van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité en dat het sectoraal comité van de sociale zekerheid en van de gezondheid tot die datum vergadert als één instantie waarin de beide afdelingen (de afdeling sociale zekerheid en de afdeling gezondheid) worden geïntegreerd en de taken uitoefent die verenigbaar zijn met de AVG of GDPR.

Dat betekent concreet dat, hoewel het informatieveiligheidscomité momenteel nog niet samengesteld is, bepaalde taken van zijn kamer sociale zekerheid en gezondheid toch reeds uitgevoerd worden, zij het dan door bepaalde leden van het sectoraal comité van de sociale zekerheid en van de gezondheid, van wie het mandaat tijdelijk behouden blijft.

Leden van het sectoraal comité van de sociale zekerheid en van de gezondheid

Zoals opgemerkt, blijft het mandaat van bepaalde leden van het sectoraal comité van de sociale zekerheid en van de gezondheid behouden tot de dag van de benoeming van de eigenlijke leden van het informatieveiligheidscomité. Het betreft behalve de heer Yves Roger, die tijdelijk het voorzitterschap van de kamer sociale zekerheid en gezondheid uitoefent, de volgende personen.

Juristen

Michel DISPERSYN 
(plaatsvervanger: Pascal HUBAIN)

Paul SCHOUKENS 
(plaatsvervanger: Ludwine CASTELEYN)

Informaticus

Jean RAMAEKERS
(plaatsvervanger: Bart SIJNAVE)

Artsen

Bart VIAENE
(plaatsvervanger: Stefaan BARTOLOMEEUSEN)

Christian SMULDERS
(plaatsvervanger: Etienne DE CLERCQ)

Benoît DEBANDE
(plaatsvervanger: Didier THILLAYE DU BOULLAY)

Georges DE MOOR
(plaatsvervanger: Michel DENEYER)

 

Actiedomeinen van de kamer sociale zekerheid en gezondheid

De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is met het oog op de bescherming van de persoonlijke levenssfeer belast met de volgende taken:

  • het formuleren van de goede praktijken die zij nuttig acht voor de uitvoering en de naleving van de regelgeving over de Kruispuntbank en de regelgeving over de verwerking van persoonsgegevens die de gezondheid betreffen;
  • het vaststellen van de regels voor de mededeling van anonieme gegevens door de Kruispuntbank en voor de medewerking van de KSZ aan enquêtes, overeenkomstig artikel 5 van de Kruispuntbankwet;
  • het verlenen van beraadslagingen voor mededelingen van sociale persoonsgegevens en persoonsgegevens die de gezondheid betreffen, voor zover opgelegd door de regelgeving, en het bijhouden en publiceren van die beraadslagingen;
  • het inhoudelijk ondersteunen van de functionarissen voor gegevensbescherming, onder andere door het aanbieden van een passende voortdurende vorming en het formuleren van aanbevelingen, onder meer op het technische vlak;
  • het jaarlijks publiceren, op de website van de Kruispuntbank en op de website van het eHealth-platform, van een beknopt verslag over de vervulling van haar opdrachten tijdens het afgelopen jaar.

Verdere informatie over de activiteiten van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité op het vlak van de verwerking van persoonsgegevens die de gezondheid betreffen, is terug te vinden op de website van het eHealth-platform.
 

Functionarissen voor gegevensbescherming

Vroeger was vooraf een advies van het sectoraal comité van de sociale zekerheid en van de gezondheid vereist voor de aanduiding van de veiligheidsconsulenten van de instellingen van sociale zekerheid die rechtstreeks op de KSZ zijn aangesloten. Die verplichting geldt echter niet langer. Het informatieveiligheidscomité blijft wel (net als vroeger het sectoraal comité van de sociale zekerheid en de gezondheid) inhoudelijke ondersteuning bieden aan de functionarissen voor gegevensbescherming, door het aanbieden van een passende voortdurende vorming en het formuleren van aanbevelingen.
 

Beraadslagingen over mededelingen van persoonsgegevens

1. De kamer sociale zekerheid en gezondheid en de verenigde kamers

Elke mededeling van sociale persoonsgegevens door de KSZ of een instelling van sociale zekerheid aan een andere instelling van sociale zekerheid of aan een andere instantie dan een federale overheidsdienst, een programmatorische overheidsdienst of een federale instelling van openbaar nut vereist een voorafgaande beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité.

De volgende mededelingen van sociale persoonsgegevens door instellingen van sociale zekerheid zijn echter door het koninklijk besluit van 4 februari 1997 tot organisatie van de mededeling van sociale gegevens van persoonlijke aard tussen instellingen van sociale zekerheid vrijgesteld van een beraadslaging van het informatieveiligheidscomité maar moeten eventueel wel worden aangegeven bij het informatieveiligheidscomité:

  • mededelingen tussen een instelling van sociale zekerheid en haar eigen onderaannemer;
  • mededelingen tussen instellingen van sociale zekerheid van hetzelfde secundair netwerk, nodig voor het uitvoeren van de regelgeving inzake de sociale zekerheid;
  • mededelingen tussen het RIZIV en het NIC of de ziekenfondsen, nodig voor het uitvoeren van de regelgeving inzake de sociale zekerheid;
  • mededelingen van basisidentificatiegegevens binnen het netwerk van de sociale zekerheid.

In bepaalde gevallen zijn ook mededelingen van persoonsgegevens door overheidsdiensten en overheidsinstellingen van gemeenschappen en gewesten onderworpen aan een voorafgaande beraadslaging van het informatieveiligheidscomité, namelijk wanneer de overheidsdienst of overheidsinstelling in kwestie is toegetreden tot het netwerk van de sociale zekerheid met toepassing van het koninklijk besluit van 16 januari 2002. Een uitzondering geldt dan voor de mededeling van persoonsgegevens door die overheidsdienst of overheidsinstelling aan een andere instantie van dezelfde Gemeenschap of hetzelfde Gewest voor zover de partijen niet uitdrukkelijk om de tussenkomst van de KSZ verzoeken.

Voorbeelden

  • De VDAB behoort tot het netwerk van de sociale zekerheid. Als hij persoonsgegevens meedeelt aan een andere Vlaamse instantie en daarvoor geen beroep doet op de KSZ, is er geen beraadslaging vereist.
  • De FOREM behoort tot het netwerk van de sociale zekerheid. Als hij persoonsgegevens meedeelt aan een andere Waalse instantie en daarvoor geen beroep doet op de KSZ, is er geen beraadslaging vereist.
  • Een beraadslaging is wel vereist voor de mededeling van persoonsgegevens door de VDAB of de FOREM aan een federale instantie of aan een instantie van een andere Gemeenschap of een ander Gewest.

Een beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is niet vereist voor de mededeling van sociale persoonsgegevens door de KSZ of een instelling van sociale zekerheid aan het Algemeen Rijksarchief en het Rijksarchief in de Provinciën.

Een dergelijke beraadslaging is evenmin vereist voor de mededeling van gepseudonimiseerde sociale persoonsgegevens (dat zijn sociale persoonsgegevens die uitsluitend door middel van een betekenisloze code in verband kunnen worden gebracht met de persoon op wie zij betrekking hebben maar door de bestemmeling zelf niet herleid kunnen worden tot de betrokkene) die de KSZ volgens artikel 5, § 1, eerste lid, van de Kruispuntbankwet verricht aan de ministers die de sociale zekerheid onder hun bevoegdheid hebben, de Wetgevende Kamers, de openbare instellingen van sociale zekerheid, de Algemene Directie Statistiek / Statistics Belgium van de federale overheidsdienst Economie, KMO, Middenstand en Energie en de andere statistische autoriteiten bepaald in het samenwerkingsakkoord van 15 juli 2014 betreffende de nadere regels voor de werking van het Interfederaal Instituut voor de Statistiek, de Nationale Arbeidsraad, de Hoge Raad voor de Zelfstandigen en de Kleine en Middelgrote Ondernemingen, het Planbureau of de Nationale Bank van België.

Voor zover de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité een beraadslaging moet verlenen voor een mededeling van persoonsgegevens kan zij eventueel ook een beraadslaging verlenen voor het gebruik van het rijksregisternummer door de betrokken instanties indien dat noodzakelijk is in het kader van de beoogde mededeling.

Elke mededeling van sociale persoonsgegevens door de Kruispuntbank, een openbare instelling van sociale zekerheid (zoals de RSZ) of een federale overheidsdienst belast met de toepassing van de sociale zekerheid (zoals de federale overheidsdienst Sociale Zekerheid) aan een federale overheidsdienst, programmatorische overheidsdienst of federale instelling van openbaar nut die zelf geen instelling van sociale zekerheid is, vereist een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité, maar enkel indien de verwerkingsverantwoordelijken van de meedelende instantie, de ontvangende instantie en de KSZ niet tot een akkoord komen over de mededeling of minstens één van die verwerkingsverantwoordelijken om een beraadslaging verzoekt.

Elke mededeling van sociale persoonsgegevens door een andere instelling van sociale zekerheid dan de KSZ, een openbare instelling van sociale zekerheid of een federale overheidsdienst belast met de toepassing van de sociale zekerheid aan een federale overheidsdienst, programmatorische overheidsdienst of federale instelling van openbaar nut die zelf geen instelling van sociale zekerheid is, vereist steeds een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité.
 

2. De kamer federale overheid en de verenigde kamers

De werking van de kamer federale overheid van het informatieveiligheidscomité wordt geregeld in de (nieuwe) artikelen 35/1 tot 35/5 van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator.

De kamer federale overheid beraadslaagt over de mededelingen van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan derden die geen instelling van sociale zekerheid zijn, voor zover de betrokken verwerkingsverantwoordelijken niet tot een akkoord komen of minstens één verwerkingsverantwoordelijke om een beraadslaging verzoekt.

De mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan openbare instellingen van sociale zekerheid en federale overheidsdiensten belast met de toepassing van de sociale zekerheid vereist een beraadslaging van de verenigde kamers van het informatieveiligheidscomité, maar enkel voor zover de betrokken verwerkingsverantwoordelijken niet tot een akkoord komen of minstens één verwerkingsverantwoordelijke om een beraadslaging verzoekt.

De mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan andere instellingen van sociale zekerheid vereist steeds een beraadslaging van de verenigde kamers van het informatieveiligheidscomité.
 

3. Vroegere beraadslagingen

De voorgangers van het informatieveiligheidscomité – dat zijn het Toezichtscomité bij de Kruispuntbank (1990-2003), het sectoraal comité van de sociale zekerheid (2003-2007) en het sectoraal comité van de sociale zekerheid en van de gezondheid (2007-2018) – hebben inmiddels een uitgebreid aantal beraadslagingen verleend. Die beraadslagingen behouden hun rechtsgeldigheid, met toepassing van artikel 111 van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit.

Beraadslagingen van de kamer sociale zekerheid en gezondheid

De beraadslagingen van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité (en die van haar voorgangers) en de beraadslagingen van de verenigde kamers van het informatieveiligheidscomité zijn beschikbaar op de website van de KSZ (beraadslagingen over de verwerking van sociale persoonsgegevens) en op de website van het eHealth-platform (beraadslagingen over de verwerking van persoonsgegevens die de gezondheid betreffen). Bijkomende informatie kan worden opgevraagd bij het secretariaat van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité, via het mailadres ivc@mail.fgov.be.

Om een nieuwe beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité te verkrijgen, gebruikt de aanvrager het volgende formulier.

De ingevulde template dient te worden overgemaakt naar het volgende mailadres: ivc@mail.fgov.be.