2 JUNI 2019. - Koninklijk besluit tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox
VERSLAG AAN DE KONING
Sire,
-
INLEIDING
Veilige elektronische communicatie met de overheid stimuleren is een belangrijke stap in het vormgeven van de digitale transformatie van de overheid.
Met de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox wordt een wettelijk kader gecreëerd voor het elektronisch uitwisselen van berichten tussen overheidsinstanties (gebruikers) en natuurlijke personen, ondernemingen of andere overheidsinstanties.
De doelstelling van de eBox is enerzijds om de burgers/ondernemingen een centrale, betrouwbare en moderne plaats voor de uitwisseling van berichten met de overheidsdiensten aan te bieden. Anderzijds wil men ook een tool aanreiken aan de overheidsdiensten om de verzending van officiële berichten te dematerialiseren en dus de postkosten aanzienlijk te verminderen (brieven en aangetekende brieven).
Artikel 11 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox vormt de wettelijke basis voor dit besluit. Overeenkomstig dit artikel treedt de Federale Overheidsdienst Beleid en Ondersteuning op als erkennende overheid voor diensten voor ontsluiting van de eBox voor burgers. De Koning voorziet de voorwaarden, de procedure en de gevolgen voor deze erkenning. Het systeem van erkenning bestaat niet voor eBox ondernemingen.
Het doel is het gebruiksgemak voor de bestemmeling te laten primeren zodat zij diensten die zij al voor hun privécommunicatie gebruiken kunnen gebruiken voor overheidscommunicatie. Gebruiksgemak wordt gecombineerd met controle over de veiligheid en de gegevensbescherming, wat de keuze voor een erkenningssysteem verklaart.
Bij een erkenning geldt dat iedereen die voldoet aan de voorwaarden zijn diensten kan aanbieden voor overheidstoepassingen.
De door de Koning vast te stellen voorwaarden voor erkenning zullen een hoog beschermingsniveau verzekeren voor de privacy en confidentialiteit van de gegevens, en dienen minstens betrekking te hebben op functionele en technische kenmerken, op respect voor de persoonlijke levenssfeer en invulling van veiligheidsvereisten met name inzake informatieveiligheid en onweerlegbaarheid (conform randnummer 37 van het advies 47/2018 van de Commissie voor de bescherming van de persoonlijke levenssfeer), op dienstverleningsbeheer en op juridische en economische kenmerken. De technische details worden door de federale overheidsdienst bevoegd voor digitale agenda vastgelegd en bekendgemaakt. Dit gebeurt in overleg met de Kruispuntbank van de Sociale Zekerheid.
-
BESPREKING VAN DE HOOFDSTUKKEN
2.1 Hoofdstuk I
In hoofdstuk I worden de in het ontwerp van koninklijk besluit gebruikte termen gedefinieerd (art. 1) en wordt het voorwerp van het koninklijk besluit toegelicht (art. 2 en 3).
2.2 Hoofdstuk II
Hoofdstuk II bevat de voorwaarden waaraan een dienstverlener moet voldoen om een erkenning te bekomen.
Afdeling 1 van dit hoofdstuk gaat in op de functionele en technische voorwaarden, waarbij onderafdeling 1 de functionele en technische voorwaarden omtrent de dienst voor gegevensontsluiting bevat. Een aantal puur technische specificaties zal door de erkennende overheid bepaald worden.
Om het randnummer 13 van het advies 16/2019 van de Gegevensbeschermingsautoriteit te beantwoorden, is het belangrijk te stellen dat de kandidaat voor erkenning een dienst moet aanbieden die bestaat uit het ontsluiten en visualiseren van elektronische berichten van derden, anders dan de aanvrager zelf, aan Belgische burgers of aan rechtspersonen die in België gevestigd zijn. Dit gaat dus niet over de erkende dienst maar over een gelijkaardige dienst. Ofwel biedt hij deze dienst al twee jaar aan ofwel heeft hij al 50.000 klanten ofwel doorloopt hij een succesvolle pilootfase bij de erkennende overheid. Het is voldoende om aan één van deze voorwaarden te voldoen op het moment van indiening van de aanvraag.
De Wet van 19 juli 2018 inzake toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties is van toepassing op overheidsinstanties. Dit besluit vereist respect van deze regels ook voor dienstverleners die zich willen laten erkennen voor ontsluiting van de eBox.
Onderafdeling 2 gaat in op de keuze van de bestemmeling voor de dienst voor gegevensontsluiting.
De instemming zal door natuurlijke personen kunnen gegeven en ingetrokken worden.
De instemming van de natuurlijke persoon moet conform de Algemene Verordening Gegevensbescherming gebeuren. Dit houdt in dat het moet gaan om een positieve en expliciete actie, een actieve handeling van de betrokkene (niet impliciet), aantoonbaar, een vrije echte keuze (geen wanverhouding) en met eenvoudige mogelijkheid tot intrekken van de toestemming en duidelijke informatie over deze mogelijkheid. De informatie dient beschikbaar te zijn in begrijpelijke en makkelijk toegankelijke vorm, in duidelijke en eenvoudige taal.
De bestemmeling kan kiezen voor één of meerdere dienstverleners. De dienstverlener mag de bestemmeling niet verhinderen of ontmoedigen om (ook) van een andere dienstverlening gebruik te maken om de eBox te consulteren of om te eBox te consulteren zonder dienstverlener.
De dienstverlening van de dienstverlener is beperkt tot het verlenen van een dienst voor gegevensontsluiting zoals gedefinieerd in dit besluit, en omvat dus geen opslag, andere bijkomende diensten of enige verdere verwerking van elektronische berichten door de dienstverlener, behoudens wanneer een bestemmeling hiervoor een contract afsluit met de dienstverlener en hier dus duidelijk voor kiest. De toestemming van de bestemmeling om toegang te verlenen tot zijn berichten aan de dienstverlener in het kader van een bijkomende dienst, dient te voldoen aan de vereisten van artikel 4, 11° van de Algemene Verordening Gegevensbescherming.
Onderafdeling 3 bepaalt het versturen van het uniek identificatienummer (rijksregisternummer of kruispuntbanknummer) bij de aanmelding door de gebruiker.
Het betrouwbaarheidsniveau "substantieel" dat gevraagd wordt voor de dienst voor elektronische identificatie komt bovenop het betrouwbaarheidsniveau "aangepast", dat vereist is door de Algemene Verordening Gegevensbescherming 2016/679 en men moet het betrouwbaarheidsniveau "substantieel" interpreteren in de zin van artikel 8, paragraaf 2 van Verordening (EU) 910/2014 dat het volgende bepaalt: "het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen".
Onderafdeling 4 regelt de informatie-uitwisseling tussen de dienstverlener en de erkennende overheid.
In onderafdeling 5 worden bijkomende waarborgen voor de bescherming van persoonsgegevens opgenomen.
De dienstverlener zal alle persoonsgegevens die vervat zijn in een bericht of in een transactie verwerken in overeenstemming met artikel 11, § 4 en 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, met de bepalingen van de Algemene Verordening Gegevensbescherming en met alle eventuele bijkomende of aanvullende wettelijke bepalingen inzake de bescherming van de persoonlijke levenssfeer.
De dienstverlener van een erkende dienst neemt bij de transactie geen kennis van de inhoud van berichten die via de dienstverlener verlopen, noch maakt zij er op enige andere wijze gebruik van voor het aanbieden van de erkende dienst. De dienstverlener neemt hiervoor de nodige maatregelen en documenteert deze.
Overeenkomstig de verduidelijking gevraagd in randnummer 14 van advies 16/2019 van de Gegevensbeschermingsautoriteit, ontvangt de dienstverlener van de erkennende overheid enkel metadata over het bericht zodat hij de bestemmeling kan verwittigen die dan de inhoud van het bericht kan consulteren. Na ondubbelzinnig en voorafgaand akkoord van de persoon in kwestie kan de dienstverlener eventueel toegang krijgen tot de inhoud van de berichten voor het verlenen van een dienst met toegevoegde waarde. De dienstverlener moet ook hier de nodige maatregelen garanderen om een vrijelijke, specifieke, geïnformeerde en ondubbelzinnige toestemming te verzekeren en dit documenteren.
Overeenkomstig randnummer 10, 3° van het advies 16/2019 van de Gegevensbeschermingsautoriteit wordt gespecifieerd dat de persoon slechts voor het ontvangen van diensten met toegevoegde waarde toestemming kan geven aan de dienstverlener om toegang te hebben tot de inhoud van een bericht met als doel om gegevens te verwerken die strikt noodzakelijk zijn voor het aanbieden van de dienst met toegevoegde waarde. Met strikt noodzakelijk wordt bedoeld dat de aangeboden dienst niet kan worden verricht zonder de verwerking van deze gegevens.
De opmerkingen van de Autoriteit in de randnummers 5 tot 9 kunnen echter niet in aanmerking genomen worden.
De mogelijkheid voor erkende dienstverleners om toegang te krijgen tot de inhoud van berichten is immers expliciet voorzien in artikel 11 § 5 van de wet van 27 februari 2019. Deze mogelijkheid werd door de wetgever voorzien zodat de erkende aanbieders innovatieve diensten zouden kunnen aanbieden waarvoor de verwerking van inhoudsgegevens strikt noodzakelijk is. Indien deze diensten met toegevoegde waarde puur op basis van metadata kunnen worden aangeboden, mogen de dienstenaanbieders aan de bestemmeling krachtens de wet dus geen toegang tot de inhoud van de berichten vragen voor het aanbieden van deze diensten.
Een eerste waarborg m.b.t. de verwerking van inhoudsgegevens is aldus de vereiste van noodzakelijkheid: enkel wanneer het technisch gezien niet mogelijk is om de dienst aan te bieden zonder verwerking van de inhoud, kan de aanbieder de bestemmeling de toestemming vragen om...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI