Aanvraag tot machtiging voor aanwending van het Rijksregister met ...

Sectoraal comité van het Rijksregister
Beraadslaging RR nr 44/2013 van 8 mei 2013
Betreft: Aanvraag tot machtiging voor aanwending van het Rijksregister met het oog op de
organisatie van het gebruikers- en toegangsbeheer voor de verscheidene toepassingen beheerd door
het Ministerie van het Brussels Hoofdstedelijk Gewest (RN-MA-2013-014)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité");
Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen
(hierna "WRR");
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;
Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de
Commissie voor de bescherming van de persoonlijke levenssfeer;
Gelet op de aanvraag van het Ministerie van het Brussels Hoofdstedelijk Gewest ontvangen op
01/02/2013;
Gelet op de bijkomende informatie ontvangen op 01/03/13;
Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst
Binnenlandse Zaken op 12/03/2013;
1/10

Beraadslaging RR 44 /2013 - 2/10
Gelet op de beslissing van het Comité op 17/04/2013 om de behandeling van het dossier op te
schorten tot de volgende zitting zodat kan worden nagegaan in hoeverre de beslissing die het
Comité nam in het dossier RN-MA-2012-291 naar dit dossier moet worden doorgetrokken;
Gelet op het verslag van de Voorzitter;
Beslist op 8 mei 2013, na beraadslaging, als volgt:
I. VOORWERP VAN DE AANVRAAG
1. De aanvraag strekt ertoe om het Ministerie van het Brussels Hoofdstedelijk Gewest, hierna
de aanvrager, te machtigen om:
toegang te verkrijgen tot de informatiegegevens vermeld in artikel 3, eerste lid, WRR (met
uitzondering van de gegevens onder 7° 1 en 11° 2 die niet worden gevraagd);
het identificatienummer van het Rijksregister te gebruiken;
met het oog op de organisatie en uitbouw van een toegangs- en gebruikersbeheer ten behoeve van
de directies en besturen die deel uitmaken van de aanvrager.
II. ONDERZOEK VAN DE AANVRAAG
A. TOEPASSELIJKE WETGEVING
A.1. Wet van 8 augustus 1983 (WRR)
2. De aanvrager 3 dient een aanvraag tot machtiging in voor de toegang tot de gegevens van
het Rijksregister en het gebruik van het Rijksregisternummer in het kader van een efficiënt
1 Het gegeven ‘beroep’.
2 Het gegeven “de administratieve toestand van de in artikel 2, eerste lid, 3°, bedoelde personen”.
3 Weliswaar hebben verschillende besturen van de aanvrager in het verleden, elk afzonderlijk, reeds machtigingen gekregen
voor toegang tot het Rijksregister en/of om het identificatienummer van het Rijksregister te gebruiken. De machtigingen,
verleend aan afzonderlijke directies, hebben betrekking op specifieke doelstellingen, die telkens in de machtigingen worden
vermeld. Het gaat onder meer over Bestuur Economie en Werkgelegenheid, Directie Werkgelegenheidsbeleid (beraadslaging
RR nr. 56/2009 van 9 september 2009), Bestuur Economie en Werkgelegenheid, Sociale inspectie (beraadslaging RR nr.
014/2004 van 26 april 2004), Bestuur Economie en Werkgelegenheid, Gewestelijke Werkgelegenheidsinspectie (beraadslaging
RR nr. 66/2012 van 5 september 2012), Bestuur Plaatselijke Besturen, Algemene directie (beraadslaging RR nr. 09/2006 van
3 mei 2006), Bestuur Ruimtelijke ordening en Huisvesting, Directie Gewestelijke Huisvestingsinspectie (beraadslaging RR nr.
06/2012 van 11 januari 2012), Bestuur Uitrusting en Vervoer, Directie Taxi's en Bijzondere Vormen van Geregeld Vervoer
(beraadslaging RR nr. 27/2006 van 18 oktober 2006).
.
.
.

Beraadslaging RR 44 /2013 - 3/10
en veilig gebruikers- en toegangsbeheer voor de verschillende toepassingen en gegevens die
het beheert ten behoeve van zijn directies en besturen.
3. Overeenkomstig artikel 5, eerste lid, 1°, WRR en artikel 8 WRR wordt de machtiging om
toegang te bekomen tot of mededeling te bekomen van de informatiegegevens van het
Rijksregister en om het identificatienummer ervan te gebruiken door het Comité verleend
aan de Belgische openbare overheden voor de informatiegegevens die zij gemachtigd zijn te
kennen uit hoofde van een wet, een decreet of een ordonnantie.
4. De aanvrager vervult taken van openbaar belang die voortvloeien uit de bevoegdheden die
ingevolge de Bijzondere Wet aan het Hoofdstedelijk Gewest zijn toegekend en komt dus op
grond van artikel 5, eerste lid, 1° en artikel 8 van de WRR in aanmerking om toegang te
krijgen tot de gegevens van het Rijksregister en om het identificatienummer van het
Rijksregister te gebruiken.
A.2. Wet van 8 december 1992 (WVP)
5. Op grond van artikel 4 WVP vormen de informatiegegevens en het identificatienummer van
het Rijksregister persoonsgegevens, waarvan de verwerking slechts is toegelaten voor
welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Persoonsgegevens
dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de
doeleinden waarvoor zij worden verwerkt.
B. FINALITEITEN
6. De aanvrager wenst toegang tot de informatiegegevens vermeld in artikel 3, eerste lid, WRR
(behoudens de gegevens onder 7° en 11°) en gebruik van het identificatienummer vermeld
in artikel 8 WRR met het oog op het aanbieden van een gecoördineerd gebruikers- en
toegangsbeheer aan zijn directies en besturen met het oog op de elektronische diensten die
door deze laatsten worden aangeboden.
7. De aanvraag moet gesitueerd worden tegen het licht van de door de regering van het
Brussels Hoofdstedelijk Gewest verleende goedkeuring aan een ontwerp van ordonnantie
betreffende de elektronische communicatie in het kader van de betrekkingen met de
overheden van het Brussels Hoofdstedelijk Gewest.
8. Aanvrager volgt de aanbeveling nr. 01/2008 van 24 september 2008 van de Commissie, die
stelt dat een systeem voor het gebruikers- en toegangsbeheer in de overheidssector best

Beraadslaging RR 44 /2013 - 4/10
wordt uitgebouwd volgens het principe van de "cirkels van vertrouwen". Dit houdt in dat
tussen de bij elektronische dienstverlening betrokken instanties duidelijke afspraken worden
gemaakt.
9. Daarbij heeft de aanvrager in het bijzonder aandacht voor de aanbeveling van de Commissie
waarin wordt beklemtoond dat een goede registratie van de identiteit, de relevante
kenmerken en de relevante mandaten cruciaal is bij het uitbouwen van het
gebruikersbeheer.
10. Aanvrager wil gevolg geven aan het oordeel van de Commissie dat de elektronische
authenticatie van de identiteit bij voorkeur moet gebeuren aan de hand van de elektronische
identiteitskaart (EID) daar zij de meeste garanties biedt.
11. Kortom, met het oog op de organisatie van een performant toegangs- en gebruikersbeheer,
dat enerzijds moet waarborgen dat alleen behoorlijk geïdentificeerde personen toegang
krijgen en anderzijds moet waarborgen dat de omvang van de toegang van deze laatsten
wordt beperkt in functie van hun hoedanigheid, wenst de aanvrager over een toegang te
beschikken tot de informatiegegevens vermeld in artikel 3, eerste lid, WRR (met
uitzondering van de gegevens onder 7° en 11°) en het identificatienummer ervan te
gebruiken.
12. Het Comité is van oordeel dat de hierboven vermelde en nagestreefde doeleinden
welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn in de zin van artikel 4, § 1, 2°,
WVP en artikel 5, tweede lid, WRR.
C. PROPORTIONALITEIT
C.1. Ten overstaan van de gegevens
13. Elk gevraagd gegeven wordt door de aanvrager gemotiveerd op zijn relevantie voor de
inrichting van een efficiënt gebruikers- en toegangsbeheer ten behoeve van zijn besturen en
directies.
14. Aanvrager stelt dat het essentieel is voor de goede werking van een systeem voor
gebruikers- en toegangsbeheer dat de gebruikers correct geïdentificeerd worden. Dit
betekent dat misverstanden die kunnen ontstaan n.a.v. homonymie en foutieve schrijfwijzen
moeten uitgesloten worden teneinde de verdere stappen van authentificatie en autorisatie
niet te hypothekeren. Aan de hand van het identificatienummer van het Rijksregister (zie

Beraadslaging RR 44 /2013 - 5/10
meer onder punt C.2.), dat een uniek nummer is, kan een persoon in combinatie met zijn
naam, geboortedatum en adres zonder enige marge van vergissing geïdentificeerd worden.
Het verlenen van een toegang tot een toepassing evenals het bepalen van de omvang van
de toegang en de verrichtingen die de betrokkene kan stellen, is echter niet alleen
afhankelijk van het feit de betrokkenen eenduidig te identificeren en te authentificeren.
Doorslaggevend zijn vaak de zogenaamde kenmerken van de betrokkenen. Deze kenmerken
zijn zeer uiteenlopend en variëren al naargelang het doeleinde waarvoor een toegang wordt
gevraagd. Rekening houdend met de doelgroep voor wie de aanvrager zijn toepassing lAM
(identity and accessmanagement) met het oog op toegangs- en gebruikersbeheer ter
beschikking stelt en met de waaier aan doeleinden die deze, rekening houdend o.a. met zijn
reglementaire opdrachten nastreeft, is het mogelijk dat dit gegeven een kenmerk vormt dat
bepalend is voor het verlenen van een toegang en het vaststellen van de omvang ervan. De
controle van dit kenmerk geschiedt daar waar mogelijk best aan de hand van authentieke
gegevensbanken. Het is in het belang van de gebruiker dat niemand anders zich kan
voordoen als de gebruiker en derhalve toegang krijgt tot diensten en informatie die niet voor
hem bestemd zijn.
15. Het Comité besluit dat de toegang tot de informatiegegevens vermeld in artikel 3, eerste lid,
WRR (behoudens de gegevens onder 7° en 11°) in het licht van de opgegeven doeleinden in
overeenstemming is met artikel 4, § 1, 3°, WVP.
C.2. Ten overstaan van het gebruik van het identificatienummer
16. Het gebruik van het identificatienummer wordt door de aanvrager gemotiveerd op zijn
relevantie voor de inrichting van een efficiënt gebruikers- en toegangsbeheer ten behoeve
van zijn besturen en directies.
17. De elektronische identificatie, authenticatie en autorisatie moeten gebeuren op een
beveiligde en zekere manier. De aanvrager moet zeker zijn van de identiteit van de persoon
die een web-toepassing of web-service wenst te gebruiken omdat langs deze kanalen
enerzijds toegang wordt verleend tot een aantal persoonsgegevens en anderzijds
handelingen kunnen worden gesteld.
18. Aan de hand van het unieke identificatienummer van het Rijksregister kan een persoon
precies geïdentificeerd worden en kunnen tevens alle raadplegingen en handelingen worden
getraceerd.

Beraadslaging RR 44 /2013 - 6/10
19. Het Comité besluit dat het gebruik van het identificatienummer in het licht van de
opgegeven doeleinden in overeenstemming is met artikel 4, § 1, 3°, WVP.
C.3. Ten opzichte van de duur waarvoor toegang en gebruik gevraagd wordt
20. Het gebruik wordt voor onbepaalde duur gevraagd, gelet op het feit dat de identificatie en
authentificatie een essentieel onderdeel blijven van het e-government, als een
toekomstgericht project dat op termijn in belangrijke en blijvende mate de contacten tussen
de overheid (de aanvrager) en de burger zal beïnvloeden.
21. Het Comité stelt vast dat in het licht hiervan een machtiging voor onbepaalde duur gepast is
(artikel 4, § 1, 3° WVP).
C.4. Ten opzichte van de frequentie waarvoor toegang en gebruik gevraagd wordt
22. Er wordt een permanente toegang/gebruik gevraagd. Telkens wanneer een persoon te
kennen geeft dat hij een gebruikersnummer wenst met het oog op het gebruiken van de
elektronische dienstverlening, zullen diens identiteitsgegevens moeten gecontroleerd
worden. Dit leidt tot een quasi dagelijkse stroom van gegevens die moeten gecontroleerd
worden.
23. Het Comité stelt vast dat in het licht hiervan een permanente toegang/gebruik gepast is
(artikel 4, § 1, 3° WVP).
C.5. Ten opzichte van de bewaringstermijn
24. Uit de door de aanvrager meegedeelde informatie blijkt dat de gegevens van de gebruikers
worden bewaard zolang dat nodig is voor de identificatie en de authentificatie met het oog
op e-government. Er kan dus volgens de aanvrager geen concrete tijdspanne als
bewaartermijn opgegeven worden. Wel stelt de aanvrager dat de gegevens verwijderd
worden wanneer een gebruiker zich uitschrijft.
25. De aanvrager bewaart de gegevens van de betrokkenen dus enkel zolang de doeleinden
waarvoor de toegang/het gebruik werden gevraagd dit vereisen.
26. In de mate dat de aanvrager dit laatste in acht neemt, handelt hij in overeenstemming met
artikel 4, § 1, 5°, WVP.

C.6. Intern gebruik en/of mededeling aan derden
Beraadslaging RR 44 /2013 - 7/10
27. Uit de door de aanvrager meegedeelde informatie blijkt dat de gegevens, met inbegrip van
het identificatienummer, uitsluitend intern zullen gebruikt worden voor het gebruikers- en
toegangsbeheer zoals hoger omschreven.
28. Het Comité neemt hiervan akte en vestigt de aandacht op wat hierna onder punt C.7. wordt
vermeld m.b.t. mededeling van het identificatienummer aan derden.
C.7. Netwerkverbindingen
29. In de aanvraag wordt gesteld dat het identificatienummer uitsluitend zal gebruikt worden ter
verificatie van de identiteit. Het resultaat daarvan wordt ter beschikking gesteld van de
instantie die de dienst voor gebruikersbeheer gebruikt. Dit betekent dat er geen
netwerkverbindingen tot stand komen waardoor gegevens van verschillende instanties
gekoppeld worden op basis van dit nummer.
30. Het Comité neemt hier akte van en vestigt er volledigheidshalve de aandacht op dat:
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité
daarvan voorafgaandelijk op de hoogte moet brengen;
het identificatienummer van het Rijksregister slechts gebruikt kan worden in relaties met
derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens
gemachtigd werden om dit nummer te gebruiken.
D. UITBOUW GEBRUIKERS- EN TOEGANGSBEHEERSYSTEEM
31. Uit de aanvraag blijkt dat het gebruikers- en toegangsbeheer dat door de aanvrager wordt
opgezet zowel elektronische verrichtingen door ambtenaren van andere Belgische overheden
viseert evenals deze van particulieren en bedrijven.
32. Het Comité stelt vast dat er in e-government toepassingen in grote lijnen op twee manieren
omgegaan wordt met gebruikers uit de privésector.
33. Enerzijds zijn er systemen die rechtstreeks een account aanmaken voor een bepaalde
persoon binnen een onderneming om toegang te krijgen tot de toepassing, al dan niet met
initiële controle of de betrokkene wel degelijk hiertoe bevoegd is. Voor de hand liggend

Beraadslaging RR 44 /2013 - 8/10
nadeel van dit systeem is dat het voor een onderneming moeilijk is het overzicht te
behouden en dat wijzigingen in personeelsbestand of in takenverdeling de nodige opvolging
moet krijgen, mogelijks in een veelheid van externe toepassingen.
34. Anderzijds zijn er systemen waarbij de verantwoordelijkheid voor toegang tot meerdere e-
government toepassingen finaal bij één enkele persoon binnen de onderneming rust. Deze
persoon kan dan door delegatie van bevoegdheid ervoor zorgen dat de juiste persoon
binnen de onderneming toegang krijgt tot welbepaalde e-government toepassingen. Een
wijziging in personeel of een verschuiving van taken kan en moet dan ook door deze
verantwoordelijke persoon opgevolgd worden. Externe toepassingen kunnen automatisch
gevolgen koppelen aan de doorgevoerde wijzigingen.
35. Dit laatste systeem is nota bene in gebruik in het domein van de sociale zekerheid, de
vennootschapsbelastingen en in het e-health platform. Voormelde domeinen doen beroep op
een databank waarin voor elke deelnemende onderneming een ‘verantwoordelijke toegang
entiteit’ (VTE) geregistreerd wordt. Hiertoe wordt in de KBO eerst nagegaan wie als
wettelijke vertegenwoordiger van een onderneming mag optreden, het is deze persoon die
een VTE aanduidt. Deze VTE kan volgens bepaalde regels taken en bevoegdheden toewijzen
aan personen naargelang de behoefte binnen de organisatie.
36. Het Comité is van oordeel dat deze VTE databank beantwoordt aan de functionele definitie
van een authentiek bron. De beheerder van de VTE databank valideert dit gegeven en biedt
specifieke garanties ten aanzien van de juistheid, de volledigheid en de beschikbaarheid van
dit gegeven. Het gegeven VTE wordt éénmalig geregistreerd en is vervolgens bruikbaar voor
verschillende overheden.
37. Het Comité meent dat het inschakelen van de VTE van ondernemingen, en desgevallend van
andere entiteiten, de norm moet worden in gebruikers- en toegangsbeheer voor e-
government toepassingen om het risico op onrechtmatige toegang tot gegevens te
beperken.
38. Het Comité beslist daarom, net zoals dat in de beraadslaging RR nr. 29/2013 van 17 april
2013 het geval was, de huidige machtiging toe te kennen op voorwaarde dat de VTE
databank in het gebruikers- en toegangssysteem van de aanvrager ingepast wordt.

E. BEVEILIGING
E.1. Consulent inzake informatiebeveiliging
Beraadslaging RR 44 /2013 - 9/10
39. Er werd door de aanvrager informatie meegedeeld over de identiteit van de consulent inzake
informatiebeveiliging.
E.2. Informatiebeveiligingsbeleid
40. Uit de door de aanvrager meegedeelde stukken blijkt dat hij over een beveiligingsbeleid
beschikt evenals over een plan in toepassing ervan.
41. Het Comité heeft er akte van genomen.
E.3. Personen die het identificatienummer van het Rijksregister mogen gebruiken en
lijst van deze personen
42. De personen die instaan voor het beheer van de aangeboden overheidsapplicaties zullen
toegang hebben tot het identificatienummer van het Rijksregister omdat het door de
applicatie wordt gebruikt met het oog op identificatie en authentificatie.
43. Er zal, in toepassing van artikel 12 WRR, een lijst van deze personen worden opgesteld die
voortdurend wordt bijgewerkt. Deze lijst zal ter beschikking worden gehouden van de
Commissie, aldus de aanvrager, al wijst het Comité erop dat deze lijst ten aanzien van haar
ter beschikking moet worden gehouden.
44. De betrokken personen zullen daarenboven een schriftelijke verklaring ondertekenen waarin
zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de
informatiegegevens waartoe zij toegang krijgen, te bewaren. Deze vereisten gelden zowel
voor de personeelsleden van de aanvrager als voor de personeelsleden van de besturen en
directies die een beroep doen op het gebruikersbeheer van de aanvrager.
OM DEZE REDENEN,
het Comité
1° machtigt het Ministerie van het Brussels Hoofdstedelijk Gewest onder de voorwaarden bepaald
in deze beraadslaging en met het oog op het doeleinde vermeld in punt B om voor onbepaalde duur

Beraadslaging RR 44 /2013 - 10/10
toegang te verkrijgen tot de informatiegegevens vermeld in artikel 3, eerste lid, WRR (behoudens de
gegevens onder 7° en 11°) en het identificatienummer van het Rijksregister te gebruiken;
2° bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van
de informatiebeveiliging die een impact kan hebben op de antwoorden die met het
veiligheidsformulier aan het Comité werden verstrekt (aanstelling van een consulent inzake
informatiebeveiliging en antwoorden op de vragen m.b.t. de organisatie van de veiligheid), het
Ministerie van het Brussels Hoofdstedelijk Gewest een nieuwe vragenlijst i.v.m. de stand van de
informatiebeveiliging naar waarheid moet invullen en aan het Comité moet bezorgen. Het Comité
meldt de ontvangst ervan en behoudt het recht om daarop later eventueel te reageren;
3° bepaalt dat wanneer het aan het Ministerie van het Brussels Hoofdstedelijk Gewest een
vragenlijst met betrekking tot de informatiebeveiligingsstatus toestuurt, deze laatste deze lijst
waarheidsgetrouw moet invullen en terugbezorgen aan het Comité. Het Comité zal de ontvangst
bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren.
De Wnd. Administrateur, De Voorzitter,
(get.) Patrick Van Wouwe (get.) Mireille Salmon