Het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en latere wijzigingen, artikel 8;
Het decreet lokaal bestuur van 22 december 2017 en latere wijzigingen, artikelen 40-41,
Het decreet van 8 juni 2018 houdende de aanpassing van de decreten aan de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming);
De Algemene Verordening Gegevensbescherming van 27 april 2016.
EcoWerf heeft op basis van de beraadslaging (machtiging) Nr. 32/2006 van 29 november 2006 van de Commissie voor de bescherming van de persoonlijke levenssfeer en de daaropvolgende uitbreidingen toegang tot de gegevens van het rijksregister voor de doeleinden bepaald in deze machtigingen.
In het kader van een efficiënte en burgergerichte dienstverlening bij de opstart van de diensten geleverd door EcoWerf is het nodig dat er een snelle gegevensuitwisseling bij een verhuis plaatsvindt. Hiervoor is de machtiging ontoereikend doordat de gegevens niet snel genoeg aangeleverd worden. Om de efficiënte dienstverlening te bereiken is de relevante gegevensuitwisseling tussen de gemeente en EcoWerf wenselijk in het kader van hetgeen hierna omschreven wordt.
Hiervoor dient overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol afgesloten te worden tussen EcoWerf en de gemeenten met betrekking tot de elektronische mededeling van persoonsgegevens. Dit protocol wordt bekendgemaakt op de website van alle partijen.
Dit is een protocol in twee richtingen:
De gemeente deelt de relevante persoonsgegevens bij verhuis (binnen de gemeente / nieuwe inwoners) met EcoWerf om de opstart van de diensten door EcoWerf aan de betrokken inwoners mogelijk te maken.
Ecowerf deelt gegevens over de aanrekening met de gemeente om sociale correcties (kortingen of vrijstellingen) omwille van medische of andere redenen toe te laten. Het behoort tot de autonomie van de gemeente om al dan niet sociale correcties in te voeren.
In de voorbereiding van het protocol is uitvoerig overleg geweest tussen EcoWerf, de DPO van EcoWerf en externe DPO’S. Het protocol is dan ook het resultaat van het overleg met als gevolg dat zowel de DPO van EcoWerf als de DPO’s van VERA een gunstig advies zullen verlenen aan het protocol.
ADVIES DPO m.b.t. het protocol voor de elektronische mededeling van persoonsgegevens aan tussen EcoWerf en het lokaal bestuur van OUD-HEVERLEE
Dit advies is het advies zoals vereist door (art. 8 §1 derde alinea en §3 eGov-decreet).
| Conclusie |
Geen bezwaar tegen het ondertekenen van het ontwerp-protocol zoals verstuurd op 30/11/2021 |
| Acties voor [OUD-HEVERLEE] |
- publicatie van protocol zoals ondertekend op de website van OUD-HEVERLEE (zie hfdst.3 art. 8 eGov-decreet) - vermelden van het protocol en haar vindplaats in de brieven aan de betrokken burgers (zie art. E ontwerp-protocol) - opvolgen van het correct naleven van de beveiliging bij de verzending van de gegevens (enkel doorgifte via beveiligd platform van EcoWerf) - opvolgen van de data set, zodat die niet meer bevat dan wat relevant is voor de ondersteuning van de uitvoering van het Diftar reglement - nakijken en desgevallend aanpassen van de instructies aan het personeel dat bij de verwerking betrokken is - de verwerking moet worden opgenomen in het verwerkingsregister (art. 30 AVG) |
| Achtergrond |
OK |
Het lokaal bestuur van OUD-HEVERLEE en EcoWerf wisselen gegevens uit in het kader van het Diftar reglement. Het lokaal bestuur geeft gegevens van verhuizers door aan EcoWerf ten einde de opstart van de diensten door EcoWerf aan de betrokken inwoners zo snel mogelijk te initiëren. EcoWerf deelt de gegevens over de aanrekening met de gemeente om sociale correcties toe te laten.
Om zo’n uitwisseling van gegevens mogelijk te maken is een protocol tussen de betrokken instanties vereist.
| Protocol nodig |
OK |
Elke elektronische mededeling van persoonsgegevens door een instantie naar een andere instantie of naar een externe overheid vereist een protocol, gesloten tussen de betreffende instanties. [artikel 8, §1, eerste alinea van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (“eGov-decreet”)] De mededeling van persoonsgegevens vereist geen protocol indien het informatieveiligheidscomité (…) bevoegd is om met betrekking tot die mededeling een beraadslaging te verlenen.
Het lijkt ons correct dat een protocol nodig is.
We hebben er geen weet van dat de uitzondering van toepassing zou zijn.
| DPO’s aangesteld |
OK |
Conform artikel 37 van de AVG wijst iedere instantie die persoonsgegevens verwerkt, een functionaris voor gegevensbescherming aan. (…) Als de instantie een beroep doet op een verwerker (…) wijst de verwerker eveneens een functionaris voor gegevensbescherming aan. (art 9 eGov-decreet)
Er zijn DPO’s aangesteld voor:
- Verwerkingsverantwoordelijken
| Doeleinde(n) |
OK |
(…) De functionaris voor gegevensbescherming adviseert de verwerkingsverantwoordelijke welke soorten persoonsgegevens voor welke specifieke doeleinden kunnen worden meegedeeld tussen entiteiten binnen de betreffende instantie (…). (art. 8 §3 eGov-decreet).
Dit is naar voldoening uiteengezet in het ontwerp-protocol (art. 2), [maar moet uiteraard wel worden bewaakt].
| Data set |
OK |
(…) De functionaris voor gegevensbescherming adviseert de verwerkingsverantwoordelijke welke soorten persoonsgegevens (…) kunnen worden meegedeeld tussen entiteiten binnen de betreffende instantie en op welke manier die mededeling gebeurt. (art. 8 §3 eGov-decreet).
Dit is naar voldoening uiteengezet in het ontwerp-protocol (art. 2), [maar moet uiteraard wel worden bewaakt].
| Mededelingswijze |
OK |
(…) De functionaris voor gegevensbescherming adviseert de verwerkingsverantwoordelijke (…) en op welke manier die mededeling gebeurt. (art. 8 §3 eGov-decreet).
Dit is naar voldoening uiteengezet in het ontwerp-protocol (art. 2), [maar moet uiteraard wel worden bewaakt].
Overdracht van de dataset gebeurt via een beveiligd platform in beheer van EcoWerf. Er moet op toegezien worden dat elke overdracht via dit platform gebeurt.
| Risico voor de data subjecten |
OK |
De DPO beoordeelt of “de mededeling, gelet op onder meer de aard, de omvang, de context en de doeleinden van de mededeling, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wiens gegevens zouden worden meegedeeld. (art. 8 §3 eGov-decreet).
Het risico voor de rechten en vrijheden van de data subjecten is, gelet op onder meer de aard, de omvang, de context en de doeleinden van de mededeling, o.i. eerder medium.
| DPIA (art. 35 AVG) |
OK |
De voorgenomen verwerking vereist o.i. geen DPIA (cf. art. 35 AVG).
| Advies VTC (art. 8 §3 eGov-decreet) |
OK |
De voorgenomen mededeling vereist o.i. geen advies van de VTC.
| Volledig |
OK |
Zijn alle vereiste vermeldingen uit artikel 8 §1 eGov-decreet aanwezig?
Ja, er wordt zelfs in de titels van de artikels verwezen naar de litterae van het artikel 8§1.
| 1° de identificatie van de verwerkingsverantwoordelijken |
Art. 2 |
| 2° de doeleinden waarvoor de persoonsgegevens worden medegedeeld |
Art. 2 |
| 3° de categorieën en omvang van de medegedeelde persoonsgegevens conform het proportionaliteitsbeginsel |
Art. 3 |
| 4° de categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen |
Art. 4 |
| 5° de wettelijke basis van zowel de mededeling als de inzameling van de gegevens |
Art. 2 |
| 6° de beveiligingsmaatregelen van de mededeling, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen |
Art. 6 |
| 7° de periodiciteit van de mededeling |
Art. 5 |
| 8° de duur van de mededeling |
Art. 5 |
| 9° de sancties in geval van niet-naleving van het protocol |
Art. 9 |
| 10° de beschrijving van de precieze doeleinden waarvoor de gegevens oorspronkelijk werden ingezameld door de instantie die beheerder is van de gevraagde gegevens |
Art. 2 |
| 11° ingeval van latere verwerking van de ingezamelde gegevens, vermelding van de verenigbaarheidsanalyse van de doeleinden van deze verwerking met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld overeenkomstig artikel 6, lid 4, van de algemene verordening gegevensbescherming |
Art. 2 |
| 12° afspraken omtrent de garantie van de kwaliteit van de gegevens en in voorkomend geval de eerbiediging van het wettelijk kader dat de toegang tot de authentieke gegevensbron regelt |
Art. 7 |
| 13° specifieke maatregelen die de gegevensmededeling omkaderen zoals de keuze van het formaat van de mededeling, de logging van de toegangen zodat men kan controleren wie wanneer toegang had tot welke gegevens en waarom en de invoering van een verwijzingsrepertorium in het geval van een automatische mededeling van de wijzigingen aan de gegevens |
Art. 6 |
| Transparantieverplichtingen |
OK |
Het protocol wordt gesloten (…) en wordt vervolgens onmiddellijk bekendgemaakt op de website van alle betrokken instanties. (art. 8 §1 derde alinea eGov-decreet).
Dit is naar voldoening geregeld in het ontwerp-protocol, [maar moet uiteraard wel worden uitgevoerd].
| Verwerkingsregister |
OK |
De verwerkingsverantwoordelijke moet een register van verwerkingen bijhouden (art. 30 AVG).
De verwerking bestaat al enkele jaren, en is mee opgenomen in het verwerkingsregister. Dit protocol houdt een regularisatie van een bestaande gegevensuitwisseling in.
| Andere opmerkingen |
NVT |
Artikel 1: De gemeenteraad keurt het protocol inzake de gegevensuitwisseling met EcoWerf goed.
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS TUSSEN ECOWERF EN GEMEENTE Oud-Heverlee
in het kader van de verwerking van persoonsgegevens door de lokale besturen en de intercommunale EcoWerf met het oog op het beheren van afval.
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
EcoWerf, intergemeentelijk Milieubedrijf Oost-Brabant, hier vertegenwoordigd door Jonathan DE WITTE, algemeen directeur, ingeschreven in het KBO met ondernemingsnummer 0862.492.920 waarvan de administratieve zetel zich bevindt te Aarschotsesteenweg 210, 3012 Leuven
hierna: “INSTANTIE 1” of EcoWerf;
EN
De gemeente Oud-Heverlee met zetel te Gemeentestraat 2, 3054 Oud-Heverlee, vertegenwoordigd door het college van burgemeester en schepenen, voor wie tekenen: de burgemeester en de algemeen directeur in uitvoering van het gemeenteraadsbesluit van 25 januari 2025, ingeschreven in het KBO met nummer 0207.523.679 waarvan de administratieve zetel zich bevindt te Gemeentestraat 2, 3054 Oud-Heverlee
hierna: “INSTANTIE 2” of gemeente;
INSTANTIE 1 en INSTANTIE 2 worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 tussen partijen uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
EcoWerf, als opdrachthoudende vereniging zal de gegevens ontvangen en verwerken om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (artikel 6, lid 1, c AVG), dit om de haar toevertrouwde doelen te bereiken:
- afvalpreventie
- afvalinzameling
- afvalverwerking
- afvalaanrekening
De gemeente heeft de opgevraagde gegevens oorspronkelijk verzameld voor inschrijving in het bevolkingsregister, maar krijgt inzage in de verrijkte lijst met aanrekeningen om sociale correcties door middel van kortingen of vrijstellingen toe te laten.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Het betreft geen persoonsgegevens als vermeld in artikel 9 en/of 10 van de algemene verordening gegevensbescherming.
| Gegevens |
|
| Proportionaliteit |
Minimale gegevens om de voornoemde doelen van EcoWerf alsmede de doelen van de betrokken gemeente mogelijk te maken. Voor het gebruik van gegevens van het rijksregister is er een machtiging. - Zonder de relevante gegevensuitwisseling is het voor EcoWerf niet mogelijk om voor de nieuwe inwoners het nodige te doen om de dienstverlening zoals het aanmaken van een gebruiker, het voorzien van recipiënten,… op te starten. - Zonder de relevante gegevensuitwisseling is het voor de gemeente niet mogelijk om sociale correcties toe te kennen aan een gebruiker of gezin waardoor hun fiscale en/of sociale beleid niet uitgevoerd kan worden. |
Bovenstaande zijn de minimale gegevens om de voornoemde doelen van EcoWerf alsmede de doelen van de gemeente mogelijk te maken. Voor het gebruik van gegevens van het rijksregister is er een machtiging bekomen door EcoWerf.
De meegedeelde gegevens zullen door EcoWerf gedurende 10 jaar na de laatste aanrekening worden bijgehouden om eventuele betwisting mogelijk te maken. EcoWerf is in zijn hoedanigheid van opdrachthoudende intercommunale vereniging de verwerkingsverantwoordelijke voor de verwerking van de persoonsgegevens die ze op basis van deze bepaling heeft ontvangen.
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
De gemeente zal de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten enkel kunnen meedelen aan de medewerker(s) van de dienst die door de gemeente is aangewezen om de taken zoals opgesomd in artikel 3 te volbrengen.
Ecowerf zal de ontvangen persoonsgegevens enkel gebruiken voor de doelen opgesomd in artikel 2.
Personeelsleden van de gemeente en van EcoWerf krijgen slechts toegang tot de informatie noodzakelijk voor de uitvoering van de taken die bij hun functie horen.
Elke eventuele mededeling van de gevraagde persoonsgegevens aan een derde partij door één van de partijen moet voorafgaandelijk aan de andere partij worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Beide partijen engageren zich om de functionarissen up-to-date te houden.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen per nieuwe inwoner na inschrijving en bij wijziging als het gaat over gezinssamenstelling, verblijfplaats of naam onmiddellijk worden overgemaakt door de gemeente. EcoWerf deelt jaarlijks via beveiligde weg de lijsten met aanrekeningen in het kader van de sociale correctie.
De mededeling van de persoonsgegevens gebeurt zolang dit protocol geldt overeenkomstig artikel 11 omdat de mededeling van de persoonsgegevens zal plaatsvinden voor zolang er sprake is van een samenwerkingsovereenkomst tussen EcoWerf en de gemeente.
Artikel 6: Beveiligingsmaatregelen
Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 3:
De gemeente en EcoWerf treffen in overleg met de eigen functionaris van de gegevensbescherming alle passende organisatorische en technische beveiligingsmaatregelen ter beveiliging van de ontvangen persoonsgegevens bij verdere verwerking. Waaronder minstens volgende:
Beide partijen moeten kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen.
In het geval de gemeente of EcoWerf voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers) doet de gemeente uitsluitend beroep op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. De gemeente sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst, volgens de VVSG-standaard, in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming en een geheimhoudingsovereenkomst met de betrokken medewerkers van deze verwerkers.
Partijen bezorgen elkaar het overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Kwaliteit van de persoonsgegevens
Zodra de partijen één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt (al dan niet op basis van een mededeling van de betrokkene), meldt zij dat onmiddellijk aan de andere partij.
Artikel 8: Sanctie bij niet-naleving
Onverminderd haar recht om een schadevergoeding te vorderen en in afwijking van artikel 5, 2°, kunnen partijen dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling eenzijdig beëindigen indien één van de partijen deze persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar via de functionarissen voor gegevensbescherming zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
Partijen brengen elkaar onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 10: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Leuven.
Artikel 11: Inwerkingtreding en opzegging
Dit protocol treedt in werking op de datum van ondertekening.
Partijen kunnen na onderling overleg dit protocol ten allen tijde schriftelijk opzeggen.
Het protocol eindigt tevens van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens.
Opgemaakt te Leuven op ……………
Namens EcoWerf Namens de gemeente
| Jonathan DE WITTE |
Bart CLERCKX |
|
|
Marijke PERTZ |
Artikel 2: De gemeenteraad machtigt de burgemeester en algemeen directeur om het protocol in naam en voor rekening van het gemeentebestuur te ondertekenen.
Artikel 3: De beslissing wordt ter kennis gebracht van EcoWerf.