PROTOCOL VOOR DE ELEKTRONISCHE GEGEVENSUITWISSELING VAN PERSOONSGEGEVENS TUSSEN HET VLAAMS ENERGIE- EN KLIMAATAGENTSCHAP, WONEN-VLAANDEREN EN FLUVIUS
PROTOCOL VOOR DE ELEKTRONISCHE GEGEVENSUITWISSELING VAN PERSOONSGEGEVENS TUSSEN HET VLAAMS ENERGIE- EN KLIMAATAGENTSCHAP, WONEN-VLAANDEREN EN FLUVIUS
in het kader van gegevens die worden gestuurd naar MijnVerbouwpremie vanuit Wonen-Vlaanderen, VEKA en Fluvius voor het live gaan van de applicatie (CASE 1)
17/11/2022
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
VLAAMS GEWEST, vertegenwoordigd door de Vlaamse Regering, bij delegatie, in de persoon van de leidend ambtenaar van het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid HET VLAAMS ENERGIE- EN KLIMAATAGENTSCHAP, xxx. Xxx Xxxxxxx, administrateur-generaal;
Ingeschreven in het KBO met nummer 0316.380.841 waarvan de administratieve zetel zich bevindt te Xxxxxx Xxxxxx XX xxxx 00, 0000 Xxxxxxx.
K
EN
VLAAMS GEWEST, vertegenwoordigd door de Vlaamse Regering, bij delegatie, in de persoon van de leidend ambtenaar van het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid WONEN-VLAANDEREN, xxx. Xxxxxx Xxxxx, administrateur-generaal;
Ingeschreven in het KBO met nummer 0316.380.841 waarvan de administratieve zetel zich bevindt te Xxxxxxxxx 00 xxx 00X, 0000 Xxxxxxx.
Hierna: -
EN
FLUVIUS SYSTEM OPERATOR CVBA, vertegenwoordigd door xxx. Xxx Xxxxxxxx;
Ingeschreven in het KBO met nummer 0477.445.084 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxxxxxx 000, 0000 Xxxxx.
Het VEKA, Wonen-Vlaanderen en Fluvius worden hieronder ook wel afzonderlijk aangeduid als een instantieinstanties
NA TE HEBBEN UITEENGEZET
A. Het Vlaams Energie- en Klimaatagentschap is een intern verzelfstandigd agentschap zonder rechtspersoonlijkheid binnen het beleidsdomein Omgeving en geeft uitvoering aan een duurzaam energiebeleid. Het VEKA werd als Vlaams Energieagentschap (VEA) opgericht bij
besluit van de Vlaamse Regering van 16 april 2004 en door besluit van de Vlaamse Regering van 11 december 2020 vanaf 1 januari 2021 omgevormd door VEKA.
De Vlaamse Regering heeft de missie (bestaansreden of hoofdopdracht) van het VEKA als volgt
Het VEKA heeft als missie het voorbereiden, stimuleren, coördineren, uitvoeren, opvolgen en evalueren van beleidsinitiatieven op het vlak van energie en broeikasgasemissies die bijdragen aan de omslag naar een klimaatneutrale en duurzame samenleving in Vlaanderen, waarbij de beleidsinstrumenten op een kostenefficiënte en kwaliteitsvolle manier worden ingezet en rekening wordt gehouden met de sociale en econom
B. het Intern Verzelfstandigd Agentschap Wonen-Vlaanderen wil als verzelfstandigd agentschap en openbare dienst zorgdragen voor het recht op wonen als vermeld in artikel 3 van het decreet van 15 juli 1997 houdende de Vlaamse Wooncode (hierna: VWC). Wonen-Vlaanderen doet dit door de drempel te verlagen voor mensen die een woning huren, renoveren of verwerven, en de financieringskost die eraan verbonden is te drukken door middel van subsidies of andere risico verminderende maatregelen die de huurder, koper of (ver-) bouwer rechtstreeks of onrechtstreeks ten goede komen en die de woningmarkt niet verstoren.
C. Fluvius is een Vlaamse distributienetbeheerder met een openbare dienstverplichting ter stimulering van het rationeel energiegebruik. Fluvius beschikt over gegevens betreffende het energiegebruik, energieproductie en de ligging van residentiële en niet-residentiële gebouwen.
D. Het Besluit van de Vlaamse Regering van 4 februari 20221 tot oprichting van een uniek loket voor de aanvraag en behandeling van bepaalde woon- en energiepremies en tot wijziging van het Energiebesluit van 19 november 2010 en het Besluit Vlaamse Codex Wonen van 2021 voorziet in de oprichting van een uniek loket om de aanvraag, de behandeling, de verwerking en de uitbetaling te faciliteren van bepaalde woon- en energiepremie.
Wonen Vlaanderen wordt conform artikel 12.7.1, §2, eerste lid van het Energiedecreet en artikel 5.75/1, §2 van de Vlaamse Codex Wonen van 2021, belast met de behandeling en verwerking van de aanvragen, vermeld in artikel 1 van het besluit van 4 februari 2022,in het kader van het unieke loket.
De elektriciteitsdistributienetbeheerders of hun werkmaatschappij (Fluvius) staan mee in voor de behandeling en de verwerking van de aanvragen, vermeld in artikel 1 van het besluit van 4 februari 2022, in het kader van het unieke loket.
Vlaams Energie-en Klimaatagentschap, wordt, conform artikel 13.1.1 van het Energiedecreet, belast met de controle op de taken uitgevoerd door de elektriciteitsdistributienetbeheerders of hun werkmaatschappij.
1xxxxx://xxx.xxxxxxxx.xxxx.xxxx.xx/xxx/xxxxxxx_xxxx.xx?xxxxxxxxxxx&xxxxxxxxxxxxxx&xxx_xxxxx000
2-05-06&numac=2022020665%0D%0A#top
De verdeling van de taken tussen Wonen-Vlaanderen en Fluvius en het VEKA, binnen het unieke loket, wordt verder gedetailleerd vastgelegd in een samenwerkingsovereenkomst.
Wonen-Vlaanderen, Fluvius en VEKA zijn gezamenlijke verwerkingsverantwoordelijken (art 26 AVG) en hebben een gezamenlijke verwerkingsovereenkomst afgesloten voor de verwerking van persoonsgegevens in kader van MijnVerbouwPremie (MVP).
In het kader van het unieke loket Mijn VerbouwPremie worden persoonsgegevens doorgegeven.
E. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
F. De functionaris voor gegevensbescherming van VEKA heeft op 13/10/2022 een gunstig advies met betrekking tot een ontwerp van dit protocol gegeven.
G. De functionaris voor gegevensbescherming van Wonen-Vlaanderen heeft op 26/10/2022 een gunstig advies met betrekking tot een ontwerp van dit protocol gegeven.
H. De functionaris voor gegevensbescherming van Xxxxxxx heeft op 17/11/2022 een gunstig advies met betrekking tot een ontwerp van dit protocol gegeven.
I. De in dit protocol gebruikte termen hebben dezelfde betekenis als wordt gedefinieerd in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot de intrekking van
elektronische bestuurlijke gegevensverkeer.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische gegevensuitwisseling van de persoonsgegevens zoals omschreven in artikel 3 tussen het VEKA, Wonen-Vlaanderen en Fluvius uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
In dit protocol wordt de volgende case geregeld: gegevens die worden gestuurd naar MijnVerbouwpremie vanuit Wonen-Vlaanderen, VEKA en Fluvius voor het live gaan van de applicatie. Binnen deze case komen er drie gegevensstromen voor.
A. Wonen-Vlaanderen stuurt gegevens van Renovatiepremie (Digireno) naar MVP in kader van cumulcontrole (Gegevensstroom 1)
a. Doeleinde van Wonen-Vlaanderen voor oorspronkelijke gegevensverzameling:
De beoogde gegevensverwerking door de instanties gebeurde op grond van art. 6.1,
c) AVG. De beoogde gegevensverwerking is noodzakelijk om te voldoen aan de wettelijke verplichtingen die op Wonen-Vlaanderen rust. Wonen-Vlaanderen heeft de Data Set, samen met andere gegevens, oorspronkelijk verzameld voor volgende
De onderliggende wettelijke opdracht van Wonen-Vlaanderen wordt beschreven in artikel 3, tweede alinea, 10° Oprichtingsbesluit:
Dit artikel moet samen worden gelezen met de wettelijke bases van de Vlaamse toekenningen.
b. Xxxxxxxxx van MVP voor verdere verwerking:
Voor MVP worden de opgevraagde gegevens verwerkt voor volgende doeleinden: Het controleren van criteria in kader van een aanvraag om een premie te behandelen: Artikel 5.193 van het Besluit Vlaamse Codex Wonen bepaalt de eenmalige aanvraag van de premie in een periode van vijf jaar, waardoor deze controle op premiewoning moet gebeuren:
kunnen maar eenmaal worden aangevraagd in een periode van vijf jaar te rekenen vanaf de aanvraagdatum van de toegekende aanvraag voor dezelfde premiewoning
De volgende gegevens van Wonen-Vlaanderen worden doorgegeven naar MVP in kader van cumulcontrole op de reeds aangevraagde premies:
Identificatie | RRN | Financiële bijzonderheden | Woningkenmerken |
Aanvrager, naam en adres | Van aanvrager | Factuurnummer | categorieën ruwbouw (vloer, muur en trap) en technische installaties (centrale verwarming) |
c. Het doeleinde van de verdere verwerking van deze persoonsgegevens door MVP is verenigbaar met de doeleinden waarvoor Wonen-Vlaanderen de gegevens oorspronkelijk heeft verzameld, gezien het telkens gaat over de behandeling van aanvraag tot premies.
B. Xxxxxxx stuurt gegevens van reeds uitbetaalde energiepremies naar MVP in kader van cumulcontrole (Gegevensstroom 2)
a. Doeleinde van Xxxxxxx voor oorspronkelijke gegevensverzameling:
De beoogde gegevensverwerking door de instanties gebeurde op grond van art. 6.1, c) AVG. De beoogde gegevensverwerking is noodzakelijk om te voldoen aan de wettelijke verplichtingen die van toepassing zijn op de Distributienetbeheerders en dus op Fluvius.
De specifieke wetgeving is terug te vinden in het energiedecreet en energiebesluit. Energiebesluit HOOFDSTUK IV. Afdeling I. [Openbaredienstverplichtingen voor de distributienetbeheerders of de beheerder van het plaatselijk vervoernet van elektriciteit ter stimulering van het rationeel energiegebruik (verv. BVR 23 september 2011, art. 7)][Onderafdeling 1 Actieverplichtingen
Artikel 6.4.1. (01/07/2022- ...) § 1. Elke elektriciteitsdistributienetbeheerder verleent de premies, vermeld in artikel 6.4.1/1 tot en met 6.4.1/5/2, § 2, van dit besluit. De beheerder van het plaatselijk vervoernet van elektriciteit verleent investeringssteun als vermeld in artikel 6.4.1/5/2, § 3, van dit besluit. De steun in deze onderafdeling wordt door de elektriciteitsdistributienetbeheerders en de beheerder van het plaatselijk vervoernet van elektriciteit verleend onder de voorwaarden, vermeld in de Verordening 1407/2013/EU.
b. Xxxxxxxxx van MVP voor verdere verwerking:
Voor MVP worden de opgevraagde gegevens verwerkt voor volgende doeleinden: Het controleren van criteria in kader van een aanvraag om een premie te behandelen: Artikel 5.193 van het Besluit Vlaamse Codex Wonen bepaalt de eenmalige aanvraag van de premie in een periode van vijf jaar, waardoor deze controle op premiewoning moet gebeuren:
kunnen maar eenmaal worden aangevraagd in een periode van vijf jaar te rekenen vanaf de aanvraagdatum van de toegekende aanvraag voor dezelfde premiewoning
Xxxxxxxx xxx Xxxxxxx naar MVP worden verwerkt in kader van de cumulcontrole op de reeds aangevraagde premies. De gegevens van de premies die maar één keer kunnen worden verkregen, of waarbij er meer dan vijftien jaar moet zijn verstreken tussen verschillende premieaanvragen worden doorgegeven naar MVP.
De volgende gegevens van Xxxxxxx worden doorgegeven naar MVP in kader van cumulcontrole op de reeds aangevraagde premies:
Identificatie | Financiële bijzonderheden |
BTWnr installateur | Factuurnummer |
EAN | |
dossiernummer | |
Straat, huisnummer, postcode |
c. Het doeleinde van de verdere verwerking van deze persoonsgegevens door MVP is verenigbaar met de doeleinden waarvoor Xxxxxxx de gegevens oorspronkelijk heeft verzameld, gezien het telkens gaat over de behandeling van aanvraag tot premies.
C. VEKA stuurt mailgegevens naar MVP in kader van een informatie mailing campagne vanuit MVP (Gegevensstroom 3)
a. Doeleinde van VEKA voor oorspronkelijke gegevensverzameling:
De beoogde gegevensverwerking gebeurde op grond van art. 6.1, a) AVG. De betrokkenen hebben hun toestemming gegeven door zich in te schrijven voor de nieuwsbrief van MijnVerbouwPremie tijdens een infosessie of door zich in te schrijven voor de nieuwsbrieven van VEKA.
b. Xxxxxxxxx van MVP voor verdere verwerking:
Om de reeds op mailings ingeschreven organisaties en contactpersonen op de hoogte van nieuwe promoties op producten en/of diensten die zij in het verleden hebben afgenomen. Dit is niet in strijd met het specifieke karakter van de toestemming die werd gegeven door zich in te schrijven voor de nieuwsbrief van MVP tijdens een infosessie of door zich in te schrijven voor de nieuwsbrieven van VEKA.
De volgende gegevens van VEKA worden doorgestuurd naar MVP in kader van de eenmalige mailing over MijnVerbouwPremie:
Identificatie |
Mailadressen |
Naam |
c. Het doeleinde van de verdere verwerking van deze persoonsgegevens door MVP is verenigbaar met de doeleinden waarvoor VEKA de gegevens oorspronkelijk heeft verzameld, gezien beide nieuwsbrieven kaderen binnen MijnVerbouwPremie en de betrokkenen die redelijkerwijze dus kan verwachten.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel en bewaartermijnen van de gegevens
In onderstaande tabellen wordt er een overzicht gegeven van de verschillende categorieën van persoonsgegevens die worden meegedeeld per gegevensstroom, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Gegevensstroom 1: Gegevensuitwisseling van Wonen-Vlaanderen naar MVP
Van Wonen-Vlaanderen Renovatiepremie naar MVP ikv cumulcontrole
Gegeven 1 | Identificatiegegevens: - Naam aanvrager - Adres premiewoning |
Verantwoording proportionaliteit | Nodig om de premieadres te identificeren |
Gegeven 2 | RRN van aanvrager |
Verantwoording proportionaliteit | Nodig om de aanvrager te identificeren |
Gegeven 3 | Financiële bijzonderheden: - Factuurnummer |
Verantwoording proportionaliteit | Nodig om de gedane werken te identificeren |
Gegeven 4 | Woningkenmerken |
Verantwoording proportionaliteit | Nodig om te controleren of er sprake is van cumul |
Gegevensstroom 2: Gegevensuitwisseling van Xxxxxxx naar MVP
Xxx Xxxxxxx naar MVP ikv cumulcontrole
Gegeven 1 | Identificatiegegevens - BTWnr installateur - EAN - dossiernummer - Straat huisnummer postcode |
Verantwoording proportionaliteit | Nodig om de installateur te identificeren |
Gegeven 2 | Financiële bijzonderheden: - Factuurnummer |
Verantwoording proportionaliteit | Nodig om de gedane werken te identificeren |
Gegevensstroom 3: Gegevensuitwisseling van VEKA naar MVP
Mailadressen van VEKA naar MVP ikv communicatie
Gegeven 1 | Identificatiegegevens: - Mailadres - Naam |
Verantwoording proportionaliteit | Het mailadres is nodig om de mailing uit te voeren, adres waar mail naar wordt gestuurd. De naam is nodig om een aanhef te geven in de mail. |
De meegedeelde gegevens van gegevensstroom 1 en 2 zullen door de instanties gedurende een periode van 15 jaar na de beslissing tot weigering of tot uitbetaling van de premie bewaard worden. Gegevens met betrekking tot de premies die slechts eenmalig kunnen worden verkregen, of waarbij er meer tijd dan vijftien jaar moet zijn verstreken tussen de verschillende premieaanvragen, worden bewaard voor die tijd die noodzakelijk is om die subsidieregels te kunnen handhaven of toepassen. Deze bewaartermijn kan worden verantwoord gezien voor sommige categorieën van werken, je gedurende een periode van 10 jaar na goedkeuring van een premie, geen premie kan aanvragen voor eenzelfde categorie.
De meegedeelde gegevens van gegevensstroom 3 zullen worden bewaard voor zolang de klant niet is uitgeschreven.
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
De instanties zullen de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:
- Volgende diensten van VEKA zullen toegang hebben tot de gevraagde persoonsgegevens: Medewerkers van VEKA die toegang hebben tot Mailchimp
- Volgende diensten van Wonen-Vlaanderen zullen toegang hebben tot de gevraagde persoonsgegevens:
Dossierbehandelaars in MVP zullen zien in de controle dat er reeds een eerdere premie is toegekend geweest voor deze categorie
- Volgende diensten van Xxxxxxx zullen toegang hebben tot de gevraagde persoonsgegevens: Medewerkers van de afdeling REG beleid en premies binnen de klantendienst Fluvius
Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
Elke eventuele mededeling van de gevraagde persoonsgegevens door een instantie moet voorafgaandelijk aan de instantie van wie de gegevens afkomstig worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 5. Periodiciteit en duur van de mededeling
De persoonsgegevens van gegevensstroom 1 en 2 zullen eenmalig worden opgevraagd vlak na het moment dat de aanvraag wordt ingediend, de dossierbehandelaar kan nadien nog wel de actie opstarten om de authentieke data opnieuw te halen.
De persoonsgegevens van gegevensstroom 3 zijn bij de betrokkenen (burgers en stakeholders) zelf eenmalig opgevraagd met opt-in via de gemeenschappelijke website xxxxxxxxxxxxxxxxx.xx (of via infosessies hierover).
De mededeling van de persoonsgegevens gebeurt voor onbepaalde duur zolang Mijn Verbouw Premie bestaat.
Artikel 6. Beveiligingsmaatregelen
Volgende specifieke maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens in het kader van de Woning Renovatie Premie:
De verschillende instanties treffen daarnaast ook algemene beveiligingsmaatregelen overeenkomstig Informatieklasse 4 van het door het Stuurorgaan Vlaams Informatie en ICT-beleid goedgekeurde informatieclassificatiemodel:
Technische maatregelen
- Op elke laptop is bitlocker geïnstalleerd zodat bij diefstal of verlies de data geëncrypteerd zijn
- Op elke laptop (voorzien door VO) is endpoint protection voorzien en het data verkeer loopt via proxy Vlaamse Overheid
- Toegang tot de applicatie wordt beveiligd via sterke identificatie via de federale overheid
- Verwerkingen worden beveiligd gelogd zodat er steeds een controle mogelijk is wie welke set van gegevens heeft geraadpleegd
- Toepassingen worden continu up-to-date gehouden ten aanzien meest recente kwetsbaarheden
- Er wordt gebruik gemaakt van een totale security oplossing: zie technische documentatie (confluence) tov security referentie architectuur
- Er wordt gebruik gemaakt van Privileged Access Management
- Data at Rest: datafiles worden door de dataleveranciers geëncrypteerd aangeleverd en worden geëncrypteerd opgeslagen in S3-buckets
- Data in transit: gebruik van recentste versie van TLS en forward secrecy: Secure protocols: HTTPS, sFPTP, SSH, RDP
- Data in use (waar mogelijk):
Gebruik van geverifieerd besturingssysteem op hypervisor niveau, zodat gegarandeerd wordt dat dit besturingssysteem niet aangepast is door hackers Formeel geverifieerd opstartproces
Geen mogelijkheid voor administrators om in te loggen op hypervisor, zodat niet in de virtuele machines van deze toepassing kan worden gekeken
Screening van binnenkomende hardware op spionagechips
Werkgeheugen (RAM) wordt versleuteld met encryptiesleutels. Deze wordt gegenereerd binnen de hardware, verlaten dat systeem niet en worden vernietigd bij een herstart. Gegevens worden enkel onversleuteld verwerkt in de CPU- module
Versleutelde communicatie tussen opslagruimte en CPU
- De clusters van datacenters (availability zones) liggen geografisch gezien voldoende ver uit elkaar en hebben ieder aparte verbindingen naar het externe internet en zijn aangesloten op verschillende stroomnetten
- Sterke authenticatie, logging, encryptie volledige verwerkingsketen en PAM
- Er wordt gebruik gemaakt van state-of-the art perimeter beveiliging: firewall, netwerksegmentatie, reverse proxy en event collection
- Meerdere datacenters, systemen die zichzelf herstellen, health check op LB, en availability zones
Organisatorische maatregelen
- Externe beheerders hebben geen mogelijkheid tot interactieve gebruikers- of beheerderssessies waarbij zij de gegevens kan bekijken
- De beheerder heeft louter de mogelijkheid om in te loggen op het systeem in functie van patching, maar dit gebeurt op basis van geautomatiseerde scripts zonder persoonsgegevens te raadplegen
- Er is geen permanenten toegang voor deze beheerder (enkel gedurende het ticket)
- Om het risico tot onrechtstreekse identificeerbaarheid te reduceren is het aantal rapportbouwers beperkt
- Elk jaar wordt er minimaal één audit uitgevoerd op de toegangen en het gebruik van de databank door de privacy office. Deze audit wordt gerapporteerd aan het management
- De rollen van infrabeheerder, DBA, data-analist (BI rapporten)/data-gebruiker, DPO of lokale beheerder in webIDM of auditor zijn onderling niet met elkaar cumuleerbaar
- De rollen van cloud engineer, data engineer, data-analist/data-gebruiker, DPO of lokale beheerder in WebIDM of auditor en hoofdverantwoordelijke DHO zijn onderling niet met elkaar cumuleerbaar
- De toegangen door systeembeheerders gebeurt conform de PAM Motivated Acces- standaarden. Voor de applicatie zelf gebeurt dit conform de ACM Standaarden
- Toegang tot databank wordt gevalideerd door een door de organisatie geautoriseerd tweede en derde persoon (SoD/4EYES)
- Verminderde afhankelijkheid van de ongeoorloofde toegang bij systeemfalen door migratie naar publieke cloud
- Verhogen availability en continuity door gebruik publieke cloud
- AWS wordt minstens één maal per jaar geaudit voor volgende door het European Union Agency for Network and Information Security (ENISA) erkende certificaties die zich (onder andere) over fysieke beveiliging uitspreken: ISO27001:2013, AICPA SOC 1, SOC 2, SOC 3 als PCI-DSS
- Certificaties van AWS dienen jaarlijks te worden opgevolgd
- Bewustmaking medewerkers, beheer toegangen, ISO27x27x compliant hosting en periodieke pentest
- De organisatie beschikt over een informatieveiligheidsplan, informatieveiligheidsbeleid, policies rond verwerking van persoonsgegevens, een DPO en SO
- Bewustmaking rond (spear)phishing
- Van alle incidenten wordt een severity impact assessment gemaakt en waar nodig melding naar management, betrokkenen en/of toezichthoudende autoriteit
- Backup/restore procedure is aanwezig
- Er is geen permanente toegang tot authenticatie middelen (max 1 jaar) en ze worden periodiek herzien
De instanties moeten kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek moeten de instanties hiervan het bewijs overmaken.
In het geval een instantie voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet deze instantie uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Deze instantie sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Partijen bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Kwaliteit van de persoonsgegevens
Zodra een instantie één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt (al dan niet op basis van een mededeling van de betrokkene), meldt zij dat onmiddellijk aan de andere instanties die na onderzoek binnen het redelijke termijn van 1 maand van de voornoemde vaststellingen de gepaste maatregelen binnen het redelijke termijn van 1 maand treft en de andere instanties daarvan vervolgens op de hoogte brengt.
Artikel 8: Sanctie bij niet-naleving
Voor de sanctie bij niet-naleving wordt er verwezen naar de samenwerkingsovereenkomst tussen VEKA, Wonen-Vlaanderen en Fluvius.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar (via de functionarissen voor gegevensbescherming) zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
Een instantie brengt de andere instanties onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 10: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Brussel.
Artikel 11: Inwerkingtreding en opzegging
Dit protocol treedt in werking op datum van ondertekening.
Partijen kunnen dit protocol schriftelijk opzeggen mits inachtneming van een opzegtermijn zoals bepaald in de samenwerkingsovereenkomst.
Het protocol eindigt van rechtswege na afloop van de in artikel 5 van dit protocol bedoelde termijn van mededeling. Het protocol eindigt tevens van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens.
Opgemaakt te Brussel, op 17/11/2022, in evenveel exemplaren als dat er partijen zijn.
Namens het VEKA Namens Wonen-Vlaanderen
Namens Fluvius