PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN STAD TURN- HOUT NAAR HET AGENTSCHAP BINNENLANDS BESTUUR
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN STAD TURN- HOUT NAAR HET AGENTSCHAP BINNENLANDS BESTUUR
in het kader van GEMEENTE-STADSMONITOR
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
Stad Turnhout, met zetel Campus Blairon 200, 2300 Turnhout, vertegenwoordigd door het college van burgemeester en schepenen, voor wie tekenen: xxx. Xxxx Xxx Xxxxx, burgemeester en mevr. Xxxx Xxxxxxxxxx, waarnemend algemeen directeur in uitvoering van het collegebesluit 22/06/2023
Ingeschreven in de KBO met nummer BE0207.533.082 waarvan de administratieve zetel zich bevindt te Campus Xxxxxxx 000, 0000 Xxxxxxxx
hierna: “INSTANTIE 1” of “de Stad”;
EN
Het AGENTSCHAP BINNENLANDS BESTUUR, met adres Xxxxxxxxx 00 (xxx 00), 0000 Xxxxxxx, verte- genwoordigd door de leidend ambtenaar XXXXXX XXXXXX, ADMINISTRATEUR-GENERAAL ABB
Ingeschreven in de KBO met ondernemingsnummer 0316.380.841, vestigingseenheid 2.199.300.596, waarvan de administratieve zetel zich bevindt te Xxxxxxxxx 00 (xxx 00), 0000 Xxxxxxx
hierna: “INSTANTIE 2” of “ABB”
[INSTANTIE 1] en [INSTANTIE 2] worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. De Stad is juridisch verwerkingsverantwoordelijke voor de persoonsgegevens van de Ge- meente-Stadsmonitor op haar grondgebied op basis van artikel 2, §1 van het decreet van 22 december 2017 over het lokaal bestuur (zie artikel 2 van dit protocol).
B. ABB is een intern verzelfstandigd agentschap binnen het Vlaamse ministerie Kanselarij en Be- stuur, opgericht bij het Besluit van de Vlaamse Regering van 28 oktober 2005. Het agentschap werd opgericht voor de beleidsondersteuning en de uitvoering van het beleid inzake de bin- nenlandse aangelegenheden, met inbegrip van de coördinatie van het beleid met betrekking tot Brussel-Hoofdstad en met betrekking tot de Vlaamse Rand rond Brussel, van het steden- beleid, van het integratie- en inburgeringsbeleid en voor de beleidsondersteuning, vermeld in artikel 4 van het kaderdecreet bestuurlijk beleid van 18 juli 2003. Ze is in dit kader ook bevoegd voor de Gemeente- en Stadsmonitor.
C. De uitwisseling van de persoonsgegevens kadert in de opmaak van de volgende editie van de Gemeente-Stadsmonitor in 2024. De Gemeente-Stadsmonitor bestaat uit meer dan 200 om- gevingsindicatoren die maatschappelijke ontwikkelingen beschrijven in de 300 Vlaamse steden en gemeenten.
De GIS-indicatoren brengen de aanwezigheid, de spreiding en het bereik van een 6-tal voor- zieningen in beeld (o.a. lagere scholen of lokale dienstencentra in de wijk). De berekeningen
1
worden uitgevoerd aan de hand van een GIS-analyse (Geografisch Informatie Systeem). Ook de visualisatie gebeurt via GIS. Sinds 2017 worden de GIS-indicatoren door de Vlaamse Over- heid opgesteld om de uniformiteit van de berekeningen en visualisatie te garanderen.
D. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
F. De functionaris voor gegevensbescherming van ABB heeft op 3 april 2023 advies met betrek- king tot een ontwerp van dit protocol gegeven. De functionaris voor gegevensbescherming van ABB kan bereikt worden via het e-mailadres xxxxXXX-XXX@xxxxxxxxxx.xx of telefonisch via 02 553 37 83.
G. De functionaris voor gegevensbescherming van de Stad heeft op 22/05/2023 advies met be- trekking tot een ontwerp van dit protocol gegeven. De functionaris voor gegevensbescherming van de Stad kan bereikt worden via e-mail xxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xx of telefonisch via 014 53 44 84.
H. Het advies van de bevoegde toezichthoudende autoriteit werd niet ingewonnen.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten uiteengezet van de elektronische mededeling door de Stad aan ABB van de persoonsgegevens zoals omschreven in artikel 3.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
De beoogde gegevensverwerking door ABB zal gebeuren op grond van artikel 6, lid 1, e AVG: de ver- werking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de Verwerkingsverantwoordelijke is opge- dragen.
De Stad verzamelt de persoonsgegevens in haar bevolkingsregister met als doeleinde te voldoen aan haar wettelijke plicht zoals opgelegd in artikel 1 van de wet van 19 juli 1991 betreffende de bevolkings- registers, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten.
ABB zal de persoonsgegevens verzamelen voor de opmaak van de Gemeente-Stadsmonitor. Artikel 2,
§ 1 van het decreet van 22 december 2017 over het lokaal bestuur stipuleert dat de gemeenten moe- ten beogen om op het lokale niveau bij te dragen aan het welzijn van de burgers en een burgernabije, democratische, transparante en doelmatige uitoefening van hun bevoegdheden (artikel 2, §1, eerste lid) dienen te verzekeren. In de vervulling van deze taak is de Gemeente-Stadsmonitor een belangrijk beleidsinstrument, waarvan ABB de coördinatie op zich neemt (zie artikel 4, 5° BVR tot oprichting van het intern verzelfstandig agentschap Agentschap Binnenlands Bestuur). De opmaak van de GIS-indica- toren binnen de Gemeente-Stadsmonitor betreft een statistische verwerking.
Het doeleinde voor de verdere verwerkingen is dus wetenschappelijk en historisch onderzoek voor statistische doeleinden. Op deze verwerkingen geldt een uitzondering volgens artikel 5, 1, b), tweede
2
zinsdeel van de Algemene Verordening Gegevensbescherming: deze verwerkingen worden niet als on- verenigbaar beschouwd met de oorspronkelijke doeleinden.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de ge- vraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die wor- den meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de ge- gevens.
De gegevens worden opgevraagd op basis van adres.
Er worden persoonsgegevens verstrekt van alle inwoners van de Stad, inclusief kinderen.
Gevraagde persoonsgegevens (toestand op 1 januari 2023) | |
Identificatiegegevens | • Adres (straat, huisnummer, postcode) |
Persoonlijke kenmer- xxx | • Xxxxxxxxxxxx |
Verantwoording pro- portionaliteit | Deze data zijn nodig om aandeel inwoners binnen een bepaalde leeftijdscate- gorie te berekenen dat binnen een bepaalde loopafstand van een voorziening woont. Deze berekening gebeurt via GIS-analyse. |
Zodra de GIS-indicatoren opgemaakt zijn, worden de persoonsgegevens vernietigd, en dit uiterlijk op 1 november 2023.
ABB zal werken met een derde vertrouwenspartij (TTP) die optreedt als verwerker (zie artikel 7). De Stad zal de persoonsgegevens rechtstreeks aan de TTP-verwerker bezorgen op de wijze zoals omschre- ven in artikel 7.
Aangezien ABB de betreffende persoonsgegevens nooit zelf ontvangt, gebeurt de vernietiging van de persoonsgegevens door de TTP-verwerker.
Artikel 4: De categorieën van ontvangers
De ontvangen persoonsgegevens worden verwerkt door volgende categorieën van ontvangers:
- Medewerkers van VSA (die optreedt als TTP-verwerker voor ABB) die instaan voor de ontwik- keling van de GIS-indicatoren.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen eenmalig en op één afgesproken ogenblik worden opgevraagd omdat de statistische analyse uitgevoerd wordt op de persoonsgegevens die op 1 januari 2023 gelden (als mo- mentopname).
3
Artikel 6: Beveiligingsmaatregelen
De partijen engageren zich passende technische en organisatorische maatregelen te nemen rekening houdend enerzijds met de stand van de techniek ter zake en de uitvoeringskosten en anderzijds met de aard, de omvang, de context van de verwerking, de verwerkingsdoeleinden en de qua waarschijn- lijkheid en ernst uiteenlopende risico’s voor de rechten en de vrijheden van personen:
- voor de bescherming van de persoonsgegevens tegen vernietiging, verlies of om welke reden dan ook het niet raadpleegbaar zijn en in het geval van een fysiek of technisch incident, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (beschikbaar- heid). ABB beschikt over een gedocumenteerde procedure om zonder enige vertraging de Stad in te lichten dat een datalek heeft plaatsgevonden aangaande de in dit kader overgedragen persoonsgegevens. Ook alle verdere stappen worden in deze procedure opgenomen (inlichten van autoriteiten, betrokkenen, …);
- voor de bescherming van de persoonsgegevens tegen ongeoorloofde wijziging (integriteit);
- voor de bescherming van de persoonsgegevens tegen ongeoorloofde toegang of inzage door derden (vertrouwelijkheid);
- opdat “de betrokkene” steeds kan navragen welke gegevens over hem worden verwerkt, door wie en voor welke doeleinde (transparantie);
- opdat de persoonsgegevens die partijen afzonderlijk c.q. verder zullen verwerken onderling niet kunnen worden gelinkt, ook niet aan gegevens van derden, en dus opdat de persoonsge- gevens enkel worden verwerkt voor het oorspronkelijk vooropgestelde doeleinde (isolatie);
- opdat de (verwerking van) persoonsgegevens steeds kan worden overgedragen naar een an- dere dienstverlener (overdraagbaarheid en interoperabiliteit);
- opdat steeds kan worden nagegaan wie toegang had tot de persoonsgegevens en wat de aard is van de verwerkingen die werden verricht (transparantie).
Aangezien ABB de data niet zelf ontvangt, worden deze maatregelen opgenomen in de verwerkers- overeenkomst met de TTP-verwerker.
Partijen kunnen aantonen dat de in dit artikel bedoelde maatregelen werden getroffen en behouden blijven gedurende de volledige bewaartermijn van de persoonsgegevens. Op eenvoudig verzoek moe- ten de partijen elkaar hiervan het bewijs overmaken.
Artikel 7: Verwerkers
In het geval ABB voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet ABB uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en or- ganisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verorde- ning gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaar- borgd. ABB sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeen- stemming met artikel 28 AVG.
De verplichtingen die uit dit protocol voortvloeien worden aan de eventuele verwerkers van de par- tijen meegedeeld.
Overeenkomstig artikel 28 AVG zijn de volgende verplichtingen van toepassing wanneer de verwerking door een verwerker wordt verricht:
4
− ABB doet uitsluitend een beroep op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen;
− de verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of alge- mene toestemming van ABB;
− de verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van ABB;
− de verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde per- sonen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen;
− de verwerker verleent bijstand aan ABB bij het vervullen van diens plicht om verzoeken om uitoefening van de rechten van de betrokkenen te beantwoorden;
− de verwerker wist alle persoonsgegevens na afloop van de verwerkingsdiensten;
− de verwerker stelt alle informatie die nodig is om de nakoming van de in artikel 28 AVG neer- gelegde verplichtingen aan te tonen ter beschikking van ABB;
− de verwerker stelt ABB onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG.
Partijen bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
ABB duidt alvast de Vlaamse Statistische Autoriteit (hierna: VSA) aan als derde vertrouwenspartij en dus TTP-verwerker en sluit hiertoe een verwerkersovereenkomst in overeenstemming met artikel 28 AVG. De VSA zal de persoonsgegevens ontvangen om het aandeel inwoners binnen een bepaalde leef- tijdscategorie te berekenen dat binnen een bepaalde loopafstand van een voorziening woont. Deze verwerking gebeurt via een GIS-analyse. De VSA stelt een SharePoint ter beschikking via dewelke de centrumsteden hun versleuteld gegevensbestand kunnen uitwisselen. De versleuteling zal gebeuren via een asymmetrische versleuteling (sleutelpaar private key – public key). De VSA zal haar publieke sleutel bezorgen aan de centrumsteden. Deze kan gebruikt worden om de gegevens te versleutelen (bv. tool Xxxxxxxxx; een handleiding wordt bezorgd). De centrumsteden hebben enkel toegang tot hun eigen folder op die SharePoint en niet tot de folders van de andere centrumsteden (deze zijn ook niet zichtbaar). De gegevens worden bij ontvangst zo snel mogelijk verplaatst naar een andere beveiligde plek waar ze ontsleuteld worden aan de hand van de private sleutel van de VSA en waar ze verder verwerkt zullen worden. Ingeval van problemen met hun verwerker(s) engageren partijen zich om de gepaste maatregelen te nemen om zich te verzekeren van de conformiteit van de verwerking met de wetgeving ter bescherming van persoonsgegevens in het algemeen en met de AVG in het bijzonder.
Artikel 8: Kwaliteit van de persoonsgegevens
Het databestand is een momentopname van burgers die op 1 januari 2023 op dat adres wonen.
Zodra ABB door de TTP-verwerker op de hoogte gebracht wordt van één of meerdere foutieve, on- nauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3 (al dan niet op basis van een mededeling van de betrokkene), meldt ABB dat on- middellijk aan de Stad die na onderzoek van de voornoemde vaststellingen onmiddellijk de gepaste maatregelen treft en ABB daarvan vervolgens op de hoogte brengt.
5
Artikel 9: Sanctie bij niet-naleving
Onverminderd haar recht om een schadevergoeding te vorderen en in afwijking van artikel 5, kan de Stad dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling een- zijdig beëindigen en/of klacht indienen bij de bevoegde toezichthoudende autoriteit indien ABB deze persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de Algemene Veror- dening Gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
ABB is verantwoordelijk voor de verwerking van de ontvangen data en kan bijgevolg strafrechtelijk vervolgd worden of burgerrechtelijk aansprakelijk gesteld worden voor mogelijke schade die zij aan derden (inclusief mogelijke betrokkenen) zou veroorzaken door bekendmaking of verspreiding van persoonsgegevens in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening ge- gevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuur- lijke personen bij de verwerking van persoonsgegevens.
Bij eenzijdige beëindiging van het protocol overeenkomstig dit artikel, vernietigt ABB, en in het bij- zonder de verwerker VSA op wie ABB beroep doet, onmiddellijk de persoonsgegevens waarvan sprake in artikel 3 van dit protocol.
Artikel 10: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de Algemene Verordening Gegevensbescherming om elkaar via de functionarissen voor gegevensbescherming op de hoogte te brengen van een (ver- moedelijke) inbreuk die zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen, overeenkomstig onderstaande modaliteiten.
Zodra er iets ongebruikelijk gebeurt met een geautomatiseerd systeem dat persoonsgegevens van de dataset verwerkt, informeren partijen elkaar en wel binnen 24 uur nadat de onregelmatigheid bekend is geworden.
In voorkomend geval kunnen partijen onmiddellijk gezamenlijk overleggen teneinde alle maatregelen te nemen om de gevolgen van de eventuele inbreuk te beperken en te herstellen.
Een melding tussen partijen, zoals hiervoor omschreven bedoeld in dit artikel, kan elektronisch via het e-mailadres van de respectievelijke DPO en/of telefonisch via de helpdesk van de respectievelijke partij gebeuren.
De termijn van 72 uur die elke verwerkingsverantwoordelijke heeft om de inbreuk te melden bij de bevoegde toezichthoudende autoriteit begint voor elke verwerkingsverantwoordelijke afzonderlijk te lopen, zodra de desbetreffende verwerkingsverantwoordelijke kennis heeft genomen van de inbreuk. De beslissing om de inbreuk te melden bij de bevoegde toezichthoudende autoriteit(en) en/of de be- trokkene ligt bij de verwerkingsverantwoordelijke bij wie de inbreuk heeft plaatsgehad.
Ten behoeve van de uiteindelijke melding aan de bevoegde toezichthoudende autoriteit(en) verstrek- ken partijen elkaar alle beschikbare informatie zoals vermeld op het Meldformulier inbreuk in verband met persoonsgegevens van de Vlaamse Toezichtcommissie (VTC).
6
Artikel 11: Rechten van betrokkenen
Overeenkomstig de relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, inclusief de Algemene Verordening Gegevensbescherming, be- schikken de betrokkenen over een aantal rechten:
- het recht op informatie;
- het recht op inzage van hun persoonsgegevens;
- het recht op rectificatie van hen betreffende onjuiste persoonsgegevens;
- het recht op beperking van de verwerking van hun persoonsgegevens;
- het recht van bezwaar tegen de verwerking van hun persoonsgegevens;
- het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hen rechtsgevolgen zijn verbonden of dat hen treft, tenzij dat besluit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, wettelijk is toegestaan of berust op de toestemming van de betrokkenen;
- het recht op wissing van de persoonsgegevens.
Als een betrokkene een beroep doet op zijn/haar rechten, dan bieden partijen elkaar de nodige sa- menwerking en ondersteuning om hier binnen de wettelijke termijn op te kunnen beslissen. Xxxxx een betrokkene bij de uitoefening van zijn rechten zich rechtstreeks richten tot de ene partij, dan neemt laatstgenoemde hierover direct contact op met de andere partij.
De partij die het verzoek ontvangen heeft, onderzoekt dit verzoek binnen vijf werkdagen. Na afloop van het onderzoek neemt elke partij, na onderling overleg, gepaste maatregelen binnen vijf werkda- gen.
Artikel 12: Risicobenadering en DPIA
Partijen engageren zich mee te werken aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.
Partijen zullen in onderling overleg de gevolgen, de uitvoering, de termijn van uitvoering van de DPIA en de eventueel bijhorende kosten, bepalen.
Artikel 13: Verwerkingsregister
Overeenkomstig artikel 30 AVG houden beide partijen een register van verwerkingsactiviteiten bij. Elke partij zal de gegevensverwerking zoals opgenomen in dit protocol, in haar verwerkingsregister opnemen.
Artikel 14: Publicatie protocol
Partijen maken dit protocol onmiddellijk beschikbaar op hun respectievelijke websites.
Artikel 15: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol, behoren uitsluitend tot de bevoegdheid van de rechtbank van het gerechtelijk arrondissement Brussel.
7
Artikel 16: Inwerkingtreding en opzegging
Dit protocol treedt in werking op van zodra alle partijen ondertekend hebben.
Partijen kunnen dit protocol schriftelijk opzeggen mits inachtneming van een opzegtermijn van 3 maanden.
Het protocol eindigt:
- van rechtswege na afloop van de in artikel 5 van dit protocol bedoelde termijn van mededeling,
- van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens, of
- bij eenzijdige beëindiging door de Stad overeenkomstig artikel 9 van dit protocol.
Opgemaakt in evenveel exemplaren als dat er partijen zijn.
Getekend door:Xxxxxx Xxxxxx (Signature Getekend op:2023-06-29 16:43:27 +02:00
Reden:Ik keur dit document goed
Xxxx Xxx Xxxxx Xxxxxx Xxxxxx
Burgemeester Administrateur-generaal
Namens de Stad Agentschap Binnenlands Bestuur
Xxxx Xxxxxxxxxx
Waarnemend Algemeen Directeur Namens de Stad
8