PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN de entiteit
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN de entiteit
die RRF-middelen beheert NAAR het Departement Kanselarij en Buitenlandse Zaken en het Departement Financiën en Begroting
in het kader van het verzamelen en bewaren van gegevens van de eindbegunstigden van RRF- middelen ten behoeve van controle en audit
10/05/2023
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
De entiteit die RRF-middelen beheert, vertegenwoordigd door zijn/haar leidend ambtenaar. Dit betreft alle entiteiten die betrokken zijn bij de RRF-projecten die zijn goedgekeurd overeenkomstig de nota van de Vlaamse Regering van 30 april 2021 (VR 2021/21 – 0038).
hierna: “de entiteit die RRF-middelen beheert”;
EN
Departement Kanselarij en Buitenlandse Zaken, vertegenwoordigd door Xxxxx Xxxxxx, secretaris- generaal, met ondernemingsnummer 0316.380.841 en vestigingsnummer 2.138.199.704, met adres te Xxxxxxxxx 00, xxx 000, 0000 Xxxxxxx.
hierna: “DKBUZA”;
EN
Departement Financiën en Begroting, vertegenwoordigd door Xxxx Xxxxxx, secretaris-generaal, met ondernemingsnummer 0316.380.841 en vestigingsnummer 2.199.302.180, met adres te Ellipsgebouw, Xxxxxx Xxxxxx XX-xxxx 00 xxx 00, 0000 Xxxxxxx.
hierna: “DFB”;
De entiteit die RRF-middelen beheert, DKBUZA en DFB worden hieronder ook wel afzonderlijk
aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. Definitie van de partij “entiteit die RRF-middelen beheert”: Een entiteit binnen de Vlaamse
overheid die in het kader van het ingediende Plan voor Herstel en Veerkracht (hierna:
“PHV”) een project uitvoert, overeenkomstig de nota van de Vlaamse Regering van 30 april 2021.
B. De entiteit die RRF-middelen beheert is een entiteit die deel uitmaakt van het Vlaamse luik van het nationale Plan voor Herstel en Veerkracht, goedgekeurd door de Vlaamse Regering van 30 april 2021;
C. DFB is opgericht bij artikel 19 van het Besluit van de Vlaamse Regering van 3 juni 2005 met betrekking tot de organisatie van de Vlaamse administratie.
D. DKBUZA is een fusie van de departementen Kanselarij en Bestuur enerzijds en het departement Buitenlandse Zaken anderzijds. Op 1 september 2020 werd het Departement Kanselarij en Buitenlandse Zaken officieel opgericht. Zie in dat verband onder meer volgende Besluiten van de Vlaamse Regering:
- 11 september 2020 over de reorganisatie van het beleidsdomein Kanselarij en Bestuur en de samenvoeging van het beleidsdomein Kanselarij en Bestuur met het beleidsdomein Internationaal Vlaanderen
- 3 juni 2005 met betrekking tot de organisatie van de Vlaamse administratie (B.S. 22.09.2005) gewijzigd bij verscheidene besluiten
E. Ten gevolge van de coronapandemie richtte de Europese Commissie een tijdelijk herstelinstrument op, nl. de Recovery en Resilience Facility (RRF), om de onmiddellijke economische schade en sociale schade te herstellen. De lidstaten stellen elk een Plan voor Herstel en Veerkracht op om middelen uit het RRF te ontvangen.
Het Vlaamse luik van het nationale Plan voor Herstel en Veerkracht werd op 30 april 2021 goedgekeurd door de Vlaamse Regering. De Vlaamse Regering besliste om de verantwoordelijkheid voor het beheer van de middelen bij de betrokken beleidsdomeinen te leggen.
In het kader van het beheer van de RRF-middelen dienen door de beleidsdomeinen gegevens verzameld te worden over de eindbegunstigden ten behoeve van controle en audit, overeenkomstig artikel 22, lid 2 van Verordening (EU) nr. 2021/241.
F. Op 23 juni 2021 werd door de Europese Commissie een positief oordeel geveld over het Belgische plan voor herstel en veerkracht. Dit betekent dat de EU in totaal 5,9 miljard euro van de faciliteit voor herstel en veerkracht (RRF) aan België mag uitkeren. Dit plan moet België helpen een antwoord te bieden aan de dringende noodzaak om een krachtig herstel te bevorderen en België toekomstklaar te maken. De hervormingen en investeringen van het plan zullen België moeten helpen duurzamer en veerkrachtiger te worden en beter voorbereid te zijn op de uitdagingen en kansen van de groene en de digitale transitie. Daartoe omvat het plan 105 investeringen en 35 hervormingen.
Alle hervormingen en investeringen moeten binnen een krappe termijn worden uitgevoerd, aangezien in de verordening betreffende de faciliteit voor herstel en veerkracht is bepaald dat zij uiterlijk in augustus 2026 moeten zijn voltooid.
De geraamde totale kosten van het herstel- en veerkrachtplan voor België bedragen 5,9 miljard EUR. De door de Europese Commissie voor België toegewezen financiële bijdrage wordt in 10 schijven of tranches a rato van te behalen mijlpalen en streefdoelen toegewezen.
De vrijgave van de tranches in overeenstemming met de financieringsovereenkomst is afhankelijk van de beschikbare middelen en van een besluit van de Commissie overeenkomstig artikel 24 van Verordening (EU) 2021/241 dat België de desbetreffende mijlpalen en streefdoelen die zijn vastgesteld in verband met de uitvoering van het herstel- en veerkrachtplan, op bevredigende wijze heeft verwezenlijkt.
G. Ten eerste bepaalt mijlpaal 209 dat een gegevensbank voor monitoring van uitvoering van de RRF wordt ingevoerd en operationeel is.
De gegevensbank omvat minimaal de volgende functionaliteiten:
a) een verzameling van gegevens en monitoring van de verwezenlijkingen van alle andere mijlpalen en streefdoelen uit het PHV;
b) de registratie van de gegevens over de eindontvangers, contractanten, subcontractanten en uiteindelijke begunstigden (ultimate beneficial owers, UBO), zoals bepaald in artikel 22, lid 2, punt d), i), ii) en iii) van de RRF-verordening.
Deze gegevens worden verzameld op het niveau van de entiteiten die de RRF-middelen beheren. De gegevens over de eindbegunstigden komen uit het federale UBO-register. In de RRF-tool van DFB worden zij aan elkaar gekoppeld op basis van het KBO-nummer.
Ten tweede bepaalt mijlpaal 210 dat ‘passende coördinatieregelingen, waaronder crosschecks, worden opgesteld en ingevoerd op het niveau van het coördinatieorgaan op interfederaal niveau. De bedoeling is aan de hand van crosschecks enerzijds de financiering van dezelfde maatregel vanuit meerdere EU-fondsen te onderzoeken en anderzijds te onderzoeken of dezelfde ontvanger meermaals middelen ontvangt uit het RRF en andere Europese fondsen. Beide checks leveren een indicatie van mogelijke dubbele financiering van dezelfde prestaties. Ook voor deze controle moeten de gegevens van eindontvangers van subsidies verzameld worden.
Deze crosschecks zullen desgevallend gebeuren door maandelijkse rapporten uit de Europese database Arachne (meer informatie kan via deze link teruggevonden worden) te analyseren/te koppelen aan de database opgezet voor mijlpaal 209, waarbij risico’s inzake belangenvermenging en/of dubbelfinanciering worden geïdentificeerd, onderzocht en in voorkomend geval worden gemitigeerd.
Een gedetailleerde omschrijving van de mijlpalen 209 en 210 is opgenomen in het addendum bij het raadsbesluit (Council Implementing Decision) met betrekking tot de goedkeuring van het Plan voor Herstel en Veerkracht van de lidstaat België (beschikbaar via deze link).
In het kader van REPowerEU, een plan om de afhankelijkheid van Russische fossiele brandstoffen snel te verminderen en de groene transitie te bespoedigen, heeft de Europese wetgever de RRF-verordening geamendeerd en enkele artikelen toegevoegd, zoals artikel 25bis, die bijkomende transparantieverplichtingen oplegt aan lidstaten (zie in dat verband Verordening (EU) 2023/435 van het Europees Parlement en de Raad van 27 februari 2023 tot wijziging van Verordening (EU) 2021/241 wat betreft REPowerEU-hoofdstukken in herstel- en veerkrachtplannen en tot wijziging van Verordeningen (EU) nr. 1303/2013, (EU) 2021/1060 en (EU) 2021/1755 en Richtlijn 2003/87/EG).
Hiertoe werken DKBUZA en DFB aan de operationalisering van de gegevensbanken en werken ze de nodige coördinatiemaatregelen uit voor de Vlaamse inbreng in deze
mijlpalen. DKBUZA neemt voornamelijk de coördinerende rol en de communicatie richting de GOM (Groep van Managers) op. DFB zorgt voor de operationalisering van de RRF-tool binnen de Orafin-rapporteringsomgeving. De entiteiten die de RRF-middelen beheren blijven verantwoordelijk voor de datakwaliteit en de volledigheid van de data.
H. Artikel 24, lid 9, van de RRF-verordening stelt dat wanneer de betrokken lidstaat binnen achttien maanden na de datum van vaststelling van het in artikel 20, lid 1, bedoelde uitvoeringsbesluit van de Raad geen concrete vorderingen ten aanzien van de desbetreffende mijlpalen en streefdoelen heeft gemaakt, de Commissie de in artikel 15, lid 2, en artikel 23, lid 1, bedoelde overeenkomsten beëindigt, en onverminderd artikel 14, lid 3, van het Financieel Reglement het bedrag van de financiële bijdrage vrijmaakt.
I. Er werd door de entiteit die RRF-middelen beheert reeds een protocol gesloten met de Vlaamse Auditautoriteit (VAA) ten behoeve van audit en controle. Dit protocol heeft geen gevolgen voor dat protocol.
J. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
K. De functionaris voor gegevensbescherming van de entiteit die RRF-middelen beheert heeft advies met betrekking tot dit protocol gegeven.
L. De functionaris voor gegevensbescherming van DFB (XXX_XX@xxxxxxxxxx.xx) heeft op 07/04/2023 advies met betrekking tot dit protocol gegeven.
M. De functionaris voor gegevensbescherming van DKBUZA (xxx.xxxxxx@xxxxxxxxxx.xx) heeft op 07/04/2023 advies met betrekking tot dit protocol gegeven.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 door de entiteit die RRF-middelen beheert aan DFB en DKBUZA uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
De beoogde gegevensverwerking door DFB en DKBUZA gebeurt op grond van een taak van algemeen belang die hun werd toegekend waaronder de hierna opgesomde wettelijke verplichtingen vallen. De beoogde gegevensverwerking is rechtmatig in het licht van artikel 6, lid 1, c) en e) van de AVG gebaseerd op de bepalingen van de verordening (EU) nr. 241/2021 zoals geamendeerd door Verordening (EU) 2023/435 van het Europees Parlement en de Raad van 27 februari 2023 tot wijziging van Verordening (EU) 2021/241 wat betreft REPowerEU-hoofdstukken in herstel- en veerkrachtplannen en tot wijziging van Verordeningen (EU) nr. 1303/2013, (EU)
2021/1060 en (EU) 2021/1755 en Richtlijn 2003/87/EG, artikel 22, lid 2, c) en d) en 25bis. Deze wettelijke verplichting wordt verder toegelicht in de nota aan de Vlaamse Regering van 30 april 2021 dewelke DKBUZA en DFB belast met de Vlaamse opvolging van het Europees semester waarbij de opvolging van PHV centraal zal staan.
De entiteit die RRF-middelen beheert heeft de opgevraagde gegevens oorspronkelijk verzameld voor onder andere volgende doeleinden:
1. Het toekennen van een subsidie of het gunnen van een overheidsopdracht met als doel het voorkomen van dubbelfinanciering en het opsporen van belangenconflicten.
2. Omwille van een wettelijke verplichting in Verordening 241/2021 art. 22, lid 2, d) om ten behoeve van audit en controle te voorzien in vergelijkbare informatie over het gebruik van de middelen in het kader van het herstel- en veerkrachtplan
DFB en DKBUZA zullen de opgevraagde gegevens verder verwerken voor volgende doeleinden:
- In het kader van de Europese Faciliteit voor Veerkracht en Herstel zoals ingesteld via de RRF-verordening van 12/02/2021 en het nationale Plan voor Herstel en Veerkracht zoals goedgekeurd door de Raad op 13/07/21, en het Vlaamse aandeel daarin;
In uitvoering van de nota van de Vlaamse Regering van 04/2021 inzake het opzetten van een Beheers- Controle en Auditsysteem bij de projecten ingediend in het kader van de Europese Faciliteit voor Veerkracht en Herstel (VR 2021 3004 DOC.0480/1BIS) en de nota van de Vlaamse Auditautoriteit (VAA) aan de coördinerende ministers Jambon en Diependaele dd 24 11 2022;
De opgevraagde gegevens zullen in het kader van dit plan, de erin opgenomen Vlaamse maatregelen, en de daarop uit te voeren controle, audit en coördinatie verder worden verwerkt.
- Ter voldoening aan de verplichtingen en doelstellingen die werden uiteengezet in de nota aan de Vlaamse Regering van 30 april 2021 en hetgeen werd bepaald in de voorafgaandelijke punten F en G van dit protocol.
Het doeleinde van de verdere verwerking van deze persoonsgegevens door DFB en DKBUZA is verenigbaar met de doeleinden waarvoor de entiteit die RRF-middelen beheert de gegevens oorspronkelijk heeft verzameld, gezien deze voor hetzelfde doeleinde gebruikt worden en op grond van dezelfde wettelijke basis verzameld worden.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens. Het betreffen eveneens historische gegevens.
Het betreft geen persoonsgegevens als vermeld in artikel 9 en/of 10 van de algemene verordening gegevensbescherming. Indien dat wel het geval is, wordt dit gespecificeerd in onderstaande tabel.
Ter informatieve titel wordt verwezen naar bijlage 1 waarin de toepasselijke informatieklasse wordt aangegeven.
De gegevens van de eindbegunstigden worden opgevraagd op basis van rijksregisternummer en/of KBO-nummer.
Gegeven 1 | De naam en het ondernemingsnummer of rijksregisternummer van de eindontvanger van de middelen. |
Verantwoording proportionaliteit | Via de naam kan de begunstigde worden geïdentificeerd en kunnen de subsidiestromen en mogelijke dubbelfinanciering worden nagegaan. De Recovery en Resilience Facility vereist in artikel 22.2.d.iii van de RRF-verordening een correcte rapportering en identificatie van eindbegunstigden. Deze correctheid kan alleen worden gegarandeerd als de 'unieke identifier' wordt gebruikt (i.e. het ondernemings- of rijksregisternummer), want het gebruik van enkel de naam, voornaam en geboortedatum of bedrijfsnaam is niet sluitend om iemand met 100% zekerheid te identificeren. Op die manier kunnen bijvoorbeeld homonieme namen en schrijffouten worden vermeden en kan voorkomen worden dat één eindbegunstigde meermaals wordt opgenomen. |
Gegeven 2 | De naam en het ondernemingsnummer of rijksregisternummer van de contractant en de subcontractant, indien de eindontvanger van de middelen een aanbestedende dienst is overeenkomstig het Unie- of nationale overheidsopdrachtenrecht. |
Verantwoording proportionaliteit | Via de naam kan de contractant worden geïdentificeerd en kunnen de financieringsstromen en mogelijke dubbelfinanciering worden nagegaan. De correcte identificatie kan alleen worden gegarandeerd als de 'unieke identifier' wordt gebruikt (i.e. het ondernemings- of rijksregisternummer), want het gebruik van enkel de naam, voornaam en geboortedatum of bedrijfsnaam is immers niet sluitend om iemand met 100% zekerheid te identificeren. Op die manier kunnen bijvoorbeeld homonieme namen en schrijffouten worden vermeden. |
Gegeven 3 | De voorna(a)m(en), achterna(a)m(en), rijksregisternummer en geboortedatum/-data van de eindbegunstigde(n) van de ontvanger van middelen of de contractant. |
Verantwoording proportionaliteit | Met deze gegevens kunnen de eindbegunstigden worden geïdentificeerd en kunnen de financieringsstromen, mogelijke dubbelfinanciering en belangenvermenging worden nagegaan. De correcte identificatie kan alleen worden gegarandeerd als de 'unieke identifier' wordt gebruikt (i.e. het ondernemings- of rijksregisternummer), want het gebruik van enkel de naam, voornaam en geboortedatum of bedrijfsnaam is immers niet sluitend om iemand met 100% zekerheid te identificeren. Op die manier kunnen bijvoorbeeld homonieme namen en schrijffouten worden vermeden. In dat verband wordt eveneens verwezen naar artikel 22, d, iii) van de RRF-verordening. |
De meegedeelde gegevens zullen door DFB en DKBUZA verwerkt worden tot en met 31 december 2031. Nadien zullen zij 10 jaar worden bewaard. Deze bewaartermijn kan worden verantwoord gezien de samenlezing van de volgende wettelijke bepalingen, waar de langste bewaartermijn zal gelden:
- Artikel 22 van de RRF-verordening verwijst naar artikel 132 van de Verordening (EU, Euratom) 2018/1046 van het Europees parlement en de raad tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie (het financieel reglement) van 18 juli 2018: “Ontvangers houden gegevens en bewijsstukken, waaronder statistische gegevens en andere informatie bij met betrekking tot de financiering, alsmede gegevens en documenten in elektronische vorm, gedurende vijf jaar na de betaling van het saldo of, bij ontstentenis van een dergelijke betaling, verrichting. Deze termijn bedraagt drie jaar bij de financiering van een bedrag van ten hoogste 60 000 EU”
- Artikel 32 van de Vlaamse Codex Overheidsfinanciën van 29 maart 2019 (dat op zijn beurt verwijst naar artikel III.86 van het Wetboek economisch recht) stelt dat data zeven jaar wordt bijgehouden opdat controle door de verschillende controleactoren mogelijk is en niet wordt belemmerd.
- Het Wetboek van de Belasting op de Toegevoegde Waarde (Artikel 60 §3 en §4) vereist een minimum bewaartermijn van tien jaar. Aangezien alle entiteiten van de Vlaamse Overheid BTW-plichtig zijn en/of een BTW-aangifte indienen, moet deze termijn gerespecteerd worden.
Na deze termijnen zullen de gegevens vernietigd worden.
Artikel 4: De categorieën van ontvangers en derden die mogelijk de gegevens eveneens verkrijgen
DFB en DKBUZA zullen de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:
- Enkel medewerkers van DFB en DKBUZA die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
- Daarnaast kunnen de gevraagde gegevens worden medegedeeld aan of ingezien door:
o De Vlaamse Audit Autoriteit (VAA)
o FOD Beleid & Ondersteuning
o De Europese Commissie
o OLAF (Europees Bureau voor fraudebestrijding)
o De Europese Rekenkamer en
o Het Europees Openbaar Ministerie
Elke eventuele mededeling van de gevraagde persoonsgegevens door DFB en DKBUZA moet voorafgaandelijk aan de entiteit die de RRF-middelen beheert worden gemeld en moet in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent onder meer dat DFB en DKBUZA waar vereist een protocol sluiten voor de mededeling van de gevraagde gegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen voor mijlpaal 209 doorgaans maximaal per kwartaal worden opgevraagd in het kader van audits op de beheers- en controlesystemen van de beleidsdomeinen betrokken bij RRF en in het kader van audits op RRF-projecten. Evenwel komt het elk beleidsdomein toe om de frequentie en methodologie van haar controles te beschrijven in haar beheers- en controlesysteem. Dit kan variëren gezien dit aansluit bij de specificiteit van de projecten welke binnen dat beleidsdomein worden uitgevoerd waardoor voornoemde periodiciteit zou kunnen wijzigen. Voor mijlpaal 210 zullen er maandelijks terugkerende checks gebeuren.
De mededeling van de persoonsgegevens gebeurt in ieder geval voor de periode van 2022 t.e.m. 2026, de looptijd van het RRF.
Artikel 6: Beveiligingsmaatregelen
Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 3:
Inzake vertrouwelijkheid zullen enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, toegang krijgen tot de informatie. De medewerkers van DFB en DKBUZA die instaan voor de verwerking hebben ieder de deontologische code onderschreven. De medewerkers van DFB hebben daarnaast nog een vertrouwelijkheidsovereenkomst gesloten.
De RRF-tool wordt geïntegreerd in de Orafin tool. Alle veiligheidsmaatregelen die van toepassing zijn op Orafin, zullen dus ook van toepassing zijn op RRF. Hierna een overzicht:
- De data wordt opgeslagen in de RRF-tool van DFB waartoe enkel de bevoegde medewerkers van DFB en DKBUZA toegang hebben.
- De data worden door de entiteit die RRF-middelen beheert rechtstreeks ingevoerd in de RRF- tool. Dit is een web service. De overdracht van de data vindt plaats over een verbinding die wordt versleuteld en slechts toegankelijk is na een toegang via ACM/IDM.
- Technische maatregelen
o Gebruikersnaam- en wachtwoord, op geëncrypteerde basis versleuteld – toegang via ACM/IDM en webservices via VO-certificaat
o Hosting in eigen data center(s) DFB
o Beperking aantal data base administrators
o Logging van de toegangen tot Orafin
o Security patches worden nauw opgevolgd via Change Advisory Board (CAB)
o Toegangsbeheer gebaseerd op rollen en authorisaties gedefinieerd door gebruikende entiteit – enkel financieel analysten toegang tot de RRF-applicatie
- Organisatorische maatregelen
o Verplichte clean desk policy voor back-office
o Doorgedreven audit van RRF-tool
o Back-up beleid met mirroring en 2 datacenters
o Gebruikersforum (SOFI & POB)
o Account managers
o Rapportering en monitoring op meerdere niveaus
o Verantwoordelijkheid dossierbeheer bij entiteiten zelf
- Juridische maatregelen
o Operational Level Agreement (OLA)
o Service Level Agreement (SLA)
o Informatiebeheersplan en archiveringsplan
o Noodzakelijke documentatie zoals vereist door AVG
DFB en DKBUZA moeten kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van de entiteit die de RRF-middelen beheert moeten DFB en DKBUZA hiervan aan de entiteit die de RRF-middelen beheert het bewijs overmaken.
In het geval DFB en DKBUZA voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doen op een verwerker (of meerdere verwerkers), doen zij uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. DFB en DKBUZA sluiten in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Partijen bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Kwaliteit van de persoonsgegevens
Zodra DFB of DKBUZA één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt, meldt zij dat onmiddellijk aan de entiteit die de RRF-middelen beheert die na onderzoek binnen een redelijke termijn van de voornoemde vaststellingen de gepaste maatregelen treft en DFB en DKBUZA daarvan vervolgens op de hoogte brengt.
Indien de entiteit die de RRF-middelen beheert vaststelt dat zij foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, heeft medegedeeld, kan zij, voor zover mogelijk, zelf de nodige aanpassingen maken in de RRF-tool.
Artikel 8: Sanctie bij niet-naleving
Onverminderd haar recht om een schadevergoeding te vorderen wordt de entiteit die de RRF- middelen beheert ertoe gehouden DFB en DKBUZA te informeren indien zij van mening is dat DFB en DKBUZA de persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, waarna DFB en DKBUZA maatregelen moet voorstellen om de eventuele schendingen te remediëren.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar via de functionarissen voor gegevensbescherming zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
DFB en DKBUZA brengen de entiteit die de RRF-middelen beheert onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 10: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Brussel.
Artikel 11: Inwerkingtreding en opzegging
Dit protocol treedt in werking op 10/05/2023.
De partijen gaan over tot akkoord met de inhoud van dit document via een aparte ondertekende verklaring.
Het protocol eindigt van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde mededeling van persoonsgegevens.
Opgemaakt te Brussel, op 10/05/2023.
Bijlagen:
Bijlage 1: Informatieclassificatie
BIJLAGE 1
De aangeduide classificatie is van toepassing (lichtblauwe markering)
1 | 00 | Er werden geen standaard datatypes gerelateerd aan persoonsgegevens, geïdentificeerd in de Informatieklasse 1 (Vertrouwelijkheidslabel: ‘Publiek’). |
2 | 00 | Contact gegevens |
3 | 00 | Persoonlijke contact gegevens |
3 | 01 | Identificatie gegevens |
3 | 02 | Persoonlijke kenmerken |
3 | 03 | Consumptiegewoonten. |
3 | 04 | Woningkenmerken |
3 | 05 | Opleiding, ervaring en vorming |
3 | 06 | Beroep en betrekking |
3 | 07 | Vrijetijdsbesteding en interesses |
3 | 08 | Rijksregisternummer / Identificatienummer van de sociale zekerheid |
4 | 00 | Financiële en fiscale gegevens : in casu aangerekend bedrag |
4 | 01 | Leefgewoonten |
4 | 02 | Fysieke, Medische of psychische gegevens en behandelingen |
4 | 03 | Samenstelling van het gezin |
4 | 04 | Juridische en gerechtelijke gegevens |
4 | 05 | Raciale of etnische gegevens |
4 | 06 | Gegevens over seksuele geaardheid |
4 | 07 | Politieke, filosofische of religieuze relaties en overtuigingen |
4 | 08 | Beeld- en geluidopnamen |
4 | 09 | Genetische en biometrische gegevens |
4 | 10 | Locatiegegevens |
4 | 11 | Contractuele detail met werkgever |
4 | 12 | Evaluatie en prestaties |
4 | 13 | Gegevens sociale zekerheid |
4 | 14 | Statuten en vergunningen |
5 | Er werden geen standaard datatypes gerelateerd aan persoonsgegevens, geïdentificeerd in de Informatieklasse 4 (Vertrouwelijkheidslabel: ‘zeer geheim’). De Vlaamse overheid maakt gebruik van de identificatie- en authenticatiesleutels van de Belgische federale diensten (FAS/CSAM) en verwerkt deze gegevens niet. | |