PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN de entiteit
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN de entiteit
die RRF-middelen beheert NAAR de Vlaamse Auditautoriteit
in het kader van het verzamelen en bewaren van gegevens van de eindbegunstigden van RRF- middelen ten behoeve van controle en audit
15/09/2022
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
De entiteit die RRF-middelen beheert, vertegenwoordigd door zijn/haar leidend ambtenaar. Dit betreft alle entiteiten die betrokken zijn bij de RRF-projecten die zijn goedgekeurd bij Besluit van de Vlaamse Regering van 30 april 2021 (VR 2021/21 – 0038).
hierna: “de entiteit die RRF-middelen beheert”;
EN
De Vlaamse Auditautoriteit, vertegenwoordigd door de xxxx Xxxx Xxxxxxx, Inspecteur-generaal van Financiën, met ondernemingsnummer 0316.380.841 en vestigingsnummer 2.199.302.180, met adres te Koning Xxxxxx XX-laan 20, bus 23, 1000 Brussel.
hierna: “VAA”;
De entiteit die RRF-middelen beheert en de VAA worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. Definitie van de partij “entiteit die RRF-middelen beheert”: Een entiteit binnen de Vlaamse overheid die in het kader van het ingediende Plan voor Herstel en Veerkracht een project uitvoert, overeenkomstig het Besluit van de Vlaamse Regering van 30 april 2021.
B. De entiteit die RRF-middelen beheert is een entiteit die deel uitmaakt van het Vlaamse luik van het nationale Plan voor Herstel en Veerkracht, goedgekeurd door de Vlaamse Regering van 30 april 2021;
C. De VAA is opgericht bij Besluit van De Vlaamse Regering van 30 november 2007 houdende aanduiding van de Vlaamse Auditautoriteit voor de Europese Structuurfondsen;
D. Ten gevolge van de coronapandemie richtte de Europese Commissie een tijdelijk herstelinstrument op, nl. de Recovery en Resilience Facility (RRF), om de onmiddellijke economische schade en sociale schade te herstellen. De lidstaten stellen elk een Plan voor Herstel en Veerkracht op om middelen uit het RRF te ontvangen.
Het Vlaamse luik van het nationale Plan voor Herstel en Veerkracht werd op 30 april 2021 goedgekeurd door de Vlaamse Regering. De Vlaamse Regering besliste om de verantwoordelijkheid voor het beheer van de middelen bij de betrokken beleidsdomeinen te leggen.
In het kader van het beheer van de RRF-middelen dienen door de beleidsdomeinen gegevens verzameld te worden over de eindbegunstigden ten behoeve van controle en audit, overeenkomstig artikel 22, lid 2 van Verordening (EU) nr. 2021/241.
E. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
F. De functionaris voor gegevensbescherming van de entiteit die RRF-middelen beheert heeft advies met betrekking tot een ontwerp van dit protocol gegeven.
G. De functionaris voor gegevensbescherming van de VAA heeft op 14/09/2022 advies met betrekking tot een ontwerp van dit protocol gegeven.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 door de entiteit die RRF-middelen beheert aan de VAA uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
De beoogde gegevensverwerking door de VAA gebeurt op grond van 1) een wettelijke verplichting en is rechtmatig in het licht van artikel 6, c) van de AVG gebaseerd op de bepalingen van de verordening (EU) nr. 241/2021, artikel 22, lid 2, c) en d) en het BVR van 30 april 2021 dat een wettelijke basis vormt voor de verwerking in dit protocol, in combinatie met 2) een taak van algemeen belang of openbaar gezag, namelijk auditeren van Europese fondsen, welke volgt uit het Besluit van De Vlaamse Regering van 30 november 2007 houdende aanduiding van de Vlaamse Auditautoriteit en het Besluit van de Vlaamse Regering van 30 april 2021 betreffende de monitoring en audit van het PHV.
De entiteit die RRF-middelen beheert heeft de opgevraagde gegevens oorspronkelijk verzameld voor volgende doeleinden:
1. Het toekennen van een subsidie of het gunnen van een overheidsopdracht met als doel het voorkomen van dubbelfinanciering en het opsporen van belangenconflicten.
2. Omwille van een wettelijke verplichting in Verordening 241/2021 art. 22, lid 2, d) om ten behoeve van audit en controle te voorzien in vergelijkbare informatie over het gebruik van
de middelen voor maatregelen om hervormingen door te voeren en investeringsprojecten uit te voeren in het kader van het herstel- en veerkrachtplan
De VAA zal de opgevraagde gegevens verwerken voor volgende doeleinden:
- Het beoordelen van de beheers- en controlesystemen voor RRF die zijn opgezet door de beleidsdomeinen en het auditeren van de RRF-projecten. Op basis daarvan zal een samenvatting van de audits opgesteld worden, zoals vermeld in artikel 22, lid 2, c); ii).
Het doeleinde van de verdere verwerking van deze persoonsgegevens door de VAA is verenigbaar met de doeleinden waarvoor de entiteit die RRF-middelen beheert de gegevens oorspronkelijk heeft verzameld, gezien deze voor hetzelfde doeleinde gebruikt worden en op grond van dezelfde wettelijke basis verzameld worden.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Het betreft geen persoonsgegevens als vermeld in artikel 9 en/of 10 van de algemene verordening gegevensbescherming. Indien dat wel het geval is, wordt dit gespecificeerd in onderstaande tabel.
De gegevens van de eindbegunstigden worden opgevraagd op basis van rijksregisternummer en/of KBO-nummer.
Gegeven 1 het concrete gegeven dat wordt meegedeeld. Als er veel gegevens zijn, kunnen ze in clusters worden vermeld. | De naam en het ondernemingsnummer van de eindontvanger van de middelen. |
Verantwoording | Via de naam kan de begunstigde worden geïdentificeerd en |
proportionaliteit waarom elk gegeven noodzakelijk is voor het gevraagde doel. Als in artikel 1 en 2 verschillende doelen zijn opgegeven, aangeven | kunnen de subsidiestromen en mogelijke dubbelfinanciering worden nagegaan. Het ondernemingsnummer is een uniek identificatienummer, zo kunnen typfouten of verschillende schrijfwijzen van namen vermeden worden. Zo is er zekerheid dat het de juiste partij betreft. |
voor welk doel het gegeven wordt meegedeeld | |
Gegeven 2 het concrete gegeven dat wordt meegedeeld. Als er veel gegevens zijn, kunnen ze in clusters worden vermeld. | De naam en het ondernemingsnummer van de contractant en de subcontractant, indien de eindontvanger van de middelen een aanbestedende dienst is overeenkomstig het Unie- of nationale overheidsopdrachtenrecht. |
Verantwoording | Via de naam kan de contractant worden geïdentificeerd en |
proportionaliteit waarom elk gegeven noodzakelijk is voor het gevraagde doel. Als in artikel 1 en 2 verschillende doelen zijn opgegeven, aangeven voor welk doel het gegeven wordt meegedeeld | kunnen de financieringsstromen en mogelijke dubbelfinanciering worden nagegaan. Het ondernemingsnummer is een uniek identificatienummer, zo kunnen typfouten vermeden worden. |
Gegeven 3 het concrete gegeven dat wordt meegedeeld. Als er veel gegevens zijn, kunnen ze in clusters worden vermeld. | De voorna(a)m(en), achterna(a)m(en) en geboortedatum/-data van de eindbegunstigde(n) van de ontvanger van middelen of de contractant. |
Verantwoording | Met deze gegevens kunnen de eindbegunstigden worden |
proportionaliteit waarom elk gegeven noodzakelijk is voor het gevraagde doel. Als in artikel 1 en 2 verschillende doelen zijn opgegeven, aangeven voor welk doel het gegeven wordt meegedeeld | geïdentificeerd en kunnen de financieringsstromen, mogelijke dubbelfinanciering en belangenvermenging worden nagegaan. |
De meegedeelde gegevens zullen door de VAA bewaard worden tot en met 31 december 2031. Deze bewaartermijn kan worden verantwoord gezien de wettelijke bepaling in Verordening (EU) nr. 241/2021, artikel 22, lid 2, f), die verwijst naar artikel 132 van het financieel reglement dat bepaalt dat gegevens en bewijsstukken minstens 5 jaar na de laatste betaling van het project dienen bewaard te worden. Gegevens en documenten met betrekking tot audits, beroepsprocedures,
geschillen, claims met betrekking tot juridische verbintenissen of met betrekking tot onderzoeken van XXXX worden bijgehouden totdat deze zijn afgerond. Voor gegevens en documenten met betrekking tot onderzoeken door XXXX is de verplichting tot het bijhouden van toepassing zodra de ontvanger van die onderzoeken in kennis is gesteld.
De laatste betaling in het kader van het RRF zal ten laatste op 31 december 2026 plaatsvinden.
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
De VAA zal de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:
- Enkel medewerkers van de VAA die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
- Daarnaast kunnen de gevraagde gegevens worden medegedeeld aan of ingezien door:
o De Europese Commissie
o OLAF (Europees Bureau voor fraudebestrijding)
o De Europese Rekenkamer en
o Het Europees Openbaar Ministerie
Elke eventuele mededeling van de gevraagde persoonsgegevens door de VAA moet voorafgaandelijk aan de entiteit die de RRF-middelen beheert worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent onder meer dat de VAA waar vereist een protocol sluit voor de mededeling van de gevraagde gegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen maximaal per kwartaal worden opgevraagd in het kader van audits op de beheers- en controlesystemen van de beleidsdomeinen betrokken bij RRF en in het kader van audits op RRF-projecten.
De mededeling van de persoonsgegevens gebeurt voor de periode van 2022 t.e.m. 2026, de looptijd van het RRF.
Artikel 6: Beveiligingsmaatregelen
Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 3:
- Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie. De medewerkers van de VAA die instaan voor de verwerking hebben ieders de deontologische code onderschreven.
- De data wordt opgeslagen op een Sharepoint on premise van het beleidsdomein Financiën en Begrotingwaartoe enkel de medewerkers van de VAA toegang hebben.
- […]
De VAA moet kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van de entiteit die de RRF-middelen beheert moet de VAA hiervan aan de entiteit die de RRF-middelen beheert het bewijs overmaken.
In het geval de VAA voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet de VAA uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. De VAA sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Partijen bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Kwaliteit van de persoonsgegevens
Zodra de VAA één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt, meldt zij dat onmiddellijk aan de entiteit die de RRF-middelen beheert die na onderzoek binnen een redelijke termijn van de voornoemde vaststellingen de gepaste maatregelen treft en de VAA daarvan vervolgens op de hoogte brengt.
Artikel 8: Sanctie bij niet-naleving
Onverminderd haar recht om een schadevergoeding te vorderen wordt de entiteit die de RRF- middelen beheert ertoe gehouden de VAA te informeren indien zij van mening is dat de VAA de persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, waarna DFB maatregelen moet voorstellen om de eventuele schendingen te remediëren.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar via de functionarissen voor gegevensbescherming zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
De VAA brengt de entiteit die de RRF-middelen beheert onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 10: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Brussel.
Artikel 11: Inwerkingtreding en opzegging
Dit protocol treedt in werking op 15/09/2022.
De partijen gaan over tot akkoord met de inhoud van dit document via een aparte ondertekende verklaring.
Het protocol eindigt van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde mededeling van persoonsgegevens.
Opgemaakt te Brussel, op 15/09/2022.