Versie 2.0.
Afspraken inzake de gezamenlijke verwerking van persoonsgegevens door de bevoegde agentschappen van de gefedereerde entiteiten, FAGG en Sciensano in het kader van de organisatie en de registraties inzake vaccinaties tegen COVID-19
Versie 2.0.
1. Identificatie van de betrokken overheidsinstanties en de respectieve DPO's
1.1. Verwerkingsverantwoordelijken
Deze overeenkomst wordt gesloten tussen de volgende overheidsinstanties die gegevens verwerken in het kader van de organisatie en de registraties inzake vaccinaties tegen COVID- 19, hierna de "partijen" genoemd:
1. Vlaams Agentschap Zorg en Gezondheid (VAZG), ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0316.380.841 , waarvan de kantoren gelegen zijn Koning Xxxxxx XX laan 35, bus 33 te 0000 Xxxxxxx en die vertegenwoordigd wordt door Xxxx Xx Xxxx, administrateur-generaal.
2. Agence Wallonne pour une Vie de Qualité (AVIQ), ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0646.877.855, waarvan de kantoren gelegen zijn Xxx xx xx Xxxxxxxxx 00, 0000 Xxxxxxxxx (xxxxx) en die vertegenwoordigd wordt door Xxxxxxxxx Xxxxxx, administrateur generaal
3. De Gemeenschappelijke Gemeenschapscommissie (GGC), ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0240.682.833, waarvan de kantoren gelegen zijn in de Xxxxxxxxxxxxxx 00, xxx 0, 0000 Xxxxxxx en die vertegenwoordigd wordt doorNathalie Noël, leidend ambtenaar van de Diensten van het Verenigd College van de GGC.
4. Het Ministerium der Deutschsprachigen Gemeinschaft (MDG), ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0332.582.613 waarvan de kantoren gelegen zijn in de Xxxxxxxxxxxxxx 0, 0000 Xxxxx en die vertegenwoordigd wordt door Xxxxx Xxxxxx, adjunct-secretaris-generaal
5. Office de la Naissance et de l’Enfance (ONE), ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0231.907.895, waarvan de kantoren gelegen zijn in de Xxxxxxxx xx Xxxxxxxxx 00, 0000 Xxxxx-Xxxxxx en die vertegenwoordigd wordt door Xxxxxx Xxxxxxxxxx, administrateur-generaal.
6. Franse Gemeenschapscommissie (COCOF), met ondernemingsnummer 0000-000-000, waarvan de kantoren gelegen zijn in de Xxxxxxxxxxxxxx 00, 0000 Xxxxxxx en die vertegenwoordigd wordt door Xxxxxxxxxx Xxxxxxxxxx, administrateur-generaal.
7. Sciensano, sui generis openbare instelling met rechtspersoonlijkheid ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0693.876.830, met maatschappelijke zetel in de Juliette Wytsmanstraat 14 te 1050 Elsene en die vertegenwoordigd wordt door Pr. Xxxxxxxxx Xxxxxxx, algemeen directeur.
8. Het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten (FAGG) , ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0884.579.424, met
maatschappelijke zetel in de Xxxxxxxxxxx 0/00 0000 Xxxxxxx, en die vertegenwoordigd wordt door Xxxxxx Xx Xxxxxx, administrateur-generaal.
1.2. Data Protection Officer
De Data Protection Officer van VAZG kan worden gecontacteerd via xxxxxxxxxxxxxxxxxxxx.xx@xxxxxxxxxx.xx.
De Data Protection Officer van AVIQ kan worden gecontacteerd via xxx@xxxx.xx.
De Data Protection Officer van GGC kan worden gecontacteerd via xxxxxxxxxxxxxx@xxx.xxxxxxxx.
De Data Protection Officer van MDG kan worden gecontacteerd via xxxxxxxxxxx@xxxx.xx.
De Data Protection Officer van ONE kan worden gecontacteerd via xxx@xxx.xx .
De Data Protection Officer van COCOF kan worden gecontacteerd via xxx@xxxx.xxxxxxxx
De Data Protection Officer van Sciensano kan worden gecontacteerd via xxx@xxxxxxxxx.xx.
De Data Protection Officer van FAGG kan worden gecontacteerd via XXX@xxxx.xx .
De partijen zijn het volgende overeengekomen:
2. Voorwerp van de overeenkomst
Deze overeenkomst heeft tot voorwerp:
• de vastlegging van de rollen en verantwoordelijkheden van de verschillende verwerkingsverantwoordelijken ten aanzien van de betrokkenen in het kader van verwerkingen van persoonsgegevens met betrekking tot de organisatie en registraties van vaccinaties tegen COVID-19
• de manier waarop zij hun gemeenschappelijke en respectieve verplichtingen nakomen om de naleving van de GDPR te waarborgen
De hoofdlijnen van deze overeenkomst worden ter beschikking gesteld van de betrokkene. De gezamenlijke verwerking betreft de gegevens in de lijst van bijlage A.
3. Rechtmatigheid en doeleinden van de gezamenlijke verwerking
De vermelde verwerkingen in deze overeenkomst zijn rechtmatig omdat deze verwerkingen: « noodzakelijk zijn voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen » (art. 6, 1, e) AVG). Deze wettelijke basis is de volgende:
• Samenwerkingsakkoord van 12 maart 2021 tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waalse Gewest en de Franse Gemeenschapscommissie betreffende de verwerking van gegevens met betrekking tot vaccinaties tegen COVID-19
Het verbod op de verwerking van gezondheidsgegevens is voor deze verwerkingen niet van toepassing aangezien de doelstellingen gelinkt zijn aan
• continuïteit van zorg (art. 9, 2, h AVG)
• de vervulling van een taak van algemeen belang op het gebied van de volksgezondheid, met name de bestrijding van de verspreiding van COVID-19 en het waarborgen van de kwaliteit en veiligheid van geneesmiddelen (art. 9, 2, i AVG)
• de noodzaak tot wetenschappelijk onderzoek (art. 9, 2, x XXX)
De gezamenlijke verwerking van persoonsgegevens wordt uitgevoerd voor onderstaande doeleinden opgesplitst per gegevensbank vermeld in het Samenwerkingsakkoord van 12 maart 2021.
Verwerkingsdoeleinden gelinkt aan de Vaccination Codes Database:
1° het beheren van schema’s voor vaccinatie tegen COVID−19 per te vaccineren of gevaccineerde persoon en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra en zorgverleners;
2° het uitnodigen, en het aanbieden van ondersteuning bij het uitnodigingsproces, van personen voor vaccinatie tegen COVID−19 door de zorgverleners, de verzekeringsinstellingen, de vaccinatiecentra, de federale overheid, de bevoegde gefedereerde entiteiten en de lokale besturen;
3° de logistieke organisatie van de vaccinatie tegen COVID−19, na anonimisering van de gegevens of op zijn minst pseudonimisering van de gegevens ingeval de anonimisering niet zou toelaten om de logistieke organisatie te realiseren.
Verwerkingsdoeleinden gelinkt aan Vaccinnet+ :
1° het verstrekken van gezondheidszorg en behandelingen, zoals bedoeld in artikel 9, 2, h van de Algemene Verordening Gegevensbescherming, wat uitsluitend beoogd wordt door de vaccinatie en de ondersteunings-, de informatie- en de sensibiliseringsmaatregelen ten aanzien van de burgers voor wat de vaccinatie betreft;
2° de geneesmiddelenbewaking van de vaccins tegen COVID−19, overeenkomstig artikel 12sexies van de wet van 25 maart 1964 op de geneesmiddelen en de gedetailleerde richtsnoeren bekendgemaakt door de Europese Commissie in de ″Module VI –Verzameling, beheer en indiening van meldingen van vermoedelijke bijwerkingen van geneesmiddelen (GVP)″, zoals ze voorkomen in de laatst beschikbare versie, en zoals bedoeld in artikel 4, paragraaf 1, 3e lid, 3°, van de wet van 20 juli 2006 betreffende de oprichting en de werking van het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten;
3° de traceerbaarheid van de vaccins tegen COVID−19 teneinde de opvolging van “rapid alerts van vigilantie” en “rapid alerts van kwaliteit” te verzekeren zoals bedoeld in zoals bedoeld in artikel 4, paragraaf 1, 3e lid, 3°, e, en 4°, j, van de wet van 20 juli 2006 betreffende de oprichting en de werking van het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten;
4° het beheren van schema’s voor vaccinatie tegen COVID−19 per te vaccineren of gevaccineerde persoon en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra;
5° de logistieke organisatie van de vaccinatie tegen COVID−19, na anonimisering van de gegevens of ten minste pseudonimisering van de gegevens voor het geval dat de anonimisering de logistieke organisatie niet mogelijk zou maken;
6° het bepalen van de anonieme vaccinatiegraad tegen COVID−19 van de bevolking;
7° het organiseren van de contactopsporing in uitvoering van het Samenwerkingsakkoord van 25 augustus 2020 tussen de Federale Staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde gefedereerde entiteiten of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID–19 besmet zijn op basis van een gegevensbank bij Sciensano;
8° het uitvoeren van de monitoring en surveillance na vergunning van de vaccins overeenkomstig de goede praktijken aanbevolen door de Wereldgezondheids-organisatie, na anonimisering van de gegevens of ten minste pseudonimisering van de gegevens voor het geval dat de anonimisering de monitoring en surveillance na vergunning niet mogelijk zou maken;
9° onverminderd de regelgeving inzake de ziekteverzekering, de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de gefedereerde entiteiten, na anonimisering van de gegevens of ten minste pseudonimisering van de gegevens voor het geval dat de anonimisering de berekening van de verdeling niet mogelijk zou maken;
10° het uitvoeren van wetenschappelijke of statistische studies, in overeenstemming met artikel 89, §1 van de Algemene Verordening Gegevensbescherming en in voorkomend geval met artikel 89, §§2 en 3 van de Algemene Verordening Gegevensbescherming en titel 4 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, na anonimisering, of minstens pseudonimisering, voor het geval dat anonimisering niet zou toelaten de wetenschappelijke of statistische studie uit te voeren;
11° het informeren en sensibiliseren van personen met betrekking tot de COVID−19 vaccinatie
door zorgverleners en verzekeringsinstellingen.
De partijen verbinden er zich toe de persoonsgegevens in bijlage A uitsluitend te verwerken voor het/de voormelde doeleinde(n).
4. Beschrijving van de verwerking en de rollen
4.1. Betrokken categorieën van gegevens: (Zie bijlage A)
De verwerkingen hebben betrekking op de verzameling, de structurering, de koppeling, de uitwisseling, de (tijdelijke) bewaring, de verwijdering, de visualisatie en de pseudonimisering van
• identiteitsgegevens
• contactgegevens
• gezondheidsgegevens
4.2. Categorieën van betrokkenen:
De gegevensverwerkingen voor de organisatie en registraties van vaccinaties tegen COVID-19 hebben betrekking op volgende personen:
• Personen die een vaccin tegen Covid-19 toegediend kunnen krijgen op het Belgische grondgebied.
• Personen die een vaccin kunnen toedienen (=vaccinatoren)
4.3. Middelen van verwerking :
Het informatiesysteem met betrekking tot de COVID-19-vaccinaties moet de volgende processen ondersteunen:
1. de selectie van de personen die uitgenodigd worden voor vaccinatie
2. de vaccinatie-uitnodiging van de personen
3. de reservatie van een tijdslot voor de vaccinatie
4. de registratie van de vaccinatie door vaccinatoren
5. het beheer van het individuele vaccinatieschema
6. het beschikbaar stellen van de persoonlijke vaccinatie-informatie voor
o de gevaccineerde persoon
o de zorgverleners en zorginstellingen die een therapeutische relatie met de gevaccineerde persoon hebben
o de contactcentra voor contactonderzoek zodat ze de maatregelen ten aanzien van hoogrisico-contacten kunnen evalueren
7. de uitreiking van een vaccinatie-attest
8. de berekening van de verdeling van de kosten van de vaccinatie tussen de Federale Staat en de deelentiteiten
9. geneesmiddelenbewaking en traceerbaarheid van de vaccins tegen COVID-19, overeenkomstig de geldende regelgeving
10. monitoring en surveillance na vergunning, nadat de gegevens geanonimiseerd werden of minstens gepseudonimiseerd indien anonimisering niet toelaat om de monitoring en surveillance na vergunning te realiseren
11. ondersteuning van wetenschappelijk en statistisch onderzoek na anonimisering van de gegevens of op zijn minst pseudonimisering indien een anonimisering niet toelaat om het wetenschappelijk of statistisch onderzoek uit te voeren.
Om deze processen te ondersteunen worden 4 databanken gebruikt:
1. Vaccinnet bij het Vlaams Agentschap Zorg & Gezondheid, met gezamenlijke verwerkingsverantwoordelijkheid tussen de deelentiteiten en Sciensano
2. VONS (Vigilance Online Notification System) bij het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten (FAGG)
3. COVID-19 TestResult database bij Sciensano
4. De databank met vaccinatiecodes beheerd door de deelentiteiten die verantwoordelijk zijn voor de organisatie van de vaccinatie en Sciensano
Omwille van het belang om over accurate data te beschikken wordt er beroep gedaan op het Rijksregister conform de beslissing(en) van de minister van Binnenlandse Zaken.
4.4. Categorieën van ontvangers
Gegevens afkomstig uit de Vaccination Codes databases
Vaccinatiecentra (inclusief mobiele en satelliet teams): ontvangst van een beperkte set identificatiegegevens uit de databank met vaccinatiecodes voor de organisatie van de vaccins binnen hun centra en/of voor het versturen van uitnodigingen. In sommige regio’szullen ook de gemeenten en steden betrokken zijn in het proces van de uitnodigingen.
Artsen en apothekers: Huisartsen en apothekers zullen ze de mogelijkheid hebben om de vaccinatiestatus en de gebruiksstatus van de vaccinatiecodes van hun patiënten te controleren via een transactionele webservice in de databank van vaccinatiecodes op basis van het INSZ van de patiënt. Artsen in collectiviteiten zullen de vaccinatiestatus en de gebruiksstatus van de vaccinatiecodes van personen die in de collectiviteit verblijven of werken kunnen controleren via een transactionele webservice in de databank met vaccinatiecodes op basis van het INSZ van de betrokkenen. Bedrijfsartsen zullen de mogelijkheid hebben om de vaccinatiestatus en de gebruiksstatus van de vaccinatiecodes van de werknemers van het bedrijf te controleren via een transactionele webservice in de databank van vaccinatiecodes op basis van het INSZ van de betrokkenen.
Contactcentrum deelstaten: ontvangst van persoonsgegevens van personen die hulp nodig hebben bij het activeren of desactiveren van een vaccinatiecode in het kader van afspraken voor vaccinaties
Nationaal Intermutualistisch College: mutualiteiten kunnen het gegeven “status vaccinatiecodes” van hun eigen leden van consulteren ter ondersteuning en sensibilisering van deze leden aangaande de vaccinatiecampagne.
Gegevens afkomstig uit Vaccinnet +
VAZG, AVIQ, GGC, MDG, ONE: ontvangst van demografische gegevens en gegevens over de toegediende vaccins uit Vaccinnet+ voor het creëren van statistieken over de vaccinatiegraad in de deelstaat.
Contactcentrum deelstaten: toekomstige ontvangst van informatie over vaccinatiestatus van personen in het kader van contactopsporing. Het gebruik van het gegeven vaccinatiestatus op contactopsporing zal worden uitgewerkt door de RAG en ter beraadslaging worden voorgelegd aan het Informatieveiligheidscomité Sociale Zekerheid en Gezondheid.
Sciensano:
• Informatici van de dienst xxxxxxxxxx.xx: ontvangst van nominatieve gegevens van Xxxxxxxxxx om a) gegevens met betrekking tot vaccinatiestatus te kunnen verwerken in richtlijnen inzake contactopsporing, b) het pseudonimisatieproces voor de doeleinden van surveillance en monitoring na vergunnings alsook wetenschappelijk onderzoek te faciliteren en c) transfers ten aanzien van het FAGG, de FOD Volksgezondheid en de deelstaten te realiseren.
• Onderzoekers van het Departement Epidemiologie: ontvangst van gepseudonimiseerde gegevens uit Vaccinnet+ voor de doeleinden van monitoring en surveillance na vergunning en toekomstig wetenschappelijk onderzoek conform de beraadslagingen van het Informatieveiligheidscomité Sociale Zekerheid & Gezondheid.
FAGG:
Het FAGG ontvangt vanuit Sciensano dagelijks een uittreksel van de vaccinnet+ gegevens, beperkt tot die gegevens die van nut zijn voor de VONS applicatie. Deze gegevens worden in een lokale databank bewaard. Bij meldingen van bijwerkingen die door burgers of zorgverleners (artsen, verpleegkundigen, vroedvrouwen, tandartsen, apothekers) in het VONS systeem worden ingevoerd, zal het VONS systeem geval per geval de relevante vaccinatiegegevens van de betrokkene (geïdentificeerd op basis van zijn rijksregisternummer) opzoeken om de overeenkomstige delen van het meldingsformulier in te vullen met deze informatie. Het betreft specifiek de volgende gegevens uit Vaccinet+ die worden gebruikt: rijksregisternummer, geslacht, geboortedatum, eventuele datum van overlijden, info over de vaccinator, plaats van vaccinatie, datum van vaccinatie, info over het toegediende vaccin (naam, CNK/ATC code, lotnummer), aanduiding of het de 1e of 2e dosis betreft en eventuele bijkomende informatie over de vastgestelde bijwerking.
Eenmaal de melding uiteindelijk wordt geregistreerd bij het FAGG worden de gegevens gepseudonimiseerd voor verdere evaluatie door het team farmacovigilantie: de identiteit van de betrokkene is niet van belang voor de evaluatie van de gemelde bijwerking, maar de pseudonimisatie laat wel toe om verbanden te leggen tussen meerdere meldingen betreffende eenzelfde persoon, en ook om eventuele dubbele notificaties van eenzelfde bijwerking te detecteren.
Sciensano bezorgt het FAGG anderzijds ook systematisch gepseudonimiseerde informatie over gedetecteerde ‘breakthrough cases’ (gevallen van gevaccineerde personen die daarna toch COVID-19 oplopen), hetgeen het FAGG gebruikt voor het evalueren van de efficiëntie van een vaccin.
FOD Volksgezondheid:
o ontvangst van geaggregeerde gegevens via Sciensano met het oog op rapportering over de vaccinatiegraad binnen de Belgische bevolking aan het Regeringscommissariaat Corona, FAGG en de beleidscellen van bevoegde ministers
o ontvangst van logistieke gegevens inzake de leveringen en verdeling van de vaccins, met het oog op hun opvolging
RIZIV: Het RIZIV kan binnen haar wettelijke bevoegdheden anonieme of gepseudonimiseerde gegevens ontvangen voor verwerkingen inzake het berekenen en verdelen van de kosten van de vaccinaties. De exacte gegevens hiervoor worden later bepaald.
Burgers: burgers kunnen gegevens over hun vaccinatie raadplegen via Vitalink of xxx.xxxxxxxxxxxxxx.xx
4.5. Bewaringstermijn van de gegevens:
De gegevens binnen de databank met vaccinatiecodes worden bewaard tot 5 dagen na de dag van publicatie van het koninklijk besluit dat het einde van de toestand van de coronavirus COVID–19- epidemie afkondigt.
De gegevens afkomstig uit Vaccinnet+ worden bewaard tot aan het overlijden van de persoon waaraan
het vaccin tegen COVID−19 werd toegediend en minimum gedurende 30 jaar na de vaccinatie.
In de VONS databank worden de gepseudonimiseerde persoonsgegevens betreffende gemelde bijwerkingen op een vaccin tegen COVID 19 bewaard tot 10 jaar na het vervallen van de vergunning voor het op de markt brengen van het vaccin.
4.6. Respectieve rollen en respectieve verplichtingen van de verwerkingsverantwoordelijken
De door de bevoegde gefedereerde entiteiten aangeduide agentschappen, en de federale overheidsinstellingen treden, ieder voor hun bevoegdheid, op als verwerkingsverantwoordelijke voor de verwerking van de persoonsgegevens bedoeld in dit protocol.
Verwerkingsdoeleinden | Doelgroep van datasubjecten | Gebruikte databanken | |
VAZG | -een kwalitatieve zorgverstrekking aan de betrokkene; -het beheren van schema’s voor vaccinatie tegen COVID-19 en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra; -de logistieke organisatie van de vaccinatie tegen COVID-19; -het bepalen van de (anonieme) vaccinatiegraad tegen COVID-19 -het organiseren van de contactopsporing; -de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de deelentiteiten; -het uitnodigen van personen voor vaccinatie tegen COVID-19 en hen bijstaan in het uitnodigingsproces | -personen die gevaccineerd worden op het grondgebied van het Vlaams Gewest of in een instelling in het tweetalige gebied Brussel-Hoofdstad die wegens zijn organisatie moet worden beschouwd als een instelling die uitsluitend behoort tot de Vlaamse Gemeenschap en hun betrokken vaccinatoren | -Databank met vaccinatiegegevens -Vaccinnet+ |
ONE | -een kwalitatieve zorgverstrekking aan de betrokkene; -het beheren van schema’s voor vaccinatie tegen COVID-19 en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra; -de logistieke organisatie van de vaccinatie tegen COVID-19; -het bepalen van de (anonieme) vaccinatiegraad tegen COVID-19 -de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de deelentiteiten; - het uitnodigen van personen voor vaccinatie tegen COVID-19 | -vaccinatoren en personen waarvoor de Franse Gemeenschap bevoegd is | -Databank met vaccinatiegegevens -Vaccinnet+ |
AVIQ | -een kwalitatieve zorgverstrekking aan de betrokkene; -het beheren van schema’s voor vaccinatie tegen COVID-19 en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra; -de logistieke organisatie van de vaccinatie tegen COVID-19; -het bepalen van de (anonieme) vaccinatiegraad -het organiseren van de contactopsporing; -de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de deelentiteiten; - het uitnodigen van personen voor vaccinatie tegen COVID-19 en hen bijstaan in het uitnodigingsproces | -vaccinatoren en personen voor de personen waarvoor het Waals Gewest bevoegd is | -Databank met vaccinatiegegevens -Vaccinnet+ |
GGC | -een kwalitatieve zorgverstrekking aan de betrokkene; -het beheren van schema’s voor vaccinatie tegen COVID-19 en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra; -de logistieke organisatie van de vaccinatie tegen COVID-19; -het bepalen van de (anonieme) vaccinatiegraad tegen COVID-19 -het organiseren van de contactopsporing; -de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de deelentiteiten; - het uitnodigen van personen voor vaccinatie tegen COVID-19 en hen bijstaan in het uitnodigingsproces | -vaccinatoren en personen waarvoor de Gemeenschappelijke Gemeenschaps- commissie van Brussel-Hoofdstad bevoegd is | -Databank met vaccinatiegegevens -Vaccinnet+ |
COCOF | -een kwalitatieve zorgverstrekking aan de betrokkene; -het beheren van schema’s voor vaccinatie tegen COVID-19 en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra; -de logistieke organisatie van de vaccinatie tegen COVID-19; -het bepalen van de (anonieme) vaccinatiegraad tegen COVID-19 -de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de deelentiteiten; - het uitnodigen van personen voor vaccinatie tegen COVID-19 | -vaccinatoren en personen waarvoor de Franse Gemeenschapscommissie van Brussel- Hoofdstad bevoegd is | -Databank met vaccinatiegegevens -Vaccinnet+ |
MDG | -een kwalitatieve zorgverstrekking aan de betrokkene; -het beheren van schema’s voor vaccinatie tegen COVID-19 en het inplannen van vaccinatiemomenten, onder meer door de vaccinatiecentra; -de logistieke organisatie van de vaccinatie tegen COVID-19; -het bepalen van de (anonieme) vaccinatiegraad tegen COVID-19 -de berekening van de verdeling van de kosten voor de vaccinatie tussen de Federale Staat en de deelentiteiten; - het uitnodigen van personen voor vaccinatie tegen COVID-19 en hen bijstaan in het uitnodigingsproces | -vaccinatoren en de personen waarvoor de Duitstalige Gemeenschap bevoegd is | -Databank met vaccinatiegegevens -Vaccinnet+ |
Sciensano | -het bepalen van de (anonieme) vaccinatiegraad tegen COVID-19 -het organiseren van de contactopsporing; -het uitvoeren van de monitoring en surveillance na vergunning; -het ondersteunen van wetenschappelijk onderzoek; | -personen gevaccineerd op Belgisch grondgebied -vaccinatoren in België | -Databank met vaccinatiegegevens -Vaccinnet+ -COVID-19 TestResult database |
FAGG | -farmacovigilantie; -traceerbaarheid van de vaccins; | -personen gevaccineerd op Belgisch grondgebied -vaccinatoren in België | -Vaccinnet + -VONS |
Gelet op het gezamenlijk gebruik van de databank met vaccinatiecodes1 en Vaccinnet+ komen de verwerkingsverantwoordelijken voor deze systemen overeen tot
• het gezamenlijk opstellen van een gegevensbeschermingseffectbeoordeling
• het gezamenlijk afsluiten van verwerkingsovereenkomsten met de verwerkers, inclusief vermelding van de organisatorische en technische maatregelen ter bescherming van de persoonsgegevens
• gezamenlijke acties inzake het informeren van data subjecten alsook het tegemoetkomen aan vragen ter uitoefening van de rechten van de betrokkenen
Ieder verwerkingsverantwoordelijke is zelf verplicht tot het opnemen van de verwerkingen waarvoor hij verantwoordelijk is in zijn verwerkingsregister.
Voor de COVID-19 TestResult database en aanvullende verwerkingen inzake het doeleinde het uitvoeren van de monitoring en surveillance na vergunning en toekomstig wetenschappelijk onderzoek is Sciensano verplicht tot
• het opstellen van een gegevensbeschermingseffectbeoordeling
• het bijhouden van een incidentenregister
• het nemen van organisatorische en technische maatregelen ter bescherming van de persoonsgegevens
• het afsluiten van verwerkingsovereenkomsten met verwerkers
• het informeren van data subjecten alsook het tegemoetkomen aan vragen ter uitoefening van de rechten van de betrokkenen
Voor de databank VONS en gerelateerde verwerkingen inzake farmacovigilantie en traceerbaarheid van de vaccins is het FAGG verplicht tot
• het opstellen van een gegevensbeschermingseffectbeoordeling
• het bijhouden van een incidentenregister
• het nemen van organisatorische en technische maatregelen ter bescherming van de persoonsgegevens
• het afsluiten van verwerkingsovereenkomsten met verwerkers
• het informeren van data subjecten alsook het tegemoetkomen aan vragen ter uitoefening van de rechten van de betrokkenen
4.7. Informatie voor de betrokkenen (overeenkomstig de artikelen 13 en 14 van de GDPR)
De personen waarop de verwerkingsactiviteiten betrekking hebben, ontvangen de vereiste informatie op het moment dat de persoonsgegevens bij de betrokkenen worden verzameld, of binnen de vereiste termijnen wanneer de gegevens niet van de betrokkenen zijn verkregen, en dat overeenkomstig artikelen 12 tot 14 van de GDPR.
In dit geval spreken de partijen af dat deze informatie met betrekking tot deze verwerking(en) op de volgende manier zal worden meegedeeld:
• De webapplicatie, waarop burgers of hun vertegenwoordigers vaccinatiecodes kunnen activeren, zal voorzien in een consulteerbare privacyverklaring: Doclr
• Op de website van Vaccinnet+ wordt er zowel in het Nederlands als Frans een gezamenlijke privacyverklaring gepubliceerd (xxx.xxxxxxxxx.xx)
• Sciensano publiceert een privacyverklaring rond het project surveillance en monitoring na vergunning van de vaccins, VACC-LINK genaamd, op de website van Sciensano:
1 Het FAGG is enkel gezamenlijke verwerkingsverantwoordelijke voor Vaccinnet+, niet voor de Vaccination Codes Database
xxxxx://xxx.xxxxxxxxx.xx/xx/xxxxxxxxx/xxxxxxxxx-xxx-xxxxxxxxx-xxxx-xxxxx-00- vaccinsurveillance xxxxx://xxx.xxxxxxxxx.xx/xxxxx/xxxxxxx/xxxxx/000000000_xxxxxxxxxxx_xxxxxx_xxxxxxxx_xx.xxx
• XXXX publiceert een privacyverklaring op de VONS webapplicatie voor wat betreft de verwerking van persoonsgegevens bij het melden van een bijwerking : xxxxx://xxxxx- xxxx.xxx.xxx.xxxxxxxx.xx/xx/xxxxxxx
4.8. Uitoefening van de rechten van de betrokkenen:
De personen waarvan de persoonsgegevens worden verwerkt kunnen hun rechten uitoefenen met betrekking tot en jegens iedere gezamenlijke verwerkingsverantwoordelijke, zoals gepreciseerd in artikel 26.3 van de GDPR.
De gegevensverwerkingen kunnen het voorwerp uitmaken van wettelijke beperkingen die van toepassing zijn op de rechten van de betrokkenen. Afhankelijk van de vraag kunnen de rechten van de betrokkenen dientengevolge gelimiteerd zijn overeenkomstig de volgende wettelijke beperkingen:
• geen recht op de wissing van gegevens indien er een wettelijke verwerkingsverplichting op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang dat aan de verwerkingsverantwoordelijke is verleend (art. 17 §3 b) GDPR)
• geen recht op de wissing van gegevens om redenen van algemeen belang op het gebied van volksgezondheid waaronder de uitoefening van geneeskunde (door zij die onder het beroepsgeheim vallen), de bescherming tegen grensoverschrijdende gevaren en het waarborgen van geneesmiddelenveiligheid (art. 17 §3 c) GDPR)
• geen recht op overdraagbaarheid van de gegevens aangezien de verwerking niet op toestemming of een overeenkomst berust (art. 20 §1 a)).
• geen recht op bezwaar ten aanzien van de verwerking van de gegevens in het kader van een taak van algemeen belang alsook voor wetenschappelijke en statistisch onderzoek overeenkomstig artikel 89, lid 1 GDPR aangezien accurate inzichten over de dekkingsgraad, veiligheid en doelmatigheid van de vaccinaties tegen COVID-19, een epidemie met een grote sociale en economische impact op de Belgische samenleving, zwaarder doorwegen dan het individuele belang (art. 21 § 1 en art. 21 §6 GDPR).
De verwerkingsverantwoordelijken verlenen elkaar bijstand in het kader van de uitoefening van de aan de betrokkenen toegekende rechten. Deze bijstand wordt onmiddellijk na het eerste verzoek verleend.
De partijen komen hierbij de volgende afspraken overeen :
• De wijze van contactopname (bv. mailadres DPO, webformulier, brief) voor vragen inzake rechten worden gepreciseerd in de privacyverklaringen van de verwerkingsverantwoordelijken.
• De deelstatelijke autoriteiten zullen, gelet op hun bevoegdheden inzake preventieve gezondheid, een leidende rol opnemen inzake vragen met betrekking tot de uitoefening van de rechten gerelateerd aan Vaccinnet+ en de Vaccination Codes Database. Hun contactcentra, die personen kunnen bijstaan met de activatie van codes, en de vaccinatiecentra die onder hun lokale besturen en/of deelstaat vallen komen namelijk direct in aanraking met de data subjecten. Er wordt dan ook verwacht dat de meeste vragen bij de deelstaten terecht zullen komen. De vragen worden tussen de deelstaten verdeeld op basis van woonplaats en/of taal.
• Sciensano neemt de leidende rol op omtrent vragen over de monitoring en surveillance na vergunning van de vaccinaties en toekomstig wetenschappelijk onderzoek waarvoor zij verwerkingsverantwoordelijke is. Het FAGG neemt alle vragen met betrekking tot geneesmiddelenbewaking, tracering en de VONS databank op zich is.
• Voor het luik contactopsporing zullen Sciensano en de betrokken administraties van de deelstaten de bestaande privacyverklaringen rond contactopsporing uitbreiden met informatie over het gebruik van vaccinatiegegevens.
• Indien Sciensano of FAGG rechtstreeks vragen van data subjecten over Vaccinnet+ of de Vaccination Codes Database ontvangen, dan lichten zij, afhankelijk van de deelstaat van het datasubject, de DPO van de betrokken deelstatelijke overheid in over een vraag tot uitoefening van de rechten inzake deze gegevensbanken. Hetzelfde geldt omgekeerd indien een deelstaat rechtstreeks een vraag ontvangt over geneesmiddelenbewaking, tracering van vaccins, surveillance en monitoring na vergunning ten aanzien van de DPO’s van Sciensano respectievelijk FAGG. Het delen van de informatie over de vraag tussen Sciensano, FAGG en/of de betrokken deelstatelijke overheid wordt daarbij meegedeeld aan het data subject.
5. Gemeenschappelijke verplichtingen
5.1. Samenwerking en verplichting tot verlenen van bijstand of advies
De partijen verbinden zich ertoe om zo goed mogelijk samen te werken om hun respectieve verplichtingen inzake de gegevensbescherming na te leven en te doen naleven overeenkomstig de Europese en nationale reglementering betreffende de bescherming van persoonsgegevens.
De partijen mogen niets doen, noch nalaten te doen wat tot gevolg zou hebben dat een andere partij zich in een situatie van schending van zijn GDPR verplichtingen zou bevinden.
De partijen verwittigen alle andere partijen onmiddellijk indien zij van mening zijn dat een verwerking, een activiteit of een verzuim een schending inhoudt van de reglementering inzake de bescherming van persoonsgegevens.
5.2. Vertrouwelijkheid
De partijen en hun eventuele verwerkers waarborgen de vertrouwelijkheid van de gegevens en de resultaten van de verwerkingen die worden bekomen in het kader van deze overeenkomst. Dat impliceert met name dat ze enkel die personeelsleden die deze persoonsgegevens absoluut nodig hebben voor de uitvoering van deze overeenkomst, toegang verlenen tot deze gegevens. De partijen zorgen er ook voor dat de personen die gemachtigd zijn om deze gegevens te verwerken, geïnformeerd zijn over het geldende wettelijk kader.
Deze vertrouwelijkheidsverplichting blijft zelfs na het einde van de in deze overeenkomst bedoelde verwerking gelden.
Een uitzondering op deze regel is enkel mogelijk wanneer de partij(en) op basis van een wettelijk voorschrift of een rechterlijk bevel verplicht zijn de gegevens mee te delen.
5.3. Beveiliging
De middelen, producten, toepassingen of diensten van de partijen zijn onderhevig aan het principe van gegevensbescherming door ontwerp en door standaardinstellingen zoals vastgelegd in artikel 25 van de GDPR.
Overeenkomstig de artikelen 32 tot 34 van de GDPR verbinden de partijen zich ertoe hun persoonsgegevens te beschermen tegen elke schending van de veiligheid die, hetzij per ongeluk, hetzij
onrechtmatig, leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de desbetreffende gegevens.
Door de ondertekening van deze overeenkomst bevestigen de partijen de nodige technische en organisatorische beveiligingsmaatregelen te hebben genomen en zich ervan vergewist hebben dat de ICT-infrastructuren waarmee de bij de verwerking van de persoonsgegevens betrokken uitrustingen verbonden zijn, de vertrouwelijkheid, de integriteit en de beschikbaarheid van die persoonsgegevens garanderen.
De te nemen beveiligingsmaatregelen, door elke partij, houden het volgende in:
a. de uitwerking van een gedocumenteerd, gevalideerd en een voor de betrokken werknemers toegankelijk informatiebeveiligingsbeleid;
b. de naleving van de relevante normen geïnspireerd op ISO 27001, 27002 en de richtsnoeren informatieveiligheid van de Kruispuntbank Social Zekerheid;
c. indien nodig, de aanwijzing van een informatieveiligheidsadviseur;
d. de aanwijzing van een functionaris voor gegevensbescherming (DPO);
e. gegevensbescherming door ontwerp en door standaardinstellingen;
f. de uitvoering van gegevensbeschermingseffectbeoordelingen (DPIA);1
g. het sensibiliseren en informeren van de werknemers inzake de bescherming van persoonsgegevens, over de risico's in verband met de verwerking, het beleid en de rol van de werknemers.
5.4. Audit
De partijen kunnen op regelmatige tijdstippen audits organiseren met betrekking tot de verwerkingen van persoonsgegevens en de informatiesystemen waarvoor zij verantwoordelijk zijn.
Wanneer de resultaten van de audit, elementen betreffende de verwerkingen van persoonsgegevens en/of informatiesystemen waarvoor de andere partij verantwoordelijk is, aan het licht brengen, wordt deze partij hiervan op de hoogte gebracht door de partij die de audit heeft laten uitvoeren.
5.5. Onderaanneming
De partijen informeren elkaar over de verwerkers waarop zij beroep doen alsook de mogelijke wijzigingen met betrekking tot die verwerkers. Iedere verwerkingsverantwoordelijke is conform de GDPR verantwoordelijk voor het afsluiten van overeenkomsten met deze verwerker(s).
5.6. Inbreuken in verband met gegevens
Wanneer één van de gezamenlijke verantwoordelijken vaststelt dat er sprake is van een inbreuk in verband met verwerkte persoonsgegevens die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen, volgt hij de procedure hieronder, bedoeld om de Gegevensbeschermingsautoriteit te informeren:
Indien de verwerkingsverantwoordelijke die de inbreuk heeft vastgesteld, deze ook heeft veroorzaakt, brengt hij indien nodig en wanneer hij er redelijk zeker van is dat er sprake is van een inbreuk in
verband met persoonsgegevens, de Gegevensbeschermingsautoriteit daarvan binnen de 72 uur op de hoogte.
Indien de verwerkingsverantwoordelijke die de inbreuk in verband met persoonsgegevens heeft vastgesteld, niet verantwoordelijk is voor de inbreuk, informeert hij onmiddellijk de desbetreffende verwerkingsverantwoordelijke daarover die op zijn beurt, indien nodig, binnen de 72 uur de Gegevensbeschermingsautoriteit moet informeren. De termijn van 72 uur begint te lopen wanneer één van de gezamenlijke verantwoordelijken er redelijk zeker van is dat er sprake is van een inbreuk in verband met persoonsgegevens.
Indien de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene, moet de hierna vermelde verwerkingsverantwoordelijke, op grond van en overeenkomstig artikel 34 van de GDPR, de betrokkene daarvan op de hoogte brengen.
Het meest geschikte communicatiekanaal voor deze kennisgeving wordt bepaald:
- Door de gezamenlijke verantwoordelijke belast met de kennisgeving aan de betrokkene(n).
De DPO van de verwerkingsverantwoordelijke waarbij de inbreuk in verband met gegevens werd vastgesteld, neemt contact op met de bevoegde diensten om het risico dat de inbreuk in verband met persoonsgegevens inhoudt, te beperken, om zich ervan te verzekeren dat de nodige stappen worden gezet om de persoonsgegevens te beveiligen en om te vermijden dat een dergelijke inbreuk in verband met persoonsgegevens zich opnieuw voordoet.
Als de inbreuk bovendien gevolgen heeft voor de beschikbaarheid van de informatie- en/of communicatiesystemen, informeert de partij die daarvan op de hoogte is, de informaticadienst van de andere partij.
De partijen verbinden er zich toe elkaar te helpen wanneer een inbreuk in verband met de gegevens van de in deze overeenkomst bedoelde verwerking zou worden vastgesteld, om de inbreuk zonder onredelijke vertraging en zo efficiënt mogelijk aan te pakken.
De DPO van de verwerkingsverantwoordelijke waarbij de inbreuk in verband met gegevens werd vastgesteld, houdt een register van de inbreuken in verband met persoonsgegevens.
5.7. Oplossen van verzoeken of klachten met betrekking tot de verwerking van persoonsgegevens
Indien één van de verwerkingsverantwoordelijken op de hoogte is van een bij een toezichthoudende autoriteit of bij de hoven en rechtbanken ingediende klacht of een verzoekschrift betreffende de verwerking(en) van persoonsgegevens waarop deze overeenkomst betrekking heeft, informeert hij de andere verwerkingsverantwoordelijke(n) daarover zonder onredelijke vertraging.
6. Diverse verantwoordelijkheden en verplichtingen
Elke verwerkingsverantwoordelijke vrijwaart de andere verantwoordelijken tegen elke actie die voortvloeit uit het niet-nakomen van zijn specifieke verplichtingen, zoals hierin beschreven, en tegen alle schadelijke gevolgen van zijn handelingen.
7. Uitvoering van de overeenkomst tussen de partijen.
De partijen verbinden zich ertoe deze overeenkomst te goeder trouw en in overeenstemming met alle toepasselijke bepalingen uit te voeren.
Indien zich een situatie zou voordoen waarin in deze overeenkomst niet is voorzien, verbinden de Partijen zich ertoe deze in de geest van de geldende bepalingen en van deze overeenkomst op te lossen.
Indien één of meerdere bepalingen van deze overeenkomst geheel of gedeeltelijk nietig of buiten toepassing zouden worden verklaard, heeft de nietigverklaring van deze bepaling(en) geen gevolgen voor de geldigheid van de andere bepalingen of voor de overeenkomst in zijn geheel. In dat geval verbinden de partijen zich ertoe te onderhandelen over een nieuwe geldige bepaling die gelijkwaardig is aan de nietig of buiten toepassing verklaarde bepaling en dat binnen de kortst mogelijke termijn.
8. Toepasselijk recht en bevoegde rechter
Deze overeenkomst is onderhevig aan het Belgisch recht.
In geval van een geschil in verband met de interpretatie en/of de uitvoering van deze overeenkomst, wordt bepaald dat de Partijen de voorrang geven aan onderhandeling om te proberen het conflict op te lossen.
In geval van mislukking van de onderhandeling, verklaren de Partijen dat dit geschil onder de exclusieve bevoegdheid van de rechtbanken van Brussel zal vallen.
9. Evaluatie, herziening en eventuele opzegging van de overeenkomst
Deze overeenkomst kan enkel schriftelijk gewijzigd worden met het akkoord van de verschillende verwerkingsverantwoordelijken. Alle aanpassingen zullen in werking treden vanaf de datum die in de aangepaste overeenkomst vastgelegd zal worden.
Indien de partijen het nodig achten, zal deze overeenkomst herzien worden (bijvoorbeeld indien het regelgevend kader wijzigt).
10. Duur en inwerkingtreding van de overeenkomst
Deze overeenkomst heeft uitwerking vanaf 24 december 2020 en wordt gesloten tot de herziening door middel van een nieuw samenwerkingsakkoord of de herroeping ervan op de dag waarop het secretariaat van de IMC het schriftelijk akkoord heeft ontvangen van alle partijen om een einde te stellen aan het samenwerkingsakkoord via een procedure met bekendmaking in het Belgisch Staatsblad.
Deze overeenkomst zal gedurende de volledige duur van de verwerking van de persoonsgegevens waarvan sprake is, van kracht zijn.
Opgemaakt te Brussel in 8 exemplaren
Voor Sciensano Xxxxxxxxx Xxxxxxx, Algemeen directeur | Voor VAZG Xxxx Xxxxxx, Administrateur-generaal | Voor GGC Xxxxxxxx Xxxx, Leidend ambtenaar van de DVC |
Voor XXXX Xxxxxxxxx Xxxxxx, administrateur-generaal | Voor MDG Xxxxx Xxxxxx, Adjunct-secretaris-generaal | Voor ONE Xxxxxx Xxxxxxxxxx, Administrateur-generaal |
Voor COCOF Xxxxxxxxxx Xxxxxxxxxx, administrateur-generaal | Voor XXXX Xxxxxx Xx Xxxxxx, Administrateur-generaal |
Bijlage A
Overzicht van verwerkingen en gegevens
1. MATRIX VAN DE VERWERKINGEN
VACCINATION CODES DATABASE
VERWERKING | BETROKKEN ACTOREN |
Opladen en bewaren van identificatiegegevens en contactgegevens uit het Rijksregister of Kruispuntbankregisters in de databank | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, GGC, COCOF & Sciensano (=Smals vzw) -Service Integrator: KSZ |
Ontvangst en bewaren van geactualiseerde identificatiegegevens en contactgegevens uit het Rijksregister | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, GGC, COCOF & Sciensano (=Smals vzw) -Service Integrator: eHealth-platform |
Ontvangst van gegevens over de vaccinatiestatus, het vaccin en het vaccinatieschema uit Vaccinnet+ om onnodige uitnodigingen te vermijden en/of de organisatie van een volgende dosis van een vaccin te kunnen plannen | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, GGC, COCOF & Sciensano (=Smals vzw, VAZG) |
Ontvangst van rijksregisternummers voor doelgroepen van de vaccinatiecampagne van de mutualiteiten of andere actoren (bv. huisartsen) betrokken bij de prioritaire selectie van bepaalde doelgroepen om uitnodigingen voor vaccinatie-afspraken via brief, mail en/of SMS te versturen | -Mutualiteiten en andere actoren (bv. huisartsen) betrokken bij de selectie van bepaalde vaccinatiedoelgroepen -Verwerker(s) van VAZG, AVIQ, ONE, MDG, GGC, COCOF & Sciensano (=Smals) -Dienstenleveranciers: NIC voor de mutualiteiten en de aanbieders van GMD- softwarepakketten voor huisartsen |
Via een webservice toegang bieden tot het rijksregisternummer, vaccinatiecode, vaccin en datums van vaccinatiemomenten aan het Nationaal Intermutualistisch College om hun leden te kunnen opvolgen en voorzien van communicatie met betrekking tot de vaccinatiecampagne | -Nationaal Intermutualistisch College -Verwerker(s) van XXXX, XXXX, XXX, XXX, XXX, XXXXX & Xxxxxxxxx (xXxxxx xxx, Xxxxx) |
Visualisatie van volgende gegevens voor officina-apothekers om de zorggebruikers waarmee ze een therapeutische relatie hebben te ondersteunen : de toegewezen vaccinatiecode, de datum van activering van de vaccinatiecode, het type vaccin dat toegediend mag worden op basis van de vaccinatiecode, de datum van de eerste vaccinatie, de naam van het eventueel vereiste tweede vaccin dat toegediend moet worden, de vaccinatiestatus van de persoon die uitgenodigd wordt voor vaccinatie | -Officina-apothekers -Verwerker(s) van XXXX, XXXX, XXX, XXX, XXX, XXXXX & Xxxxxxxxx (xXxxxx xxx, Xxxxx) |
Ontvangst en bewaring van telefoonnummers en mailadressen die burgers hebben meegedeeld aan hun mutualiteit en die zorgverleners hebben meegedeeld aan het RIZIV of die verkregen zijn via CSAM | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, GGC, COCOF & Sciensano (=Smals vzw) -Mutualiteiten, zorgverleners en CSAM |
Ontvangst en bewaring van identificatie- en contactgegevens van bepaalde groepen van zorgverleners om te integreren in het uitnodigingssysteem | -Verwerker(s) van VAZG, AVIQ, MDG, GGC, COCOF & Sciensano (=Smals vzw, ONE, Agentschap Opgroeien) |
Gebruik van identificatiegegevens en contactgegevens voor het versturen van uitnodigingen inzake vaccinatie-afspraken via brief, mail en/of SMS | -Verwerker(s) van XXXX, XXXX, XXX, XXX, XXX, XXXXX & Xxxxxxxxx (xXxxxx xxx, Xxxxx) -Ontvanger: VAZG, AVIQ, ONE, MDG en Vlaamse lokale besturen |
Ter beschikking stelling van rijksregisternummers en postcode aan de vaccinatiecentra via een online reservatie- en planningstool voor hun logistieke werkzaamheden | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, COCOF & Sciensano (=Smals vzw, Doclr) -Ontvanger: Medewerkers vaccinatiecentra |
Creatie en terbeschikkingstelling van geactiveerde vaccinatiecodes in een online reservatie-tool | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, COCOF & Sciensano (=Smals vzw, Doclr) -Actoren die een vaccinatiecode kunnen activeren: de mutualiteiten via het NIC, huisartsen en het reservatiesysteem. (Wat het reservatiesysteem betreft, enkel de burgers die niet tot de prioritaire groepen behoren die via andere bronnen geactiveerd worden) -Actoren die een vaccinatiecode kunnen desactiveren: burgers zelf of via een vaccinatiecentrum of een callcenter die burgers ondersteunt en de huisarts |
Ter beschikking stelling van vaccinatiestatus en de gebruiksstatus van de vaccinatiecodes via de Collectivity Tool voor collectiviteitsartsen | -Verwerker(s) van VAZG, AVIQ, ONE, MDG, GGC, COCOF & Sciensano (=Smals vzw) -Ontvanger: Collectiviteitsartsen |
Verwijdering van alle ontvangen gegevens 5 dagen na de dag van publicatie van het koninklijk besluit dat het einde van de toestand van de coronavirus COVID–19-epidemie afkondigt. | Verwerker(s) van XXXX, XXXX, XXX, XXX, XXX, XXXXX & Xxxxxxxxx (xXxxxx xxx, Xxxxx) |
VACCINNET+
VERWERKING | BETROKKEN ACTOREN |
Opladen en bewaren van identificatiegegevens uit het Rijksregister in Vaccinnet+ | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) -Service Integrator: XXXXX |
Ontvangst en bewaren van geactualiseerde identificatiegegevens uit het Rijksregister | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) -Service Integrator: XXXXX |
Ontvangst en bewaren van identificatiegegevens, demografische gegevens en gezondheidsgegevens van personen die een vaccin kregen toegediend en de identificatie van de vaccinatoren. Deze gegevens worden geregistreerd in Vaccinnet+ door de vaccinatoren. | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) -Vaccinatoren |
Verwijdering van identificatiegegevens, demografische gegevens en gezondheidsgegevens na de bewaartermijn | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) |
Xxxxx xxx Xxxxxxxx met Vitalink voor consultatie van vaccinatieschema door burger | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) -VAZG (verwerkingsverantwoordelijke Vitalink) |
Export van gegevens over de vaccinatiestatus en het vaccinatieschema naar de Vaccination Codes Database om onnodige uitnodigingen te vermijden en/of de organisatie van een volgendedosis van een vaccin te kunnen plannen | -Verwerker van VAZG, AVIQ, ONE, MDG, COCOM, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) -Ontvanger: Verwerker(s) van VAZG, AVIQ, ONE, MDG, COCOM, COCOF & Sciensano (=Smals vzw) |
Export van identificatiegegevens, demografische gegevens en/of gezondheidsgegevens naar Sciensano voor de doeleinden inzake • contactopsporing • monitoring en surveillance na vergunning van de vaccins na pseudonimrisatie door het eHealth-platform als Trusted Third Party • bepalen van de vaccinatiegraad • wetenschappelijk onderzoek na pseudonimisatie door het eHealth-platform als Trusted Third Party | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) - Ontvanger: Sciensano -Thrusted Third Party: eHealth-platform |
Data cleaning en export van de uit Vaccinnet+ ontvangen demografische variabelen en variabelen over toegediende vaccinaties door Sciensano naar de deelstaten en FOD Volksgezondheid voor de creatie van anonieme statistieken inzake de vaccinatiegraad. | -Sciensano -Ontvanger: AVIQ, GGC, MDG, ONE, FOD Volksgezondheid |
Export van demografische variabelen en variabelen over toegediende vaccinaties naar VAZG voor de creatie van statistieken inzake de vaccinatiegraad in Vlaanderen | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) -Ontvanger: VAZG |
Export van een beperkte set van gepseudonimiseerde identificatiegegegens, demografische gegevens en gegevens over toegediende vaccins vanuit het datawarehouse van Sciensano naar FAGG met betrekking tot « breakthrough cases » | -Sciensano -Ontvanger: FAGG |
Export van vaccinnet+ gegevens over toegediende vaccins (rijksregisternummer, geboortedatum, datum overlijden, geslacht, | -Sciensano -Ontvanger: FAGG |
identiteitsgegevens vaccinator, gezondheids- gegevens voor het ‘prefillen’ van vaccinatiegegevens in het VONS webformulier voor het melden van bijwerkingen. | |
Verwijdering van de gegevens uit Vaccinnet+ conform de wettelijke bewaartermijn | -Verwerker van VAZG, AVIQ, ONE, MDG, GGC, COCOF, Sciensano & FAGG die Vaccinnet+ namens hen beheert (=VAZG) |
2. GEGEVENS
Gegevens Vaccination Codes Database
Gegevenscategorie | Variabelen | Motivatie |
Identiteitsgegevens | -rijksregisternummer -naam en voornaam -geslacht -geboortedatum -hoofdverblijfplaats -overlijdensdatum (in voorkomend geval) -toegekende willekeurige vaccinatiecode | -Unieke identificatie om fouten te vermijden -Unieke identificatie om koppelingen met Vaccinnet+- gegevens of selectiegegevens van artsen of mutualiteiten mogelijk te maken -Unieke identificatie voor opvolging (bv. voor volgendedosis van een vaccin) -Selectie van doelgroepen op basis van leeftijd -Correcte aanspreking van personen voor uitnodigingen om een vaccinatie te reserveren -Vermijden van uitnodigingen indien iemand overleden is -Toewijzingen aan vaccinatiecentra op basis van postcode |
Contactgegevens (van persoon waaraan willekeuring vaccinatiecode is toegekend of van zijn vertegenwoordiger) | -e-mailadres -telefoonnummer | -Versturen van uitnodigingen voor vaccinaties |
Gezondheidsgegevens | -gegevens over de status van de vaccinatiecode: actief, desactief, bron en tijdstip van activering of desactivering, tijdstip van reservatie van een vaccinatie -indien persoon reeds gevaccineerd: het merk, het lotnummer en het identificatienummer van het vaccin; de datum en de plaats van toediening van elke dosis | -Logistieke planning -Opvolging en vervolgcommunicatie (bv. voor tweede vaccinatie) -Vermijden van incidenten (bv. dubbele vaccinaties, te late tweede dosis, verkeerde vaccin bij tweede dosis, …) |
van het vaccin; gegevens over het vaccinatieschema |
Gegevens Vaccinnet+
Gegevenscategorie | Variabelen | Motivatie |
Identiteitsgegevens gevaccineerde | -rijksregisternummer -naam en voornaam -geslacht -geboortedatum -hoofdverblijfplaats -overlijdensdatum (in voorkomend geval) | -Unieke identificatie om fouten te vermijden -Unieke identificatie in het kader van continuïteit van zorg en longitudinale opvolging -Unieke identificatie voor koppeling met andere databanken mits autorisatie van het Informatieveiligheidscomité Sociale Zekerheid en Gezondheid -Sterftedatum is nodig voor de uitvoering van regels inzake bewaartermijnen in Vaccinnet+ en voor de monitoring en analyses inzake geneesmiddelenveiligheid -Gebruik van demografische gegevens voor het bepalen van de vaccinatiegraad (leeftijd, geslacht, geografische gebieden) |
Identiteitsgegevens vaccinator | -rijksregisternummer of RIZIV- nummer | -Communicatie tussen zorgverstrekkers inzake continuïteit van zorgen -Mogelijkheid tot identificatie in het kader van waarschuwingen of onderzoek aangaande (potentiële) incidenten inzake medicatieveiligheid -Aansprakelijkheidskwesties |
Gezondheidsgegevens | -het merk, het lotnummer en het identificatienummer van het vaccin; de datum en de plaats van toediening van elke dosis van het vaccin; gegevens over het vaccinatieschema; gegevens over ongewenste bijwerkingen | -Noodzakelijk voor continuïteit van zorg, analyses inzake medicatieveiligheid & effecten van vaccins, beleidsondersteuning en aansprakelijkheidskwesties |
Bijlage B: Definities
Overeenkomstig artikel 4 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), wordt, in het kader van deze overeenkomst, verstaan onder:
- "ontvanger": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt,
Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht, gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.2
- "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
- "verwerkingsverantwoordelijke": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking vaststelt. Wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
- "verwerker": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
- "derde": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
- "verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van
2 Hieraan moet worden toegevoegd, zoals uiteengezet in de memorie van toelichting van de voormelde wet van 30 juli 2018, dat de inlichtingen- en veiligheidsdiensten en de overheden bedoeld in ondertitel 3 van titel 3 van de wet van 30 juli 2018 betreffende de bescherming van persoonsgegevens, geen ontvangers zijn, in de zin van de definitie van de Verordening. De inlichtingen- en veiligheidsdiensten en de overheden bedoeld in ondertitel 3 van titel 3 zijn dan ook uitgesloten van de vermelding in de overeenkomst.
doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
In het kader van de toepassing van deze overeenkomst wordt bovendien verstaan onder:
- "doeleinde": doel waarvoor de gegevens verwerkt worden.