PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN HET AGENTSCHAP BINNENLANDS BESTUUR NAAR DEPARTEMENT MOBILITEIT EN OPENBARE WERKEN
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN HET AGENTSCHAP BINNENLANDS BESTUUR NAAR DEPARTEMENT MOBILITEIT EN OPENBARE WERKEN
in het kader van MONITORING MOBILITEITSTOESTAND
11 januari 2022
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
Het AGENTSCHAP BINNENLANDS BESTUUR (ABB), met adres Xxxxxxxxx 00 (xxx 00), 0000 Xxxxxxx, vertegenwoordigd door de leidend ambtenaar XXXXXX XXXXXX, ADMINISTRATEUR-GENERAAL
Ingeschreven in de KBO met nummer 0316.380.841 waarvan de administratieve zetel zich bevindt te Xxxxxxxxx 00 (xxx 00), 0000 Xxxxxxx
hierna: “INSTANTIE 1” of “ABB”;
EN
Het DEPARTEMENT MOBILITEIT EN OPENBARE WERKEN, met adres Xxxxxx Xxxxxx-XX-xxxx 00 (bus 2), 1000 Brussel, vertegenwoordigd door de leidend ambtenaar XXXXX XXXXXXXX, SECRETARIS- GENERAAL
Ingeschreven in de KBO met nummer 0316.380.841 waarvan de administratieve zetel zich bevindt te Koning Xxxxxx-II-laan 20 (bus 2), 1000 Brussel
hierna: “INSTANTIE 2” of “MOW”;
[INSTANTIE 1] en [INSTANTIE 2] worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. ABB is een intern verzelfstandigd agentschap binnen het Vlaamse ministerie Kanselarij en Bestuur, opgericht bij het Besluit van de Vlaamse Regering van 28 oktober 2005. Het agentschap werd opgericht voor de beleidsondersteuning en de uitvoering van het beleid inzake de binnenlandse aangelegenheden, met inbegrip van de coördinatie van het beleid met betrekking tot Brussel-Hoofdstad en met betrekking tot de Vlaamse Rand rond Brussel, van het stedenbeleid, van het integratie- en inburgeringsbeleid en voor de beleidsondersteuning, vermeld in artikel 4 van het kaderdecreet bestuurlijk beleid van 18 juli 2003. Ze is in dit kader ook bevoegd voor de Gemeente- en Stadsmonitor (hierna: GSM).
B. Het Departement Mobiliteit en Openbare Werken doet Vlaanderen bewegen: langs de weg, over het water en door de lucht. Het Departement telt ruim 700 collega’s. Samen zetten ze elke dag hun expertise in beweging voor een veilige, slimme en duurzame mobiliteit én voor een hedendaagse wegen-en (lucht)haveninfrastructuur.
C. MOW vraagt de gegevens van de Gemeente-en Stadsmonitor op in het kader van beleidsmonitoring-en evaluatie binnen het thema “personenvervoer”. Het decreet van 26
april 2019 betreffende de basisbereikbaarheid (Decreet Basisbereikbaarheid) dat de regelgeving inzake het openbaar personenvervoer over de weg specifieert onderscheidt drie niveaus: het Vlaamse Gewest, de vervoerregio's en de gemeenten. Het tussenniveau van de vervoerregio's is een nieuwe laag ten aanzien van de bestaande organisatie van het mobiliteitsbeleid. Binnen de vervoerregio's, bestaande uit meerdere gemeenten en entiteiten van het beleidsdomein MOW, wordt de afstemming op de regionale vervoersvraag bewaakt, op basis van de reële en potentiële vervoersstromen. Essentieel bij de nieuwe vervoerregiowerking is het samen ontwikkelen van een visie over de mobiliteitsuitdagingen in een regio en gecoördineerd acties ondernemen (op vlak van infrastructuur, exploitatie, sensibilisering, e.a.) om deze visie te realiseren. Daarom legt het decreet betreffende de basisbereikbaarheid tevens vast dat er ter ondersteuning van de vervoerregiowerking een mobiliteitsmonitoringsysteem moet worden ontwikkeld, dat ertoe strekt de vereiste gegevens over de mobiliteitstoestand te verzamelen, te beheren en te toetsen zodat kan worden nagegaan of de operationele doelstellingen die opgenomen zijn in de mobiliteitsplannen en het verkeersveiligheidsplan, op een efficiënte wijze worden bereikt. Gegevens uit de Gemeente-en Stadsmonitor zijn onontbeerlijk omdat ze op dit ogenblik de enige representatieve bevraging is in Vlaanderen met een steekproef die voldoende groot is om uitspraken te kunnen doen op niveau van de gemeenten en de vervoerregio’s. De interesse van MOW in de Gemeente-en Stadsmonitor gaat uit naar de indicatoren rond voertuigbezit, vervoerswijzekeuze in vrije tijd en voor woon-werk en thuiswerk, tevredenheid over mobiliteitsinfrastructuur (fiets-en voetpaden, straten en pleinen), aanbod duurzame mobiliteitskeuzes (openbaar vervoer, laadpalen, deelsystemen) en verkeersveiligheidsperceptie van de woonomgeving (veilig fietsen(naar school), onaangepaste snelheid en sluipverkeer), gecombineerd met relevante socio-demografische kenmerken van de doelgroepen om verplaatsingsgedrag in de vervoerregio’s met het nodige detail te kunnen beschrijven.
D. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
E. Overeenkomstig artikel 30 AVG word de verwerking van persoonsgegevens zoals geregeld in dit protocol, opgenomen in het register van verwerkingsactiviteiten van de betrokken partijen.
F. De functionaris voor gegevensbescherming van ABB heeft op 22/11/2022 advies met betrekking tot een ontwerp van dit protocol gegeven.
G. De functionaris voor gegevensbescherming van MOW heeft op 25.10.2022 advies met betrekking tot een ontwerp van dit protocol gegeven.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 door ABB aan MOW uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
De inzameling van de gegevens door ABB gebeurde op grond van:
- artikel 6, e) AVG; de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang;
- artikel 9, lid 2, a) AVG; de verwerking van de medische gegevens gebeurde op basis van de uitdrukkelijke toestemming van de betrokkenen die de survey invulden.
ABB heeft de opgevraagde gegevens oorspronkelijk verzameld voor de opmaak van de Gemeente- Stadsmonitor. Artikel 2 van het decreet over het lokaal bestuur legt de gemeenten en OCMW’s de taak op om op het lokale niveau duurzaam bij te dragen aan het welzijn van de burgers en om een burgernabije, democratische, transparante en doelmatige uitoefening van hun bevoegdheden te verzekeren. Het artikel stipuleert in het tweede lid dat de lokale besturen de inwoners zo veel als mogelijk bij het beleid dienen te betrekken en moeten zorgen voor openheid van bestuur. De Gemeente-Stadsmonitor geeft duidelijk uitwerking aan deze vereiste. Artikel 4 van het Besluit van de Vlaamse Regering van 28 oktober 2005 tot oprichting van het intern verzelfstandigd agentschap “Agentschap Binnenlands Bestuur” geeft ABB de taak om een samenhangend beleid uit te voeren inzake de lokale en provinciale besturen, inzonderheid op het vlak van stedenbeleid. Aldus heeft ABB de coördinerende rol om voor de 300 Vlaamse steden en gemeenten een uniform instrument aan te reiken. Artikel III.113/1 Bestuursdecreet kent de departementen en agentschappen van de Vlaamse overheid bovendien expliciet de bevoegdheid toe tot verwerking van persoonsgegevens voor beleidsondersteunende taken, zoals statistisch onderzoek, bevragingen en wetenschappelijk onderzoek.
De beoogde gegevensverwerking door MOW gebeurt op grond van artikel 6, e) AVG; de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang.
MOW zal de opgevraagde gegevens verwerken voor volgende doeleinden:
- Algemeen belang of openbaar gezag: De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (artikel 6.1.e) AVG).
- De taak van algemeen belang wordt opgedragen aan de verwerkingsverantwoordelijke MOW (toepassing van artikel 6.3 AVG) door de norm beschreven in Art. 24. §1 en 2. van het decreet van 26 april 2019 betreffende de basisbereikbaarheid omtrent de inhoud, ontwikkeling en beheer van een mobiliteitsmonitoringsysteem (cf. supra, punt C)
- Artikel III.113/1. §1, 3° Bestuursdecreet kent het Departement de bevoegdheid toe tot de verwerking van persoonsgegevens voor beleidsondersteunende taken. Meer concreet de toegang tot, de mededeling van en de verwerking van persoonsgegevens voor de beleidsondersteunende taken met het oog op de voorbereiding of evaluatie van het beleid en de opvolging van de beleidsuitvoering (3°: beleidsmonitoring systemen).
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Deel I: Gegevens GM/SM 2020 | |
Persoonlijke kenmerken | Postcode, geslacht, geboortejaar, nationaliteit, nationaliteit ouders, gezinsinformatie, diploma en werksituatie; GM64 en SM64, GM65 en SM65, GM66 en SM66, GM67_1a, 67_1b, 67_1c, 67_2a, 67_2b, 67_2c, 67_3a, 67_3b, 67_3c, GM69 en SM69, GM70 en SM70, GM71 en SM71, GM72 en SM72, GM74 en SM74, GM75 en SM75 |
Verantwoording proportionaliteit | Postcode van de woonplaats van de respondent is nodig om de steekproef te kunnen herverdelen volgens vervoerregio’s. Overige persoonskenmerken worden opgevraagd om onderscheid te maken tussen verschillende doelgroepen volgens leeftijd, geslacht, inkomen, gezinssamenstelling, opleiding, etniciteit, beroepsactiviteit, etc. zoals dat gebruikelijk is in sociaal-wetenschappelijk onderzoek. Indien nodig voor de representativiteit op vervoerregio niveau kan MOW ook gebruik maken van deze gegevens om de steekproef te voorzien van nieuwe wegingsfactoren. |
Mobiliteit en verplaatsingen | Tevredenheid met infrastructuur, aanbod en veiligheid in het verkeer, verplaatsingsgedrag en vervoermiddelenbezit; GM 25 en SM 25, GM 26 en SM 26, GM27 en SM27, GM 28 en SM 28, GM 29 en SM 29, GM 30 en SM 30, GM 31 en SM 31, GM 32 en SM 32, GM 33 en SM 33, GM en SM 34_1, 34_2, 34_3, 34_4, 34_5, 34_6, 34_7, GM en SM 35_1, 35_2, 35_3, 35_4, 35_5 |
Verantwoording proportionaliteit | Deze thema’s vallen onder de verantwoordelijkheid van het beleidsdomein MOW. Zowel de minister, bMOW en de vervoerregio’s spreken ambities uit inzake vervoermiddelengebruik, woonwerkafstand, woonwerktijd, vervoermiddelenbezit, verkeersveiligheid , gebruik en tevredenheid over infrastructuur. Om deze ambities te kunnen toetsen aan het gedrag/sentiment/evaluatie van de burger en indien nodig bij te sturen, vraagt MOW bovengenoemde variabelen op. |
Tevredenheid van buurt en gemeente | Netheid, openbaar vervoer, parkeerplaats, snelheid, sluipverkeer; GM en SM 4_2, 4_8, 4_9, 8_1, 8_2 |
Verantwoording proportionaliteit | Deze thema’s vallen onder de verantwoordelijkheid van het beleidsdomein MOW. Zowel de minister, bMOW en de |
vervoerregio’s spreken ambities uit inzake verkeersleefbaarheid (netheid, snelheid, sluipverkeer) en vervoermiddelengebruik (waarbij gebruik relevant kan gekruist worden met appreciatie OV-infra en aanbod). Om deze ambities te kunnen toetsen aan het gedrag/sentiment/evaluatie van de burger en indien nodig bij te sturen, vraagt MOW bovengenoemde variabelen op. | |
Woningkenmerken | Type woning, plaats voor voertuig GM47 en SM47, GM en SM 48_3 |
Verantwoording proportionaliteit | Zowel de minister, bMOW en de vervoerregio’s spreken ambities uit inzake autogebruik en daaraan gelinkt ruimtelijke ordening (en parkeerbeleid). De publieke ruimte die ingenomen wordt door een geparkeerd voertuig kan immers niet ingenomen worden door bijv. fiets-/OV-infrastructuur. Het type woning van de respondent kan mogelijke variabiliteit in SM en GM_48 verklaren (deze hypothese moet kunnen getest worden). |
Leefgewoonten | Sport, milieubewust handelen GM en SM 11, GM en SM 61_1 en 61_2, GM en SM 56 |
Verantwoording proportionaliteit | Deze thema’s (sport en milieubewustzijn) kunnen een impact hebben op het al dan niet kiezen voor actieve vervoersmodi zoals te voet gaan of de fiets nemen. Het is de ambitie van MOW om deze actieve vervoersmodi een groter aandeel te geven in de algemene modale split. Door gegevens op te vragen over sportieve handelingen en standpunten rond milieubewust handelen wil MOW beter begrijpen welke kenmerken (naast socio-demo’s en woonplaats) het al dan niet kiezen voor actieve modi door verschillende doelgroepen kunnen verklaren. Net zoals de persoonlijke kenmerken, zullen gegevens (GM en SM 11, GM en SM 56) over leefgewoonten gebruikt worden om te kruisen met de mobiliteitsindicatoren. Resultaten van de analyse van GM en SM 61_1 en 61_2 zullen wel gebruikt worden als indicator op vervoerregio-niveau. |
Financiële gegevens | Eigendom, maandelijkse kosten, inkomen, betalingsmogelijkheden GM en SM 49, GM en SM 51, GM en SM 52, SM76 en GM76, GM77 en SM77 |
Verantwoording proportionaliteit | Door gegevens op te vragen over de financiële situatie van respondenten wil MOW beter begrijpen welke impact inkomen heeft op mobiliteitsgedrag-en perceptie. Uit voorgaand onderzoek bleek al dat verplaatsingsgedrag en vervoermiddelenbezit sterk wordt beïnvloed door inkomen, ook het risico op vervoersarmoede wordt hierdoor beïnvloed. Mobiliteit moet inclusief en toegankelijk zijn, ook voor zij die het financieel moeilijker hebben. Net zoals de persoonlijke |
kenmerken, zullen gegevens over financiële achtergrond gebruikt worden om te kruisen met de mobiliteitsindicatoren. | |
Bijzondere categorieën van persoonsgegevens (artikel 9 AVG) | |
Gegevens betreffende Gezondheid | Lichamelijke en psychische gezondheid: GM en SM 20_4, GM 57 en SM 57, GM58 en SM58, SM59 en GM59 |
Verantwoording proportionaliteit | De lichamelijke en psychische gezondheid van respondenten kan een impact hebben op vervoerswijzekeuzes (modal split) en op vervoermiddelenbezit. Mobiliteit moet inclusief en toegankelijk zijn ook voor personen met een beperking/ met een slechte gezondheid/die langdurig ziek zijn. Belangrijke vragen die MOW zal onderzoeken zijn: Varieert tevredenheid over en gebruik van openbaar vervoer tussen personen met gezondheidsproblemen en personen zonder gezondheidsproblemen? Worden deelsystemen even frequent gebruikt door personen met gezondheidsproblemen en personen zonder gezondheidsproblemen? Net zoals de persoonlijke kenmerken, zullen gegevens over de gezondheidstoestand gebruikt worden om te kruisen met de mobiliteitsindicatoren. |
Deel II: Evolutieve gegevens GM/SM 2014-2017-2020 | |
Indicatoren mobiliteit + samenleven (Buurtproblemen: verkeershinder) Inclusief persoonskenmerken en woonplaats | MO_S_17, MO_S_08, MO_S_01_1, MO_S_01_2, MO_S_01_3, MO_S_10, MO_S_06, MO_S_07, MO_S_11, MO_S_15, MO_S_12, MO_S_13, MO_S_14, MO_S_16, MO_S_09, MO_S_02, MO_S_03, MO_S_04, MO_S_05, SA_S_25 Postcode, geslacht, geboortejaar, nationaliteit, nationaliteit ouders, gezinsinformatie, diploma en werksituatie; GM64 en SM64, GM65 en SM65, GM66 en SM66, GM67_1a, 67_1b, 67_1c, 67_2a, 67_2b, 67_2c, 67_3a, 67_3b, 67_3c, GM69 en SM69, GM70 en SM70, GM71 en SM71, GM72 en SM72, GM74 en SM74, GM75 en SM75 |
Verantwoording proportionaliteit | Evolutieve dataset samengevoegd. Voor verantwoording en proportionaliteit zie Artikel 3, Deel I. |
Bewaartermijn
De meegedeelde gegevens zullen door MOW gedurende 10 jaar bewaard worden. Na deze 10 jaar zullen de opgevraagde microgegevens uitsluitend in geaggregeerde vorm worden bewaard.
Deze bewaartermijn kan worden verantwoord gezien het weergeven van (historische) evoluties een centraal uitgangspunt van het monitoringssysteem is.
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
MOW zal de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:
- Volgende diensten van MOW zullen toegang hebben tot de gevraagde persoonsgegevens:
o De ontwikkelaars in het DMOW DWH/BI-team (o.l.v. Teamleader Xxxxx Xxxxxx
o <xxxxx.xxxxxx@xxx.xxxxxxxxxx.xx> , 1 Project Manager en 5 developers/analisten) binnen afdeling ATO (Algemene Technische Ondersteuning). Dit team beheert het datawarehouse (DWH) van het departement (op dit ogenblik is dat een on-premise SQL-server) en verzorgt de ontwikkeling van business intelligence rapporten in Microsoft Power BI.
o Data analist <xxxxx.xxxxxxxxx@xxx.xxxxxxxxxx.xx>, afdeling Beleid, team interne werking en coördinatie
Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
- Daarnaast kunnen de gevraagde gegevens worden medegedeeld aan of ingezien door:
o GEEN. De opgevraagde gegevens worden NOOIT gedeeld. De microgegevens van de bevraging zullen eerst worden verwerkt/geanalyseerd. Vervolgens zullen uitsluitend de geaggregeerde resultaten worden gepubliceerd via een power BI rapport dat toegankelijk is voor beleidsmedewerkers binnen en buiten het beleidsdomein MOW (DMOW, AWV, Xx Xxxx, …), Minister van mobiliteit mevr. Xxxxx Xxxxxxx en haar kabinet.
o Met andere woorden kunnen de opgevraagde gegevens uitsluitend in gepseudonimiseerde vorm worden meegedeeld en dit uitsluitend voor monitoring-doeleinden.
Elke eventuele mededeling van de gevraagde persoonsgegevens door MOW moet voorafgaandelijk aan ABB worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent onder meer dat MOW waar vereist een protocol sluit voor de mededeling van de gevraagde gegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens worden eenmalig opgevraagd voor het in artikel 2 beschreven doeleinde van taken van algemeen belang: beleidsmonitoring en evaluatie.
Artikel 6: Beveiligingsmaatregelen
De partijen engageren zich passende technische en organisatorische maatregelen te nemen rekening houdend enerzijds met de stand van de techniek ter zake en de uitvoeringskosten en anderzijds met de aard, de omvang, de context van de verwerking, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en de vrijheden van personen:
- voor de bescherming van de persoonsgegevens tegen vernietiging, verlies of om welke reden dan ook het niet raadpleegbaar zijn en in het geval van een fysiek of technisch incident, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (beschikbaarheid). MOW beschikt over een gedocumenteerde procedure om zonder enige vertraging ABB in te lichten dat een datalek heeft plaatsgevonden bij MOW aangaande de in dit kader overgedragen persoonsgegevens. Ook alle verdere stappen worden in deze procedure opgenomen (inlichten van autoriteiten, betrokkenen, …);
- voor de bescherming van de persoonsgegevens tegen ongeoorloofde wijziging (integriteit);
- voor de bescherming van de persoonsgegevens tegen ongeoorloofde toegang of inzage door derden (vertrouwelijkheid);
- opdat “de betrokkene” steeds kan navragen welke gegevens over hem worden verwerkt, door wie en voor welke doeleinde (transparantie);
- opdat steeds kan worden nagegaan wie toegang had tot de persoonsgegevens en wat de aard is van de verwerkingen die werden verricht (transparantie);
- opdat de persoonsgegevens op een “veilige” manier en permanent kunnen worden verwijderd waar de persoonsgegevens zich ook bevinden, indien ABB daarom verzoekt.
MOW moet in bijlage 1 aantonen dat de in dit artikel opgesomde maatregelen werden getroffen.
Artikel 7: Verwerkers
In het geval MOW voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet MOW uitsluitend beroep op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
De verplichtingen die uit dit protocol voortvloeien, worden aan de eventuele verwerkers van de partijen meegedeeld.
MOW sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Overeenkomstig dat artikel, zijn minstens volgende verplichtingen van toepassing:
Overeenkomstig artikel 28 AVG zijn de volgende verplichtingen van toepassing wanneer de verwerking door een verwerker wordt verricht:
− MOW doet uitsluitend een beroep op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen;
− de verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene toestemming van MOW;
− de verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van MOW;
− de verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen;
− de verwerker verleent bijstand aan XXX bij het vervullen van diens plicht om verzoeken om uitoefening van de rechten van de betrokkenen te beantwoorden;
− de verwerker wist alle persoonsgegevens na afloop van de verwerkingsdiensten;
− de verwerker stelt alle informatie die nodig is om de nakoming van de in artikel 28 AVG neergelegde verplichtingen aan te tonen ter beschikking van MOW;
− de verwerker stelt XXX onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG.
Partijen bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 8: Kwaliteit van de persoonsgegevens
Het gepseudonimiseerd surveydatabestand is een momentopname omdat burgers op één bepaald ogenblik gevraagd werden naar hun welbevinden binnen hun stad of gemeente. Deze vragen zijn vaak subjectief, waardoor een volledige garantie op accuraatheid nooit verwacht kan worden.
Zodra MOW één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens vaststelt in de persoonsgegevens, vermeld in artikel 3 (al dan niet op basis van een mededeling van de betrokkene), meldt zij dat onmiddellijk aan ABB die na onderzoek van de voornoemde vaststellingen, en uiterlijk binnen vijf werkdagen na afronding van het onderzoek, de gepaste maatregelen treft en MOW daarvan vervolgens op de hoogte brengt.
Artikel 9: Rechten van betrokkenen
Overeenkomstig de relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens, inclusief de algemene verordening gegevensbescherming, beschikken de betrokkenen over een aantal rechten:
- het recht op informatie;
- het recht op inzage van hun persoonsgegevens;
- het recht op rectificatie van hen betreffende onjuiste persoonsgegevens;
- het recht op beperking van de verwerking van hun persoonsgegevens;
- het recht van bezwaar tegen de verwerking van hun persoonsgegevens;
- het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hen rechtsgevolgen zijn verbonden of dat hen treft, tenzij dat besluit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, wettelijk is toegestaan of berust op de toestemming van de betrokkenen;
- het recht op wissing van de persoonsgegevens.
Als een betrokkene een beroep doet op zijn/haar rechten, dan bieden partijen elkaar de nodige samenwerking en ondersteuning om hier binnen de wettelijke termijn op te kunnen beslissen. Xxxxx een betrokkene bij de uitoefening van zijn rechten zich rechtstreeks richten tot de ene partij, dan neemt laatstgenoemde hierover direct contact op met de andere partij.
De partij die het verzoek ontvangen heeft, onderzoekt dit verzoek binnen vijf werkdagen. Na afloop van het onderzoek neemt elke partij, na onderling overleg, gepaste maatregelen binnen vijf werkdagen.
Gelet op de pseudonimisering kan niet verzekerd worden dat elk verzoek tot rectificatie of beperking van de verwerking ingewilligd kan worden. Dit is immers enkel mogelijk indien de betrokkene geïdentificeerd kan worden. Belangrijk hierbij is de mogelijkheid voor de betrokkenen om na het afronden van de survey een kopie van hun antwoorden te downloaden. Ook wanneer
de survey op papier ingevuld wordt, wordt de mogelijkheid om een kopie van de antwoorden te bekomen, voorzien. Hiermee wordt alvast onomkeerbaar voldaan aan het recht tot inzage.
Artikel 10: Sanctie bij niet-naleving
Onverminderd haar recht om een schadevergoeding te vorderen en in afwijking van artikel 5 kan ABB dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling eenzijdig beëindigen indien MOW deze persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 11: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar via de functionarissen voor gegevensbescherming zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
Indien de procedure voor het melden van inbreuken bij één van de partijen wijzigt, brengt die partij de andere partij daarvan onmiddellijk op de hoogte.
MOW brengt ABB onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 12: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in het gerechtelijk arrondissement Brussel.
Artikel 13: Inwerkingtreding en opzegging
Dit protocol treedt in werking op 25 november 2022.
Partijen kunnen dit protocol schriftelijk opzeggen mits inachtneming van een opzegtermijn van 1 maand.
Het protocol eindigt van rechtswege na afloop van de in artikel 3 van dit protocol bedoelde termijn van bewaring van de gegevens. Het protocol eindigt tevens van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens.
Opgemaakt te BRUSSEL op 25 november 2022 in evenveel exemplaren als dat er partijen zijn.
Jeroen
Getekend door:Xxxxx Xxxxxxxx (Signature) Getekend op:2022-12-06 08:35:09 +01:0
Reden:Ik keur dit document goed Windey
Digitaal ondertekend door Xxxxxx Xxxxxx (Signature)
Datum: 2022.12.13
(Signature) 16:57:13 +01'00'
Namens Departement Mobiliteit en
Openbare Werken Namens Agentschap Binnenlands Bestuur
Secretaris-generaal Administrateur-generaal
Xxxxx Xxxxxxxx Xxxxxx Xxxxxx
Bijlagen
1. Overzicht technische en organisatorische maatregelen Departement Mobiliteit en Openbare Werken
Bijlage 1. Technische en Organisatorische maatregelen MOW
ALGEMEEN BEVELIGINGSBELEID EN ORGANISATIE VAN INFORMATIEBEVEILIGING | ||
Aan- wezig | ||
X | Verantwoordelijke voor informatie beveiliging: MOW heeft informatieveiligheidsconsulent aangesteld die verantwoordelijk is voor de data beveiliging | |
X | Verantwoordelijke voor gegevensbescherming (DPO): MOW heeft een Data Protection Officer (DPO) aangewezen die verantwoordelijk is voor het coördineren, opvolgen en controleren van de naleving van de gegevensbeschermingswetgeving. | |
X | Verantwoordelijkheden op vlak van informatiebeveiliging en gegevensbescherming: De verantwoordelijkheden van de medewerkers van MOW zijn formeel gedocumenteerd en gepubliceerd in een privacy- en security policy. | |
X | Risico analyse, beheer en controle: MOW voert periodiek risicoanalyses uit van de genomen beveiligingsmaatregelen en doet controles voor wat betreft de naleving van de verschillende informatiebeveiligingsprocedures. | |
PERSONEEL | ||
VEILIG PERSONEELSBELEID | X | Training over belang van beveiliging en omgang met persoonsgegevens: MOW voorziet opleidingen om alle medewerkers te sensibiliseren voor wat betreft de beveiligingsrichtlijnen- en beveiligingsprocedures en hun rol daarbij. |
X | Toegangsautorisatie: MOW implementeert en handhaaft een autorisatiebeheersysteem dat de toegang controleert tot systemen die persoonsgegevens bevatten. | |
X | Segregatie: MOW heeft een segregatie ingevoerd om te vermijden dat personen toegang krijgen tot gegevens waarvoor ze geen toegang nodig hebben voor de uitoefening van hun taak. | |
GEBOUW | ||
FYSIEKE BEVEILIGING | Fysieke toegang tot productie- en bureauruimtes: MOW beperkt de toegang tot haar ruimtes waar persoonsgegevens verwerkt worden in kader van haar opdracht, strikt tot geïdentificeerde en geautoriseerde personen. | |
ALARM EN BRANDDETECTIE AANWEZIG | X | Beveiliging van de omgeving: Het gebouw/de kantoren van MOW zijn uitgerust met: - camerabewaking - een alarm- en branddetectie systeem - systeem met toegangsbadge - bewakingsagent aan onthaal |
BESCHERMING TEGEN ONGEREGELDHEDEN, PANNES EN INCIDENTEN | X | Firewall: MOW is uitgerust met een geavanceerde firewall en controlemechanismen die het interne netwerk op gepaste wijze beschermen tegen ongeoorloofde toegang tot het interne netwerk. |
DATA CENTER | ||
FYSIEKE BEVEILIGING | X | Fysieke toegang tot het Data Center: MOW centraliseerde alle data die nodig is in kader van haar opdracht in een beveiligd data center conform de industrienormen. Fysieke toegang tot het data center wordt gecontroleerd / beheerd. |
Microsoft beschikt daarover | X | Noodherstel: MOW beschikt over een noodherstelplan in geval van calamiteiten met haar servers in het Data Center waarop persoonsgegevens staan. |
X | Redundantie: MOW bewaart kopieën van persoonsgegevens alsook haar gegevensherstelprocedures welke opgeslagen staan in het primaire data center in een tweede data center. Deze kopieën zijn extra versleuteld met specifieke encryptie sleutels die enkel nodig zijn indien het primaire data center zou falen. | |
DATA | ||
DIGITALE GEGEVENS Voorlopig is dit een on-premise omgeving, nog geen cloud- omgeving | X | Versleuteling van gegevens: MOW bewaart de gegevens in een versleutelde cloud- omgeving. |
X | Anti-virus en beveiligingsupdates: MOW voorziet al zijn systemen van de laatste updates. Beveiligingsupdates worden opgevolgd en geïnstalleerd volgens haar patchmanagementproces | |
X | Kwaadaardige Software: MOW voert anti-malwarecontroles uit om te helpen voorkomen dat kwaadaardige software ongeautoriseerde toegang tot klantengegevens krijgt. | |
X | Logging van toegangen: MOW voorziet een continue logging op de server van alle toegangen tot haar systemen die persoonsgegevens bevatten met inbegrip van welke gebruiker, de tijd en activiteit. Alle logbestanden worden gedurende 90 dagen bijgehouden. | |
COMMUNICATIE | ||
BEVEILIGDE VERBINDINGEN | X | Versleuteling van verbindingen: MOW maakt gebruikt van beveiligde verbindingen voor de toegang tot haar gegevens in het datacenter. Alle data die verzonden wordt over publieke netwerken gebeurt dan ook aan de hand van encryptie mechanismen. |
AUTHENTICATIE | X | Two-factor authenticatie: MOW maakt gebruik van een combinatie van gebruikers/wachtwoord en een dynamisch token waarvan de geldigheid iedere 30 second vervalt. Wachtwoorden dienen steeds te bestaan uit minimaal acht tekens en zowel uit minimaal één hoofdletter, letter, cijfer. |
INFORMATIESYSTEMEN | ||
ONDERHOUD EN EVOLUTIE VAN INFORMATIESYSTEMEN | X | Controle over systeem updates en evoluties: MOW heeft een formeel wijzigingsbeheerproces geïmplementeerd om ervoor te zorgen dat wijzigingen in |
operationele systemen en toepassingen plaatsvinden op een gecontroleerde wijze. | ||
X | Beveiligingsvereisten: De vereisten voor de bescherming van gegevens en systemen worden geanalyseerd en gespecificeerd in samenwerking met IT leverancier(s). | |
INCIDENTEN | X | Incident response: MOW houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, de naam van de melder en van degene aan wie de inbreuk werd gemeld. |
X | Notificatie van incidenten: In geval van een gegevensbeveiligingsincident dat impact heeft op de vertrouwelijkheid of integriteit van persoonsgegevens, zal MOW, zonder onredelijke vertraging, ABB hiervan informeren. |