DATUM]
|
|
PROTOCOL VOOR DE ELEKTRONISCHE
MEDEDELING VAN PERSOONSGEGEVENS VAN het
Agentschap Integratie
en Inburgering NAAR [INSTANTIE 2]
in het kader van het elektronisch
meedelen aan de gemeenten van persoonsgegevens van inburgeraars
opgenomen in het cliëntvolgsysteem, met het oog op de inschakeling
in het lokaal inclusief integratiebeleid, vermeld in artikel 4, §
4, 2 van het decreet van 7 juni 2013 betreffende
het Vlaamse
integratie- en inburgeringsbeleid
[DATUM]
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
Het extern verzelfstandigd Agentschap Integratie en Inburgering, een privaatrechtelijke stichting met statutaire zetel te Tour & Taxis - Koninklijk Pakhuis, Xxxxxxxxx 00X, xxx 000, 0000 Xxxxxxx, ingeschreven in de Kruispuntbank der Ondernemingen met ondernemingsnummer 0543.307.391 (RPR Brussel), rechtsgeldig vertegenwoordigd door de xxxx Xxxxxxx Xxxxxxxx, in de hoedanigheid van voorzitter van de Raad van Bestuur en de heer Xx Xx Xx, in de hoedanigheid van algemeen directeur
hierna: “het Agentschap Integratie en Inburgering”;
EN
(Lokaal bestuur), met zetel [adres van de maatschappelijke zetel], vertegenwoordigd door het college van burgemeester en schepenen, voor wie tekenen: [de burgemeester of de bevoegde schepen] en [de algemeen directeur] in uitvoering van het gemeenteraadsbesluit/collegebesluit d.d. [datum van het desbetreffende besluit]
hierna: “INSTANTIE 2”;
Het Agentschap Integratie en Inburgering en [INSTANTIE 2] worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. Het
Agentschap Integratie en
Inburgering is op 12 december
2013 opgericht.
De stichting is een privaatrechtelijk
vormgegeven extern verzelfstandigd agentschap zoals bedoeld in
artikel 29 van het Kaderdecreet Bestuurlijk Beleid van 18 juli 2003
in de vorm van een private stichting zoals bedoeld in de wet van 27
juni 1921 betreffende de verenigingen zonder winstoogmerk, de
internationale verenigingen zonder winstoogmerk en de stichtingen.
De stichting draagt de naam “Agentschap Integratie en Inburgering’
De stichting is opgericht door de Vlaamse Gemeenschap,
publiekrechtelijke rechtspersoon, vertegenwoordigd door de Vlaamse
Regering, met adres te 0000 Xxxxxxx, Xxxxxxxxxxxxxxx 00, in
uitvoering van Hoofdstuk 6, afdeling 1 van het Decreet van 7 juni
2013 betreffende het Vlaamse integratie- en inburgeringsdecreet. De
stichting heeft tot doel om overeenkomstig het Decreet het Vlaamse
integratie- en inburgeringsdecreet te ondersteunen, te stimuleren en
te begeleiden.
B. [INSTANTIE 2] is een gemeente zoals beschreven in het decreet lokaal bestuur.
C. Gemeenten voeren een actief lokaal integratiebeleid. Hiervoor hebben de gemeenten toegang nodig tot de gegevens van de inburgeraars.
Het Agentschap Integratie en Inburgering verleent toegang tot de gegevens zoals gedefinieerd in art. 20 van het decreet van 7 juni 2013 betreffende het Vlaamse integratie- en inburgeringsbeleid door middel van digitale uitwisseling. De bron van de gegevens is Kruispuntbank Inburgering (KBI). Gemeenten hebben toegang nodig tot:
Individuele dossiers van in de inburgeraars en nieuwkomers. Hiervoor bestaat er bij de Vlaamse dienstenintegrator ‘MAGDA’ de webservice GeefDossierKBI 01.00
Toegang krijgen tot de gegevens kan door middel van een aansluitinsgproces op MAGDA: xxxxx://xxxxxxxx.xxxxxxxxxx.xx/xxxxxxxxxxxxxxxxxx-xxxxx-xxxxxxxx/xxxxxxxxx-xxxxxxxxxxxxxxxxxx
Lijsten van inburgeraars en nieuwkomers die wonen in de gemeente. Hiervoor bestaat er nog geen webservice bij de Vlaamse dienstenintegrator ‘MAGDA’. In afwachting van deze service kunnen gemeenten deze lijsten maximaal 1 keer per jaar opvragen rechtstreeks bij het Agentschap Integratie en Inburgering. Het agentschap bezorgd een beveiligd elektronisch bestand aan de gemeente. Van zodra ook voor deze lijsten een webservice via MAGDA in productie is gesteld, hebben de gemeenten 2 jaar de tijd om deze elektronische gegevensuitwisseling te integreren. Vanaf dan zal het Agentschap Integratie en Inburgering zelf geen bestanden meer versturen.
D. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
F. De functionaris voor gegevensbescherming van het Agentschap Integratie en Inburgering heeft op 21 augustus 2020 advies met betrekking tot een ontwerp van dit protocol gegeven.
G. De functionaris voor gegevensbescherming van [INSTANTIE 2] heeft op [DATUM] advies met betrekking tot een ontwerp van dit protocol gegeven.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 door het Agentschap Integratie en Inburgering aan [INSTANTIE 2] uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
De beoogde gegevensverwerking door [INSTANTIE 2] gebeurt op grond artikel 6 1. c van de AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust voor de doelen van dit protocol.
Het Agentschap Integratie en Inburgering heeft de opgevraagde gegevens oorspronkelijk verzameld voor volgende doeleinden:
In het decreet van 7 juni 2013 betreffende het Vlaamse integratie- en inburgeringsbeleid (decreet van 7 juni 2013) wordt in artikel 20 het volgende geformuleerd betreffende de doeleinden:
§ 1. De
Vlaamse Regering stelt een uniform computergestuurd
cliëntvolgsysteem ter beschikking van het EVA. Dat systeem moet het
XXX toelaten de taken en kerntaken die aan het XXX zijn toevertrouwd
door of krachtens dit decreet te vervullen en meer in het bijzonder
:
1° het EVA ondersteunen bij het uitvoeren van de
inburgeringstrajecten en de toeleidingstrajecten en bij het
oriënteren van de anderstaligen naar het meest gepaste aanbod
Nederlands als tweede taal;
2° het EVA toelaten om het
individuele dossier van de inburgeraar, de anderstalige, de
minderjarige nieuwkomer en de anderstalige kleuter te registreren en
het traject van die personen op te volgen en om het individuele
dossier te registreren van de anderstalige die verzoekt om een
bewijs van het taalniveau Nederlands als vermeld in artikel 17,
tweede lid, 6°;
3° minstens maandelijks een lijst ter
beschikking te stellen van het EVA waarin de volgende categorieën
van personen zijn opgenomen :
a) de inburgeraars die de
afgelopen periode voor het eerst tot die categorie behoren;
b)
de minderjarige nieuwkomers die de afgelopen periode voor het eerst
tot die categorie behoren;
c) de anderstalige kleuters die de
afgelopen periode voor het eerst tot die categorie behoren;
4°
eenmalig een lijst ter beschikking te stellen van het EVA van de
inburgeraars die gedurende meer dan twaalf maanden in het
Rijksregister zijn ingeschreven;
5° de gegevensuitwisseling in
het kader van de inburgeringstrajecten, taalkennis Nederlands en
Nederlands als tweede taal-trajecten tussen het EVA, de centra,
vermeld in artikel 2, 4°, de Vlaamse onderwijsadministratie, de
VDAB, Actiris en het OCMW elektronisch te laten verlopen;
6°
het EVA, het departement van het beleidsdomein of het intern
verzelfstandigd agentschap zonder rechtspersoonlijkheid, aangewezen
door de Vlaamse Regering, toelaten om de inburgering, vermeld in
afdeling 3, het aanbod Nederlands als tweede taal verstrekt door de
centra, vermeld in artikel 2, 4°, en de dienstverlening ten aanzien
van anderstaligen, vermeld in afdeling 9, op te volgen;
7° het
EVA toelaten om persoonsgegevens van inburgeraars opgenomen in het
cliëntvolgsysteem, elektronisch mee te delen aan de gemeenten, met
het oog op de inschakeling in het lokaal inclusief integratiebeleid,
vermeld in artikel 4, § 4, 2°.
De elektronische
mededeling van persoonsgegevens, vermeld in het eerste lid, 7°, is
beperkt tot:
1° de naam, de voornaam en het
rijksregisternummer van de inburgeraars die zijn ingeschreven in het
Rijksregister in de gemeente aan wie de gegevens worden
meegedeeld;
2° de vermelding of deze inburgeraars een
inburgeringscontract hebben ondertekend;
3° de vermelding of
deze inburgeraars een attest van inburgering hebben
behaald.
Persoonsgegevens die overeenkomstig het eerste
lid, 7°, door het EVA elektronisch zijn meegedeeld aan een
gemeente, mogen door de gemeente niet langer dan vijf jaar bewaard
worden in een vorm die het mogelijk maakt om de betrokkenen te
identificeren.
Het EVA is de verwerkingsverantwoordelijke
voor de verwerking van persoonsgegevens, vermeld in het eerste lid,
7°.
De Vlaamse Regering kan de nadere voorwaarden voor
het ter beschikking stellen, het aanpassen en het gebruiken van het
computergestuurd cliëntvolgsysteem en de elektronische
gegevensuitwisseling bepalen.
§ 2. De Vlaamse Regering stelt een uniform registratiesysteem ter beschikking van het EVA voor de dienstverlening sociaal tolken en sociaal vertalen, vermeld in artikel 17, tweede lid, 2°, a).
De Vlaamse Regering kan de nadere voorwaarden voor het ter beschikking stellen, het aanpassen en het gebruiken van registratiesysteem bepalen.
[INSTANTIE 2] zal de opgevraagde gegevens verwerken voor volgende doeleinden:
Gemeenten voeren een actief lokaal integratiebeleid. Hiervoor hebben de gemeenten toegang nodig tot de gegevens van de inburgeraars. Art. 20 van het decreet betreffende het Vlaamse integratie- en inburgeringsbeleid geeft toestemming aan het agentschap voor Integratie en Inburgering om deze gegevens mee te delen aan de gemeenten. Hetzelfde artikel bevat tevens de gegevens die het agentschap kan meedelen.
Verwijder wat niet past
Het doeleinde van de verdere verwerking van deze persoonsgegevens door [INSTANTIE 2] is verenigbaar met de doeleinden waarvoor het Agentschap Integratie en Inburgering de gegevens oorspronkelijk heeft verzameld, gezien de vermelde regelgeving.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Het betreft geen persoonsgegevens als vermeld in artikel 9 en/of 10 van de algemene verordening gegevensbescherming. Indien dat wel het geval is, wordt dit gespecificeerd in onderstaande tabel.
Gegeven 1 het concrete gegeven dat wordt meegedeeld. Als er veel gegevens zijn, kunnen ze in clusters worden vermeld.
|
1°
het rijksregisternummer van de inburgeraars die zijn ingeschreven
in het Rijksregister in de gemeente aan wie de gegevens worden
meegedeeld; |
Verantwoording proportionaliteit waarom elk gegeven noodzakelijk is voor het gevraagde doel. Als in artikel 1 en 2 verschillende doelen zijn opgegeven, aangeven voor welk doel het gegeven wordt meegedeeld |
Art. 20 Decreet betreffende het Vlaamse integratie- en inburgeringsbeleid |
De meegedeelde gegevens zullen door [INSTANTIE 2] gedurende 5 jaar bewaard worden (conform artikel 20 “Persoonsgegevens die overeenkomstig het eerste lid, 7°, door het EVA elektronisch zijn meegedeeld aan een gemeente, mogen door de gemeente niet langer dan vijf jaar bewaard worden in een vorm die het mogelijk maakt om de betrokkenen te identificeren” )
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
[INSTANTIE 2] zal de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:
Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
[INSTANTIE 2] stelt een lijst op van functieprofielen die toegang krijgen tot de meegedeelde gegevens en houdt deze lijst actueel.
Elke eventuele mededeling van de gevraagde persoonsgegevens door [INSTANTIE 2] moet voorafgaandelijk aan het Agentschap Integratie en Inburgering worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent onder meer dat [INSTANTIE 2] waar vereist een protocol sluit voor de mededeling van de gevraagde gegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen permanent worden opgevraagd omdat de gemeenten permanent lokaal integratiebeleid voeren. De mededeling van persoonsgegevens is voor onbepaalde duur.
Artikel 6: Beveiligingsmaatregelen
Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 2:
De encryptiesleutel van het elektronisch bestand wordt via een ander transportkanaal aan [INSTANTIE 2] overhandigd dan het kanaal waarlangs het bestand verstuurd wordt. Bij voorkeur wordt de encryptiesleutel via sms bezorgd.
Indien het elektronisch bestand via mail verstuurd wordt, dient er een disclaimer aan de e-mail toegevoegd te worden dat ‘de e-mail onmiddellijk verwijderd dient te worden indien de ontvanger niet de bestemde ontvanger is.
[INSTANTIE 2] verbindt zich ertoe om het ontvangen beveiligd elektronisch bestand zo snel mogelijk op een door [INSTANTIE 2] gecontroleerde omgeving te plaatsen en te verwijderen uit het oorspronkelijke transportmedium (bijvoorbeeld de e-mail).
Het Agentschap Integratie en Inburgering heeft een functionaris voor gegevensbescherming (DPO) aangewezen en heeft een actueel veiligheidsbeleid en veiligheidsplan dat jaarlijks wordt herzien.
[INSTANTIE 2] verbindt zich ertoe om de gepaste organisatorische maatregelen te nemen om de gegevens en de verwerking ervan te beveiligen.
[INSTANTIE 2] verbindt zich ertoe de personen die onder hun verantwoordelijkheid of gezag werken kennis te geven van:
de bepalingen van de Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016;
elk voorschrift betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegeven;
enig ander voorschrift dat van toepassing is op de verwerking van gegevens in het kader van de opdracht waarop deze overeenkomst van toepassing is.
[INSTANTIE 2] garandeert dat de personen die in hun naam en voor hun rekening werken uitsluitend toegang hebben tot de gegevens die ze nodig hebben om hun taak of opdracht in het kader van dit Protocol uit te voeren. Dit geldt voor personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht.
[INSTANTIE 2] heeft een functionaris voor gegevensbescherming (DPO) aangewezen en heeft minstens een actueel veiligheidsbeleid en -plan dat jaarlijks wordt herzien.
-
Naam
Naam DPO
Adres
Telefoon/E-mail
[INSTANTIE 2]
[INSTANTIE 2] verbindt zich er toe alle (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of toegangen tot persoonsgegevens of andere vertrouwelijke gegevens te melden. [INSTANTIE 2] meldt dit onmiddellijk aan het Agentschap Integratie en Inburgering, ten laatste 24 uur na het vaststellen van het incident.
Daarnaast zal [INSTANTIE 2] in geval van datalek alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de beveiligingsmaatregelen te voorkomen of te beperken.
[INSTANTIE 2] verbindt zich ertoe om de gepaste technische maatregelen te nemen om de Gegevens en de verwerking ervan te beveiligen.
[INSTANTIE 2] waarborgt, voor zover dit technisch mogelijk is, de integriteit, de beschikbaarheid en de vertrouwelijkheid van alle gegevens die zij in het kader van dit contract verwerken. Dit doen zij minstens door het implementeren en gebruiken van beveiligingstechnologieën en – technieken, die in overeenstemming zijn met de best practices op dat vlak. Dit is inclusief mechanismen om kwetsbaarheden te detecteren en/of te identificeren en het tijdig doorvoeren van patches en/of updates.
[INSTANTIE 2] voorkomt door middel van functiescheiding dat een combinatie van toegangsrechten kan leiden tot ongeautoriseerde handelingen en/of toegang tot gegevens.
[INSTANTIE 2] neemt maatregelen met betrekking tot de preventie en opsporing van fraude en elk ander oneigenlijk gebruik van of toegang tot systemen en netwerken.
Het netwerk en de informatiesystemen worden actief gemonitord en beheerd door de [INSTANTIE 2]. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van het Agentschap Integratie en Inburgering.
[INSTANTIE 2] verstrekt op redelijk verzoek van het Agentschap Integratie en Inburgering de nodige informatie over de mechanismen voor fysieke en/of elektronische toegang tot de systemen en gegevens van het Agentschap Integratie en Inburgering. Deze mechanismen moeten een aantoonbaar veilige manier voorzien om toegang tot de gegevens te verschaffen.
[INSTANTIE 2] verzekert dat, voor zover zij dit redelijkerwijze horen te weten, geen enkele uitrusting of software die zij in het kader van dit protocol gebruiken een inbreuk maakt op het intellectuele eigendomsrecht van een derde (zoals het auteursrecht, octrooi, recht sui generis, merk, …).
[INSTANTIE 2] moet kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van het Agentschap Integratie en Inburgering moet [INSTANTIE 2] hiervan aan het Agentschap Integratie en Inburgering het bewijs overmaken.
In het geval [INSTANTIE 2] voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet de [INSTANTIE 2] uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. [INSTANTIE 2] sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Partijen bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Kwaliteit van de persoonsgegevens
Zodra [INSTANTIE 2] één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt (al dan niet op basis van een mededeling van de betrokkene), meldt zij dat onmiddellijk aan het Agentschap Integratie en Inburgering die na onderzoek binnen 2 weken van de voornoemde vaststellingen de gepaste maatregelen treft en [INSTANTIE 2] daarvan vervolgens op de hoogte brengt.
Het contactpunt voor de melding aan het Agentschap Integratie en Inburgering is het meldingsformulier op de website: xxxxx://xxx.xxxxxxxxxx-xxxxxxxxxxx.xx/xxxxxxx.
Het contactpunt voor de melding aan [INSTANTIE 2] wordt gevormd door elke contactpersoon afzonderlijk, vermeld op blz. 1 van dit protocol
Artikel 8: Sanctie bij niet-naleving
Onverminderd haar recht om een schadevergoeding te vorderen en in afwijking van artikel 5, 2°, kan het Agentschap Integratie en Inburgering dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling eenzijdig beëindigen indien [INSTANTIE 2] deze persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar [via de functionarissen voor gegevensbescherming] zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
[Instantie 2] brengt het Agentschap Integratie en Inburgering onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 10: Transparantie
Dit protocol zal door het Agentschap Integratie en Inburgering worden gepubliceerd via een tekst op hun websites.
Dit protocol zal door [instantie 2] worden gepubliceerd via een tekst op hun websites.
Artikel 11: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Brussel.
Artikel 12: Inwerkingtreding en opzegging
Dit protocol treedt in werking op [DATUM].
Partijen kunnen dit protocol schriftelijk opzeggen mits inachtneming van een opzegtermijn van 12 maanden.
Het protocol eindigt van rechtswege na afloop van de in artikel 5 van dit protocol bedoelde termijn van mededeling. Het protocol eindigt tevens van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens.
Opgemaakt te [PLAATS], op [DATUM], in evenveel exemplaren als dat er partijen zijn.
___________________________ ___________________________
het Agentschap Integratie en Inburgering [namens INSTANTIE 2]
|
.1 / 8 |
