13 JUNI 2014. - Koninklijk besluit tot vaststelling van, enerzijds, de specifieke minimale reglementaire, administratieve, technische en organisatorische maatregelen teneinde de naleving van de voorschriften over de bescherming van individuele gegevens of de gegevens over individuele eenheden en over de statistische geheimhouding te verzekeren en van, anderzijds, de voorwaarden waaronder het Nationaal Instituut voor de Statistiek kan handelen als tussenpersoon bij een latere verwerking voor statistische doeleinden. (Opschrift vervangen door KB2023-12-17/26, art. 1, 002; Inwerkingtreding : 15-01-2024)(NOTA : Raadpleging van vroegere versies vanaf 24-06-2014 en tekstbijwerking tot 15-01-2024)
HOOFDSTUK 1.[1 Minimale reglementaire, administratieve, technische en organisatorische standaardmaatregelen die bij iedere verwerking van gegevens moeten toegepast worden]1
Art. 1-2
HOOFDSTUK 2. - Voorwaarden waaronder het Nationaal Instituut voor de Statistiek kan handelen als tussenpersoon bij een latere verwerking voor statistische doeleinden
Art. 3-6
HOOFDSTUK 3. - Slotbepalingen
Art. 7-8
HOOFDSTUK 1.[1 Minimale reglementaire, administratieve, technische en organisatorische standaardmaatregelen die bij iedere verwerking van gegevens moeten toegepast worden]1
----------
(1)
Artikel 1.Om de vertrouwelijkheid van de gegevens die eraan verstrekt worden of die erdoor verzameld worden te verzekeren, bouwt het Nationaal Instituut voor de Statistiek een veiligheidsbeleid uit. Dit beleid [1 wordt geüpdatet]1.
----------
(1)<KB 2023-12-17/26, art. 3, 002; Inwerkingtreding : 15-01-2024>
Art.2.[1 § 1er. Om de verwerking van gegevens te beveiligen neemt het Nationaal Instituut voor de Statistiek specifieke maatregelen. Deze staan in verhouding tot het risico dat de dataset vertegenwoordigt. Het risico wordt beoordeeld op basis van de gegevensklasse, de gevoeligheid van de gegevens, het aantal statistische eenheden in de gegevensverzameling en de gedetailleerdheid van de gegevens.
§ 2. De technische maatregelen bestaan uit de classificatie van gegevens, het beheer van de toegang tot geclassificeerde gegevens, de specifieke maatregelen betreffende de persoonsgegevens met directe identificatienummers, de voorlichting en opleiding van het personeel, de pseudonimisering van gegevens, de maatregelen met betrekking tot de heridentificatie van gegevens, de bescherming van de concordantiesleutels waarmee onderzoeksgegevens opnieuw kunnen worden gekoppeld aan directe identificatiegegevens, en de maatregelen met betrekking tot de pseudonimisering van gegevens die medegedeeld worden uit hoofde van artikel 15 van de wet van 4 juli 1962 betreffende de openbare statistiek.
1А De classificatie van gegevens.
De gegevens waarover het Nationaal Instituut voor de Statistiek beschikt, worden geclassificeerd.
De verschillende classificatieniveaus zijn:
a) globale en anonieme gegevens;
b) globale niet-anonieme gegevens;
c) gepseudonimiseerde ondernemingsgegevens;
d) gepseudonimiseerde persoonsgegevens;
e) gepseudonimiseerde gevoelige gegevens in de zin van de artikelen 9 en 10 van Verordening (EU) nr. 2016/679 van het Europees Parlement en van de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
f) niet-gepseudonimiseerde ondernemingsgegevens;
g) niet-gepseudonimiseerde persoonsgegevens;
h) niet-gepseudonimiseerde gevoelige gegevens in de zin van de artikelen 9 en 10 van de Verordening (EU) nr. 2016/679 van het Europees Parlement en van de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
De classificatie van gegevens bepaalt het niveau van gegevensbescherming.
2А Het beheer van de toegang tot geclassificeerde gegevens.
Met uitzondering van de globale en anonieme gegevens worden alle gegevens onderworpen aan een toegangscontrole. De toegang wordt "zo dichtbij mogelijk" beheerd. Dit houdt in dat:
a) de toegang slechts verleend wordt aan de personen die ervan op de hoogte moeten zijn, dat elke toegangsaanvraag tot individuele gegevens goedgekeurd wordt door de directe hiыrarchische meerdere en na advies van de functionaris voor de gegevensbescherming;
b) de toegangsrechten aan gebruikers ontzegd worden zodra zij geen toegang meer hebben tot een bron.
Het Nationaal Instituut voor de Statistiek zorgt ervoor dat de toegang tot persoonsgegevens met directe identificatienummers zoveel mogelijk beperkt wordt.
3А De specifieke maatregelen betreffende de persoonsgegevens met directe identificatienummers.
De toegang tot persoonsgegevens met directe identificatienummers wordt onderworpen aan specifieke veiligheidsmaatregelen: elke toegang tot deze databanken wordt vastgelegd. Bijgevolg moet het Nationaal Instituut voor de Statistiek de identiteit van de personen die toegang hebben gehad tot die gegevens permanent kunnen opnemen.
Het loggingsysteem voor de toegang van gebruikers omvat hun identificatienummer, de datum en het uur van aanmelding, de datum en het uur van afmelding en alle queries die uitgevoerd werden op deze gegevens tussen het begin en het einde van de verbinding. De gebruikers zullen in kennis gesteld worden van het loggingsysteem.
De functionaris voor de gegevensbescherming brengt de betrokken personen en de leidende ambtenaar op de hoogte van frauduleuze toegang waarvan hij weet heeft.
4А De voorlichting en opleiding van het personeel.
Het Nationaal Instituut voor de Statistiek zorgt ervoor dat zijn personeelsleden voldoende ingelicht worden over hun plichten inzake vertrouwelijkheid.
Het Nationaal Instituut voor de Statistiek stelt zijn personeelsleden een deontologische code ICT ter beschikking die de gebruiks- en toegangsvoorwaarden betreffende informaticamiddelen omschrijft.
De personeelsleden die toegang hebben tot individuele gegevens dienen opleidings- en sensibiliseringssessies over de bescherming van persoonsgegevens te volgen, met inbegrip van garanties voor de rechten en vrijheden van de betrokkenen, informatiebeveiliging en de toepassing van statistische geheimhouding bij de productie van statistieken.
5А De gegevenspseudonimisering.
De gegevens worden op zodanige wijze verwerkt dat ze niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geяdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
6А De maatregelen over de heridentificatie van de gegevens.
De heridentificatie van de gegevens vereist het advies van de functionaris voor gegevensbescherming en de formele toestemming van de verwerkingsverantwoordelijke.
7А De bescherming van de concordantiesleutels.
Om veiligheidsredenen worden de concordantiesleutels gecodeerd alvorens ze worden gearchiveerd. De decodering van de concordantiesleutels mag slechts gebeuren na een advies van de functionaris voor gegevensbescherming.
8А De maatregelen met betrekking tot de pseudonimisering van gegevens die meegedeeld worden uit hoofde van artikel 15 van de wet van 4 juli 1962 betreffende de openbare statistiek.
Er wordt een aparte geheime sleutel gebruikt bij elke mededeling van gegevens. Dezelfde statistische eenheid krijgt dus van mededeling tot mededeling verschillende pseudoniemen, behalve wanneer statistische eenheden in de tijd moeten worden gevolgd.
§ 3. De volgende organisatorische maatregelen worden genomen:
1А het Nationaal Instituut voor de Statistiek beschikt over diensten die belast zijn met de gegevensverzameling die instaan voor de primaire en secundaire gegevensverzameling en die zich onderscheiden van de thematische diensten die de gegevens verwerken om statistieken op te stellen;
2А de diensten die belast zijn met gegevensverzameling zijn ertoe gemachtigd met alle klassen van individuele gegevens te werken. De thematische diensten zijn ertoe gemachtigd met gepseudonimiseerde persoonsgegevens en met alle klassen van gegevens van ondernemingen te werken;
3А het Nationaal Instituut voor de Statistiek zal toezicht houden op het gebruik van de concordantiesleutels waarmee gegevens opnieuw kunnen worden geяdentificeerd, om elk risico van gebruik voor andere doeleinden dan statistisch of wetenschappelijk onderzoek te vermijden;
4А de koppeling van de gegevens gebeurt na een advies van de functionaris voor de gegevensbescherming en met het formele akkoord van de verwerkingsverantwoordelijke;
5А de functionaris voor gegevensbescherming, die onder rechtstreeks gezag van de leidende ambtenaar van het Nationaal Instituut voor de Statistiek staat, handelt onafhankelijk van de diensten die belast zijn met de gegevensverzameling en van de thematische diensten.
§ 4. De volgende juridische maatregelen worden genomen:
1А de personeelsleden van het Nationaal Instituut voor de Statistiek zijn onderworpen aan het statistisch geheim. ;
2А de personeelsleden van het Nationaal Instituut voor de Statistiek ondertekenen een vertrouwelijkheidscontract over de gegevens;
3А de geheimhoudingsplicht waaraan de personeelsleden van het Nationaal Instituut voor de Statistiek zijn onderworpen, blijft ook gelden nadat zij hun werkzaamheden voor het Nationaal Instituut voor de Statistiek hebben stopgezet.]1
----------
(1)<KB 2023-12-17/26, art. 4, 002; Inwerkingtreding : 15-01-2024>
HOOFDSTUK 2. - Voorwaarden waaronder het Nationaal Instituut voor de Statistiek kan handelen als tussenpersoon bij een latere verwerking voor statistische doeleinden
Art.3.Als het wetenschappelijke en/of statistische onderzoek gegevens vereist die uit het koppelen van gegevens uit verschillende databanken resulteren, handelt het Nationaal Instituut voor de Statistiek als tussenpersoon om [1 gepseudonimiseerde]1 studiegegevens voor eigen behoeften of behoeften van derden te produceren.
Het Nationaal Instituut voor de Statistiek mag zijn eigen gegevens met gegevens uit andere bronnen koppelen.
Het Nationaal Instituut voor de Statistiek kan als tussenpersoon handelen in drie omstandigheden : om verschillende externe databanken te koppelen, om externe databanken aan zijn eigen databanken te koppelen, of om zijn eigen databanken te koppelen.
[1 De koppeling van de gegevens gebeurt na een advies van de functionaris voor de gegevensbescherming en met het formele akkoord van de verwerkingsverantwoordelijke]1.
[1 Wanneer het Nationaal Instituut voor de Statistiek optreedt als tussenpersoon, neemt het de rol van verwerkingsverantwoordelijke op zich.]1
----------
(1)<KB 2023-12-17/26, art. 5, 002; Inwerkingtreding : 15-01-2024>
Art.4.[1 De functionaris voor gegevensbescherming ziet erop toe dat de concordantiesleutels enkel worden gebruikt voor statistische of wetenschappelijke onderzoeksdoeleinden en adviseert in dit kader het Nationaal Instituut voor de Statistiek.]1
----------
(1)<KB 2023-12-17/26, art. 6, 002; Inwerkingtreding : 15-01-2024>
Art.5.[1 Wanneer het Nationaal Instituut voor de Statistiek optreedt als tussenpersoon voor derden, mag het de gegevens niet hergebruiken voor andere doeleinden dan voor de doeleinden die zijn opgenomen in het met die derden ondertekende contract.
Wanneer het Nationaal Instituut voor de Statistiek databanken koppelt voor eigen behoeften, doet het dit in overeenstemming met de overeenkomsten die met de gegevensbronnen zijn gesloten.]1
----------
(1)<KB 2023-12-17/26, art. 7, 002; Inwerkingtreding : 15-01-2024>
Art.6.Het Nationaal Instituut moet de verwerkingen op een transparante manier uitvoeren.
Het Nationaal Instituut voor de Statistiek stelt een register met alle koppelingen die uitgevoerd werden door derden [1 ...]1.
----------
(1)<KB 2023-12-17/26, art. 8, 002; Inwerkingtreding : 15-01-2024>
HOOFDSTUK 3. - Slotbepalingen
Art.7. Treden in werking de dag waarop dit besluit in het Belgisch Staatsblad wordt bekendgemaakt :
1° de artikelen 10, 11, 12, 16, 19 à 25, 29, 30, 39 2°, 3°, 4° et 40 van de wet van 22 maart 2006 tot wijziging van de wet van 4 juli 1962 betreffende de openbare statistiek en van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen;
2° dit besluit.
Art. 8. De minister bevoegd voor Economie is belast met de uitvoering van dit besluit.