22 APRIL 2019. - Koninklijk besluit tot vaststelling van de voorwaarden waaraan de voor rekening van de informatieplichtigen jegens het centraal aanspreekpunt van rekeningen en financiële contacten tussenkomende instellingen moeten voldoen om toegang te hebben tot het Rijksregister van de natuurlijke personen
Art. 1-4
Artikel 1. Onverminderd de elders door de wet gestelde voorwaarden mag geen enkele voor rekening van een informatieplichtige tussenkomende instelling de handelingen bedoeld in artikel 12, § 1, eerste lid, 3° van de wet van 8 juli 2018 houdende organisatie van een centraal aanspreekpunt van rekeningen en financiële contracten en tot uitbreiding van de toegang tot het centraal bestand van berichten van beslag, delegatie, overdracht, collectieve schuldenregeling en protest verrichten en de in dit kader ingezamelde rijksregisternummers aan deze laatste meedelen tenzij zij, bij aanvang van deze opzoeking, over afdoende waarborgen beschikt met betrekking tot:
(a) de voorwaarden waaraan de door de informatieplichtigen aangestelde informatieveiligheidsconsulenten moeten voldoen. Deze voorwaarde zijn minstens de volgende:
(1) de informatieveiligheidsconsulent moet aangesteld zijn op grond van zijn/haar beroepskwaliteiten en gespecialiseerde kennis, in het bijzonder in het gebied van de goede praktijken inzake gegevensbescherming en van het toepasselijke recht ter zake, van de informatica-omgeving van de informatieplichtige en inzake informatieveiligheid. De informatieveiligheidsconsulent dient deze kennis permanent op peil te houden;
(2) De informatieveiligheidsconsulent rapporteert rechtstreeks aan de algemene directie, het directiecomité of de personen belast met de dagelijkse leiding van de informatieplichtige;
(3) Er mag geen tegenstrijdigheid van belangen bestaan tussen de functie van informatieveiligheidsconsulent en andere activiteiten welke onverenigbaar zijn met deze functie. Deze mag in het bijzonder niet worden gecumuleerd met die van eindverantwoordelijke voor de informaticadienst, van persoon belast met de dagelijkse leiding, of van lid van de algemene directie of van het directiecomité van de informatieplichtige;
(4) De informatieplichtige moet erop toezien dat de informatieveiligheidsconsulent zijn opdrachten op een volledig onafhankelijke wijze kan uitoefenen en om hem/haar geen instructies te geven nopens de wijze waarop deze opdrachten moeten worden vervuld. De informatieveiligheidsconsulent mag in geen geval van zijn functies worden ontheven of een sanctie oplopen wegens de uitoefening van zijn/haar opdrachten;
(5) Indien de taken van informatieveiligheidsconsulent onder verschillende personen worden verdeeld, moet een van hen als eindverantwoordelijk worden aangesteld om aan de algemene directie, het directiecomité of de personen belast met de dagelijkse leiding van de informatieplichtige te rapporteren omtrent de gezamenlijke activiteiten en om de rol van contactpersoon op zich te nemen;
(6) De informatieplichtige moet de nodige middelen en tijd aan de informatieveiligheidsconsulent geven om hem/haar toe te laten zijn opdrachten uit te oefenen en zijn/haar kennissen op peil te houden.
(b) de informatieveiligheidsvoorzieningen die door de informatieplichtige werden genomen. Deze voorzieningen zijn minstens de volgende:
(1) een voorafgaande evaluatie van de risico's die de verwerkte persoonsgegevens lopen en de vaststelling van de hieruit voortvloeiende beveiligingsnoden;
(2) de opmaak van een beveiligingsbeleidsdocument waarin de strategieën en de weerhouden maatregelen voor de beveiliging van de verwerkte persoonsgegevens worden omschreven;
(3) de identificatie van alle mogelijke informatiedragers die de verwerkte persoonsgegevens kunnen bevatten;
(4) de inlichting van de externe en interne personeelsleden die bij de verwerking van de persoonsgegevens betrokken zijn over de vertrouwelijkheids- en beveiligingsverplichtingen t.a.v. deze gegevens die zowel uit de verschillende geldende wettelijke vereisten als uit het gevolgde veiligheidsbeleid voortvloeien;
(5) de aanname van passende beveiligingsmaatregelen om elke niet gemachtigde of onnodige fysieke toegang te verhinderen tot de informatiedragers die verwerkte persoonsgegevens bevatten;
(6) de aanname van de noodzakelijke maatregelen om elke fysieke schade te verhinderen die de verwerkte persoonsgegevens in gevaar zouden kunnen brengen;
(7) de bescherming van de verschillende netwerken gekoppeld aan de apparatuur die de persoonsgegevens verwerkt;
(8) de opmaak van een geactualiseerde lijst van de verschillende personen die bevoegd zijn om in het kader van de verwerking toegang te hebben tot de persoonsgegevens alsook van hun respectieve toegangsniveau (creatie, raadpleging, wijziging, vernietiging);
(9) de implementatie van een toegangsmachtigingsmechanisme waardoor de verwerkte persoonsgegevens en de verwerking die hierop betrekking hebben uitsluitend toegankelijk zijn voor personen en toepassingen die daartoe uitdrukkelijk gemachtigd zijn;
(10) de implementatie van een informatiesysteem dat permanente logging, opsporing en analyse mogelijk maakt van de toegang die personen en logische entiteiten tot de verwerkte persoonsgegevens gehad hebben;
(11) de implementatie van een toezicht op de geldigheid en op de efficiëntie in de tijd van de geïmplementeerde technische of organisatorische maatregelen;
(12) de implementatie van noodprocedures voor het beheer van veiligheidsincidenten met verwerkte persoonsgegevens;
(13) het samenstellen en bijwerken van voldoende documentatie met betrekking tot de organisatie van de informatieveiligheid in het raam van de bedoelde verwerking van persoonsgegevens.
Art.2. De in artikel 1 bedoelde instelling beschikt over auditbevoegdheden met betrekking tot de naleving van de in artikel 1 bedoelde voorzieningen en voorwaarden. Deze bevoegdheden omvatten de mogelijkheid om zowel voorafgaande verificaties als controles a posteriori te voeren, bijvoorbeeld via punctuele audits bij informatieplichtigen.
Te dien einde registreert en bewaart de in artikel 1 bedoelde instelling, voor iedere opzoeking in de bestanden van het rijksregister van de natuurlijke personen voor rekening van een informatieplichtige, de volgende gegevens gedurende een periode van tien jaar volgend op de datum van deze opzoeking:
(1) het rijksregisternummer van de natuurlijke personen die het voorwerp uitmaakten van de betrokken opzoeking;
(2) de identificatie van de informatieplichtige en van diens aangestelde die de opzoeking heeft opgedragen; alsook
(3) het motief van deze opzoeking.
Art.3. Het Koninklijk besluit van 3 februari 2014 waarbij de Nationale Bank van België en de bank-, wissel, krediet- en spaarinstellingen bedoeld in artikel 322 van het Wetboek van de inkomstenbelastingen 1992, gemachtigd worden tijdelijk toegang te hebben tot het Rijksregister van de natuurlijke personen wordt opgeheven.
Art. 4. De ministers die bevoegd zijn voor Financiën, Binnenlandse zaken, en Justitie zijn belast met de uitvoering van dit besluit, ieder voor wat hem aanbelangt.