2022_GR_00202 - Protocol Fluvius en stad Maaseik voor de elektronische mededeling van persoonsgegevens in het kader van rationeel Energiegebruik en toekennen van REG premies - Goedkeuring

Het bestuursdecreet van 7 december 2018

Het decreet lokaal bestuur artikel 326 ev. inzake het bestuurlijk toezicht

Het decreet lokaal bestuur artikel 285 ev. inzake de bekendmaking van besluiten

De wet van 29 juli 1991 inzake de uitdrukkelijke motiveringsplicht

Het decreet van 18 juli 2008 betreffende elektronische bestuurlijke gegevensverkeer 

Algemene Verordening Gegevensbescherming (AVG): de EU Verordening  2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG

Meer bepaald:

Artikel 5:
Eerste lid, a): Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
eerste lid, b): Doelbinding
Persoonsgegevens moeten verzameld worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ze mogen niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden mogen niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd worden.
eerste lid, c): Minimale gegevensverwerking
Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor ze verwerkt worden.
eerste lid, d): Juistheid
Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die onjuist zijn, onverwijld te wissen of te rectificeren zodat deze gegevens geactualiseerd blijven, gelet op de doeleinden waarvoor zij worden verwerkt.
eerste lid, e): Opslagbeperking
Persoonsgegevens moeten bewaard worden in een vorm die het mogelijk maakt om betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt. Ook niet langer dan noodzakelijk. Dit laatste handelt dan over de bewaartermijnen van persoonsgegevens.
eerste lid, f): Integriteit en vertrouwelijkheid
Persoonsgegevens moeten zodanig kunnen verwerkt worden dat ze gewaarborgd worden door het nemen van passende technische of organisatorische maatregelen, dat ze passend beveiligd zijn en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Tweede lid AVG: Verantwoordingsplicht
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen vermeld in artikel 5 lid 1 en kan deze aantonen. 

Artikel 6:
vierde lid AVG: Rechtmatigheid van de verwerking
Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld.

Hij houdt hierbij rekening met:
    a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking

    b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft

    c) de aard van de persoonsgegevens 

    d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen

    e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering

Artikel 8:
§ 1, tweede lid: decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.

In dit protocol dienden de volgende voorwaarden vastgelegd te worden:
2° de doeleinden waarvoor de persoonsgegevens worden medegedeeld.
6° In dit protocol worden de beveiligingsmaatregelen vastgesteld van de mededeling, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen welke aan de verwerking zijn verbonden.
10° de beschrijving van de precieze doeleinden waarvoor de gegevens oorspronkelijk werden ingezameld door de instantie die beheerder is van de gevraagde gegevens.
11° ingeval van latere verwerking van de ingezamelde gegevens, vermelding van de verenigbaarheidsanalyse van de doeleinden van deze verwerking met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld overeenkomstig artikel 6, lid 4, van de AVG.

Het protocol wordt gesloten door de betreffende verwerkingsverantwoordelijken op advies van de functionaris voor gegevensbescherming van alle betrokken instanties en wordt vervolgens onmiddellijk bekendgemaakt op de website van alle betrokken instanties.

Op verzoek van één van de partijen kan het advies van de Vlaamse Toezichtcommissie (VTC) ingewonnen worden.

12° In het protocol worden afspraken vastgelegd omtrent de garantie van de kwaliteit van de gegevens en in voorkomend geval de eerbiediging van het wettelijk kader dat de toegang tot de authentieke gegevensbron eerbiedigt. 

Artikel 12:
Eerste lid:
De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is.

Tweede lid:
De verwerkingsverantwoordelijke faciliteert ook de uitoefening van de rechten van de betrokkene uit hoofde van deze zelfde artikelen 15 tot en met 22.
In de artikel 11, lid 2 bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.

Artikel 13:
Derde lid:
Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.” (alsook artikel 14, derde lid AVG).

Artikel 15:
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van o.a. de volgende informatie:

a. de verwerkingsdoeleinden
b. de betrokken categorieën van persoonsgegevens
c. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
d. de bewaartermijnen
e. het recht om te verzoeken om persoonsgegevens te rectificeren
f. het recht om klacht in te dienen bij een toezichthoudende overheid
g. het recht om alle informatie te verkrijgen over de bron van de gegevens
h. het recht om geïnformeerd te worden over het belangen de verwachte gevolgen van de verwerking voor de betrokkene

Artikel 16:
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.

Artikel 18:
1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
    a. de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de                 persoonsgegevens te controleren

    b. een verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan

    c. de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening
     of onderbouwing van een rechtsvordering

    d. de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke
     zwaarder wegen dan die van de betrokkene.

2. Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat. L 119/44 NL Publicatieblad van de Europese Unie 4.5.2016

3. Een betrokkene die overeenkomstig lid 1 een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.”

Artikel 24:
De verwerkingsverantwoordelijke treft de nodige passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

Deze maatregelen zijn nodig rekening houdend met de aard, de omvang en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden. 

Artikel 25:
1. Rekening houdend met de stand van de techniek, uitvoeringskosten, aard, omvang, doel van de werking, treffen beide verwerkingsverantwoordelijken passende technische en     organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende     manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de     betrokkenen.

2. De beide verwerkingsverantwoordelijken treffen passende technische en organisatorische maatregelen om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die     noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit geldt ook voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin ze verwerkt worden, de termijn waarvoor     ze opgeslagen en de toegankelijkheid ervan.

3. Een goedgekeurd certificeringsmechanisme kan gebruikt worden om aan te tonen dat aan de voorschriften van lid 1 en lid 2 van dit artikel voldaan is.

Artikel 30:
Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden.

Artikel 32:
De verwerkingsverantwoordelijke treft de nodige passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen die het volgende kunnen bevatten:

    a) de pseudonimisering en versleuteling van persoonsgegevens

    b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen

    c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen

    d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de         verwerking.

Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kunnen worden gebruikt als elementen om aan te tonen dat bedoelde vereisten worden nageleefd.

De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt. 

FLUVIUS heeft de opgevraagde gegevens oorspronkelijk verzameld voor het verstrekken van REG-premies met het oog op rationeel energieverbruik en dit op grond van titel VI van het Energiebesluit.