Overzicht

Koninklijk besluit van 7 december 2016 over de bewijskracht van de gegevens die door de instellingen van sociale zekerheid worden verwerkt

(Belgisch Staatsblad van 19 december 2016)

[Gewijzigd bij het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)]

HOOFDSTUK I. BEWIJSKRACHT VAN DE GEGEVENS VERWERKT DOOR DE OPENBARE INSTELLINGEN VAN SOCIALE ZEKERHEID EN DE FEDERALE OVERHEIDSDIENSTEN DIE MET DE TOEPASSING VAN DE SOCIALE ZEKERHEID ZIJN BELAST

Artikel 1.

Voor de toepassing van dit hoofdstuk wordt verstaan onder:

1°) "openbare instellingen van sociale zekerheid": de Kruispuntbank van de Sociale Zekerheid en de openbare instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, a), van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid;

2°) "federale overheidsdiensten die met de toepassing van de sociale zekerheid zijn belast": de federale overheidsdienst Sociale Zekerheid, de federale overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg en de programmatorische overheidsdienst Maatschappelijke Integratie, Armoedebestrijding, Sociale Economie en Grootstedenbeleid;

3°) "bevoegde minister": de voogdijminister van de betrokken openbare instelling van sociale zekerheid of de minister bevoegd voor de betrokken federale overheidsdienst die met de toepassing van de sociale zekerheid is belast;

4°) [4° "informatieveiligheidscomité": de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. – gewijzigd bij artikel 8 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)].

Artikel 2.

De openbare instellingen van sociale zekerheid en de federale overheidsdiensten die met de toepassing van de sociale zekerheid zijn belast, kunnen ter erkenning door de bevoegde minister de voorwaarden en de nadere regels voorleggen voor het opslaan, bewaren, uitwisselen, meedelen of weergeven, met fotografische, optische, elektronische of andere technieken of op een leesbare drager, van de gegevens waarover zij beschikken of die aan hen zijn overgemaakt voor de toepassing van de sociale zekerheid.
Zij leggen hun voorstel, met een beknopte zelfevaluatie aangaande het voldoen aan de voorwaarden bedoeld in artikel 3, tegelijkertijd voor aan de bevoegde minister en, [voor beraadslaging – gewijzigd bij artikel 10 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)], aan het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)].

Artikel 3.

Het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] gaat na of de voorgestelde procedure voldoet aan de volgende voorwaarden:

1°) het voorstel omschrijft nauwkeurig de procedure;

2°) de gebruikte technologie waarborgt een getrouwe, duurzame en volledige weergave van de gegevens;

3°) de gegevens worden systematisch en zonder weglatingen geregistreerd;

4°) de verwerkte gegevens worden op een zorgvuldige manier bewaard, systematisch gerangschikt en beschermd tegen elke vervalsing;

5°) de volgende inlichtingen over de verwerking van de gegevens worden bewaard:
a) de identiteit van de verantwoordelijke voor de verwerking en de uitvoerder;
b) de aard en het onderwerp van de gegevens waarop de verwerking betrekking heeft;
c) de datum en de plaats van de uitvoering;
d) de eventuele storingen die zijn vastgesteld tijdens de verwerking.

Artikel 4.

Het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] kan de vertegenwoordigers van de aanvrager horen vóór het [zijn beraadslaging – gewijzigd bij artikel 11 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] verleent. In overleg met die vertegenwoordigers kunnen wijzigingen aan de voorgestelde procedure worden aangebracht.

Artikel 5.

Het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] deelt [zijn gemotiveerde beraadslaging – gewijzigd bij artikel 12 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] mee aan de bevoegde minister, uiterlijk binnen een termijn van twee maanden te rekenen vanaf de datum waarop het voorstel bedoeld in artikel 2, tweede lid, werd verzonden. [Indien de beraadslaging niet binnen deze termijn wordt meegedeeld, wordt zij geacht gunstig te zijn. – gewijzigd bij artikel 12 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)]. Het informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] deelt tegelijkertijd [zijn beraadslaging – gewijzigd bij artikel 12 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)]  mee aan de aanvrager.

Artikel 6.

De bevoegde minister deelt zijn gemotiveerde beslissing mee aan de aanvrager en aan het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)], uiterlijk binnen een termijn van vier maanden te rekenen vanaf de datum waarop het voorstel bedoeld in artikel 2, tweede lid, werd verzonden. Indien de gemotiveerde beslissing niet binnen deze termijn meegedeeld wordt aan de aanvrager, wordt de procedure die hij heeft voorgesteld geacht erkend te zijn door de bevoegde minister, behalve indien [de beraadslaging die – gewijzigd bij artikel 13 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] dat door het informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] volgens artikel 5 wordt verstrekt ongunstig is, in welk geval de erkenning van de voorgestelde procedure steeds afhankelijk is van een uitdrukkelijke en gemotiveerde beslissing door de bevoegde minister.
Vóór hij zijn beslissing neemt, gaat de bevoegde minister ook na of de in artikel 3 bepaalde voorwaarden vervuld zijn.
Het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] registreert en bewaart de procedures die door de bevoegde minister werden erkend of geacht worden door de bevoegde minister te zijn erkend, onverminderd artikel 9.

Artikel 7.

Wanneer de procedure die de aanvrager heeft voorgelegd, wordt erkend door de bevoegde minister of wordt geacht erkend te zijn door de bevoegde minister, hebben de gegevens die volgens die procedure worden opgeslagen, bewaard, uitgewisseld, meegedeeld of weergegeven en hun weergave op een leesbare drager bewijskracht voor de toepassing van de sociale zekerheid, tot bewijs van het tegendeel. Deze bewijskracht geldt vanaf de datum waarop de procedure is erkend of is geacht erkend te zijn overeenkomstig artikel 6.

Artikel 8.

Elke wijziging aan een uitdrukkelijk of stilzwijgend erkende procedure om een reden die verband houdt met één van de voorwaarden bedoeld in artikel 3 is onderworpen aan de bepalingen van de artikelen 2 tot 7.

Artikel 9.

De bevoegde minister kan de uitdrukkelijke of stilzwijgende erkenning intrekken wanneer hij vaststelt dat de erkenningsvoorwaarden geheel of gedeeltelijk niet meer vervuld zijn.
Vóór hij zijn beslissing neemt, kan de bevoegde minister [een beraadslaging – gewijzigd bij artikel 14 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] van het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] vragen, in welk geval de bepalingen van artikel 4 naar analogie van toepassing zijn. Het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] deelt [zijn gemotiveerde beraadslaging – gewijzigd bij artikel 14 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] aan de bevoegde minister mee, uiterlijk binnen een termijn van twee maanden te rekenen vanaf de datum waarop [zijn aanvraag – gewijzigd bij artikel 14 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)] werd verzonden. [Indien deze beraadslaging niet binnen deze termijn wordt meegedeeld, wordt zij geacht gunstig te zijn. – gewijzigd bij artikel 14 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)]
De bevoegde minister deelt zijn gemotiveerde beslissing mee aan de aanvrager en aan het [informatieveiligheidscomité – gewijzigd bij artikel 9 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)].
De intrekking van de erkenning heeft uitwerking op de datum van mededeling van de beslissing van de bevoegde minister aan de aanvrager. Artikel 7 blijft van toepassing voor de periode die de datum van uitwerking van de intrekking van de erkenning voorafgaat.

HOOFDSTUK II. BEWIJSKRACHT VAN DE GEGEVENS VERWERKT DOOR DE ANDERE INSTELLINGEN VAN SOCIALE ZEKERHEID EN DE SOCIALE SECRETARIATEN VOOR WERKGEVERS

Artikel 10.

Voor de toepassing van dit hoofdstuk wordt verstaan onder:

1°) "instellingen": de meewerkende instellingen van sociale zekerheid, de fondsen voor bestaanszekerheid en de openbare centra voor maatschappelijk welzijn, bedoeld in artikel 2, eerste lid, 2°, b), c) en f), van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid, en de sociale secretariaten voor werkgevers;

2°) "de procedure": alle gebruikte procedures, processen en architecturen (hardware en software);

3°) "gedigitaliseerde gegevens": gegevens die opgeslagen, verwerkt en meegedeeld worden door middel van een optische en fotografische techniek;

4°) "het formaat": de code waaronder gedigitaliseerde gegevens zijn opgeslagen op een gegevensdrager;

5°) "compressie": de bewerking waarbij de digitale voorstelling van de afbeeldingen in grootte beperkt wordt om opslagcapaciteit te besparen en datatransmissie te versnellen;

6°) "metagegevens": de gegevensset die de context, de inhoud en de structuur van de gedigitaliseerde gegevens beschrijft;

7°) "het systeem": het geheel van apparatuur en besturings- en toepassingsprogrammatuur;

8°) "het datacenter": de ruimte waarin de informatie- en communicatieapparatuur (IT-apparatuur) zich fysiek bevindt waarop de gedigitaliseerde gegevens verwerkt en/of opgeslagen worden.

Artikel 11.

De gegevens die door middel van een optische en fotografische techniek opgeslagen, verwerkt of meegedeeld worden, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, hebben bewijskracht tot bewijs van het tegendeel, indien de procedure die de instelling overeenkomstig artikel 12 heeft vastgesteld voor de opslag, de verwerking, de mededeling of de weergave van deze gegevens voldoet aan de voorwaarden opgesomd in dit hoofdstuk en de gegevens in overeenstemming met die procedure werden opgeslagen, verwerkt of meegedeeld.
De gedigitaliseerde gegevens kan echter geen rechtsgeldigheid worden ontzegd op de enkele grond dat betwist wordt dat de werkelijk gevolgde procedure aan de voorwaarden van dit besluit voldoet, als diegene die zich op deze gegevens beroept kan aantonen, met alle middelen van recht, dat de afwijking van de voorwaarden in dit hoofdstuk de betrouwbaarheid van de gegevens niet in het gedrang heeft gebracht.

Artikel 12.

De instelling legt de procedure vast volgens welke ze de gegevens waarover ze beschikt of die ze doorgestuurd krijgt, door middel van een optische en fotografische techniek opslaat, verwerkt of meedeelt voor de toepassing ervan in de sociale zekerheid, alsook de procedure volgens welke ze deze gegevens op papier of op elke andere leesbare drager weergeeft, overeenkomstig dit hoofdstuk.

Artikel 13.

De instelling gebruikt een procedure voor:

1°) de systematische en volledige opslag van gegevens;

2°) de getrouwe, duurzame en volledige weergave van de informatie;

3°) de zorgvuldige bewaring, de systematische classificatie en de beveiliging van de gegevens tegen elke vorm van vervalsing;

4°) de integriteit en de leesbaarheid van de gegevens gedurende de volledige bewaartermijn.

Artikel 14.

De instelling beschikt over een gedetailleerde, regelmatig bijgewerkte documentatie over de gehanteerde procedure.
Deze documentatie bevat minstens de volgende inlichtingen:

1°) de identificatiegegevens van de eventuele verwerker op wie de instelling een beroep doet, evenals de naam en het adres van de eigenaar van de gebruikte hardware en software;

2°) het merk en het type van de gebruikte hardware en de benaming van de gebruikte software;

3°) de nauwkeurige beschrijving van de hardware en software, met vermelding van de voornaamste technische kenmerken van de wijze van opslag, verwerking en mededeling door middel van de gebruikte optische en fotografische techniek;

4°) de documentatie van de gebruikte opslaginfrastructuur;

5°) de beschrijving van de wijze waarop de integriteit van de gedigitaliseerde gegevens wordt verzekerd en kan worden gecontroleerd;

6°) de beschrijving van de uitgevoerde kwaliteitscontroles;

7°) de documentatie van de software voor de verbetering van de beeldkwaliteit en de herkenningssoftware;

8°) de beschrijving van de wijze waarop de beschikbaarheid en de toegankelijkheid van de gedigitaliseerde gegevens worden verzekerd;

9°) een beschrijving van de wijze waarop de gedigitaliseerde gegevens worden beveiligd tegen onbevoegde toegang;

10°) een beschrijving van het back-upbeleid.

Elke aangebrachte wijziging aan de gebruikte procedure wordt onmiddellijk aan de gedetailleerde beschrijving toegevoegd.
[… – opgeheven bij artikel 15 van het koninklijk besluit van 19 september 2019 (Belgisch Staatsblad van 2 oktober 2019)]
Zowel de documentatie van de procedure als de link tussen deze documentatie en de gedigitaliseerde gegevens wordt bijgehouden gedurende de volledige bewaartermijn.

Artikel 15.

De toegang tot de gedigitaliseerde gegevens verloopt conform de regels en procedures in voege in de instelling.
Elke bewerking van de gedigitaliseerde gegevens wordt samen met de identiteit van de bewerker in een logboek bijgehouden.

Artikel 16.

De gedigitaliseerde gegevens worden bewaard in valideerbare, genormeerde en volledig gedocumenteerde bestandsformaten geschikt voor bewaring op lange termijn.
Indien er gebruik gemaakt wordt van een tussenformaat, dan mag er geen relevant kwaliteitsverlies optreden bij de omzetting van het tussenformaat naar het uiteindelijke formaat.
Compressie is alleen toegestaan indien aantoonbaar geen relevant informatieverlies optreedt.

Artikel 17.

De gedigitaliseerde gegevens worden op de dag van hun opmaak opgeslagen in een opslaginfrastructuur die de integriteit en de duurzaamheid van de gegevens verzekert.
De gedigitaliseerde gegevens en de niet gedigitaliseerde originele gegevens worden blijvend met elkaar gelinkt via een unieke identifier tot op het moment waarop het origineel vernietigd wordt.

Artikel 18.

De verwerking van de gedigitaliseerde gegevens gebeurt in een lidstaat van de Europese Unie of in een derde staat waarnaar het vrij verkeer van diensten is uitgebreid en die zich er in het kader van een internationaal akkoord met de Europese Unie toe heeft verbonden om de regelgeving van de Europese Unie betreffende de verwerking van persoonsgegevens te respecteren.

Artikel 19.

De integriteit van de inhoud, de duurzaamheid, de toegankelijkheid en de leesbaarheid van de gedigitaliseerde gegevens en de hieraan verbonden metagegevens worden gewaarborgd gedurende de door de toepasselijke reglementering opgelegde bewaartermijn.
Metagegevens worden op een consistente en gestructureerde wijze toegekend.
De koppeling tussen de gedigitaliseerde gegevens en de bijbehorende metagegevens kan gedurende de volledige bewaartermijn worden gereconstrueerd.
Elk van de gedigitaliseerde gegevens kan binnen een redelijke termijn worden teruggevonden aan de hand van de bijbehorende metagegevens en kan waarneembaar of leesbaar gemaakt worden, met inachtneming van de autorisaties.
Het gebruikte systeem importeert, converteert, migreert en exporteert de gedigitaliseerde gegevens en de bijbehorende metagegevens met behoud van de betrouwbaarheid, de integriteit en de bruikbaarheid ervan.

Artikel 20.

De veiligheidsmaatregelen die de gegevensintegriteit waarborgen, zijn opgesteld overeenkomstig het informatieveiligheidsbeleid van de instelling.
De instelling voert een systematische risicoanalyse uit, onder meer betreffende de gegevensverwerking, de systemen, het personeel en de veiligheidseisen.
De instelling beschikt over een informatieveiligheidsbeleid dat het geheel van strategieën en gekozen maatregelen voor de gegevensbeveiliging bevat.
Het in het vorige lid vermelde beleid is gebaseerd op de normen en/of richtlijnen die door nationale en internationale instanties erkend worden.

Aldus doet de instelling minstens het volgende:

1°) ze heeft een overzicht van de gehanteerde veiligheidsmaatregelen en toetst periodiek (extern of niet) of de ingevoerde veiligheidsmaatregelen nog passend zijn of niet;

2°) ze beschikt over een gedocumenteerd en passend back-upbeleid, calamiteiten- en herstelplan;

3°) ze treft alle nodige maatregelen om te voorkomen dat de gedigitaliseerde gegevens gedeeltelijk of geheel verloren zouden gaan gedurende de bewaartermijn. Hiertoe maakt de instelling periodiek back-ups van alle gedigitaliseerde gegevens en bewaart ze deze back-ups op een andere beveiligde locatie;

4°) ze test op regelmatige basis de back-up- en herstelplannen en past ze indien nodig aan;

5°) ze beschikt over een geactualiseerd toegangscontrolebeleid voor het toekennen, het wijzigen en het verwijderen van toegangsrechten tot het systeem;

6°) ze stelt in geval van onderaanneming veiligheidseisen aan deze derde via een contract;

7°) na afloop van de door de instelling gehanteerde verjaringstermijn, die ten minste de wettelijke verjaringstermijn moet zijn, vernietigt zij de gedigitaliseerde gegevens aan de hand van een gedocumenteerd proces en indien het gevoelige gegevens betreft, voert zij veilige vernietigingsmethodes uit;

8°) ze beschikt over een goed beveiligd datacenter met onder meer klimaatbeheersing, een alarm en een brandmeldvoorziening, een toegangscontrole, een ordelijke bekabeling en een noodstroomvoorziening;

9°) ze voorziet in redundantie in de opslaginfrastructuur;

10°) ze slaat de informatiedragers en back-ups in een fysiek beveiligde plaats op;

11°) ze beschikt over voldoende medewerkers, met voldoende kennis en competenties, om al haar taken en verantwoordelijkheden op het gebied van het beheer van gedigitaliseerde gegevens te kunnen uitvoeren;

12°) in geval van migraties naar nieuwe bestandsformaten worden de overdrachten naar gegevensdragers tijdig uitgevoerd om de integriteit en de permanente toegang tot de gedigitaliseerde gegevens gedurende de volledige bewaartermijn te kunnen verzekeren.
De minimale veiligheidsmaatregelen waarvan sprake in het vorige lid blijven van kracht voor het gedocumenteerde migratieproces dat door de instelling uitgevoerd wordt.

HOOFDSTUK III. DIVERSE BEPALINGEN

Artikel 21.

De volgende koninklijke besluiten worden opgeheven:

1°) het koninklijk besluit van 22 maart 1993 betreffende de bewijskracht, ter zake van de sociale zekerheid, van de door instellingen van sociale zekerheid opgeslagen, bewaarde of weergegeven informatiegegevens;

2°) het koninklijk besluit van 28 november 1995 betreffende de bewijswaarde, ter zake van de sociale zekerheid der zelfstandigen, van de door de Administratie en meewerkende instellingen gebruikte informatiegegevens inzake de sociale zekerheid der zelfstandigen;

3°) het koninklijk besluit van 15 maart 1999 betreffende de bewijskracht, ter zake van de sociale zekerheid en het arbeidsrecht, van de door de ministeriële diensten en parastatalen van het Ministerie van Tewerkstelling en Arbeid uitgewisselde, meegedeelde, opgeslagen, bewaarde of weergegeven informatiegegevens;

4°) het koninklijk besluit van 9 januari 2000 betreffende de bewijskracht van de door de Administratie der Pensioenen gebruikte informatiegegevens voor de toepassing van de wetgeving waarmee zij belast is.

Artikel 22.

De uitdrukkelijke of stilzwijgende erkenningen op grond van een koninklijk besluit bedoeld in artikel 21 behouden hun uitwerking zolang zij aan de in die koninklijke besluiten bedoelde voorwaarden blijven voldoen.

Artikel 23.

Aanvragen tot erkenning die op grond van een koninklijk besluit bedoeld in artikel 21 werden ingediend vóór de datum van inwerkingtreding van dit koninklijk besluit worden behandeld overeenkomstig het toepasselijk koninklijk besluit bedoeld in artikel 21.

Artikel 24.

De minister bevoegd voor Werk, de minister bevoegd voor Sociale Zaken en de minister bevoegd voor Zelfstandigen en Maatschappelijke Integratie zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.