Artikel 1. Onverminderd de elders door de wet gestelde voorwaarden mag geen enkele voor rekening van een informatieplichtige tussenkomende instelling de handelingen bedoeld in artikel 12, § 1, eerste lid, 3° van de wet van 8 juli 2018 houdende organisatie van een centraal aanspreekpunt van rekeningen en financiële contracten en tot uitbreiding van de toegang tot het centraal bestand van berichten van beslag, delegatie, overdracht, collectieve schuldenregeling en protest verrichten en de in dit kader ingezamelde rijksregisternummers aan deze laatste meedelen tenzij zij, bij aanvang van deze opzoeking, over afdoende waarborgen beschikt met betrekking tot:
(a) de voorwaarden waaraan de door de informatieplichtigen aangestelde informatieveiligheidsconsulenten moeten voldoen. Deze voorwaarde zijn minstens de volgende:
(1) de informatieveiligheidsconsulent moet aangesteld zijn op grond van zijn/haar beroepskwaliteiten en gespecialiseerde kennis, in het bijzonder in het gebied van de goede praktijken inzake gegevensbescherming en van het toepasselijke recht ter zake, van de informatica-omgeving van de informatieplichtige en inzake informatieveiligheid. De informatieveiligheidsconsulent dient deze kennis permanent op peil te houden;
(2) De informatieveiligheidsconsulent rapporteert rechtstreeks aan de algemene directie, het directiecomité of de personen belast met de dagelijkse leiding van de informatieplichtige;
(3) Er mag geen tegenstrijdigheid van belangen bestaan tussen de functie van informatieveiligheidsconsulent en andere activiteiten welke onverenigbaar zijn met deze functie. Deze mag in het bijzonder niet worden gecumuleerd met die van eindverantwoordelijke voor de informaticadienst, van persoon belast met de dagelijkse leiding, of van lid van de algemene directie of van het directiecomité van de informatieplichtige;
(4) De informatieplichtige moet erop toezien dat de informatieveiligheidsconsulent zijn opdrachten op een volledig onafhankelijke wijze kan uitoefenen en om hem/haar geen instructies te geven nopens de wijze waarop deze opdrachten moeten worden vervuld. De informatieveiligheidsconsulent mag in geen geval van zijn functies worden ontheven of een sanctie oplopen wegens de uitoefening van zijn/haar opdrachten;
(5) Indien de taken van informatieveiligheidsconsulent onder verschillende personen worden verdeeld, moet een van hen als eindverantwoordelijk worden aangesteld om aan de algemene directie, het directiecomité of de personen belast met de dagelijkse leiding van de informatieplichtige te rapporteren omtrent de gezamenlijke activiteiten en om de rol van contactpersoon op zich te nemen;
(6) De informatieplichtige moet de nodige middelen en tijd aan de informatieveiligheidsconsulent geven om hem/haar toe te laten zijn opdrachten uit te oefenen en zijn/haar kennissen op peil te houden.
(b) de informatieveiligheidsvoorzieningen die door de informatieplichtige werden genomen. Deze voorzieningen zijn minstens de volgende:
(1) een voorafgaande evaluatie van de risico's die de verwerkte persoonsgegevens lopen en de vaststelling van de hieruit voortvloeiende beveiligingsnoden;
(2) de opmaak van een beveiligingsbeleidsdocument waarin de strategieën en de weerhouden maatregelen voor de beveiliging van de verwerkte persoonsgegevens worden omschreven;
(3) de identificatie van alle mogelijke informatiedragers die de verwerkte persoonsgegevens kunnen bevatten;
(4) de inlichting van de externe en interne personeelsleden die bij de verwerking van de persoonsgegevens betrokken zijn over de vertrouwelijkheids- en beveiligingsverplichtingen t.a.v. deze gegevens die zowel uit de verschillende geldende wettelijke vereisten als uit het gevolgde veiligheidsbeleid voortvloeien;
(5) de aanname van passende beveiligingsmaatregelen om elke niet gemachtigde of onnodige fysieke toegang te verhinderen tot de informatiedragers die verwerkte persoonsgegevens bevatten;
(6) de aanname van de noodzakelijke maatregelen om elke fysieke schade te verhinderen die de verwerkte persoonsgegevens in gevaar zouden kunnen brengen;
(7) de bescherming van de verschillende netwerken gekoppeld aan de apparatuur die de persoonsgegevens verwerkt;
(8) de opmaak van een geactualiseerde lijst van de verschillende personen die bevoegd zijn om in het kader van de verwerking toegang te hebben tot de persoonsgegevens alsook van hun respectieve toegangsniveau (creatie, raadpleging, wijziging, vernietiging);
(9) de implementatie van een toegangsmachtigingsmechanisme waardoor de verwerkte persoonsgegevens en de verwerking die hierop betrekking hebben uitsluitend toegankelijk zijn voor personen en toepassingen die daartoe uitdrukkelijk gemachtigd zijn;
(10) de implementatie van een informatiesysteem dat permanente logging, opsporing en analyse mogelijk maakt van de toegang die personen en logische entiteiten tot de verwerkte persoonsgegevens gehad hebben;
(11) de implementatie van een toezicht op de geldigheid en op de efficiëntie in de tijd van de geïmplementeerde technische of organisatorische maatregelen;
(12) de implementatie van noodprocedures voor het beheer van veiligheidsincidenten met verwerkte persoonsgegevens;
(13) het samenstellen en bijwerken van voldoende documentatie met betrekking tot de organisatie van de informatieveiligheid in het raam van de bedoelde verwerking van persoonsgegevens.
Nederlands (NL)
Français (FR)
Titre
22 APRIL 2019. - Koninklijk besluit tot vaststelling van de voorwaarden waaraan de voor rekening van de informatieplichtigen jegens het centraal aanspreekpunt van rekeningen en financiële contacten tussenkomende instellingen moeten voldoen om toegang te hebben tot het Rijksregister van de natuurlijke personen
Titre
22 AVRIL 2019. - Arrêté royal fixant les conditions auxquelles les institutions intervenant pour compte des redevables d'information au point de contact central des comptes et contrats financiers doivent satisfaire pour accéder au Registre national des personnes physiques
Informations sur le document
Info du document
Tekst (4)
Texte (4)
Article 1er. Sans préjudice des conditions légalement posées par ailleurs, aucune institution intervenant pour compte d'un redevable d'information ne peut poser les actes visés à l'article 12, § 1er, alinéa 1er, 3° de la loi du 8 juillet 2018 portant organisation d'un point de contact central des comptes et contrats financiers et portant extension de l'accès du fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêt, et communiquer à ce dernier les numéros de registre national qu'elle a recueillis dans ce cadre, si, au moment d'initier cette recherche, elle ne dispose pas de garanties suffisantes :
(a) quant au respect des conditions auxquelles doivent satisfaire les conseillers en sécurité de l'information désignés par les redevables d'information. Ces conditions sont au moins les suivantes :
(1) le conseiller en sécurité de l'information doit avoir été désigné sur la base de ses qualités professionnelles et de ses connaissances spécialisées, en particulier, en ce qui concerne les bonnes pratiques en matière de protection des données et le droit applicable dans le contexte, de l'environnement informatique du redevable d'information, ainsi qu'en matière de sécurité de l'information. Le conseiller en sécurité de l'information doit en permanence tenir ces connaissances à jour ;
(2) Le conseiller en sécurité de l'information fait directement rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information ;
(3) Il ne peut pas y avoir de conflit d'intérêts entre la fonction de conseiller en sécurité de l'information et d'autres activités incompatibles avec cette fonction. En particulier, celle-ci ne peut pas être cumulée avec celle de responsable final du service informatique, de personne chargée de la direction quotidienne, ou de membre de la direction générale ou du comité de direction du redevable d'information ;
(4) Le redevable d'information doit veiller à ce que le conseiller en sécurité de l'information puisse exercer ses missions en toute indépendance et à ne pas lui donner d'instruction sur la manière de s'en acquitter. Le conseiller en sécurité de l'information ne peut en aucun cas être relevé de ses fonctions ou pénalisé du fait de l'exercice de ses missions ;
(5) Si les tâches de conseiller en sécurité de l'information sont réparties entre plusieurs personnes, la responsabilité finale doit en être confiée à une d'entre elles en vue de faire rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information quant aux activités communes et pour assumer le rôle de personne de contact ;
(6) Le redevable d'information doit donner au conseiller en sécurité de l'information les ressources et le temps nécessaires pour exercer ses missions et lui permettre d'entretenir ses connaissances.
(b) quant aux mesures de protection de la sécurité de l'information prises par les redevables d'information. Ces mesures sont au moins les suivantes :
(1) une évaluation préalable des risques encourus par les données à caractère personnel traitées et la définition des besoins en sécurité en découlant ;
(2) la rédaction d'un document de politique de sécurité décrivant les stratégies et les mesures retenues pour sécuriser les données à caractère personnel traitées ;
(3) l'identification de tous les supports d'information susceptibles de contenir les données à caractère personnel traitées ;
(4) l'information du personnel externe et interne impliqué dans le traitement des données à caractère personnel traitées quant à ses devoirs de confidentialité et de sécurité vis-à-vis de ces données tels qu'ils découlent tant des différentes dispositions légales applicables que de la politique de sécurité suivie ;
(5) l'adoption de mesures de sécurisation adéquates en vue d'empêcher tout accès physique non autorisé ou inutile aux supports d'information qui contiennent les données à caractère personnel traitées ;
(6) l'adoption des mesures nécessaires afin de prévenir tout dommage physique susceptible de mettre en péril les données à caractère personnel traitées ;
(7) la protection des différents réseaux auxquels sont connectés les équipements traitant les données à caractère personnel ;
(8) la tenue d'une liste actualisée des différentes personnes habilitées à accéder aux données à caractère personnel dans le cadre du traitement ainsi que de leur niveau d'accès respectif (création, consultation, modification, destruction) ;
(9) la mise en place d'un mécanisme d'autorisation d'accès aux données conçu de manière telle que les données à caractère personnel traitées et les traitements qui s'y rapportent ne soient accessibles qu'aux personnes et applications explicitement habilitées à cette fin ;
(10) la mise en place d'un système d'information permettant en permanence l'enregistrement, le traçage et l'analyse des accès des personnes et entités logiques aux données à caractère personnel traitées ;
(11) la mise en place d'un contrôle de la validité et de l'efficacité dans le temps des mesures techniques ou opérationnelles mises en place ;
(12) la mise en place de procédures de secours en vue de gérer les incidents de sécurité impliquant les données à caractère personnel traitées ;
(13) la constitution et la tenue à jour d'une documentation suffisante se rapportant à l'organisation de la sécurité de l'information dans le cadre du traitement de données à caractère personnel concerné.
(a) quant au respect des conditions auxquelles doivent satisfaire les conseillers en sécurité de l'information désignés par les redevables d'information. Ces conditions sont au moins les suivantes :
(1) le conseiller en sécurité de l'information doit avoir été désigné sur la base de ses qualités professionnelles et de ses connaissances spécialisées, en particulier, en ce qui concerne les bonnes pratiques en matière de protection des données et le droit applicable dans le contexte, de l'environnement informatique du redevable d'information, ainsi qu'en matière de sécurité de l'information. Le conseiller en sécurité de l'information doit en permanence tenir ces connaissances à jour ;
(2) Le conseiller en sécurité de l'information fait directement rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information ;
(3) Il ne peut pas y avoir de conflit d'intérêts entre la fonction de conseiller en sécurité de l'information et d'autres activités incompatibles avec cette fonction. En particulier, celle-ci ne peut pas être cumulée avec celle de responsable final du service informatique, de personne chargée de la direction quotidienne, ou de membre de la direction générale ou du comité de direction du redevable d'information ;
(4) Le redevable d'information doit veiller à ce que le conseiller en sécurité de l'information puisse exercer ses missions en toute indépendance et à ne pas lui donner d'instruction sur la manière de s'en acquitter. Le conseiller en sécurité de l'information ne peut en aucun cas être relevé de ses fonctions ou pénalisé du fait de l'exercice de ses missions ;
(5) Si les tâches de conseiller en sécurité de l'information sont réparties entre plusieurs personnes, la responsabilité finale doit en être confiée à une d'entre elles en vue de faire rapport à la direction générale, au comité de direction ou aux personnes chargées de la direction quotidienne du redevable d'information quant aux activités communes et pour assumer le rôle de personne de contact ;
(6) Le redevable d'information doit donner au conseiller en sécurité de l'information les ressources et le temps nécessaires pour exercer ses missions et lui permettre d'entretenir ses connaissances.
(b) quant aux mesures de protection de la sécurité de l'information prises par les redevables d'information. Ces mesures sont au moins les suivantes :
(1) une évaluation préalable des risques encourus par les données à caractère personnel traitées et la définition des besoins en sécurité en découlant ;
(2) la rédaction d'un document de politique de sécurité décrivant les stratégies et les mesures retenues pour sécuriser les données à caractère personnel traitées ;
(3) l'identification de tous les supports d'information susceptibles de contenir les données à caractère personnel traitées ;
(4) l'information du personnel externe et interne impliqué dans le traitement des données à caractère personnel traitées quant à ses devoirs de confidentialité et de sécurité vis-à-vis de ces données tels qu'ils découlent tant des différentes dispositions légales applicables que de la politique de sécurité suivie ;
(5) l'adoption de mesures de sécurisation adéquates en vue d'empêcher tout accès physique non autorisé ou inutile aux supports d'information qui contiennent les données à caractère personnel traitées ;
(6) l'adoption des mesures nécessaires afin de prévenir tout dommage physique susceptible de mettre en péril les données à caractère personnel traitées ;
(7) la protection des différents réseaux auxquels sont connectés les équipements traitant les données à caractère personnel ;
(8) la tenue d'une liste actualisée des différentes personnes habilitées à accéder aux données à caractère personnel dans le cadre du traitement ainsi que de leur niveau d'accès respectif (création, consultation, modification, destruction) ;
(9) la mise en place d'un mécanisme d'autorisation d'accès aux données conçu de manière telle que les données à caractère personnel traitées et les traitements qui s'y rapportent ne soient accessibles qu'aux personnes et applications explicitement habilitées à cette fin ;
(10) la mise en place d'un système d'information permettant en permanence l'enregistrement, le traçage et l'analyse des accès des personnes et entités logiques aux données à caractère personnel traitées ;
(11) la mise en place d'un contrôle de la validité et de l'efficacité dans le temps des mesures techniques ou opérationnelles mises en place ;
(12) la mise en place de procédures de secours en vue de gérer les incidents de sécurité impliquant les données à caractère personnel traitées ;
(13) la constitution et la tenue à jour d'une documentation suffisante se rapportant à l'organisation de la sécurité de l'information dans le cadre du traitement de données à caractère personnel concerné.
Art. 2. De in artikel 1 bedoelde instelling beschikt over auditbevoegdheden met betrekking tot de naleving van de in artikel 1 bedoelde voorzieningen en voorwaarden. Deze bevoegdheden omvatten de mogelijkheid om zowel voorafgaande verificaties als controles a posteriori te voeren, bijvoorbeeld via punctuele audits bij informatieplichtigen.
Te dien einde registreert en bewaart de in artikel 1 bedoelde instelling, voor iedere opzoeking in de bestanden van het rijksregister van de natuurlijke personen voor rekening van een informatieplichtige, de volgende gegevens gedurende een periode van tien jaar volgend op de datum van deze opzoeking:
(1) het rijksregisternummer van de natuurlijke personen die het voorwerp uitmaakten van de betrokken opzoeking;
(2) de identificatie van de informatieplichtige en van diens aangestelde die de opzoeking heeft opgedragen; alsook
(3) het motief van deze opzoeking.
Te dien einde registreert en bewaart de in artikel 1 bedoelde instelling, voor iedere opzoeking in de bestanden van het rijksregister van de natuurlijke personen voor rekening van een informatieplichtige, de volgende gegevens gedurende een periode van tien jaar volgend op de datum van deze opzoeking:
(1) het rijksregisternummer van de natuurlijke personen die het voorwerp uitmaakten van de betrokken opzoeking;
(2) de identificatie van de informatieplichtige en van diens aangestelde die de opzoeking heeft opgedragen; alsook
(3) het motief van deze opzoeking.
Art. 2. L'institution visée à l'article 1er dispose de compétences d'audit en ce qui concerne le respect des mesures et conditions visées à l'article 1er. Ces compétences englobent la possibilité d'effectuer tant des vérifications préalables que des contrôles a posteriori, par exemple par le biais d'audits ponctuels réalisés auprès des redevables d'information.
A cette fin, l'institution visée à l'article 1er enregistre et conserve dans son système informatique, pour chaque recherche d'information effectuée dans les fichiers du Registre national des personnes physiques pour compte du redevable d'information, les données suivantes durant une période de dix ans suivant la date de cette recherche :
(1) le numéro de registre national des personnes physiques sur lesquelles la recherche portait ;
(2) l'identification du redevable d'information et du préposé de ce dernier qui a demandé cette recherche ; et
(3) le motif de cette recherche.
A cette fin, l'institution visée à l'article 1er enregistre et conserve dans son système informatique, pour chaque recherche d'information effectuée dans les fichiers du Registre national des personnes physiques pour compte du redevable d'information, les données suivantes durant une période de dix ans suivant la date de cette recherche :
(1) le numéro de registre national des personnes physiques sur lesquelles la recherche portait ;
(2) l'identification du redevable d'information et du préposé de ce dernier qui a demandé cette recherche ; et
(3) le motif de cette recherche.
Art. 3. Het Koninklijk besluit van 3 februari 2014 waarbij de Nationale Bank van België en de bank-, wissel, krediet- en spaarinstellingen bedoeld in artikel 322 van het Wetboek van de inkomstenbelastingen 1992, gemachtigd worden tijdelijk toegang te hebben tot het Rijksregister van de natuurlijke personen wordt opgeheven.
Art. 3. L'arrêté royal du 3 février 2014 autorisant la Banque Nationale de Belgique et les établissements de banque, de change, de crédit et d'épargne visés à l'article 322 du code des impôts sur les revenus 1992 à accéder temporairement au Registre national des personnes physiques, est abrogé.
Art. 4. De ministers die bevoegd zijn voor Financiën, Binnenlandse zaken, en Justitie zijn belast met de uitvoering van dit besluit, ieder voor wat hem aanbelangt.
Art. 4. Les ministres qui ont les Finances, l'Intérieur et la Justice dans leurs attributions sont chargés de l'exécution du présent arrêté, chacun pour ce qui le concerne.