Conform de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (de Privacywet of de WVP) en het e-govdecreet van 18 juli 2008 waren bepaalde verwerkingen van persoonsgegevens enkel mogelijk indien daar specifiek toestemming voor werd gegeven. Instanties die persoonsgegevens wensten uit te wisselen, moesten hiervoor in heel wat situaties over een machtiging van de Vlaamse Toezichtcommissie en/of van één of meerdere Sectorale Comités binnen de Privacycommissie (CBPL) (nu Gegevensbeschermingsautoriteit) beschikken.
De machtigingsverplichting bij de Vlaamse Toezichtcommissie werd opgeheven op de datum van publicatie van het AVG-decreet in het Belgisch Staatsblad. Dit gebeurde op 26 juni 2018. Vanaf nu treedt de protocolregeling in werking. Protocollen moeten afgesloten worden door de verwerkingsverantwoordelijken, na advies van de functionaris voor gegevensbescherming. Ook kan een verwerkingsverantwoordelijke het protocol voor advies voorleggen aan de VTC. De inhoud van een protocol werd vastgelegd in het AVG-decreet.
De in het verleden verleende machtigingen blijven rechtsgeldig en kunnen niet meer gewijzigd worden.
Machtigingen verleend door de VTC
De machtigingen die al verleend werden door de VTC blijven ook na 26 juni 2018 geldig. De machtigingen bevatten volgende elementen:
- Gegevens van de betrokken partijen
- Informatie over de bezorger van de Vlaamse persoonsgegevens
- Algemene beschrijving en doel van de gevraagde elektronische mededeling van persoonsgegevens
- Per gegeven: de exacte behoefte, proportionaliteit, bewaarduur en verantwoording van de bewaartermijn
- Beschrijving van het gebruik van de gegevens door de overheid die de gegevens vraagt
- Evaluatie van de beveiliging van het informatiesysteem voor de bescherming van persoonsgegevens
- Het al dan niet toekennen van de machtiging en de eventuele voorwaarden.
Algemene machtigingen
Er werden door de sectorale comités opgericht onder de CBPL algemene machtigingen verleend waar verschillende partijen zich op konden intekenen. De kaderwet voorziet dat dit mogelijk blijft (Wet van 30 juli 2018(opent in nieuw venster), art. 279).
Ook de VTC verleende algemene machtigingen, namelijk:
- Beraadslaging VTC nr. 31/2016 van 27 juli 2016 wijziging van beraadslaging VTC nr. 22/2015 van 17 juni 2015 betreffende de aanvraag tot machtiging voor het mededelen van persoonsgegevens van landbouwers van het departement Landbouw en Visserij aan de Vlaamse gemeenten in het kader van een aantal gemeentelijke bevoegdheden.
- Beraadslaging VTC nr. 30/2015 van 4 november 2015 betreffende de aanvraag tot machtiging voor het meedelen van persoonsgegevens van netgebruikers door de werkmaatschappijen van distributienetbeheerders Infrax cvba en Eandis cvba aan de energieleveranciers in het kader van de marktwerking.
- Beraadslaging VTC nr. 23/2016 van 22 juni 2016 betreffende de aanvraag tot machtiging voor het meedelen persoonsgegevens uit de Leer- en Ervaringsdatabank (LED), beheerd door het Agentschap Hoger Onderwijs, Volwassenonderwijs, Kwalificaties en Studietoelagen (AHOVOKS) aan de Vlaamse ziekenhuizen i.k.v. ISQua-accreditatie waarvoor het verifiëren van de echtheid van diploma’s en getuigschriften van het personeel actief in de ziekenhuizen vereist is.
Het is eveneens nog steeds mogelijk hierbij aan te sluiten (AVG-decreet(opent in nieuw venster), art. 189, tweede lid). Om zich hier op in te tekenen dient u volgende stappen te ondernemen:
Beraadslaging VTC nr. 31/2016: Deze machtiging treedt pas in werking voor de gemeenten na advies van de VTC omtrent de aanstelling van de veiligheidsconsulent, zoals vermeld in randnummer 64.
Deze voorwaarde kan nu zo gelezen worden, dat de functionaris voor de gegevensbescherming moet aangemeld zijn bij de VTC.
Beraadslaging VTC nr. 30/2015: De machtiging gaat in hoofde van elke leverancier pas in vanaf het moment dat de VTC het door de leverancier ondertekende formulier evaluatie beveiliging heeft ontvangen.
De leverancier moet ook een exemplaar van het aanvraagformulier ondertekenen.
Eandis en Infrax moesten instaan voor de opvolging hiervan, dus u wendt zich nu eerst tot hun opvolger Fluvius.
Beraadslaging VTC nr. 23/2016: Deze machtiging treedt pas in werking voor de Vlaamse ziekenhuizen nadat zij het formulier ‘evaluatie van de beveiliging’ bezorgden aan de VTC, zoals vermeld in randnummer 71:
“De VTC bepaalt dat de gegevens verkregen uit de LED ook door de ziekenhuizen moeten beheerd worden conform de vereisten van artikel 16 WVP.” De VTC bepaalt dan ook dat deze ziekenhuizen toegang kunnen krijgen tot de LED wanneer zij beschikken over een informatieveiligheidsconsulent en veiligheidsbeleid. Hiertoe bezorgen zij aan de VTC het ingevulde formulier ‘evaluatie van de beveiliging’. De voorwaarde betreffende een informatieveiligheidsconsulent kan nu zo gelezen worden, dat de functionaris voor de gegevensbescherming moet aangemeld zijn bij de VTC.