Aanbeveling GBA - Verplicht protocol om mededeling van persoonsgegevens door federale overheid te formaliseren

Geschreven door Lexalert
Foto: Blue Coat Photos  

Inhoudstafel

I. Is de materiële werkinssfeer van artikel 20 van de WVG vereist of onder welke voorwaarden is het nodig een protocol af te sluiten om een mededeling van persoonsgegevens te formaliseren?

1. Eerste voorwaarde: een "federale overheid" deelt persoonsgegevens mee in de hoedanigheid van verwerkingsverantwoordelijke.

2. Tweede voorwaarde: de mededeling van persoonsgegevens is "nodig om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke is rust" (artikel 6.1.c) van de AVG) of is "noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen" (artikel 6.1, e) van de AVG).

3. Derde voorwaarde: de modaliteiten van de mededeling zijn niet voorzien in een wet-of regelgevende norm.

4. Vierde voorwaarde: de mededeling heeft een systematisch karakter of wordt, als ze punctueel is, gedaan aan personen of instelling die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht.

5. Vijfde voorwaarde: de "ontvanger" van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

II. De inhoud van het protocol van akkoord

III. Procedurele-elementen

IV. Temporele reikwijdte van de verplichting om een protocol van akkoord te sluiten

V. Wat gebeurt er als de verwerkingsverantwoordelijken er niet in slagen een protocol te sluiten om de mededeling van persoonsgegevens te formaliseren?

1. Principe: beraadslaging van de kamer federale overheid van het informatieveiligheidscomité.

2. Uitzonderingen: geen beraadslaging (of protocol) nodig.

3. Bijzonder geval betreffende mededelingen door de federale openbare sector aan instellingen van sociale zekerheid die deel uitmaken van het primaire netwerk: beraadslaging van de verenigde kamers van het informatieveiligheidscomité.

Dit document beoogt de draagwijdte van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna "WVG" genoemd) te
verduidelijken. Zo wordt met name beoogd klaarheid te scheppen in de volgende punten:
 
  • De voorwaarden waaronder een overheid een protocol moet sluiten om de bekendmaking van persoonsgegevens aan een derde partij te formaliseren
  • De inhoud van het protocol dat een mededeling van gegevens door de federale publieke sector formaliseert
  • De procedurele eisen die in artikel 20 van de WVG worden gesteld voor het sluiten van een protocol
  • De temporele werkingssfeer van artikel 20 van de WVG
  • De te volgen procedure wanneer de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens geen akkoord bereiken
Tussen 2003 en 2018 moest elke elektronische mededeling van gegevens door een federale overheidsdienst of door een overheidsorgaan dat onder de federale overheid valt, overeenkomstig artikel 36bis van de wet van 8 december 1992 betreffende de bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens (hierna "WPL"), worden goedgekeurd door het sectorale comité dat bevoegd is voor de federale overheid en dat werd opgericht in het kader van de vroegere Commissie voor de bescherming van de persoonlijke levenssfeer (hierna "CBPL"). Tijdens de machtigingsprocedure ging het sectoraal comité van de Federale overheid na of de"mededeling enerzijds nodig [was] voor de implementatie van de opdrachten die toevertrouwd worden door of  krachtens de wet aan de vragende federale overheid en anderzijds of deze mededeling in zijn diverse aspecten compatibel is met al de geldige normen inzake de bescherming van de persoonlijke levenssfeer wat de verwerking van de persoonsgegevens betreft". Deze  procedure  van voorafgaande toestemming werd opgeheven bij de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (hierna "de WOG").
 
Artikel 20 van de WVG voert een nieuwe verplichting in voor federale overheden die persoonsgegevens doorgeven aan derden. Elke mededeling van persoonsgegevens moet namelijk voortaan worden geformaliseerd aan de hand van een protocol dat wordt gesloten tussen de overheid die de gegevens doorgeeft en de verwerkingsverantwoordelijke ontvanger van de persoonsgegevens, tenzij een bijzondere wet anders bepaalt.
 
Deze procedurele wijziging is in overeenstemming met de erkenning door de AVG van het beginsel van verantwoordingsplicht  (accountability), dat  bepaalt  dat  de  verwerkingsverantwoordelijken passende  en doeltreffende maatregelen moeten nemen om de naleving van deze verwerkingen met de verordening te waarborgen en aan te tonen. Zoals in de voorbereidende werkzaamheden van artikel 20 van de WVG wordt benadrukt, nodigt de verplichting om een protocol af te sluiten de verwerkingsverantwoordelijken uit om "zich te bezinnen over de conformiteit van hun gegevensuitwisselingen". Het protocol gesloten tussen de federale overheid die persoonsgegevens doorgeeft en de verwerkingsverantwoordelijke ontvanger van de gegevens, vormt een verantwoordingsinstrument dat de overheid ertoe moet brengen ervoor te zorgen dat de mededeling van gegevens in overeenstemming is met de regelgeving inzake de bescherming van persoonsgegevens, waaronder de AVG en de WVG.
 
 
Sinds de inwerkingtreding van artikel 20 van de WVG moeten gegevensstromen die afkomstig zijn van de federale publieke sector dus in principe niet meer worden goedgekeurd door een extern orgaan, maar moeten zij worden geregeld door een protocol dat gesloten wordt tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens. In gevallen waarin de verwerkingsverantwoordelijken niet in staat zijn een protocol te sluiten waarin de modaliteiten van de mededeling worden geformaliseerd, heeft de wetgever echter in een alternatieve procedure voorzien. Artikel 35/1 van de wet van 15 augustus 2012 houdende oprichting en de organisatie van een federale dienstenintegrator, ingevoegd bij artikel 86 van de wet van 5 september 2019, bepaalt namelijk: "de mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan andere derden dan de instellingen van sociale zekerheid [...] vergt een voorafgaande beraadslaging van de kamer federale overheid van het informatieveiligheidscomité [...] voor zover de verwerkingsverantwoordelijken van de meedelende instantie en de ontvangende instanties, in uitvoering van artikel 20 van de wet van 30 juli
2018 betreffende de bescherming van natuurlijke   personen met betrekking tot de  verwerking van persoonsgegevens, niet  tot  een  akkoord  komen  over  de  mededeling of  minstens  één  van  die verwerkingsverantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld. [...] Voor zover het informatieveiligheidscomité een beraadslaging verleent voor de mededeling van persoonsgegevens door de federale overheid is die, in afwijking van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, vrijgesteld van de verplichting om dienaangaande met de bestemmeling van de persoonsgegevens een protocol op te stellen [...]".
 
Deze nota beoogt de draagwijdte te verduidelijken van de door artikel 20 van de WVG opgelegde verplichting om protocollen af te sluiten die de gegevensstromen regelen die afkomstig zijn van de federale publieke sector. Om de draagwijdte van deze verplichting te begrijpen, moet artikel 20 van het WVG in zijn normatieve context worden geïnterpreteerd, en moet deze bepaling in het bijzonder worden gelezen in het licht van artikel 5 van de WVG, dat het begrip 'federale overheid" definieert, en artikel 35/1 van de wet van 15 augustus
2012, dat de situaties regelt waarin de verwerkingsverantwoordelijken er niet in slagen een protocol af te sluiten. Deze lezing van artikel 20 van de WVG in het licht van deze laatste bepaling is des te meer gerechtvaardigd omdat artikel 20 van de WVG zelf bepaalt dat de communicatie van persoonsgegevens door de federale overheidssector geformaliseerd moet worden aan de hand van een protocol tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens, "tenzij anders
bepaald in bijzondere wetten ".

 

Voorafgaande opmerkingen

De Autoriteit benadrukt dat zij met de termen "overdracht van persoonsgegevens" of "mededeling van persoonsgegevens" niet alleen doelt op situaties waarin een verwerkingsverantwoordelijke persoonsgegevens naar een derde stuurt, maar ook op situaties waarin een verwerkingsverantwoordelijke, zonder de gegevens rechtstreeks naar een derde te sturen, de derde toegang verleent tot de gegevens.

I. Is de materiële werkingssfeer van artikel 20 van de WVG vereist of onder welke voorwaarden is het nodig een protocol af te sluiten om een mededeling van persoonsgegevens te formaliseren?

Uit een gecombineerde lezing van artikel 20 § 1 van de WVG en artikel 35/1 van de wet van 15 augustus 2012 kan worden afgeleid dat de verplichting om een protocol van akkoord af te sluiten aan de volgende vijf cumulatieve voorwaarden voldaan moet worden:
 
  • Een    "federale    overheid"    deelt    persoonsgegevens    mee    in    de    hoedanigheid    van verwerkingsverantwoordelijke.
  • De mededeling van persoonsgegevens gebeurt om te voldoen "aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust" (artikel 6.1.c) van de AVG) of is "noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van  het  openbaar gezag  dat  aan  de  verwerkingsverantwoordelijke  is opgedragen" (artikel 6.1, e) van de AVG).
  • De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm.
  • De mededeling heeft een systematisch karakter of wordt, als ze punctueel is, gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht.
  • De "ontvanger" van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.
 
BELANGRIJKE OPMERKING
 
Artikel 20 van de WVG dat voorschrijft dat een protocol gesloten wordt om de mededeling van gegevens door de federale openbare sector te regelen, vormt een uitvoering van artikel 6.2 van de AVG uit, dat het volgende bepaalt: "De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX". De bepalingen van nationaal recht die op grond van artikel 6, lid 2, van de AVG worden aangenomen, kunnen echter geen ontheffing verlenen van de verplichting om de AVG na te leven. De overheden moeten zich dus houden aan de AVG, of ze nu wel of niet verplicht zijn een protocol af te sluiten om een overdracht van
persoonsgegevens te regelen.
 
In dit verband moet met name de aandacht worden gevestigd op het beginsel van doelbinding , volgens hetwelk persoonsgegevens "voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld moeten worden en vervolgens niet verder op een met die doeleinden onverenigbare wijze verwerkt mogen worden"8. Hieruit volgt dat indien een mededeling van gegevens voor één of meer andere doeleinden dient dan die waarvoor zij oorspronkelijk werden verzameld, een analyse van de verenigbaarheid van de verdere doeleinden met de oorspronkelijke doeleinden moet worden uitgevoerd9, tenzij de verdere verwerking " berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige
maatregel vormt ter waarborging van de in artikel 23, lid 1, [van de AVG] bedoelde doelstellingen".
 
1.  Eerste voorwaarde: een "federale overheid" deelt persoonsgegevens mee in de hoedanigheid van verwerkingsverantwoordelijke
 
 
In artikel 5 van de WVG wordt het begrip "overheid" gedefinieerd.
 
Volgens deze definitie moet het begrip "federale overheid" opgevat worden als:
 
1° De federale staat
 
Voorbeelden: de verschillende FOD's, de Raad voor Vreemdelingenbetwistingen, het Commissariaat-generaal voor Vluchtelingen en Staatlozen...
 
2° De rechtspersonen van publiek recht die van de Federale Staat afhangen
 
Voorbeelden: de Nationale Bank, het Federaal Planbureau,...
 
3° De personen, ongeacht hun vorm en aard, die:
 
  • opgericht zijn met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn; en
  • rechtspersoonlijkheid hebben; en
  • waarvan hetzij de activiteiten in hoofdzaak door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen zijn aangewezen;
De Autoriteit vestigt de aandacht op het cumulatieve karakter van deze voorwaarden.
 
Voorbeelden: bpost (in de uitoefening van haar opdrachten van openbare dienst), NMBS (in de uitoefening van haar opdrachten van openbare dienst), skeyes (in de uitoegening van zijn opdrachten van openbare dienst), Proximus (in de uitoefening van zijn opdrachten van openbare dienst), De Nationale Loterij.
 
BELANGRIJKE OPMERKING
 
Wanneer overheidsbedrijven "zuiver" commerciële diensten verrichten en dus hun opdrachten van openbare dienst niet uitoefenen, dan zijn zij onderworpen aan artikel 20 van de WVG.
 
4° de verenigingen bestaande uit één of meer overheden als bedoeld in de bepalingen onder 1°,2° of 3°.
 
2.  Tweede voorwaarde: de mededeling van persoonsgegevens is "nodig om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke is rust" (artikel 6.1.c) van de AVG) of is "noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen" (artikel 6.1, e) van de AVG)
 
In overeenstemming met artikel 6 van de AVG is een mededeling van persoonsgegevens alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
 
  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • de  verwerking  is  noodzakelijk  om  te  voldoen  aan  een  wettelijke  verplichting  die  op  de verwerkingsverantwoordelijke rust;
  • de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  • de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
  • De AVG bepaalt dat deze laatste rechtsgrond niet geldt voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
Volgens artikel 20 van de WVG bestaat de verplichting om een protocol af te sluiten alleen wanneer de mededeling van persoonsgegevens door een federale overheid noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke is onderworpen, of wanneer de mededeling noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, met dien verstande dat de wettelijke verplichting of taak van algemeen belang die de mededeling van persoonsgegevens rechtvaardigt, zowel bestaat voor de verwerkingsverantwoordelijke die de persoonsgegevens meedeelt als de verwerkingsverantwoordelijke die de persoonsgegevens ontvangt,
 
Deze eis moet worden opgevat in het licht van het beginsel van de toekenning van administratieve bevoegdheden, het beginsel van de specialiteit van rechtspersonen en het legaliteitsbeginsel, dat de voorwaarden bepaalt waaronder de administratie zich kan mengen in het recht op bescherming van de persoonlijke levenssfeer, waarvan het recht op bescherming van persoonsgegevens deel uitmaakt. Volgens het principe van de toekenning van administratieve bevoegdheden, dat is vastgelegd in artikel 105 van de Grondwet en artikel 78 van de Bijzondere wet tot hervorming der instellingen van 8 augustus 1980 hebben de administratieve autoriteiten geen andere bevoegdheden dan die welke formeel aan hen zijn toegekend door de Grondwet en de wetten en decreten die in het kader daarvan zijn uitgevaardigd. Voorts bepaalt het specialiteitsbeginsel van rechtspersonen dat elke instelling met rechtspersoonlijkheid alleen mag optreden om het doel of de doelen te bereiken waarvoor zij is opgericht, met dien verstande dat alleen een wetgevende norm een rechtspersoon met een opdracht van openbare dienst kan belasten. Trouwens, zoals de Raad van State in zijn advies over het voorontwerp van wet "betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens" heeft opgemerkt, is "het doorgeven van gegevens van een overheidsinstantie aan een andere een vorm van inmenging in het recht op de bescherming van de persoonlijke levenssfeer van de betrokkenen. Krachtens artikel 8 van het Europees Verdrag voor de rechten van de mens en artikel 22 van de Grondwet, zoals dat wordt geïnterpreteerd in de vaste rechtspraak van het Grondwettelijk Hof, moet een dergelijke inmenging inzonderheid een wettelijke grondslag hebben, evenredig zijn ten opzichte van de nagestreefde doelstelling en op voldoende duidelijke wijze georganiseerd zijn opdat ze voorzienbaar is voor de burger". Een overheidsinstantie mag alleen persoonsgegevens verwerken - en dus meedelen - als deze mededeling noodzakelijk is voor de naleving van een verplichting die door of krachtens een wettelijke bepaling aan een van de verwerkingsverantwoordelijken is opgelegd of als deze mededeling noodzakelijk is voor de uitvoering van een taak van algemeen belang die aan een van de verwerkingsverantwoordelijken is toegewezen door of krachtens een wet. Zoals de CBPL in haar advies over het voorontwerp van wet "betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens" heeft opgemerkt, moet de mededeling van persoonsgegevens door de openbare sector een rechtsgrondslag hebben, met dien verstande dat "een uitwisselingsprotocol nooit de rechtsgrondslag voor een gegevensverwerking kan zijn ".
 
Deze grondwettelijke eis houdt in dat in de overgrote meerderheid van de gevallen de mededeling van persoonsgegevens door overheden "noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust" (A) of "noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen" (B). Het kan echter niet worden uitgesloten dat in bepaalde, zeer zeldzame omstandigheden een mededeling van persoonsgegevens door de openbare sector kan berusten op een andere rechtsgrond vastgesteld in artikel 6 van de AVG. Volgens artikel 20 van de WVG hoeven dergelijke
mededelingen niet te worden geformaliseerd aan de hand van een protocol (C).
 
A.  De mededeling van persoonsgegevens is noodzakelijk om te voldoen aan een wettelijke verplichting (artikel 6.1.c) van de AVG)
 
Opdat een overheid zich op artikel 6.1.c) van de AVG zou kunnen beroepen om persoonsgegevens door te geven, moet de overheid verplicht zijn dit te doen bij  of krachtens een wetgevende norm. Deze verplichting moet rechtsgeldig en bindend zijn en de overheid mag dus niet de keuze hebben om zich er al dan niet naar te voegen.
 
Bovendien moet de wettelijke verplichting voldoende duidelijk zijn wat betreft de verwerking van persoonsgegevens die zij vereist. De norm die de wettelijke verplichting oplegt, moet expliciet voorzien in de mededelingsplicht en de essentiële modaliteiten ervan. De verwerkingsverantwoordelijke mag dus geen ongerechtvaardigde beoordelingsmarge hebben met betrekking tot de wijze waarop aan deze wettelijke verplichting voldoen moet worden. In overeenstemming met artikel 6.3 van de AVG moet deze norm het doel of de doelen van de verwerking bepalen.
 
B.  De mededeling van persoonsgegevens is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (artikel 6.1.e) van de AVG)
 
Opdat een verwerkingsverantwoordelijke zich op artikel 6.1.e) van de AVG zou kunnen beroepen om persoonsgegevens mee te delen, moet deze mededeling noodzakelijk zijn voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. In tegenstelling tot de situatie bedoeld in artikel 6.1.c) van de AVG hoeft de verwerkingsverantwoordelijke echter niet wettelijk verplicht te zijn om dergelijke gegevens door te geven.
 
De mededeling van persoonsgegevens voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, moet, in overeenstemming met artikel 6.3 van de AVG, een rechtsgrond hebben in het Unierecht of in het recht van een lidstaat. Deze rechtsgrond moet duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is. Hij moet ten minste de taken van algemeen belang of de taken in het kader van de uitoefening van het openbaar gezag bepalen die de noodzaak om de persoonsgegevens mee te delen, rechtvaardigen. Het doel van de verwerking moet ook in deze rechtsgrond worden vastgelegd. Dit (of deze) doel(en) moet(en), zoals in de voorbereidende werkzaamheden van de wet van 30 juli 2018 wordt opgemerkt, nauwkeurig zijn en "niet beperkt blijven tot de vermelding 'uitvoering van de wettelijke opdrachten van de overheid"'. Anderzijds is het niet systematisch vereist dat de rechtsgrond specifiek een verwerking of overdracht van gegevens voorschrijft, opdat de verwerkingsverantwoordelijke zich zou kunnen beroepen op artikel 6.1.e) van de AVG als basis voor de legitimiteit van de verwerking of overdracht. Het is daarentegen noodzakelijk dat de taak van algemeen belang niet anders kan worden uitgevoerd dan door het verwerken (overdragen) van gegevens. Het begrip "verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang" is echter ruim van opzet, aangezien het niet alleen betrekking heeft op verwerkingen die noodzakelijk zijn voor de vervulling van de taak van algemeen belang in strikte zin, maar ook op verwerkingen die noodzakelijk zijn voor de vervulling van taken die rechtstreeks verband houden met die taak van algemeen belang, met inbegrip van die welke noodzakelijk zijn voor het beheer en de werking van de organen die met die taak van algemeen belang zijn
belast.
 
Voorbeelden: 
  • De verwerking van persoonsgegevens, met inbegrip van de mededeling van gegevens, door een overheid in het kader van het beheer van haar personele middelen (op voorwaarde dat de genomen maatregelen daadwerkelijk noodzakelijk zijn voor het beheer van de personele middelen).
  • De mededeling, door een overheid, van persoonsgegevens die nodig zijn voor het verrichten van onderzoek dat op verzoek van dezelfde overheid wordt verricht (en dat derhalve binnen de werkingssfeer van haar taken van algemeen belang valt).
  • De mededeling door de FOD Financiën aan een ander openbaar of privéorgaan van informatie over de fiscale situatie van natuurlijke personen voor de toekenning, door het orgaan dat de gegevens ontvangt, van een premie, subsidie of enig ander rechtstreeks of onrechtstreeks door de staat, een gemeenschap of een gewest toegekend voordeel.
  • De mededeling van persoonsgegevens door een overheid ter uitvoering van de wet van 4 mei 2016 inzake het hergebruik van overheidsinformatie.
  • De gegevensverwerking die nodig is om de veiligheid van het computernetwerk van een overheidsinstantie te waarborgen.
BELANGRIJKE OPMERKING
 
De verwerking van persoonsgegevens die noodzakelijk wordt geacht om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust en/of voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, moet, overeenkomstig artikel 6.3 van de AVG - gelezen in het licht van overweging 41 - geregeld worden door een duidelijke en nauwkeurige regelgeving waarvan de toepassing voorspelbaar moet zijn voor degenen op wie ze van toepassing is. Bovendien moeten krachtens artikel 22 van de Belgische Grondwet de "essentiële elementen" van de gegevensverwerking worden vastgelegd in een formele wetgevende norm (wet, decreet of ordonnantie).
 
C.  De andere rechtsgronden van artikel 6 van de AVG
 
Indien een mededeling van persoonsgegevens berust op een andere rechtsgrond dan de uitvoering van een wettelijke verplichting of een taak van algemeen belang, valt deze niet onder de materiële werkingssfeer van artikel 20 van de WVG en moet deze dus niet het voorwerp van een protocol zijn. Hoewel het zelden voorkomt dat overheden hun verwerking van persoonsgegevens kunnen baseren op één van de andere grondslagen van
artikel 6 van de AVG, kan deze situatie niet volledig worden uitgesloten.
 
BELANGRIJKE OPMERKING
 
De Autoriteit wijst erop dat krachtens artikel 5.1.a) van de AVG de overheden, net als elke andere verwerkingsverantwoordelijke, de rechtmatigheid van de door hen verrichte verwerking (in dit geval de mededeling van persoonsgegevens) moeten waarborgen. Deze eis impliceert, op grond van verschillende Belgische grondwettelijke en administratieve beginselen, dat elke mededeling van persoonsgegevens door een overheid een rechtsgrond moet hebben.
 
i. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden (artikel 6.1.a) van de AVG)
 
Onverminderd de wettelijke en grondwettelijke verplichtingen die aan de overheden zijn opgelegd, kunnen die overheden slechts in zeldzame en uitzonderlijke situaties een beroep doen op de toestemming om de verwerking van persoonsgegevens te legitimeren. De vereiste van "vrije" toestemming verhindert in principe immers dat de overheden een verwerking van persoonsgegevens kunnen baseren op de toestemming van de betrokkene. Aangezien de verwerkingsverantwoordelijke een overheid is, is er vaak sprake van een duidelijke machtsonevenwichtigheid tussen de verwerkingsverantwoordelijke en de betrokkene. Bovendien zal de betrokkene in de meeste gevallen geen realistisch alternatief hebben voor de aanvaarding van de verwerking door de overheid en de voorwaarden van de verwerking die zij voorstelt. De toestemming kan dus niet "vrij"
worden gegeven in de zin van de AVG. Andere in artikel 6 van de AVG genoemde rechtsgronden zijn in principe beter afgestemd op de activiteiten van de overheden. Het rechtskader van de AVG sluit echter niet volledig uit dat een beroep wordt gedaan op de toestemming als rechtsgrond voor de gegevensverwerking door de overheid.
 
Voorbeelden:
  • Een openbare school heeft toestemming nodig van haar leerlingen om hun foto's te gebruiken in een gedrukt leerlingentijdschrift. De toestemming zou hier het resultaat zijn van een echte keuze aangezien de leerlingen niet verstoken zouden blijven van enig onderwijs of dienst en het gebruik van deze foto's zonder enig nadeel zouden kunnen weigeren.
  • Een gemeente voorziet in onderhoudswerken aan de wegen. Aangezien de wegwerkzaamheden het verkeer enige tijd zouden kunnen verstoren, biedt de gemeente haar burgers de mogelijkheid zich te abonneren op een e-maillijst om op de hoogte te worden gesteld van de voortgang van de werkzaamheden en de verwachte vertragingen. De gemeente maakt duidelijk dat er geen deelnameverplichting is en vraagt de toestemming van de betrokken personen om hun e-mailadressen (uitsluitend) voor dit doel te mogen gebruiken. Burgers die hun toestemming niet geven, blijven in geen geval verstoken van een basisdienstverlening door de gemeente of van de uitoefening van enig rehct, en zijn dus vrij om hun toestemming te geven of te weigeren voor de verwerking van hun gegevens. Alle informatie over de wegwerkzaamheden zal ook beschikbaar zijn op de website van de gemeente.
 
Voorts wijst de Autoriteit erop dat de toestemming in bepaalde omstandigheden door de overheid kan worden gebruikt, niet als rechtsgrond voor de verwerking in de zin van artikel 6 van de AVG, maar als een bijkomende passende garantie. In voorkomend geval is de Autoriteit van oordeel dat de toestemming zelf aan bepaalde garanties gekoppeld moet zijn: de betrokkene moet vooraf worden geïnformeerd en moet zijn of haar toestemming te allen tijde kunnen intrekken.
 
ii. De mededeling is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is  of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene (artikel 6.1.b) van de AVG)
 
Deze rechtsgrond zal in de publieke sector slechts beperkt van toepassing zijn, maar het kan niet worden uitgesloten dat een overheid hem als basis zal gebruiken voor de verwerking van persoonsgegevens. Dit is het geval wanneer de verwerking strikt noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
 
Voorbeeld: De Gegevensbeschermingsautoriteit geeft de persoonsgegevens  van de bij haar werkzame personen door aan een verzekeringsmaatschappij met het oog op het sluiten van een hospitalisatieverzekering ten behoeve van deze personen.
 
iii. De mededeling is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen (artikel 6.1.d) van de AVG)
 
Het toepassingsgebied van deze rechtsgrond zou normaal gesproken beperkt moeten zijn. De uitdrukking "bescherming van vitale belangen" beperkt namelijk de toepassing van deze grond tot zaken van leven of dood of, op zijn minst, tot een dreigende ernstige en nakende aantasting van de fysieke integriteit van de betrokkene of andere natuurlijke persoon.
 
Voorbeeld: Een openbaar ziekenhuis krijgt een patiënt in een kritieke toestand (tussen leven en dood) die naar een ander ziekenhuis moet worden overgebracht om de nodige zorg (een operatie) te ontvangen. Het ziekenhuis beschikt over het medisch dossier van de patiënt en brengt hem over naar het andere ziekenhuis voor een operatie.
 
iv.       De mededeling is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind (artikel 61.f) van de AVG)
 
De AVG bepaalt dat het nastreven van de legitieme belangen van de verwerkingsverantwoordelijke of van een derde niet als basis mag dienen voor de verwerking door de overheden bij de uitvoering van hun opdrachten van openbare dienst. Overweging 47 van de AVG geeft aan dat in deze uitsluiting werd voorzien aangezien "het aan de wetgever staat om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren".

3.  Derde voorwaarde: de modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm

Uit een gecombineerde lezing van artikel 20 van de WVG en artikel 35/1 van de wet van 15 augustus 2012 kan worden afgeleid dat de mededeling van persoonsgegevens door een federale overheidsinstantie aan derden waarvan de modaliteiten, d.w.z. - ten minste - de doeleinden, de categorieën van gegevens en de ontvangers, werden vastgelegd in een wet- of regelgevende norm, niet hoeft te worden geformaliseerd aan de hand van een protocol van akkoord.
 
Artikel 35/1 van de wet van 15 augustus 2012 bepaalt namelijk enerzijds: "Voor zover het informatieveiligheidscomité een beraadslaging verleent voor de mededeling van persoonsgegevens door de federale overheid is die, in afwijking van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens,  vrijgesteld van de verplichting om dienaangaande met de bestemmeling van de persoonsgegevens een protocol op te stellen". Dit artikel bepaalt echter ook: "de mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan andere derden dan de instellingen van sociale zekerheid [...] vergt een voorafgaande beraadslaging van de kamer federale overheid van het informatieveiligheidscomité [...] voor zover de verwerkingsverantwoordelijken van de meedelende instantie en de ontvangende instanties, in uitvoering van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, niet tot een akkoord komen over de mededeling of minstens één  van  die  verwerkingsverantwoordelijken  om  een  beraadslaging verzoekt en  de  andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld. In vermelde gevallen wordt de aanvraag ambtshalve gezamenlijk ingediend door de betrokken verwerkingsverantwoordelijken. De in het eerste lid bedoelde mededeling vergt geen voorafgaande beraadslaging voor zover andere reglementaire normen de modaliteiten van  de  mededeling, waaronder de  doeleinden, de  categorieën van  gegevens en  de
bestemmelingen preciseren [...].
 
Met andere woorden, wanneer een norm uitdrukkelijk bepaalt aan wie (ontvanger) wat wordt (precieze categorieën van  meegedeelde gegevens),  wanneer en  waarom (doeleinden en  modaliteiten van  de mededeling) wordt doorgegeven, hoeft de mededeling niet te worden geformaliseerd aan de hand van een protocol tussen de initiële verwerkingsverantwoordelijke en verwerkingsverantwoordelijke ontvanger van de
gegevens, aangezien de verwerking al voldoende is geregeld in een algemene reglementering.
 
Voorbeeld: Artikel III.31 van het Wetboek van economisch recht bepaalt: "Alle natuurlijke personen, rechtspersonen of entiteiten hebben toegang, via het internet, tot gegevens bedoeld in het artikel III.29, §1, ingeschreven in de Kruispuntbank van Ondernemingen. (deze gegevens kunnen persoonsgegevens zijn indien zij betrekking hebben op een natuurlijke persoon). Er wordt minstens voorzien in een vrij toegangelijke website waarop deze gegevens in een leesbaar formaat terug te vinden zijn. De Koning bepaalt de gegevens die aldus toegankelijk zijn evenals de voorwaarden voor het raadplegen ervan". De mededeling van deze gegevens hoeft niet het voorwerp uit te maken van een protocol van akkoord tussen de FOD Economie, de verantwoordelijke van de Kruispuntbank van Ondernemingen en de verwerkingsverantwoordelijke-ontvanger.
 
Tegenvoorbeeld: De wet van 19 mei 2010 houdende oprichting van de Kruispuntbank van de voertuigen. Hoewel deze norm de doeleinden en voorwaarden bepaalt waaronder de gegevens in de Kruispuntbank voor Voertuigen mogen worden gebruikt, is hij niet nauwkeurig genoeg om de FOD Mobiliteit en Vervoer vrij te stellen van de hem door artikel 20 van de WVG opgelegde verplichting om een protocol te sluiten om de mededeling van deze gegevens aan een andere verwerkingsverantwoordelijke te formaliseren.
 
4. Vierde voorwaarde: de mededeling heeft een systematisch karakter of wordt, als ze punctueel is, gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht.
 
 
Uit een gecombineerde lezing van artikel 20 van de WVG en artikel 35/1 van de wet van 15 augustus 2012 kan worden afgeleid dat de punctuele mededeling van persoonsgegevens door een federale overheidsinstantie aan personen of instellingen die gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht niet hoeft te worden geformaliseerd aan de hand van een protocol van akkoord.
 
Artikel 35/1 van de wet van 15 augustus 2012 bepaalt namelijk enerzijds: "Voor zover het informatieveiligheidscomité een beraadslaging verleent voor de mededeling van persoonsgegevens door de federale overheid is die, in afwijking van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens,  vrijgesteld van de verplichting om dienaangaande met de bestemmeling van de persoonsgegevens een protocol op te stellen". Dit artikel bepaalt echter ook: "de mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan andere derden dan de instellingen van sociale zekerheid [...] vergt een voorafgaande beraadslaging van de kamer federale overheid van het informatieveiligheidscomité [...] voor zover de verwerkingsverantwoordelijken van de meedelende instantie en de ontvangende instanties, in uitvoering van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, niet tot een akkoord komen over de mededeling of minstens één  van  die  verwerkingsverantwoordelijken  om  een  beraadslaging verzoekt en  de  andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld. In vermelde gevallen wordt de aanvraag ambtshalve gezamenlijk ingediend door de betrokken verwerkingsverantwoordelijken. De in het eerste lid bedoelde mededeling vergt geen voorafgaande beraadslaging  [...] voor zover het een punctuele mededeling van gegevens betreft, in overeenstemming met vermelde verordening (EU) 2016/679, aan personen of
instellingen die gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht.
 
 
Met andere woorden, indien de mededeling van persoonsgegevens slechts punctueel gedaan wordt en nodig is opdat de verwerkingsverantwoordelijke ontvanger van de gegevens een wettige opdracht zou kunnen uitvoeren, dan hoeft die mededeling niet te worden geformaliseerd in een protocol in de zin van artikel 20 van de WVG. Zij zal echter moeten voldoen aan alle geldende regelgevingen, met name de AVG en de WVG. Een mededeling is punctueel als ze slechts één keer gedaan wordt.
 
Een mededeling die herhaald wordt, zelfs zonder vaste regelmaat, is daarentegen geen punctuele mededeling. Zij zal dus moeten geformaliseerd worden aan de hand van een protocol van akkoord. A fortiori moet een systematische mededeling van gegevens ook worden geformaliseerd door een protocol van akkoord tussen de verwerkingsverantwoordelijke die de gegevens verstrekt en de verwerkingsverantwoordelijke die de gegevens ontvangt. Ook een mededeling van gegevens, ook al is deze punctueel, aan een persoon of instelling die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht moet worden geregeld in een tussen de verwerkingsverantwoordelijken gesloten protocol.
 
5. Vijfde voorwaarde : de "ontvanger" van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke
 
A. Principe
 
Er zij aan herinnerd dat artikel 20 van de WVG bepaalt dat "de federale overheid wanneer zij op basis van artikel 6.1.c) en e), van de Verordening persoonsgegevens doorgeeft aan enig andere overheid of privéorgaan, voor elke type van verwerking deze doorgifte formaliseert aan de hand van een protocol dat tot stand komt tussen de initiële verwerkingsverantwoordelijke  en de verwerkingsverantwoordelijke  ontvanger van de gegevens"33. Hieruit kan worden afgeleid dat de ontvanger van de mededeling, die dus een andere overheidsinstantie of een privéorgaan kan zijn, de gegevens moet ontvangen in de hoedanigheid van verwerkingsverantwoordelijke, en niet van verwerker.
 
Deze lezing wordt trouwens bevestigd door artikel 35/1 van de wet van 15 augustus 2012, dat bepaalt dat alleen mededelingen aan "derden ", d.w.z. "instanties andere dan de betrokkene, de verantwoordelijke voor de verwerking, de verwerker en de personen die onder het rechtstreeks gezag van de verantwoordelijke voor de verwerking of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken ", een voorafgaande beraadslaging vereisen van de verenigde kamers van het   informatieveiligheidscomité voor zover de verwerkingsverantwoordelijken van de meedelende instantie en de ontvangende instanties niet tot een akkoord komen over de mededeling of minstens één van die verwerkingsverantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld.
 
De mededeling van gegevens aan een verwerker hoeft dus niet te worden geformaliseerd aan de hand van een protocol in de zin van artikel 20 van de WVG. Er dient echter op gewezen te worden dat zulke mededeling, in overeenstemming met artikel 28 van de AVG, moet" worden geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.". Indien de mededeling van gegevens aan een in een derde land (d.w.z. buiten de Europese Economische Ruimte) gevestigde verwerker plaatsvindt, moet de verwerkingsverantwoordelijke bovendien voldoen aan de voorwaarden van Hoofdstuk V van de AVG
en zo nodig "passende waarborgen" bieden om de doorgifte te regelen.
 
OPMERKING OVER DE MEDEDELING VAN GEGEVENS TUSSEN
DE GEZAMENLIJKE VERANTWOORDELIJKEN VOOR DE VERWERKING
 
De Autoriteit benadrukt dat indien twee verwerkingsverantwoordelijken " de doeleinden en middelen van de verwerking bepalen" zij gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 van de AVG. In dat geval moeten zij op grond van artikel 26 van de AVG "op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vaststellen, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is". Gezamenlijke verwerkingsverantwoordelijken hoeven geen protocol in de zin van artikel 20 van de WVG te sluiten om de mededeling van gegevens te formaliseren die plaatsvindt in het kader van de verwerking waarvoor zij gezamenlijk verantwoordelijk zijn.
 
B.  Stromen die zijn uitgesloten van het toepassingsgebied van artikel 20 van de
WVG
 
i. Stromen tussen politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus.
 
Artikel 19 van de WVG bepaalt dat de artikelen 20 tot 23 van het WVG van toepassing zijn op de politiediensten in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus, die als een overheid worden beschouwd. Hieruit volgt dat mededelingen tussen de ene politiedienst en de andere geen mededeling tussen twee afzonderlijke overheden vormen. Het gaat veeleer om een "interne" mededeling, die niet geformaliseerd hoeft te worden door een protocol in de zin van artikel 20 van de WVG.
 
ii. Stromen naar de inlichtingen- en veiligheidsdiensten en de in ondertitel 3 van titel 3 van de WVG bedoelde autoriteiten
 
Artikel 5 van de WVG bepaalt dat "de definities van de Verordening van toepassing zijn". Zoals de Raad van State in zijn advies echter heeft aangegeven, zijn de inlichtingen- en veiligheidsdiensten en de in ondertitel 3 van titel 3 van de WVG genoemde autoriteiten geen "ontvangers" in de zin van artikel 4.9 van de AVG. De mededeling van gegevens aan deze diensten valt dus niet onder het toepassingsgebied van artikel 20 van de WVG, dat zich toespitst op de "initiële verwerkingsverantwoordelijke" en de "verwerkingsverantwoordelijke
ontvanger van de gegevens".
 
iii. Stromen naar de socialezekerheidsinstellingen bedoeld in artikel 2, eerste lid, 2°, b) tot en met f), van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, dat wil zeggen naar instellingen die deel uitmaken van het secundaire netwerk van de sociale zekerheid
 
Artikel 35/1 van de wet van 15 augustus 2012 bepaalt: "De mededeling van persoonsgegevens door federale overheden aan instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, b) tot f), van de wet van
15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid vergt een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité". Bovendien voegt het eraan toe: "Voor zover het informatieveiligheidscomité een beraadslaging verleent voor de mededeling van persoonsgegevens door de federale overheid is die, in afwijking van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, vrijgesteld van de verplichting om dienaangaande met de bestemmeling van de persoonsgegevens een protocol
op te stellen".
Een gecombineerde lezing van artikel 20 van de WVG met deze bepaling leidt tot de conclusie dat de mededeling van persoonsgegevens aan de socialezekerheidsinstellingen bedoeld in artikel 2, eerste lid, 2°, b) tot f), van de wet van 15 januari 1990, d.w.z. de instellingen die deel uitmaken van het secundaire netwerk van de sociale zekerheid, niet hoeft te worden geregeld door een protocol in de zin van artikel 20 van de WVG. Deze stromen moeten echter worden goedgekeurd door het informatieveiligheidscomité.
 
Het gaat om de mededeling van gegevens aan de volgende instellingen:
 
  • meewerkende instellingen van sociale zekerheid, d.w.z. privaatrechtelijke instellingen andere dat de sociale secretariaten voor werkgevers en de tariferingsdiensten van de apothekersverenigingen, die erkend zijn om mee te werken aan de toepassing van de sociale zekerheid;
  • de fondsen voor bestaanszekerheid die krachtens de wet van 7 januari 1958 zijn opgericht bij collectieve arbeidsovereenkomsten afgesloten die in de paritaire comités worden afgesloten en door de Koning bindend worden verklaard, voor zover zij bijkomende voordelen toekennen als bedoeld in 1°, letter f, van de wet van 15 januari 1990;
  • de personen die door de in a), b) en c) bedoelde instellingen van sociale zekerheid worden belast met het bijhouden van een bijzonder repertorium van de personen bedoeld in artikel 6, tweede lid, 2°, van de wet van 15 januari 1990;
  • de Staat, de Gemeenschappen, de Gewesten en de openbare instellingen bedoeld in artikel 18 van de gecoördineerde wetten betreffende de kinderbijslag voor loonarbeiders, voor wat betreft hun opdrachten inzake kinderbijslag voor het eigen personeel;
  • de openbare centra voor maatschappelijk welzijn voor zover zij verantwoordelijk zijn voor de toepassing van de sociale zekerheid in de zin van de wet van 15 januari 1990.
Anderzijds moet de mededeling van persoonsgegevens door federale overheidsdiensten en overheidsdiensten en openbare instellingen van de federale overheid aan instellingen van sociale zekerheid die deel uitmaken van het primaire netwerk van de sociale zekerheid, in principe  geformaliseerd worden in een protocol in de zin van artikel 20 van de WVG.
 
iv. Stromen naar het buitenland
 
De voorbereidende werkzaamheden van artikel 20 van de WVG geven aan dat de verplichting om een protocol te sluiten voor het formaliseren van het mededelen van gegevens door de federale overheid niet kan worden opgelegd voor stromen naar het buitenland. De voorbereidende werkzaamheden rechtvaardigen deze uitsluiting door  te  verwijzen  naar  artikel  1  van  de  AVG,  waarin  wordt  bepaald  dat "het  vrije  verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens". De mededeling van gegevens aan EER-landen kan dus niet afhankelijk worden gesteld van het sluiten van een protocol tussen de initiële verwerkingsverantwoordelijke en de ontvanger van de gegevens. Dit neemt echter niet weg dat de verwerkingsverantwoordelijken die betrokken zijn bij een mededeling van persoonsgegevens ervoor moeten zorgen dat deze mededeling in overeenstemming is met alle toepasselijke voorschriften en in het bijzonder met de AVG.
 
Indien overheden persoonsgegevens willen doorgeven aan een derde land (d.w.z. buiten de EER) of aan een internationale organisatie, moeten zij bovendien voldoen aan de voorwaarden van hoofdstuk V van de AVG en moeten zij, in voorkomend geval, passende waarborgen bieden.
 
Samenvatting van de te vervullen formaliteiten in het kader van de mededeling van persoonsgegevens op het gebied van de sociale zekerheid
 
Bron van de mededeling Ontvanger van de mededeling Voorafgaande beraadslaging of protocol? Bevoegde kamer binnen het informatieveiligheidscomité Bron
Socialezekerheidsinstelling of KBSZ Socialezekerheidsinstelling Verplicht voorafgaande beraadslaging Kamer sociale zekerheid en gezondheid Art. 15 §1 van de wet van 15 januari 1990
Socialezekerheidsinstelling of KBSZ Instantie andere dan een FOD, POD of ION Verplicht voorafgaande beraadslaging Kamer sociale zekerheid en gezondheid Art. 15 §1 van de wet van 15 januari 1990
Socialezekerheidsinstellingen die deel uitmaken van het primaire netwerk of KBSZ FOD, POD of ION, andere dan een socialezekerheidsinstelling Een beraadslaging is alleen verplicht indien de mededelende instantie, de ontvangende instantie en de KSZ er niet in slagen een protocol te sluiten of indien één van de partijen daarom verzoekt en de andere partijen daarvan in kennis heeft gesteld. Verenigde kamers Art. 15 §2 van de wet van 15 januari 1990
De socialezekerheidsinstellingen, andere dan degene die deel uitmaken van het primaire netwerk FOD, POD of ION, andere dan een socialezekerheidsinstelling Verplicht voorafgaande beraadslaging Verenigde kamers Art. 15 §2 van de wet van 15 januari 1990
FOD en openbare instellingen van de Federale overheid Socialezekerheidsinstellingen die deel uitmaken van het primaire netwerk Een beraadslaging is alleen verplicht indien de mededelende instantie, de ontvangende instantie en de KSZ er niet in slagen een protocol te sluiten of indien één van de partijen daarom verzoekt en de andere partijen daarvan in kennis heeft gesteld Verenigde kamers Art. 35/1, §1, lid 3 van de wet van 15 augustus 2012
FOD en openbare instellingen van de Federale overheid De socialezekerheidsinstellingen, andere dan degene die deel uitmaken van het primaire netwerk. Verplicht voorafgaande beraadslaging Verenigde kamers Art. 35/1, §1, lid 4, van de wet van 15 augustus 2012
         
 
Instelling van sociale zekerheid: begrip gedefinieerd in artikel 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid.
KBSZ: Kruispuntbank van de sociale zekerheid
FOD: Federale Overheidsdienst
POD: Programmatorische Overheidsdienst
ION: instellingen van openbaar nut
De instellingen van de sociale zekerheid die deel uitmaken van het primaire netwerk: de openbare instellingen van sociale zekerheid, andere dan de Kruispuntbank van de sociale zekerheid, en de federale overheidsdiensten die belast zijn met de toepassing van de sociale zekerheid [RSZ, RSVZ, RIZIV, OCM, Federale Overheidsdienst Pensioenen, FAMIFED, FEDRIS,  FAT,  RVA,  RJV,  FOD  Sociale  Zekerheid,  FOD  Werkgelegenheid,  Arbeid  en  Sociaal  Overleg,  Nationaal Intermutualistisch College, Programmatorische Overheidsdienst Maatschappelijke Integratie]
 
ALGEMENE BELANGRIJKE OPMERKING
 
Elke mededeling van persoonsgegevens moet in overeenstemming zijn met de geldende regelgeving, in het bijzonder de AVG en de WVP. De verwerkingsverantwoordelijken moeten er dus altijd voor zorgen dat de mededeling in overeenstemming is met deze regelgeving, zelfs als deze mededeling niet het voorwerp moet uitmaken van een protocol tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens krachtens artikel 20 van de WVG.
 
Hieruit volgt onder meer dat de mededeling van gegevens gebaseerd moet zijn op één van de in artikel 6 van de AVG genoemde rechtsgronden, aangezien volgens artikel 5.1.a), van de AVG persoonsgegevens moeten worden verwerkt
op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. De verwerkingsverantwoordelijke moet zich ervan vergewissen dat dit inderdaad het geval is alvorens de gegevens mee te delen.
 
Voorts bepaalt artikel 5.1.b) van de AVG dat de gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en vervolgens niet mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden. De initiële verwerkingsverantwoordelijke moet dus ook controleren of het doeleinde van de verdere verwerking niet onverenigbaar is met dat van de initiële verwerking.
 
Bovendien moeten de verwerkte persoonsgegevens overeenkomstig artikel 5.1.c) van de AVG toereikend zijn, ter zake dienen en zich beperken tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. De initiële verwerkingsverantwoordelijke moet er dus op toezien dat de doorgegeven gegevens in overeenstemming zijn met het beginsel van de minimale gegevensverwerking.
 
Ten slotte moeten de verwerkingsverantwoordelijken die betrokken zijn bij de mededeling van gegevens, in het algemeen "passende technische en organisatorische maatregelen treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de [AVG] wordt uitgevoerd.", ook wat de beveiliging van de doorgegeven gegevens betreft.
 
 
II. De inhoud van het protocol van akkoord
 
Artikel 20 § 1 van de WVG maakt gewag van een facultatieve en niet-exhaustieve inhoud voor het protocol van akkoord. Het stelt namelijk: "[...] Dit protocol kan in het bijzonder voorzien in:"
 
1° de identificatie van de federale overheid die de persoonsgegevens doorgeeft alsook die van de ontvanger;
2° de identificatie van de verwerkingsverantwoordelijke binnen de overheid die de gegevens doorgeeft alsook van de bestemmeling;
3° de contactgegevens van de functionarissen voor gegevensbescherming binnen de overheid die de gegevens doorgeeft alsook van de bestemmeling;
4° de doeleinden waarvoor de persoonsgegevens worden doorgegeven;
5° de categorieën van doorgegeven persoonsgegevens en hun formaat;
6° de categorieën van ontvangers;
7° de wettelijke grondslag van de doorgifte;
8° de nadere regels inzake gehanteerde communicatie;
9° elke specifieke maatregel die de doorgifte omkadert conform het proportionaliteitsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen;
10° de toepasselijke wettelijke beperkingen met betrekking tot de rechten van de betrokkene;
11° de nadere regels inzake de rechten van de betrokkene bij de ontvanger;
12° de periodiciteit van de doorgifte;
13° de duur van het protocol;
14° de sancties die van toepassing zijn in geval van niet naleving van het protocol onverminderd titel 6.
 
Het facultatieve karakter van de inhoud van de overeenkomst werd bekritiseerd door zowel de CBPL als de Raad van State in hun respectieve adviezen over het voorontwerp van wet "betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens". De Raad van State benadrukte dat het feit dat het voorontwerp dat de WVG is geworden "de verschillende elementen waarop deze protocollen betrekking moeten hebben, niet voldoende nauwkeurig omschrijft" een inbreuk vormt op de vereiste van wettigheid die niettemin een noodzaak is in geval van inmenging in het recht op de eerbiediging van de persoonlijke levenssfeer. De Autoriteit heeft er ook op aangedrongen dat de wetgever voorziet in de verplichte (niet facultatieve) elementen van het protocol. De Autoriteit merkt op dat de wetgever deze aanbeveling niet heeft gevolgd.
 
Dit betekent echter niet dat de verwerkingsverantwoordelijken volledig vrij zouden zijn om zonder enige wettelijke beperking de inhoud te bepalen van het protocol dat zij sluiten om een mededeling van gegevens door de publieke sector te formaliseren. De vereisten van de AVG en de WVG met betrekking tot de voorwaarden waaronder persoonsgegevens aan derden mogen worden meegedeeld, dienen voor de verwerkingsverantwoordelijken als leidraad bij het sluiten van het protocol. In dit verband dient er op gewezen te worden dat artikel 24 van de AVG vereist dat verwerkingsverantwoordelijke" passende technische en organisatorische maatregelen treft [ten aanzien van de aard, de draagwijdte, de context en de doeleinden van de werking alsook ten aanzien van de risico's voor de rechten en vrijheden van de natuurlijke personen] om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de [AVG] wordt uitgevoerd". Door de goedkeuring van het protocol moeten de verwerkingsverantwoordelijken ervoor zorgen dat de mededeling van persoonsgegevens gedaan wordt in overeenstemming met de AVG. In dit verband beveelt de Autoriteit aan dat het protocol in principe in de volgende elementen voorziet:
 
  • De   identificatie   van   de   overheid   die   de   persoonsgegevens   doorgeeft   en   van   de verwerkingsverantwoordelijke ontvanger van de gegevens alsook de contactgegevens van hun functionarissen voor de gegevensbescherming;
  • De precieze doeleinden waarvoor de gegevens oorspronkelijk door de overheid werden verzameld, de doeleinden waarvoor de gegevens worden doorgegeven en de analyse van de verenigbaarheid van deze doeleinden indien de doorgifte van gegevens een verdere verwerking vormt, d.w.z. indien de doorgifte van gegevens een of meer andere doeleinden dient dan die waarvoor zij oorspronkelijk werden verzameld. Deze verenigbaarheidsanalyse zal echter niet nodig zijn als de verdere verwerking "berust [...] op het recht van een lidstaat dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23.1 [van de AVG] bedoelde doelstellingen" en als de betrokken regelgeving voor de personen waarop ze van toepassing is voldoende duidelijk, nauwkeurig en voorspelbaar is;
  • Het precieze soort van doorgegeven persoonsgegevens om de verwerkingsverantwoordelijken in staat te stellen de naleving van het evenredigheidsbeginsel te waarborgen;
  • De rechtsgrond voor de mededeling van persoonsgegevens door de overheid die de gegevens doorgeeft en de rechtsgrond voor de ontvangst ervan door de ontvangende verwerkingsverantwoordelijke. In de meeste gevallen zal aangegeven moeten wordt wat de wettelijke verplichting  en/of  de  specifieke  taak  van  openbaar  belang  is  die  nagestreefd  wordt  door  de verwerkingsverantwoordelijke die de persoonsgegevens overdraagt en de verwerkingsverantwoordelijke die de persoonsgegevens ontvangt;
  • De  nadere regels  inzake  gehanteerde communicatie  en  een  functionele definitie van  de beveiligingsmaatregelen die zijn genomen om de doorgifte van de gegevens te beveiligen;
  • In voorkomend geval, alle specifieke maatregelen die door verwerkingsverantwoordelijken worden genomen om de mededeling te regelen overeenkomstig het evenredigheidsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen (keuze van het formaat van de mededeling, registratie van de toegangen om te weten wie wanneer en waarom toegang heeft gehad, instelling van een repertorium van referenties in geval van automatische mededeling van bijgewerkte gegevens om ervoor te zorgen dat de nodige gegevens gedurende de nodige tijd worden bijgewerkt ...);
  • De periodiciteit van de mededeling;
  • De duur van het protocol;
  • De sancties die van toepassing zijn in geval van niet naleving van het protocol onverminderd titel 6 van de WVG.
III. Procedure-elementen
 
In artikel 20 van de WVG zijn twee procedurele verplichtingen vastgelegd voor het sluiten van protocollen:
 
  • De FG's moeten worden betrokken bij het opstellen van het protocol (artikel 20, lid 2, van de WVG)
Artikel 20, § 2, van de WVG bepaalt: "Het protocol wordt afgesloten na de respectievelijke adviezen van de functionaris voor gegevensbescherming van de federale overheid die houder is van de persoonsgegevens en van de bestemmeling. Deze adviezen worden toegevoegd aan het protocol. Wanneer ten minste een van deze adviezen niet gevolgd wordt door de verwerkingsverantwoordelijken vermeldt het protocol, in zijn inleidende bepalingen, de reden of redenen volgens dewelke het advies of de adviezen niet werden gevolgd".
 
  • De protocollen moeten worden openbaar gemaakt op de websites van de verschillende verwerkingsverantwoordelijken (artikel 20, § 3, van de WVG)
Artikel 20 § 3 van de WVG bepaalt: "Het protocol wordt openbaar gemaakt op de website van de betrokken verwerkingsverantwoordelijken." Deze verplichting lijkt gevolg te geven aan een opmerking die zowel de CBPL als de Raad van State in hun respectieve adviezen hebben gemaakt, die beide benadrukken dat de protocollen een inmenging in het privéleven van de burgers organiseren en dat ze daarom toegankelijk moeten zijn - en dus moeten worden gepubliceerd - om de voorspelbaarheid van de mededeling van persoonsgegevens te garanderen.
 
De CBPL had gevraagd om de protocollen in het Belgisch Staatsblad te publiceren, maar de wetgever koos voor de website van de verwerkingsverantwoordelijken als bekendmakingswijze. Het doel is dus om een brede zichtbaarheid te garanderen.
 
 
  • De mogelijkheid om "standaardprotocollen" of "algemene protocollen" aan te nemen
De Autoriteit heeft onlangs een aanbeveling aangenomen waarin zij bepaalt onder welke voorwaarden de verwerkingsverantwoordelijken die betrokken zijn bij de mededeling van persoonsgegevens "standaardprotocollen" of "algemene protocollen" mogen gebruiken. De Autoriteit sluit deze mogelijkheden niet  uit,  maar  wijst  erop  dat  dergelijke  protocollen  noodzakelijkerwijs  moeten  worden  gesloten  met inachtneming van de wettelijke eisen van artikel 20, §§ 2 en 3, van de WVG.
 
IV. Temporele  reikwijdte   van   de   verplichting  om  een  protocol  van akkoord te sluiten
 
Artikel 281 van de WVG bepaalt: "Deze wet treedt in werking de dag waarop ze in het Belgisch Staatsblad wordt bekendgemaakt. In afwijking van het eerste lid treedt artikel 20 in werking op de eerste dag van de maand die volgt op het verstrijken van een termijn van zes maanden die ingaat de dag na de bekendmaking van deze wet in het Belgisch Staatsblad." De WVG werd op 5 september 2018 in het Belgisch Staatsblad gepubliceerd en is dus op die datum in werking getreden, met uitzondering van haar artikel 20, dat op 1 april 2019 in werking is getreden.
 
In de voorbereidende werkzaamheden voorafgaand aan de goedkeuring van artikel 281 van de WVG rechtvaardigt de wetgever het bestaan van een aanvullende termijn voor de inwerkingtreding van artikel 20 van de WVG door erop te wijzen dat "de toepassing van [artikel 20 van de WVG] vanaf de inwerkingtreding van [de WVG] zou betekenen dat overheidsdiensten die niet zouden beschikken over een protocol voor nieuwe verwerkingen die onmiddellijk na de inwerkingtreding worden uitgevoerd, in strijd zouden zijn met deze wet. Om de overheidsbesturen in staat te stellen het protocol voor deze nieuwe verwerkingen aan te nemen, wordt in een redelijke termijn voorzien om zich in regel te stellen. Deze rechtvaardiging laat zien dat in de ogen van de wetgever in wezen de nieuwe verwerkingen onderworpen zijn aan de protocolverplichting. Het lijdt dan ook geen twijfel dat sinds 1 april 2019 alle nieuwe mededelingen van persoonsgegevens, die onder het toepassingsgebied van artikel 20 van de WVG vallen, in principe moeten worden geformaliseerd aan de hand van een protocol tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens.
 
Mededelingen van persoonsgegevens die op grond van de wet van 8 december 1992 werden gedaan, moeten in principe niet het voorwerp zijn van een protocol gesloten tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens. Krachtens artikel 36bis van de wet van 8 december 1992  "... [vereiste] elke elektronische mededeling van persoonsgegevens  door een federale overheidsdienst of door een openbare instelling met rechtspersoonlijkheid die onder de federale overheid ressorteert een principiële machtiging van dit sectoraal comité tenzij de mededeling reeds principieel is goedgekeurd door een ander sectoraal comité dat binnen de Commissie voor de bescherming van de persoonlijke levenssfeer is opgericht […] ".  Alle  bestaande  mededelingen  werden  dus  in  principe gemachtigd door een sectoraal comité dat is opgericht bij de vorige Commissie voor de bescherming van de persoonlijke  levenssfeer.  Krachtens  artikel  111  van  de  wet  van  3  december  2017   "behouden"' deze machtigingen echter 'hun rechtsgeldigheid". Artikel 111 van de wet van 3 december 2017 bepaalt verder dat een toetreding tot een bij een beraadslaging van een sectoraal comité verleende algemene machtiging mogelijk blijft mits "diegene die om toetreding verzoekt een geschreven en ondertekende verbintenisverklaring bezorgt [aan het Informatieveiligheidscomité], waarin hij bevestigt zich aan te sluiten bij de voorwaarden van de desbetreffende beraadslaging en dit onverminderd de controlebevoegdheden die de Gegevensbeschermingsautoriteit kan uitoefenen [...]." Hieruit volgt dat de verwerkingsverantwoordelijken die persoonsgegevens doorgeven overeenkomstig de modaliteiten die vóór 25 mei 2018 door een sectoraal comité van de Commissie voor de bescherming van de persoonlijke levenssfeer waren goedgekeurd, zich op deze machtiging kunnen blijven beroepen en deze mededeling van gegevens niet moeten regelen aan de hand van een protocol in de zin van artikel 20 van de WVG, op voorwaarde de modaliteiten van de   mededeling niet substantieel wijzigen ten opzichte van de modaliteiten die in deze machtiging waren vastgelegd. Artikel 20 van de WVG bepaalt namelijk dat de verplichting om een protocol te sluiten alleen ontstaat bij het ontbreken van een"andere bepaling in bijzondere wetten".
 
Maar hoe zit het met mededelingen die door een sectoraal comité hadden moeten worden gemachtigd, maar die niet werden gemachtigd omdat de verwerkingsverantwoordelijke geen machtiging heeft gevraagd aan het bevoegde sectoraal comité? Het is duidelijk dat de betrokken verwerkingsverantwoordelijken zich niet kunnen beroepen op een door de vroegere sectorale comités afgegeven machtiging, noch op artikel 111 van de wet van 3 december 2017 dat, door de rechtsgeldigheid van deze machtigingen te handhaven, afwijkingen van artikel 20 van de GBA toestaat. Hieruit volgt dat dergelijke mededelingen het voorwerp moeten uitmaken van een protocol tussen de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens (op voorwaarde
uiteraard dat ze binnen het materiële toepassingsgebied van artikel 20 van de WVG vallen).

 

Grafische samenvatting van de temporele toepassing van de verplichting om een protocol te sluiten voor de formalisering van de mededeling van gegevens door de federale overheid (die onder het toepassingsgebied van het vroegere artikel 36bis van de wet van 8 december 1992 vielen)

25 mei 2018: opheffing van de bepaling van de wet van 8 december 1992 tot instelling van de sectorale commissie van de federale overheid
10 september 2018  inwerkingtreding van de wet tot instelling van het IVC
1 april 2019: inwerkingtreding van artikel 20 van de WVG
 
V. Wat gebeurt er als de verwerkingsverantwoordelijken er niet in slagen een protocol te sluiten om de mededeling van persoonsgegevens te formaliseren?
 
1. Principe: beraadslaging van de  kamer federale overheid van  het informatieveiligheidscomité
 
Indien de initiële en de ontvangende verwerkingsverantwoordelijken niet tot een akkoord komen over de mededeling of indien ten minste één van deze verantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld, bepaalt artikel 35/1, §1, lid 1, van de wet van 15 augustus 2012 dat de bedoelde mededeling een voorafgaande beraadslaging vergt van de kamer federale overheid van het Informatieveiligheidscomité bedoeld in de wet van 5 september 2018. De doorgifte van gegevens kan dus worden gedaan zonder dat de initiële verwerkingsverantwoordelijke en de verwerkingsverantwoordelijke ontvanger van de gegevens een protocol hoeven te sluiten.
 
2.  Uitzonderingen: geen beraadslaging (of protocol) nodig
 
Artikel 35/1, §1, lid 2, van de wet van 15 augustus 2012 bepaalt echter dat de mededeling niet het voorwerp hoeft uit te maken van een voorafgaande beraadslaging:
 
  • Wanneer in de regelgevende normen de communicatiemodaliteiten wordt gespecificeerd, waaronder de doeleinden, de categorieën gegevens en de ontvangers, of
  • Wanneer het een punctuele mededeling van gegevens betreft, in overeenstemming met vermelde verordening (EU) 2016/679, aan personen of instellingen die gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht.
3. Bijzonder geval betreffende mededelingen door de federale openbare sector aan instellingen van sociale zekerheid die deel uitmaken van het primaire netwerk: beraadslaging van de verenigde kamers van het informatieveiligheidscomité
 
Artikel 35/1, §1, lid 3, van de wet van 15 augustus 2012 bepaalt dat de mededeling van persoonsgegevens door federale overheden aan instellingen van sociale zekerheid die deel uitmaken van het primaire netwerk van de sociale zekerheid een voorafgaande beraadslaging vergen van de verenigde kamers van het informatieveiligheidscomité, voor zover de verwerkingsverantwoordelijken van de mededelende instantie, de ontvangende instantie en de Kruispuntbank van de sociale zekerheid, in uitvoering van artikel 20 van de WVG, niet tot een akkoord komen over de mededeling of, ten minste, één van deze verantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld.