Verdeling van verantwoordelijkheden

Verdeling van verantwoordelijkheden tussen bronnen, leveranciers en afnemers van (authentieke) persoonsgegevens
Het doel van dit document is om te verduidelijken welke verantwoordelijkheden de bronnen, leveranciers en afnemers van (authentieke) persoonsgegevens hebben t.o.v. van elkaar en t.o.v. de burger, en t.o.v. het Agentschap Informatie Vlaanderen als Vlaamse VDI (VDI) (en omgekeerd).
Deze verantwoordelijkheden situeren zich op juridisch, technisch, organisatorisch en budgettair vlak

Verduidelijking van het begrip "Dienstenintegrator"

Het Agentschap Informatie Vlaanderen neemt de rol van Vlaamse VDI op zich, zoals voorzien in het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (het “Vlaams e-government decreet”) en het decreet van 13/07/2012 betreffende de oprichting en organisatie van een Vlaamse VDI.

Een VDI heeft als doel het vereenvoudigen en optimaliseren van de gegevensuitwisseling tussen de participerende overheidsdiensten onderling enerzijds en tussen de participerende overheidsdiensten en de andere VDIen anderzijds. De eenmalige inzameling en een gecoördineerde ontsluiting van authentieke gegevens doorheen het netwerk staan centraal bij de werking van de VDI. Bij dienstenintegratie worden de gegevens enkel tijdelijk samengebracht, namelijk op het ogenblik van het aanroepen van de geïntegreerde dienst.

Dergelijke dienstverlening vereist niet het permanent samenbrengen van gegevens, noch de geïntegreerde opslag op langere termijn ervan. De gegevens worden rechtstreeks betrokken uit verschillende, betrouwbare gegevensbronnen onder de verantwoordelijkheid van een welbepaalde entiteit, zgn. authentieke gegevensbronnen.

Verantwoordelijkheden van de leveranciers

Juridisch

De leverancier zorgt tijdig voor de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen aanleveren aan de bron, voor zover die nog niet opgenomen is in de algemene machtiging van de bron (waarin al opgenomen is bij welke leveranciers gegevens mogen ingezameld worden).

De leverancier kan hierbij eventueel beroep doen op juridische ondersteuning door de VDI.

Loggingsplicht: de leverancier logt wie wanneer en waarom via de VDI gegevens in de bron aangeleverd heeft en dit volgens de richtlijnen voor de logging, opgesteld door de VDI.

Plicht tot kennisgeving: de leverancier moet kunnen antwoorden op de vraag van de burger naar verduidelijking van wie wanneer en waarom zijn/haar gegevens in de bron aangeleverd heeft.

Budgettair

Geval per geval wordt afgesproken wie (bron, VDI of leverancier) welk gedeelte betaalt van de configuratie/bouw van de gateway dienst(en) die vereist zijn om de schrijf-dienst(en) van de bron te kunnen gebruiken.

Technisch

De leverancier zorgt voor het mappen van het interne datamodel van de eigen toepassingen naar het datamodel van de schrijf-dienst(en) van de VDI.

De leverancier kan hierbij eventueel beroep doen op ondersteuning door de VDI.

De leverancier roept vanuit de eigen toepassingen op de correcte manier de schrijf-dienst(en) aan langsheen de gateway dienst(en) van de VDI.

De leverancier test het aanroepen van de schrijf-dienst(en) langsheen de gateway dienst(en) van de VDI alvorens deze in productie te nemen dit volgens de acceptatiecriteria vastgelegd door de VDI.

De leverancier staat in voor het in productie nemen en operationeel houden van de toepassingen die de schrijf-dienst(en) aanroepen langsheen de gateway dienst(en) van de VDI.

Bij problemen met het contacteren van de gateway dienst(en) of bij problemen met het aanroepen van de schrijf-dienst(en) kan de leverancier deze problemen aankaarten bij de VDI.

De leverancier contacteert vanuit de eigen toepassingen op de correcte manier de gateway dienst(en) van de VDI om hierlangs de schrijf-dienst(en) aan te roepen.

De leverancier volgt hierbij het aansluitingsproces van de VDI.

De leverancier kan hierbij eventueel beroep doen op technische ondersteuning door de VDI.

Indien afgesproken werd dat de leverancier (het geheel of een deel van) de kosten draagt voor de configuratie/bouw van deze gateway dienst(en) door de VDI dient de leverancier hiertoe het nodige budget te voorzien.

De leverancier krijgt tijdens het aansluitingsproces de gepaste credentials (URI – CN certificaat, …) van de VDI om de gateway dienst(en) van de VDI te kunnen contacteren

De leverancier schrijft zich in in het inschrijvingsrepertorium van de VDI wanneer hij, door het aanroepen van de schrijf-dienst(en) van de bron, gegevens aanmaakt bij de bron (op die manier weet de intermediair wie welke gegevens bijhoudt en aangeleverd heeft aan de bron)

De leverancier schrijft zich uit uit het inschrijvingsrepertorium van de VDI wanneer hij, door het aanroepen van de schrijf-dienst(en) van de bron, gegevens verwijdert bij de bron (op die manier weet de intermediair wie welke gegevens niet langer bijhoudt)

Organisatorisch

De leverancier overlegt met de bron of de aangeleverde gegevens voldoen aan de kwaliteitsvereisten van de bron (volgens de criteria vastgelegd voor de bron in het uitvoeringsbesluit bij het Vlaams e-government decreet):

  • gebruik van het gepaste unieke identificatienummer (INSZ nummer, KBO nummer, …)
  • garanderen dat het gebruikte unieke identificatienummer daadwerkelijk overeenstemt met de aangeleverde entiteit (persoon, onderneming, …)
  • indien vereist, beschikken over een machtiging om het INSZ nummer te mogen gebruiken in de eigen toepassing

De leverancier kan hierbij eventueel beroep doen op ondersteuning door de VDI

  • de leverancier neemt de beschikbare documentatie door over het correcte gebruik van de schrijf-dienst(en) van de VDI
  • ...


Verantwoordelijkheid van de afnemers

Juridisch

De afnemer zorgt tijdig voor de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen afnemen van de bron

De afnemer kan hierbij eventueel beroep doen op juridische ondersteuning door de VDI

De afnemer zorgt er bij het aanroepen van de lees&publiceer-dienst(en) van de VDI voor dat hij zich beperkt tot het raadplegen van de gegevens van de personen die behoren tot de doelpopulatie zoals vastgelegd in de verkregen machtiging

Loggingsplicht: de afnemer logt wie wanneer en waarom via de VDI gegevens in de bron geraadpleegd heeft en dit volgens de richtlijnen voor de logging, opgesteld door de VDI

Plicht tot kennisgeving: de afnemer moet kunnen antwoorden op de vraag van de burger naar verduidelijking van wie wanneer en waarom zijn/haar gegevens in de bron geraadpleegd heeft

Budgettair

Geval per geval wordt afgesproken wie (bron, VDI of afnemer) welk gedeelte betaalt van de configuratie/bouw van de gateway dienst(en) die vereist zijn om de lees&publiceer-dienst(en) van de bron te kunnen gebruiken

Technisch

De afnemer zorgt voor het mappen van het datamodel van de lees&publiceer-dienst(en) van de VDI naar het interne datamodel van de eigen toepassingen

De afnemer kan hierbij eventueel beroep doen op ondersteuning door de VDI

De afnemer roept vanuit de eigen toepassingen op de correcte manier de lees&publiceer-dienst(en) aan langsheen de gateway dienst(en) van de VDI

De afnemer test het aanroepen van de lees&publiceer-dienst(en) van de bron langsheen de gateway dienst(en) van de VDI alvorens deze in productie te nemen en dit volgens de acceptatiecriteria vastgelegd door de VDI.

De afnemer staat in voor het in productie nemen en operationeel houden van de toepassingen die de lees&publiceer-dienst(en) aanroepen langsheen de gateway dienst(en) van de VDI

Bij problemen met het contacteren van de gateway dienst(en) of bij problemen met het aanroepen van de lees&publiceer-dienst(en) kan de afnemer deze problemen aankaarten bij de VDI

De afnemer contacteert vanuit de eigen toepassingen op de correcte manier de gateway dienst(en) van de VDI om hierlangs de lees&publiceer-dienst(en) aan te roepen

De afnemer volgt hierbij het aansluitingsproces van de VDI

De afnemer kan hierbij eventueel beroep doen op technische ondersteuning door de VDI

Indien afgesproken werd dat de afnemer (het geheel of een deel van) de kosten draagt voor de configuratie/bouw van deze gateway dienst(en) door de VDI dient de afnemer hiertoe het nodige budget te voorzien

De leverancier krijgt tijdens het aansluitingsproces de gepaste credentials (URI – CN certificaat, …) van de VDI om de gateway dienst(en) van de VDI te kunnen contacteren

Organisatorisch

De afnemer overlegt met de bron hoe de aangeleverde gegevens kunnen gebruikt worden binnen de businessvereisten van de afnemer

Uitleg over het juiste gebruik van de door de bron gebruikte businessbegrippen (inkomen, arbeidsduur, …)

Verduidelijking van de betekenis van de door de bron aangeleverde data (afkortingen, code-tabellen, …)

...

De afnemer kan hierbij eventueel beroep doen op ondersteuning door de VDI

De afnemer neemt de beschikbare documentatie door over het correcte gebruik van de lees&publiceer-dienst(en) van de VDI

Verantwoordelijkheid van de bron

Juridisch

De bron zorgt tijdig voor de nodige algemene machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen inzamelen bij de leveranciers

De bron kan hierbij eventueel beroep doen op juridische ondersteuning door de VDI

Loggingsplicht: de bron logt wie wanneer en waarom gegevens aan de bron aangeleverd heeft of in de bron geraadpleegd heeft

Inzageplicht: de bron zorgt er voor dat de burger op ieder ogenblik kan bekijken welke gegevens de bron over de burger ingezameld heeft (zodat de burger die desgewenst kan laten corrigeren) en deelt mee via welke dienstenintegrator die gegevens gebruikt worden

Plicht tot kennisgeving: de bron moet kunnen antwoorden op de vraag van de burger naar verduidelijking van wie wanneer en waarom zijn/haar gegevens aan de bron aangeleverd heeft of in de bron geraadpleegd heeft

Budgettair

De bron financiert in principe zelf volledig de bouw van de schrijf- en lees&publiceer-dienst(en)

Technisch

De bron is verantwoordelijk voor de bouw van de schrijf-dienst(en) die de leveranciers toelaten om gegevens aan te leveren aan de bron via de gateway dienst(en) van de VDI en voor de bouw van de lees&publiceer-dienst(en) die de afnemers toelaten om gegevens af te nemen van de bron via de gateway dienst(en) van de VDI

De bron bouwt de schrijf- en lees&publiceer-dienst(en) in nauwe samenwerking met de VDI

De bron voert de functionele analyse en het technische ontwerp van de schrijf- en lees&publiceer-dienst(en) uit in nauwe samenwerking met de VDI en volgt daarbij de functionele en technische MAGDA standaarden en richtlijnen naamgeving van de diensten, XSD ontwerp, foutafhandeling, versiebeheer, beschikbaarheid, …

De bron legt de functionele analyse en het technische ontwerp van de schrijf- en lees&publiceer-dienst(en) ter goedkeuring voor aan de VDI alvorens deze gebouwd wordt

De bron biedt technische ondersteuning aan de leveranciers en aan de afnemers bij het correcte gebruik (inhoudelijk) van de schrijf-dienst(en)

Organisatorisch

De bron monitort en garandeert de beschikbaarheid en de performantie van de schrijf-dienst(en)

De bron monitort en garandeert de beschikbaarheid en de performantie van de lees&publiceer-dienst(en)

Verantwoordelijkheid van de VDI

Juridisch

Loggingsplicht: de VDI logt welke leverancier wanneer, waarom en via welke schrijf-dienst(en) gegevens aan de bron aangeleverd heeft en welke afnemer wanneer, waarom en via welke lees&publiceer-dienst(en) gegevens in de bron geraadpleegd heeft.

Plicht tot kennisgeving: de VDI zorgt er voor dat de burger op ieder ogenblik kan bekijken welke afnemer welke gegevens over de burger opgevraagd heeft.

De VDI biedt juridische ondersteuning aan de bron bij het bekomen van de nodige algemene machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen inzamelen bij de leveranciers.

De VDI biedt juridische ondersteuning aan de leveranciers bij het bekomen van de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen aanleveren aan de bron, voor zover die nog niet opgenomen is in de algemene machtiging van de bron.

De VDI biedt juridische ondersteuning aan de afnemers bij het bekomen van de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen afnemen van de bron.

Budgettair

Geval per geval wordt afgesproken wie (bron, VDI, leverancier of afnemer) welk gedeelte van de configuratie/bouw van de dienst(en) betaalt

Budgettair

De VDI is verantwoordelijk voor de configuratie/bouw van de gateway dienst(en) die de leveranciers toelaten om de schrijf-dienst(en) van de bron aan te roepen om gegevens aan te leveren aan de bron

De VDI voorziet per leverancier een gateway dienst(en) om gegevens aan te leveren aan de bron. Deze gateway dienst(en) roepen op de gepaste wijze de schrijf-dienst(en) van de bron aan:

  • inschrijvingscontrole in het inschrijvingsrepertorium
  • controle van de proportionaliteit van de aangeleverde gegevens (filtering)

De gateway dienst(en) verzorgen de authenticatie en authorisatie van de leverancier bij het aanroepen van de schrijf-dienst(en) van de bron

De VDI is verantwoordelijk voor de configuratie/bouw van de gateway die de afnemers toelaten om de lees&publiceer-dienst(en) van de bron aan te roepen om gegevens af te nemen van de bron

De gateway dienst(en) verzorgen de authenticatie en authorisatie van de afnemer bij het aanroepen van de lees&publiceer-dienst(en) van de bron

Organisatorisch

De VDI voorziet de nodige functionele en technische documentatie over het correcte gebruik van de gateway dienst(en). ocumentatie is reeds beschikbaar in een speciaal ingerichte documentatie-omgeving

  • een gesloten documentatie-omgeving voor afnemers van persoonsgegevens
  • een open documentatie-omgeving voor afnemers van andere gegevens

De VDI verzorgt het aansluitingsproces op de gateway dienst(en) (controleren machtiging, instellen toegangsparameters, etc.)

  • aansluitingsproces is reeds gedefinieerd en geïmplementeerd

De VDI staat in voor het verstrekken van de gepaste credentials (gebruikersnaam/paswoord, certificaat, …) voor het contacteren van de gateway dienst(en) van de VDI

de VDI monitort en garandeert de beschikbaarheid en de performantie van de gateway dienst(en), niet van de schrijf- en lees&publiceer-dienst(en) van de bron

Index

Definities
 Gegevens

Persoonsgegevens, d.w.z. iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit (wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en de uitvoeringsbesluiten ervan).

 Leverancier

(Vlaamse) overheidsorganisatie met toepassing(en) die gegevens aan de bron aanleveren via de schrijf-dienst(en) die de bron daartoe ontwikkeld heeft.

 Afnemer

(Vlaamse) overheidsorganisatie met toepassing(en) die gegevens van de bron afnemen via de lees&publiceer-dienst(en) die de bron daartoe ontwikkeld heeft.

 Bron

(Vlaamse) overheidsorganisatie die de (potentiële) (Vlaamse) authentieke gegevensbron beheert die authentieke gegevens verzamelt vanuit de leveranciers (de authoritatieve gegevensbronnen, d.w.z. de gegevensbronnen die instaan voor de authenticiteit van de gegevens) en verdeelt naar de afnemers.

 (Vlaamse) dienstenintegrator

(Vlaamse overheidsinstantie die bij of krachtens een wet, een decreet of een ordonnantie belast is, binnen een bepaald overheidsniveau of in een bepaalde sector, met een taak van algemeen belang, en meer bepaald met de organisatie van elektronische gegevensuitwisseling over instanties heen en met de geintegreerde ontsluiting van gegevens.

 Gateway dienst

Dienst op het MAGDA-platform die instaat voor het uitvoeren van de nodige acties (toegangscontrole, machtigingscontrole, inschrijvingscontrole, tijdsperiodecontrole, filtering, anonimisering, encryptie, inhoudelijke logging, …) voor en na het aanroepen van een schrijf- of lees&publiceer-dienst bij een leverancier of bron. Een dergelijke gateway dienst voert enkel een vormcontrole en een inhoudscontrole vanuit privacy-perspectief uit, géén inhoudscontrole vanuit business-perspectief.

 Schrijf-dienst

Dienst die toelaat gegevens aan te maken, te wijzigen of te verwijderen bij een bron.

 Lees-dienst

Dienst die toelaat gegevens op te vragen bij een bron.

 Publiceer-dienst

Dienst die toelaat een “publicatie” toegeleverd te krijgen door een bron, d.w.z. de vooraf gedefinieerde, op vastgelegde tijdstippen uitgevoerde automatische opvraging van (een gedeelte van) de gegevens bij een bron, toegeleverd in een vooraf bepaald formaat.

Een leverancier contacteert een gateway dienst bij de VDI om hierlangs een schrijf-dienst bij de bron (of bij meerdere bronnen) aan te roepen.

Een afnemer contacteert een gateway dienst bij de VDI om hierlangs een lees&publiceer-dienst bij de bron (of bij meerdere bronnen) aan te roepen.