Verdeling van verantwoordelijkheden
- Michaël Loedts (Deactivated)
- Paulin Van Biesen
- eveline.neirings
Verduidelijking van het begrip "Dienstenintegrator"
Het Agentschap Digitaal Vlaanderen neemt de rol van Vlaamse VDI op zich, zoals voorzien in het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (het “Vlaams e-government decreet”) en het decreet van 13/07/2012 betreffende de oprichting en organisatie van een Vlaamse VDI.
Een VDI heeft als doel het vereenvoudigen en optimaliseren van de gegevensuitwisseling tussen de participerende overheidsdiensten onderling enerzijds en tussen de participerende overheidsdiensten en de andere VDIen anderzijds. De eenmalige inzameling en een gecoördineerde ontsluiting van authentieke gegevens doorheen het netwerk staan centraal bij de werking van de VDI. Bij dienstenintegratie worden de gegevens enkel tijdelijk samengebracht, namelijk op het ogenblik van het aanroepen van de geïntegreerde dienst.
Dergelijke dienstverlening vereist niet het permanent samenbrengen van gegevens, noch de geïntegreerde opslag op langere termijn ervan. De gegevens worden rechtstreeks betrokken uit verschillende, betrouwbare gegevensbronnen onder de verantwoordelijkheid van een welbepaalde entiteit, zgn. authentieke gegevensbronnen.
Verantwoordelijkheden van de leveranciers van gegevens
Juridisch
De leverancier zorgt tijdig voor de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen aanleveren aan de bron, voor zover die nog niet opgenomen is in de algemene machtiging van de bron (waarin al opgenomen is bij welke leveranciers gegevens mogen ingezameld worden).
De leverancier kan hierbij eventueel beroep doen op juridische ondersteuning door de VDI.
Loggingsplicht: de leverancier logt wie wanneer en waarom via de VDI gegevens in de bron aangeleverd heeft en dit volgens de richtlijnen voor de logging, opgesteld door de VDI.
Plicht tot kennisgeving: de leverancier moet kunnen antwoorden op de vraag van de burger naar verduidelijking van wie wanneer en waarom zijn/haar gegevens in de bron aangeleverd heeft.
Budgettair
Geval per geval wordt afgesproken wie (bron, VDI of leverancier) welk gedeelte betaalt van de configuratie/bouw van de gateway dienst(en) die vereist zijn om de schrijf-dienst(en) van de bron te kunnen gebruiken.
Technisch
De leverancier zorgt voor het mappen van het interne datamodel van de eigen toepassingen naar het datamodel van de schrijf-dienst(en) van de VDI.
De leverancier kan hierbij eventueel beroep doen op ondersteuning door de VDI.
De leverancier roept vanuit de eigen toepassingen op de correcte manier de schrijf-dienst(en) aan langsheen de gateway dienst(en) van de VDI.
De leverancier test het aanroepen van de schrijf-dienst(en) langsheen de gateway dienst(en) van de VDI alvorens deze in productie te nemen dit volgens de acceptatiecriteria vastgelegd door de VDI.
De leverancier staat in voor het in productie nemen en operationeel houden van de toepassingen die de schrijf-dienst(en) aanroepen langsheen de gateway dienst(en) van de VDI.
Bij problemen met het contacteren van de gateway dienst(en) of bij problemen met het aanroepen van de schrijf-dienst(en) kan de leverancier deze problemen aankaarten bij de VDI.
De leverancier contacteert vanuit de eigen toepassingen op de correcte manier de gateway dienst(en) van de VDI om hierlangs de schrijf-dienst(en) aan te roepen.
De leverancier volgt hierbij het aansluitingsproces van de VDI.
De leverancier kan hierbij eventueel beroep doen op technische ondersteuning door de VDI.
Indien afgesproken werd dat de leverancier (het geheel of een deel van) de kosten draagt voor de configuratie/bouw van deze gateway dienst(en) door de VDI dient de leverancier hiertoe het nodige budget te voorzien.
De leverancier krijgt tijdens het aansluitingsproces de gepaste credentials (URI – CN certificaat, …) van de VDI om de gateway dienst(en) van de VDI te kunnen contacteren
De leverancier schrijft zich in in het inschrijvingsrepertorium van de VDI wanneer hij, door het aanroepen van de schrijf-dienst(en) van de bron, gegevens aanmaakt bij de bron (op die manier weet de intermediair wie welke gegevens bijhoudt en aangeleverd heeft aan de bron)
De leverancier schrijft zich uit uit het inschrijvingsrepertorium van de VDI wanneer hij, door het aanroepen van de schrijf-dienst(en) van de bron, gegevens verwijdert bij de bron (op die manier weet de intermediair wie welke gegevens niet langer bijhoudt)
Organisatorisch
De leverancier overlegt met de bron of de aangeleverde gegevens voldoen aan de kwaliteitsvereisten van de bron (volgens de criteria vastgelegd voor de bron in het uitvoeringsbesluit bij het Vlaams e-government decreet):
- gebruik van het gepaste unieke identificatienummer (INSZ nummer, KBO nummer, …)
- garanderen dat het gebruikte unieke identificatienummer daadwerkelijk overeenstemt met de aangeleverde entiteit (persoon, onderneming, …)
- indien vereist, beschikken over een machtiging om het INSZ nummer te mogen gebruiken in de eigen toepassing
De leverancier kan hierbij eventueel beroep doen op ondersteuning door de VDI
- de leverancier neemt de beschikbare documentatie door over het correcte gebruik van de schrijf-dienst(en) van de VDI
- ...
Verantwoordelijkheid van de afnemers
Juridisch
De afnemer zorgt tijdig voor de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen afnemen van de bron
De afnemer kan hierbij eventueel beroep doen op juridische ondersteuning door de VDI
De afnemer zorgt er bij het aanroepen van de lees&publiceer-dienst(en) van de VDI voor dat hij zich beperkt tot het raadplegen van de gegevens van de personen die behoren tot de doelpopulatie zoals vastgelegd in de verkregen machtiging
Loggingsplicht: de afnemer logt wie wanneer en waarom via de VDI gegevens in de bron geraadpleegd heeft en dit volgens de richtlijnen voor de logging, opgesteld door de VDI
Plicht tot kennisgeving: de afnemer moet kunnen antwoorden op de vraag van de burger naar verduidelijking van wie wanneer en waarom zijn/haar gegevens in de bron geraadpleegd heeft
Budgettair
Geval per geval wordt afgesproken wie (bron, VDI of afnemer) welk gedeelte betaalt van de configuratie/bouw van de gateway dienst(en) die vereist zijn om de lees&publiceer-dienst(en) van de bron te kunnen gebruiken
Technisch
De afnemer zorgt voor het mappen van het datamodel van de lees&publiceer-dienst(en) van de VDI naar het interne datamodel van de eigen toepassingen
De afnemer kan hierbij eventueel beroep doen op ondersteuning door de VDI
De afnemer roept vanuit de eigen toepassingen op de correcte manier de lees&publiceer-dienst(en) aan langsheen de gateway dienst(en) van de VDI
De afnemer test het aanroepen van de lees&publiceer-dienst(en) van de bron langsheen de gateway dienst(en) van de VDI alvorens deze in productie te nemen en dit volgens de acceptatiecriteria vastgelegd door de VDI.
De afnemer staat in voor het in productie nemen en operationeel houden van de toepassingen die de lees&publiceer-dienst(en) aanroepen langsheen de gateway dienst(en) van de VDI
Bij problemen met het contacteren van de gateway dienst(en) of bij problemen met het aanroepen van de lees&publiceer-dienst(en) kan de afnemer deze problemen aankaarten bij de VDI
De afnemer contacteert vanuit de eigen toepassingen op de correcte manier de gateway dienst(en) van de VDI om hierlangs de lees&publiceer-dienst(en) aan te roepen
De afnemer volgt hierbij het aansluitingsproces van de VDI
De afnemer kan hierbij eventueel beroep doen op technische ondersteuning door de VDI
Indien afgesproken werd dat de afnemer (het geheel of een deel van) de kosten draagt voor de configuratie/bouw van deze gateway dienst(en) door de VDI dient de afnemer hiertoe het nodige budget te voorzien
De leverancier krijgt tijdens het aansluitingsproces de gepaste credentials (URI – CN certificaat, …) van de VDI om de gateway dienst(en) van de VDI te kunnen contacteren
Organisatorisch
De afnemer overlegt met de bron hoe de aangeleverde gegevens kunnen gebruikt worden binnen de businessvereisten van de afnemer
Uitleg over het juiste gebruik van de door de bron gebruikte businessbegrippen (inkomen, arbeidsduur, …)
Verduidelijking van de betekenis van de door de bron aangeleverde data (afkortingen, code-tabellen, …)
...
De afnemer kan hierbij eventueel beroep doen op ondersteuning door de VDI
De afnemer neemt de beschikbare documentatie door over het correcte gebruik van de lees&publiceer-dienst(en) van de VDI
Als de afnemer beroep doet op IT-diensten van een externe leverancier, dan let hij erop dat de AVG-regels gerespecteerd blijven. Het is hierbij belangrijk om te weten of de leverancier een verwerker van persoonsgegevens is of niet. Twee voor de hand liggende situaties zijn:
situatie 1: persoonsgegevens worden extern opgeslagen en beheerd door de IT-dienstenleverancier. In dit geval is de dienstenleverancier verwerker van persoonsgegevens en moet hij de AVG-verplichtingen nakomen. Dit houdt onder meer in dat:
persoonsgegevens enkel mogen verwerkt worden in opdracht van de verwerkingsverantwoordelijke (afnemer). Best wordt er een verwerkersovereenkomst tussen afnemer en IT-dienstenleverancier opgesteld.
de verwerker moet een verwerkingsregister bijhouden (loggingsplicht)
situatie 2: persoonsgegevens worden in een applicatie van een IT-dienstenleverancier verwerkt en de applicatie wordt intern beheerd bij de afnemer op zijn server(s). In dit geval is de dienstenleverancier geen verwerker van persoonsgegevens.
Verantwoordelijkheid van de bron
Juridisch
De bron zorgt tijdig voor de nodige algemene machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen inzamelen bij de leveranciers
De bron kan hierbij eventueel beroep doen op juridische ondersteuning door de VDI
Loggingsplicht: de bron logt wie wanneer en waarom gegevens aan de bron aangeleverd heeft of in de bron geraadpleegd heeft
Inzageplicht: de bron zorgt er voor dat de burger op ieder ogenblik kan bekijken welke gegevens de bron over de burger ingezameld heeft (zodat de burger die desgewenst kan laten corrigeren) en deelt mee via welke dienstenintegrator die gegevens gebruikt worden
Plicht tot kennisgeving: de bron moet kunnen antwoorden op de vraag van de burger naar verduidelijking van wie wanneer en waarom zijn/haar gegevens aan de bron aangeleverd heeft of in de bron geraadpleegd heeft
Budgettair
De bron financiert in principe zelf volledig de bouw van de schrijf- en lees&publiceer-dienst(en)
Technisch
De bron is verantwoordelijk voor de bouw van de schrijf-dienst(en) die de leveranciers toelaten om gegevens aan te leveren aan de bron via de gateway dienst(en) van de VDI en voor de bouw van de lees&publiceer-dienst(en) die de afnemers toelaten om gegevens af te nemen van de bron via de gateway dienst(en) van de VDI
De bron bouwt de schrijf- en lees&publiceer-dienst(en) in nauwe samenwerking met de VDI
De bron voert de functionele analyse en het technische ontwerp van de schrijf- en lees&publiceer-dienst(en) uit in nauwe samenwerking met de VDI en volgt daarbij de functionele en technische MAGDA standaarden en richtlijnen naamgeving van de diensten, XSD ontwerp, foutafhandeling, versiebeheer, beschikbaarheid, …
De bron legt de functionele analyse en het technische ontwerp van de schrijf- en lees&publiceer-dienst(en) ter goedkeuring voor aan de VDI alvorens deze gebouwd wordt
De bron biedt technische ondersteuning aan de leveranciers en aan de afnemers bij het correcte gebruik (inhoudelijk) van de schrijf-dienst(en)
Organisatorisch
De bron monitort en garandeert de beschikbaarheid en de performantie van de schrijf-dienst(en)
De bron monitort en garandeert de beschikbaarheid en de performantie van de lees&publiceer-dienst(en)
Verantwoordelijkheid van de VDI
Juridisch
Loggingsplicht: de VDI logt welke leverancier wanneer, waarom en via welke schrijf-dienst(en) gegevens aan de bron aangeleverd heeft en welke afnemer wanneer, waarom en via welke lees&publiceer-dienst(en) gegevens in de bron geraadpleegd heeft.
Plicht tot kennisgeving: de VDI zorgt er voor dat de burger op ieder ogenblik kan bekijken welke afnemer welke gegevens over de burger opgevraagd heeft.
De VDI biedt juridische ondersteuning aan de bron bij het bekomen van de nodige algemene machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen inzamelen bij de leveranciers.
De VDI biedt juridische ondersteuning aan de leveranciers bij het bekomen van de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen aanleveren aan de bron, voor zover die nog niet opgenomen is in de algemene machtiging van de bron.
De VDI biedt juridische ondersteuning aan de afnemers bij het bekomen van de nodige machtiging van de privacycommissie en/of Vlaamse toezichtscommissie om gegevens te mogen afnemen van de bron.
Budgettair
Geval per geval wordt afgesproken wie (bron, VDI, leverancier of afnemer) welk gedeelte van de configuratie/bouw van de dienst(en) betaalt
Budgettair
De VDI is verantwoordelijk voor de configuratie/bouw van de gateway dienst(en) die de leveranciers toelaten om de schrijf-dienst(en) van de bron aan te roepen om gegevens aan te leveren aan de bron
De VDI voorziet per leverancier een gateway dienst(en) om gegevens aan te leveren aan de bron. Deze gateway dienst(en) roepen op de gepaste wijze de schrijf-dienst(en) van de bron aan:
- inschrijvingscontrole in het inschrijvingsrepertorium
- controle van de proportionaliteit van de aangeleverde gegevens (filtering)
De gateway dienst(en) verzorgen de authenticatie en authorisatie van de leverancier bij het aanroepen van de schrijf-dienst(en) van de bron
De VDI is verantwoordelijk voor de configuratie/bouw van de gateway die de afnemers toelaten om de lees&publiceer-dienst(en) van de bron aan te roepen om gegevens af te nemen van de bron
De gateway dienst(en) verzorgen de authenticatie en authorisatie van de afnemer bij het aanroepen van de lees&publiceer-dienst(en) van de bron
Organisatorisch
De VDI voorziet de nodige functionele en technische documentatie over het correcte gebruik van de gateway dienst(en). ocumentatie is reeds beschikbaar in een speciaal ingerichte documentatie-omgeving
- een gesloten documentatie-omgeving voor afnemers van persoonsgegevens
- een open documentatie-omgeving voor afnemers van andere gegevens
De VDI verzorgt het aansluitingsproces op de gateway dienst(en) (controleren machtiging, instellen toegangsparameters, etc.)
- aansluitingsproces is reeds gedefinieerd en geïmplementeerd
De VDI staat in voor het verstrekken van de gepaste credentials (gebruikersnaam/paswoord, certificaat, …) voor het contacteren van de gateway dienst(en) van de VDI
de VDI monitort en garandeert de beschikbaarheid en de performantie van de gateway dienst(en), niet van de schrijf- en lees&publiceer-dienst(en) van de bron
Persoonsgegevens, d.w.z. iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit (wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en de uitvoeringsbesluiten ervan).
(Vlaamse) overheidsorganisatie met toepassing(en) die gegevens aan de bron aanleveren via de schrijf-dienst(en) die de bron daartoe ontwikkeld heeft.
(Vlaamse) overheidsorganisatie met toepassing(en) die gegevens van de bron afnemen via de lees&publiceer-dienst(en) die de bron daartoe ontwikkeld heeft.
(Vlaamse) overheidsorganisatie die de (potentiële) (Vlaamse) authentieke gegevensbron beheert die authentieke gegevens verzamelt vanuit de leveranciers (de authoritatieve gegevensbronnen, d.w.z. de gegevensbronnen die instaan voor de authenticiteit van de gegevens) en verdeelt naar de afnemers.
(Vlaamse overheidsinstantie die bij of krachtens een wet, een decreet of een ordonnantie belast is, binnen een bepaald overheidsniveau of in een bepaalde sector, met een taak van algemeen belang, en meer bepaald met de organisatie van elektronische gegevensuitwisseling over instanties heen en met de geintegreerde ontsluiting van gegevens.
Dienst op het MAGDA-platform die instaat voor het uitvoeren van de nodige acties (toegangscontrole, machtigingscontrole, inschrijvingscontrole, tijdsperiodecontrole, filtering, anonimisering, encryptie, inhoudelijke logging, …) voor en na het aanroepen van een schrijf- of lees&publiceer-dienst bij een leverancier of bron. Een dergelijke gateway dienst voert enkel een vormcontrole en een inhoudscontrole vanuit privacy-perspectief uit, géén inhoudscontrole vanuit business-perspectief.
Dienst die toelaat gegevens aan te maken, te wijzigen of te verwijderen bij een bron.
Dienst die toelaat gegevens op te vragen bij een bron.
Dienst die toelaat een “publicatie” toegeleverd te krijgen door een bron, d.w.z. de vooraf gedefinieerde, op vastgelegde tijdstippen uitgevoerde automatische opvraging van (een gedeelte van) de gegevens bij een bron, toegeleverd in een vooraf bepaald formaat.
Een leverancier contacteert een gateway dienst bij de VDI om hierlangs een schrijf-dienst bij de bron (of bij meerdere bronnen) aan te roepen.
Een afnemer contacteert een gateway dienst bij de VDI om hierlangs een lees&publiceer-dienst bij de bron (of bij meerdere bronnen) aan te roepen.
Voor vragen of opmerkingen kan u de MAGDA helpdesk contacteren
De MAGDA Gebruikersomgeving is een officiële website van de Vlaamse overheid
uitgegeven door Digitaal Vlaanderen