Het rechtskarakter van de beraadslagingen van het Informatieveiligheidscomité (IVC)

Overeenkomstig artikel 46, § 2, eerste lid  van de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en artikel 35/1, § 4, eerste lid van de wet houdende oprichting en organisatie van een federale dienstenintegrator (beide gewijzigd door de wet van 5 september 2018 tot oprichting van het Informatieveiligheidscomité) vaardigt het Informatieveiligheidscomité (IVC) beraadslagingen uit met een algemene bindende draagwijdte tussen partijen en jegens derden. De beraadslagingen mogen niet in strijd zijn met hogere rechtsnormen.

De beraadslagingen van het IVC zijn administratieve rechtshandelingen

De beraadslagingen van het Informatieveiligheidscomité zijn

• eenzijdige
• uitvoerbare
• openbare
• rechtshandelingen
• van een administratief overheidsorgaan

Eenzijdig

De beraadslagingen worden eenzijdig door het IVC genomen.

Uitvoerbaar

De beraadslagingen zijn onmiddellijk en uit zichzelf uitvoerbaar.

Openbaar

Overeenkomstig artikel 46, § 1, 5° en 6°  van de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en artikel 35/1, § 5, eerste lid van de wet houdende oprichting en organisatie van een federale dienstenintegrator (beide gewijzigd door de wet van 5 september 2018 tot oprichting van het Informatieveiligheidscomité) publiceert het IVC de uitgevaardigde beraadslagingen , naargelang de materie, op websites van de Kruispuntbank van de Sociale Zekerheid, het eHealth-platform of de Federale Overheidsdienst Beleid en Ondersteuning.

Rechtshandeling

De beraadslagingen zijn gericht op het creëren van rechtsgevolgen. Ze hebben een algemene bindende draagwijdte tussen de partijen die deelnemen aan de mededeling van persoonsgegevens en jegens derden.

Uitgaande van een administratief overheidsorgaan

Het IVC is opgericht bij wet om een deel van het openbaar gezag uit te oefenen. De wet regelt de samenstelling, benoemingswijze, werkwijze en organisatie van het IVC, en draagt aan het IVC de bevoegdheid op om beraadslagingen uit te vaardigen die uitwerking hebben t.a.v. derden. De opdracht van het IVC is een opdracht van algemeen nut.

De leden van het IVC worden om redenen van onafhankelijkheid aangesteld door de wetgevende macht. Het IVC publiceert jaarlijks een activiteitenverslag. De financiële werkingsmiddelen van het IVC worden ingeschreven in de begroting van een federale overheidsdienst en van 2 openbare instellingen van sociale zekerheid, die er het secretariaat van waarnemen en juridische en technische rapporten verstrekken. Het huishoudelijk reglement van het IVC wordt goedgekeurd bij in ministerraad overlegd koninklijk besluit. Het IVC is op basis van deze criteria primair een administratief overheidsorgaan.

De beraadslagingen van het IVC zijn bestuurlijke maatregelen

De beraadslagingen van het IVC zijn bestuurlijke maatregelen. Het zijn besluiten

• van algemene strekking
• waarbij de toepassing van elders omschreven normen op een bepaalde situatie voor een bepaalde tijd wordt beschreven en
• waarbij de toepassingsmodaliteiten van de elders omschreven normen in die bepaalde situatie worden gepreciseerd maar
• die geen zelfstandige normstelling bevatten.

De beraadslagingen van het IVC beschrijven en preciseren, met een algemene bindende draagwijdte, de toepassing, op bepaalde mededelingen van persoonsgegevens, van de normen vervat in o.a.

• de Algemene Verordening Gegevensbescherming
• de wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
• de wet houdende oprichting en organisatie van een federale dienstenintegrator
• de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid
• de wet houdende oprichting en organisatie van het eHealth-platform
• de wet houdende verankering van het principe van de unieke gegevensinzameling.

De beraadslagingen van het IVC bevatten echter geen zelfstandige normstelling. Ze vormen bijvoorbeeld geen rechtsgrond voor de oorspronkelijke inzameling en verwerking van de persoonsgegevens door de gegevensverstrekkende instantie. De ontvangende instantie dient de persoonsgegevens bovendien te verwerken op grond van de rechtsgronden waarover zij beschikt. Het IVC kan dus de doeleinden van de oorspronkelijke verwerking door de verstrekkende instantie niet uitbreiden, noch een rechtsgrond bieden voor andere verwerkingsdoeleinden door de verkrijgende instantie dan degene die door of krachtens de Algemene Verordening Gegevensbescherming of een wet, decreet of ordonnantie zijn voorzien.

De beraadslagingen van het IVC zijn niet onderworpen aan een voorafgaand advies van de afdeling wetgeving van de Raad van State (zie Vademecum adviesprocedure voor de afdeling wetgeving)

De afdeling wetgeving van de Raad van State verleent adviezen over

• voorontwerpen en voorstellen van wet, decreet of ordonnantie
• ontwerpen van koninklijke besluiten, besluiten van de regeringen en ministeriële besluiten die algemeen verbindende rechtsregels bevatten.

De Raad van State is niet bevoegd om adviezen te verstrekken over andere soorten rechtsregels die uitgaan van de federale overheid, de gemeenschappen en de gewesten, zoals beraadslagingen van het Informatieveiligheidscomité.

De beraadslagingen van het IVC zijn in principe niet onderworpen aan een voorafgaand advies van de Gegevensbeschermingsautoriteit

Overeenkomstig artikel 57, 1. c) van de Algemene Verordening Gegevensbescherming regelt de nationale wetgeving van elke Lidstaat de wijze waarop een toezichthoudende autoriteit, zoals de Belgische Gegevensbeschermingsautoriteit, advies geeft aan organen over bestuurlijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking.

Artikel 46, § 2, tweede lid  van de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en artikel 35/1, § 4, tweede lid van de wet houdende oprichting en organisatie van een federale dienstenintegrator (beide gewijzigd door de wet van 5 september 2018 tot oprichting van het Informatieveiligheidscomité) bepaalt in dat verband het volgende:

“De Gegevensbeschermingsautoriteit kan elke beraadslaging van het Informatieveiligheidscomité te allen tijde, ongeacht wanneer zij werd verleend, toetsen aan hogere rechtsnormen. Onverminderd haar andere bevoegdheden kan zij, als ze op een gemotiveerde wijze vaststelt dat een beraadslaging niet in overeenstemming is met een hogere rechtsnorm, het Informatieveiligheidscomité vragen om die beraadslaging op de punten die ze aangeeft binnen de vijfenveertig dagen en uitsluitend voor de toekomst te heroverwegen. In voorkomend geval legt het Informatieveiligheidscomité de gewijzigde beraadslaging ter advies voor aan de Gegevensbeschermingsautoriteit. Voor zover die niet binnen de vijfenveertig dagen bijkomende opmerkingen formuleert, wordt de gewijzigde beraadslaging geacht definitief te zijn.”

Op basis van artikel 23 van de wet tot oprichting van de Gegevensbeschermingsautoriteit kan de Gegevensbeschermingsautoriteit bovendien uit eigen beweging adviezen verstrekken omtrent elke aangelegenheid met betrekking tot de verwerkingen van persoonsgegevens evenals aanbevelingen formuleren m.b.t. de maatschappelijke, economische en technologische ontwikkelingen die een weerslag kunnen hebben op de verwerkingen van persoonsgegevens.

De beraadslagingen van het IVC kunnen worden aangevochten bij de afdeling bestuursrechtspraak Raad van State op basis van artikel 14 van de gecoördineerde wetten op de Raad van State

De beraadslagingen zijn akten van een administratieve overheid in de zin van artikel 14 van de gecoördineerde wetten op de Raad van State.