Het rechtskarakter van de beraadslagingen van het Informatieveiligheidscomité (IVC)

Wettelijke regeling

Overeenkomstig artikel 46, § 2, tweede lid  van de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en artikel 35/1, § 4, tweede lid van de wet houdende oprichting en organisatie van een federale dienstenintegrator (beide gewijzigd door de wet van 23 november 2023 betreffende maatregelen van bestuurlijke politie inzake reisbeperkingen en het passagier lokalisatie formulier en houdende wijzigingen van diverse wetsbepalingen betreffende het informatieveiligheidscomité) hebben de beraadslagingen van het Informatieveiligheidscomité een beperkte en technische draagwijdte en beschrijven ze voor een bepaalde situatie en voor een bepaalde tijd de toepassing van de essentiële elementen van de verwerking, die bepaald worden in de rechtsgronden bedoeld in artikel 6 van de Algemene Verordening Gegevensbescherming.

De beraadslagingen worden met redenen omkleed, mogen niet in strijd zijn met hogere rechtsnormen en de partijen die deelnemen aan de mededeling van persoonsgegevens beschreven in de beraadslaging, moeten de maatregelen vervat in de beraadslaging naleven.

Als de bevoegde Minister vaststelt dat een beraadslaging van het Informatieveiligheidscomité niet in overeenstemming is met de bepalingen van haar organieke wet of van elke andere regelgeving tot bescherming van de persoonlijke levenssfeer, in het bijzonder de Algemene Verordening Gegevensbescherming, kan hij binnen 10 werkdagen volgend op de vergadering van het Informatieveiligheidscomité op een met redenen omklede wijze en met inachtneming van de geldende regelgeving aan het Informatieveiligheidscomité opleggen om de beraadslaging aan te passen op de punten die hij aangeeft. De beraadslaging van het Informatieveiligheidscomité treedt slechts in werking na afloop van die termijn van 10 werkdagen, tenzij de bevoegde Minister voor het verstrijken van deze termijn laat weten dat de beraadslaging niet hoeft te worden aangepast.

De beraadslagingen van het Informatieveiligheidscomité zijn bestuurlijke maatregelen die kunnen worden aangevochten bij de afdeling bestuursrechtspraak van de Raad van State op basis van artikel 14 van de gecoördineerde wetten op de Raad van State.

Eens ze in werking zijn getreden, worden de beraadslagingen meegedeeld aan de Voorzitter van de Kamer van Volksvertegenwoordigers en, ter informatieven titel, aan de Gegevensbeschermingsautoriteit.

De beraadslagingen van het IVC zijn administratieve rechtshandelingen

De beraadslagingen van het Informatieveiligheidscomité zijn

• eenzijdige
• uitvoerbare
• openbare
• rechtshandelingen
• van een administratief overheidsorgaan

Eenzijdig

De beraadslagingen worden eenzijdig door het IVC genomen.

Uitvoerbaar

De beraadslagingen zijn onmiddellijk en uit zichzelf uitvoerbaar.

Openbaar

Overeenkomstig artikel 46, § 1, 5° en 6°  van de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en artikel 35/1, § 5, eerste lid van de wet houdende oprichting en organisatie van een federale dienstenintegrator (beide gewijzigd door de wet van 5 september 2018 tot oprichting van het Informatieveiligheidscomité) publiceert het IVC de uitgevaardigde beraadslagingen , naargelang de materie, op websites van de Kruispuntbank van de Sociale Zekerheid, het eHealth-platform of de Federale Overheidsdienst Beleid en Ondersteuning.

Rechtshandeling

De beraadslagingen zijn gericht op het creëren van rechtsgevolgen. De partijen die deelnemen aan de mededeling van persoonsgegevens beschreven in de beraadslaging, moeten de maatregelen vervat in de beraadslaging naleven. De beraadslagingen van het IVC houden evenwel geen verplichting in tot gegevensmededeling door deze partijen.

Uitgaande van een administratief overheidsorgaan

Het IVC is opgericht bij wet om een deel van het openbaar gezag uit te oefenen. De wet regelt de samenstelling, benoemingswijze, werkwijze en organisatie van het IVC, en draagt aan het IVC de bevoegdheid op om beraadslagingen uit te vaardigen die uitwerking hebben t.a.v. de partijen die deelnemen aan de mededeling van persoonsgegevens beschreven in de beraadslaging. De opdracht van het IVC is een opdracht van algemeen nut.

De leden van het IVC worden om redenen van onafhankelijkheid aangesteld door de wetgevende macht. Het IVC publiceert jaarlijks een activiteitenverslag. De financiële werkingsmiddelen van het IVC worden ingeschreven in de begroting van een federale overheidsdienst en van 2 openbare instellingen van sociale zekerheid, die er het secretariaat van waarnemen en juridische en technische rapporten verstrekken. Het huishoudelijk reglement van het IVC wordt goedgekeurd bij in ministerraad overlegd koninklijk besluit. Het IVC is op basis van deze criteria primair een administratief overheidsorgaan.

De beraadslagingen van het IVC zijn bestuurlijke maatregelen

De beraadslagingen van het IVC zijn bestuurlijke maatregelen. Het zijn besluiten

• van algemene strekking
• waarbij de toepassing van elders omschreven normen op een bepaalde situatie voor een bepaalde tijd wordt beschreven en
• waarbij de toepassingsmodaliteiten van de elders omschreven normen in die bepaalde situatie worden gepreciseerd maar
• die geen zelfstandige normstelling bevatten.

De beraadslagingen van het IVC beschrijven en preciseren, met een bindende draagwijdte t.a.v. de partijen die deelnemen aan de mededeling van persoonsgegevens beschreven in de beraadslaging, de toepassing, op bepaalde mededelingen van persoonsgegevens, van de normen vervat in o.a.

• de Algemene Verordening Gegevensbescherming
• de wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
• de wet houdende oprichting en organisatie van een federale dienstenintegrator
• de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid
• de wet houdende oprichting en organisatie van het eHealth-platform
• de wet houdende verankering van het principe van de unieke gegevensinzameling.

De beraadslagingen van het IVC bevatten echter geen zelfstandige normstelling. Ze vormen bijvoorbeeld geen rechtsgrond voor de oorspronkelijke inzameling en verwerking van de persoonsgegevens door de gegevensverstrekkende instantie. De ontvangende instantie dient de persoonsgegevens bovendien te verwerken op grond van de rechtsgronden waarover zij beschikt. Het IVC kan dus de doeleinden van de oorspronkelijke verwerking door de verstrekkende instantie niet uitbreiden, noch een rechtsgrond bieden voor andere verwerkingsdoeleinden door de verkrijgende instantie dan degene die door of krachtens de Algemene Verordening Gegevensbescherming of een wet, decreet of ordonnantie zijn voorzien.

De beraadslagingen van het IVC vallen onder de verantwoordelijkheid van de uitvoerende macht, die hierover verantwoording aflegt aan de wetgevende macht

Een vertegenwoordiger van de bevoegde Minister woont de vergaderingen van het IVC bij. Als de bevoegde Minister vaststelt dat een beraadslaging van het IVC niet in overeenstemming is met de bepalingen van haar organieke wet of van elke andere regelgeving tot bescherming van de persoonlijke levenssfeer, in het bijzonder de Algemene Verordening Gegevensbescherming, kan hij binnen 10 werkdagen volgend op de vergadering van het IVC op een met redenen omklede wijze en met inachtneming van de geldende regelgeving aan het IVC opleggen om de beraadslaging aan te passen op de punten die hij aangeeft. De beraadslaging van het IVC treedt slechts in werking na afloop van die termijn van 10 werkdagen, tenzij de bevoegde Minister voor het verstrijken van deze termijn laat weten dat de beraadslaging niet hoeft te worden aangepast. Op deze wijze vallen de beraadslagingen van het IVC onder de verantwoordelijkheid van de uitvoerende macht, die hierover verantwoording aflegt aan de wetgevende macht.

De beraadslagingen van het IVC zijn niet onderworpen aan een voorafgaand advies van de afdeling wetgeving van de Raad van State (zie Vademecum adviesprocedure voor de afdeling wetgeving)

De afdeling wetgeving van de Raad van State verleent adviezen over

• voorontwerpen en voorstellen van wet, decreet of ordonnantie
• ontwerpen van koninklijke besluiten, besluiten van de regeringen en ministeriële besluiten die algemeen verbindende rechtsregels bevatten.

De Raad van State is niet bevoegd om adviezen te verstrekken over bestuurlijke maatregelen die uitgaan van de federale overheid, de gemeenschappen en de gewesten, zoals beraadslagingen van het Informatieveiligheidscomité.

De beraadslagingen van het IVC zijn niet onderworpen aan een voorafgaand advies van de Gegevensbeschermingsautoriteit

Overeenkomstig artikel 57, 1. c) van de Algemene Verordening Gegevensbescherming regelt de nationale wetgeving van elke Lidstaat de wijze waarop een toezichthoudende autoriteit, zoals de Belgische Gegevensbeschermingsautoriteit, advies geeft over bestuurlijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking.

Artikel 46, § 1/1, derde en vierde lid  van de wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en artikel 35/1, § 6, derde en vierde lid van de wet houdende oprichting en organisatie van een federale dienstenintegrator (beide gewijzigd door de wet van 23 november 2023 betreffende maatregelen van bestuurlijke politie inzake reisbeperkingen en het passagier lokalisatie formulier en houdende wijzigingen van diverse wetsbepalingen betreffende het informatieveiligheidscomité) bepalen in dat verband dat het IVC de beraadslagingen systematisch en onmiddellijk na hun inwerkingtreding ten informatieve titel meedeelt aan de Gegevensbeschermingsautoriteit.

Op basis van artikel 23 van de wet tot oprichting van de Gegevensbeschermingsautoriteit kan de Gegevensbeschermingsautoriteit  uit eigen beweging adviezen verstrekken omtrent elke aangelegenheid met betrekking tot de verwerkingen van persoonsgegevens evenals aanbevelingen formuleren m.b.t. de maatschappelijke, economische en technologische ontwikkelingen die een weerslag kunnen hebben op de verwerkingen van persoonsgegevens. Op basis hiervan kan de Gegevensbeschermingsautoriteit ook adviezen verstrekken over de haar meegedeelde beraadslagingen.

De beraadslagingen van het IVC kunnen worden aangevochten bij de afdeling bestuursrechtspraak Raad van State op basis van artikel 14 van de gecoördineerde wetten op de Raad van State

De beraadslagingen zijn akten van een administratieve overheid in de zin van artikel 14 van de gecoördineerde wetten op de Raad van State.

De wetgevende macht oefent controle uit op de beraadslagingen van het Informatieveiligheidscomité

De wetgevende macht oefent op diverse wijzen controle uit op de beraadslagingen van het IVC door

• de parlementaire controle op de bevoegde Minister, waarvan een vertegenwoordiger deelneemt aan de vergaderingen van het IVC, en die aan het IVC op een met redenen omklede wijze en met inachtneming van de geldende regelgeving kan opleggen om  beraadslagingen aan te passen op de punten die hij aangeeft, vooraleer deze beraadslagingen in werking treden
• een rechtstreekse parlementaire controle op de beraadslagingen die haar systematisch en onmiddellijk na de inwerkingtreding worden meegedeeld, en op de werking van het IVC n.a.v. het jaarlijks verslag
• de bevoegdheid om de leden van IVC aan te stellen en af te zetten.