Besluit  Gemeenteraad

Artikel 1.

Tussen de partijen lokaal bestuur Geetbets en de provincie Vlaams-Brabant wordt overeengekomen wat volgt: 

Artikel 1: Onderwerp

In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 tussen de vaststellers van het lokaal bestuur van Geetbets en de provincie Vlaams-Brabant in het kader van de vaststelling en handhaving van GAS-boetes omschreven. 4 De gemeente heeft ervoor gekozen om de afhandeling van de GAS-dossiers toe te vertrouwen aan de provincie. Deze dossiers worden administratief afgehandeld door de provinciaal sanctionerend ambtenaar. De vaststeller bezorgt de vaststellingen aan de sanctionerende ambtenaar met het oog op de administratieve afhandeling. De input van de authentieke gegevens komt van de vaststellende partij. De provincie controleert de gegevens met de databank van het rijksregister enkel indien er een brief wordt teruggestuurd door de post met de melding dat het adres onvolledig of onjuist is of dat betrokkene niet gekend is. Er gebeurt geen voorafgaande controle door de provincie. Bij een eventuele toegang tot DIV zal ook deze databank enkel gebruikt worden voor een sporadische controle indien noodzakelijk voor het dossier. Vervolgens bezorgt de provinciale ambtenaar de beslissing terug aan het gemeentebestuur. Het doel is dat de overtreder een reactie krijgt voor de inbreuk op het gemeentelijk politiereglement of de gemeentelijke verordening via een GAS-boete of een alternatieve maatregel. De persoonsgegevens van een mogelijke overtreder worden enkel in het kader van dit doel verwerkt door beide partijen. De overdracht van gegevens gebeurt in deze dossiers op papier, per post. Bij eventuele digitalisering van de doorgifte wordt er gekeken naar de actuele stand van de technologie om een correcte standaard te bepalen. De Politiezone en de Gemeente verzamelen deze gegevens (vaststellingen) in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijken is opgedragen en in uitvoering van de wettelijke bepalingen van de GAS-wet, met name de handhaving van de algemene politieverordening en bescherming tegen inbreuken met betrekking tot overlast.

Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens

De beoogde gegevensverwerking door zowel de gemeente, als de sanctionerend ambtenaar van de provincie Vlaams-Brabant als de politiezone gebeuren in uitvoering van de bepalingen in de GAS-wet. De rechtmatigheid van de verwerking van de gegevens gebeurt op basis van artikel 6 c) en e) van de AVG:

• 6 c): de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de
  verwerkingsverantwoordelijke rust
• 6 e): de verwerking is noodzakelijk voor de vervulling van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen

Elke instantie verwerkt de persoonsgegevens met als uiteindelijk doeleinde: de handhaving van het politiereglement op basis van de GAS-wet. Alle partijen verbinden zich ertoe de verwerkingen van persoonsgegevens uit te voeren conform de respectievelijke verantwoordelijkheden zoals bepaald in deze regeling. Indien één van de partijen meent dat persoonsgegevens worden verwerkt die niet noodzakelijk zijn voor de uitvoering van de bovenbeschreven taak zal hij de andere Partij daarvan op de hoogte brengen. Tenzij de andere Partij kan aantonen dat de betreffende persoonsgegevens wel noodzakelijk zijn, zal de verwerking van deze persoonsgegevens gestaakt worden.

Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel

In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.

Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen

De vaststellers aangeduid door de gemeenteraad en handhavingsambtenaar zullen de meegedeelde persoonsgegevens in het kader van de in artikel 2 vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:

• De sanctionerend ambtenaar van de provincie Vlaams-Brabant 

De sanctionerend ambtenaar van de provincie Vlaams-Brabant zal de uitspraken in het dossier (gasboete of niet; evt. alternatieve maatregel) meedelen aan

• het college van het lokaal bestuur 

De provinciaal sanctionerend ambtenaar kan met het oog op uitvoering van de GAS-boete het dossier doorgeven aan de volgende derden:

• de griffie van de rechtbank
• iedereen die een belang kan aantonen kan kopie van PV en beslissing krijgen conform artikel 28
• politiediensten en het openbaar ministerie kunnen conform artikel 44§4 op vraag persoonsgegevens uit het register ontvangen.

Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling

De persoonsgegevens zullen op permanente basis worden uitgewisseld omdat er elk moment vaststellingen van overtredingen kunnen gebeuren. De mededeling van de persoonsgegevens gebeurt voor onbepaalde duur, zeker zolang het lokaal bestuur van Geetbets de sanctionerend ambtenaar aangeboden door het provinciebestuur van Vlaams-Brabant heeft aangesteld.

Artikel 6: Beveiligingsmaatregelen

De Partijen treffen alle passende technische en organisatorische beveiligingsmaatregelen die nodig zijn om de Persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en de kost voor beveiliging, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. Elke partij zal in haar systemen de Persoonsgegevens beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onwettige Verwerking.

Technische maatregelen

Maatregelen waaraan elke partij gehouden is:

- Elke partij voorziet al zijn systemen van de laatste updates. Beveiligingsupdates worden opgevolgd en geïnstalleerd volgens haar patchmanagementproces

- Elke partij implementeert en handhaaft een autorisatiebeheersysteem dat de toegang controleert tot systemen die persoonsgegevens bevatten

- Elke partij voert anti-malwarecontroles uit om te helpen voorkomen dat kwaadaardige software ongeautoriseerde toegang tot klantengegevens krijgt.

- Elke partij maakt gebruik van beveiligde verbindingen voor de toegang tot haar gegevens on premise of in een (cloud) datacenter. Alle data die verzonden wordt over publieke netwerken gebeurt dan ook aan de hand van encryptie mechanismen

- Elke partij heeft een wijzigingsbeheerproces geïmplementeerd om ervoor te zorgen dat wijzigingen in operationele systemen en toepassingen plaatsvinden op een gecontroleerde wijze.

- De vereisten voor de bescherming van gegevens en systemen worden geanalyseerd en gespecifieerd in samenwerking met de IT leveranciers van elke partij.

Specifieke maatregelen die elke partij neemt voor de beveiliging in de eigen systemen zijn

- Lokaal bestuur van Geetbets

• Vaststellingen inzake sluikstort gebeuren in samenwerking met Ecowerf en Interleuven
• Vaststellingen gebeuren met Dahua-camera’s (model met SD-kaart en 4G-verbinding).
• Beelden worden bekeken via de beveiligde cloudomgeving Belixys en SmartPSS.
• Beveiligingsmaatregelen:
• Logische toegangscontrole: Beelden worden via Extranet gedeeld met een tijdelijke downloadlink voor de sanctionerend ambtenaar.
• Fysieke toegangscontrole: Camera en SD-kaart worden bewaard op een afgesloten locatie. Enkel bevoegde medewerkers mogen de SD-kaart hanteren. De camera wordt veilig opgeborgen wanneer deze niet in gebruik is.
• Traceerbaarheid: Logbestanden registreren wie wanneer inlogt en aanpassingen doet in de cloud of het beeldverwerkingssysteem.
• Een DPIA werd uitgevoerd met als maatregelen:
• Conformiteitsbewijzen van subverwerkers
• Overige vaststellingen gebeuren door de politie, hierbij wordt geen software gebruikt bij het bestuur en er werd dus geen DPIA opgesteld.

- Provinciebestuur van Vlaams-Brabant

• Er werd een DPIA opgemaakt voor de gebruikte toepassingen binnen het GAS beslissingsproces van de provincie. Deze DPIA is opvraagbaar bij de provincie. Daarnaast werden ook volgende specifieke maatregelen in het kader van de gegevensmededeling getroffen:
• logische toegangscontrole
• encryptie in de databank
• gegevenspartitionering
• logging conform artikel 19/1 §5,2°
• fysieke beveiligingsmaatregelen
• vertrouwelijkheidsverklaring

De technologie die ter beschikking wordt gesteld voor de uitwisseling van digitale gegevens is in handen van het provinciebestuur. Het provinciebestuur dient zich eraan te houden om deze uitwisseling te beveiligen. Elke partij die vaststelt dat er kwetsbaarheden zijn in de beveiliging dient zich eraan te houden om het provinciebestuur hiervan onverwijld op de hoogte te brengen. In het geval een partij voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet elke partij uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene 9 verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Elke partij sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Op vraag van een partij bezorgt de andere partij haar een overzicht van de verwerkers die de gevraagde gegevens verwerken.

Organisatorische maatregelen

• Elke partij heeft een functionaris voor gegevensbescherming aangeduid.
  
• Elke partij heeft een actueel veiligheidsbeleid en veiligheidsplan
• Elke partij voorziet opleidingen om alle medewerkers te sensibiliseren voor wat betreft de beveiligingsrichtlijnen- en de beveiligingsprocedures
• Elke partij heeft een segregatie ingevoerd om te vermijden dat personen toegang krijgen tot gegevens waarvoor ze geen toegang nodig hebben voor de uitoefening van hun taak

Artikel 7: Kwaliteit van de persoonsgegevens

Artikelen 21 en 25 van de GAS-wet bepaalt dat zowel de sanctionerend ambtenaar als het lokaal bestuur (als lid van de VVSG) toegang kunnen krijgen tot de volgende authentieke bronnen om na te gaan of persoonsgegevens actueel zijn, op voorwaarde dat zij hiervoor gemachtigd zijn via aansluiting op de bestaande algemene machtigingen van het Rijksregister en/of het Informatieveiligheidscomité federale kamer

• Rijksregister
• DIV databank van de nummerplaten

Partijen spreken af dat de kwaliteits-check op de persoonsgegevens gebeurt door de vaststeller.

Artikel 8: Sanctie bij niet-naleving

Onverminderd haar recht om een schadevergoeding te vorderen en in afwijking van artikel 5, 2°, kunnen zowel het lokaal bestuur als het provinciebestuur dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling eenzijdig beëindigen indien de andere partij deze persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.

Artikel 9: Meldingsplichten

Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar [via de functionarissen voor gegevensbescherming] zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren. Elke partij houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, en de genomen maatregelen. 10 Partijen brengen elkaar onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.

Artikel 10: Toepasselijk recht en geschillenbeslechting

Dit protocol wordt beheerst door het Belgisch recht. Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in het gerechtelijk arrondissement Leuven.

Artikel 11: Inwerkingtreding en opzegging

Dit protocol treedt in werking op datum van ondertekening Indien de aanstelling door de gemeente eindigt vervalt huidig protocol. Het protocol eindigt van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens. De duur van dit protocol loopt zolang de aanstelling door de gemeente duurt.

Artikel 2.

Dit protocol wordt bekendgemaakt op de website van beide partijen. 

Artikel 3.

Afschrift van deze beslissing te bezorgen aan de provincie Vlaams-Brabant.