Algemene regels voor bewijskracht van gegevens die SZ-instellingen verwerken

Er is een nieuw regelgevend kader voor de bewijskracht van de gegevens die door de instellingen van sociale zekerheid worden verwerkt.

Men maakt daarbij een onderscheid tussen de openbare instellingen van sociale zekerheid en de federale overheidsdiensten (FOD Sociale Zekerheid, FOD Werkgelegenheid en POD Maatschappelijke Integratie) enerzijds, en de andere instellingen van sociale zekerheid en de sociale secretariaten voor werkgevers anderzijds. De nieuwe regels vervangen de bestaande specifieke regelingen, zoals bijvoorbeeld de regeling voor de bewijskracht van de door de pensioenadministratie gebruikte gegevens.

Procedure laten erkennen

De eerste categorie van instellingen kan een procedure laten erkennen door de bevoegde minister. Het gaat om voorwaarden en regels voor:

  • het opslaan, bewaren, uitwisselen, meedelen of weergeven,
  • met fotografische, optische, elektronische of andere technieken of op een leesbare drager,
  • van de gegevens waarover zij beschikken of die aan hen zijn overgemaakt voor de toepassing van de sociale zekerheid.

Bij hun voorstel zit een ‘beknopte zelfevaluatie’ in verband met de voorwaarden die opgesomd worden in het nieuwe KB en waaraan de procedure moet voldoen. De documenten worden tegelijkertijd ook voorgelegd aan het sectoraal comité van de sociale zekerheid en van de gezondheid, dat moet nagaan of de voorgestelde procedure voldoet aan de opgesomde voorwaarden. Bijvoorbeeld: ‘de gebruikte technologie waarborgt een getrouwe, duurzame en volledige weergave van de gegevens’.

Het sectoraal comité deelt zijn gemotiveerd advies mee aan de bevoegde minister en aan de aanvrager. De minister zal zijn gemotiveerde beslissing op zijn beurt meedelen aan de aanvrager en aan het sectoraal comité. Het nieuwe KB voorziet daartoe in na te laven termijnen. Vóór hij zijn beslissing neemt, gaat de minister sowieso ook na of de voorwaarden vervuld zijn. Hij kan de uitdrukkelijke of stilzwijgende erkenning intrekken.

Let op! Het sectoraal comité registreert en bewaart de procedures die werden erkend (of geacht worden te zijn erkend). De gegevens die volgens die procedures worden opgeslagen, bewaard, uitgewisseld, meegedeeld of weergegeven (en hun weergave op een leesbare drager) hebben bewijskracht voor de toepassing van de sociale zekerheid, tot bewijs van het tegendeel. Deze bewijskracht geldt vanaf de datum waarop de procedure is erkend of is geacht erkend te zijn.

Andere instellingen

Zoals aangegeven, is er een aparte regeling voor de meewerkende instellingen van sociale zekerheid, de fondsen voor bestaanszekerheid, de openbare centra voor maatschappelijk welzijn, en de sociale secretariaten voor werkgevers.

Die instellingen leggen de procedure vast die ze gebruiken om gegevens via een optische en fotografische techniek op te slaan, te verwerken of mee te delen voor de toepassing ervan in de sociale zekerheid. Dat doen ze ook voor de procedure die ze gebruiken om deze gegevens op papier of op elke andere leesbare drager weer te geven.

Die informatie heeft bewijskracht tot bewijs van het tegendeel, indien de procedure voldoet aan de voorwaarden uit het nieuwe KB, en de gegevens volgens die procedure werden opgeslagen, verwerkt of meegedeeld. Let wel, voor ‘gedigitaliseerde gegevens’ kan de rechtsgeldigheid niet worden ‘ontzegd’ als degene die zich op deze gegevens beroept, kan aantonen dat de afwijking van de voorwaarden de betrouwbaarheid van de gegevens niet in het gedrang heeft gebracht.

Meer concreet. De instelling gebruikt een procedure voor:

  • de systematische en volledige opslag van gegevens;
  • de getrouwe, duurzame en volledige weergave van de informatie;
  • de zorgvuldige bewaring, de systematische classificatie en de beveiliging van de gegevens tegen elke vorm van vervalsing;
  • de integriteit en de leesbaarheid van de gegevens gedurende de volledige bewaartermijn.

De instelling beschikt bovendien over een gedetailleerde, regelmatig bijgewerkte documentatie over de gehanteerde procedure. Die omvat minstens de inlichtingen die worden opgesomd in het nieuwe KB. Denk bijvoorbeeld aan het merk en het type van de gebruikte hardware en de benaming van de gebruikte software. De documentatie van de procedure en de link tussen deze documentatie en de gedigitaliseerde gegevens wordt bijgehouden gedurende de volledige bewaartermijn.

Verder kunnen we volgende voorschriften aanstippen:

  • De toegang tot de gedigitaliseerde gegevens verloopt conform de regels en procedures in voege in de instelling.
  • Elke bewerking van de gedigitaliseerde gegevens wordt samen met de identiteit van de bewerker in een logboek bijgehouden.
  • De gedigitaliseerde gegevens worden bewaard in valideerbare, genormeerde en volledig gedocumenteerde bestandsformaten geschikt voor bewaring op lange termijn (tussenformaat en compressie onder voorwaarden).
  • De gedigitaliseerde gegevens worden op de dag van hun opmaak opgeslagen in een opslaginfrastructuur die de integriteit en de duurzaamheid van de gegevens verzekert.
  • De gedigitaliseerde gegevens en de niet-gedigitaliseerde originele gegevens worden blijvend met elkaar gelinkt via een unieke identifier tot op het moment waarop het origineel vernietigd wordt.
  • De verwerking van de gedigitaliseerde gegevens gebeurt in een EU-lidstaat of in een derde staat (vrij verkeer van diensten, regels voor verwerking van persoonsgegevens).
  • De integriteit van de inhoud, de duurzaamheid, de toegankelijkheid en de leesbaarheid van de gedigitaliseerde gegevens (en de hieraan verbonden metagegevens, reconstrueren) worden gewaarborgd gedurende de door de toepasselijke reglementering opgelegde bewaartermijn.
  • Elk van de gedigitaliseerde gegevens kan binnen een redelijke termijn worden teruggevonden aan de hand van de bijhorende metagegevens en kan waarneembaar of leesbaar gemaakt worden, met inachtneming van de autorisaties (behoud van betrouwbaarheid, integriteit en bruikbaarheid).
  • De veiligheidsmaatregelen die de gegevensintegriteit waarborgen, zijn opgesteld overeenkomstig het informatieveiligheidsbeleid van de instelling (risicoanalyse, informatieveiligheidsbeleid, internationale normen). Het nieuwe KB somt op wat de instellingen op dit vlak moeten doen. Dat zijn de minimale veiligheidsmaatregelen. Daartoe behoort bijvoorbeeld het beschikken over een gedocumenteerd en passend back-upbeleid en een calamiteiten- en herstelplan.

In werking

Het KB van 7 december 2016 treedt in werking op 29 december 2016. Dat is 10 dagen na publicatie in het Belgisch Staatsblad.

Een paar specifieke KB’s die de bewijskracht tot nu regelden, worden opgeheven.

Maar uitdrukkelijke of stilzwijgende erkenningen op grond van die oude KB’s behouden hun uitwerking zolang zij aan de voorwaarden in die teksten blijven voldoen. En aanvragen tot erkenning die al werden ingediend worden behandeld volgens de oude regels.

Bron:Koninklijk besluit van 7 december 2016 over de bewijskracht van de gegevens die door de instellingen van sociale zekerheid worden verwerkt, BS 19 december 2016

Steven Bellemans

Koninklijk besluit over de bewijskracht van de gegevens die door de instellingen van sociale zekerheid worden verwerkt

Afkondigingsdatum : 07/12/2016
Publicatiedatum : 19/12/2016

Gepubliceerd op 20-12-2016

  185