5 SEPTEMBER 2018. - Wet tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG

FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

De Kamer van volksvertegenwoordigers heeft aangenomen en Wij bekrachtigen, hetgeen volgt : HOOFDSTUK 1. - Algemene bepaling

Artikel 1.Deze wet regelt een aangelegenheid als bedoeld in artikel 74 van de Grondwet. HOOFDSTUK 2. - Oprichting van het informatieveiligheidscomité

Art. 2.§ 1. In afwijking van de bepalingen van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens wordt een informatieveiligheidscomité opgericht, samengesteld uit leden die worden aangewezen door de Kamer van volksvertegenwoordigers. § 2. Onverminderd de regeling van zijn werking en bevoegdheden, bij de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid en de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator, bestaat het informatieveiligheidscomité uit de kamer sociale zekerheid en gezondheid en de kamer federale overheid en is het samengesteld uit de volgende acht werkende leden, van wie er vier Nederlandstalig en vier Franstalig zijn: 1° een deskundige inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer die deel uitmaakt van de beide kamers en het voorzitterschap van de beide kamers uitoefent;2° een deskundige inzake elektronisch identiteitsbeheer die deel uitmaakt van de beide kamers;3° een deskundige inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer die deel uitmaakt van de kamer federale overheid;4° een deskundige inzake financiële en fiscale aangelegenheden die deel uitmaakt van de kamer federale overheid;5° twee leden met de hoedanigheid van doctor, licentiaat of master in de rechten, deskundig op het vlak van sociaal recht of gezondheidsrecht, die deel uitmaken van de kamer sociale zekerheid en gezondheid;6° twee leden met de hoedanigheid van arts, deskundig op het vlak van het beheer van persoonsgegevens die de gezondheid betreffen, die deel uitmaken van de kamer sociale zekerheid en gezondheid. De leden bedoeld in het eerste lid, 2°, 4°, 5° en 6°, beschikken minstens over een basiskennis van de informatieveiligheid en de bescherming van de persoonlijke levenssfeer.

Indien het informatieveiligheidscomité in verenigde kamers vergadert, neemt slechts één lid bedoeld in het eerste lid, 5°, en slechts één lid bedoeld in het eerste lid, 6°, aan de vergadering deel. § 3. Voor elk werkend lid wordt onder dezelfde voorwaarden een plaatsvervangend lid aangewezen.

Art. 3.Om tot werkend of plaatsvervangend lid van het informatieveiligheidscomité benoemd te kunnen worden en het te kunnen blijven, moeten de kandidaten aan de volgende voorwaarden voldoen: 1° Belg of onderdaan van de Europese Unie zijn;2° de burgerlijke en politieke rechten genieten;3° voor wat betreft de kamer sociale zekerheid en gezondheid, niet onder het hiërarchisch gezag van de minister bevoegd voor de sociale zekerheid of de minister bevoegd voor de volksgezondheid staan en onafhankelijk zijn van de instellingen van sociale zekerheid, van de Kruispuntbank van de sociale zekerheid en de organisaties die in het beheerscomité van de Kruispuntbank van de sociale zekerheid zijn vertegenwoordigd, van het eHealth-platform en de organisaties die in het beheerscomité van het eHealth-platform zijn vertegenwoordigd, van de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, van het Federaal Kenniscentrum voor de Gezondheidszorg en van de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr.78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen; 4° voor wat betreft de kamer federale overheid, niet onder het hiërarchisch gezag van een federaal minister staan en onafhankelijk zijn van de federale overheidsdiensten;5° geen lid zijn van het Europees Parlement, van het federaal parlement of van een parlement van de gemeenschappen en de gewesten;6° geen lid zijn van de federale regering, een Gemeenschapsregering of een Gewestregering en evenmin een functie uitoefenen in een beleidscel van een minister;7° geen lid zijn van de Gegevensbeschermingsautoriteit en niet behoren tot haar personeel.

Art. 4.§ 1. De leden van het informatieveiligheidscomité worden voor een hernieuwbare termijn van zes jaar benoemd door de Kamer van volksvertegenwoordigers en worden door de Ministerraad voorgedragen.

Ze kunnen van hun opdracht worden ontheven door de Kamer van volksvertegenwoordigers.

Wanneer het mandaat van een werkend of plaatsvervangend lid een einde neemt vóór de vastgestelde datum, wordt dat lid zo spoedig mogelijk vervangen. Het nieuwe lid voleindigt het mandaat van het voormalige lid dat het vervangt. § 2. Vóór ze hun ambt aanvaarden, leggen de leden van het informatieveiligheidscomité in handen van de voorzitter van de Kamer van volksvertegenwoordigers de volgende eed af: "Ik zweer de plichten van mijn opdracht gewetensvol en onpartijdig te vervullen.".

Art. 5.Binnen de grenzen van hun bevoegdheden krijgen de leden van het informatieveiligheidscomité van niemand onderrichtingen. Zij kunnen niet van hun mandaat worden ontheven voor meningen die zij uiten of daden die zij stellen bij het vervullen van hun functie.

De leden van het informatieveiligheidscomité zijn onpartijdig en objectief en laten zich niet leiden door vooringenomenheid, in welke vorm dan ook. Zij motiveren hun beslissingen, zowel formeel als materieel, en leven de beginselen van behoorlijk bestuur zeer strikt na.

De leden van het informatieveiligheidscomité en hun medewerkers zijn gehouden tot een vertrouwelijkheidsverplichting met betrekking tot alles wat ze uit hoofde van hun functie hebben kunnen vernemen.

Art. 6.§ 1. Indien de werkende voorzitter verhinderd of afwezig is of niet kan deelnemen aan de besluitvorming wegens een belangenconflict oefent het werkend lid bedoeld in artikel 2, eerste lid, 2°, zijn functie uit. Indien het werkend lid bedoeld in artikel 2, eerste lid, 2°, niet beschikbaar is, verdelen de overige leden de taken van de werkende voorzitter onder elkaar, onder leiding van het lid met de grootste anciënniteit of, bij gelijkheid van anciënniteit, van het oudste lid. § 2. De plaatsvervangende leden vervangen de werkende leden indien zij verhinderd of afwezig zijn of in afwachting van hun vervanging bedoeld in artikel 4, § 1, tweede lid. § 3. Een plaatsvervanger van een werkend lid bedoeld in artikel 2, § 2, eerste lid, 5° of 6°, kan slechts deelnemen aan een vergadering van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité indien dat werkend lid niet zelf aan die vergadering deelneemt of indien noch het ander werkend lid met dezelfde hoedanigheid noch de plaatsvervanger van het ander werkend lid met dezelfde hoedanigheid zelf aan die vergadering deelnemen.

Art. 7.Het lid dat het voorzitterschap van het informatieveiligheidscomité uitoefent, heeft per vergadering van het informatieveiligheidscomité die het bijwoont recht op twee maal het presentiegeld bedoeld in artikel 8.

Art. 8.De leden, met uitzondering van het lid dat het voorzitterschap uitoefent, hebben per vergadering van het informatieveiligheidscomité die ze bijwonen recht op een presentiegeld van 250 euro (indexcijfer 1,67374). Dat bedrag is gekoppeld aan de evolutie van het indexcijfer van de consumptieprijzen.

De leden, met inbegrip van het lid dat het voorzitterschap uitoefent, hebben recht op de vergoedingen voor reis- en verblijfskosten volgens de bepalingen die van toepassing zijn op het personeel van de federale overheidsdiensten. HOOFDSTUK 3. - Wijziging van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid

Art. 9.In artikel 2, eerste lid, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid worden de volgende wijzigingen aangebracht: a) de bepaling onder 7°, vervangen bij de wet van 25 januari 1999 en gewijzigd bij de wet van 12 augustus 2000, wordt vervangen als volgt: "7° "sociale gegevens van persoonlijke aard die de gezondheid betreffen": sociale gegevens van persoonlijke aard die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder sociale gegevens van persoonlijke aard over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;"; b) de bepaling onder 10°, ingevoegd bij de wet van 26 februari 2003 en gewijzigd bij de wet van 1 maart 2007, wordt vervangen als volgt: "10° "informatieveiligheidscomité": het informatieveiligheidscomité opgericht met toepassing van de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG;"; c) het lid wordt aangevuld met de bepaling onder 11°, luidende: "11° "eHealth-platform": het eHealth-platform bedoeld in artikel 2 van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen.".

Art. 10.In artikel 4 van dezelfde wet, vervangen bij de wet van 1 maart 2007, worden de volgende wijzigingen aangebracht: a) in § 5, eerste lid, worden de woorden "een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan die onder meer de functie vervult van aangestelde voor de gegevensbescherming bedoeld in artikel 17bis van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens" vervangen door de woorden "een functionaris voor gegevensbescherming aan, voor zover deze nog niet is aangewezen met toepassing van de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG of het artikel 24"; b) § 5, tweede lid, wordt vervangen als volgt: "De identiteit van de functionaris voor gegevensbescherming wordt meegedeeld aan de Kruispuntbank."; c) § 5, derde lid, wordt opgeheven; d) § 6, 1°, wordt vervangen als volgt: "1° bij naam de organen of aangestelden aan te wijzen die omwille van hun bevoegdheden gemachtigd zijn om toegang te hebben tot de identificatiegegevens of er mededeling van te bekomen, hen te informeren over de relevante regelgeving over de bescherming van de persoonlijke levenssfeer bij het verwerken van persoonsgegevens en een lijst van die organen of aangestelden op te stellen, bij te houden en permanent te actualiseren;".

Art. 11.Artikel 5 van dezelfde wet, vervangen bij de wet van 2 augustus 2002 en gewijzigd bij de wetten van 26 februari 2003 en 1 maart 2007, wordt vervangen als volgt: "

Art. 5.§ 1. De Kruispuntbank verzamelt sociale gegevens bij de instellingen van sociale zekerheid, slaat ze op, voegt ze samen en deelt ze mee aan personen die ze nodig hebben voor het verrichten van onderzoeken die nuttig zijn voor de kennis, de conceptie en het beheer van de sociale bescherming. § 2. De Kruispuntbank gebruikt de met toepassing van paragraaf 1 verzamelde sociale gegevens voor het bepalen van de doelgroep van onderzoeken die worden verricht door de bevraging van de proefpersonen.

Die bevraging van de proefpersonen gebeurt in principe door de Kruispuntbank in opdracht van de uitvoerder van het onderzoek, zonder dat sociale gegevens van persoonlijke aard van de proefpersonen aan de uitvoerder van het onderzoek worden meegedeeld. § 3. Voor de toepassing van dit artikel wordt de Kruispuntbank beschouwd als een intermediaire organisatie, in de zin van een andere organisatie dan de verantwoordelijke voor de verwerking van niet-gepseudonimiseerde persoonsgegevens die instaat voor het pseudonimiseren ervan.".

Art. 12.In dezelfde wet wordt een artikel 5bis ingevoegd, luidende: "

Art. 5bis.Onverminderd de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), kunnen de instellingen van sociale zekerheid bedoeld in artikel 2, 2°, de sociale inspectiediensten en de directie van de administratieve geldboeten van de afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, hetzij elk voor zich, hetzij gezamenlijk, met het oog op de preventie, de vaststelling, de vervolging en de bestraffing van de inbreuken op de sociale reglementering die tot hun respectieve bevoegdheden behoren en met het oog op de inning en invordering van de bedragen die tot hun respectieve bevoegdheden behoren, desgevallend na beraadslaging van de bevoegde kamer van het informatieveiligheidscomité, alle gegevens die nodig zijn voor de toepassing van de wetgeving betreffende het arbeidsrecht en de sociale zekerheid verzamelen, verwerken en samenvoegen in een datawarehouse waarmee ze in staat worden gesteld om processen van datamining en datamatching, met inbegrip van profilering in de zin van artikel 4, 4), van de algemene verordening gegevensbescherming, uit te voeren.

Voor de toepassing van deze bepaling wordt verstaan onder: 1° "datawarehouse": een datasysteem met een grote hoeveelheid digitale gegevens die zich lenen voor analyse;2° "datamining": het op geavanceerde wijze zoeken naar informatie in grote gegevensbestanden;3° "datamatching": het vergelijken van meerdere sets van verzamelde data met elkaar. De verwerkingsverantwoordelijke voor de in het eerste lid bedoelde gegevensverwerking is de instelling of dienst genoemd in het eerste lid die voor de betreffende verwerking in het datawarehouse instaat.

Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de verwerkingen in het datawarehouse niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt met inbegrip van de vereisten inzake de toepassing van herhaling en de herroeping van een toegekend uitstel met een maximale bewaartermijn die één jaar na de verjaring van alle vorderingen die tot de bevoegdheid van de verwerkingsverantwoordelijke behoren en, in voorkomend geval, de integrale betaling van alle hiermee verbonden bedragen niet mag overschrijden.

De verwerkingsverantwoordelijke stelt een lijst op van de categorieën van personen die de persoonsgegevens in het datawarehouse kunnen raadplegen, met een beschrijving van hun hoedanigheid ten opzichte van de verwerking van de beoogde gegevens. Deze lijst wordt ter beschikking gehouden van de Gegevensbeschermingsautoriteit.

De verwerkingsverantwoordelijke waakt erover dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling, ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen.

Wanneer persoonsgegevens worden meegedeeld aan de Kruispuntbank of aan een instelling van sociale zekerheid, moet de beraadslaging in voorkomend geval bepalen dat deze gegevens verwerkt kunnen worden in het kader van de doeleinden van de verwerking in het datawarehouse bedoeld in het eerste lid.".

Art. 13.In dezelfde wet wordt een artikel 5ter ingevoegd, luidende: "

Art. 5ter.§ 1. Onverminderd de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), kunnen de instellingen van sociale zekerheid bedoeld in artikel 2, 2°, de sociale inspectiediensten en de directie van de administratieve geldboeten van de afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, met inachtneming van deze wet, en ieder voor wat betreft de verwerkingen van persoonsgegevens waarvoor hij de verwerkingsverantwoordelijke is, alle gegevens die nodig zijn voor de toepassing van de wetgeving betreffende het arbeidsrecht en de sociale zekerheid verder verwerken wanneer en voor zover zowel de initiële verwerking als de verdere verwerking wordt verricht met het oog op de preventie, de vaststelling, de vervolging en de bestraffing van de inbreuken op de sociale wetgeving die tot hun respectieve bevoegdheden behoren. § 2. Onverminderd de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), kunnen de instellingen van sociale zekerheid bedoeld in artikel 2, 2°, de sociale inspectiediensten en de directie van de administratieve geldboeten van de afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, met inachtneming van deze wet en ieder voor wat betreft de verwerkingen van persoonsgegevens waarvoor hij de verwerkingsverantwoordelijke is, alle gegevens die nodig zijn voor de toepassing van de wetgeving betreffende het arbeidsrecht en de sociale zekerheid verder verwerken wanneer en voor zover zowel de initiële verwerking als de verdere verwerking wordt verricht met het oog op de inning en invordering van de bedragen die tot hun bevoegdheid behoren. § 3. De instellingen en diensten bedoeld in paragraaf 1 kunnen de persoonsgegevens die werden verzameld voor een ander doeleinde dan de sociale zekerheid en het arbeidsrecht slechts verder verwerken op voorwaarde dat deze latere verwerking desgevallend het voorwerp heeft uitgemaakt van een beraadslaging van de bevoegde kamer van het informatieveiligheidscomité. § 4. Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de verdere verwerkingen bedoeld in paragraaf 1 niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt met inbegrip van de vereisten inzake de toepassing van herhaling en de herroeping van een toegekend uitstel, met een maximale bewaartermijn die één jaar na de verjaring van alle vorderingen die tot de bevoegdheid van de verwerkingsverantwoordelijke behoren, en in voorkomend geval, de integrale betaling van alle hiermee verbonden bedragen, niet mag overschrijden.".

Art. 14.In artikel 11bis, § 2, van dezelfde wet, ingevoegd bij de wet van 8 april 2003 en gewijzigd bij de wet van 20 december 2016, worden de volgende wijzigingen aangebracht: a) de woorden ", onverminderd artikel 4, tweede lid" worden opgeheven;b) de woorden "het sectoraal comité van de sociale zekerheid en van de gezondheid" worden vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 15.In artikel 12, tweede lid, van dezelfde wet, gewijzigd bij de wetten van 26 februari 2003 en 1 maart 2007, worden de woorden "de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 16.In artikel 13 van dezelfde wet, vervangen bij de wet van 1 maart 2007, worden de woorden "in de artikelen 15 en 46, eerste lid, 1°, " vervangen door de woorden "in artikel 15".

Art. 17.In artikel 14 van dezelfde wet, gewijzigd bij de wetten van 2 augustus 2002, 27 december 2004 en 1 maart 2007, worden de volgende wijzigingen aangebracht: a) in het vierde lid worden de woorden "De afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité"; b) het artikel wordt aangevuld met een vijfde lid, luidende: "Een mededeling van persoonsgegevens door of aan een instantie van een Gemeenschap of een Gewest, vrijwillig ingeschakeld in het netwerk met toepassing van artikel 18, aan of door een andere instantie van dezelfde Gemeenschap of hetzelfde Gewest gebeurt niet met de tussenkomst van de Kruispuntbank, tenzij deze instanties hierom verzoeken.".

Art. 18.Artikel 15 van dezelfde wet, gewijzigd bij de wetten van 2 augustus 2002, 26 februari 2003 en 1 maart 2007, wordt vervangen als volgt: "

Art. 15.§ 1. Elke mededeling van sociale gegevens van persoonlijke aard door de Kruispuntbank van de sociale zekerheid of een instelling van sociale zekerheid aan een andere instelling van sociale zekerheid of aan een andere instantie dan een federale overheidsdienst, een programmatorische overheidsdienst of een federale instelling van openbaar nut vereist een voorafgaande beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité.

De Koning kan bij een besluit vastgesteld na overleg in de Ministerraad bepalen welke mededelingen van sociale gegevens van persoonlijke aard door de Kruispuntbank van de sociale zekerheid of een instelling van sociale zekerheid aan een andere instelling van sociale zekerheid geen beraadslaging van het informatieveiligheidscomité vereisen en of het informatieveiligheidscomité er dan al dan niet vooraf van op de hoogte moet worden gebracht.

Een mededeling van persoonsgegevens tussen instanties van eenzelfde Gemeenschap of Gewest, voor zover die niet gebeurt met tussenkomst van de Kruispuntbank, vereist geen voorafgaande beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité. § 2. Elke mededeling van sociale gegevens van persoonlijke aard door de Kruispuntbank van de sociale zekerheid of een instelling van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, a), aan een andere federale overheidsdienst, programmatorische overheidsdienst of federale instelling van openbaar nut dan een instelling van sociale zekerheid, vereist een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité voor zover de verwerkingsverantwoordelijken van de meedelende instantie, de ontvangende instantie en de Kruispuntbank van de sociale zekerheid in uitvoering van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, niet tot een akkoord komen over de mededeling of minstens één van die verwerkingsverantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld. In vermelde gevallen wordt de aanvraag ambtshalve gezamenlijk ingediend door betrokken verwerkingsverantwoordelijken.

Elke mededeling van sociale gegevens van persoonlijke aard door een andere instelling van sociale zekerheid dan bedoeld in artikel 2, eerste lid, 2°, a), aan een andere federale overheidsdienst, programmatorische overheidsdienst of federale instelling van openbaar nut dan een instelling van sociale zekerheid, vereist een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité.

De mededeling van sociale gegevens van persoonlijke aard overeenkomstig deze paragraaf aan instellingen die gegevens verwerken met het oog op statistische doeleinden, gebeurt op basis van een algemene of een specifieke beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité.

Een beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is niet vereist voor de mededeling van sociale gegevens van persoonlijke aard door de Kruispuntbank van de sociale zekerheid of een instelling van sociale zekerheid aan het Algemeen Rijksarchief en Rijksarchief in de Provinciën.

Vooraleer haar beraadslaging te verlenen, gaat de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité na of de mededeling in overeenstemming met deze wet en haar uitvoeringsmaatregelen geschiedt. Voor zover een aanvraag alle noodzakelijke elementen bevat om een beraadslaging te verlenen en als dusdanig wordt ingediend binnen de dertig kalenderdagen vóór een bepaalde vergadering, wordt zij in beginsel behandeld tijdens de vergadering die op de voormelde vergadering volgt. De aanvrager ontvangt binnen een week een ontvangstmelding met de vermelding of de ingediende aanvraag al dan niet volledig is.

Een beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is niet vereist voor de mededeling van gepseudonimiseerde sociale gegevens van persoonlijke aard bedoeld in de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, die de Kruispuntbank overeenkomstig artikel 5, § 1, eerste lid, verricht aan de ministers die de sociale zekerheid onder hun bevoegdheid hebben, de Wetgevende Kamers, de openbare instellingen van sociale zekerheid, de Algemene Directie Statistiek - Statistics Belgium van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie en de andere statistische autoriteiten zoals bepaald in het samenwerkingsakkoord van 15 juli 2014 betreffende de nadere regels voor de werking van het Interfederaal Instituut voor de Statistiek, de Nationale Arbeidsraad, de Hoge Raad voor de Zelfstandigen en de Kleine en Middelgrote Ondernemingen, het Planbureau of de Nationale Bank van België. § 3. Voor zover de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité een beraadslaging moet verlenen voor een mededeling van persoonsgegevens, kan zij in voorkomend geval eveneens een beraadslaging verlenen voor het gebruik van het identificatienummer van het Rijksregister van de natuurlijke personen door de betrokken instanties indien dat noodzakelijk is in het kader van de beoogde mededeling. § 4. De beraadslagingen van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité worden met redenen omkleed. § 5. Voor zover het informatieveiligheidscomité een beraadslaging verleent voor de mededeling van persoonsgegevens door de federale overheid is die, in afwijking van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, vrijgesteld van de verplichting om dienaangaande met de bestemmeling van de persoonsgegevens een protocol op te stellen.".

Art. 19.In artikel 20 van dezelfde wet, vervangen bij de wet van 29 april 1996 en gewijzigd bij de wetten van 26 februari 2003 en 1 maart 2007, worden de volgende wijzigingen aangebracht: a) § 1, tweede lid, wordt opgeheven;b) in § 2 wordt de eerste zin vervangen als volgt: " § 2.In afwijking van artikel 19 van de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG delen de instellingen van sociale zekerheid en de Kruispuntbank de verbeteringen en verwijderingen van sociale gegevens van persoonlijke aard uitsluitend mee aan de persoon op wie de gegevens betrekking hebben.".

Art. 20.Artikel 22 van dezelfde wet wordt opgeheven.

Art. 21.Artikel 23 van dezelfde wet, gewijzigd bij de wet van 12 augustus 2000, wordt opgeheven.

Art. 22.Het opschrift van afdeling 3 van hoofdstuk IV van dezelfde wet wordt vervangen als volgt: "Afdeling 3. de functionarissen voor gegevensbescherming".

Art. 23.Artikel 24 van dezelfde wet, vervangen bij de wet van 6 augustus 1993 en gewijzigd bij de wetten van 26 februari 2003 en 1 maart 2007, wordt vervangen als volgt: "

Art. 24.Iedere instelling van sociale zekerheid wijst, al dan niet onder haar personeel, een functionaris voor gegevensbescherming aan en deelt zijn identiteit mee aan de Kruispuntbank.

Ook de Kruispuntbank wijst, al dan niet onder haar personeel, een functionaris voor gegevensbescherming aan.".

Art. 24.Artikel 25 van dezelfde wet, vervangen bij de wet van 6 augustus 1993 en gewijzigd bij de wet van 24 december 2002, wordt vervangen als volgt: "

Art. 25.De functionaris voor gegevensbescherming bedoeld in artikel 24, eerste en tweede lid, vervult de taken die hem worden toegekend door de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG en staat voorts, met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt of uitgewisseld en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevens betrekking hebben, in voor: 1° het verstrekken van adviezen aan de persoon belast met het dagelijks bestuur;2° het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd, voor zover dit zijn onafhankelijkheid niet in het gedrang brengt en voor zover de inhoud en de hoeveelheid van de andere toevertrouwde opdrachten hem in staat stellen om zijn taken als functionaris voor gegevensbescherming conform de hogervermelde verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 uit te voeren. De functionaris voor gegevensbescherming van de Kruispuntbank verstrekt bovendien adviezen over de veiligheid van het netwerk.

De Koning kan, na advies van de Gegevensbeschermingsautoriteit, de regels bepalen volgens dewelke de functionaris voor gegevensbescherming bijkomende opdrachten uitvoert.".

Art. 25.In artikel 26, § 1, van dezelfde wet, gewijzigd bij de wetten van 12 augustus 2000, 26 februari 2003 en 1 maart 2007, worden de volgende wijzigingen aangebracht: a) het woord "geneesheer" wordt telkens vervangen door de woorden "beroepsbeoefenaar in de gezondheidszorg";b) de woorden "de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" worden vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 26.In artikel 28 van dezelfde wet, gewijzigd bij de wetten van 12 augustus 2000, 26 februari 2003 en 1 maart 2007, worden de woorden "wanneer hij geroepen wordt om in rechte, in het raam van de uitoefening van het recht van onderzoek toevertrouwd aan de Kamers door artikel 56 van de gecoördineerde Grondwet, in het raam van het onderzoek van een zaak door het sectoraal comité van de sociale zekerheid en van de gezondheid van de Kruispuntbank getuigenis af te leggen," vervangen door de woorden "wanneer hij geroepen wordt om in rechte of in het raam van de uitoefening van het recht van onderzoek bedoeld in artikel 56 van de gecoördineerde Grondwet een getuigenis af te leggen,".

Art. 27.In artikel 32, tweede lid, van dezelfde wet, gewijzigd bij de wetten van 26 februari 2003 en 1 maart 2007, worden de woorden "het bij artikel 37 opgerichte sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 28.Het opschrift van hoofdstuk VI van dezelfde wet, vervangen bij de wet van 1 maart 2007, wordt vervangen als volgt: "Hoofdstuk VI. De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 29.Artikel 37 van dezelfde wet, vervangen bij de wet van 1 maart 2007 en gewijzigd bij de wet van 21 augustus 2008, wordt opgeheven.

Art. 30.Artikel 38 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wetten van 1 maart 2007 en 21 augustus 2008, wordt opgeheven.

Art. 31.Artikel 39 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wetten van 1 maart 2007 en 21 augustus 2008, wordt opgeheven.

Art. 32.Artikel 40 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wet van 1 maart 2007, wordt opgeheven.

Art. 33.Artikel 41 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wet van 1 maart 2007, wordt vervangen als volgt: "

Art. 41.De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is gevestigd en heeft zijn vergaderingen bij de Kruispuntbank, die de kantoren en de kantooruitrusting ter beschikking stelt die nodig zijn voor de werking en het voorzitterschap en gespecialiseerd personeel, voor zover daar nood aan is om de taken van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité tot een goed einde te brengen. De voorzitter van het informatieveiligheidscomité draagt de functionele verantwoordelijkheid over dat personeel wat betreft de opdrachten die het voor het informatieveiligheidscomité uitvoert.".

Art. 34.Artikel 42 van dezelfde wet, vervangen bij de wet van 1 maart 2007 en gewijzigd bij de wet van 21 augustus 2008, wordt vervangen als volgt: "

Art. 42.§ 1. De Kruispuntbank stelt een juridisch en technisch advies op over elke aanvraag aangaande de mededeling van sociale gegevens van persoonlijke aard waarvan zij van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité een afschrift ontvangt.

De Kruispuntbank en de federale overheidsdienst Beleid en Ondersteuning stellen gezamenlijk een juridisch en technisch advies op over elke aanvraag aangaande de mededeling van persoonsgegevens die door de verenigde kamers van het informatieveiligheidscomité behandeld wordt. § 2. Het eHealth-platform stelt een juridisch en technisch advies op over elke aanvraag aangaande de mededeling van persoonsgegevens die de gezondheid betreffen waarvan het van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité een afschrift ontvangt.

De voorzitter van het informatieveiligheidscomité en de leidend ambtenaar van het eHealth-platform kunnen elk beslissen om bij het opstellen van het juridisch en technisch advies een beroep te doen op de ondersteuning van de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, het Rijksinstituut voor Ziekte- en Invaliditeitsverzekering, het Federaal Kenniscentrum voor de Gezondheidszorg of de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen.

In afwijking van het eerste lid, stelt de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen een juridisch en technisch advies op over elke aanvraag aangaande de verwerkingen van persoonsgegevens bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen die zij bij het informatieveiligheidscomité indient.".

Art. 35.Artikel 43 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wetten van 1 maart 2007 en 21 augustus 2008, wordt vervangen als volgt: "

Art. 43.De werkingskosten van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité, met inbegrip van de aan de voorzitter en de andere leden uitgekeerde vergoedingen en terugbetalingen van kosten voor zover die betrekking hebben op de uitvoering van de opdrachten van deze kamer, worden gedragen door de Kruispuntbank en het eHealth-platform, met uitzondering van de kosten voor de ondersteuning door de Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, het Rijksinstituut voor Ziekte- en Invaliditeitsverzekering, het Federaal Kenniscentrum voor de Gezondheidszorg of de stichting bedoeld in artikel 45quinquies van het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen, bedoeld in artikel 42, § 2, die in voorkomend geval worden gedragen door de betrokken ondersteunende instantie.".

Art. 36.Artikel 43bis van dezelfde wet, ingevoegd bij de wet van 1 maart 2007, wordt opgeheven.

Art. 37.Artikel 44 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wet van 1 maart 2007, wordt opgeheven.

Art. 38.Artikel 45 van dezelfde wet, vervangen bij de wet van 26 februari 2003 en gewijzigd bij de wetten van 1 maart 2007 en 21 augustus 2008, wordt vervangen als volgt: "

Art. 45.De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité stelt zijn huishoudelijk reglement vast, dat onder meer de nadere regels met betrekking tot het indienen van aanvragen bevat en wordt bekrachtigd bij een besluit vastgesteld na overleg in de Ministerraad.".

Art. 39.Artikel 46 van dezelfde wet, gewijzigd bij de wetten van 6 augustus 1993, 2 januari 2001, 24 december 2002, 26 februari 2003 en 1 maart 2007, wordt vervangen als volgt: "

Art. 46.§ 1. De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité is met het oog op de bescherming van de persoonlijke levenssfeer belast met de volgende taken: 1° het formuleren van de goede praktijken die het nuttig acht voor de uitvoering en de naleving van deze wet en haar uitvoeringsmaatregelen en van de door of krachtens de wet vastgestelde bepalingen tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die de gezondheid betreffen;2° het vaststellen van de regels voor de mededeling van anonieme gegevens met toepassing van artikel 5, § 1, en het verlenen van beraadslagingen dienaangaande indien de aanvrager van de hogervermelde regels wil afwijken;3° het vaststellen van de regels voor de bevraging van proefpersonen met toepassing van artikel 5, § 2, en het verlenen van beraadslagingen dienaangaande indien de aanvrager van de hogervermelde regels wil afwijken;4° het vrijstellen van de instellingen van sociale zekerheid om zich tot de Kruispuntbank te richten, overeenkomstig artikel 12, tweede lid;5° het verlenen van beraadslagingen voor mededelingen van sociale gegevens van persoonlijke aard, overeenkomstig artikel 15, en het bijhouden en publiceren, op de website van de Kruispuntbank, van de lijst van die beraadslagingen;6° het verlenen van beraadslagingen voor de mededelingen van persoonsgegevens die de gezondheid betreffen, voor zover die beraadslagingen worden opgelegd door artikel 42 van de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid of door een andere bepaling vastgesteld door of krachtens de wet, en het bijhouden en publiceren, op de website van het eHealth-platform, van de lijst van die beraadslagingen;7° het inhoudelijk ondersteunen van de functionarissen voor gegevensbescherming, onder andere door het aanbieden van een passende voortdurende vorming en het formuleren van aanbevelingen, onder meer op het technische vlak;8° het jaarlijks publiceren, op de website van de Kruispuntbank en op de website van het eHealth-platform, van een beknopt verslag over de vervulling van haar opdrachten tijdens het afgelopen jaar met bijzondere aandacht voor de dossiers waarover niet tijdig beslist kon worden. § 2. De beraadslagingen van het informatieveiligheidscomité hebben een algemene bindende draagwijdte tussen partijen en jegens derden en mogen niet in strijd zijn met hogere rechtsnormen.

De Gegevensbeschermingsautoriteit kan elke beraadslaging van het informatieveiligheidscomité te allen tijde, ongeacht wanneer zij werd verleend, toetsen aan hogere rechtsnormen. Onverminderd haar andere bevoegdheden kan zij, als ze op een gemotiveerde wijze vaststelt dat een beraadslaging niet in overeenstemming is met een hogere rechtsnorm, het informatieveiligheidscomité vragen om die beraadslaging op de punten die ze aangeeft binnen de vijfenveertig dagen en uitsluitend voor de toekomst te heroverwegen. In voorkomend geval legt het informatieveiligheidscomité de gewijzigde beraadslaging ter advies voor aan de Gegevensbeschermingsautoriteit. Voor zover die niet binnen de vijfenveertig dagen bijkomende opmerkingen formuleert, wordt de gewijzigde beraadslaging geacht definitief te zijn.".

Art. 40.De artikelen 47 tot en met 52 van dezelfde wet, gewijzigd bij de wetten van 26 februari 2003 en 1 maart 2007, worden opgeheven. HOOFDSTUK 4. - Wijziging van de wet van 24 februari 2003 betreffende de modernisering van het beheer van de sociale zekerheid en betreffende de elektronische communicatie tussen ondernemingen en de federale overheid

Art. 41.In artikel 4/2, § 1, derde lid, van de wet van 24 februari 2003 betreffende de modernisering van het beheer van de sociale zekerheid en betreffende de elektronische communicatie tussen ondernemingen en de federale overheid, ingevoegd bij de wet van 19 maart 2013, worden de woorden "De afdeling Sociale Zekerheid van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid" vervangen door de woorden "De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG". HOOFDSTUK 5. - Wijzigingen van de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid

Art. 42.Het opschrift van titel II, hoofdstuk VII, van de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid, vervangen bij de wet van 1 maart 2007, wordt vervangen als volgt: "Hoofdstuk VII. Het informatieveiligheidscomité - kamer sociale zekerheid en gezondheid".

Art. 43.In artikel 42, § 2, van dezelfde wet, gewijzigd bij de wet van 1 maart 2007, worden de volgende wijzigingen aangebracht: a) de woorden "De afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid bedoeld in artikel 37 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid" worden vervangen door de woorden "De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";b) in de bepaling onder 3° worden de woorden "in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens" opgeheven;c) in de bepaling onder 3° wordt de bepaling onder de derde streep, beginnend met de woorden "in de gevallen bedoeld in artikel 15, § 2, van de wet van 15 januari 1990", opgeheven. d) in de bepaling onder 3° wordt een vijfde streep toegevoegd, luidende: "indien gegevens worden meegedeeld tussen instanties van eenzelfde Gemeenschap of Gewest die geen gebruik maken van de basisdiensten van het eHealth-platform, bedoeld in de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen.". HOOFDSTUK 6. - Wijzigingen van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen

Art. 44.In artikel 3 van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen, gewijzigd bij het koninklijk besluit van 11 december 2013, worden de volgende wijzigingen aangebracht: a) de bepaling onder 9° wordt vervangen als volgt: "9° persoonsgegevens die de gezondheid betreffen: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder persoonsgegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;"; b) het artikel wordt aangevuld met de bepaling onder 10°, luidende: "10° het informatieveiligheidscomité: het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG.".

Art. 45.In artikel 5, van dezelfde wet, gewijzigd bij de wet van 10 april 2014, worden de volgende wijzigingen aangebracht: a) in de bepaling onder 4°, b), worden de woorden "advies van de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "beraadslaging van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";b) in de bepaling onder 8° worden de woorden "het, als intermediaire organisatie, zoals gedefinieerd krachtens de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzamelen," vervangen door de woorden "het als intermediaire organisatie, in de zin van een organisatie andere dan de verantwoordelijke voor de verwerking van niet-gepseudonimiseerde persoonsgegevens die instaat voor het pseudonimiseren ervan, inzamelen,";c) in de bepaling onder 8° worden de woorden "de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 46.Artikel 6 van dezelfde wet wordt vervangen als volgt: "

Art. 6.Deze wet doet op geen enkele wijze afbreuk aan de wet van 22 augustus 2002 betreffende de rechten van de patiënt of aan de wettelijke en reglementaire bepalingen met betrekking tot de uitoefening van de geneeskunde.".

Art. 47.In artikel 8/1 van dezelfde wet, ingevoegd bij wet van 19 maart 2013, worden de volgende wijzigingen aangebracht: a) het tweede lid wordt vervangen als volgt: "De in het eerste lid vermelde uitwisselingen worden uitgevoerd in overeenstemming met de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG."; b) in het vierde lid worden de woorden "die vergelijkbare waarborgen inzake informatieveiligheid bieden en die onderworpen zijn aan de specifieke controle door het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "waarvan de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité vaststelt dat die vergelijkbare waarborgen inzake informatieveiligheid bieden".

Art. 48.In artikel 9 van dezelfde wet worden de volgende wijzigingen aangebracht: a) het woord "informatieveiligheidsconsulent" wordt telkens vervangen door het woord "functionaris voor gegevensbescherming";b) in paragraaf 1 worden de woorden "onder het personeel tewerkgesteld in zijn schoot en na advies van de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "al dan niet onder zijn personeel";c) in paragraaf 2 worden tussen de woorden "eHealth-platform" en "staat" de woorden "vervult de taken die hem worden toegekend door de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG en" ingevoegd. d) paragraaf 2, 2, wordt vervangen als volgt: "het uitvoeren van andere opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd, voor zover dit zijn onafhankelijkheid niet in het gedrang brengt en voor zover de inhoud en de hoeveelheid van de andere toevertrouwde opdrachten hem in staat stellen om zijn taken als functionaris voor gegevensbescherming conform de hogervermelde verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 uit te voeren.".

Art. 49.In artikel 10 van dezelfde wet worden de volgende wijzigingen aangebracht: a) in het eerste lid worden de woorden "onder het personeel tewerkgesteld in de schoot van het eHealthplatform" vervangen door de woorden "al dan niet onder het personeel van het eHealthplatform";b) in het eerste lid worden de woorden "de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";c) het woord "geneesheer" wordt telkens vervangen door de woorden "beroepsbeoefenaar in de gezondheidszorg".

Art. 50.In artikel 11 van dezelfde wet worden de volgende wijzigingen aangebracht: a) in het eerste lid worden de woorden "de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid, bedoeld in artikel 37 van de Wet Kruispuntbank Sociale Zekerheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";b) de bepaling onder 1° wordt opgeheven";c) in het derde lid worden de woorden "het bevoegde sectoraal comité" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";d) in het vierde lid worden de woorden "een sectoraal comité opgericht binnen de schoot van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";e) in het vierde lid worden de woorden "gecodeerde persoonsgegevens, zoals gedefinieerd krachtens de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens," vervangen door de woorden "gepseudonimiseerde persoonsgegevens bedoeld in de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG,";f) in het vijfde lid worden de woorden "de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" telkens vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";g) het zesde lid wordt opgeheven.

Art. 51.In artikel 21 van dezelfde wet worden de woorden "of in het raam van het onderzoek van een zaak door het sectoraal comité van de sociale zekerheid en van de gezondheid" opgeheven.

Art. 52.In artikel 22 van dezelfde wet, vervangen bij de wet van 10 april 2014, worden de volgende wijzigingen aangebracht: a) de woorden "sectoraal comité van de sociale zekerheid en van de gezondheid" worden telkens vervangen door het woord "informatieveiligheidscomité";b) de woorden ", zoals vastgesteld krachtens de wet van 8 december 1992, tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens," worden opgeheven.

Art. 53.Artikel 32, § 1, tweede lid, van dezelfde wet wordt vervangen als volgt: "Voor zover een besluit genomen met toepassing van het eerste lid een invloed kan hebben op deze wet, op de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, op de wet van 22 augustus 2002 betreffende de rechten van de patiënt of op een uitvoeringsbesluit, verleent de Gegevensbeschermingsautoriteit vooraf haar advies.".

Art. 54.Artikel 36 van dezelfde wet wordt opgeheven.

Art. 55.In artikel 36/1, § 1, van dezelfde wet, ingevoegd bij de wet van 19 maart 2013 en gewijzigd bij de wet van 21 juli 2016, worden de volgende wijzigingen aangebracht: a) de bepaling onder 1° wordt vervangen als volgt: "1° de elektronische gegevens vermelden de identiteit van de opsteller van deze gegevens geauthentiseerd, hetzij door middel van het identiteitscertificaat op de elektronische identiteitskaart of een ander certificaat dat voldoet aan de bepalingen van de verordening (EU) nr.910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende de elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG, hetzij volgens een procedure waarvan de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité heeft vastgesteld dat deze dezelfde waarborgen biedt;"; b) de bepaling onder 2° wordt vervangen als volgt: "2° de elektronische gegevens kunnen met precisie worden geassocieerd met een referentiedatum en een referentietijdstip die worden toegekend, hetzij door het in artikel 2 bedoelde eHealth-platform, hetzij door een andere door de Koning bij een besluit vastgesteld na overleg in de Ministerraad bepaalde instantie, volgens een procedure waarvan de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité heeft vastgesteld dat deze dezelfde waarborgen biedt;"; c) de bepaling onder 3° wordt vervangen als volgt: "3° de elektronische gegevens kunnen niet meer onmerkbaar worden gewijzigd na de vermelding van de identiteit van de in 1° bedoelde opsteller en na associatie met een referentiedatum en een in 2° bedoeld referentietijdstip, overeenkomstig een procedure, waarvan de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité heeft vastgesteld dat zij de nodige waarborgen biedt;". HOOFDSTUK 7. - Wijzigingen van het Sociaal Strafwetboek

Art. 56.Artikel 100/3, § 1, tweede lid, van het Sociaal Strafwetboek, ingevoegd bij de wet van 29 maart 2012, wordt vervangen als volgt: "De Koning kan bepalen dat het e-PV door de opsteller elektronisch ondertekend kan worden door middel van een ander systeem, waarbij de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité, bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, nagaat of dat systeem de mogelijkheid biedt om de identiteit van de ondertekenaar en de integriteit van het ondertekende e-PV met afdoende waarborgen vast te stellen.".

Art. 57.In artikel 100/10 van hetzelfde wetboek, ingevoegd bij de wet van 29 maart 2012, worden de woorden "de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" telkens vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 58.In artikel 100/12, tweede lid, van hetzelfde wetboek, ingevoegd bij de wet van 29 maart 2012, worden de woorden "de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 59.In boek 1, titel 5, van hetzelfde wetboek, wordt een hoofdstuk 5/1 ingevoegd, luidende: "HOOFDSTUK 5/ 1. Bepalingen betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens in het sociaal strafrecht."

Art. 60.In het hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 59, wordt een afdeling 1 ingevoegd, luidende: "Het recht op informatie bij de verzameling van persoonsgegevens en op mededeling van persoonsgegevens."

Art. 61.In afdeling 1 van hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 60, wordt een artikel 100/14 ingevoegd, luidende: "

Art. 100/14.§ 1. In afwijking van de artikelen 13 en 14 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), om de doelstellingen van algemeen belang van de sociale zekerheid te waarborgen, en voor zover artikel 14, § 5, d), in het specifieke geval niet kan worden ingeroepen, kan het recht op informatie worden uitgesteld, beperkt of uitgesloten voor wat betreft verwerkingen van persoonsgegevens waarvan hetzij de sociale inspectiediensten bedoeld in het Sociaal Strafwetboek en in het koninklijk besluit van 1 juli 2011 tot uitvoering van de artikelen 16, 13°, 17, 20, 63, 70 en 88 van het Sociaal Strafwetboek en tot bepaling van de datum van inwerkingtreding van de wet van 2 juni 2010 houdende bepalingen van het sociaal strafrecht, hetzij de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, hetzij de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, hetzij de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de verwerkingsverantwoordelijke zijn.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de in het eerste lid bedoelde diensten gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie door de bevoegde diensten, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijkingen gelden gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde inspectiediensten in het kader van de uitvoering van hun wettelijke opdrachten, alsook gedurende de periode waarin de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de stukken afkomstig van de sociale inspectiediensten behandelt om de vervolgingen hieromtrent in te stellen.

Deze afwijkingen gelden voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in § 2, tweede lid, gedurende dewelke de artikelen 13 en 14 van de algemene verordening gegevensbescherming niet van toepassing zijn, mag niet meer bedragen dan één jaar vanaf de ontvangst van een verzoek betreffende het meedelen van de te verstrekken informatie met toepassing van deze artikelen 13 en 14.

De beperking bedoeld in § 1, eerste lid, heeft geen betrekking op gegevens die los staan van het voorwerp van het onderzoek dat of van de controle die de weigering of beperking van informatie rechtvaardigt. § 3. Bij ontvangst van een verzoek betreffende het meedelen van de te verstrekken informatie bedoeld in § 2, derde lid, bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van informatie, alsook over de redenen voor deze weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in § 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen van het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer één van de voormelde inspectiediensten gebruik heeft gemaakt van de uitzondering bepaald bij § 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst voor administratieve geldboeten een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan de administratie waarvan de inspectiedienst afhangt, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten van de betrokkene pas hersteld nadat de bevoegde administratie of instelling heeft beslist over het resultaat van het onderzoek.".

Art. 62.In hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 59, wordt een afdeling 2 ingevoegd, luidende: "Het recht op inzage van persoonsgegevens".

Art. 63.In afdeling 2 van hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 62, wordt een artikel 100/15 ingevoegd, luidende: "

Art. 100/15.§ 1. In afwijking van artikel 15 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), om de doelstellingen van algemeen belang van de sociale zekerheid te waarborgen, kan het recht op inzage van de hem betreffende persoonsgegevens geheel of gedeeltelijk worden uitgesteld en beperkt voor wat betreft verwerkingen van persoonsgegevens waarvan hetzij de sociale inspectiediensten bedoeld in het Sociaal Strafwetboek en in het koninklijk besluit van 1 juli 2011 tot uitvoering van de artikelen 16, 13°, 17, 20, 63, 70 en 88 van het Sociaal Strafwetboek en tot bepaling van de datum van inwerkingtreding van de wet van 2 juni 2010 houdende bepalingen van het sociaal strafrecht, hetzij de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, hetzij de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, hetzij de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de verwerkingsverantwoordelijke zijn.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de in het eerste lid bedoelde diensten gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie door de bevoegde diensten, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijkingen gelden gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde inspectiediensten in het kader van de uitvoering van hun wettelijke opdrachten, alsook gedurende de periode waarin de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de stukken afkomstig van de sociale inspectiediensten behandelt om de vervolgingen hieromtrent in te stellen.

Deze afwijkingen gelden voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in § 2, tweede lid, gedurende dewelke artikel 15 van de algemene verordening gegevensbescherming niet van toepassing is, mag niet meer bedragen dan één jaar vanaf de ontvangst van het verzoek dat is ingediend met toepassing van artikel 15.

De beperking bedoeld in § 1, eerste lid, heeft geen betrekking op de gegevens die los staan van het voorwerp van het onderzoek dat of van de controle die de weigering of beperking van inzage rechtvaardigt. § 3. Bij ontvangst van een verzoek tot inzage bevestigt de functionaris voor de gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van zijn recht op inzage van de hem betreffende gegevens alsook van de redenen voor deze weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in § 1, tweede lid, zou ondermijnen.

Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen van het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer één van de voormelde inspectiediensten gebruik heeft gemaakt van de uitzondering bepaald bij § 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst voor administratieve geldboeten een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan de administratie waarvan de inspectiedienst afhangt, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten van de betrokkene pas hersteld nadat de bevoegde administratie of instelling heeft beslist over het resultaat van het onderzoek.".

Art. 64.In hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 59, wordt een afdeling 3 ingevoegd, luidende: "Het recht op rectificatie".

Art. 65.In afdeling 3 van hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 64, wordt een artikel 100/16 ingevoegd, luidende: "

Art. 100/16.§ 1. In afwijking van artikel 16 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), om de doelstellingen van algemeen belang van de sociale zekerheid te waarborgen, kan het recht op rectificatie worden uitgesteld, beperkt of uitgesloten voor wat betreft verwerkingen van persoonsgegevens waarvan hetzij de sociale inspectiediensten bedoeld in het Sociaal Strafwetboek en in het koninklijk besluit van 1 juli 2011 tot uitvoering van de artikelen 16, 13°, 17, 20, 63, 70 en 88 van het Sociaal Strafwetboek en tot bepaling van de datum van inwerkingtreding van de wet van 2 juni 2010 houdende bepalingen van het sociaal strafrecht, hetzij de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, hetzij de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, hetzij de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de verwerkingsverantwoordelijke zijn.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de in het eerste lid bedoelde diensten gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie door de bevoegde diensten, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijking geldt gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde inspectiediensten in het kader van de uitvoering van hun wettelijke opdrachten alsook gedurende de periode waarin de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de stukken afkomstig van de sociale inspectiediensten behandelt om de vervolgingen hieromtrent in te stellen.

Deze afwijking geldt voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek, de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in paragraaf 2, tweede lid, gedurende dewelke artikel 16 van de algemene verordening gegevensbescherming niet van toepassing is, mag niet meer bedragen dan één jaar vanaf de ontvangst van het verzoek dat is ingediend met toepassing van dit artikel 16.

De beperking bedoeld in § 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het doel van het onderzoek dat of van de controle die de weigering of beperking van rectificatie rechtvaardigt. § 3. Bij ontvangst van een verzoek tot rectificatie bevestigt de functionaris voor de gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van zijn recht op rectificatie alsook van de redenen voor deze weigering of beperking.

Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in § 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer één van de voormelde inspectiediensten gebruik heeft gemaakt van de uitzondering bepaald bij § 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst voor administratieve geldboeten een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan de administratie waarvan de inspectiedienst afhangt, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten van de betrokkene pas hersteld nadat de bevoegde administratie of instelling heeft beslist over het resultaat van het onderzoek.".

Art. 66.In hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 59, wordt een afdeling 4 ingevoegd, luidende: "Het recht op beperking van de verwerking".

Art. 67.In afdeling 4 van hoofdstuk 5/1 van hetzelfde wetboek, ingevoegd bij artikel 66, wordt een artikel 100/17 ingevoegd, luidende: "

Art. 100/17.§ 1. In afwijking van artikel 18 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), om de doelstellingen van algemeen belang van de sociale zekerheid te waarborgen, kan het recht op beperking van de verwerking worden uitgesteld, beperkt of uitgesloten, voor wat betreft verwerkingen van persoonsgegevens waarvan hetzij de sociale inspectiediensten bedoeld in het Sociaal Strafwetboek en in het koninklijk besluit van 1 juli 2011 tot uitvoering van de artikelen 16, 13°, 17, 20, 63, 70 en 88 van het Sociaal Strafwetboek en tot bepaling van de datum van inwerkingtreding van de wet van 2 juni 2010 houdende bepalingen van het sociaal strafrecht, hetzij de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, hetzij de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, hetzij de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de verwerkingsverantwoordelijke zijn.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de in het eerste lid bedoelde diensten gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie door de bevoegde diensten, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegeven die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijking geldt gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde inspectiediensten in het kader van de uitvoering van hun wettelijke opdrachten alsook gedurende de periode waarin de Directie van de administratieve geldboeten van de Afdeling van de juridische studiën, de documentatie en de geschillen van de Federale Overheidsdienst Werkgelegenheid, Arbeid en Sociaal Overleg, de Dienst administratieve geldboeten of de Directie eerlijke concurrentie van het Rijksinstituut voor sociale verzekeringen der zelfstandigen, de inspectiedienst voor de controle van de sociale verzekeringsfondsen voor zelfstandigen, hetzij de Dienst voor administratieve controle of de Dienst voor geneeskundige evaluatie en controle van het Rijksinstituut voor ziekte- en invaliditeitsverzekeringen, hetzij de Sociale Inlichtingen- en Opsporingsdienst de stukken afkomstig van de sociale inspectiediensten behandelt om de vervolgingen hieromtrent in te stellen.

Deze afwijking geldt voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in § 2, tweede lid, gedurende dewelke artikel 18 van de algemene verordening gegevensbescherming niet van toepassing is, mag niet meer bedragen dan één jaar vanaf de ontvangst van het verzoek dat is ingediend in toepassing van dit artikel 18.

De beperking bedoeld in § 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het voorwerp van het onderzoek dat of van de controle die de weigering van de beperking van de verwerking rechtvaardigt. § 3. Bij ontvangst van een verzoek tot beperking van de verwerking bevestigt de functionaris voor de gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van zijn recht op beperking van de verwerking van de hem betreffende persoonsgegevens alsook van de redenen voor deze weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in § 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer één van de voormelde inspectiediensten gebruik heeft gemaakt van de uitzondering bepaald bij § 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst voor administratieve geldboeten een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan de administratie waarvan de inspectiedienst afhangt, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten pas hersteld nadat de bevoegde administratie of instelling heeft beslist over het resultaat van het onderzoek.".

Art. 68.In artikel 213 van hetzelfde wetboek worden de volgende wijzigingen aangebracht: a) in 1°, a), en in 2°, b), worden de woorden "het sectoraal comité van de sociale zekerheid en van de gezondheid" telkens vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité";b) in 2°, a), worden de woorden "of zich niet onderwerpen aan het toezicht van de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid" opgeheven;c) in 2°, b), worden de woorden "artikel 15, § 2, van de voormelde wet" vervangen door de woorden "artikel 46, § 1, 6°, van de voormelde wet";d) in 2°, b), worden de woorden "in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens," opgeheven.

Art. 69.In artikel 215 van hetzelfde wetboek worden de bepalingen onder § 2, 1°, en § 3, 1°, opgeheven. HOOFDSTUK 8. - Wijzigingen van de wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten

Art. 70.In artikel 4 van de wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten worden de volgende wijzigingen aangebracht: 1° het eerste lid wordt vervangen als volgt; "De administraties en, of diensten van de Federale Overheidsdienst Financiën wisselen persoonsgegevens uit op basis van een toelating van de Voorzitter van het Directiecomité."; 2° in het tweede lid worden de woorden "Deze instantie" vervangen door de woorden "De Voorzitter van het Directiecomité"; 3° in het derde lid wordt het woord "Zij" vervangen door het woord "Hij" en worden de woorden "na advies van het Sectoraal Comité voor de Federale Overheid" vervangen door de woorden "na advies van de Functionaris voor gegevensbescherming.". 4° het vierde lid wordt vervangen als volgt: "De voorzitter van het Directiecomité kan vooraf het advies vragen aan de bevoegde kamer van het Informatieveiligheidscomité.".

Art. 71.In artikel 5 van dezelfde wet worden de volgende wijzigingen aangebracht: 1° paragraaf 1 wordt vervangen als volgt: " § 1.Onverminderd de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), kan de Federale Overheidsdienst Financiën met het oog om, in het kader van zijn wettelijke opdrachten, enerzijds gericht controles uit te voeren op basis van risico-indicatoren en anderzijds analyses uit te voeren op relationele gegevens afkomstig van verschillende administraties en/ of diensten van de Federale Overheidsdienst Financiën, de overeenkomstig artikel 3 ingezamelde gegevens samenvoegen in een datawarehouse waardoor er processen van datamining en datamatching uitgevoerd worden, met inbegrip van profilering in de zin van artikel 4, 4) van de algemene verordening gegevensbescherming.

Voor de toepassing van deze bepaling wordt verstaan onder: 1° "datawarehouse": een datasysteem met een grote hoeveelheid digitale gegevens die zich lenen voor analyse;2° "datamining": het op geavanceerde wijze zoeken naar informatie in grote gegevensbestanden;3° "datamatching": het vergelijken van meerdere sets van verzamelde data met elkaar;4° "risico-indicatoren": gebeurtenissen welke waarschijnlijk een impact zullen hebben op de uitvoering van de wettelijke opdrachten vastgesteld na een objectieve analyse van de beschikbare informatie;5° "relationele gegevens": er wordt verwezen naar de manier om de bestaande relaties tussen meerdere gegevens afkomstig van verschillende gegevensbestanden te modelleren en ze te ordenen door middel van primaire sleutels en unieke identificatiemiddelen. Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de verwerkingen in het datawarehouse niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt met een maximale bewaartermijn die één jaar na de verjaring van alle vorderingen die tot de bevoegdheid van de verwerkingsverantwoordelijke behoren en, in voorkomend geval, de definitieve beëindiging van de administratieve en rechterlijke procedures en rechtsmiddelen en de integrale betaling van alle hiermee verbonden bedragen niet mag overschrijden."; 2° paragraaf 2 wordt vervangen als volgt: " § 2.In afwijking van artikel 35/1 van de wet van 15 augustus 2012, is de integratie in het datawarehouse van elke categorie van persoonlijke gegevens geleverd door een derde partij onderworpen aan een beraadslaging van de bevoegde kamer van het Informatieveiligheidscomité.

Deze waakt er in het bijzonder over dat de verwerking, waar mogelijk, geschiedt op gepseudonimiseerde persoonsgegevens en dat de depseudonimisatie enkel geschiedt wanneer er een risico bestaat tot het plegen van een inbreuk op een wet of een reglementering waarvan de toepassing tot de opdrachten van de Federale Overheidsdienst Financiën behoort.

Een na overleg in Ministerraad vastgesteld koninklijk besluit, na advies van de Gegevensbeschermingsautoriteit, bepaalt de gevallen waarin geen beraadslaging van de bevoegde kamer van het Informatieveiligheidscomité is vereist voor een in het eerste lid voorziene integratie.".

Art. 72.Artikel 6 van dezelfde wet, gewijzigd bij de programmawet van 1 juli 2016, wordt vervangen als volgt: "

Art. 6.De ambtenaren van de Federale Overheidsdienst Financiën oefenen hun ambt uit in de zin van artikel 337 van het Wetboek van de inkomstenbelastingen 1992, van artikel 93bis van het Wetboek van de belasting over de toegevoegde waarde, van artikel 236bis van het Wetboek der registratie-, hypotheek- en griffierechten, van artikel 146bis van het Wetboek der successierechten, van artikel 212 van het Wetboek diverse rechten en taksen, van artikel 14 van de Domaniale wet van 22 december 1949 en van artikel 320 van de Algemene wet inzake douane en accijnzen wanneer zij inlichtingen meedelen op grond van een machtiging van de verantwoordelijke voor de verwerking, vertegenwoordigd door de voorzitter van het Directiecomité van de Federale Overheidsdienst Financiën of het Informatieveiligheidscomité.

De bestemmelingen van die gegevens zijn eveneens gehouden tot het beroepsgeheim en zij kunnen de gegevens slechts gebruiken in het kader van de uitvoering van hun wettelijke opdrachten of van de machtigingen van de bevoegde verantwoordelijke voor de verwerking, vertegenwoordigd door de voorzitter van het Directiecomité van de Federale Overheidsdienst Financiën of het Informatieveiligheidscomité."."

Art. 73.Artikel 7 van dezelfde wet wordt vervangen als volgt: "

Art. 7.In de gegevensuitwisseling bedoeld in artikel 5 en 6, geeft de Federale Overheidsdienst Beleid en Ondersteuning juridisch en technisch advies bedoeld in artikel 35/4 van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator na raadpleging van de Federale Overheidsdienst Financiën.".

Art. 74.Artikel 8 van dezelfde wet wordt vervangen als volgt: "

Art. 8.Binnen de Federale Overheidsdienst Financiën wordt een Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer opgericht die rechtstreeks onder de bevoegdheid van de voorzitter van het Directiecomité van de Federale Overheidsdienst Financiën wordt geplaatst.

Deze dienst staat de Functionaris voor gegevensbescherming bij in de uitvoering van zijn opdrachten bepaald in de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende een vrij verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG alsmede bij de maatregelen die zijn genomen om deze Verordening ten uitvoer te leggen.".

Art. 75.In hoofdstuk 2 van dezelfde wet wordt afdeling 8, die artikel 9 bevat, opgeheven.

Art. 76.In artikel 10, § 4, van dezelfde wet worden de volgende wijzigingen aangebracht: 1° in het eerste lid worden de woorden "het Sectoraal Comité voor de Federale Overheid" vervangen door de woorden "de Functionaris voor gegevensbescherming";2° in het tweede lid worden de woorden "De in artikel 8 bedoelde dienst" vervangen door de woorden "De Functionaris voor gegevensbescherming".

Art. 77.Het opschrift van afdeling 10 van hoofdstuk 2 van dezelfde wet wordt vervangen door het volgende opschrift: "Afdeling 10. Het recht op informatie bij de verzameling van persoonsgegevens en op mededeling van persoonsgegevens, het recht op inzage van persoonsgegevens, het recht op rectificatie en het recht op beperking van de verwerking".

Art. 78.In afdeling 10 van hoofdstuk 2 van dezelfde wet, wordt een onderafdeling 1 ingevoegd, luidende: "Het recht op informatie bij de verzameling van persoonsgegevens en op mededeling van persoonsgegevens".

Art. 79.In onderafdeling 1, ingevoegd bij artikel 78, wordt artikel 11 van dezelfde wet vervangen als volgt: "

Art. 11.§ 1. In afwijking van de artikelen 13 en 14 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), kan het recht op informatie worden uitgesteld, beperkt of uitgesloten voor wat betreft verwerkingen van persoonsgegevens waarvan de Federale Overheidsdienst Financiën verwerkingsverantwoordelijke is om de doelstellingen van algemeen belang van monetaire, budgettaire en fiscale aangelegenheden te waarborgen, en voor zover artikel 14, lid 5, d), in het specifieke geval niet kan worden ingeroepen.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de bevoegde diensten van de Federale Overheidsdienst Financiën gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie, tot doel hebben.

Onverminderd de bewaring die noodzakelijk is voor de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijkingen gelden gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde diensten in het kader van de uitvoering van hun wettelijke opdrachten alsook gedurende de periode waarin de stukken afkomstig van deze diensten worden behandeld om de vervolgingen hieromtrent in te stellen.

Deze afwijkingen gelden voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in paragraaf 2, tweede lid, gedurende dewelke de artikelen 13 en 14 van de algemene verordening gegevensbescherming niet van toepassing zijn, mag niet meer bedragen dan één jaar vanaf de ontvangst van een verzoek betreffende het meedelen van de te verstrekken informatie in toepassing van deze artikelen 13 en 14.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op gegevens die losstaan van het voorwerp van het onderzoek dat of van de controle die de weigering of beperking van informatie rechtvaardigt. § 3. Bij ontvangst van een verzoek betreffende het meedelen van de te verstrekken informatie bedoeld in paragraaf 2, derde lid, bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van informatie, alsook over de redenen voor deze weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in paragraaf 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen van het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer de Federale Overheidsdienst Financiën gebruik heeft gemaakt van de uitzondering bepaald bij paragraaf 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan een andere dienst van de Federale Overheidsdienst Financiën, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten pas hersteld nadat deze dienst of bevoegde instelling heeft beslist over het resultaat van het onderzoek.".

Art. 80.In afdeling 10 van hoofdstuk 2 van dezelfde wet, wordt een onderafdeling 2 ingevoegd, luidende: "Het recht op inzage van persoonsgegevens".

Art. 81.In onderafdeling 2, ingevoegd bij artikel 80, wordt een artikel 11/1 ingevoegd, luidende: "

Art. 11/1.§ 1. In afwijking van artikel 15 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), kan het recht op inzage van de hem betreffende persoonsgegevens geheel of gedeeltelijk worden uitgesteld en beperkt voor wat betreft verwerkingen van persoonsgegevens waarvan de Federale Overheidsdienst Financiën verwerkingsverantwoordelijke is om de doelstellingen van algemeen belang van monetaire, budgettaire en fiscale aangelegenheden te waarborgen.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de bevoegde diensten van de Federale Overheidsdienst Financiën gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijkingen gelden gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde diensten in het kader van de uitvoering van hun wettelijke opdrachten alsook gedurende de periode waarin de stukken afkomstig van deze diensten worden behandeld om de vervolgingen hieromtrent in te stellen.

Deze afwijkingen gelden voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in paragraaf 2, tweede lid, gedurende dewelke artikel 15 van de algemene verordening gegevensbescherming niet van toepassing is, mag niet meer bedragen dan één jaar vanaf de ontvangst van het verzoek dat is ingediend in toepassing van artikel 15.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het voorwerp van het onderzoek dat of van de controle die de weigering of de beperking van inzage rechtvaardigt. § 3. Bij ontvangst van het verzoek tot inzage bevestigt de functionaris voor de gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van zijn recht op inzage van de hem betreffende gegevens alsook van de redenen voor deze weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in paragraaf 1, tweede lid, zou ondermijnen.

Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen van het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer de Federale Overheidsdienst Financiën gebruik heeft gemaakt van de uitzondering bepaald bij paragraaf 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst voor administratieve geldboeten een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan een andere dienst van de Federale Overheidsdienst Financiën, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten pas hersteld nadat deze dienst of bevoegde instelling heeft beslist over het resultaat van het onderzoek.".

Art. 82.In afdeling 10 van hoofdstuk 2 van dezelfde wet, wordt een onderafdeling 3 ingevoegd, luidende: "Het recht op rectificatie".

Art. 83.In onderafdeling 3, ingevoegd bij artikel 82, wordt een artikel 11/2 ingevoegd, luidende: "

Art. 11/2.§ 1. In afwijking van artikel 16 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), kan het recht op rectificatie worden uitgesteld, beperkt of uitgesloten voor wat betreft verwerkingen van persoonsgegevens waarvan de Federale Overheidsdienst Financiën verwerkingsverantwoordelijke is om de doelstellingen van algemeen belang van monetaire, budgettaire en fiscale aangelegenheden te waarborgen.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door bevoegde diensten van de Federale Overheidsdienst Financiën gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijking geldt gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde diensten in het kader van de uitvoering van hun wettelijke opdrachten alsook gedurende de periode waarin de stukken afkomstig van deze diensten worden behandelt om de vervolgingen hieromtrent in te stellen.

Deze afwijking geldt voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in paragraaf 2, tweede lid, gedurende dewelke artikel 16 van de algemene verordening gegevensbescherming niet van toepassing is, mag niet meer bedragen dan één jaar vanaf de ontvangst van het verzoek dat is ingediend in toepassing van dit artikel 16.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het doel van het onderzoek dat of van de controle die de weigering of beperking van rectificatie rechtvaardigt. § 3. Bij ontvangst van een verzoek tot rectificatie bevestigt de functionaris voor de gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van zijn recht op rectificatie alsook van de redenen voor deze weigering of beperking.

Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in paragraaf 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer de Federale Overheidsdienst Financiën gebruik heeft gemaakt van de uitzondering bepaald bij paragraaf 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan een andere dienst van de Federale Overheidsdienst Financiën, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten pas hersteld nadat deze dienst of bevoegde instelling heeft beslist over het resultaat van het onderzoek.".

Art. 84.In afdeling 10 van hoofdstuk 2 van dezelfde wet, wordt een onderafdeling 4 ingevoegd, luidende: "Het recht op beperking van de verwerking".

Art. 85.In onderafdeling 4, ingevoegd bij artikel 84, wordt een artikel 11/3 ingevoegd, luidende: "

Art. 11/3.§ 1. In afwijking van artikel 18 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), kan het recht op beperking van de verwerking worden uitgesteld, beperkt of uitgesloten, voor wat betreft verwerkingen van persoonsgegevens waarvan de Federale Overheidsdienst Financiën verwerkingsverantwoordelijke is om de doelstellingen van algemeen belang van monetaire, budgettaire en fiscale aangelegenheden te waarborgen.

De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging van de door de bevoegde diensten van de Federale Overheidsdienst Financiën gevoerde onderzoeken, met inbegrip van de procedures voor de eventuele toepassing van een administratieve geldboete of administratieve sanctie, tot doel hebben.

Onverminderd de bewaring noodzakelijk voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), worden de persoonsgegevens die voortkomen uit de in het eerste lid bedoelde afwijking niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de rechterlijke, administratieve en buitengerechtelijke procedures en beroepen die voortvloeien uit de beperking van de rechten van de betrokkene bedoeld in het eerste lid niet mag overschrijden. § 2. Deze afwijking geldt gedurende de periode waarin de betrokkene het voorwerp uitmaakt van een controle of een onderzoek of de daarmee verband houdende voorbereidende werkzaamheden uitgevoerd door de voormelde diensten in het kader van de uitvoering van hun wettelijke opdrachten alsook gedurende de periode waarin de stukken afkomstig van deze diensten worden behandelt om de vervolgingen hieromtrent in te stellen.

Deze afwijking geldt voor zover de toepassing van dit recht nadelig zou zijn voor de controle, het onderzoek of de voorbereidende werkzaamheden of het geheim van het strafonderzoek of de veiligheid van personen dreigt te schenden.

De duur van de voorbereidende werkzaamheden, bedoeld in paragraaf 2, tweede lid, gedurende dewelke artikel 18 van de algemene verordening gegevensbescherming niet van toepassing is, mag niet meer bedragen dan één jaar vanaf de ontvangst van het verzoek dat is ingediend in toepassing van dit artikel 18.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het voorwerp van het onderzoek dat of van de controle die de weigering van toegang tot deze gegevens rechtvaardigt. § 3. Bij ontvangst van een verzoek tot beperking van de verwerking bevestigt de functionaris voor de gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst hiervan.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene schriftelijk, onverwijld, en in ieder geval binnen één maand na de ontvangst van het verzoek, over iedere weigering of beperking van zijn recht op beperking van de verwerking van de hem betreffende persoonsgegevens alsook van de redenen voor deze weigering of beperking. Die informatie over de weigering of beperking kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in paragraaf 1, tweede lid, zou ondermijnen. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van deze verlenging en van de redenen voor het uitstel. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan één van de doelstellingen genoemd in paragraaf 1, tweede lid, zou ondermijnen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en om een beroep in rechte in te stellen.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke vermeldt de feitelijke of juridische redenen waarop zijn beslissing steunt. Deze inlichtingen worden ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer de Federale Overheidsdienst Financiën gebruik heeft gemaakt van de uitzondering bepaald bij paragraaf 1, eerste lid, en met uitzondering van de situaties bedoeld in het zesde en zevende lid van paragraaf 3, wordt de uitzonderingsregel onmiddellijk opgeheven na de afsluiting van de controle of van het onderzoek. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt overgemaakt aan de gerechtelijke overheid, worden de rechten van de betrokkene pas hersteld na machtiging door de gerechtelijke overheid of nadat de gerechtelijke fase is beëindigd en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. Evenwel mogen inlichtingen die werden ingewonnen tijdens de uitoefening van plichten voorgeschreven door de rechterlijke overheid slechts worden meegedeeld mits uitdrukkelijke machtiging van deze laatste.

Wanneer een dossier wordt overgemaakt aan een andere dienst van de Federale Overheidsdienst Financiën, of aan de bevoegde instelling om over de bevindingen van het onderzoek te beslissen, worden de rechten pas hersteld nadat deze dienst of bevoegde instelling heeft beslist over het resultaat van het onderzoek.". HOOFDSTUK 9. - Wijziging van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator

Art. 86.In hoofdstuk 5 van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator wordt een afdeling 3 ingevoegd, die de artikelen 35/1 tot en met 35/5 bevat, luidende: "Afdeling 3. Kamer federale overheid van het informatieveiligheidscomité

Artikel 35/1.§ 1. De mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan andere derden dan de instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, vergt een voorafgaande beraadslaging van de kamer federale overheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, voor zover de verwerkingsverantwoordelijken van de meedelende instantie en de ontvangende instanties, in uitvoering van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, niet tot een akkoord komen over de mededeling of minstens één van die verwerkingsverantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld. In vermelde gevallen wordt de aanvraag ambtshalve gezamenlijk ingediend door de betrokken verwerkingsverantwoordelijken.

De in het eerste lid bedoelde mededeling vergt geen voorafgaande beraadslaging voor zover andere reglementaire normen de modaliteiten van de mededeling, waaronder de doeleinden, de categorieën van gegevens en de bestemmelingen preciseren of voor zover het een punctuele mededeling van gegevens betreft, in overeenstemming met vermelde verordening (EU) 2016/679, aan personen of instellingen die gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht.

De mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, a), van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid vergt een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité voor zover de verwerkingsverantwoordelijken van de meedelende instantie, de ontvangende instantie en de Kruispuntbank van de sociale zekerheid, in uitvoering van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, niet tot een akkoord komen over de mededeling of minstens één van die verwerkingsverantwoordelijken om een beraadslaging verzoekt en de andere verwerkingsverantwoordelijken daarvan in kennis heeft gesteld. In vermelde gevallen wordt de aanvraag ambtshalve gezamenlijk ingediend door betrokken verwerkingsverantwoordelijken.

De mededeling van persoonsgegevens door overheidsdiensten en openbare instellingen van de federale overheid aan instellingen van sociale zekerheid bedoeld in artikel 2, eerste lid, 2°, b) tot f), van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid vergt een voorafgaande beraadslaging van de verenigde kamers van het informatieveiligheidscomité.

De kamer federale overheid van het informatieveiligheidscomité is niet bevoegd voor de mededeling van persoonsgegevens uit de gegevensbanken van de overheden bedoeld in de titels 2 en 3 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Voor de toepassing van het eerste lid worden beschouwd als derden: instanties andere dan de betrokkene, de verantwoordelijke voor de verwerking, de verwerker en de personen die onder het rechtstreeks gezag van de verantwoordelijke voor de verwerking of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Voor zover een aanvraag alle noodzakelijke elementen bevat om een beraadslaging te verlenen en als dusdanig wordt ingediend binnen de dertig kalenderdagen vóór een bepaalde vergadering, wordt zij in beginsel behandeld tijdens de vergadering die op de voormelde vergadering volgt. De aanvrager ontvangt binnen een week een ontvangstmelding met de vermelding of de ingediende aanvraag al dan niet volledig is.

Voor zover het informatieveiligheidscomité een beraadslaging verleent voor de mededeling van persoonsgegevens door de federale overheid is die, in afwijking van artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, vrijgesteld van de verplichting om dienaangaande met de bestemmeling van de persoonsgegevens een protocol op te stellen. § 2. De kamer federale overheid van het informatieveiligheidscomité verleent in voorkomend geval een beraadslaging voor het gebruik van het identificatienummer van het Rijksregister van de natuurlijke personen door de betrokken instanties indien dat noodzakelijk is in het kader van de beoogde mededeling. § 3. Voor zover die bevoegdheid niet uitdrukkelijk aan de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité werd toegewezen, staat de kamer federale overheid van het informatieveiligheidscomité in voor de inhoudelijke ondersteuning van de functionarissen voor gegevensbescherming die worden aangeduid door de overheidsdiensten en openbare instellingen van de federale overheid, onder andere door het aanbieden van een passende voortdurende vorming en het formuleren van aanbevelingen, onder meer op het technische vlak. § 4. De beraadslagingen van het informatieveiligheidscomité worden met redenen omkleed en hebben een algemene bindende draagwijdte tussen partijen en jegens derden. Ze mogen niet in strijd zijn met hogere rechtsnormen.

De Gegevensbeschermingsautoriteit kan elke beraadslaging van het informatieveiligheidscomité te allen tijde, ongeacht wanneer zij werd verleend, toetsen aan hogere rechtsnormen. Onverminderd haar andere bevoegdheden kan zij, als ze op een gemotiveerde wijze vaststelt dat een beraadslaging niet in overeenstemming is met een hogere rechtsnorm, het informatieveiligheidscomité vragen om die beraadslaging op de punten die ze aangeeft binnen de vijfenveertig dagen en uitsluitend voor de toekomst te heroverwegen. In voorkomend geval legt het informatieveiligheidscomité de gewijzigde beraadslaging ter advies voor aan de Gegevensbeschermingsautoriteit. Voor zover die niet binnen de vijfenveertig dagen bijkomende opmerkingen formuleert, wordt de gewijzigde beraadslaging geacht definitief te zijn. § 5. De kamer federale overheid van het informatieveiligheidscomité staat in voor het bijhouden en publiceren, op de website van de Federale Overheidsdienst Beleid en Ondersteuning, van de lijst van de beraadslagingen die zij verleent.

Zij publiceert jaarlijks, op de website van de Federale Overheidsdienst Beleid en Ondersteuning, een beknopt verslag over de vervulling van haar opdrachten tijdens het afgelopen jaar, met bijzondere aandacht voor de dossiers waarover niet tijdig beslist kon worden.

Art. 35/2.De kamer federale overheid van het informatieveiligheidscomité is gevestigd en heeft zijn vergaderingen bij de Federale Overheidsdienst Beleid en Ondersteuning, die de kantoren en de kantooruitrusting ter beschikking stelt die nodig zijn voor de werking en het voorzitterschap en gespecialiseerd personeel, voor zover daar nood aan is om de taken van de kamer federale overheid van het informatieveiligheidscomité tot een goed einde te brengen. De voorzitter van het informatieveiligheidscomité draagt de functionele verantwoordelijkheid over dat personeel wat betreft de opdrachten die het voor het informatieveiligheidscomité uitvoert.

Art. 35/3.De werkingskosten van de kamer federale overheid van het informatieveiligheidscomité, met inbegrip van de aan de voorzitter en de andere leden uitgekeerde vergoedingen en terugbetalingen van kosten voor zover die betrekking hebben op de uitvoering van de opdrachten van deze kamer, worden gedragen door de Federale Overheidsdienst Beleid en Ondersteuning.

Art. 35/4.De Federale Overheidsdienst Beleid en Ondersteuning stelt een juridisch en technisch advies op over elke aanvraag aangaande de mededeling van persoonsgegevens waarvan hij van het informatieveiligheidscomité een afschrift ontvangt.

Voor zover de kamer federale overheid van het informatieveiligheidscomité een beraadslaging moet verlenen voor de toegang tot het Rijksregister van de natuurlijke personen of indien deze, wat het gebruik van het identificatienummer van het Rijksregister van de natuurlijke personen betreft, gevat wordt, stellen de diensten van de Federale Overheidsdienst Binnenlandse Zaken die bevoegd zijn voor het Rijksregister van de natuurlijke personen dienaangaande een juridisch en technisch advies op.

Art. 35/5.De kamer federale overheid van het informatieveiligheidscomité stelt zijn huishoudelijk reglement vast, dat onder meer de nadere regels met betrekking tot het indienen van aanvragen bevat en wordt bekrachtigd bij een besluit vastgesteld na overleg in de Ministerraad.". HOOFDSTUK 1 0. - Wijziging van de wet van 28 april 2013 tot invoering van het Wetboek van economisch recht

Art. 87.In artikel IV.16 van het Wetboek van economisch recht, ingevoegd bij de wet van 3 april 2013 en gewijzigd bij de wet van 18 april 2017, wordt een paragraaf 10 ingevoegd, luidende: " § 10. De Belgische Mededingingsautoriteit is een instelling zoals bedoeld in de artikelen 6 (1)(e) en 23(1)(h) van de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. De Belgische Mededingingsautoriteit kan als verwerkingsverantwoordelijke gegevens verwerken in de zin van deze Verordening voor de doeleinden en met de waarborgen bepaald in Titel II van dit Boek, en met name gelet op de bepalingen van artikel IV.34.

Zij kan deze gegevens opslaan voor de duur die vereist is voor haar onderzoeken en procedures of is opgelegd door de algemene archiveringsregels van de Staat. Natuurlijke personen kunnen toegang krijgen tot hun eigen persoonsgegevens."

Art. 88.In titel 1, hoofdstuk 1, van het boek XV van hetzelfde Wetboek, ingevoegd bij de wet van 20 november 2013, wordt een artikel XV.10/1 ingevoegd, luidende: "Art.XV.10/1. Overeenkomstig artikel 14, § 5, d), van Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna de "algemene gegevensbeschermingsverordening" genoemd) is de verwerkingsverantwoordelijke, wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, niet verplicht hem informatie te verstrekken, wanneer de persoonsgegevens krachtens een wettelijke verplichting inzake het beroepsgeheim vertrouwelijk moeten blijven".

Art. 89.In titel 1, hoofdstuk 1 van het boek XV van hetzelfde Wetboek wordt een artikel XV.10/2 ingevoegd, luidende: "Art.XV.10/2. § 1. Overeenkomstig artikel 23, lid 1, d) en h), en in afwijking van de artikelen 13 en 14 van dezelfde verordening kan het recht op informatie worden uitgesteld, beperkt of uitgesloten in het geval van de verwerking van persoonsgegevens waarvoor de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie de verwerkingsverantwoordelijke is, ter waarborging van: 1° de voorkoming en opsporing van strafbare feiten, alsook de onderzoeken en vervolgingen ter zake of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;2° een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag. De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging beogen van de onderzoeken uitgevoerd door de inspectie- en/of controlediensten van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie, met inbegrip van de procedures met het oog op de eventuele toepassing van een transactievoorstel door de bevoegde diensten.

Onverminderd de bewaring noodzakelijk voor de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van algemene verordening gegevensbescherming, worden de persoonsgegevens die het resultaat zijn van de in paragraaf 1 bedoelde verwerkingen niet langer bewaard dan nodig is voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de administratieve en gerechtelijke procedures en rechtsmiddelen uit hoofde van de beperking van de rechten van de betrokkene, bedoeld in het eerste lid, niet mag overschrijden. § 2. Deze afwijkingen gelden voor de periode waarin de betrokkene door de genoemde diensten aan een inspectie of onderzoek of aan voorbereidende handelingen in het kader van de uitoefening van hun wettelijke taken wordt onderworpen, en voor de periode waarin documenten afkomstig van deze diensten worden verwerkt met het oog op de betreffende vervolging.

Deze afwijkingen gelden voor zover de toepassing van die rechten afbreuk zou doen aan de behoeften van de controle, het onderzoek of de voorbereidende handelingen, of het geheim van het strafrechtelijk onderzoek dreigt te schenden.

De duur van de in paragraaf 2, eerste lid, bedoelde voorbereidende handelingen, gedurende welke de artikelen 13 en 14 van de algemene gegevensbeschermingsverordening niet van toepassing zijn, mag niet langer zijn dan een jaar te rekenen vanaf de ontvangst van een overeenkomstig de artikelen 13 en 14 van dezelfde verordening ingediende aanvraag.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op gegevens die losstaan van het voorwerp van het onderzoek dat of van de controle die de weigering of beperking van informatie rechtvaardigt. § 3. Bij ontvangst van een verzoek betreffende de in paragraaf 2, derde lid, bedoelde informatieverstrekking bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke stelt de betrokkene zo snel mogelijk en in elk geval binnen de maand na ontvangst van het verzoek schriftelijk in kennis van elke weigering of beperking van informatie en van de redenen voor de weigering of beperking. Deze informatie over de weigering of beperking hoeft niet te worden verstrekt indien de verstrekking ervan een van de in paragraaf 1, tweede lid, genoemde doeleinden in gevaar zou kunnen brengen. Indien nodig kan deze termijn met twee maanden worden verlengd, rekening houdend met het aantal aanvragen en de complexiteit ervan.

De verwerkingsverantwoordelijke stelt de betrokkene binnen de maand na ontvangst van de aanvraag in kennis van de verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene over de mogelijkheden om een klacht in te dienen bij de Gegevensbeschermingsautoriteit en een beroep in te stellen bij een rechterlijke instantie.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke tekent de feitelijke of juridische gronden op waarop de beslissing is gebaseerd. Deze informatie wordt ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer een inspectie- en/of controledienst van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie gebruik heeft gemaakt van de uitzondering bepaald in paragraaf 1, eerste lid, en met uitzondering van de situaties vermeld in paragraaf 3, zevende lid, wordt de uitzonderingsregeling onmiddellijk na afsluiting van de inspectie of het onderzoek opgeheven. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt doorgezonden naar het openbaar ministerie bij de hoven en rechtbanken en/of de onderzoeksrechter, worden de rechten pas hersteld na toestemming van de rechterlijke instantie of nadat de gerechtelijke fase afgelopen is en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. De inlichtingen die worden ingewonnen in het kader van de uitoefening van de door de rechterlijke instantie opgedragen taken, mogen evenwel slechts worden meegedeeld met de uitdrukkelijke toestemming van deze laatste.".

Art. 90.In titel 1, hoofdstuk 1, van het boek XV van hetzelfde wetboek wordt een artikel XV.10/3 ingevoegd, luidende: "Art.XV.10/3. § 1. Overeenkomstig artikel 23, lid 1, d) en h), en in afwijking van artikel 15 van dezelfde verordening kan het recht op inzage worden uitgesteld, beperkt of uitgesloten in het geval van de verwerking van persoonsgegevens waarvoor de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie de verwerkingsverantwoordelijke is, ter waarborging van: 1° de voorkoming en opsporing van strafbare feiten, alsook de onderzoeken en vervolgingen ter zake of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;2° een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag. De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging beogen van de onderzoeken uitgevoerd door de inspectie- en/of controlediensten van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie, met inbegrip van de procedures met het oog op de eventuele toepassing van een transactievoorstel door de bevoegde diensten.

Onverminderd de bewaring noodzakelijk voor de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van algemene verordening gegevensbescherming, worden de persoonsgegevens die het resultaat zijn van de in paragraaf 1 bedoelde verwerkingen niet langer bewaard dan nodig is voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de administratieve en gerechtelijke procedures en rechtsmiddelen uit hoofde van de beperking van de rechten van de betrokkene, bedoeld in het eerste lid, niet mag overschrijden. § 2. Deze afwijkingen gelden voor de periode waarin de betrokkene door de genoemde diensten aan een inspectie of onderzoek of aan voorbereidende handelingen in het kader van de uitoefening van hun wettelijke taken wordt onderworpen, en voor de periode waarin documenten afkomstig van deze diensten worden verwerkt met het oog op de betreffende vervolging.

Deze afwijkingen gelden voor zover de toepassing van die rechten afbreuk zou doen aan de behoeften van de controle, het onderzoek of de voorbereidende handelingen, of het geheim van het strafrechtelijk onderzoek dreigt te schenden.

De duur van de in paragraaf 2, eerste lid, bedoelde voorbereidende handelingen, gedurende welke artikel 15 van de algemene gegevensbeschermingsverordening niet van toepassing is, mag niet langer zijn dan een jaar te rekenen vanaf de ontvangst van een overeenkomstig artikel 15 van dezelfde verordening ingediende aanvraag.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het voorwerp van het onderzoek of van de controle die de weigering of de beperking van inzage rechtvaardigt. § 3. Bij ontvangst van een verzoek tot informatieverstrekking, bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke stelt de betrokkene zo snel mogelijk en in elk geval binnen de maand na ontvangst van het verzoek schriftelijk in kennis van elke weigering of beperking van de inzage en van de redenen voor de weigering of beperking. Deze informatie hoeft niet te worden verstrekt indien de verstrekking ervan een van de in paragraaf 1, tweede lid, genoemde doeleinden in gevaar zou kunnen brengen.

Indien nodig kan deze termijn met twee maanden worden verlengd, rekening houdend met het aantal aanvragen en de complexiteit ervan.

De verwerkingsverantwoordelijke stelt de betrokkene binnen de maand na ontvangst van de aanvraag in kennis van de verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene over de mogelijkheden om een klacht in te dienen bij de Gegevensbeschermingsautoriteit en een beroep in te stellen bij een rechterlijke instantie.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke tekent de feitelijke of juridische gronden op waarop de beslissing is gebaseerd. Deze informatie wordt ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer een inspectie- en/of controledienst van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie gebruik heeft gemaakt van de uitzondering bepaald in paragraaf 1, eerste lid, en met uitzondering van de situaties vermeld in paragraaf 3, zevende lid, wordt de uitzonderingsregeling onmiddellijk na afsluiting van de inspectie of het onderzoek opgeheven. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt doorgezonden naar het openbaar ministerie bij de hoven en rechtbanken en/of de onderzoeksrechter, worden de rechten pas hersteld na toestemming van de rechterlijke instantie of nadat de gerechtelijke fase afgelopen is en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. De inlichtingen die worden ingewonnen in het kader van de uitoefening van de door de rechterlijke instantie opgedragen taken, mogen evenwel slechts worden meegedeeld met de uitdrukkelijke toestemming van deze laatste.".

Art. 91.In titel 1, hoofdstuk 1, van het boek XV van hetzelfde wetboek wordt een artikel XV.10/4 ingevoegd, luidende: "Art.XV.10/4. § 1. Overeenkomstig artikel 23, lid 1, d) en h), en in afwijking van artikel 16 van dezelfde verordening kan het recht op rectificatie, worden uitgesteld, beperkt of uitgesloten in het geval van de verwerking van persoonsgegevens waarvoor de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie de verwerkingsverantwoordelijke is, ter waarborging van: 1° de voorkoming en opsporing van strafbare feiten, alsook de onderzoeken en vervolgingen ter zake of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;2° een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag. De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging beogen van de onderzoeken uitgevoerd door de inspectie- en/of controlediensten van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie, met inbegrip van de procedures met het oog op de eventuele toepassing van een transactievoorstel door de bevoegde diensten.

Onverminderd de bewaring noodzakelijk voor de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van algemene verordening gegevensbescherming, worden de persoonsgegevens die het resultaat zijn van de in paragraaf 1 bedoelde verwerkingen niet langer bewaard dan nodig is voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de administratieve en gerechtelijke procedures en rechtsmiddelen uit hoofde van de beperking van de rechten van de betrokkene, bedoeld in het eerste lid, niet mag overschrijden. § 2. Deze afwijkingen gelden voor de periode waarin de betrokkene door de genoemde diensten aan een inspectie of onderzoek of aan voorbereidende handelingen in het kader van de uitoefening van hun wettelijke taken wordt onderworpen, en voor de periode waarin documenten afkomstig van deze diensten worden verwerkt met het oog op de betreffende vervolging.

Deze afwijkingen gelden voor zover de toepassing van die rechten afbreuk zou doen aan de behoeften van de controle, het onderzoek of de voorbereidende handelingen, of het geheim van het strafrechtelijk onderzoek dreigt te schenden.

De duur van de in paragraaf 2, eerste lid, bedoelde voorbereidende handelingen, gedurende welke artikel 16 van de algemene gegevensbeschermingsverordening niet van toepassing is, mag niet langer zijn dan een jaar te rekenen vanaf de ontvangst van een overeenkomstig artikel 16 ingediende aanvraag.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het doel van het onderzoek dat of van de controle die de weigering of beperking van her recht op rectificatie rechtvaardigt. § 3. Bij ontvangst van een verzoek bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke stelt de betrokkene zo snel mogelijk en in elk geval binnen de maand na ontvangst van het verzoek schriftelijk in kennis van elke weigering of beperking van de inzage en van de redenen voor de weigering of beperking. Deze informatie hoeft niet te worden verstrekt indien de verstrekking ervan een van de in paragraaf 1, tweede lid, genoemde doeleinden in gevaar zou kunnen brengen.

Indien nodig kan deze termijn met twee maanden worden verlengd, rekening houdend met het aantal aanvragen en de complexiteit ervan.

De verwerkingsverantwoordelijke stelt de betrokkene binnen de maand na ontvangst van de aanvraag in kennis van de verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene over de mogelijkheden om een klacht in te dienen bij de Gegevensbeschermingsautoriteit en een beroep in te stellen bij een rechterlijke instantie.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke tekent de feitelijke of juridische gronden op waarop de beslissing is gebaseerd. Deze informatie wordt ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer een inspectie- en/of controledienst van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie gebruik heeft gemaakt van de uitzondering bepaald in paragraaf 1, eerste lid, en met uitzondering van de situaties vermeld in paragraaf 3, zevende lid, wordt de uitzonderingsregeling onmiddellijk na afsluiting van de inspectie of het onderzoek opgeheven. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt doorgezonden naar het openbaar ministerie bij de hoven en rechtbanken en/of de onderzoeksrechter, worden de rechten pas hersteld na toestemming van de rechterlijke instantie of nadat de gerechtelijke fase afgelopen is en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. De inlichtingen die worden ingewonnen in het kader van de uitoefening van de door de rechterlijke instantie opgedragen taken, mogen evenwel slechts worden meegedeeld met de uitdrukkelijke toestemming van deze laatste.".

Art. 92.In titel 1, hoofdstuk 1 van het boek XV van hetzelfde wetboek wordt een artikel XV.10/5 ingevoegd, luidende: "Art.XV.10/5. § 1. Overeenkomstig artikel 23, lid 1, d) en h), en in afwijking van artikel 18 van dezelfde verordening kan het recht op beperking van de verwerking, worden uitgesteld, beperkt of uitgesloten in het geval van de verwerking van persoonsgegevens waarvoor de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie de verwerkingsverantwoordelijke is, ter waarborging van: 1° de voorkoming en opsporing van strafbare feiten, alsook de onderzoeken en vervolgingen ter zake of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;2° een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag. De in het eerste lid bedoelde verwerkingen zijn deze die de voorbereiding, de organisatie, het beheer en de opvolging beogen van de onderzoeken uitgevoerd door de inspectie- en/of controlediensten van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie, met inbegrip van de procedures met het oog op de eventuele toepassing van een transactievoorstel door de bevoegde diensten.

Onverminderd de bewaring noodzakelijk voor de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89 van algemene verordening gegevensbescherming, worden de persoonsgegevens die het resultaat zijn van de in paragraaf 1 bedoelde verwerkingen niet langer bewaard dan nodig is voor de doeleinden waarvoor zij worden verwerkt, met een maximale bewaartermijn die één jaar na de definitieve beëindiging van de administratieve en gerechtelijke procedures en rechtsmiddelen uit hoofde van de beperking van de rechten van de betrokkene, bedoeld in het eerste lid, niet mag overschrijden. § 2. Deze afwijkingen gelden voor de periode waarin de betrokkene door de genoemde diensten aan een inspectie of onderzoek of aan voorbereidende handelingen in het kader van de uitoefening van hun wettelijke taken wordt onderworpen, en voor de periode waarin documenten afkomstig van deze diensten worden verwerkt met het oog op de betreffende vervolging.

Deze afwijkingen gelden voor zover de toepassing van die rechten afbreuk zou doen aan de behoeften van de controle, het onderzoek of de voorbereidende handelingen, of het geheim van het strafrechtelijk onderzoek dreigt te schenden.

De duur van de in paragraaf 2, eerste lid, bedoelde voorbereidende handelingen, gedurende welke artikel 18 van de algemene gegevensbeschermingsverordening niet van toepassing is, mag niet langer zijn dan een jaar te rekenen vanaf de ontvangst van een overeenkomstig dit artikel 18 ingediende aanvraag.

De beperking bedoeld in paragraaf 1, eerste lid, heeft geen betrekking op de gegevens die losstaan van het voorwerp van het onderzoek dat of van de controle die de weigering van het recht op beperking van verwerking van deze gegevens rechtvaardigt. § 3. Bij ontvangst van een verzoek betreffende de in paragraaf 2, derde lid, bedoelde informatieverstrekking bevestigt de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke de ontvangst.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke stelt de betrokkene zo snel mogelijk en in elk geval binnen de maand na ontvangst van het verzoek schriftelijk in kennis van elke weigering of beperking van de inzage en van de redenen voor de weigering of beperking. Deze informatie hoeft niet te worden verstrekt indien de verstrekking ervan een van de in paragraaf 1, tweede lid, genoemde doeleinden in gevaar zou kunnen brengen.

Indien nodig kan deze termijn met twee maanden worden verlengd, rekening houdend met het aantal aanvragen en de complexiteit ervan.

De verwerkingsverantwoordelijke stelt de betrokkene binnen de maand na ontvangst van de aanvraag in kennis van de verlenging en van de redenen voor het uitstel.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke informeert de betrokkene over de mogelijkheden om een klacht in te dienen bij de Gegevensbeschermingsautoriteit en een beroep in te stellen bij een rechterlijke instantie.

De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke tekent de feitelijke of juridische gronden op waarop de beslissing is gebaseerd. Deze informatie wordt ter beschikking gesteld van de Gegevensbeschermingsautoriteit.

Wanneer een inspectie- en/of controledienst van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie gebruik heeft gemaakt van de uitzondering bepaald in paragraaf 1, eerste lid, en met uitzondering van de situaties vermeld in paragraaf 3, zevende lid, wordt de uitzonderingsregeling onmiddellijk na afsluiting van de inspectie of het onderzoek opgeheven. De functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke brengt de betrokkene hiervan onverwijld op de hoogte.

Wanneer een dossier wordt doorgezonden naar het openbaar ministerie bij de hoven en rechtbanken en/of de onderzoeksrechter, worden de rechten pas hersteld na toestemming van de rechterlijke instantie of nadat de gerechtelijke fase afgelopen is en, in voorkomend geval, nadat de bevoegde dienst een beslissing heeft genomen. De inlichtingen die worden ingewonnen in het kader van de uitoefening van de door de rechterlijke instantie opgedragen taken, mogen evenwel slechts worden meegedeeld met de uitdrukkelijke toestemming van deze laatste.". HOOFDSTUK 1 1. - Wijzigingen van de gecoördineerde wet van 10 mei 2015 betreffende de uitoefening van de gezondheidszorgberoepen

Art. 93.In artikel 42 van de gecoördineerde wet van 10 mei 2015 betreffende de uitoefening van de gezondheidszorgberoepen worden de volgende wijzigingen aangebracht: a) in de bepaling onder 2° worden de woorden "het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG";b) in de bepaling onder 3° worden de woorden "het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid" vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité".

Art. 94.In artikel 138 van dezelfde wet worden de woorden "de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid bedoeld in artikel 37 van de Kruispuntbankwet van 15 januari 1990" telkens vervangen door de woorden "de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité". HOOFDSTUK 1 2. - Slotbepalingen

Art. 95.Voor zover in andere wettelijke bepalingen sprake is van een sectoraal comité moeten die bepalingen worden gelezen overeenkomstig de bepalingen van deze wet en overeenkomstig artikel 114 van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit.

Art. 96.De Koning kan, bij een besluit vastgesteld na overleg in de Ministerraad, de bestaande wettelijke bepalingen opheffen, wijzigen, aanvullen of vervangen om ze in overeenstemming te brengen met de bepalingen van deze wet.

Art. 97.Het mandaat van de externe leden van het sectoraal comité van de sociale zekerheid en van de gezondheid wordt gehandhaafd tot de datum van de benoeming van de leden van de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité.

Art. 98.Het mandaat van de externe leden van het sectoraal comité van het Rijksregister wordt gehandhaafd tot de datum van de benoeming van de leden van de kamer federale overheid van het informatieveiligheidscomité.

Art. 99.Deze wet treedt in werking de dag waarop ze in het Belgisch Staatsblad wordt bekendgemaakt.

Kondigen deze wet af, bevelen dat zij met 's Lands zegel zal worden bekleed en door het Belgisch Staatsblad zal worden bekendgemaakt.

Gegeven te Brussel, 5 september 2018.

FILIP Van Koningswege : De Minister van Werk en Economie, K. PEETERS De Minister van Binnenlandse Zaken, J. JAMBON De Minister van Digitale Agenda, A. DE CROO De Minister van Justitie, K. GEENS De Minister van Sociale Zaken en Volksgezondheid, M. DE BLOCK De Minister van Financiën, J. VAN OVERTVELDT De Minister van Zelfstandigen, D. DUCARME Met 's Lands zegel gezegeld : De Minister van Justitie, K. GEENS _______ Nota (1) Kamer van volksvertegenwoordigers (www.dekamer.be) Stukken : K54-3185.

Integraal verslag: 17 juli 2018.