2 JUNI 2019. - Koninklijk besluit tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox

VERSLAG AAN DE KONING Sire, 1. INLEIDING Veilige elektronische communicatie met de overheid stimuleren is een belangrijke stap in het vormgeven van de digitale transformatie van de overheid. Met de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox wordt een wettelijk kader gecreëerd voor het elektronisch uitwisselen van berichten tussen overheidsinstanties (gebruikers) en natuurlijke personen, ondernemingen of andere overheidsinstanties.

De doelstelling van de eBox is enerzijds om de burgers/ondernemingen een centrale, betrouwbare en moderne plaats voor de uitwisseling van berichten met de overheidsdiensten aan te bieden. Anderzijds wil men ook een tool aanreiken aan de overheidsdiensten om de verzending van officiële berichten te dematerialiseren en dus de postkosten aanzienlijk te verminderen (brieven en aangetekende brieven).

Artikel 11 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox vormt de wettelijke basis voor dit besluit. Overeenkomstig dit artikel treedt de Federale Overheidsdienst Beleid en Ondersteuning op als erkennende overheid voor diensten voor ontsluiting van de eBox voor burgers. De Koning voorziet de voorwaarden, de procedure en de gevolgen voor deze erkenning. Het systeem van erkenning bestaat niet voor eBox ondernemingen.

Het doel is het gebruiksgemak voor de bestemmeling te laten primeren zodat zij diensten die zij al voor hun privécommunicatie gebruiken kunnen gebruiken voor overheidscommunicatie. Gebruiksgemak wordt gecombineerd met controle over de veiligheid en de gegevensbescherming, wat de keuze voor een erkenningssysteem verklaart.

Bij een erkenning geldt dat iedereen die voldoet aan de voorwaarden zijn diensten kan aanbieden voor overheidstoepassingen.

De door de Koning vast te stellen voorwaarden voor erkenning zullen een hoog beschermingsniveau verzekeren voor de privacy en confidentialiteit van de gegevens, en dienen minstens betrekking te hebben op functionele en technische kenmerken, op respect voor de persoonlijke levenssfeer en invulling van veiligheidsvereisten met name inzake informatieveiligheid en onweerlegbaarheid (conform randnummer 37 van het advies 47/2018 van de Commissie voor de bescherming van de persoonlijke levenssfeer), op dienstverleningsbeheer en op juridische en economische kenmerken. De technische details worden door de federale overheidsdienst bevoegd voor digitale agenda vastgelegd en bekendgemaakt. Dit gebeurt in overleg met de Kruispuntbank van de Sociale Zekerheid. 2. BESPREKING VAN DE HOOFDSTUKKEN 2.1 Hoofdstuk I In hoofdstuk I worden de in het ontwerp van koninklijk besluit gebruikte termen gedefinieerd (art. 1) en wordt het voorwerp van het koninklijk besluit toegelicht (art. 2 en 3). 2.2 Hoofdstuk II Hoofdstuk II bevat de voorwaarden waaraan een dienstverlener moet voldoen om een erkenning te bekomen. Afdeling 1 van dit hoofdstuk gaat in op de functionele en technische

voorwaarden, waarbij onderafdeling 1 de functionele en technische voorwaarden omtrent de dienst voor gegevensontsluiting bevat. Een aantal puur technische specificaties zal door de erkennende overheid bepaald worden.

Om het randnummer 13 van het advies 16/2019 van de Gegevensbeschermingsautoriteit te beantwoorden, is het belangrijk te stellen dat de kandidaat voor erkenning een dienst moet aanbieden die bestaat uit het ontsluiten en visualiseren van elektronische berichten van derden, anders dan de aanvrager zelf, aan Belgische burgers of aan rechtspersonen die in België gevestigd zijn. Dit gaat dus niet over de erkende dienst maar over een gelijkaardige dienst. Ofwel biedt hij deze dienst al twee jaar aan ofwel heeft hij al 50.000 klanten ofwel doorloopt hij een succesvolle pilootfase bij de erkennende overheid.

Het is voldoende om aan één van deze voorwaarden te voldoen op het moment van indiening van de aanvraag.

De Wet van 19 juli 2018 inzake toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties is van toepassing op overheidsinstanties. Dit besluit vereist respect van deze regels ook voor dienstverleners die zich willen laten erkennen voor ontsluiting van de eBox.

Onderafdeling 2 gaat in op de keuze van de bestemmeling voor de dienst voor gegevensontsluiting.

De instemming zal door natuurlijke personen kunnen gegeven en ingetrokken worden.

De instemming van de natuurlijke persoon moet conform de Algemene Verordening Gegevensbescherming gebeuren. Dit houdt in dat het moet gaan om een positieve en expliciete actie, een actieve handeling van de betrokkene (niet impliciet), aantoonbaar, een vrije echte keuze (geen wanverhouding) en met eenvoudige mogelijkheid tot intrekken van de toestemming en duidelijke informatie over deze mogelijkheid. De informatie dient beschikbaar te zijn in begrijpelijke en makkelijk toegankelijke vorm, in duidelijke en eenvoudige taal.

De bestemmeling kan kiezen voor één of meerdere dienstverleners. De dienstverlener mag de bestemmeling niet verhinderen of ontmoedigen om (ook) van een andere dienstverlening gebruik te maken om de eBox te consulteren of om te eBox te consulteren zonder dienstverlener.

De dienstverlening van de dienstverlener is beperkt tot het verlenen van een dienst voor gegevensontsluiting zoals gedefinieerd in dit besluit, en omvat dus geen opslag, andere bijkomende diensten of enige verdere verwerking van elektronische berichten door de dienstverlener, behoudens wanneer een bestemmeling hiervoor een contract afsluit met de dienstverlener en hier dus duidelijk voor kiest. De toestemming van de bestemmeling om toegang te verlenen tot zijn berichten aan de dienstverlener in het kader van een bijkomende dienst, dient te voldoen aan de vereisten van artikel 4, 11° van de Algemene Verordening Gegevensbescherming.

Onderafdeling 3 bepaalt het versturen van het uniek identificatienummer (rijksregisternummer of kruispuntbanknummer) bij de aanmelding door de gebruiker.

Het betrouwbaarheidsniveau "substantieel" dat gevraagd wordt voor de dienst voor elektronische identificatie komt bovenop het betrouwbaarheidsniveau "aangepast", dat vereist is door de Algemene Verordening Gegevensbescherming 2016/679 en men moet het betrouwbaarheidsniveau "substantieel" interpreteren in de zin van artikel 8, paragraaf 2 van Verordening (EU) 910/2014 dat het volgende bepaalt: "het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen".

Onderafdeling 4 regelt de informatie-uitwisseling tussen de dienstverlener en de erkennende overheid.

In onderafdeling 5 worden bijkomende waarborgen voor de bescherming van persoonsgegevens opgenomen.

De dienstverlener zal alle persoonsgegevens die vervat zijn in een bericht of in een transactie verwerken in overeenstemming met artikel 11, § 4 en 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, met de bepalingen van de Algemene Verordening Gegevensbescherming en met alle eventuele bijkomende of aanvullende wettelijke bepalingen inzake de bescherming van de persoonlijke levenssfeer.

De dienstverlener van een erkende dienst neemt bij de transactie geen kennis van de inhoud van berichten die via de dienstverlener verlopen, noch maakt zij er op enige andere wijze gebruik van voor het aanbieden van de erkende dienst. De dienstverlener neemt hiervoor de nodige maatregelen en documenteert deze.

Overeenkomstig de verduidelijking gevraagd in randnummer 14 van advies 16/2019 van de Gegevensbeschermingsautoriteit, ontvangt de dienstverlener van de erkennende overheid enkel metadata over het bericht zodat hij de bestemmeling kan verwittigen die dan de inhoud van het bericht kan consulteren. Na ondubbelzinnig en voorafgaand akkoord van de persoon in kwestie kan de dienstverlener eventueel toegang krijgen tot de inhoud van de berichten voor het verlenen van een dienst met toegevoegde waarde. De dienstverlener moet ook hier de nodige maatregelen garanderen om een vrijelijke, specifieke, geïnformeerde en ondubbelzinnige toestemming te verzekeren en dit documenteren.

Overeenkomstig randnummer 10, 3° van het advies 16/2019 van de Gegevensbeschermingsautoriteit wordt gespecifieerd dat de persoon slechts voor het ontvangen van diensten met toegevoegde waarde toestemming kan geven aan de dienstverlener om toegang te hebben tot de inhoud van een bericht met als doel om gegevens te verwerken die strikt noodzakelijk zijn voor het aanbieden van de dienst met toegevoegde waarde. Met strikt noodzakelijk wordt bedoeld dat de aangeboden dienst niet kan worden verricht zonder de verwerking van deze gegevens.

De opmerkingen van de Autoriteit in de randnummers 5 tot 9 kunnen echter niet in aanmerking genomen worden.

De mogelijkheid voor erkende dienstverleners om toegang te krijgen tot de inhoud van berichten is immers expliciet voorzien in artikel 11 § 5 van de wet van 27 februari 2019. Deze mogelijkheid werd door de wetgever voorzien zodat de erkende aanbieders innovatieve diensten zouden kunnen aanbieden waarvoor de verwerking van inhoudsgegevens strikt noodzakelijk is. Indien deze diensten met toegevoegde waarde puur op basis van metadata kunnen worden aangeboden, mogen de dienstenaanbieders aan de bestemmeling krachtens de wet dus geen toegang tot de inhoud van de berichten vragen voor het aanbieden van deze diensten.

Een eerste waarborg m.b.t. de verwerking van inhoudsgegevens is aldus de vereiste van noodzakelijkheid: enkel wanneer het technisch gezien niet mogelijk is om de dienst aan te bieden zonder verwerking van de inhoud, kan de aanbieder de bestemmeling de toestemming vragen om toegang te krijgen. Hij kan de gegevens uiteraard ook slechts verwerken voor de doeleinden en voor de duur die strikt noodzakelijk en evenredig zijn voor het verstrekken van de gevraagde dienst.

Een tweede waarborg is dat de dienstverlener gebonden is aan de ondubbelzinnige en voorafgaande toestemming van de bestemmeling.

Deze dient vooraf, met kennis van zaken, toe te stemmen met de verwerking van de inhoud van berichten met het oog op het verkrijgen van een dienst hij aanvraagt.

Zoals hierboven vermeld moet deze toestemming geïnformeerd, ondubbelzinnig, specifiek en vrijelijk gegeven zijn, alvorens dienstenaanbieders toegang kunnen verkrijgen tot de inhoud van berichten. De burger dient duidelijk geïnformeerd te worden door de dienstverlener zodat hij goed begrijpt welke gegevens de dienstverlener in het kader van een bepaalde dienst met toegevoegde waarde zal kunnen verwerken en voor welke precieze doeleinden.

Om tegemoet te komen aan de bezorgdheid van de GBA in randnummer 7 dat het betreffende akkoord slechts een formaliteit zou zijn, wordt een bijkomende transparantieverplichting opgelegd aan de dienstenaanbieders voor wat betreft de diensten met toegevoegde waarde. Deze moeten ervoor zorgen dat de toestemming op een zinvolle manier wordt gevraagd en gegeven.

In het besluit werd dan ook toegevoegd dat de dienstverlener voor elke bestemmeling overzichtelijke informatie over de door hem gekozen diensten met toegevoegde waarde moet voorzien over de toestemmingen die de bestemmeling hierover gegeven heeft en over de draagwijdte van deze toestemmingen (bijvoorbeeld of hij al dan niet toegang tot de inhoud van bepaalde soorten berichten heeft gegeven alsook een duidelijk overzicht van de precieze doeleinden waarvoor bepaalde inhoudsgegevens kunnen worden verwerkt).

Voor elke nieuwe dienst met toegevoegde waarde die de dienstverlener aanbiedt, bezorgt de dienstverlener de erkennende overheid informatie waaruit blijkt hoe hij de hierboven vermelde verplichting respecteert.

De dienstverlener dient een functionaris voor de gegevensbescherming aan te duiden die toezicht houdt op de gegevensverwerking bij de dienstverlening.

De dienstverlener neemt alle passende technische en organisatorische maatregelen om risico's te voorkomen en documenteert de maatregelen en de manier waarop ze zijn afgestemd op de risico's in een veiligheidsrapport. De erkennende overheid kan dit rapport ten allen tijde opvragen.

Er wordt tevens voorzien in de installatie door de dienstverlener van een audit trail of "beveiligd controlespoor". Overeenkomstig de vraag gesteld in het randnummer 17 in het advies 16/2019 van de Gegevensbeschermingsautoriteit werden in artikel 12 de identificatiesleutel van de bestemmeling en informatie over de kennisgeving toegevoegd. De bewaringstermijn van 10 jaar van de informatie in de audit trail is gebaseerd op de gemeenrechtelijke verjaringstermijnen. Er is op geen enkel moment een toegang tot het Rijksregister. Conform artikel 11 § 3 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox zal de erkende dienstverlener het rijksregisternummer gebruiken maar dit gebruik is strikt beperkt tot het uitvoeren van de dienstverlening.

Het kruispuntbanknummer wordt gebruikt bij gebrek aan rijksregisternummer.

De dienstverlener dient maatregelen te nemen zodat het gebruik van het rijksregisternummer wordt beperkt voor de identificatie en de authenticatie en documenteert deze maatregelen.

In het randnummer 12 van het advies 16/2019 vraagt de Gegevensbeschermingsautoriteit om overal de term `unieke identificatienummer' ter vervangen door het rijksregisternummer. Op plaatsen waar het niet enkel gaat over het rijksregisternummer maar ook over het kruispuntbanknummer blijft de term `unieke identificatienummer' behouden.

Als de dienstverlening aan de bestemmeling een einde neemt, omwille van de stopzetting van het contract tussen de dienstverlener en de bestemmeling om welke reden dan ook, verwittigt de dienstverlener de erkennende overheid. De dienstverlener brengt de bestemmeling ervan op de hoogte dat hij op elk moment zijn berichten in de eBox kan consulteren via de myebox aangeboden door de overheidsdienst bevoegd voor digitale Agenda. Deze blijven daar ter beschikking gedurende de termijn die de verzender van het bericht bepaald heeft zolang de bestemmeling zijn instemming voor het uitwisselen van berichten via eBox niet intrekt. Na stopzetting van de dienstverlening aan de bestemmeling vernietigt de dienstverlener alle gegevens verbonden met de dienstverlening aan de bestemmeling. Deze uitleg beantwoordt de opmerking van de Gegevensbeschermingsautoriteit in randnummer 11 van haar advies 16/2019. Afdeling 2 bevat de voorwaarden op het vlak van dienstverlening.

Onderafdeling 1 gaat in op de beschikbaarheid van de dienstverlening, die op maandbasis minimaal 99,9 procent dient te bedragen.

Met het oog op het verlenen van een bewijs van onbeschikbaarheid wanneer verzenden en ontvangen onmogelijk is, dat dan als overmacht kan ingeroepen worden door de partijen conform artikel 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, registreert de dienstverlener de onbeschikbaarheid en stelt deze informatie ter beschikking.

Onderafdeling 2 regelt de beschikbaarheid van de ondersteunende diensten. In dit verband wordt een onderscheid gemaakt tussen enerzijds oproepen van gebruikers en van andere overheidsdiensten dan de erkennende overheid en anderzijds oproepen van de erkennende overheid. Voor de eerste categorie van oproepen dient de dienstverlener voor de gebruikers binnen de verlengde kantooruren telefonische of andere gepersonaliseerde ondersteuning en een webpagina met veel gestelde vragen aan te bieden. Voor de tweede categorie van oproepen voorziet de dienstverlener 24 uur op 24 en 7 dagen op 7, in een telefonische ondersteuning.

Onderafdeling 3 regelt het uitrolbeheer.

De impactanalyse die gevraagd wordt aan de dienstverlener bij een nieuwe softwareversie die een significante impact heeft op de bestemmelingen of de erkennende overheid, is niet gelijk aan het begrip gegevensbeschermingseffectbeoordeling in artikel 35 en 36 van de AVG. De bedoelde impact kan niet alleen betrekking hebben op de bescherming van persoonsgegevens, maar het kan ook gaan over impact op gebruiksvriendelijkheid of op de manier van aanmelden die significant wijzigt.

Onderafdeling 4 gaat in op de continuïteit van de dienstverlening. Het gaat om de verplichting de dienst gedurende de hele duur van de erkenning aan te bieden.

Onderafdeling 5 regelt de rapporteringsverplichtingen van de dienstverlener. Afdeling 3 bepaalt de economische en juridische voorwaarden waaraan

een aanvrager, respectievelijk een dienstverlener dient te voldoen.

Bij het nagaan van de verplichtingen inzake betaling van sociale zekerheidsbijdragen en van belastingen zal rekening gehouden worden met de drempels die worden gehanteerd bij de overheidsopdrachten en waaronder de betrokken onderneming niet geacht worden schulden te hebben.

Door de erkenningsvoorwaarden objectief te omschrijven, garandeert het besluit de gelijke behandeling van de aanbieders van diensten voor elektronische identificatie.

De aanbieders tonen aan dat zij in staat zijn het risico van de aansprakelijkheid voor schade op zich te nemen en over voldoende financiële middelen beschikken om hun activiteiten en de dienstverlening voort te zetten. Dit kan bijvoorbeeld door de afgesloten verzekeringen voor te leggen.

Er is ook de vereiste te beschikken over een doeltreffend beëindigingsplan. Dat plan omvat voorzieningen voor de ordelijke stopzetting van de dienstverlening of de voortzetting daarvan door een andere dienstverlener, voor de wijze waarop de betrokken autoriteiten en eindgebruikers worden ingelicht, alsook voor de wijze waarop de gegevens wordt beschermd, bewaard en vernietigd. 2.3 Hoofdstuk III Hoofdstuk III regelt de erkenningsprocedure. De bepalingen omtrent de indiening van de erkenningsaanvraag werden opgenomen onder afdeling 1 van dit hoofdstuk. Afdeling 2 regelt de behandeling van de erkenningsaanvraag door de

erkennende overheid.

Ook tijdens de erkenningsprocedure zijn er voldoende waarborgen dat de algemene beginselen van behoorlijk bestuur worden nageleefd. Onder meer door de erkenningsprocedure transparant te beschrijven wordt gegarandeerd dat de kandidaten op gelijke wijze worden behandeld.

Daarenboven heeft iedere indiener van een erkenningsaanvraag tijdens de erkenningsprocedure het recht om te worden gehoord. Door de vereiste van de indiening van een zeer gedocumenteerde erkenningsaanvraag kan de overheid, conform het zorgvuldigheidsbeginsel, tevens met kennis van zaken een beslissing nemen over de erkenningsaanvraag. Ten slotte wordt de erkennende overheid verplicht om binnen een termijn van 3 maanden uitspraak te doen over de erkenningsaanvraag, waardoor de redelijke termijn wordt gerespecteerd. 2.4 Hoofdstuk IV Hoofdstuk IV gaat in op de gevolgen van de erkenning van de dienstverlener. Afdeling 1 handelt over de operationele gevolgen van de erkenning.

Eén van de operationele gevolgen van de erkenning is dat de aanbieder van de erkende dienst voor elektronische identificatie automatisch wordt gemachtigd om het Rijksregisternummer te gebruiken voor het toegangs- en gebruikersbeheer via de Federal Authentication Service (FAS) voor de toepassingen die ontwikkeld zijn voor de opdrachten van algemeen belang. Het unieke identificatienummer kan bij gebrek aan rijksregisternummer ook het kruispuntbanknummer van de Sociale zekerheid zijn.

Overeenkomstig artikel 8, § 1, tweede lid van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, werd dit ontwerpbesluit ter advies voorgelegd aan de Gegevensbeschermingsautoriteit en voorgelegd voor overleg in de Ministerraad.

In geen geval kan de erkennende overheid aansprakelijk worden gesteld voor de schade die het gevolg is van storingen, onderbrekingen en fouten bij de werking van een erkende dienst voor elektronische identificatie. Afdeling 2 van hoofdstuk IV regelt de financiële gevolgen van de

erkenning.

De erkennende overheid vergoedt de dienstverlening niet.

Onder afdeling 3 is bepaald dat de erkenning geldt voor een periode van 3 jaar. Verlenging kan drie keer voor een jaar op eenvoudige vraag. De hernieuwing van de erkenning na zes jaar (drie + driemaal één) veronderstelt een nieuwe aanvraag.

Door de gevolgen van de erkenning (zowel operationeel, financieel, als van de duur ervan) duidelijk te bepalen, biedt het besluit voldoende garanties op het vlak van rechtszekerheid. 2.5 Hoofdstuk V Hoofdstuk V bevat bepalingen omtrent de controle, schorsing en intrekking van de erkenning.

De controle wordt geregeld in afdeling 1. Afdeling 2 regelt de schorsing en intrekking van de erkenning.

In alle gevallen van schorsing of intrekking van een erkenning, zal de dienstverlener worden gehoord door de erkennende overheid. 2.6 Hoofdstuk VI Hoofdstuk VI bevat slotbepalingen.

De erkenning van dienstverleners dient snel opgestart te worden omwille van het feit dat er sinds enkele maanden in een pilootfase een aantal private dienstverleners zijn die de eBox ontsluiten. Het is niet wenselijk om deze pilootfase te lang te laten duren, zonder dat men naar een meer duurzaam aanbod van erkende diensten kan overgaan om de eBox te ontsluiten voor burgers. Daarom wordt de inwerkingtreding voorzien op de dag van bekendmaking in het Belgisch Staatsblad.

Ik heb de eer te zijn, Sire, Van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaar, De Minister voor Digitale Agenda, Ph. DE BACKER

Advies 65.831/4 van 6 mei 2019 van de afdeling Wetgeving van de Raad van State over een ontwerp van koninklijk besluit `tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox' Op 1 april 2019 is de Raad van State, afdeling Wetgeving, door de Minister van Digitale Agenda, Telecommunicatie en Post, belast met Administratieve Vereenvoudiging, Bestrijding van de sociale fraude, Privacy en Noordzee verzocht binnen een termijn van dertig dagen verlengd tot 15 mei 2019 *een advies te verstrekken over een ontwerp van koninklijk besluit `tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox'.

Het ontwerp is door de vierde kamer onderzocht op 6 mei 2019. De kamer was samengesteld uit Martine BAGUET, kamervoorzitter, Bernard BLERO en Wanda VOGEL, staatsraden, Christian BEHRENDT en Marianne DONY, assessoren, en Charles-Henri VAN HOVE, toegevoegd griffier.

Het verslag is uitgebracht door Jean-Baptiste LEVAUX, auditeur.

De overeenstemming tussen de Franse en de Nederlandse tekst van het advies is nagezien onder toezicht van Martine BAGUET. Het advies, waarvan de tekst hierna volgt, is gegeven op 6 mei 2019.

Rekening houdend met het tijdstip waarop dit advies wordt gegeven, vestigt de Raad van State de aandacht op het feit dat, wegens het ontslag van de regering, de bevoegdheid van deze laatste beperkt is tot het afhandelen van de lopende zaken. Dit advies wordt evenwel gegeven zonder dat wordt nagegaan of het ontwerp onder die beperkte bevoegdheid valt, aangezien de afdeling Wetgeving geen kennis heeft van alle feitelijke gegevens die de regering in aanmerking kan nemen als ze moet beoordelen of het nodig is een verordening vast te stellen of te wijzigen.

Aangezien de adviesaanvraag is ingediend op basis van artikel 84, § 1, eerste lid, 2°, van de wetten `op de Raad van State', gecoördineerd op 12 januari 1973, beperkt de afdeling Wetgeving, overeenkomstig artikel 84, § 3, van de voornoemde gecoördineerde wetten, haar onderzoek tot de rechtsgrond van het ontwerp, de bevoegdheid van de steller van de handeling en de te vervullen voorafgaande vormvereisten.

Wat die drie punten betreft, geeft het ontwerp aanleiding tot de volgende opmerkingen.

ONDERZOEK VAN HET ONTWERP DISPOSITIEF Artikel 1 1. In punt 7° wordt verwezen naar het betrouwbaarheidsniveau "substantieel" zoals inzonderheid gedefinieerd "in de bijlage van de uitvoeringsverordening (EU) nr.2015/1502".

Het ontwerp dient aldus herzien te worden dat daarin de volledige verwijzing naar die verordening vermeld wordt, namelijk "uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt".

Opdat de adressaten van de regel volledig worden ingelicht, moet er in het verslag aan de Koning, in verband waarmee opgemerkt dient te worden dat het, in zijn huidige vorm, te summier is om echt inzicht te verschaffen in deze bijzonder complexe aangelegenheid, op gewezen worden dat het betrouwbaarheidsniveau "substantieel" bovenop het betrouwbaarheidsniveau "afgestemd" komt dat bij de AVG vereist wordt,1 en dat het "betrouwbaarheidsniveau substantieel" begrepen moet worden in de zin van artikel 8, lid 2, van verordening (EU) 910/2014, dat luidt: "het betrouwbaarheidsniveau substantieel betreft een elektronisch identificatiemiddel in het kader van een stelsel voor elektronische identificatie, dat een substantiële mate van vertrouwen in iemands opgegeven of beweerde identiteit biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van misbruik of wijziging van identiteit te verkleinen." 3. Punt 8° moet weggelaten worden aangezien die definitie al gegeven wordt in artikel 2, 3°, van de wet van 27 februari 2019.2 De steller van het ontwerp heeft evenwel de mogelijkheid om een toepassingsgebied vast te stellen dat zich beperkt tot de eBox voor natuurlijke personen; daartoe dient hij, in het dispositief, het toepassingsgebied van het ontworpen besluit te bepalen. 4. In punt 13° worden de "technische specificaties" gedefinieerd als "de handleiding met technische specificaties [...]".

Op de vraag of het mogelijk is de "technische specificaties" te definiëren zonder diezelfde termen te gebruiken in de definitie ervan, heeft de gemachtigde het volgende geantwoord: "Een betere formulering zou inderdaad zijn `handleiding met technische instructies'/ `manuel comprenant les instructions techniques'." Als dat de wens is van de steller van het ontwerp, kan het in die zin gewijzigd worden. Voorts moet in de Franse tekst de nummering van die definitie herzien worden, aangezien het om punt 13° in plaats van 34° gaat. 5. In punt 15° moet de definitie van "Algemene Verordening Gegevensbescherming" weggelaten worden, aangezien ze al gegeven wordt in artikel 2, 4°, van de wet van 27 februari 2019.Het vervolg van het dispositief moet aangepast worden door gebruik te maken van de formulering van de definitie in artikel 2, 4°, van de wet.

Artikel 4 1. In het eerste lid wordt bepaald dat de aanvrager een dienst aanbiedt aan Belgische burgers of aan rechtspersonen die in België gevestigd zijn.Op de vraag naar het waarom van die beperking tot Belgische bestemmelingen heeft de gemachtigde het volgende geantwoord: "De eBox dienst wordt niet enkel aan Belgen aangeboden. Maar de dienst voor visualisatie van berichten moet wel al operationeel zijn in België (of heeft succesvol een pilootfase van de dienst van minimaal zes maanden afgerond)." Het ontwerp dient aldus gewijzigd te worden dat niet enkel Belgische burgers of rechtspersonen die in België gevestigd zijn gebruikt kunnen maken van de dienst. Dezelfde opmerking geldt voor het tweede lid, waarin sprake is van "Belgische bestemmelingen". 2. Als voorwaarde om te kunnen worden erkend, wordt in het tweede lid gesteld dat de aanvrager "de dienst reeds minstens gedurende twee jaar aan[biedt] of (...) reeds over minstens 50.000 Belgische bestemmelingen [beschikt] op het moment van het indienen van de aanvraag". Op een vraag aangaande die voorwaarden heeft de gemachtigde geantwoord dat ze betrekking hebben op een dienst voor het visualiseren van de berichten in het algemeen. Die verduidelijking moet aangebracht worden in het ontwerp zodat er geen verwarring ontstaat met de "dienst voor gegevensontsluiting" in de zin van het ontworpen besluit.

Artikel 5 1. Paragraaf 1 bepaalt dat de dienst voor gegevensontsluiting voldoet aan de technische specificaties die de erkennende overheid publiceert, te weten "de federale overheidsdienst bevoegd voor digitale agenda." Op de vraag wie de steller is van die technische specificaties heeft de gemachtigde geantwoord dat het eveneens gaat om de erkennende overheid.

Delegatie van bevoegdheid kan per definitie echter alleen worden verleend aan een natuurlijke of rechtspersoon die als enige op geldige wijze rechtshandelingen kan stellen. Er moet dus een welbepaalde ambtenaar of een welbepaald orgaan worden aangewezen in plaats van een "dienst" zonder rechtspersoonlijkheid.3 Volgens artikel 108 van de Grondwet is het maken van de verordeningen die voor de uitvoering van de wetten nodig zijn, in beginsel bovendien echter zaak van de Koning. Afwijkingen van die grondregel, waarbij de Koning zijn verordeningsbevoegdheid bijvoorbeeld zou kunnen delegeren aan een openbare instelling die ten aanzien van de Kamer van volksvertegenwoordigers geen enkele politieke verantwoordelijkheid heeft, zijn enkel aanvaardbaar onder strikte voorwaarden, inzonderheid wanneer de technische aard van de te nemen maatregelen zulks rechtvaardigt. Een dergelijke subdelegatie van regelgevende bevoegdheden is, in ieder geval, alleen denkbaar wanneer ze betrekking heeft op bijkomstige zaken, in het kader van een regelgeving waarvan de hoofdbestanddelen door de Koning worden bepaald.4 De beoogde machtiging is alleen aanvaardbaar als ze binnen die grenzen valt. 2. In paragraaf 2 is sprake van de "wettelijke vereisten voor toegankelijkheid die van toepassing zijn op respectievelijk de websites of mobiele applicaties van overheidsinstanties". Op de vraag waarin die vereisten hun oorsprong vinden, heeft de gemachtigde ambtenaar het volgende geantwoord: "De Wet van 19 juli 2018 inzake toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties is van toepassing op overheidsinstanties. Dit KB vereist respect van deze regels ook voor dienstverleners die zich willen laten erkennen voor ontsluiting van de eBox." Het verdient aanbeveling dit in het verslag aan de Koning te preciseren teneinde de adressaten van de regel volledig in te lichten.

Artikel 9 1. In paragraaf 2 wordt het volgende bepaald: "Bij detectie van een waarschijnlijk misbruik verzekert de dienstverlener dat er geen bericht wordt ontsloten voor de bestemmeling." Op de vraag naar de gevolgen van een dergelijke situatie, heeft de gemachtigde ambtenaar het volgende gepreciseerd: "De documenten zijn altijd beschikbaar via de federale myebox interface. Daar wordt de bestemmeling van op de hoogte gebracht door de dienstverlener op het moment van onmogelijkheid om de dienst te leveren." Gelet op dat antwoord moet worden gepreciseerd dat "door de dienstverlener" geen enkel bericht voor de bestemmeling wordt ontsloten. 2. In paragraaf 3 zou het beter zijn het woord "proactief" te vervangen door het woord "preventief".3. In paragraaf 4 moeten de woorden "tenzij de bestemmeling expliciet kiest om" worden vervangen door de woorden "tenzij de bestemmeling er expliciet voor kiest om". Artikel 12 In de Franse versie van punt 6 staat tweemaal "de la notification" te lezen. Deze woorden moeten éénmaal worden geschrapt.

Artikel 13 De Franse tekst van paragraaf 3 dient als volgt te worden geredigeerd: "(...) qu'il ne prend connaissance du contenu des messages échangés que si cela est strictement (...).? Artikel 21 De verwijzing naar artikel 33, 3°, van de AVG moet worden gecorrigeerd daar het in werkelijkheid gaat om artikel 33, lid 3.

Artikel 23 In artikel 23 wordt bepaald dat de dienstverlener "ervoor [dient] te zorgen zich niet in één van de volgende situaties te bevinden" en worden die situaties vervolgens opgesomd.

Zoals de gemachtigde ambtenaar heeft beaamd, is het beter de bepaling zo te formuleren dat erin wordt bepaald dat hij "zich niet mag bevinden in één van de volgende situaties." Artikel 24 Artikel 24 van het ontwerp bepaalt het volgende: "De aanvrager toont aan dat hij in staat is (...) over voldoende financiële middelen te beschikken om de dienstverlening voort te zetten tijdens de duur van de erkenning." Op de vraag wat de draagwijdte is van het vereiste om te beschikken over voldoende financiële middelen, heeft de gemachtigde de volgende toelichting gegeven: "dit artikel is in gelijkaardige vorm aanwezig onder andere in artikel 24 van de Verordening (EU) nr. 910/2014 van het Europees parlement en de raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van richtlijn 1999/93/EG.`een gekwalificeerde verlener van vertrouwensdiensten die gekwalificeerde vertrouwensdiensten verleent, zorgt ervoor dat hij, in verband met het risico op de in artikel 13 bedoelde aansprakelijkheid voor schade, voldoende financiële middelen ter beschikking heeft en/of sluit, overeenkomstig het nationale recht, een toereikende aansprakelijkheidsverzekering af;' wij stellen voor om het artikel in het besluit als volgt te verduidelijken: `de aanvrager beschikt over voldoende functionele middelen om te functioneren overeenkomstig dit besluit en toont met name aan het risico van de aansprakeli3jkheid voor schade veroorzaakt door de dienstverlening op zich te kunnen nemen, door bijvoorbeeld een passende verzekering te sluiten'." De bepaling moet in die zin worden gepreciseerd.

Artikel 31 In de Franse tekst van paragraaf 2 moeten de woorden "en compris le nom" worden vervangen door de woorden " en ce compris le nom".

Artikel 39 1. Artikel 39 betreft inzonderheid de verlenging van de erkenning. Het ontwerp moet aldus worden aangevuld dat erin wordt bepaald binnen welke termijn de aanvraag voor verlenging moet worden ingediend. Ook dient erin te worden gepreciseerd binnen welke termijn de nieuwe erkenningsaanvraag moet worden ingediend, waarbij erop moet worden toegezien dat de overheid over voldoende tijd beschikt om zich over die aanvraag uit te spreken vóór het verstrijken van de laatste verlengingperiode van de erkenning. 2. In de Franse tekst komt het woord "simple" tweemaal voor.De tweede vermelding van dat woord moet worden geschrapt.

Artikel 41 Artikel 41 voorziet in de mogelijkheid om de erkenning voor de dienstverlening te schorsen.

Op de vraag wat de gevolgen zijn wanneer een schorsing niet wordt opgeheven, overeenkomstig artikel 41, § 5, bij het verstrijken van de schorsingstermijn van drie maanden die is bepaald in artikel 11, § 8, van de wet, heeft de gemachtigde geantwoord dat de erkenning wordt ingetrokken.

Die precisering moet in het ontwerp worden opgenomen.

Artikel 42 Voor zover de bijlage bij het besluit wordt aangekondigd in artikel 26, § 1, van het ontwerp, is artikel 42 overbodig, aangezien het alleen tot doel heeft te vermelden dat de bijlage bij het besluit is gevoegd.

Artikel 42 moet dus worden weggelaten.

Artikel 43 In artikel 43 van het ontwerp wordt bepaald dat het besluit in werking treedt de dag waarop het in het Belgisch Staatsblad wordt bekendgemaakt.

Het is de afdeling Wetgeving niet duidelijk om welke redenen afgeweken moet worden van de gangbare termijn van inwerkingtreding bepaald bij artikel 6, eerste lid, van de wet van 31 mei 1961 `betreffende het gebruik der talen in wetgevingszaken, het opmaken, bekendmaken en inwerkingtreden van wetten en verordeningen'.5 De bepaling moet worden weggelaten.

Bijlage Punt III van het aanvraagformulier vastgesteld in de bijlage bij het ontwerp, heeft betrekking op de "uitsluitingscriteria".

Op de vraag welke criteria bedoeld worden, heeft de gemachtigde geantwoord dat het gaat om de criteria die zijn opgenomen in artikel 23 van het ontwerp. Die precisering moet worden opgenomen in de bijlage.

De griffier, CHARLES-HENRI VAN HOVE De voorzitter, MARTINE BAGUET

2 JUNI 2019. - Koninklijk besluit tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op artikel 11 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox;

Gelet op het advies van de Inspectie van Financiën, gegeven op 28 februari 2019;

Gelet op de akkoordbevinding van de Minister van Begroting, gegeven op 22 maart 2019;

Gelet op het advies van de Gegevensbeschermingsautoriteit nr. 16/2019, gegeven op 6 februari 2019;

Gelet op de impactanalyse uitgevoerd op 21 februari 2019, overeenkomstig de artikelen 6 en 7 van de wet van 15 december 2013 houdende diverse bepalingen inzake administratieve vereenvoudiging;

Gelet op het advies van de Raad van State nr. 65.831/4, gegeven op 6 mei 2019, met toepassing van artikel 84, § 1, alinea 1, 2° van de gecoördineerde wetten op de Raad van State;

Op de voordracht van de Minister van Digitale agenda, Telecommunicatie en Post, belast met Administratieve vereenvoudiging, Bestrijding van de sociale fraude, Privacy en Noordzee en op het advies van de in Raad vergaderde Ministers, Hebben Wij besloten en besluiten Wij : HOOFDSTUK I. - Definities en inleidende bepalingen

Artikel 1.Voor de toepassing van dit besluit wordt verstaan onder: 1° "dienst voor gegevensontsluiting": de dienst die bestaat uit het ontsluiten en visualiseren voor bestemmelingen van elektronische berichten beschikbaar in de eBox voor natuurlijke personen 2° "dienstverlener": een aanvrager die een erkenning heeft bekomen voor het verlenen van een dienst voor gegevensontsluiting 3° "aanvrager": de natuurlijke persoon of rechtspersoon die geen overheidsinstantie is en die een erkenning tracht te bekomen voor de dienstverlening 4° "dienstverlening": het aanbieden van een dienst voor gegevensontsluiting 5° "bestemmeling": het individu dat gebruik maakt van de dienst voor gegevensontsluiting 6° "erkennende overheid": de federale overheidsdienst bevoegd voor Digitale Agenda ("DTO") bedoeld in artikel 11 § 1 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox 7° "dienst voor elektronische identificatie met substantiële betrouwbaarheid": een dienst voor elektronische identificatie die voldoet aan de vereisten van de het betrouwbaarheidsniveau substantieel zoals gedefinieerd in Verordening (EU) Nr.910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, en in de uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt 8° "veiligheidsrisico's": omstandigheid of gebeurtenis die een negatieve impact kan hebben op de veiligheid van de dienstverlening 9° "probleem": een oorzaak van één of meer incidenten 10° "contactpersoon": de persoon door de dienstverlener aan te duiden als uniek contactpunt tussen de dienstverlener en de erkennende overheid 11° "samenwerkingsovereenkomst": een overeenkomst tussen de dienstverlener en de erkennende overheid omtrent het dienstverleningsniveau 12° "technische specificaties": de handleiding met technische instructies, bepaald overeenkomstig artikel 11, § 2 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox 13° "transactie": een succesvolle ontsluiting en visualisatie voor de bestemmeling van een bericht beschikbaar in zijn of haar eBox door een erkende dienst voor gegevensontsluiting Art.2. Dienstverleners bieden hun dienst voor gegevensontsluiting kosteloos aan aan de bestemmelingen die gebruik maken van hun dienst, niettegenstaande het recht van de dienstverleners om een kostprijs aan te rekenen aan de bestemmelingen voor eventuele bijkomende diensten die zij hen verstrekken.

Art. 3.§ 1. Dienstverleners ontsluiten en visualiseren via hun dienst voor gegevensontsluiting voor elke bestemmeling, die gebruik maakt van hun dienst, elk elektronisch bericht dat zich voor die bestemmeling in zijn of haar eBox bevindt, zonder enige discriminatie of filtering van elektronische berichten. § 2. Dienstverleners verzekeren dat hun dienstverlening te allen tijde voldoet aan de erkenningsvoorwaarden zoals uiteengezet in dit besluit, gedurende de duurtijd van de erkenning. Indien zij op enig moment beschikken over gegronde indicaties dat hun dienstverlening niet langer voldoet aan deze erkenningsvoorwaarden, dan staken zij onverwijld hun dienstverlening en melden ze de mogelijke oorzaak van de non-conformiteit bij de erkennende overheid. HOOFDSTUK II. - Erkenningsvoorwaarden Afdeling 1. - Functionele en technische voorwaarden

Onderafdeling 1. - De dienst voor gegevensontsluiting

Art. 4.De aanvrager biedt een dienst aan die bestaat uit het ontsluiten en visualiseren van elektronische berichten van derden, anders dan de aanvrager zelf, aan Belgische geadresseerden, reeds minstens gedurende twee jaar voorafgaand aan het indienen van de erkenningsaanvraag of heeft via zo'n dienst reeds berichten ontsloten voor minstens 50.000 Belgische geadresseerden op het moment van het indienen van de erkenningsaanvraag of heeft succesvol een pilootfase van zo'n dienst van minimaal zes maanden afgerond met de erkennende overheid op het moment van het indienen van de erkenningsaanvraag.

Art. 5.§ 1. De dienst voor gegevensontsluiting voldoet aan de technische specificaties die de erkennende overheid publiceert op haar website. § 2. De websites of mobiele applicaties die worden gebruikt voor het aanbieden van de dienst voor gegevensontsluiting, voldoen aan de wettelijke vereisten voor toegankelijkheid die van toepassing zijn op respectievelijk de websites of mobiele applicaties van overheidsinstanties te voldoen.

Onderafdeling 2. - De keuze van de bestemmeling voor de dienst voor gegevensontsluiting

Art. 6.§ 1. De dienst voor gegevensontsluiting wordt niet geactiveerd door de dienstverlener ten aanzien van een bestemmeling totdat deze zijn of haar toestemming overeenkomstig artikel 6 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox heeft gegeven aan de aanbieder van de eBox zoals bedoeld in artikel 3 van dezelfde wet.

De dienst voor gegevensontsluiting wordt niet geactiveerd door de dienstverlener ten aanzien van een bestemmeling totdat deze een contract heeft gesloten met de dienstverlener. § 2. De dienstverlener informeert de bestemmeling dat zijn berichten ook beschikbaar zijn via eBox zonder beroep te doen op de dienstverlening en mag de bestemmeling op geen enkele wijze verhinderen of ontmoedigen om gebruik te maken van de eBox op enige andere wijze dan via de dienstverlening.

Onderafdeling 3. - Aanmelding door de bestemmeling

Art. 7.§ 1. De dienst voor gegevensontsluiting maakt gebruik van een dienst voor elektronische identificatie met substantiële betrouwbaarheid om de bestemmeling te authentiseren alvorens een transactie kan worden uitgevoerd via de dienstverlening. § 2. De dienst voor gegevensontsluiting stuurt de erkennende overheid bij elke aanmelding het uniek identificatienummer van de bestemmeling, op basis waarvan de erkennende overheid de identiteit van de bestemmeling vaststelt en informatie over de eventuele beschikbare berichten in de eBox kan aanbieden aan de dienstverlener voor een transactie.

Onderafdeling 4. - Informatie-uitwisseling tussen de eBox, de dienstverlener en de bestemmeling

Art. 8.De informatie-uitwisseling tussen de eBox en de dienstverlener in het kader van de dienst voor gegevensontsluiting geschiedt overeenkomstig de technische protocollen zoals uiteengezet in de technische specificaties.

Art. 9.§ 1. Bij iedere informatie-uitwisseling tussen de dienstverlener en de eBox alsook bij elke transactie tussen de dienstverlener en de bestemmeling voert de dienstverlener controles uit en neemt maatregelen om ten minste de onderstaande misbruiken tegen te gaan: 1. een wijziging van de inhoud van de elektronische berichten;2. een wijziging van de metadata van de elektronische berichten, inclusief de oorsprong, naamgeving of bestandstype;3. een derde partij, anders dan de bestemmeling, die zich toegang verschaft tot of kennis neemt van enig elektronisch bericht in een eBox van de bestemmeling via de dienst voor gegevensontsluiting;en 4. een derde partij die zich voordoet als de eBox. § 2. De dienstverlener implementeert controletechnieken die overeenstemmen met de staat van de kunst om de in paragraaf 1 vermelde misbruiken te detecteren. Bij detectie van een waarschijnlijk misbruik verzekert de dienstverlener dat er geen bericht wordt ontsloten voor de bestemmeling door de dienstverlener. § 3. De dienst voor gegevensontsluiting omvat voldoende controlemechanismen om eventuele veiligheidsrisico's proactief op te sporen. De dienstverlener rapporteert hierover overeenkomstig de procedure omschreven in onderafdeling 5 van afdeling 2. § 4. De dienstverlener brengt de bestemmeling op de hoogte van de aanwezigheid van elk nieuw elektronisch bericht beschikbaar via de dienst voor gegevensontsluiting, tenzij de bestemmeling expliciet kiest om geen kennisgeving te ontvangen. § 5. Bij stopzetting van de dienstverlening aan de bestemmeling om wat voor reden dan ook: - verwittigt de dienstverlener de erkennende overheid; - verwijst de dienstverlener de bestemmeling naar de eBox, toegankelijk via de myebox van de federale overheidsdienst bevoegd voor digitale agenda, waar zijn berichten beschikbaar zijn gedurende de termijn bepaald door de gebruiker, tenzij de bestemmeling zijn instemming met het uitwisselen van berichten via de eBox heeft ingetrokken; - vernietigt de dienstverlener alle gegevens verbonden aan het gebruik van de dienstverlening door de bestemmeling.

Onderafdeling 5. - Eerbiediging van de persoonlijke levenssfeer

Art. 10.De dienstverlener wijst een functionaris voor gegevensbescherming aan die voldoet aan de vereisten van artikel 38 en 39 van de Algemene Verordening Gegevensbescherming 2016/679, en verzekert dat elke verwerking zoals bedoeld in artikel 11, § 3, 4 en 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox onder het toezicht staat van deze functionaris voor gegevensbescherming.

Art. 11.De dienstverlener neemt passende technische en organisatorische maatregelen om voor de dienstverlening en bij elke transactie een op het risico afgestemd beveiligingsniveau te waarborgen. De dienstverlener documenteert deze maatregelen en de wijze waarop deze de veiligheidsrisico's op gepaste wijze onder controle houden in een veiligheidsrapport, dat te allen tijde opgevraagd kan worden door de erkennende overheid.

Art. 12.De dienstverlener installeert een beveiligd controlespoor zodat elke specifieke transactie kan worden gereconstrueerd met het oog op de beveiliging van de gegevens en de bescherming van de persoonlijke levenssfeer. Hiertoe bewaart de dienstverlener voor iedere transactie en poging tot transactie de volgende informatie gedurende een termijn van tien jaar, te rekenen vanaf de 1e januari van het jaar volgend op het moment van de transactie of de poging tot transactie in kwestie: 1. het unieke identificatienummer van de bestemmeling;2. identificatie van de dienst voor gegevensontsluiting van de dienstverlener waarmee de bestemmeling de transactie of de poging tot transactie initialiseert;3. de identificatiesleutel van de bestemmeling, gebruikt door de dienstverlener, om de transactie of de poging tot transactie te autoriseren.4. het tijdstip van de transactie of de poging tot transactie;5. indien de transactie succesvol werd voltooid, de metadata van het elektronische bericht of de elektronische berichten die in de transactie werden ontsloten, met name de bestandsnaam, bestandstype en omvang van het bestand;6. het tijdstip van verzending en de identificatie van de kennisgeving, verbonden aan de identificatie van de notificatiedienst.

Art. 13.§ 1. De dienstverlener neemt passende technische en organisatorische maatregelen om te garanderen overeenkomstig artikel 11 § 3 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox dat het rijksregisternummer van de bestemmeling enkel gebruikt wordt voor de dienstverlening voor doeleinden van identificatie en authenticatie. § 2. De dienstverlener neemt passende technische en organisatorische maatregelen om te garanderen overeenkomstig artikel 11 § 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox dat hij geen kennis van de inhoud van de berichten krijgt of er op een andere wijze gebruik van maakt voor het verlenen van de dienst voor gegevensontsluiting. § 3. De dienstverlener neemt passende technische en organisatorische maatregelen om te garanderen overeenkomstig artikel 11 § 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, dat hij slechts kennisneemt van de inhoud van berichten indien dat strikt noodzakelijk is voor het aanbieden van een dienst met toegevoegde waarde overeenkomstig artikel 11 § 6 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, zoals gevraagd door de bestemmeling, en mits zijn ondubbelzinnige en voorafgaande toestemming die duidelijk verbonden is met de gevraagde dienst met toegevoegde waarde. § 4. De dienstverlener voorziet voor elke bestemmeling overzichtelijke informatie over de diensten met toegevoegde waarde die door de bestemmeling gevraagd werden overeenkomstig artikel 11 § 6 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, over de toestemmingen die de bestemmeling voor elk van deze diensten overeenkomstig artikel 11 § 5 van deze wet gegeven heeft en over de draagwijdte van deze toestemmingen.

Voor elke nieuwe dienst met toegevoegde waarde die de dienstverlener aanbiedt, bezorgt de dienstverlener de erkennende overheid informatie waaruit blijkt hoe deze verplichting wordt nageleefd. § 5. De dienstverlener documenteert de maatregelen bedoeld in dit artikel. Afdeling 2. - Voorwaarden op het vlak van dienstverleningsbeheer

Onderafdeling 1. - Beschikbaarheid van de dienstverlening

Art. 14.De dienstverlening is op maandbasis minimaal 99,9 procent van de tijd beschikbaar. Voor de berekening van de beschikbaarheid worden geplande onbeschikbaarheden en onbeschikbaarheid van de systemen van de erkennende overheid niet als onbeschikbaarheden beschouwd.

Art. 15.De dienstverlener stelt systeemfouten van de dienstverlening vast en registreert de tijdstippen waarop systeemfouten verhinderen dat er wordt verzonden of ontvangen en stelt deze informatie beschikbaar voor de erkennende overheid, de gebruikers en de bestemmelingen.

Onderafdeling 2. - Beschikbaarheid van de ondersteunende diensten

Art. 16.§ 1. Voor oproepen van de bestemmelingen en andere overheidsdiensten dan de erkennende overheid biedt de dienstverlener ondersteunende diensten aan, ten minste op alle werkdagen, van 8 tot 18 uur. Deze ondersteunende diensten omvatten ten minste: 1. een telefonische ondersteuning of een ander kanaal voor gepersonaliseerde ondersteuning;2. een webpagina met veel gestelde vragen en een eenvoudig toegankelijke handleiding. § 2. Voor oproepen van de erkennende overheid biedt de dienstverlener ondersteunende diensten aan op alle dagen, 24 uur op 24.

Deze ondersteunende diensten omvatten ten minste een telefonische ondersteuning.

Onderafdeling 3. - Uitrolbeheer

Art. 17.§ 1. De dienstverlener bouwt systemen in die het uitrolbeheer garanderen. Behoudens andersluidende beslissing van de erkennende overheid, houdt dit uitrolbeheer rekening met het feit dat de erkennende overheid nieuwe softwareversies om de zes maanden in overweging neemt om in een volgende software-uitrol in te plannen. § 2. Het uitrolbeheer van de dienstverlener volgt het beleid van het uitrolbeheer van de erkennende overheid.

Art. 18.De dienstverlener legt elke nieuwe softwareversie die een significante impact heeft op de bestemmelingen of de erkennende overheid, vergezeld door een impactanalyse, ten laatste drie maanden voor de datum van inplanning van de uitrol ter informatie voor bij de erkennende overheid zodat de erkennende overheid de mogelijke impact van de wijzigingen kan minimaliseren.

Onderafdeling 4. - Continuïteit van de dienstverlening

Art. 19.De dienstverlener bouwt mechanismen in die de dienstverlening op ononderbroken wijze kunnen garanderen gedurende de duur van de erkenning.

Onderafdeling 5. - Rapportering

Art. 20.De dienstverlener stelt alle informatie omtrent beschikbaarheid, ondersteuning, klachtenbehandeling, veiligheidsonderzoeken, problemen en incidenten met betrekking tot de dienstverlening te allen tijde ter beschikking van de erkennende overheid, evenals alle informatie die de erkennende overheid zou opvragen die noodzakelijk is om de naleving van dit besluit te controleren.

Art. 21.De dienstverlener brengt op eigen initiatief de erkennende overheid onverwijld op de hoogte, in geval van het minste vermoeden van veiligheidsrisico's met betrekking tot de dienstverlening, evenals van elke inbreuk op de beveiliging van de dienst voor gegevensontsluiting die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte berichten in een eBox. Deze melding bevat alle informatie die wordt vereist onder artikel 33, lid 3 van de Algemene Verordening Gegevensbescherming 2016/679.

Art. 22.De dienstverlener duidt een contactpersoon aan die, in samenspraak met de functionaris inzake gegevensbescherming van de dienstverlener, met ingang van de erkenningsbeslissing om de zes maanden over de voorwaarden inzake dienstverleningsbeheer aan de erkennende overheid rapporteert met opgave van de relevante stavingsstukken. Afdeling 3. - Economische, juridische en organisationele voorwaarden

Art. 23.In elk stadium van de erkenningsprocedure en gedurende de erkenning, bevindt de aanvrager zich niet in één van de volgende situaties: 1. in staat van faillissement of van vereffening verkeren, zijn werkzaamheden hebben gestaakt, een gerechtelijke reorganisatie ondergaan, of in een overeenstemmende toestand verkeren als gevolg van een gelijkaardige procedure die bestaat in andere nationale reglementeringen;2. aangifte hebben gedaan van zijn faillissement, voor wie een procedure van vereffening of gerechtelijke reorganisatie aanhangig is, of die het voorwerp is van een gelijkaardige procedure bestaande in andere nationale reglementeringen;3. bij rechterlijke beslissing die in kracht van gewijsde is gegaan, veroordeeld zijn geweest voor een inbreuk op de wetgeving inzake de bescherming van de persoonlijke levenssfeer;4. bij rechterlijke beslissing die in kracht van gewijsde is gegaan, veroordeeld zijn geweest voor een wanbedrijf dat of een misdaad die zijn professionele integriteit aantast;5. bij zijn beroepsuitoefening een zware fout hebben begaan, vastgesteld op een grond die de erkennende overheid omstandig kan rechtvaardigen;6. niet voldaan hebben aan diens verplichtingen inzake betaling van zijn sociale zekerheidsbijdragen;7. niet in orde zijn met de betaling van zijn belastingen volgens de Belgische wetgeving of die van het land waar hij gevestigd is;8. zich, in toepassing van dit besluit, in ernstige mate hebben schuldig gemaakt aan het afleggen van valse verklaringen bij het verstrekken van inlichtingen, of deze inlichtingen niet hebben verstrekt;9. gedurende de laatste twee jaren het voorwerp hebben uitgemaakt van een corrigerende maatregel opgelegd door de Gegevensbeschermingsautoriteit als gevolg van een vermeende inbreuk op de Algemene Verordening Gegevensbescherming 2016/679 zonder dat deze werd gecorrigeerd overeenkomstig de opgelegde termijn.

Art. 24.De aanvrager beschikt over voldoende financiële middelen om te functioneren overeenkomstig dit besluit en toont met name aan het risico van de aansprakelijkheid voor schade veroorzaakt door de dienstverlening op zich te kunnen nemen, door bijvoorbeeld een passende verzekering te sluiten.

Art. 25.De aanvrager dient over een doeltreffend beëindigingsplan te beschikken. Dat plan omvat voorzieningen voor de ordelijke stopzetting van de dienstverlening of de voortzetting daarvan door een andere dienstverlener, voor de wijze waarop de bestemmelingen worden ingelicht, alsook voor de wijze waarop de persoonsgegevens worden vernietigd of overgedragen aan de erkennende overheid of aan een andere dienstverlener. HOOFDSTUK III. - De erkenningsprocedure Afdeling 1. - Indiening van de erkenningsaanvraag

Art. 26.§ 1. De aanvrager dient een erkenningsaanvraag voor een dienst voor gegevensontsluiting in volgens het als bijlage bij dit besluit opgenomen modelformulier. Hij voegt bij zijn aanvraag een geïnventariseerd referentiedossier. § 2. De indiening van de erkenningsaanvraag gebeurt ten minste op elektronische drager, eventueel bevestigd door indiening op fysieke drager aan de erkennende overheid. § 3. De erkennende overheid verstrekt aan de aanvrager onverwijld een melding van ontvangst van de erkenningsaanvraag en het referentiedossier.

Art. 27.Het referentiedossier bevat minstens de volgende elementen: 1. een gedetailleerde en technische omschrijving en een extern auditrapport waaruit de conformiteit van de dienst voor gegevensontsluiting aan de voorwaarden omschreven in hoofdstuk II, afdeling 1, en aan de technische specificaties blijkt;2. documenten die in voldoende mate waarborgen dat de dienst voor gegevensontsluiting kan voldoen aan de eisen van beschikbaarheid zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 1;3. documenten die in voldoende mate waarborgen dat de ondersteunende diensten van de dienst voor gegevensontsluiting beantwoorden aan de voorwaarden omschreven in hoofdstuk II, afdeling 2, onderafdeling 2;4. een gedetailleerde omschrijving van het uitrolbeheer zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 3;5. een extern auditrapport waaruit blijkt dat de dienstverlener redelijke maatregelen heeft genomen om de continuïteit van de dienstverlening te waarborgen overeenkomstig de bepalingen omschreven in hoofdstuk II, afdeling 2, onderafdeling 4 en waarin de volgende elementen worden opgenomen: 1° een beschrijving van het wijzigingsbeheer;2° een beschrijving van de interne controles op de dienstverlening alsmede de frequentie ervan;3° een beoordeling van de effectiviteit van de interne controles die garanties geven over de bescherming van persoonsgegevens, de confidentialiteit, de integriteit en de beschikbaarheid van de dienstverlening;4° een beschrijving van de rapportering aan de erkennende overheid van elke wijziging die invloed heeft op de dienstverlening;6. een gedetailleerde omschrijving van de processen en rapporteringssystemen die toelaten te allen tijde alle informatie omtrent klachtenbehandeling, veiligheidsonderzoeken, problemen en incidenten met betrekking tot de dienstverlening ter beschikking te stellen van de erkennende overheid;7. documenten die aantonen dat de dienstverlener voldoet aan de voorwaarden zoals omschreven in hoofdstuk II, afdeling 3. Afdeling 2. - Behandeling van de erkenningsaanvraag door de erkennende

overheid

Art. 28.§ 1. Uiterlijk drie maanden na ontvangst van de erkenningsaanvraag en het referentiedossier erkent de erkennende overheid de aanvrager, voor zover de erkenningsaanvraag en het referentiedossier alle in artikel 28 omschreven stukken bevat en daaruit blijkt dat aan de in hoofdstuk II van dit besluit vermelde voorwaarden is voldaan. Deze termijn kan worden verlengd met drie maanden, in welk geval de erkennende overheid de aanvrager daarvan onmiddellijk op de hoogte stelt. § 2. Wanneer de ingediende erkenningsaanvraag of het referentiedossier onvolledig is, stelt de erkennende overheid de aanvrager van de weigering tot erkenning per aangetekende zending in kennis, uiterlijk één maand na ontvangst van de erkenningsaanvraag en het referentiedossier. § 3. De aanvrager kan een nieuwe aanvraag indienen indien de redenen voor de weigering niet langer bestaan.

Art. 29.Tijdens de erkenningsprocedure kunnen de aanvragers op eigen verzoek dan wel op verzoek van de erkennende overheid worden gehoord. HOOFDSTUK IV. - Gevolgen van de erkenning Afdeling 1. - Operationele gevolgen

Art. 30.De dienstverlener zal tijdens de duur van de erkenning elektronische berichten in de eBox ontsluiten en visualiseren voor de bestemmeling die daarvoor kiest overeenkomstig artikel 6 § 1.

Art. 31.§ 1. De dienst voor gegevensontsluiting wordt vermeld als één van de toegangsopties tot de eBox op de website van de erkennende overheid, inclusief de naam van de dienstverlener. § 2. De dienst voor gegevensontsluiting mag eveneens worden vermeld als één van de toegangsopties tot de eBox op de website of op elke andere communicatie die bestemd is voor het publiek van elke overheidsinstantie die haar elektronische berichten ontsluit via de eBox, inclusief de naam van de dienstverlener. § 3. De erkende diensten voor elektronische gegevensontsluiting mogen gebruik maken van de authenticatiedienst zoals bedoeld in artikel 9 van de wet van 18 juli 2017 inzake elektronische identificatie met het oog op de authenticatie van de bestemmeling alvorens een transactie wordt uitgevoerd via de dienstverlening.

Art. 32.De dienstverlener sluit met de erkennende overheid een samenwerkingsovereenkomst.

Art. 33.De dienstverlener neemt te goeder trouw deel aan de inspraakmechanismen en overlegmomenten die de erkennende overheid instelt ten aanzien van alle erkende dienstverleners. De dienstverlener verstrekt daarbij alle informatie aan de erkennende overheid die voor deze laatste nodig is om de werking en kwaliteit van de diensten voor elektronische gegevensontsluiting te beoordelen. De erkennende overheid waakt over de eventuele confidentialiteit van deze gegevens ten aanzien van andere dienstverleners.

Art. 34.De dienstverlener en de erkennende overheid komen een gezamenlijk plan overeen voor de opstart van de dienstverlening en de communicatie ervan.

Art. 35.De dienstverlening geschiedt conform de bepalingen van dit besluit, de technische specificaties en de in de samenwerkingsovereenkomst opgegeven elementen en voorwaarden.

Art. 36.De dienstverlener bevestigt dat hij nog steeds voldoet aan de erkenningsvoorwaarden: 1. binnen de 15 dagen na verzoek van de erkennende overheid;2. binnen de 15 dagen na elke verjaardag van het erkenningsbesluit;3. voor een wijziging van controle over de dienstverlener met een potentiële impact op de dienstverlening;4. voor een wijziging van de dienstverlening;5. binnen de 15 dagen na kennisname van een wijziging van de erkenningsvoorwaarden;6. binnen de 15 dagen na kennisname van een wijziging van de wetgeving betreffende de bescherming van persoonsgegevens.

Art. 37.§ 1. Elke wijziging van de gegevens verstrekt op het ogenblik van de erkenningsaanvraag die een impact kan hebben op de dienstverlening moet binnen de maand worden meegedeeld aan de erkennende overheid. In deze mededeling omschrijft en motiveert de dienstverlener de wijziging. § 2. Indien uit de mededeling overeenkomstig § 1 blijkt dat de wijziging een significante impact heeft op de dienstverlening en betrekking heeft op elementen van de dienstverlening waarvoor overeenkomstig artikel 27 een extern auditrapport nodig was, kan de erkennende overheid een vernieuwd extern auditrapport vragen. § 3. Naar aanleiding van elke in paragraaf 1 vermelde wijziging, kan de erkennende overheid beslissen de erkenning ambtshalve te schorsen, in te trekken overeenkomstig artikel 41. Afdeling 2. - Financiële gevolgen

Art. 38.Dienstverleners ontvangen geen vergoeding voor het aanbieden van hun dienst voor gegevensontsluiting. Afdeling 3. - Duur van de erkenning

Art. 39.De erkenning geldt voor een periode van drie jaar. De verlenging ervan is onderworpen aan het indienen van een eenvoudige vraag tot verlenging voor telkens één jaar maximaal drie keer, in te dienen ten minste drie maanden voor het einde van de te verlengen erkenningstermijn. Na drie verlengingen dient de dienstverlener een nieuwe erkenningsaanvraag in te dienen overeenkomstig artikel 26 en 27 voor verdere aanbieding van dienstverlening.

Art. 40.Wanneer de dienstverlener de dienstverlening wenst te beëindigen voor het einde van de periode van drie jaar, zal hij de erkennende overheid een gemotiveerd schrijven bezorgen uiterlijk 3 maanden voor de beëindiging van de dienstverlening. HOOFDSTUK V. - Schorsing en intrekking van de erkenning

Art. 41.§ 1. De erkennende overheid kan de erkenning van de dienstverlening schorsen of intrekken overeenkomstig artikel 11 § 8 en 9 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox bij niet-overeenstemming van de dienstverlening met de in dit besluit vermelde erkenningsvoorwaarden, de technische specificaties of de samenwerkingsovereenkomst. § 2. In alle gevallen van schorsing of intrekking van een erkenning, zal de dienstverlener worden gehoord door de erkennende overheid. § 3. De beslissing tot schorsing of intrekking wordt onverwijld per aangetekende zending aan de dienstverlener opgestuurd. De dienstverlener zal de dienstverlening onverwijld stopzetten en elke verwijzing naar de dienstverlening weghalen. § 4. Na de beslissing tot schorsing of intrekking verwijdert de erkennende overheid de dienst voor gegevensontsluiting als één van de toegangsopties voor de eBox. § 5. De erkennende overheid kan de schorsing vervroegd opheffen vanaf een door haar bepaalde datum, wanneer zij oordeelt dat de redenen voor de schorsing niet meer bestaan. De opheffing wordt aan de betrokken dienstverlener meegedeeld per aangetekende zending.

Wanneer de redenen voor schorsing nog bestaan op het einde van de periode van schorsing, wordt de erkenning ingetrokken. HOOFDSTUK VI. - Slotbepalingen

Art. 42.Dit besluit treedt in werking de dag waarop het in het Belgisch Staatsblad wordt bekendgemaakt.

Art. 43.De minister bevoegd voor Digitale Agenda is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 2 juni 2019.

FILIP Van Koningswege : De Minister voor Digitale Agenda, Ph. DE BACKER

BIJLAGE BIJ HET KONINKLIJK BESLUIT VAN 2 JUNI 2019 TOT VASTSTELLING VAN DE VOORWAARDEN, DE PROCEDURE EN DE GEVOLGEN VAN DE ERKENNING VAN DIENSTVERLENERS VOOR ELEKTRONISCHE UITWISSELING VAN BERICHTEN VIA EBOX Modelformulier voor de aanvraag van een erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox Gebruiksaanwijzing Dit document bevat de opgave van de gegevens die moeten worden ingevuld en aan de erkennende overheid moeten worden overgemaakt met het oog op het bekomen van een erkenning van dienstverlener voor elektronische uitwisseling van berichten via eBox.

Alle beschreven punten en gevraagde informatie moeten zo volledig mogelijk worden beantwoord.

Het model van het registratieformulier kan worden gedownload op de website www.bosa.belgium.be Het volledig ingevulde registratieformulier met inbegrip van alle noodzakelijke bijlagen moet worden opgestuurd: per e-mail: servicedesk.dto@bosa.fgov.be Optioneel per post naar het volgende adres: Federale Overheidsdienst Beleid en Ondersteuning, directoraat-generaal Digitale Transformatie S. Bolivarlaan 30 1000 Brussel I. IDENTIFICATIE VAN DE AANVRAGER De identificatie van de aanvrager van de erkenning.

Volledige benaming onderneming: . . . . .

Ondernemingsnummer: . . . . .

Contactpersoon: . . . . .

Telefoon van de contactpersoon: . . . . .

E-mail: . . . . .

II. BEKNOPTE OMSCHRIJVING VAN DE DIENST VOOR DE ELEKRONISCHE UITWISSELING VAN BERICHTEN WAARVOOR ERKENNING WORDT GEVRAAGD In dit onderdeel wordt een beknopte omschrijving gegeven van de dienst waarvoor de erkenning wordt verzocht met aanduiding van de essentiële eigenschappen ervan.

III. CRITERIA ARTIKEL 23 In zoverre de documenten niet door de erkennende overheid zelf kunnen worden opgevraagd, worden deze door de aanvrager aan de erkenningsaanvraag toegevoegd.

IV. REFERENTIEDOSSIER Het referentiedossier bevat de volgende minimale elementen: 1. een gedetailleerde en technische omschrijving en een extern auditrapport waaruit de conformiteit van de dienst voor gegevensontsluiting aan de voorwaarden omschreven in hoofdstuk II, afdeling 1, en aan de technische specificaties blijkt;2. documenten die aantonen dat de dienst voor gegevensontsluiting kan voldoen aan de eisen van beschikbaarheid zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 1;3. documenten die aantonen dat de ondersteunende diensten van de dienst voor gegevensontsluiting beantwoorden aan de voorwaarden omschreven in hoofdstuk II, afdeling 2, onderafdeling 2;4. een gedetailleerde omschrijving van het uitrolbeheer zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 3;5. een extern auditrapport waaruit blijkt dat de dienstverlener de continuïteit van de dienstverlening kan waarborgen overeenkomstig de bepalingen omschreven in hoofdstuk II, afdeling 2, onderafdeling 4 en waarin de volgende elementen worden opgenomen: 1° een beschrijving van het wijzigingsbeheer;2° een beschrijving van de interne controles op de dienstverlening alsmede de frequentie ervan;3° een beoordeling van de effectiviteit van de interne controles die garanties geven over de bescherming van persoonsgegevens, de confidentialiteit, de integriteit en de beschikbaarheid van de dienstverlening;4° een beschrijving van de rapportering aan de erkennende overheid van elke wijziging die invloed heeft op de dienstverlening;6. een gedetailleerde omschrijving van de processen en rapporteringssystemen die toelaten te allen tijde alle informatie omtrent klachtenbehandeling, veiligheidsonderzoeken, problemen en incidenten met betrekking tot de dienstverlening ter beschikking te stellen van de erkennende overheid;7. documenten die aantonen dat de dienstverlener voldoet aan de voorwaarden zoals omschreven in hoofdstuk II, afdeling 3. Gedaan te, . . . . . op . . . . .

Naam: . . . . .

Hoedanigheid: . . . . .

Handtekening: Gezien om te worden gevoegd bij het besluit van 2 juni 2019 tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox.

Gegeven te Brussel, 2 juni 2019.

FILIP Van Koningswege : De Minister voor Digitale Agenda, Ph. DE BACKER _______ Nota's 1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 `betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)'. 2 Wat betreft de nutteloosheid van het, bovendien abusievelijk, weergeven van een definitie die opgenomen is in een hogere rechtsnorm, zie Beginselen van de wetgevingstechniek - Handleiding voor het opstellen van wetgevende en reglementaire teksten, www.raadvst-consetat.be, tab "Wetgevingstechniek", aanbeveling 96. 3 Advies 64.506/4, op 19 november 2018 verstrekt over een voorontwerp dat ontstaan gegeven heeft aan de wet van 27 februari 2019, Parl.St.

Kamer, 2018-19, nr. 3442/1, 29 tot 39, http://www.raadvst-consetat.be/dbx/adviezen/64506.pdf. 4 Zie in die zin reeds advies 46.692/4, op 25 mei 2009 verstrekt over een ontwerp dat geleid heeft tot het koninklijk besluit van 28 juni 2009 `betreffende het vervoer via de weg of per spoor van gevaarlijke goederen, met uitzondering van ontplofbare en radioactieve stoffen', http://www.raadvst-consetat.be/dbx/adviezen/46692.pdf. 5 Beginselen van de wetgevingstechniek - Handleiding voor het opstellen van wetgevende en reglementaire teksten, www.raadvst-consetat.be, tab "Wetgevingstechniek", aanbeveling 151.