27 NOVEMBER 2016. - Koninklijk besluit betreffende de identificatie van de eindgebruiker van mobiele openbare elektronische-communicatiediensten die worden geleverd op basis van een voorafbetaalde kaart

VERSLAG AAN DE KONING Sire, Algemeen Het onderhavige ontwerp van koninklijk besluit heeft tot doel artikel 127, § 1, van de wet van 13 juni 2005 betreffende de elektronische communicatie (hierna de "WEC") uit te voeren, meer bepaald wat betreft de identificatie van de gebruikers van voorafbetaalde kaarten voor diensten voor mobiele elektronische communicatie. Het onderhavige ontwerp past in het kader van de maatregelen die tot doel hebben het terrorisme en de mensenhandel te bestrijden. Het geeft gevolg aan de wijziging van art. 127 door de wet van 1 september 2016 tot wijziging van artikel 127 van de wet van 13 juni 2005 betreffende de elektronische communicatie en van artikel 16/2 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst (hierna de wet van 1 september 2016).

Het stelt verplichtingen ten laste van de gebruikers van deze kaarten vast, ten laste van de betrokken ondernemingen (de "Belgische en buitenlandse operatoren") die via deze kaarten mobiele-communicatiediensten verstrekken, van de verkooppunten van elektronische-communicatiediensten en van de leveranciers van een identificatiedienst. 1. Rekening houden met advies nr.54/2015 van 16 december 2015 van de Commissie voor de bescherming van de persoonlijke levenssfeer De wet van 1 september 2016, die momenteel een wetsontwerp vormt, heeft het voorwerp uitgemaakt van advies nr. 54/2015 van 16 december 2015 van de Commissie voor de bescherming van de persoonlijke levenssfeer (hierna de CBPL). Een deel van de aanbevelingen van deze Commissie worden toegepast in het kader van de uitvoeringsmaatregel van het voormelde art. 127 en niet in het artikel zelf.

In haar advies, zegt de CBPL het volgende : "Praktisch gezien roept de identificatieplicht heel wat vragen op. De Commissie vraagt zich af hoe dit in de praktijk zal gebeuren. De identificatieplicht verplicht de operatoren en hun onderaannemers die prepaidkaarten verkopen - dus in casu elke supermarkt, kruidenierszaak, elektrozaak,... - om de identiteit van kopers van dergelijke kaarten te registreren. Wie doet dat ? Hoe zal dit gebeuren ? Welke gegevens worden opgeslagen ? Hoe worden de gegevens bewaard en overgedragen ? Wie is de verantwoordelijke voor verwerking ? Beschikt deze over een veiligheidsconsulent ? Wie houdt toezicht op deze gegevensverzameling ? Hoe wordt voldaan aan de informatieplicht ? Dergelijke vragen moeten in de uitvoeringsbesluiten worden uitgeklaard.".

Er moet meteen worden benadrukt dat het antwoord op het merendeel van deze vragen in de recentelijk aangenomen wetgeving staat : enerzijds, de wet van 29 mei 2016 betreffende het verzamelen en het bewaren van gegevens in de elektronische-communicatiesector (hierna de wet van 29 mei 2016) en, anderzijds, de wet van 1 september 2016.

Zo bepaalt de vigerende wet (art. 127) wie de identificatie zal verrichten (namelijk de operator, eventueel met de hulp van een derde) en hoe, hetgeen wordt verduidelijkt in het onderhavige ontwerp van koninklijk besluit.

Artikel 127 van de WEC wijst aan wie verantwoordelijk is voor de verwerking, namelijk de operator of de leverancier in de zin van artikel 126, § 1, eerste lid, van de wet. Artikel 126/1 van de WEC voorziet in de aanstelling bij elke betrokken onderneming die gegevens moet bewaren, van een aangestelde voor de bescherming van de persoonsgegevens. Artikel 126/1, § 3, schrijft voor : "de aangestelde voor de gegevensbescherming [zorgt] ervoor dat [...] de aanbieder of de operator enkel die gegevens verzamelt en bewaart die hij wettelijk mag bewaren". Bovendien wordt de niet-naleving van artikel 127 van de WEC en van de uitvoeringsbesluiten ervan strafrechtelijk bestraft (zie artikel 145 van de WEC). Bijgevolg is het na de opstelling van een proces-verbaal door een officier van gerechtelijke politie de taak van het BIPT of van de procureur des Konings om de inbreuk te vervolgen (zie artikel 148 van de WEC). De niet-naleving van de artikelen 126 en 126/1 wordt eveneens strafrechtelijk bestraft (zie artikel 145 van de WEC). De artikelen 126 en 126/1 vertrouwen bovendien bepaalde opdrachten toe aan de CBPL. Wat ten slotte de informatieplicht betreft schrijft artikel 9, § 1, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens het volgende voor : "

Art. 9.§ 1. Indien persoonsgegevens betreffende de betrokkene bij hemzelf worden verkregen, moet de verantwoordelijke voor de verwerking of diens vertegenwoordiger uiterlijk op het moment dat de gegevens worden verkregen aan de betrokkene ten minste de hierna volgende informatie verstrekken, behalve indien hij daarvan reeds op de hoogte is : a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger;b) de doeleinden van de verwerking;c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing;d) andere bijkomende informatie, met name : - de ontvangers of de categorieën ontvangers van de gegevens, - het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet-beantwoording, - het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.".

Aangezien eenieder wordt geacht de wet te kennen, wordt de betrokken persoon geacht te zijn ingelicht over deze verschillende elementen via de bekendmaking van artikel 127 en van het onderhavige ontwerp koninklijk besluit. 2. In beschouwing nemen van het advies van de CBPL nr.54/2016 van 21 september 2016 In antwoord op punt 8 van het advies wordt verduidelijkt dat de identificatiemethode inderdaad behouden wordt, omdat dit een nuttig element is in het kader van het onderzoek door politie-, inlichtingen- en veiligheidsdiensten.

In haar advies, in de punten 13 en 14, geeft de CBPL aan dat het doel van het koninklijk besluit moet worden beperkt tot de identificatie van de houder van de kaart en vraagt ze dat het koninklijk besluit de operatoren verplicht om de nodige maatregelen te treffen om de toegang van de gegevens te beperken tot een beperkt aantal personen die met die opdracht belast zijn.

Artikel 1 van het koninklijk besluit werd gewijzigd om het doel aan te passen. De reeds bestaande wettelijke bepalingen maken het mogelijk om te antwoorden op de opmerking van de CBPL voor de rest.

Artikel 127, § 1, zoals gewijzigd door de wet van 1 september 2016 stelt uitdrukkelijk dat "De verzamelde identificatiegegevens en -documenten worden bewaard overeenkomstig artikel 126, § 3, eerste lid.".

Dat betekent dus dat de identificatiegegevens die worden verzameld conform dit koninklijk besluit worden onderworpen aan artikel 126 van de wet.

Bovendien bevat artikel 126 de lijst van de overheden die toegang tot de bewaarde gegevens kunnen vragen. In de praktijk zullen het voornamelijk de gerechtelijke overheden, de inlichtingen- en veiligheidsdiensten, de Ombudsdienst voor telecommunicatie (met het oog op de identificatie van de persoon die kwaadwillig gebruik heeft gemaakt van een elektronische-communicatienetwerk of -dienst) en de nooddiensten die ter plaatse hulp bieden (ongeacht of dat in het kader van een noodoproep is naar aanleiding van een noodsituatie of in het kader van een kwaadwillige oproep naar de nooddiensten), zijn die toegang zullen vragen tot de identificatiegegevens die werden verzameld conform dit koninklijk besluit.

Bovendien verbiedt artikel 126, § 2, de operatoren om de gegevens die werden verzameld conform dit koninklijk besluit te gebruiken voor commerciële doeleinden.

Dit koninklijk besluit verbiedt echter niet om identificatiegegevens te verzamelen voor commerciële doeleinden maar voor deze inzameling gelden eigen regels.

Ten slotte, indien het verzoek om toegang tot de bewaarde gegevens niet geautomatiseerd is, zal deze toegang verplicht moeten plaatsvinden via de tussenkomst van de Coördinatiecel van de operator, zoals artikel 126, § 4, van de WEC bepaalt, hetgeen overeenstemt met punt 27 van het advies.

Punt 16 van het advies (schrapping van het nummer van de chip van de elektronische identiteitskaart) is gevolgd.

Wat de punten 17 tot 19 betreft (verband tussen het onderhavige ontwerp en het ontwerp van koninklijk besluit tot uitvoering van artikel 126 van de WEC inzake gegevensbewaring) kan worden gepreciseerd dat de twee besluiten later op elkaar zullen worden afgestemd om compatibel te worden gemaakt.

In punt 20 van het advies stelt de CBPL voor om toe te voegen dat het voor de handelaar die meewerkt aan de identificatie verboden is om de identificatiegegevens te bewaren. Welnu, dat verbod staat al in artikel 127, § 1, vijfde lid, van de WEC, dat zegt : "Het verkoopkanaal van elektronische-communicatiediensten bewaart geen identificatiegegevens of -documenten, die worden overgezonden naar de operator, naar de aanbieder bedoeld in artikel 126, § 1, eerste lid, of naar de onderneming die een identificatiedienst verstrekt.".

In punt 24 van zijn advies beveelt de CBPL aan om in de inhoud van het ontwerp van besluit te verduidelijken dat het toekomstige ontwerp van besluit tot vaststelling van de procedure van goedkeuring door de Federale overheidsdienst Informatie- en Communicatietechnologie van een gelijkaardige internettoepassing als die welke de toegang tot een digitale toepassing van de overheid mogelijk maakt, aan haar moet worden voorgelegd. Dat ontwerp zal ook aan de CBPL worden voorgelegd.

De CBPL vraagt op punt 26 of het niet mogelijk is om de data die krachtens artikel 126 van het ontwerp bewaard wordt in een aparte databank te bewaren.

Dit teneinde de risico's van functionele toegang zoveel mogelijk te beperken.

Er moet worden herinnerd aan hetgeen uiteengezet is in het kader van de commentaar bij art. 2 van de wet van 1 september 2016 tot wijziging van artikel 127 van de wet van 13 juni 2005 betreffende de elektronische communicatie en van artikel 16/2 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst : "De operatoren en de aanbieders bedoeld in artikel 126, § 1, eerste lid, mogen bijgevolg de identificatiegegevens die worden verzameld krachtens artikel 127 van de WEC en die worden bewaard krachtens artikel 126 van de WEC niet gebruiken voor commerciële doeleinden maar ze mogen identificatiegegevens van gebruikers van voorafbetaalde kaarten verzamelen en bewaren voor commerciële doeleinden in overeenstemming met artikel 122 (van toepassing wanneer een factuur wordt verstuurd) of de algemene wetgeving rond de bescherming van de persoonlijke levenssfeer." Vanuit een technisch standpunt garandeert de bewaring in een aparte databank op geen enkele manier een betere naleving van de verplichting tot functionele toegang. Vanuit het standpunt van de controle op de functionele toegang door het BIPT is het niet belangrijk of de data afzonderlijk wordt bewaard of samen met commerciële gegevens.

Teneinde het principe van de technologische neutraliteit na te leven, is het dus gepast om geen technologische keuzes op te leggen aan de operatoren en aanbieders wanneer deze verplichting geen daadwerkelijke meerwaarde heeft. Wat wel belangrijk is, is dat alleen de leden van de coördinatiecel van de operator toegang hebben tot de gegevens die conform artikel 126 bewaard worden. 3. Inbeschouwingname van het advies van de Raad van State nr.60.213/4 van 26 oktober 2016 Het advies van de Raad van State werd integraal gevolgd. 4. Toepasselijke sancties Artikel 127, § 5, van de WEC luidt als volgt : " § 5.De operatoren en de aanbieders bedoeld in artikel 126, § 1, eerste lid, sluiten de eindgebruikers die niet voldoen aan de hen door dit artikel of door de Koning opgelegde technische en administratieve maatregelen af van de netwerken en diensten waarop de opgelegde maatregelen van toepassing zijn. Die eindgebruikers worden op geen enkele wijze vergoed voor de afsluiting.".

Welnu, de wet van 1 september 2016 legt aan de niet-geïdentificeerde eindgebruikers van de oude voorafbetaalde kaarten de verplichting op om zich te identificeren binnen de termijn opgelegd door de betrokken onderneming en uiterlijk 6 maanden na publicatie van het onderhavige koninklijk besluit.

Bijgevolg zullen de eindgebruikers die zich niet identificeren binnen de termijn opgelegd door de betrokken onderneming, moeten worden afgesloten van het netwerk en van de diensten, overeenkomstig artikel 127, § 5, van de WEC. Artikel 127, § 4, van de WEC luidt als volgt : " § 4. Indien een operator of een aanbieder bedoeld in artikel 126, § 1, eerste lid niet voldoet aan de hem door dit artikel of door de Koning opgelegde technische en administratieve maatregelen, is het hem verboden de dienst, waarvoor de betrokken maatregelen niet genomen zijn, aan te bieden." Bijgevolg mag een betrokken onderneming vanaf de inwerkingtreding van het onderhavige ontwerp van koninklijk besluit geen diensten voor mobiele elektronische communicatie meer verstrekken met behulp van voorafbetaalde kaarten, indien hij niet in staat is om de eindgebruiker te identificeren overeenkomstig dit koninklijk besluit.

Artikelsgewijze bespreking

Artikel 1.Toepassingsgebied Het onderhavige ontwerp van koninklijk besluit beperkt zich tot de identificatie van de eindgebruikers van diensten voor openbare mobiele elektronische communicatie die worden verstrekt op basis van een voorafbetaalde kaart, aangezien deze diensten die worden verstrekt via een abonnement momenteel niet op grote schaal lijken te worden gebruikt door criminelen en aangezien de identificatie van de gebruikers van deze diensten momenteel geen groot probleem vormt in de praktijk.

Dit ontwerp van koninklijk besluit is onder andere van toepassing op alle voorafbetaalde kaarten die verbonden zijn met een Belgisch MSISDN (d.w.z. een telefoonnummer), met een Belgische IMSI of met allebei.

Algemeen gesteld is een IMSI gekoppeld aan een telefoonnummer van hetzelfde land. Dat is echter niet altijd het geval, omdat het nu eenmaal mogelijk is dat een van de twee identificaties Belgisch is en de andere buitenlands, om bijvoorbeeld de roamingkosten te beperken.

Het onderhavige koninklijk besluit is ook van toepassing op de voorafbetaalde kaarten van buitenlandse ondernemingen die in België worden verkocht. Onder "buitenlandse ondernemingen" dient te worden verstaan een "buitenlandse operator" die, zoals een "Belgische operator", elektronische-communicatienetwerken of -diensten verstrekt maar die zich niet als operator moet aanmelden bij het BIPT en die dus niet als een operator in de zin van de WEC wordt beschouwd. Een kennisgeving aan het BIPT door de buitenlandse operator is niet noodzakelijk omdat de elektronische-communicatiedienst van de buitenlandse operator niet in België maar in het buitenland wordt verstrekt. Dat is de Belgische operator met wie de buitenlandse operator een roamingcontract heeft gesloten en die in België de elektronische-communicatiedienst verstrekt aan de eindgebruiker die de voorafbetaalde kaart van de buitenlandse operator heeft gekocht.

Het staat de buitenlandse onderneming uiteraard vrij om de aanpak te volgen die hij wil om het onderhavige koninklijk besluit na te leven (bijvoorbeeld zich associëren met een Belgische operator of zelf ervoor zorgen dat het onderhavige koninklijk besluit wordt nageleefd).

De wet van 29 mei 2016 betreffende het verzamelen en het bewaren van gegevens in de elektronische-communicatiesector schrijft echter voor dat de gegevens die worden bewaard op grond van artikel 126 van de wet (wat de gegevens omvat die vermeld zijn in het onderhavige koninklijk besluit) moeten worden bewaard op het grondgebied van de Europese Unie.

De verkoop van actieve voorafbetaalde kaarten van buitenlandse ondernemingen in België zonder voorafgaande identificatie overeenkomstig het onderhavige koninklijk besluit is dus illegaal (zie artikel 127, § 2, van de wet).

Het onderhavige koninklijk besluit dekt noch de levering van wifi noch "machine to machine"-communicatie.

Art. 2 Definities Het koninklijk besluit definieert het begrip "geldig identificatiedocument". Dit begrip omvat onder andere het officiële document dat, tijdelijk, het kwijtgeraakte of gestolen identiteitsstuk (bijvoorbeeld een identiteitskaart) vervangt. Het identiteitsstuk alsook het voormelde voorlopige officiële document worden enkel als geldig identificatiestuk toegestaan indien het gaat om een origineel (geen kopies toegestaan) en op voorwaarde dat het document leesbaar is en dat de geldigheidsdatum van het document niet is verlopen.

Dit begrip beoogt onder andere de voorlegging van een document dat geen Belgische identiteitskaart is en waarop het rijksregisternummer is vermeld. Daarbij wordt erop gewezen dat de verschillende soorten identiteitskaarten die in België worden uitgegeven dat nummer bevatten alsook het aanslagbiljet dat door de FOD Financiën wordt verzonden.

Dit begrip beoogt eveneens het nummer dat bedoeld is in artikel 8, § 1, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid, ook "Bis-nummer" genoemd. Het gaat om een nummer dat door de Kruispuntbank van de Sociale Zekerheid wordt toegekend aan buitenlanders die tijdelijk naar België komen om hier als gelegenheidswerknemer te werken. Het is de taak van de gemeentebesturen om voor elke tijdelijke buitenlandse werknemer, bij zijn aankomst in België en aan het begin van zijn werkprestaties, een identificatienummer te krijgen van de Kruispuntbank van de Sociale Zekerheid. Dat nummer is terug te vinden op het document dat overhandigd wordt door het gemeentebestuur aan de belanghebbende, alsook op de documenten die van de ziekenfondsen afkomstig zijn.

De definities van de WEC gelden voor het onderhavige ontwerp van besluit (zie onder andere de definities van "Instituut" in artikel 2, 1°, van de WEC, van "Minister" in artikel 2, 2°, van de WEC en van "M2M" in artikel 2, 73°, van de WEC).

Art. 3.De verplichting om zich te identificeren op het verzoek van de betrokken onderneming Sommige operatoren hebben beslist om alle eindgebruikers die over kaarten beschikken die reeds geactiveerd zijn op de datum van inwerkingtreding van het onderhavige koninklijk besluit, of sommigen onder hen, uit te nodigen om zich te identificeren. Indien een betrokken onderneming op die manier wil te werk gaan, zal de eindgebruiker zich niet kunnen verschuilen achter de uitzonderingen van artikel 4, § 1, eerste lid, van het ontwerp van koninklijk besluit, om te weigeren zich te identificeren.

Art. 4.De vastgelegde termijn voor identificatie Het koninklijk besluit bepaalt wat een eindgebruiker van een oude voorafbetaalde kaart is die nog niet werd geïdentificeerd, conform de delegatie vervat in artikel 127, § 3, tweede lid, van de wet. 19 november 2015 is de datum waarop de federale regering heeft aangekondigd een eind te willen maken aan de anonimiteit van de voorafbetaalde kaarten. Aangezien er vóór 19 november 2015 voor de eindgebruikers geen verplichting was om zich te identificeren voor de voorafbetaalde kaarten, is er in principe geen enkele reden waarom personen die voor die datum uit vrije wil hun identiteit hebben gemeld aan de betrokken onderneming, zouden hebben gelogen over hun identiteit. Bijgevolg wordt aangenomen dat ze zichzelf geldig hebben geïdentificeerd. Een identificatie op basis van een eenvoudige verklaring is echter niet toegestaan voor kaarten die gekocht zijn op 19 november 2015 of na deze datum.

Zoals hierboven vermeld kan een betrokken onderneming beslissen om alle gebruikers van de oude voorafbetaalde kaarten opnieuw te identificeren (ook deze waarvan wordt aangenomen dat ze reeds geïdentificeerd zijn). Ze kan echter ermee genoegen nemen alleen de gebruikers van oude voorafbetaalde kaarten te identificeren, die zich hebben geïdentificeerd onder een duidelijk onjuiste naam.

Art. 5.De mogelijkheid om een voorafbetaalde kaart aan een derde over te dragen Wanneer de koper van de voorafbetaalde kaart een rechtspersoon is (bijvoorbeeld een maatschappij), moet deze laatste een lijst up-to-date bijhouden van de persoon aan wie de voorafbetaalde kaart wordt toegekend. Indien de voorafbetaalde kaart aan verscheidene personen wordt toegekend, moet deze informatie opgenomen worden in de lijst die up-to-date gehouden wordt door de rechtspersoon. De betrokken onderneming moet overigens de informatie dat de voorafbetaalde kaart werd verkocht aan een rechtspersoon bewaren.

De Raad van State vraagt zich af of artikel 5 van het ontwerp van koninklijk besluit beantwoordt aan de doelstelling van het koninklijk besluit. Het antwoord is positief omdat dat artikel de overheden in staat stelt om, dankzij de identiteit van de persoon aan wie de kaart werd toegekend (bijvoorbeeld een ouder), de identiteit van de daadwerkelijke gebruiker van de kaart (bijvoorbeeld een kind) terug te vinden. Met andere woorden : het is essentieel voor de overheden om een betrouwbaar spoor te hebben op basis waarvan ze hun onderzoek kunnen voeren.

Art. 6.Diefstal of verlies van de voorafbetaalde kaart Dit artikel behoeft geen commentaar.

Art. 7 tot 9. Principes toepasselijk voor de maatregelen ten laste van de betrokken ondernemingen Een betrokken onderneming mag een voorafbetaalde kaart niet activeren zolang de eindgebruiker niet naar behoren is geïdentificeerd.

Het koninklijk besluit bepaalt ook dat de betrokken onderneming de voorafbetaalde kaart onbruikbaar moet maken na door de gebruiker te zijn ingelicht over de diefstal of het verlies van die kaart. Het mag dus niet meer mogelijk zijn om met die kaart te communiceren. De deactivering van de kaart kan later gebeuren, overeenkomstig de huidige praktijk.

Het onderhavige ontwerp van koninklijk besluit maakt een onderscheid tussen de verzameling van identificatiegegevens, namelijk het kennisnemen van de identificatiegegevens van een persoon, en de verificatie van de identiteit, namelijk deze identificatiegegevens toetsen aan een betrouwbare informatiebron waarmee ze kunnen worden bevestigd of ontkracht (een "bewijsstuk").

Wanneer een voorafbetaalde kaart wordt gekocht door een natuurlijke persoon of een rechtspersoon, verzamelt en verifieert de betrokken onderneming de identiteit van de natuurlijke persoon die de activering van de kaart vraagt. Deze aanvraag voor activering kan plaatsvinden bij de aankoop van de kaart (bijvoorbeeld in een verkooppunt van de betrokken onderneming), bij de promotionele aanbieding van deze kaart (d.w.z. een kaart die zonder krediet wordt aangeboden) of later (bijvoorbeeld bij de identificatie op de website van de betrokken onderneming).

Het onderhavige ontwerp van koninklijk besluit verplicht de betrokken onderneming niet ertoe om de identiteit te verifiëren van een rechtspersoon die eindgebruiker is, noch te verifiëren of de natuurlijke persoon die beweert de rechtspersoon te vertegenwoordigen, daadwerkelijk over de nodige bevoegdheid beschikt om deze te vertegenwoordigen. Het verbiedt de betrokken ondernemingen echter niet om dat te doen, met naleving van de WEC en de wetgeving betreffende de persoonlijke levenssfeer.

Art. 10.Het verzamelen van de identificatiegegevens De vraag rijst of het verkooppunt of de eindgebruiker de foto van de eindgebruiker en het documentnummer mag scannen of kopiëren of er een foto van mag nemen wanneer hij de Belgische elektronische identiteitskaart scant, kopieert of er een foto van neemt en dit naar de betrokken onderneming of de leverancier van een identificatiedienst stuurt.

Het koninklijk besluit staat dit toe teneinde daaruit voortvloeiende operationele problemen te vermijden (noodzaak om de foto en het nummer van de identiteitskaart te verbergen) en wanneer het nummer van de identiteitskaart het mogelijk maakt om de geldigheid ervan te verifiëren.

Toch, zoals bepaald in artikel 12, zal deze foto worden vernietigd door de operator of de leverancier van een identificatiedienst uiterlijk vóór de activering van de voorafbetaalde kaart.

Dat vormt geen probleem aangezien de inlichtingen- en veiligheidsdiensten en de gerechtelijke autoriteiten tot die foto toegang zullen hebben via het Rijksregister.

Art. 11.Maatregelen te nemen door de betrokken onderneming om een betrouwbare identificatie van de eindgebruiker te garanderen Het besluit bepaalt dat de betrokken ondernemingen, systematisch en voor de activering van de voorafbetaalde kaart, verifiëren dat de Belgische identiteitskaart niet werd gestolen of niet het voorwerp heeft uitgemaakt van fraude.

Vandaag zijn de betrokken ondernemingen niet in staat om deze tests systematisch uit te voeren. Daarom hebben de betrokken ondernemingen tijd tot 30 juni 2017 om een dergelijk testsysteem in te stellen. Dat systeem zal dus verplicht moeten worden gebruikt voor de voorafbetaalde kaarten die gekocht zijn vanaf 1 juli 2017, maar het staat de betrokken ondernemingen vrij om dat verificatiesysteem voor die datum al te gebruiken. De betrokken ondernemingen zijn vrij wat betreft de technische middelen die worden ingezet om na te gaan of de kaart niet werd gestolen of het voorwerp heeft uitgemaakt van fraude.

Paragraaf 2 beoogt het geval waarin de betrokken onderneming, na de voorafbetaalde kaart te hebben geactiveerd, tot het besef komt dat de identificatie van de eindgebruiker niet (meer) correct is of een onregelmatigheid vertoont. Het koninklijk besluit bepaalt dat hij dan de nodige maatregelen moet nemen.

Aan de betrokken ondernemingen wordt gevraagd om de gekozen identificatiemethode correct toe te passen, alsook de veiligheidsmaatregelen die nodig zijn in het kader van deze methodes.

In geval van fraude (bijvoorbeeld valse documenten of valse informatie) kan een betrokken onderneming niet aansprakelijk worden gesteld als ze deze methode alsook deze maatregelen correct heeft toegepast.

Art. 12.De bewaring van identificatiegegevens en -documenten De gegevens die kunnen bewaard worden, worden in dit artikel opgesomd.

Art. 13.Identificatiemethodes Het ontwerp van koninklijk besluit beschrijft een aantal identificatiemethodes die als geldig worden beschouwd.

Een betrokken onderneming die een dienst voor mobiele elektronische communicatie verstrekt op basis van een voorafbetaalde kaart, moet minstens een geldige identificatiemethode van zijn keuze voorstellen.

Ze moet ze dus niet allemaal toepassen.

Deze reglementering doet overigens geen afbreuk aan artikel 107, § 2, eerste lid, van de WEC. Krachtens dit artikel moeten de operatoren bij de noodoproep, aan de nooddiensten die ter plaatse hulp bieden, de identificatiegegevens van de beller verstrekken, waaronder de naam en voornaam van de abonnee. Dit kan betekenen dat de operatoren, indien de in het onderhavige ontwerp van koninklijk besluit beschreven identificatiemethodes daarin niet voorzien, de naam en voornaam van de abonnee moeten opvragen om die te kunnen overzenden naar de nooddiensten op het ogenblik van de oproep.

De verschillende identificatiemethodes worden hieronder becommentarieerd.

Art. 14.Verificatie van de identiteit in aanwezigheid van de eindgebruiker Deze eerste methode veronderstelt de fysieke aanwezigheid van de koper van de voorafbetaalde kaart in een verkooppunt van elektronische-communicatiediensten (dat al of niet deel uitmaakt van de structuur van de betrokken onderneming).

In geval van aflezing van de identiteitskaart in een winkel (bijv. in een gsm-winkel) en als het verkooppunt dat vraagt, moet de pincode al dan niet worden ingevoerd. Het is mogelijk dat een verkooppunt verkiest te vragen om deze code in te voeren, om geen visuele controle van de koper te moeten uitvoeren. Een ander verkooppunt zou echter kunnen nalaten te vragen om een dergelijke pincode in te voeren, gelet op de eisen die dat stelt (kennis van de pincode, kaarten zonder pincode, technische ontwikkelingen). In dat laatste geval moet het ontbreken van een pincode worden gecompenseerd door een visuele controle door het verkooppunt of de persoon die zich aanmeldt wel degelijk de persoon is die vermeld is op het document van de identiteitskaart.

Art. 15.Online-identificatie en elektronische ondertekening via de elektronische identiteitskaart De aflezing van de Belgische identiteitskaart (eID of Belgische identiteitskaart voor vreemden) of vreemde identiteitskaart met invoering van een pincode biedt een hoog niveau van betrouwbaarheid en vormt overigens een methode die een activering van de kaart vanop een afstand mogelijk maakt.

Art. 16.De leverancier van een identificatiedienst Een aanbieder van een identificatiedienst is een derde ten opzichte van de eindgebruiker, van het verkooppunt en van de betrokken onderneming, die in zijn eigen naam in contact komt met de eindgebruiker en die de identiteit van deze laatste verzamelt en verstrekt aan de betrokken onderneming.

Aangezien de betrokken onderneming verantwoordelijk is voor de identificatie, moet deze bij de leverancier van een identificatiedienst de identificatiegegevens ophalen om ze over te dragen aan bevoegde autoriteiten.

Art. 17.De online betalingstransactie Op basis van de referentie van de betalingstransactie bekomen de bevoegde autoriteiten bij de financiële instelling de identificatiegegevens.

Onder specifieke betalingstransactie moet worden verstaan dat enkel een voorafbetaalde kaart is gekocht of herladen met behulp van deze betalingstransactie en dit via een specifieke verbinding.

De verwijzing naar de Antiwitwaswet zorgt ervoor dat alle financiële instellingen die betaaldiensten kunnen uitvoeren geviseerd zijn, en niet enkel banken. Al deze instellingen moeten hun klanten identificeren krachtens de Antiwitwaswet.

De eindgebruiker moet opnieuw worden geïdentificeerd binnen 18 maanden na de aankoop of het herladen van de voorafbetaalde kaart online, bijvoorbeeld via een nieuwe online betalingstransactie (herladen van de kaart) of via een andere identificatieprocedure waarin een ander artikel van dit koninklijk besluit voorziet. In het tegenovergestelde geval, zal de betrokken onderneming de kaart onbruikbaar moeten maken.

Art. 18.Productuitbreiding of -migratie Het is mogelijk dat een persoon al klant is bij een betrokken onderneming voor een ander product (bijvoorbeeld een abonnement op mobiele telefonie) en door de betrokken onderneming geïdentificeerd is voor dat product. Die persoon kan dan beslissen om aanvullend een voorafbetaalde kaart te kopen (productuitbreiding) of om van het eerste product over te stappen naar een voorafbetaalde kaart (productmigratie).

De betrokken onderneming kan dan een link leggen tussen de voorafbetaalde kaart en het product dat reeds gekocht is door de eindgebruiker. De betrokken onderneming vergewist zich ervan, door technische en operationele maatregelen in te stellen, dat de persoon die de uitbreiding van het product vraagt, daadwerkelijk de voor dat product geïdentificeerde persoon is. Dit kan bijvoorbeeld worden gedaan via de voorlegging van een identiteitsstuk of aan de hand van het identificatienummer en een wachtwoord.

De persoon die de houder is van het product waarmee de voorafbetaalde kaart geassocieerd is, moet dezelfde persoon zijn als diegene die de activering van de voorafbetaalde kaart vraagt. Deze methode mag dus niet worden gebruikt als een kind de activering van de voorafbetaalde kaart vraagt en daarbij een beroep doet op een ander product waarop een ouder heeft ingetekend.

Art. 19 De verificatie via elektronisch communicatiemiddel Deze methode bestaat erin dat de eindgebruiker in staat wordt gesteld om zijn identificatiegegevens over te zenden aan de betrokken onderneming. De betrokken ondernemingen worden aangemoedigd om een aantal kanalen beschikbaar te stellen aan de eindgebruiker om deze mededeling van deze gegevens mogelijk te maken. Er wordt met name gedacht aan een overzending via een onlineformulier, via sms, via e-mail of door telefonisch contact op te nemen met de helpdesk van de betrokken onderneming.

Het zal aan de betrokken onderneming zijn die deze methode wenst te gebruiken om de elementen aan te brengen die de betrouwbaarheid ervan bewijzen (bijvoorbeeld een simkaart sturen naar het fysieke adres van de eindgebruiker, enz.).

Art. 20 Inwerkingtreding Sommige betrokken ondernemingen zijn, om operationele redenen, niet in staat om voor de inwerkingtreding van het koninklijk besluit bepaalde voorafbetaalde kaarten die ze hebben geactiveerd en die vóór die datum werden verdeeld in de verkooppunten, te deactiveren, zodat deze kaarten reeds geactiveerd zijn terwijl er nog geen identificatie is geweest. Een dergelijke situatie voldoet niet aan de artikelen 4, § 2, en 7, derde lid, van het koninklijk besluit, wanneer de kaart wordt verkocht na de inwerkingtreding van het koninklijk besluit, en het dus om een nieuwe voorafbetaalde kaart gaat. Uit deze artikelen vloeit immers voort dat voor de nieuwe kaarten de activering pas mag gebeuren na identificatie van de eindgebruiker. Dit besluit houdt rekening met deze operationele moeilijkheden op de volgende manier.

Ten eerste zullen deze kaarten krachtens artikel 20, eerste lid gedeactiveerd moeten worden uiterlijk tegen 3 weken na de inwerkingtreding van het koninklijk besluit.

Ten tweede is het, gelet op de grote hoeveelheid te deactiveren voorafbetaalde kaarten, niet uitgesloten dat sommige kaarten die krachtens artikel 20, eerste lid, gedeactiveerd moeten worden, niet gedeactiveerd zijn binnen 3 weken na de inwerkingtreding van het koninklijk besluit. Voor de betrokken ondernemingen is het niet altijd mogelijk om een identificatie te forceren op het ogenblik van de verkoop van de kaart, wanneer de kaart al geactiveerd is. Artikel 20, tweede lid maakt het mogelijk om de situatie te verhelpen waarin de nieuwe voorafbetaalde kaart niet kon worden gedeactiveerd en de gebruiker zich niet heeft geïdentificeerd. In de 3 weken na de inwerkingtreding van het koninklijk besluit zal de kaart verkocht mogen worden, maar zal de eindgebruiker moeten worden geïdentificeerd binnen 6 maanden na de bekendmaking van het koninklijk besluit, naar analogie van de regels die gelden voor de oude voorafbetaalde kaarten.

Wat betreft de opmerking van de Raad van State in verband met artikel 20, tweede lid, van het ontwerp van koninklijk besluit (zie opmerkingen inzake artikel 10), dient te worden herhaald dat artikel 127, § 3, van de WEC, zoals gewijzigd door de wet van 1 september 2016 de voorafbetaalde kaarten gekocht vóór de inwerkingtreding van dit koninklijk besluit beoogt, terwijl artikel 20, tweede lid, van dit besluit de kaarten bedoelt die worden verkocht gedurende de drie weken die volgen op de datum van inwerkingtreding van dit koninklijk besluit. Het is dus niet nodig om artikel 20, tweede lid, te wijzigen teneinde te zorgen voor coherentie met artikel 127, § 3, van de WEC. Dit zijn, Sire, de voornaamste bepalingen van het besluit dat aan Uwe Majesteit ter goedkeuring wordt voorgelegd.

Wij hebben de eer te zijn, Sire, Van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaars, De Minister van Telecommunicatie, A. DE CROO De Minister van Justitie, K. GEENS

ADVIES 60.213/4 VAN 26 OKTOBER 2016 VAN DE RAAD VAN STATE, AFDELING WETGEVING, DE OVER EEN ONTWERP VAN KONINKLIJK BESLUIT `BETREFFENDE DE IDENTIFICATIE VAN DE EINDGEBRUIKER VAN MOBIELE OPENBARE ELEKTRONISCHE- COMMUNICATIEDIENSTEN DIE WORDEN GELEVERD OP BASIS VAN EEN VOORAFBETAALDE KAART' Op 6 oktober 2016 is de Raad van State, afdeling Wetgeving, door de Vice-Eerste Minister en Minister van Ontwikkelingssamenwerking, Digitale Agenda, Telecommunicatie en Post verzocht binnen een termijn van dertig dagen een advies te verstrekken over een ontwerp van koninklijk besluit `betreffende de identificatie van de eindgebruiker van mobiele openbare elektronische- communicatiediensten die worden geleverd op basis van een voorafbetaalde kaart'.

Het ontwerp is door de vierde kamer onderzocht op 26 oktober 2016.

De kamer was samengesteld uit Pierre Liénardy, kamervoorzitter, Martine Baguet en Bernard Blero, staatsraden, Sébastien Van Drooghenbroeck en Marianne Dony, assessoren, en Colette Gigot, griffier.

Het verslag is uitgebracht door Anne Vagman, eerste auditeur .

De overeenstemming tussen de Franse en de Nederlandse tekst van het advies is nagezien onder toezicht van Martine Baguet.

Het advies, waarvan de tekst hierna volgt, is gegeven op 26 oktober 2016.

Aangezien de adviesaanvraag ingediend is op basis van artikel 84, § 1, eerste lid, 2°, van de gecoördineerde wetten op de Raad van State, beperkt de afdeling Wetgeving overeenkomstig artikel 84, § 3, van de voornoemde gecoördineerde wetten haar onderzoek tot de rechtsgrond van het ontwerp, de bevoegdheid van de steller van de handeling en de te vervullen voorafgaande vormvereisten.

Wat deze drie punten betreft, geeft het ontwerp aanleiding tot de volgende opmerkingen.

Onderzoek van het ontwerp Dispositief Artikel 1 Artikel 1, tweede lid, van het ontwerpbesluit bepaalt dat dit onder meer van toepassing is op de "voorafbetaalde kaarten van de buitenlandse ondernemingen die worden verkocht in België".

In het verslag aan de Koning wordt deze omschrijving van het toepassingsgebied van het ontwerp als volgt toegelicht: "Het onderhavige koninklijk besluit is ook van toepassing op de voorafbetaalde kaarten van buitenlandse ondernemingen die in België worden verkocht. Onder `buitenlandse ondernemingen' dient te worden verstaan een `buitenlandse operator' die, zoals een `Belgische operator', elektronische- communicatienetwerken of -diensten verstrekt maar die zich niet als operator moet aanmelden bij het BIPT en die dus niet als een operator in de zin van de WEC wordt beschouwd. Een kennisgeving aan het BIPT door de buitenlandse operator is niet noodzakelijk omdat de elektronische-communicatiedienst van de buitenlandse operator niet in België maar in het buitenland wordt verstrekt. Dat is de Belgische operator met wie de buitenlandse operator een roamingcontract heeft gesloten en die in België de elektronische-communicatiedienst verstrekt aan de eindgebruiker die de voorafbetaalde kaart van de buitenlandse operator heeft gekocht.

Het staat de buitenlandse onderneming uiteraard vrij om de aanpak te volgen die hij wil om het onderhavige koninklijk besluit na te leven (bijvoorbeeld zich associëren met een Belgische operator of zelf ervoor zorgen dat het onderhavige koninklijk besluit wordt nageleefd).

De wet van 29 mei 2016 betreffende het verzamelen en het bewaren van gegevens in de elektronische-communicatiesector schrijft echter voor dat de gegevens die worden bewaard op grond van artikel 126 van de wet (wat de gegevens omvat die vermeld zijn in het onderhavige koninklijk besluit) moeten worden bewaard op het grondgebied van de Europese Unie.

De verkoop van voorafbetaalde kaarten van buitenlandse ondernemingen in België zonder identificatie overeenkomstig het onderhavige koninklijk besluit is dus illegaal (zie artikel 127, § 2, van de wet)." Daaruit blijkt dat het dus de bedoeling is buitenlandse operatoren onder de toepassing van het ontwerpbesluit te laten vallen zodra hun voorafbetaalde kaarten worden verkocht in België.

Er mag evenwel niet uit het oog worden verloren dat artikel 127, § 1, van de wet van 13 juni 2005 "betreffende de elektronische communicatie", zoals gewijzigd bij het wetsontwerp dat op 20 juli 2016 in voltallige zitting is aangenomen door de Kamer van volksvertegenwoordigers (1), en dat volgens het eerste lid van de aanhef van het ontwerpbesluit bekrachtigd en afgekondigd zou zijn op 1 september 2016, de Koning machtigt om maatregelen uit te vaardigen die opgelegd worden aan de "operatoren (2), aan de aanbieders bedoeld in artikel 126, § 1, eerste lid, de verkoopkanalen van elektronische-communicatiediensten, de ondernemingen die een identificatiedienst verstrekken of aan de eindgebruikers".

Het ontwerpbesluit kan het toepassingsgebied van de verplichtingen die het oplegt niet uitbreiden tot categorieën van personen of ondernemingen die niet genoemd worden in het voornoemde artikel 127.

Er kan dus via deze weg geen verplichting worden opgelegd aan buitenlandse ondernemingen, tenzij zij daarenboven ook één van de andere hoedanigheden opgesomd in artikel 127, § 1, hebben, in welk geval hun uitsluitend in die hoedanigheid een verplichting kan worden opgelegd.

De ontworpen tekst moet in het licht van die opmerking worden herzien.

Artikel 2 Het begrip "voorafbetaalde kaart" is een wettelijk begrip, dat de wetgever in artikel 127 van de wet van 13 juni 2005 'betreffende de elektronische communicatie" heeft gebruikt.

Het staat niet aan de uitvoerende macht om dat begrip te definiëren, en al zeker niet om het begrip te verruimen zoals geschiedt in het verslag aan de Koning, waarin er sprake is van iedere gedematerialiseerde vorm van de fysieke SIM-drager.

De bepaling onder 5° moet dus vervallen.

Artikel 5 1. Volgens de logica van de ontwerptekst moeten derden die een voorafbetaalde kaart verkrijgen, met evenveel zekerheid geïdentificeerd kunnen worden als de oorspronkelijke aankoper.De afdeling Wetgeving vraagt zich af of dat doel met deze bepaling kan worden bereikt.

De bepaling moet in het licht van deze opmerking opnieuw worden onderzocht. 2. In de bepaling onder 6° schrijve men "artikel 9, tweede lid" in plaats van "artikel 10, tweede lid". Artikel 7 Zoals artikel 7, eerste en tweede lid, van het ontwerp is gesteld, kan het de indruk wekken dat de verplichting tot identificatie alleen berust bij de betrokken ondernemingen, terwijl artikel 127, § 3, van de wet van 13 juni 2005, zoals aangevuld bij het wetsontwerp dat op 20 juli 2016 in voltallige zitting door de Kamer van volksvertegenwoordigers is aangenomen, in de eerste plaats de niet-geïdentificeerde eindgebruikers van voorafbetaalde kaarten die aangekocht zijn vóór de inwerkingtreding van het ontwerpbesluit, oplegt zich binnen de termijn vastgesteld door de operator of de aanbieder te identificeren, waarbij deze termijn niet langer mag zijn dan zes maanden na de bekendmaking van de ontwerptekst.

Artikel 7 moet zo worden herzien dat er meer samenhang is met artikel 127, § 3, en het duidelijk is dat het verenigbaar is met laatstgenoemd artikel en het niet lijkt alsof het een onderscheiden regeling invoert.

Dezelfde opmerking geldt mutatis mutandis voor artikel 20, tweede lid, van het ontwerp.

Artikel 11 Gelet op de bewoordingen van de machtiging aan de Koning in artikel 127, § 1, van de wet van 13 juni 2005, en aangezien het gaat om maatregelen die afbreuk kunnen doen aan het recht op de eerbiediging van de persoonlijke levenssfeer en de bescherming van dat recht in het gedrang kunnen brengen, mag de invulling van de begrippen "nodige maatregelen" en "twijfelt" of "twijfelachtige identificatiegegevens" niet overgelaten worden aan de betrokken ondernemingen en moeten deze begrippen gepreciseerd worden in het ontwerpbesluit, dat bijgevolg aangevuld moet worden, in voorkomend geval door de uitleg of de preciseringen die in het verslag aan de Koning staan, over te nemen.

Artikel 12 Wat betreft de aard en het doel van de te bewaren gegevens zoals deze zijn opgesomd in artikel 12 van het ontwerp, moet, onder meer gelet op de punten 17 tot 19 van advies 54/2016 dat de Commissie voor de bescherming van de persoonlijke levenssfeer op 21 september 2016 over de ontwerptekst heeft uitgebracht, ervan akte worden genomen dat volgens het verslag aan de Koning, het koninklijk besluit tot uitvoering van artikel 126 van de wet van 13 juni 2005 en het voorliggende ontwerp "later op elkaar zullen worden afgestemd om compatibel te worden gemaakt". Het is erg belangrijk dat die "afstemming" om de redenen genoemd in het voornoemde advies 54/2016 zo snel mogelijk plaatsvindt.

Artikel 19 1. Wil men het gelijkheids- en het rechtszekerheidsbeginsel eerbiedigen, dan moeten de criteria voor de toekenning van de machtiging en de intrekking ervan, zoals bedoeld in artikel 19, § 1, van het ontwerp, in de ontworpen tekst worden gepreciseerd. Wat de intrekking van die machtiging betreft, spreekt het bovendien vanzelf dat het beginsel audi alteram partem in acht genomen moet worden. 2. De vraag rijst hoe artikel 19, § 2, van het ontwerp zich verhoudt tot artikel 12, tweede lid, daarvan. De ontworpen tekst moet worden herzien teneinde te zorgen voor samenhang tussen die twee bepalingen.

Artikel 20 In ieder lid van artikel 20 van het ontwerp moet de ontbrekende datum worden ingevuld.

Slotopmerking De ontworpen tekst bevat geen enkele bepaling waarbij de datum van inwerkingtreding van het besluit wordt vastgesteld.

In dat verband wordt erop gewezen dat het ontwerpbesluit uitvoering wil verlenen aan artikel 127, § 1, van de wet van 13 juni 2005, zoals dat artikel is gewijzigd bij een ontwerp van wet dat op 20 juli 2016 in voltallige zitting door de Kamer van volksvertegenwoordigers is aangenomen en dat, zoals hierboven vermeld, volgens het eerste lid van de aanhef van het ontwerp op 1 september 2016 bekrachtigd en afgekondigd zou zijn.

Bij de stand van de teksten die in het Belgisch Staatsblad bekendgemaakt zijn op de datum van dit advies, is die wet nog niet bekendgemaakt zoals vereist en dus nog niet in werking getreden.

De steller van het ontwerpbesluit moet erop toezien dat dit besluit niet in het Belgisch Staatsblad wordt bekendgemaakt op een datum die ertoe leidt dat het eerder in werking treedt dan de voornoemde wet. (1) Parl.St. Kamer 2015-16, nr. 54-1964/004. (2) Dat zijn volgens artikel 2, 11°, van de wet van 13 juni 2005 `betreffende de elektronische communicatie' de personen "die onder de verplichting val[len] een kennisgeving te doen overeenkomstig artikel 9", wat, zoals uiteengezet wordt in het verslag aan de Koning, nu net niet het geval is met buitenlandse operatoren. De griffier, C. Gigot.

De voorzitter, P. Liénardy.

27 NOVEMBER 2016. - Koninklijk besluit betreffende de identificatie van de eindgebruiker van mobiele openbare elektronische-communicatiediensten die worden geleverd op basis van een voorafbetaalde kaart FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 13 juni 2005 betreffende de elektronische communicatie, artikel 127, § 1, gewijzigd bij de wet van 4 februari 2010, van 27 maart 2014, van 29 mei 2016 en van 1 september 2016;

Gelet op de impactanalyse van de regelgeving uitgevoerd overeenkomstig de artikelen 6 en 7 van de wet van 15 december 2013 houdende diverse bepalingen inzake administratieve vereenvoudiging;

Gelet op de openbare raadpleging van 29 maart tot 10 april 2016;

Gelet op het advies van de Inspecteur van Financiën, gegeven op 3, 9 en 11 mei 2016;

Gelet op de akkoordbevinding van de Minister van Begroting van 12 mei 2016;

Gelet op het advies van het Belgisch Instituut voor postdiensten en telecommunicatie, gegeven op 10 mei 2016;

Gelet op advies nr. 54/2016 van de Commissie voor de bescherming van de persoonlijke levenssfeer, gegeven op 21 september 2016;

Gelet op de raadpleging van 13 mei 2016 tot 27 mei 2016 van het Interministerieel Comité voor Telecommunicatie en Radio-omroep en Televisie;

Gelet op de raadpleging van het Overlegcomité van 6 juli 2016;

Gelet op advies nr. 60.213/4 van de Raad van State, gegeven 26 oktober 2016, met toepassing van artikel 84, § 1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;

Op de voordracht van de Minister van Telecommunicatie en de Minister van Justitie;

Hebben Wij besloten en besluiten Wij : HOOFDSTUK 1. - Toepassingsgebied en definities

Artikel 1.Dit koninklijk besluit betreft de identificatie van de natuurlijke persoon die de activering aanvraagt van een voorafbetaalde kaart die de mogelijkheid biedt om gebruik te maken van een mobiele openbare elektronische-communicatiedienst en de identificatie van de natuurlijke persoon die deze kaart gebruikt.

Het is van toepassing op de voorafbetaalde kaarten die zijn verbonden aan een Belgisch telefoonnummer of een Belgische IMSI en op de voorafbetaalde kaarten van de buitenlandse ondernemingen die worden verkocht in België.

Het is niet van toepassing op de voorafbetaalde kaarten waarmee enkel de M2M-technologie kan worden gebruikt.

Art. 2.Voor de toepassing van dit koninklijk besluit wordt verstaan onder : 1° "wet" : de wet van 13 juni 2005 betreffende de elektronische communicatie;2° "betrokken onderneming" : de operator of de buitenlandse onderneming bedoeld in artikel 126, § 1, eerste lid, van de wet, die aan de eindgebruiker een dienst voor openbare mobiele elektronische communicatie verstrekt via een voorafbetaalde kaart;3° "geldige identificatiemethode" : één van de methodes die gedefinieerd zijn in de artikelen 14 tot 19;4° "geldig identificatiedocument" : de Belgische identiteitskaart of een identiteitskaart van een lidstaat van de Europese Unie, een Belgische elektronische kaart voor buitenlanders, het document dat het nummer vermeldt dat bedoeld is in art.8, § 1, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid of in art. 2, tweede lid, van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen of een internationaal paspoort of een officieel document dat, tijdelijk, één van de voormelde documenten vervangt dat werd kwijt geraakt of gestolen, op voorwaarde dat het identificatiedocument origineel, leesbaar en geldig is; 5° "nieuwe voorafbetaalde kaarten" : de voorafbetaalde kaarten die werden gekocht op de datum van inwerkingtreding van dit besluit of na deze datum;6° "oude voorafbetaalde kaarten" : de voorafbetaalde kaarten die werden gekocht vóór de datum van inwerkingtreding van dit besluit. HOOFDSTUK 2. - Maatregelen ten laste van de eindgebruikers

Art. 3.De eindgebruiker van een voorafbetaalde kaart moet zich identificeren telkens wanneer de betrokken onderneming dat aan hem vraagt.

De eindgebruiker is verplicht om de geldige identificatiedocumenten die in voorkomend geval overeenkomstig de artikelen 14 tot 19 worden vereist, voor te leggen.

Art. 4.§ 1. De niet-geïdentificeerde gebruikers van oude voorafbetaalde kaarten zijn de eindgebruikers van wie de situatie met geen enkele van de volgende gevallen overeenstemt : 1° de naam, de voornaam en de geboortedatum van de eindgebruiker is reeds verzameld en geverifieerd door de betrokken onderneming volgens één van de geldige identificatiemethodes voor de datum van inwerkingtreding van dit besluit, of;2° de eindgebruiker heeft zijn naam, voornaam en hetzij zijn domicilie hetzij zijn geboortedatum meegedeeld aan de betrokken onderneming voor 19 november 2015, of;3° de voorafbetaalde kaart is gekocht of herladen door middel van een elektronisch betalingsmiddel overeenkomstig artikel 17. § 2. Wat betreft de nieuwe voorafbetaalde kaarten, deelt de eindgebruiker uiterlijk bij de activering van de kaart zijn identiteit mee aan de betrokken onderneming volgens één van de geldige identificatiemethodes.

Art. 5.Een natuurlijke of rechtspersoon die zich bij de betrokken onderneming identificeert, mag aan een derde geen actieve voorafbetaalde kaart afstaan, behalve : 1° aan een persoon van zijn familie, d.i. zijn ouders, zijn grootouders, zijn kinderen, zijn kleinkinderen, zijn broers of zijn zussen; 2° aan zijn/haar echtgeno(o)t(e) of een persoon met wie een verklaring van wettelijk samenwonen is afgelegd;3° aan een persoon van wie deze persoon de voogd is;4° aan een natuurlijke persoon die diensten verricht voor de rechtspersoon die de voorafbetaalde kaart heeft gekocht, op voorwaarde dat deze rechtspersoon een geactualiseerde lijst bewaart aan de hand waarvan het verband tussen een voorafbetaalde kaart en de natuurlijke persoon aan wie deze kaart werd toegewezen kan worden vastgesteld;5° aan een derde die zich vooraf heeft geïdentificeerd bij de betrokken onderneming;6° wanneer de voorafbetaalde kaart wordt gekocht voor de rekening van de inlichtingen- en veiligheidsdiensten, de politiediensten of de overheden die bij ministerieel besluit zijn aangewezen conform artikel 9, tweede lid. De lijst beoogd in het eerste lid, 4°, bevat minstens de naam, geboortedatum en -plaats van de persoon aan wie de kaart wordt toegewezen. Deze lijst wordt overgemaakt aan de betrokken onderneming bij activatie en op eenvoudige vraag.

Art. 6.Binnen 24 uur na de diefstal of het verlies van de voorafbetaalde kaart brengt de eindgebruiker de betrokken onderneming daarvan op de hoogte. HOOFDSTUK 3. - Maatregelen ten laste van de betrokken ondernemingen Afdeling 1. - Principes

Art. 7.De betrokken ondernemingen identificeren de in artikel 4 bedoelde, niet-geïdentificeerde eindgebruikers van oude voorafbetaalde kaarten uiterlijk 6 maanden na de publicatie van dit besluit, volgens een geldige identificatiemethode en met behulp van de gegevens verstrekt door de eindgebruiker conform artikel 127, § 3, tweede lid, van de wet of gegevens waarover zij beschikken.

Ze kunnen aan elke eindgebruiker van een oude voorafbetaalde kaart vragen om zich te identificeren.

Wat betreft de nieuwe voorafbetaalde kaarten, mag de betrokken onderneming de kaart maar activeren, voor zover ze vooraf de eindgebruiker geïdentificeerd heeft.

Art. 8.Onmiddellijk na door de eindgebruiker te zijn ingelicht over de diefstal of het verlies van zijn voorafbetaalde kaart, maakt de betrokken onderneming deze kaart onbruikbaar.

Art. 9.Wanneer een voorafbetaalde kaart wordt gekocht door een natuurlijke persoon of een rechtspersoon, verzamelt en verifieert de betrokken onderneming volgens één van de geldige identificatiemethodes de identiteit van de natuurlijke persoon die de activering van de kaart vraagt.

Het eerste lid is niet van toepassing op de inlichtingen- en veiligheidsdiensten, de politiediensten en op de overheden die bij een besluit genomen door de Minister en de Minister van Justitie, aangewezen zijn. Afdeling 2. - Het verzamelen van de identificatiegegevens

Art. 10.De betrokken onderneming, de leverancier van een identificatiedienst of een verkoopkanaal van elektronische-communicatiediensten kunnen de Belgische elektronische identiteitskaart via elektronische weg lezen, deze inscannen of er een kopie of foto van maken, met inbegrip van de foto op deze kaart en het nummer van deze kaart. Afdeling 3. - De verificatie van de betrouwbaarheid

van de identificatiegegevens

Art. 11.§ 1. Wanneer de eindgebruiker een Belgische identiteitskaart voorlegt om zich te identificeren, verifieert ze systematisch, voor de activering van de voorafbetaalde kaart, dat deze niet werd gestolen of niet het voorwerp heeft uitgemaakt van fraude. § 2. Wanneer de voorafbetaalde kaart reeds werd geactiveerd en de betrokken onderneming vervolgens een onregelmatigheid vaststelt of vaststelt dat de identificatiegegevens onjuist zijn, neemt de betrokken onderneming onverwijld een of meer van de volgende maatregelen : 1° ze verifieert de identificatiegegevens van de eindgebruiker opnieuw, desgevallend door deze gegevens te vergelijken met andere gegevens waarover ze beschikt;2° ze vraagt de eindgebruiker om zich nogmaals te identificeren;3° ze brengt de bevoegde overheden daarvan op de hoogte. Ze maakt de voorafbetaalde kaart onbruikbaar wanneer de eindgebruiker zich niet binnen de vastgelegde termijn heeft geïdentificeerd. Afdeling 4. - De gegevensbewaring

Art. 12.De betrokken ondernemingen bewaren de identificatiemethode die gebruikt is om de eindgebruiker te identificeren zolang de identificatiegegevens van de eindgebruiker kunnen worden bewaard krachtens artikel 126 van de wet.

De door de betrokken onderneming te bewaren gegevens worden vastgelegd afhankelijk van de gekozen identificatiemethode maar omvatten maximaal de volgende gegevens : 1° de naam en voornaam;2° het geslacht;3° de nationaliteit;4° de geboorteplaats en -datum;5° het adres van de woonplaats, het e-mailadres en het telefoonnummer;6° het rijksregisternummer;7° het nummer van het identiteitsstuk, het land van uitgifte van het document wanneer het een buitenlands document betreft en de geldigheidsdatum van het document;8° de referenties van de betalingstransactie, conform artikel 17;9° het verband van de voorafbetaalde kaart met het product waarvoor de eindgebruiker reeds geïdentificeerd is, conform artikel 18;10° de foto van de eindgebruiker, maar enkel voor andere documenten dan de Belgische elektronische identiteitskaart. Wanneer de foto op de Belgische elektronische identiteitskaart werd verstrekt aan de betrokken onderneming of de leverancier van een identificatiedienst, vernietigen deze laatsten deze foto uiterlijk vóór de activering van de voorafbetaalde kaart. Afdeling 5. - Identificatiemethodes

Art. 13.De betrokken onderneming moet ten minste één geldige identificatiemethode van haar keuze voorstellen aan de eindgebruiker.

Onderafdeling 1. - Verificatie op basis van identificatiedocumenten in aanwezigheid van de eindgebruiker

Art. 14.§ 1. Wanneer de eindgebruiker zich fysiek identificeert, legt hij in het verkooppunt van elektronische-communicatiediensten een geldig identificatiestuk voor. Indien een elektronische identiteitskaart wordt getoond en wanneer het verkooppunt dat vraagt, moet de eindgebruiker de pincode invoeren. § 2. Bij voorlegging van een Belgische identiteitskaart vraagt de betrokken onderneming minimaal het rijksregisternummer op.

Bij voorlegging van een ander document dat het rijksregisternummer vermeldt of het nummer dat bedoeld is in art. 8, § 1, 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid, vraagt de betrokken onderneming minimaal dat nummer en het nummer van dat document op.

Voor de documenten waarop het rijksregisternummer of het nummer dat bedoeld is in art. 8, § 1, 2°, van de wet van 15 januari 1990 niet vermeld is, vraagt de betrokken onderneming ten minste het land van uitgifte, het nummer van het document, de naam, voornaam, geboortedatum en -plaats op.

Onderafdeling 2. - Online-identificatie en elektronische ondertekening via de elektronische identiteitskaart bij de betrokken onderneming

Art. 15.§ 1. De eindgebruiker kan zichzelf identificeren met zijn elektronische identiteitskaart, wanneer hij verbinding maakt met een internetapplicatie van de betrokken onderneming of aan de betrokken onderneming een document overzendt dat ondertekend is aan de hand van de elektronische handtekening. Na authenticatie wordt zijn identificatie gevalideerd.

Deze identificatiemethode is onderworpen aan de volgende voorwaarden : 1° alleen geldige elektronische identiteitskaarten worden aanvaard;2° de pincode moet worden ingevoerd. § 2. De betrokken onderneming verzamelt minimaal de volgende gegevens : 1° voor de Belgische elektronische identiteitskaart : ten minste het rijksregisternummer;2° voor de buitenlandse elektronische identiteitskaart : ten minste het land van uitgifte, het nummer van het document, de naam, voornaam, geboortedatum en -plaats. Onderafdeling 3. - De leverancier van een identificatiedienst

Art. 16.§ 1. De eindgebruiker kan zichzelf identificeren wanneer hij verbinding maakt met een internetapplicatie of een document overzendt met zijn elektronische handtekening, en wanneer zijn identificatie wordt gevalideerd bij een leverancier van een identificatiedienst. § 2. Onder voorbehoud van het tweede lid, moet, wat de internettoepassing betreft, een gelijkaardige toepassing die toegang tot een digitale toepassing van de openbare overheden mogelijk maakt zijn goedgekeurd door de Federale overheidsdienst Informatie- en Communicatietechnologie conform de regels vastgelegd door de Koning.

De Minister en de Minister van Justitie kunnen te allen tijde en bij een met redenen omkleed besluit het gebruik verbieden van een internettoepassing van een aanbieder van een identificatiedienst voor de identificatie van de eindgebruiker van een voorafbetaalde kaart. § 3. De identificatiegegevens worden opgevraagd door de leverancier van een identificatiedienst en overgedragen aan de betrokken onderneming vóór de activering van de voorafbetaalde kaart.

Onderafdeling 4. - De online betalingstransactie

Art. 17.§ 1. De betrokken onderneming kan de eindgebruiker identificeren op basis van een elektronische betalingstransactie online specifiek om een voorafbetaalde kaart aan te kopen of te herladen.

Deze methode is onderworpen aan de volgende voorwaarden : 1° de betalingstransactie moet worden afgehandeld via een betalingsdienstaanbieder zoals bedoeld in art.I.9. 2°, a), b), c), en d) van het Wetboek van Economisch Recht;2° de betalingsdienstaanbieder is onderworpen aan de Wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme;3° er moet een nieuwe identificatie worden uitgevoerd binnen de 18 maanden die volgen op de betalingstransactie die is gelinkt aan de voorafbetaalde kaart;4° op een online formulier van de betrokken onderneming vult de eindgebruiker op zijn minst zijn naam, zijn voornaam en geboortedatum en -plaats in. § 2. De betrokken onderneming slaat de referentie van de betalingstransactie en de gegevens van het online formulier op.

Onderafdeling 5. - Productuitbreiding of -migratie

Art. 18.§ 1. De eindgebruiker kan zichzelf identificeren door de voorafbetaalde kaart van de betrokken onderneming in verband te brengen met een product van dezelfde onderneming waarop hij ingetekend heeft.

De betrokken onderneming vergewist zich ervan, door technische en operationele maatregelen in te stellen, dat de persoon die de uitbreiding of de migratie van het product vraagt, daadwerkelijk de voor dat product geïdentificeerde persoon is. § 2. De betrokken onderneming bewaart voor de voorafbetaalde kaart alle verzamelde identificatiegegevens voor het product waaraan deze kaart is verbonden.

Onderafdeling 6. - De verificatie via elektronisch communicatiemiddel

Art. 19.§ 1. Wanneer de eindgebruiker zijn identificatiegegevens via elektronisch communicatiemiddel meedeelt aan de betrokken onderneming verifieert deze laatste de identiteit in twee stappen door middel van een tool voor de verificatie van deze identiteit.

Deze methode is onderworpen aan de volgende voorwaarden : 1° de leverancier van de tool voor de verificatie van de identiteit moet een zetel hebben in de Europese Unie;2° op verzoek van een betrokken onderneming moet de identificatiemethode die ze voorstelt vooraf gemachtigd zijn bij besluit genomen door de Minister en de Minister van Justitie, na overleg met het Instituut, de inlichtingen- en veiligheidsdiensten en de door de Koning aangewezen politiedienst. § 2. De machtiging bedoeld in paragraaf 1, tweede lid, 2°, kan te allen tijde ingetrokken worden door de Minister en de Minister van Justitie.

De betrokken onderneming wordt gehoord voorafgaand aan elke beslissing om deze machtiging in te trekken.

Het criterium waarmee rekening wordt gehouden voor de toekenning of de intrekking van de machtiging is de graad van betrouwbaarheid van de identificatie, rekening houdend met de juistheid, de volledigheid en de coherentie van de identificatiegegevens op het ogenblik van de identificatie alsook de beveiliging en integriteit van deze gegevens. § 3. De betrokken onderneming vraagt ten minste de naam, voornaam, geboortedatum en -plaats, alsook de domicilie van de eindgebruiker op en bewaart deze. HOOFDSTUK 4. - Slotbepalingen

Art. 20.Wat betreft de nieuwe voorafbetaalde kaarten die werden geactiveerd en verdeeld in de verkooppunten van elektronische-communicatiediensten vóór de inwerkingtreding van dit besluit en die de betrokken onderneming, om technische redenen, voor die datum niet heeft kunnen deactiveren, treden de artikelen 4, § 2, en 7, derde lid, in werking op na het verstrijken van een termijn van drie weken die aanvangt op de dag na de inwerkingtreding van dit besluit.

Voor diezelfde actieve kaarten die zonder voorafgaande identificatie tussen de datum van inwerkingtreding van dit koninklijk besluit en de datum van inwerkingtreding vastgelegd in het eerste lid, verkocht werden, identificeert de betrokken onderneming de eindgebruiker uiterlijk de eerste dag van de maand na afloop van een termijn van 6 maanden te rekenen van de dag volgend op de bekendmaking ervan in het Belgisch Staatsblad.

De betrokken ondernemingen stellen de systematische verificatie bedoeld in artikel 11, § 1, tweede lid, uiterlijk op 30 juni 2017 in.

Art. 21.De minister bevoegd voor Telecommunicatie is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 27 november 2016.

FILIP Van Koningswege : De Minister van Telecommunicatie, A. DE CROO De Minister van Justitie, K. GEENS