2 JUNI 2019. - Koninklijk besluit tot vaststelling van de voorwaarden, de procedure en de gevolgen van de erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox
HOOFDSTUK I. - Definities en inleidende bepalingen
Art. 1-3
HOOFDSTUK II. - Erkenningsvoorwaarden
Afdeling 1. - Functionele en technische voorwaarden
Onderafdeling 1. - De dienst voor gegevensontsluiting
Art. 4-5
Onderafdeling 2. - De keuze van de bestemmeling voor de dienst voor gegevensontsluiting
Art. 6
Onderafdeling 3. - Aanmelding door de bestemmeling
Art. 7
Onderafdeling 4. - Informatie-uitwisseling tussen de eBox, de dienstverlener en de bestemmeling
Art. 8-9
Onderafdeling 5. - Eerbiediging van de persoonlijke levenssfeer
Art. 10-13
Afdeling 2. - Voorwaarden op het vlak van dienstverleningsbeheer
Onderafdeling 1. - Beschikbaarheid van de dienstverlening
Art. 14-15
Onderafdeling 2. - Beschikbaarheid van de ondersteunende diensten
Art. 16
Onderafdeling 3. - Uitrolbeheer
Art. 17-18
Onderafdeling 4. - Continuïteit van de dienstverlening
Art. 19
Onderafdeling 5. - Rapportering
Art. 20-22
Afdeling 3. - Economische, juridische en organisationele voorwaarden
Art. 23-25
HOOFDSTUK III. - De erkenningsprocedure
Afdeling 1. - Indiening van de erkenningsaanvraag
Art. 26-27
Afdeling 2. - Behandeling van de erkenningsaanvraag door de erkennende overheid
Art. 28-29
HOOFDSTUK IV. - Gevolgen van de erkenning
Afdeling 1. - Operationele gevolgen
Art. 30-37
Afdeling 2. - Financiële gevolgen
Art. 38
Afdeling 3. - Duur van de erkenning
Art. 39-40
HOOFDSTUK V. - Schorsing en intrekking van de erkenning
Art. 41
HOOFDSTUK VI. - Slotbepalingen
Art. 42-43
BIJLAGE.
Art. N
HOOFDSTUK I. - Definities en inleidende bepalingen
Artikel 1. Voor de toepassing van dit besluit wordt verstaan onder:
1° "dienst voor gegevensontsluiting": de dienst die bestaat uit het ontsluiten en visualiseren voor bestemmelingen van elektronische berichten beschikbaar in de eBox voor natuurlijke personen
2° "dienstverlener": een aanvrager die een erkenning heeft bekomen voor het verlenen van een dienst voor gegevensontsluiting
3° "aanvrager": de natuurlijke persoon of rechtspersoon die geen overheidsinstantie is en die een erkenning tracht te bekomen voor de dienstverlening
4° "dienstverlening": het aanbieden van een dienst voor gegevensontsluiting
5° "bestemmeling": het individu dat gebruik maakt van de dienst voor gegevensontsluiting
6° "erkennende overheid": de federale overheidsdienst bevoegd voor Digitale Agenda ("DTO") bedoeld in artikel 11 § 1 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox
7° "dienst voor elektronische identificatie met substantiële betrouwbaarheid": een dienst voor elektronische identificatie die voldoet aan de vereisten van de het betrouwbaarheidsniveau substantieel zoals gedefinieerd in Verordening (EU) Nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, en in de uitvoeringsverordening (EU) 2015/1502 van de Commissie van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt
8° "veiligheidsrisico's": omstandigheid of gebeurtenis die een negatieve impact kan hebben op de veiligheid van de dienstverlening
9° "probleem": een oorzaak van één of meer incidenten
10° "contactpersoon": de persoon door de dienstverlener aan te duiden als uniek contactpunt tussen de dienstverlener en de erkennende overheid
11° "samenwerkingsovereenkomst": een overeenkomst tussen de dienstverlener en de erkennende overheid omtrent het dienstverleningsniveau
12° "technische specificaties": de handleiding met technische instructies, bepaald overeenkomstig artikel 11, § 2 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox
13° "transactie": een succesvolle ontsluiting en visualisatie voor de bestemmeling van een bericht beschikbaar in zijn of haar eBox door een erkende dienst voor gegevensontsluiting
Art.2. Dienstverleners bieden hun dienst voor gegevensontsluiting kosteloos aan aan de bestemmelingen die gebruik maken van hun dienst, niettegenstaande het recht van de dienstverleners om een kostprijs aan te rekenen aan de bestemmelingen voor eventuele bijkomende diensten die zij hen verstrekken.
Art.3. § 1. Dienstverleners ontsluiten en visualiseren via hun dienst voor gegevensontsluiting voor elke bestemmeling, die gebruik maakt van hun dienst, elk elektronisch bericht dat zich voor die bestemmeling in zijn of haar eBox bevindt, zonder enige discriminatie of filtering van elektronische berichten.
§ 2. Dienstverleners verzekeren dat hun dienstverlening te allen tijde voldoet aan de erkenningsvoorwaarden zoals uiteengezet in dit besluit, gedurende de duurtijd van de erkenning. Indien zij op enig moment beschikken over gegronde indicaties dat hun dienstverlening niet langer voldoet aan deze erkenningsvoorwaarden, dan staken zij onverwijld hun dienstverlening en melden ze de mogelijke oorzaak van de non-conformiteit bij de erkennende overheid.
HOOFDSTUK II. - Erkenningsvoorwaarden
Afdeling 1. - Functionele en technische voorwaarden
Onderafdeling 1. - De dienst voor gegevensontsluiting
Art.4. De aanvrager biedt een dienst aan die bestaat uit het ontsluiten en visualiseren van elektronische berichten van derden, anders dan de aanvrager zelf, aan Belgische geadresseerden, reeds minstens gedurende twee jaar voorafgaand aan het indienen van de erkenningsaanvraag of heeft via zo'n dienst reeds berichten ontsloten voor minstens 50.000 Belgische geadresseerden op het moment van het indienen van de erkenningsaanvraag of heeft succesvol een pilootfase van zo'n dienst van minimaal zes maanden afgerond met de erkennende overheid op het moment van het indienen van de erkenningsaanvraag.
Art.5. § 1. De dienst voor gegevensontsluiting voldoet aan de technische specificaties die de erkennende overheid publiceert op haar website.
§ 2. De websites of mobiele applicaties die worden gebruikt voor het aanbieden van de dienst voor gegevensontsluiting, voldoen aan de wettelijke vereisten voor toegankelijkheid die van toepassing zijn op respectievelijk de websites of mobiele applicaties van overheidsinstanties te voldoen.
Onderafdeling 2. - De keuze van de bestemmeling voor de dienst voor gegevensontsluiting
Art.6. § 1. De dienst voor gegevensontsluiting wordt niet geactiveerd door de dienstverlener ten aanzien van een bestemmeling totdat deze zijn of haar toestemming overeenkomstig artikel 6 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox heeft gegeven aan de aanbieder van de eBox zoals bedoeld in artikel 3 van dezelfde wet.
De dienst voor gegevensontsluiting wordt niet geactiveerd door de dienstverlener ten aanzien van een bestemmeling totdat deze een contract heeft gesloten met de dienstverlener.
§ 2. De dienstverlener informeert de bestemmeling dat zijn berichten ook beschikbaar zijn via eBox zonder beroep te doen op de dienstverlening en mag de bestemmeling op geen enkele wijze verhinderen of ontmoedigen om gebruik te maken van de eBox op enige andere wijze dan via de dienstverlening.
Onderafdeling 3. - Aanmelding door de bestemmeling
Art.7. § 1. De dienst voor gegevensontsluiting maakt gebruik van een dienst voor elektronische identificatie met substantiële betrouwbaarheid om de bestemmeling te authentiseren alvorens een transactie kan worden uitgevoerd via de dienstverlening.
§ 2. De dienst voor gegevensontsluiting stuurt de erkennende overheid bij elke aanmelding het uniek identificatienummer van de bestemmeling, op basis waarvan de erkennende overheid de identiteit van de bestemmeling vaststelt en informatie over de eventuele beschikbare berichten in de eBox kan aanbieden aan de dienstverlener voor een transactie.
Onderafdeling 4. - Informatie-uitwisseling tussen de eBox, de dienstverlener en de bestemmeling
Art.8. De informatie-uitwisseling tussen de eBox en de dienstverlener in het kader van de dienst voor gegevensontsluiting geschiedt overeenkomstig de technische protocollen zoals uiteengezet in de technische specificaties.
Art.9. § 1. Bij iedere informatie-uitwisseling tussen de dienstverlener en de eBox alsook bij elke transactie tussen de dienstverlener en de bestemmeling voert de dienstverlener controles uit en neemt maatregelen om ten minste de onderstaande misbruiken tegen te gaan:
1. een wijziging van de inhoud van de elektronische berichten;
2. een wijziging van de metadata van de elektronische berichten, inclusief de oorsprong, naamgeving of bestandstype;
3. een derde partij, anders dan de bestemmeling, die zich toegang verschaft tot of kennis neemt van enig elektronisch bericht in een eBox van de bestemmeling via de dienst voor gegevensontsluiting; en
4. een derde partij die zich voordoet als de eBox.
§ 2. De dienstverlener implementeert controletechnieken die overeenstemmen met de staat van de kunst om de in paragraaf 1 vermelde misbruiken te detecteren. Bij detectie van een waarschijnlijk misbruik verzekert de dienstverlener dat er geen bericht wordt ontsloten voor de bestemmeling door de dienstverlener.
§ 3. De dienst voor gegevensontsluiting omvat voldoende controlemechanismen om eventuele veiligheidsrisico's proactief op te sporen. De dienstverlener rapporteert hierover overeenkomstig de procedure omschreven in onderafdeling 5 van afdeling 2.
§ 4. De dienstverlener brengt de bestemmeling op de hoogte van de aanwezigheid van elk nieuw elektronisch bericht beschikbaar via de dienst voor gegevensontsluiting, tenzij de bestemmeling expliciet kiest om geen kennisgeving te ontvangen.
§ 5. Bij stopzetting van de dienstverlening aan de bestemmeling om wat voor reden dan ook:
- verwittigt de dienstverlener de erkennende overheid;
- verwijst de dienstverlener de bestemmeling naar de eBox, toegankelijk via de myebox van de federale overheidsdienst bevoegd voor digitale agenda, waar zijn berichten beschikbaar zijn gedurende de termijn bepaald door de gebruiker, tenzij de bestemmeling zijn instemming met het uitwisselen van berichten via de eBox heeft ingetrokken;
- vernietigt de dienstverlener alle gegevens verbonden aan het gebruik van de dienstverlening door de bestemmeling.
Onderafdeling 5. - Eerbiediging van de persoonlijke levenssfeer
Art.10. De dienstverlener wijst een functionaris voor gegevensbescherming aan die voldoet aan de vereisten van artikel 38 en 39 van de Algemene Verordening Gegevensbescherming 2016/679, en verzekert dat elke verwerking zoals bedoeld in artikel 11, § 3, 4 en 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox onder het toezicht staat van deze functionaris voor gegevensbescherming.
Art.11. De dienstverlener neemt passende technische en organisatorische maatregelen om voor de dienstverlening en bij elke transactie een op het risico afgestemd beveiligingsniveau te waarborgen. De dienstverlener documenteert deze maatregelen en de wijze waarop deze de veiligheidsrisico's op gepaste wijze onder controle houden in een veiligheidsrapport, dat te allen tijde opgevraagd kan worden door de erkennende overheid.
Art.12. De dienstverlener installeert een beveiligd controlespoor zodat elke specifieke transactie kan worden gereconstrueerd met het oog op de beveiliging van de gegevens en de bescherming van de persoonlijke levenssfeer. Hiertoe bewaart de dienstverlener voor iedere transactie en poging tot transactie de volgende informatie gedurende een termijn van tien jaar, te rekenen vanaf de 1e januari van het jaar volgend op het moment van de transactie of de poging tot transactie in kwestie:
1. het unieke identificatienummer van de bestemmeling;
2. identificatie van de dienst voor gegevensontsluiting van de dienstverlener waarmee de bestemmeling de transactie of de poging tot transactie initialiseert;
3. de identificatiesleutel van de bestemmeling, gebruikt door de dienstverlener, om de transactie of de poging tot transactie te autoriseren.
4. het tijdstip van de transactie of de poging tot transactie;
5. indien de transactie succesvol werd voltooid, de metadata van het elektronische bericht of de elektronische berichten die in de transactie werden ontsloten, met name de bestandsnaam, bestandstype en omvang van het bestand;
6. het tijdstip van verzending en de identificatie van de kennisgeving, verbonden aan de identificatie van de notificatiedienst.
Art.13. § 1. De dienstverlener neemt passende technische en organisatorische maatregelen om te garanderen overeenkomstig artikel 11 § 3 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox dat het rijksregisternummer van de bestemmeling enkel gebruikt wordt voor de dienstverlening voor doeleinden van identificatie en authenticatie.
§ 2. De dienstverlener neemt passende technische en organisatorische maatregelen om te garanderen overeenkomstig artikel 11 § 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox dat hij geen kennis van de inhoud van de berichten krijgt of er op een andere wijze gebruik van maakt voor het verlenen van de dienst voor gegevensontsluiting.
§ 3. De dienstverlener neemt passende technische en organisatorische maatregelen om te garanderen overeenkomstig artikel 11 § 5 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, dat hij slechts kennisneemt van de inhoud van berichten indien dat strikt noodzakelijk is voor het aanbieden van een dienst met toegevoegde waarde overeenkomstig artikel 11 § 6 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, zoals gevraagd door de bestemmeling, en mits zijn ondubbelzinnige en voorafgaande toestemming die duidelijk verbonden is met de gevraagde dienst met toegevoegde waarde.
§ 4. De dienstverlener voorziet voor elke bestemmeling overzichtelijke informatie over de diensten met toegevoegde waarde die door de bestemmeling gevraagd werden overeenkomstig artikel 11 § 6 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via de eBox, over de toestemmingen die de bestemmeling voor elk van deze diensten overeenkomstig artikel 11 § 5 van deze wet gegeven heeft en over de draagwijdte van deze toestemmingen.
Voor elke nieuwe dienst met toegevoegde waarde die de dienstverlener aanbiedt, bezorgt de dienstverlener de erkennende overheid informatie waaruit blijkt hoe deze verplichting wordt nageleefd.
§ 5. De dienstverlener documenteert de maatregelen bedoeld in dit artikel.
Afdeling 2. - Voorwaarden op het vlak van dienstverleningsbeheer
Onderafdeling 1. - Beschikbaarheid van de dienstverlening
Art.14. De dienstverlening is op maandbasis minimaal 99,9 procent van de tijd beschikbaar. Voor de berekening van de beschikbaarheid worden geplande onbeschikbaarheden en onbeschikbaarheid van de systemen van de erkennende overheid niet als onbeschikbaarheden beschouwd.
Art.15. De dienstverlener stelt systeemfouten van de dienstverlening vast en registreert de tijdstippen waarop systeemfouten verhinderen dat er wordt verzonden of ontvangen en stelt deze informatie beschikbaar voor de erkennende overheid, de gebruikers en de bestemmelingen.
Onderafdeling 2. - Beschikbaarheid van de ondersteunende diensten
Art.16. § 1. Voor oproepen van de bestemmelingen en andere overheidsdiensten dan de erkennende overheid biedt de dienstverlener ondersteunende diensten aan, ten minste op alle werkdagen, van 8 tot 18 uur. Deze ondersteunende diensten omvatten ten minste:
1. een telefonische ondersteuning of een ander kanaal voor gepersonaliseerde ondersteuning;
2. een webpagina met veel gestelde vragen en een eenvoudig toegankelijke handleiding.
§ 2. Voor oproepen van de erkennende overheid biedt de dienstverlener ondersteunende diensten aan op alle dagen, 24 uur op 24.
Deze ondersteunende diensten omvatten ten minste een telefonische ondersteuning.
Onderafdeling 3. - Uitrolbeheer
Art.17. § 1. De dienstverlener bouwt systemen in die het uitrolbeheer garanderen. Behoudens andersluidende beslissing van de erkennende overheid, houdt dit uitrolbeheer rekening met het feit dat de erkennende overheid nieuwe softwareversies om de zes maanden in overweging neemt om in een volgende software-uitrol in te plannen.
§ 2. Het uitrolbeheer van de dienstverlener volgt het beleid van het uitrolbeheer van de erkennende overheid.
Art.18. De dienstverlener legt elke nieuwe softwareversie die een significante impact heeft op de bestemmelingen of de erkennende overheid, vergezeld door een impactanalyse, ten laatste drie maanden voor de datum van inplanning van de uitrol ter informatie voor bij de erkennende overheid zodat de erkennende overheid de mogelijke impact van de wijzigingen kan minimaliseren.
Onderafdeling 4. - Continuïteit van de dienstverlening
Art.19. De dienstverlener bouwt mechanismen in die de dienstverlening op ononderbroken wijze kunnen garanderen gedurende de duur van de erkenning.
Onderafdeling 5. - Rapportering
Art.20. De dienstverlener stelt alle informatie omtrent beschikbaarheid, ondersteuning, klachtenbehandeling, veiligheidsonderzoeken, problemen en incidenten met betrekking tot de dienstverlening te allen tijde ter beschikking van de erkennende overheid, evenals alle informatie die de erkennende overheid zou opvragen die noodzakelijk is om de naleving van dit besluit te controleren.
Art.21. De dienstverlener brengt op eigen initiatief de erkennende overheid onverwijld op de hoogte, in geval van het minste vermoeden van veiligheidsrisico's met betrekking tot de dienstverlening, evenals van elke inbreuk op de beveiliging van de dienst voor gegevensontsluiting die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte berichten in een eBox. Deze melding bevat alle informatie die wordt vereist onder artikel 33, lid 3 van de Algemene Verordening Gegevensbescherming 2016/679.
Art.22. De dienstverlener duidt een contactpersoon aan die, in samenspraak met de functionaris inzake gegevensbescherming van de dienstverlener, met ingang van de erkenningsbeslissing om de zes maanden over de voorwaarden inzake dienstverleningsbeheer aan de erkennende overheid rapporteert met opgave van de relevante stavingsstukken.
Afdeling 3. - Economische, juridische en organisationele voorwaarden
Art.23. In elk stadium van de erkenningsprocedure en gedurende de erkenning, bevindt de aanvrager zich niet in één van de volgende situaties:
1. in staat van faillissement of van vereffening verkeren, zijn werkzaamheden hebben gestaakt, een gerechtelijke reorganisatie ondergaan, of in een overeenstemmende toestand verkeren als gevolg van een gelijkaardige procedure die bestaat in andere nationale reglementeringen;
2. aangifte hebben gedaan van zijn faillissement, voor wie een procedure van vereffening of gerechtelijke reorganisatie aanhangig is, of die het voorwerp is van een gelijkaardige procedure bestaande in andere nationale reglementeringen;
3. bij rechterlijke beslissing die in kracht van gewijsde is gegaan, veroordeeld zijn geweest voor een inbreuk op de wetgeving inzake de bescherming van de persoonlijke levenssfeer;
4. bij rechterlijke beslissing die in kracht van gewijsde is gegaan, veroordeeld zijn geweest voor een wanbedrijf dat of een misdaad die zijn professionele integriteit aantast;
5. bij zijn beroepsuitoefening een zware fout hebben begaan, vastgesteld op een grond die de erkennende overheid omstandig kan rechtvaardigen;
6. niet voldaan hebben aan diens verplichtingen inzake betaling van zijn sociale zekerheidsbijdragen;
7. niet in orde zijn met de betaling van zijn belastingen volgens de Belgische wetgeving of die van het land waar hij gevestigd is;
8. zich, in toepassing van dit besluit, in ernstige mate hebben schuldig gemaakt aan het afleggen van valse verklaringen bij het verstrekken van inlichtingen, of deze inlichtingen niet hebben verstrekt;
9. gedurende de laatste twee jaren het voorwerp hebben uitgemaakt van een corrigerende maatregel opgelegd door de Gegevensbeschermingsautoriteit als gevolg van een vermeende inbreuk op de Algemene Verordening Gegevensbescherming 2016/679 zonder dat deze werd gecorrigeerd overeenkomstig de opgelegde termijn.
Art.24. De aanvrager beschikt over voldoende financiële middelen om te functioneren overeenkomstig dit besluit en toont met name aan het risico van de aansprakelijkheid voor schade veroorzaakt door de dienstverlening op zich te kunnen nemen, door bijvoorbeeld een passende verzekering te sluiten.
Art.25. De aanvrager dient over een doeltreffend beëindigingsplan te beschikken. Dat plan omvat voorzieningen voor de ordelijke stopzetting van de dienstverlening of de voortzetting daarvan door een andere dienstverlener, voor de wijze waarop de bestemmelingen worden ingelicht, alsook voor de wijze waarop de persoonsgegevens worden vernietigd of overgedragen aan de erkennende overheid of aan een andere dienstverlener.
HOOFDSTUK III. - De erkenningsprocedure
Afdeling 1. - Indiening van de erkenningsaanvraag
Art.26. § 1. De aanvrager dient een erkenningsaanvraag voor een dienst voor gegevensontsluiting in volgens het als bijlage bij dit besluit opgenomen modelformulier. Hij voegt bij zijn aanvraag een geïnventariseerd referentiedossier.
§ 2. De indiening van de erkenningsaanvraag gebeurt ten minste op elektronische drager, eventueel bevestigd door indiening op fysieke drager aan de erkennende overheid.
§ 3. De erkennende overheid verstrekt aan de aanvrager onverwijld een melding van ontvangst van de erkenningsaanvraag en het referentiedossier.
Art.27. Het referentiedossier bevat minstens de volgende elementen:
1. een gedetailleerde en technische omschrijving en een extern auditrapport waaruit de conformiteit van de dienst voor gegevensontsluiting aan de voorwaarden omschreven in hoofdstuk II, afdeling 1, en aan de technische specificaties blijkt;
2. documenten die in voldoende mate waarborgen dat de dienst voor gegevensontsluiting kan voldoen aan de eisen van beschikbaarheid zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 1;
3. documenten die in voldoende mate waarborgen dat de ondersteunende diensten van de dienst voor gegevensontsluiting beantwoorden aan de voorwaarden omschreven in hoofdstuk II, afdeling 2, onderafdeling 2;
4. een gedetailleerde omschrijving van het uitrolbeheer zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 3;
5. een extern auditrapport waaruit blijkt dat de dienstverlener redelijke maatregelen heeft genomen om de continuïteit van de dienstverlening te waarborgen overeenkomstig de bepalingen omschreven in hoofdstuk II, afdeling 2, onderafdeling 4 en waarin de volgende elementen worden opgenomen:
1° een beschrijving van het wijzigingsbeheer;
2° een beschrijving van de interne controles op de dienstverlening alsmede de frequentie ervan;
3° een beoordeling van de effectiviteit van de interne controles die garanties geven over de bescherming van persoonsgegevens, de confidentialiteit, de integriteit en de beschikbaarheid van de dienstverlening;
4° een beschrijving van de rapportering aan de erkennende overheid van elke wijziging die invloed heeft op de dienstverlening;
6. een gedetailleerde omschrijving van de processen en rapporteringssystemen die toelaten te allen tijde alle informatie omtrent klachtenbehandeling, veiligheidsonderzoeken, problemen en incidenten met betrekking tot de dienstverlening ter beschikking te stellen van de erkennende overheid;
7. documenten die aantonen dat de dienstverlener voldoet aan de voorwaarden zoals omschreven in hoofdstuk II, afdeling 3.
Afdeling 2. - Behandeling van de erkenningsaanvraag door de erkennende overheid
Art.28. § 1. Uiterlijk drie maanden na ontvangst van de erkenningsaanvraag en het referentiedossier erkent de erkennende overheid de aanvrager, voor zover de erkenningsaanvraag en het referentiedossier alle in artikel 28 omschreven stukken bevat en daaruit blijkt dat aan de in hoofdstuk II van dit besluit vermelde voorwaarden is voldaan. Deze termijn kan worden verlengd met drie maanden, in welk geval de erkennende overheid de aanvrager daarvan onmiddellijk op de hoogte stelt.
§ 2. Wanneer de ingediende erkenningsaanvraag of het referentiedossier onvolledig is, stelt de erkennende overheid de aanvrager van de weigering tot erkenning per aangetekende zending in kennis, uiterlijk één maand na ontvangst van de erkenningsaanvraag en het referentiedossier.
§ 3. De aanvrager kan een nieuwe aanvraag indienen indien de redenen voor de weigering niet langer bestaan.
Art.29. Tijdens de erkenningsprocedure kunnen de aanvragers op eigen verzoek dan wel op verzoek van de erkennende overheid worden gehoord.
HOOFDSTUK IV. - Gevolgen van de erkenning
Afdeling 1. - Operationele gevolgen
Art.30. De dienstverlener zal tijdens de duur van de erkenning elektronische berichten in de eBox ontsluiten en visualiseren voor de bestemmeling die daarvoor kiest overeenkomstig artikel 6 § 1.
Art.31. § 1. De dienst voor gegevensontsluiting wordt vermeld als één van de toegangsopties tot de eBox op de website van de erkennende overheid, inclusief de naam van de dienstverlener.
§ 2. De dienst voor gegevensontsluiting mag eveneens worden vermeld als één van de toegangsopties tot de eBox op de website of op elke andere communicatie die bestemd is voor het publiek van elke overheidsinstantie die haar elektronische berichten ontsluit via de eBox, inclusief de naam van de dienstverlener.
§ 3. De erkende diensten voor elektronische gegevensontsluiting mogen gebruik maken van de authenticatiedienst zoals bedoeld in artikel 9 van de wet van 18 juli 2017 inzake elektronische identificatie met het oog op de authenticatie van de bestemmeling alvorens een transactie wordt uitgevoerd via de dienstverlening.
Art.32. De dienstverlener sluit met de erkennende overheid een samenwerkingsovereenkomst.
Art.33. De dienstverlener neemt te goeder trouw deel aan de inspraakmechanismen en overlegmomenten die de erkennende overheid instelt ten aanzien van alle erkende dienstverleners. De dienstverlener verstrekt daarbij alle informatie aan de erkennende overheid die voor deze laatste nodig is om de werking en kwaliteit van de diensten voor elektronische gegevensontsluiting te beoordelen. De erkennende overheid waakt over de eventuele confidentialiteit van deze gegevens ten aanzien van andere dienstverleners.
Art.34. De dienstverlener en de erkennende overheid komen een gezamenlijk plan overeen voor de opstart van de dienstverlening en de communicatie ervan.
Art.35. De dienstverlening geschiedt conform de bepalingen van dit besluit, de technische specificaties en de in de samenwerkingsovereenkomst opgegeven elementen en voorwaarden.
Art.36. De dienstverlener bevestigt dat hij nog steeds voldoet aan de erkenningsvoorwaarden:
1. binnen de 15 dagen na verzoek van de erkennende overheid;
2. binnen de 15 dagen na elke verjaardag van het erkenningsbesluit;
3. voor een wijziging van controle over de dienstverlener met een potentiële impact op de dienstverlening;
4. voor een wijziging van de dienstverlening;
5. binnen de 15 dagen na kennisname van een wijziging van de erkenningsvoorwaarden;
6. binnen de 15 dagen na kennisname van een wijziging van de wetgeving betreffende de bescherming van persoonsgegevens.
Art.37. § 1. Elke wijziging van de gegevens verstrekt op het ogenblik van de erkenningsaanvraag die een impact kan hebben op de dienstverlening moet binnen de maand worden meegedeeld aan de erkennende overheid. In deze mededeling omschrijft en motiveert de dienstverlener de wijziging.
§ 2. Indien uit de mededeling overeenkomstig § 1 blijkt dat de wijziging een significante impact heeft op de dienstverlening en betrekking heeft op elementen van de dienstverlening waarvoor overeenkomstig artikel 27 een extern auditrapport nodig was, kan de erkennende overheid een vernieuwd extern auditrapport vragen.
§ 3. Naar aanleiding van elke in paragraaf 1 vermelde wijziging, kan de erkennende overheid beslissen de erkenning ambtshalve te schorsen, in te trekken overeenkomstig artikel 41.
Afdeling 2. - Financiële gevolgen
Art.38. Dienstverleners ontvangen geen vergoeding voor het aanbieden van hun dienst voor gegevensontsluiting.
Afdeling 3. - Duur van de erkenning
Art.39. De erkenning geldt voor een periode van drie jaar. De verlenging ervan is onderworpen aan het indienen van een eenvoudige vraag tot verlenging voor telkens één jaar maximaal drie keer, in te dienen ten minste drie maanden voor het einde van de te verlengen erkenningstermijn. Na drie verlengingen dient de dienstverlener een nieuwe erkenningsaanvraag in te dienen overeenkomstig artikel 26 en 27 voor verdere aanbieding van dienstverlening.
Art.40. Wanneer de dienstverlener de dienstverlening wenst te beëindigen voor het einde van de periode van drie jaar, zal hij de erkennende overheid een gemotiveerd schrijven bezorgen uiterlijk 3 maanden voor de beëindiging van de dienstverlening.
HOOFDSTUK V. - Schorsing en intrekking van de erkenning
Art.41. § 1. De erkennende overheid kan de erkenning van de dienstverlening schorsen of intrekken overeenkomstig artikel 11 § 8 en 9 van de wet van 27 februari 2019 inzake elektronische uitwisseling van berichten via eBox bij niet-overeenstemming van de dienstverlening met de in dit besluit vermelde erkenningsvoorwaarden, de technische specificaties of de samenwerkingsovereenkomst.
§ 2. In alle gevallen van schorsing of intrekking van een erkenning, zal de dienstverlener worden gehoord door de erkennende overheid.
§ 3. De beslissing tot schorsing of intrekking wordt onverwijld per aangetekende zending aan de dienstverlener opgestuurd. De dienstverlener zal de dienstverlening onverwijld stopzetten en elke verwijzing naar de dienstverlening weghalen.
§ 4. Na de beslissing tot schorsing of intrekking verwijdert de erkennende overheid de dienst voor gegevensontsluiting als één van de toegangsopties voor de eBox.
§ 5. De erkennende overheid kan de schorsing vervroegd opheffen vanaf een door haar bepaalde datum, wanneer zij oordeelt dat de redenen voor de schorsing niet meer bestaan. De opheffing wordt aan de betrokken dienstverlener meegedeeld per aangetekende zending.
Wanneer de redenen voor schorsing nog bestaan op het einde van de periode van schorsing, wordt de erkenning ingetrokken.
HOOFDSTUK VI. - Slotbepalingen
Art.42. Dit besluit treedt in werking de dag waarop het in het Belgisch Staatsblad wordt bekendgemaakt.
Art.43. De minister bevoegd voor Digitale Agenda is belast met de uitvoering van dit besluit.
BIJLAGE.
Art. N. Modelformulier voor de aanvraag van een erkenning van dienstverleners voor elektronische uitwisseling van berichten via eBox
Gebruiksaanwijzing
Dit document bevat de opgave van de gegevens die moeten worden ingevuld en aan de erkennende overheid moeten worden overgemaakt met het oog op het bekomen van een erkenning van dienstverlener voor elektronische uitwisseling van berichten via eBox.
Alle beschreven punten en gevraagde informatie moeten zo volledig mogelijk worden beantwoord.
Het model van het registratieformulier kan worden gedownload op de website www.bosa.belgium.be
Het volledig ingevulde registratieformulier met inbegrip van alle noodzakelijke bijlagen moet worden opgestuurd:
per e-mail: servicedesk.dto@bosa.fgov.be
Optioneel
per post naar het volgende adres:
Federale Overheidsdienst Beleid en Ondersteuning, directoraat-generaal Digitale Transformatie
S. Bolivarlaan 30
1000 Brussel
I. IDENTIFICATIE VAN DE AANVRAGER
De identificatie van de aanvrager van de erkenning.
Volledige benaming onderneming: . . . . .
Ondernemingsnummer: . . . . .
Contactpersoon: . . . . .
Telefoon van de contactpersoon: . . . . .
E-mail: . . . . .
II. BEKNOPTE OMSCHRIJVING VAN DE DIENST VOOR DE ELEKRONISCHE UITWISSELING VAN BERICHTEN WAARVOOR ERKENNING WORDT GEVRAAGD
In dit onderdeel wordt een beknopte omschrijving gegeven van de dienst waarvoor de erkenning wordt verzocht met aanduiding van de essentiële eigenschappen ervan.
III. CRITERIA ARTIKEL 23
In zoverre de documenten niet door de erkennende overheid zelf kunnen worden opgevraagd, worden deze door de aanvrager aan de erkenningsaanvraag toegevoegd.
IV. REFERENTIEDOSSIER
Het referentiedossier bevat de volgende minimale elementen:
1. een gedetailleerde en technische omschrijving en een extern auditrapport waaruit de conformiteit van de dienst voor gegevensontsluiting aan de voorwaarden omschreven in hoofdstuk II, afdeling 1, en aan de technische specificaties blijkt;
2. documenten die aantonen dat de dienst voor gegevensontsluiting kan voldoen aan de eisen van beschikbaarheid zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 1;
3. documenten die aantonen dat de ondersteunende diensten van de dienst voor gegevensontsluiting beantwoorden aan de voorwaarden omschreven in hoofdstuk II, afdeling 2, onderafdeling 2;
4. een gedetailleerde omschrijving van het uitrolbeheer zoals omschreven in hoofdstuk II, afdeling 2, onderafdeling 3;
5. een extern auditrapport waaruit blijkt dat de dienstverlener de continuïteit van de dienstverlening kan waarborgen overeenkomstig de bepalingen omschreven in hoofdstuk II, afdeling 2, onderafdeling 4 en waarin de volgende elementen worden opgenomen:
1° een beschrijving van het wijzigingsbeheer;
2° een beschrijving van de interne controles op de dienstverlening alsmede de frequentie ervan;
3° een beoordeling van de effectiviteit van de interne controles die garanties geven over de bescherming van persoonsgegevens, de confidentialiteit, de integriteit en de beschikbaarheid van de dienstverlening;
4° een beschrijving van de rapportering aan de erkennende overheid van elke wijziging die invloed heeft op de dienstverlening;
6. een gedetailleerde omschrijving van de processen en rapporteringssystemen die toelaten te allen tijde alle informatie omtrent klachtenbehandeling, veiligheidsonderzoeken, problemen en incidenten met betrekking tot de dienstverlening ter beschikking te stellen van de erkennende overheid;
7. documenten die aantonen dat de dienstverlener voldoet aan de voorwaarden zoals omschreven in hoofdstuk II, afdeling 3.
Gedaan te, . . . . . op . . . . .
Naam: . . . . .
Hoedanigheid: . . . . .
Handtekening: