MAGDA Online (verder “MO”) is een applicatie die werd ontwikkeld en wordt beheerd door Digitaal Vlaanderen (verder “ADV”, “wij”, “ons” of “onze”). Dit is een intern verzelfstandigd agentschap van de Vlaamse overheid.

Met behulp van MO kan een instantie (verder de “afnemer”) gebruik maken van de MAGDA-webservices, zonder dat deze webservices in een applicatie van deze afnemer moeten worden geïntegreerd. Elke gegevensverwerking door MO doen wij als verwerker ten behoeve van de afnemer.

Wanneer gebruik gemaakt wordt van MO worden gegevens van de gebruiker (verder “u”) opgeslagen (verder “gelogd”). Wij nemen uw rechten bij gegevensverwerking ernstig en verwerken uw persoonsgegevens in overeenstemming met de bepalingen zoals die zijn voorgeschreven door de Algemene Verordening Gegevensbescherming (verder “AVG”), desgevallend aangevuld door federale en Vlaamse regelgeving over de bescherming bij de verwerking van persoonsgegevens. In dit beleid trachten wij uw vragen met betrekking tot onze gegevensverwerking in het kader van MO te beantwoorden.

Voor informatie en algemene vragen over de manier waarop wij uw persoonsgegevens verwerken, kan u steeds terecht bij onze functionaris voor gegevensbescherming, via privacy@digitaal.vlaanderen.be(opent in uw e-mail applicatie). Daar kan u ook steeds terecht met opmerkingen en suggesties en om de rechten die de regelgeving u toekent, uit te oefenen (zie verder).

Alle vragen gesteld aan een MAGDA-dienst via MO en alle antwoorden gegeven door een MAGDA-dienst via MO worden zowel bij het binnenkomen als het buitengaan op het MAGDA-platform gelogd. Hierbij worden volgende gegevens opgeslagen:

• Referentie: uniek referentienummer van de vraag / het antwoord
• TransactieID: uniek nummer dat verwijst naar een groep van referentienummers
• Dienst: dienst en versie waarmee de vraag gesteld wordt
• Wie: toepassing van de afnemer die de vraag stelt
• Gebruiker: INSZ nummer van de persoon bij de afnemer die de vraag stelt
• Waarom: hoedanigheid waarin de vraag gesteld wordt
• Wanneer: tijdstip waarop de vraag / het antwoord verwerkt wordt
• Over wie: sleutelwaarden (INSZ-nummer) van de persoon over wie de vraag en het antwoord handelen
• Uitzonderingen: fouten in het antwoord

Uw gegevens worden gelogd voor auditdoeleinden en voor operationele doeleinden.

• Auditdoeleinden: teneinde MO adequaat te beveiligen, wordt gecontroleerd wie toegang heeft verkregen tot de applicatie (via ACM/IDM), welke diensten werden aangesproken en wat de rol is van de persoon die de opvraging verricht heeft. Op die manier kan gecontroleerd worden of de opvraging rechtmatig gebeurd is en of er eventueel sprake is van een datalek.
• Operationele doeleinden: loggegevens kunnen ook gebruikt worden om bepaalde fouten op te sporen (problem logging) en om gebruiksstatistieken op te maken.

Om als gebruiker toegang te verkrijgen tot MO moet u het recht “MAGDA Online” toegewezen krijgen in de toepassing “Gebruikersbeheer(opent in nieuw venster)”. Dit kan door de lokaal beheerder van uw organisatie, aangesteld om de configuraties in het gebruikersbeheer uit te voeren.

Het is van belang dat u slechts toegang heeft tot de persoonsgegevens waarvoor uw instantie gemachtigd is of een protocol heeft gesloten, dit voor de dossiers in kader van de finaliteiten die in voornoemde machtiging of protocol werden opgesomd. Elk ander gebruik van de opgevraagde persoonsgegevens kan zowel strafrechtelijk als administratiefrechtelijk gesanctioneerd worden. De finaliteit(en) waarvoor u gegevens kan inzien, volgen automatisch uit het gebruikersrecht die u werd toebedeeld. Indien u verschillende gebruikersrechten heeft, is het daarom van groot belang dat u het correcte gebruikersrecht kiest bij het aanmelden in kader van uw dossier. De keuze van gebruikersrecht verwijst naar de finaliteit.

Enkel de functionaris voor gegevensbescherming en de eventuele functionarissen voor gegevensbescherming van de afnemer hebben rechtstreeks toegang tot de logbestanden.

De logbestanden kunnen worden opgevraagd of ingezien door de functionaris voor gegevensbescherming van de afnemer.

Digitaal Vlaanderen maakt gebruik van de AWS (Amazon Web Services) cloudinfrastructuur om MO te hosten. Ook de logbestanden worden derhalve op AWS opgeslagen. AWS is louter een (onder)verwerker van Digitaal Vlaanderen en mag de gegevens niet voor eigen doeleinden verder verwerken. AWS gebruikt hiervoor servers op Europees grondgebied. Uw gegevens zullen in principe dan ook niet buiten de EU worden verwerkt.

In het kader van auditlogging worden de gegevens gedurende tien jaar bijgehouden (dit gedurende zes maanden online en vervolgens gearchiveerd). De logs voor operationele doeleinden (opsporen van fouten e.d.m.) worden gedurende drie maanden bijgehouden.

Volgende maatregelen werden genomen ter controle en bescherming van de gegevens die in het kader van MO verwerkt worden:

• Enkel functioneel noodzakelijke toegangen;
• Encryptie ter afscherming van de data naar systeembeheerders toe;
• Encryptie ter afscherming van onderschepping van gegevens tijdens het transport over het netwerk;
• Volledige monitoring en opvolging;
• Privileged access management.

Er worden op regelmatige basis securitytesten uitgevoerd.

U hebt verschillende rechten bij de verwerking van persoonsgegevens, met name:

• het recht op inzage in uw persoonsgegevens;
• het recht op verbetering van uw persoonsgegevens; en
• het recht op beperking van verwerking.

Verzoeken tot uitoefening van uw rechten dient u te richten aan de functionaris voor gegevensbescherming van de afnemer.

Indien u het niet eens bent met de manier waarop wij uw gegevens verwerken, kan u verschillende acties ondernemen. U kan hierover onze functionaris voor gegevensbescherming (privacy@digitaal.vlaanderen.be(opent in uw e-mail applicatie)) aanspreken. Daarnaast kan u ook steeds een klacht indienen bij de bevoegde toezichthoudende autoriteit.