Decreet tot wijziging van het decreet van 10 juli 2008 houdende een kader voor het Vlaamse interoperabiliteits- en gegevensbeveiligingsbeleid en het decreet van 28 oktober 2022 tot oprichting van een Vlaams Instituut voor Digitale Infrastructuur, wat betreft de gedeeltelijke omzetting van de Europese richtlijnen met betrekking tot organen voor digitale veiligheid en datatransparantie
- Documenttype
- Decreet
- Publicatiedatum
- 2 juni 2026
- Status
- Geldig
- Trefwoorden
- digitale veiligheid datatransparantie interoperabiliteit gegevensbeveiliging toezicht Europese richtlijnen
Het Vlaams Parlement heeft het volgende decreet aangenomen en wij, Vlaams Regering, bekrachtigen het:
Dit decreet beoogt de gedeeltelijke omzetting van Richtlijn (EU) 2024/1123 betreffende organen voor digitale veiligheid in de publieke sector en Richtlijn (EU) 2025/0456 betreffende datatransparantie bij overheidsinstanties, en legt hiertoe bepalingen vast inzake coördinatie, toezicht en transparantie binnen het Vlaamse Gewest.
INHOUDSTAFEL
Hoofdstuk 1. Inleidende bepaling
Hoofdstuk 2. Bepalingen betreffende het decreet van 10 juli 2008 houdende een kader voor het Vlaamse interoperabiliteits- en gegevensbeveiligingsbeleid
Hoofdstuk 3. Bepalingen betreffende het decreet van 28 oktober 2022 tot oprichting van een Vlaams Instituut voor Digitale Infrastructuur
Hoofdstuk 4. Inwerkingtreding
Hoofdstuk 1. Inleidende bepaling
Artikel 1. ( 01/10/2025 - Doel en definities )
Dit decreet regelt, binnen de bevoegdheid van het Vlaamse Gewest, de organisatie, coördinatie en transparantie van digitale veiligheid en gegevensverwerking door Vlaamse overheidsinstanties, met het oog op de gedeeltelijke omzetting van Richtlijn (EU) 2024/1123 en Richtlijn (EU) 2025/0456.
Voor de toepassing van dit decreet wordt verstaan onder:
- orgaan voor digitale veiligheid: het interbestuurlijk orgaan dat bij of krachtens dit decreet wordt ingesteld voor de coördinatie van de digitale veiligheid binnen de Vlaamse overheid en de publiekrechtelijke rechtspersonen die onder haar toezicht staan;
- platform voor datatransparantie: de centrale, digitale voorziening die metagegevens, verwerkingsdoeleinden en verantwoordingsinformatie over gegevensverwerking door Vlaamse overheidsinstanties openbaar ontsluit;
- openbaar bestuur: de entiteiten, diensten en rechtspersonen die ressorteren onder de Vlaamse overheid, met inbegrip van intern verzelfstandigde agentschappen, publiekrechtelijke rechtspersonen en, voor zover zij met een opdracht van openbaar belang zijn belast, de lokale besturen voor de onderdelen waarvoor de Vlaamse overheid bevoegd is;
- incident digitale veiligheid: een gebeurtenis die de beschikbaarheid, integriteit of vertrouwelijkheid van netwerken, informatiesystemen of gegevens aantast of dreigt aan te tasten;
- gevoelige gegevens: gegevenscategorieën waarvoor bij of krachtens decreet of Unie-regelgeving een verhoogd beschermingsniveau geldt, waaronder gegevens die de openbare veiligheid of de vitale dienstverlening kunnen beïnvloeden;
- Vlaamse Regering: de Regering van de Vlaamse Gemeenschap en het Vlaamse Gewest, in de uitoefening van haar decretaal opgedragen bevoegdheden;
- Vlaams Instituut voor Digitale Infrastructuur (VIDI): de publiekrechtelijke instelling opgericht bij decreet van 28 oktober 2022.
Hoofdstuk 2. Bepalingen betreffende het decreet van 10 juli 2008 houdende een kader voor het Vlaamse interoperabiliteits- en gegevensbeveiligingsbeleid
Artikel 2. ( 01/01/2026 - Oprichting en samenstelling van het Vlaams Orgaan voor Digitale Veiligheid )
Er wordt een Vlaams Orgaan voor Digitale Veiligheid, hierna ODV genoemd, opgericht als interbestuurlijk coördinatie- en adviesorgaan voor digitale veiligheid binnen het openbaar bestuur.
Het ODV bestaat uit negen leden met stemrecht:
- vijf leden aangewezen wegens hun expertise in informatiebeveiliging en risicobeheer, elk voorgedragen door een verschillend beleidsdomein van de Vlaamse overheid;
- twee leden voorgedragen door het VIDI;
- één lid voorgedragen door het agentschap dat bevoegd is voor binnenlands bestuur;
- één onafhankelijk lid met aantoonbare ervaring in incidentrespons en beveiligingsstandaarden.
De Vlaamse Regering benoemt de leden voor een hernieuwbare termijn van vijf jaar en wijst de voorzitter aan uit de onafhankelijke of VIDI-leden. Het secretariaat en de logistieke ondersteuning van het ODV worden verzorgd door het VIDI.
Artikel 3. ( 01/01/2026 - Opdrachten en bevoegdheden van het ODV )
Het ODV heeft, onverminderd de bevoegdheden die bij of krachtens andere regelgeving zijn toevertrouwd, de volgende opdrachten:
- het uitwerken, actualiseren en bekendmaken van de Vlaamse Baseline Digitale Veiligheid 2026 (VBDV-26), inclusief minimumnormen voor identificatie en authenticatie, netwerksegmentatie, logging en monitoring, en continuïteitsbeheer;
- het coördineren van de respons bij incidenten digitale veiligheid met vermoedelijk grensoverschrijdende of domeinoverschrijdende impact binnen het openbaar bestuur, met inbegrip van de activering van een gedeelde operationele cel;
- het accrediteren van sectorale cyberbeveiligingsteams binnen het openbaar bestuur volgens door het ODV vastgestelde criteria, en het publiceren van een accreditatieregister;
- het uitbrengen van bindende adviezen over beveiligingsarchitectuur en risicobeheersplannen bij ICT-projecten met een raming boven een door de Vlaamse Regering te bepalen drempel;
- het opstellen en beheren van een uniforme taxonomie voor classificatie van informatie en systemen binnen het openbaar bestuur;
- het jaarlijks rapporteren aan de Vlaamse Regering over de maturiteit van digitale veiligheid, belangrijke incidenten en de naleving van de VBDV-26.
Artikel 4. ( 01/01/2026 - Verplichtingen voor openbare besturen inzake digitale veiligheid )
Elk openbaar bestuur:
- wijst een functionaris voor digitale veiligheid (CISO) aan, die rechtstreeks rapporteert aan het leidinggevend ambtenaar of het bevoegde orgaan;
- houdt een actueel register bij van bedrijfskritische processen, informatiesystemen en gegevensstromen, en koppelt dit register aan de door het ODV beheerde uniforme taxonomie;
- voert jaarlijks een geïntegreerde risicoanalyse uit die minstens de dreigingen inzake beschikbaarheid, integriteit en vertrouwelijkheid afdekt;
- rapporteert incidenten digitale veiligheid zonder verwijl en uiterlijk binnen vier uur na vaststelling van een ernstig incident, en uiterlijk binnen vierentwintig uur voor overige incidenten, aan het ODV via het daartoe voorziene meldloket;
- implementeert de in de VBDV-26 opgenomen minimumnormen binnen twaalf maanden na hun bekendmaking of binnen een door de Vlaamse Regering vast te stellen afwijkende termijn gemotiveerd door technische haalbaarheid;
- onderwerpt zich om de twee jaar aan een maturiteitsmeting door of onder toezicht van het ODV volgens een door het ODV vastgesteld referentiemodel;
- bewaart beveiligingslogboeken gedurende minstens vierhonderd dagen en waarborgt de integriteit en vertrouwelijkheid ervan.
Artikel 5. ( 01/01/2026 - Platform voor datatransparantie )
Er wordt een Vlaams platform voor datatransparantie ingericht dat:
- een publiek toegankelijke catalogus van verwerkingen door openbare besturen ontsluit, met vermelding van het verwerkingsdoel, de rechtsgrond, de categorieën van gegevens, de bewaartermijnen en de verwerkers;
- een geautomatiseerd register van datagebruik aanbiedt waarin, voor zover verenigbaar met de bescherming van de openbare veiligheid en de rechten van derden, per gegevensbron het aantal raadplegingen en de categorieën van raadplegende entiteiten worden gepubliceerd;
- standaardisatie oplegt voor metadata volgens de Vlaamse Datatransparantiestandaard 2025 (VDTS-25), opgesteld door het ODV in samenwerking met het VIDI;
- interfaces aanbiedt voor het geautomatiseerd aanleveren en actualiseren van metagegevens door openbare besturen.
Hoofdstuk 3. Bepalingen betreffende het decreet van 28 oktober 2022 tot oprichting van een Vlaams Instituut voor Digitale Infrastructuur
Artikel 6. ( 01/01/2026 - Uitvoeringstaken van het VIDI )
Het VIDI staat in voor:
- het secretariaat, de technische ondersteuning en de operationele opvolging van de besluiten van het ODV;
- het technisch ontwerp, het beheer en de beveiliging van het platform voor datatransparantie, met inbegrip van de beschikbaarheidsgarantie conform een door de Vlaamse Regering vast te stellen norm;
- de ontwikkeling en het beheer van gemeenschappelijke voorzieningen voor detectie en respons, waaronder een gedeelde SIEM-dienst voor openbare besturen;
- de uitwerking van opleidings- en bewustmakingsprogramma’s inzake digitale veiligheid voor het personeel van openbare besturen.
Artikel 7. ( 01/03/2026 - Toezicht, audit en bindende instructies )
Het VIDI oefent toezicht uit op de naleving van de in dit decreet en de VBDV-26 vastgestelde verplichtingen en beschikt hiertoe over de volgende bevoegdheden:
- het vorderen van documenten, gegevens en toelichtingen die noodzakelijk zijn voor het toezicht, met eerbiediging van wettelijke geheimhoudingsverplichtingen;
- het uitvoeren van audits ter plaatse of op afstand, na kennisgeving aan het betrokken openbaar bestuur met vermelding van doel en draagwijdte;
- het uitvaardigen van een bindende instructie ter voorkoming, beperking of remediëring van een ernstig risico voor de digitale veiligheid, met opgave van termijn en vereiste maatregelen;
- het opmaken van een toezichtverslag met vaststellingen, aanbevelingen en, in voorkomend geval, het voorstel aan de Vlaamse Regering tot oplegging van corrigerende maatregelen binnen haar bevoegdheid.
Het VIDI werkt voor het toezicht samen met de interne auditdiensten van de betrokken openbare besturen en met de door het ODV geaccrediteerde sectorale cyberbeveiligingsteams.
Artikel 8. ( 01/03/2026 - Gegevensdeling, vertrouwelijkheid en beveiliging )
Het ODV en het VIDI wisselen onderling en met de betrokken openbare besturen de gegevens uit die noodzakelijk zijn voor de uitvoering van hun opdrachten. Daarbij gelden de volgende waarborgen:
- de uitwisseling is beperkt tot wat noodzakelijk is en gebeurt met toepassing van passende technische en organisatorische maatregelen, waaronder pseudonimisering waar mogelijk;
- informatie die de veiligheid van systemen of de publieke veiligheid in het gedrang kan brengen, wordt geclassificeerd volgens de door het ODV vastgestelde taxonomie en niet publiek gemaakt;
- de verwerking van persoonsgegevens gebeurt conform de toepasselijke Unie- en federale regelgeving inzake gegevensbescherming en de sectorale regels die van toepassing zijn op de betrokken gegevens;
- gegevens die krachtens wet of decreet aan een wettelijke geheimhoudingsplicht onderworpen zijn, worden enkel gedeeld binnen de grenzen van die verplichting en met personen die daartoe gemachtigd zijn;
- logbestanden van incidentmeldingen en toezichtshandelingen worden gedurende een door de Vlaamse Regering te bepalen termijn bewaard en daarna onomkeerbaar gewist of geanonimiseerd.
Hoofdstuk 4. Inwerkingtreding
Artikel 9. ( 01/10/2025 - Inwerkingtreding en overgangsbepalingen )
Dit decreet treedt in werking als volgt:
- Artikel 1 treedt in werking op 1 oktober 2025.
- De artikelen 2, 3, 4 en 5 treden in werking op 1 januari 2026.
- De artikelen 6, 7 en 8 treden in werking op 1 maart 2026.
Overgangsbepalingen:
- De ODV stelt de eerste versie van de VBDV-26 vast uiterlijk op 30 juni 2026. Tot aan de vaststelling en bekendmaking daarvan blijven bestaande interne veiligheidsnormen van toepassing, voor zover zij niet strijdig zijn met dit decreet.
- Openbare besturen die op 1 januari 2026 niet beschikken over een aangewezen CISO, wijzen deze functie uiterlijk op 1 juli 2026 toe en melden de aanstelling aan het ODV.
- De VDI-beheerde gedeelde voorzieningen voor detectie en respons worden gefaseerd uitgerold overeenkomstig een implementatieplan dat door het VIDI wordt vastgesteld en door het ODV wordt gevalideerd.
Artikel 10. ( 01/10/2025 - Uitvoeringsbevoegdheid en evaluatie )
De Vlaamse Regering neemt de nodige uitvoeringsmaatregelen om dit decreet uit te voeren, met inbegrip van de nadere regels betreffende:
- de drempelwaarden en procedures waarvoor het bindend advies van het ODV vereist is;
- de beschikbaarheidsnormen voor het platform voor datatransparantie en de beveiligingsvereisten voor de gedeelde voorzieningen;
- de termijnen en formats voor incidentmelding, audit en rapportering;
- de governance en financiering van de door het VIDI aangeboden gemeenschappelijke diensten.
De Vlaamse Regering kan de in dit decreet bepaalde termijnen, met uitzondering van de inwerkingtredingsdata, eenmalig met maximaal zes maanden verlengen om redenen van technische of operationele haalbaarheid.
Uiterlijk twee jaar na de volledige inwerkingtreding van dit decreet bezorgt de Vlaamse Regering aan het Vlaams Parlement een evaluatieverslag over de uitvoering en de bijdrage aan de gedeeltelijke omzetting van Richtlijn (EU) 2024/1123 en Richtlijn (EU) 2025/0456.