Decreet tot wijziging van het decreet van 4 april 2014 betreffende de organisatie en de exploitatie van sommige Vlaamse elektronische rijexamenplatformen, wat betreft het authenticatiebeleid bij de Vlaamse elektronische rijexamenplatformen
- Documenttype
- Decreet
- Publicatiedatum
- 24 mei 2026
- Status
- Geldig
- Trefwoorden
- Rijexamen Digitale platformen Authenticatie Gegevensbescherming Interoperabiliteit Betrouwbaarheid
Het Vlaams Parlement heeft het volgende decreet aangenomen en wij, Vlaamse Regering, bekrachtigen hetgeen volgt.
Hoofdstuk 1. Inleidende bepaling
Artikel 1. ( 01/03/2026 - Algemene bepaling )
Dit decreet regelt een aangelegenheid van de Vlaamse Gemeenschap en heeft tot doel het authenticatiebeleid bij de Vlaamse elektronische rijexamenplatformen te harmoniseren, met bijzondere aandacht voor de betrouwbaarheid, de interoperabiliteit en de gegevensbescherming van de gebruikte authenticatiestromen.
Hoofdstuk 2. Wijziging van het decreet van 4 april 2014 betreffende de organisatie en de exploitatie van sommige Vlaamse elektronische rijexamenplatformen
Artikel 2. ( 01/03/2026 - Wijzigingsbepalingen )
In artikel 2 van het decreet van 4 april 2014 betreffende de organisatie en de exploitatie van sommige Vlaamse elektronische rijexamenplatformen, het laatst gewijzigd bij het decreet van 28 juni 2024 houdende diverse bepalingen inzake mobiliteit en verkeersveiligheid, worden de volgende wijzigingen aangebracht:
- In paragraaf 1 worden, in alfabetische volgorde, de volgende punten ingevoegd: "— authenticatiemiddel: een door of namens de Vlaamse overheid erkend middel waarmee een gebruiker zijn identiteit aantoont in een elektronische omgeving, met inbegrip van, maar niet beperkt tot, de elektronische identiteitskaart (eID), erkende middelen onder de eIDAS-verordening en door de Vlaamse Regering erkende mobiele authenticatiemiddelen; — betrouwbaarheidsniveau: het niveau van zekerheid over de identiteit van een gebruiker, beoordeeld overeenkomstig de niveaus laag, substantieel en hoog zoals vastgesteld krachtens de verordening (EU) nr. 910/2014 (eIDAS) en de uitvoeringsmaatregelen van de Vlaamse Regering; — kritieke handeling: een handeling in het rijexamenplatform die, indien zij onrechtmatig wordt uitgevoerd, een onmiddellijk en niet-hersteld effect heeft op de rechtspositie van een kandidaat of op de integriteit van examenonderwerpen, waaronder minstens het definitief valideren van een examenresultaat, het deblokkeren of opnieuw activeren van een examenaccount en het wijzigen van examenitems; — Vlaams Toegangs- en Gebruikersbeheerplatform (VTGP): het door de Vlaamse overheid beheerde centrale platform voor elektronische toegang en gebruikersbeheer waarmee erkende authenticatiemiddelen en machtigingsstromen voor Vlaamse toepassingen worden ontsloten.".
- In hetzelfde decreet wordt in hoofdstuk 4, na artikel 18, een artikel 18/1 ingevoegd, dat luidt als volgt: "Art. 18/1. Authenticatiebeleid voor elektronische rijexamenplatformen §1. Dit artikel is van toepassing op alle elektronische rijexamenplatformen die door of in opdracht van de Vlaamse overheid worden georganiseerd of geëxploiteerd, met inbegrip van beheers- en toezichtsmodules. §2. Kandidaten die zich aanmelden op een rijexamenplatform gebruiken een authenticatiemiddel met betrouwbaarheidsniveau hoog. De aanmelding is enkel geldig indien zij tot stand komt via het VTGP of via een door de Vlaamse Regering als gelijkwaardig erkende federale of Europese dienst. De Vlaamse Regering kan bepalen welke authenticatiemiddelen op niveau hoog aanvaard worden. §3. Examinatoren, toezichthouders en andere personeelsleden van examencentra gebruiken voor toegang tot het platform minstens een authenticatiemiddel met betrouwbaarheidsniveau substantieel en passen sterke authenticatie toe. Voor het uitvoeren van kritieke handelingen is een betrouwbaarheidsniveau hoog vereist en wordt een aanvullende stap voor herauthenticatie afgedwongen. §4. Platformbeheerders en leveranciers gebruiken voor beheerders- en integratietoegang een authenticatiemiddel met betrouwbaarheidsniveau hoog, met traceerbare toewijzing aan een geïdentificeerde natuurlijke persoon. Functionele of gedeelde accounts zijn verboden voor kritieke handelingen. §5. De sessiebeveiliging voorziet ten minste in: 1° automatische afmelding na maximaal 15 minuten inactiviteit van de gebruiker; 2° verplichte herauthenticatie vóór de uitvoering van kritieke handelingen en uiterlijk elke 30 minuten tijdens continue sessies; 3° bindende tijdstempel- en contextbinding van de authenticatie aan de uitgevoerde handelingen. §6. De rijexamenplatformen ondersteunen de grensoverschrijdende erkenning van elektronische identificatiemiddelen overeenkomstig eIDAS, voor zover de middelen ten minste het betrouwbaarheidsniveau substantieel of hoog bieden en door de Vlaamse Regering als compatibel zijn aangeduid. §7. Bij tijdelijke onbeschikbaarheid van het VTGP of van erkende authenticatiediensten voorziet de platformbeheerder in een gecontroleerde noodprocedure op de locaties van de examencentra, waarbij de identiteit van de kandidaat fysiek wordt geverifieerd aan de hand van de eID en de handeling wordt gelogd. De digitale koppeling van de noodprocedure met de elektronische sessie gebeurt zodra de diensten opnieuw beschikbaar zijn. De Vlaamse Regering bepaalt de nadere regels voor de noodprocedure. §8. De Vlaamse Regering stelt de technische en organisatorische normen vast inzake sterke authenticatie, sessiebeheer, interoperabiliteit en toegangsautorisatie, met inbegrip van audit- en conformiteitscriteria.".
- In hetzelfde decreet wordt in artikel 21, paragraaf 3 vervangen door wat volgt: "§3. De platformbeheerder registreert en bewaart voor elke aanmelding en herauthenticatie minimaal de volgende gegevens: het gebruikte authenticatiemiddel en bijhorend betrouwbaarheidsniveau, een pseudonieme gebruikersidentifier, de datum en het tijdstip, het IP-adres of netwerkidentificatiemiddel, de clientapplicatie, de context van de uitgevoerde handelingen en de uitkomst. De bewaartermijn voor deze gegevens bedraagt vijf jaar te rekenen vanaf de laatste relevante handeling, behoudens langere termijnen indien dat strikt noodzakelijk is voor de afhandeling van een betwisting, een tucht- of strafprocedure of zolang een gerechtelijke verplichting geldt. De gegevens worden gepseudonimiseerd en zijn slechts toegankelijk voor daartoe gemachtigde personen. Identificatienummers van natuurlijke personen worden niet in leesbare vorm opgeslagen in de authenticatielogs.".
- In hetzelfde decreet wordt in artikel 27 een paragraaf 4 ingevoegd, die luidt als volgt: "§4. De platformbeheerder voert voorafgaand aan belangrijke wijzigingen in het authenticatiebeleid of de authenticatiearchitectuur een gegevensbeschermingseffectbeoordeling uit en houdt een register bij van verwerkingsactiviteiten met betrekking tot authenticatie en toegangsbeheer. Het resultaat van de beoordeling wordt, op verzoek, ter beschikking gesteld van de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens.".
- In hetzelfde decreet wordt in hoofdstuk 6, na artikel 30, een artikel 30/1 ingevoegd, dat luidt als volgt: "Art. 30/1. Uitfasering van verouderde authenticatiemiddelen §1. Het gebruik van eenmalige wachtwoorden via sms (SMS-OTP) als enige factor voor authenticatie van kandidaten is verboden. §2. In afwijking van §1 kan SMS-OTP als extra factor worden gehanteerd in een meerfactorcombinatie die leidt tot betrouwbaarheidsniveau hoog, tot uiterlijk 31 december 2025. §3. De Vlaamse Regering kan nadere regels vaststellen over uitzonderingen voor personen met een erkende beperking, mits het eindniveau van betrouwbaarheid hoog blijft geborgd.".
Hoofdstuk 3. Slotbepalingen
Artikel 3. ( 01/03/2026 - Inwerkingtreding )
Dit decreet treedt in werking op 1 maart 2026, met uitzondering van artikel 2, 1° en artikel 2, 2°, §8, die in werking treden op 1 juli 2025 om de technische en organisatorische voorbereiding mogelijk te maken. De Vlaamse Regering kan voor de overige bepalingen een vroegere datum van inwerkingtreding bepalen.