Decreet tot wijziging van het Interoperabiliteitsdecreet van 23 november 2023, wat betreft de meldlijn voor cyberincidenten, het DiKAR, de aansluitvoorwaarden, de werkingsvergoedingen en de implementatiesubsidies voor gegevensdelende samenwerkingsverbanden

Dit decreet versterkt de regels voor uitwisseling van gegevens, met een meldlijn voor digitale veiligheidsincidenten, aansluitvoorwaarden, vergoedingen en subsidies voor samenwerkingen die gegevens delen.
Samenvatting in gewone taal
Dit decreet versterkt de veilige uitwisseling van gegevens binnen de Vlaamse overheid en met externe partners. Het is nuttig voor administraties, lokale besturen, zorg- en onderwijsinstellingen en andere organisaties die regelmatig gegevens delen. Burgers profiteren van betrouwbaardere en snellere dienstverlening. Concreet komt er een centrale meldlijn voor cyberincidenten die impact hebben op gemeenschappelijke digitale diensten of op samenwerkingen die gegevens delen. Het decreet legt vast wat een cyberincident is en wanneer iets als “ernstig” geldt; de drempels daarvoor worden nog door de Vlaamse Regering bepaald. Er komen duidelijke voorwaarden om aan te sluiten op basisdiensten zoals identificatie, toestemmingbeheer, doorsturen en logging. Het Digitaal Koppelingen- en Autorisatieregister (DiKAR) wordt verder uitgewerkt als het centrale register dat bijhoudt welke digitale koppelingen bestaan en wie waar toegang toe heeft. Er wordt ook een kader voorzien voor werkingsvergoedingen en voor subsidies om samenwerkingen die gegevens delen praktisch te helpen opstarten. De eerste wijzigingen gelden vanaf 15 februari 2026; de nieuwe definities vanaf 1 april 2026.
Documenttype
Decreet
Publicatiedatum
15 juni 2026
Status
Geldig
Trefwoorden
interoperabiliteit gegevensuitwisseling cyberbeveiliging aansluitvoorwaarden vergoedingen subsidies

INHOUDSTAFEL

Hoofdstuk 1. Inleidende bepaling
Hoofdstuk 2. Wijzigingsbepalingen

Hoofdstuk 1. Inleidende bepaling

Artikel 1. ( 15/02/2026 - Inleidende bepaling )

Dit decreet wijzigt het Interoperabiliteitsdecreet van 23 november 2023, tot versterking van de digitale gegevensuitwisseling binnen de Vlaamse overheid en met derden, met betrekking tot de meldlijn voor cyberincidenten, het Digitaal Koppelingen- en Autorisatieregister (DiKAR), de aansluitvoorwaarden, de werkingsvergoedingen en de implementatiesubsidies voor gegevensdelende samenwerkingsverbanden.

Hoofdstuk 2. Wijzigingsbepalingen

Artikel 2. ( 01/04/2026 - Begripsomschrijvingen )

In artikel 2 van het Interoperabiliteitsdecreet van 23 november 2023, het laatst gewijzigd bij het decreet van 18 juli 2025, wordt paragraaf 1 vervangen door wat volgt:
"§1. Voor de toepassing van dit decreet en zijn uitvoeringsbesluiten wordt verstaan onder:

  1. gegevensuitwisseling: elke gestructureerde overdracht van gegevens tussen verwerkingsverantwoordelijken of tussen een verwerkingsverantwoordelijke en een verwerker, via digitale middelen;
  2. basisdienst voor interoperabiliteit: een door of namens de Vlaamse overheid beheerde generieke voorziening voor identificatie, autorisatie, routering, logging, vertaalslagen of andere noodzakelijke functies voor veilige en betrouwbare gegevensuitwisseling;
  3. aangesloten entiteit: een natuurlijke of rechtspersoon die, overeenkomstig de aansluitvoorwaarden, toegang heeft tot een of meer basisdiensten voor interoperabiliteit;
  4. gegevensdelend samenwerkingsverband: een door overeenkomst georganiseerd samenwerkingsverband tussen ten minste twee verwerkingsverantwoordelijken met het oog op structurele, wederkerige gegevensuitwisseling voor een afgebakende publieke taak of dienstverlening;
  5. meldlijn voor cyberincidenten: de door de Vlaamse Regering aangewezen centrale meldfaciliteit voor spontane en verplichte meldingen van cyberincidenten met impact op basisdiensten voor interoperabiliteit of op gegevensdelende samenwerkingsverbanden;
  6. cyberincident: een gebeurtenis met een daadwerkelijke of potentiële negatieve impact op de beschikbaarheid, integriteit, vertrouwelijkheid of authenticiteit van informatiesystemen, diensten of gegevens die betrokken zijn bij gegevensuitwisseling;
  7. ernstig cyberincident: een cyberincident dat leidt of waarschijnlijk zal leiden tot significante onderbreking van diensten, omvangrijk dataverlies, grootschalige schending van persoonsgegevens of materiële schade met overschrijding van door de Vlaamse Regering vast te stellen drempels;
  8. DiKAR: het Digitaal Koppelingen- en Autorisatieregister, zijnde het door de Vlaamse overheid beheerde register dat de inventaris en configuratie bevat van API-eindpunten, koppelvlakken, autorisaties, rollen, scopes, machtigingen en verwante metadata die nodig zijn voor veilige en controleerbare gegevensuitwisseling;
  9. aansluitvoorwaarden: de door of krachtens dit decreet vastgestelde technische, organisatorische, juridische en financiële voorwaarden waaraan een entiteit moet voldoen om toegang te verkrijgen tot of te behouden tot basisdiensten voor interoperabiliteit;
  10. werkingsvergoeding: de periodieke of transactiegebonden bijdrage die een aangesloten entiteit verschuldigd is voor het gebruik van een basisdienst voor interoperabiliteit of van een door de Vlaamse overheid gecoördineerde gemeenschappelijke voorziening voor gegevensuitwisseling;
  11. implementatiesubsidie: een financiële ondersteuning aan een gegevensdelend samenwerkingsverband voor investeringen en activiteiten die rechtstreeks bijdragen tot de implementatie van interoperabiliteitsstandaarden, -voorzieningen of -processen zoals bepaald in of krachtens dit decreet;
  12. beheerder: de door de Vlaamse Regering aangewezen entiteit, belast met het operationeel en technisch beheer van een basisdienst voor interoperabiliteit, de meldlijn voor cyberincidenten of DiKAR;
  13. autorisatie: de toekenning van welbepaalde, toetsbare toegangsrechten tot gegevens of diensten op basis van rollen, scopes of attributen;
  14. tariefkaart: het door de Vlaamse Regering vastgestelde overzicht van vergoedingen, tarieven en rekenregels voor werkingsvergoedingen, inclusief indexeringsmechanismen, uitzonderingen en plafonds;
  15. projectkosten: de rechtstreeks toerekenbare en door de Vlaamse Regering in uitvoeringsbesluiten nader te bepalen personeels-, werkings- en investeringsuitgaven die in aanmerking komen voor een implementatiesubsidie;
  16. standaard: een door de Vlaamse Regering vastgestelde of erkende specificatie voor gegevensmodellen, berichtenstromen, API’s, beveiligingsmaatregelen of kwaliteitsnormen voor gegevensuitwisseling;
  17. autoriteit: de door de Vlaamse Regering aan te wijzen toezichthoudende entiteit voor naleving van dit decreet en zijn uitvoeringsbesluiten.
"

Artikel 3. ( 01/05/2026 - Meldlijn voor cyberincidenten )

In hetzelfde decreet wordt na hoofdstuk 6 een hoofdstuk 6/1 ingevoegd, dat luidt als volgt:
"Hoofdstuk 6/1. Meldlijn voor cyberincidenten
Art. 41/1. De Vlaamse Regering wijst een beheerder aan voor de meldlijn voor cyberincidenten. De meldlijn is permanent bereikbaar en verwerkt meldingen overeenkomstig de door de Vlaamse Regering vast te stellen procedure.
Art. 41/2. Aangesloten entiteiten en beheerders van gegevensdelende samenwerkingsverbanden melden een ernstig cyberincident onverwijld en uiterlijk binnen vier uur na vaststelling via de meldlijn voor cyberincidenten. Andere cyberincidenten met potentiële impact op basisdiensten voor interoperabiliteit worden uiterlijk binnen vierentwintig uur na vaststelling gemeld.
Art. 41/3. Een melding bevat ten minste: een beschrijving van het incident, het vermoedelijke tijdstip en de duur, de getroffen systemen en diensten, de vermoedelijke oorzaak, de reeds genomen mitigerende maatregelen en, indien van toepassing, de betrokken categorieën van persoonsgegevens. De Vlaamse Regering kan nadere regels vaststellen over de inhoud, het formaat en de beveiliging van meldingen.
Art. 41/4. De meldlijn voor cyberincidenten coördineert, in voorkomend geval samen met de bevoegde Vlaamse en federale instanties, de opvolging van gemelde incidenten en verstrekt richtlijnen aan de melder. De verwerkingen in het kader van de meldlijn gebeuren met inachtneming van de toepasselijke regelgeving inzake gegevensbescherming en beroepsgeheim.
Art. 41/5. De beheerder rapporteert ten minste jaarlijks geaggregeerde en geanonimiseerde statistieken over de meldingen aan de Vlaamse Regering. De Vlaamse Regering kan de rapporteringsmodaliteiten nader bepalen."

Artikel 4.

Dit artikel is nog niet in werking. Hieronder vindt u de eerste "toekomstige versie".

( Datum afhankelijk van externe gebeurtenis - Inwerkingtreding op de datum van bekendmaking in het Belgisch Staatsblad van de mededeling van de Vlaamse Regering dat DiKAR operationeel is )

In hetzelfde decreet wordt na hoofdstuk 6/1 een hoofdstuk 6/2 ingevoegd, dat luidt als volgt:
"Hoofdstuk 6/2. Digitaal Koppelingen- en Autorisatieregister (DiKAR)
Art. 41/6. Het DiKAR wordt opgericht als centraal register voor het beheer van koppelingen, API-eindpunten, autorisaties, rollen, scopes en verwante metadata die noodzakelijk zijn voor veilige en controleerbare gegevensuitwisseling binnen de Vlaamse overheid en met derden.
Art. 41/7. De Vlaamse Regering wijst een beheerder aan voor DiKAR. De beheerder waarborgt de beschikbaarheid, integriteit, vertrouwelijkheid en traceerbaarheid van DiKAR en verzekert de interoperabiliteit met de basisdiensten voor interoperabiliteit.
Art. 41/8. Aangesloten entiteiten en beheerders van gegevensdelende samenwerkingsverbanden registreren en actualiseren in DiKAR, volgens de door de Vlaamse Regering vast te stellen modaliteiten: de gebruikte API-eindpunten en koppelvlakken, de toegekende autorisaties en machtigingen, de verantwoordelijken voor technische en functionele ondersteuning en de toepasselijke standaarden. De Vlaamse Regering kan categorieën van registraties vrijstellen wanneer registratie geen toegevoegde waarde heeft voor de beveiliging of transparantie van de gegevensuitwisseling.
Art. 41/9. Autorisaties die niet in DiKAR geregistreerd of niet actueel zijn, kunnen door de beheerder van DiKAR worden geschorst tot regularisatie. De beheerder stelt de betrokken entiteiten onverwijld in kennis van de schorsing en de te nemen maatregelen.
Art. 41/10. De Vlaamse Regering bepaalt de toegangsregels tot DiKAR, inclusief differentiatie per rol en doel, en stelt de bewaartermijnen vast voor loggings en metadata, met inachtneming van de toepasselijke regelgeving inzake gegevensbescherming."

Artikel 5. ( 01/04/2026 - Aansluitvoorwaarden )

In hetzelfde decreet wordt artikel 18 vervangen door wat volgt:
"Art. 18. §1. De Vlaamse Regering stelt aansluitvoorwaarden vast voor de toegang tot en het gebruik van basisdiensten voor interoperabiliteit. De aansluitvoorwaarden omvatten minimaal: naleving van de door de Vlaamse Regering vastgestelde standaarden, implementatie van beveiligingsmaatregelen in overeenstemming met erkende normen, het sluiten van de vereiste verwerkers- of samenwerkingsovereenkomsten, en de aanmelding in DiKAR van de relevante koppelingen en autorisaties.
§2. De aansluitvoorwaarden kunnen onderscheid maken naargelang het type entiteit, het risicoprofiel van de gegevensuitwisseling, de aard van de betrokken gegevens en de gebruikte basisdienst, op voorwaarde dat dit onderscheid objectief gerechtvaardigd is en evenredig blijft met het nagestreefde doel.
§3. De beheerder van een basisdienst kan de aansluiting weigeren, schorsen of intrekken indien de entiteit niet voldoet aan de aansluitvoorwaarden. De beslissing is met redenen omkleed en vermeldt de voorwaarden en termijnen voor regularisatie.
§4. De Vlaamse Regering bepaalt de procedure voor aanvraag, beoordeling, beslissing, herziening en beroep inzake aansluiting, met inbegrip van de termijnen en de vereiste bewijsstukken."

Artikel 6. ( 01/07/2026 - Werkingsvergoedingen )

In hetzelfde decreet wordt artikel 27 vervangen door wat volgt:
"Art. 27. §1. Voor het gebruik van basisdiensten voor interoperabiliteit en voor door of namens de Vlaamse overheid gecoördineerde gemeenschappelijke voorzieningen voor gegevensuitwisseling is een werkingsvergoeding verschuldigd overeenkomstig de tariefkaart, vastgesteld door de Vlaamse Regering.
§2. De tariefkaart waarborgt kostentransparantie en kan voorzien in: eenmalige aansluitbijdragen, periodieke vaste vergoedingen, volumegerelateerde tarieven en plafonds. De tariefkaart vermeldt de rekenmethode, de indexeringswijze en de toepassingsmodaliteiten.
§3. De Vlaamse Regering kan, mits motivering, kortingen of vrijstellingen toekennen aan lokale besturen met beperkte schaal, aan sociale diensten en aan projecten met aantoonbare publieke meerwaarde, binnen de grenzen en voorwaarden die zij bepaalt.
§4. De beheerder factureert de werkingsvergoedingen op basis van objectieve en verifieerbare gebruiksgegevens. De Vlaamse Regering bepaalt de regels inzake rapportering, betwisting en regularisatie."

Artikel 7. ( 01/09/2026 - Implementatiesubsidies )

In hetzelfde decreet wordt na artikel 33 een afdeling 5/1 ingevoegd, die luidt als volgt:
"Afdeling 5/1. Implementatiesubsidies voor gegevensdelende samenwerkingsverbanden
Art. 33/1. De Vlaamse Regering kan, binnen de perken van de begroting, implementatiesubsidies toekennen aan gegevensdelende samenwerkingsverbanden voor projecten die bijdragen tot de implementatie of versnelde adoptie van interoperabiliteitsstandaarden, -voorzieningen en -processen.
Art. 33/2. In aanmerking komen projectkosten die rechtstreeks verband houden met: de ontwikkeling of configuratie van koppelvlakken, de implementatie van autorisatie- en toegangsbeheer, datakwaliteitsverbetering, testen en certificering, wijzigingsbeheer, opleiding en begeleiding van eindgebruikers, en projectcoördinatie. De Vlaamse Regering bepaalt de nadere regels en uitsluitingen.
Art. 33/3. De subsidie-intensiteit bedraagt maximaal 60% van de in aanmerking komende projectkosten, met een maximum van 250.000 euro per project en 500.000 euro per samenwerkingsverband per kalenderjaar. De Vlaamse Regering kan lagere plafonds vaststellen of differentiëren op basis van projecttype, maturiteit of impact.
Art. 33/4. Subsidies kunnen worden gecumuleerd met andere overheidssteun, voor zover de toepasselijke steunregels worden nageleefd en geen dubbel financiering optreedt. De aanvrager verklaart alle relevante steun en verbindt zich tot transparante rapportering.
Art. 33/5. De Vlaamse Regering bepaalt de aanvraag-, beoordelings- en toekenningsprocedure, met inbegrip van selectiecriteria, termijnen, modelovereenkomsten, betaalmodaliteiten, resultaatsverbintenissen, controle en terugvordering bij niet-naleving."

Artikel 8. ( 01/02/2026 - Inwerkingtreding )

De Vlaamse Regering bepaalt de inwerkingtreding van de artikelen van dit decreet als volgt:

  1. Artikel 2 treedt in werking op 1 april 2026.
  2. Artikel 3 treedt in werking op 1 mei 2026.
  3. Artikel 4 treedt in werking op de datum van bekendmaking in het Belgisch Staatsblad van de mededeling van de Vlaamse Regering dat DiKAR operationeel is.
  4. Artikel 5 treedt in werking op 1 april 2026.
  5. Artikel 6 treedt in werking op 1 juli 2026.
  6. Artikel 7 treedt in werking op 1 september 2026.