Algemene Verordening Gegevensbescherming en lokale besturen

Wat moet een lokaal bestuur doen? Verplichtingen verwerkingsverantwoordelijke en verwerker

1. Intern register van verwerkingsactiviteiten maken (nieuw)

Kijk na welke verwerkingen van persoonsgegevens u uitvoert, bepaal de wettelijke basis en documenteer zorgvuldig.

  • Breng de verschillende processen in kaart waarin persoonsgegevens worden verwerkt of opgeslagen;
  • Som de persoonsgegevens op die in die processen gebruikt worden: naam, voornaam, nationaliteit, geslacht,…
  • Geef aan wat de wettelijke grondslag is voor de verwerking van de persoonsgegevens;
  • Geef aan hoe u de gegevens bewaart: schriftelijk (fichebak, register,…) of elektronisch

De Privacycommissie heeft een sjabloon gepubliceerd op de website, dat vrij te downloaden is. Dat sjabloon is wel uitgebreider dan wat de GDPR oplegt. https://www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten.

2. Gegevensbeschermingseffectbeoordelingen (nieuw) - DPIA of Privacy Impact Assessment

Bij de verwerking van persoonsgegevens met een nieuwe technologie moet het bedrijf of de overheidsinstantie de mogelijke risico’s beoordelen voor de rechten en vrijheden van de betrokken personen, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking.

Meer info: https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0

 

3. Verwerkersovereenkomst (nieuw)

De verwerkersovereenkomst is een contract dat de verwerkingsverantwoordelijke (de partij die instructies geeft over de verwerking van persoonsgegevens) sluit met de verwerker (degene die in opdracht persoonsgegevens verwerkt).

  • Het doel van de verwerking: De verwerkersovereenkomst moet duidelijk maken met welk doel de persoonsgegevens heeft worden verwerkt.
     
  • Manier/methode van verwerking: De verantwoordelijke partij (dus niet de verwerkende partij) moet duidelijk formuleren op welke manier de verwerking moet gebeuren, om te voorkomen dat een externe partij de persoonsgegevens op een manier gaat verwerken die niet met de betrokkenen is afgesproken.
     
  • Geheimhouding: De verwerkersovereenkomst bevat doorgaans een geheimhoudingsverklaring, waardoor de verwerker gebonden is. Daarmee verklaart de verwerkende partij de gegevens niet openbaar te maken of aan anderen te verstrekken.
     
  • Afspraken over eventuele onderaannemers: Soms komt het voor dat de verwerker een beroep doet op een externe verwerker. Die voert dan bijvoorbeeld een deel van de taken uit. Is dat het geval, dan zijn daarover duidelijke afspraken nodig.
     
  • Beveiligingsmaatregelen: De verwerkingsverantwoordelijke bepaalt in samenspraak met de verwerkende partij welke beveiligingsmaatregelen nodig zijn. Zo verzekert de verantwoordelijke partij zich ervan dat de persoonsgegevens niet door nalatigheid in verkeerde handen terechtkomen.
     
  • Duur van de verwerking: De verwerkersovereenkomst moet duidelijk zijn over de duur van de verwerking, zodat duidelijk is wanneer de externe partij moet stoppen met de gegevensverwerkingen dus de persoonsgegevens moet wissen.

De VVSG heeft modellen van verwerkingsovereenkomsten: http://www.vvsg.be/Werking_Organisatie/informatieveiligheid/Paginas/default.aspx.

4. Functionaris voor de gegevensbescherming (nieuw) - DPIO of Data Protection Officer

Cf. veiligheidsconsulent: verplicht voor gemeenten sinds 2003.

De functionaris voor gegevensbescherming fungeert als onafhankelijke contactpersoon voor de toezichthoudende autoriteit en de natuurlijke personen van wie de verwerkte gegevens zijn.
De DPO kan een personeelslid zijn of een extern persoon. Een DPO kan optreden voor meerdere organisaties. De taak is vooral informerend en adviserend.
De functionaris is verplicht aan te wijzen door gemeenten, zij moeten vandaag al een veiligheidsconsulent hebben.

Het is nog onduidelijk of intergemeentelijke samenwerkingsverbanden een functionaris moeten aanwijzen. Op haar website geeft de VVSG aan dat de verplichting geldt voor elke instantie als vermeld in artikel 4, §1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur, en dus ook voor intergemeentelijke samenwerkingsverbanden. 

Het is verplicht om een DPO aan te stellen in de volgende gevallen:

  • De verwerkingsverantwoordelijke is een overheidsinstantie of ‘overheidsorgaan’ (niet gedefinieerd)
  • De verwerkingsverantwoordelijke is hoofdzakelijk belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  • De verwerkingsverantwoordelijke is hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens zoals gezondheidsgegevens

Aanbeveling Groep artikel 29 (Europese groep met vertegenwoordigers van toezichthouders): “private entiteiten die persoonsgegevens verwerken in het kader van de uitvoering van opdrachten van algemeen belang die hen werden toevertrouwd, wijzen bij voorkeur eveneens een functionaris voor gegevensbescherming”.

Alle shm’s en svk’s moeten een functionaris aanstellen tegen 25 mei 2018. Dat kan via een raamcontract van de VMSW. VMSW zal enkele functionarissen (bv. 5) formeel aanduiden. Die functionarissen gelden voor alle shm’s en svk’s die intekenen.

Taken: informeren en adviseren, gegevensbeschermingseffectbeoordelingen uitvoeren, samenwerken met Gegevensbeschermingsautoriteit.

5. Communicatie

  • Informeer elke betrokkene over zijn rechten;
  • Evalueer bestaande privacyverklaring en cookieverklaring en plan noodzakelijke wijzigingen;
  • Evalueer hoe op uw website het verzamelen en gebruiken van data via trackingscripts verloopt.

6. Rechten van de betrokkene

  • Betrokkene moet zijn rechten kunnen uitoefenen;
  • Procedure voor verwijdering persoonsgegevens, elektronisch mededelen persoonsgegevens;
  • Procedure voor verzoeken tot toegang;
  • Rapport dat aangeeft welke gegevens u verwerkt.

7. Bewustmaking

Uw medewerkers moeten er zich van bewust zijn dat ze werken met persoonsgegevens en dat er regelgeving bestaat over de manier waarop ze daarmee moeten omgaan.

8. Melding van veiligheidsinbreuken (nieuw)

  • Geef aan wat de aard van de veiligheidsinbreuk was;
    • Inbreuk op de confidentialiteit: d.w.z. had iemand toegang tot de data die daartoe niet bevoegd was?
    • Heeft men toegang gehad tot de data?;
    • Integriteit: heeft men de data kunnen wijzigen?.
  • Voorzie procedures om datalekken op te sporen, te rapporteren en te onderzoeken;
  • Binnen 72 uur melden bij Gegevensbeschermingsautoriteit;
  • Wanneer het datalek een ‘hoog risico’ inhoudt voor de rechten en vrijheden van de betrokkenen moeten ook zij worden geïnformeerd;
  • Communicatieplan bij datalekken (wie communiceert, wie beslist of Gegevensbeschermingsautoriteit wordt verwittigd? Wie verwittigt Gegevensbeschermingsautoriteit?)

Advies Europa nog niet definitief - voorlopig niets rond doen.

 

Inbreuken op AVG/GDPR

De gegevensbeschermingsautoriteit zal meer slagkracht hebben dan de Privacycommissie, omdat zij nu ook sanctionerende bevoegdheid krijgt, zoals het opleggen van boetes.
De boetes kunnen oplopen tot 4 procent van de totale jaarlijkse omzet of 20 miljoen euro.

 

Meer informatie

Website VMSW/Woonnet: https://www.vmsw.be/Home/Woonnet/Ondersteuning/Algemene-Verordening-Gegevensbescherming.

Website VVSG: http://www.vvsg.be/Werking_Organisatie/informatieveiligheid/Paginas/default.aspx.

Website Gegevensbeschermingsautoriteit: brochure ‘Bereid je voor in 13 stappen

Presentaties studiedag Vlaamse overheid 7 november 2016 : https://overheid.vlaanderen.be/nieuws/presentaties-online-studiedag-europese-algemene-verordening-gegevensbescherming.

Website gegevensbeschermingsautoriteit