Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR)​ trad op 24 mei 2016 al in werking, maar organisaties (waaronder ook lokale besturen) kregen tot 25 mei 2018 om zich aan de nieuwe regelgeving aan te passen. De nieuwe Europese regelgeving bevestigt een aantal bestaande principes, maar schuift daarnaast ook nieuwe accenten naar voor. Voor organisaties die de Privacywetgeving in het verleden al hebben toegepast en nageleefd, betekent dit dus een voortzetting van het huidige beleid, aangevuld met een aantal nieuwigheden. Lees hierover het artikel van Jolien Dewaele: "De AVG: een nieuwe wind, geen orkaan".

De gegevensbeschermingsautoriteit (GBA) heeft in het kader van die nieuwe regelgeving een stappenplan​ opgemaakt op basis waarvan organisaties zich kunnen voorbereiden op de nieuwe eisen. De stad Gent heeft dit stappenplan in een eigen jasje gestoken.

Functionaris voor gegevensbescherming (DPO)

Tegen  25 mei 2018 moeten de lokale besturen een functionaris voor gegevensbescherming (DPO) aanduiden. De DPO moet het bestuur onder andere informeren en adviseren over de verplichtingen uit hoofde van de AVG en andere regelgeving op vlak van privacy en gegevensbescherming.

De meeste besturen kozen er voor om de taken van de DPO (zoals bepaald door de AVG) bijkomend toe te wijzen aan de huidige informatieveiligheidsconsulent. De informatieveiligheidsconsulent dient in dat geval te voldoen aan de vereisten van de AVG met betrekking tot de kennisvereisten van de DPO. Dit betekent vanzelfsprekend een verruiming van het takenpakket en tijdsinvestering van deze persoon. De besturen zijn uiteraard ook vrij om beide rollen door verschillende personen te laten uitvoeren. ​

Het aanstellen van een functionaris voor gegevensbescherming is verplicht. De verplichting om over een informatieveiligheidsconsulent te beschikken vervalt dan weer. De contactgegevens van de DPO moeten worden meegedeeld aan de toezichthoudende autoriteit (vanaf 25 mei 2018: de Vlaamse Toezichtscommissie​)​.​

Generieke verwerkingsovereenkomst

De AVG verplicht elke verwerkingsverantwoordelijke om overeenkomsten af te sluiten met de verwerkers waarop hij/zij een beroep doet. Uit de thema-audit informatiebeveiliging van Audit Vlaanderen blijkt ook dat dergelijke leveranciersrelaties overal nog voor verbetering vatbaar zijn, een problematiek waar het best overkoepelend een oplossing voor wordt uitgewerkt. ​​

De lokale besturen worden geconfronteerd met een veelheid aan overeenkomsten voor de verwerking van (persoons-)gegevens, afkomstig van verscheidene verwerkers. Het is voor individuele besturen moeilijk te achterhalen of al deze verwerkingsovereenkomsten inhoudelijk en juridisch sluitend zijn en of de verantwoordelijkheden correct zijn verwoord. De VVSG heeft één generiek sjabloon opgesteld dat de basis vormt voor elke verwerkingsovereenkomst. Samen met de VVSG-werkgroep Informatieveiligheid​ zijn we tot een definitief model gekomen. Dit model is gebaseerd op het sjabloon van de​ Juridische werkgroep GDPR van de Vlaamse overheid en werd doorsproken met een aantal belangrijke verwerkers en informaticaleveranciers van de lokale besturen.

We adviseren de lokale besturen om dit model zoveel mogelijk te gebruiken en dit voor bestaande overeenkomsten waarvoor nog geen verwerkingsovereenkomst is gesloten, voor herevaluatie van ondertussen afgesloten verwerkingsovereenkomsten, en zeker ook als standaardmodel bij nieuwe opdrachten, als​ bijlage bij een bestek.​

Definitief model generieke verwerkingsovereenkomst (versie 08/2018) + Leidraad generieke verwerkingsovereenkomst (versie 08/2018)

Opleidingen

24 mei '19

Inforum