Wat moet een lokaal bestuur doen? Verplichtingen verwerkingsverantwoordelijke en verwerker:
Kijk na welke verwerkingen van persoonsgegevens u uitvoert, bepaal de wettelijke basis en documenteer zorgvuldig.
De Privacycommissie heeft een sjabloon gepubliceerd op de website, dat vrij te downloaden is. Dat sjabloon is wel uitgebreider dan wat de GDPR oplegt: model voor een register van de verwerkingsactiviteiten(opent in nieuw venster).
Bij de verwerking van persoonsgegevens met een nieuwe technologie moet het bedrijf of de overheidsinstantie de mogelijke risico’s beoordelen voor de rechten en vrijheden van de betrokken personen, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking.
Meer info: www.gegevensbeschermingsautoriteit.be/onderzoek(opent in nieuw venster).
De verwerkersovereenkomst is een contract dat de verwerkingsverantwoordelijke (de partij die instructies geeft over de verwerking van persoonsgegevens) sluit met de verwerker (degene die in opdracht persoonsgegevens verwerkt).
De verwerkersovereenkomst is een contract dat de verwerkingsverantwoordelijke (de partij die instructies geeft over de verwerking van persoonsgegevens) sluit met de verwerker (degene die in opdracht persoonsgegevens verwerkt).
De VVSG heeft een generieke verwerkingsovereenkomst opgemaakt: www.vvsg.be/kennisitem/vvsg/generieke-verwerkersovereenkomst(opent in nieuw venster).
Cf. veiligheidsconsulent: verplicht voor gemeenten sinds 2003.
De functionaris voor gegevensbescherming fungeert als onafhankelijke contactpersoon voor de toezichthoudende autoriteit en de natuurlijke personen van wie de verwerkte gegevens zijn.
De DPO kan een personeelslid zijn of een extern persoon. Een DPO kan optreden voor meerdere organisaties. De taak is vooral informerend en adviserend.
De functionaris is verplicht aan te wijzen door gemeenten, zij moeten vandaag al een veiligheidsconsulent hebben.
Beraadslaging FO nr. 04/2017 van 9 maart 2017 over het verlenen van een algemene machtiging aan de Vlaamse steden en gemeenten om via elektronische weg de persoonsgegevens te ontvangen van de Algemene Administratie van de Patrimoniumdocumentatie (AAPD) voor toepassing van diverse bepalingen onder de Vlaamse reglementering door steden en gemeenten
Het is nog onduidelijk of intergemeentelijke samenwerkingsverbanden een functionaris moeten aanwijzen. Op haar website geeft de VVSG aan dat de verplichting geldt voor elke instantie als vermeld in artikel 4, §1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur, en dus ook voor intergemeentelijke samenwerkingsverbanden.
Het is verplicht om een DPO aan te stellen in de volgende gevallen:
Aanbeveling Groep artikel 29 (Europese groep met vertegenwoordigers van toezichthouders): “private entiteiten die persoonsgegevens verwerken in het kader van de uitvoering van opdrachten van algemeen belang die hen werden toevertrouwd, wijzen bij voorkeur eveneens een functionaris voor gegevensbescherming”.
Alle shm’s en svk’s moeten een functionaris aanstellen tegen 25 mei 2018. Dat kan via een raamcontract van de VMSW. VMSW zal enkele functionarissen (bv. 5) formeel aanduiden. Die functionarissen gelden voor alle shm’s en svk’s die intekenen.
Taken: informeren en adviseren, gegevensbeschermingseffectbeoordelingen uitvoeren, samenwerken met Gegevensbeschermingsautoriteit.
Uw medewerkers moeten er zich van bewust zijn dat ze werken met persoonsgegevens en dat er regelgeving bestaat over de manier waarop ze daarmee moeten omgaan.
Advies Europa nog niet definitief - voorlopig niets rond doen.
De gegevensbeschermingsautoriteit zal meer slagkracht hebben dan de Privacycommissie, omdat zij nu ook sanctionerende bevoegdheid krijgt, zoals het opleggen van boetes.
De boetes kunnen oplopen tot 4 procent van de totale jaarlijkse omzet of 20 miljoen euro.