Elke Vlaamse bestuursinstantie moet een functionaris voor gegevensbescherming aanstellen en de aanstelling melden bij de Vlaamse Toezichtcommissie.

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een Gegevensbeschermingseffectbeoordeling (GEB) of data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Elke instantie die persoonsgegevens verwerkt, is verplicht die informatie te beschermen en te beveiligen.

Met ingang van 25 mei 2018 geldt een meldplicht voor gegevenslekken. Deze meldplicht houdt in dat Vlaamse instanties binnen de 72 uur en zonder onredelijke vertraging een melding moeten doen bij de Vlaamse Toezichtcommissie zodra er een risico bestaat voor de fundamentele rechten en vrijheden van de betrokkenen (de mensen van wie de persoonsgegevens zijn).

Het is verplicht om een protocol op te maken voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie aan een andere Vlaamse instantie of aan een externe overheid.

De verwerkingsverantwoordelijke moet garanderen dat de betrokkenen de rechten die ze op basis van de AVG hebben effectief kunnen uitoefenen.