EN - In the Belgian region of Flanders there is a very particular regulation on Data Protection Officer for bodies that are part of the exchange of information between the Flanders government. This slidedeck tries to present the main aspects of that regulation.
NL - In Vlaanderen is er een specifieke regeling voor data protection officers ("veiligheidsconsulenten") bij instanties die deel uitmaken van de gegevensuitwisseling tussen Vlaamse overheidsinstellingen. Deze slides proberen de regeling daaromtrent weer te geven.
5. MEER DETAIL DAN…
Consulent inzake
informatieveiligheid en
bescherming van de
persoonlijke levenssfeer
RR-Wet
toegang tot of de
mededeling van
informatiegegevens van
het Rijksregister
10 (aanstelling)
16 (check)
Sectoraal Comité RR
Consulent inzake
informatieveiligheid en
bescherming van de
persoonlijke levenssfeer
KB/SZ-Wet
toegang tot of de
mededeling van
informatiegegevens van
KB/SZ
4 §5 (aanstelling)
Afdeling sociale
zekerheid van het
sectoraal comité van de
sociale zekerheid en van
de gezondheid
Veiligheidsconsultent KB/SZ-Wet
Iedere instelling van
sociale zekerheid
24 (aanstelling)
25 (advies + opdrachten)
46 (check)
Afdeling sociale
zekerheid van het
sectoraal comité van de
sociale zekerheid en van
de gezondheid
7. ART. 9 E-GOV-DECREET
ART. 2 DPO-BESLUIT
Iedere instantie die een authentieke gegevensbron beheert die
persoonsgegevens bevat, iedere instantie die elektronische
persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die
overeenkomstig artikel 4, § 3, aangewezen is en
persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan.
(De Vlaamse Regering bepaalt de opdrachten en de manier van
aanwijzing van die veiligheidsconsulenten.)
@TommyVandepitte
10. DPO VERPLICHT (1)
Iedere instantie die een authentieke gegevensbron beheert
die persoonsgegevens bevat,
Authentieke gegevensbron: een op elektronische wijze
bijgehouden verzameling van gegevens die als de meest
volledige, kwalitatief hoogstaande door de Vlaamse
Regering is erkend, en die nuttig of noodzakelijk is in het
kader van het elektronische bestuurlijke gegevensverkeer
Voorbeelden
Centraal Referentieadressenbestand
Geografisch themabestand 'Vlaamse voorkooprechten’
@TommyVandepitte
11. DPO VERPLICHT (2)
iedere instantie die elektronische persoonsgegevens
ontvangt of uitwisselt,
@TommyVandepitte
12. DPO VERPLICHT (3)
iedere entiteit die overeenkomstig artikel 4 §3 van het decreet
van 18 juli 2008 aangewezen is en persoonsgegevens
verwerkt
Art. 4 §3 E-Gov Decreet: De Vlaamse Regering kan een
of meer entiteiten van de Vlaamse administratie aanwijzen
om tussenbeide te komen bij de mededeling van gegevens
uit authentieke gegevensbronnen of om een
ondersteunend gebruikers- en toegangsbeheer te
verwezenlijken.
Besluiten
Besl.Vl.Reg. 15 mei 2009
Besl.Vl.Reg. 25 maart 2011
Besl.Vl.Reg. 29 november 2013
@TommyVandepitte
13. INCL. VERWERKERS
De opdrachten van de veiligheidsconsulent hebben ook
betrekking op de bewaring, de verwerking of de uitwisseling van
persoonsgegevens die voor rekening van de instantie of de
entiteit in kwestie door derden worden uitgevoerd. (art. 12)
@TommyVandepitte
18. ADVIEZEN EN
AANBEVELINGEN
• Tekst: art. 3 1°
• Deskundige adviezen en aanbevelingen verstrekken
- over alle aspecten op het vlak van de informatieveiligheid
- aan de verantwoordelijke voor het dagelijks bestuur van de
instantie of de entiteit in kwestie
- op eigen initiatief of op verzoek van de verantwoordelijke
voor het dagelijks bestuur van de instantie of entiteit
- schriftelijk en gemotiveerd, tenzij de risico's niet
voldoende ernstig zijn.
@TommyVandepitte
19. VEILIGHEIDSPLAN
• specifieke vorm van advies (zie art. 3 en art. 10)
• ontwerp door DPO beslissing door verantwoordelijke
• jaarlijks evalueren
• (zie ook jaarrapport – art. 11)
• desgevallend aanpassen
@TommyVandepitte
20. VEILIGHEIDSPLAN
• Inhoud
• plan voor een termijn van drie jaar (art. 10)
• Voorbeelden
• Welke gegevens verzamelen (link art. 9)
• Welke beleidslijnen opzetten?
• Hoe bewustwording bevorderen? (art. 6 en 11)
• Welke controles opzetten?
• middelen (op jaarbasis) vereist zijn om het plan uit te
voeren (art. 10)
• Voorbeelden
• Budgetten
• Mandagen beschikbaarheid bepaalde medewerkers
@TommyVandepitte
21. PUNCTUELE OPDRACHTEN
• Tekst: 3 2°
• Opdrachten uit te voeren
- met het oog op de veiligheid van de gegevens
- die aan hem worden toevertrouwd door de
verantwoordelijke voor het dagelijks bestuur van de
instantie of de entiteit in kwestie
@TommyVandepitte
22. NALEVING BEVORDEREN
• Tekst (art. 6)
• De veiligheidsconsulent bevordert (…) op de naleving van
de veiligheidsvoorschriften, opgelegd door of krachtens
een wets-, decretale of reglementsbepaling, (…).
• Voorbeelden
• Communicatie van de regels:
• initieel
• permanent (intranet, instructiebundel,…)
• Specifieke geheimhoudingsovereenkomsten / instructies
• Bewustmakingscampagnes (art. 11)
• Klassikale lessen, workshops, …
• E-learning
• Inwerken in evaluatiecriteria (HR)
@TommyVandepitte
23. TOEZIEN OP NALEVING
• Tekst (art. 6)
• De veiligheidsconsulent (…) ziet toe op de naleving van de
veiligheidsvoorschriften, opgelegd door of krachtens een
wets-, decretale of reglementsbepaling, (…)
• Voorbeelden
• Opvragen van rapporten
• Via “vlaggendragers” in onderdelen van de organisatie
• Audit op specifieke verwerking of onderdeel op basis van
auditplan (en risico-inschatting)
@TommyVandepitte
24. CONTROLE OP GEDRAG
• Tekst (art. 6)
• De veiligheidsconsulent (…) controleert of de personen die
in de instantie of de entiteit persoonsgegevens verwerken,
een veiligheidsgedrag vertonen.
• Voorbeelden
• Toevallige observaties
• Technische monitoring (N.B. cao 81)
• Rollenspel (in workshop)
• “Test” (bijv. als onderdeel van bewustmakingscampagne)
@TommyVandepitte
25. DOCUMENTEREN
• Tekst
• De veiligheidsconsulent legt de nodige documentatie aan
over de informatieveiligheid. (art. 6)
• Minimum
• Adviezen (art. 3 1°)
• veiligheidsplan (art. 10)
• n.a.v. een vastgestelde overtreding (art. 6)
• (Bevorderings-) Campagnes (art. 6 en 11)
• Controles (art. 6 en 11)
• Rapporten
• Vaststelling overtredingen (art. 6)
• Jaarverslag (art. 11)
@TommyVandepitte
26. DOCUMENTEREN
• Eventueel ook (gedecentraliseerd)
• Beleidsdocumenten rond gegevensverwerking
• Data sets in verwerkingsprocessen (overzicht)
• Verwerkingsprocessen in organisatie (overzicht)
• Toepassingen in gebruik (overzicht)
• Privacy Impact Assessments (PIA’s)
• Beveiligingsmaatregelen (overzicht)
• Restrisicos (overzicht)
• etc.
@TommyVandepitte
27. RAPPORTEREN
AD HOC (ART. 6)
Alle vastgestelde
overtredingen worden
schriftelijk en uitsluitend
aan de
verantwoordelijke voor
het dagelijks bestuur van
de instantie of de entiteit
meegedeeld, en de
nodige adviezen worden
bijgevoegd om dergelijke
overtredingen in de
toekomst te vermijden.
PERIODIEK (ART. 11)
De veiligheidsconsulent
stelt voor de
verantwoordelijke voor
het dagelijks bestuur van
de instantie of de entiteit
in kwestie jaarlijks een
verslag op.
@TommyVandepitte
28. MIN. INHOUD JAARVERSLAG
1. een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in
het afgelopen jaar en de nog te realiseren doelstellingen
2. een samenvatting van de schriftelijke adviezen die aan de
verantwoordelijke voor het dagelijks bestuur werden bezorgd en het
gevolg dat eraan werd gegeven
3. een overzicht van de werkzaamheden, verricht door de
veiligheidsconsulent
4. een overzicht van de resultaten van de controles, uitgevoerd door de
veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die
de informatieveiligheid van de instantie of de entiteit in kwestie in het
gedrang hadden kunnen brengen
5. een overzicht van de gevoerde campagnes ter bevordering van de
veiligheid
6. een overzicht van alle gevolgde opleidingen en van de geplande
opleidingen
@TommyVandepitte
30. IN ORGANISATIE
onder rechtstreekse functionele gezag van de
verantwoordelijke voor het dagelijks bestuur van de instantie of
de entiteit (art. 8)
intern of extern (art. 2 §1)
Uitz.: art. 19 VDI-Decreet van 13 juli 2012 (intern)
Extern wetgeving overheidsopdrachten
alleen of met adjudanten (art. 2 §1)
samenwerken (art. 8)
@TommyVandepitte
31. AANSTELLING
formele aanstellingsbeslissing (art. 2 §1)
gunstig advies van Vlaamse Toezichtcommissie vereist (art. 2
§2), wat een check inhoudt over:
voldoende gevormd om de functie van
veiligheidsconsulent uit te oefenen
over de vereiste tijd beschikken om de
veiligheidsopdrachten uit te voeren
geen activiteiten uitoefenen die onverenigbaar zijn met de
functie van veiligheidsconsulent
@TommyVandepitte
32. ALGEMEEN
objectiviteit, onpartijdigheid en onafhankelijkheid
bij geven van adviezen (art. 4)
beschermd door “ontslagbescherming” (art. 7)
gehouden door beroepsgeheim (art. 6)
Alle info die hij actief / passief te weten komt in kader van
zijn opdracht
Uitz.: wet of toestemming ev. getroffen derde
Zelf, medewerkers en aangestelden
Strafsancties (art. 458 Sw)
@TommyVandepitte
33. RELATIE MET
VERANTWOORDELIJKE
Onder rechtstreekse functionele gezag van de verantwoordelijke
voor het dagelijks bestuur van de instantie of de entiteit (art. 8)
- Kan om advies verzoeken (art. 3 1°)
- Beslist over de adviezen (art. 3 1°), veiligheidsplan incluis (art.
10)
- Binnen 3 maanden
- Deelt beslissing mee aan DPO
- Afwijking: schriftelijk en gemotiveerd
- Ontvangt ad hoc (art. 6) en jaarlijkse (art. 11) rapportering
- Geeft specifieke opdrachten m.b.t. veiligheid van gegevens
(art. 3 2°)
@TommyVandepitte
Editor's Notes
Authentieke gegevensbron: art. 2 2° E-GOV decreet + art. 3 en 4 E-GOV decreet
Besl.Vl.Reg. 15 mei 2009 : CORVE en DAB ICT opgegeven door Besluit 29 november 2013
http://codex.vlaanderen.be/Zoeken/Document.aspx?NUMAC=2009035665¶m=inhoud
Besl.Vl.Reg. 25 maart 2011 (Centraal Referentieadressenbestand – Decreet van 8 mei 2009)
http://codex.vlaanderen.be/Zoeken/Document.aspx?NUMAC=2011201881¶m=inhoud
Besl.Vl.Reg. 29 november 2013 (Vlaamse dienstenintegrator - decreet van 13 juli 2012)
http://codex.vlaanderen.be/Zoeken/Document.aspx?NUMAC=2014035171¶m=inhoud