3. Agenda
1.Wat is een DPO?
2.Privacy &
informatieveiligheid in
het bestuur
3.Waarvoor kan je
terecht bij een DPO?
4.DPO: vriend of vijand?
4. Wat is een DPO?
• Data Protection Officer
(Functionaris voor de
Gegevensbescherming)
• Taak:
– Adviseren
– Controleren
– Contact toezichthoudende
overheid
• Domein: alles m.b.t. privacy
(GDPR) en beveiliging van
informatie
5. Wat is een DPO?
• KB rijksregister (1992)
• KB Sociale Zekerheid (1993)
• E-Gov-decreet (2008)
• GDPR (2018)
• AVG Decreet (2018)
Informatieveiligheids-
consulent
Functionaris
Gegevensbescherming
6. Privacy & informatieveiligheid in het bestuur
• Bevolkingsregister
• Strafregister
• Vingerafdrukken (ID-kaarten)
• Kadaster
• Werkplanningen technische diensten
• Boekhouding
• Personeels- en loonadministratie
• Kruispuntbank Sociale Zekerheid
• Minderjarigen (onderwijs, speelpleinwerking,
etc.)
• Bewoners woonzorgcentrum (medische
gegevens, gegevens familie, laatste
wilsverklaring, etc.)
• Camerabeelden en afbeeldingen
• …
Besturen moeten alle technische en organisatorische maatregelen nemen om
al deze gegevens te beschermen (= informatieveiligheid)
7. Privacy & informatieveiligheid in het bestuur
Privacy en persoonsgegevens
• Delen van gegevens
• Verwerken van gegevens
• Rechten burgers
• …
Digitale informatie
• Antivirus
• Back-ups
• E-policy personeel
• …
Informatie op papier
Informatie in het
hoofd
• Policy in-
uitdiensttreding
• Overdrachten
• Machtigingen
• …
Bescherming van
infrastructuur:
• Continuïteitsplan
• Sleutelplan gebouw
• Inventaris
smartphones,
laptops, etc.
• …
8. Privacy & informatieveiligheid in het bestuur
General Data Protection Regulation :
1. Een duidelijk en specifiek doel hebben
om gegevens te raadplegen
(rechtsgrond)
2. Enkel die gegevens vragen die nodig
zijn (proportionaliteit).
3. Opzoekingen altijd kunnen
verantwoorden (transparantie),
4. Enkel gegevens delen na toestemming
(tenzij wettelijke verplichting)
9. Privacy & informatieveiligheid in het bestuur
Het Grote Boek van de Sint
“Sinterklaas wordt op de vingers getikt. Het boek waarin
hij alle informatie van alle kinderen over de hele wereld
noteert, is in strijd met de GDPR.
De privacywetgeving is duidelijk: gebruikers moeten
goedkeuring kunnen geven voor de verwerking van hun
gegevens. Er is totaal geen transparantie: niemand weet
wat Sinterklaas weet en opslaat. Dat het gaat over
gegevens van kinderen maakt de kwestie bijzonder
delicaat. Tegelijk lekt hij adressen naar adverteerders die
kinderen overstelpen met sintfolders. Officieel komt hij
met de stoomboot uit Spanje, maar volgens andere
bronnen komt de heilige man uit Turkije, dus zitten we
met een transfer van data buiten de E.U. … “
Geen geldige
rechtsgrond
Wat, waarom
en delen met
wie?
Geen
toestemming
van ouders
Datalek!!!
GDPR = EU!
10. Waarvoor kan je bij een DPO terecht?
Inzagerecht
raadsleden
Openbare
onderzoeken,
bouwdossiers,
vergunningen, etc.
Dossiers van
OCMW-
cliënten
Algemeen inzagerecht
burgers (zéér ruim!)
Opvragen gegevens uit
het rijksregister
Opzoekingen
kadaster:
eigenaars van
gronden
GDPR
There is more: beroepsgeheim, wet op de
patiëntenrechten, woonzorgdecreet, etc.
11. Waarvoor kan je bij een DPO terecht?
Delen en verkrijgen van
persoonsgegevens in het kader van
samenwerkingen of software
• Advies bij bestekken of gunningen
• Controle verwerkersovereenkomsten
• Protocollen uitwisseling
persoonsgegevens
• …
Bij voorkeur wordt de DPO betrokken
vanaf de start van een project.
14. Waarvoor kan je bij een DPO terecht?
Datelekken en incidenten
• Vanaf dat je vaststelt dat je gegevens kwijt bent (vb. een dossier
of laptop), niet meer toegankelijk is (vb. je account is gehackt)
of terecht is gekomen bij een andere persoon (vb. je komt ’s
morgen toe en je deur is niet meer gesloten en de kasten staan
open), spreken we van een incident.
• Vanaf dat er persoonsgegevens bij betrokken zijn (naam, adres,
telefoon, rijksregisternummer, bankrekeningnummer, foto’s, etc.),
zitten we bij de GDPR en spreken we van een datalek.
15. Waarvoor kan je bij een DPO terecht?
Nut van melden:
1. Leren uit fouten
(organisatiebeheersing)
2. Indien privacy-inbreuk: wet
verplicht transparantie
3. Behandeling klacht door
toezicht: werd dit intern
geregistreerd en wat werd
ermee gedaan?
Inleiding: mezelf voorstellen (benadrukken dat ik vaak infosessies geef aan nieuwe collega’s in 9 besturen)
Vraag publiek: wie kent zijn DPO (handopsteking) + van wie is zijn DPO een interne medewerker? Enkele cijfers: in West-Vlaanderen zijn er 64 gemeenten: 45 ervan hebben een externe DPO (C-Smart, Apogado, WVI, etc.) en 19 hebben intern een DPO, waarvan slechts 3 gemeenten een fulltime DPO hebben,
Vergelijking maken met een preventieadviseur
Een goede DPO is een luie DPO: die controleert en adviseert, maar die voert niets uit,