logo VTC

Vlaamse Toezichtcommissie
voor de verwerking van persoonsgegevens

Logo Vlaamse leeuw

 

**In werking treden AVG-decreet 25 mei 2018**

Aanmelden DPO bij de toezichthoudende autoriteit

De VTC wordt met ingang van de AVG en het Vlaamse AVG-decreet een volwaardige toezichthoudende autoriteit, conform de AVG. Dit betekent dat de DPO van een Vlaamse instantie en diens contactgegevens bij de VTC moeten bekend gemaakt worden.

De wijziging van het e-govdecreet door het AVG-decreet maakt dat de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer in een aangepaste samenstelling en aangepaste functionaliteit blijft werken tot de samenstelling van de nieuwe Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens is bekend gemaakt in het Belgisch Staatsblad.

Totdat de nieuwe VTC volledig in werking is, ontvangt de VTC meldingen van DPO's van Vlaamse instanties via een mail of brief van de leidend ambtenaar met vermelding van de datum van de beslissing tot aanstelling (het collegebesluit voor de steden en gemeenten) en contactinformatie van de DPO
contact@toezichtcommissie.be met als onderwerp: 'aanmelding DPO - naam instantie'
Vlaamse toezichtcommissie
Havenlaan 88 - 1000 Brussel

Indien er voordien ook al een aanmelding gebeurde bij de GBA, volstaat het om dat formulier naar ons door te zenden.

 

Wie kan DPO zijn?

Naast de taken die een informatieveiligheidsconsulent had en de nieuwe verplichtingen van de AVG zoals het opstellen van een verwerkingsregister, zijn de bijkomende taken, specifiek voor de DPO:
- de DPO wordt het eerste aanspreekpunt voor de burger. Daarvoor moeten de contactgegevens van de DPO (bij voorkeur met een algemeen mailadres als privacy@gemeente.be) bekendgemaakt worden aan betrokkenen/het publiek;
- de DPO wordt ook het aanspreekpunt voor toezichthoudende autoriteit (GBA/DPA) en moet ermee overleggen;
- de DPO moet betrokken worden bij de opmaak van de gegevensbeschermingseffectenbeoordelingen (GEB/DPIA).
Dit impliceert dat de nodige extra tijdsbesteding dient voorzien te worden.

De volledige taakomschrijving van de functionaris voor de gegevensbescherming vindt u in de AVG, art. 37 e.v. en in de Richtlijnen voor functionarissen voor de gegevensbescherming uitgebracht door de Working Party Art. 29

Informatieveiligheidsconsulent = DPO?
Intussen hebben heel wat lokale besturen en entiteiten van de Vlaamse overheid al een veiligheidsconsulent aangesteld. Het is mogelijk om de bestaande veiligheidsconsulent aan te stellen als DPO.
Dit wordt ook gesteld in artikel 9 van het gewijzigde egov-decreet:
“De veiligheidsconsulenten die door de instanties werden aangewezen conform artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer zoals dit gold ten laatste op 24 mei 2018, kunnen de functie van functionaris voor gegevensbescherming opnemen als ze voldoen aan de vereisten, vermeld in artikel 37, lid 5, van de algemene verordening gegevensbescherming.”.

Rechtspersoon als DPO
Het is mogelijk om als externe DPO voor een organisatie een rechtspersoon aan te duiden. Het is echter wel zo dat de VTC een contactpersoon nodig heeft per organisatie, zodat intern voor de afzonderlijke besturen en voor de VTC als toezichthoudende autoriteit duidelijk is wie de eindverantwoordelijke is voor een bepaald bestuur. Deze naam hoeft niet noodzakelijk voor te komen in de publieke contactgegevens van de DPO.

We verwijzen hiervoor naar de Richtlijnen voor de functionarissen voor gegevensbescherming, uitgebracht door de WP29, p. 14-15 en p. 28 geciteerd hieronder:
“Wanneer de functie van functionaris voor gegevensbescherming door een externe dienstverlener wordt bekleed, kan een team van personen die voor die entiteit werken feitelijk alle taken van de functionaris voor gegevensbescherming als team uitvoeren, onder de verantwoordelijkheid van een voor de klant aangestelde hoofdcontactpersoon en "verantwoordelijke". In dit geval is het van essentieel belang dat alle leden van de externe organisatie die de taken van de functionaris voor gegevensbescherming op zich nemen, aan alle geldende eisen van de algemene verordening gegevensbescherming voldoen.

Met het oog op juridische transparantie en goede organisatie en om belangenconflicten bij de leden van het team te vermijden, wordt in de Richtlijnen aangeraden om de taken binnen het team van de externe functionaris voor gegevensbescherming duidelijk in een dienstverleningsovereenkomst vast te leggen, alsook voor de klant één enkele persoon als hoofdcontactpersoon en "verantwoordelijke" aan te stellen.”

 

De VTC verleent niet langer adviezen voor veiligheidsconsulenten/DPO's

Vanaf 25 mei 2018 is volgens het gewijzigde egov-decreet elke overheidsinstantie verplicht een Data Protection Officer (DPO) of functionaris voor de gegevensbescherming aan te stellen.
Om in orde te zijn met de aanstelling van een DPO moet het volgende gebeuren:

  • De DPO formeel benoemen door een beslissing van het schepencollege of de leidend ambtenaar
  • DPO aanstelling meedelen aan de toezichthoudende autoriteit
  • De contactgegevens van de DPO bekend maken aan betrokkenen/het publiek; de DPO wordt het eerste aanspreekpunt voor de toezichthoudende autoriteit en ook voor de burger. (De naam van de DPO hoeft niet noodzakelijk gekend zijn bij het publiek, hiervoor kan gewerkt worden met een algemeen mailadres van de instantie als privacy@gemeente.be)

De advisering zoals die voordien gebeurde, valt dus weg.

 

Informatieveiligheid

Algemeen

 

Informatieveiligheid in het onderwijs

De onderwijssector verwerkt veel persoonlijke gegevens. Om hier verantwoordelijk mee om te gaan voorzien de VTC en de GBA in een begeleidende brochure en online bronnen voor de sector om mee aan de slag te gaan.

THEMA's

Cloud:

steden en gemeenten

VICTOR logo