Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 1: stel een DPO aan.

19/07/2018

De komende weken stuurt V-ICT-OR een resem aan tips & tricks uit om besturen te helpen bij het opzetten van een sterk informatieveiligheidsbeleid. Daarbij gaan we elk van de 16 stappen af die V-ICT-OR voorstelt om uw beleid GDPR-compliant te maken. De eerste stap: maak werk van de aanstelling van een DPO voor uw organisatie.

De DPO is het kloppend hart van uw persoonsgegevensbescherming. Het spreekt voor zich dat de aanstelling van de DPO dan ook het vertrekpunt van je persoonsgegevensbescherming moet worden.

Maar wat is een DPO nu eigenlijk? De DPO (Data Protection Officer of in het Nederlands de Functionaris Gegevensbescherming (FG)) heeft binnen uw organisatie de verantwoordelijkheid om te werken aan persoonsgegevensbescherming en te waken over de correcte naleving ervan. Geen gemakkelijke klus, maar gelukkig staat hij/zij er niet alleen voor: het projectteam gegevensbescherming (de facto meestal de informatieveiligheidscel) ondersteunt de DPO en werkt actief mee aan het beleid rond de bescherming van persoonsgegevens (maar daarover later meer).

Een DPO en informatieveiligheidsconsulent worden nogal vaak in één adem genoemd, maar hebben een andere opzet. Als informatieveiligheid de stam is van een boom, dan is persoonsgegevensbescherming de tak: zo start je in principe met een informatieveiligheidsconsulent om alle gegevens binnen je organisatie (vooral technisch) te beschermen en breid je uit met de DPO die het specifieke luik van persoonsgegevens verder gaat beveiligen. In theorie kunnen beide functies door een ander persoon worden uitgeoefend, in de praktijk komen beide functies meestal bij 1 persoon terecht. Dus kunnen we stellen dat in de meeste gevallen informatieveiligheid en persoonsgegevensbescherming de opdrachten worden van 1 persoon.

Heeft iedereen wel een DPO nodig? De Algemene Verordening Gegevensbescherming zegt dat de verwerkingsverantwoordelijke en de verwerker een functionaris gegevensbescherming moeten aanduiden wanneer:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Wat is ‘regelmatige en stelselmatige observatie op grote schaal’? Wat wordt er bedoeld met ‘hoofdzakelijk is belast’? De AVG is op dit punt relatief vaag. Gelukkig werd de Article 29 Working Party (Art. 29 WP) opgericht om diepgaand advies rond gegevensbescherming te verlenen aan de lidstaten van de EU. Deze werkgroep was opgesteld uit experts op het gebied van gegevensbescherming, meer bepaald 1 uit elke lidstaat, en is intussen vervangen door de European Data Protection Board (EDPB).

  • Overheidsinstantie of overheidsorgaan: wie onder deze term valt wordt bepaald door het nationaal recht van elke lidstaat. De term heeft betrekking op alle overheidsniveaus, voor België dus zowel op federaal, provinciaal als lokaal vlak. Ook organisaties die door publiekrecht worden geregeld, of die door privaatrecht worden geregeld, maar publieke activiteiten uitoefenen, behoren tot de term (want de dataverwerking is hier vergelijkbaar met die van overheidsinstanties). Voorbeelden van deze laatste zijn: scholen, bedrijven voor water- en energievoorziening, publieke televisie- en radiozenders, enz. Omdat de dataverwerking in deze gevallen wettelijk wordt geregeld en toestemming dus (deels) wegvalt, hebben betrokkenen weinig in te brengen tegen de verwerking van hun persoonsgegevens. De verplichte aanstelling van een DPO komt hieraan tegemoet en zorgt voor de behartiging van de belangen van betrokkenen.
  • Hoofdzakelijk belast met verwerkingen: Dit betreft de verwerkingen die noodzakelijk zijn voor de verwerkingsverantwoordelijke of verwerker om zijn doelstellingen te behalen. De verwerking van data mag in dat opzicht ook een onlosmakelijk deel zijn van een kernactiviteit van de verwerkingsverantwoordelijke of verwerker. Bv. een hospitaal heeft niet als hoofddoel de verwerking van data, maar kan geen operaties veilig uitvoeren zonder de nodige data van de betrokkene te verwerken. Verwerkingen die voor de meeste organisaties identiek zijn, worden niet beschouwd als kernactiviteit, bv. loonadministratie of standaard IT-activiteiten.
  • Grootschalige verwerking: Hiervoor bestaan er geen vaste regels, maar moet er wel rekening worden gehouden met volgende elementen:
    • Aantal betrokkenen
    • Volume data en/of bereik van verschillende types persoonsgegevens
    • Duur, of permanent karakter, van de dataverwerkingsactiviteit
    • De geografische omvang van de verwerkingsactiviteit

Voorbeelden van grootschalige verwerking zijn: verwerking patiëntengegevens in hospitaal (maar niet die van een huisarts), verwerking klantendata door verzekeringsmaatschappij of bank, verwerking data (inhoud, dataverkeer, locatie) door telefonie- en internetproviders

  • Regelmatige en stelselmatige monitoring:
    • ‘regelmatig’ mag geïnterpreteerd worden als:
      • Consistent of gedurende intervallen voor een bepaalde periode
      • Terugkerend of herhaald op vaste tijdstippen
      • Constant of periodiek
    • ‘Systematisch mag geïnterpreteerd worden als
      • Volgens een systeem uitgevoerd
      • Vooraf geregeld, georganiseerd or methodisch
      • Plaats vindend als deel van een algemeen plan voor dataverzameling
      • Uitgevoerd in het kader van een strategie
    • Bijzondere categorieën persoonsgegevens en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten: de tekst vermeldt ‘en’, maar eigenlijk had er moeten ‘of’ staan.

En hoe zit het met de informatieveiligheidsconsulent? Is die verplicht? Het decreet betreffende de openbaarheid van bestuur van 26 maart 2004 bepaalt de organisaties waarvoor een informatieveiligheidsconsulent moet worden aangesteld:

  • het Vlaams Parlement en de eraan verbonden instellingen;
  • de diensten, instellingen en rechtspersonen die afhangen van de Vlaamse Gemeenschap of het Vlaamse Gewest;
  • de gemeenten en de districten;
  • de provincies;
  • de andere gemeentelijke en provinciale instellingen, met inbegrip van de verenigingen zonder winstoogmerk waarin één of meer gemeenten of de provincies minstens de helft van de stemmen in één van de beheersorganen heeft of de helft van de financiering voor haar rekening neemt;
  • de verenigingen van provincies en gemeenten, bedoeld in de wet van 22 december 1986 betreffende de intercommunales, en de samenwerkingsvormen zoals geregeld in het decreet van 6 juli 2001 houdende de intergemeentelijke samenwerking;
  • de openbare centra voor maatschappelijk welzijn, hierna O.C.M.W.'s te noemen, en de verenigingen, bedoeld in hoofdstuk 12 van de organieke wet van 8 juli 1976 betreffende O.C.M.W.'s;
  • de polders, bedoeld in de wet van 3 juni 1957 betreffende de polders, en de wateringen, bedoeld in de wet van 5 juli 1956 betreffende de wateringen;
  • de kerkfabrieken en de instellingen die belast zijn met het beheer van de temporaliën van de erkende erediensten;
  • alle andere instanties binnen het Vlaamse Gewest en de Vlaamse Gemeenschap.

Hoeveel uur per week werkt een DPO?

Hoewel een informatieveiligheidsconsulent volgens de Vlaamse Toezichtscommissie minimaal 4 uur per week moet besteden aan zijn opdracht (6 uur wanneer de consulent werkt voor de gemeente en het OCMW), is er voor de DPO geen specifieke werktijd bepaald. Wanneer een DPO deeltijds wordt aangesteld, raadt de Working Party 29 aan om op voorhand vast te leggen welk percentage van de werktijd van de werknemer zal gaan naar zijn taak als DPO. Het spreekt op zich dat de DPO voldoende tijd moet krijgen om zijn taken naar behoren te kunnen uitvoeren.

Wie kan DPO zijn voor uw organisatie? In theorie kan iedereen dit worden. De wetgeving bepaalt wel dat een DPO over de nodige vaardigheden moet beschikken om zijn job naar behoren te kunnen uitoefenen. Om daaraan tegemoet te komen, volgen veel mensen een opleiding DPO. Iedereen, dat wil zeggen zowel interne als externe personen. De DPO moet ook over de nodige kennis beschikken m.b.t. de werking van de organisatie. Wat we steeds opnieuw horen, is dat externe personen veel inwerktijd nodig hebben om de werking van een organisatie te kunnen doorgronden, terwijl internen al ingebed zijn in de lopende zaken en dikwijls beter kunnen inschatten welke mogelijkheden realistisch zijn voor een organisatie. Iets anders om rekening mee te houden: er mag geen belangenvermenging zijn voor de persoon die de functie van DPO uitoefent. Dit impliceert dat de DPO geen functie binnen de onderneming mag vervullen die hem ertoe noopt de doeleinden en de middelen van de verwerking te bepalen. Evenmin kan hij diegene zijn die verwerkingen verricht. Volgende functies zijn alvast onverenigbaar met het beroep van DPO:

  • Directieposten
  • Verantwoordelijke voor de sales of marketing
  • IT-verantwoordelijke
  • HR-verantwoordelijke

V-ICT-OR gaat steeds uit van het principe dat je niet zowel rechter als partij kunt zijn. Ook kan het niet zijn dat een IT-verantwoordelijke als DPO de toegang tot bepaalde databases voor zichzelf openzet, zaken wijzigt en de toegang nadien terug sluit zonder dat er iemand iets heeft gemerkt. Denk dus goed na wie je als DPO wilt aanstellen.

Hoe stel ik een DPO aan?

Momenteel bevinden de Gegevensbeschermingsautoriteit en de Vlaamse Toezichtscommissie zich nog in een overgangsfase. Vroeger kon je aan de hand van een elektronisch invulformulier de Privacycommissie op de hoogte stellen van de aanstelling van de DPO . Vanaf 25 mei is de procedure echter veranderd: de leidend ambtenaar binnen je bestuur moet een e-mail of brief sturen naar de Vlaamse Toezichtscommissie met vermelding van de datum van de beslissing tot aanstelling (het collegebesluit voor de steden en gemeenten). Ook de naam en contactgegevens van de DPO moeten in die communicatiedrager vermeld worden. Contactgegevens e-mail VTC: toezichtcommissie@vlaanderen.be (met als onderwerp: 'aanmelding DPO - naam instantie'). Contactgegevens brief: Vlaamse toezichtcommissie Havenlaan 88 - 1000 Brussel. Deze procedure zal in de toekomst nog veranderen. Hou dus de websites van de Gegevensbeschermingsautoriteit en de Vlaamse Toezichtscommissie in de gaten, net als onze nieuwsberichten.

Hoe kan V-ICT-OR u hierbij ondersteunen?

V-ICT-OR stuurt regelmatig communicaties uit rond informatieveiligheid via zijn social media, zijn nieuwsbrief en regionale kenniskringen. V-ICT-OR leidt toekomstige DPO’s op via zijn 5-daagse opleidingen. Hierbij wordt er aandacht besteed aan de kennis en vaardigheden die van een DPO verwacht worden, en worden nieuwe ontwikkelingen ook steeds meegegeven. Daarnaast begeleidt V-ICT-OR lokale besturen inzake informatieveiligheid via:

  • een 3-daags traject informatieveiligheid, met een beleidsnota en veiligheidsnota als resultaat;
  • premiumabonnementen, waarbij de afnemer zelf kiest hoe hij hij zijn begeleiding ingevuld wil zien.

In het volgend nieuwsbericht zullen we het hebben over het projectteam, d.w.z. het team waarin de DPO werkt aan persoonsgegevensbescherming.