DE NIEUWE WETGEVING IN EEN NOTENDOP &...

1 van 33

Dienst Bestuur & Organisatie Guimardstraat 1 1040 BRUSSEL

www.katholiekonderwijs.vlaanderen

Aanspreekpunt Informatieveiligheid: opleiding

Dag 1 – Deel 1

DE NIEUWE WETGEVING

IN EEN NOTENDOP & PRAKTISCH

http://www.katholiekonderwijs.vlaanderen/

2 van 33 Aanspreekpunt Informatieveiligheid: Opleiding Dag 1 – Deel 1

Dag 1 – Deel 1 Aanspreekpunt Informatieveiligheid: Opleiding 3 van 33

Inhoud

1 INLEIDING.................................................................................................. 5

1.1 Algemeen ................................................................................................... 5 1.2 Deelname ................................................................................................... 6 1.3 Bronnen ..................................................................................................... 6

2 Basisbegrippen ........................................................................................... 7

2.0 Inleiding ..................................................................................................... 7 2.1 Toepassingsbereik ......................................................................................... 7 2.2 Gegevens van wie? ........................................................................................ 7 2.3 Algemene principes ....................................................................................... 8 2.4 Wie speelt een rol?........................................................................................ 9 2.5 Wat is verwerken? ......................................................................................... 9

3 Welke gegevens mag je verwerken? ............................................................... 10

3.0 Overzicht ................................................................................................. 10 3.1 Enkel met toestemming ................................................................................ 10 3.2 In het kader van een overeenkomst ................................................................. 11 3.3 Wettelijke verplichting................................................................................. 12 3.4 Vitaal belang ............................................................................................. 13 3.5 Openbaar belang ........................................................................................ 13 3.6 Gerechtvaardigd belang ................................................................................ 13 3.6.1 Algemeen ................................................................................................. 13 3.6.2 CLB-dossier versus Schooldossier ..................................................................... 14 3.6.3 “Kringen van vertrouwelijkheid” ..................................................................... 14 3.6.4 Omgaan met gevoelige info ........................................................................... 15 3.7 Bijzondere gegevens .................................................................................... 16 3.7.1 Algemeen ................................................................................................. 16 3.7.2 Gevoelige gegevens ..................................................................................... 16 3.7.3 Medische informatie .................................................................................... 16 3.7.4 Rijksregisternummer.................................................................................... 17

4 Hoe moet je gegevens correct verwerken? ...................................................... 18

4.0 Overzicht ................................................................................................. 18 4.0.1 “Accountability” ........................................................................................ 18 4.0.2 Verwerkingsverantwoordelijke moet zorgen voor: ................................................ 18 4.1 Rechtmatigheid en transparantie .................................................................... 19 4.2 Doelbinding ............................................................................................... 19 4.3 Proportioneel ............................................................................................ 20 4.4 Juistheid .................................................................................................. 20 4.5 Opslagbeperking ......................................................................................... 20 4.6 Beveiliging waarborgen ................................................................................ 21

5 Rechten van de betrokkene ......................................................................... 22

5.0 Overzicht ................................................................................................. 22 5.1 Toestemmingen geven / intrekken .................................................................. 22 5.1.1 Toestemmingen (herhaling) ........................................................................... 22 5.1.2 Enkele praktijkvoorbeelden ........................................................................... 22 5.1.3 Intrekken toestemming ................................................................................ 23 5.1.4 Niet geven toestemming ............................................................................... 23 5.1.5 Bijlage ..................................................................................................... 24 5.2 Inzagerecht (kennisnemen) ............................................................................ 25 5.3 Verbeteren / betwisten gegevens .................................................................... 26 5.4 Recht om vergeten te worden ........................................................................ 26


6 Plichten van de verwerkingsverantwoordelijke ................................................ 27

6.0 Overzicht .................................................................................................. 27 6.1 Kennisgeving.............................................................................................. 27 6.2 Eerlijk beheer ............................................................................................ 27 6.3 Beveiliging ................................................................................................ 28 6.4 Externe partijen ......................................................................................... 28 6.5 Datalekken melden ...................................................................................... 29

7 Schematische weergave (mindmaps) ............................................................. 30


1 INLEIDING

1.1 Algemeen

Onder de bevoegdheid van een (toekomstig) “Aanspreekpunt Informatieveiligheid” (verder afge-

kort als: AIV) valt o.a.

• ICT, preventieadviseur, directie bijstaan inzake informatieveiligheid en privacy

• In orde stellen met nieuwe wetgeving, uiterlijk tegen 25 mei 2018

• Meewerken aan sensibilisering

• Allerhande vragen en problemen inzake informatieveiligheid en privacy oplossen

• Beheer van toestemmingen, datalekken

Dit wil niet zeggen dat je dit als AIV dit alleen moet doen …

Gedurende een opleiding van drie dagen zullen lesgevers van het Katholiek Onderwijs Vlaanderen

(dienst Bestuur & Organisatie) u voorbereiden op deze taak.

Concreter zullen wij het volgende met u behandelen:

• De vernieuwde privacywetgeving, toegepast op het onderwijs met praktische voorbeelden

• Inventaris maken van de persoonsgegevens die verwerkt worden op school

• Classificatie van informatie maken

• Risicoanalyse in functie van informatieveiligheid en privacy opstellen

• Een IVP-beleid opstellen

• Register van gegevensverwerkingen aanleggen en onderhouden

• Afspraken maken met externe partners die persoonsgegevens van jouw school verwerken

• Hoe moet je omgaan met datalekken (procedures, meldpunt…)

• Hoe sensibiliseer/informeer je personeel (en leerlingen) aangaande informatieveiligheid

en privacy

• Hoe communiceer je met leerlingen en ouders

De projectleider voor deze opleiding is Gino De Meester:

[email protected] – TEL. 02 507 08 12

mailto:[email protected]


1.2 Deelname

Met uitzondering van een eerste cursusdag die voor de “pilootgroep” van AIV’s georganiseerd

werd, zullen alle volgende sessies en reeksen via de website van nascholing.be beheerd worden:

http://nascholing.be/2017-2018/index.aspx?modID=2248107 (of zoekterm: “aanspreekpunt”)

Alle informatie, de mogelijkheid tot inschrijven en facturatie verloopt via dit platform.

1.3 Bronnen

Al het digitale materiaal uit en in het kader van deze opleiding is terug te vinden op het onder-

staande portaal:

…………………………………………………………………………………………………

Hier komt een uitgebreide colofon, waaruit hieronder alvast enkele voorname bronnen terug te

vinden zijn.

Ook zullen er informatie en gidsen komen ten behoeve van AIV’s en personeelsleden om de nieu-

we wetgeving in de praktijk toe te passen.

Met der tijd zal ook een uitgebreide, eenvoudig te raadplegen, “FAQ” aan het portaal toegevoegd

worden.

• De AVG-wetgeving is op vele plaatsen te raadplegen, maar op onderstaande link kan u on-

derlinge verwijzingen gemakkelijk onderzoeken, en wordt er ook steeds teruggekoppeld

naar de achterliggende grondslag(en):

http://www.privacy-regulation.eu/nl/

• De toezichthouder voor uw instelling(en) zal de Privacy Commissie zijn. Er zijn hier dan

ook veel informatie en dossiers terug te vinden:

https://www.privacycommission.be/ (merk de aftelklok op …)

https://www.privacycommission.be/nl/themadossier-avg

https://www.privacycommission.be/nl/algemene-verordening-gegevensbescherming-0

• Nederland, en i.h.b. het Nederlandse onderwijs, staan al iets verder in de implementatie

van de nieuwe wetgeving… Ook op het vlak van “best practices” en sensibiliseringsmate-

riaal zijn er op onderstaande website, van Kennisnet, veel interessante voorbeelden te

vinden:

https://www.kennisnet.nl/organiseren-ict/informatiebeveiliging-privacy-ibp/

http://nascholing.be/2017-2018/index.aspx?modID=2248107

http://www.privacy-regulation.eu/nl/

https://www.privacycommission.be/

https://www.privacycommission.be/nl/themadossier-avg

https://www.privacycommission.be/nl/algemene-verordening-gegevensbescherming-0




2 Basisbegrippen

2.0 Inleiding

Citaat: artikel 1, eerste zinnen wetgeving:

“ Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke

personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer

van persoonsgegevens.

Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke per-

sonen en met name hun recht op bescherming van persoonsgegevens. ”

2.1 Toepassingsbereik

• Niet voor huishoudelijk gebruik

• Identificeerbare gegevens van natuurlijke personen

• Verwerking met het oog op opslag

– Losse post-it’s versus fichebak of geordende kaft

2.2 Gegevens van wie?

• Gegevens over en van natuurlijke personen

• Die opgeslagen worden in een bestand

– Bestand: bevat een structuur

– Alles op elektronisch toestel / locatie

– Maar bv. ook fichebak, maar geen lossen bladen

• Alle EU-burgers

– Ongeacht waar gegevens bewaard worden

– Activiteiten: enkel indien die zich voordoen in EU

• Ook niet-EU-burgers

– Indien gegevens bewaard in EU


2.3 Algemene principes

• De gegevens moeten rechtmatig, behoorlijk en transparant bekomen worden.

• Er moet een duidelijke en verantwoorde doelbinding zijn.

• De hoeveelheid persoonsgegevens die verwerkt worden, moeten steeds zo minimaal moge-

lijk gehouden worden.

• De gegevens die bijgehouden worden, moeten (ten allen tijde) juist zijn.

• Gegevens worden niet langer verwerkt dan nodig (opslagbeperking).

Bij het archiveren van gegevens wordt op een juiste manier pseudonimisering of anonimi-

sering toegepast.

• Gegevens worden integer en vertrouwelijk verwerkt (beveiliging).

• De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving én kan deze aanto-

nen.


2.4 Wie speelt een rol?

• Betrokkene

• Verwerkingsverantwoordelijke

• Verwerker

2.5 Wat is verwerken?

Verzamelen, vragen, bewaren, raadplegen, analyseren, aanpassen, verwijderen,

archiveren, doorgeven, …

met de bedoeling om de gegevens in een bestand op te nemen


3 Welke gegevens mag je verwerken?

3.0 Overzicht

= Grondslagen om persoonsgegevens te mogen verwerken

1. Enkel met toestemming

2. In het kader van een overeenkomst die aangegaan werd

3. Indien je een wettelijke verplichting moet nakomen

4. Als het gaat om vitaal belang

5. Als het gaat om openbaar belang

6. Als er een gerechtvaardigd belang is

NIET: Gegevens met bijzondere bescherming

3.1 Enkel met toestemming

• Vooraf te geven

• Hangt samen met duidelijk(e) doel(en)

• Actieve handeling & Aantoonbaar

• Ten allen tijde intrekbaar

• > 16: zelf

• < 16 of niet-bekwaam: ouder(s)

• Leeftijdsgrens voor BE nog niet definitief…

– Sowieso tussen 13 en 16

• Toestemmingsformulier / -strookje

– Niet meer “stilzwijgend”

• Vinkje of dergelijke zetten, opgesplitst naar doel toe, bv. in een rooster

– Naam / contactgegevens op website

– Foto op website

– Foto op Facebook

– “Taggen” op Facebook

– …

• Te ondertekenen – bijhouden


3.2 In het kader van een overeenkomst

• Inschrijven van een leerling

– Ondertekenen schoolreglement

• Overeenkomst: onderwijs geven & begeleiden

– Leerlingadministratie

– Leerling volgen

– Leerling evalueren

• Aannemen van een personeelslid

• Arbeidsovereenkomst

– Loonadministratie

– Loopbaan

• Voorbeelden:

– Noodtelefoon: nabewaking / secretariaat

– Klas, identiteit > uitgeverij voor bv. login op digitaal platform

• Voor deze nascholing:

– Algemene opsomming informatie die nodig is om nascholingen te organiseren,

geven en op te volgen


3.3 Wettelijke verplichting

• Voorbeelden (leerlingen)

– Opleidingsniveau moeder

– Identificatie: Agodi

– Naamgegevens, adres, aanwezigheden: verificateur

– Zorggegevens, gezinssituatie: CLB

– BuO / BuSO: multidisciplinair team

• Voorbeelden (personeel)

– Identificatie

– Loopbaan

– Loonadministratie

• Voorbeelden (pedagogische begeleiding)

– Loopbaan, i.h.b. beginnende leerkrachten of specifieke opdracht


3.4 Vitaal belang

• Omwille van dwingende nood

– Epilepsieaanval, diabetes, …

– Dan mag informatie wel doorgegeven worden

3.5 Openbaar belang

• Voorbeeld

– Epidemie (TBC, meningitis)

3.6 Gerechtvaardigd belang

3.6.1 Algemeen

• Voorbeelden

– Gegevens voor (digitale) leermiddelen

– CLB-dossier ≠ Schooldossier

– “Kringen van vertrouwelijkheid”

– Beveiligingslagen


3.6.2 CLB-dossier versus Schooldossier

CLB-dossier Schooldossier

• Beroepsgeheim

• Meest gevoelige info (gezin, medisch, zorg, …)

• Geen toegang personeel school

• Discretieplicht

• Enkel info, nodig om les te geven & leerling op te volgen

• Eventueel leestoegang personeel CLB (Enkel lln. onder hun begeleiding)

3.6.3 “Kringen van vertrouwelijkheid”


3.6.4 Omgaan met gevoelige info

• Belang van de leerling dienen

– Samenspraak met leerling / ouders

• Steeds binnen doelstelling: les geven

• Personeelsleden: discretieplicht

– Arbeidsreglement, maar geldt ook na vertrek

• CLB-medewerkers: beroepsgeheim

• Privacywetgeving steeds van toepassing

– Extra bescherming: minderjarigen

• GEB (gegevensbeschermingseffectbeoordeling):

– Verplicht voor CLB

– Scholen: verplicht voor LVS


3.7 Bijzondere gegevens

3.7.1 Algemeen

• Mogen in principe NIET verwerkt worden !!!

• Gevoelige gegevens

• Rijksregisternummer

• Strafrechterlijke informatie (niet van toepassing voor onderwijs)

3.7.2 Gevoelige gegevens

• Raciaal / etnische afkomst

• Politieke overtuiging

• Levensbeschouwelijke aspecten

• Lidmaatschap vakvereniging (vakbond)

• Genetische of biometrische gegevens

• Medische informatie

• Seksuele geaardheid of voorkeur

3.7.3 Medische informatie

• Expliciete toestemming nodig

• Zelf periodiek bijwerken / verwijderen

• Voorbeelden (leerlingen)

– (Tijdelijk) verminderde mobiliteit

– Allergie

– Epilepsie, diabetes, …

– Autisme


3.7.4 Rijksregisternummer

• Is wettelijk beschermd; machtiging nodig

• Beheer: Vlaamse Toezichtscommissie (VTC)

– Er moet een veiligheidsplan en een –consulent aangesteld zijn

• Schoolinstellingen gemachtigd om:

– Doorgeven aan Agodi (mag leerling weigeren)

– Controle door verificateur

– Opvraging schoolloopbaan door overheid

• Dus niet gemachtigd om:

– (interne) identificatie / pseudonimisering

– TIP: gebruik WISA of stamboeknummer


4 Hoe moet je gegevens correct verwerken?

4.0 Overzicht

4.0.1 “Accountability”

• Verantwoordingsplicht

– Een van de centrale principes

– Communiceren, informeren

• IVPB opstellen

• Register kunnen voorleggen

• Sommige gevallen: GEB (gegevensbeschermingseffectbeoordeling)

4.0.2 Verwerkingsverantwoordelijke moet zorgen voor:

1. Rechtmatigheid en transparantie

2. Steeds in overeenstemming met het doel

3. Proportioneel

4. Juistheid en integriteit

5. Opslagbeperking

6. Beveiliging waarborgen


4.1 Rechtmatigheid en transparantie

• Rechtmatigheid

– Enkel gegevens die je nodig hebt

– Cf. grondslagen (zie § 3.0) / doelbinding

– Moet je verantwoorden

• Transparantie

– Communicatie met betrokkenen

• Kennisgeving (1 keer)

• Aanpassingen, wijzigingen, …

melden / vragen

– Moet in begrijpelijke taal

4.2 Doelbinding

• Steeds verantwoorden waarom je verwerkt

• Voorbeelden (doelen):

– Financiële gegevens facturatie

– Leerlingenadministratie

– Leerlingen volgen

– Leerlingen evalueren

– Kleding/schoenmaat werkplekleren

– Allergie of dergelijke opvang, reis


4.3 Proportioneel

• Enkel gegevens die strikt nodig zijn voor

– Doelbinding

– Nakomen overeenkomst

• “Nice to know” / “Need to know”

• Voorbeeld

– Opleidingsniveau moeder versus vader

4.4 Juistheid

• Ten allen tijde up-to-date en juist

• Procedures / afspraken & audit nodig (?)

• Cf. recht op inzage

4.5 Opslagbeperking

• Per gegeven dat je verwerkt moet je vastleggen (en informeren):

– Doelbinding

– Tijdsduur

– Welke groepen toegang hebben

– Beveiligingsmaatregel(en)

• Beperking in de tijd

– Hoe lang worden de gegevens bewaard

– Worden ze daarna gearchiveerd of verwijderd

• Gearchiveerd: voor hoe lang

• Verwijderen in databank …


• Anonimiseren

– Identiteit kan onmogelijk terug achterhaald worden

• Pseudonimiseren

– Code/sleutel zorgt ervoor dat personen niet rechtstreeks achterhaald kunnen

worden

– Code/sleutel moet apart bijgehouden en extra beveiligd worden (bv. encryptie)

– Sleutelbeheer (en beveiliging) moet gedocumenteerd worden

• Voor leerlingengegevens

– Wettelijke bewaartermijnen leerlinggebonden documenten

– Gedurende schoolloopbaan op die instelling

– Eventueel +1 jaar extra melden

– Oud-leerlingen (bv. contactgegevens)

toestemming vragen

• Voor personeelsgegevens

– Gedurende werkloopbaan op die instelling

– Eventueel +1 jaar extra melden

– Langer bewaren toestemming vragen

4.6 Beveiliging waarborgen

• Organisatorisch

– Preventieadviseur

• Technisch

– ICT

• Voorbeelden:

– Fysieke beveiligingsmaatregelen

– Backups, encryptie

– “Privacy by design” en “Privacy by default”

– Two-factor authentication


5 Rechten van de betrokkene

5.0 Overzicht

1. Toestemming geven en ten allen tijde kunnen intrekken

2. Inzagerecht (kennisnemen)

– Verschil met kennisgeving

3. Verbeteren / betwisten gegevens

4. Recht om vergeten te worden

5.1 Toestemmingen geven / intrekken

5.1.1 Toestemmingen (herhaling)

• Vooraf te geven + Actieve handeling

• Hangt samen met duidelijk(e) doel(en)

• Ten allen tijde intrekbaar

• Leeftijdsgrens

– 16 (en bekwaam)

– Sowieso tussen 13 en 16

• Aantoonbaar

– D.w.z. bijhouden

– Digitaal kan ook!

5.1.2 Enkele praktijkvoorbeelden

• Foto’s en beeldmateriaal:

– In principe: telkens apart

– Algemene toelating kan, maar:

• Splitsen waarvoor gebruikt (cf. doelbinding)

• Bijv. m.b.v. een rooster (ja / nee)

• Intern platform, website, Facebook, … apart


• Gegevens van ouders

– Adres, telefoon, email

– Iedere ouder apart

• Gegevens doorgeven aan derden

– Bv. tijdschrift, parochie, uitgevers, secundaire scholen, …

– Mag NIET

– Tenzij:

• Afzonderlijke toestemming vragen

• Doel duidelijk vermelden (en dan ook enkel voor dat doel)

• Gegevens personeel publiceren

– GSM: wel indien werknummer

– Email: mag, maar enkel werkadres, niet privé

– Foto’s: eigenlijk niet, zonder toestemming

– In overeenstemming met uit te oefenen taak

5.1.3 Intrekken toestemming

• Kan ten allen tijde

– Schriftelijk

– Via email of andere elektronische weg

• Geldt niet “terugwerkend” !

– Vanaf moment intrekking is verwerking niet meer toegelaten

– “Zonder onredelijke vertraging”

– Verwerkte gegevens van voor dat moment, dienen daarom niet verwijderd of te-

ruggeroepen te worden

5.1.4 Niet geven toestemming

• Er mag geen “dwang” zijn

• Enkel opnemen in schoolreglement (als “veronderstelling”) volstaat niet

• Inschrijving weigeren wegens niet geven van toestemming(en) mag niet


5.1.5 Bijlage

Toestemmingsformulier – Opleiding “Aanspreekpunt informatieveiligheid” (AIV)

Beste

Vandaag begint uw opleidingstraject als “Aanspreekpunt informatieveiligheid”, voor de onder uw

bevoegdheid vallende instelling(en).

Gelet op de nieuwe wetgeving inzake informatieveiligheid en privacy, willen wij uw uitdrukkelijke

toestemming vragen voor een aantal verwerkingen die wij met uw persoonsgegevens doen. Het

gaat om verwerkingen die buiten het nakomen van onze verplichting vallen om uw opleiding te

organiseren. Hiervoor is het noodzakelijk dat wij het volgende verwerken:

• Een overzicht met uw voornaam, naam en emailadres en de basisgegevens van de instellingen die onder uw bevoegdheid vallen.

• De datum(s) waarop u welke sessie gevolgd hebt.

• Overzichtslijsten van de AIV’s per regio.

• Ook regionale en globale statistieken hebben wij nodig om onze werking intern op te volgen.

Hierin zullen individuele persoonsgegevens nooit identificeerbaar zijn.

Gelieve hieronder duidelijk uw keuze aan te vinken aangaande de volgende gegevensverwerkin-

gen:

JA NEEN • Mag uw emailadres gedeeld worden met AIV’s binnen dezelfde

scholengemeenschap, om informatie te vergelijken en desgeval-lend samen te werken?

O O

• Mag uw emailadres gedeeld worden met AIV’s binnen de regio, om

informatie te vergelijken en desgevallend samen te werken? O O

• Het is NIET de bedoeling dat een personeelslid van een instelling

die onder uw bevoegdheid valt, rechtstreeks contact met ons op-neemt. Als dit voorvalt, mogen wij dan uw emailadres als ant-woord doorgeven?

O O

Uw voornaam en naam: ……………………………………………………………………… Datum: ……… / ……… / 20………

Emailadres: …………………………………………………………………………………………

+ Handtekening

Namens Katholiek Onderwijs Vlaanderen, dienst Bestuur & Organisatie

Guimardstraat 1 – 1040 Brussel


5.2 Inzagerecht (kennisnemen)

• Gegevens opvragen

– Identificatie, contact, punten, LVS, …

• Cf. leeftijdsgrens

– Vanaf 16 leerling zelf, anders ouders

• Kan op eender welk moment

• Moet binnen bewaartermijn

– Als school te bepalen (uitz. wettelijk vereist)

– Moet wel vooraf gecommuniceerd zijn

• Mag geanonimiseerd worden, bv. LVS

• Mag niet “geschrapt” worden

• Binnen 1 maand

– Mits motivatie, 2 maanden extra

• Kan geweigerd worden

– Motiveren

– Betwisting: Privacy Commissie

• Kosten aanrekenen kan

– Bijkomende kopie(ën) – 1 kopie sowieso gratis

– Moet billijk / in verhouding zijn

• Cf. externen die gegevens verwerken

– Zie verder


5.3 Verbeteren / betwisten gegevens

• Updaten, verbeter, schrappen bepaalde gegevens

• Kosteloos

• Indien door verwerker zelf, of andere betrokkenen

– Alle betrokkenen moeten ingelicht worden

• Kan niet indien in strijd met een (andere) wetgeving of decreet

5.4 Recht om vergeten te worden

• Niet langer nodig

• Onrechtmatigheid

• “Zonder onredelijke vertraging”

• Definitief verwijderen

• Voorbeelden

– Mailinglijsten

– Afstuderende leerling

– Vertrekkend personeelslid

• Kan nooit voor een leerling /personeelslid, nog op de school


6 Plichten van de verwerkingsverantwoordelijke

6.0 Overzicht

1. Kennisgeving

– Verschil met inzagerecht (kennisgeving)

2. Eerlijk beheer

3. Beveiliging

– Cf. IVPB en register

– Voortdurend mee bezig zijn

– Best practices (volgen)

6.1 Kennisgeving

• Welke gegevens je verwerkt, waarvoor (doelbinding) en hoe lang

• Moet éénmalig gecommuniceerd worden

• Kan via (bijlage bij) schoolreglement

• Ook informeren indien:

– Andere gegevens

– Voor een ander doel

• Ook indien door externe verwerkers

• Niet nodig indien wetgeving / decreet

6.2 Eerlijk beheer

• Bijwerken, verbeteren, verwijderen indien nodig of volgens eigen beleid

• Toegang beperken tot personen waar het echt voor nodig is

• Bijhouden in Register van verwerkingsactiviteiten !!!

• Betrokken personeel ook informeren en sensibiliseren

• Zie ook algemeen reglement:

1/09/2012 art. 7 lid 7

• Zie ook arbeidsreglement: art. 6, lid 8 en 9


6.3 Beveiliging

• Uitvoeren risicoanalyse

– Gebaseerd op ISO 27000 / ITIL

• Bepalen eigen maatregelen

• Er aan houden

• Bijsturen en manier van werken aanpassen

• Cf. auditing

• Enkele voorbeelden

– Noodstroomvoorziening

– Backups

– Antivirus

– Wachtwoordbeleid (eventueel 2-factor)

– Encryptie

– Gebruikersrechtenbeleid

• Opletten voor

– Buiten gebruik gesteld materiaal (pc’s)

– Archief en backups onderhouden

– Cloud toepassingen / externe datacenters

• Duidelijke afspraken maken (op papier)

• Verwerkersovereenkomsten sluiten

6.4 Externe partijen

• Ook verantwoordelijk hiervoor VERWERKERS

− Externe partijen, platformen, leveranciers

− Verwerkersovereenkomst(en) afsluiten !!!

− KathOndVla & Go! Intentieverklaring

− Moet niet indien wettelijke verplichting (wel opnemen in Register)


6.5 Datalekken melden

• Meldpunt voorzien

• Van wie zijn welke gegevens (mogelijk) “gelekt”

• Niet nodig indien:

– Geanonimiseerd

– Gepseudonimiseerd (zonder sleutel)

– Geëncrypteerd

• Melden aan privacycommissie

• Betrokkenen informeren

– Indien persoonlijke rechten en vrijheden in gevaar

• Beleid opstellen voorkomen

• Sensibiliseren


7 Schematische weergave (mindmaps)

DE NIEUWE WETGEVING IN EEN NOTENDOP &...

Documents

Transcript of DE NIEUWE WETGEVING IN EEN NOTENDOP &...