VLAAMSE DPO

DATA PROTECTION IN PRACTICE SERIES

@To

mm

yVan

depi

tte

Dutch

http://vtc.corve.be/

INFO OP WEBSITE

@To

mm

yVan

depi

tte

Kader: Vlaams E-GOV Decreet Besl.Vl.Reg. 15 mei 2009

WETGEVING

@To

mm

yVan

depi

tte

@To

mm

yVan

depi

tte

MEER DETAIL DAN…Consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer

RR-Wettoegang tot of de mededeling van informatiegegevens van het Rijksregister 10 (aanstelling)16 (check)

Sectoraal Comité RR

Consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer

KB/SZ-Wettoegang tot of de mededeling van informatiegegevens van KB/SZ4 §5 (aanstelling)

Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid

Veiligheidsconsultent KB/SZ-WetIedere instelling van sociale zekerheid 24 (aanstelling)25 (advies + opdrachten)46 (check)

Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid

TOEPASSINGSGEBIED

@To

mm

yVan

depi

tte

ART. 9 E-GOV-DECREETART. 2 DPO-BESLUIT

Iedere instantie die een authentieke gegevensbron beheert die

persoonsgegevens bevat, iedere instantie die elektronische

persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die

overeenkomstig artikel 4, § 3, aangewezen is en

persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan.

(De Vlaamse Regering bepaalt de opdrachten en de manier van

aanwijzing van die veiligheidsconsulenten.)

@To

mm

yVan

depi

tte

PERSOONSGEGEVEN

iedere informatie

betreffende

een geïdentificeerd of identificeerbare

natuurlijke persoon

@To

mm

yVan

depi

tte

INSTANTIE

@To

mm

yVan

depi

tte

DPO VERPLICHT (1) Iedere instantie die een authentieke gegevensbron beheert

die persoonsgegevens bevat,

Authentieke gegevensbron: een op elektronische wijze bijgehouden verzameling van gegevens die als de meest volledige, kwalitatief hoogstaande door de Vlaamse Regering is erkend, en die nuttig of noodzakelijk is in het kader van het elektronische bestuurlijke gegevensverkeer

Voorbeelden Centraal Referentieadressenbestand Geografisch themabestand 'Vlaamse voorkooprechten’

@To

mm

yVan

depi

tte

DPO VERPLICHT (2) iedere instantie die elektronische persoonsgegevens

ontvangt of uitwisselt,

@To

mm

yVan

depi

tte

DPO VERPLICHT (3) iedere entiteit die overeenkomstig artikel 4 §3 van het decreet

van 18 juli 2008 aangewezen is en persoonsgegevens verwerkt

Art. 4 §3 E-Gov Decreet: De Vlaamse Regering kan een of meer entiteiten van de Vlaamse administratie aanwijzen om tussenbeide te komen bij de mededeling van gegevens uit authentieke gegevensbronnen of om een ondersteunend gebruikers- en toegangsbeheer te verwezenlijken.

Besluiten Besl.Vl.Reg. 15 mei 2009 Besl.Vl.Reg. 25 maart 2011 Besl.Vl.Reg. 29 november 2013

@To

mm

yVan

depi

tte

INCL. VERWERKERS

De opdrachten van de veiligheidsconsulent hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van persoonsgegevens die voor rekening van de instantie of de entiteit in kwestie door derden worden uitgevoerd. (art. 12)

@To

mm

yVan

depi

tte

TAKEN

@To

mm

yVan

depi

tte

Kennis opbouwen

Adviezen

Aanbevelingen

Veiligheidsplan

Vaststelling inbreuken

Jaarlijks rapport

Punctuele opdrachten

Controles

Bewustwordingsacties

ToezichtDocumenteren

@To

mm

yVan

depi

tte

(Veiligheidsbeleidslijnen)

Kennis opbouwen

Gestructureerd Ad hoc

Voorzien

Onvoorzien

Adviezen

Aanbevelingen

Veiligheidsplan

Vaststelling inbreuk

Jaarlijks rapport

Punctuele opdrachten

Controles

Bewustwordingsacties

Toezicht

Documenteren

@To

mm

yVan

depi

tte

GEDEGEN KENNIS, OP PEIL• Doel

• Deskundigheid (art. 4)• Voorwerp

• Informaticaomgeving van de organisatie (art. 9)• Informatieveiligheid (art. 9)

• Hoe

• (o.a.) Opleidingen (art. 11)

@To

mm

yVan

depi

tte

ADVIEZEN EN AANBEVELINGEN• Tekst: art. 3 1°

• Deskundige adviezen en aanbevelingen verstrekken

- over alle aspecten op het vlak van de informatieveiligheid- aan de verantwoordelijke voor het dagelijks bestuur van

de instantie of de entiteit in kwestie - op eigen initiatief of op verzoek van de verantwoordelijke

voor het dagelijks bestuur van de instantie of entiteit - schriftelijk en gemotiveerd, tenzij de risico's niet

voldoende ernstig zijn.

@To

mm

yVan

depi

tte

VEILIGHEIDSPLAN

• specifieke vorm van advies (zie art. 3 en art. 10)

• ontwerp door DPO beslissing door verantwoordelijke

• jaarlijks evalueren

• (zie ook jaarrapport – art. 11) • desgevallend aanpassen

@To

mm

yVan

depi

tte

VEILIGHEIDSPLAN• Inhoud

• plan voor een termijn van drie jaar (art. 10) • Voorbeelden

• Welke gegevens verzamelen (link art. 9)• Welke beleidslijnen opzetten?• Hoe bewustwording bevorderen? (art. 6 en 11)• Welke controles opzetten?

• middelen (op jaarbasis) vereist zijn om het plan uit te voeren (art. 10)

• Voorbeelden• Budgetten• Mandagen beschikbaarheid bepaalde medewerkers

@To

mm

yVan

depi

tte

PUNCTUELE OPDRACHTEN• Tekst: 3 2°

• Opdrachten uit te voeren

- met het oog op de veiligheid van de gegevens - die aan hem worden toevertrouwd door de

verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie

@To

mm

yVan

depi

tte

NALEVING BEVORDEREN• Tekst (art. 6)

• De veiligheidsconsulent bevordert (…) op de naleving van de veiligheidsvoorschriften, opgelegd door of krachtens een wets-, decretale of reglementsbepaling, (…).

• Voorbeelden

• Communicatie van de regels: • initieel • permanent (intranet, instructiebundel,…)

• Specifieke geheimhoudingsovereenkomsten / instructies• Bewustmakingscampagnes (art. 11)• Klassikale lessen, workshops, …• E-learning• Inwerken in evaluatiecriteria (HR)

@To

mm

yVan

depi

tte

TOEZIEN OP NALEVING• Tekst (art. 6)

• De veiligheidsconsulent (…) ziet toe op de naleving van de veiligheidsvoorschriften, opgelegd door of krachtens een wets-, decretale of reglementsbepaling, (…)

• Voorbeelden

• Opvragen van rapporten• Via “vlaggendragers” in onderdelen van de organisatie• Audit op specifieke verwerking of onderdeel op basis van

auditplan (en risico-inschatting)

@To

mm

yVan

depi

tte

CONTROLE OP GEDRAG • Tekst (art. 6)

• De veiligheidsconsulent (…) controleert of de personen die in de instantie of de entiteit persoonsgegevens verwerken, een veiligheidsgedrag vertonen.

• Voorbeelden

• Toevallige observaties• Technische monitoring (N.B. cao 81)• Rollenspel (in workshop)• “Test” (bijv. als onderdeel van bewustmakingscampagne)

@To

mm

yVan

depi

tte

DOCUMENTEREN• Tekst

• De veiligheidsconsulent legt de nodige documentatie aan over de informatieveiligheid. (art. 6)

• Minimum

• Adviezen (art. 3 1°)• veiligheidsplan (art. 10)• n.a.v. een vastgestelde overtreding (art. 6)

• (Bevorderings-) Campagnes (art. 6 en 11)• Controles (art. 6 en 11)• Rapporten

• Vaststelling overtredingen (art. 6)• Jaarverslag (art. 11)

@To

mm

yVan

depi

tte

DOCUMENTEREN• Eventueel ook (gedecentraliseerd)

• Beleidsdocumenten rond gegevensverwerking• Data sets in verwerkingsprocessen (overzicht)• Verwerkingsprocessen in organisatie (overzicht)• Toepassingen in gebruik (overzicht)• Privacy Impact Assessments (PIA’s)• Beveiligingsmaatregelen (overzicht)• Restrisicos (overzicht)• etc.

@To

mm

yVan

depi

tte

RAPPORTEREN

AD HOC (ART. 6)

Alle vastgestelde overtredingen worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit meegedeeld, en de nodige adviezen worden bijgevoegd om dergelijke overtredingen in de toekomst te vermijden.

PERIODIEK (ART. 11)

De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie jaarlijks een verslag op.

@To

mm

yVan

depi

tte

MIN. INHOUD JAARVERSLAG1. een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in

het afgelopen jaar en de nog te realiseren doelstellingen

2. een samenvatting van de schriftelijke adviezen die aan de verantwoordelijke voor het dagelijks bestuur werden bezorgd en het gevolg dat eraan werd gegeven

3. een overzicht van de werkzaamheden, verricht door de veiligheidsconsulent

4. een overzicht van de resultaten van de controles, uitgevoerd door de veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die de informatieveiligheid van de instantie of de entiteit in kwestie in het gedrang hadden kunnen brengen

5. een overzicht van de gevoerde campagnes ter bevordering van de veiligheid

6. een overzicht van alle gevolgde opleidingen en van de geplande opleidingen

@To

mm

yVan

depi

tte

POSITIE

DPO

@To

mm

yVan

depi

tte

IN ORGANISATIE onder rechtstreekse functionele gezag van de

verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit (art. 8)

intern of extern (art. 2 §1)

Uitz.: art. 19 VDI-Decreet van 13 juli 2012 (intern) Extern wetgeving overheidsopdrachten

alleen of met adjudanten (art. 2 §1)

samenwerken (art. 8)

@To

mm

yVan

depi

tte

AANSTELLING formele aanstellingsbeslissing (art. 2 §1)

gunstig advies van Vlaamse Toezichtcommissie vereist (art. 2 §2), wat een check inhoudt over:

voldoende gevormd om de functie van veiligheidsconsulent uit te oefenen

over de vereiste tijd beschikken om de veiligheidsopdrachten uit te voeren

geen activiteiten uitoefenen die onverenigbaar zijn met de functie van veiligheidsconsulent

@To

mm

yVan

depi

tte

ALGEMEEN objectiviteit, onpartijdigheid en onafhankelijkheid

bij geven van adviezen (art. 4) beschermd door “ontslagbescherming” (art. 7)

gehouden door beroepsgeheim (art. 6)

Alle info die hij actief / passief te weten komt in kader van zijn opdracht

Uitz.: wet of toestemming ev. getroffen derde Zelf, medewerkers en aangestelden Strafsancties (art. 458 Sw)

@To

mm

yVan

depi

tte

RELATIE MET VERANTWOORDELIJKE

Onder rechtstreekse functionele gezag van de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit (art. 8)

- Kan om advies verzoeken (art. 3 1°)

- Beslist over de adviezen (art. 3 1°), veiligheidsplan incluis (art. 10)

- Binnen 3 maanden- Deelt beslissing mee aan DPO

- Afwijking: schriftelijk en gemotiveerd

- Ontvangt ad hoc (art. 6) en jaarlijkse (art. 11) rapportering

- Geeft specifieke opdrachten m.b.t. veiligheid van gegevens (art. 3 2°)

@To

mm

yVan

depi

tte