Beheer en beveiliging van persoonlijke gegevens van Europese burgers (GDPR of AVG)
Het beheer en de beveiliging van persoonlijke gegevens van Europese burgers wordt geregeld in de Algemene Verordening Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation).
Sinds vrijdag 25 mei 2018 moet elke organisatie kunnen aantonen welke persoonsgegevens ze verzamelt en hoe de data gebruikt en beveiligd worden.
Alle bedrijven, overheidsdiensten, organisaties en instellingen die in Europa persoonsgegevens verwerken, gebruiken, registreren of bewaren, moeten voldoen aan deze richtlijn.
Centraal staan een aantal principes i.v.m. gegevensbescherming, die ook al in de huidige regelgeving staan, maar in de nieuwe GDPR-regelgeving versterkt worden:
- Een rechtmatige, behoorlijke en transparante verwerking van gegevens. Elke organisatie moet toestemming vragen om gegevens te verzamelen en te gebruiken.
- De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Er moeten maatregelen genomen worden om onnauwkeurige of onvolledige gegevens te verbeteren.
- De gegevens moeten volgens een afdoend veiligheidsniveau worden verwerkt door gebruik te maken van passende, technische en organisatorische maatregelen.
- De persoonsgegevens worden verkregen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde en mogen niet worden verwerkt op een manier die onverenigbaar is met dit doeleinde.In grote organisaties moet een DPO (Data Protection Officer) aangesteld worden om dit te bewaken. Dit moet iemand zijn met een goede juridische kennis op het vlak van de gegevensbeschermingswetgeving, maar ook op het vlak van administratief recht. Daarnaast moet een DPO ook een goed inzicht moeten hebben in de uitgevoerde verwerkingsactiviteiten, de informatiesystemen en de behoeften van de verwerkingsverantwoordelijke op vlak van gegevensbescherming en gegevensbeveiliging. Een specifiek diploma of bijzondere certificering is niet vereist.
- Uitsluitend de gegevens die noodzakelijk zijn voor de vastgestelde doeleinden mogen verwerkt worden.
- De bewaartermijn van de gegevens is beperkt en is duidelijk vastgelegd. De persoonsgegevens moeten ontoegankelijk worden nadat de vastgestelde bewaartermijn is afgelopen.
Meer informatie over de verplichtingen i.v.m. de GDPR(opent in nieuw venster) vindt u op de website van de Gegevensbeschermingsautoriteit (vroegere privacycommissie).
Gegevensbescherming bij de Vlaamse overheid
De Vlaamse overheid werkt aan het project 'Mijn burgerprofiel'. In de toekomst krijgt u in uw burgerprofiel zicht op de informatie die de Vlaamse overheid (en bij uitbreiding andere overheden) over u heeft. Als u foute gegevens opmerkt of vragen hebt, kunt u die onmiddellijk melden. Door de meldingsfunctionaliteit kan de overheid de authentieke gegevens verbeteren.
Elke dienst van de Vlaamse overheid moet een DPO (Data Protection Officer) aanstellen, die de vragen kan beantwoorden over hoe die dienst persoonlijke gegevens verwerkt.