Verplichtingen bij het verwerken van persoonsgegevens
Het verwerken van persoonsgegevens brengt verschillende verplichtingen met zich mee voor de verwerkingsverantwoordelijke.
Functionaris (DPO)
Elke Vlaamse bestuursinstantie moet een functionaris voor gegevensbescherming aanstellen en de aanstelling melden bij de Vlaamse Toezichtcommissie.
DPIA uitvoeren
Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een Gegevensbeschermingseffectbeoordeling (GEB) of data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Informatieveiligheid
Elke instantie die persoonsgegevens verwerkt, is verplicht die informatie te beschermen en te beveiligen.
Meldplicht voor gegevenslekken
Met ingang van 25 mei 2018 geldt een meldplicht voor gegevenslekken. Deze meldplicht houdt in dat Vlaamse instanties binnen de 72 uur en zonder onredelijke vertraging een melding moeten doen bij de Vlaamse Toezichtcommissie zodra er een risico bestaat voor de fundamentele rechten en vrijheden van de betrokkenen (de mensen van wie de persoonsgegevens zijn).
Protocol
Het is verplicht om een protocol op te maken voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie aan een andere Vlaamse instantie of aan een externe overheid.
Verwerkersovereenkomst
Als u een verwerker (IT-leverancier, een andere overheidsdienst, ...) inschakelt voor het verwerken van persoonsgegevens, dan bent u verplicht om een aantal onderwerpen vast te leggen in een schriftelijke verwerkersovereenkomst.
Het is ook belangrijk dat u zicht houdt op alle subverwerkers.
Rechten van betrokkenen garanderen
De verwerkingsverantwoordelijke moet garanderen dat de betrokkenen de rechten die ze op basis van de AVG hebben effectief kunnen uitoefenen.