Verplichtingen bij het verwerken van persoonsgegevens

Het verwerken van persoonsgegevens brengt verschillende verplichtingen met zich mee voor de verwerkingsverantwoordelijke.

Verwerkingsverantwoordelijke en verwerker

Er is soms onduidelijkheid over de kwalificatie van verwerkingsverantwoordelijke en verwerker.

De Vlaamse Toezichtcommissie wil helpen om meer klaarheid te brengen voor de Vlaamse Overheid en de lokale besturen. In samenwerking met de VVSG worden casussen verzameld en besproken. Daarmee bedoelen we de meest voorkomende vragen te beantwoorden. De visie kan evolueren.

Laatste versie van het schema met de verschillende mogelijkheden en de te vervullen formaliteiten(PDF bestand opent in nieuw venster)

Een schema is een vereenvoudiging. Combinaties van de erin vermelde situaties zijn mogelijk.
Vragen waarover we ons nog aan het buigen zijn, zijn o.a. de verzekeraars en de preventiediensten.
Als algemene regel geldt dat aan de kwalificaties van vóór de AVG niets verandert. Ze krijgen alleen meer aandacht wegens de meer uitgewerkte verplichtingen.
Er is onzekerheid over het statuut van gezamenlijke verwerkingsverantwoordelijken. Als u vroeger niet samen met een andere organisatie een verantwoordelijke was, bent u het nu normaal gezien ook niet. Hier komt verdere verduidelijking rond.

Functionaris (DPO)

Elke Vlaamse bestuursinstantie moet een functionaris voor gegevensbescherming aanstellen en de aanstelling melden bij de Vlaamse Toezichtcommissie.

Functionaris aanmelden, onafhankelijkheid, belangenconflictenFunctionaris aanmelden, onafhankelijkheid, belangenconflicten

DPIA uitvoeren

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een Gegevensbeschermingseffectbeoordeling (GEB) of data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

DPIA uitvoeren: hoe en wanneer?DPIA uitvoeren: hoe en wanneer?

Informatieveiligheid

Elke instantie die persoonsgegevens verwerkt, is verplicht die informatie te beschermen en te beveiligen.

Meer over informatieveiligheidMeer over informatieveiligheid

Meldplicht voor gegevenslekken

Met ingang van 25 mei 2018 geldt een meldplicht voor gegevenslekken. Deze meldplicht houdt in dat Vlaamse instanties binnen de 72 uur en zonder onredelijke vertraging een melding moeten doen bij de Vlaamse Toezichtcommissie zodra er een risico bestaat voor de fundamentele rechten en vrijheden van de betrokkenen (de mensen van wie de persoonsgegevens zijn).

Inbreuk of gegevenslek meldenInbreuk of gegevenslek melden

Protocol

Het is verplicht om een protocol op te maken voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie aan een andere Vlaamse instantie of aan een externe overheid.

Protocol opmaken bij mededeling van persoonsgegevensProtocol opmaken bij mededeling van persoonsgegevens

Verwerkersovereenkomst

Als u een verwerker (IT-leverancier, een andere overheidsdienst, ...) inschakelt voor het verwerken van persoonsgegevens, dan bent u verplicht om een aantal onderwerpen vast te leggen in een schriftelijke verwerkersovereenkomst.

Het is ook belangrijk dat u zicht houdt op alle subverwerkers.

Meer over verwerkersovereenkomstMeer over verwerkersovereenkomst

Rechten van betrokkenen garanderen

De verwerkingsverantwoordelijke moet garanderen dat de betrokkenen de rechten die ze op basis van de AVG hebben effectief kunnen uitoefenen.

Rechten van betrokkenenRechten van betrokkenen

Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens