vlaamse data protection officer (dutch) - dp in practice series
DESCRIPTION
EN - In the Belgian region of Flanders there is a very particular regulation on Data Protection Officer for bodies that are part of the exchange of information between the Flanders government. This slidedeck tries to present the main aspects of that regulation. NL - In Vlaanderen is er een specifieke regeling voor data protection officers ("veiligheidsconsulenten") bij instanties die deel uitmaken van de gegevensuitwisseling tussen Vlaamse overheidsinstellingen. Deze slides proberen de regeling daaromtrent weer te geven.TRANSCRIPT
VLAAMSE DPO
DATA PROTECTION IN PRACTICE SERIES
@To
mm
yVan
depi
tte
Dutch
Kader: Vlaams E-GOV Decreet Besl.Vl.Reg. 15 mei 2009
WETGEVING
@To
mm
yVan
depi
tte
@To
mm
yVan
depi
tte
MEER DETAIL DAN…Consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer
RR-Wettoegang tot of de mededeling van informatiegegevens van het Rijksregister 10 (aanstelling)16 (check)
Sectoraal Comité RR
Consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer
KB/SZ-Wettoegang tot of de mededeling van informatiegegevens van KB/SZ4 §5 (aanstelling)
Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid
Veiligheidsconsultent KB/SZ-WetIedere instelling van sociale zekerheid 24 (aanstelling)25 (advies + opdrachten)46 (check)
Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid
TOEPASSINGSGEBIED
@To
mm
yVan
depi
tte
ART. 9 E-GOV-DECREETART. 2 DPO-BESLUIT
Iedere instantie die een authentieke gegevensbron beheert die
persoonsgegevens bevat, iedere instantie die elektronische
persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die
overeenkomstig artikel 4, § 3, aangewezen is en
persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan.
(De Vlaamse Regering bepaalt de opdrachten en de manier van
aanwijzing van die veiligheidsconsulenten.)
@To
mm
yVan
depi
tte
PERSOONSGEGEVEN
iedere informatie
betreffende
een geïdentificeerd of identificeerbare
natuurlijke persoon
@To
mm
yVan
depi
tte
INSTANTIE
@To
mm
yVan
depi
tte
DPO VERPLICHT (1) Iedere instantie die een authentieke gegevensbron beheert
die persoonsgegevens bevat,
Authentieke gegevensbron: een op elektronische wijze bijgehouden verzameling van gegevens die als de meest volledige, kwalitatief hoogstaande door de Vlaamse Regering is erkend, en die nuttig of noodzakelijk is in het kader van het elektronische bestuurlijke gegevensverkeer
Voorbeelden Centraal Referentieadressenbestand Geografisch themabestand 'Vlaamse voorkooprechten’
@To
mm
yVan
depi
tte
DPO VERPLICHT (2) iedere instantie die elektronische persoonsgegevens
ontvangt of uitwisselt,
@To
mm
yVan
depi
tte
DPO VERPLICHT (3) iedere entiteit die overeenkomstig artikel 4 §3 van het decreet
van 18 juli 2008 aangewezen is en persoonsgegevens verwerkt
Art. 4 §3 E-Gov Decreet: De Vlaamse Regering kan een of meer entiteiten van de Vlaamse administratie aanwijzen om tussenbeide te komen bij de mededeling van gegevens uit authentieke gegevensbronnen of om een ondersteunend gebruikers- en toegangsbeheer te verwezenlijken.
Besluiten Besl.Vl.Reg. 15 mei 2009 Besl.Vl.Reg. 25 maart 2011 Besl.Vl.Reg. 29 november 2013
@To
mm
yVan
depi
tte
INCL. VERWERKERS
De opdrachten van de veiligheidsconsulent hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van persoonsgegevens die voor rekening van de instantie of de entiteit in kwestie door derden worden uitgevoerd. (art. 12)
@To
mm
yVan
depi
tte
TAKEN
@To
mm
yVan
depi
tte
Kennis opbouwen
Adviezen
Aanbevelingen
Veiligheidsplan
Vaststelling inbreuken
Jaarlijks rapport
Punctuele opdrachten
Controles
Bewustwordingsacties
ToezichtDocumenteren
@To
mm
yVan
depi
tte
(Veiligheidsbeleidslijnen)
Kennis opbouwen
Gestructureerd Ad hoc
Voorzien
Onvoorzien
Adviezen
Aanbevelingen
Veiligheidsplan
Vaststelling inbreuk
Jaarlijks rapport
Punctuele opdrachten
Controles
Bewustwordingsacties
Toezicht
Documenteren
@To
mm
yVan
depi
tte
GEDEGEN KENNIS, OP PEIL• Doel
• Deskundigheid (art. 4)• Voorwerp
• Informaticaomgeving van de organisatie (art. 9)• Informatieveiligheid (art. 9)
• Hoe
• (o.a.) Opleidingen (art. 11)
@To
mm
yVan
depi
tte
ADVIEZEN EN AANBEVELINGEN• Tekst: art. 3 1°
• Deskundige adviezen en aanbevelingen verstrekken
- over alle aspecten op het vlak van de informatieveiligheid- aan de verantwoordelijke voor het dagelijks bestuur van
de instantie of de entiteit in kwestie - op eigen initiatief of op verzoek van de verantwoordelijke
voor het dagelijks bestuur van de instantie of entiteit - schriftelijk en gemotiveerd, tenzij de risico's niet
voldoende ernstig zijn.
@To
mm
yVan
depi
tte
VEILIGHEIDSPLAN
• specifieke vorm van advies (zie art. 3 en art. 10)
• ontwerp door DPO beslissing door verantwoordelijke
• jaarlijks evalueren
• (zie ook jaarrapport – art. 11) • desgevallend aanpassen
@To
mm
yVan
depi
tte
VEILIGHEIDSPLAN• Inhoud
• plan voor een termijn van drie jaar (art. 10) • Voorbeelden
• Welke gegevens verzamelen (link art. 9)• Welke beleidslijnen opzetten?• Hoe bewustwording bevorderen? (art. 6 en 11)• Welke controles opzetten?
• middelen (op jaarbasis) vereist zijn om het plan uit te voeren (art. 10)
• Voorbeelden• Budgetten• Mandagen beschikbaarheid bepaalde medewerkers
@To
mm
yVan
depi
tte
PUNCTUELE OPDRACHTEN• Tekst: 3 2°
• Opdrachten uit te voeren
- met het oog op de veiligheid van de gegevens - die aan hem worden toevertrouwd door de
verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie
@To
mm
yVan
depi
tte
NALEVING BEVORDEREN• Tekst (art. 6)
• De veiligheidsconsulent bevordert (…) op de naleving van de veiligheidsvoorschriften, opgelegd door of krachtens een wets-, decretale of reglementsbepaling, (…).
• Voorbeelden
• Communicatie van de regels: • initieel • permanent (intranet, instructiebundel,…)
• Specifieke geheimhoudingsovereenkomsten / instructies• Bewustmakingscampagnes (art. 11)• Klassikale lessen, workshops, …• E-learning• Inwerken in evaluatiecriteria (HR)
@To
mm
yVan
depi
tte
TOEZIEN OP NALEVING• Tekst (art. 6)
• De veiligheidsconsulent (…) ziet toe op de naleving van de veiligheidsvoorschriften, opgelegd door of krachtens een wets-, decretale of reglementsbepaling, (…)
• Voorbeelden
• Opvragen van rapporten• Via “vlaggendragers” in onderdelen van de organisatie• Audit op specifieke verwerking of onderdeel op basis van
auditplan (en risico-inschatting)
@To
mm
yVan
depi
tte
CONTROLE OP GEDRAG • Tekst (art. 6)
• De veiligheidsconsulent (…) controleert of de personen die in de instantie of de entiteit persoonsgegevens verwerken, een veiligheidsgedrag vertonen.
• Voorbeelden
• Toevallige observaties• Technische monitoring (N.B. cao 81)• Rollenspel (in workshop)• “Test” (bijv. als onderdeel van bewustmakingscampagne)
@To
mm
yVan
depi
tte
DOCUMENTEREN• Tekst
• De veiligheidsconsulent legt de nodige documentatie aan over de informatieveiligheid. (art. 6)
• Minimum
• Adviezen (art. 3 1°)• veiligheidsplan (art. 10)• n.a.v. een vastgestelde overtreding (art. 6)
• (Bevorderings-) Campagnes (art. 6 en 11)• Controles (art. 6 en 11)• Rapporten
• Vaststelling overtredingen (art. 6)• Jaarverslag (art. 11)
@To
mm
yVan
depi
tte
DOCUMENTEREN• Eventueel ook (gedecentraliseerd)
• Beleidsdocumenten rond gegevensverwerking• Data sets in verwerkingsprocessen (overzicht)• Verwerkingsprocessen in organisatie (overzicht)• Toepassingen in gebruik (overzicht)• Privacy Impact Assessments (PIA’s)• Beveiligingsmaatregelen (overzicht)• Restrisicos (overzicht)• etc.
@To
mm
yVan
depi
tte
RAPPORTEREN
AD HOC (ART. 6)
Alle vastgestelde overtredingen worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit meegedeeld, en de nodige adviezen worden bijgevoegd om dergelijke overtredingen in de toekomst te vermijden.
PERIODIEK (ART. 11)
De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit in kwestie jaarlijks een verslag op.
@To
mm
yVan
depi
tte
MIN. INHOUD JAARVERSLAG1. een algemeen overzicht van de veiligheidstoestand, de ontwikkeling in
het afgelopen jaar en de nog te realiseren doelstellingen
2. een samenvatting van de schriftelijke adviezen die aan de verantwoordelijke voor het dagelijks bestuur werden bezorgd en het gevolg dat eraan werd gegeven
3. een overzicht van de werkzaamheden, verricht door de veiligheidsconsulent
4. een overzicht van de resultaten van de controles, uitgevoerd door de veiligheidsconsulent, met weergave van alle vastgestelde voorvallen die de informatieveiligheid van de instantie of de entiteit in kwestie in het gedrang hadden kunnen brengen
5. een overzicht van de gevoerde campagnes ter bevordering van de veiligheid
6. een overzicht van alle gevolgde opleidingen en van de geplande opleidingen
@To
mm
yVan
depi
tte
POSITIE
DPO
@To
mm
yVan
depi
tte
IN ORGANISATIE onder rechtstreekse functionele gezag van de
verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit (art. 8)
intern of extern (art. 2 §1)
Uitz.: art. 19 VDI-Decreet van 13 juli 2012 (intern) Extern wetgeving overheidsopdrachten
alleen of met adjudanten (art. 2 §1)
samenwerken (art. 8)
@To
mm
yVan
depi
tte
AANSTELLING formele aanstellingsbeslissing (art. 2 §1)
gunstig advies van Vlaamse Toezichtcommissie vereist (art. 2 §2), wat een check inhoudt over:
voldoende gevormd om de functie van veiligheidsconsulent uit te oefenen
over de vereiste tijd beschikken om de veiligheidsopdrachten uit te voeren
geen activiteiten uitoefenen die onverenigbaar zijn met de functie van veiligheidsconsulent
@To
mm
yVan
depi
tte
ALGEMEEN objectiviteit, onpartijdigheid en onafhankelijkheid
bij geven van adviezen (art. 4) beschermd door “ontslagbescherming” (art. 7)
gehouden door beroepsgeheim (art. 6)
Alle info die hij actief / passief te weten komt in kader van zijn opdracht
Uitz.: wet of toestemming ev. getroffen derde Zelf, medewerkers en aangestelden Strafsancties (art. 458 Sw)
@To
mm
yVan
depi
tte
RELATIE MET VERANTWOORDELIJKE
Onder rechtstreekse functionele gezag van de verantwoordelijke voor het dagelijks bestuur van de instantie of de entiteit (art. 8)
- Kan om advies verzoeken (art. 3 1°)
- Beslist over de adviezen (art. 3 1°), veiligheidsplan incluis (art. 10)
- Binnen 3 maanden- Deelt beslissing mee aan DPO
- Afwijking: schriftelijk en gemotiveerd
- Ontvangt ad hoc (art. 6) en jaarlijkse (art. 11) rapportering
- Geeft specifieke opdrachten m.b.t. veiligheid van gegevens (art. 3 2°)
@To
mm
yVan
depi
tte