Samen op weg richting vereisten van de GDPR

Inwoners hebben vertrouwen in de lokale besturen. Ze rekenen op ambtenaren die vertrouwelijk en integer omgaan met hun persoonlijke informatie. Vandaag begeleidt C-smart een veertigtal gemeenten en OCMW’s in het beschermen van hun gegevens. De ISO27K-normen, de richtsnoeren voor gemeenten en OCMW’s van de privacycommissie en de geactualiseerde veiligheidsnormen van de Kruispuntbank Sociale Zekerheid hebben het kader van gegevensbescherming jarenlang bepaald.

Vanaf mei 2018 ondergaat dit kader een grondige facelift. De Europese General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd, legt juridisch afdwingbare verplichtingen op aan de lokale besturen. Gemeenten, OCMW’s, politie- en hulpverleningszones dienen een informatieveiligheidsbeleid te voeren conform aan deze nieuwe verordening. 

Het goede nieuws is dat de besturen die de normering vanuit de privacycommissie volgen al een flink eind op de goede weg zijn. Toch zijn er enkele belangrijke accentverschuivingen met juridische en organisatorische impact.

Met de GDPR wordt het beschermen van persoonsgegevens juridisch afdwingbaar. Besturen hebben een verantwoordingsplicht. Ze moeten kunnen bewijzen dat ze conform de regels werken.

U bent als bestuur verwerkersverantwoordelijke. Andere partijen die ten behoeve van uw bestuur data verwerken (verwerkers) dienen door u gehouden te worden aan dezelfde beveiligingsvereisten die voor u van toepassing zijn.

Daarnaast moet u kunnen aantonen dat u over een dataregister beschikt. Hiermee kan u aantonen  dat u weet welke persoonsgegevens uw diensten verwerken. U kent de reden van verwerking, u weet wie de data verwerkt (m.a.w. wie er toegang toe heeft), wat de bron is van de data, waar u de data bewaart en hoe u ze beveiligt. Het dataregister wordt door de toezichthoudende autoriteit ter controle opgevraagd.   

Bovendien dient het bestuur binnen de 72u iedere inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit. Wanneer de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, worden de betrokkenen ingelicht over de inbreuk. De toezichthoudende autoriteit kan de VWV verplichten om de inbreuken openbaar te maken.

En last but not least is er de verplichting om gegevensbeschermingeffectenbeoordelingen uit te voeren. De toezichthoudende autoriteit stelt een lijst samen van gevallen waarin zo’n beoordeling noodzakelijk is.

Kortom, wat voorheen richtsnoeren waren die niet wettelijk konden gehandhaafd worden, veranderen met enkele accentverschuivingen in juridisch afdwingbare wetgeving.

Ons advies is dat u vandaag start met de voorbereiding op de GDPR. Documenteer uw databeheer in een dataregister. Doe een gegevensbeschermingseffectbeoordeling bij de diensten waar u een verhoogd risico op incidenten verwacht. Formaliseer de relatie tussen u, als verwerkersverantwoordelijke, en uw verwerker(s).  Neem op basis van deze beoordeling gerichte beveiligingsmaatregelen. En organiseer uw incidentenbeheer.

Wacht niet meer. Het is tijd voor actie.