chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Aanmelden DPO Vlaamse instantie bij VTC

    De VTC is met de AVG en het Vlaamse AVG-decreet een volwaardige toezichthoudende autoriteit, conform de AVG geworden. Dit betekent dat de functionaris voor gegevensbescherming (FG of DPO) van een Vlaamse instantie en diens contactgegevens bij de VTC moeten bekend gemaakt worden.

    De VTC ontvangt al de meldingen van DPO's van Vlaamse instanties .

    De melding doet u zo:
    -
    via een mail of brief van de leidend ambtenaar (die staat minstens in cc)
    - aan contact@toezichtcommissie.be met als onderwerp: 'aanmelding DPO - naam instantie', of
      naar Vlaamse Toezichtcommissie, Koning Albert II-laan 15, 1210 BRUSSEL
    - met vermelding van de datum van de beslissing tot aanstelling (bv het collegebesluit voor de steden en gemeenten) en de datum van het opnemen van de taak zo verschillend van die van de beslissing
    - met naam en contactinformatie (e-mailadres(sen) en telefoon- en/of GSMnummer(s)) van de DPO
    - met vermelding of de DPO een interne of externe persoon is

    Er worden afspraken gemaakt met andere toezichthouders aan wie meldingen moeten worden gedaan. Later meer hierover.

    Wie kan DPO zijn?

    Naast de taken die een informatieveiligheidsconsulent had en de nieuwe verplichtingen van de AVG zoals het opstellen van een verwerkingsregister, zijn de bijkomende taken, specifiek voor de DPO:

    • de DPO wordt het eerste aanspreekpunt voor de burger. Daarvoor moeten de contactgegevens van de DPO (bij voorkeur met een algemeen mailadres als privacy@gemeente.be en een telefoonnummer) bekendgemaakt worden aan betrokkenen/het publiek;
    • de DPO wordt ook het aanspreekpunt voor de Vlaamse Toezichtcommissie en moet ermee overleggen;
    • de DPO moet betrokken worden bij de opmaak van de gegevensbeschermingseffectenbeoordelingen (GEB/DPIA).

    Dit impliceert dat de DPO de nodige extra tijd moet krijgen.

    De volledige taakomschrijving van de functionaris voor de gegevensbescherming vindt u in de AVG, art. 37 e.v. en in de Richtlijnen voor functionarissen voor de gegevensbescherming uitgebracht door de Working Party Art. 29

    Ook in het Vlaamse DPO-besluit van 23 november 2018 worden de taken van de DPO verder gepreciseerd.

    Informatieveiligheidsconsulent = DPO?
    Intussen hebben heel wat lokale besturen en entiteiten van de Vlaamse overheid al een veiligheidsconsulent aangesteld. Het is mogelijk om de bestaande veiligheidsconsulent aan te stellen als DPO.
    Dit wordt ook gesteld in artikel 9 van het gewijzigde egov-decreet:
    “De veiligheidsconsulenten die door de instanties werden aangewezen conform artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer zoals dit gold ten laatste op 24 mei 2018, kunnen de functie van functionaris voor gegevensbescherming opnemen als ze voldoen aan de vereisten, vermeld in artikel 37, lid 5, van de algemene verordening gegevensbescherming.”.

    Rechtspersoon als DPO
    Het is mogelijk om als externe DPO voor een organisatie een rechtspersoon aan te duiden. Het is echter wel zo dat de VTC een contactpersoon nodig heeft per organisatie, zodat intern voor de afzonderlijke besturen en voor de VTC als toezichthoudende autoriteit duidelijk is wie de eindverantwoordelijke is voor een bepaald bestuur. Deze naam hoeft niet noodzakelijk voor te komen in de publieke contactgegevens van de DPO. 

    We verwijzen hiervoor naar de Richtlijnen voor de functionarissen voor gegevensbescherming, uitgebracht door de WP29, p. 14-15 en p. 28 geciteerd hieronder:
    “Wanneer de functie van functionaris voor gegevensbescherming door een externe dienstverlener wordt bekleed, kan een team van personen die voor die entiteit werken feitelijk alle taken van de functionaris voor gegevensbescherming als team uitvoeren, onder de verantwoordelijkheid van een voor de klant aangestelde hoofdcontactpersoon en "verantwoordelijke". In dit geval is het van essentieel belang dat alle leden van de externe organisatie die de taken van de functionaris voor gegevensbescherming op zich nemen, aan alle geldende eisen van de algemene verordening gegevensbescherming voldoen.

    Met het oog op juridische transparantie en goede organisatie en om belangenconflicten bij de leden van het team te vermijden, wordt in de Richtlijnen aangeraden om de taken binnen het team van de externe functionaris voor gegevensbescherming duidelijk in een dienstverleningsovereenkomst vast te leggen, alsook voor de klant één enkele persoon als hoofdcontactpersoon en "verantwoordelijke" aan te stellen.”

    De VTC verleent niet langer adviezen voor veiligheidsconsulenten/DPO's

    Vanaf 25 mei 2018 is volgens het gewijzigde egov-decreet elke overheidsinstantie verplicht een Data Protection Officer (DPO) of functionaris voor gegevensbescherming aan te stellen. 
    Om in orde te zijn met de aanstelling van een DPO moet het volgende gebeuren:

    • De DPO formeel benoemen door een beslissing van het schepencollege of de leidend ambtenaar
    • DPO aanstelling meedelen aan de toezichthoudende autoriteit door de leidinggevende van de instantie
    • De contactgegevens van de DPO bekend maken aan betrokkenen/het publiek; de DPO wordt het eerste aanspreekpunt voor de toezichthoudende autoriteit en ook voor de burger. (De naam van de DPO hoeft niet noodzakelijk gekend zijn bij het publiek, hiervoor kan gewerkt worden met een algemeen mailadres van de instantie als privacy@gemeente.be)

    De advisering zoals die voordien gebeurde, valt dus weg.