chat-altchatcrossloginquestion-circlesearchsmileystarthumbup-downwarning
Vlaanderen
Contacteer ons
    Terug naar overzicht Stuur een e-mail

    Stuur een e-mail naar 1700, de informatiedienst voor al uw vragen aan de overheid.
    U ontvangt een kopie van uw bericht.

    Terug naar overzicht Chat met ons
    Uw chatgesprek wordt automatisch gestart zodra er een medewerker beschikbaar is.
    Even geduld, uw positie in de wachtrij wordt bepaald.

    Aanmelden DPO Vlaamse instantie bij VTC

    De Vlaamse Toezichtcommissie is met de AVG en het Vlaamse AVG-decreet een volwaardige toezichthoudende autoriteit, conform de AVG geworden. Dit betekent dat de functionaris voor gegevensbescherming (FG of DPO) van een Vlaamse instantie en diens contactgegevens bij de VTC moeten bekend gemaakt worden.

    De VTC ontvangt al de meldingen van DPO's van Vlaamse instanties .

    De melding doet u zo:
    -
    via een mail of brief van de leidend ambtenaar (die staat minstens in cc)
    - aan contact@toezichtcommissie.be met als onderwerp: 'aanmelding DPO - naam instantie', of (maar niet zolang Coronamaatregelen gelden)
      naar Vlaamse Toezichtcommissie, Koning Albert II-laan 15, 1210 BRUSSEL
    - met vermelding van de datum van de beslissing tot aanstelling (bv het collegebesluit voor de steden en gemeenten) en de datum van het opnemen van de taak zo verschillend van die van de beslissing
    - met naam en contactinformatie (e-mailadres(sen) en telefoon- en/of GSMnummer(s)) van de DPO
    - met vermelding of de DPO een interne of externe persoon is

    Er worden afspraken gemaakt met andere toezichthouders aan wie meldingen moeten worden gedaan. Later meer hierover.

    Wie kan DPO zijn?

    Naast de taken die een informatieveiligheidsconsulent had en de nieuwe verplichtingen van de AVG zoals het opstellen van een verwerkingsregister, zijn de bijkomende taken, specifiek voor de DPO:

    • de DPO wordt het eerste aanspreekpunt voor de burger. Daarvoor moeten de contactgegevens van de DPO (bij voorkeur met een algemeen mailadres als privacy@gemeente.be en een telefoonnummer) bekendgemaakt worden aan betrokkenen/het publiek;
    • de DPO wordt ook het aanspreekpunt voor de Vlaamse Toezichtcommissie en moet ermee overleggen;
    • de DPO moet betrokken worden bij de opmaak van de gegevensbeschermingseffectenbeoordelingen (GEB/DPIA).

    Dit impliceert dat de DPO de nodige extra tijd moet krijgen.

    De volledige taakomschrijving van de functionaris voor de gegevensbescherming vindt u in de AVG, art. 37 e.v. en in de Richtlijnen voor functionarissen voor de gegevensbescherming uitgebracht door de Working Party Art. 29

    Ook in het Vlaamse DPO-besluit van 23 november 2018 worden de taken van de DPO verder gepreciseerd.

    Informatieveiligheidsconsulent = DPO?
    Intussen hebben heel wat lokale besturen en entiteiten van de Vlaamse overheid al een veiligheidsconsulent aangesteld. Het is mogelijk om de bestaande veiligheidsconsulent aan te stellen als DPO.
    Dit wordt ook gesteld in artikel 9 van het gewijzigde egov-decreet:
    “De veiligheidsconsulenten die door de instanties werden aangewezen conform artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer en het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer zoals dit gold ten laatste op 24 mei 2018, kunnen de functie van functionaris voor gegevensbescherming opnemen als ze voldoen aan de vereisten, vermeld in artikel 37, lid 5, van de algemene verordening gegevensbescherming.”.

    Rechtspersoon als DPO
    Het is mogelijk om als externe DPO voor een organisatie een rechtspersoon aan te duiden. Het is echter wel zo dat de VTC een contactpersoon nodig heeft per organisatie, zodat intern voor de afzonderlijke besturen en voor de VTC als toezichthoudende autoriteit duidelijk is wie de eindverantwoordelijke is voor een bepaald bestuur. Deze naam hoeft niet noodzakelijk voor te komen in de publieke contactgegevens van de DPO. Hiervoor kan gewerkt worden met een algemeen mailadres van de instantie als privacy@gemeente.be. Enkel een contactadres van de rechtspersoon is niet aangewezen omdat er de nood kan zijn aan vertrouwelijke communicatie over een bepaalde instantie.

    We verwijzen hiervoor naar de Richtlijnen voor de functionarissen voor gegevensbescherming, uitgebracht door de WP29, p. 14-15 en p. 28 geciteerd hieronder:
    “Wanneer de functie van functionaris voor gegevensbescherming door een externe dienstverlener wordt bekleed, kan een team van personen die voor die entiteit werken feitelijk alle taken van de functionaris voor gegevensbescherming als team uitvoeren, onder de verantwoordelijkheid van een voor de klant aangestelde hoofdcontactpersoon en "verantwoordelijke". In dit geval is het van essentieel belang dat alle leden van de externe organisatie die de taken van de functionaris voor gegevensbescherming op zich nemen, aan alle geldende eisen van de algemene verordening gegevensbescherming voldoen.

    Met het oog op juridische transparantie en goede organisatie en om belangenconflicten bij de leden van het team te vermijden, wordt in de Richtlijnen aangeraden om de taken binnen het team van de externe functionaris voor gegevensbescherming duidelijk in een dienstverleningsovereenkomst vast te leggen, alsook voor de klant één enkele persoon als hoofdcontactpersoon en "verantwoordelijke" aan te stellen.”

    Onafhankelijkheid van de DPO

    Juli 2020.
    De VTC vangt meer en meer signalen op van DPO's/functionarissen die niet voldoende onafhankelijk hun functie kunnen uitoefenen.
    Het is zeker geen algemeen fenomeen, maar toch opvallend. Het komt voor bij zowel de diensten van de Vlaamse Regering als bij de lokale besturen.
    Dit uit zich op verschillende manieren, waaronder de volgende:
    - de DPO durft of mag zich niet uiten (bijvoorbeeld op een overleg met de VTC)
    - de DPO schrijft een advies of een tekst waarvan de richting gedicteerd wordt door de verantwoordelijke
    - de DPO stelt (mondeling of schriftelijk) een project voor alsof hij of zij projectmedewerker is i.p.v. de nodige afstand te bewaren
    - de DPO wordt (te veel) gestuurd door de organisatie die de DPO's uitstuurt (ondersteunen is een ding, sturen een ander)
    - de instantie waar de DPO zijn functie uitoefent wordt onder druk gezet om het advies van de DPO te negeren
    - het advies van de DPO wordt niet gevolgd zonder motivering (tegen het besluit van de Vlaamse Regering in)

    De VTC benadrukt dat de DPO in volle onafhankelijkheid moet kunnen werken en dat het niet aanvaardbaar is dat hij of zij onder druk wordt gezet.

    De VTC verleent niet langer adviezen voor veiligheidsconsulenten/DPO's

    Vanaf 25 mei 2018 is volgens het gewijzigde egov-decreet elke overheidsinstantie verplicht een Data Protection Officer (DPO) of functionaris voor gegevensbescherming aan te stellen. 
    Om in orde te zijn met de aanstelling van een DPO moet het volgende gebeuren:

    • De DPO formeel benoemen door een beslissing van het schepencollege of de leidend ambtenaar
    • DPO aanstelling meedelen aan de Vlaamse Toezichtcommissie door de leidinggevende van de instantie (zie aanmeldingsprocedure)
    • De contactgegevens van de DPO bekend maken aan betrokkenen/het publiek; de DPO wordt het eerste aanspreekpunt voor de toezichthoudende autoriteit en ook voor de burger. (De naam van de DPO hoeft niet noodzakelijk gekend zijn bij het publiek, hiervoor kan gewerkt worden met een algemeen mailadres van de instantie als privacy@gemeente.be (zie aanmeldingsprocedure))

    De advisering zoals die voordien gebeurde voor de veiligheidsconsulent, is dus weggevallen.