De Vlaamse Toezichtcommissie is als toezichthoudende autoriteit verantwoordelijk voor het toezicht op de toepassing van de Algemene Verordening Gegevensbescherming (AVG of GDPR) door de Vlaamse bestuursinstanties.

De Vlaamse toezichtcommissie is wat betreft haar organisatie, juridische structuur en besluitvorming autonoom en functioneel onafhankelijk van de instanties op wiens gegevensverwerkingsprocessen ze toezicht houdt.

De Vlaamse Toezichtcommissie verleent, hetzij uit eigen beweging, hetzij op verzoek van het Vlaams Parlement of de Vlaamse Regering adviezen over elke aangelegenheid met betrekking tot de verwerkingen van persoonsgegevens. Voor wetgevingsinitiatieven en bestuursmaatregelen is het verplicht om advies te vragen.

Elke Vlaamse bestuursinstantie moet een functionaris voor gegevensbescherming aanstellen en de aanstelling melden bij de Vlaamse Toezichtcommissie.

Het is verplicht om een protocol op te maken voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie aan een andere Vlaamse instantie of aan een externe overheid.

Elke instantie die persoonsgegevens verwerkt, is verplicht die informatie te beschermen en te beveiligen.

• FAQs informatieveiligheid algemeen 
  met linken naar de Gegevensbeschermingsautoriteit en de richtsnoeren informatieveiligheid.
• Formulier evaluatie beveiliging voor machtigingsaanvragen
• Aanbeveling privacycommissie 21 januari 2013 ter voorkoming van gegevenslekken
• Presentaties VTC informatieveiligheid

De machtigingsverplichting bij de Vlaamse Toezichtcommissie werd opgeheven op 26 juni 2018. De in het verleden verleende machtigingen blijven rechtsgeldig en kunnen niet meer gewijzigd worden. Toetreden tot algemene machtigingen blijft wel mogelijk.

De AVG heeft de betrokkenen specifieke rechten gegeven en de Vlaamse bestuursinstanties moeten de uitoefening van die rechten faciliteren.

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Als een betrokkene zijn rechten wil laten gelden, zoals recht van inzage, in het kader van een onderzoek dat betrekking heeft op hem en er zijn specifieke decretale bepalingen die uitzonderingen op die rechten hebben ingevoerd, dan zal de betrokkene zich tot de VTC kunnen wenden die voor hem de nodige verificaties doet. Men noemt dit ook 'onrechtstreekse toegang'.