25 mei 2018 was D-day voor lokale besturen: op dat moment trad de Algemene Verordening Gegevensbescherming namelijk in werking. Vanaf die datum is de Privacycommissie ook van naam veranderd naar de Gegevensbeschermingsautoriteit en is diens website mee gewijzigd. Ten slotte kunnen er vanaf die datum ook boetes opgelegd worden als je niet in orde bent met de ‘verantwoordingsplicht’ onder de GDPR. Die verantwoordingsplicht bestaat trouwens uit 2 takken:
- Accountability: je moet niet alleen de regels van de AVG volgen, maar ook aantonen dat je (pro)actief werkt aan een beter informatieveiligheidsbeleid. Een gegegevensbeschermingseffectbeoordeling (kortweg GEB) is daar een nuttig hulpmiddel in.
- Risk-based approach: hier gaat het erom een schaalbare en proportionele aanpak te hanteren m.b.t. risico’s voor informatieveiligheid. Met andere woorden: hoe hoger het risico van een verwerkingsactiviteit, des te zwaarder de beveiligingsmaatregelen die je moet toepassen voor de verwerking. De GDPR zegt dat je een GEB moet uitvoeren voor verwerkingsactiviteiten met een “waarschijnlijk hoog risico”.
Opmerking: voor sommige verwerkingsactiviteiten is er sowieso geen GEB vereist. Zie https://gdpr-eu.be/no-pia/ voor details.
GDPR stopt niet op 25 mei 2018, integendeel. Stel dat je als bestuur al een informatieveiligheidsplan hebt uitgewerkt, aangevuld met bruikbare documenten zoals het verwerkingsregister en het veiligheidsplan, dan kun je bijkomende maatregelen nemen om ervoor te zorgen dat informatieveiligheid ‘top of mind’ blijft, ook na 25 mei. Hier enkele tips:
- Stuur regelmatig mailings uit waarin je kort de acties toelicht die door de informatieveiligheidscel werden opgezet en uitgerold. Het blijft belangrijk dat iedereen weet waarom acties genomen worden en dat men actief meewerkt aan de uitvoering ervan.
- Neem informatieveiligheid op in de agenda van het MAT, bv. om de acties voorgesteld door de informatieveiligheidscel goed of af te keuren.
- Neem een regelmatige herziening van het verwerkingsregister mee in het meerjarenplan, zodat deze up-to-date blijft. Let erop dat er, bij wijziging, opheffing of toevoeging van verwerkingsactiviteiten, steeds moet gesleuteld worden aan het verwerkingsregister.
- Wanneer er een nieuwe verwerkingsactiviteit in uw lokaal bestuur komt, of u van plan bent om nieuwe software aan te schaffen, en u vermoed dat er een “waarschijnlijk hoog risico” m.b.t. datalekken aan vasthangt, dan is het aangewezen om een privacy impact assessment (PIA, ook wel gegevensbeschermingseffectbeoordeling of GEB) vooraf uit te voeren. Dan kunt u ineens bepalen of u lichte dan wel zware beveiligingsmaatregelen moet toepassen hierop.
- Zorg voor updates 'kruisjeslijst' bij verschuivingen/uitdiensttredingen/indiensttredingen van het personeel.