In hun 13 stappen naar de Algemene Verordening Gegevensbescherming (AVG/GDPR), stoomt de privacycommissie op een begrijpbare manier de organisaties voor op de wijzigingen die de AVG of GDPR brengt. Zoals ze zelf ook meegeven, is de AVG niet helemaal nieuw want heel wat van haar basisprincipes en concepten vinden we reeds terug in de actuele Belgische Privacywet. Dus wie vandaag al voldoet aan de huidige wetgeving, zal deze benadering als geldig uitgangspunt kunnen nemen voor de implementatie van de AVG. Deze handleiding helpt bedrijven en organisaties hun huidig databeschermingsbeleid te evalueren en aan te passen aan de nieuwe vereisten van de AVG. Een eerste stap hierin kan zijn om de bestaande contracten en regelingen voor gegevensuitwisseling te herzien, met een sterke nadruk op de verwerkingsverantwoordelijke (1).
V-ICT-OR wil de lokale besturen helpen door de bomen het bos terug te zien. Vanuit de praktijkervaring en de samenwerking met KING gemeenten wordt tijdens de zomerperiode een boek samengesteld rond één van die stappen – bewust gekozen omdat we er allemaal mee te maken hebben – met name de “bestaande contracten en SLA’s” (stap 13).
De AVG bepaalt de voorwaarden die van toepassing zijn op activiteiten door derden (incl. onderaanneming). Om deze voorwaarden ook in de praktijk uit te werken, moet je bestaande contracten beoordelen en de nodige wijzigingen aanbrengen. Ook in het geval van outsourcing is het belangrijk te oordelen of de veiligheidsmaatregelen die werden voorzien in de bestaande contracten nog toereikend zijn en voldoen aan de gestelde AVG-vereisten.
Eén van de doelstellingen van het boek is het professionaliseren van het ICT-opdrachtgeverschap bij gemeenten om hiermee te borgen dat gemeenten ICT-producten en –diensten kopen die aansluiten bij hun behoeften, zoals deze die door de AVG worden opgelegd.
Maar het boek gaat nog veel verder omdat gemeenten nu meer dan voordien inzetten op digitalisering, waarbij bedrijfsprocessen soms volledig worden geautomatiseerd. Dit betekent dat gemeenten voor hun dienstverlening en uitvoering steeds meer afhankelijk zijn van de kwaliteit van ingekochte ICT-producten en –diensten, met andere woorden afhankelijk zijn van derden. Deze producten en diensten worden geleverd door verschillende leveranciers met wie men vaak al jaren samenwerkt en er met moeite een contract terug te vinden is. Laat staan dat bij problemen iets afdwingbaar kan gemaakt worden.
Kijk daarom alvast met zorg even uw contracten na en help ons bij de samenstelling van een goed overzicht om alle lokale besturen daar samen in te helpen.
Meer info kan u via Eddy Van der Stock opvragen. We hopen van jullie - gemeente of leverancier - te horen en stomen alvast het boek klaar voor ons najaarscongres ManageIT op 21 november.
-----------------------------------------
(1) GDPR – artikel 4 “Definities” - „verwerkingsverantwoordelijke”: is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;