Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 2: stel een projectteam op.

23/07/2018

In het vorige nieuwsbericht rond GDPR en informatieveiligheid hadden we het over de DPO’s: wie zijn ze, wat doen ze, wat drijft hen?

In de tweede stap van het 16-stappenplan persoonsgegevensbescherming nemen we het projectteam onder de loep. Wat is het, waarom bestaat het en welke taken voert het uit?

Wat is het projectteam?

Het projectteam is het team dat zich achter de DPO schaart om persoonsgegevens te beschermen. Persoonsgegevensbescherming is geen one-man job. Het bestaat immers uit vele facetten en kost veel tijd en moeite. Daarom is het aangewezen een speciaal projectteam op te stellen dat de DPO ondersteunt in de uitvoering van zijn taken. De DPO en het projectteam vertegenwoordigen de hele organisatie inzake persoonsgegevensbescherming.

Projectteam VS informatieveiligheidscel: zoek de zeven verschillen…

Net als de DPO en informatieveiligheidsconsulent vaak in één adem worden genoemd, worden de termen projectteam en informatieveiligheidscel vaak om de haverklap door elkaar gehaspeld. Het projectteam ondersteunt de DPO, terwijl de informatieveiligheidscel de informatieveiligheidsconsulent ondersteunt. Omdat de DPO en informatieveiligheidsconsulent in vele gevallen bij één en dezelfde persoon verenigd zijn, spreekt men overkoepelend over een ‘informatieveiligheidscel’ (dus in werkelijkheid informatieveiligheidscel + projectteam).

In het vorige nieuwsbericht hebben we gezien wanneer u verplicht bent een DPO aan te stellen. Maar wanneer moet u een informatieveiligheidsconsulent aanstellen? Het decreet van 18 juli 2008 (Decreet betreffende het elektronische bestuurlijke gegevensverkeer) bepaalt in artikel 9 het volgende:

Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten.

Dit is voor alle gemeentes en OCMW’s het geval. Dus deze organisaties hebben sowieso een informatieveiligheidsconsulent nodig, al dan niet opgenomen door dezelfde persoon als de DPO.

Wie zit er in het projectteam?

Het projectteam ondersteunt de DPO en moet de organisatie vertegenwoordigen. Volgende functies zijn bijvoorbeeld interessant in het kader van persoonsgegevensbescherming:

  • IT-verantwoordelijke: deze persoon regelt de toegangen tot databases en andere gegevensbronnen.
  • Communicatieverantwoordelijke: deze persoon is communicatief vaardig en kan de beslissingen van het projectteam vertalen naar eenvoudige bewoordingen. Die informatie kan dan zowel intern als extern verspreid worden.
  • Lid van het managementteam: deze leidinggevende vertegenwoordigt het bestuur en kan niet alleen de andere leden van het bestuur meekrijgen in het informatieveiligheidverhaal, maar kan ook de belangen van het managementteam op tafel brengen voor het projectteam.
  • Kwaliteitscoördinator: deze persoon zet intern procedures op en bewaakt de naleving ervan. Een uitstekende keuze dus als lid van het projectteam! Want een kwalitatieve dienstverlening draait niet alleen rond het behalen van targets, maar ook rond het integer omgaan met gevoelige informatie!
  • Andere functies: er zijn talloze andere functies die interessant kunnen zijn voor informatieveiligheid.

Hoe gaat het projectteam te werk?

Het projectteam ondersteunt de DPO in het toepassen van het informatieveiligheidsbeleid. Concreet kan dit betekenen: samen werken aan bewustmakingscampagnes, beveiligingsmaatregelen opzetten rond informatieveiligheid (meer hierover later in stap 7: passende beveiliging persoonsgegevens), beveiligingseisen verzamelen om op te nemen in verwerkersovereenkomsten en bestekken, enz. Het veiligheidsplan vormt de basis van de werking van de cel. Daarom is het dan ook belangrijk om regelmatig (bijvoorbeeld jaarlijks) de risicoanalyse, maturiteitsmeting en het veiligheidsplan te herzien, zodat de werking van de cel goed is afgestemd op de huidige stand van zaken binnen de organisatie.

Het projectteam moet minstens 1x per jaar samenkomen, maar V-ICT-OR raadt aan om trimestrieel af te spreken aangezien dit voor een efficiëntere opvolging zorgt.

Veel succes alvast bij het opzetten van het team!