Verwerking van persoons- en andere gegevens

Het doel van ons ecosysteem is het vergemakkelijken van gegevensdeling. Dat impliceert dat we gegevens volgens het juiste openheidsniveau én beschermingsniveau moeten behandelen: het is dus belangrijk dat publieke data zo open mogelijk beschikbaar is en data die niet publiek mag zijn enkel gedeeld is volgens de regels die daarvoor gelden. Open data en gegevensbescherming gaan immers hand in hand: alleen wanneer we niet publieke data afdoende kunnen beschermen en kunnen vermijden dat deze onterecht gedeeld worden, creëren we vertrouwen om data te delen en open te stellen in het ecosysteem.

Het is dus voor de doelstellingen van ons ecosysteem cruciaal dat iedereen die binnen onze productwerking actief is, zich bewust is van de gegevens die ze verwerken en van de regels en procedures die gelden.

Openbaarheid van bestuur

Voor de overheid gelden heel wat regels rond openbaarheid en transparante communicatie. Zo is de overheid verplicht op zelf, actief, de burger te informeren (de actieve openbaarheid van bestuur). Een burger heeft ook het recht om bestuursdocumenten in te kijken, er een kopie van te krijgen en er uitleg over te krijgen. De overheid moet diens beslissing over zo’n vraag tot (passieve) openbaarheid binnen de 20 kalenderdagen kunnen communiceren.

Binnen het ecosysteem verwerken we veel bestuursdocumenten, waarvoor we verregaande openbaarheid ondersteunen.

Verwerking van persoonsgegevens

Bestuursdocumenten en databanken binnen het ecosysteem behandelen echter ook vaak persoonsgegevens. Tijdens het ontwikkelen en het beheren van onze producten in het ecosysteem zullen de verschillende rollen tijdens de uitvoering van hun taken dus ook persoonsgegevens verwerken.

Hiervoor gelden de regels uit de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).

Over welke gegevens gaat het in het ecosysteem?

Onderstaande lijst toont welke persoonsgegevens de producten en gegevensstromen die in het ecosysteem actief verwerken, onder welke categorie deze vallen, wie de betrokkenen zijn, wat het doel is van de verwerking en welke juridische basis hiervoor geldt.

27KB

Overzicht Verwerkte Persoonsgegevens.xlsx

Wat doe je als medewerker in onze productwerking?

1. Zorg dat je weet wat de algemene principes en regels zijn.

Op de pagina’s van de Vlaamse Overheid kan je wat algemene informatie vinden. Het is belangrijk dat iedereen in het team de nodige kennis heeft om veilig om te gaan met deze gegevens. Voor interne medewerkers van ABB bestaat er een (verplichte) Vlimpers-opleiding. Van externe medewerkers verwachten we dat ze deze informatie van hun bedrijf hebben gekregen of zichzelf hebben ingelezen in de materie.

Wanneer je concrete vragen hebt, aarzel dan niet om deze te stellen in jullie productteam. Maak dit bespreekbaar, zodat de groep ervan leert.

Als je er niet mee weg kan binnen het team, kan je altijd bij het solutions- en portfoliomanagement te rade gaan.

1. Zorg dat je weet wat de specifieke regels en procedures zijn.

Deze zullen te vinden zijn verderop op deze pagina.

Ook hier geldt: reach out als je iets niet begrijpt of niet weet hoe je met iets moet omgaan.

1. Denk bij de implementatie van functionaliteiten en gegevensstromen na over welk type gegevens het zijn

We werken in ons ecosysteem met bijna uitsluitend met semantische data standaarden. Dat wil zeggen dat we sowieso al goed nadenken over de data die we behandelen, de betekenis ervan, de structuur,…. Vergeet hierbij het element openheid en gevoeligheid niet!

Zorg ervoor dat dit geëxpliciteerd is van bij de start.

1. Denk vervolgens ook na hoe we best met de gevoelige(re) gegevens omgaan in de toepassing

Het is daarbij belangrijk om het juiste niveau van bescherming te vinden: uiteraard niet te weinig, maar ook niet teveel. Belangrijk is de doeltreffendheid van de gegevensbescherming voorop te stellen.

Wat moet ik doen als het mis gaat?

Bij een (mogelijk) veiligheidsincident geldt een strikte procedure.

1) Meldt zo snel mogelijk aan productmanager, solution manager of portfolio manager dat er een (mogelijk) incident is. Kies degene die voor jou op dat moment het snelst bereikbaar is. Idealiter doe je dit telefonisch. Als dat niet lukt, doe dat dan via een ander ‘snel’ chatkanaal en zorg dat je bevestiging krijgt van de betrokkene. Degene die je te pakken krijgt, zorg ervoor dat de ICT-directeur en de andere collega’s op solution niveau op de hoogte zijn.

Dit eerste bericht moet nog niet veel informatie bevatten. Het is vooral belangrijk dat er zo snel mogelijk een melding is.

Uiteraard is het nadien wel de bedoeling om zo snel mogelijk de nodige informatie over het incident (de feiten), de ernst en de impact ervan te verzamelen en door te geven (zie volgende stap)

2) Bij een incident meldt de ICT-directeur aan de Data Protection Officer en Administrateur-Generaal dat er een incident in onderzoek is. De Security Officer van het Digiteam bereidt met de ICT-directeur een feitenverslag en onze risico-inschatting voor. Dat doen ze op basis van info die ze van product managers of andere betrokkenen moeten krijgen. Aangezien de ICT-directeur verantwoordelijk is voor wat onder aansturing van Digiteam gebeurt, bewaakt hij de kwaliteit van verslag en risico-inschatting.

3) De ICT-directeur stuurt onze inschatting door aan de Data Protection Officer en Administrateur-Generaal voor een gezamenlijke beslissing rond acties.

4) Als er communicaties volgen in de afwikkeling van incidenten, dan ziet de ICT-directeur toe op de inhoud daarvan, gezien de gevoeligheid van communicaties naar klanten, leveranciers of andere belanghebbenden.

De Data Protection Officer en Data Protection Officer-jurist mogen vroeg op de hoogte zijn, maar hun rol start pas actief na eerste feitenverslag en inschatting uit Digiteam.

Contactgegevens:

Solution Manager: Pieter Van Hastel (binnenkort)

Portfolio Manager: Veronique Volders

ICT-directeur: Pieter Lenaerts

Administrateur-Generaal: Jeroen Windey

Security Officer: Jeroen Mercelis

Data Protection Officer: Yves Andriessen