• No results found

Uitwisselingen van persoonsgegevens door federale overheidsorganisatie

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Uitwisselingen van persoonsgegevens door federale overheidsorganisatie"

Copied!
4
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 4 pagina )

Hele tekst

(1)

DPO 1

Uitwisselingen van persoonsgegevens door federale overheidsorganisatie

Stap 0: Als verwerkingsverantwoordelijke (en verwerker) heb je de verplichting volgens AVG, artikel 38.1 om de functionaris voor gegevensbescherming naar behoren en tijdig te betrekken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Betrek dus je functionaris voor gegevensbescherming hierbij.

Stap 1: Bepaal of je verstrekker of ontvanger bent van de persoonsgegevens.

Ben je verstrekker? Lees dan verder. Ben je ontvanger? Spring dan naar stap 8.

Je bent een federale overheid: wie zijn dat?

Zoals verduidelijkt in de aanbeveling 2/2020 van 31 januari 2020 van de Gegevensbeschermingsautoriteit, dient ‘federale overheid’ ruim te worden geïnterpreteerd en dus zijn dit ook de overheidsorganisaties die afhangen van de federale staat.

Men vraagt om gegevens te verstrekken, wat moet je doen?

a) Betreft het reeds een bestaande gegevensverstrekking die geregeld wordt door een individuele machtiging?

Deze machtiging blijft van kracht zolang geen van de elementen ervan wijzigt.

In dit geval hoef je niets te doen.

b) Betreft het reeds een bestaande gegevensverstrekking die geregeld wordt door een algemene machtiging?

Toetreding tot dergelijke machtigingen is nog steeds mogelijk. Je moet diegene die de gegevens vraagt, uitnodigen om het nodige te doen voor de toetreding.

Meer informatie, zie:

https://dt.bosa.be/nl/ivc/algemene_machtigingen_federale_overheid

c) Je bevindt je niet in één van deze twee eerdere situaties (a of b)?

Volg dan verder het stappenplan.

Stap 2: Is de verwerking gebaseerd op wettelijke verplichting (zie AVG, art.

6.1.c) of algemeen belang (zie AVG, art. 6.1.e en overweging 45)?

Zo nee: Ga na of er andere maatregelen dienen te worden genomen en vraag meer informatie en raad aan je functionaris voor gegevensbescherming.

Zo ja:

(2)

DPO 2

Stap 3: Zijn de modaliteiten* voor de mededeling opgenomen in een

wetgevende of regelgevende norm?

*Wat zijn modaliteiten?

► Wie (ontvanger)

► Waarom (vb. doeleinden)

► Wanneer

► Welke persoonsgegevens

dient duidelijk te blijken uit de wet- of regelgevende norm.

Zo ja: Een protocol is niet nodig, maar ga na of er andere maatregelen dienen te worden genomen en vraag raad aan je functionaris voor gegevensbescherming.

Stap 4: Bevindt de ontvangende partij zich in België en ontvangt zij de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke?

Zo nee: Ga na of er andere maatregelen dienen te worden genomen en vraag raad aan je functionaris voor gegevensbescherming.

Zo ja:

Stap 5: Gebeurt de mededeling systematisch of punctueel naar een organisatie die niet-gerechtigd is om de persoonsgegevens te krijgen?

Zo nee: Een protocol is niet nodig wanneer deze punctueel (dus éénmalig) gebeurt naar een organisatie die gerechtigd is om de persoonsgegevens te verwerken. Ga ook na of andere maatregelen dienen te worden genomen en vraag raad aan je functionaris voor gegevensbescherming.

Zo ja:

Stap 6: Gaat het om uit een uitwisseling met sociale zekerheidsinstellingen?

Zo ja:

▪ Er dient in bepaalde gevallen, volgens artikel 15 van de wet van 15 januari 1990 en artikel 35 van de wet van 15 augustus 2012, een machtiging gevraagd te worden, zie:

https://www.ksz-bcss.fgov.be/nl/gegevensbescherming/informatieveiligheidscomite- ivc;

▪ In andere gevallen moet er een protocol tot stand komen zoals voorzien in artikel 20 van de WVG.

▪ Vergeet niet dat het verplicht is om aan de DPO’s van beide partijen advies te vragen en dat wanneer het advies niet wordt gevolgd, dit dient te worden gemotiveerd in de inleidende bepalingen van het protocol!

Voor meer informatie, zie:

www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.-02-2020.pdf p. 23 (schema).

(3)

DPO 3 Zo nee:

▪ Sluit een protocol af zoals voorzien in artikel 20 van de WVG.

▪ Vergeet niet dat het verplicht is om aan de DPO’s van beide partijen advies te vragen en dat wanneer het advies niet wordt gevolgd, dit dient te worden gemotiveerd in de inleidende bepalingen van het protocol!

Stap 7: Lukt het niet om een protocol af te sluiten?

Vraag een beraadslaging via de kamer Federale overheid: https://dt.bosa.be/nl/ivc

Stap 8: Je bent ontvanger van de persoonsgegevens.

Ga na welke type van relatie(s) of verwerking(en) er speelt of spelen:

Verwerkingsverantwoordelijke versus verwerker (wanneer de verwerker in opdracht werkt van de verwerkingsverantwoordelijke en die laatste de doelen en middelen bepaald (bvb. websitebeheerder met contactformulier, organisatie die servers beheerd, organisatie die ruimte verhuurt om dossiers in te archiveren, …)

▪ Er dient een verwerkersovereenkomst te komen, zie AVG, artikel 28.

Co-verwerkingsverantwoordelijken of gezamenlijke

verwerkingsverantwoordelijken (beide organisaties hanteren dezelfde doelen en middelen (vb. samen eenzelfde inspectie uitvoeren)

▪ Er dient een regeling gezamenlijke verwerkingsverantwoordelijken tot stand te komen, zie AVG, artikel 26.

Betreft het een internationale doorgifte (persoonsgegevens die worden doorgegeven naar organisaties buiten Europa of de EER)?

▪ Er dienen passende (en eventueel bijkomende) waarborgen te worden genomen, zoals een adequaatsbesluit of bindende bedrijfsregels, zie AVG, hoofdstuk V.

Gaat het om een verwerking met het oog op archivering in het algemeen

belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in artikel 89, §§ 2 en 3, van de AVG?

▪ Er is dan overeenkomst nodig, zie wet 30/7/2018 betreffende de

bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, artikels 194-196.

Gaat het om een uitwisseling tussen politiediensten (in de zin van artikel 2, 2°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde

politiedienst, gestructureerd op twee niveaus)?

▪ Dan hoeft er geen protocol te komen, zoals in artikel 20 van de wet van 30/7/2018 wordt bedoeld. Deze uitwisseling wordt gezien als een interne mededeling en hoeft dus niet te worden geformaliseerd.

Gaat het om een mededeling naar de inlichtingen- en veiligheidsdiensten en verwerkingen van persoonsgegevens in het kader van de wet van 11

(4)

DPO 4 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen?

▪ Deze diensten en organisaties worden niet gezien als ‘ontvangers’ en dus is artikel 20 van de wet van 30 juli 2018 niet van toepassing.

Gaat het om een toegang tot het Rijksregister of het gebruik van het Rijksregisternummer?

▪ Indien er een mogelijkheid is om toe te treden tot een algemene machtiging (zie wet 30/7/2018, artikel 279), kan dit via:

https://www.ibz.rrn.fgov.be/nl/rijksregister/aanvraag-toegang-tot-het- rijksregister/

▪ Zo niet, vraag de toegang tot het Rijksregister en/of het gebruik van het Rijksregisternummer aan via:

https://www.ibz.rrn.fgov.be/nl/rijksregister/aanvraag-toegang-tot-het- rijksregister/

! Opgelet: Soms kan één organisatie ageren in verschillende hoedanigheden en dient er dus een overeenkomst te komen (of meerdere) waardoor alle verschillende hoedanigheden en/of doeleinden afgedekt zijn.

Referenties

Download het nu ( PDF - 4 pagina - 143.04 KB )

GERELATEERDE DOCUMENTEN

Tara Boxman is de Functionaris Gegevensbescherming van Miss Business. Zij is te bereiken via

Miss Business verkoopt jouw gegevens niet aan derden en zal deze uitsluitend verstrekken indien dit nodig is voor de uitvoering van onze overeenkomst met jou of om te voldoen aan

Mirette van Reij is de Functionaris Gegevensbescherming van Huidkliniek Mirette zij is te bereiken via

Doeleinde: Social media marketing Gegevens: Naam, NAW-gegevens, E- mailadres, Telefoonnummer, Interesse in een product, Bestelgeschiedenis, Post/factuuradres Grondslag: Uitvoering

Privacy Statement. - Passende technische en organisatorische maatregelen hebben genomen zodat de beveiliging van uw persoonsgegevens gewaarborgd is;

IJsclub Varsseveld bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is

deze nodig hebben voor de verwerking van uw persoonsgegevens;

- Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;.. - Op de hoogte zijn van uw rechten

Binnen De Zorgkeuze is Ginger Fernandes de functionaris voor de gegevensbescherming.

Wanneer jouw persoonsgegevens worden verwerkt op basis van jouw toestemming, heb jij altijd het recht deze toestemming in te trekken door contact met De Zorgkeuze op te nemen.

1. Gegevensbeheerder en Functionaris voor Gegevensbescherming

(Beschikbaar in Duitsland, België, Finland, Noorwegen, Zweden, Frankrijk, VK, Oostenrijk, Zwitserland, Italië, Spanje, Portugal, Polen, Nederland, Luxemburg, Oekraïne, Denemarken,

Kees Gillis is de Functionaris Gegevensbescherming van de NVDA. Hij is te bereiken via

Daarnaast heb je het recht om je eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van jouw persoonsgegevens door de NVDA en

Regeling Functionaris Gegevensbescherming UM (wettelijk en onafhankelijk toezicht)

Naast het feit dat ze de naleving vereenvoudigen door de implementatie van verantwoordingsinstrumenten (zoals het mogelijk maken van Data Protection Impact Assessments en het