1. Belang van informatieveiligheid en gegevensbescherming

Transcriptie

1 Versie 18 mei 2018 Beleid voor gegevensbescherming en informatieveiligheid 1. Belang van informatieveiligheid en gegevensbescherming Vanuit onze visie en de bekommernis kwaliteitsvolle dienstverlening aan te bieden, hecht Pleegzorg Vlaams-Brabant en Brussel veel belang aan de bescherming van persoonsgegevens. We verzamelen en verwerken gegevens van cliënten, medewerkers en betrokken derden met de grootst mogelijke zorgvuldigheid, op een professionele manier, en met aandacht voor het beschermen van de persoonlijke levenssfeer. We streven continu naar verbetering om een veilige informatieomgeving te creëren en persoonsgegevens te beschermen conform met de Europese Algemene Verordening voor Gegevensbescherming. In het bijzonder willen we de gegevens beschermen tegen verlies, lekken (gegevens in verkeerde handen), foutieve gegevens, onterecht inkijken. We zoeken naar een systeem om (indien nodig) te kunnen nagaan wie gegevens inkeek, wijzigde of verwijderde (logging). Verwerkingen gebeuren in functie van onze werking en zijn in overeenstemming met regelgeving, richtlijnen en normen. Dit beleid is een leidraad voor alle verwerkingsprocessen en biedt een referentienorm voor audit en controle. Deze tekst wil bijdragen aan de bewustwording omtrent informatieveiligheid. Het document is door iedereen binnen Pleegzorg Vlaams-Brabant en Brussel te raadplegen en het is de toetssteen bij het ontwerpen van procedures en richtlijnen (zowel voor medewerkers als voor externen) en het vormt de basis voor onze communicatie over informatieveiligheid en gegevensbescherming. Relevante onderdelen worden verwerkt in overeenkomsten met personeel en leveranciers. 2. Het toepassingsgebied Het beleid Gegevensbescherming en informatieveiligheid is van toepassing op de verwerking van persoonsgegevens waarbij Pleegzorg Vlaams-Brabant en Brussel als verwerkingsverantwoordelijke of verwerker wordt aangeduid. Welke gegevens? Het beleid is van toepassing op alle persoonsgegevens die Pleegzorg Vlaams-Brabant en Brussel verwerkt. We verstaan hieronder niet alleen de gegevens van onze cliënten maar ook van medewerkers, al dan niet in dienstverband, bezoekers, Dus van elke geïdentificeerde of identificeerbare persoon. Het gegevensbeschermingsbeleid is van toepassing op alle verwerkingsdoelen: - gegevens die worden verwerkt voor de hulp- en dienstverlening van Pleegzorg Vlaams- Brabant en Brussel, - rapporteringsdoeleinden, 1

2 - wetenschappelijk onderzoek, - gemachtigde extramurale gegevensstromen, - administratie van medewerkers, - financiële gegevens, - persoonsgegevens die verwerkt worden in het kader van kwaliteitscontroles of risicobeoordelingen. Voor wie is deze beleidstekst? Deze beleidstekst is bedoeld voor iedereen die in opdracht van Pleegzorg Vlaams-Brabant en Brussel persoonsgegevens verwerkt, zoals de directie, de personeelsleden, maar ook elke (externe) medewerker of leverancier. We informeren zo goed en transparant mogelijk over dit beleid. De functionaris voor de gegevensbescherming (Data Protection Officer) waakt erover dat de principes van het gegevensbeschermingsbeleid worden toegepast in alle samenwerkingsverbanden die Pleegzorg Vlaams-Brabant en Brussel opzet. 3. Beleid voor Gegevensbescherming Gegevensbescherming spitst zich toe op bescherming van persoonsgegevens en alles wat daarmee te maken heeft. Items die kritisch benaderd worden i.v.m. verwerkingsactiviteiten: wie is verantwoordelijke, wie is verwerker, wat is het doel van de verwerking, wat met rechten van betrokkenen, welke rechten en plichten Beleid voor gegevensbescherming We streven volgende doelstellingen na: Rechtmatigheid van de verwerking Voor de verwerking van gegevens van cliënten en hun omgeving, pleeggezinnen en van medewerkers werken we in overeenstemming met de Europese, Federale en Vlaamse regelgeving: GDPR, decreet integrale jeugdhulp, decreet pleegzorg en het uitvoeringsbesluit, decreet rechtspositie minderjarige, beroepsgeheim, arbeidsrecht, sociale zekerheidsrecht, Transparantie We communiceren in een klare, verstaanbare taal over het verwerken van persoonsgegevens, in het bijzonder naar onze cliënten en pleegzorgers. Gerechtvaardigd doel We verwerken persoonsgegevens in functie van onze hulp- en dienstverlening en in functie van het functioneren of verbeteren van onze organisatie en werking. Voor de verwerking in het kader van wetenschappelijk onderzoek, of voor statistische doeleinden, waarborgen we de rechten en vrijheden van de betrokkenen. We trachten bij dergelijke verwerkingen de identificatiegegevens maximaal te verwijderen (anonimiseren) of te pseudonimiseren. 2

3 Minimale gegevensverwerking Bij het verwerken van persoonsgegevens waken we erover dat de persoonsgegevens die we verwerken toereikend en noodzakelijk zijn binnen het beoogde doel ( need to know ). We bewaren gegevens niet langer dan noodzakelijk: de bewaringstermijnen volgen de wettelijke verplichtingen. Juistheid Pleegzorg Vlaams-Brabant en Brussel bewaakt de correctheid van de verwerkte persoonsgegevens. De integriteit en vertrouwelijkheid Pleegzorg Vlaams-Brabant en Brussel neemt passende technische en organisatorische maatregelen met het oog op beveiliging van persoonsgegevens. We beschermen persoonsgegevens onder meer tegen ongeoorloofde of onrechtmatige verwerking en tegen verlies, vernietiging of beschadiging. Daartoe werken we een veiligheidsbeleid uit. Verantwoordingsplicht Pleegzorg Vlaams-Brabant en Brussel kan aantonen dat zij de basisprincipes voor gegevensverwerking en de overige voorwaarden van het regelgevend kader naleeft Opdrachten van Pleegzorg Vlaams-Brabant en Brussel als verwerkingsverantwoordelijke Toezicht op de uitvoering van taken Intern: Pleegzorg Vlaams-Brabant en Brussel houdt toezicht op de uitvoering van (deel)taken die worden toevertrouwd aan medewerkers. Pleegzorg Vlaams-Brabant en Brussel zorgt voor richtlijnen, instructies en procedures i.v.m. verwerkingen door medewerkers. Deze worden gecommuniceerd aan betrokken medewerkers en kunnen steeds digitaal geconsulteerd worden. In het arbeidsreglement zijn bepalingen inzake het beroepsgeheim opgenomen. Iedereen binnen Pleegzorg Vlaams-Brabant en Brussel die persoonsgegevens verwerkt (dus ook stagiairs en vrijwilligers) is gehouden aan het beroepsgeheim. Extern: Pleegzorg Vlaams-Brabant en Brussel houdt toezicht op de uitvoering van (deel)taken die worden toevertrouwd aan verwerkers. Pleegzorg Vlaams-Brabant en Brussel doet enkel een beroep op verwerkers die afdoende technische en organisatorische garanties bieden. Contracten met verwerkers betreffen onder meer afspraken over de specifieke taken van de verwerker, de te nemen veiligheidsmaatregelen en de plicht tot bijstand bij het uitvoeren van de verplichtingen i.v.m. verwerking. Pleegzorg Vlaams-Brabant en Brussel voert actief toezicht uit op deze contractuele bepalingen met een verwerker, onder meer door modaliteiten op te nemen in het contract dat de mogelijkheid biedt controle en 3

4 inspectietaken uit te voeren op informatie en -systemen die persoonsgegevens verwerken waarvoor Pleegzorg Vlaams-Brabant en Brussel verantwoordelijk is Het bijhouden van een register van verwerkingsactiviteiten Pleegzorg Vlaams-Brabant en Brussel beheert een register van alle activiteiten waarbij persoonsgegevens worden verwerkt. Dit beheer omvat het opstellen, permanent bijwerken en de nodige controlemaatregelen. Het register is een intern instrument dat opvraagbaar is door de Gegevensbeschermingsautoriteit. Het register wordt bijgehouden in elektronische vorm. Bij elke nieuwe of gewijzigde verwerkingsactiviteit wordt die activiteit getoetst aan de wettelijke bepalingen en wordt het register bijgewerkt Beveiliging van de verwerking Persoonsgegevens mogen enkel verwerkt worden indien er passende technische en organisatorische maatregelen zijn genomen voor het waarborgen van de beschikbaarheid, de integriteit en de vertrouwelijkheid van de verwerkte persoonsgegevens Melden van incidenten Pleegzorg Vlaams-Brabant en Brussel beschikt over afspraken/een procedure voor het melden en afhandelen van incidenten en de registratie ervan in een incidentenlijst. In de procedure worden bepalingen opgenomen i.v.m. de communicatie naar de Gegevensbeschermingsautoriteit en de betrokkene, inclusief de criteria die bepalen wanneer deze communicatie moet gebeuren Het uitvoeren van een gegevensbeschermingseffectenbeoordeling (Data Protection Impact Assessment of DPIA) Pleegzorg Vlaams-Brabant en Brussel stelt een lijst op van criteria die kunnen gebruikt worden om te identificeren of een verwerking een verhoogd risico inhoudt voor de betrokkene(n). Indien een verwerking aan die criteria voldoet (een hoog risico), voeren we een gegevensbeschermingseffectenbeoordeling uit van de mogelijke gevolgen van de verwerking. Op basis van de beoordeling zoeken we naar oplossingen om de kans op deze gevolgen zo veel mogelijk te minimaliseren. Indien de risico s ondanks maatregelen niet afdoende kunnen worden ingeperkt, consulteert de verwerkingsverantwoordelijke de Gegevensbeschermingsautoriteit Aanstellen van een functionaris voor de gegevensbescherming (DPO) De DPO geeft advies over en houdt toezicht op de verwerkingsprocessen van alle persoonsgegevens. De DPO voert deze functie onafhankelijk uit en is niet gebonden door inhoudelijke instructies. 4

5 Pleegzorg Vlaams-Brabant en Brussel betrekt de DPO bij alle gelegenheden die raken aan de bescherming van persoonsgegevens. Het werkelijke takenpakket, het vereiste expertiseniveau en de onafhankelijkheid wordt beschreven in het functieprofiel van de DPO Naleving van de rechten van betrokkenen We informeren betrokkenen actief over de verwerking, het doel van de verwerking en over hun rechten en dit in een verstaanbare taal. We garanderen dat we de rechten van betrokkenen kunnen uitvoeren; met name het recht op: inzage, afschrift, gegevenswissing (tenzij de gegevenswissing ingaat tegen onze opdracht vanuit de overheid), verbetering, beperking van de verwerking, kennisgeving, overdraagbaarheid. 4. Beleid voor informatieveiligheid Informatieveiligheid behandelt de organisatorische en technische maatregelen rond vertrouwelijkheid, integriteit en beschikbaarheid van alle gegevens. Onder beheersmaatregel verstaan we alle maatregelen met betrekking tot het beleid, procedures, richtlijnen, werkwijzen en organisatiestructuren. Deze maatregelen kunnen zowel administratief, technisch, beheersmatig als juridisch van aard zijn. We streven volgende doelstellingen na: Identiteitsbeheer: Iedereen die persoonsgegevens verwerkt heeft een persoonlijke digitale identiteit. Pleegzorg Vlaams-Brabant en Brussel voorziet de nodige bedrijfsprocessen zodat iedereen in de organisatie een eigen digitale identiteit (gebruikersnaam + veilig paswoordgebruik) heeft die voldoende betrouwbaar is om handelingen uit te voeren in naam van de organisatie. Toegangsbeheer: De toegang tot persoonsgegevens is gecontroleerd en afgestemd op de noden. Pleegzorg Vlaams-Brabant en Brussel zorgt voor organisatorische maatregelen en procedures die de toegang tot informatie regelen. Toegangsrechten tot gevoelige gegevens zijn adequaat ingesteld. Er is een overzicht van de toegangsrechten, bij voorkeur aangevuld met een toelichting hoe de toegangen worden toegekend en wie hiervoor verantwoordelijk is. Relatie met cliënt, pleeggezin, medewerkers: De toegang tot het dossier van een cliënt en van een pleeggezin is beperkt tot de personen met een cliëntrelatie en draagt bij tot de continuïteit van de hulp- en dienstverlening. Pleegzorg Vlaams-Brabant en Brussel zorgt ervoor dat er richtlijnen/procedures zijn over de toegang tot en het verwerken van gegevens van cliënten en pleeggezinnen. De toegang tot de personeelsdossiers is beperkt tot medewerkers betrokken bij de personeelsadministratie. Kennisgeving en toestemming We informeren cliënten, pleeggezinnen over het verwerken van hun persoonsgegevens en vragen waar nodig toestemming voor het verwerken van hun gegevens. 5

6 Pleegzorg Vlaams-Brabant en Brussel informeert betrokkenen van hun rechten en hoe ze deze kunnen doen gelden. Logging Gezien Pleegzorg Vlaams-Brabant en Brussel gevoelige persoonsgegevens verwerkt, streven we ernaar om te kunnen rapporteren wie op welk moment bepaalde persoonsgegevens heeft geraadpleegd, gewijzigd, verwijderd, ingegeven of aangepast. De veiligheidsconsulent of DPO weet waar deze logging wordt bewaard en hoe deze kan worden geraadpleegd. Deze logging is betrouwbaar: bij het eventueel opsporen van misbruik kan worden aangetoond dat de logging consistente gegevens bewaart over de handelingen door de eindgebruiker. De organisatie waarborgt dat de cliënten en pleeggezinnen wie welke gegevens heeft geraadpleegd. Bewustwording De medewerkers gaan bewust om met (gevoelige) persoonsgegevens. Medewerkers dienen zich bewust te zijn van de impact van (verkeerde) handelingen met persoonsgegevens. Medewerkers dienen de veiligheidsvoorschriften te kennen bij het verwerken van persoonsgegevens. Daartoe wordt zowel mondeling als schriftelijk informatie en toelichting gegeven. Afspraken inzake bewust omgaan met gegevens worden opgenomen in diverse documenten (Charter, clausules in arbeidscontract, arbeidsreglement, procedures) Verwerkers Iedereen, ook buiten de organisatie, kent de afspraken rond het veilig verwerken van persoonsgegevens Pleegzorg Vlaams-Brabant en Brussel verwacht ook dat derde partijen, zoals ICTleveranciers, zich houden aan de regels i.v.m. het correct verwerken van persoonsgegevens. Verwerkers zijn onderworpen aan de noodzakelijke contractuele afspraken omtrent gegevensverwerking. De afspraken bevatten bepalingen rond wat er met persoonsgegevens wel en niet mag gebeuren en welke veiligheidsmaatregelen hierbij van toepassing zijn. Faciliteer veilige informatieopslag en uitwisseling In functie van het veilig uitwisselen van persoonsgegevens met andere betrokken actoren, streven we naar een beleid met adequate veiligheidscontrolepunten, afhankelijk van de aard van de informatie. 5. Organisatie, verantwoordelijkheden en bevoegdheden De verantwoordelijkheid voor de implementatie en uitvoering van dit beleid ligt bij Pleegzorg Vlaams-Brabant en Brussel (= verwerkingsverantwoordelijke), vertegenwoordigd door het directieteam. Het directieteam is bevoegd om beslissingen te nemen over: - De risicoanalyse en bijhorende methodiek. - Het ontwikkelen van het informatieveiligheidsbeleid en de bijhorende richtlijnen. - De implementatie van beveiligingsmaatregelen (de inhoud van het veiligheidsplan). - De structurele reactie op informatieveiligheidsproblemen en adviezen. Het beleid wordt geïntegreerd in het (kwaliteits)management van Pleegzorg Vlaams- Brabant en Brussel onder samenwerking van de veiligheidsconsulent/dpo en de 6

7 kwaliteitscoördinator. Het veiligheidsplan wordt binnen het EFQM-model geborgd onder het domein Middelen (en partnerschappen). 5.1 Toezicht en advies In overeenstemming met de regelgeving voorziet Pleegzorg Vlaams-Brabant en Brussel volgende functies om toezicht te houden op en advies te geven over: - de informatieveiligheid: informatieveiligheidsconsulent - de status van gegevensbescherming: DPO of functionaris voor gegevensbescherming In de meeste voorzieningen zullen deze functies ingevuld worden door dezelfde persoon Opdrachten van de informatieveiligheidsconsulent De informatieveiligheidsconsulent volgt het informatieveiligheidsbeleid inhoudelijk op. Hij/zij voert deze taak uit volgens de bepalingen in het Vlaams Besluit van 15 mei 2009 betreffende veiligheidsconsulenten. De veiligheidsconsulent rapporteert aan de directeur van Pleegzorg Vlaams- Brabant en Brussel en heeft volgende opdrachten: Adviezen en aanbevelingen voorleggen aan het directieteam. Opdrachten uitvoeren op vraag van het directieteam. Bevorderen van de bewustwording van alle actoren. Toezien op de naleving van het veiligheidsbeleid. Documenteren van het veiligheidsbeleid, in overleg met de kwaliteitsmedewerker. Opstellen van het veiligheidsplan voor een periode van 3 jaar en waken over de uitvoering ervan. Opstellen van een jaarverslag met de vorderingen van het veiligheidsplan. Het verslag wordt voorgelegd aan het directieteam. Registreren van incidenten en hierover rapporteren en adviseren aan het directieteam Opdrachten van de functionaris voor gegevensbescherming (DPO) De DPO verleent bijstand, verstrekt informatie over en kijkt toe op de verplichtingen i.v.m. gegevensbescherming en informatieveiligheid. Minimaal behandelt de DPO onderstaande verplichtingen: Bijstand en advies verlenen over (wettelijke taak): - De principes van het verwerken van persoonsgegevens en gevoelige persoonsgegevens in het bijzonder. - De rechten van de betrokkene. - Gegevensbescherming door ontwerp (bv versleuteling van gegevens) en standaardinstellingen (bv bij social media automatisch de hoogste privacy-instellingen, versoepeling kan enkel door betrokkene zelf). - Het register voor de verwerkingsactiviteiten. - De informatieveiligheid. - Het afhandelen en melden van inbreuken of incidenten. Toekijken op de naleving van de verplichtingen: - De correcte toepassing van het beleid voor gegevensbescherming. 7

8 5.2 Medewerkers - De correcte toepassing van alle Europese, Federale en Vlaamse regelgeving over het verwerken van persoonsgegevens. - Toekijken op het bewustzijn inzake gegevensbescherming bij de stakeholders. - Toekijken en kennisnemen van de inhoud van andere audits en controles die handelen over (of elementen bevatten van) audits. Advies verstrekken over gegevensbeschermingseffectenbeoordelingen (DPIA). Contactpunt zijn voor de Gegevensbeschermingsautoriteit (vroeger privacycommissie ) en hiermee samenwerken. Opvolgen van incidenten en meldingen. Iedereen (intern of extern) die persoonsgegevens verwerkt (inkijkt, registreert, wijzigt, ), doet dit volgens de principes uit dit beleid. Medewerkers verwerken gegevens in overeenstemming met het beroepsgeheim, en conform volgende principes: Zijn verantwoordelijk voor de gegevens van cliënten (en/of medewerkers) die zij verwerken. Voeren de veiligheidsrichtlijnen uit tijdens verwerkingsopdrachten. Verwerken enkel die gegevens die horen bij hun taak. Dragen zorg voor de gegevens. Melden inbreuken. Respecteren het beroepsgeheim (artikel 458 van het Strafwetboek) en handelen volgens de procedures inzake het omgaan met informatie. Bijkomend aan deze verantwoordelijkheden, zien teamverantwoordelijken toe op de goede uitvoering van de veiligheidsbepalingen: opvolgen van de veiligheidsrichtlijnen en hun medewerkers hierover informeren(procedures i.v.m. het omgaan met informatie). zorgen voor een veiligheidscultuur (b.v. door het bespreken van de richtlijnen op het team). ondersteunen van controleactiviteiten. 5.3 Externe ICT-medewerkers/ICT-leveranciers en hoofdgebruiker De ICT-medewerkers en de verantwoordelijke voor de gebruikers (key gebruiker) zijn, in toevoeging van de verantwoordelijkheden voor medewerkers, verantwoordelijk voor: - Het implementeren van de technische maatregelen. - Het implementeren van de veiligheidsvoorzieningen. - Veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van ICTmiddelen melden aan de veiligheidsconsulent. - Fungeren als expert. Vanuit deze rol nemen zij deel aan de identificatie zowel als aan de remediëring van de informatieveiligheidsrisico s. - Wijzen op eventuele veiligheidsrisico s van geleverde toepassingen (ook door derde partijen). - Wijzen op de op te nemen veiligheidstaken. 8

9 - Nastreven van een transparant veiligheidsbeleid door te communiceren over het eigen actuele veiligheidsniveau. - Geven van ondersteuning bij de afhandeling van veiligheidsincidenten. Begrippenkader Doorheen deze beleidstekst worden verschillende begrippen gebruikt uit het wetgevend kader voor gegevensbescherming en informatieveiligheid. Zij worden hierna kort toegelicht. Verordening Gegevensbescherming (GDPR): de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. Deze Verordening treedt op 25 mei 2018 in werking. Deze Verordening wordt vaak de GDPR genoemd (General Data Protection Regulation) of de AVG (Algemene Verordening Gegevensbescherming) Wet Patiëntenrechten: de wet van 22 augustus 2002 betreffende de rechten van de patiënt. Hierin worden de rechten van de patiënt en de correlerende plichten voor de zorgverlener bepaald. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (en dus geen rechtspersoon). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Ook gepseudonimiseerde gegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, zijn dus persoonsgegevens. Anonieme gegevens, die op geen enkele wijze nog kunnen worden gelinkt aan een persoon, vallen niet onder de Verordening Gegevensbescherming. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon van wie gegevens worden verwerkt. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Voor ons is Pleegzorg Vlaams-Brabant en Brussel vzw de verwerkingsverantwoordelijke. Gezamenlijke verwerkingsverantwoordelijken: wanneer een natuurlijke of rechtspersoon samen met een andere natuurlijke of rechtspersoon optreedt als verwerkingsverantwoordelijke. Het is daarbij niet vereist dat de invloed van beide verantwoordelijken evenwaardig is of dat elk van hen in staat is om op zichzelf te voldoen aan de verplichtingen van de Verordening Gegevensbescherming. Determinerend is dat ze 9

10 beiden een beslissingsbevoegdheid hebben, ook al is dit niet in dezelfde mate en hebben ze niet dezelfde toegang tot de persoonsgegevens op zich. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerker is niet degene die onder rechtstreeks gezag staat van een verantwoordelijke voor de verwerking en daardoor gemachtigd is om gegevens te verwerken. Medewerkers van Pleegzorg Vlaams-Brabant en Brussel worden dus niet als verwerkers beschouwd. De verwerker is dus steeds een externe persoon of instantie. Voorbeelden: sociaal secretariaat, selectie- of interimkantoor, verzekering, externe IT-dienstverlener, Pleegzorg Vlaams-Brabant en Brussel kan ook verwerker zijn, wanneer het verwerkingsdiensten levert aan een andere verwerkingsverantwoordelijke (bv. een externe arts die gebruik maakt van de ICT-dienst van Pleegzorg Vlaams-Brabant en Brussel). Informatieveiligheid: Informatieveiligheid omvat de technische en organisatorische maatregelen die ervoor zorgen dat een door het veiligheidsbeleid vooropgesteld veiligheidsniveau wordt nagestreefd. Centraal staan de integriteit, de beschikbaarheid en de vertrouwelijkheid van de gegevens. Beheersmaatregel: alle maatregelen met betrekking tot het beleid, procedures, richtlijnen, werkwijzen en organisatiestructuren. Deze maatregelen kunnen zowel administratief, technisch, beheersmatig als juridisch van aard zijn. (Privacycommissie) Gegevensbescherming: Gegevensbescherming bepaalt en streeft de naleving na van de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens, zoals deze worden bepaald in de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 en de andere regelgevingen die criteria vastleggen die betrekking hebben op de verwerking van deze persoonsgegevens. Functionaris voor Gegevensbescherming of Data Protection Officer (DPO): een expert die toeziet op de naleving van de Verordening Gegevensbescherming binnen de organisatie en die de verwerkingsverantwoordelijke hierin adviseert en bijstaat. Veiligheidsconsulent: staat in voor het toezicht op de informatieveiligheid. De taken van de veiligheidsconsulent zijn opgenomen in het veiligheidsbeleid. In de meeste gevallen zullen de rollen van DPO en veiligheidsconsulent door dezelfde persoon opgenomen worden. Gegevensbeschermingsautoriteit: de opvolger van de Privacycommissie onder de Wet Verwerking Persoonsgegevens. De Gegevensbeschermingsautoriteit is verantwoordelijk voor het toezicht op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens. 10