Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016

Transcriptie

1 Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016 #vvsgbwcongres

2 Hoe omgaan met privacygevoelige gegevens? #vvsgbwcongres

3 dank aan Sabine Van Dooren Katrien Demayer Jan Herreygers

4 Verscherpte aandacht voor privacy Toenemende nood aan transparantie Aantonen dat je de regelveving volgt Impact inschatten van de verwerking Aanstellen van een DPO Zorgen voor veilige verwerking en dit ook afdwingen van anderen Versterkte rol van de Privacycommissie Afdwingbaarheid is groter

5 Samengevat

6 Verscherpte aandacht informatieveiligheid NIS richtlijn standaardisering minimale beveiliging Inhoud (o.a.) Verplichte melding incidenten aan CSIRT Audit ontvangen over Veiligheidsbeleid Bewijs dat security policies correct zijn geïmplementeerd Resultaten van audits (self assessment) voorleggen : nationale wetgeving

7 Doelstelling van de workshop In 5 stappen bereiden u voor Verwerking persoonsgegevens Informatiebeveiliging peter@berghmans.org

8 Stap 1: Informatiestromen - Hulpverlener incidenten: informatie - verzameld tijdens preventieve taken - bij het aanmelden van een incident - tijdens het incident - Met het oog op coördinatie en verloop (vb risico s) - Toevallig vergaarde informatie: Persoonlijke levenssfeer - Afhandeling na het incident - Rapportering, communicatie naar pers, - Hulpverlener vervoer - Medische informatie van de betrokkene - Werkgever/medewerker vb: - Administratieve personeelsadministratie en vrijwilliger - Fysieke beschikbaarheid van het personeel - Tucht - Beschikbaarheid en aanmelden personeel - Informatie met het oog op procesverbetering (digitalisering) - Vb track and trace voertuigen - Andere zoals beleidsinformatie

9 Resultaat stap 1 - Een verwerkingsregister (art 30 GDPR) - de naam en de contactgegevens van de verantwoordelijke - de finaliteit - ontvangers - bewaartermijn - gekoppelde veiligheidsmaatregelen (technisch, organisatorisch) - Ter beschikking van de Privacycommissie

10 Stap 2: Privacy risico s? - Vraag 1: Wat is de basis van de verwerking (idee: KB 6/5/1971) - Wettelijke basis - Openbaar belang - Vitaal belang - Arbeidsrelatie - Opgelet: gezondheidsgegevens - arbeidsrecht - vitaal belang of concreet gevaar - Vraag 2: voorafgaande machtiging vereist? - Vraag 3: Kwaliteit van de informatie? - proportioneel (minimaal) - finaliteit afgedekt (doelbinding) - correct (juistheid) - bewaartermijn? - Vraag 4: specifieke rechten van de betrokkene (o.a.) - Om geïnformeerd te worden - Om inzage te verkrijgen - Recht op verbetering - Recht op vergetelheid

11 Aandachtspunten: gegevenskwaliteit - Kwaliteit van informatie - in het kader van preventie - Is deze informatie - proportioneel - correct? - recht van de betrokkene - Voorbeeld: lijst van bewoners en hun mobiliteit in een WZC? - In het kader van coördinatie - Vb doorgeven van een adres via pager/app wanneer eerst wordt aangemeld in de kazerne - Vb mededeling adres oproeper

12 Aandachtspunten: externe gegevensstromen - Opvragen van verslagen/pv s? - Welke informatie doorgeven aan de pers en wanneer? - Machtigingen vereist?

13

14

15

16

17

18 Aandachtspunten: personeelsgegevens - Verwerking van gezondheidsgegevens personeel/vrijwilligers - Meten van kennis van de medewerkers (Abifire) - Apps voor beschikbaarheid, track and trace en beschikbaarheidsmetingen

19 Aandachtspunten: omgang door medewerkers - Aandacht voor gebruik van sociale media en beroepsgeheim - Ministeriële omzendbrief van 9 augustus 2011 betreffende de bescherming van de persoonlijke levenssfeer en het recht van afbeelding - Zie ook: Boek 2 KB 19/04/2014 administratief statuut

20 Resultaat stap 2 (onder andere) - Inzicht gevoelige gegevensstromen en hun risico s (GDPR artikel 35) - Lijst van genomen maatregelen, waaronder minimalisatie - Reglement omgang persoonsgegevens personeel - Inclusief omgang sociale media en pers - Inzicht in de omgang met personeelsgegevens - Met aandacht voor track and trace, gezondheid en opleiding - Inzicht in de beschermingsmaatregelen voor gevoelige gegevens (gezondheid) - Controle over de voorafgaande machtigingen

21 Stap 3: Aanstellen van een DPO Wetgeving (GDPR) Informeren en adviseren Toezien op de naleving Advies verstrekken m.b.t. data protection impact assessments Gegevensbescherming Toezien op naleving van beleid gegevensbescherming Rekening houden met de aan verwerkingen verbonden risico, en met de aard, de omvang, de context Algemeen Toezien en bevorderen van de verantwoordelijkheden Samenwerking met de DPA (Data Protection Authority)

22 Resultaat stap 3 - Een aan de Privacycommissie aangestelde DPO

23 Stap 4: Zorg voor een veilige informatieomgeving - Informatie/-systemen beschikbaar voor iedereen - Incl de noodplanning - CIRT - Informatie is afgeschermd - Toegangsbeheer van de toepassing, alsook de logging - Identificatiesystemen voor datalekken - Informatie is ook veilig bij de onderaannemers - Verwerkersovereenkomsten - Checklist informatieveiligheid - (van het internet) Beveiligde informatieomgeving - Technische maatregelen in voege en gecontroleerd

24 Resultaat stap 4: Informatieveiligheidsbeleid - Een beleid, inclusief plan dat afgestemd is op minimale richtsnoeren

25 Stap 5: Bewustzijn van de medewerkers en beleid - GDPR en NIS komt er aan: iedere zone moet dit weten! - Medewerkers kunnen pas adequaat handelen indien geïnformeerd!

26