Data Protection Officer - Functionaris Gegevensbescherming. Aanstelling binnen een gedifferentieerde zorgorganisatie. [Marc Rosseau v 01]

Vergelijkbare documenten
Functieprofiel Functionaris Gegevensbescherming

Privacybeleid gemeente Wierden

Data Protection Officer

Algemene begrippen AVG

Handvatten bij de implementatie van de AVG

Privacy wetgeving: Wat verandert er in 2018?

Nieuwsbrief AVG Social Profit

Algemene Verordening Gegevensbescherming (AVG)

GDPR. een stand van zaken

Algemene verordening gegevensbescherming

checklist in 10 stappen voorbereid op de AVG. human forward.

GDPR en wat nu? Marlies Eggermont oktober 2018 VBOV

GDPR en wat nu? Marlies Eggermont Juni 2018 VBOV

Leergang Functionaris. de toezichthouder

Leergang Functionaris. de toezichthouder

Algemene Verordening Gegevensverwerking ( GDPR )

Nieuwsbrief AVG Ziekenhuizen

Privacyreglement Gemeente Borsele

AVG Algemeen PRIVACYREGLEMENT

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Wettelijke kaders voor de omgang met gegevens

Verwerkersovereenkomst

Privacy Maturity Scan (PMS)

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

NOTA AAN DE VLAAMSE REGERING

De AVG en de gevolgen voor de uitvoeringspraktijk

Algemene Verordening Gegevensbescherming

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

In 15 stappen op weg naar 2018

FONDS WETENSCHAPPELIJK ONDERZOEK VLAANDEREN GEGEVENSBESCHERMINGSBELEID

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Plan

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Algemene Verordening Gegevensbescherming

Privacybeleid. Vastgesteld door burgemeester en wethouders op 18 april Bekendgemaakt op 4 mei 2017 IO

Zijn de Vlaamse bedrijven in orde met de GDPR?

Wat betekent de AVG voor mij als ondernemer? Juni 2018

Standaard verwerkersovereenkomst

Verwerkersovereenkomst

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Verwerkersovereenkomst Per maart 2018 éénmalige versie

staat is om de AVG na te komen.

Privacy & online. 9iC9I

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Bijlage: Verwerkersovereenkomst

Bijlage: Verwerkersovereenkomst

Privacyreglement Medewerkers Welzijn Stede Broec

Het Europese privacyrecht in beweging

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

De Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Phytalis-Verwerkersovereenkomst

Bijlage Gegevensverwerking. Artikel 1 - Definities

Privacy Statement Sa4-zorg

Krachtlijnen van de Algemene Verordening Gegevensbescherming (AVG) voor de onderwijssector Nieuwe wind, geen orkaan!

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

DE NIEUWE WETGEVING IN EEN NOTENDOP. Aanspreekpunt Informatieveiligheid: basisopleiding (18-19) Dag 1

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Accountant en AVG 3 december 2018

2.1.1 Informatie die u verstrekt bij het aanmelden voor een account

OVEREENKOMST GEZAMENLIJKE VERANTWOORDELIJKHEID NEDERLANDSE HART REGISTRATIE (NHR)

GDPR: Voorbereid op weg naar compliancy

Verwerkersovereenkomst INTRAMED ONLINE

Wij verwerken uw gegevens om u de best mogelijke behandeling te bieden en om te voldoen aan wettelijke

Privacyreglement WSVH

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Verwerkersovereenkomst

GDPR (General Data Protection Regulation ) The journey we take together

PRIVACYREGLEMENT HUMANTOTALCARE B.V. Versie 1.1 Classificatie: publiek

Stichting Dutch Starfighter Foundation. Privacy reglement. ~ begunstigers. Opgemaakt door: Theo Rombout Versiedatum: 06/01/19

Impact AVG op de lokale overheden

De Algemene Verordening Gegevensbescherming.

Gegevensbescherming/Privacy

Wat betekent de GDPR voor mijn bedrijf? TOM VAN NUNEN ONLINQ BEST

Privacybeleid Today s Groep

VOLLEDIGE CONTROLE OVER UW AVG COMPLIANCY

Spoedcursus GDPR & praktische tips uit Gent

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

REGLEMENT TAKEN EN BEVOEGDHEDEN FUNCTIONARIS GEGEVENSBESCHERMING

Privacy Statement INTRAMED. Juni Versie 1.0

Cursus privacyrecht Jeroen Naves 7 september 2017

Verwerkersovereenkomst

In regel met GDPR. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving.

Schoolveranderen. Gegevensveiligheid. Dhr. Willem Debeuckelaere

Gegevensbescherming en Privacybeleid

Specifieke privacyverklaring. Raadpleging over Cursus EU-recht voor juristen: van evaluatie tot nieuwe strategie ( )

Privacy & Cloud. een juridisch perspectief

Disclaimer: de auteur van deze presentatie is niet juridisch geschoold. Met deze presentatie probeert de auteur een indruk - en niet meer dan dat -

Privacyreglement Werkzaak Rivierenland

Transcriptie:

Data Protection Officer - Functionaris Gegevensbescherming Aanstelling binnen een gedifferentieerde zorgorganisatie [Marc Rosseau - 20171010 v 01]

EMMAUS VZW <> Voorzieningen in het licht van de AVG EMMAUS vzw = rechtspersoon Juridisch verantwoordelijke Algemeen verwerkingsverantwoordelijke Voorzieningen = Co-verantwoordelijke verwerkers voor de vzw Sector Ziekenhuizen AZ Sint-Maarten Sector Psychiatrie PZ Duffel Sector Ouderenzorg WZC Sector OPB Voorziening OPB Sector Jeugdzorg Voorziening JZ Verwerkingsverantw. Algemene Directie niet-med. gegevens Verwerkingsverantw. Algemene Directie niet-med. gegevens Verwerkingsverantw. Algemene Directie Verwerkingsverantw. Algemene Directie Verwerkingsverantw. Algemene Directie Verwerkingsverantw. Medische Directie medische gegevens Verwerkingsverantw. Medisch Directie medische gegevens Verwerkingen ZH Verwerkingen PC Verwerkingen OZ Verwerkingen OPB Verwerkingen JZ Functionaris voor gegevensbescherming/dpo voor de ganse zorggroep (incl. ZH) VERWERKINGEN VERWERKINGEN bvb Psychiatrie HR, Centrale Voeding vr ZH en OZ VERWERKINGEN bvb ICT (vzw, maar werkend onder AZ Sint-Maarten) voor de hele Emmaus groep AZ, Psychiatrie: 1 of meer riziv-nummers -- OZ, OPB, JZ = erkenning per voorziening. Niettemin: er is maar één KBO-nummer en één arbeidsreglement = op niveau vzw 2

TOELICHTING BIJ DE FUNCTIE/ROL VAN DE FUNCTIONARIS VOOR GEGEVENSBESCHERMING (FG) BIJ EMMAUS VZW EN HAAR VOORZIENINGEN Rol, functieinhoud en taken

OVERZICHT NOTA ROL, FUNCTIEINHOUD EN TAKEN VAN DE FG 1. Referenties (AVG/GDPR) 2. Doel van de functie/rol van de FG/DPO 3. Verantwoordelijkheden Raad van Bestuur en Dagelijks Bestuur van Emmaüs vzw met betrekking tot de FG/DPO 4. Onafhankelijkheid van de FG/DPO 5. Plaats van de FG/DPO in de organisatie Emmaüs vzw 6. Bevoegdheden van de FG/DPO 7. Verantwoordelijkheden van FG/DPO 8. Taken van de FG/DPO 9. Kennis- en competentieprofiel van de FG/DPO

1. Referenties in AVG betreffende de FG/DPO (1) Algemene Verordening Gegevensbescherming (AVG), gepubliceerd in het Europees Berichtenblad op 4 mei 2016 met ingangsdatum op 25 mei 2016 en volledig van toepassing vanaf 25 mei 2018: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) http://eur-lex.europa.eu/legal-content/nl/txt/?uri=celex:32016r0679 Art. 29 Working Party - GDPR Guidelines on Data Protection Officers ( DPOs ) wp243_rev01, herziene versie v.01, goedgekeurd op 5 april 2017 (http://ec.europa.eu/information_society/newsroom/image /document/2016-51/wp243_en_40855.pdf)

1. Referenties in AVG betreffende de FG/DPO (2) Algemene Verordening Gegevensbescherming - artikels AVG artikel 4 = Definities - 7 verwerkingsverantwoordelijke of Verantwoordelijke voor de verwerking (= controller) - 8 Verwerker (= processor) - 19 Concern (groep van ondernemingen) AVG artikel 9, Verwerking van bijzondere categorieën van persoonsgegevens AVG artikel 10 = Verwerking van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten AVG artikel 37 = Aanwijzing van de FG/DPO AVG artikel 38 = Positie in de organisatie van de FG/DPO AVG artikel 39 = Taken van de FG/DPO + Article 29 Working Party Guidelines over de rol van de Data Protection Officer, goedgekeurd op 5 april 2017 (bevat ook annex met FAQ).

1. Referenties in AVG betreffende de FG/DPO (3) NOOT: De bepalingen met betrekking tot de aanstelling, de taken en het functioneren van de Functionaris voor gegevensbescherming (FG) / Data Protection Officer (DPO) in de Algemene Verordening Gegevensbescherming (AVG/GDPR) zelf en de verduidelijkingen aangebracht door de Guidelines van de Art. 29 Working Party zijn onverkort van toepassing.

2. Doel van functie/rol van de FG/DPO bij Emmaüs vzw De Functionaris voor gegevensbescherming staat in voor het toezicht op de naleving van de Europese Algemene Verordening Gegevensbescherming (AVG) van 25 april 2016 en andere regelgeving inzake privacy en gegevensbescherming van persoonsgegevens. (Elke organisatie die op grotere schaal (of gevoelige) persoonsgegevens van Europese burgers verwerkt, zoals EMMAUS VZW, is ertoe gehouden volledig conform te zijn aan de vereisten van de AVG vanaf 25 mei 2018.)

2. Doel van functie/rol van de FG/DPO bij Emmaüs vzw Procesbewaking Opleiding Lokale cel per voorziening Team specialisten : Coördinatie niveau

3. Verantwoordelijkheden van het management van Emmaüs vzw met betrekking tot de FG (DPO) (1) Emmaüs vzw maakt aan de Gegevensbeschermingsautoriteit (GBA/DPA), patiënten en cliënten, medewerkers en derden bekend dat zij een Functionaris voor Gegevensbescherming (FG/DPO) heeft aangesteld. Daartoe wordt publiek bekend gemaakt op welke wijze betrokkenen (incl. medewerkers) in contact kunnen treden met de Functionaris voor gegevensbescherming, met vermelding van de contactgegevens van de FG/DPO: postadres van de FG/DPO; toegewezen telefoonnummer van de FG/DPO; toegewezen emailadres van de FG/DPO (privacy@emmaus.be).

3. Verantwoordelijkheden van het management van Emmaüs vzw met betrekking tot de FG (DPO) (1) Ombudsdienst functionaliteit Gekend traject Duidelijke afspraken en instructies nodig Communicatie naar de betrokkene

3. Verantwoordelijkheden van het management van Emmaüs vzw met betrekking tot de FG (DPO) (2) Emmaüs vzw deelt aan de Gegevensbeschermingsautoriteit (GBA/DPA) de naam mee van de Functionaris voor Gegevensbescherming (FG/DPO) met vermelding van de kennis en competenties van deze. Zodra de GBA (DPA) specifieke aanmeldingsformulieren en een aanmeldprocedure bekend maakt, zal de verantwoordelijke voor de verwerking van Emmaüs vzw het nodige doen om de Functionaris voor gegevensbescherming volgens de geëigende weg aan te melden.

3. Verantwoordelijkheden van het management van Emmaüs vzw met betrekking tot de FG (DPO) (3) De Raad van Bestuur en het Dagelijks Bestuur van Emmaüs vzw voorziet voldoende middelen voor het invullen van de functie van een Functionaris voor Gegevensbescherming (FG/DPO) en geeft aan deze functie voldoende armslag (mensen en/of middelen) zodat de nodige maatregelen in plaats kunnen gesteld worden om te voldoen aan de verplichtingen in het kader van de AVG.

4. Onafhankelijkheid van de FG (DPO) (1) De directie van EMMAUS VZW en de voorzieningen garanderen dat de FG in volle onafhankelijkheid zijn/haar taak kan uitoefenen. In dit opzicht is de positie van de FG vergelijkbaar met deze van de preventieadviseur en de informatieveiligheidsconsulent. de FG (DPO) kan volgens de bepalingen van de AVG, verduidelijkt in de richtlijnen van de Art. 29 Working Party, geen managementsfunctie bekleden in een afdeling waarop de FG wordt verondersteld toezicht te doen, bijv. manager IT-afdeling/CIO/CTO, verantwoordelijke HR, ; bij de toewijzing van de DPO-rol moet het management mogelijke belangenconflicten uitsluiten.

4. Onafhankelijkheid van de FG (DPO) (2) De Raad van Bestuur en het Dagelijks Bestuur van Emmaüs vzw moeten bij de toewijzing van de FG/DPOrol mogelijke belangenconflicten uitsluiten. Om zijn/haar onafhankelijke visie en adviezen terdege te kunnen onderbouwen, moet de FG/DPO door de verschillende geledingen van de organisatie van bij de aanvang betrokken worden bij alle aangelegenheden inzake de bescherming van persoonsgegevens (nieuwe processen, verwerkingen, toepassingen of wijzigingen van bestaande); daartoe moet de FG (DPO) de noodzakelijke toegang krijgen tot en ondersteuning, input en informatie krijgen van andere diensten (HR, Jurid. dienst, IT, Informatieveiligheid...).

4. Onafhankelijkheid van de FG (DPO) (3) De FG/DPO kan door alle betrokkenen worden gecontacteerd m.b.t. de verwerking van hun gegevens en met de uitoefening van hun rechten in het kader van de Algemene Verordening Gegevensbescherming.; Er is schriftelijke bevestiging door de Verantwoordelijke voor de verwerking van gegevens vereist, indien het advies van de Functionaris voor gegevensbescherming niet wordt aangenomen en in rekening gebracht of de gevraagde maatregelen niet worden geïmplementeerd, in het bijzonder wanneer het gaat over adviezen in het kader van een gegevensbeschermingseffectbeoordeling (GEB/DPIA).

4. Onafhankelijkheid van de FG (DPO) (4) De FG/DPO maakt een jaarverslag met: de acties en maatregelen met betrekking tot de bescherming van privacy gevoelige gegevens; zijn/haar adviezen inclusief de besluitvorming door de Raad van Bestuur en het Dagelijks Bestuur; de veiligheidsincidenten (privacy gerelateerd) en hun opvolging; de verplichte meldingen datalek en -verlies aan de GBA/DPA; gebeurlijke audit aanbevelingen.

5. Plaats van de FG (DPO) in de organisatie De Functionaris voor Gegevensbescherming (FG) of Data Protection Officer (DPO) rapporteert aan de Raad van Bestuur en de afgevaardigde van het Dagelijks Bestuur en is tegenover deze verantwoording verschuldigd. Hij/zij werkt voor de uitvoering van zijn/haar taken nauw samen met de dienst van de informatieveiligheidsconsulent, de dienst IT en de overige diensten binnen de organisatie Emmaüs vzw inclusief de voorzieningen van de vzw.

EMMAUS vzw organogram groepsdiensten Interne Audit EMMAUS vzw Coördinatiedienst IVC / FG Juridisch Gezondheidsethiek ICT PR&Communicatie Personeel (groep) Aankoop (groep) Stafdienst/dienst Proces Gegevens Verwerkingen Risico s Geg.uitwisseling VZW Interne Audit IVC FG (DPO) Juridisch Gezondheidsbeleid ICT PR & Communicatie (groep) Personeel (groep) Aankoop (groep)

6. Bevoegdheden van de FG (DPO) De FG (DPO) mag betrokkenheid eisen bij alle aspecten van gegevensverwerking binnen de organisatie Emmaüs vzw en de daaronder ressorterende voorzieningen. de FG (DPO) is bevoegd om te controleren dat binnen en door de organisatie alle toepasselijke wettelijke bepalingen in verband met alle aspecten van de gegevensverwerking worden gerespecteerd, inz. deze met betrekking tot persoonsgegevens; de FG heeft budgettaire inspraak en staat mee in voor de opvolging van een overeengekomen jaarbudget volgens begroting van: Exploitatie Investeringen

7. Verantwoordelijkheden van de FG (DPO) De FG/DPO moet er op toezien dat de organisatie de data bewaart en verwerkt volgens de regels van de AVG en gebeurlijk volgens bijkomende privacyregels of wetgeving. De FG/DPO adviseert, begeleidt en ondersteunt alle geledingen van de organisatie betreffende de AVG/GDPR en het privacy beleid van Emmaüs vzw. Hij/zij moet onderzoeken hoe data wordt verwerkt, met welke systemen dat gebeurt en op basis daarvan adviseren om processen of verwerkingen aan te passen of te stoppen. De FG draagt zelf geen verantwoordelijkheid: indien de GDPR niet wordt nageleefd is niet hij, maar de organisatie volledig aansprakelijk. De FG fungeert m.a.w. louter als adviseur en als toezichthouder.

8. Taken van de FG (DPO) (1) De FG staat in voor het (doen) opstellen en (laten) uitvoeren van een risicoanalyse en zo nodig een gegevensbeschermingseffectenbeoordeling (GEB/DPIA) bij de verwerking van gevoelige persoonsgegevens. De FG treedt op als contactpunt voor patiënten/cliënten en medewerkers voor persoonsgegevens gerelateerde items en behandelt mogelijke inbreuken bij het verwerken van persoonsgegevens. de FG treedt op als contactpersoon voor leveranciers die toegang hebben tot persoongegevens, die vallen onder de eindverantwoordelijkheid van de verantwoordelijke voor verwerking van gegevens.

8. Taken van de FG (DPO) (2) De FG treedt op als contactpersoon voor leveranciers die toegang hebben tot persoonsgegevens, die vallen onder de eindverantwoordelijkheid van de verantwoordelijke voor verwerking van gegevens. De FG houdt zich ter beschikking voor vragen van de Raad van Bestuur, Dagelijks Bestuur, de Toezichthouder (GBA/DPA), Overheid (FOD, ) en auditoren (intern, extern). De FG voert controles uit inzake de informatieveiligheid en privacy en hij/zij legt de methodologie ervan, in overeenstemming met de toepassing van gegevensbescherming in de zorgsector; dit met respect voor de hiërarchische lijn.

De FG dient ervoor te zorgen dat door Emmaüs vzw nauwgezet een register wordt bijgehouden van alle activiteiten inzake verwerking van persoons- en onderzoeksgegevens (d.i. verwerkingen inclusief de verwerkingsomgevingen, betrokkenen, bestemmelingen, verwerkers, dataclassificatie, beveiligingsmaatregelen, bewaartermijnen en gegevensstromen). De FG heeft in zijn/haar standaardinstellingen/by default geen rechten om persoonsgebonden gegevens te bekijken. Zijn (actuele) rechtenmatrix wordt gedeponeerd bij de Raad van Bestuur, Dagelijks Bestuur en kan op die manier geauditeerd worden door de Toezichthouder (GBA/DPA), Interne Audit of een Externe Auditor (bv. de bedrijfsrevisor). Functionaris Gegevensbescherming 8. Taken van de FG (DPO) (2)

Concreet voorbeeld: rol FG/DPO m.b.t. Register van gegevensverwerkingen Verzamelen info over de verwerkingen Gebruikmaking van de bestaande info Aansturing door de IVC/FG (DPO) van de referentiepersonen informatieveiligheid (IV) in de voorzieningen en van ICT Opmaken Register gegevensverwerkingen Samenwerking tussen referentiepersonen informatieveiligheid en ICT & de business key users, gefaciliteerd door de IVC/FG (DPO) Sharepoint als samenwerkingsmiddel (collaboration tool) Evaluatie aangeleverde RGV-gegevens Gebeurt door IVC & FG (DPO) i.o.m. de referentiepersonen IV Eindverantwoordelijkheid evaluatie: IVC/FG (DPO) Opvolgingssessies najaar 2017 en voorjaar 2018 Wat nieuw start, wordt geëvalueerd door IVC/FG (DPO) Onderhoud Niet een eenmalige actie: vergt continue aandacht (oppikken wijzigingen door IVC/FG (DPO) Uitdaging: parallel updaten van het Register van gegevensverwerkingen & het risicoregister 45

8. Taken van de FG (DPO) (3) De FG dient ervoor te zorgen dat door Emmaüs vzw nauwgezet een register wordt bijgehouden van alle activiteiten inzake verwerking van persoons- en onderzoeksgegevens *. ( * = Register van verwerkingen inclusief de verwerkingsomgevingen, betrokkenen, bestemmelingen, verwerkers, dataclassificatie, beveiligingsmaatregelen, bewaartermijnen en gegevensstromen). De FG heeft in zijn/haar standaardinstellingen/by default geen rechten om persoonsgebonden gegevens te bekijken. Zijn (actuele) rechtenmatrix wordt gedeponeerd bij de Raad van Bestuur en Dagelijks Bestuur en kan op die manier geauditeerd worden door de Toezichthouder (GBA/DPA), Interne Audit of een Externe Auditor (bv. bedrijfsrevisor).

8. Taken van de FG (DPO) (4) De FG voert structureel en steekproefsgewijs controles uit inzake de informatieveiligheid en de privacy garandering (privacy door standaardinstellingen/by default en Privacy door ontwerp/by Design) bij alle processen en verwerkingen van persoonsgegevens. Dit binnen het wettelijke kader en zonder kennis te nemen van de inhoud van de gegevens. De FG waakt over het correct toepassen van alle nieuwe bepalingen die de AVG oplegt aan de organisatie en haar voorzieningen, inbegrepen eisen en maatregelen van toepassing op verwerkingen die dateren van voor de inwerkingtreding van de AVG, maar die nu ook vallen onder de toepassing ervan.

8. Taken van de FG (DPO) (5) De FG fungeert als unieke contactpersoon van Emmaüs vzw voor de Gegevensbeschermingsautoriteit (GBA/ DPA). De FG ziet er op toe dat de verplichtingen inzake beheer van incidenten m.b.t. privacy en de verplichte meldingen van datalek-/dataverlies worden nagekomen. De FG geeft advies aan de stuurgroep belast met Informatieveiligheid en Privacy van Emmaüs vzw en aan de Raad van Bestuur, Dagelijks Bestuur aan wie het domein van Gegevensbescherming werd toegewezen. De FG stelt een meerjarenplan op voor Emmaüs vzw, volgt dit op en rapporteert hierover in zijn jaarverslag.

9. Kennis- en competentieprofiel van de FG (DPO) (1) De functie van Functionaris voor de Gegevensbescherming vereist gedegen kennis en/of ervaring op het gebied van: gegevensbescherming (juridisch en technisch); gegevensbeveiliging (cybersecurity); bedrijfsprocessen binnen zowel de ziekenhuizen, de ITen andere ondersteunende diensten als in de andere (zorg)voorzieningen van Emmaüs vzw; kennis van de juridische aspecten van de van toepassing zijnde wet- en regelgeving inz. van AVG en NIS; kennis van de gebruikstalen bij de toezichthouder (DPA). Dit zijn vereisten die ook van toepassing zijn voor de informatieveiligheidsconsulent i.k.v. ehealth.

9. Kennis- en competentieprofiel van de FG (DPO) (2) De FG/DPO moet zijn/haar kennis op peil houden en zich permanent bijwerken aangaande nieuwe ontwikkelingen op het vlak van gegevensbescherming en privacy die een invloed kunnen hebben op de organisatie en/of op de eigen mogelijkheid en oordeelsvermogen voor de eigen rol en verantwoordelijkheid. De Art.29 Data Protection Working Party stelt expliciet dat de FG/DPO relevante trainingen en opleidingen over gegevensbescherming en andere professionele ontwikkeling moet volgen en daartoe de gelegenheid moet krijgen binnen het kader van zijn/haar opdracht. Dit zijn vereisten die eveneens van toepassing zijn voor de informatieveiligheidsconsulent.

De informatieveiligheidsconsulent van de organisatie kan vanwege de vereiste kennis ook fungeren als Functionaris voor gegevensbescherming (FG)/ Data Protection Officer (DPO), mits voldoende ondersteuning van de Raad van Bestuur en het Dagelijks Bestuur van Emmaüs vzw.

VRAGEN / OPMERKINGEN

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback