2024_CBS_01248 - Aanstelling coördinerend DPO voor de fusiegemeente

De Europese privacy verordening voorziet in een functionaris voor gegevensbescherming, ook wel de Data Protection Officer (DPO) genoemd. Vanaf 25 mei 2018 zijn sommige verwerkingsverantwoordelijken (en/of verwerkers), waaronder alle lokale besturen verplicht een functionaris voor gegevensbescherming aan te stellen. Hij of zij zal immers een niet te miskennen rol spelen in het databeschermingsbeleid van de organisatie.

De functionaris voor gegevensbescherming (DPO) ziet toe op de gegevensverwerkingen binnen de organisatie. De taken van een functionaris voor gegevensbescherming (DPO) zijn onder andere:

• De naleving van de verordening controleren en van de andere gegevensbeschermingsbepalingen van de EU en de interne regels van de verwerkingsverantwoordelijke en de verwerker;
• bijstaan van de verwerkingsverantwoordelijke of verwerker in de gegevensbeschermingseffectbeoordeling;
• bijstaan van de verwerkingsverantwoordelijke of verwerker in de opmaak van het register van de verwerkingsactiviteiten;
• samenwerken met de toezichthoudende autoriteit;
• fungeren als contactpersoon, zowel voor interne medewerkers als externe betrokkenen.

De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

Zwijndrecht en Kruibeke hebben geen eigen DPO in dienst en doen hiervoor beroep op Polis (provinciale dienst). In Beveren werd gekozen om een eigen DPO op te leiden en aan te stellen na het behalen van het certificaat.

Op 9 augustus 2024 kwam er volgend advies vanuit ABB binnen met betrekking tot de aanstelling van de DPO: 

Volgens het DPO-team van ABB moeten overheidsinstanties een DPO aanwijzen bij het verrichten van verwerkingsactiviteiten (zie artikel 37, lid 1, a) AVG). Een DPO moet dus aangesteld worden bij de start van de verwerkingsactiviteiten of ervoor. Het DPO-team suggereerde naar de mogelijkheid om het takenpakket van één van de huidige DPO’s uit te breiden naar dat van de fusiegemeenten, totdat er een officiële aanstelling/benoeming is van een DPO.  

Gezien er vanaf het najaar gestart wordt met de eenmaking van de softwarepakketten van het Sociaal Huis, Personeelsdienst, Financiële dienst, Stedenbouw, ... zullen vanaf dat moment tussen de 3 besturen heel wat onderlinge persoonsgegevens zichtbaar zijn en start men het inputten van de sociale dossiers. Op dit moment start de gezamenlijke gegevensverwerking van de 3 besturen.  Om de aansluitingen met Magda, rijksregister, kruispunt Sociale Zekerheid, ... in orde te kunnen brengen moet een DPO doorgegeven worden. 

De fusiestuurgroep is vrijdag 13 september akkoord gegaan om Kelly Smet, huidig DPO van gemeente Beveren, aan te stellen als coördinerend DPO om de overgang naar het nieuwe fusiebestuur te faciliteren. Het nieuwe bestuur zal dan in januari 2025 definitief een DPO moeten aanwijzen. 

GDPR-wetgeving

Besluit van de Vlaamse Regering betreffende de functionarissen voor gegevensbescherming, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische gegevensverkeer. 

Nationale regelgeving:

• de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens;

• de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, artikel 10;

• de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, artikel 24 en 25;

• het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, artikel 9;

• het besluit van de Vlaamse Regering van 23 november 2018 betreffende de functionarissen voor gegevensbescherming, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.

De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming), hierna “AVG” te noemen, inzonderheid Afdeling 4, Functionaris voor gegevensbescherming (artikel 37 t/m 39):

• artikel 37.1.A:
  De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;

• artikel 37.5:
  De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.

• artikel 37.6:
  De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

• artikel 38 beschrijft de positie van de FG:

1. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2. De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 39 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid. 
3. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker. 
4. Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening. 
5. De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden. 
6. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

• artikel 39 beschrijft de taken van de FG:

De Aanbeveling 04/2017 van 24 mei 2017 van de Commissie voor de bescherming van de persoonlijke levenssfeer (hierna “CBPL” te noemen), betreffende de aanwijzing van een functionaris voor gegevensbescherming in toepassing van de Algemene Verordening Gegevensbescherming (AVG) en in het bijzonder de toelaatbaarheid van de cumulatie van deze functie met andere functies waaronder die van veiligheidsconsulent (CO-AR-2017-008), waarin de CBPL aanbeveelt om de keuze voor de FG vast te leggen, en documentatie aan te leggen die aantoont dat aan de AVG voldaan wordt.