Search in Kenniscentrum Vlaamse Steden

Werkzaamheden GDPR 2023

Mensen op straat, een camera filmt hen en registreert hoofden

Werkgroep GDPR

Op 25 mei 2018 trad de General Data Protection Regulation (GDPR) in heel de Europese Unie in werking. Die datum ligt ondertussen al even achter ons, maar heel wat stedelijke IT-verantwoordelijken, belast met het implementeren van deze GDPR, worden ook na die datum geconfronteerd met vragen en onduidelijkheden. 

De werkgroep, samengesteld uit de DPO’s en verantwoordelijken voor informatieveiligheid uit alle centrumsteden en de VGC kwam in 2023 zeven keer samen, op: 

  • 30 januari 2023
  • 6 maart 2023
  • 30 maart 2023 (extra)
  • 5 mei 2023
  • 11 september 2023
  • 17 oktober 2023
  • 11 december 2023

Wat voorafging 

In het voorjaar van 2021 stonden we op vraag van de deelnemers aan de workshops GDPR stil bij de invulling van de workshopreeks GDPR van het Kenniscentrum. Via een uitgebreide vragenlijst peilden we toen naar de noden en verwachtingen van de deelnemers voor de toekomstige werking rond GDPR. 

Op basis van alle input bepaalden we samen de thema’s de toekomst:

  • Samen werken aan een bibliotheek met standaarddocumenten
  • Samen werken aan een set richtlijnen voor GDPR-proof werken in de internationale cloud
  • Workshops rond vooraf gekozen thema’s waarbij we kennis uitwisselen en kijken naar inspirerende voorbeelden uit de steden/VGC. 

Na een fase van vormgeving in 2021 werd in 2022 actief samengewerkt rond het inhoud geven van voornoemde thema’s. In 2023 werd deze werking verder gezet.

Documentenbibliotheek 

In 2021 werd gestart met het uitbouwen van een “GDPR-documentenbibliotheek”. In de werkgroep werd afgesproken samen te werken aan een overzicht van beschikbare standaarddocumenten in het kader van gegevensuitwisseling of -bescherming. We spraken af dat steden/VGC die beschikten over sjablonen of standaarddocumenten deze samen brachten in een online bibliotheek, aanvankelijk ingedeeld per stad, later thematisch. Vanaf het najaar van 2021 ging de werkgroep actief aan de slag met de beschikbare documenten. 

Vanaf dan werd elke één specifiek documenttype gekozen waar we actief rond samenwerkten: 

  • Er wordt een documenttype gekozen
  • Via een thuisopdracht worden de beschikbare doorgenomen en een eerste modeldocument uitgewerkt
  • Op de volgende vergadering wordt dit voorstel geëvalueerd en waar nodig aangevuld of gecorrigeerd
  • De deelnemers evalueren het bijgewerkte voorstel via een nieuwe thuisopdracht
  • De werkgroep keurt het definitieve model goed. 

Op deze manier werd in 2023 samengewerkt aan: 

  • Richtlijnen voor de samenwerking tussen stad en OCMW, waarbij hetzelfde personeelslid soms taken voor beiden opneemt
  • Een overzicht van door elke stad uitgevoerde gegevensbeschermingseffectbeoordelingen (GEB’s) of data protection impact assessments (DPIA’s)
  • Richtlijnen voor het opmaken van beleid over de raadpleging van het bevolkingsregister voor interne doeleinden

Richtlijnen voor veilig werken in de internationale Cloud 

Heel wat stedelijke DPO’s zitten met vragen over het veilig en GDPR-conform inzetten van (Microsoft) Cloud oplossingen in de stedelijke organisatie. Het gaat daarbij om zeer uiteenlopende vragen van zowel technische als juridische aard. Zo zijn er vragen over de technische configuratie van de Cloudoplossingen, over de op te stellen contracten en verwerkersovereenkomsten en over de locatie van de cloudservers in het buitenland en de toegang tot de gegevens door niet-Europese overheden. Het in 2022 opgestarte spoor werd in 2023 gecontinueerd via kennisuitwisseling over actuele dossiers: steden wisselden informatie uit over de genomen maatregelen en evalueerden die. Ook het advies van de Vlaamse Toezichtcommissie in een aantal dossiers werd samen geëvalueerd, op zoek naar gepaste veiligheidsmaatregelen. Deze vlotte samenwerking deed de werkgroep besluiten in de toekomst ook in andere dossiers actief samen te gaan werken.

Protocollen Stadsmonitor 

De werkgroep werd in 2023 actief betrokken bij de opmaak van protocollen die worden opgesteld in het kader van de gegevensuitwisseling van survey- en bevolkingsdata bij de stadsmonitor. Op 30 maart werd hiervoor een extra vergadering van de werkgroep ingelast. Enige agendapunt op deze vergadering was het gezamenlijk overlopen van deze protocollen. Doel was om alle DPO’s een goed zicht te geven op de inhoud van deze protocollen en verdere afspraken i.f.v. goedkeuring te maken. De DPO’s deelden inzichten en gaven advies. Aansluitend deelden een aantal DPA’s hun advies, ter inspiratie.

Thematische kennisuitwisseling 

Tijdens de vergaderingen van de werkgroep was ook dit jaar opnieuw aandacht voor een aantal praktische vragen van de DPO’s. We zaten een aantal keer samen rond vooraf gekozen specifieke thema’s waarbij we kennis uitwisselden en inspirerende voorbeelden uit de steden/VGC bekeken. 

Tijdens de vergaderingen in 2023 gingen we dieper in op volgende onderwerpen: 

  • Het gebruik van Bring Your Own Key: 2.0 versus 3.0
  • De mogelijkheid tot afstemming rond de KSZ-vragenlijst en andere vragenlijsten
  • De toepassing van NIS2 in lokale besturen.
  • Het delen van (Rijksregister-)informatie met advocaten  
  • Hoe gaan steden om met het delen van gegevens van burgers met hun college, bijvoorbeeld jubilarissen?
  • Hoe kan je de opmaak van een DPIA integreren in de organisatie?
  • Het gebruik van gegevens uit authentieke bronnen (kadaster, …) voor testen, tijdens opleidingen.
  • Het aanbod van de Vlaamse Overheid met betrekking tot cyber security. 

Daarnaast werd op elke vergadering ingegaan op ad hoc vragen van de deelnemers.

De website van Kenniscentrum Vlaamse Steden is een onderdeel van vvsg.be(opent nieuw venster)