Search in Kenniscentrum Vlaamse Steden

Werkzaamheden GDPR 2022

Slotje bestaande uit datapunten

Workshops GDPR

Op 25 mei 2018 trad de General Data Protection Regulation (GDPR) in heel de Europese Unie in werking. Die datum ligt ondertussen al even achter ons, maar heel wat stedelijke IT-verantwoordelijken, belast met het implementeren van deze GDPR, worden ook na die datum geconfronteerd met vragen en onduidelijkheden. 

De werkgroep, samengesteld uit de DPO’s en verantwoordelijken voor informatieveiligheid uit alle centrumsteden en de VGC kwam in 2022 vijf keer samen, op:

  • 27 januari
  • 15 februari
  • 23 juni
  • 13 september
  • 28 november

Wat voorafging 

In het voorjaar van 2021 stonden we op vraag van de deelnemers aan de workshops GDPR stil bij de invulling van de workshopreeks GDPR van het Kenniscentrum. Via een uitgebreide vragenlijst peilden we toen naar de noden en verwachtingen van de deelnemers voor de toekomstige werking rond GDPR. Op basis van alle input bepaalden we samen de thema’s de toekomst: 

  • Samen werken aan een bibliotheek met standaarddocumenten
  • Samen werken aan een set richtlijnen voor GDPR-proof werken in de internationale cloud
  • Workshops rond vooraf gekozen thema’s waarbij we kennis uitwisselen en kijken naar inspirerende voorbeelden uit de steden/VGC. 

Na een fase van vormgeving in 2021 werd in 2022 actief samengewerkt rond het inhoud geven van voornoemde thema’s.

Documentenbibliotheek 

In 2021 werd gestart met het uitbouwen van een “GDPR-documentenbibliotheek”. In de werkgroep werd afgesproken samen te werken aan een overzicht van beschikbare standaarddocumenten in het kader van gegevensuitwisseling of -bescherming. We spraken af dat steden/VGC die beschikten over sjablonen of standaarddocumenten deze samen brachten in een online bibliotheek, aanvankelijk ingedeeld per stad, later thematisch. 

Vanaf het najaar van 2021 ging de werkgroep actief aan de slag met de beschikbare documenten. Vanaf dan werd elke keer één specifiek documenttype gekozen waar we actief rond samenwerkten: 

  • Er wordt een documenttype gekozen
  • Via een thuisopdracht worden de beschikbare doorgenomen en een eerste modeldocument uitgewerkt
  • Op de volgende vergadering wordt dit voorstel geëvalueerd en waar nodig aangevuld of gecorrigeerd
  • De deelnemers evalueren het bijgewerkte voorstel via een nieuwe thuisopdracht
  • De werkgroep keurt het definitieve model goed

Op deze manier werd samengewerkt aan: 

  • Richtlijnen en een checklist voor het installeren, registreren en inventariseren van camerabewaking
  • Een standaard vertrouwelijkheidsverklaring (NDA)
  • Richtlijnen voor de samenwerking tussen stad en OCMW, waarbij hetzelfde personeelslid soms taken voor beiden opneemt.

Richtlijnen voor veilig werken in de internationale Cloud 

Heel wat stedelijke DPO’s zitten met vragen over het veilig en GDPR-conform inzetten van (Microsoft) Cloud oplossingen in de stedelijke organisatie. Het gaat daarbij om zeer uiteenlopende vragen van zowel technische als juridische aard. Zo zijn er vragen over de technische configuratie van de Cloudoplossingen, over de op te stellen contracten en verwerkersovereenkomsten en over de locatie van de cloudservers in het buitenland en de toegang tot de gegevens door niet-Europese overheden. 

In 2022 werd actief met Microsoft gekeken naar de kennis rond de beveiliging van Microsoft producten. In een aantal kennissessies gaf Microsoft uitgebreid toelichting over: 

  • De verwerkersovereenkomst die met Microsoft in dit kader wordt afgesloten.
  • De uitbouw van een Europese serverinfrastructuur voor dataopslag binnen de EU.
  • De technische maatregelen die kunnen getroffen worden om de toegang tot persoonsgegevens optimaal te beveiligen.
    • Multi-factor authenticatie
    • Het werken met unieke sleutels waarbij enkel de sleutelhouder toegang krijgt tot zijn data.
  • De DPIA op Microsoft Cloud-producten door het Nederlandse ministerie van justitie. 

Op de vergadering van 13 september gaf de Vlaamse overheid een uitgebreide toelichting over KMaaS, het sleutelbeheer van de Vlaamse overheid waarvan ook lokale besturen gratis gebruik kunnen maken. Ook de andere veiligheidsbouwstenen werden uitgebreid toegelicht. We spraken af de briefing over de ontwikkelingen bij de Vlaamse overheid in het kader van informatieveiligheid vanaf nu als vast agendapunt op de vergadering te agenderen.

Thematische kennisuitwisseling 

Tijdens de vergaderingen van de werkgroep was ook dit jaar opnieuw aandacht voor een aantal praktische vragen van de DPO’s. We keken een aantal keer samen naar vooraf gekozen specifieke thema’s waarbij we kennis uitwisselden en inspirerende voorbeelden uit de steden/VGC bekeken. 

Tijdens de vergaderingen in 2022 gingen we dieper in op volgende onderwerpen: 

  • Het opstellen van een informatieveiligheidsplan met een integrale veiligheidsaanpak  
  • Het Digitaal Sociaal Dossier
  • De SPECTRE (opent nieuw venster) Toolbox rond privacy in Smart City-projecten 

Daarnaast werd op elke vergadering ingegaan op ad hoc vragen van de deelnemers.

De website van Kenniscentrum Vlaamse Steden is een onderdeel van vvsg.be(opent nieuw venster)