De Algemene Verordening Gegevensbescherming (AVG of anders gezegd de GDPR - General Data Protection Regulation) is op datum van 24 mei 2016 in werking getreden en met ingang van 25 mei 2018 effectief van toepassing. Deze Europese verordening zorgt ervoor dat persoonlijke gegevens beter beschermd worden. Ook voor openbare besturen brengt de GDPR nieuwe uitdagingen en verplichtingen met zich mee.
De GDPR verplicht elke verwerkingsverantwoordelijke om overeenkomsten af te sluiten met de verwerkers waarop hij/zij een beroep doet en een verwerkingsregister bij te houden. Het register vermeldt het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Binnen ons bestuur wordt het generiek sjabloon opgemaakt in samenwerking met de Vlaamse vereniging voor steden en gemeenten gebruikt als basis voor elke verwerkingsovereenkomst.
Ons bestuur is verwerkingsverantwoordelijke voor tal van persoonsgegevens. Verschillende van die persoonsgegevens worden echter verwerkt door of bij derden. Artikel 28, derde lid van de GDPR bepaalt dat met deze derde een verwerkingsovereenkomst moet afgesloten worden.
Elk van deze verwerkingsovereenkomsten wordt vooraf door onze DPO (data protection officer) geadviseerd.
In principe behoort het tot de bevoegdheid van de gemeenteraad om overeenkomsten af te sluiten. Het decreet lokaal bestuur bepaalt echter dat behoudens bij uitdrukkelijke toewijzing van een bevoegdheid aan de gemeenteraad, de gemeenteraad bij reglement bepaalde bevoegdheden kan toevertrouwen aan het college van burgemeester en schepenen.
Gezien het grote aantal verwerkingsovereenkomsten dat jaarlijks wordt gesloten, wordt voorgesteld aan de gemeenteraad om de bevoegdheid tot het afsluiten van verwerkingsovereenkomsten te delegeren aan het college dat op haar beurt deze bevoegdheid verder kan delegeren aan de algemeen directeur.
Op die manier wordt de huidige werkwijze geformaliseerd waarbij deze overeenkomsten worden ondertekend en goedgekeurd door de algemeen directeur.
Er wordt een overzicht van deze verwerkingsovereenkomsten bijgehouden dat op elk moment kan geraadpleegd worden.
- Het decreet lokaal bestuur van 22 december 2017, en latere wijzigingen, inzonderheid artikel 40 en 41 betreffende de bevoegdheden van de gemeenteraad.
- De Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming (Publ.blad, L 119, 4.5.2016, pp. 1-88)).
- Het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
De gemeenteraad delegeert de bevoegdheid tot het afsluiten van verwerkingsovereenkomsten aan het college van burgemeester en schepenen dat op haar beurt de bevoegdheid verder kan delegeren aan de algemeen directeur.