FAQ's

Klik op de categorie om de inhoud te lezen.

Bedrijfsmiddelen

Wat wordt bedoeld met expliciet opschonen van een laptop na gebruik? Op wat moet je nakijken?

Zorgen dat persoonsgegevens en de zogenaamde bedrijfsgevoelige informatie onherroepelijk verwijderd is. Gegevens mogen niet gerecupereerd kunnen worden.

Beleid en organisatie

Kan Facebook gebruikt worden om tussen medewerkers professioneel te chatten?

Wij raden af Facebook te gebruiken om professioneel te chatten. Facebook kan dienen om informatie over je centrum en haar activiteiten te promoten; maar de chatfunctie is geen communicatiemiddel om privacy-gevoelige gegevens te bespreken of aan elkaar door te geven gezien de onduidelijkheid rond de beveiliging van deze fora (opslag van gegevens, toegang tot gegevens,…).

Kan de CLB-medewerker toegang krijgen tot het leerlingendossier van de school?

Dit is de verantwoordelijkheid van de school. De school dient te communiceren met de leerling/ouders over de finaliteit en de proportionaliteit van deze toegang. We adviseren enkel leesrechten voor de clb-medewerker en geen schrijfrechten in het leerlingendossier van de school.

Volstaat een generieke toestemming voor de uitwisseling van gegevens tussen school en CLB of niet?

Uitgangspunt is uitvoering van de CLB-taken. In kader van het uitvoeren van je taken moet je rekening houden met de AVG.
Art. 36. CLB-decreet. Het centrum heeft recht op de relevante informatie die over de leerlingen in de school aanwezig is en de school heeft recht op de relevante informatie over de leerlingen in begeleiding. Ze houden allebei bij het doorgeven en het gebruik van deze informatie rekening met de geldende regels inzake het beroepsgeheim, de deontologie en de bescherming van de persoonlijke levenssfeer.
Art. 39 stelt dat je dit concretiseert in het beleidsplan of beleidscontract waarin o.a. wordt vermeld: 5° de wijze waarop de school en het centrum elkaar informatie bezorgen die relevant is voor de werking [, met inbegrip van de wijze waarop het centrum uitvoering geeft aan de artikelen 7 en 14 van dit decreet]

Nu wordt in de schoolreglementen vaak opgenomen dat school en CLB info kunnen uitwisselen zonder dat de ouders/leerling daar expliciet van op de hoogte worden gebracht.

Ook de school moet de AVG naleven en bijgevolg de ouders/leerlingen expliciet op de hoogte brengen van het feit dat gegevens uitgewisseld kunnen worden met het CLB. In het schoolreglement kan dit generiek en specifiek in privacyverklaringen.
Op het ogenblik van een vraag door de school aan CLB of omgekeerd, moet er met de ouders/leerling zeer expliciet afgestemd worden welke gegevens voor welke doeleinden uitgewisseld mogen worden. Zowel school als CLB moet de stappen met cliënt bespreken waarbij de cliënt instemt met de verdere stappen. Bij contact met ouders/leerling moet CLB hen inl. informeren over hun rechten i.k.v. DRM. Hiervan moet voor het CLB een weerslag zijn in het MDD.

Beveiliging

In de risicoanalyse staat “Worden bezoekers bij het binnenkomen en bij vertrek geregistreerd?” (als verplicht)
We hebben 4 medische circuits die heel regelmatig gebruikt worden voor onze medische onderzoeken maar ook door arbeidsgeneeskundige diensten en ook door Kind & Gezin. Daarnaast zijn er ook nog vergaderingen, vormingen, cliënten en we zijn met heel wat collega’s. Dus een verloop van soms honderden mensen op een dag. Het lijkt ons bijna onmogelijk om dit praktisch te organiseren, ook omwille van de indeling van ons gebouw, clienten van Kind&gezin moeten bv. niet langs ons onthaal passeren. Is het werkelijk zo dat we het verloop moeten registreren als we voldoende aandacht besteden aan de andere zaken uit de risicoanalyse met betrekking tot “Fysieke beveiliging en beveiliging van de omgeving”

Praktisch moet alles nog haalbaar blijven.
Je weet best wie als \'externe\' binnenkomt en wanneer hij/zij buiten gaat (op heel wat plaatsen ligt een lijst waarop je inschrijft en uitschrijft).
Voor een klasgroep - aanzie dit als klasgroep - het is ook de verantwoordelijkheid van de klasverantw. dat iedereen van de klas weer mee is.
Je maakt best goede afspraken met andere diensten:

  • waar kunnen ze binnen - waar niet
  • wanneer kunnen ze binnen - wanneer niet
  • wat kunnen ze op het netwerk - wat niet
  • ...

Als je je deur sluit, moeten je dossiers dan opgeborgen zijn?

Je zorgt via gesloten deur al voor een maatregel; kast op slot kan maar hoeft niet.

Als we de personeelsleden verantwoordelijk maken voor hun eigen bezoekers (komen halen aan onthaal en terug buiten begeleiden), is dit voldoende ifv controle op wat ze doen in het gebouw en moeten ze dan nog geregistreerd worden?

I.k.v. informatieveiligheid is dit inderdaad voldoende. Op die manier zorg je ervoor dat onbevoegden geen toegang hebben tot bepaalde informatie. Registratie van bezoekers is belangrijk i.k.v. brandveiligheid. Bij een incident is het register interessant om te achterhalen wie op dat moment in het gebouw aanwezig was.

Wij willen als CLB een camera plaatsen aan onze voordeur, vooral met de bedoeling om buiten de openingstijden van het CLB te kunnen zien wie zich als cliënt aanmeldt. Het is dus een camera zonder opname (zonder recorder).

Bij het installeren videoparlofoon dient het CLB niet de voorschriften van de camerawet na te leven, maar wel de algemene principes van de Privacywet, wat o.m. betekent dat een bericht moet worden opgehangen in de nabijheid van de camera dat aangeeft dat er wordt gefilmd. Tot 25 mei 2018 dient bovendien aangifte te worden gedaan van die videofoon bij de Privacycommissie, nadien is die aangifte niet meer nodig maar zal de videoparlofoon moeten worden vermeld in het register van verwerkingsactiviteiten.

Communicatie

We organiseren een event waarop moet ingeschreven worden. We vragen naam, email, dienst,... . Moeten wij iets speciaals doen?

Je moet aangeven wat je met de gevraagde gegevens gaat doen en waarvoor je ze gaat gebruiken. Ook aangeven wat je nadien doet met de gegevens.
Wil je deelnemerslijst uitdelen dan moet je expliciet vragen of men op de deelnemerslijst wil staan.
Wil je de mailadressen later gebruiken voor emails te versturen nav gelijkaardig event, dan moet je expliciet vragen of het mailadres kan bewaard worden.

Dataregister

Ik zou 1 dataregister maken voor de 3 CLB\'s samen onder de naam vrij CLB West omdat we vanaf 1 spetember ook 1 CLB zullen zijn. Is dat een probleem?

Nee, dit is geen probleem zolang alle items maar opgenomen zijn in het dateregister.

Incidenten

Wij maken gebruik van een meldformulier (google form) voor de incidenten. Is dit voldoende?

Het meldformulier op zich is echter nog geen incidentregister (verplicht instrument). Jouw achterliggende spreadsheet kan je aanvullen met de velden in ons model om tot een volwaardig incidentregister te komen. https://www.mijnclb.be/informatieveiligheid/clb/incidentenregister.php Belangrijk zijn ook de velden te voorzien rond datalek. Het model bevat de velden die we moeten doorgeven aan de Privacycommissie i.k.v. onze meldplicht.

Jaarplan

Heb je geen voorbeeld van een jaarplan?

Hierbij een voorbeeld van een jaarplan. Met dank aan Vrij CLB West voor de toestemming om dit te delen.  Opgelet: je kan dit jaarplan niet zomaar overnemen! 

Voorbeeld

Leveranciers

Moet met iedere werknemer van een externe firma welke in het CLB komt een vertrouwelijkheidsverklaring externen afgesloten worden?

Je hebt een contract met een firma (bvb een poetsfirma). Verschillende mensen komen werken uitvoeren (in ons vb. poetsen) op de verschillende vestigingsplaatsen. Bij het contract laat je een vertrouwelijkheidsverklaring externen tekenen door de firma. Het is de verantwoordelijkheid van de firma om dit met hun personeel verder op te nemen, te bespreken,... . Als CLB hoef je niet van iedere medewerker (in ons vb. poetsvrouw/poetsman) een getekende versie te hebben. Je kan wel opvragen of de firma dit wel opgenomen heeft met hun personeel.
Als de firma werken uitvoert/leveringen brengt in een zone waar men nooit in aanraking kan komen met privacygevoelige informatie dan hoeft dit niet. Bvb. Een drankenleverancier brengt drank naar het CLB en moet die dranken rechtstreeks in een berging plaatsen zonder dat men lokalen door moet waar privacy gevoelige aanwezig kan zijn.

Personeel

Op de website staat naast het model vetrouwelijkheidsverklaring ook een vertrouwelijkheidsverklaring voor stagiairs. In de vertrouwelijkheidsverklaring voor de stagiairs wordt niet verwezen naar het rijksregister en AVG wetgeving. Laten we de stagiairs dan best ook de vertrouwelijkheidsverklaring personeel ondertekenen als ze bv. met LARS werken?

In de vertrouwelijkheidsverklaring van de stagiair wordt verwezen naar de privacy-wetgeving, maar niet expliciet zoals bij personeelsleden. De vertrouwelijkheidsverklaring personeelsleden laten tekenen door stagiairs mag ook.
Dit wordt juridisch nog eens nagevraagd.

We geven bewustwording informatieveiligheid via pv, nieuwsbrief, andere campagnes. Is dit voldoende om gezien te worden als naar behoren en regelmatig opleiden en trainen van vaste en tijdelijke personeelsleden?

Absoluut, samen met de kracht van de herhaling.

De gebruikers voldoende informeren over consequenties onjuist gebruik toegangsrechten - wat wordt bedoeld met onjuist gebruik toegangsrechten?

Zelf geen toegang hebben tot mappen waar je geen toegang moet toe hebben, werken met eigen login, ...

Procedures

Geen vragen in deze categorie

Processen

Geen vragen in deze categorie

Wetgeving

Geen vragen in deze categorie