Als openbare instelling is Iriscare bijzonder aandachtig voor alles wat te maken heeft met gegevensbescherming. Elk jaar worden talrijke projecten op poten gezet om de verschillende missies van Iriscare uit te voeren en deze moeten de geldende regels inzake gegevensbescherming respecteren. Wie het organigram van Iriscare erbij neemt, stelt trouwens vast dat er een specifieke dienst Gegevensbescherming is bij het departement Algemene diensten.

Gegevensbescherming wordt steeds belangrijker nu we almaar meer met elkaar verbonden zijn. Dit transversale thema raakt aan alle projecten van Iriscare. Het is dan ook logisch dat er een aparte dienst voor bestaat in het departement Algemene diensten. “De dienst Gegevensbescherming behandelt de aanvragen van de verschillende diensten van Iriscare en andere partners (KSZ, secundair netwerk, CIBG, Fidus, Smals enz.) over informatiebeveiliging en de bescherming van persoonsgegevens volgens de regels in kwestie,” verduidelijkt Agnès Wambo, de verantwoordelijke van de dienst. Er werden meerdere opdrachten volbracht voor de naleving en toepassing van de regels voor informatiebeveiliging en de bescherming van persoonsgegevens in 2020.

De AVG staat centraal in onze acties

Er worden regelmatig projecten uitgevoerd in het kader van de AVG en 2020 vormde hierop geen uitzondering. Zo werden met name sommige wettelijke vermeldingen op de websites van Iriscare aangepast aan de regels. “Een van de verplichtingen die de AVG oplegt op het gebied van de bescherming van persoonsgegevens en het privéleven, betreft de informatie in bepaalde vermeldingen aan de personen van wie de gegevens verzameld en verwerkt worden,” legt Agnès Wambo uit. “De wettelijke vermeldingen (privacyverklaring, cookiebeleid en beding van afwijzing van aansprakelijkheid) die gepubliceerd moeten worden, werden in 2020 geactualiseerd op de websites van Iriscare. Deze vermeldingen zijn ook geschreven voor de eCat-toepassing van Iriscare.” Tegelijkertijd werd ook geanalyseerd of de overeenkomsten en projecten waarbij er sprake is van persoonsgegevens overeenstemmen met de AVG. Concreet werden de contractuele bepalingen geüpdatet die Iriscare binden aan zowel zijn leveranciers als zijn partners (andere organisatie, verzekeraars, overheidsopdrachten enz.). “Zo werden in 2020 zestien projecten opgevolgd, negen onderaannemingsovereenkomsten voor persoonsgegevens geanalyseerd en aangepast, een gegevensbeschermingseffectbeoordeling uitgevoerd in het kader van de uitvoering van de THAB-bevoegdheden binnen Iriscare en twee adviesaanvragen ingediend, een bij de Gegevensbeschermingsautoriteit (GBA) en een bij het Informatieveiligheidscomité (IVC),” licht Agnès Wambo toe.

Bewustmakingsacties

Naast het AVG-luik voert de dienst Gegevensbescherming nog andere opdrachten uit. “Iriscare behoort tot het netwerk van de Kruispuntbank Sociale zekerheid (KSZ) en wordt daarom beschouwd als een instelling van sociale zekerheid. Ook al is Iriscare geen federale instelling, toch is onze organisatie als lid van het netwerk gebonden aan de minimumnormen van het KSZ. Als een instelling voor sociale zekerheid (of gelijkgesteld) toegang tot het KSZ-netwerk wil krijgen en behouden, moet ze deze minimale veiligheidsnormen respecteren,” zegt Agnès Wambo. Iriscare vult elk jaar een ad-hocvragenlijst in en bezorgt die aan de KSZ zodat de naleving van de minimale veiligheidsnormen bij de KSZ gecontroleerd kan worden.” De dienst Gegevensbescherming beheert ook de toegang tot toepassingen. Dit omvat, onder andere, het beoordelen en goedkeuren van toegangsaanvragen tot sociale zekerheidstoepassingen of andere toepassingen die bij Iriscare gebruikt worden. Ook het formuleren van aanvragen om toegang tot het rijksregister hoort hierbij. Er werden 124 toegangsaanvragen beoordeeld en goedgekeurd in 2020.

Tot slot is er ook heel wat bewustmakingswerk verricht bij de medewerkers van Iriscare. Het is de bedoeling om alle medewerkers vertrouwd te maken met de basisprincipes van informatieveiligheid en gegevensbescherming. Dit gebeurt vooral via het intranet. De rubriek over informatieveiligheid werd in 2020 geactualiseerd en in maart liep er een bewustmakingscampagne over phishing en meer bepaald coronaphishing.

Als instelling van openbaar nut schenkt Iriscare veel aandacht aan gegevensbescherming. Dankzij de bewustmakingsacties die sinds het bestaan van onze organisatie werden opgezet, is gegevensbescherming springlevend bij Iriscare en vergeten onze projectverantwoordelijken niet om de Data Protection Officer (DPO) te raadplegen. Dit is een cruciaal thema voor Iriscare, die er alles aan zal blijven doen om de geldende regels te volgen.