Bij besluit van 14 september 2018 (jaarnummer 8213) heeft het college beslist de bevoegdheid tot het afsluiten van verwerkersovereenkomsten voor zover het goedgekeurde sjabloon gebruikt wordt, te delegeren aan de algemeen directeur, met de mogelijkheid voor de algemeen directeur om deze bevoegdheid verder te delegeren aan de bedrijfsdirecteurs.
Bij besluit van 25 september 2018 (jaarnummer 237) delegeerde de algemeen directeur deze bevoegdheid aan de bedrijfsdirecteurs.
Indien het goedgekeurde stedelijk sjabloon niet wordt gebruikt blijft het college bevoegd voor het afsluiten van verwerkersovereenkomsten.
Het Zorgbedrijf heeft voor de correcte validatie van de persoonsgegevens van klanten die zij opvolgt toegang nodig tot de stedelijke databank CRS_P (die gegevens uit het Rijksregister bevat).
Het Zorgbedrijf zal de betrokken gegevens verwerken in het kader van de uitvoering van bepaalde wettelijke verplichtingen (artikel 475 Decreet Lokaal Bestuur).
De stad Antwerpen en het Zorgbedrijf wensen hun afspraken met betrekking tot de organisatie van die verwerking van persoonsgegevens te formaliseren in een overeenkomst.
De overeenkomst heeft echter een bepaalde duur (tot 31 augustus 2021). Vanaf september 2021 zal het Zorgbedrijf een eigen rechtstreekse toegang hebben tot de gegevens van het Rijksregister.
Op advies van de stedelijke data protection officer (DPO) zal er bovendien een audit uitgevoerd worden op de werking, toegangen en organisatie van de CRS_P databank. Ook de toegangen tot het kadaster (CRS_K) zullen het voorwerp uitmaken van een audit. Dit werd zo besproken met de stedelijke chief digital officer (CDO) op de stuurgroep risico van 11 mei 2021.
Artikel 28 van Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
Op 25 mei 2018 trad de Europese Verordening gegevensbescherming (AVG) in werking.
Volgens artikel 28 van de AVG kan elke verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens een beroep doen op een derde partij, de verwerker genoemd, die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens zal verwerken.
Op 12 mei 2021 (jaarnummer 6) formuleerde de data protection officer een positief advies ten aanzien van het toegang verlenen tot CRS-P door het Zorgbedrijf Antwerpen.
Op 12 mei 2021 (jaarnummer 7) adviseerde de data protection officer om een audit te laten uitvoeren op CRS-Persoon.
Het college bekrachtigt de verwerkersovereenkomst tussen de stad Antwerpen en het Zorgbedrijf met betrekking tot de toegang tot CRS_P met looptijd tot 31 augustus 2021.
Het college geeft op advies van de DPO opdracht aan:
Dienst | Taak |
de betrokken bedrijfsdirecteur(s) | mee te werken aan de uitvoering van een audit op de CRS_P databank evenals het kadaster |