Context

In het kader van een strategisch project van het Brussels Hoofdstedelijk Gewest, beheerd door Paradigm.brussels, zijn wij op zoek naar een consultant Data Protection Officer (DPO) ter ondersteuning van de DPO van Paradigm/IRISteam. De opdracht heeft als doel de naleving van de GDPR te versterken en de beveiliging van gegevensverwerking gedurende de volledige levenscyclus van het project te waarborgen.

Rapportering: hiërarchisch aan de Projectdirectie; functioneel aan de DPO van Paradigm/IRISteam (compliance controle)

Werkregime: minimum 3 dagen per week

Opdracht

Operationele en regelgevende expertise leveren om samen de compliance van het project te coördineren (privacy by design/by default), de accountability-documentatie te verzorgen en de teams (business, IT, security, juridisch, aankoop) te adviseren in nauwe samenwerking met de verantwoordelijke DPO.

Belangrijkste verantwoordelijkheden

Governance en advies

• De verantwoordelijke DPO ondersteunen bij het adviseren van de teams over de toepassing van de GDPR, de Belgische wet van 30/07/2018 en de richtlijnen van de GBA.
• Gegevensbescherming integreren in de projectgovernance (comités, beslissingen, mijlpalen, change management).
• Toezien op het vermijden van belangenconflicten en de onafhankelijkheid van de functie waarborgen.

Mapping en registers

• Het register van verwerkingsactiviteiten en de informatieberichten up-to-date houden.
• Identificeren van de rechtsgronden, bewaartermijnen, categorieën van gegevens en ontvangers.

AIPD/DPIA (risicoanalyses)

• Gezamenlijk de Data Protection Impact Assessments (AIPD/DPIA) begeleiden, mitigerende maatregelen definiëren en de implementatie ervan opvolgen samen met de verantwoordelijke overheidsinstanties.
• De verantwoordelijke DPO ondersteunen bij het valideren van de trigger-checklists voor AIPD en de "privacy by design"-documentatie.

Contracten en onderaanneming

• De clausules van artikel 28 GDPR met de onderaannemers herzien/aanpassen, inclusief de standaard contractbepalingen (SCC) en, indien van toepassing, de correct gedocumenteerde Transfer Impact Assessments (TIA).
• De security- en ondersteuningsverplichtingen bij de uitoefening van rechten van betrokkenen controleren.

Rechten van betrokkenen en beheer van datalekken

• De procedures voor de uitoefening van rechten optimaliseren (toegang, rectificatie, wissing, bezwaar, overdraagbaarheid).
• Service Level Agreements (SLA) opstellen die aangepast zijn aan de verwerkingen.
• Bijdragen aan het beheer van datalekken: triage, eventuele melding aan de GBA en communicatie met de betrokken personen.

Security en bewaring

• Samenwerken met de CISO: technische en organisatorische maatregelen (art. 32), logging, encryptie, testen.
• Het beleid inzake gegevensbewaring en anonimisering/pseudonimisering definiëren en opvolgen.

Awareness en audit

• Gerichte awareness-sessies organiseren voor de projectteams en deelnemen aan vergaderingen met de verantwoordelijke overheidsinstanties en hun DPO’s.
• Voorbereiden en assisteren bij interne/externe audits en bij verzoeken van de Gegevensbeschermingsautoriteit.

Verwachte deliverables

• Matrix van de rechtsgronden (inclusief, indien van toepassing, gedocumenteerde belangenafwegingen voor gerechtvaardigde belangen).
• Ondersteuning bij het uitvoeren van AIPD’s en het opstellen van risicobehandelingsplannen.
• Herziening van contractmodellen (art. 28 GDPR, SCC) en gedocumenteerde TIA’s.
• Procedures met betrekking tot de rechten van betrokkenen (voorstel en formalisatie) aangevuld met SLA’s en KPI’s (bv. responstermijnen, percentage volledig afgehandelde verzoeken).
• Bewaarplan en verwijderingstabellen.
• Awareness-plan en bijhorende ondersteunende materialen.
• Accountability-dashboard voor het Projectmanagement.
• Up-to-date register van verwerkingsactiviteiten en gevalideerde verwerkingsfiches.

Aanvullende informatie:

De opdracht kan verlengd worden tot een maximale duur (inclusief initiële periode) van: 880 werkdagen