Corona en Informatiebeveiliging en Privacy

Via deze pagina informeert de IBD gemeenten met veelgestelde vragen, nieuwsberichten, publicaties en relevante links over hoe Corona impact kan hebben op informatiebeveiliging en privacy. Gemeenten kunnen onderling expertise en vragen uitwisselen op het Coronaforum. Voor algemene informatie en vragen over Corona die niet te maken hebben met informatiebeveiliging en of privacy, kunt u terecht op de VNG website en voor privacy gerelateerde vragen kunt u mailen naar privacy@vng.nl.

Privacy (be)Spreekuren

I.v.m. de Coronamaatregelen is thuiswerken de norm en daarom organiseert de IBD nu regelmatig interactieve virtuele bijeenkomsten via o.a. Zoom of Webinargeek. Tijdens deze virtuele bijeenkomsten kunnen CISO’s, FG’s en PO’s werkzaam bij gemeenten/gemeentelijke samenwerkingsverbanden met elkaar sparren over uiteenlopende thema’s.

Download hier de presentatie van het Privacy (be)Spreekuur met als thema Corona en Privacy:

• Presentatie Privacy (be)Spreekuren thema Corona en Privacy

Klik hier om naar de pagina te gaan waar u de presentaties van de andere webinars/(be)Spreekuren kunt downloaden en kunt zien welke virtuele bijeenkomsten gepland staan.

Q&A

De onderstaande Q&A’s worden regelmatig aangevuld aan de hand van input die we in deze periode van gemeenten ontvangen. De vragen zijn per onderwerp genummerd. Om die reden vindt u de nieuwste vragen onderaan het onderwerp. Mocht er een nummer ontbreken, dan is deze vraag inmiddels vervallen.

1. Thuiswerken (veilig vergaderen)
2. Gemeente als werkgever
3. Gemeentelijke dienstverlening

1. Thuiswerken (veilig vergaderen)

Q1a. Hoe kunt u veilig thuiswerken? Welke videovergadertool moet ik kiezen?

Q1b. Kunnen gemeenten videobellen gebruiken om de identiteit van iemand vast te stellen (of de noodzaak van een WMO indicatie)?

Q1a. Hoe kunt u veilig thuiswerken? Welke videovergadertool moet ik kiezen?
Er is een groot aantal videovergadertools verkrijgbaar en de keuze daarvoor hangt af van de eigen situatie (shared service, evt. uitbesteding van diensten etc.), gebruiksgemak, eventuele integratie met eigen kantoorapplicaties. Voor alle gemeenten geldt een aantal algemene gebruiksregels en beveiligingsvoorwaarden. De IBD biedt hier op haar website een advies.

• VNG Realisatie heeft namens ca. 130 gemeenten (o.a.) een videovergadertool aanbesteed. Deelnemers aan GT Connect maken bij voorkeur gebruik van de tool Circuit. Voor meer informatie kijkt u op de website van leverancier Atos.
• Indien u niet deelneemt aan GT Connect, dan kunt u een keuze maken uit een van de vele beschikbare tools. De informatiebeveiligingsdienst (IBD) heeft de bij gemeenten gebruikte tools op een rijtje gezet, in deze lijst staan tevens de relevante beveiligingscriteria genoemd.

Q1b. Kunnen gemeenten videobellen gebruiken om de identiteit van iemand vast te stellen (of de noodzaak van een WMO indicatie)?
Algemeen: maak alleen gebruik van videobellen als dit echt nodig is. Daarbij geldt ook dat met videobellen niet meer aan de orde mag worden gesteld dan in een persoonlijk gesprek.
In antwoord op de vraag het volgende: de identiteit vaststellen van een betrokkene via videobellen moet worden afgeraden. Dit moet toch echt via persoonlijk contact gebeuren. Bij een spoedaanvraag voor een voorziening, kan de gemeente het aanvraagproces alvast starten en later (in het gemeentehuis) alsnog de identiteit checken. Videobellen om medische zaken te bespreken is vaak niet noodzakelijk, omdat de betrokkene voor bepaalde voorzieningen toch moet worden gekeurd door een arts, of de huisarts/specialist stuurt medische gegevens naar de keuringsarts/medisch adviseur – al kan dat door huidige Coronacrisis later dan gebruikelijk zijn.

2. Gemeente als werkgever

Q2a. Is het standpunt van de AP over mogelijkheden om bijzondere persoonsgegevens te verwerken (i.v.m. bijhouden zieke werknemers) voldoende realistisch voor de gemeente als werkgever?

Q2b. Als u weet dat een collega het Coronavirus heeft en er wordt naar gevraagd, hoe kunt u dan het beste reageren? Mag deze informatie gedeeld worden?

Q2c. Kan de gezondheid van personeel gecontroleerd worden door gemeenten?

Q2d. Hoe zit het met e-mail toegang van de gemeente bij haar werknemers die niet kunnen werken door corona?

Q2a. Is het standpunt van de AP over mogelijkheden om bijzondere persoonsgegevens te verwerken (i.v.m. bijhouden zieke werknemers) voldoende realistisch voor de gemeente als werkgever?
Er is geen nieuw kader door Corona. Alleen de (bedrijfs)arts mag medische gegevens verwerken. De (bedrijfs)arts mag testen en deelt de uitslag alleen met de werknemer. Als werkgever zelf is testen niet toegestaan, want de werkgever mag niet op de stoel van de arts gaan zitten. De werkgever heeft de verplichting om te zorgen voor een veilige werkomgeving. In dat kader mag de werkgever werknemers met Coronaverschijnselen/koorts en verkoudheid naar huis sturen.

Q2b. Als u weet dat een collega het Coronavirus heeft en er wordt naar gevraagd, hoe kunt u dan het beste reageren? Mag deze informatie gedeeld worden?
De werkgever hoort dit niet te communiceren. De arts die heeft geconstateerd dat een medewerker het Coronavirus heeft, geeft het door aan de GGD. De GGD (en niet de werkgever) zal dan verdere maatregelen nemen. Als actie van de GGD achterwege blijft neem dan als werkgever z.s.m. contact op met de GGD.

Wel zou een werkgever (net als met geconstateerde luis in een schoolklas) aan kunnen geven dat iemand van een bepaalde verdieping/afdeling Corona heeft, zodat medewerkers weten dat zij hun gezondheid extra in de gaten moeten houden. Let hierbij op dat wie het betreft niet makkelijk herleidbaar moet zijn. Behoud het onderscheid tussen de verschillende rollen van de gemeente; als werkgever is de gemeente verantwoordelijk haar medewerkers te beschermen en in de veiligheidsregio voor haar burgers.

Q2c. Kan de gezondheid van personeel gecontroleerd worden door gemeenten?

Volgens de Autoriteit Persoonsgegevens (AP) is temperaturen door de werkgever niet zomaar toegestaan zonder tussenkomst van een bedrijfsarts.  Wel kan de werkgever ruimte geven en stimuleren dat werknemers zelf hun temperatuur opnemen. Daarnaast heeft de AP verduidelijkt dat het aflezen van de temperatuur op een thermometer – dus zonder deze meetgegevens te registreren en zonder een automatische verwerking (poortjes die openen, groen licht) – niet onder de AVG en dus ook niet onder haar toezicht valt. Wel blijven dan de algemene privacyregels zoals neergelegd in o.a. het EVRM en het Handvest van de Europese Unie relevant.

Q2d. Hoe zit het met e-mail toegang van de gemeente bij haar werknemers die niet kunnen werken door Corona?
Hier gelden dezelfde regels als bij andere ziektegevallen. De werkgever mag erbij, maar doet dat overeenkomstig het vastgestelde en gecommuniceerde beleid. Zo mag de werkgever alleen noodzakelijke mails lezen en niet privémails. Hanteer het vierogenprincipe.

3. Gemeentelijke dienstverlening

Q3a. Kunnen raadsvergaderingen doorgaan via beeldbellen en wat moet daarvoor geregeld worden?

Q3b. Door grote toeloop om financiële ondersteuning/vragen van inwoners zijn meer gemeentelijke medewerkers hiermee bezig en zijn meer autorisaties nodig voor Suwinet-Inkijk. Mag dat?

Q3c. Hoe zit het met horen in bezwaarprocedures? Is videobellen daarvoor een optie?

Q3d. Moeten gemeenten leerplichtambtenaren inschakelen als scholen geen of niet snel genoeg contact krijgen met ouders i.v.m. digitaal onderwijs?

Q3e. Hoe zit het met de inzet van drones zoals in Den Haag op stranden om mensen te waarschuwen afstand te houden? Zijn er DPIA’s voor gedaan? Hoe is het geregeld met privacy?

Q3f. I.v.m. veiligheid wordt (o.a. door de IBD) aangeraden om chatgeschiedenis te verwijderen, maar is deze chat – net als bij Whatsapp – niet Wob-plichtig?

Q3g. Is de IBD betrokken bij de afspraken van gemeenten met leveranciers / hebben we toestemming nodig van de IBD voor het gebruik van specifieke tools?

Q3h. Hoe zorgt u ervoor dat er voldoende aandacht blijft voor de AVG?

Q3a. Kunnen raadsvergaderingen doorgaan via beeldbellen? Wat moet daarvoor geregeld worden?
Ja, dit kan. Hiervoor is nu ook een wettelijke basis: Tijdelijke wet digitale beraadslaging en besluitvorming provincies, gemeenten, waterschappen en de openbare lichamen Bonaire, Sint Eustatius en Saba.[1]

Op 9 april 2020 is deze tijdelijke wet van kracht geworden. De wet maakt het mogelijk om tijdens de Corona-crisis de vergaderingen van uw gemeenteraad via digitale weg te laten verlopen in een vergaderapplicatie. Veel raadsgriffies zijn in deze periode bezig met het treffen van voorbereidingen, of hebben al digitale vergaderingen van raadscommissies mogelijk gemaakt. Als u digitale vergaderingen onder deze wet mogelijk gaat maken, wat moet u dan geregeld hebben en waar moet u op letten als het gaat om de rechtmatigheidswaarborgen van de Archiefwet? Dat leest u in de factsheet ‘Archivering audiovisuele verslagen van de raad’ opgesteld door de VNG Adviescommissie Archieven.

Het in beeld brengen van personen en het via internet ter beschikking stellen van beelden van raadsvergaderingen zijn verwerkingen van persoonsgegevens die vallen onder de werking van de AVG. Artikel 23 Gemeentewet bepaalt dat raadsvergaderingen in het openbaar moeten worden gehouden. Een uitvloeisel daarvan is dat gemeenteraadsvergaderingen worden opgenomen en live worden uitgezonden of achteraf via internet zijn te zien. Dat is iets wat nu al meer dan gebruikelijk is. De grondslag hiervoor is het uitvoeren van een wettelijke verplichting (art. 23 Gemeentewet en artikel 6.1(c) AVG). Gemeenten hebben ook maatregelen genomen om iedereen te informeren die aanwezig is bij een raadsvergadering die wordt opgenomen. Een digitale raadsvergadering gebaseerd op de hiervoor genoemde Tijdelijke wet digitale beraadslaging en besluitvorming gemeenten is wat dat betreft in het kader van de AVG niets nieuws (zie deze pagina voor meer informatie). Voor het proces Digitale besluitvorming door de gemeenteraad is het uitvoeren van een DPIA niet nodig. De verwerking komt niet voor op de lijst van de AP waarvoor een DPIA verplicht is en er geen sprake is van een hoog risico voor betrokkenen.

Q3b. Door grote toeloop om financiële ondersteuning/vragen van inwoners zijn meer gemeentelijke medewerkers hiermee bezig en zijn meer autorisaties nodig voor Suwinet-Inkijk. Mag dat?
Ja, dit is voor wat betreft privacy en informatiebeveiliging niet anders dan normaal. Zorg dat de juiste medewerkers de juiste autorisaties krijgen en zorg dat deze autorisaties meteen worden ingetrokken als de medewerkers Suwinet-Inkijk niet meer nodig hebben.

Let op: de uitvraag van persoonsgegevens voor de Tijdelijke Overbruggingsregeling Zelfstandige Ondernemers (TOZO regeling) is beperkt. Zo mogen gemeenten niet vragen naar het inkomen van de partner en/of het vermogen. Zie voor meer informatie de TOZO-pagina op de VNG website.

Q3c. Hoe zit het met horen in bezwaarprocedures? Is videobellen daarvoor een optie?
Het horen in het kader van een bezwaar kon tot nu toe in bepaalde zaken ook al telefonisch, waarbij achteraf een verslag toegestuurd wordt. Dus videobellen is ook een optie. Mits betrokkenen daarmee instemmen en zij de vaardigheden en/of technische mogelijkheden daartoe hebben (van een niet digitale burger kan niet worden verlangd dat hij videobellen installeert, tenzij hij daarbij ondersteuning kan krijgen van het bestuursorgaan). Uitzonderingen zijn mogelijk, maar in grote lijnen is hier geen bezwaar tegen. Als het proces DPIA-plichtig is kijk dan naar het geschikte middel. Hoe gevoeliger de verwerking hoe voorzichtiger deze keuze voor het systeem moet zijn. Nu de quarantainemaatregelen van het kabinet zijn verlengd tot eind april, is het voorstelbaar dat gemeenten het horen zoveel mogelijk doorgang willen laten vinden. Maar gemeenten kunnen er eventueel ook voor kiezen om een beroep te doen op de overmacht-bepaling van artikel 4:15 van de Awb en de beslistermijnen voor bezwaarschriften (en dus de behandeling ervan) opschorten. Zie hiervoor ook de website van de VNG, vraag 11.

Q3d. Moeten gemeenten leerplichtambtenaren inschakelen als scholen geen of niet snel genoeg contact krijgen met ouders i.v.m. digitaal onderwijs?
Nee. De scholen zijn voor de meeste leerlingen gesloten. De situatie voor verzuim is daardoor ook anders dan normaal. Daarom is het in deze uitzonderlijke situatie niet nodig om een verzuimmelding te doen. Ook niet als er afstandsonderwijs wordt aangeboden (zie deze pagina voor meer informatie). Als scholen zorgen hebben over de schoolvoortgang van een kind, kunnen zij zelf contact opnemen met de ouders. In het geval van uitzonderlijke gevallen (bijvoorbeeld bij zorgen over de veiligheid van het kind) dient de school dat te melden aan Veilig Thuis.

Q3e. Hoe zit het met de inzet van drones zoals in Den Haag op stranden om mensen te waarschuwen afstand te houden? Zijn er DPIA’s voor gedaan? Hoe is het geregeld met privacy?
Wij zijn bezig om dit uit te zoeken en komen hier op korte termijn op terug. Algemeen kan worden gezegd dat als drones slechts groepen mensen in beeld brengen – zonder dat deze beelden herleidbaar zijn naar individuen – de AVG niet van toepassing is. Daar waar dat wel het geval is gelden dezelfde regels als voor cameragebruik door gemeenten, zoals door BOA’s. Grootschalige verwerkingen en/of stelselmatige monitoring van openbaar toegankelijke ruimten met camera’s, webcams of drones zijn DPIA-plichtig.

Q3f. I.v.m. veiligheid wordt (o.a. door de AP) aangeraden om chatgeschiedenis te verwijderen, maar is deze chat – net als bij Whatsapp- niet Wob-plichtig?
Uitgangspunt is dat alle vastgelegde overheidsinformatie van ​bestuurlijke aard onder de Wob valt. ​Dit heeft de Raad van State recent ook bepaald ​ten aanzien van Whatsapp en SMS gesprekken. Deze lijn kan worden doorgetrokken op chatgesprekken in andere omgevingen, zoals bij het gebruik van Zoom. Tijdens ​onze webinars worden echter geen bestuurlijke aangelegenheden besproken, zodat de​ze chats niet Wob-plichtig zijn. Naast de Wob en de AVG speelt ook de Archiefwet een rol. Let hierbij op de ​termijnen van de ​VNG Selectielijst 2020.

Q3g. Is de IBD betrokken bij de afspraken van gemeenten met leveranciers / hebben we toestemming nodig van de IBD voor het gebruik van specifieke tools?
Nee, de IBD is geen partij in afspraken tussen opdrachtgever en opdrachtnemer. De IBD kan slechts de kaders adviseren.

Q3h. Hoe zorgt u ervoor dat er voldoende aandacht blijft voor de AVG?
Hoewel er in deze uitzonderlijke tijd (snel) nieuwe oplossingen nodig zijn, is het aan FG’s en PO’s om bestuurders erop te wijzen dat privacy een grondrecht is en geen luxe. Blijf oog houden voor privacy en denk mee aan oplossingen waarbij goed gemeenten goed omgaan met privacy.

Hieronder tips van verschillende gemeenten om te zorgen voor genoeg aandacht voor de AVG:

• Gebruik intranet voor wekelijkse nieuwsberichten. Denk aan: phishing mails en andere vormen van misbruik van Corona, do’s en dont’s van thuiswerken, FAQ’s of informatie van de AP;
• Denk mee met MT en teamleiders – blijf aangehaakt bij aangepaste procedures zodat privacy meegenomen wordt;
• Start een online privacy spreekuur (wekelijks);
• Reageer snel;
• Haak aan bij het crisis team – of met iemand (zoals de CISO) die hierin zit;
• Maak een privacy e-learning beschikbaar voor alle medewerkers;
• Behoud bestaande overlegstructuren alleen dan nu online. Zelfs als er niet gelijk een agenda is dan kunnen er toch interessante onderwerpen opkomen.

[1] De Eerste Kamer is op 7 april 2020 met dit wetsvoorstel akkoord gegaan.