“Privacy by Design” in de gemeentelijke context uitgewerkt en toegelicht

Wat betekent artikel 25 AVG (gegevensbescherming door ontwerp en door standaardinstellingen) in de praktijk voor gemeenten? De IBD ontwikkelde samen met een expertgroep van elf gemeenten een aantal instrumenten om die vraag van een antwoord te voorzien. Hiervoor is aansluiting gezocht bij de gemeentelijke praktijk.

Het referentiekader heeft tot doel context en overzicht te bieden op het gebied van conformiteit aan de beginselen van de AVG en de verschillende normenkaders gericht op gegevensbescherming.

De Privacy by Design-criteria zijn bedoeld voor het ontwerpen van gegevensbescherming in gegevensverwerkingen en hieraan gekoppelde informatiesystemen. De criteria vormen de basis voor het privacybeleid van een gemeente, waaraan nieuwe gegevensverwerkingen worden getoetst.

De systeemeisenset verbindt specifieke maatregelen en functionaliteiten aan de Privacy by Design-criteria, zodat bepaald kan worden in hoeverre een informatiesysteem vanuit het ontwerp privacyvriendelijk is. Deze set van systeemeisen kan worden gebruikt bij het beoordelen van bestaande informatiesystemen en bij het stellen van eisen aan nieuw aan te schaffen informatiesystemen. De set van systeemeisen geldt in dat geval als aanvulling op de GIBIT.

Voor een toelichting op het gebruik van bovenstaande instrumenten is een handreiking toegevoegd. Alle instrumenten hebben ook een tabblad toelichting voor nadere instructies.