Privacy

Informatiebeveiliging, privacy en gegevensbescherming zijn nauw verwant. De IBD ontvangt regelmatig meldingen en vragen op het snijvlak van deze onderwerpen.

Bij de omgang met persoonsgegevens hebben gemeenten een grote verantwoordelijkheid. Het veld rond privacy voor gemeenten wordt steeds complexer. Dit komt onder andere door de decentralisatie van overheidstaken naar gemeenten, de gegevensuitwisseling met (keten)partners, de technische mogelijkheden, het gebruik van big en open data door gemeenten voor hun dienstverlening en veranderende privacywetgeving. Privacy is niet langer een onderwerp waar alleen juristen mee bezig zijn: privacy raakt de hele gemeentelijke organisatie.

Belang van dit onderwerp

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. De Wet bescherming persoonsgegevens (WBP), inclusief de meldplicht datalekken, wordt dan vervangen door de AVG. Ook na deze datum vereist de implementatie en borging van de verordening de nodige aandacht.

Aanmelden privacy contactpersoon

De IBD ondersteunt gemeenten om privacy te borgen in de eigen organisatie en in de afspraken met (keten)partners. Om gemeenten zo goed mogelijk te kunnen blijven ondersteunen worden gemeenten gevraagd om hun FG en privacyadviseur aan te melden via dit formulier.

Vragen over privacy

Vragen over de juridische en domeinspecifieke aspecten van privacy kunt u stellen aan privacy@vng.nl. Vragen over privacy in relatie tot informatiebeveiliging kunt u stellen via info@IBDgemeenten.nl.


Criteria borging AVG

VNG Realisatie heeft criteria ontwikkeld om de AVG te vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy voor gemeentelijke processen. Hiermee beoogt VNG Realisatie gemeenten concrete handvatten te bieden om een goede omgang met persoonsgegevens in de gehele organisatie te waarborgen. Dit borgingsproduct is een ‘levend’ document: voortschrijdend inzicht, ontwikkelingen, jurisprudentie, relevante wetsartikelen, nieuwe producten en literatuur zullen aan het product worden toegevoegd. Op deze manier blijft het document actueel en kunnen wij uw organisatie op de hoogte houden van de relevante ontwikkelingen op het gebied van gegevensbescherming.

Alle opgestelde criteria zijn ook geëxporteerd naar een Excelbestand. Gemeenten kunnen op deze manier zelf actief invullen welke criteria al zijn geïmplementeerd, welke gedeeltelijk zijn geïmplementeerd of welke nog aandacht vergen. Op het tweede tabblad ziet u de resultaten in een overzicht, die u kunt gebruiken voor bijvoorbeeld de jaarrapportage. Hiervan is een voorbeeld beschikbaar voor het college van B&W en voor de gemeenteraad.


Kennisdeling tussen gemeenten

Gemeenten kunnen via de IBD community en het VNG Forum informatie over informatiebeveiliging met elkaar delen, vragen aan elkaar stellen en documenten uitwisselen. Hier treft u ook het subforum Privacy.

Handreikingen privacy en AVG

De IBD en VNG hebben de afgelopen periode verschillende producten ontwikkeld om gemeenten te ondersteunen bij het implementeren en borgen van privacy in de eigen gemeente en in afspraken met (keten) partners:

  • Handreiking privacyverklaring voor de gemeentelijke website. Met deze handreiking kunnen gemeenten aan de hand van een aantal overzichtelijke stappen hun eigen privacyverklaring opstellen, geheel in lijn met de Algemene Verordening Gegevensbescherming (AVG).
  • Handreiking model privacybeleid en -reglement voor gemeenten. De handreiking kan worden gebruikt gebruikt om het privacybeleid van de gemeente te verduidelijken aan burgers en ketenpartners. Ze kunnen bijvoorbeeld op de website van uw gemeente geplaatst worden voor iedereen die graag meer wil weten over hoe de gemeente omgaat met persoonsgegevens en privacy. Er is daarom gekozen om geen, of zo weinig mogelijk, juridische taal te gebruiken zodat de producten toegankelijk en begrijpelijk zijn voor iedereen.
  • Handreiking rechten van betrokkenen deel 1, de informatieplicht en het recht van inzage (zie bijlage). Het doel van deze handreiking is het toelichten de informatieplicht van verwerkingsverantwoordelijken, het recht van inzage, en hoe gemeenten hiermee om kunnen gaan.
  • Handreiking rechten van betrokkenen deel 2, overige rechten. Deze handreiking gaat in op het recht op rectificatie, het recht op vergetelheid, het recht op beperking bewerking, het recht op dataportabiliteit, het recht op bezwaar en het recht tegen geautomatiseerde verwerking/profiling en hoe gemeenten daarmee om kunnen gaan. Het recht op inzage en de informatieplicht zijn deel 1 beschreven.
  • Handreiking samenwerkingsverbanden en AVG deel 1. Het eerste deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op het begrip verwerkingsverantwoordelijke en hoe je bepaalt wie als verwerkingsverantwoordelijke kan of moet worden aangemerkt.
  • Handreiking samenwerkingsverbanden en AVG deel 2. Het tweede deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op de mogelijkheden voor een rechtmatige uitwisseling van persoonsgegevens tussen deelnemers in een samenwerkingsverband.
  • Handreiking (en vooringevuld) register van verwerkingen voor gemeenten.
  • Handreiking rol en taken van de FG. Handvatten aan degenen die, binnen een gemeente, een FG willen instellen of verder gestalte willen geven. Deze handreiking vormt een hulpmiddel om te komen tot concrete invulling van de rol van FG.
  • Handreiking positionering FG. Hoe verhoudt deze functie zich tot de rest van de organisatie? Hoe en met wie werkt deze functionaris samen?
  • Handreiking stappenplan voor gemeenten ter voorbereiding op de AVG.
  • De handreiking intern privacybeleid bevat intern privacybeleid voor de gemeente. Dit voorbeeld is geïnspireerd op het interne privacybeleid van de gemeente Leidschendam-Voorburg en kan gebruikt worden om medewerkers een beeld te geven over hoe de gemeente met de persoonsgegevens omgaat.
  • Handreiking Privacy en Integrale toeleiding en dienstverlening sociaal domein: deze handreiking schept op hoofdlijnen duidelijkheid over de omgang met persoonsgegevens bij meervoudige hulpvragen, integrale toeleiding en integrale dienstverlening. De doelgroep voor deze handreiking is de gemeentelijke (privacy) jurist.

Factsheets

  • Factsheet en beslismodel “Is mijn leverancier wel of geen verwerker?”. Gemeenten maken gebruik van diensten van derde partijen. Bij de uitvoering van deze diensten kan er sprake zijn van het verwerken van persoonsgegevens. Wanneer de derde partij is aan te merken als ‘verwerker’ in de zin van de AVG, dienen gemeenten afspraken te maken over deze verwerking. Deze afspraken leggen zij vast in een zogenaamde verwerkersovereenkomst. Daarnaast verkrijgt de verwerker ook zelfstandig een aantal verplichtingen waar hij aan dient te voldoen op grond van de AVG. Het is niet altijd duidelijk in welk geval een derde partij ten aanzien van de verwerking van persoonsgegevens een verwerker is of een verwerkingsverantwoordelijke. De nieuwe factsheet helpt hierbij.
  • Checklist DPIA. Gemeenten zitten regelmatig met de vraag voor welke verwerkingen een data protection impact assessment (DPIA) uitgevoerd moet worden en wanneer. In artikel 35 (Gegevensbeschermingseffectbeoordeling) van de AVG staat beschreven wanneer een DPIA uitgevoerd moet worden. Om meer duiding aan de eisen uit artikel 35 te geven heeft de werkgroep van Europese privacytoezichthouders (WP29) aanvullende kaders opgesteld die ook op de site van de Autoriteit Persoonsgegevens (AP) gepubliceerd staan. De checklist is van deze kaders afgeleid en dient als handreiking om te bepalen wanneer het verplicht is een DPIA uit te voeren.
  • Casuïstiek gegevensbescherming gemeenteraad. De gemeenteraad is als bestuursorgaan een verwerkingsverantwoordelijke. Dit betekent dat de gemeenteraad moet kunnen aantonen dat de verwerkingen die hij doet, voldoen aan de AVG. Daarnaast dient de raad onder andere een register van verwerkingsactiviteiten  bij te houden, technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen en zal de raad wanneer er persoonsgegevens verstrekt worden aan andere partijen specifieke afspraken moeten maken. De AVG is van toepassing wanneer de gemeenteraad persoonsgegevens verwerkt.  In samenwerking met de Vereniging van Griffiers stelde de IBD een document op met concrete voorbeelden uit de praktijk van de gemeenteraad. Dit document kan dienen als afwegingskader bij de omgang met persoonsgegevens.
  • Factsheet Gegevensbescherming en privacy in het zorg- en veiligheidsdomein. Op basis van het Handvat gegevensuitwisseling Zorg en Veiligheid ontwikkelde de IBD de factsheet Gegevensbescherming en privacy in het zorg- en veiligheidsdomein. Deze factsheet gaat dieper in op de situatie van de gemeente en bevat enkele aanvullende voorbeelden.
  • Factsheet Meldplicht Datalekken. Deze factsheet biedt achtergrondinformatie over de Meldplicht Datalekken onder de nieuwe wetgeving en geeft onder andere antwoord op vragen als ‘Wat houdt de Meldplicht Datalekken in?, ‘Wat is een datalek en wanneer moet ik melding doen?’ en “Wie is aansprakelijk?’.
  • Factsheet AVG Basisregels voor gemeenten. Deze factsheet bevat de basisregels van de AVG. Alle relevante onderwerpen komen aan bod, zonder daarbij de diepte in te gaan per onderwerp. De factsheet en het stroomschema zijn bedoeld als checklist om te beoordelen of rekening is gehouden met alle aspecten van de AVG.

Voorbeelden van gemeenten