Privacy

Informatiebeveiliging, privacy en gegevensbescherming zijn nauw verwant. De IBD ontvangt regelmatig meldingen en vragen op het snijvlak van deze onderwerpen.

Bij de omgang met persoonsgegevens hebben gemeenten een grote verantwoordelijkheid. Het veld rond privacy voor gemeenten wordt steeds complexer. Dit komt onder andere door de decentralisatie van overheidstaken naar gemeenten, de gegevensuitwisseling met (keten)partners, de technische mogelijkheden, het gebruik van big en open data door gemeenten voor hun dienstverlening en veranderende privacywetgeving. Privacy is niet langer een onderwerp waar alleen juristen mee bezig zijn: privacy raakt de hele gemeentelijke organisatie.

Belang van dit onderwerp

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. De Wet bescherming persoonsgegevens (WBP), inclusief de meldplicht datalekken, wordt dan vervangen door de AVG. Ook na deze datum vereist de implementatie en borging van de verordening de nodige aandacht.

Aanmelden privacy contactpersoon

De IBD ondersteunt gemeenten om privacy te borgen in de eigen organisatie en in de afspraken met (keten)partners. Om gemeenten zo goed mogelijk te kunnen blijven ondersteunen worden gemeenten gevraagd om hun FG en privacyadviseur aan te melden via dit formulier.

Vragen over privacy

Vragen over de juridische en domeinspecifieke aspecten van privacy kunt u stellen aan privacy@vng.nl. Vragen over privacy in relatie tot informatiebeveiliging kunt u stellen via info@IBDgemeenten.nl.


Criteria borging AVG

VNG Realisatie heeft criteria ontwikkeld om de AVG te vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy voor gemeentelijke processen. Hiermee beoogt VNG Realisatie gemeenten concrete handvatten te bieden om een goede omgang met persoonsgegevens in de gehele organisatie te waarborgen. Dit borgingsproduct is een ‘levend’ document: voortschrijdend inzicht, ontwikkelingen, jurisprudentie, relevante wetsartikelen, nieuwe producten en literatuur zullen aan het product worden toegevoegd. Op deze manier blijft het document actueel en kunnen wij uw organisatie op de hoogte houden van de relevante ontwikkelingen op het gebied van gegevensbescherming.

Alle opgestelde criteria zijn ook geëxporteerd naar een Excelbestand. Gemeenten kunnen op deze manier zelf actief invullen welke criteria al zijn geïmplementeerd, welke gedeeltelijk zijn geïmplementeerd of welke nog aandacht vergen. Op het tweede tabblad ziet u de resultaten in een overzicht, die u kunt gebruiken voor bijvoorbeeld de jaarrapportage. Hiervan is een voorbeeld beschikbaar voor het college van B&W en voor de gemeenteraad.


Kennisdeling tussen gemeenten

Gemeenten kunnen via de IBD community en het VNG Forum informatie over informatiebeveiliging met elkaar delen, vragen aan elkaar stellen en documenten uitwisselen. Hier treft u ook het subforum Privacy.

Handreikingen privacy en AVG

De IBD en VNG hebben de afgelopen periode verschillende producten ontwikkeld om gemeenten te ondersteunen bij het implementeren en borgen van privacy in de eigen gemeente en in afspraken met (keten) partners:

  • Handreiking privacyverklaring voor de gemeentelijke website. Met deze handreiking kunnen gemeenten aan de hand van een aantal overzichtelijke stappen hun eigen privacyverklaring opstellen, geheel in lijn met de Algemene Verordening Gegevensbescherming (AVG).
  • Handreiking model privacybeleid en -reglement voor gemeenten. De handreiking kan worden gebruikt gebruikt om het privacybeleid van de gemeente te verduidelijken aan burgers en ketenpartners. Ze kunnen bijvoorbeeld op de website van uw gemeente geplaatst worden voor iedereen die graag meer wil weten over hoe de gemeente omgaat met persoonsgegevens en privacy. Er is daarom gekozen om geen, of zo weinig mogelijk, juridische taal te gebruiken zodat de producten toegankelijk en begrijpelijk zijn voor iedereen.
  • Handreiking rechten van betrokkenen deel 1, de informatieplicht en het recht van inzage (zie bijlage). Het doel van deze handreiking is het toelichten de informatieplicht van verwerkingsverantwoordelijken, het recht van inzage, en hoe gemeenten hiermee om kunnen gaan.
  • Handreiking rechten van betrokkenen deel 2, overige rechten. Deze handreiking gaat in op het recht op rectificatie, het recht op vergetelheid, het recht op beperking bewerking, het recht op dataportabiliteit, het recht op bezwaar en het recht tegen geautomatiseerde verwerking/profiling en hoe gemeenten daarmee om kunnen gaan. Het recht op inzage en de informatieplicht zijn deel 1 beschreven.
  • Handreiking samenwerkingsverbanden en AVG deel 1. Het eerste deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op het begrip verwerkingsverantwoordelijke en hoe je bepaalt wie als verwerkingsverantwoordelijke kan of moet worden aangemerkt.
  • Handreiking samenwerkingsverbanden en AVG deel 2. Het tweede deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op de mogelijkheden voor een rechtmatige uitwisseling van persoonsgegevens tussen deelnemers in een samenwerkingsverband.
  • Handreiking register van verwerkingen voor gemeenten. Verwerkingen binnen de gemeente moeten zelf bijgehouden worden in een register. Ook wanneer er een nieuwe verwerking plaatsvindt moet deze aan het register worden toegevoegd. Gemeenten voeren allemaal merendeels dezelfde (wettelijke) taken uit. Dit betekent dat een groot deel van de verwerkingen in het register voor elke gemeente voorkomen. Om te voorkomen dat iedere gemeente zelf op zoek moet gaan naar een structuur en invulling van het register heeft VNG Realisatie een standaardregister ontwikkeld. Let op: het is geen compleet ingevuld register. Dit betekent dat gemeenten er zelf mee aan de slag moeten. Zowel de kolommen als de rijen zullen ingevuld moeten worden naar de gemeentelijke situatie.
  • Handreiking rol en taken van de FG. Handvatten aan degenen die, binnen een gemeente, een FG willen instellen of verder gestalte willen geven. Deze handreiking vormt een hulpmiddel om te komen tot concrete invulling van de rol van FG.
  • Handreiking positionering FG. Hoe verhoudt deze functie zich tot de rest van de organisatie? Hoe en met wie werkt deze functionaris samen?
  • Handreiking stappenplan voor gemeenten ter voorbereiding op de AVG.
  • De handreiking intern privacybeleid bevat intern privacybeleid voor de gemeente. Dit voorbeeld is geïnspireerd op het interne privacybeleid van de gemeente Leidschendam-Voorburg en kan gebruikt worden om medewerkers een beeld te geven over hoe de gemeente met de persoonsgegevens omgaat.

Factsheets

  • Factsheet en beslismodel “Verwerkingsverantwoordelijke of verwerker”. Gemeenten maken gebruik van diensten van derde partijen. Bij de uitvoering van deze diensten kan er sprake zijn van het verwerken van persoonsgegevens. Wanneer de derde partij is aan te merken als ‘verwerker’ in de zin van de AVG, dienen gemeenten afspraken te maken over deze verwerking. Deze afspraken leggen zij vast in een zogenaamde verwerkersovereenkomst. Daarnaast verkrijgt de verwerker ook zelfstandig een aantal verplichtingen waar hij aan dient te voldoen op grond van de AVG. Het is niet altijd duidelijk in welk geval een derde partij ten aanzien van de verwerking van persoonsgegevens een verwerker is of een verwerkingsverantwoordelijke. De nieuwe factsheet helpt hierbij.
  • Checklist Data Privacy Impact Analyse (DPIA). Gemeenten zitten regelmatig met de vraag voor welke verwerkingen een data protection impact assessment (DPIA) uitgevoerd moet worden en wanneer. In artikel 35 (Gegevensbeschermingseffectbeoordeling) van de AVG staat beschreven wanneer een DPIA uitgevoerd moet worden. Om meer duiding aan de eisen uit artikel 35 te geven heeft de werkgroep van Europese privacytoezichthouders (WP29) aanvullende kaders opgesteld die ook op de site van de Autoriteit Persoonsgegevens (AP) gepubliceerd staan. De checklist is van deze kaders afgeleid en dient als handreiking om te bepalen wanneer het verplicht is een DPIA uit te voeren.
  • Casuïstiek gegevensbescherming gemeenteraad. De gemeenteraad is als bestuursorgaan een verwerkingsverantwoordelijke. Dit betekent dat de gemeenteraad moet kunnen aantonen dat de verwerkingen die hij doet, voldoen aan de AVG. Daarnaast dient de raad onder andere een register van verwerkingsactiviteiten  bij te houden, technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen en zal de raad wanneer er persoonsgegevens verstrekt worden aan andere partijen specifieke afspraken moeten maken. De AVG is van toepassing wanneer de gemeenteraad persoonsgegevens verwerkt.  In samenwerking met de Vereniging van Griffiers stelde de IBD een document op met concrete voorbeelden uit de praktijk van de gemeenteraad. Dit document kan dienen als afwegingskader bij de omgang met persoonsgegevens.

Voorbeelden van gemeenten