Privacy

Informatiebeveiliging en privacy zijn nauw verwant. De IBD ontvangt regelmatig meldingen en vragen op het snijvlak van de twee onderwerpen. De privacyvragen worden door VNG in nauwe afstemming behandeld en de IBD levert input op het informatiebeveiligingsdeel. VNG is doorlopend bezig om te kijken waar en hoe gemeenten het best ondersteund kunnen worden op het gebied van privacy.

Vragen over privacy

Vragen over de juridische en domeinspecifieke aspecten van privacy kunt u stellen aan privacy@vng.nl. Vragen over privacy in relatie tot informatiebeveiliging kunt u stellen via info@IBDgemeenten.nl.

Kennisdeling tussen gemeenten

Gemeenten kunnen via de IBD community informatie over informatiebeveiliging met elkaar delen, vragen aan elkaar stellen en documenten uitwisselen. Hier treft u ook het subforum Privacy.

Kennisproducten

De IBD en VNG hebben de afgelopen periode verschillende producten ontwikkeld om gemeenten te ondersteunen bij het implementeren en borgen van privacy in de eigen gemeente en in afspraken met (keten) partners:

  • IBD-producten
    • Privacy Impact Assessment: Aan de hand van een privacy impact assessment (PIA) kunnen gemeenten de huidige verwerkingen van persoonsgegevens in beeld brengen. Daarbij wordt gelijk bekeken in hoeverre dit risicovolle verwerkingen betreft en wat het niveau van naleving van de Wbp is.
    • Factsheet Verwerkersovereenkomst: In de factsheet worden de belangrijkste uitgangspunten voor het opstellen van verwerkersovereenkomsten behandeld. De factsheet beschrijft alle facetten van de verwerkersovereenkomst in het licht van de Algemene Verordening Gegevensbescherming (AVG). De factsheet biedt houvast bij het bepalen of een verwerkersovereenkomst verplicht is en wat er vervolgens in de overeenkomst moet zijn opgenomen.
    • Model Verwerkersovereenkomst: Gemeenten kunnen het model van de verwerkersovereenkomst als uitgangspunt gebruiken bij de onderhandelingen met leveranciers, als de gemeente het verwerken van persoonsgegevens aan een andere partij uitbesteedt.
    • Leaflet Meldplicht Datalekken: De leaflet ‘meldplicht datalekken’ biedt gemeenten extra achtergrondinformatie over de meldplicht dataleken, wat een datalek is, wanneer deze gemeld moet worden en de overwegingen rond aansprakelijkheid.
    • Baselinetoets BIG versie 1.3.1: Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment (DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.
  • VNG-producten
    • Privacyraamwerk: Om gemeenten te helpen privacy in het sociaal domein goed te waarborgen, heeft de VNG een raamwerk ontwikkeld. Vijf gebieden, die met elkaar samenhangen: governance, beleid, werkprocessen en triage, bewustwording en training, en beheer en opslag. Uit de praktijk blijkt dat op al deze terreinen zaken moeten worden ingericht om de privacy goed te borgen, het zijn randvoorwaarden om privacy in het sociaal domein goed te regelen. Ondanks dat dit raamwerk voor het sociaal domein is opgesteld, is het uitstekend breder toepasbaar.
    • Handreiking privacyverklaring voor de gemeentelijke website. Met deze handreiking kunnen gemeenten aan de hand van een aantal overzichtelijke stappen hun eigen privacyverklaring opstellen, geheel in lijn met de Algemene Verordening Gegevensbescherming (AVG).
    • Handreiking model privacybeleid en -reglement voor gemeenten. De handreiking kan worden gebruikt gebruikt om het privacybeleid van de gemeente te verduidelijken aan burgers en ketenpartners. Ze kunnen bijvoorbeeld op de website van uw gemeente geplaatst worden voor iedereen die graag meer wil weten over hoe de gemeente omgaat met persoonsgegevens en privacy. Er is daarom gekozen om geen, of zo weinig mogelijk, juridische taal te gebruiken zodat de producten toegankelijk en begrijpelijk zijn voor iedereen.
    • Handreiking rechten van betrokkenen deel 1, de informatieplicht en het recht van inzage (zie bijlage). Het doel van deze handreiking is het toelichten de informatieplicht van verwerkingsverantwoordelijken, het recht van inzage, en hoe gemeenten hiermee om kunnen gaan.
    • Handreiking rechten van betrokkenen deel 2, overige rechten. Deze handreiking gaat in op het recht op rectificatie, het recht op vergetelheid, het recht op beperking bewerking, het recht op dataportabiliteit, het recht op bezwaar en het recht tegen geautomatiseerde verwerking/profiling en hoe gemeenten daarmee om kunnen gaan. Het recht op inzage en de informatieplicht zijn deel 1 beschreven.
    • Handreiking samenwerkingsverbanden en AVG deel 1. Het eerste deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op het begrip verwerkingsverantwoordelijke en hoe je bepaalt wie als verwerkingsverantwoordelijke kan of moet worden aangemerkt.
    • Handreiking samenwerkingsverbanden en AVG deel 2. Het tweede deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op de mogelijkheden voor een rechtmatige uitwisseling van persoonsgegevens tussen deelnemers in een samenwerkingsverband.
    • Handreiking register van verwerkingen voor gemeenten. Verwerkingen binnen de gemeente moeten zelf bijgehouden worden in een register. Ook wanneer er een nieuwe verwerking plaatsvindt moet deze aan het register worden toegevoegd. Gemeenten voeren allemaal merendeels dezelfde (wettelijke) taken uit. Dit betekent dat een groot deel van de verwerkingen in het register voor elke gemeente voorkomen. Om te voorkomen dat iedere gemeente zelf op zoek moet gaan naar een structuur en invulling van het register heeft VNG Realisatie een standaardregister ontwikkeld. Let op: het is geen compleet ingevuld register. Dit betekent dat gemeenten er zelf mee aan de slag moeten. Zowel de kolommen als de rijen zullen ingevuld moeten worden naar de gemeentelijke situatie.
    • Handreiking register van verwerkingsactiviteiten. Totstandkoming en structuur van het register van verwerkingsactiviteiten van de gemeente Amersfoort.
    • Handreiking rol en taken van de FG. Handvatten aan degenen die, binnen een gemeente, een FG willen instellen of verder gestalte willen geven. Deze handreiking vormt een hulpmiddel om te komen tot concrete invulling van de rol van FG.
    • Handreiking positionering FG. Hoe verhoudt deze functie zich tot de rest van de organisatie? Hoe en met wie werkt deze functionaris samen?
    • Handreiking stappenplan voor gemeenten ter voorbereiding op de AVG.
    • Checklist Data Privacy Impact Analyse. Gemeenten zitten regelmatig met de vraag voor welke verwerkingen een data protection impact assessment (DPIA) uitgevoerd moet worden en wanneer. In artikel 35 (Gegevensbeschermingseffectbeoordeling) van de AVG staat beschreven wanneer een DPIA uitgevoerd moet worden. Om meer duiding aan de eisen uit artikel 35 te geven heeft de werkgroep van Europese privacytoezichthouders (WP29) aanvullende kaders opgesteld die ook op de site van de Autoriteit Persoonsgegevens (AP) gepubliceerd staan. De checklist is van deze kaders afgeleid en dient als handreiking om te bepalen wanneer het verplicht is een DPIA uit te voeren.
  • Producten van de Autoriteit Persoonsgegevens
    • In 10 stappen voorbereid op de AVG: De Autoriteit Persoonsgegevens (AP) heeft 10 stappen benoemd die organisaties kunnen helpen in de voorbereidingen op de nieuwe Europese privacywetgeving. Vanaf 25 mei 2018 moeten gemeenten net als alle overige organisaties voldoen aan deze nieuwe wet, de Algemene verordening gegevensbescherming (AVG).