| Organisatie | Brummen |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Gegevensverwerking en meldplicht datalekken 2016-2018 |
| Citeertitel | Gegevensverwerking en meldplicht datalekken 2016-2018 |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
De grondslag (Wbp) is per 25-05-2018 vervallen.
Wet bescherming persoonsgegevens
Geen.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 31-03-2016 | 25-05-2018 | Nieuwe regeling | 22-03-2016 | BW16.0207 |
Privacy is volop in ontwikkeling. Door de decentralisaties doen inwoners nu meer dan voorheen een beroep op ondersteuning door de gemeente. Mede hierdoor heeft de gemeente een nog belangrijkere verantwoordelijkheid waar het gaat om de verwerking van persoonsgegevens van haar inwoners. De gemeente wisselt voortaan vaker dan voorheen persoonsgegevens uit met instanties buiten de gemeentelijke organisatie. Om de goede verwerking van de persoonsgegevens binnen de decentralisaties te waarborgen heeft de gemeenteraad op 17 december 2015 de Kadernotitie gegevensverwerking en privacy in de 3 decentralisaties 2016-2018 vastgesteld.
Daarnaast wordt de bescherming van persoonlijke gegevens steeds complexer. Zwakke beveiliging en/of niet adequate verwerking van persoonsgegevens kan leiden tot onacceptabele situaties, waarbij bijvoorbeeld iemands identiteit wordt ‘gestolen’ en misbruikt.
De Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) streeft voortdurend naar een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Vanaf 1 januari 2016 heeft de Autoriteit Persoonsgegevens meer en zwaardere bevoegdheden gekregen om te handhaven tegen de overtredingen van de Wet bescherming persoonsgegevens (Wbp). Daarnaast is de meldplicht datalekken ingevoerd. Vanaf dit moment kan de Autoriteit Persoonsgegevens boetes opleggen en zijn organisaties verplicht ernstige datalekken direct te melden aan de Autoriteit Persoonsgegevens. Dit beleid biedt in hoofdstuk 4 handvatten voor de beoordeling van de datalek en geeft richtlijnen voor het melden van een datalek.
De gemeente Brummen hecht er veel waarde aan dat de verwerkingen van persoonsgegevens zorgvuldig, rechtmatig en veilig gebeurt. Bescherming van persoonsgegevens is een grondrecht. Het verwerken van gegevens gebeurt op een faire, veilige en betrouwbare manier. Een zorgvuldige omgang met de gegevens van haar inwoners vormt een essentiële bouwsteen voor het vertrouwen in de gemeente Brummen.
Het college van burgemeester en wethouders heeft daarom besloten om het beleid over de omgang en verwerking van de persoonsgegevens te optimaliseren. Bij dit beleid gaat het niet alleen om naleving van de wet, maar het leidt ook tot efficiënter werken, omdat het deel uitmaakt van het kwaliteitsbeleid. Met dit beleid zorgen wij voor een goed gedocumenteerd stelsel van interne afspraken waarmee we persoonlijke en gemeentelijke belangen kunnen waarborgen.
In dit beleid staan kaders beschreven voor het verwerken van privacygevoelige informatie oftewel persoonsgegevens, de bescherming van deze gegevens en omgang met deze gegevens.
Ook bepaalt het de richting voor het nader vast te stellen thematisch beleid. In gevallen waarin dit beleid niet voorziet, beslist het college van burgemeester en wethouders. Overigens geldt dit beleid niet enkel ten aanzien van de inwoners van de gemeente Brummen, maar ten aanzien alle personen waarvan de gemeente Brummen gegevens beschikt.
Het beschermen van persoonsgegevens kan niet geborgd worden zonder adequate informatiebeveiliging. Voor de informatieveiligheid werkt de gemeente Brummen binnen de vastgestelde kaders van de Baseline Informatievoorziening Gemeenten (BIG).
Processen en protocollen worden uitgevoerd door mensen. Daarom streeft de gemeente Brummen naar een actief beleid dat vooral gericht is op bewustwording, een open en kritische cultuur en kennisoverdracht.
1.1. Visie op gegevensbescherming
De verwerking van persoonsgegevens is inherent aan de gemeentelijke taakuitoefening. Onze dienstverlening is heel divers. Het is dan ook onontkoombaar dat daarbij informatie over personen wordt verwerkt. Voor een goede en zorgvuldige dienstverlening moeten wij de gegevens van inwoners verwerken en soms met andere instanties delen. Informatieverwerking gaat gepaard met de verantwoordelijkheid om effectieve privacybescherming te bieden.
Het uitgangspunt hierbij is, dat wij respect hebben voor de persoonlijke levenssfeer van onze inwoners, ondernemers en medewerkers. Daarbij houdt de gemeente Brummen zich aan de wettelijke regels op het gebied van de verwerking van de persoonsgegevens
Dit beleid is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens binnen onze administratieve en bestuurlijke organisatie, waarop de wet van toepassing is en waarvoor het college verantwoordelijk is. Daarnaast is het tevens van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
De kaders die in dit beleid staan beschreven gelden voor iedereen (zowel intern als externe bewerkers) die gegevens verwerken. Daarnaast is het beleid van toepassing op alle taken en processen waar de gemeente verantwoordelijk voor is.
Dit beleid is niet van toepassing op de gegevensverwerking die onder één van de aangewezen, uitgezonderde, verwerkingen van persoonsgegevens uit artikel 2 Wbp valt:
Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkenen voorop. Er moet voorkomen worden dat er onnodige of te vergaande inbreuken worden gemaakt. De Wet bescherming persoonsgegevens biedt hiervoor het wettelijk kader. Vanaf 1 januari 2016 is de Wbp uitgebreid met de meldplicht datalekken. De uitwerking hiervan wordt verder beschreven in hoofdstuk 4.
Binnen enkele jaren, naar verwachting in 2018, zal ook de EU Algemene Verordening Gegevensbescherming (AVG) in werking treden. De AVG heeft als doel om de privacy van Europese burgers beter te beschermen dan de Wbp nu doet. Wanneer de AVG in werking treedt, zal deze boven de Wbp komen te staan. Het beleid zal dan geëvalueerd worden en aangepast worden aan de AVG.
Als algemene regel geldt dat persoonsgegevens op behoorlijke en zorgvuldige wijze moeten worden verwerkt. De Wbp bepaalt verder dat persoonsgegevens alleen voor een specifiek beschreven doel mogen worden verwerkt. Maar ook dat deze gegevens niet langer mogen worden bewaard dan noodzakelijk om het doel waarvoor ze zijn verzameld, te realiseren. De betrokkene kan altijd inzage of wijziging van de verwerkte persoonsgegevens vragen. Dit wordt in de volgende hoofdstukken nader uitgewerkt.
In aanvulling daarop, of in voorkomende gevallen ter aanvulling van de Wbp, bevat andere wetgeving meer specifieke vereisten voor gegevensverwerking
Alvorens inhoudelijk op het beleid in te gaan is het van belang om enkele belangrijkste definities uit de Wbp helder te hebben.
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is identificeerbaar indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. Er kan een onderscheid worden gemaakt in direct en indirect identificerende gegevens. Direct identificerende gegevens zijn gegevens die betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig is vast te stellen, zoals een naam, eventueel in combinatie met het adres en de geboortedatum. Van indirect identificerende gegevens is sprake wanneer gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Een gegeven is geen persoonsgegeven, indien doeltreffende technische en organisatorische maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten (anonimisering).
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens.
Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Voor de verwerking van de persoonsgegevens die bij ons rusten, is het college te allen tijde eindverantwoordelijk. Dit geldt ook als we gegevens ter beschikking stellen aan derden of delen in samenwerkingsverbanden.
Beheerder: degene die binnen de organisatie van de verantwoordelijke en binnen de door de verantwoordelijke gegeven instructies en bevoegdheden, belast is met de inrichting en de beveiliging van een bestand binnen een organisatieonderdeel of, in een hiërarchische lijn daarboven, een cluster van bestanden binnen een hoofdgroep en die tevens belast is met de
in verband met de verwerking van gegevens geldende procedures.
Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
Deze toestemming moet vrij en ondubbelzinnig zijn. Dat betekent dat betrokkenen in vrijheid hun wil moeten kunnen uiten. Ook mag er geen twijfel zijn of betrokkenen hun toestemming hebben gegeven en voor welke specifieke verwerking zij dit hebben gedaan.
2.1. De wettelijke verantwoordelijkheden
De manier waarop wij dit beleid binnen de gemeente verankeren, vormt het fundament van de privacy borging. Het college van burgemeester en wethouders is verantwoordelijk voor juiste gegevensverwerking en informatiebeveiliging. Echter deze verantwoordelijk beperkt zich niet enkel tot het college. Zorgvuldige gegevensverwerking geldt voor iedereen die binnen de gemeente werkzaam is. Het niet in acht nemen van privacy normen of ernstige schending daarvan kan leiden tot het nemen van sanctionele maatregelen.
2.2. Verantwoording aan de gemeenteraad
Het college is verantwoordelijk voor de juiste naleving van de Wbp en het beleid op het gebied van de gegevensverwerking.
Ook de gemeenteraad geeft privacy een hoge prioriteit. Het college informeert daarom de raad binnen de jaarlijkse planning en control cyclus over de risico’s en over de getroffen privacy- beheersmaatregelen binnen de processen waar de gemeente voor verantwoordelijk is.
Naast het jaarlijkse verantwoorden, hebben zowel het college als de burgemeester afzonderlijk de algemene informatieplicht om de raad te informeren over bijzonderheden (incidenten) ten aanzien van gegevensverwerking.
2.3. Organisatorische inbedding
De procesmanagers zijn verantwoordelijk voor de borging van de uitganspunten van dit beleid binnen hun proces.
Het borgen van de privacy is onlosmakelijk verbonden met informatiebeveiliging. Hiervoor is de Ciso samen met de informatiemanager verantwoordelijk.
Om de processen te ondersteunen zullen ‘experts’ ingezet worden op het gebied van gegevensverwerking en informatiebeveiliging. Deze experts werken nauw met elkaar en de informatiemanager samen. Onze adviseur informatiebeveiliging (LBVD) heeft een advies gemaakt met betrekking tot het inbedden van de diverse rollen/experts vanuit de informatiebeveiliging in onze organisatie.
Het gaat om de volgende rollen/experts:
Chief Information Security Officer (Ciso): De Ciso rapporteert aan de burgemeester. Rapportages betreffen status van o.a. audits, beveiligingsincidenten.
Functionaris gegevensbescherming (Fg): Daarnaast is de rol van Fg noodzakelijk, welke bij voorkeur neergelegd kan worden bij een juridisch medewerker.
De Fg rapporteert aan het college. Rapportages betreffen o.a. borging van de status van audits, afhandeling van privacy vraagstukken en privacy incidenten.
In de bijlage functionaris gegevensverwerking is een omschrijving opgenomen wat de functie van een Fg inhoud.
Beveiliginsbeheerders (beveiligingsfunctionaris, beheerder basisregistratie personen). Voor zover nog niet aanwezig zullen voor de diverse domeinen beveiligingsbeheerders moeten worden aangesteld. De beveiligingsbeheerders rapporteren aan de Ciso.
Vanuit ICT is een beveiligingsbeheerder nodig die verantwoordelijk is voor de technische invulling van informatiebeveiliging. De ICT beveiligingsbeheerder rapporteert aan de CISO.
Met een reeks maatregelen willen wij waarborgen dat wij continu werken aan het optimaliseren en borgen van de kwaliteit van de werkprocessen waarbij privacy een rol speelt. Elke procesmanager is verantwoordelijk voor de zorgvuldige verwerking van persoonsgegevens die binnen zijn of haar proces plaatsvindt. Het is daarom ook hun verantwoordelijkheid om te monitoren of persoonsgegevens zorgvuldig verwerkt worden, en dit zo nodig bij te sturen. Daarnaast zijn zij verplicht om incidenten te melden bij de Ciso en functionaris gegevensbescherming. De functionaris gegevensbescherming en Ciso hebben de verantwoordelijkheid om structureel te toetsen of de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy en informatiebeveiliging zijn geïmplementeerd en worden uitgevoerd.
Juist omdat privacy voor een belangrijk deel mensenwerk is, moet op alle niveaus binnen de gemeente ruime aandacht zijn voor het cyclisch denken. Door privacy vast op de diverse agenda’s te plaatsen, ontstaat een continu proces van veranderen en verbeteren. Door vanuit verschillende niveaus en rollen binnen de gemeente naar de kwaliteit van de uitvoering van privacy te kijken, ontstaat een evenwichtig systeem van checks-and-balances. Hieronder beschrijven we de belangrijkste elementen van deze borging.
Het college stelt het gemeentelijk beleid op het gebied van gegevensverwerking vast en draagt zorg dat deze regelmatig wordt geëvalueerd en zo nodig aangepast.
Het college wijst uit haar midden een portefeuillehouder privacy aan. Die is verantwoordelijk voor de uitvoering van het beleid en voor de controle op de naleving van afspraken.
De portefeuillehouder privacy ziet toe op de ontwikkeling en uitvoering van themagericht privacy beleid (themabeleid), zoals de Basisregistratie Personen, Participatie en Jeugd. Een procesmanager is hiervan proceseigenaar. Deze krijgt ondersteuning van ‘experts’ op het gebied van gegevensverwerking en informatiebeveiliging.
Procesmanagers en medewerkers maken privacy tot een vast onderdeel van hun werkoverleg. Zo nodig schuiven de ‘experts’ op het gebied van gegevensverwerking en informatiebeveiliging bij de overleggen aan. Hiermee werken wij actief aan een open cultuur, aan het optimaliseren van kennis en een transparante procesuitvoering. Bevindingen of vragen kan iedereen voorleggen aan de functionaris gegevensbescherming en Ciso.
Voor onafhankelijk toezicht op de uitvoering van het privacy beleid wijst het college een functionaris voor de gegevensbescherming aan conform artikel 62-64 van de Wbp. De Fg toetst of de aanwezigheid en werking van het beleid afdoende is ingericht. De Fg heeft vrij toegang tot systemen en processen van de gemeente. De Fg rapporteert rechtstreeks aan het college van burgemeester en wethouders.
De Fg treedt ook op als ombudsman wanneer inwoners klachten hebben over de service van de gemeente bij de uitoefening van de privacy rechten en het beleid en doet meldingen van gegevensverwerkingen en datalekken.
Privacy vormt een aparte paragraaf binnen het plan en control proces. Jaarlijks legt het college verantwoording af aan de raad over de risico’s en beheersmaatregelen met betrekking tot dit beleid.
Daarnaast wordt de privacy een vaste paragraaf binnen alle (deel)plannen van de gemeente. Hierdoor ontstaat ruimte voor beleidsmatige verbeteringen.
Verantwoordelijkheid van audit
De informatiemanager, Fg en de Ciso zien samen toe op de totstandkoming van een privacy auditplan op basis van de uitgevoerde PIA’s en de ijkpunten (key controls) van de gekozen beheersmaatregelen volgens het themabeleid en de nadere concretisering
3. Uitgangspunten zorgvuldige gegevensverwerking
3.1. Omgaan met persoonsgegevens
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Dit betekent dat persoonsgegevens alleen worden verwerkt voor het uitvoeren van bepaalde wettelijke taken en vastgestelde regelingen. Dit ter uitvoering van de in de Wbp voorgeschreven doelbinding en proportionaliteit. Dit houdt in dat persoonsgegevens alleen voor specifieke, uitdrukkelijke en legitieme doeleinden mogen worden verzameld en dat er niet meer persoonsgegevens worden verwerkt dan voor dat doel noodzakelijk is. Daarbij wordt tenminste rekening gehouden met de verwantschap van doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de gestelde waarborgen ter bescherming van de persoonlijke levenssfeer.
3.2. Rechtmatige grondslag van de verwerking
De rechtmatige grondslag voor de verwerkingen is conform artikel 8 Wbp gelegen in:
Gegevens mogen ook verwerkt worden voor historische, statische of wetenschappelijke doeleinden mits er voorzieningen zijn getroffen zodat de gegevens alleen voor deze doeleinden worden verwerkt.
Bijzondere gegevens (artikel 16 t/m 23 Wbp) worden niet verwerkt, tenzij dit nodig is voor het uitvoeren van een wettelijke taak of regeling. Zo kunnen op grond van de Jeugdwet of de Wet maatschappelijke ondersteuning medische- en gezondheidsgegevens worden gebruikt bij de behandeling van een hulpvraag of een ondersteuningsverzoek. Deze gegevens zijn echter strikt gescheiden en extra beveiligd voor ongeoorloofde inzage en verwerking door onbevoegden.
Verwerking blijft achterwege indien er een geheimhoudingsplicht geldt
In het merendeel van de gevallen worden persoonsgegevens door de betrokkene zelf verstrekt. Veel gebruikte gegevens of al bekende gegevens die zijn opgenomen in basisregistraties of andere authentieke bronnen, worden daaruit opgevraagd. Dit is in overeenstemming met het principe van 'eenmalige uitvraag en meervoudig gebruik'. Wanneer voor het uitvoeren van bepaalde wettelijke taken en regelingen persoonsgegevens verwerkt moeten worden, dan worden deze gegevens opgevraagd uit de basisregistratie personen.
Wat er precies met de verzamelde gegevens gebeurt, is afhankelijk van het doel waarvoor ze verzameld worden. Meestal worden ze in een informatiesysteem opgenomen waar ze alleen toegankelijk zijn voor de medewerkers die belast zijn met het uitvoeren van een bepaalde taak. Gegevens worden niet zonder toestemming van de betrokkene of wettelijke grondslag gedeeld. Informatiesystemen moeten voldoen aan de eisen van de BIG.
3.4. Toegang tot en verstrekking van persoonsgegevens
Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog op een juiste verwerking van persoonsgegevens, rechtstreekse toegang tot persoonsgegevens.
Alle medewerkers, intern en extern zijn verplicht tot geheimhouding van de persoonsgegevens, waarvan zij kennis nemen. Dit wordt gewaarborgd in ambtseed of belofte dan wel door ondertekening van een geheimhoudingsverklaring.
Gegevens uit de gegevensverwerking/bestanden kunnen worden verstrekt aan binnen de gemeente Brummen werkzame personen, die rechtstreeks betrokken zijn bij de actuele dienstverlening aan en begeleiding van de betrokkene, voor zover dit voor hun taakuitoefening noodzakelijk is.
Aan derden worden de gegevens enkel verstrekt indien een wettelijk voorschrift ertoe verplicht de gegevens te verstrekken of indien de betrokkene schriftelijk toestemming heeft verleend tot gegevensverstrekking voor een kenbaar specifiek doel.
Daarnaast worden de gegevens verstrekt aan de bewerkers, indien dit voor de uitoefening van publiekrechtelijke taken van de verantwoordelijke noodzakelijk is.
Voor wat betreft instanties ten behoeve van wetenschappelijke of statistische doelen, worden de persoonsgegevens slechts verstrekt onder de voorwaarden dat de uitkomsten waarvoor deze gegevens worden gebruikt, niet meer tot individuele natuurlijke personen herleidbaar zijn.
Het college informeert derden, die op vastgestelde wijze bepaalde persoonsgegevens verwerken, over de daaraan gestelde voorwaarden en beperkingen.
De verstrekking van gegevens blijft achterwege voor zover geheimhouding is geboden.
Het college treft passende technische en organisatorische maatregelen ter bescherming, bevordering van de juistheid en volledigheid van de persoonsgegevens en ter voorkoming van inbreuk, verlies en onrechtmatige verwerking van de persoonsgegevens. De Wbp bevat geen verplichtingen over de manier waarop de gegevensbescherming geborgd moeten worden. De Wbp geeft alleen aan dat er technische en organisatorische maatregelen getroffen moeten worden. Naast het al eerder genoemde BIG zijn er verschillende instrumenten om gegevensbescherming te waarborgen. Hiervoor is de informatiemanager verantwoordelijk.
Eén van de instrumenten is de uitvoering van een Privacy Impact Assessment (PIA). Bij bijvoorbeeld aanleg van een nieuw informatiesysteem kan het wenselijk zijn vooraf een PIA uit te voeren. De informatiemanager beoordeelt de noodzaak daartoe van geval tot geval. De volgende indicatoren worden daarbij als toetsingskader gehanteerd:
De maatregelen die getroffen moeten worden om de gegevensbescherming te kunnen borgen, is niet voor elk proces en informatiesysteem hetzelfde. Daarom is het nodig dat alle processen en informatiesystemen die gegevens verwerken een dataclassificatie ontvangen. Dataclassificatie heeft als doel om de continuïteit, integriteit en vertrouwelijkheid van het proces en het informatiesysteem te benoemen. Dit maakt inzichtelijk welke maatregelen genomen moeten worden om de gegevens die verwerkt worden te beschermen.
Elk geautomatiseerde systeem dat persoonsgegevens verwerkt, moet logging bijhouden van de verwerkingen. In deze logging staat minimaal vermeld welke gebruiker, op welke moment, welke gegevens heeft verwerkt. Logging houdt in:
Melding gegevensverwerking Autoriteit Persoonsgegevens
In een aantal gevallen is het wettelijk verplicht om bij de Autoriteit Persoonsgegevens te melden dat er persoonsgegevens verwerkt worden. Een aantal gegevensverwerkingen zijn vrijgesteld van de meldplicht op grond van het vrijstellingenbesluit van de Wbp.
De meldingen van de verwerking van persoonlijke gegevens zijn openbaar, dit is geregeld in de Wbp. In de melding staat wat een organisatie met welke gegevens doet en aan wie de gegevens worden verstrekt.
Bewerkersovereenkomst en convenanten met derden
Bij veel gemeentelijke processen worden gegevens verwerkt door derden. Het uitbesteden van werkzaamheden aan derden brengt risico’s met zich mee op het gebied van gegevensverwerking en informatiebeveiliging. Het college van burgemeester en wethouders blijft verantwoordelijk voor de verwerking van de gegevens. Zij moeten er daarom op toezien dat gegevens juist verwerkt en beveiligd worden. Met het oog op de omgang met privacy door alle partijen waar de gemeente mee samenwerkt en waarbij persoonsgegevens worden verwerkt, worden bewerkersovereenkomsten en convenanten/protocollen afgesloten. Daarnaast is in de inkoopvoorwaarden een en ander geregeld. Inkoopvoorwaarden zijn standaard van toepassing bij de uitbesteding.
Indien gebruik wordt gemaakt van de diensten van een bewerker, legt het college de wederzijdse verplichtingen met betrekking tot de omgang met persoonsgegevens conform artikel 14 Wbp schriftelijk in een bewerkersovereenkomst met die bewerker vast. De bewerker verwerkt de persoonsgegevens overeenkomstig de vastgelegde afspraken.
De onderwerpen die in een bewerkersovereenkomst onder andere worden geregeld zijn:
Audits/verantwoording: De verantwoordelijke moet kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de bewerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
Aansprakelijkheid: De wet bepaalt dat de verantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de Wbp niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de bewerker, die in dat geval ook zelfstandig aansprakelijk is. In de bewerkersovereenkomst worden heldere afspraken gemaakt over deze verdeling.
De procesmanager die een uitbesteding, samenwerking of uitwisseling aangaat, ziet toe op de totstandkoming van deze afspraken. De Fg wordt bij de totstandkoming betrokken en ziet toe op de naleving daarvan.
Op bewerkingsovereenkomsten in kader van de meldplicht datalekken wordt in hoofdstuk 4 nader ingegaan.
Bewaren en vernietigen van gegevens
De Wbp schrijft voor dat gegevens niet langer bewaard mogen worden dan het doel waar ze voor nodig zijn. Dit doel wordt beschreven in de wet, daarom lopen de bewaartermijnen van persoonsgegevens uiteen. In diverse wetten zijn minimale en maximale bewaartermijnen opgenomen. Daar waar er geen wettelijke regeling is die voorziet in een verplichte bewaartermijn, kan het college een besluit over de bewaartermijn nemen. Daarnaast geldt de Archiefwet voor het bewaren van papieren en elektronische documenten.
Voor vernietiging van gegevens is altijd een getekend proces verbaal van vernietiging van de gemeentearchivaris vereist. Bij het overbrengen van te bewaren gegevens naar de archiefbewaarplaats van de gemeente is het mogelijk om privacygevoelige gegevens van openbaarheid uit te zonderen voor een periode van maximaal 75 jaar.
3.6. Bewust omgaan met persoonsgegevens
De gemeente Brummen streeft naar een cultuur waarbij iedereen elkaar in alle openheid aanspreekt op het eigen gedrag rondom privacy en daarmee van elkaar leert. Communicatie, openheid en toetsing zijn belangrijke randvoorwaarden om een optimaal privacy-beleid te realiseren.
Het college en alle binnen de gemeente Brummen werkzame personen behandelen alle informatie over individuele personen die hij ten behoeve van de uitvoering van met opdrachtgevers gesloten overeenkomsten verkrijgt vertrouwelijk en draagt er zorg voor dat deze informatie niet aan derden bekend wordt. Iedereen moet zich bij de uitoefening van hun taken voortdurend bewust zijn van het belang van het waarborgen van de rechten van de inwoners. Zij moeten persoonsgegevens op een zorgvuldige manier verwerken, zoals omschreven in dit beleid.
Om bewustwording te realiseren is kennisoverdracht nodig. De informatiemanager, Fg en de Ciso zullen ervoor zorgen dat informatie over gegevensbescherming en informatiebeveiliging herhaaldelijk onder de aandacht wordt gebracht binnen de gemeente Brummen.
Op 1 januari 2016 is de meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) ingevoerd. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan de Autoriteit Persoonsgegevens, en in bepaalde gevallen ook aan de betrokkene van wie persoonsgegevens zijn gelekt.
Elke concreet datalek moet worden beoordeeld en de verantwoordelijke moet een afweging maken of dat concrete datalek onder het bereik van de wettelijke meldplicht valt. In dit hoofdstuk worden handvatten gegeven voor de beoordeling van het datalek en de melding daarvan.
Het niet voldoen aan de meldplicht kan leiden tot handhaving door de Autoriteit Persoonsgegevens. Bij een ernstige schending van de meldplicht kan een boete ter hoogte van € 820.000 worden opgelegd.
Dit hoofdstuk sluit verder aan op beleidsregels De meldplicht datalekken in de Wet bescherming persoonsgegevens van de Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) die op 1 januari 2016 in werking is getreden. De beleidsregels van de Autoriteit Persoonsgegevens dienen tevens als uitgangspunt bij het toepassen van handhavende maatregelen door de Autoriteit Persoonsgegevens
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. Wij spreken van een datalek als er inbreuk is op de beveiliging van persoonsgegevens (zoals beschreven in artikel 13 van de Wbp). Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking- dus aan degene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Ook verlies van een laptop, of het sturen van een mailing met adressen in het CC-veld in plaats van het BCC-veld geldt al als datalek. En zelfs verlies van gegevens door bijvoorbeeld een brand in het datacentrum (waarbij er geen back-up beschikbaar is), ziet de wet als een datalek.
4.3. Melden aan Autoriteit Persoonsgegevens
Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken binnen twee werkdagen bij de Autoriteit Persoonsgegevens gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie:
Hierbij is het niet van belang hoe een datalek is ontstaan. Met andere worden, doet het in deze gevallen er niet toe of het datalek door een fout is ontstaan of het gevolg was van overmacht. Het moet hoe dan ook gemeld worden.
4.4. Melden aan de getroffen personen
Indien het datalek waarschijnlijk (een aanzienlijke kans op) ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, wordt - naast de melding aan de Autoriteit Persoonsgegevens - het lek tevens onverwijld gemeld aan de personen waarvan de gegevens zijn gelekt. Dit zullen in de meeste gevallen klanten zijn. Ongunstige gevolgen zijn bijvoorbeeld:
Wanneer kwantitatief ernstige gegevens zijn gelekt, is er altijd sprake van een ongunstig gevolg. Dit wordt dus ook altijd worden gemeld aan de getroffen personen.
In de kennisgeving aan de betrokkene wordt, conform artikel 34a, derde lid, Wbp in ieder geval het volgende vermeld:
Op grond van artikel 34a, lid 5 Wbp wordt de kennisgeving aan de betrokkene op zo'n manier gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.
In de meeste gevallen betreft het een individu. Bij meer omvangrijke incidenten wordt er gekozen voor een combinatie van algemene voorlichting en het op individuele basis informeren van betrokkenen. Het uitgangspunt van de informatie is dat zo veel mogelijk betrokkenen bereikt worden met informatie die hen helpt om de gevolgen van het datalek voor hun persoonlijke levenssfeer zo veel mogelijk te beperken.
In de melding aan de Autoriteit Persoonsgegevens wordt aangeven of het datalek al aan de betrokkenen is gemeld en, zo niet, wanneer dat wordt gedaan. Mocht deze termijn bij nader inzien niet haalbaar blijken, dan wordt dit aan de Autoriteit Persoonsgegevens doorgegeven middels een aanpassing van de melding.
4.5. Wanneer hoeft een datalek niet gemeld te worden
Een meldplichtig datalek hoeft niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer de gegevens op afstand verwijderd kunnen worden van bijvoorbeeld een
gestolen laptop. Er moet dan echter wel zeker zijn dat niemand de gegevens heeft kunnen inzien. De bewijslast hiervoor rust bij de verantwoordelijke.
De beoordeling of een datalek gemeld moet worden aan de Autoriteit persoonsgegevens en/of de getroffen personen, ligt te allen tijde bij de verantwoordelijke.
De medewerker die direct of indirect kennis draagt of krijgt van een incident inzake het lekken van privacygegevens meldt dit direct aan de Fg, Ciso en aan zijn procesmanager. De melding verloop altijd via het meldsysteem in Top-desk. Op deze manier hebben wij een overzicht van alle meldingen en hoe deze worden afgehandeld. De Fg beoordeeld samen met de CISO en informatiemanager het betreffende datalek en of deze onder meldingsplicht valt. Zo ja, dan zorgt de Fg dat er een melding wordt gedaan bij de Autoriteit Persoonsgegevens.
De Autoriteit Persoonsgegevens heeft een webformulier beschikbaar gesteld waarmee datalekken kunnen worden gemeld. In de bijlage Gegeven melden datalekken is een overzicht van de vragen opgenomen.
Het datalek wordt conform artikel 34a, eerste lid, Wbp onverwijld gemeld aan de Autoriteit Persoonsgegevens. De termijn voor het melden van het datalek begint te lopen op het moment dat de verantwoordelijk, of een bewerker, op de hoogte is geraakt van een incident dat mogelijk onder de meldplicht valt. Wat in een concreet geval als 'onverwijld' wordt aangemerkt zal afhangen van de omstandigheden van het geval. De melding wordt in ieder geval zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, gedaan, tenzij op dat moment inmiddels uit onderzoek is gebleken dat het incident niet onder de meldplicht datalekken valt. Indien het incident later dan 72 uur na ontdekking wordt gemeld, dan wordt er gemotiveerd waarom de melding later is gedaan.
Mocht er binnen 72 uur na de ontdekking van het incident nog niet volledig zicht zijn op wat er is gebeurd en om welke persoonsgegevens het gaat, wordt alsnog een melding gedaan op basis van de gegevens op dat moment. Eventueel wordt de melding naderhand aangevuld of ingetrokken
4.7. Bewaren van informatie over datalek
Wanneer een datalek aan de Autoriteit persoonsgegevens wordt gemeld, wordt er een overzicht hiervan bewaard. Dit overzicht bevat de feiten en gegevens van het lek, zoals de oorzaak van het lek, de soort gegevens die gelekt zijn, het moment dat het lek is ontdekt en op welke wijze het lek gedicht is. Als het datalek ook aan de getroffen personen is gemeld, wordt de communicatie hierover bewaard.
De wet schrijft niet voor hoe lang het overzicht moet worden bewaard. In eerste instantie wordt er uitgegaan van een bewaartermijn van minimaal één jaar. In bepaalde gevallen kan het nodig zijn om een langere bewaartermijn te hanteren. Zo moeten de gegevens minimaal drie jaar worden bewaard als er geen melding aan de betrokkene is gedaan omdat er zwaarwegende redenen waren of omdat er voldoende technische beschermingsmaatregelen zijn genomen, waardoor er geen ongunstige gevolgen voor de betrokkene zijn.
De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. De ontvangen datalekmeldingen stellen de Autoriteit Persoonsgegevens in staat om erop toe te zien dat betrokkenen adequaat worden geïnformeerd over datalekken die hen persoonlijke raken, of waarvan zij last kunnen ondervinden.
Als het meldplichtige datalek niet is gemeld aan de betrokkene kan de Autoriteit Persoonsgegevens, indien deze van oordeel is dat het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de betrokkene, verlangen om dit alsnog te doen (artikel 34a, zevende lid, Wbp). Dit staat gelijk aan een bindende aanwijzing, en het niet-nakomen van zo’n aanwijzing kan worden bestraft met een bestuurlijke boete.
Ook kan de Autoriteit Persoonsgegevens op basis van de ontvangen datalekmeldingen actie ondernemen om de adequate beveiliging van persoonsgegevens meer in de breedte te bevorderen.
Als uit de ontvangen datalekmeldingen blijkt dat de beveiliging van persoonsgegevens mogelijk niet op orde is, dan kan dat voor de Autoriteit Persoonsgegevens aanleiding vormen voor nader onderzoek naar de naleving van de beveiligingsverplichtingen uit de Wbp.
Heeft de Autoriteit Persoonsgegevens tijdens het onderzoek overtredingen geconstateerd die voortduren, dan kan deze handhavend optreden (artikel 65 en 66 Wbp). Daarbij kan de Autoriteit Persoonsgegevens gebruik maken van informatie uit ontvangen datalekmeldingen. Op eventuele publicatie van deze informatie zijn de Beleidsregels actieve openbaarmaking door de Autoriteit Persoonsgegevens van toepassing.
Bij overtreding van datgene dat bij of krachtens artikel 34a Wbp wordt bepaald, kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. De wet kent vanaf 1 januari 2016 de mogelijkheid om boetes op te leggen wanneer niet voldaan wordt aan de wet. Deze boetes kunnen onder meer opgelegd worden voor:
De boete kan oplopen tot € 810.000,-. Vaak zal er eerst een bindende aanwijzing gegeven worden, maar als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een bestuurlijke boete opleggen (artikel 66, vierde lid, Wbp).
Onder 'ernstig verwijtbare nalatigheid' wordt in de parlementaire geschiedenis verstaan: "[…] grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen. Indien meerdere malen eenzelfde type overtreding heeft plaatsgevonden, kan sneller worden aangenomen dat sprake is van nalatigheid."
De Autoriteit Persoonsgegevens houdt een register bij van de ontvangen datalekmeldingen. Dit register is niet openbaar. Het belang bij het vertrouwelijk blijven van gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens staat daarbij in de weg. Wel kan de Autoriteit Persoonsgegevens op basis van de gedane meldingen in jaarverslagen of andere publicaties op geanonimiseerd en geaggregeerd niveau aandacht besteden aan datalekken.
In veel gevallen wordt het verwerken van persoonsgegevens uitbesteed aan een derde partij. Deze derde partij noemt de wet een bewerker. Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp).
Data kan bijvoorbeeld toegankelijk zijn voor een clouddienstverlener die updates uitvoert op software, opgeslagen staan bij een hostingprovider, of beschikbaar zijn voor het marketingbedrijf dat e-mails in opdracht van klanten verzendt.
Voordat de persoonsgegevens voor de verwerking worden uitbesteed aan een bewerker, dan wordt eerst nagegaan of deze voldoende waarborgen biedt ten aanzien van de naleving van de meldplicht voor datalekken.
In de bewerkingsovereenkomst worden afspraken vastgelegd over de maatregelen die de bewerker moet nemen zodat wij aan de meldplicht voor datalekken kunnen voldoen.
In veel gevallen is de bewerker de eerste die kennis krijgt van een opgetreden datalek. Om aan onze eindverantwoordelijkheid te voldoen moet de bewerker ons tijdig en adequaat informeren over de datalekken waarvan hij kennis krijgt. In elke bewerkingsovereenkomst worden daar afspraken over gemaakt.
Voor de gemeente Brummen is het heel belangrijk dat inwoners en ondernemers erop kunnen vertrouwen dat zijn of haar persoonsgegevens zorgvuldig worden verwerkt. Dat vertrouwen wordt gecreëerd door inzichtelijk te maken op welke wijze gegevens worden verwerkt en beheerd. Hierbij wordt duidelijk:
De informatie wordt op een zodanige wijze verstrekt dat de betrokkene de inhoud ervan begrijpt.
Als de gemeente Brummen persoonsgegevens verkrijgt bij de betrokkene zelf, wordt eerst het identiteit van de betrokkene vastgesteld.
Open communicatie staat dus voorop maar is niet absoluut. In uitzonderingsgevallen kan de gemeente besluiten om vertrouwelijk persoonsgegevens te verwerken. Dit kan bijvoorbeeld het geval zijn bij kwesties van openbare orde en veiligheid, zoals bij het vervolgen, voorkomen en opsporen van een strafbaar feit.
Elke aanleiding voor gegevensverwerkingen wordt gedocumenteerd.
5.2. Recht tot inzage en correctie van persoonsgegevens
Iedere betrokkene heeft het recht om op te vragen welke persoonsgegevens van hem of haar voor welke doeleinden verwerkt worden. Dit wordt het inzagerecht genoemd.
Daarnaast heeft de betrokkene ook het recht om deze gegevens te laten verbeteren, aan te vullen, te verwijderen of af te schermen, als deze feitelijk onjuist, onvolledig of niet ter zake zijn. Dit wordt het correctierecht genoemd. Dit verzoek kan mondeling en schriftelijk worden ingediend.
Het inzagerecht is niet van toepassing op interne notities die de persoonlijke gedachten van medewerkers bevatten en uitsluitend bedoeld zijn voor intern overleg en beraad.
Het kan voorkomen dat persoonsgegevens van meerdere personen in één dossier of document staan; bijvoorbeeld een plan van aanpak in het sociaal domein. Er moet dan rekening gehouden worden met de privacy van de andere gezinsleden bij het beschikbaar stellen van de gegevens. Dit wil zeggen dat de informatie over partners en kinderen ouder dan 16 jaar niet zonder toestemming van die personen verstrekt mag worden.
De gemeente Brummen voert publiekrechtelijke taken uit, dit is de grondslag voor gegevensverwerking. Ondanks dat heeft iedere betrokkene het recht om, vanwege bijzondere persoonlijke omstandigheden, te vragen zijn of haar persoonsgegevens niet meer te gebruiken. Dit heet het recht van verzet. De gemeente zal bij dit verzoek beoordelen of de gegevensverwerking gerechtvaardigd is of dat de bijzondere omstandigheden van de betrokkene dusdanig zijn, dat het verzoek moet worden ingewilligd.
Wanneer er een verzoek voor inzage, correctie, verzet van persoonsgegevens wordt gedaan, zal het college een besluit nemen. Bij een besluit over een verzoek kan de betrokkene schriftelijk bezwaar indienen. Hierbij is de Algemene wet bestuursrecht van toepassing.
Aldus besloten in de B&W-vergadering d.d. 22 maart 2016,
de gemeentesecretaris, M. Klos
de burgemeester, A.J. van Hedel
De Fg laat zich het beste vergelijken met een accountant. Het grote verschil is echter dat de Fg advies en toezicht juist niet mag scheiden, maar moet combineren.
Een Fg denkt mee over privacy bestendige oplossingen (preventief toezicht), maar toetst ook achteraf of oplossingen daadwerkelijk binnen de kaders van de wet zijn vormgegeven (privacy audits). Zijn aanbevelingen zijn bestemd voor het college. Dat neemt niet weg dat de Fg in de praktijk vooral samenwerkt met afdelingen en tweede lijn-professionals, zoals informatiemanagers, informatiebeveiligers, juristen en ICT-ers.
De positie van de Fg wordt beschreven in de Wbp. Paragraaf 2 van hoofdstuk 9 Wbp gaat over derde lijn-toezicht. Paragraaf 1 van dit hoofdstuk regelt de positie van de Autoriteit Persoonsgegevens. De wet bevat geen bepalingen over een hiërarchische relatie. De Fg is dus geen verlengstuk van het de Autoriteit Persoonsgegevens. Wél is het zo dat de Fg bij twijfel het recht heeft om de Autoriteit Persoonsgegevens te consulteren.
De Autoriteit Persoonsgegevens hecht veel waarde aan de aanwijzing van Fg’s. Organisaties met een Fg genieten bij de landelijk toezichthouder extra vertrouwen.
Vanwege zijn wettelijke rol en deskundigheid, is het oordeel van de Fg juridisch zwaarwegend. In de praktijk wordt dat echter niet altijd begrepen. Ook komt het voor dat op een Fg druk wordt uitgeoefend om zijn zienswijze te herzien. Het is belangrijk om dit soort dingen van te voren door te spreken. Een Fg moet veilig kunnen adviseren en moet daarvoor goed de ruimte krijgen. De wet geeft aan dat hij niet uit zijn functie kan worden gezet. Om over dit soort zaken duidelijk te zijn, verdient het sterk de aanbeveling om zijn positie te regelen in een statuut.
Door een Fg aan te wijzen, functioneert de Autoriteit Persoonsgegevens meer op de achtergrond. De Autoriteit Persoonsgegevens treedt weer op de voorgrond wanneer het gemeentelijk toezicht niet goed blijkt te functioneren.
De aanwijzing van een Fg wordt onder de Wbp aanbevolen en wordt onder de nieuwe EU-privacy verordening wellicht verplicht.
Het college van burgemeester en wethouders moet over de aanwijzing van een Fg besluiten en dat vervolgens melden bij de Autoriteit Persoonsgegevens. Dat neemt zijn gegevens over in het openbare Fg-register. De Autoriteit Persoonsgegevens beoordeelt vooralsnog niet de geschiktheid van de Fg. De aanwijzing van een gekwalificeerde Fg blijft dus de eigen verantwoordelijkheid van het college.
Deze procedure voorziet in een gestructureerde wijze voor het melden van datalekken in het kader van de Wbp.
Daarnaast is er een schema opgenomen om te beoordelen of een datalek gemeld moet worden aan de Autoriteit Persoonsgegevens dan wel aan de betrokkene.
Taken, verantwoordelijkheden en bevoegdheden
1. Iedere medewerker die direct of indirect kennis draagt of krijgt van een incident inzake het lekken van privacygegevens, is verplicht dit direct te melden aan Fg en Ciso. 2. De Fg en Ciso zijn verantwoordelijk voor het onderzoeken van het incident;
3. De Fg is verantwoordelijk voor de beoordeling van het datalek en bij een meldplichtige datalek voor het doen, aanvullen en intrekken van de meldingen van datalekken bij de Autoriteit Persoonsgegevens;
4. De procesmanager is verantwoordelijk voor het ondernemen van preventieve en repressieve acties, daarbij worden de aanwijzingen van de Fg en Ciso in acht genomen;
5. De informatiemanager is samen met de Fg en Ciso verantwoordelijk voor de actualiteit van deze procedure.
1. De medewerker die direct of indirect kennis draagt of krijgt van een incident inzake het lekken van privacygegevens meldt dit direct aan functionaris gegevensbescherming (FG) en Ciso. De melding wordt gedaan via Topdesk, onder melding datalekken;
2. De Fg en Ciso, eventueel in samenwerking met de procesmanager, informatiemanager en/of beveiligingsbeheerder van het specifieke vakgebied onderzoeken het incident. Hierbij is aandacht voor de volgende aspecten:
3. Als er is vastgesteld dat er sprake is van een meldplichtige datalek doet de Fg een melding van het datalek aan de Autoriteit Persoonsgegevens.
4. De Fg onderhoudt contact met de Autoriteit Persoonsgegevens over de melding datalekken. Eventuele aanwijzingen van de Autoriteit Persoonsgegevens worden vastgelegd en opgevolgd.
1. Op basis van de, gedurende een jaar, ontvangen meldingen analyseren de Fg samen met de Ciso en informatiemanager deze en stellen een verbeterplan of -advies op. Dit plan of advies wordt opgenomen in de jaarlijks uit te brengen managementrapportage;
2. Minimaal jaarlijks beoordeelt Fg of de procedure en de uitvoering nog met elkaar in overeenstemming zijn. Indien deze niet met elkaar overeenkomen wordt beoordeeld of de procedure geactualiseerd moet worden of dat medewerkers geïnstrueerd moeten worden op een juiste toepassing van de procedure.
Onderstaand schema geeft aan hoe een datalek wordt beoordeeld en of deze gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene. De stappen in de schema worden altijd doorlopen. Hiervan wordt een verslag gemaakt.
Deze bijlage bevat de gegevens die opgeven moeten worden als een datalek gemeld wordt aan de Autoriteit Persoonsgegevens. Bij dit formulier zijn de vragen uit de Europese Verordening 611/2013 als uitgangspunt gehanteerd.
1. Is dit een vervolg op een eerdere melding? (Kies een van de volgende opties.)
2. Wat is het nummer van de oorspronkelijke melding? (Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord.)
3. Wat is de strekking van de vervolgmelding? (Beantwoord deze vraag als u vraag 1 met ja hebt beantwoord, kies een van de volgende opties.)
5. Op grond van welke wettelijke bepaling doet u deze melding?
Algemene informatie en contactgegevens
6. Over welk bedrijf of welke organisatie gaat het? (Vul de onderstaande gegevens in.)
7. Door wie wordt het datalek gemeld? (Vul de onderstaande gegevens in.)
8. Met wie kan de Autoriteit Persoonsgegevens contact opnemen voor nadere informatie over de melding? (Vul de onderstaande gegevens in indien dit iemand anders is dan de melder van het datalek.)
9. In welke sector is het bedrijf of de organisatie actief?
10. Geef een samenvatting van het incident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan.
11. Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.)
12. Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk.
13. Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.)
14. Wat is de aard van de inbreuk? (U kunt meerdere mogelijkheden aankruisen.)
15. Om welk type persoonsgegevens gaat het? (U kunt meerder mogelijkheden aankruisen.)
16. Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (U kunt meerdere mogelijkheden aankruisen.)
Vervolgacties naar aanleiding van het datalek
17. Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
18. Heeft u het datalek gemeld aan de betrokkenen of bent u van plan dat te gaan doen? (Kies een van de volgende opties.)
19. Wanneer heeft u het datalek gemeld aan de betrokkenen, of wanneer gaat u dit doen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord. Kies een van de volgende opties en vul waar nodig aan.)
20. Wat is de inhoud van de melding aan de betrokkenen? (Letterlijke weergave, beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.)
21. Hoeveel betrokkenen heeft u in kennis gesteld of gaat u in kennis stellen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.)
22. Welk communicatiemiddel of welke communicatiemiddelen gebruikt u of gaat u gebruiken bij het in kennis stellen van de betrokkenen? (Beantwoord deze vraag als u vraag 18 met ja hebt beantwoord.)
23. Waarom ziet u af van het melden van het datalek aan de betrokkenen? (Beantwoord deze vraag als u vraag 18 met nee hebt beantwoord. Kies een van de onderstaande opties en vul waar nodig aan.)
24. Zijn de persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? (Kies een van de volgende opties en vul waar nodig aan.)
25. Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij vraag 24 gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleutelen toe.)
26. Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.)
27. Heeft uw bedrijf of organisatie het datalek gemeld bij toezichthouders in een of meer andere EU-landen?
28. Is naar uw mening deze melding compleet? (kies een van de onderstaande opties.)
Deze bijlage bevat de volledige tekst van de geciteerde wetsartikelen.
a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
b. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
c. bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
e. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
f. betrokkene: degene op wie een persoonsgegeven betrekking heeft;
g. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
h. ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
i. toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
j. Onze Minister: Onze Minister van Veiligheid en Justitie;
k. het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51;
l. functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62;
m. voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31;
n. verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
o. verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
p. de Kaderwet: de Kaderwet zelfstandige bestuursorganen;
q. bindende aanwijzing: de zelfstandige last die wegens een overtreding wordt opgelegd;
r. zelfstandige last: de enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2, tweede lid, van de Algemene wet bestuursrecht, ter bevordering van de naleving van wettelijke voorschriften.
1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2. Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
b. door of ten behoeve van de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2002;
c. ten behoeve van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4, eerste lid, van de Politiewet 2012;
d. die is geregeld bij of krachtens de Wet basisregistratie personen;
e. ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens en
f. ten behoeve van de uitvoering van de Kieswet.
3. Deze wet is niet van toepassing op verwerking van persoonsgegevens door de krijgsmacht indien Onze Minister van Defensie daartoe beslist met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter handhaving of bevordering van de internationale rechtsorde. Van de beslissing wordt zo spoedig mogelijk mededeling gedaan aan het College.
1. Deze wet is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden, behoudens de overige bepalingen van dit hoofdstuk, alsmede de artikelen 6 tot en met 11, 13 tot en met 15, 25 en 49.
2. Het verbod om persoonsgegevens als bedoeld in artikel 16 te verwerken is niet van toepassing voor zover dit noodzakelijk is voor de doeleinden als bedoeld in het eerste lid.
1. Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.
2. Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.
3. Het is een verantwoordelijke als bedoeld in het tweede lid, verboden persoonsgegevens te verwerken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de bepalingen van deze wet. Voor de toepassing van deze wet en de daarop berustende bepalingen, wordt hij aangemerkt als de verantwoordelijke.
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen.
2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.
3. De verantwoordelijke draagt zorg dat de bewerker:
a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid;
b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13, en
c. de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt.
4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b en c.
5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt, schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.
1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.
6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.
8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.
9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet.
10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.
11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.
De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34, 34a, tweede lid, en 35 buiten toepassing laten voor zover dit noodzakelijk is in het belang van:
a. de veiligheid van de staat;
b. de voorkoming, opsporing en vervolging van strafbare feiten;
c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen;
d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of
e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
1. Er is een College bescherming persoonsgegevens dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Tevens houdt het College toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt overeenkomstig het recht van een ander land van de Europese Unie.
2. Het College wordt om advies gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens.
3. De Kaderwet is van toepassing op het College, behoudens de in deze wet genoemde uitzonderingen.
4. Het College wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.
1. Het College is bevoegd om in het belang van een efficiënt en effectief toezicht op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.
2. Het College en de toezichthouders, bedoeld in het eerste lid, zijn bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar de gegevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van hun taak.
1. Het College kan ambtshalve of op verzoek van een belanghebbende, een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerking toepassing wordt gegeven aan het bepaalde bij of krachtens de wet.
2. Het College brengt zijn voorlopige bevindingen ter kennis van de verantwoordelijke of de groep van verantwoordelijken die bij het onderzoek zijn betrokken en stelt hen in de gelegenheid hun zienswijze daarop te geven. Houden de voorlopige bevindingen verband met de uitvoering van enige wet, dan brengt het College deze tevens ter kennis van Onze Minister die het aangaat.
3. In geval van een onderzoek, ingesteld op verzoek van een belanghebbende, doet het College aan deze mededeling van zijn bevindingen, tenzij zodanige mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de persoonsgegevens, dan wel gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het mededeling van zijn bevindingen achterwege laat, zendt het de belanghebbende zodanig bericht als hem geraden voorkomt.
Een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten kan een eigen functionaris voor de gegevensbescherming benoemen, onverminderd de bevoegdheden van het College ingevolge hoofdstuk 9 en 10 van deze wet.
1. Als functionaris kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht.
2. De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoordelijke gevolg dient te geven aan hetgeen in de tweede volzin is bepaald.
3. De functionaris oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen.
4. De functionaris is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.
1. De functionaris ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd.
2. Indien op de verwerking een krachtens artikel 25 vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code.
3. De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel 5.2 van de Algemene wet bestuursrecht.
4 De functionaris kan aanbevelingen doen aan de verantwoordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het
Het College is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen.
1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.
2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.
3. Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd.
4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid.
5. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht in geval van niet-nakoming van een bindende aanwijzing. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.