Privacybeleid 2020 van de gemeenten Bunschoten, Leusden, Nijkerk en Putten

Bijlage 1 bij privacybeleid 2020 van de gemeenten Bunschoten, Leusden, Nijkerk en Putten

Governance Informatieveiligheid en Privacy (IP)gemeente putten

1.Inleiding

In het privacybeleid van de gemeenten Bunschoten, Leusden, Nijkerk en Putten staan de beleidsuitgang5Punten voor de BLNP-samenwerking op het gebied van privacybescherming vermeld en in de bij dit beleid behorende bijlage 2, Uitwerking AVG, zijn de normen en kader voor het omgaan met persoonsgegevens verder uitgewerkt. In het informatieveiligheidsbeleid van deze gemeenten zijn normen en kaders gegeven om informatieverwerking -waaronder ook de verwerking van persoonsgegevens- veilig te houden. Dit governance document heeft als doel om de samenhang tussen sturing op, uitvoering van en verantwoording over het gevoerde beleid met betrekking tol deze twee taakgebieden inzichtelijk en transparant te maken.

1.1.Relatie informatieveiligheidsbeleid - privacybeleid

Informatieveiligheid en privacybescherming, zijn termen die soms door elkaar worden gebruikt. Informatieveiligheid en privacybescherming vallen echter niet één op één samen. Ze hebben een gemeenschappelijk raakvlak en beide ook een eigen domein daarbuiten. Dit is weergegeven in de onderstaande afbeelding.

Adequate informatieveiligheid is een voorwaarde voor de privacywet- en regelgeving en als zodanig benoemd in de AVG. Dan gaat het om de verwerking van persoonsgegevens. Binnen informatieveiligheid kan zich een beveiligingsincident voordoen dat geclassificeerd wordt als datalek, omdat er persoonsgegevens bij betrokken zijn. In dat geval is de privacywetgeving van toepassing.

Informatieveiligheid heeft echter een veel bredere scope dan persoonsgegevens. Het gaat om de bescherming van alle data tegen aantasting van integriteit, vertrouwelijkheid en beschikbaarheid. Privacybescherming gaat daarnaast niet alleen over de beveiliging van persoonsgegevens tegen inbreuken, maar ook over de juiste verwerking van persoonsgegevens onder de voorwaarden zoals deze zijn vastgelegd in de privacywet- en regelgeving. Een belangrijk thema is de toegang van een burger tot zijn of haar persoonsgegevens en de mogelijkheid om deze gegevens of het gebruik ervan te corrigeren.

Het informatieveiligheidsbeleid en het privacy beleid van de gemeenten Bunschoten, Leusden, Nijkerk en Putten vormen samen een tweeluik over informatieveiligheid & privacybescherming.

2.Organisatie

Voor kaderstelling en uitvoering van zowel het informatieveiligheids- als het privacybeleid is een heldere inrichting van de organisatie nodig, met een duidelijke afbakening van verantwoordelijkheden, taken en bevoegdheden. In onderstaand schema zijn de verschillende actoren (instanties en functionarissen) weergegeven die een rol en een verantwoordelijkheid hebben in de sturing en implementatie van het informatieveiligheids- en/of privacybeleid.

De begrippen privacy en bescherming van persoonsgegevens worden vaak -ook in dit document­ door elkaar gebruikt bij het dienen van hetzelfde doel: het beschermen van persoonsgegevens en het eerbiedigen van de persoonlijke levenssfeer van natuurlijke personen.

2.1.Verantwoordelijkheidsniveaus

Binnen de gemeenten worden de volgende verantwoordelijkheids- en takenniveaus met betrekking tot informatieveiligheid en privacybescherming onderscheiden:

2.1.1.Beleidsbepalende, regisserende en coördinerende verantwoordelijkheden op organisatieniveau

Het College van B&W van de gemeenten is als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen verantwoordelijk voor een passend niveau van informatieveiligheid en privacybescherming. Het college stelt de kaders op basis van Europese en landelijke wet- en regelgeving en landelijke normenkaders. Het college is verantwoordelijk voor een duidelijk te volgen informatieveiligheids- en privacybeleid en stimuleert het management van de organisatieonderdelen om beveiligings- en privacy maatregelen te nemen. Als eigenaar van informatie en (informatie)systemen kan het college verantwoordelijkheden op het gebied van beveiliging en privacy waar nodig verder mandateren aan de portefeuillehouders informatieveiligheid, de gemeentesecretaris en aan te wijzen medewerkers. Daarbij is functiescheiding een aandachtspunt evenals het sturen op privacy bewustzijn binnen de organisaties, waarbij zoveel mogelijk recht gedaan wordt aan de uitgangspunten voor de BLNP-bedrijfsvoering samenwerking: minder kwetsbaarheid, meer kwaliteit in dienstverlening, kennis delen, minder kosten, meer kansen voor medewerkers.

2.1.1.1Portefeuillehouders Informatieveiligheid en Privacy

De positie van "verwerkingsverantwoordelijke" berust op grond van de AVG bij de bestuursorganen college, burgemeester en gemeenteraad. Het college is verantwoordelijk voor de meeste verwerkingen van persoonsgegevens (zie register van verwerkingen op de gemeentewebsites).

Omwille van de collegiale verantwoordelijkheid, vindt ten minste 2 x per jaar een BLNP-breed afstemmingsoverleg plaats tussen portefeuillehouders informatieveiligheid en privacy over het gevoerde privacybeleid en eventuele maatregelen om dit te verbeteren. Hierbij worden de portefeuillehouders ondersteund door de vier CISO's, de vier privacybeheerders en de coördinerend proceseigenaren uit de BLNP- gemeenten.

2.1.1.2Gemandateerde verantwoordelijkheden en taken van de gemeentesecretaris

De gemandateerde verantwoordelijkheid voor informatieveiligheid en privacybescherming van het college en de burgemeester ligt bij de gemeentesecretaris. Deze stelt met het managementteam en/of aangewezen functionarissen binnen de organisatie, het gewenste niveau van informatieveiligheid en privacybescherming vast voor de gemeente. De privacy- en beveiligingseisen worden per bedrijfsproces vastgesteld. De gemeentesecretaris is verantwoordelijk voor de juiste implementatie van de privacybescherming en de beveiliging in de bedrijfsprocessen en de in- en externe (informatie)systemen.

De gemeentesecretaris heeft daarmee in ieder geval de volgende verantwoordelijkheden:

• •

  Het aanwijzen van een CISO, een privacybeheerder, proceseigenaren privacy en een controller informatieveiligheid;

• •

  Het laten opstellen van strategische en operationele beleidskaders en het sturen op informatieveiligheid en privacybescherming

• •

  Periodiek evalueren van de beleidskaders en deze bijstellen waar nodig;

• •

  Het (laten) controleren of de getroffen maatregelen overeenstemmen met de eisen en of deze maatregelen voldoende bescherming bieden;

• •

  Het beleggen van de verantwoordelijkheid voor informatieveiligheidscomponenten en -systemen;

• •

  Het inrichten van functiescheiding tussen beleidsbepalende, uitvoerende en controlerende taken met betrekking tot informatieveiligheid en privacybescherming.

2.1.1.3Proceseigenaren, de verantwoordelijken op afdelings- en teamniveau

De door de gemeentesecretaris aangewezen coördinerend proceseigenaren zijn verantwoordelijk voor de (informatie)veiligheid en privacybescherming binnen de afdelingen/teams. Dit omvat zowel de personele capaciteit, bedrijfsprocessen als -systemen. Dit kunnen zowel afdelingshoofden/ leidinggevenden, teamleiders, als spelverdelers of anderszins verantwoordelijken zijn.

Proceseigenaren hebben in ieder geval de volgende verantwoordelijkheden:

• •

  Het implementeren van het informatieveiligheids- en privacybeleid en de bijbehorende richtlijnen en maatregelen en het uitdragen van het informatieveiligheidsbeleid en het privacybeleid binnen de afdeling/het team;

• •

  Het sturen op beveiligingsbewustzijn, op bedrijfscontinuïteit en op naleving van regels en richtlijnen (gedrag en risicobewustzijn);

• •

  Het rapporteren, via de CISO/privacybeheerder, over compliance van informatieveiligheid en privacybescherming aan wet- en regelgeving en algemeen beleid van de gemeente in de P&C rapportages.

• •

  Het (laten) uitvoeren van maatregelen uit de informatieveiligheidsanalyse die op de afdeling/team van toepassing zijn, waaronder DPIA's (Data Protection Impact Assessments) oftewel gegevensbeschermingseffectbeoordelingen;

• •

  Op basis van een expliciete risicoafweging (laten) opstellen van betrouwbaarheidseisen voor de informatiesystemen;

• •

  Het selecteren, implementeren en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen;

• •

  Binnen de vier gemeenten wordt door de gemeentesecretaris één proceseigenaar aangewezen die fungeert als coördinerend proceseigenaar namens de betreffende gemeente, die deelneemt aan BLNP-brede overleggen rond privacybescherming, waaronder het BLNP-brede overleg tussen de Portefeuillehouders Informatieveiligheid en Privacybeheerders dat 2 maal per jaar plaatsvindt.

2.1.1.4Chief Information Security Officer (CISO)

Deze functie is op organisatieniveau verantwoordelijk voor het actueel houden van het informatieveiligheidsbeleid, het coördineren van de uitvoering van het beleid, het adviseren bij projecten, het beheersen van risico's, evenals het opstellen van rapportages.

De CISO heeft in ieder geval de volgende verantwoordelijkheden:

• •

  Informeert de FG wanneer zich een datalek of beveiligingsincident voordoet;

• •

  Rapporteert rechtstreeks aan de gemeentesecretaris en het bestuur;

• •

  Coördineert het opstellen en actualiseren van informatieveiligheidsbeleid;

• •

  Stelt de informatieveiligheidsanalyse op en zorgt voor de actualisatie hiervan;

• •

  Coördineert de prioritering van informatieveiligheidsmaatregelen uit de informatieveiligheidsanalyse en de uitvoering van het actieplan informatieveiligheid;

• •

  Stelt een afstemmingsmechanisme op voor overleg en rapportage met betrekking tot informatieveiligheid;

• •

  Ondersteunt de gemeentesecretaris en de afdelingsmanagers met kennis over informatieveiligheid, zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen;

• •

  Is aanspreekpunt voor medewerkers van de gemeente over het onderwerp informatieveiligheid;

• •

  Volgt de externe invloeden die van invloed zijn op het informatieveiligheidsbeleid en de informatieveiligheidsanalyse;

• •

  Bevordert het beveiligingsbewustzijn in de organisatie;

• •

  Houdt de registratie van informatiebeveiligingsincidenten bij in een incidentenregister en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Rapporteert over de informatieveiligheid van de gemeente in de P&C managementrapportages. Hierbij bundelt de CISO de deelbijdragen van het afdelingsmanagement.

2.1.1.5Regionale Chief Information Security Officer (Regionale CISO)

Naast de inrichting van de functie gemeentelijke CISO hebben de gemeenten Bunschoten, Nijkerk, Leusden en Putten een regionale CISO-functie ingericht. Deze regionale CISO voert de coördinatie over overkoepelende aangelegenheden die zich voordoen in BLNP verband, in overleg met de FG waar het bescherming van persoonsgegevens betreft en met de vier CISO's die op gemeentelijk niveau zijn aangewezen. Hiermee wordt invulling gegeven aan een eenduidig BLNP-informatieveiligheidsbeleid en een efficiënte uitwerking van het beleid.

2.1.1.6Privacybeheerder

De privacybeheerder functioneert op uitvoeringsniveau (ten behoeve van het lokale management/afdelingen/teams) en is de rechterhand van de portefeuillehouder privacy en de verwerkingsverantwoordelijken (college, burgemeester, raad). Eén van de kerntaken van de privacybeheerder is om management/proceseigenaren te adviseren over een privacybestendige uitvoering van gegevensverwerkingen. Eén van de lokale privcaybeheerders wordt in onderling overleg aangewezen als coördinerend privacybeheerder BLNP. De coördinerend privacybeheerder initieert het gezamenlijk met de andere lokale privacybeheerders opstellen van een privacyjaarplan en een lange termijnplanning en heeft regelmatig afstemming met de Functionaris

Gegevensbescherming over de status van de voortgang van privacy-compliance/initiatieven/projecten. Verder heeft iedere privacybeheerder in ieder geval de volgende verantwoordelijkheden:

• •

  Beoordelen van de verwerking van persoonsgegevens, tegen de achtergrond van de kaders van privacywetgeving en -beleid, adviseert de organisatie, bij wijzigingen in de bedrijfsvoering of de procesuitvoering en voert -zonodig- een DPIA uit.

• •

  Als adviserend lid deelnemen aan programma's en projecten waarvan het resultaat gevolgen kan hebben voor de wijze van verwerking van persoonsgegevens, waaronder het BLNP-brede privacy-overleg, dat naast de privacybeheerders bestaat uit: kwartiermaker ICT/(optioneel), FG (in ieder geval maandelijks), regionale CISO's (optioneel).

• •

  De privacybeheerder heeft verder als taak:

  • a)

    de uitleg van de privacy voorschriften in de AVG en in de sectorale wetgeving;

  • b)

    coördineren van de privacy werkzaamheden;

  • c)

    coördineren, samenvoegen en openbaar maken van de registers van gegevensverwerkingen op basis van informatie die wordt aangeleverd door de organisatieonderdelen van de gemeenten;

  • d)

    coördineren van verzoeken voor de uitoefening van de rechten van betrokkenen ten aanzien van persoonsgegevens, zoals deze zijn beschreven in de AVG en adviseren van de proceseigenaar over de afhandeling hiervan;

  • e)

    rapporteert -aansluitend bij andere gemeentelijke controlcycli- en zoveel mogelijk in BLNP­ verband aan de (eind)verantwoordelijken (coördinerend proceseigenaar, gemeentesecretaris, portefeuillehouder privacy, college), en stuurt dit rapport ter kennisname naar de FG, die waar nodig, zijn advies zal uitbrengen aan de colleges;

  • f)

    richt in overleg met de regionale CISO en FG procedures in voor het afhandelen van datalekken waarbij persoonsgegevens betrokken zijn en neemt deel aan de incidentenafhandeling volgens het protocol datalekken, onder toezicht van BLNP- CISO en FG;

  • g)

    beheer en onderhoud van de standaarddocumenten die in BLNP-verband zijn ontwikkeld voor het privacybeleid, procedures zoals verwerkersovereenkomsten, convenanten en reglementen;

  • h)

    advisering en ondersteuning bij het besluitvormingsproces en het afsluiten van verwerkersovereenkomsten en convenanten en de vaststelling van reglementen;

  • i)

    Verzorgt de meldingen en intrekkingen van meldingen bij de Autoriteit Persoonsgegevens (AP);

  • j)

    creëren van bewustzijn rondom de verwerking van privacygevoelige persoonsgegevens en daarbij horende risico's.

2.1.1.7Functionaris voor de gegevensbescherming (FG)

De aanstelling van een Functionaris Gegevensbescherming (FG) is op grond van de Algemene Verordening Gegevensbescherming (AVG) verplicht. De BLNP-gemeenten stellen gezamenlijk een FG aan. De FG is de interne toezichthouder op de verwerking van persoonsgegevens binnen de organisatie. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. Bij organisaties met een FG stelt de Autoriteit Persoonsgegevens (AP) zich terughoudend op als toezichthouder.

De FG heeft in ieder geval de volgende taken en verantwoordelijkheden:

• •

  Het informeren en adviseren van de gemeenten en de verwerkers die namens de gemeente persoonsgegevens verwerken over hun verplichtingen uit hoofde van de AVG en andere EU wet­ en regelgeving en nationale bepalingen omtrent gegevensbescherming (geen advies ten aanzien van casussen);

• •

  Het toezien op naleving van AVG, en andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming,

• •

  Adviseren over datalekken -waar nodig rechtstreeks- aan directeur/secretaris en aan de verwerkingsverantwoordelijke(n);

• •

  en hierover Het toezien op naleving van het gemeentelijke beleid of de verplichtingen van de verwerker met betrekking tot de bescherming van persoonsgegevens;

• •

  Het toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

• •

  Het geven van advies met betrekking tot de Data Protection Impact Assessment (DPIA) en het toezien of de uitvoering daarvan in overeenstemming is met de AVG;

• •

  Het samenwerken met de AP, en optreden als contactpunt voor de AP.

2.1.1.8De controller informatieveiligheid (Cl)

Deze rol is op organisatieniveau verantwoordelijk voor het verbijzonderde toezicht op de naleving van het informatieveiligheidsbeleid en de realisatie van voorgenomen veiligheidsmaatregelen en adviseert bij escalatie van beveiligingsincidenten. De Cl rapporteert aan directeur/ gemeentesecretaris en aan het college B&W

De controller informatieveiligheid heeft in ieder geval de volgende taken en verantwoordelijkheden:

• •

  Het (laten) organiseren van de periodieke toetsing op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen ten aanzien van informatieveiligheid. Het principe hierbij is dat de toetsing binnen een bepaald domein plaatsvindt door een beveiligingsbeheerder van een ander domein en visa versa.

• •

  De controle op de voortgang van het uitvoeren van de maatregelen uit de informatieveiligheidsanalyse en het actieplan informatieveiligheid;

• •

  De controle op de periodieke actualisatie van het informatieveiligheidsbeleid en de informatieveiligheidsanalyse;

• •

  Toetsen/bewaken van het niveau van informatieveiligheid;

• •

  Toetsing van evaluatieproces van beveiligingsincidenten.

De rol van controller informatiebeveiliging heeft bij twee specifieke deelgebieden een wettelijk voorgeschreven officiële benaming. Namelijk op het gebied van reisdocumenten en van rijbewijzen: Beveiligingsfunctionaris

2.1.1.9De beveiligingsbeheerder

Deze rol is verantwoordelijk voor het beheer, de coördinatie en advies ten aanzien van de informatieveiligheid van specifieke gegevensverzamelingen. In wetgeving worden verschillende benamingen aan rollen gegeven voor veelal dezelfde taken en verantwoordelijkheden ten aanzien van specifieke gegevensverzamelingen. Om eenduidigheid in naamgeving te verkrijgen wordt in dit beleidsdocument de veiligheidsverantwoordelijkheid ten aanzien van een specifieke

gegevensverzameling toegewezen aan en gedefinieerd als beveiligingsbeheerder, aangevuld met de deelgebieden waarvoor een beveiligingsbeheerder is aangewezen.: BRP, Reisdocumenten* Rijbewijzen*, SUWI, BAG en DigiD. Daarnaast worden er beveiligingsbeheerders aangewezen op verschillende aspecten van de gemeentelijke bedrijfsvoering: Facilitaire Zaken, ICT, DIV, P&O en WOZ (GBLT).

De beveiligingsbeheerder heeft de volgende taken en verantwoordelijkheden:

• •

  Is - voor het toegewezen deelgebied - verantwoordelijk voor het geheel van activiteiten gericht op de toepassing en naleving van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid, inclusief de maatregelen die voortkomen uit de audit en (zelf)evaluatie voor het betreffende onderdeel. Hieronder vallen:

  • -

    de voorbereiding en coördinatie van audits en (zelf)evaluaties

  • -

    de preventie en detectie van beveiligingsincidenten en het geven van een adequate respons

  • -

    het coördineren van de toepassing van specifieke wet- en regelgeving

  • -

    het rapporteren aan de CISO en de controller informatieveiligheid.

* Specifieke verplichte beveiligingsbeheerdersrollen:

• -

  Autorisatiebevoegde Reisdocumenten/Aanvraagstations: Verantwoordelijk voor het beheer van de autorisaties voor de reisdocumentenmodules (RAAS en aanvraagstations).

• -

  Autorisatiebevoegde Rijbewijzen: Verantwoordelijk voor het beheer van de autorisaties voor rijbewijzen, inclusief aanmelding RDW.

• -

  Security Officer SUWI: Beheert beveiligingsprocedures en -maatregelen in het kader van Suwinet, overeenkomstig wettelijke eisen. De Security Officer bevordert en adviseert over de beveiliging van Suwinet en ziet er daarnaast op toe dat de maatregelen worden nageleefd. Ook adviseert de Security Officer medewerkers en management, doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet en evalueert de uitkomsten van verbetermaatregelen.

De Security Officer verzorgt minimaal tweemaal per jaar een rapportage met betrekking tot de beveiligingsstatus van Suwinet aan het hoogste management en/of college. De Security Officer SUWI vraagt daarnaast meerdere keren per jaar een rapportage op bij het BKWI over het gebruik van Suwinet door de gemeente.

2.1.1.10Eerste aanspreekpunten privacy

Deze rol is verantwoordelijk voor het beheer, de coördinatie en advies ten aanzien van privacybescherming van specifieke gegevensverzamelingen. In de organisatie is het eigenaarschap van bepaalde processen en systemen waarmee wordt gewerkt toegedeeld aan bepaalde "proceseigenaren". Naast deze proceseigenaren zijn mensen aangewezen met een signalerende rol ten aanzien van privacybescherming binnen een proces. Wanneer er ontwikkelingen zijn waarbij privacybescherming een rol speelt zijn zij eerste aanspreekpunt. Wanneer het complexe zaken betreft, schakelt de Aaanspreekpunt privacy de privacybeheerder in.

Het Aanspreekpunt privacy is - voor het toegewezen deelgebied - verantwoordelijk voor het geheel van activiteiten gericht op de toepassing en naleving van de maatregelen en procedures die voortkomen uit het privacybeleid, inclusief de maatregelen die voortkomen uit de audit en (zelf)evaluatie. Hieronder vallen:

• •

  de preventie en detectie van beveiligingsincidenten en het geven van een adequate respons;

• •

  het coördineren van de toepassing van specifieke wet- en regelgeving;

• •

  het rapporteren aan de Privacy Officer en de FG.

• •

  Aanmelden nieuwe verwerkingen van persoonsgegevens bij de Privacybeheerder,;

• •

  Wijzigingen in de verwerking van persoonsgegevens melden bij de Privacybeheerder;

• •

  De aanvraag, inbreng van inhoudelijke, functionele kennis, en uitvoer en effectueren van de resultaten van de DPIA;

• •

  In behandeling nemen van verzoeken om inzage, correctie en verzet ten aanzien van persoonsgegevens;

• •

  Afsluiten, beheren en actualiseren van verwerkersovereenkomsten;

• •

  Aanwijzen decentraal contactpersoon informatieveiligheid en privacy;

• •

  In het geval van een veiligheidsincident, inventariseren van feiten en omstandigheden;

• •

  Het implementeren van adviezen uit veiligheidsrapportages en DPIA's;

• •

  Het uitdragen van het informatieveiligheidsbeleid en het privacybeleid binnen de afdeling;

2.1.2De teams binnen de BLNP gemeenten

De teams zijn eigenaar van en integraal verantwoordelijk voor de (informatie)veiligheid en privacy van de informatieprocessen en -systemen binnen hun team. Alle medewerkers dragen verantwoordelijkheid voor de informatieveiligheid en gegevensbescherming van de activiteiten die behoren tot hun eigen functie en taken.

leder team/ afdeling/ cluster heeft in ieder geval de volgende verantwoordelijkheden:

• •

  Het waarborgen van privacy en bescherming van persoonsgegevens conform relevante wet- en regelgeving, bijv:

  • -

    het bijhouden van verwerkingen en verwerkersovereenkomsten

  • -

    het classificeren van opgeslagen data in applicaties en gegevensverzamelingen

  • -

    het bieden van transparantie (informatieplicht) over het verwerken van gegevens in processen en aanvraagformuIieren

  • -

    het uitoefenen van rechten van betrokkenen vanuit AVG, bijvoorbeeld inzageverzoek

• •

  Het (laten) uitvoeren van maatregelen/ adviezen ten aanzien van privacy (bijv. uit een DPIA)

• •

  Opdrachtgeven tot en toezien op het uitvoeren van periodieke beveiligingsaudits;

• •

  Het (laten) uitvoeren van maatregelen uit de informatieveiligheidsanalyse die op de afdeling van toepassing zijn;

• •

  Het rapporteren, via de coördinator informatieveiligheid, over compliance (voldoen) aan wet- en regelgeving en algemeen beleid van de gemeente in de P&C rapportages.

2.1.2.1Team(s) ICT

Het team ICT, waarvan systeembeheer deel uitmaakt, beheert de werkplekken, serverplatformen, lokale netwerken, Wi-Fi verbindingen, externe netwerkverbindingen (zoals Gemnet en Suwinet) en verzorgt het technische (wijzigings)beheer van databases, bedrijfsapplicaties en kantoorautomatiseringshulpmiddelen. Het is medeverantwoordelijk voor alle technische aansluitingen op andere ketenpartners en landelijke voorzieningen. Daarnaast zijn zij verantwoordelijk voor de implementatie van ICT-technische beveiligingsmaatregelen. Verantwoording over het gevoerde beheer van de getroffen beveiligingsmaatregelen wordt aan de procesverantwoordelijken voor (informatie)systemen afgelegd.

Afdeling overstijgende (informatie)systemen binnen de gemeente worden onder de verantwoordelijkheid van het team ICT gefaciliteerd en onderhouden. Deze systemen, die door meer dan één gemeentelijk organisatieonderdeel worden gebruikt, bevatten gegevens die door meerdere organisatieonderdelen worden vastgelegd. Voor ieder afdeling overstijgend (informatie)systeem wijst de gemeentesecretaris een organisatieonderdeel dat of medewerker aan die verantwoordelijk is voor de gehele gegevensverzameling of het (informatie)systeem. Indien de gemeentesecretaris hier niet expliciet toe besluit behoort deze verantwoordelijkheid aan het team ICT.

De procesverantwoordelijke van een afdeling overstijgend (informatie)systeem draagt er zorg voor dat bij het gebruik ervan de wettelijke eisen en de gemeentelijke voorschriften worden nageleefd en dat de verantwoordelijkheden voor beveiliging voor alle betrokken partijen duidelijk omschreven zijn.

2.1.2.2Team(s) facilitaire zaken

Het team facilitaire zaken is verantwoordelijk voor de fysieke veiligheid in en rond het gebouw, fysieke toegangsbeveiliging, de kantoorinrichting (archiefkasten, kluizen enzovoort) en contacten en contracten met externe partijen die voorzien in fysieke veiligheid, zoals alarmopvolging, bewaking en beveiliging. De beveiligingsbeheerder FZ neemt namens het team deel aan het informatieveiligheidsoverleg.

2.1.2.3Het team P&O (binnen de BLNP gemeenten)

Het team P&O is verantwoordelijk voor het beheer en de advisering ten aanzien personele en de organieke veiligheidsaspecten binnen de organisatie. De beveiligingsbeheerder P&O neemt deel aan het informatieveiligheidsoverleg namens team P&O.

2.1.2.4Functioneel en gegevensbeheerder

Functioneel- en gegevensbeheerders zijn verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van de informatiesystemen en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening en voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening.

2.2.Afstemming Informatieveiligheid en Privacy (IVP)

Het is belangrijk dat er tussen de taakvelden informatieveiligheid en privacybescherming afstemming gezocht wordt. Voor de afstemming zijn er verschillende overlegvormen beschreven op lokaal en regionaal niveau. Tussen informatieveiligheid en gegevensbescherming wordt zowel binnen de individuele gemeenten als binnen BLNP verbinding gezocht om zoveel mogelijk met elkaar op te trekken en kennis te delen. Om deze reden zijn de hierna volgende regionale overleggen ingesteld. Wanneer nodig wordt verbinding gezocht tussen de verschillende overlegvormen, zoals wanneer het de beveiliging van persoonsgegevens betreft. Hieronder wordt per overleg aangegeven wie daarbij aanwezig is en wat de onderwerpen zijn die tijdens deze overleggen besproken worden.

2.2.1.Lokaal overleg informatieveiligheid

De CISO is voorzitter van het overleg informatieveiligheid dat 2 tot 4 maal per jaar bij elkaar komt. Bij dit overleg zijn aanwezig:

• •

  De CISO

• •

  De controller Informatieveiligheid;

• •

  Beveiligingsbeheerders t.a.v.: BRP/Waardedocumenten, BAG, SUWI en DigiD;

• •

  Beveiligingsbeheerders t.a.v.: FZ, ICT, P&O, DIV en WOZ;

• •

  De privacybeheerder;

• •

  Agendaleden: gemeentesecretaris, afdelingsmanager, teamleider of specialist.

Onderwerpen:

• •

  Voortgang uitvoering maatregelen uit de informatieveiligheidsanalyse c.q. uit het actieplan Informatieveiligheid;

• •

  Beveiligingsincidenten;

• •

  Planning en voorbereiding van audits, controles en zelfevaluaties;

• •

  Evaluatie en actualisatie informatieveiligheidsbeleid en de informatieveiligheidsanalyse;

• •

  Controle of de invulling van de rollen in de governance structuur nog actueel is.

2.2.2.Lokaal overleg privacybescherming

De privacybeheerder is voorzitter van het overleg gegevensbescherming dat 2 tot 4 maal per jaar bij elkaar komt. Bij dit overleg zijn aanwezig:

• •

  De privacybeheerder

• •

  De Functionaris Gegevensbescherming

• •

  De Aaanspreekpunt privacy

• •

  De CISO

• •

  Agendaleden: gemeentesecretaris, afdelingsmanager, teamleider of specialist.

Onderwerpen:

• •

  Voortgang uitvoering maatregelen die voortvloeien uit het privacybeleid;

• •

  De uitvoering van Privacy Impact Assessment (PIA);

• •

  Datalekken;

• •

  Evaluatie en actualisatie privacybeleid;

• •

  Controle of de invulling van de rollen in de governance structuur nog actueel is.

2.2.3.Regionaal CISO overleg

Voor informatieveiligheid komen de vier CISO's met de regionale CISO samen voor overleg en afstemming wat in regionaal verband wordt opgepakt. Dit overleg is de plek om ervaring en kennis over informatieveiligheid uit te wisselen. Deze overleggen worden eventueel aangevuld met specialisten die vanwege hun expertise betrokken zijn.

2.2.4.Regionaal privacy overleg

Voor privacybescherming komen de vier privacybeheerders, samen met de FG en de regionale CISO, om de regionale stand van zaken te bespreken en afstemming te vinden over het vervolg. Ook wordt tijdens deze overleggen kennis over privacy wet- en regelgeving uitgewisseld. Deze overleggen worden eventueel aangevuld met specialisten die vanwege hun expertise betrokken zijn.

2.3.Kernteam incidenten/ calamiteiten

Voor interne crisisbeheersing dient een kernteam informatieveiligheid geïnstalleerd te zijn. Dit team komt uitsluitend bij elkaar in geval van grote incidenten/calamiteiten. Dit team bestaat uit:

• •

  De coördinator informatieveiligheid/ CISO (voorzitter);

• •

  De privacybeheerder

• •

  De controller informatiebeveiliging;

• •

  De beveiligingsbeheerder ICT;

• •

  De afdelingsmanager verantwoordelijk voor de afdeling waar het incident heeft plaatsgevonden;

• •

  Indien nodig: relevante experts, medewerkers en gemeentesecretaris;

• •

  De teamleider communicatie.

• •

  Agendalid: de FG

Voor nadere informatie over de afhandeling van incidenten en/ of datalekken: zie bijlage procedure lncidentmanagement en Respons

3.Rollen en namen BLNP

4.Rollen en namen BLNP

4.1rollen en namen Bunschoten

Bijlage 2 bij privacybeleid 2019-2020 van de gemeenten Bunschoten, Leusden, Nijkerk en Putten

Uitwerking AVG

Doel: toelichting kernbegrippen en verhouding AVG tot relevante wetten

1. Kernbegrippen AVG

De kernbegrippen binnen de AVG zijn:

• 1.

  Toepasselijkheid AVG

• 2.

  Verantwoordingsplicht/ Accountability

• 3.

  Persoonsgegevens

• 4.

  Verwerking (van persoonsgegevens)

• 5.

  Verwerkingsgrondslagen

• 6.

  Doelbinding

• 7.

  Verwerkingsverantwoordelijke en verwerker

• 8.

  Betrokkene

• 9.

  Bijzondere en gevoelige persoonsgegevens

• 10.

  Bewaartermijnen

• 11

  Privacy by design en privacy by default

• 12

  Data Protection Impact Assesment

• 13

  Anonimiseren/ Pseudnonimisering

• 1.

  Toepasselijkheid AVG

De AVG is van toepassing op 'de gehele of gedeeltelijke geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen'). Kortgezegd betekent dit dat de AVG in ieder geval van toepassing is wanneer de gemeente persoonsgegevens per computer verwerkt.

Maar de AVG is ook van toepassing in situaties waarin deze handmatig worden verwerkt en er dus géén sprake is van een geautomatiseerde verwerking. Als er bijvoorbeeld sprake is van geschreven gespreksnotities van ambtenaren over inwoners die verzameld zijn in mappen, is de AVG ook van toepassing.¹

2. Verantwoordingsplicht

Feitelijk is de verantwoordingsplicht ('accountability') het centrale begrip binnen de AVG. Het is opgenomen in artikel 5 AVG. Het eerste lid van artikel 5 somt de zes basisbeginselen van de AVG op, zie Hoofdstuk 4 van het Privacybeleid. De essentie van de verantwoordingsplicht is dat de verwerkingsverantwoordelijke (in de meeste gevallen het college van burgemeester en wethouders) verantwoordelijk is voor het naleven van deze beginselen en deze naleving kan aantonen. De gemeente moet actief aantonen dat ze aan de AVG en haar beginselen voldoet. Er is sprake van een omgekeerde bewijslast. Het is niet zo dat een betrokkene of de toezichthouder moet aantonen dat de gemeente niet aan een verplichting voldoet. Dit alles vraagt om een actieve houding van de gemeente, waarbij desgevraagd aan toezichthouder of betrokkene kan worden aangetoond dat de beginselen worden nageleefd. De invulling van de verantwoordingsplicht komt met name tot uiting in:

Beschermings/beveiligingsbeleid

Verwerkingsregister

Privacy Impact Assessments (ook wel: Data Protection Impact Assesment)

Procedure datalekken

3. Persoonsgegevens

De AVG formuleert persoonsgegevens als volgt: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon".

4. Verwerking (van persoonsgegevens)

De AVG definieert een verwerking in artikel 4 lid 2 als volgt: 'een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde handelingen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.' Kort gezegd: iedere handeling met persoonsgegevens geldt als verwerken. De lijst die wordt opgesomd in de definitie is niet limitatief.

5. Verwerkingsgrondslagen

Een van de eisen die de AVG stelt is dat persoonsgegevens rechtmatig worden verwerkt. Artikel 6 AVG geeft in dat kader de grondslagen voor verwerking. Persoonsgegevens mogen alleen worden verwerkt indien één van die grondslagen van toepassing is. Hieronder worden de belangrijkste grondslagen besproken.

5.1 Toestemming (art 6 lid 1 AVG)

Betrokkene heeft toestemming gegeven voor het verwerken van persoonsgegeven voor een of meer specifieke doeleinden. De AVG verstaat onder toestemming 'elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.'

In deze definitie zitten een aantal elementen: van belang is dat de toestemming in vrijheid is gegeven. Als er een afhankelijke relatie (bijvoorbeeld tussen werkgever en werknemer, of­ binnen de gemeente- in het sociaal domein) bestaat tussen degene die toestemming geeft en degene die de persoonsgegevens wil gebruiken, is er een grote kans dat de gegeven toestemming niet in vrijheid is gegeven. In de praktijk zal van een vrije toestemming niet snel sprake zijn gezien de vaak aanwezige afhankelijkheidsrelatie tussen de gemeente en de betrokkene.

Verder dient de toestemming specifiek geïnformeerd te zijn. Dat wil zeggen: deze mag niet te ruim en algemeen geformuleerd zijn, en het moet voor de betrokkene duidelijk zijn welke persoonsgegevens voor welke doeleinden verwerkt worden. Toestemming is ondubbelzinnig wanneer er geen onduidelijkheid kan bestaan of de betrokkene daadwerkelijk toestemming heeft gegeven voor een specifieke verwerking. Ook moet kunnen worden aangetoond dat de betrokkene toestemming heeft gegeven. Dat betekent duidelijk, specifiek en schriftelijk vastleggen. Indien dit digitaal wordt gevraagd moet een actieve opt-in handeling worden verricht. Concreet: het op een webformulier vooraf aanvinken van het hokje 'ik verleen toestemming' is niet toegestaan. Betrokken moet zelf het vinkje zetten.

Een gegeven toestemming kan te allen tijde worden ingetrokken. Dit betekent dat er dan geen grondslag voor verwerking overblijft. Toestemming is dus een risicovolle grondslag. Er zullen modellen voor de verschillende vormen van toestemming worden gemaakt. Deze zullen aan dit beleid worden toegevoegd. Toestemming moet in ieder geval altijd schriftelijk geschieden. Daarbij moet steeds blijken dat betrokkene weet waarvoor hij toestemming heeft gegeven.

5.2 Wettelijke verplichting

Het verwerken van persoonsgegevens is noodzakelijk om aan een wettelijke verplichting te voldoen. Een voorbeeld: de Participatiewet verplicht het college van burgemeester en wethouders in bepaalde gevallen om (persoons)gegevens te verstrekken aan instanties, zoals bijvoorbeeld de belastingdienst. Om aan deze verplichting te voldoen is het noodzakelijk dat het collegegegevens verwerkt.

5.3 Publiekrechtelijke taak

De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag. Hiervan is bijvoorbeeld sprake als de gemeente een bij wet geregelde - publiekrechtelijke - taak uitvoert. Er moet sprake zijn van een typische overheidstaak. Een voorbeeld hiervan is het beslissen op een aanvraag voor een maatwerkvoorziening op grond van de Wmo 2015.

6. Doelbinding

Persoonsgegevens mogen uitsluitend voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Let wel: verzamelen is ook verwerken! Voordat aan verwerking van persoonsgegevens gedacht kan worden, moet er dus eerst duidelijkheid zijn over een specifiek en concreet, dus precies omschreven doel. Wanneer er geen wettelijke grondslag is, is er in ieder geval geen sprake van een gerechtvaardigd doel.

Vervolgens kan de gemeente deze persoonsgegevens verder verwerken (bijvoorbeeld door deze te verstrekken aan derden). Dat mag uitsluitend wanneer het doel voor deze verdere verwerking verenigbaar is met het oorspronkelijke doel. Dit wordt doe/binding genoemd.

7. Verwerkingsverantwoordelijke en verwerker

Binnen de AVG wordt onderscheid gemaakt tussen:

• -

  de verwerkingsverantwoordelijke

• -

  de verwerker

7.1 Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is de entiteit (natuurlijke persoon, rechtspersoon, instantie of het (bestuursorgaan) die/dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerkingsverantwoordelijke dient te zorgen voor passende waarborgen voor het naleven van de AVG. Dat de waarborgen zijn ingesteld moet door de verwerkingsverantwoordelijke kunnen worden aangetoond. In feite is de verwerkingsverantwoordelijke aanspreekbaar op het handhaven van de zes basisbeginselen binnen de AVG (zie punt 1.2).

De doelen die worden vastgesteld moeten welbepaald, uitdrukkelijk omschreven en Gerechtvaardigd zijn. Met middelen worden alle gereedschappen en andere middelen bedoeld waarmee een verwerking wordt uitgevoerd, bijvoorbeeld software.

Wie is verwerkingsverantwoordelijke? In de meeste gevallen zal dat het college van burgemeester en wethouders zijn, vooropgesteld dat het college doel en middelen van de verwerking vaststelt. Maar ook de burgemeester of de raad kunnen verwerkingsverantwoordelijke zijn. De burgemeester als het bijvoorbeeld gaat om zijn taken op het gebied van openbare orde en veiligheid.

De AVG kent 'gezamenlijke verwerkingsverantwoordelijken' (art 26 AVG). In dat geval stellen twee of meer verwerkingsverantwoordelijken doel en middelen van de verwerking vast. In die gevallen waarbij de gemeente betrokken is bij samenwerkingsovereenkomsten (b.v. ketensamenwerking) waarbij er sprake is van meerdere verwerkingsverantwoordelijken, dan dient te worden vastgesteld welke partij welke verantwoordelijkheden op zich neemt.

7.2 Verwerker

Een verwerker² is een entiteit (natuurlijke persoon, rechtspersoon, instantie of (bestuurs)orgaan) die een verwerking uitvoert binnen het doel en middelen die de verwerkingsverantwoordelijke heeft vastgesteld. Een verwerker heeft geen zeggenschap over de wijze van verwerken, en werkt strikt onder instructies en in opdracht van de verwerkingsverantwoordelijke. Een verwerker neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens etc.

7.3 Onderscheid verwerkingsverantwoordelijke en verwerker (toelichting)

Een verwerkersverantwoordelijke is in beginsel aansprakelijk voor alle schade, ongeacht of die door hem of de verwerker wordt veroorzaakt, (art 82 AVG) .Een verwerker is daarentegen slechts aansprakelijk voor de schade die door een verwerking is veroorzaakt wanneer bij die verwerking niet is voldaan aan de specifieke verplichtingen binnen de AVG die zijn gericht tot verwerkers (bijvoorbeeld het toepassen van een passend beveiligingsniveau), of wanneer de schade is ontstaan doordat de verwerker zich niet aan de instructies van verwerkingsverantwoordelijke houdt.

Van belang is om te benoemen dat een betrokkene zowel verwerker als verwerkingsverantwoordelijke voor het geheel van de schade kan aanspreken. Er bestaat tussen verwerker en verwerkersverantwoordelijke wel een mogelijkheid om de vergoede schade te verhalen op de ander. Het is om meerdere redenen van groot belang om vast te stellen wie verwerkingsverantwoordelijke is en wie verwerker. De AVG legt de meeste verantwoordelijkheden bij de verwerkingsverantwoordelijke neer: deze is aanspreekbaar op de verantwoordingsplicht, is aanspreekpunt voor wat betreft de rechten van betrokkenen, is aanspreekbaar op (het melden van) datalekken etc. Zodra een verwerker zelf het doel en de middelen van de verwerking gaat vaststellen wordt deze automatisch verwerkingsverantwoordelijke, zie art. 28 lid 10 AVG.

Wanneer het college een verwerker inschakelt voor het verwerken van persoonsgegevens, dient er een verwerkersovereenkomst gemaakt te worden. Deze moet schriftelijk of elektronisch worden aangegaan. De AVG bepaalt in artikel 28 welke zaken in zo'n verwerkersovereenkomst opgenomen moeten worden (zie ook bijlage 6). Onder andere het nemen van passende technische en organisatorische maatregelen.

De BLNP-gemeenten hanteren een standaard-verwerkersovereenkomst die afkomstig is, of gebaseerd is op het model van de VNG/IBD. In alle gevallen wordt deze standaard overeenkomst aangeboden aan verwerkers en wordt deze opgenomen in het aanbestedingstraject.

8. Betrokkene

De betrokkene is de natuurlijke persoon op wie de persoonsgegevens betrekking hebben. Met de invoering van de AVG krijgen burgers meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun rechten en plichten worden namelijk versterkt en uitgebreid in de artikelen 13 t/m 22 AVG. De betrokkene kan zich voor het inroepen van zijn rechten wenden tot de verwerkingsverantwoordelijke, in de meeste gevallen het college van burgemeester en wethouders. De rechten en plichten gelden voor eenieder waarvan persoonsgegevens worden verwerkt door de gemeente. Het gaat dus niet alleen om de rechten en plichten van de inwoners van de gemeente. De AVG spreekt daarom over de rechten van betrokkenen. Bijlage 5 bij dit privacybeleid geeft een uiteenzetting van de verschillende rechten. In het kort:

• -

  recht op informatie

• -

  recht op inzage

• -

  recht op rectificatie

• -

  recht op vergetelheid

• -

  recht op beperking van de verwerking

• -

  recht op bezwaar

De gemeente moet transparant zijn over de verwerking van persoonsgegevens. Het moet voor betrokkenen duidelijk zijn in hoeverre en op welke manier er persoonsgegevens worden verwerkt. Alle communicatie richting betrokkene moet begrijpelijk zijn, ook met betrekking tot de rechten van betrokkenen. De gedachte hierachter is dat de betrokkene beter in staat is om in te schatten wat er met zijn gegevens gebeurt en eventueel actie kan ondernemen. Een uitwerking hiervan is de privacyverklaring die de gemeenten op de website hebben gepubliceerd.

9. Bijzondere en gevoelige persoonsgegevens

Bijzondere persoonsgegevens en gevoelige persoonsgegevens spelen een belangrijke rol. Bijzonder persoonsgegevens worden in de AVG geregeld, in de praktijk speelt ook het ruimere begrip 'gevoelige gegevens' een rol.

9.1 Bijzondere persoonsgegevens

Er worden in artikel 9 van de AVG een aantal categorieën van bijzondere persoonsgegevens gehanteerd, die extra privacygevoelig zijn. Het betreft: ras of etniciteit, politieke opvattingen, religie/levensbeschouwing, vakbondslidmaatschap, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens betreffende seksualiteit.

In principe is het verboden om deze gegevens te verwerken, tenzij. De AVG en de Uitvoeringswet AVG bepaalt in welke gevallen bijzondere of gevoelige gegevens verwerkt mogen worden. Er zijn uitzonderingen op dat verbod, bijvoorbeeld in het geval betrokkene uitdrukkelijke toestemming heeft gegeven, of in het geval de gemeente de gegevens moet verwerken voor het uitvoeren van een wettelijke taak, zoals bijvoorbeeld de Wmo 2015. De gemeente dient uiterst zorgvuldig om te gaan met bijzondere persoonsgegevens.

Nieuw is dat genetische en biometrische gegevens tot de bijzondere persoonsgegevens worden gerekend. Bij biometrische gegevens moet gedacht worden aan een pasfoto op een rijbewijs of paspoort, of een vingerafdruk. Het wordt enkel gebruikt om iemand te identificeren. Ook hier geldt dus: verwerking is verboden, tenzij. De gemeente verwerkt biometrische gegevens enkel als dit nodig is voor het uitvoeren van een wettelijke taak (bv het uitgifte paspoort op grond van de Paspoortwet). Ook kunnen ze worden verwerkt voor beveiligingsdoeleinden, bijvoorbeeld voor de toegang tot het gemeentekantoor.

Net als onder de Wbp behoren strafrechtelijke gegevens tot de bijzondere persoonsgegevens. Hieraan wordt onder de AVG een apart artikel 10 gewijd. De gemeente mag o.a. strafrechtelijke gegevens verwerken in het kader van het Veiligheidshuis, zie artikel 33 lid 1 onderdeel b UAVG. Uiteraard mag dat alleen wanneer het strikt noodzakelijk is.

Ook al wordt het onder de AVG geen bijzonder persoonsgegeven genoemd, voor het burgerservicenummer (BSN) blijft gelden dat het enkel gebruikt mag worden wanneer het door de wet is voorgeschreven. Het mag ook enkel voor de doeleinden gebruikt worden die die wet bepaalt. Nederland gaat hier dus verder dan de AVG, en heeft gebruik gemaakt van de beleidsvrijheid die de AVG biedt.

Gezien het risico van het verwerken van bijzondere persoonsgegevens voor betrokkenen, zal de gemeente deze niet door derden laten verwerken, tenzij dat er zwaarwegende belangen zijn. Dit ter beslissing aan de FG. Indien desondanks bijzondere persoonsgegevens niet 'in house' worden gedraaid (maar bij een verwerker), dient het beschermingsniveau gegarandeerd te zijn. Dit betekent dat bijzondere persoonsgegevens in beginsel binnen de Europese Economische Ruimte (EER = EU + Noorwegen, IJsland, Liechtenstein) gehost dienen te worden. De FG zal hier op toezien.

9.2 Gevoelige persoonsgegevens

Onder gevoelige persoonsgegevens worden ten eerste de bijzondere persoonsgegevens gerekend. Daarnaast behoren financiële persoonsgegevens tot de gevoelige gegevens (bijvoorbeeld informatie over schulden, salarisstroken, etc). daarnaast ook persoonsgegevens op grond waarvan mensen kunnen worden 'nagewezen' (stigmatisering), zoals een goksverslaving. Tenslotte worden wachtwoorden, inloggegevens, burgerservicenummers, kopieën van identiteitsbewijzen, en bankrekeningnummers tot de gevoelige gegevens gerekend. Indien iemand ten onrechte toegang krijgt tot deze gegevens, kan daarmee (identiteits)fraude gepleegd worden³.

Van belang is op te merken dat ook al zou iemand vinden dat het niet erg is als een gevoelig persoonsgegeven bekend wordt ('ze mogen alles van me weten') niet relevant is bij de beoordeling of een persoonsgegeven gevoelig is.

Of een persoonsgegeven gevoelig van aard is speelt onder andere een rol bij de bepaling of de gemeente persoonsgegevens die voor een bepaald doel zijn verzameld ook mag verwerken voor een ander doel. Hoe gevoeliger het persoonsgegeven, hoe minder snel de gemeente mag aannemen dat er sprake is van een verenigbaar doel.

10. Bewaartermijnen

De AVG gaat ook uit van opslagbeperking. Dit houdt in dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijkheid is voor de verwerking. Hierop moeten de zaaksystemen, afdelings- en persoonlijke schijven met opslagruimte en andere gebruikte applicaties worden gecheckt. De AVG verlangt dat de gemeente concrete termijnen benoemt, maar noemt zelf geen termijnen. Ze moeten in ieder geval een duidelijk vast te stellen einde hebben. De gemeente neemt in het verwerkingsregister de wettelijke bewaartermijnen van de verschillende verwerkingen op en stelt deze vast voor zover dat is toegestaan en nog niet gebeurd is.

11. Privacy by design en privacy by default

Privacybescherming bestaat niet alleen uit toetsen en controle achteraf. Om de zes principes van privacybescherming zoals verwoord in punt 1.2, zo goed mogelijk door te voeren, dient juist ook aan de voorkant van het ontwerpen en inrichten van processen en systemen privacybescherming als uitgangspunt genomen te worden. Voor de AVG zijn privacy by design en privacy by default belangrijke onderdelen van de verantwoordingsplicht van de gemeente.

3https:// autoriteitpersoonsgegevens.n1/sites/default/files/atoms/files/guideIines_meIdpIicht_dataIek ken.pdf

11.1 Privacy by design

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor gezorgd wordt dat persoonsgegevens goed worden beschermd.

Bij de inrichting van een proces of systeem wordt gekeken naar de eisen die vanuit de invalshoek van privacybescherming gesteld kunnen worden. Dataminimalisatie is bijvoorbeeld één van de uitgangspunten die hierbij gehanteerd worden: zo min mogelijk persoonsgegevens verzamelen, alleen datgene wat strikt noodzakelijk is voor het bereiken van het doel. Ook kunnen privacy verhogende maatregelen worden meegenomen, bijvoorbeeld door gevoelige gegevens in een afgesloten bestand te bewaren.

Voorbeelden van privacy by design: het op eenvoudige wijze kunnen uitdraaien van alle persoonsgegevens van een betrokkene die in een applicatie voorkomen, wanneer de betrokkene daar om vraagt. Ook kan de mogelijkheid worden ingebouwd dat persoonsgegevens na verloop van een bepaalde periode automatisch verwijderd worden, of in ieder geval het systeem laten waarschuwen dat de bewaartermijn verstreken is. Verder kan er aan de poort voor gezorgd worden dat de instellingen van systemen waarbij gevoelige persoonsgegevens worden verwerkt zodanig zijn dat de optie 'benaderbaar voor alle medewerkers' ontbreekt. Het proces dient zodanig te worden aangepast zodat een ID alleen getoond hoeft te worden, zodat voorkomen wordt dat een kopie van het ID onnodig wordt bewaard.

Om privacy by design te borgen in de organisatie zullen medewerkers worden getraind in het consequent toepassen van privacy by design. Daarnaast zal actief geadviseerd worden door de privacybeheerder, de CISO en de afdeling ICT over de invulling van privacy by design en zal de FG toetsen op de (tussentijdse) resultaten. Dit proces dient in komende jaren nader te worden uitgewerkt en beproefd.

11.2 Privacy by default

Privacy by default houdt in dat de gemeente technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat moet worden bereikt. Bijvoorbeeld:

een app zo instellen dat de locatie van gebruikers niet onnodig wordt geregistreerd; persoonsgegevens niet met collega's delen wanneer daarvoor geen noodzaak is.

De uitwerking van deze werkwijze wordt meegenomen in het nog te ontwikkelen proces voor privacy by default.

12. Data Protection Impact Assessment

Een Data Protection Impact Assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaartte brengen. Uitgangspunt bij een DPIA is dat afhankelijk van de verwerking passende waarborgen worden ingebouwd (Privacy by design). De DPIA legt in de eerste plaats de risico’s bloot van projecten waarbinnen wordt gewerkt met persoonsgegevens, en het draagt bij aan het vermijden of verminderen van deze privacy risico’s. Op basis van de antwoorden die worden gegeven in de DPIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van de betrokkene wordt geschaad, hoe groot deze kans is en op welke gebieden dit speelt. De DPIA doet dit op een gestructureerde wijze. Zie bijlage 4.

De AP heeft een lijst gepubliceerd met verwerkingen waarvoor het verplicht is om vooraf een PIA uit te voeren.⁴ De AP adviseert voor bestaande verwerkingen die aan de genoemde criteria voldoen eens per 3 jaar een DPIA te doen. Besloten is om voor de BLNP-gemeenten 4 jaar aan te houden, gezien de hieraan verbonden kosten.

13.Anomisering/pseudonimisering

13.1Anonimisering

Wanneer gegevens niet meer herleidbaar zijn tot natuurlijke personen, zijn ze anoniem. De AVG is dan niet van toepassing. In veel gevallen is het niet nodig om te werken met persoonsgegevens, om toch het gestelde doel te bereiken. Indien de gemeente bijvoorbeeld de gemiddelde leeftijd van een bezoeker van een gemeentelijk gebouw zou willen weten, is het niet nodig om de gegevens van alle individuele bezoekers in een bestand te zetten.

Beter is dan om alle gegevens 'weg te gooien' behalve de leeftijd. Nu zijn de gegevens niet meer te herleiden tot personen.

13.2Pseudonimisering

Bij pseudonimiseren-van persoonsgegeven wordt, in tegenstelling tot bij anonimisering, de 'sleutel' niet weggegooid. Persoonsgegevens worden losgekoppeld van de andere gegevens en vervangen door bijvoorbeeld een code. Zolang de mogelijkheid blijft bestaan dat de codes terugvertaald worden naar persoonsgegevens, blijft de AVG van toepassing.

Pseudonimisering betekent niet dat er geen sprake meer is van persoonsgegevens. Wel is het zo dat eerder zal worden voldaan aan de vereisten van beveiliging en dat de risico's voor betrokkenen minder groot kunnen zijn (omdat herleiding veel minder makkelijk is) Pseudonimisering vereist het nemen van zorgvuldige technische en organisatorische maatregelen om te kunnen waarborgen dat koppeling aan natuurlijke personen niet alsnog nodig is. De gemeente moet nog een protocol voor anonimiseren en pseudonimiseren ontwikkelen ten behoeve van passende beveiliging van persoonsgegevens.

14.Big data/tracking

14.1Big data/ tracking

Bij Big data gaat het om het verzamelen en hanteren van zeer grote hoeveelheden data. Data gegenereerd uit elektronische activiteiten van gebruikers, en uit onderlinge communicatie tussen apparaten (machine to machine). Big-data-analyse is het gebruik van technieken, technologieën en softwaretools voor analyse van Big data uit de organisatie en/of uit andere gegevensbronnen. Bij tracking gaat het om het volgen van (het gedrag van) gebruik van gebruikers van mobiele telefoon via een wifi-verbinding, of van het surfgedrag op internet. De gemeente maakt tot op heden geen gebruik van tracking.

Ontwikkelingen in het kader van o.a. Smart Cityprojecten vragen van de gemeente steeds meer toe te werken naar het gebruik van nieuwe technologieën zoals Big data en tracking. Deze technologieën kunnen nodig zijn voor het optimaal uitvoeren van bepaalde taken van de gemeente.

Een veelgehoord voorbeeld is het opslaan van gegevens over de aanwezigheid van mobiele telefoons om grote stromen (burger)verkeer te monitoren in het kader van de veiligheid van burgers tijdens, bijvoorbeeld, een nationale feestdag. Maar Big data kunnen bijvoorbeeld ook de dienstverlening verbeteren.

Het gebruik van Big data en tracking mag niet leiden tot schending van de privacy. Uitgangspunt van deze gegevensverwerking is dat zo min mogelijk (persoons)gegevens worden opgeslagen en deze gegevens geanonimiseerd worden. Als dit niet mogelijk is worden de gegevens gepseudonimiseerd. Dat betekent dat we persoonsgegevens omzetten in iets wat niet meer direct herleidbaar is tot een persoon. Voor Big Data en tracking wordt door de gemeente een aantal uitgangspunten geformuleerd die het mogelijk moeten maken om met Big Data en tracking aan de slag te gaan, zonder daarbij de kaders die de privacywetgeving stelt, te overtreden.

ll.DE AVG EN ANDERE WETTEN

In deze paragraaf wordt de relatie tussen de AVG en andere wetten kort behandeld. Over het algemeen geldt de AVG als een algemene wet, waarvan de bepalingen niet van toepassing kunnen zijn wanneer er bijzondere wetgeving van toepassing is.

1.AVG versus Wet Basisregistratie personen

De AVG is niet van toepassing op de WetBRP. Dit blijkt uit artikel 2 UAVG. De wet BRP geeft zelfstandig uitvoering aan de AVG.

2.AVG versus Wet politiegegevens

De AVG is niet van toepassing op de Wet politiegegevens. Dit blijkt uit artikel 2 UAVG. De de Wet politiegegevens heeft een eigen privacy regime

3.AVG versus WOB

In de AVG staat dat een verwerking van persoonsgegevens mag indien dit noodzakelijk is voor de nakoming van een wettelijke verplichting of een goede invulling van een publiekrechtelijke taak. De gemeente moet hierbij wel nagaan of het doel ook via minder ingrijpende middelen kan worden bereikt en of de verwerking noodzakelijk is. Gemeenten moeten dus van geval tot geval een belangenafweging maken of publicatie van persoons­ gegevens écht noodzakelijk is. In de regel zal de vermelding van de persoonsgegevens in de openbare stukken niet noodzakelijk zijn voor een goede vervulling door gemeenten van hun actieve publicatie verplichting op grond van de Gemeentewet of de Wob.

4.AVG versus Archiefwet

De AVG kent een aantal specifieke uitzonderingen voor verwerking van persoonsgegevens met het oog op archivering in het algemeen belang. Een aantal uitzonderingen werkt rechtstreeks, zie artikel 89 AVG. Artikel 89 lid 3 AVG bevat een specifieke bepaling op grond waarvan de lidstaten kunnen afwijken van enkele voorschriften van de AVG. Zie ook artikel 45 van de UAVG.

Bij verwerkingen onder de kop van onderzoek en archivering dienen de rechten van betrokkenen te worden gewaarborgd. Het accent hierbij ligt bij het beginsel van gegevensminimalisering (dataminimalisatie). Zodra het mogelijk is om het archiveringsdoel te halen met ontkoppelde gegevens (ofwel geanonimiseerde gegevens, niet langer herleidbaar tot een natuurlijke persoon en daarmee niet langer persoonsgegevens) moet deze ontkoppeling worden uitgevoerd. Als tussenvorm mag gewerkt worden met pseudonimisering waarbij koppeling nog wel mogelijk is, maar de daarvoor benodigde informatie niet direct beschikbaar is.

De gemeente dient kritisch te kijken binnen de eigen werkprocessen voorafgaand aan archivering en deze te toetsen op dataminimalisatie, zodat kan worden aangetoond dat ook voor wat betreft het gemeentelijke archief voldaan is aan de vereiste passende waarborgen die voortkomen uit de AVG en de UAVG.

5.AVG versus identiteitsbewijs

In veel gevallen is een burger verplicht zich te identificeren met een geldig identiteitsbewijs (de Wet Identificatieplicht en bijzondere wetten). Dat betekent niet per se dat dan ook een kopie daarvan bewaard mag worden. Een identiteitsbewijs bevat een burgerservicenummer en kan bijzondere persoonsgegevens bevatten (ras). Verwerken is dus verboden tenzij. Een voorbeeld: de wet op de loonbelasting verplicht de gemeente als werkgever een kopie van een identiteitsbewijs van een ambtenaar/werknemer tot 5 jaar te bewaren na het jaar waarin deze persoon uit dienst is getreden. Hier is dus een wettelijke grondslag voor het bewaren van een kopie van een identiteitsbewijs.

Bijlage 3 bij privacybeleid 2020 van de gemeenten Bunschoten, Leusden, Nijkerk en Putten

Incident management en respons

Een incident is een gebeurtenis die een gevaar vormt voor de kwaliteit van de gemeentelijke informatiebeveiliging. Een informatiebeveiligingsincident is elke onverwachte of onverhoopte gebeurtenis die de informatiebeveiliging van een organisatie kan aantasten. Hieronder kan vallen:

• -

  Diefstal;

• -

  Bedreiging of intimidatie;

• -

  Fraude;

• -

  Uitlekken van gevoelige informatie;

• -

  Inbreuken;

• -

  Verlies van gegevens en documenten;

• -

  Fouten in het netwerk, applicaties of berichtenverkeer;

• -

  Fouten veroorzaakt door mensen;

• -

  Verstoring van de bedrijfsvoering.

Incident management is belangrijk, omdat 100 procent beveiligen niet bestaat en incidenten niet helemaal te voorkomen zijn. Het is belangrijk om ingericht te hebben hoe te handelen wanneer er sprake is van (het vermoeden van) een incident om zo de schade zo snel mogelijk te beperken en het probleem op te lossen.

Hiervoor is een beleid, het incident management en response beleid, opgesteld. Daarnaast bevat dit document een procedure om op een juiste manier om te gaan met informatiebeveiligingsincidenten. Hiermee wordt tegemoetgekomen aan doelstelling 13 van de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG). Het geeft de gemeente richting aan de wijze waarop de gemeente wenst om te gaan met alle incidenten en bijna incidenten op het gebied van informatiebeveiliging. De uitgangspunten van dit document zijn:

• ■

  Het beleid is van toepassing op iedereen die werkzaam is bij de gemeente.

• ■

  iedereen die werkzaam is binnen de gemeentelijke organisatie is verplicht om waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht.

• ■

  iedereen die werkzaam is binnen de gemeentelijke organisatie is verplicht om van (vermeende) inbreuken, die in verband staan met het bovenstaande, melding te maken.

• ■

  Waar mogelijk wordt gebruikgemaakt van de kennis die aanwezig is binnen de samenwerking Bunschoten, Leusden, Nijkerk en Putten (BLNP).

Incident management en response beleid

Om richting te geven aan de wijze waarop de gemeente wenst om te gaan met alle (bijna) incidenten op het gebied van informatiebeveiliging is dit beleid opgesteld. Dit beleid is opgesteld met als uitgangspunten het informatiebeveiligingsbeleid 2015, de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die in 2019 vervangen wordt door de BIO (Baseline Informatiebeveiliging Overheid) en de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 van toepassing is.

• 1.

  lnformatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen worden zodanig kenbaar gemaakt dat de gemeente tijdig en adequaat corrigerende maatregelen kan nemen. Dit omvat ook het regelmatig beoordelen van loggegevens van informatiesystemen.

• 2.

  lnformatiebeveiligingsgebeurtenissen moeten zo snel als mogelijk via de leidinggevende, de helpdesk of de CISO (Chief Information Security Officer) gerapporteerd worden.

• 3.

  Alle werknemers, ingehuurd personeel en externe gebruikers van gemeentelijke informatiesystemen en diensten moeten alle waargenomen of verdachte zwakke plekken melden volgens de procedure. Dit geldt ook voor geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten.

• 4.

  lnformatiebeveiligingsincidenten moeten vastgelegd en beheerd worden en hiervoor is een procedure gemaakt. Deze procedure moet bekend zijn bij alle werknemers. In deze procedure moet de verantwoordelijkheden belegd worden.

• 5.

  Wanneer het om een incident gaat waarbij er sprake is van een inbreuk op de persoonsgegevens, wordt afhankelijk van de ernst hiervan" op grond van artikel 33 AVG een melding gedaan bij de Autoriteit Persoonsgegevens (AP) en wanneer dat noodzakelijk is op grond van artikel 34 AVG (waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen), wordt de inbreuk gemeld aan de betrokkene(n).

• 6.

  Incidenten worden wanneer noodzakelijk gemeld bij de informatiebeveiligingsdienst (IBD), zodat advies ingewonnen kan worden en dat er een waarschuwing uit kan gaan naar andere gemeenten.

• 7.

  lnformatiebeveiligingsmeldingen moeten periodiek beoordeeld worden met als doel de beheersmaatregelen te verbeteren.

• 8.

  lnformatiebeveiligingsincidenten kennen soms een vervolgprocedure, daarom moet zoveel als mogelijk bewijsmateriaal verzameld worden in overeenstemming met de voorschriften.

• 9.

  lnformatiebeveiligingsincidenten moeten geëvalueerd worden, zodat de procedure kan worden bijgesteld en beheersmaatregelen kunnen worden verbeterd.

• 10.

  Ernstige incidenten waarbij een alarmfase in werking treedt, zoals weergegeven is in het informatiebeveiligingsbeleid, worden opgenomen in de kwartaalrapportage van de CISO.

• 11.

  Bij grote incidenten wordt gehandeld en opgeschaald conform de draaiboeken ICT­ crisisbeheersing.

Incident Response Team

Voor de interne crisisbeheersing is een kernteam samengesteld, dat samenkomt in het geval van grote incidenten en calamiteiten. Hieronder vallen onder andere de datalekken. In het onderstaand overzicht is weergegeven welke functies vast onderdeel zijn van het kernteam en welke rol zij daarin vervullen.

Overige betrokkenen

Naast het kernteam kunnen er nog andere personen betrokken worden bij de afhandeling van een incident, omdat zij vanuit hun expertise een goede bijdrage kunnen leveren of omdat zij tijdig ingeschakeld dienen te worden in verband met een toezichthoudende rol. Hierbij gaat het om specialisten die over bepaalde kennis beschikken om tot een goed besluit en een efficiënte afronding te komen, danwel de toezichthoudende instantie.

Incident management response procedure

Voor een succesvolle reactie op incidenten dienen een aantal stappen doorlopen te worden, welke in samenhang het incident management response proces genoemd worden. Het is belangrijk dat op een gestandaardiseerde wijze melding gemaakt wordt van vermeende incidenten en dat deze op een gestructureerde manier afgehandeld worden.

Hiervoor is het proces beschreven in het document voorbeeld incident management en responsebeleid van de informatiebeveiligingsdienst voor gemeenten gebruikt als input. Dit proces bestaat uit een aantal stappen, te weten:

• 1.

  Identificatie.

  Deze stap omvat de controle of het incident daadwerkelijk plaatsgevonden heeft.

• 2.

  Schade indamming

  Bij deze stap wordt een start gemaakt met het oplossen van het incident.

• 3.

  Remediatie en herstel

  Bij deze stap wordt invoering gegeven aan de oplossing van het incident en wordt een start gemaakt met het herstel.

• 4.

  Kennisgeving

  Deze stap omvat het in kennis stellen van betrokkenen en andere overheidsinstanties.

• 5.

  Rapportage en evaluatie

  Deze stap omvat de lering die getrokken kan worden uit het incident en de vervolgstappen die daaruit voortkomen.

Procedures

* Legenda afkortingfunctionarissen

• -

  ACIB = algemeen contactpersoon lnformatiebeveilig (IBD)

• -

  AD= afdeling

• -

  AM= Afdelingsmanager

• -

  CISO= Chief Information SecurityOfficer

• -

  GS = Gemeentesecretaris

• -

  HD = Helpdesk

• -

  IRT= Incident Response Team (FG, BLNP-CISO, lokale CISO's, lokale Informatiemanagers)

• -

  FG= Functionaris voor gegevensbescherming

• -

  MW= medewerker

• -

  SB= systeembeheer

• -

  VCIB = vertrouwelijk contactpersoon Informatiebeveiliging (IBD)

• -

  PB = Privacybeheerder (lokaal)Bijlage incidentmeldingsniveau

Om de helpdesk te ondersteunen bij het herkennen van een beveiligingsincident en het inschatten van de impact, zijn de volgende tabellen opgenomen, welke gebaseerd zijn op het voorbeeld van incident en response beleid beschikbaar gesteld door de IBD. Deze tabel is niet compleet, maar geeft een inschatting van het niveau van melding. Wanneer het persoonsgegevens vanuit het BRP betreft wordt een andere weg bewandeld dan hieronder aangegeven is. Het incident wordt eerst gemeld bij de controller/informatiebeveiliger BRP en Reisdocumenten en deze persoon meldt het incident bij de benodigde personen.

* De impact geeft aan op welk niveau er mogelijk geëscaleerd moet worden.

• •

   Laag: het incident/probleem wordt opgelost door ICT. Er wordt een melding gedaan bij de CISO.

• •

  Midden: het incident/probleem wordt in beginsel opgelost door ICT. Er wordt een melding gedaan bij de CISO, die de coördinatie van de afhandeling op zich neemt.

• •

  Hoog: het incident/probleem wordt door het IRT team afgehandeld. Het is hierbij altijd mogelijk om hoger op te schalen.

Bijlage 4 bij privacybeleid 2020 van de gemeenten Bunschoten, Leusden, Nijkerk en Putten

PROCEDURE DPIA

Deze procedure voorziet in het uitvoeren van Data Protection Impact Assessments (DPIA) ook wel Privacy Impact Assessments (PIA) genoemd.

Definities

Een DPIA is een risicoanalyse om de impact van een nieuwe gegevensverwerking, technologie, andere inrichting van de gegevensverwerkingen of andere invloed op de naleving of balans tussen rechten en vrijheden van betrokkenen te bepalen. Een DPIA biedt een instrument om te bepalen of de verwerking is toegestaan, of de impact van de verandering opweegt tegen negatieve gevolgen en of ingestelde waarborgen afdoende (kunnen) zijn om risico's en negatieve gevolgen te verminderen. Een goed uitgevoerde DPIA geeft inzicht in de risico's die de verwerking oplevert voor de betrokkenen, en in de maatregelen die de verantwoordelijke moet nemen om de risico's af te dekken.

Taken, verantwoordelijkheden en bevoegdheden

In de AVG wordt een DPIA verplicht gesteld in art. 35 AVG. Deze stelt: 'Wanneer een soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.' De verplichting geldt in het bijzonder wanneer nieuwe technologieën worden gebruikt of de aard, omvang, context en doeleinden een verhoogd risico opleveren, maar kan breder ingezet worden.

De AVG noemt enkele gevallen waarbij een DPIA uitgevoerd móet worden. Een daarvan betreft de grootschalige verwerking van bijzondere persoonsgegevens (art. 35 lid 3 sub b AVG).

Uitvoering procedure DPIA

Het proces uitvoeren DPIA start zodra een nieuwe verwerking van persoonsgegevens wordt ingericht, bestaande verwerkingen worden aangepast nieuwe technologieën worden gebruikt of nieuwe systemen worden aangeschaft. In deze gevallen worden in ieder geval volgende processtappen op hoofdlijnen doorlopen:

• 1.

  Signaal nieuwe gegevensverwerking

• 2.

  Advies FG aan proceseigenaar

• 3.

  Opdracht DPIA aan privacy beheerder

• 4.

  Uitvoeren DPIA QuickScan

• 5.

  Bepalen haalbaarheid compliance check dan wel uitvoering DPIA (IBD)

• 5.

  Uitvoering DPIA/Compliance check met behulp van DPIA-team

OPIA-team

Bepaal wie de DPIA gaat uitvoeren. Stel, afhankelijk van de grootte, een DPIA-team vast. Houd rekening met verschillende belangen zodat voldoende kennis en expertise aanwezig is, en de verschillende stakeholders en hun belangen vertegenwoordigd zijn. In een team zit bijvoorbeeld de manager afdeling, ICT-medewerker en uitvoerend medewerker. Voeg eventueel een onafhankelijke adviseur toe, zoals de FG.

Het DPIA-team bestaat uit volgende vaste leden:

Privacy beheerder

CISO

Proceseigenaar Projectleider

Uitvoerend medewerker

7. Beoordelen impact en bepalen maatregelen

Op basis van de ingevulde DPIA-vragenlijst en de risico's die daarbij naar voren zijn gekomen zal het DPIA-team de impact van de risico's bepalen en hierbij maatregelen benoemen die risico's wegnemen, wanneer de verwachte impact en risico's voor een betrokkene of organisatie te hoog zijn.

Bepaal de impact van een nieuwe verwerking na het treffen van de mitigerende maatregelen. Wanneer blijkt dat de verwerking een hoog risico oplevert, zelfs na het treffen van mitigerende maatregelen, zal de toezichthouder geraadpleegd moeten worden voordat gestart wordt met de verwerking (art. 36 lid 1 AVG, voorafgaande raadpleging).

8. Opstellen DPIA-verslag

Het verslag bevat de risico-inventarisatie, afwegingen, voorstellen voor maatregelen en conclusies. De DPIA bevat tenminste de volgende elementen (art. 35 lid 7 AVG):

een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder - in voorkomend geval - de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd

een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden

een beoordeling van de in art. 35 lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen

de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie

9. Check uitvoering verbetermaatregelen

Maatregelen die worden genomen op basis van de uitkomsten van de DPIA, zullen opgenomen moeten worden in een overzicht om de status en/of voortgang bij te kunnen houden. De FG van de gemeente dient een controle op de naleving van deze maatregelen uitvoeren.

10. FG-beoordeling inclusief eventueel advies aan MT/B&W bij hoog resterend risico

11. Actualiseren verwerkingsregister

Zie bijgevoegd processchema voor een volledige procesbeschrijving.

Privacy Impact Assessment DPIA

Uitvoeren DPIA

Uitvoeren Compliance

Bijlage 5 bij privacybeleid 2020 van de gemeenten Bunschoten, Leusden, Nijkerk en Putten

Procedure Rechten Van Betrokkenen BLNP gemeenten

Afhandeling verzoeken op grond van AVG

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. In de kern wil de AVG-betrokkenen in staat te stellen 'in control' te zijn over hun eigen persoonsgegevens. Zij krijgen meer en uitgebreidere rechten met betrekking tot hun persoonsgegevens en de verwerking daarvan. Nieuw zijn het recht op dataportabiliteit en het recht op vergetelheid. De overige rechten be­ stonden al onder de Wet bescherming persoonsgegevens. Betrokkenen hebben onder de AVG de vol­gende rechten:

• 1.

  Recht van inzage (artikel 15 AVG);

• 2.

  Recht op rectificatie (artikel 16 AVG);

• 3.

  Recht op vergetelheid (gegevenswissing) (artikel 17 AVG);

• 4.

  Recht op beperking van de verwerking (artikel 18 AVG);

• 5.

  Recht op dataportabiliteit (overdraagbaarheid gegevens) (artikel 20 AVG);

• 6.

  Recht van bezwaar tegen verwerking (artikel 21 AVG);

• 7.

  Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profileren (artikel 22 AVG).

Betrokkenen hebben het recht om na te gaan wat er met hun persoonsgegevens gebeurt (punt 1) en hier als dit nodig is invloed op uit te oefenen (punt 2 t/m 7). Om betrokkenen nog meer in staat te stel­ len 'in control' te zijn, hebben verwerkingsverantwoordelijken daarnaast de verplichting om transparant te zijn door middel van een informatieplicht richting betrokkenen (artikel 13 en 14 van de AVG). De in­ formatieplicht hangt daarmee nauw samen met de rechten van betrokkenen: aan de ene kant is er de verplichting voor de gemeente om betrokkenen actief, tijdig en adequaat te informeren over verwerkin­ gen van persoonsgegevens; aan de andere kant kunnen betrokkenen hun rechten uitoefenen richting de gemeente.

Meer informatie over de verschillende rechten van betrokkenen staat op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nI/nI/onderwerpen/algemene-informatie­ avg/rechten-van-betrokkenen

Met deze procesbeschrijving maken we inzichtelijk hoe om te gaan met verzoeken van rechten van betrokkenen.

Beslistermijn

De wettelijke beslistermijnen voor dit soort verzoeken zijn:

Artikel 12 lid 3 van de AVG

Besluit moet onverwijld maar in ieder geval binnen 1 maand verzonden worden, tenzij:

De complexiteit of het aantal verzoeken dusdanig groot is dat dit niet mogelijk is, dan mag de termijn verlengd worden met 2 maanden.

Dit artikel stelt verder dat meegewerkt moet worden aan elektronische verstrekking indien daarom gevraagd wordt.

Besluit

Alle rechten dienen wat procedure betreft op dezelfde manier afgehandeld te worden. De afhandeling eindigt in principe altijd met een besluit, tenzij het verzoek wordt ingetrokken (bijv. via minnelijke af­ handeling). Dataportabiliteit volgt dezelfde procedure maar is inhoudelijk erg verschillend. Bij alle an­ dere rechten vraagt een betrokkene aan een organisatie:

• 1.

  Welke gegevens heeft/verwerkt u van mij? en/of:

• 2.

  Ik wil dat u mijn gegevens corrigeert/ verwijdert/ niet langer verwerkt etc.

Een voorbeeld/ sjabloon van een dergelijk besluit is als bijlage opgenomen.

Opschorten/ verdagen

Als het niet mogelijk is om binnen 1 maand aan het verzoek te voldoen moet vóór afloop van de be­ slistermijn een verdagingsbrief gestuurd worden. De verdagingsbrief is weliswaar niet vatbaar voor be­ zwaar en beroep maar moet wél een motivering bevatten. Het is niet de bedoeling van de AVG dat alle verzoeken verdaagd worden. Neem dus altijd een motivering op die betrekking heeft op de om­ vang van het verzoek of de hoeveelheid ingekomen AVG-verzoeken. Dat zijn namelijk de 2 geldige redenen voor verdaging zoals genoemd in artikel 12 lid 3 AVG.

Bezwaar en beroep

Besluiten op AVG-verzoeken staan open voor bezwaar en beroep. Er moet dus een bezwarenclausule onder het besluit zijn opgenomen en er moet rekening gehouden worden met de afhandeling van inko­ mende bezwaren en/of beroepen.

Recht op dataportabiliteit

Het recht van dataportabiliteit geldt alleen voor niet-wettelijke taken van gemeenten en waarbij de vol­ gende voorwaarden van toepassing zijn:

• •

  Het recht op overdraagbaarheid heeft betrekking op de gegevens die de betrokkene beschik­ baar heeft gesteld.

• •

  Gemeenten wordt geadviseerd om zoveel mogelijk met uitwisselbare formats te werken om aan dergelijke verzoeken te voldoen. De ontvangende partij moet immers direct met de gegevens aan de slag kunnen.

• •

  Controleer voor verzending àf en waarvoor de betrokkene toestemming heeft gegeven.

• •

  De ontvangende gemeente dient alleen gegevens te accepteren die noodzakelijk en relevant zijn.

Wat betreft de formele afhandeling kan aangesloten worden bij de afhandeling zoals in het schema hierna weergegeven. Ook op dit soort verzoeken moet een besluit genomen worden.

Schema afhandeling verzoeken AVG

Bijlage 1: Voorbeeld besluit

Datum: 14-2-2023

Geachte heer/mevrouw,

Aanvraag

Op [datum] hebben wij uw verzoek ontvangen om [inzage/ correctie/ vergetelheid etc.] op grond van artikel ... van de Algemene verordening gegevensbescherming (AVG).

U vraagt in uw verzoek het volgende:

'Indien mogelijk plak ik hier het liefst een passage uit het verzoek, dan kan er ook nooit tegengewor­ pen worden dat het verzoek verkeerd geïnterpreteerd is. Lukt dat niet of is dat in een specifiek geval niet handig, dan kun je het in eigen woorden samenvatten.'

Besluit

Wij hebben besloten uw verzoek [in te willigen/ te weigeren/ deels te weigeren]. Dit betekent dat wij [concreet uitleggen wat er gedaan wordt, bijvoorbeeld: er wordt een overzicht verstrekt of de per­ soonsgegevens worden gecorrigeerd (of juist niet)].

Optioneel: Voordat wij een kopie van uw persoonsgegevens/dossier kunnen meegeven, zijn wij ver­ plicht om uw identiteit vast te stellen. Wij nodigen u daarom graag uit om een kopie van het complete dossier op te komen halen op het gemeentehuis in Nijkerk. Neem uw identificatiebewijs (Paspoort, Rij­ bewijs, ID kaart) mee zodat u zich kunt identificeren.

[Indien van toepassing bij inzageverzoek]

In de bijlage treft u als antwoord op uw inzageverzoek de volgende informatie aan:

Overzicht van uw persoonsgegevens Doeleinden van de verwerking Categorieën van ontvangers Bewaartermijnen

Herkomst van uw persoonsgegevens

[Indien van toepassing bij inzageverzoek]

Motivering besluit

Persoonlijke werkaantekeningen vallen buiten het inzagerecht. Het moet dan wel gaan om per­ soonlijke aantekeningen. Wanneer aantekeningen bedoeld zijn om uit te werken in rapportages of als onderbouwing van het dossier in een bestand worden/zijn opgenomen, zijn het geen persoon­ lijke aantekeningen meer.

Inzage mag geweigerd worden als dat noodzakelijk is voor (art 23 AVG):

• o

  de nationale veiligheid, landsverdediging en de openbareveiligheid;

• o

  het voorkomen, opsporen en vervolgen van strafbare feiten;

• o

   zwaarwegende economische en financiële belangen van Europese Unie, de staat en andere openbare lichamen;

• o

   het toezicht op de naleving van wettelijke voorschriften die zijn gesteld om de onder 2 en 3 genoemde belangen te beschermen;

• o

  bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;

• o

  de voorkoming, onderzoek, opsporing en de vervolging van schendingen van de beroepsco­ des voor gereglementeerde beroepen;

• o

  een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het inci­ denteel, met de uitoefening van het openbaar gezag in de gevallen, bedoeld in de bovenge­ noemde onderdelen;

• o

   bescherming van uw rechten en vrijheden of die van anderen. Hier kan ook een onevenredige (administratieve) belasting van de organisatie onder vallen;

• o

  de inning van civielrechtelijke vorderingen.

Bezwaar

Tegen dit besluit kan een belanghebbende bezwaar maken bij burgemeester en wethouders van Nijkerk. Het bezwaarschrift moet binnen zes weken na de verzenddatum van deze brief worden inge­diend. Met een elektronische handtekening (DigiD) kan online bezwaar worden gemaakt via de web­ site www.nijkerk.eu/bezwaarmaken.

Met vriendelijke groet,

Namens burgemeester en wethouders van Nijkerk,

handtekening van de (onder)gemandateerde naam functionaris,

functiebenaming

Bijlage.

Bijlage bij besluit.

Overzicht

Hieronder treft u een overzicht aan van uw persoonsgegevens die wij hebben verwerkt in ons [con­ tent-beheersysteem (Verseon/Djuma etc)] en in ons papieren archief:

geslachtsomschrijving: heer/ mevrouw; uw voorletter;

uw roepnaam'; uw achternaam; uw adres;

uw e-mailadres; uw handtekening; Etc.

Wij hebben daarbij in acht genomen dat ook gegevens die, gezien de context waarin zij zijn geplaatst, direct dan wel indirect herleidbaar zijn tot de betreffende persoon, als persoonsgegevens dienen te worden aangemerkt. Wij concluderen dat wij naast het bovengenoemde, geen gegevens hebben ver­ werkt die wij dienen aan te merken als uw persoonsgegevens. Bovengenoemde persoonsgegevens zijn opgenomen in de volgende documenten, welke thans bij ons college berusten (origineel exemplaar of afschrift) en derhalve zijn verwerkt in ons geautomatiseerd systeem:

Een overzicht van de gevoerdecorrespondentie:

• 1.

  brief 1;

• 2.

  brief 2;

• 3.

  et cetera.

Doel(einden) van de verwerking en betrokken (categorieën van) persoonsgegevens

Uw naam, adresgegevens en e-mailadres zijn/worden verwerkt in ons geautomatiseerd systeem ten behoeve van de (elektronische) registratie en afhandeling van de door u ingediende documenten.

De door u aan ons toegezonden berichten/ documenten zijn na ontvangst ter registratie in het papieren archief opgenomen en gescand in ons geautomatiseerd systeem, waardoor naast uw geslacht, naam, adresgegevens en uw e-mailadres, tevens de in die documenten vermelde handtekening zijn verwerkt in ons geautomatiseerd systeem.

(Categorieën van) ontvangers

Uw persoonsgegevens hebben wij doen toekomen aan:

• 1.

  Uzelf, ter beantwoording van uw brieven, verzoeken, aanvragen en ingebrekestellingen;

• 2.

  Personen werkzaam voor gemeente Nijkerk belast met de afhandeling van de door u ingediende documenten;

• 3.

  Externe partijen?

De personen die werkzaam zijn binnen het gemeentehuis van de gemeente Nijkerk en geautoriseerd toegang hebben tot ons geautomatiseerd systeem, kunnen de genoemde persoonsgegevens raadplegen.

Bewaartermijn

De gemeente Nijkerk bewaart de uw persoonsgegevens niet langer dan strikt noodzakelijk is om de doelen te realiseren waarvoor uw gegevens worden verzameld. In sommige gevallen worden uw persoonsgegevens langer bewaard op grond van de Archiefwet.

Herkomst

[Alleen vullen als de persoonsgegevens niet van de betrokkene zelf komen].

Privacy rechten

Op grond van de AVG heeft u het recht om ons te verzoeken uw persoonsgegevens te corrigeren, verwijderen, de verwerkingen te beperken en het recht om bezwaar te maken tegen de verwerking. In­ dien u daarvan gebruik wenst te maken kunt u schriftelijk of per mail een verzoek indienen bij het col­ lege van burgemeester en wethouders. Wij zullen uw verzoek dan beoordelen.

Tevens hebt u het recht om een klacht in te dienen over de verwerking van uw persoonsgegevens bij de Autoriteit Persoonsgegevens.

Vragen

Voor vragen kunt u contact opnemen met [naam/team], bereikbaar op het in de aanhef van deze brief vermelde telefoonnummer of per e-mail [e-mail]