Privacy

Privacy

Bij de omgang met persoonsgegevens hebben gemeenten een grote verantwoordelijkheid. Het veld rond privacy voor gemeenten wordt steeds complexer. Dit komt onder andere door de decentralisatie van overheidstaken naar gemeenten, de gegevensuitwisseling met (keten)partners, de technische mogelijkheden, het gebruik van big en open data door gemeenten voor hun dienstverlening en veranderende privacywetgeving. Privacy is niet langer een onderwerp waar alleen juristen mee bezig zijn: privacy raakt de hele gemeentelijke organisatie.

Belang van dit onderwerp

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. De Wet bescherming persoonsgegevens (WBP), inclusief de meldplicht datalekken, wordt dan vervangen door de AVG. Ook na deze datum vereist de implementatie en borging van de verordening de nodige aandacht.

Waarom

Gemeenten worden door VNG Realisatie ondersteund om privacy te borgen in de eigen gemeente en in de afspraken met (keten)partners. Om gemeenten zo goed mogelijk te kunnen blijven ondersteunen worden gemeenten gevraagd om hun FG aan te melden bij VNG Realisatie via dit formulier.

Heeft u een vraag op het gebied van privacy? Stuur dan een mail naar privacy@vng.nl.

Handreikingen privacy en AVG

  • Handreiking privacyverklaring voor de gemeentelijke website. Met deze handreiking kunnen gemeenten aan de hand van een aantal overzichtelijke stappen hun eigen privacyverklaring opstellen, geheel in lijn met de Algemene Verordening Gegevensbescherming (AVG).
  • Handreiking model privacybeleid en -reglement voor gemeenten. De handreiking kan worden gebruikt gebruikt om het privacybeleid van de gemeente te verduidelijken aan burgers en ketenpartners. Ze kunnen bijvoorbeeld op de website van uw gemeente geplaatst worden voor iedereen die graag meer wil weten over hoe de gemeente omgaat met persoonsgegevens en privacy. Er is daarom gekozen om geen, of zo weinig mogelijk, juridische taal te gebruiken zodat de producten toegankelijk en begrijpelijk zijn voor iedereen. 
  • Handreiking rechten van betrokkenen deel 1, de informatieplicht en het recht van inzage (zie bijlage). Het doel van deze handreiking is het toelichten de informatieplicht van verwerkingsverantwoordelijken, het recht van inzage, en hoe gemeenten hiermee om kunnen gaan.
  • Handreiking rechten van betrokkenen deel 2, overige rechten. Deze handreiking gaat in op het recht op rectificatie, het recht op vergetelheid, het recht op beperking bewerking, het recht op dataportabiliteit, het recht op bezwaar en het recht tegen geautomatiseerde verwerking/profiling en hoe gemeenten daarmee om kunnen gaan. Het recht op inzage en de informatieplicht zijn deel 1 beschreven.
  • Handreiking samenwerkingsverbanden en AVG deel 1. Het eerste deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op het begrip verwerkingsverantwoordelijke en hoe je bepaalt wie als verwerkingsverantwoordelijke kan of moet worden aangemerkt.
  • Handreiking samenwerkingsverbanden en AVG deel 2. Het tweede deel van de handreiking “Samenwerkingsverbanden en de AVG” gaat in op de mogelijkheden voor een rechtmatige uitwisseling van persoonsgegevens tussen deelnemers in een samenwerkingsverband.
  • Handreiking register van verwerkingen voor gemeenten. Verwerkingen binnen de gemeente moeten zelf bijgehouden worden in een register. Ook wanneer er een nieuwe verwerking plaatsvindt moet deze aan het register worden toegevoegd. Gemeenten voeren allemaal merendeels dezelfde (wettelijke) taken uit. Dit betekent dat een groot deel van de verwerkingen in het register voor elke gemeente voorkomen. Om te voorkomen dat iedere gemeente zelf op zoek moet gaan naar een structuur en invulling van het register heeft VNG Realisatie een standaardregister ontwikkeld. Let op: het is geen compleet ingevuld register. Dit betekent dat gemeenten er zelf mee aan de slag moeten. Zowel de kolommen als de rijen zullen ingevuld moeten worden naar de gemeentelijke situatie. 
  • Handreiking register van verwerkingsactiviteiten. Totstandkoming en structuur van het register van verwerkingsactiviteiten van de gemeente Amersfoort.
  • Handreiking rol en taken van de FG. Handvatten aan degenen die, binnen een gemeente, een FG willen instellen of verder gestalte willen geven. Deze handreiking vormt een hulpmiddel om te komen tot concrete invulling van de rol van FG.
  • Handreiking positionering FG. Hoe verhoudt deze functie zich tot de rest van de organisatie? Hoe en met wie werkt deze functionaris samen?
  • Handreiking stappenplan voor gemeenten ter voorbereiding op de AVG.
  • Checklist Data Privacy Impact Analyse. Gemeenten zitten regelmatig met de vraag voor welke verwerkingen een data protection impact assessment (DPIA) uitgevoerd moet worden en wanneer. In artikel 35 (Gegevensbeschermingseffectbeoordeling) van de AVG staat beschreven wanneer een DPIA uitgevoerd moet worden. Om meer duiding aan de eisen uit artikel 35 te geven heeft de werkgroep van Europese privacytoezichthouders (WP29) aanvullende kaders opgesteld die ook op de site van de Autoriteit Persoonsgegevens (AP) gepubliceerd staan. De checklist is van deze kaders afgeleid en dient als handreiking om te bepalen wanneer het verplicht is een DPIA uit te voeren.

Criteria borging AVG

VNG Realisatie heeft criteria ontwikkeld om de AVG te vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy voor gemeentelijke processen. Hiermee beoogt VNG Realisatie gemeenten concrete handvatten te bieden om een goede omgang met persoonsgegevens in de gehele organisatie te waarborgen. Dit borgingsproduct is een ‘levend’ document: voortschrijdend inzicht, ontwikkelingen, jurisprudentie, relevante wetsartikelen, nieuwe producten en literatuur zullen aan het product worden toegevoegd. Op deze manier blijft het document actueel en kunnen wij uw organisatie op de hoogte houden van de relevante ontwikkelingen op het gebied van gegevensbescherming. 

Alle opgestelde criteria zijn ook geëxporteerd naar een Excelbestand. Gemeenten kunnen op deze manier zelf actief invullen welke criteria al zijn geïmplementeerd, welke gedeeltelijk zijn geïmplementeerd of welke nog aandacht vergen. Op het tweede tabblad ziet u de resultaten in een overzicht, die u kunt gebruiken voor bijvoorbeeld de jaarrapportage.

Factsheet

Factsheet “Verwerkingsverantwoordelijke of verwerker”. Gemeenten maken gebruik van diensten van derde partijen. Bij de uitvoering van deze diensten kan er sprake zijn van het verwerken van persoonsgegevens. Wanneer de derde partij is aan te merken als ‘verwerker’ in de zin van de AVG, dienen gemeenten afspraken te maken over deze verwerking. Deze afspraken leggen zij vast in een zogenaamde verwerkersovereenkomst. Daarnaast verkrijgt de verwerker ook zelfstandig een aantal verplichtingen waar hij aan dient te voldoen op grond van de AVG. Het is niet altijd duidelijk in welk geval een derde partij ten aanzien van de verwerking van persoonsgegevens een verwerker is of een verwerkingsverantwoordelijke. De nieuwe factsheet helpt hierbij.

Voorbeelden Privacybeleid

De gemeente Leidschendam-Voorburg heeft onlangs haar privacybeleid vastgesteld en gepresenteerd. Met het privacybeleid legt de gemeente Leidschendam-Voorburg uit wat zij doet met de gegevens van haar inwoners. De onderstaande documenten laten zien hoe dit is vormgegeven:

FAQ en Blog n.a.v. AP-rapporten Nijmegen en Zaanstad

Op 15 februari 2018 publiceerde de Autoriteit Persoonsgegevens twee rapporten naar aanleiding van onderzoek naar gegevensverwerking en het gebruik van de zelfredzaamheidmatrix bij de gemeente Nijmegen en de gemeente Zaanstad. In beide rapporten geeft de Autoriteit een helder en genuanceerd inzicht in wat zij verstaat onder noodzakelijke (proportionele en subsidiaire) gegevensverwerking in het kader van de toeleiding naar voorzieningen in het sociaal domein.

Ook geeft de Autoriteit aan wat zij van gemeenten verwacht om te waarborgen dat medewerkers die namens de het college van B&W de toeleiding naar voorzieningen uitvoeren, tot een juiste maatvoering komen in de gegevensverwerking. Naar aanleiding van de rapporten van de AP zijn er veel vragen onder andere over het gebruik van de ZRM en de integrale dienstverlening door gemeenten. Om duidelijkheid te scheppen bij gemeenten heeft het Project Uitwisseling persoonsgegevens en privacy in het sociaal domein (UPP) in samenwerking met de gemeenten Nijmegen en Zaanstad een lijst met FAQ's opgesteld.

2 producten die raken aan dit onderwerp

ENSIA

Gemeenten verantwoorden elk jaar over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Sinds 2017 gebeurt dit met de Eenduidige Normatiek Single Information Audit (ENSIA).
Gewijzigd: 15 mei 2018
instrument

Collectieve afspraken
Gepubliceerd

Privacy ondersteuningsaanbod voor gemeenten

Het generieke ondersteuningsaanbod helpt gemeenten om de uitgangspunten van de nieuwe Europese privacyrichtlijn AVG goed te borgen in de organisatie.
Gewijzigd: 27 december 2017
product

Wet- en regelgeving
Klaar voor implementatie