‘2018 wordt het jaar van de nieuwe privacyregels van de AVG’
Op 8 februari jl. heeft de VNG een ledenbrief uitgebracht aan college- en raadsleden over privacy (de Algemene Verordening Gegevensbescherming – AVG). De ledenbrief treft u hier aan.
Daarin staat dat gemeenten op 25 mei 2018 tenminste aan zes verplichte AVG-maatregelen moeten voldoen. Graag informeren wij u over de voortgang bij de BUCH ten aanzien van deze AVG-maatregelen.
De minimale zes verplichte maatregelen waar in de brief naar wordt verwezen en waar gemeenten aan moeten voldoen:
1. het beschikken over een register van verwerkingsactiviteiten;
Wij hebben een blauwdruk van een verwerkingsregister waarin alle werkprocessen van de werkorganisatie de BUCH zijn opgenomen (meer dan 900 werkprocessen). Per werkproces is opgenomen welke gegevens verwerkt mogen worden. Planning is om het model in februari in besluitvorming te brengen richting het MT van de BUCH om het vast te stellen.
2. het kunnen uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacy risico;
Er is een format van een DPIA vastgesteld. Inmiddels is een DPIA uitgevoerd voor het sociaal domein.
3. het beschikken over een register van datalekken die zijn opgetreden;
Datalekken worden vastgelegd, een register is in ontwikkeling en tijdig gereed.
4. het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer daarvoor toestemming nodig is;
Hier wordt nog aan gewerkt. In afstemming met de betreffende teams wordt dit opgenomen in de werkprocessen en de formulieren daarop aan te passen.
5. het aangesteld hebben van een Functionaris gegevensbescherming en aangemeld bij de Autoriteit persoonsgegevens;
Is gerealiseerd.
6. het beschikken over een procedure voor inzage in persoonsgegevens.
Werkinstructies zijn in concept gereed en worden in februari vastgesteld in MT I&A.
Daarnaast zijn de volgende maatregelen getroffen vanuit de AVG waar de ledenbrief niet expliciet naar verwijst. Daarvan is de stand van zaken als volgt:
– Privacy-officer
Sinds september 2017 is een trainee gestart met de voorbereidingen om tijdig te acteren op de AVG, en vanaf 1 januari 2018 beschikt de BUCH over een privacy-officer. De privacy-officer ondersteunt de vakafdelingen met de implementatie, adviseert hen en vormt de vraagbaak voor medewerkers.
– Privacybeleid
Is opgesteld en door de colleges vastgesteld.
– Privacyreglement en privacyverklaring
Zijn in concept gereed en worden na vaststelling door het MT BUCH (planning februari) op de websites geplaatst.
– Verantwoordingsplicht (accountability)
We moeten aan kunnen tonen dat de we voldoen aan belangrijke beginselen uit de AVG met betrekking tot de verwerking van persoonsgegevens, met name: rechtmatig, transparant, doelbinding en juistheid van de gegevens. Deze beginselen worden verwerkt in de werkprocessen en opgenomen in het verwerkingsregister.
– Privacy by design en default
Bij nieuwe ontwerpen van informatiesystemen, waar we nu volop mee bezig zijn in de BUCH, zorgen we ervoor dat persoonsgegevens goed beveiligd worden. We nemen technische en organisatorische maatregelen en gaan dataminimaliseren: het systeem standaard het meest privacy vriendelijk maken en de systemen en processen dusdanig inrichten dat we zo min mogelijk persoonsgegevens vragen en verwerken. Dit is ‘ongoing’.
– Informatie website (transparantie richting inwoners)
De rechten van een inwoners worden binnenkort uitgelegd op de websites en formulieren om een verzoek tot inzage, correctie, rectificatie, gegevens te wissen, dataportabiliteit, beperking van verwerken van gegevens, bezwaar en profilering worden op de websites beschikbaar gesteld. Als de nieuwe websites er zijn dan komt wordt het ook mogelijk om de verzoeken met DigiD aan te vragen.
– Processen van rechten
Werkprocessen om de verzoeken van de inwoners te behandelen zijn in concept gereed. Planning om deze in het MT I&A in februari vast te stellen.
– Gedragcodes
De gemeenteraad heeft de gedragscode vastgesteld waarin staat hoe de privacy geborgd dient te worden bij publicatie van documenten.
– Awareness
Medewerkers worden geïnformeerd en getraind middels:
• Lezing over hacken
• Trainingen over de inhoud en impact van de AVG
• E-learning
• Phisingmailtesten
• Binnenkort wordt gestart met plaatsen van FAQ Informatieveiligheid en privacy op intranet
– Verwerkersovereenkomsten
Als een derde partij taken uitvoert voor de gemeente en daarbij persoonsgegevens verwerkt wordt een verwerkersovereenkomst opgesteld. In deze overeenkomst zijn in ieder geval opgenomen:
• het onderwerp en de duur van de verwerking;
• de aard en het doel van de verwerking;
• het soort persoonsgegevens en de categorieën van betrokkenen;
• de rechten en verplichtingen van de verwerkingsverantwoordelijke.
En er zijn onder andere maatregelen in opgenomen over de informatiebeveiliging.
Er worden verwerkersovereenkomsten opgesteld met verbonden partijen waaraan de gemeente deelneemt middels een gemeenschappelijke regeling of met derden samenwerkingsovereenkomsten heeft.