Veiligheid en Privacy

De opkomst van het internet biedt gemeenten kansen voor het verbeteren van de dienstverlening en bedrijfsvoering. Maar het verhoogt ook de risico’s op misbruik door hacken (digitaal inbreken) of aftappen (gegevensdiefstal). Daarom moet er bij gemeenten veel aandacht bestaan voor de veiligheid van de informatie. Dit vertaalt zich in technische eisen ter voorkoming van hacks en misbruik, maar ook in organisatorische eisen waarbij het gaat om houding en gedrag van de medewerkers en hoe zij omgaan met gegevens.
Met name dit laatste wordt per eind mei door het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) door wetgeving gestuurd. De AVG schrijft niet alleen voor wat de verantwoordelijkheden voor organisaties zijn als het gaat om gebruik van gegevens, maar ook hoe privacy rechten gewaarborgd worden.

Waarom is het belangrijk

Gemeenten hebben de wettelijke plicht zorgvuldig om te gaan met privacy gevoelige gegevens. De gemeenteraad heeft hierin een controlerende taak.

Hoe begin je

Per 25 mei 2018 wordt de AVG van kracht wordt en moeten alle organisaties zorgen dat zij er aan voldoen. De autoriteit persoonsgegevens hanteert een 10 stappenplan voor implementatie waarvan 9 stappen voor gemeenten van toepassing zijn. In het kort komt het op het volgende neer:

  1. Bewustwording. Zorg ervoor dat de stakeholders in uw organisatie (zoals het bestuur, management en de beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
  2. Rechten van betrokkenen. Zorg er voor dat dat betrokkenen hun eigen gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
  3. Overzicht verwerkingen. Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
  4. Data protection impact assessment (DPIA). Onder de AVG bent u verplicht een zogeheten data protection impact assessment (DPIA) uit te voeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
  5. Privacy by design & privacy by default. ' Privacy by design' houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig. ' Privacy by default' houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
  6. Functionaris voor de gegevensbescherming. Stel een functionaris voor de gegevensverwerking (FG) aan. Gemeenten zijn hiertoe verplicht.
  7. Meldplicht datalekken. De AVG stelt strengere eisen aan de eigen registratie van datalekken die zich in de eigen organisatie hebben voorgedaan. Datalekken moeten worden gedocumenteerd.
  8. Verwerkersovereenkomsten. Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
  9. Toestemming. Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat gemeenten moeten kunnen aantonen dat zij geldige toestemming van de mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Meer informatie