Privacy ondersteuning VNG/KING

1. Privacy ondersteuning VNG/KING
Anita van Nieuwenborg
Kwartiermaker Privacydienstverlening KING
privacy@kinggemeenten.nl

2. Aanleiding
• Privacy aandacht neemt toe
• Mede door politiek / media aandacht
• Vaak vanuit ‘datalekken’
• En in het bijzonder: de AVG

3. Ik heb niets te verbergen?

4. Vrijwillig delen

5. Profiling

6. Maar (gelukkig) ook

7. Waar ligt de grens
• ‘Niks mag’
• Maar kun je dan je werk nog doen ?
• ‘Alles mag’
• Maar zou je daar dan willen wonen?

8. Wettelijk
Verdrag voor rechten van de mens / grondwet
• Iedereen heeft recht op rust en privacy.
• Je mag persoonlijke gegevens van iemand niet zomaar gebruiken.
• Iedereen heeft er recht op te zien wat er over hem is vastgelegd.
• Het recht zijn eigen leven te leiden met zo weinig mogelijk
inmenging van buitenaf.
Wet Bescherming Persoonsgegevens
• Bevat regels voor de verwerking van (bijzondere)
persoonsgegevens
Algemene Verordening Gegevensbescherming
• De ‘Europese Privacy Wet’, opvolger van de WBP
• Treedt in werking op 25 mei 2018

9. Privacy by Design, Default of Desire?
• Wat doen we met de “non-functionals” ?
• Snel
• Veilig
• Privacy
• Architectuur
• Etc

10. Wie(ns applicatie) is er al WBP compliant?
• Sinds wanneer geldt de WBP?
• Wanneer ben je compliant?
• Zaaksystemen (toegang tot BRP gegevens)
• Standaard wachtwoorden
• Bewerkersovereenkomsten, “andere gemeenten tekenen ook”
• (Aangehaakte gegevens in) gegevensmagazijnen
• Doelbinding

11. Algemene Verordening Gegevensbescherming
• AVG treedt in werking op 25 mei 2018
• Organisaties moeten dan:
• Een Functionaris Gegevensbescherming hebben aangesteld
• Een overzicht hebben van alle verwerkingen van persoonsgegevens (door
derden) (inclusief het doel, grondslag en de genomen beveiligingsmaatregelen)
• Kunnen voldoen aan de rechten van betrokkenen:
• Inzage, rectificatie, “vergeten te worden”, beperking van verwerking en
overdraagbaarheid
• Privacy by Design / Default
• Gegevensbeschermingseffectbeoordelingen uitvoeren (PIA)

12. Stappenplan
1. Stel een FG aan
2. Beleid opstellen en uitdragen
3. Register van verwerkingen
4. Processen inregelen
• Processen voor rechten van betrokkenen
• Privacy borgen in werkprocessen
• Logging en monitoring
• Datalekken
• Gegevensbeschermingseffectbeoordeling (PIA ☺)
5. Afspraken met derden
• Verwerkersovereenkomsten
• Inkoopvoorwaarden – Privacy by design & default
Communicatie–Bewustwording-Transparantie

13. Ondersteuningsproducten
• Handreiking rol en taken van de FG
• Handreiking positionering FG
• Model privacybeleid- en reglement
• Model verwerkersovereenkomst (IBD)
• Privacy raamwerk (iSociaalDomein)
• Onderhanden
• Handreiking privacyverklaring
• PIA (IBD)
• Template register van verwerkingen
• Gepland
• Rechten van betrokkenen
• Uitbreiding “Gemeentelijke ICT-kwaliteitsnormen”

14. Privacy by Design – Technische maatregelen
• Privacy by default (Hardening etc)
• Pseudonimiseren (BSN niet (meer) als unieke sleutel)
• Wachtwoordbeleid, 2-factor authenticatie
• Autorisatie / Rollen / Doelbinding
• Logging van gebruik én toegang
• Versleutelen van transport (bv HTTPS) en opslag
• Patchmanagement
• Vernietigen/verwijderen

15. Privacy by Design – Organisatorische maatregelen
• Veerkracht (biv)
• Anticipatie, evaluatie en flexibiliteit gedurende de gehele levensduur
• Tijdig herstel in geval van een fysiek of technisch incident
• Op permanente basis de geschiktheid van verwerkingssystemen garanderen
• Dus:
• Controle en transparantie
• Beveiliging moet op orde zijn en blijven
• Maak geen onnodige kopieën
• Deel geen onnodige gegevens
• Verwijder wat je niet (meer) nodig hebt
• Verwerkersovereenkomst (ook voor subverwerkers!)

16. Logging en monitoring
• Doel: eenduidig inzichtelijk maken van:
• ‘wie wat waar waarom wanneer’
• In kaart brengen gemeentelijk applicatielandschap
• Wat zijn de huidige mogelijkheden
• Graag contactpersonen doorgeven aan
privacy@kinggemeenten.nl
• Opstellen migratiescenario

17. privacy@kinggemeenten.nl