(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak
Leveranciersbijeenkomst 20 april 2018
1. AVG – Privacy by design
Verwerkersovereenkomsten
Boudewijn Cremers &
Gerard Heimans
20 april 2018
2.
3. Privacy by design
• AVG art 25 Gegevensbescherming door ontwerp en door standaard
instellingen
• Privacy al meenemen bij het ontwerp van een proces of systeem:
• Rechten van betrokkenen
• Grondslag verwerking
• Data minimalisatie (proportionaliteit en subsidiariteit)
• Privacy Enhancing Techniques (PET)
• beveiligingsmaatregelen
4. Rechten van betrokkenen onder de AVG
AVG Hoofdstuk 3, Artikel 12 t/m 22
• Recht van inzage
• Recht op rectificatie
• Recht op vergetelheid (gegevenswissing)
• Recht op beperking van de verwerking
• Recht op dataportabiliteit (overdraagbaarheid gegevens)
• Recht van bezwaar tegen verwerking
• Recht niet te worden onderworpen aan geautomatiseerde
individuele besluitvorming/profileren
• (De informatieplicht, recht op informatie)
5. PET
• Scheiden van (gevoelige) persoonsgegevens en overige gegevens,
gebruik van pseudo-identiteiten;
• Gebruik van klant-, case- of dossiernummers ipv van het BSN als
unieke identifier;
• BSN alleen als een wettelijke gemeentelijke taak dit nodig maakt.
• Geen wettelijke grondslag: processen en systemen moeten ook
functioneren zonder BSN;
• Pseudonimisering;
• Anonimisering;
• Bewaartermijnen (ook technisch ingericht)
• Maatregelen in om de kwaliteit van data te waarborgen
7. Privacy by default
Een systeem of proces is zo ingericht is dat standaard de maximale
privacy- of securityinstellingen worden afgedwongen
8. Norm voor privacy by design
Nog niet echt aanwezig
BIG BIR 2017
BS 1012
9. Rol VNG realisatie/ Informatiebeveiligingsdienst
• Advies gemeenten op het gebied van informatiebeveiliging en privacy
• Diverse handreikingen en factsheets
• Ontwikkeling BIG
• Doorvertaling GEMMA
• Onderhanden: Normenkader privacy dat aansluit op de BIG, BIR 2017
• Addendum op BIG en BIR2017
• Gebaseerd op de ISO27018
• Wordt ook een aanvulling op de GIBIT
11. Verwerkersovereenkomsten
• 400 gemeenten
• Gemiddeld 300 verwerkingen, 50 SaaS
• 20.000 Verwerkersovereenkomsten
• 4 uur werk, 80.000 uur * €100= 8.000.000
• Nu aan de gang met register van verwerkingen
• Vragen nemen toe en dat wordt alleen maar erger
• Gemeenten en leveranciers komen er vaak samen niet uit waardoor er
geen verwerkersovereenkomst is
12. Waarom komen ze er niet uit?
• Algemeen
• Degene die aan tafel zitten snappen het niet
• Er is meestal al een overeenkomst en gemeenten stellen nieuwe
voorwaarden
• Leveranciers willen geld zien voor nieuwe voorwaarden
• Qua Onderwerpen
• Wie betaalt de boete
• Hoe hoog is de aansprakelijkheid
• Welke beveiligingseisen
•
13. Oplossingsrichting
• Enkele suggesties
• Verwerkersovereenkomst versimpelen en tot standaard maken
• Relatie leggen tussen hoofdsom overeenkomst en boete/aansprakelijkheid
• Mediationartikel in de plaats van aansprakelijkheid
• Alleen enkele belangrijke controls benoemen
• Een privacyconvenant tussen leveranciers en VNG/R
• Privacyafspraken waaronder verplicht gebruik verwerkersovereenkomst
• Centraal auditmechanisme met rol voor VNG/R
https://demonitor.kro-ncrv.nl/artikelen/volgens-de-gemeente-had-ik-een-zoon-van-4-terwijl-ik-helemaal-geen-kinderen-heb
Mooi verhaal: toen deze man een huis ging kopen vroeg de notaris naar zijn zoon. Die had hij niet. Volgens mij is hij journalist voor binnenlands bestuur. Hij is er toen ingedoken om het recht te trekken, dat is niet gelukt. Zijn zoon wordt in zijn dossier “onjuist verklaard” (zie hieronder de belangrijkste stukjes tekst uit het artikel). Maar belangrijker: volgens mij geeft hij in het filmpje aan wat hij het ergst vindt aan de situatie: niet eens zozeer dat er dingen fout gaan, maar dat als hij was overleden zijn vrouw zou hebben kunnen denken dat hij er een verborgen leven op na had gehouden.
'Meneer, uw kind is onjuist verklaard'
Een week later komt het verlossende telefoontje van de gemeente Nijmegen: ‘Meneer, uw kind is onjuist verklaard.’ Bekkers kan dezelfde dag nog een nieuw, aangepast document ophalen. Het kind staat nog wel op zijn persoonslijst, maar met de mededeling dat het 'onjuist' is verklaard', zo zegt de gemeente. Het kind kan er niet helemaal vanaf gehaald worden, want dan moeten ze in het systeem gaan rommelen en dat willen ze niet. Om administratieve redenen moet kunnen worden gereconstrueerd dat er een fout gemaakt is. Bekkers: ‘Het systeem is leidend in dezen, het systeem is de baas. Dat is heel bizar. Zeker als het niet klopt.’
Waar ging dit mis?
Bekkers zoekt voor een artikel in Binnenlands Bestuur, waarvoor hij werkt, uit waar dit nu misging. Een ambtenaar in Dordrecht vertelt hem:
‘Degene die het kind heeft erkend, heeft precies dezelfde geboortedatum en woonde in Nijmegen. Het kind is door die persoon erkend in Dordrecht. Wij (van de gemeente Dordrecht, red) hebben, omdat hij een Nijmegenaar is, dat doorgegeven aan de gemeente Nijmegen. Die moet zijn persoonslijst aanpassen. Dat kunnen wij niet vanuit hier. Mijn collega in Nijmegen heeft op geboortedatum gezocht, de eerste de beste naam aangeklikt - Bekkers is waarschijnlijk de eerste die verschijnt - en vervolgens, zonder de eerste letters van de naam te checken, op 'enter' gedrukt. Als je dat vervolgens gedachteloos een paar keer doet, komt het kind automatisch op uw persoonslijst. Bij degene die het kind heeft erkend, zal het niet op het document hebben gestaan.'
Ook onder de WBP al relevant
Proportionaliteit houdt in dat bij de verwerking van persoonsgegevens sprake is van een redelijke verhouding tussen de inbreuk op het recht op privéleven en het belang van deze inbreuk.
Subsidiariteit leidt er in deze context toe dat persoonsgegevens alleen verwerkt mogen worden als er geen ander, minder ingrijpend alternatief voor handen is. De verwerking van persoonsgegevens is derhalve een inbreuk op de persoonlijke levenssfeer van de burger.
Bewaartermijnen: maak het technisch mogelijk dat in databases de uiterste bewaartermijn te raadplegen is en zorg dat systemen zo ingericht zijn dat aan de eisen ten aanzien van gegevensvernietiging voldaan kan worden. Voor bewaartermijnen zullen gemeenten zich primair moeten houden aan wat in de Selectielijst gemeenten en intergemeentelijke organen 2017 bepaald is ten aanzien van bewaartermijnen
Toegangsbeveiliging: functiescheiding, wachtwoordbeleid, autorisatiemanagement, 2 factor authenticatie
Encryptie bij transport over internet;
Het versleutelen van gegevens in opslag;
Beschikbaarbaarheid en continuiteit;
Hardening en patchmanagement;
Logging;
Incidentmanagementproces + meldprocedure datalekken;
Secure software development;
Netwerkbeveiliging, zonering en isolatie van privacygevoelige systemen
Waarom u bepaalde gegevens verwerkt.
Welke soorten persoonsgegevens u verzamelt.
Indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
Hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
Indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.
Waarom u bepaalde gegevens verwerkt.
Welke soorten persoonsgegevens u verzamelt.
Indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
Hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
Indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.
Niet meer nodigDe organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
Intrekken toestemmingDe betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
BezwaarDe betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
Onrechtmatige verwerkingDe organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
Wettelijk bepaalde bewaartermijnDe organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
KinderenDe betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).
Criteria recht op beperking van de verwerking
Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:
Gegevens zijn mogelijk onjuistGeeft iemand aan dat uw organisatie onjuiste persoonsgegevens gebruikt? Dan mag u deze gegevens niet gebruiken zolang u nog niet heeft gecontroleerd of de gegevens wel kloppen.
De verwerking is onrechtmatigU mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat u de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
Gegevens zijn niet meer nodigU heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
Betrokkene maakt bezwaarMaakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de gegevens niet verwerken.
VNG Realisatie: ondersteuningsproducten bij voorbereiding op de AVG specifiek op gemeenten gericht
IBD: ondersteuningsproducten informatiebeveiliging en privacy ook specifiek voor gemeenten, bijvoorbeeld BIG en Meldplicht datalekken
AP: Uitleg en FAQs over onder andere rechten van betrokkenen en FG, uitleg over AVG algemeen
Google: er staat als zoveel online!