SlideShare a Scribd company logo
1 of 14
AVG – Privacy by design
Verwerkersovereenkomsten
Boudewijn Cremers &
Gerard Heimans
20 april 2018
Privacy by design
• AVG art 25 Gegevensbescherming door ontwerp en door standaard
instellingen
• Privacy al meenemen bij het ontwerp van een proces of systeem:
• Rechten van betrokkenen
• Grondslag verwerking
• Data minimalisatie (proportionaliteit en subsidiariteit)
• Privacy Enhancing Techniques (PET)
• beveiligingsmaatregelen
Rechten van betrokkenen onder de AVG
AVG Hoofdstuk 3, Artikel 12 t/m 22
• Recht van inzage
• Recht op rectificatie
• Recht op vergetelheid (gegevenswissing)
• Recht op beperking van de verwerking
• Recht op dataportabiliteit (overdraagbaarheid gegevens)
• Recht van bezwaar tegen verwerking
• Recht niet te worden onderworpen aan geautomatiseerde
individuele besluitvorming/profileren
• (De informatieplicht, recht op informatie)
PET
• Scheiden van (gevoelige) persoonsgegevens en overige gegevens,
gebruik van pseudo-identiteiten;
• Gebruik van klant-, case- of dossiernummers ipv van het BSN als
unieke identifier;
• BSN alleen als een wettelijke gemeentelijke taak dit nodig maakt.
• Geen wettelijke grondslag: processen en systemen moeten ook
functioneren zonder BSN;
• Pseudonimisering;
• Anonimisering;
• Bewaartermijnen (ook technisch ingericht)
• Maatregelen in om de kwaliteit van data te waarborgen
BCM
Security by design
All controls are equal, but some controls are more equal than others
Privacy by default
Een systeem of proces is zo ingericht is dat standaard de maximale
privacy- of securityinstellingen worden afgedwongen
Norm voor privacy by design
Nog niet echt aanwezig
BIG BIR 2017
BS 1012
Rol VNG realisatie/ Informatiebeveiligingsdienst
• Advies gemeenten op het gebied van informatiebeveiliging en privacy
• Diverse handreikingen en factsheets
• Ontwikkeling BIG
• Doorvertaling GEMMA
• Onderhanden: Normenkader privacy dat aansluit op de BIG, BIR 2017
• Addendum op BIG en BIR2017
• Gebaseerd op de ISO27018
• Wordt ook een aanvulling op de GIBIT
Rol leveranciers
• Meedenken mag
• Toets op toepasbaarheid
• Delen van eigen invulling qua privacy by design
Verwerkersovereenkomsten
• 400 gemeenten
• Gemiddeld 300 verwerkingen, 50 SaaS
• 20.000 Verwerkersovereenkomsten
• 4 uur werk, 80.000 uur * €100= 8.000.000
• Nu aan de gang met register van verwerkingen
• Vragen nemen toe en dat wordt alleen maar erger
• Gemeenten en leveranciers komen er vaak samen niet uit waardoor er
geen verwerkersovereenkomst is
Waarom komen ze er niet uit?
• Algemeen
• Degene die aan tafel zitten snappen het niet
• Er is meestal al een overeenkomst en gemeenten stellen nieuwe
voorwaarden
• Leveranciers willen geld zien voor nieuwe voorwaarden
• Qua Onderwerpen
• Wie betaalt de boete
• Hoe hoog is de aansprakelijkheid
• Welke beveiligingseisen
•
Oplossingsrichting
• Enkele suggesties
• Verwerkersovereenkomst versimpelen en tot standaard maken
• Relatie leggen tussen hoofdsom overeenkomst en boete/aansprakelijkheid
• Mediationartikel in de plaats van aansprakelijkheid
• Alleen enkele belangrijke controls benoemen
• Een privacyconvenant tussen leveranciers en VNG/R
• Privacyafspraken waaronder verplicht gebruik verwerkersovereenkomst
• Centraal auditmechanisme met rol voor VNG/R
Handige links:
https://www.vngrealisatie.nl/privacy
https://www.informatiebeveiligingsdienst.nl/
https://autoriteitpersoonsgegevens.nl/
https://www.google.nl/

More Related Content

What's hot

08092017 leveranciersdag architectuur omgevingswet
08092017 leveranciersdag architectuur omgevingswet08092017 leveranciersdag architectuur omgevingswet
08092017 leveranciersdag architectuur omgevingswet
KING
 
KING aanpak bor-bgt
KING aanpak bor-bgtKING aanpak bor-bgt
KING aanpak bor-bgt
KING
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KING
KING
 
Doedagen najaar 2017 omgevingswet checklist dso
Doedagen najaar 2017 omgevingswet checklist dso Doedagen najaar 2017 omgevingswet checklist dso
Doedagen najaar 2017 omgevingswet checklist dso
KING
 

What's hot (20)

08092017 leveranciersdag architectuur omgevingswet
08092017 leveranciersdag architectuur omgevingswet08092017 leveranciersdag architectuur omgevingswet
08092017 leveranciersdag architectuur omgevingswet
 
Realisatiedag 21 juni Nijverdal GGI
Realisatiedag 21 juni Nijverdal GGIRealisatiedag 21 juni Nijverdal GGI
Realisatiedag 21 juni Nijverdal GGI
 
Presentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistratiesPresentatie Geo basisregistraties en omvorming tot objectregistraties
Presentatie Geo basisregistraties en omvorming tot objectregistraties
 
160617 Leveranciersbijeenkomst ICT Infra
160617 Leveranciersbijeenkomst ICT Infra160617 Leveranciersbijeenkomst ICT Infra
160617 Leveranciersbijeenkomst ICT Infra
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag Zwolle
 
Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018Leveranciersbijeenkomst 20 april 2018
Leveranciersbijeenkomst 20 april 2018
 
20160617 Leveranciersbijeenkomst GIBIT
20160617 Leveranciersbijeenkomst GIBIT20160617 Leveranciersbijeenkomst GIBIT
20160617 Leveranciersbijeenkomst GIBIT
 
Meelzolder ronde 1 informatievoorziening en architectuur
Meelzolder ronde 1 informatievoorziening en architectuurMeelzolder ronde 1 informatievoorziening en architectuur
Meelzolder ronde 1 informatievoorziening en architectuur
 
Doedagen najaar 2017 open raadsinfo
Doedagen najaar 2017 open raadsinfoDoedagen najaar 2017 open raadsinfo
Doedagen najaar 2017 open raadsinfo
 
0902 Doe dag Zwolle
0902 Doe dag Zwolle0902 Doe dag Zwolle
0902 Doe dag Zwolle
 
KING aanpak bor-bgt
KING aanpak bor-bgtKING aanpak bor-bgt
KING aanpak bor-bgt
 
Kalvermelk 2b Ronde 2 Data, neem de tijd en de ruimte om te leren deel 2
Kalvermelk 2b Ronde 2 Data, neem de tijd en de ruimte om te leren deel 2Kalvermelk 2b Ronde 2 Data, neem de tijd en de ruimte om te leren deel 2
Kalvermelk 2b Ronde 2 Data, neem de tijd en de ruimte om te leren deel 2
 
20170331 omgevingswet presentatie leveranciersdag king v02
20170331 omgevingswet presentatie leveranciersdag king v0220170331 omgevingswet presentatie leveranciersdag king v02
20170331 omgevingswet presentatie leveranciersdag king v02
 
Silo 61 ronde 4 GGI op congres da2020
Silo 61 ronde 4 GGI op congres da2020Silo 61 ronde 4 GGI op congres da2020
Silo 61 ronde 4 GGI op congres da2020
 
Presentatie dso leveranciersdag 17 november
Presentatie dso leveranciersdag 17 novemberPresentatie dso leveranciersdag 17 november
Presentatie dso leveranciersdag 17 november
 
0902 Doe dag zwolle
0902 Doe dag zwolle 0902 Doe dag zwolle
0902 Doe dag zwolle
 
20160401 Leveranciersdag KING
20160401 Leveranciersdag KING20160401 Leveranciersdag KING
20160401 Leveranciersdag KING
 
Havenmeester Ronde 2 Samen Digitaliseren
Havenmeester Ronde 2 Samen DigitaliserenHavenmeester Ronde 2 Samen Digitaliseren
Havenmeester Ronde 2 Samen Digitaliseren
 
20160616 leveranciersdag Berichtenapp
20160616 leveranciersdag Berichtenapp20160616 leveranciersdag Berichtenapp
20160616 leveranciersdag Berichtenapp
 
Doedagen najaar 2017 omgevingswet checklist dso
Doedagen najaar 2017 omgevingswet checklist dso Doedagen najaar 2017 omgevingswet checklist dso
Doedagen najaar 2017 omgevingswet checklist dso
 

Similar to Leveranciersbijeenkomst 20 april 2018

Ronde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstRonde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomst
Congrestival
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD
 
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLCookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
clickdistrict
 

Similar to Leveranciersbijeenkomst 20 april 2018 (20)

Privacy
PrivacyPrivacy
Privacy
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie
 
Ronde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomstRonde 2: De standaard verwerkersovereenkomst
Ronde 2: De standaard verwerkersovereenkomst
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design20181102 Leveranciersdag_privacy by-design
20181102 Leveranciersdag_privacy by-design
 
20170630 Leveranciersdag
20170630 Leveranciersdag 20170630 Leveranciersdag
20170630 Leveranciersdag
 
1704 gibit doe dag
1704 gibit doe dag1704 gibit doe dag
1704 gibit doe dag
 
De GDPR in de Praktijk
De GDPR in de PraktijkDe GDPR in de Praktijk
De GDPR in de Praktijk
 
Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart Doedag DA2020 Venlo 9 maart
Doedag DA2020 Venlo 9 maart
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezicht
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
GDPR voor steden en gemeenten (Dutch)
GDPR voor steden en gemeenten (Dutch)GDPR voor steden en gemeenten (Dutch)
GDPR voor steden en gemeenten (Dutch)
 
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
 
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdLCookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
Cookie Seminar | 5 juni | Nicole Wolters Ruckert | KVdL
 
20170331 Leveranciersdag plenair Theo Peters
20170331 Leveranciersdag plenair Theo Peters20170331 Leveranciersdag plenair Theo Peters
20170331 Leveranciersdag plenair Theo Peters
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRM
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy  GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 

More from VNG Realisatie

More from VNG Realisatie (20)

(Be)spreekuur - 25 april 2024 - Bereiken doelgroep kindregeling
(Be)spreekuur - 25 april 2024 - Bereiken doelgroep kindregeling(Be)spreekuur - 25 april 2024 - Bereiken doelgroep kindregeling
(Be)spreekuur - 25 april 2024 - Bereiken doelgroep kindregeling
 
(Be)spreekuur 23 april 2024 - Ondernemers bereiken
(Be)spreekuur 23 april 2024 - Ondernemers bereiken(Be)spreekuur 23 april 2024 - Ondernemers bereiken
(Be)spreekuur 23 april 2024 - Ondernemers bereiken
 
(Be)spreekuur - 18 april 2024- Elementen van de basisdienstverlening
(Be)spreekuur - 18 april 2024- Elementen van de basisdienstverlening(Be)spreekuur - 18 april 2024- Elementen van de basisdienstverlening
(Be)spreekuur - 18 april 2024- Elementen van de basisdienstverlening
 
(Be)spreekuur - 18 april 2024 - afdracht maandelijks of jaarlijks
(Be)spreekuur - 18 april 2024 - afdracht maandelijks of jaarlijks(Be)spreekuur - 18 april 2024 - afdracht maandelijks of jaarlijks
(Be)spreekuur - 18 april 2024 - afdracht maandelijks of jaarlijks
 
(Be)spreekuur - 15 april 2024 -vroegsignalering in de routekaart Financiële Z...
(Be)spreekuur - 15 april 2024 -vroegsignalering in de routekaart Financiële Z...(Be)spreekuur - 15 april 2024 -vroegsignalering in de routekaart Financiële Z...
(Be)spreekuur - 15 april 2024 -vroegsignalering in de routekaart Financiële Z...
 
(Be)spreekuur - 18 april 2024 - Samenwerken met Vrijwilligers
(Be)spreekuur - 18 april 2024 - Samenwerken met Vrijwilligers(Be)spreekuur - 18 april 2024 - Samenwerken met Vrijwilligers
(Be)spreekuur - 18 april 2024 - Samenwerken met Vrijwilligers
 
(Be)spreekuur - 18 april 2024 - Kindregeling II Voorbeelden gemeenten
(Be)spreekuur - 18 april 2024 - Kindregeling II Voorbeelden gemeenten(Be)spreekuur - 18 april 2024 - Kindregeling II Voorbeelden gemeenten
(Be)spreekuur - 18 april 2024 - Kindregeling II Voorbeelden gemeenten
 
(Be)spreekuur - 11 april 2024 - Kindregeling I - Landelijk hulpaanbod
(Be)spreekuur - 11 april 2024 - Kindregeling I - Landelijk hulpaanbod(Be)spreekuur - 11 april 2024 - Kindregeling I - Landelijk hulpaanbod
(Be)spreekuur - 11 april 2024 - Kindregeling I - Landelijk hulpaanbod
 
(Be)spreekuur - 11 april 2024 - NVVK Pilot Waarborgfonds saneringskredieten v...
(Be)spreekuur - 11 april 2024 - NVVK Pilot Waarborgfonds saneringskredieten v...(Be)spreekuur - 11 april 2024 - NVVK Pilot Waarborgfonds saneringskredieten v...
(Be)spreekuur - 11 april 2024 - NVVK Pilot Waarborgfonds saneringskredieten v...
 
Samenwerksessie 28 maart 2024 - Afdracht maandelijks of jaarlijks
Samenwerksessie 28 maart 2024 - Afdracht maandelijks of jaarlijksSamenwerksessie 28 maart 2024 - Afdracht maandelijks of jaarlijks
Samenwerksessie 28 maart 2024 - Afdracht maandelijks of jaarlijks
 
(Be)spreekuur Financiële Educatie Week van het geld .pptx
(Be)spreekuur Financiële Educatie Week van het geld .pptx(Be)spreekuur Financiële Educatie Week van het geld .pptx
(Be)spreekuur Financiële Educatie Week van het geld .pptx
 
(Be)spreekuur - 21 maart 2024 - Nabestaandenregeling
(Be)spreekuur - 21 maart 2024 - Nabestaandenregeling(Be)spreekuur - 21 maart 2024 - Nabestaandenregeling
(Be)spreekuur - 21 maart 2024 - Nabestaandenregeling
 
(Be)spreekuur - 14 maart 2024 - Inloopspreekuur SiSa, Spuk, Brede hulp
(Be)spreekuur - 14 maart 2024 - Inloopspreekuur SiSa, Spuk, Brede hulp(Be)spreekuur - 14 maart 2024 - Inloopspreekuur SiSa, Spuk, Brede hulp
(Be)spreekuur - 14 maart 2024 - Inloopspreekuur SiSa, Spuk, Brede hulp
 
(Be)spreekuur 5 maart 2024 Routekaart Financiële Zorgen.pptx
(Be)spreekuur 5 maart 2024 Routekaart Financiële Zorgen.pptx(Be)spreekuur 5 maart 2024 Routekaart Financiële Zorgen.pptx
(Be)spreekuur 5 maart 2024 Routekaart Financiële Zorgen.pptx
 
(Be)spreekuur - 7 maart 2024 - Format beleid
(Be)spreekuur - 7 maart 2024 - Format beleid(Be)spreekuur - 7 maart 2024 - Format beleid
(Be)spreekuur - 7 maart 2024 - Format beleid
 
(Be)spreekuur - 29 februari 2024 - Lotgenotencontact.pdf
(Be)spreekuur - 29 februari 2024 - Lotgenotencontact.pdf(Be)spreekuur - 29 februari 2024 - Lotgenotencontact.pdf
(Be)spreekuur - 29 februari 2024 - Lotgenotencontact.pdf
 
Samenwerkingssessie CAK lijsten - 16 februari 2024
Samenwerkingssessie CAK lijsten - 16 februari 2024Samenwerkingssessie CAK lijsten - 16 februari 2024
Samenwerkingssessie CAK lijsten - 16 februari 2024
 
(Be)spreekuur - 29 februari 2024 - Lotgenotencontact
(Be)spreekuur - 29 februari 2024 - Lotgenotencontact(Be)spreekuur - 29 februari 2024 - Lotgenotencontact
(Be)spreekuur - 29 februari 2024 - Lotgenotencontact
 
Samenwerksessie - 6 februari 2024 - Afdracht maandelijks of jaarlijks
Samenwerksessie - 6 februari 2024 - Afdracht maandelijks of jaarlijksSamenwerksessie - 6 februari 2024 - Afdracht maandelijks of jaarlijks
Samenwerksessie - 6 februari 2024 - Afdracht maandelijks of jaarlijks
 
(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak
(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak
(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak
 

Leveranciersbijeenkomst 20 april 2018

  • 1. AVG – Privacy by design Verwerkersovereenkomsten Boudewijn Cremers & Gerard Heimans 20 april 2018
  • 2.
  • 3. Privacy by design • AVG art 25 Gegevensbescherming door ontwerp en door standaard instellingen • Privacy al meenemen bij het ontwerp van een proces of systeem: • Rechten van betrokkenen • Grondslag verwerking • Data minimalisatie (proportionaliteit en subsidiariteit) • Privacy Enhancing Techniques (PET) • beveiligingsmaatregelen
  • 4. Rechten van betrokkenen onder de AVG AVG Hoofdstuk 3, Artikel 12 t/m 22 • Recht van inzage • Recht op rectificatie • Recht op vergetelheid (gegevenswissing) • Recht op beperking van de verwerking • Recht op dataportabiliteit (overdraagbaarheid gegevens) • Recht van bezwaar tegen verwerking • Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profileren • (De informatieplicht, recht op informatie)
  • 5. PET • Scheiden van (gevoelige) persoonsgegevens en overige gegevens, gebruik van pseudo-identiteiten; • Gebruik van klant-, case- of dossiernummers ipv van het BSN als unieke identifier; • BSN alleen als een wettelijke gemeentelijke taak dit nodig maakt. • Geen wettelijke grondslag: processen en systemen moeten ook functioneren zonder BSN; • Pseudonimisering; • Anonimisering; • Bewaartermijnen (ook technisch ingericht) • Maatregelen in om de kwaliteit van data te waarborgen
  • 6. BCM Security by design All controls are equal, but some controls are more equal than others
  • 7. Privacy by default Een systeem of proces is zo ingericht is dat standaard de maximale privacy- of securityinstellingen worden afgedwongen
  • 8. Norm voor privacy by design Nog niet echt aanwezig BIG BIR 2017 BS 1012
  • 9. Rol VNG realisatie/ Informatiebeveiligingsdienst • Advies gemeenten op het gebied van informatiebeveiliging en privacy • Diverse handreikingen en factsheets • Ontwikkeling BIG • Doorvertaling GEMMA • Onderhanden: Normenkader privacy dat aansluit op de BIG, BIR 2017 • Addendum op BIG en BIR2017 • Gebaseerd op de ISO27018 • Wordt ook een aanvulling op de GIBIT
  • 10. Rol leveranciers • Meedenken mag • Toets op toepasbaarheid • Delen van eigen invulling qua privacy by design
  • 11. Verwerkersovereenkomsten • 400 gemeenten • Gemiddeld 300 verwerkingen, 50 SaaS • 20.000 Verwerkersovereenkomsten • 4 uur werk, 80.000 uur * €100= 8.000.000 • Nu aan de gang met register van verwerkingen • Vragen nemen toe en dat wordt alleen maar erger • Gemeenten en leveranciers komen er vaak samen niet uit waardoor er geen verwerkersovereenkomst is
  • 12. Waarom komen ze er niet uit? • Algemeen • Degene die aan tafel zitten snappen het niet • Er is meestal al een overeenkomst en gemeenten stellen nieuwe voorwaarden • Leveranciers willen geld zien voor nieuwe voorwaarden • Qua Onderwerpen • Wie betaalt de boete • Hoe hoog is de aansprakelijkheid • Welke beveiligingseisen •
  • 13. Oplossingsrichting • Enkele suggesties • Verwerkersovereenkomst versimpelen en tot standaard maken • Relatie leggen tussen hoofdsom overeenkomst en boete/aansprakelijkheid • Mediationartikel in de plaats van aansprakelijkheid • Alleen enkele belangrijke controls benoemen • Een privacyconvenant tussen leveranciers en VNG/R • Privacyafspraken waaronder verplicht gebruik verwerkersovereenkomst • Centraal auditmechanisme met rol voor VNG/R

Editor's Notes

  1. https://demonitor.kro-ncrv.nl/artikelen/volgens-de-gemeente-had-ik-een-zoon-van-4-terwijl-ik-helemaal-geen-kinderen-heb Mooi verhaal: toen deze man een huis ging kopen vroeg de notaris naar zijn zoon. Die had hij niet. Volgens mij is hij journalist voor binnenlands bestuur. Hij is er toen ingedoken om het recht te trekken, dat is niet gelukt. Zijn zoon wordt in zijn dossier “onjuist verklaard” (zie hieronder de belangrijkste stukjes tekst uit het artikel). Maar belangrijker: volgens mij geeft hij in het filmpje aan wat hij het ergst vindt aan de situatie: niet eens zozeer dat er dingen fout gaan, maar dat als hij was overleden zijn vrouw zou hebben kunnen denken dat hij er een verborgen leven op na had gehouden. 'Meneer, uw kind is onjuist verklaard' Een week later komt het verlossende telefoontje van de gemeente Nijmegen: ‘Meneer, uw kind is onjuist verklaard.’ Bekkers kan dezelfde dag nog een nieuw, aangepast document ophalen. Het kind staat nog wel op zijn persoonslijst, maar met de mededeling dat het 'onjuist' is verklaard', zo zegt de gemeente. Het kind kan er niet helemaal vanaf gehaald worden, want dan moeten ze in het systeem gaan rommelen en dat willen ze niet. Om administratieve redenen moet kunnen worden gereconstrueerd dat er een fout gemaakt is. Bekkers: ‘Het systeem is leidend in dezen, het systeem is de baas. Dat is heel bizar. Zeker als het niet klopt.’ Waar ging dit mis? Bekkers zoekt voor een artikel in Binnenlands Bestuur, waarvoor hij werkt, uit waar dit nu misging. Een ambtenaar in Dordrecht vertelt hem: ‘Degene die het kind heeft erkend, heeft precies dezelfde geboortedatum en woonde in Nijmegen. Het kind is door die persoon erkend in Dordrecht. Wij (van de gemeente Dordrecht, red) hebben, omdat hij een Nijmegenaar is, dat doorgegeven aan de gemeente Nijmegen. Die moet zijn persoonslijst aanpassen. Dat kunnen wij niet vanuit hier. Mijn collega in Nijmegen heeft op geboortedatum gezocht, de eerste de beste naam aangeklikt - Bekkers is waarschijnlijk de eerste die verschijnt - en vervolgens, zonder de eerste letters van de naam te checken, op 'enter' gedrukt. Als je dat vervolgens gedachteloos een paar keer doet, komt het kind automatisch op uw persoonslijst. Bij degene die het kind heeft erkend, zal het niet op het document hebben gestaan.'
  2. Ook onder de WBP al relevant Proportionaliteit houdt in dat bij de verwerking van persoonsgegevens sprake is van een redelijke verhouding tussen de inbreuk op het recht op privéleven en het belang van deze inbreuk.   Subsidiariteit leidt er in deze context toe dat persoonsgegevens alleen verwerkt mogen worden als er geen ander, minder ingrijpend alternatief voor handen is. De verwerking van persoonsgegevens is derhalve een inbreuk op de persoonlijke levenssfeer van de burger.
  3. Bewaartermijnen: maak het technisch mogelijk dat in databases de uiterste bewaartermijn te raadplegen is en zorg dat systemen zo ingericht zijn dat aan de eisen ten aanzien van gegevensvernietiging voldaan kan worden. Voor bewaartermijnen zullen gemeenten zich primair moeten houden aan wat in de Selectielijst gemeenten en intergemeentelijke organen 2017 bepaald is ten aanzien van bewaartermijnen
  4. Toegangsbeveiliging: functiescheiding, wachtwoordbeleid, autorisatiemanagement, 2 factor authenticatie
  5. Toegangsbeveiliging: functiescheiding, wachtwoordbeleid, autorisatiemanagement, 2 factor authenticatie Encryptie bij transport over internet; Het versleutelen van gegevens in opslag; Beschikbaarbaarheid en continuiteit; Hardening en patchmanagement; Logging; Incidentmanagementproces + meldprocedure datalekken; Secure software development; Netwerkbeveiliging, zonering en isolatie van privacygevoelige systemen
  6. Waarom u bepaalde gegevens verwerkt. Welke soorten persoonsgegevens u verzamelt. Indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties. Hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen. Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt. Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen. Indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.
  7. Waarom u bepaalde gegevens verwerkt. Welke soorten persoonsgegevens u verzamelt. Indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties. Hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen. Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt. Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen. Indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.
  8. Niet meer nodig De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt. Intrekken toestemming De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in. Bezwaar De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken. Onrechtmatige verwerking De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking. Wettelijk bepaalde bewaartermijn De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen. Kinderen De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).
  9. Criteria recht op beperking van de verwerking Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria: Gegevens zijn mogelijk onjuist Geeft iemand aan dat uw organisatie onjuiste persoonsgegevens gebruikt? Dan mag u deze gegevens niet gebruiken zolang u nog niet heeft gecontroleerd of de gegevens wel kloppen. De verwerking is onrechtmatig U mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat u de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen. Gegevens zijn niet meer nodig U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is. Betrokkene maakt bezwaar Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de gegevens niet verwerken.
  10. VNG Realisatie: ondersteuningsproducten bij voorbereiding op de AVG specifiek op gemeenten gericht IBD: ondersteuningsproducten informatiebeveiliging en privacy ook specifiek voor gemeenten, bijvoorbeeld BIG en Meldplicht datalekken AP: Uitleg en FAQs over onder andere rechten van betrokkenen en FG, uitleg over AVG algemeen Google: er staat als zoveel online!