(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak
Realisatiedag 14 juni Hilversum AVG
1. De AVG bij gemeenten:
Landelijk en Lokaal
Gemeente Scherpenzeel
Sascha Beekman
Functionaris Gegevensbescherming
VNG Realisatie
Hans van Wijk
Adviseur privacy
14 juni 2018
2. Opzet
1. De positie van gemeenten
2. De ondersteuning
3. Kernboodschappen
4. Vragen
13. Stap 1: Stel een FG aan
Ondersteuning VNG-R:
- Handreiking rol en taken FG
- Handreiking positionering FG
Gebaseerd op:
- WP29 Richtlijnen voor
functionarissen voor
gegevensbescherming (Data
Protection Officer, DPO)
14. FG & Gemeente Scherpenzeel
• Plan van aanpak implementatie AVG
• Aanwijzing FG
• Positie in de organisatie
• Toezichthoudende bevoegdheden
• Rol en taakverdeling FG <-> CISO
• Bekendheid binnen organisatie
College
afdeling afdeling afdeling
FG/CISO/Controller
15. Stap 2: Stel een
privacybeleid op en
draag het uit
Ondersteuning VNG-R:
- Handreiking privacyverklaring website
- Model privacybeleid en reglement
16. Privacybeleid Gemeente Scherpenzeel
• Beleidsregels privacy
• Protocol internet en emailgebruik
• Omgaan met persoonsgegevens
• Privacyverklaring
• Bijeenkomst voor
vrijwilligersorgansiaties
17. Stap 3: Stel een register
van verwerkingen op (en
hou het bij)
Ondersteuning VNG-R:
- Model register van verwerkingen
- Handreiking invullen register
19. Stap 4: Pas de
werkprocessen aan
Ondersteuning VNG-R:
- Handreikingen rechten van betrokken
- Factsheet meldplicht datalekken (IBD)
- BIG Baselinetoets (IBD)
- Model PIA (IBD)
20. Werkprocessen Gemeente Scherpenzeel
• Gemeente verwerkt grote
hoeveelheid gegevens
• Beschrijving werkprocessen
• Input uit register en PIA’s
• Benut mogelijkheden
vanuit
informatieveiligheid
21. Stap 5: Maak afspraken
met derden
Ondersteuning VNG-R:
- Model verwerkersovereenkomst (IBD)
- Factsheet verwerkersovereenkomst (IBD)
- Handreiking samenwerkingsverbanden
Extern:
- Modelovereenkomst gezamenlijke
verantwoordelijkheid (Bouwend
Nederland)
22. Derden en Gemeente Scherpenzeel
• Verwerkersovereenkomsten:
• Koppeling met
hoofdovereenkomst
• Maak goede afspraken!
• Overzicht hebben èn (bij)houden
24. Focus na 25 mei 2018 VNG Realisatie
• Borging privacy in hele organisatie
• Blijven werken aan bewustwording
• Collectieve afspraken
• Helpdesk
• Hoe denk je na over privacy/gegevensbescherming?
• Nieuwe ontwikkelingen
25. Focus na 25 mei 2018 Gemeente Scherpenzeel
• Actueel houden:
• Register
• PIA’s
• Verwerkersovereenkomsten
• Bewustzijn binnen en buiten organisatie
• Jaarverslag FG
• AVG-proof zijn èn blijven!
27. Kernboodschappen
Zorg dat je de “checklist” hebt gedaan…
… maar weet dat privacy nooit “af” is
Zorg voor een goed verhaal
Ga het gesprek aan over privacy
Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.
De media zit er bovenop! We worden als publieke sector goed in de gaten gehouden.
Hoe wordt het geframed?
Immers: ca. 150.000 werken bij gemeenten, + ketenpartners en leveranciers etc. ca. 300.000 (Dreigingsbeeld gemeenten IBD). Hoe is dan de verhouding tot deze cijfers?
En er gebeurt ook wel eens wat > overheid en gemeenten zijn continue doelwit van bovenstaande dingen
https://autoriteitpersoonsgegevens.nl/nl/nieuws/gemeenten-verzamelen-te-veel-persoonsgegevens-bij-uitvoering-wmo-en-jeugdwet
https://vng.nl/onderwerpenindex/maatschappelijke-ondersteuning/clientondersteuning-wmo-en-jeugd/nieuws/ap-gemeenten-verzamelen-teveel-gegevens-bij-wmo-en-jeugd
Gemeenten zijn sinds 2015 verantwoordelijk voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen.
Bovenstaande link geeft de kern weer:
Juiste balans
De kern van het AP-advies is het vinden van de juiste balans tussen het in kaart brengen van de hulpvraag van de cliënt en het registreren van de noodzakelijke gegevens voor het verlenen van de juiste ondersteuning. Bij de toeleiding naar zorg gaat het om gegevens die de hulpvraag verhelderen. Dit betekent dat gemeenten:
- wel een goed gesprek mogen voeren met een cliënt om een goed beeld te krijgen van zijn situatie en hulpvraag
- daarbij alléén de gegevens mogen vastleggen die relevant zijn voor beoordeling van de hulpvraag.
Advies aan gemeenten
Gemeenten krijgen het advies om - zonodig- hun beleidsstukken en werkinstructies aan te passen, onder leiding van hun Functionaris Gegevensbescherming. Kunt u aanpassingen niet direct doorvoeren? Dan adviseert de VNG dringend om te inventariseren welke maatregelen u direct en welke u pas later kunt realiseren. Dit voorkomt problemen met de Autoriteit Persoonsgegevens.
Tja, ze hadden dit zelf aangevraagd, systeemtest
Wat in principe bedoeld is als verbetering systemen wordt breed uitgemeten in de media.
Werkveld waarin de “bad guys” altijd het voordeel hebben
Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.
25 mei 2018: voldoen aan de AVG
Maar: daarna ben je niet klaar
Dus: prioriteren
Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.
Waar lopen gemeenten tegenaan?
Vormgeven functie FG > binnen de organisatie
Combineren functies FG – CISO
Verschillende bestuursorganen binnen de gemeente
AP:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf
Privacy en Informatieveiligheid in takenpakket
Opleiding gevolgd
Plan van aanpak implementatie AVG
Aanwijzing FG (en CISO) door college in september 2017.
Discussie: benoemen, aanstellen of aanwijzen! Vb. Toezichthouders BRP worden ook aangewezen. Bevoegdheid college.
Staffunctie, maar gemeentelijke organisatie is daarvoor te klein. Dus: extra bevoegdheden toegevoegd aan functie
Aanmelding FG bij AP in september 2017 (+ online mei’18)
Bekendheid binnen organisatie
Rollen, taken en bevoegheden CISO en FG
Toezichthoudende bevoegdheden
Opgenomen in Beleidsregels privacy (zie stap 2!)
Ook rollen en taakverdeling in geval van datalekken. Opgenomen in procedure meldplicht datalekken
Rol FG in relatie tot inwoners en organisaties binnen gemeente (o.a. vrijwilligers, adviesraden)
Betrekken OR: mededelen/informeren. Ze hebben geen instemmingsrecht.
Privacyverklaring belangrijk bij het informeren van burgers over hoe je omgaat met privacy
Beleidsregels privacy vastgesteld door college in februari 2018
Uitleg begrippen en soorten van gegevensverzameling door bijvoorbeeld wifi, tracking, big data etc.
Taken, rollen, bevoegdheden CISO en FG in beleid vastgelegd
Bestuursorganen allen aan zet
+ protocol internet en emailgebruik (koppeling met informatieveiligheid)
Privacyverklaring op website gemeente geplaatst
Niet alleen verklaring…. ook rechten van burgers, register, PIA-rapportage, beleid en gegevens FG op website
Bijeenkomst voor vrijwilligersorgansiaties, bijpraten adviesraden en wijkplatforms
Waar lopen ze tegenaan?
Veel verwerkingen (600 +)
Bijhouden
Interviews met medewerkers om verwerkingen/werkprocessen in kaart te brengen. Totaal 116 verwerkingen
Op website gemeente geplaatst. Wordt nog door college vastgesteld en daarna door DIV opgeslagen in Verseon (borging!)
Rechten van betrokkenen:
Inzage
Vergetelheid vs. archiefwet
Focus ligt hier bij ons meestal op de rechten van betrokkenen en privacy op de werkvloer
Werkprocessen verouderd
Door uitvoeren PIA’s en opstellen register belang goede werkprocessen opnieuw onder aandacht gebracht
Input PIA’s en Register gebruiken bij actualiseren werkprocessen
Nieuwe procestool in combi met interviews medewerkers
Rechten van burgers Wbp -> AVG op website gemeente
Nieuwe ICT-infrastructuur: rechten en autorisaties beoordelen en beperken (BIG!)
Actualisering Procedure meldplicht datalekken
Bewustwordingsbijeenkomsten medewerkers over omgaan met persoonsgevens en informatieveiligheid
Omgaan met vertrouwelijke gegevens en documenten op werkvloer en bij telewerken. Telewerkbeleid/handleidingen beveiligd e-mailen etc.
Bepalen van verantwoordelijkheid
Wie is verwerker, wie is verwerkingsverantwoordelijke?
Leveranciers
Gaat bij ons meestal vooral om verwerker/verwerkingsverantwoordelijke
Veel organisaties bewust van belang verwerking persoonsgegevens en beveiligingsvereisten
Afsluiten verwerkersovereenkomsten
Meeste conform model
Enkele ‘eigenwijs’
Goede afspraken maken!
Veel papierwerk
Daarna overzicht actueel houden
Aanpassen overeenkomsten bij wettelijke ontwikkelingen en als hoofdovereenkomst wijzigt
Borging privacy in hele organisatie
Blijven werken aan bewustwording
Collectieve afspraken
Helpdesk
Hoe denk je na over privacy?
Nieuwe ontwikkelingen
Is hoe
Actueel houden Register
In PIA rapportage zijn conclusie en aanbevelingen opgenomen over te nemen maatregelen (iedere 3 jaar opnieuw)
Toezien op uitvoering maatregelen en na halfjaar evalueren
Bij nieuwe of wijziging van bestaande verwerkingen nieuwe/aanvullende PIA uitvoeren en Register aanpassen
Jaarlijks evalueren op actualiteit en volledigheid
Verwerkersovereenkomsten actueel houden en afsluiten met nieuwe leveranciers
Medewerkers, adviesraden en burgers blijven bijpraten
Jaarverslag FG
Zorg dat je de “checklist” hebt gedaan…
… maar weet dat privacy nooit “af” is.
Zorg voor een goed verhaal
Keuzes maken
Verantwoording vastleggen
Ga het gesprek aan over privacy
Binnen de organisatie
Met andere gemeenten
Met “betrokkenen”
Hierna volgen wat voorbeelden, die hoef je niet allemaal te gebruiken.