Borging Het borgen van de Algemene Verordening ... · Borging AVG Het borgen van de Algemene...

Borging AVG

Het borgen van de Algemene Verordening Gegevensbescherming in de gemeentelijke organisatie

1

Organisatorische inbedding Pagina 10,11,12,13

Rechten van betrokkenenPagina 14,15,16,17

VerantwoordingPagina 23,24,25

BeveiligingPagina 21,22

SamenwerkingPagina 18,19,20

ProcessenPagina 5,6,7,8,9

Beleid Pagina 3,4

Inleiding Pagina 2

2

InleidingWanneer de gemeente het implementatiestappenplan ter voorbereiding op de AVG heeft doorlopen, is het van belang om gegevensbescherming en privacy daadwerkelijk onderdeel te laten maken van de planning- en controlcyclus van de gemeentelijke organisatie.

Overzicht

VNG Realisatie heeft criteria ontwikkeld om de AVG te vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy voor gemeentelijke processen. Hiermee beoogt VNG Realisatie gemeenten concrete handvatten te bieden om een goede omgang met persoonsgegevens in de gehele organisatie te waarborgen.

Het onderwerp ‘privacy’ is opgesplitst in 7 onderdelen, welke gezamenlijk alle aspecten van gegevensbescherming dekken. Er is geen volgorde: de criteria dienen in onderlinge samenhang te worden gelezen. De criteria verwijzen ook naar relevante criteria uit een ander onderdeel: het ene criterium kan niet geborgd worden als het andere criterium van het andere onderwerp niet waargemaakt is. Alle criteria tezamen beschrijven de ‘geborgde situatie’ voor een gemiddelde gemeente per onderwerp.

Iedere gemeentelijke organisatie heeft een ander vertrekpunt. Uiteraard is de cultuur en de wijze van organiseren van de organisatie van belang om te bepalen of de wijze van organiseren – de ‘hoe’ kolom– wel of niet van toepassing is.

Dit borgingsproduct is een ‘levend’ document: voortschrijdend inzicht, ontwikkelingen, jurispru-dentie, relevante wetsartikelen, nieuwe producten en literatuur zullen aan het product worden toegevoegd. Op deze manier blijft het document actueel en kunnen wij uw organisatie op de hoogte houden van de relevante ontwikkelingen op het gebied van gegevensbescherming.

https://www.vngrealisatie.nl/sites/default/files/2018-07/20180604%20Handreiking%20Stappenplan%20voor%20Gemeenten%20v1.1.pdf

3 Borging AVG

Criteria 1 t/m 6 Hoe? In samenhang met... Relevante publicaties:

1. Er is een algemeen privacybeleid. • Er is privacybeleid voor de gehele gemeente waarin wordt uitgelegd hoe de gemeente omgaat met persoonsgegevens en hoe de rollen, taken en verant-woordelijkheden zijn belegd.

• Het privacybeleid is juridisch getoetst en goedgekeurd. • Het privacybeleid is vastgesteld door het verantwoordelijke bestuursorgaan. • Het privacybeleid is door het management bekrachtigd en wordt actief

uitgedragen. • Het privacybeleid is bekend binnen en buiten de organisatie. Communicatie-

middelen worden hiervoor ingezet, zoals intranet, lunchbijeenkomsten en cursussen.

• Er is een communicatieplan om het beleid actief uit te dragen.

Organisatorische inbeddingCriterium 6.

VerantwoordingCriterium 1.


Rechten van betrokkenenCriterium 1.


Artikel 13 AVG

WP29, Guidelines on transparency

VNG Realisatie, Model Privacybeleid en – Reglement voor gemeenten

VNG Realisatie, Handreiking voorbeeld privacybeleid gemeente Leidschendam-Voorburg

VNG Realisatie, Voorbeeld privacybeleid gemeente Leidschendam-Voorburg

2. Het privacybeleid is leidend bij ontwerp en ontwikkelingen van (nieuwe) verwerkingen.

• Nieuwe ontwikkelingen, verwerkingen of wijzigingen van verwerkingen worden voorafgaand getoetst aan het beleid en geldende weten regelgeving.

ProcessenCriterium 10.

Artikel 25 AVG

BeleidHet privacybeleid is een kader waarin wordt aangegeven aan welke principes de gemeente zich houdt, het laat zien hoe de gemeente met persoonsgegevens omgaat en welke maatregelen de gemeente treft om te voldoen aan de weten regelgeving.

Overzicht

Vervolg criteria Beleid

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_on_transparency.pdf


https://www.vngrealisatie.nl/sites/default/files/2018-07/20180406%20Handreiking%20Privacybeleid%20en%20Reglement%20v1.1.pdf




https://www.vngrealisatie.nl/sites/default/files/2018-07/Handreiking%20privacybeleid%20in%20juli%202018_0.pdf




https://www.vngrealisatie.nl/sites/default/files/2018-07/VNG%20Realisatie%20voorbeeld%20Privacybeleid%20juli%202018_0.pdf



4 Borging AVG


3. Het privacybeleid wordt - waar nodig - domein specifiek uitgewerkt.

• Eris–waarnodig–domeinspecifiekprivacybeleidwaarinwordtbeschrevenhoehetbetreffendedomeinomgaatmet(sectorspecifieke)wet-enregelgeving,persoonsgegevens en gegevensbescherming.

• Medewerkers van het domein zijn op de hoogte van de inhoud van de domein-specifiekeuitwerking.Communicatiemiddelenwordenhiervooringezet,zoalsintranet, lunchbijeenkomsten en cursussen.


4. Er zijn afspraken en maatregelen over de omgang met persoonsgegevens en gegevensbescherming van personen binnen de organisatie.

• Er zijn afspraken hoe de organisatie omgaat met persoonsgegevens van binnen de gemeentelijke organisatie, zoals de persoonsgegevens van medewerkers, gemeenteraadsleden, externen, etc.

• Binnen de gemeente is eenieder op de hoogte van de inhoud van deze afspraken. Hier worden communicatiemiddelen voor ingezet, zoals intranet, lunchbijeenkomsten en cursussen.

BeveiligingCriterium 5.

Organisatorische inbeddingCriterium 10.Criterium 11.Criterium 12.

5. Het privacybeleid wordt periodiek getoetst en waar nodig aangepast.

• Periodiek wordt gecontroleerd of verwerkingen in lijn zijn met het privacybeleid van de organisatie en de geldende weten regelgeving.

• Het beleid wordt indien nodig geactualiseerd en verbeterd. • Wijzigingen in het beleid zijn duidelijk en bekend, zowel intern als extern.

6. Op de gemeentelijke website staat een privacyverklaring wanneer de gemeente via de website persoonsgegevens verzameld.

• Bezoekers van de gemeentelijke website worden voorafgaand geïnformeerd of de gemeente persoonsgegevens via de website verzameld, en zo ja voor welk doel.

• De gemeente informeert bezoekers van de gemeentelijke website actief of zij cookies plaatst, en zo ja welke cookies.



Artikel 13 AVG


VNG Realisatie, Handreiking: Privacyverklaring voor de gemeentelijke website

BeleidOverzicht



https://www.vngrealisatie.nl/sites/default/files/2018-07/20180604%20Handreiking%20Privacyverklaring%20v1.1.pdf




5 Borging AVG

Processen

De gemeente heeft inzichtelijk welke verwerkingsactiviteiten onder haar verant-woordelijkheid of gezamenlijke verantwoordelijkheid worden uitgevoerd. Deze verwerkingsactiviteiten voldoen aan de beginselen uit de AVG, namelijk ,behoorlijk-heid, transparantie, doelbinding, dataminimalisatie, opslagbeperking, juistheid, integriteit en vertrouwelijkheid. Daarnaast heeft de gemeente processen ingericht om aan de verplichtingen en rechten uit de AVG te voldoen.

Als organisatie kun je verplicht zijn om een gegevensbeschermingseffectbeoorde-ling(DPIA)uittevoeren.Voorafgaandaaniederenieuweverwerkingdienende privacyrisico’s in kaart te worden gebracht om te bepalen of een DPIA noodzakelijk is. Een DPIA is in ieder geval verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.


1. Er zijn werkprocessen vastgesteld. • De organisatie heeft inzichtelijk welke werkprocessen zij in huis heeft.• In de processen wordt aandacht besteed aan wat gegevensbescherming en de

privacywetgeving concreet betekenen voor de betreffende afdeling en hoe medewerkers om dienen te gaan met persoonsgegevens binnen de taken en werkzaamheden.


Overzicht

Vervolg criteria Processen

6 Borging AVG

Overzicht


2. De gemeente heeft de verwerkingen waar zijzelf verwerkingsverantwoordelijk of medeverantwoordelijk voor is, in een register van verwerkingsactiviteiten opgenomen.

• Het register bevat ten minste de volgende gegevens:- De naam en de contactgegevens van de verwerkingsverantwoordelijke,

eventuele gezamenlijke verwerkingsverantwoordelijken en van de vertegen-woordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

- De verwerkingsdoeleinden;- Een beschrijving van de categorieën van betrokkenen en van de categorieën

van persoonsgegevens;- De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen

worden verstrekt;- Of de gegevens worden doorgegeven aan een derde land of een internationale

organisatie;- De beoogde termijnen waarbinnen de verschillende categorieën van gegevens

moeten worden gewist; - Een beschrijving van de technische en organisatorische beveiligingsmaatrege-

len.• Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. • Het register kan ter beschikking gesteld worden aan de Autoriteit Persoonsge-

gevens.



SamenwerkingCriterium 1.Criterium 2.Criterium 4.Criterium 5.Criterium 6.

Artikel 30 lid 1 AVG

VNG Realisatie, Handreiking register van verwerkingen voor gemeenten

VNG Realisatie, Register van verwerkingen - handreiking totstandkoming en structuur register gemeente Amersfoort

3. De gemeente heeft een register van verwerkingsactiviteiten opgesteld voor de verwerkingen die zij als verwerker uitvoert.

• Dit register bevat ten minste de volgende gegevens:- Denaamendecontactgegevensvandeverwerker(s)envaniedereverwerkings-

verantwoordelijke, van de vertegenwoordiger van de verwerkingsverantwoorde-lijke of de verwerker en van de functionaris voor gegevensbescherming;

- De categorieën van verwerkingen die voor rekening van iedere verwerkingsver-antwoordelijke zijn uitgevoerd;

- Of de gegevens worden doorgegeven aan een derde land of een internationale organisatie;

- Een beschrijving van de technische en organisatorische beveiligingsmaatrege-len.

• Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.• Het register kan ter beschikking gesteld worden aan de Autoriteit Persoonsge-

gevens.


SamenwerkingCriterium 1.Criterium 2.



Processen

https://www.vngrealisatie.nl/sites/default/files/2018-07/20180604%20Handreiking%20Register%20van%20Verwerkingen%201.3_0.pdf




https://www.vngrealisatie.nl/sites/default/files/2018-07/20180604%20Handreiking%20Register%20van%20Verwerkingsactiviteiten%20Amersfoort%20v1.1.pdf






7 Borging AVG


4. De verwerkingsactiviteiten voldoen aan de beginselen van de AVG.

• Alle verwerkingen binnen de gemeente hebben een doel, een grondslag en voldoen aan de beginselen van proportionaliteit, subsidiariteit en dataminimali-satie. De persoonsgegevens zijn juist en de organisatie is transparant in de wijze van het gebruik van de persoonsgegevens. De verwerkingen zijn getoetst aan deze beginselen.

• Het resultaat van de toetsing aan de AVG beginselen zijn vastgelegd in het register van verwerkingsactiviteiten.


Artikel 5 AVGArtikel 6 AVG

5. Het register van verwerkingsactiviteiten wordt beheerd.

• Er is ten minste één verantwoordelijke voor het onderhoud en de actualisatie van(onderdelenvan)hetregister.

• Deverantwoordelijkevoor(onderdelenvan)hetregisterzorgtvoordedaadwer-kelijke actualisatie.

• Proceseigenaren weten aan wie zij wijzigingen van de bestaande verwerkingen of het toevoegen van nieuwe verwerkingen kunnen doorgeven.

• Nieuwe verwerkingen of wijzigingen van bestaande verwerkingen worden getoetst aan de beginselen uit de AVG en andere relevante weten regelge-ving.

Organisatorische inbeddingCriterium 3. Criterium 4. Criterium 5.

6. Er zijn processen voor de rechten van betrokkenen.

• In de processen staat ten minste het volgende beschreven: - Op welke wijze verzoeken kunnen worden ingediend;- Wie verantwoordelijk is voor de afhandeling;- De termijnen;- De criteria voor het toe-, dan wel afwijzen van een verzoek.

Rechten van betrokkenenCriterium 2. Criterium 6.

Artikel 15 AVGArtikel 16 AVGArtikel 17 AVGArtikel 18 AVGArtikel 19 AVGArtikel 20 AVGArtikel 21 AVGArtikel 22 AVG

Overzicht


Processen

8 Borging AVG


7. Er is een compleet en actueel beeld van bestaande verwerkingen die een hoog privacyrisico opleveren en waar een DPIA voor is uitgevoerd, dan wel uitgevoerd zal gaan worden.

• Door middel van het register van verwerkingsactiviteiten is inzichtelijk gemaakt welke bestaande verwerkingen een hoog privacy risico opleveren.

• De organisatie heeft inzichtelijk wanneer er voor welke verwerking een DPIA is uitgevoerd.

• Rapportages van de DPIA’s zijn geregistreerd en makkelijk vindbaar voor de betrokken medewerkers.

• Bij nieuwe verwerkingen of bij de aanschaf van nieuwe systemen wordt vooraf-gaand in kaart gebracht of deze een hoog risico voor de eerbiediging van de persoonlijke levenssfeer vormen en zo ja, wordt een DPIA uitgevoerd.


Artikel 35 AVG

Autoriteit Persoonsgege-vens, Richtsnoeren voor gegevensbeschermingsef-fectbeoordelingen

VNGR/IBD, Checklist Data Privacy Impact Analyse

8. Er is een proces voor het uitvoeren en actualiseren van DPIA’s

• De organisatie heeft inzichtelijk wanneer een DPIA uitgevoerd zal worden en op welke wijze dit gebeurd.

• De organisatie is bekend door welke verantwoordelijken de DPIA uitgevoerd moet worden.

Artikel 35 AVG

9. Er is een standaardformat beschikbaar voor de DPIA

• Op directieniveau is één DPIA-format voor de hele organisatie vastgesteld. • Het format is beschikbaar voor de gehele organisatie.

10. Intern verantwoordelijken dragen er zorg voor dat nieuwe verwerkingen of potentieel nieuwe verwerkingen, welke mogelijk een hoog privacyrisico opleveren voorafgaand worden getoetst middels een DPIA.

• Zowel het lijnmanagement als de privacyambassadeurs zijn bekend met het bestaan van de DPIA en het verplichte DPIA format van de organisatie.

• Nieuwe verwerkingen of wijzigingen van bestaande verwerkingen worden actief aangemeld bij de verantwoordelijke en de privacybeheerder/privacyadviseur, zodat deze kan toetsen of een DPIA noodzakelijk is.

• De belangenafweging om al dan niet over te gaan tot een DPIA wordt vastge-legd.

Organisatorische inbeddingCriterium 3. Criterium 4. Criterium 5.

BeleidCriterium 2.

11. De verantwoordelijke neemt kennis van de inhoud van de DPIA.

• Het verslag en de rapportage van de uitgevoerde DPIA met het advies van de FG wordt ter besluitvorming voor gelegd aan de verantwoordelijke.

• De verantwoordelijke motiveert de besluitvorming die afwijkt van het advies van de FG.



Overzicht Processen


https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf




https://www.vngrealisatie.nl/sites/default/files/2018-08/Handleiding%20Checklist%20DPIA%20voor%20gemeenten%20v1.1.pdf

https://www.vngrealisatie.nl/sites/default/files/2018-08/Handleiding%20Checklist%20DPIA%20voor%20gemeenten%20v1.1.pdf

9 Borging AVG

Overzicht Processen


12. De resultaten van de DPIA worden gedeeld en gebruikt om de betrokken afdeling(en) bewust te maken van de privacyrisico’s en het belang van privacymanagement.

• De uitkomsten van de DPIA en het advies van de FG worden gedeeld met de betrokken medewerkers.

• De uitkomst van de DPIA en het advies van de FG wordt indien nodig organisa-tiebreed beschikbaar gesteld.


13. De organisatie geeft opvolging aan de uitkomsten van de DPIA.

• Inhet(werk)procesisvastgelegdwelketechnischeenorganisatorischemaatre-gelen worden genomen om privacyrisico’s af te dekken, dan wel in te perken.

• Deze maatregelen worden opgenomen in het register van verwerkingsactivitei-ten.


14. DPIA’s worden periodiek – ten minste elke drie jaar - uitgevoerd.

• Er is een overzicht van de uitvoerdata van de DPIA’s beschikbaar. • Dit overzicht is actueel. De FG controleert de actualiteit van de DPIA’s.

10 Borging AVG

Organisatorische inbeddingVoor een goede en juiste uitvoering is het van belang dat eenieder binnen de organisatie op de hoogte is van de beginselen van de AVG en het belang van privacy. Organisatorische inbedding betekent het toewijzen van taken, verantwoordelijkheden en bevoegdheden. Daarnaast dient het duidelijk te zijn bij wie medewerkers terecht kunnen wanneer zij vragen hebben over gegevensbescher-ming of de uitvoering en interpretatie van de weten regelgeving.


1. De gemeente heeft een functionaris voor gegevensbescherming aangesteld en gepositioneerd.

• Het is voor de gehele organisatie duidelijk wie de FG is en wat zijn taken zijn. • De FG wordt tijdig en naar behoren betrokken bij alle aangelegenheden die

verband houden met de bescherming van persoonsgegevens. • De FG heeft toegang tot persoonsgegevens en verwerkingsactiviteiten en heeft

alle benodigde middelen ter beschikking voor het uitoefenen van zijn taak.• De FG ontvangt geen instructies met betrekking tot de uitvoering van zijn taken. • Betrokkenen kunnen op eenvoudige en duidelijke wijze contact met de FG

opnemen. • De FG informeert en adviseert de organisatie gevraagd en ongevraagd.• De FG heeft middelen om zijn deskundigheid op peil te houden.• De FG heeft middelen om opleidingen en trainingen te verzorgen binnen de

organisatie. • De FG adviseert bij DPIA’s.




Artikel 37 AVGArtikel 38 AVGArtikel 39 AVG

Autoriteit Persoonsgegevens, Richtlijnen voor functionarissen voor gegevensbescherming

KING/VNG, Rol en taken van de FG

VNG Realisatie, Positionering van de FG

2. Er is – naast de FG - ruime (juridische) kennis over privacy, gegevensbescherming en relevante weten regelgeving.

• Eris-tenminste-éénprivacyadviseur/privacyofficerdiebeschiktoverruimekennis voor wat betreft het toepassen van relevante privacywet- en regelgeving in de praktijk.

• Deprivacyadviseur/privacyofficeradviseertdegemeenteopcasusniveauomtrent de bescherming en de verwerking van persoonsgegevens.

VNG Realisatie, Positionering van de FG

Overzicht

Vervolg criteria Organisatorische inbedding

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf





https://vng.nl/files/vng/20170301-handreiking-rol-taken-vanfg.pdf

https://vng.nl/files/vng/20170301-handreiking-rol-taken-vanfg.pdf

https://www.vngrealisatie.nl/sites/default/files/2018-07/20180419%20Handreiking%20Positionering%20FG%20v1.13.pdf




11 Borging AVG


3. Verantwoordelijkheden op het niveau van lijnmanagement zijn benoemd, belegd en vastgelegd.

• Iedere lijnmanager is verantwoordelijk voor privacy binnen zijn/haar domein.• Bepaal en leg vast wat de verantwoordelijkheden voor de lijnmanagers zijn. • Het lijnmanagement betrekt de FG tijdig en naar behoren bij alle aangelegen-

heden ie verband houden met de bescherming van persoonsgegevens. • Het lijnmanagement wint advies in over het alvorens zij gegevens verstrekken

aan een externe partij.

Processen Criterium 5.Criterium 10.

Samenwerking Criterium 3.

4. Op elke afdeling is een privacyambassadeur aangewezen, welke privacygerelateerde vragen en opmerkingen verzamelt en op de hoogte is van de wensen en ontwikkelingen binnen de afdeling.

• De privacyambassadeur dient als aanspreekpunt voor de gehele afdeling.• De privacyambassadeur heeft nauw contact met de FG en de privacyadviseur/

privacybeheerder. • Alle medewerkers zijn bekend met de privacyambassadeur van hun afdeling.• Alle ambassadeurs tezamen vormen met de FG en de privacyadviseur/privacy-

beheerder het team privacy, welk actief opmerkingen, ontwikkelingen en vragen uit de organisatie ophalen.

• Het privacyteam komt periodiek bij elkaar om ontwikkelingen te bespreken.

Processen Criterium 5.Criterium 10.

5. Organisatiebreed is bekend welke verantwoordelijkheid de gemeente heeft ten aanzien van gegevensbescherming.

• De verantwoordingsplicht van de gemeente is bekend.• Organisatiebreed is eenieder op de hoogte van het bestaan het register van

verwerkingsactiviteiten.• Medewerkers weten bij wie zij wijzigingen kunnen doorgeven, zodat het register

aangepast kan worden en actueel blijft.• Voorafgaand aan een nieuwe verwerking of het wijzigen van een bestaande

verwerking, vindt een toets plaats of dit binnen de geldende weten regelge-ving mogelijk is.

• Voor verwerkingen met een hoog risico wordt voorafgaand aan de wijziging, dan wel invoering een DPIA uitgevoerd.

• Medewerkerszijningrotelijnenopdehoogtevandedefinitievaneendataleken weten bij wie zij een datalek intern moeten melden.

ProcessenCriterium 2.Criterium 5.Criterium 7.Criterium 10.


Overzicht Organisatorische inbedding


12 Borging AVG



6. De algemene privacynormen van de gemeente zijn organisatiebreed bekend.

• Medewerkers zijn op de hoogte van de omgang met persoonsgegevens door de organisatie

• Het privacybeleid is bekend gemaakt binnen de organisatie.• Middels diverse communicatiekanalen, zoals intranet, cursussen en presentaties,

wordt het privacybeleid van de gemeente toegelicht.• Actualiteiten en ontwikkelingen die betrekking hebben op de werkwijze van de

gemeente worden breed gedeeld en toegelicht.

BeleidCriterium 1.

7. Medewerkers zijn op de hoogte van de rechten die inwoners en betrokkenen hebben.

• Er is een procedure voor de afhandeling van verzoeken van rechten van betrokkenen.

• Binnen de organisatie is een verantwoordelijke aangesteld voor de afhandeling van verzoeken.

• Medewerkers kunnen een verzoek herkennen en weten naar wie zij deze kunnen doorsturen.


8. Medewerkers hebben enkel toegang tot de systemen die zij nodig hebben ter uitvoering van hun werkzaamheden.

• Voor alle geautomatiseerde systemen zijn autorisatieschema’s vastgesteld. • Binnen deze systemen hebben zij alleen toegang tot die gegevens die zij nodig

hebben ter uitvoering van hun werkzaamheden.


Artikel 32 AVG

9. Er is een procedure autorisatie en controle toegangsrechten.

• Toegangsrechten worden actief aangepast wanneer een medewerker uit dienst treedt.

• Toegangsrechten worden actief aangepast wanneer een medewerker van functie verandert.


10. Medewerkers zijn op de hoogte van het loggingsbeleid van de gemeente.

• Bij het verkrijgen van de autorisatie tot een bepaald systeem, wordt kenbaar gemaakt op welke manier de gemeente het gebruik van de gegevens in het systeem logt.

BeleidCriterium 4.


IBD, aanwijzing logging


https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/07/20160720-Aanwijzing-Logging-1.0.1-1.pdf

13 Borging AVG


11. De Ondernemingsraad (OR) wordt geïnformeerd en betrokken wanneer het gaat om het verwerken van alsmede de bescherming van de persoonsgegevens van medewerkers.

• De OR wordt actief geïnformeerd over privacy en gegevensbescherming voor wat betreft het personeel.

• De OR wordt om instemming gevraagd als het gaat om een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de medewerkers.

BeleidCriterium 4.


Artikel 27 WOR

Artikel 33 UAVG

12. Er zijn voldoende middelen beschikbaar om privacybescherming te bevorderen in kennis, houding en gedrag van alle medewerkers in de organisatie.

• Op afdelingsniveau zijn – wanneer noodzakelijk - actuele protocollen en procedures beschikbaar over de wijze van omgang met persoonsgegevens.

• Medewerkers worden actief getraind om de kennis van het privacyrecht en het privacybewustzijnophetspecifiekedomeinteverhogen.

• Medewerkers worden doorlopend bewust gemaakt van de risico’s en randvoor-waarden bij de omgang met persoonsgegevens, bijvoorbeeld door interne opleidingen of trainingen, het delen van DPIA’s en het verstrekken van advies-materiaal.

• De FG wordt om advies en ondersteuning gevraagd bij de bewustwording.

BeleidCriterium 3.Criterium 4.

Processen Criterium 1.

Processen Criterium 12.

Artikel 39 lid 1 sub b AVG

13. Alle medewerkers en externen hebben een geheimhoudingverklaring.

• Alle ambtenaren zijn op de hoogte van de algemene geheimhoudingsplicht voor ambtenaren.

• Medewerkers die te maken hebben met bijzondere informatie hebben tevens een geheimhoudingsverklaring ondertekend.

• Alle externen hebben een integriteits- en geheimhoudingsverklaring onderte-kend.

IBD, geheimhoudingsverklaringen

Artikel 125a lid 3 Ambtenarenwet


https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/08/20160803-Geheimhoudingsverklaringen-1.2.1.pdf

https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/08/20160803-Geheimhoudingsverklaringen-1.2.1.pdf

14 Borging AVG

Rechten van betrokkenen

Organisaties dienen betrokkenen zowel actief als passief te infor-meren over de persoonsgegevens die zij verwerken.

Daarnaast stelt de AVG betrokkenen middels een aantal rechten in staat om controle uit te oefenen over zijn of haar persoonsgege-vens.


1. Betrokkenen worden duidelijk geïnformeerd hoe zij een AVG-verzoek kunnen indienen.

• De gemeente maakt actief bekend hoe en waar betrokkenen verzoeken kunnen indienen.

• Verzoeken kunnen zowel schriftelijk als elektronisch worden ingediend. • De contactgegevens van de FG zijn makkelijk vindbaar voor betrokkenen, zodat deze

als aanspreekpunt kan fungeren.

BeleidCriterium 1.

Organisatorische inbedding Criterium 1.



VNG Realisatie, Handreiking: Rechten van betrokkenen deel 1


Overzicht

Vervolg criteria Rechten van betrokkenen



https://www.vngrealisatie.nl/sites/default/files/2018-07/20180125%20Rechten%20van%20Betrokkenen%20deel%201%20-%20Informatie%20en%20Inzage%20v1.0.pdf



https://www.vngrealisatie.nl/sites/default/files/2018-07/20180220%20Rechten%20van%20Betrokkenen%20deel%202%20-%20Overige%20rechten%20v1.0.pdf



15 Borging AVG

Overzicht


2. De verwerkingsverantwoordelijke heeft processen ingericht om de rechten van betrokkenen te faciliteren.

• Er is een proces voor het recht van correctie.• Er is een proces voor het recht van inzage.• Er is een proces voor het recht van dataportabiliteit.• Er is een proces voor het recht op vergetelheid.• Er is een proces voor het recht op beperking van de verwerking.• Eriseenprocesvoorhetrechtoprectificatieenaanvulling.• Er is een proces voor het recht om bezwaar te maken tegen de gegevensverwerking. • De toe-, dan wel afwijzingscriteria zijn bekend.• De verzoeker wordt geïnformeerd over de ontvangst van het verzoek.• De processen zijn vastgesteld.• Er is een procesverantwoordelijke voor de verzoeken.• De termijnen worden bewaakt: verzoeken worden in beginsel binnen de termijn van 4

weken afgehandeld.• Bij verlenging van de behandelingstermijn met maximaal 2 maanden wordt de

verzoeker tijdig geïnformeerd.


Artikel 15 AVGArtikel 16 AVGArtikel 17 AVGArtikel 18 AVG Artikel 19 AVGArtikel 20 AVGArtikel 21 AVGArtikel 22 AVG

Autoriteit Persoonsgege-vens, Richtlijnen inzake het recht op gegevens-overdraagbaarheid



3. De organisatie heeft het recht op bezwaar bij de gemeente na een besluit op een verzoek ingebed.

• Een beslissing op een AVG-verzoek geldt als een besluit in de zin van de Algemene wet bestuursrecht. Het toe-, dan wel afwijzen van een verzoek geldt als een besluit in de zin van de AWB. De gemeente stuurt een bezwaarclausule onder de beslissing mee.

Artikel 1:3 Awb

4. De gemeente heeft inzichtelijk welke besluiten zij neemt op basis van automatisch verwerkte gegevens.

• Geautomatiseerde besluitvorming wordt alleen toegepast wanneer sprake is van een van de gronden, zoals genoemd in artikel 22 AVG.

• De systemen die de besluitvorming automatiseren worden regelmatig gecontroleerd en getest.


Artikel 22 AVG

Rechten van betrokkenen


https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/nederlandse_vertaling_guidelines_dataportabiliteit.pdf











16 Borging AVG


5. De systemen en voorzieningen van de gemeente faciliteren de rechten van betrokkenen.

• De systemen en voorzieningen voorzien in de uitoefening van de rechten van betrokkenen.

• Eriseen(geautomatiseerd)systeemofprocesvoordeafhandelingvandeverzoeken waarin de volgende elementen worden beschreven:

- Wanneer het verzoek is binnengekomen- Wie de procesverantwoordelijke is- De termijnen- De eventuele verlenging- De besluitvorming. • Bij de aanschaf van nieuwe systemen wordt de mogelijkheid voor betrokkenen

om hun rechten op grond van de AVG uit te oefenen als criterium meegeno-men.


Artikel 25 AVG

6. Medewerkers herkennen AVG-verzoeken en weten wat zij moeten doen.

• Medewerkers zijn geïnformeerd over de rechten die betrokkenen hebben op grond van de AVG.

• Medewerkers weten wie proceseigenaar is en naar wie zij het verzoek door kunnen sturen.



7. Voorafgaand aan de verwerking worden betrokkenen actief, tijdig en adequaat geïnformeerd.

• Voorafgaand aan de verwerking worden betrokkenen geïnformeerd over de soort gegevens die worden verwerkt, de bron van gegevens, het doel van de verwerking, de grondslag van de verwerking, aan wie de gegevens worden verstrekt.

• Bij aanvraagformulieren voor producten of diensten staat duidelijk welke gegevens worden verwerkt.

• Er zijn informatiefolders beschikbaar.




WP29, Guidelines on transparencytoest

Overzicht Rechten van betrokkenen





17 Borging AVG

Overzicht Rechten van betrokkenen


8. Producten, diensten, instellingen en functies in systemen zijn privacyvriendelijk ingericht.

• De organisatie vraagt bij de aanvraag van producten en diensten niet meer persoonsgegevens dan noodzakelijk uit.

• Voor verwerkingen waar toestemming als grondslag dient, vereist dit een actieve handeling.


Artikel 25 AVG

9. De gemeente vraagt geen toestemming wanneer deze niet vrijelijk en specifiek kan worden verkregen.

• De organisatie moet ervoor zorgen dat het intrekken van toestemming door de betrokkene even eenvoudig is als het geven van toestemming.


Artikel 7 AVG

10. Wanneer toestemming geldt als grondslag voor de verwerking van persoonsgegevens, staat het de betrokkene vrij om deze toestemming in te trekken.

• De gemeente heeft inzichtelijk aan welke randvoorwaarden toestemming moet voldoen.

• De gemeente heeft inzichtelijk wanneer zij toestemming als grondslag voor de verwerking gebruikt.

• De gemeente vraagt geen toestemming wanneer deze niet vrijelijk kan worden gegeven.


Artikel 7 AVG

18 Borging AVG

Samenwerking

Gemeenten werken op meerdere beleidsterreinen, in verschil-lende bedrijfsfuncties, in diverse rollen en hoedanigheden samen met(mede)overhedenenprivateorganisaties.Inveelvoorko-mende gevallen zal er sprake zijn van een verwerking van per-soonsgegevens tussen partijen: ontvangen van persoonsgege-vens, verzenden van persoonsgegevens, maar ook het opslaan van en inzage hebben in persoonsgegevens valt onder dit begrip. Deze verwerkingen dienen dan ook te voldoen aan de AVG. Partijen moeten daarom daarover afspraken maken.


1. De organisatie heeft inzichtelijk met welke externe partijen er sprake is van het verwerken van persoonsgegevens.

• Inventariseer welke partijen persoonsgegevens ontvangen en geef daarbij aan welke(categorieënvan)persoonsgegevensdezepartijenvandegemeenteontvangen.

• Inventariseer van welke partijen de gemeente persoonsgegevens ontvangt en geefdaarbijaanwelke(categorieënvan)persoonsgegevensdegemeenteontvangt.

ProcessenCriterium 2.Criterium 3.

2. De organisatie heeft inzichtelijk welke partijen zij aanmerkt als verwerker, mede-verwerkingsverantwoordelijke of zelfstandig verwerkingsverantwoordelijk.

• Er is een toetsingskader op grond waarvan duidelijk is welke derde partij die namens/in samenwerking met de gemeente verwerker, mede-verwerkingsver-antwoordelijk of zelfstandig verwerkingsverantwoordelijke is.

• In het register van verwerkingsactiviteiten is duidelijk opgenomen in welke categorie de externe partij valt.

ProcessenCriterium 2.Criterium 3.

VNG Realisatie, Factsheet: Verwerkingsverantwoorde-lijke of verwerker?

Overzicht

Vervolg criteria Samenwerking

https://www.vngrealisatie.nl/sites/default/files/2018-08/20180605%20Factsheet%20en%20Beslismodel%20Verwerker-Verwerkingsverantwoordelijke%20v2.0%2007082018.pdf



19 Borging AVG


3. Bij het inschakelen van externe partijen wordt voorafgaand getoetst of er sprake is van het verwerken van persoonsgegevens en wanneer dit het geval is, worden voorafgaand aan de inschakeling afspraken gemaakt over de verwerking.

• Het is duidelijk wanneer er sprake is van een verwerking van persoonsgegevens.• Het is duidelijk wanneer er afspraken gemaakt moeten worden over de verwer-

king.• Proceseigenaren en het lijnmanagement weten bij wie zij terecht kunnen

wanneer er vragen zijn over de inschakeling van externe partijen. • De standaard verwerkingsovereenkomst is op afdelingsniveau beschikbaar.• Het verwerkingsregister wordt geactualiseerd bij de inschakeling van een

externe partij.



VNG Realisatie, Factsheet: Verwerkingsverantwoorde-lijke of verwerker?

IBD/VNG Realisatie, Handreiking: Standaard verwerkersovereenkomst gemeenten

Handreiking samenwer-kingsverbanden en AVG deel 1

Handreiking samenwer-kingsverbanden en AVG deel 2

4. De organisatie heeft met alle bestaande verwerkers afspraken gemaakt over de verwerking van persoonsgegevens.

• De gemeente heeft met alle verwerkers afspraken gemaakt over de verwerking van persoonsgegevens.

• Er is een duidelijk overzicht beschikbaar van alle ingeschakelde verwerkers bij voorkeur in het register van verwerkingsactiviteiten.

• Het beheer van de verwerkersovereenkomsten is in de organisatie belegd.


Artikel 28 AVG

IBD/VNG Realisatie, Handreiking: Standaard verwerkersovereenkomst gemeenten

5. De organisatie heeft met mede-verwerkingsverantwoordelijken afspraken – bijvoorbeeld in de vorm van een samenwerkings-overeenkomst of convenant - gemaakt over de verwerking van persoonsgegevens.

• Het is voor de gemeente duidelijk welke partij t.a.v. de verwerking van persoons-gegevens waarvoor verantwoordelijk is.

• Er is een duidelijk overzicht beschikbaar van alle verwerkingen waar de gemeen-te medeverantwoordelijk voor is, bij voorkeur in het register van verwerkingsacti-viteiten.

• Het beheer van de afspraken is in de organisatie belegd.


Artikel 26 AVG

Overzicht Samenwerking

Vervolg criteria Samenwerking




https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2018/08/Standaard-verwerkersovereenkomst-en-toelichting-1.00-2.pdf.pagespeed.ce.LhicGvLYph.pdf




https://www.vngrealisatie.nl/sites/default/files/2018-07/20180517%20Handreiking%20Samenwerkingsverbanden%20en%20de%20AVG%20Deel%201%20v1.0.pdf










20 Borging AVG

Overzicht Samenwerking


6. De organisatie heeft inzichtelijk aan welke externe partij, die zelfstandig verwerkingsverantwoordelijke is, zij persoonsgegevens verstrekt.

• Gemeenten maken afspraken met andere zelfstandig verantwoordelijken over de wijze van verstrekking, bijvoorbeeld in de vorm van beveiligd mailen.

• Het beheer van de afspraken is in de organisatie belegd.


Artikel 30 lid 1 sub d AVG

7. Eenmalige gegevensverstrekkingen worden getoetst aan de relevante weten regelgeving.

• Eenmalige gegevensverstrekkingen worden getoetst aan de beginselen van de AVG en andere relevante weten regelgeving.

• Ook bij ad hoc bevragingen zorgt gemeente voor duidelijkheid over de rol van de derde partij. De gemeente maakt dienovereenkomstig afspraken met de derde partij.

21 Borging AVG

Beveiliging

Vanuit het algemene behoorlijkheidsbeginsel, het integriteitsbe-ginsel en het vertrouwelijkheidsbeginsel is het essentieel dat een verwerkingsverantwoordelijke en een verwerker passende techni-sche en organisatorische maatregelen nemen ter beveiliging van persoonsgegevens. Daarnaast dienen incidenten – waaronder inbreuken – op de beveiliging onder omstandigheden gemeld te wordenaandeAPen/ofdebetrokkene(n).


1. Er is een proces hoe de organisatie omgaat met incidenten – waaronder inbreuken - in verband met persoonsgegevens.

• Het is voor medewerkers duidelijk wanneer er sprake is van een inbreuk of incident in verband met persoonsgegevens.

• In het proces worden de afwegingskaders omtrent het al dan niet melden aan de AP en het al dan niet melden aan de betrokkene beschreven.

• Het proces is centraal vastgesteld en toegankelijk voor alle medewerkers. • Er is een verantwoordelijke aangesteld voor meldingen richting de AP en de

burger. • Eriseenaanspreekpuntvoor(vermoedensvan)incidenteninverbandmet

persoonsgegevens.• Er is een crisiscommunicatieplan opgesteld voor datelekken met een hoge

impact. • De gemeente heeft een woordvoerder aangesteld voor de communicatie met

media en inwoners.



Autoriteit Persoonsgegevens, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens

2. De gemeente heeft inzicht in alle incidenten en inbreuken.

• De gemeente registreert alle inbreuken en incidenten die verband houden met persoonsgegevens.

• In deze registratie wordt opgenomen welke inbreuken gemeld zijn aan de AP. • Wanneer de organisatie van mening is dat het incident geen inbreuk in verband

met persoonsgegevens, oplevert, wordt deze ook geregistreerd en wordt er bij registratie gemotiveerd waarom er geen sprake is van een inbreuk en de melding aan de AP achterwege kan blijven.



Overzicht

Vervolg criteria Beveiliging

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf






22 Borging AVG

Overzicht


3. Middels technische en organisatorische maatregelen wordt het risico op incidenten die verband houden met persoonsgegevens geminimaliseerd.

• De beveiligingsmaatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens.

• De beveiligingsmaatregelen worden periodiek getest en geëvalueerd. • De wijze van testen, beoordelen en evalueren is als beleid vastgelegd.• De FG is betrokken bij het opstellen van het informatieveiligheidsbeleid.



Artikel 32 AVG

4. Voor alle geautomatiseerde systemen zijn autorisatieschema’s vastgesteld.

• Er is een autorisatieprocedure voor het in- en uittreden van medewerkers en het wijzigen van functies.

• Autorisaties worden periodiek gecontroleerd.

Organisatorische inbeddingCriterium 8.Criterium 9.

5. Er is loggingsbeleid. • Alle verwerkingen binnen geautomatiseerde systemen worden gelogd. • Loggingsbestanden worden periodiek gecontroleerd.

BeleidCriterium 4.

Organisatorische inbeddingCriterium 10.Criterium 11.


IBD, aanwijzing logging

6. Verwerkingen worden zodanig ingericht dan rekening wordt gehouden met de beginselen van privacy by design en privacy by default.

• Voor verwerking gebruikte mechanismen zijn zo ontworpen dat zij zoveel mogelijk rekening houden met de privacy van betrokkenen de beginselen uit de AVG.

• De inrichting van de standaardinstellingen is zo ingesteld, dat de meest privacyvriendelijke instellingen worden aangehouden.

• Er wordt gezorgd voor een minimale gegevensverwerking door niet meer gegevens uit te vragen dan noodzakelijk.

Rechten van betrokkenenCriterium 5.Criterium 8.

Artikel 25 AVG

Beveiliging

https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/07/20160720-Aanwijzing-Logging-1.0.1-1.pdf

23 Borging AVG

Verantwoording

De AVG legt de verantwoordelijkheid bij de organisatie zelf om aantoon-baar te maken dat deze voldoet aan de privacyregels. Door te voldoen aan de verantwoordingsplicht, levert de organisatie een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy. De organi-satie dient aan te kunnen tonen dat de verwerkingen voldoen aan de belangrijkste beginselen van de AVG: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, dataminimalisatie, opslagbeperking, juistheid, integriteit en vertrouwelijkheid.


1. De verwerkingen van de organisatie zijn vastgelegd in het register van verwerkingsactiviteiten en getoetst aan het privacybeleid en de relevante weten regelgeving.

• Er is een actueel en getoetst register van verwerkingsactiviteiten.• Het register kan ter beschikking gesteld worden aan de AP.

BeleidCriterium 1.

ProcessenCriterium 2.Criterium 3.Criterium 4.


2. Er is een actueel overzicht van verwerkingen waar een DPIA voor is uitgevoerd.

• De rapportages van de DPIA zijn beschikbaar.• Wanneer de organisatie afwijkt van het advies van de FG, doet zij dit gemoti-

veerd.


3. Er is een actueel register van alle incidenten – waaronder inbreuken - in verband met persoonsgegevens.

• Alle incidenten in verband met persoonsgegevens worden gedocumenteerd.• Het beheer van de registratie is in de organisatie belegd.


Overzicht

Vervolg criteria Verantwoording

24 Borging AVG


4. De organisatie voert periodiek controles uit op de juiste werking van de getroffen beveiligingsmaatregelen.

• Periodiek worden controles uitgevoerd om de juiste werking van de getroffen beveiligingsmaatregelen te controleren.

• Rapportages worden beschikbaar gesteld aan de verantwoordelijke.• De rapportages worden geëvalueerd en waar nodig worden beveiligingsmaatre-

gelen aangepast.


Artikel 32 lid 1 sub d

5. Wanneer de verwerking plaatsvindt op grond van toestemming van de betrokkene, kan de organisatie aantonen dat de betrokkene een volwaardige toestemming heeft gegeven voor de verwerking.

• Voor elke verwerkingsactiviteit waarbij gegevens verwerkt worden op basis van toestemming, is vastgelegd op welke manier de organisatie toestemming ontvangt, vastlegt en bewaart.

• Er is een proces waarin is vastgelegd op welke manier de organisatie intrekkin-gen van toestemming behandeld en bewaard.

• De organisatie houdt een register bij van ontvangen verklaringen van toestem-ming.

• Betrokkenenwordenspecifiekgeïnformeerdwaarvoorzijtoestemminggeven.• De organisatie vraagt geen toestemming wanneer deze niet vrijelijk kan worden

gegeven. • Het intrekken van toestemming is even eenvoudig als het geven van toestem-

ming.


Artikel 7 AVG

6. De organisatie is transparant over de verwerking van persoonsgegevens.

• De organisatie is transparant over de omgang met persoonsgegevens door het publiceren van privacybeleid en bijvoorbeeld het verstrekken van informatiefol-ders bij aanvragen van producten en diensten.

• Voorafgaand aan de verwerking van persoonsgegevens worden betrokkenen zoveel mogelijk geïnformeerd.





7. Periodiek worden de verantwoordelijk bestuursorganen geïnformeerd over de omgang van persoonsgegevens en de naleving van de AVG binnen de organisatie.

• De FG doet periodiek verslag aan het verantwoordelijk bestuursorgaan over de wijze van verwerkingen en de omgang met persoonsgegevens binnen de gemeenten.

• Naar aanleiding van het verslag van de FG stellen de verantwoordelijke vast welke acties en maatregelen de organisatie dient te nemen in een plan van aanpak..


Overzicht Verantwoording

Vervolg criteria Verantwoording



25 Borging AVG

Overzicht Verantwoording


8. Periodiek worden burgers en inwoners op de hoogte gehouden van de omgang van persoonsgegevens en de naleving van de AVG binnen de organisatie.

• De gemeente publiceert – bijvoorbeeld op de gemeentelijke website – over de ontwikkelingen van de bescherming van privacy en de omgang met persoons-gegevens binnen de gemeente.

9. Periodiek wordt een GAP-analyse uitgevoerd om inzichtelijk te maken waar de organisatie staat.

• De gemeente heeft inzichtelijk welke acties en maatregelen genomen moeten worden om het beveiligingsniveau van persoonsgegevens en de zorgvuldige omgang van persoonsgegevens naar een hoger niveau te brengen.

ColofonOverzicht

Dit product is tot stand gekomen door een samenwerking van VNG RealisatieendeInformatieBeveiligingsdienst(IBD). Voor meer informatie en vragen verwijzen wij u graag naar de websites www.vngrealisatie.nl en www.informatiebeveiligingsdienst.nl. Indien u naar aanleiding van dit document nog vragen heeft, of advies wilt over de Wbp, AVG of privacy in het algemeen kunt u deze stellen via [email protected] ©Vereniging van Nederlandse Gemeenten, Den Haag, december 2018

Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2018

http://www.vngrealisatie.nl

http://www.informatiebeveiligingsdienst.nl.

Borging Het borgen van de Algemene Verordening ... · Borging AVG Het borgen van de Algemene...

Documents

Transcript of Borging Het borgen van de Algemene Verordening ... · Borging AVG Het borgen van de Algemene...