Handreiking Bescherming Persoonsgegevens

Click here to load reader

  • date post

    14-Feb-2017
  • Category

    Documents

  • view

    216
  • download

    0

Embed Size (px)

Transcript of Handreiking Bescherming Persoonsgegevens

  • HAND REIKING BESCHERMING PERSOONSGEGEVENS VOOR WATERSCHAPPEN

  • COLOFON

    UITGAVEUnie van Waterschappen

    SAMENSTELLING AD HOC WERKGROEP PRIVACYJohn Boekelman, Amstel, Gooi en VechtLore van Breugel - Tienhoven, Aa en MaasCatherine Decanniere, Amstel, Gooi en VechtJoyce van Dinther - Broeksteeg, RivierenlandMichiel Dirriwachter, Unie van WaterschappenHeidi Eijsberg, ScheldestromenBen Giltjes, RivierenlandLinnie de Gouw, Aa en MaasAda Karimlou - Kranendonk, Brabantse DeltaYarno Muggen, Schieland en de KrimpenerwaardRuben Schutte, Hunze en Aas

    VoorzitterWillem Wensink, Unie van Waterschappen

    SecretarisRaymond Ingenhut, Het Waterschapshuis

    DRUKWERKPRODUCTIEOpmeer bv, Den Haag

    FOTOGRAFIEEnkele fotos van Bart van Vliet

    OPLAGE300 exemplaren

  • 1Handreiking bescherming persoonsgegevens voor waterschappen

    VOORWOORD

    De Europese Unie (EU) werkt momenteel aan een Algemene Verordening Gegevensbescherming (AVG). Deze zal naar verwachting in 2016, met een invoeringsperiode van twee jaar, in werking treden. De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze gemplementeerd is in de nationale wetgeving: in Nederland de Wet bescherming persoonsgegevens (Wbp). De AVG heeft straks rechtstreekse werking in alle lidstaten, zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wbp te vervallen.

    Vooruitlopend op de komst van de AVG is op 1 januari 2016 de Nederlandse Wet meldplicht datalekken in werking getreden. Deze wet wijzigt met name de Wbp en raakt zodoende alle overheden en dus ook de waterschappen.

    Niet alleen mag van de overheid verwacht worden dat regelgeving nageleefd wordt, de (financile) consequenties van niet-naleven kunnen met de inwerkingtreding van de Wet meldplicht datalekken aanzienlijk zijn. Hoe groot de consequenties van de nieuwe privacywetgeving zijn, hangt in hoge mate samen met de vraag in hoeverre waterschappen op dit moment voldoen aan de huidige Wbp. Als waterschappen de huidige regels adequaat gemplementeerd hebben, is een beperkt aantal aanpassingen nodig in verband met het van kracht worden van de Wet meldplicht datalekken. Is dat niet het geval, dan is er serieus werk aan de winkel.

    De Unie van Waterschappen en Het Waterschapshuis hebben geconstateerd dat waterschappen veel vergelijkbare vragen stellen over (het implementeren) van de nieuwe wetgeving. Afgesproken is de krachten te bundelen en gezamenlijk (verder) invulling te geven aan de implementatie van de (nieuwe) privacyregelgeving. Concreet is een ad hoc werkgroep in het leven geroepen, die waterschappen nader informeert over de gevolgen van deze nieuwe regelgeving, goede voorbeelden van toepassingen zoals (stappen)plannen, beleid, procedures en contracten verzamelt en beschikbaar stelt en een handreiking opstelt. Deze middelen helpen u op weg om te voldoen aan de nieuwe wetgeving.

    De nieuwe privacywetgeving heeft gevolgen voor alle waterschappen. Van belang is dat u bekend bent met de verwerkingen van persoonsgegevens in of namens uw eigen organisatie en weet welke processen privacyrisicos met zich mee brengen. Op basis daarvan kunt u zo nodig de maatregelen treffen.

  • Voor u ligt een handreiking die u op weg kan helpen in dit proces. Deze handreiking bestaat uit een kort overzicht van de inhoud van de Wbp; een stappenplan om te kunnen voldoen aan de Wbp; en een stappenplan met betrekking tot de meldplicht datalekken.

    Ik vertrouw erop dat deze handreiking in een behoefte voorziet en zal bijdragen aan het borgen van privacyregelgeving in de waterschapssector.

    Albert VermuAlgemeen directeur

  • 3Handreiking bescherming persoonsgegevens voor waterschappen

    INHOUDSOPGAVE

    1 VOORWOORD

    4 LEESWIJZER

    8 INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS

    10 STAPPENPLAN NALEVEN WET BESCHERMING PERSOONSGEGEVENS

    18 STAPPENPLAN MELDPLICHT DATALEKKEN

    26 BIBLIOGRAFIE

    30 BIJLAGEN 31 Bijlage 1 Nadere toelichting op de Wet bescherming persoonsgegevens 39 Bijlage 2 De aankomende Algemene Verordening Gegevensbescherming 44 Bijlage 3 Archiefwet 46 Bijlage 4 Wet openbaarheid van bestuur 48 Bijlage 5 Basisregistraties

  • LEESWIJZER

    ACTIEPUNTEN

    Bij de tekst van de handreiking vindt u beknopte acties ten aanzien van het onderwerp waar de tekst ter plekke betrekking op heeft en die u kunt uitvoeren om invulling te geven aan het stappenplan. Deze actiepunten zijn herkenbaar als witte tekst in een blauw vlak:

    VOORBEELD

    Dit is een voorbeeld

    AANDACHTSPUNTEN

    Waar nodig worden bij de tekst extra aandachtpunten meegegeven. Deze zijn herkenbaar als zwarte cursieve tekst:

    Dit is een voorbeeld van een kopje zwarte cursieve tekstDit is een voorbeeld van zwarte cursieve tekst

    Er is voor gekozen om deze handreiking tot op zekere hoogte beknopt te houden. Veel onderwerpen worden daardoor noodzakelijkerwijs slechts kort aangestipt. Om tegemoet te komen aan eventuele behoefte

    aan meer informatie over de verschillende onderwerpen zijn verwijzingen opgenomen naar online publicaties en voorbeelddocumenten.

    EXTERNE PUBLICATIES

    Daarnaast treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. Deze verwijzingen zijn herkenbaar als blauwe tekst:

    Dit is een voorbeeld van een kopje blauwe tekst Dit is een voorbeeld van een opsomming

    blauwe tekst

    De publicaties kunt u terugvinden in de bibliografie, alwaar ook de online vindplaats van de publicatie is weergegeven. Maakt u gebruik van de pdfversie van deze handreiking, dan kunt u daarop doorklikken naar de online locatie van de publicatie zolang u een actieve internetverbinding heeft.

  • 5Handreiking bescherming persoonsgegevens voor waterschappen

    VOORBEELDEN VAN TOEPASSINGEN

    Zoals eerder vermeld treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. De waterschappen hebben aangegeven dat ze naast nadere duiding ook veel baat verwachten van praktische voorbeelden van toepassingen zoals van (stappen)plannen, beleid, procedures en contracten. Waterschappen hebben een aantal voorbeelden aangedragen. Deze kunt u raadplegen op het portaal van Het Waterschapshuis via https://portaal.hetwaterschapshuis.nl/werkgroepprivacyOm deze voorbeelden te kunnen raadplegen zult u zich moeten registeren voor toegang tot het portaal van Het Waterschapshuis. Nieuwe voorbeelden kunnen waterschappen zelf blijven aandragen c.q. toevoegen aan de collectie.

    Meer voorbeelddocumenten ten aanzien van informatieveiligheid in het algemeen kunt u raadplegen op: https://informatie veiligheid.pleio.nl en https://portaal.het waterschapshuis.nl/ Informatiebeveiliging. Voor beide websites zult u zich moeten registreren.

    VERWIJZINGEN EN LINKS

    In dit document zijn tal van verwijzingen toegepast. Al deze verwijzingen zijn klikbaar. De meeste verwijzingen leiden naar een andere locatie in de handreiking. Daar waar een verwijzing naar een ander document is opgenomen in de vorm van

    een internet URL, is een actieve internetverbinding noodzakelijk om de verwijzing te volgen naar het betreffende document.

    BEGRIPPEN

    Privacy en PrivacywetIn het dagelijks gebruik wordt de Wbp ook wel de Privacywet genoemd. Het begrip privacy omvat echter meer dan de bescherming van persoonsgegevens. In deze handreiking is met privacy alleen de bescherming van persoonsgegevens bedoeld.

    Autoriteit persoonsgegevens en College bescherming persoonsgegevensHet orgaan dat toezicht houdt op de bescherming van persoonsgegevens draagt formeel de naam College bescherming persoonsgegevens. Aan de Wbp is echter een bepaling toegevoegd die luidt: Het College bescherming persoonsgegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens. In deze handreiking worden de termen Autoriteit persoonsgegevens en College bescher ming persoonsgegevens, alsmede de bijbehorende afkortingen AP en CBP, afwisselend gebruikt zonder daarmee onderscheid te willen aanduiden.

    https://informatieveiligheid.pleio.nlhttps://informatieveiligheid.pleio.nlhttps://portaal.hetwaterschapshuis.nl/Informatiebeveiliginghttps://portaal.hetwaterschapshuis.nl/Informatiebeveiliging

  • AFKORTINGEN

    AP Autoriteit Persoonsgegevens AVG Algemene Verordening Gegevens

    beschermingBID Taskforce Bestuur en Informatie

    veiligheid DienstverleningBIWA Baseline Informatiebeveiliging

    WaterschappenBRP Basisregistratie PersonenBSN BurgerservicenummerCBP College Bescherming Persoons

    gegevensCIP Centrum voor Informatie

    beveiliging en PrivacybeschermingEU Europese UnieFG functionaris voor de gegevens

    beschermingHWH Het Waterschapshuis IBD De Informatiebeveiligingsdienst

    voor gemeentenUVW Unie van WaterschappenWbp Wet bescherming persoons

    gegevensWob Wet openbaarheid van bestuur

  • 1 INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS

    PRIVACY, EERBIEDIGING PERSOONLIJKE LEVENSSFEER, BESCHERMING PERSOONSGEGEVENS

    In de Grondwet is het recht op eerbiediging van de persoonlijke levenssfeer vastgelegd. In de volksmond genoemd het recht op privacy. Dit recht heeft onder andere betrekking op de bescherming van de lichamelijke integriteit, de woning, het briefgeheim en de bescherming van persoonsgegevens.

    DE WBP GEEFT REGELS VOOR HET VERWERKEN VAN PERSOONSGEGEVENS

    De Wbp heeft alleen betrekking op de bescherming van persoonsgegevens en geldt voor bedrijven en overheden. Persoonsg