Handreiking Bescherming Persoonsgegevens
Transcript of Handreiking Bescherming Persoonsgegevens
HAND REIKING BESCHERMING PERSOONSGEGEVENS VOOR WATERSCHAPPEN
COLOFON
UITGAVEUnie van Waterschappen
SAMENSTELLING AD HOC WERKGROEP PRIVACYJohn Boekelman, Amstel, Gooi en VechtLore van Breugel - Tienhoven, Aa en MaasCatherine Decanniere, Amstel, Gooi en VechtJoyce van Dinther - Broeksteeg, RivierenlandMichiel Dirriwachter, Unie van WaterschappenHeidi Eijsberg, ScheldestromenBen Giltjes, RivierenlandLinnie de Gouw, Aa en MaasAda Karimlou - Kranendonk, Brabantse DeltaYarno Muggen, Schieland en de KrimpenerwaardRuben Schutte, Hunze en Aa’s
VoorzitterWillem Wensink, Unie van Waterschappen
SecretarisRaymond Ingenhut, Het Waterschapshuis
DRUKWERKPRODUCTIEOpmeer bv, Den Haag
FOTOGRAFIEEnkele foto’s van Bart van Vliet
OPLAGE300 exemplaren
1Handreiking bescherming persoonsgegevens voor waterschappen
VOORWOORD
De Europese Unie (EU) werkt momenteel aan een Algemene Verordening Gegevensbescherming (AVG). Deze zal naar verwachting in 2016, met een invoeringsperiode van twee jaar, in werking treden. De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze geïmplementeerd is in de nationale wetgeving: in Nederland de Wet bescherming persoonsgegevens (Wbp). De AVG heeft straks rechtstreekse werking in alle lidstaten, zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wbp te vervallen.
Vooruitlopend op de komst van de AVG is op 1 januari 2016 de Nederlandse Wet meldplicht datalekken in werking getreden. Deze wet wijzigt met name de Wbp en raakt zodoende alle overheden en dus ook de waterschappen.
Niet alleen mag van de overheid verwacht worden dat regelgeving nageleefd wordt, de (financiële) consequenties van niet-naleven kunnen met de inwerkingtreding van de Wet meldplicht datalekken aanzienlijk zijn. Hoe groot de consequenties van de nieuwe privacywetgeving zijn, hangt in hoge mate samen met de vraag in hoeverre waterschappen op dit moment voldoen aan de huidige Wbp. Als waterschappen de huidige regels adequaat geïmplementeerd hebben, is een beperkt aantal aanpassingen nodig in verband met het van kracht worden van de Wet meldplicht datalekken. Is dat niet het geval, dan is er serieus werk aan de winkel.
De Unie van Waterschappen en Het Waterschapshuis hebben geconstateerd dat waterschappen veel vergelijkbare vragen stellen over (het implementeren) van de nieuwe wetgeving. Afgesproken is de krachten te bundelen en gezamenlijk (verder) invulling te geven aan de implementatie van de (nieuwe) privacyregelgeving. Concreet is een ad hoc werkgroep in het leven geroepen, die waterschappen nader informeert over de gevolgen van deze nieuwe regelgeving, goede voorbeelden van toepassingen zoals (stappen)plannen, beleid, procedures en contracten verzamelt en beschikbaar stelt en een handreiking opstelt. Deze middelen helpen u op weg om te voldoen aan de nieuwe wetgeving.
De nieuwe privacywetgeving heeft gevolgen voor alle waterschappen. Van belang is dat u bekend bent met de verwerkingen van persoonsgegevens in of namens uw eigen organisatie en weet welke processen privacyrisico’s met zich mee brengen. Op basis daarvan kunt u zo nodig de maatregelen treffen.
Voor u ligt een handreiking die u op weg kan helpen in dit proces. Deze handreiking bestaat uit een kort overzicht van de inhoud van de Wbp; een stappenplan om te kunnen voldoen aan de Wbp; en een stappenplan met betrekking tot de meldplicht datalekken.
Ik vertrouw erop dat deze handreiking in een behoefte voorziet en zal bijdragen aan het borgen van privacyregelgeving in de waterschapssector.
Albert VermuëAlgemeen directeur
3Handreiking bescherming persoonsgegevens voor waterschappen
INHOUDSOPGAVE
1 VOORWOORD
4 LEESWIJZER
8 INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS
10 STAPPENPLAN NALEVEN WET BESCHERMING PERSOONSGEGEVENS
18 STAPPENPLAN MELDPLICHT DATALEKKEN
26 BIBLIOGRAFIE
30 BIJLAGEN 31 Bijlage 1 Nadere toelichting op de Wet bescherming persoonsgegevens 39 Bijlage 2 De aankomende Algemene Verordening Gegevensbescherming 44 Bijlage 3 Archiefwet 46 Bijlage 4 Wet openbaarheid van bestuur 48 Bijlage 5 Basisregistraties
LEESWIJZER
ACTIEPUNTEN
Bij de tekst van de handreiking vindt u beknopte acties ten aanzien van het onderwerp waar de tekst ter plekke betrekking op heeft en die u kunt uitvoeren om invulling te geven aan het stappenplan. Deze actiepunten zijn herkenbaar als witte tekst in een blauw vlak:
VOORBEELD
Dit is een voorbeeld
AANDACHTSPUNTEN
Waar nodig worden bij de tekst extra aandachtpunten meegegeven. Deze zijn herkenbaar als zwarte cursieve tekst:
Dit is een voorbeeld van een kopje zwarte cursieve tekstDit is een voorbeeld van zwarte cursieve tekst
Er is voor gekozen om deze handreiking tot op zekere hoogte beknopt te houden. Veel onderwerpen worden daardoor noodzakelijkerwijs slechts kort aangestipt. Om tegemoet te komen aan eventuele behoefte
aan meer informatie over de verschillende onderwerpen zijn verwijzingen opgenomen naar online publicaties en voorbeelddocumenten.
EXTERNE PUBLICATIES
Daarnaast treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. Deze verwijzingen zijn herkenbaar als blauwe tekst:
Dit is een voorbeeld van een kopje blauwe tekst• Dit is een voorbeeld van een opsomming
blauwe tekst
De publicaties kunt u terugvinden in de bibliografie, alwaar ook de online vindplaats van de publicatie is weergegeven. Maakt u gebruik van de pdfversie van deze handreiking, dan kunt u daarop doorklikken naar de online locatie van de publicatie – zolang u een actieve internetverbinding heeft.
5Handreiking bescherming persoonsgegevens voor waterschappen
VOORBEELDEN VAN TOEPASSINGEN
Zoals eerder vermeld treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. De waterschappen hebben aangegeven dat ze naast nadere duiding ook veel baat verwachten van praktische voorbeelden van toepassingen zoals van (stappen)plannen, beleid, procedures en contracten. Waterschappen hebben een aantal voorbeelden aangedragen. Deze kunt u raadplegen op het portaal van Het Waterschapshuis via https://portaal.hetwaterschapshuis.nl/werkgroepprivacyOm deze voorbeelden te kunnen raadplegen zult u zich moeten registeren voor toegang tot het portaal van Het Waterschapshuis. Nieuwe voorbeelden kunnen waterschappen zelf blijven aandragen c.q. toevoegen aan de collectie.
Meer voorbeelddocumenten ten aanzien van informatieveiligheid in het algemeen kunt u raadplegen op: https://informatie veiligheid.pleio.nl en https://portaal.het waterschapshuis.nl/ Informatiebeveiliging. Voor beide websites zult u zich moeten registreren.
VERWIJZINGEN EN LINKS
In dit document zijn tal van verwijzingen toegepast. Al deze verwijzingen zijn klikbaar. De meeste verwijzingen leiden naar een andere locatie in de handreiking. Daar waar een verwijzing naar een ander document is opgenomen in de vorm van
een internet URL, is een actieve internetverbinding noodzakelijk om de verwijzing te volgen naar het betreffende document.
BEGRIPPEN
Privacy en PrivacywetIn het dagelijks gebruik wordt de Wbp ook wel de Privacywet genoemd. Het begrip ‘privacy’ omvat echter meer dan de bescherming van persoonsgegevens. In deze handreiking is met privacy alleen de bescherming van persoonsgegevens bedoeld.
Autoriteit persoonsgegevens en College bescherming persoonsgegevensHet orgaan dat toezicht houdt op de bescherming van persoonsgegevens draagt formeel de naam ‘College bescherming persoonsgegevens’. Aan de Wbp is echter een bepaling toegevoegd die luidt: “Het College bescherming persoonsgegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.” In deze handreiking worden de termen ‘Autoriteit persoonsgegevens’ en ‘College bescher ming persoonsgegevens’, alsmede de bijbehorende afkortingen ‘AP’ en ‘CBP’, afwisselend gebruikt zonder daarmee onderscheid te willen aanduiden.
AFKORTINGEN
AP Autoriteit Persoonsgegevens AVG Algemene Verordening Gegevens
beschermingBID Taskforce Bestuur en Informatie
veiligheid DienstverleningBIWA Baseline Informatiebeveiliging
WaterschappenBRP Basisregistratie PersonenBSN BurgerservicenummerCBP College Bescherming Persoons
gegevensCIP Centrum voor Informatie
beveiliging en PrivacybeschermingEU Europese UnieFG functionaris voor de gegevens
beschermingHWH Het Waterschapshuis IBD De Informatiebeveiligingsdienst
voor gemeentenUVW Unie van WaterschappenWbp Wet bescherming persoons
gegevensWob Wet openbaarheid van bestuur
1 INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS
PRIVACY, EERBIEDIGING PERSOONLIJKE LEVENSSFEER, BESCHERMING PERSOONSGEGEVENS
In de Grondwet is het recht op eerbiediging van de persoonlijke levenssfeer vastgelegd. In de volksmond genoemd het recht op privacy. Dit recht heeft onder andere betrekking op de bescherming van de lichamelijke integriteit, de woning, het briefgeheim en de bescherming van persoonsgegevens.
DE WBP GEEFT REGELS VOOR HET VERWERKEN VAN PERSOONSGEGEVENS
De Wbp heeft alleen betrekking op de bescherming van persoonsgegevens en geldt voor bedrijven en overheden. Persoonsgegevens zijn gegevens die direct (bijvoorbeeld naam en geboortedatum) of indirect (bijvoorbeeld IPadres) leiden tot de identificatie van een natuurlijk persoon. Deze gegevens kunnen geschreven zijn, maar kunnen ook bestaan uit beeld of geluid. Bij indirect identificerende
gegevens zijn nog nadere stappen nodig om tot identificatie van een persoon te komen. Alleen wanneer deze stappen zonder onevenredige inspanning te nemen zijn, is er sprake van persoonsgegevens.
Onder het verwerken van persoons gegevens wordt verstaan elke handeling met betrekking tot persoonsgegevens. Het omvat het gehele proces dat een persoonsgegeven doormaakt vanaf het moment van verzamelen tot en met het moment van vernietigen. Voorbeelden van verwerken: verzamelen, vastleggen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, uitwissen, vernietigen.
OP WELKE VERWERKING VAN PERSOONSGEGEVENS IS DE WBP VAN TOEPASSING?
De Wbp is van toepassing op persoonsgegevens die geheel of gedeeltelijk geautomatiseerd verwerkt worden. De Wbp is ook van toepassing op niet geautomatiseerde verwerkingen van persoons gegevens. Dan geldt wel het vereiste dat
9Handreiking bescherming persoonsgegevens voor waterschappen
deze gegevens in een bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen. De Wbp is niet van toepassing als de verwerking van persoonsgegevens uitsluitend betrekking heeft op persoonlijke of huishoudelijke activiteiten zoals telefoonlijstjes van vrienden en familie.Ook verwerkingen van persoonsgegevens in het kader van onder andere de Kieswet, de Wet basisregistratie personen en de Politiewet 2012 vallen niet onder de regels van de Wbp.
VERZOEK OM INFORMATIE EN INZAGE VAN PERSOONSGEGEVENS
De betrokkene heeft het recht om, met redelijke tussenpozen, een bedrijf, instelling of overheid te vragen of van hem persoonsgegevens worden verwerkt. De `betrokkene hoeft geen reden, belang of doel van zijn verzoek aan te geven. Het recht op inzage moet zeer ruim worden opgevat. Wanneer er persoonsgegevens worden verwerkt van betrokkene dan moet aan hem een volledig overzicht van de verwerkte persoonsgegevens worden verstrekt in een begrijpelijke vorm. Dit kan in de vorm van afschriften, kopieën of uittreksels. Buitensporige verzoeken, wanneer bijvoorbeeld extreem veel docu
menten verstrekt moeten worden, mogen echter afgewezen worden.
Interne notities, werkaantekeningen en persoonlijke gedachten van medewerkers vallen niet onder het inzagerecht.
Toelichting op de wet• Bijlage: Nadere toelichting op de Wbp• Bijlage: Nadere toelichting op de aanko
mende AVG• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp• CIP – Meldplicht Datalekken• SURF – Raamwerk van de Wbp en AVG
Aandachtspunt verwerkingDe geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP of uw functionaris gegevensbescherming. Op grond van het vrijstellingsbesluit is een aantal categorieën van verwerkingen vrijgesteld van deze meldplicht.
VrijstellingsbesluitAP – Handreiking Vrijstellingsbesluit Wbp
2 STAPPENPLAN NALEVEN WET BESCHERMING PERSOONSGEGEVENS
INLEIDING
Het vorige hoofdstuk heeft u een korte inleiding gegeven in de Wbp. Een nadere toelichting op de Wbp vindt u in bijlage 1. Dit stappenplan beschrijft de stappen die doorlopen kunnen worden om ervoor te zorgen dat uw organisatie voldoet aan de Wet bescherming persoonsgegevens.
Scope van het stappenplanDit stappenplan is nadrukkelijk geen alomvattende procedure. U zult zelf een uitwerking en vertaling moeten maken die bij uw organisatie(inrichting) past.
Meldplicht datalekkenOp 1 januari 2016 is de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid in werking getreden. Deze betreft een wijziging van de Wbp (en enige andere wetten). Dit stappenplan geeft geen invulling aan de Wet meldplicht datalekken. Meer informatie over het omgaan met de meldplicht datalekken vindt u in hoofdstuk 3 ‘stappenplan meldplicht datalekken’.
InformatiebeveiligingDe praktijk van het beschermen van persoonsgegevens heeft veel raakvlakken met informatiebeveiliging. Dit stappenplan beperkt zich echter tot de Wet bescherming persoonsgegevens. Voor meer informatie over het toepassen van informatiebeveiliging bij de waterschappen verwijzen we u graag naar de Baseline Informatiebeveiliging Waterschappen (BIWA). Een link naar de BIWA vindt u op verschillende plaatsen in deze handreiking, waaronder in de bibliografie.
STAP 1: INVENTARISEER WAAR IN UW ORGANISATIE PERSOONSGEGEVENS WORDEN VERWERKT
Een datainventarisatie is nooit compleet, maar de bedoeling is wel om zo compleet mogelijk te zijn. Om zo efficiënt mogelijk te werken kan de inventarisatie het best met een focus op proces en appli catieniveau worden uitgevoerd.
11Handreiking bescherming persoonsgegevens voor waterschappen
ACTIES
• Vraag informatie over het gebruik van persoonsgegevens in werk en bedrijfsprocessen aan medewerkers die werkzaam zijn in deze processen.
• Raadpleeg aanwezige documentatie zoals referentiearchitectuur, informatiearchitectuur, proces beschrijvingen en applicatielandschap.
• Raadpleeg derden wanneer taken extern zijn belegd zoals in regionale uitvoeringsorganisaties, gemeenschappelijke regelingen en andere samenwerkingsverbanden zoals vaak het geval is bij bijvoorbeeld belastingtaken.
Onderzoeksmethoden• AP – Wbp Quickscan• AP – Wbp Zelfevaluatie
Aandachtspunt uitvraag Tijdens een uitvraag onder medewerkers komt informatie over het verwerken van persoonsgegevens op bestandsniveau vanzelf naar boven.
STAP 2: BEPAAL WELKE (EIGEN) WET EN REGELGEVING NAAST DE WBP VAN TOEPASSING IS OP SPECIFIEKE PERSOONSGEGEVENS EN WELKE INVLOED DEZE HEEFT OP DE WERKING VAN DE WBP
Naast de Wbp is in enkele gevallen ook andere wet en regelgeving van toepassing op de verwerking van persoonsgegevens, bijvoorbeeld de Archiefwet. Op bepaalde verwerkingen van persoonsgegevens is de Wbp niet van toepassing, maar geldt een specifieke wet, bijvoorbeeld de Kieswet.
Een aantal specifieke wetten die zien op persoonsgegevens Wet basisregistratie personen, Wet justitiële en strafvorderlijke gegevens, Kieswet, Algemene wet inzake rijksbelastingen, de Wet openbaarheid van bestuur en de Archiefwet.
Andere wetgeving en de Wbp• Bijlage: Archiefwet• Bijlage: Basisregistraties• Bijlage: Wet openbaarheid van bestuur
STAP 3: BEPAAL WELKE ROL UW ORGANISATIE HEEFT TEN AANZIEN VAN DE VERWERKING VAN SPECIFIEKE PERSOONSGEGEVENS
Afhankelijk van of u verantwoordelijke of bewerker bent ten aanzien van de verwerking van persoonsgegevens heeft u andere verplichtingen en verantwoordelijkheden ten aanzien van de bescherming van de betreffende persoonsgegevens.
ACTIES
• Bepaal of u verantwoordelijke bent ten aanzien van het persoonsgegeven.
• Bent u verantwoordelijke? Bepaal of er bewerkers in de keten actief zijn.
• Zijn er bewerkers actief? Stel dan eisen aan de betreffende bewerkers door een bewerkersovereenkomst af te sluiten met de betreffende partij. (Zie bijlage 1 Nadere toelichting op de Wbp, Punt 6)
Taakoverdracht aan o.a. gemeenschappelijke regelingenRegelmatig dragen waterschappen taken over aan een gemeenschappelijke regeling, zoals het heffen en invorderen van waterschapsbelastingen. Deze organisatie verwerkt de persoonsgegevens voor de doeleinden zoals die beschreven staan in de gemeenschappelijke regeling en niet ten behoeve van het waterschap.De gemeenschappelijke regeling heeft in dat geval zeggenschap over de persoonsgegevens die nodig zijn voor de uitvoering van de taak. Het bestuur van de gemeenschappelijke regeling is verantwoordelijke ten aanzien van de betreffende persoonsgegevens.
Regelen met bewerkers• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp hoofdstuk 2• IBD – Bewerkersovereenkomst
Cloudcomputing• SURF – Rapport De wolk in het onderwijs;
Privacy aspecten bij cloud computing services» hoofdstuk 2
• EC – Opinion 05/2012 on Cloud Computing
AansprakelijkheidFormuleer bij het afsluiten van een bewerkersovereenkomst ook een passende aansprakelijkheidsclausule.
STAP 4: BEOORDEEL DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONS GEGEVENS
Doel van verwerkingOp grond van de Wbp moet het doel van de verwerking van de persoonsgegevens voor
inwinning van de persoonsgegevens worden bepaald en vastgelegd. Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerecht vaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn. De Wbp bevat een algemene norm over de kwaliteit van een verwerking van persoonsgegevens. Persoonsgegevens moeten gelet op het doel waarvoor ze worden verwerkt niet bovenmatig, toereikend, ter zaken dienend en juist zijn.
Grondslag voor verwerkingOm te kunnen bepalen of persoonsgegevens rechtmatig worden verwerkt is het noodzakelijk de grondslag voor de verwerking te bepalen. Vaak is echter bij het initieel bepalen van de in te winnen informatie wel bedacht voor welke taak gegevens noodzakelijk zijn, maar is de juridische grondslag voor de verwerking niet vastgelegd.
ACTIES
• Stel per verwerking van persoonsgegevens in ieder geval vast:
• Het doel van de verwerking.• De grondslag van de verwerking.• Welke persoonsgegevens verwerkt
worden.• Herkomst van de persoonsgegevens.• Of er een informatieplicht is naar de
betrokkene.• Of er een meldplicht is naar de AP.
Risico’s bepalen• AP – Richtsnoeren beveiliging van
persoonsgegevens
13Handreiking bescherming persoonsgegevens voor waterschappen
Rechtmatige verwerking• AP – Handleiding Wet bescherming
persoonsgegevens, Schema 3
Informatieplicht• AP – Handleiding Wet bescherming
persoonsegevens, Schema 5
Zes (limitatieve) grondslagen voor verwerking van persoonsgegevens• Ondubbelzinnig toestemming van de
betrokkene.• Noodzakelijk voor de uitvoering van een
overeenkomst.• Noodzakelijk om een wettelijke verplich
ting na te komen.• Noodzakelijk ter vrijwaring van een
vitaal belang van betrokkene.• Noodzakelijk voor de goede vervulling
van een publiekrechtelijke taak.• Noodzakelijk voor de behartiging van het
gerechtvaardigde belang van de verantwoordelijke tenzij de rechten en vrijheden van de betrokkene (in het bijzonder recht op de bescherming van de persoonlijke levenssfeer) prevaleert.
Uitvoeren van een wettelijke taakAls de verwerking van persoonsgegevens noodzakelijk is voor het uitvoeren van een wettelijke taak van het waterschap, dan is geen toestemming vereist van de betrokkene.
Toestemming van de betrokkeneHet heeft sterk de voorkeur om de grondslag “toestemming van betrokkene” alleen te kiezen als geen enkele andere grondslag van toepassing is.
Let opAls gekozen is voor de grondslag “toestemming van de betrokkene” en de betrokkene trekt zijn toestemming in dan ontbreekt op dat moment een grondslag voor de ver werking van betreffende persoons gegevens. Dat betekent dat vervolgens een rechtsgeldige grondslag gevonden moet worden voor de verwerking van betreffende persoonsgegevens. De betrokkene moet op de hoogte gesteld worden van deze (nieuwe) grondslag. Is na intrekking van de toestemming geen andere grondslag van toepassing dan moeten betreffende persoonsgegevens verwijderd worden.
Bijzondere persoonsgegevensHet verwerken van bijzondere persoonsgegevens is verboden, tenzij voldaan is aan de extra strikte regels uit de Wbp. Bijzondere persoonsgegevens zijn: persoons gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoons gegevens en het BSN.
Geen grondslagAls blijkt dat er geen bestaande grondslag is voor de verwerking van persoonsgegevens dan is de verwerking niet rechtmatig. Is de verwerking van de persoonsgegevens toch wenselijk in het kader van bijvoorbeeld de bedrijfsvoering, dan kan er alsnog om toestemming gevraagd worden. Daarmee ontstaat alsnog een grondslag voor de verwerking.
ACTIES
• Bepaal of er toestemming is gevraagd en gegeven voor de verwerking van het persoonsgegeven in relatie tot het doel waarvoor u het gegeven verwerkt.
• Is dat niet het geval? Bepaal dan of er toestemming is gevraagd en gegeven voor de verwerking van het persoonsgegeven voor een doel waarmee uw huidige doel verenigbaar is.
• Is dat niet het geval? Bepaal dan of het verwerken van het betreffende persoonsgegeven wenselijk is en waarom.
• Is het verwerken wenselijk? Vraag dan alsnog toestemming voor de verwerking.
• Is de verwerking niet wenselijk? Ga dan over tot vernietiging van de reeds ingewonnen gegevens en stop het inwinnen van nieuwe gegevens.
Verenigbaarheid van doelenWat verenigbaar is hangt af van de omstandigheden en het specifieke geval. Bij de beoordeling moet in ieder geval met de volgende factoren rekening worden gehouden:• Verwantschap tussen doel waarvoor
gegevens zijn verkregen en het beoogde doel.
• Aard van de gegevens.• Gevolgen van de beoogde verwerking
voor de betrokkene.• De wijze waarop de gegevens zijn
verkregen.• Verwachting betrokkenen.• De mate waarin jegens de betrokkene
wordt voorzien in passende waarborgen.
Vernietigen van persoonsgegevensLet er bij het vernietigen van persoonsgegevens op dat u een passende vernietigingsprocedure hanteert en dat u deze procedure heeft vastgesteld en de daadwerkelijke vernietiging registreert.
STAP 5: PRIVACY RISICO’S BEPALEN
Bij een privacyrisicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat de schade is die op zou kunnen optreden als een bedreiging zich daadwerkelijk voordoet.
ACTIES
• Bepaal de aard van de te verwerken persoonsgegevens.
• Bepaal de impact van een eventuele inbreuk op de beveiliging van de te verwerken persoonsgegevens.
Risico’s bepalen• AP – Richtsnoeren beveiliging van
persoonsgegevens
Dataclassificatie• Taskforce BID – BIWA Dataclassificatie• IBD – Handreiking dataclassificatie
15Handreiking bescherming persoonsgegevens voor waterschappen
STAP 6: BEPALEN GENOMEN EN TE NEMEN MAATREGELEN
De bedoeling van een risicoanalyse is dat er na de analyse wordt vastgesteld op welke wijze de risico’s beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau door (informatiebeveiligings)maat regelen te treffen. Daarbij wordt naast een risicoanalyse ook een kosten en baten analyse uitgevoerd.
ACTIE
Bepaal passende technische, juridische, beleidsmatige en organisatorische beveiligingsmaatregelen, leg deze vast en voer ze door.
Afdekken risico’s Niet ieder risico hoeft te worden afgedekt: wanneer de kosten van maatregelen hoger zijn dan de mogelijke schade, kan besloten worden het restrisico te accepteren. De verantwoordelijke bepaalt of de gegevensclassificatie juist is en of beargumenteerd van daaraan gekoppelde maatregelen kan worden afgeweken.
Maatregelen• UvW – Baseline Informatiebeveiliging
Waterschappen• AP – Richtsnoeren, Beveiliging van
persoonsgegevens• SURF – Model Beleid Verwerking Per
soonsgegevens• SURF – Leidraad Model Beleid
Verwerking Persoonsgegevens• IBD – Bewerkersovereenkomst• IBD – Handreiking communicatieplan
informatiebeveiligings
Voorbeelden van maatregelen• Technische maatregelen: o.a. scheiden
van opslag van persoons gegevens van andere gegevens.
• Juridische maatregelen: o.a. bewerkersovereenkomst.
• Organisatorische maatregelen: o.a. incidentenregistratie, interne procedures, communicatieplan, educatieplan en bewustwordingsprogramma.
STAP 7: BORGING, MONITOREN EN EVALUEREN: BEHEERSEN WE HET PROCES?
Het is voor de informatieveiligheid van belang ervoor te zorgen dat de organisatie alle geïntroduceerde beveiligingsprocessen en procedures ook op langere termijn blijft hanteren. Daarvoor is het aan te raden bij nieuwe of wijzigende processen en projecten waarbij mogelijk persoonsgegevens worden verwerkt vanaf het begin aandacht te vragen voor rechtmatige inwinning, gebruik en beveiliging van persoonsgegevens.
ACTIES
• Stel (een beperkt aantal) korte en lange termijn privacydoelstellingen vast. Deze kunnen als de organisatie daar de waarde van ziet verder gaan dan het voldoen aan de wet. Bijvoorbeeld om de organisatie onderscheidend vermogen te geven.
• Stel een evaluatieprogramma op basis van de vastgestelde doelstellingen op en definieer meetbare metrix waarover periodiek aan de organisatie (bestuur, management en personeel) wordt gerapporteerd.
• Stel een educatie, bewustwordings en communicatieprogramma op om nieuwe medewerkers te instrueren en bestaande medewerker in te lichten over nieuwe werkwijzen en gewijzigde vereisten.
ACTIES
• Voer privacy impact assessments in voor alle nieuwe of wijzigende processen en projecten
• Voer periodieke privacy audits in om onafhankelijke toetsing te garanderen en bewijslast te creeren voor de inspanningen van de organisatie.
Bewustwording• IBD – Handreiking communicatieplan
informatiebeveiliging
Privacy audit• AP – Raamwerk Privacy Audit
Privacy impact assessment• CIP – Privacy Impact Assessments:
Wat is het, hoe doe je het en hoe pak je het aan?
• IBD – Toelichting PIA• IBD – Verslag PIA• IBD – Vragenlijst PIA• Norea – Privacy Impact Assessment
(PIA), Introductie, handreiking en vragenlijst
• SURF – Model Privacy Impact Assessment PIArisicoformulier
• SURFModel Privacy Impact Assessment toelichting […] het PIArisicoformulier
PrivacydoelstellingenVerbind de privacydoelstellingen aan de organisatiedoelstellingen om het management en het bestuur ook op langere termijn als stakeholder te verbinden aan het programma en voldoende middelen voor het programma veilig te stellen.
3 STAPPENPLAN MELDPLICHT DATALEKKEN
INLEIDING
De Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid is op 1 januari 2016 in werking getreden en betreft een wijziging van de Wbp (en enige andere wetten). Het is voortaan verplicht elk datalek te melden bij het College bescherming persoonsgegevens (CBP), voortaan ook de Autoriteit Persoonsgegevens (AP) genoemd. In een aantal situaties moet het datalek ook gemeld worden aan de betrokkene. Dat is de persoon wiens persoonsgegevens zijn gelekt. Met de nieuwe meldplicht loopt Nederland vooruit op de AVG.
Wat is een datalek?De Wbp vereist van de verantwoordelijke dat deze passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen tegen verlies of tegen elke vorm van onrechtmatig gebruik. Iedere inbreuk op deze beveiliging wordt een datalek genoemd. We spreken dus van een datalek als er sprake is van onbevoegde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van diegene die verantwoordelijk is voor deze gegevens.
Ook verlies van persoonsgegevens bij bijvoorbeeld een brand geldt als een datalek als de gegevens daarbij verloren zijn gegaan en niet kunnen worden gereconstrueerd met behulp van bijvoorbeeld een backup. Een lek waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, valt dus niet onder de meldplicht datalekken.
De inbreuk op de beveiliging van persoonsgegevens kan bestaan uit:
• Tekortschietende beveiligingsmaatregelen.
• Beveiligingsmaatregelen die teniet worden gedaan of worden omzeild.
• Inadequate of onvakkundig toegepaste beveiliging door de verantwoordelijke zelf.
• Menselijke fouten van ondergeschikten van de verantwoordelijke en eventuele verwerkers.
Mogelijke bronnen van een inbreuk op de beveiliging kunnen zijn:
• Kwaadwillende buitenstaander.• Toevallig verlies.• Kwaadwillende insider.• Hacker/activist.
19Handreiking bescherming persoonsgegevens voor waterschappen
Verplicht bijhouden logboek van inbreuken op beveiliging De verantwoordelijke houdt een overzicht bij van alle inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens.
Uitbreiding boetebevoegdheden AP De boetebevoegdheden van de AP zijn aanzienlijk verruimd:
• Met ingang van 1 januari 2016 bedraagt de maximale boete 820.000 euro (i.p.v. 4.500 euro). Dit maximum geldt onder andere voor het niet melden van een datalek.
• Boetes kunnen worden opgelegd voor alle overtredingen van de Wbp. Zo geldt de maximale boete o.a. ook voor het zonder rechtsgrond verwerken van persoonsgegevens, het langer bewaren van persoonsgegevens dan noodzakelijk en het zonder gerechtvaardigd doel verzamelen van persoonsgegevens.
• Voordat de boete mag worden opgelegd moet de AP een bindende aanwijzing geven. De bindende aanwijzing is niet vereist wanneer er sprake is van opzet of ernstig verwijtbare nalatigheid.
Autoriteit persoonsgegevens Het orgaan dat toezicht houdt op de bescherming van persoonsgegevens blijft formeel de naam “College bescherming persoonsgegevens” dragen. Aan de Wbp wordt echter een bepaling toegevoegd die luidt: “Het College bescherming persoonsgegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.”
Scope van het stappenplan Het melden van een datalek naar de Autoriteit persoonsgegevens en in sommige gevallen de betrokkene is dus een wettelijk vereiste. De Autoriteit persoonsgegevens heeft naar aanleiding van de Wbp bepaalde kwaliteits ver wachtingen van de manier waarop uw organisatie met de beveiliging van persoonsgegevens omgaat en van de manier waarop uw organisatie – wanneer zich ondanks alle beveiligingsmaatregelen toch een datalek voordoet – met een datalek omgaat. De Autoriteit Persoons gegevens kan uw organisatie te allen tijde vragen inzicht te geven in de maatregelen die uw organisatie daartoe heeft genomen.
Dit stappenplan beschrijft de stappen die doorlopen kunnen worden bij het omgaan met datalekken: het schetst een globaal beeld van een incidentmanagementprocedure. De melding zelf is daar slechts een onderdeel van. Het stappenplan is nadrukkelijk geen uitgewerkte procedure die u ter hand kunt nemen wanneer zich een incident voordoet. U zult zelf een uitwerking en vertaling moeten maken die bij uw organisatie(inrichting) past.
Tijdens het doorlopen van het stappenplan om tot een incidentmanagementprocedure te komen, zult u al snel ontdekken dat dit plan niet los te zien is van de manier waarop uw organisatie verder met de Wbp omgaat. Het aanpakken van een incident wordt immers al snel bemoeilijkt als de organisatie geen goed beeld heeft van waar en door wie persoonsgegevens in de organisatie worden verwerkt, en welke beveiligingsmaatregelen de organisatie daarbij heeft genomen.
Iemand die schade lijdt omdat het waterschap zich niet houdt aan de voorschriften van de Wbp kan het waterschap aansprakelijk stellen op grond van artikel 49 van de Wbp. Er geldt hier een omgekeerde bewijslast, dat wil zeggen het waterschap moet bewijzen dat de schade het waterschap niet kan worden toegerekend.
Voorbeelden van mogelijke oorzaken voor een datalek• een kwijtgeraakte USBstick• een gestolen laptop• een inbraak door een hacker• verzending van email waarin de email
adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden
• een calamiteit zoals een brand in een datacentrum
• gebroken encryptie/beveiliging waardoor toegang tot persoonsgegevens voor onbevoegden ontstond (bijv. gelekt wachtwoord van PIMS/Cloud/teamsite, etc.)
• verloren en vernietigde papieren met persoonsgegevens of bedrijfsgegevens (verlies van informatie)
• ongeautoriseerde toegang van een laptop, tablet of smartphone met bedrijfsgegevens/persoonsgegevens
ACTIES
• Creëer bewustzijn voor privacy bescherming en het fenomeen datalek bij bestuur, management en medewerkers.
• Stel een incidentmanagementplan of procedure vast.
• Stel een portefeuillehouder privacy aan op bestuurlijk niveau. Deze kan als sponsor het belang en de urgentie van privacy uitdragen.
• Stel een projectleider privacy en eventueel een functionaris gegevensbescherming aan.
• Stel een incident response team aan.
Datalekken• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp hoofdstuk 3• CIP – Meldplicht Datalekken• paragraaf 2.1 en 2.2
Voorbeelden van persoonsgegevens• Naam • Adres• Woonplaats• Postcode• IPadres• Bankrekeningnummer• Foto• Medische gegevens• Kadastrale informatie• BSNnummer• Telefoonnummer• Kenteken • Geboortedatum
Incidentmanagement• IBD – Voorbeeld incidentmanagement
en responsebeleid
Tip Ook een privacyincident kan zich tot een calamiteit ontwikkelen, bijvoorbeeld als het incident onbeheersbaar blijkt of de gevolgen voor betrokkenen groot zijn. Zorg daarom dat een incidentmanagementplan en organisatie aansluit op het calamiteitenplan en de bijbehorende organisatie.
21Handreiking bescherming persoonsgegevens voor waterschappen
STAP 1: DETECTEREN VAN EEN DATALEK
Een datalek kan door iedereen op allerlei manieren gedetecteerd en gemeld worden. Bijvoorbeeld door:
• Derden, zoals burgers, media, partners, hackers.
• Medewerkers van de verantwoordelijke of een van de bewerkers.
• Het informatiebeveiligingsteam van de verantwoordelijke of een van de bewerkers.
Het is van belang dat iemand die een datalek wil melden weet hoe, waar en wanneer deze een melding kan doen.
ACTIES
• Richt een meldpunt in.• Maak een werkinstructie zodat
medewerkers weten hoe ze moeten handelen.
• Controleer of u de juiste afspraken heeft gemaakt met eventuele bewerkers zodat u als verantwoordelijke aan uw zorgplicht kunt voldoen.
Tips• Houd bij de inrichting van het meldpunt
en de werkinstructie rekening met meldingen van buiten de eigen organisatie.
• U kunt maatregelen nemen om op een verantwoorde wijze kwetsbaarheden in ICTsystemen en procedures te melden en openbaar te maken (responsible disclosure), zodat schade zo veel mogelijk kan worden voorkomen of beperkt.
Responsible disclosure• NCSC – Leidraad om te komen tot een
praktijk van responsible disclosure• IBD – Responsible disclosure• SURF – Implementatiehandleiding
responsible disclosure
Regelen met bewerkers• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp hoofdstuk 2• IBD – Bewerkersovereenkomst
STAP 2: REGISTREREN VAN EEN DATALEK
De verantwoordelijke is verplicht een overzicht bij te houden van alle inbreuken die leiden tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Deze registratie is van belang voor:
• Bewijsvoering bij een eventueel ( juridische) vervolgprocedure.
• Het trekken van lering uit het datalek en de wijze waarop dit is afgehandeld.
• Antwoord kunnen geven aan betrokkenen en de AP.
• Alsnog melden van het datalek aan betrokkenen, indien dit in eerste instantie niet nodig bleek te zijn. Door veranderde omstandigheden kan het echter zijn dat dit achteraf alsnog gedaan moet worden.
Het overzicht bevat in ieder geval:
• Feiten en gegevens omtrent de aard van de inbreuk.
• De tekst van de kennisgeving aan betrokkene.
ACTIE
Richt een incidentenregistratie in of breidt een bestaande incidentenregi stratie uit conform de eisen uit de wet. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk en de tekst van de kennisgeving aan de betrokkenen.
Registreren van datalekken• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp hoofdstuk 10
STAP 3: BEPALEN MELDPLICHT
Voor u kunt bepalen of u meldplichtig bent en aan wie u meldplichtig bent, bepaalt u eerst uw verantwoordelijkheid ten aanzien van de gegevens en of u volgens de Wbp verantwoordelijke of bewerker bent. In veel gevallen zal het waterschap de verantwoordelijke zijn voor de verwerking van persoonsgegevens door het waterschap.
U bent bewerker
ACTIE
Bepaal aan de hand van uw overeenkomst met de verantwoordelijke of en wanneer u het datalek bij de verantwoordelijke moet melden of eventueel rechtstreeks aan de Autoriteit Persoonsgegevens.
U bent verantwoordelijke
1. Melden aan de Autoriteit Persoonsgegevens
Een datalek moet uiterlijk op de tweede werkdag ná de ontdekking worden gemeld aan de Autoriteit Persoonsgegevens:
• Wanneer er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens.
• Wanneer een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Een lek heeft ernstig gevolgen als het om een grote hoeveelheid data gaat (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig).
Aan de Autoriteit Persoonsgegevens moet minimaal worden gemeld:
• De aard van de inbreuk.• De instanties waar meer informatie over
de inbreuk kan worden verkregen.• De aanbevolen maatregelen om de
negatieve gevolgen van de inbreuk te beperken.
23Handreiking bescherming persoonsgegevens voor waterschappen
• De geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens.
• De maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
Het heeft echter de voorkeur direct zo volledig mogelijk te zijn.
ACTIES
• Bepaal de aard van de gelekte gegevens
• Bepaal of u op basis van deze classificatie of u meldplichtig bent richting de Autoriteit Persoonsgegevens.
• Bent u meldplichtig? Meld uw datalek dan via het daarvoor bij de Autoriteit Persoonsgegevens beschikbare meldingsformulier.
• Verzamel (forensische) bewijsmateriaal en bewaar en registreren dit bij of in je incidentenregistratie.
• Specialistisch onderzoek doen en herstel uitvoeren: (forensisch)onderzoek en herstel kan zelf d.m.v. inzet van een particulier beveiligings bureau of inschakelen van een instantie.
Melden• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp, hoofdstuk 4 t/m 6
Dataclassificatie• Taskforce BID – BIWA Dataclassificatie• IBD – Handreiking dataclassificatie
2. Melden aan de betrokkenen Een datalek moet onverwijld aan de betrokken persoon worden gemeld wanneer het datalek (waarschijnlijk) ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkene. Deze gevolgen kunnen materieel zijn, zoals financiële schade door misbruik van bankgegevens, of immaterieel, zoals discriminatie. Uw organisatie mag eerst nader onderzoek doen om de betrokkene in één keer op een zorgvuldige manier te kunnen informeren. Let wel: de betrokkene zal maatregelen willen nemen naar aanleiding van het datalek. Voortvarendheid van uw organisatie is dus gewenst!
Aan betrokkene moet minimaal worden gemeld:
• De aard van de inbreuk.• De instanties waar meer informatie over
de inbreuk kan worden verkregen.• De aanbevolen maatregelen om de
negatieve gevolgen van de inbreuk te beperken.
ACTIES
• Bepaal of u op basis van de classificatie of u meldplichtig bent richting betrokkene.
• Bent u meldplichtig? Meld uw datalek en richt indien nodig nazorg voor de betrokkenen in.
Melden• AP – Beleidsregels voor toepassing van
artikel 34a v.d. Wbp, hoofdstuk 7 t/m 9
Geen melding Melding kan achterwege blijven als de betreffende persoonsgegevens onbegrijpelijk (encryptie) of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
3. Aangifte doen bij de politieAls er sprake is van cybercrime/virtuele diefstal (moedwillig misbruik/schade aangebracht, virtuele spullen gestolen), is het wenselijk dat u aangifte doet bij de politie. Hier is sprake van bij verlies van beschikbaarheid, vertrouwelijkheid of integriteit van informatie door bijvoorbeeld ransomware, cryptoware of een hack.
Aangifte is verplicht wanneer ICTvoorzieningen worden misbruikt en hierbij vermoedens bestaan van een ernstig misdrijf conform artikel 160 van het wetboek van strafrecht. Bij twijfel kunt u deskundige hulp inschakelen, bijvoorbeeld van een beveiligingsadviesbureau of een particulier recherchebureau, om het onderzoek te begeleiden of het beveiligingsincident op te volgen. Indien het datalek is ontstaan door computervredebreuk (‘hacking’), kunt u hiervan aangifte doen. Het is zeker aan te bevelen om dit te doen als blijkt dat er misbruik gemaakt is van gegevens of als er financiële schade is geleden. Politie en Openbaar Ministerie besluiten zelf tot onderzoek en eventueel vervolging over te gaan.
ACTIES
Van alle criminaliteit kunt u aangifte doen via het telefoonnummer 09008844 of bij uw lokale wijkteam. Van een aantal delicten kunt u ook online aangifte doen. https://www.politie.nl/themas/cybercrime.html of anoniem via https://www. meldknop.nl/misbruik/virtuelediefstal/
Tip Bij een aangifte is het belangrijk om zoveel mogelijk sporen te verzamelen of de sporen in ieder geval niet te wissen zodat de politie deze veilig kan stellen.
4. Melden bij het NCSCHet melden van cybercrime bij het NCSC is niet verplicht maar levert een substantiële bijdrage aan het inzichtelijk maken van cybercrime. De meldingen leveren ook een bijdrage aan de beleidsformulering van diverse (overheids)instanties. Van een melding wordt geen procesverbaal opgemaakt.
ACTIE
Een melding doen aan het NCSC kan via [email protected] en in noodgevallen buiten kantooruren [email protected].
25Handreiking bescherming persoonsgegevens voor waterschappen
STAP 4: DICHTEN VAN EEN DATALEK
Om te kunnen bepalen hoe een datalek het best verder kan worden afgehandeld, is het noodzakelijk om eerst te bepalen of het lek voor de organisatie beheersbaar is. Als dat niet zo is, dan is het verstandig het incident te escaleren en op te schalen naar de calamiteitenprocedure.
ACTIES
• Bepaal waar het lek vandaan komt.• Bepaal de omvang van het lek.• Bepaal of het lek beheersbaar is; zo
niet, schaal dan op naar de gangbare calamiteitenprocedure.
• Bepaal of er gerelateerde incidenten waarneembaar zijn.
• Zo ja, bepaal welke noodmaatregelen genomen kunnen worden.
STAP 5: BORGEN VAN VEILIGHEID
Als het lek eenmaal is gedicht met behulp van noodmaatregelen, dan kan de organisatie overgaan tot het omzetten van de noodmaatregelen naar structurele maatregelen om herhaling van een soortgelijk incident te voorkomen.
ACTIES
• Voer technische, organisatorische en beleidsmaatregelen door om het lek te dichten.
• Beschrijf de genomen maatregelen en registreren deze bij of in de incidenten registratie.
Maatregelen• UvW – Baseline informatiebeveiliging
waterschappen• AP – Richtsnoeren beveiliging van
persoonsgegevens
BIBLIOGRAFIE
• Jean Pierre, G. Kuipers, & R. De Bruijn. (2015, November). Meldplicht datalekken, versie 2.0. Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy. Retrieved from: http://www.cipoverheid.nl/wpcontent/uploads/2015/11/ 20151130_meldplicht_v2_0_def01.11.pdf
• PolderdijkRijntjes, M. van Heumen, A. Paulissen, & H. Alfons. (2014a, December). Model Privacy Impact Assessment; PIA risico formulier. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank /2015/201412piarisicoformulier.pdf
• PolderdijkRijntjes, M. van Heumen, A. Paulissen, & H. Alfons. (2014b, December). Model Privacy Impact Assessment; Toelichting en invulinstructie bij gebruik van het PIA risico formulier. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201412modelprivacyimpactassessment.pdf
• European Commission, Article 29 data protection working party. (2012, July 1). Opinion 05/2012 on Cloud Computing. European Commission, Article 29 data protection working party. Retrieved from: http://ec.europa.eu/justice/dataprotection/article29/documentation/opinion-recommendation/files/2012/wp196_en.pdf
• Baseline Informatiebeveiliging Waterschappen. (2013, Oktober). Unie van Waterschappen. Retrieved from: https://www.uvw.nl/wpcontent/uploads/2013/10/BaselineInformatiebeveiligingwaterschappen2013.pdf
• Dataclassificatie: Een operationeel product op basis van de Baseline Informatiebeveiliging Waterschappen (BIWA). (2014, November 13). Taskforce Bestuur & Informatieveiligheid Dienstverlening. Retrieved from: https://informatieveiligheid.pleio.nl/file/download/29245022
27Handreiking bescherming persoonsgegevens voor waterschappen
• Bewerkersovereenkomst. (2014, February). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/140218bewerkersovereenkomstv1.0.pdf
• CBP Richtsnoeren, Beveiliging van persoonsgegevens. (2013, February). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/downloads/rs/rs_2013_richtsnoerenbeveiligingpersoonsgegevens.pdf
• CBP Richtsnoeren, Publicatie van persoonsgegevens op internet. (2007, December). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/downloads/rs/rs_20071211_persoonsgegevens_op_internet_definitief.pdf
• Handleiding Wet bescherming persoonsgegevens. (2002, April), Ministerie van justitie. Retrieved from: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/brochures/2006/07/13/handleidingwetbeschermingpersoonsgegevens/handleidingwetbeschermingpersoonsgegevens.pdf
• Van Cauwenberghe, M. Zwinkels, L. Petersen, W. Bakker, R. Hageman, & C. Baartsmans. (2014, December). Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming. (SURF Projectgroep “Voorbereideing Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201501raamwerkprivacyavg.pdf
• De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp): Beleidsregels voor toepassing van artikel 34a van de Wbp. (2015, December 8). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
• Dr. C. Cuijpers, Prof. R. Leenes, S. Olislaegers, LLM, & Prof. K. Stuurman. (n.b.). Rapport De wolk in het onderwijs; Privacy aspecten bij cloud computing services. SURFnet/ Kennisnet. Retrieved from: https://www.surf.nl/kenniseninnovatie/kennisbank/2011/whitepaperdewolkinhetonderwijsprivacyaspectenbijcloudcomputing services.html
• F. Pingen, B. van den Heuvel, S. Capkin, R. Meijer, J. Gall, & C. Baartmans. (2014, December). Model Beleid Verwerking Persoonsgegevens. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming” en SURFibo, Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201501modelbeleidverwerkingpersoonsgegevens.pdf
• F. Pingen, B. van den Heuvel, S. Capkin, R. Meijer, J. Gall, & C. Baartmans. (2015, January). Leidraad Model Beleid Verwerking Persoonsgegevens. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennis bank/2015/201501leidraadbeleidverwerkingpersoonsgegevens.pdf
• G.W. Van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001a, April). Raamwerk Privacy Audit. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: https://www.privacy-audit-proof.nl/readfile.aspx?ContentID=41152&ObjectID=383730&Type=1&File=0000022882_Raamwerk_Privacyaudit.pdf
• G.W. Van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001b, April). WBP Quickscan. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: http://www.svcnet.nl/handboek2/TL_Tools/5wet_en_regelgeving/WBP_Quickscan.pdf
• G.W. van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001, April). WBP Zelfevaluatie. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: http://www.suprida.nl/wp/wpcontent/uploads/wbp_zelf evaluatie.pdf
• Handreiking communicatieplan informatiebeveiliging. (2015, Maart). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2015/03/150320Handreikingcommunicatieplaninformatiebeveiligingv1.0.pdf
• Handreiking dataclassificatie. (2013, Oktober). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/13-1018-handreiking-dataclassificatie.pdf
• Handreiking vrijstellingsbesluit Wbp. College bescherming persoonsgegevens. Retrieved from: https://autoriteitpersoonsgegevens.nl/nl/melden/handreikingvrijstellingsbesluitwbp
• Leidraad om te komen tot een praktijk van Responsible Disclosure. (n.d.). Nationaal Cyber Security Centrum. Retrieved from: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/richtlijnen/2013/01/03/leidraadomtekomentoteenpraktijkvanresponsibledisclosure/pers5766bdocumentresponsibledisclosur1.pdf
29Handreiking bescherming persoonsgegevens voor waterschappen
• M. Cuperus, & D. Van Es. (2014, July 9). Implementatiehandleiding responsible disclosure. SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/implementatiehandleidingresponsibledisclosure.pdf
• mr. dr. B.W. Schermer, & mr. drs. M. Wubben. (2014). Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan? Considerati. Retrieved from: http://www.cipoverheid.nl/wpcontent/uploads/2014/05/WhitepaperPIA.pdf
• Privacy Impact Assessment (PIA), Introductie, handreiking en vragenlijst, versie 1.2. (2015, November). Norea. Retrieved from: http://www.norea.nl/readfile.aspx?ContentID= 82987&ObjectID=1265283&Type=1&File=0000042779_PIA%20versie%201.2%20def.pdf
• Project Moore in opdracht van SURF. (2015, Mei). Handreiking Meldplicht Datalekken; Een stappenplan. SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/150416stappenplanenvraagbaakmeldplichtdatalekken_v2.pdf
• Responsible Disclosure. (2014, February). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/140221Responsibledisclosure1.0.pdf
• Toelichting PIA. (2014, Maart). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/140404ToelichtingPIAv1.0.pdf
• Verslag PIA. (2014, April). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/140404VerslagPIAv1.0.pdf
• Voorbeeld incidentmanagement en responsebeleid. (2013, November). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/131111voorbeeldincidentmanagementenresponsebeleid.pdf
• Vragenlijst PIA. (n.d.). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/140404VragenlijstPIAv1.0.pdf
BIJLAGEN
31 BIJLAGE 1 NADERE TOELICHTING OP DE WET BESCHERMING PERSOONSGEGEVENS
39 BIJLAGE 2 DE AANKOMENDE ALGEMENE VERORDENING GEGEVENSBESCHERMING
44 BIJLAGE 3 ARCHIEFWET
46 BIJLAGE 4 WET OPENBAARHEID VAN BESTUUR
48 BIJLAGE 5 BASISREGISTRATIES
31Handreiking bescherming persoonsgegevens voor waterschappen
BIJLAGE 1 NADERE TOELICHTING OP DE WET BESCHERMING PERSOONSGEGEVENS
1. ALGEMEEN
De Wbp is in 2001 in werking getreden en is de implementatie van de Europese privacyrichtlijn ( 95/46/EG).
De Wbp geldt voor private organisaties en overheden. Heeft de verwerking van persoonsgegevens uitsluitend betrekking op persoonlijke of huishoudelijke activiteiten dan is de Wbp niet van toepassing.Verder is de Wbp niet van toepassing op de verwerking van persoonsgegevens:
• Ten behoeve van inlichtingen en veiligheidsdiensten (Wet op de inlichtingen en veiligheidsdiensten 2002) en de uitvoering van de politietaak (Politiewet 2012).
• Die geregeld is op grond van de Wet basisregistratie personen.
• Ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens.
• Ten behoeve van de uitvoering van de Kieswet.
Wanneer een wet specifieke regels heeft over de bescherming van persoonsgegevens dan hebben deze specifieke regels voorrang op de regels van de Wbp. Voorbeelden van dergelijke wetten zijn de Algemene wet inzake rijksbelastingen, de Wet openbaarheid van bestuur en de Archiefwet. De Wbp blijft verder wel van toepassing naast deze wetten.
Wanneer zijn gegevens persoonsgegevens?De Wbp beschrijft een persoonsgegeven als volgt:
Persoonsgegeven Elk gegeven betreffende een geïdentifi-ceerde of identificeerbare natuurlijke persoon.
Gegevens zijn persoonsgegevens als deze hetzij direct (bijvoorbeeld naam van een persoon, foto’s en videobeelden van beveilingscamera’s waar personen opstaan), hetzij indirect (identificatie nummer, IP-adres) tot identificatie leiden. Het gaat om gegevens die een persoon identificeren of mogelijk kunnen identi ficeren. Hierbij kan
het gaan om objectieve informatie (feiten) als ook subjectieve informatie (meningen en oordelen).
De Wbp kent ook bijzondere persoonsgegevens. Hieronder is kort aangegeven wat daaronder verstaan wordt. Het verwerken van bijzondere persoonsgegevens is verboden, tenzij voldaan is aan de extra strikte regels uit de Wbp.
Bijzondere persoonsgegevensPersoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en het BSN.
Wat wordt bedoeld met het verwerken van persoonsgegevens?Bij het verwerken van persoonsgegevens gaat het om elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens al dan niet op geautomatiseerde wijze. Het omvat het gehele proces dat een gegeven doormaakt vanaf het moment van verzamelen tot en met het moment van vernietiging.
Voorbeelden van verwerkenVerzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, uitwissen, vernietigen.
Op welke verwerking van persoonsgegevens is de Wbp van toepassing?De Wbp is van toepassing op persoonsgegevens die:
• Geheel of gedeeltelijk geautomatiseerd verwerkt worden.
• Niet geautomatiseerd verwerkt worden én in een bestand zijn opgenomen.
• Of bestemd zijn om in een bestand te worden opgenomen.
BestandEen bestand is volgens de Wbp elk gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
VerantwoordelijkeHet is steeds de verantwoordelijke die moet voldoen aan de bepalingen van de Wbp. De verantwoordelijke is de natuurlijke of rechtspersoon of het bestuursorgaan dat het doel en de middelen voor de gegevensverwerking vaststelt: bij het waterschap formeel het dagelijks bestuur. De verantwoordelijke kan een derde namens hem persoonsgegevens laten verwerken. De verantwoordelijke is bevoegd om te bepalen welke gegevens verwerkt worden, met welk doel, hoe lang en met welke middelen. Met andere woorden de verantwoordelijke heeft zeggenschap over de persoonsgegevens en beslist over het gebruik van persoonsgegevens zoals het doorgeven aan derden.Deze zeggenschap kan alleen of met anderen worden uitgeoefend. Hieraan doet
33Handreiking bescherming persoonsgegevens voor waterschappen
niet af dat de verantwoordelijke met het verwerken van persoonsgegevens derden van dienst wil zijn.
BewerkerDe verantwoordelijke kan een derde namens hem persoonsgegevens laten verwerken. Deze derde, de bewerker genaamd, verwerkt persoonsgegevens ten behoeve van de verantwoordelijke zonder dat hij ondergeschikt is aan de verantwoordelijke. De bewerker verwerkt de persoonsgegevens volgens de instructies van de verantwoordelijke en onder de verantwoordelijkheid van de verantwoordelijke. De bewerker bepaalt niet het doel van de verwerking en ook niet de middelen voor de verwerking van de persoonsgegevens. Ook de bewerker heeft rechten en plichten op grond van de Wbp. Memorie van toelichting bij de Wbp: “De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid.
Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegevens gepaard gaat. De bewerker is allereerst een buiten de organisatie van de verantwoordelijke staande persoon of instelling. Het zal veelal gaan om een persoon of instelling die niet in een hiërarchische relatie tot de verantwoordelijke staat. Daar waar een hiërarchische relatie bestaat met de verantwoordelijke moet worden gesproken
van (intern) beheer. De verantwoordelijke die gegevens te zijnen behoeve buiten zijn rechtstreeks gezag verwerkt wil hebben is op grond van artikel 14, tweede lid, verplicht een overeenkomst met de bewerker aan te gaan. Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz. Zou hij immers deze zeggenschap wel verwerven dan dient hij als verantwoordelijke te worden aangemerkt.”
BetrokkeneDe betrokkene is de persoon op wie de persoonsgegevens betrekking hebben.
2. VERPLICHTINGEN OP GROND VAN DE WBP
Op grond van de Wbp moet de verwerking van persoonsgegevens aan de volgende voorwaarden voldoen:
a. Persoonsgegevens worden in overeenstemming met de wet op behoorlijke en zorgvuldige wijze verwerkt.
b. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden ver zameld.
c. Persoonsgegevens mogen slechts worden verwerkt op grond van een zestal limitatief in de Wbp benoemde situaties.
d. Er worden niet meer gegevens verwerkt dan strikt noodzakelijk is voor het uiteindelijke doel.
e. De gegevens worden in principe niet gebruikt voor andere doelen dan waarvoor ze zijn verzameld.
f. De organisatie heeft de betrokken burger laten weten wat de organisatie met de gegevens doet.
g. De gegevens mogen niet langer worden bewaard dan noodzakelijk.
h. Er zijn passende technische en organisatorische maatregelen getroffen om de gegevens te beschermen.
i. De verantwoordelijke informeert de betrokkene over de verwerking van zijn persoonsgegevens.
j. De geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP.
College Bescherming Persoonsgegevens (CBP)De Wbp voorziet in een onafhankelijk toezichthouder, het College Bescherming Persoonsgegevens (CBP), voortaan ook de Autoriteit Persoonsgegevens (AP) genoemd. Het CBP houdt toezicht op de naleving van alle wetten die het gebruik van persoonsgegevens regelen.
Het vrijstellingsbesluit (zie j.)De geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP. Het aanmelden van alle gegevensverwerkingen is administratief en organisatorische niet haalbaar.Op grond van het vrijstellingsbesluit zijn een aantal categorieën van verwerkingen van persoonsgegevens dan ook vrijgesteld van melding bij de AP. De vrijstellingen
hebben betrekking op verwerkingen die veel voorkomen, die standaard zijn en waarvan bekend is dat deze plaatsvinden. Wanneer de in het Vrijstellingsbesluit genoemde verwerkingen plaatsvinden volgens de regels van dit besluit geldt de verplichting tot melden niet.
Indien een organisatie een functionaris voor de gegevensbescherming heeft aangesteld dan kan de verplichte melding van een gegevensverwerking ook plaatsvinden bij de functionaris in plaats van bij de Autoriteit Persoonsgegevens. Het benoemen van een functionaris voor de gegevensbescherming doet echter niets af aan de bevoegdheden van de AP. De functionaris moet in een register bijhouden welke gegevensverwerkingen bij hem zijn gemeld.
Doelverbinding (zie b.)Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
• Het doel moet dus vooraf zijn beschreven, vóór het moment van verzamelen van de persoonsgegevens.
• Persoonsgegevens mogen later ook worden gebruikt voor andere doelen, mits niet onverenigbaar met de doeleinden waarvoor ze zijn verkregen. Wat onverenigbaar is hangt af van de omstandigheden en het specifieke geval. Bij de beoordeling moet in ieder geval met de volgende factoren rekening worden gehouden:
35Handreiking bescherming persoonsgegevens voor waterschappen
Verwantschap tussen doel waarvoor gegevens zijn verkregen en het beoogde doel.
Aard van de gegevens. Gevolgen van de beoogde verwerking
voor de betrokkene. De wijze waarop de gegevens zijn
verkregen. Verwachting betrokkenen. De mate waarin jegens de betrokkene
wordt voorzien in passende waarborgen.
Onder bepaalde voorwaarden is het toegestaan de persoonsgegevens te gebruiken/verder te verwerken voor een ander doel dan waarvoor ze verzameld zijn (zie e.). Een belangrijke voorwaarde is dat er een duidelijke verwantschap is tussen het oorspronkelijke doel en het doel waarvoor de gegevens verder verwerkt worden. Ook moet rekening worden gehouden met de gevolgen van de verdere verwerking voor betrokkene.
Zes (limitatieve) grondslagen voor verwerking (zie c.)I. Ondubbelzinnig toestemming van de
betrokkene.II. Noodzakelijk voor de uitvoering van
een overeenkomst.III. Noodzakelijk om een wettelijke
verplichting na te komen.IV. Noodzakelijk ter vrijwaring van een
vitaal belang van betrokkene.V. Noodzakelijk voor de goede vervulling
van een publiekrechtelijke taak.
VI. Noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke tenzij de rechten en vrijheden van de betrokkene (in het bijzonder recht op de bescherming van de persoonlijke levenssfeer) prevaleert.
Let op!Als gekozen is voor de grondslag “toestemming van betrokkene” en betrokkene trekt zijn toestemming in dan ontbreekt op dat moment een grondslag voor de verwerking van betreffende persoonsgegevens. Dat betekent dat vervolgens een rechtsgeldige grondslag gevonden moet worden voor de verwerking van betreffende persoonsgegevens. Betrokkene moet op de hoogte gesteld worden van deze (nieuwe) grondslag. Is na intrekking van de toestemming geen andere grondslag van toepassing dan moeten betreffende persoonsgegevens verwijderd worden.
Grondslag verwerken persoonsgegevensHet heeft sterk de voorkeur om de grondslag “toestemming van betrokkene” alleen te kiezen als geen enkele andere grondslag van toepassing is.
Proportioneel en subsidiair (zie d.)Er mogen niet meer gegevens worden verwerkt dan strikt noodzakelijk is voor het uiteindelijke doel.
• Overwogen moet worden of de persoonsgegevens (nog) noodzakelijk zijn voor het beschreven doel. Dat wil zeggen nagegaan moet worden of met minder gegevens hetzelfde doel bereikt worden, of via een andere weg ( minder ingrijpend) het doel bereikt kan worden.
• Daarnaast moet een organisatie het belang en rechten van personen afwegen tegen het belang van de organisatie. De gevoeligheid van informatie en de getroffen beveiligingsmaatregelen spelen hierbij een rol.
Termijn van bewaren persoonsgegevens (zie g.)De noodzaak van het bewaren van persoonsgegevens is gerelateerd aan het bereiken van het doel waarvoor de persoonsgegevens zijn verzameld. Kort gezegd: is het doel bereikt, dan is er (in principe) geen noodzaak meer voor het bewaren van de persoonsgegevens. Daarnaast moet wel rekening worden gehouden met bewaartermijnen uit specifieke wetgeving zoals belastingwetten en de Archiefwet.
3. RECHTEN VAN BETROKKENEN: INZAGE, CORRECTIE, VERZET
• Betrokkene heeft het recht om de verantwoordelijke te verzoeken om inzage en correctie van zijn persoonsgegevens.
• Betrokkene kan bij de verantwoordelijke verzet aantekenen, op grond van zijn bijzondere persoonlijke omstandigheden, tegen het verwerken van zijn persoonsgegevens. Dit kan alleen als zijn persoonsgegevens verwerkt worden op grond van: Noodzakelijkheid voor publiekrechte
lijke taak (zie onder “zes limitatieve grondslagen voor verwerking”).
Noodzakelijkheid voor een gerechtvaardigd belang (zie onder “zes limitatieve grondslagen voor verwerking”).
• Betrokkene kan altijd verzet aantekenen bij verantwoordelijke tegen het verwerken van zijn persoonsgegevens als er sprake is van direct marketingdoeleinden. Naar aanleiding van verzet moet de verantwoordelijke direct maatregelen treffen om de verwerking te beëindigen.
Recht op inzageDe rechter heeft bepaald dat het recht op inzage zeer ruim moet worden opgevat. Wanneer een betrokkene vraagt of van hem persoonsgegevens worden verwerkt dan moet, wanneer dit het geval is, hiervan schriftelijk een volledig overzicht worden verstrekt in begrijpelijke vorm. Het is niet voldoende om globale informatie te verstrekken over de verwerkte persoonsgegevens. De Wbp vereist niet dat betrokkene een doel, belang of reden aangeeft waarom hij zijn persoonsgegevens wil inzien. Het is voldoende als een persoon een beroep doet op het recht van inzage dat in de Wbp is vastgelegd (artikel 35 Wbp).
37Handreiking bescherming persoonsgegevens voor waterschappen
Welke verzoeken mogen worden afgewezen:
• Verzoeken die zeer vaak, meer dan gemiddeld, worden ingediend. Met andere woorden, er is geen sprake meer van “redelijke tussenpozen”.
• Buitensporige verzoeken. De vereiste inspanning van de verantwoordelijke om aan het verzoek te voldoen staat niet meer in verhouding tot het verzoek. De verantwoordelijke zal dit moeten aan tonen.
Het aan betrokkene te verstrekken volledige overzicht van de verwerkte persoonsgegevens moet tevens de volgende informatie bevatten:
• Een omschrijving van het doel of de doeleinden van de verwerking.
• De categorieën van gegevens waarop de verwerking betrekking heeft.
• Wie of welke categorieën van personen de persoonsgegevens hebben ontvangen.
• De herkomst van de persoonsgegevens.
Beantwoording van het verzoek moet binnen vier weken nadat het verzoek is ontvangen. De schriftelijke beantwoording is een besluit (beschikking) in de zin van de Algemene wet bestuursrecht. Bezwaar en beroep tegen dit besluit zijn mogelijk door belanghebbenden.
Het kan voorkomen dat het verzoek om inzage van persoonsgegevens tevens een Wobverzoek is. Dit is aan de orde wanneer betrokkene ook om gegevens vraagt die
geen betrekking hebben op persoonsgegevens. Behandel het verzoek dan als twee verzoeken: een Wobverzoek en een artikel35Wbpverzoek.
4. RECHTSBESCHERMING
Wanneer een bestuursorgaan een beslissing neemt naar aanleiding van een door een betrokkene uitgeoefend recht (recht van inzage, correctie, verzet), dan is deze beslissing een besluit in de zin van de Algemene wet bestuursrecht (bezwaar en beroep mogelijk volgens regels Awb).
Is de beslissing genomen door een ander dan een bestuursorgaan én betrokkene is niet akkoord met deze beslissing dan kan betrokkene zich tot de rechtbank wenden en een verzoekschrift indienen.
5. BEWERKERSOVEREENKOMST
Wanneer de verantwoordelijke persoonsgegevens door een bewerker laat verwerken is hij verplicht hiervoor een overeenkomst met de bewerker af te sluiten. Deze overeenkomst moet expliciet betrekking hebben op het verwerken van de persoonsgegevens. Het contract mag niet betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts een uitvloeisel van is.
Opmerking Wanneer de taak van het opleggen en innen van belastingen door het waterschap is overgedragen aan een gemeenschappelijke regeling (GR), dan is deze GR géén bewerker. Het dagelijks bestuur van de GR is zelf verantwoordelijke voor het verwerken van persoonsgegevens in het kader van het opleggen en innen van belastingen.
6. FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING
De Wbp biedt ook de mogelijkheid om een interne toezichthouder aan te stellen: de functionaris voor de gegevensbescherming (FG). De verplichte melding van gegevensverwerkingen vindt dan plaats bij deze functionaris in plaats van bij de AP. Het benoemen van een FG sluit controle door de AP niet uit. De FG is geen verlengde arm van de AP, maar kan als intermediair optreden tussen de verantwoordelijke en de AP. De AP behoudt zijn taken en bevoegdheden ten aanzien van organisaties die een FG hebben aangesteld, maar zal zich wat toezicht betreft terughoudend opstellen ten aanzien van organisaties waar de FG naar behoren functioneert.
De taak van de FG omvat onder meer het volgende:
• Toezien dat de verwerking van persoonsgegevens in de organisatie in overeenstemming is met de wet en doen van aanbevelingen.
• Het inventariseren van gegevensverwerkingen.
• Het bijhouden van meldingen van gegevensverwerkingen in een register.
• Voorlichting en klachtenbehandeling.
7. NIET NALEVEN VAN DE WET BESCHERMING PERSOONSGEGEVENS
Op het moment dat de Wbp of daarop gebaseerde regelingen niet worden nageleefd, kan iedereen die als gevolg daarvan schade lijdt deze schade op de verantwoordelijke verhalen. Er geldt hier een omgekeerde bewijslast, dat wil zeggen de verantwoordelijke moet bewijzen dat de schade hem niet kan worden toegerekend. Daarnaast kunnen organisaties op grond van deze wet zowel strafrechtelijke als bestuursrechtelijk sancties opgelegd worden. (De AP kan bijvoorbeeld bij onterecht niet aangemelde gegevensverwerkingen een boete opleggen per overtreding).
BIJLAGE 2 DE AANKOMENDE ALGEMENE VERORDENING GEGEVENSBESCHERMING
Op 25 januari 2012 heeft de Europese Commissie een voorstel voor een Algemene Verordening Gegevensbescherming (AVG) ingediend bij het Europees Parlement. De AVG heeft als doel:
• De bescherming van natuurlijke personen voor zover het de verwerking van persoonsgegevens betreft.
• Het vrije verkeer van deze persoonsgegevens.
De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze geïmplementeerd is in de nationale wetgeving. Deze Privacyrichtlijn sluit niet goed aan op technologische ontwikkelingen en globalisering. De AVG heeft rechtstreekse werking zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. De wijzigingen die de AVG met zich meebrengt zijn geen principiële wijzigingen. Het betreft vooral een aanscherping van verplichtingen van de verantwoordelijken en bewerkers, en meer rechten voor betrokkenen. Verder is de AVG afgestemd op onlineontwikkelingen.
Het Europees Parlement en de Raad van de EU oefenen samen de wetgevingstaak uit.Inmiddels heeft het Parlement diverse wijzigingen voorgesteld t.a.v. het voorstel van de Europese Commissie. Het gewijzigde voorstel is op 12 maart 2014 door het Europees Parlement met grote meerderheid aangenomen. Ook de Raad heeft een standpunt ingenomen ten aanzien van de teksten van de AVG. Het is nu wachten op de definitieve versie van Parlement en Raad samen. Verwacht wordt dat de Verordening begin 2016 in werking treedt. Daarna geldt een invoeringstermijn van 2 jaar. Dat betekent dat voor de verwerkingen van persoonsgegevens binnen de EU er nog twee jaren de tijd is om deze te laten voldoen aan de regels van de AVG.
De AVG heeft rechtstreekse werking. In alle lidstaten is de AVG dus direct bindend. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wet bescherming persoonsgegevens (Wbp) te vervallen.
41Handreiking bescherming persoonsgegevens voor waterschappen
Veel van de kernverplichtingen van de AVG zijn ook opgenomen in de huidige Wbp.Hieronder volgt een aantal belangrijke nieuwe bepalingen uit de AVG zoals die zijn opgenomen in de versie van de Raad van de EU. Indien het voorstel van het Parlement hier duidelijk van afwijkt is dat aangegeven.
NB: Deze toelichting is bijgewerkt tot 31 december 2015.
DOCUMENTATIEPLICHT
De verantwoordelijke moet kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming is met de AVG. Alle verantwoordelijken moeten een register bijhouden van alle categorieën van verwerkingen van persoonsgegevens waar zij verantwoordelijk voor zijn. Dit geldt ook voor de verwerker (in de Wbp wordt de term “bewerker” gebruikt) die namens verantwoordelijken persoonsgegevens verwerkt.
In het register moet onder andere vermeld worden: naam en contactgegevens verantwoordelijke/verwerker, doel van de ver werking, beschrijving van de catego rieën, wie zijn de ontvangers van de gegevens, wanneer gegevens wissen, beschrijving technische en organisa torische beveiligingsmaatregelen.
De meldplicht van verwerkingen bij de AP zoals die in de Wbp is opgenomen komt in de AVG niet meer terug.
In de versie van het Parlement wordt niet gesproken over het bijhouden van registers, maar over het bewaren van bijgewerkte documenten. Strekking van het artikel is wel gelijk gebleven.
INFORMATIEPLICHT
De verantwoordelijke moet passende maatregelen nemen om betrokkene te informeren over de persoonsgegevens die van betrokkene verwerkt worden. De informatie moet in een begrijpelijke en gemakkelijke vorm worden gegeven en in duidelijke en eenvoudige taal.
Gegevensbescherming by design en by default
Privacy by design De vereisten van de AVG voor de bescherming van gegevens zijn op voorhand verwerkt in de technische en organisatorische maatregelen die de verantwoordelijke neemt ter bescherming van persoonsgegevens.
Privacy by defaultStandaardinstellingen van een programma, app, website bieden maximale privacy.
PRIVACYEFFECTBEOORDELING (PRIVACY IMPACT ASSESSMENT OFWEL PIA)
Verwerkingen van persoonsgegevens met een hoog risico worden voordat de verwerking start door de verantwoordelijke beoordeeld op het effect van de voor
genomen verwerkingsactiviteiten op de bescherming van persoonsgegevens. Met hoog risico wordt gedoeld op risico’s op discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, ongeoorloofde ongedaan making van pseudonimisering, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, of elke andere aanzienlijke economische of maatschappelijke schade. In de versie van het Parlement worden deze risico’s niet benoemd. Deze beoordeling is bijvoorbeeld ook vereist wanneer nieuwe technologieën worden gebruikt voor de gegevensbescherming. De beoordeling bevat in ieder geval een beschrijving van de maatregelen die de risico’s moeten beperken.
GedragscodeGedragscodes kunnen worden opgesteld voor categorieën van verwerkingen van persoonsgegevens. De AP kan gedragscodes goedkeuren. Het gebruik door een verantwoordelijke/verwerker van een goedgekeurde gedragscode draagt bij aan het “bewijs” dat er conform de AVG wordt gewerkt.
CERTIFICERING
De AVG biedt de mogelijkheid om certificeringsmechanismen voor gege-vensbescherming vast te stellen door lidstaten. Met een certificering kan worden aangetoond dat de AVG wordt nageleefd door de verantwoordelijke/verwerker. Een certificering mag voor maximaal 3 jaren worden afgegeven, met een maximale verlenging van 3 jaren.
CORRIGERENDE BEVOEGDHEDEN EN ADMINISTRATIEVE GELDBOETES BIJ OVERTREDING VAN DE AVG:
Iedere lidstaat bepaalt bij wet dat het toezichthoudende orgaan (in Nederland de AP) bevoegdheden krijgt om de verantwoordelijke/verwerker te corrigeren als deze niet voldoet aan de AVG. Voorbeelden hiervan zijn: waarschuwing, berisping, tijdelijke beperking opleggen voor het verwerken.
Voor het niet voldoen aan de AVG kan de AP op grond van de AVG geldboetes opleggen, naast of in plaats van een corrigerende maatregel.De geldboetes kunnen oplopen tot maximaal 1 miljoen Euro of in geval van een onderneming ten hoogste 2% van de in het vorige boekjaar gerealiseerde totale jaarlijkse wereldwijde omzet.
Parlement: boete is maximaal 100 000 000 euro of maximaal 5% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is.
DOORGIFTE PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES:
Wanneer de Europese Commissie heeft besloten dat het derde land/internationale organisatie een passend beschermingsniveau heeft mogen de persoonsgegevens daaraan worden doorgegeven. Ontbreekt dit besluit dan zijn er nog andere gronden
43Handreiking bescherming persoonsgegevens voor waterschappen
waarop persoonsgegevens mogen worden doorgegeven aan derde landen/internationale organisaties. Bijvoorbeeld:De verantwoordelijke biedt in een juridisch instrument garanties voor de bescherming van de persoonsgegevens.Betrokkene heeft na volledige uitleg van de situatie toestemming gegeven.Er is een algemeen belang gemoeid met de doorgifte van de persoonsgegevens.
AANWIJZING FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING (DATA PROTECTION OFFICER):
De verantwoordelijke kan een functionaris voor de gegevensbescherming aanstellen. Deze aanstelling kan ook verplicht zijn op grond van nationale wetgeving of wetgeving van EU.
Deze privacyfunctionaris:
• Is deskundig op het gebied van wetgeving en de praktijk van bescherming van persoonsgegevens.
• Voert zijn taken onafhankelijk uit.• Kan extern worden ingehuurd.• Geniet tot op zekere hoogte ontslag
bescherming.• Kan door betrokkene altijd worden
benaderd over de bescherming van de persoonsgegevens van betrokkene.
Parlement:De verantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor de gegevensbescherming aan:
• Wanneer de verwerking wordt uitgevoerd door een overheidsinstantie of orgaan.
• De verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden.
MELDEN DATALEKKEN BINNEN 72 UUR (NA KENNISNAME VAN HET DATALEK) AAN DE TOEZICHTHOUDER EN BETROKKENEN
Wanneer een datalek een hoog risico oplevert voor rechten en vrijheden van personen moet zowel de toezichthouder als de betrokkenen onverwijld (zonder onnodige vertraging) worden geïnformeerd.
Het Parlement spreekt van melding bij een datalek “zonder onnodige vertraging”. Een periode van 72 uur wordt niet genoemd.
TOESTEMMING BETROKKENE VOOR GEGEVENSVERWERKING.
Wanneer de verwerking van persoonsgegevens is gebaseerd op toestemming van betrokkene moet de verantwoordelijke kunnen aantonen dat betrokkene ondubbelzinnig toestemming heeft gegeven. Betreft het bijzondere persoonsgegevens dan moet de toestemming uitdrukkelijk zijn gegeven.
HET RECHT OP WISSEN VAN GEGEVENS EN RECHT OM VERGETEN TE WORDEN
Betrokkene heeft het recht om van de verantwoordelijke te vragen al zijn persoonsgegevens te wissen. De verantwoordelijke moet overgaan tot het wissen van deze gegevens als de verwerking gebaseerd is op toestemming van betrokkene en er geen andere rechtsgrond is voor de verwerking. De verantwoordelijke zal ook moeten zorgdragen dat derden aan wie hij de gegevens heeft verstrekt overgaan tot het wissen van die gegevens. De AVG geeft uitzonderingen op deze regel onder andere als de gegevensverwerking ziet op de vervulling van een taak van algemeen belang.
BIJLAGE 3 ARCHIEFWET
Persoonsgegevens maken deel uit van archiefbescheiden. Voor overheidsorganen gelden zowel de Wbp als de Archiefwet 1995 (hierna: de Archiefwet). Deze wetten moeten naast elkaar en in onderlinge samenhang worden gelezen en toegepast. Archiefbescheiden kunnen zijn ondergebracht in archiefruimten en in archiefbewaarplaatsen. Archiefbescheiden worden tijdelijk in archiefruimten opgeslagen om te bepalen of ze (in principe na 20 jaar) eeuwig worden bewaard in een archiefbewaarplaats of worden vernietigd. Archiefbescheiden worden voor altijd bewaard in een archiefbewaarplaats.
BEWAARTERMIJN
Op grond van de Wbp gelden er geen specifieke bewaartermijnen voor per-soonsgegevens. De Wbp schrijft voor dat persoonsgegevens voor een bepaald doel moeten worden verwerkt. Bewaren van persoonsgegevens mag alleen zolang de gegevens nodig zijn voor dat doel. Geldt er een bewaartermijn vanuit een speciale wet, zoals belastingwetgeving, dan is deze termijn van toepassing.
De Wbp bepaalt ook dat persoonsgegevens langer mogen worden bewaard, dan nodig is voor het doel waarvoor ze verzameld zijn, als de gegevens voor historische, statistische of wetenschappelijke doeleinden worden bewaard. Dit bewaren in een archief is toegestaan als de verantwoordelijke de nodige voorzieningen treft zodat de persoonsgegevens alleen voor die specifieke doelen worden gebruikt.
Archiefbescheiden die op grond van de Archiefwet overgebracht zijn naar een archiefbewaarplaats kunnen persoonsgegevens bevatten. In de archiefbewaarplaats hebben deze persoons gegevens een onbepaalde bewaartermijn. Dit is vastgelegd in de Archiefwet. Doel hiervan is het behoud van het Nederlandse culturele erfgoed. In de memorie van toelichting bij de Wbp is geschreven: “een goed functionerend geheugen van de overheid is een erkend publiek belang”.
47Handreiking bescherming persoonsgegevens voor waterschappen
OPENBAARHEID ARCHIEFBESCHEIDEN
De gegevens in de archiefbewaarplaatsen zijn volgens de Archiefwet (in principe) openbaar. De Archiefwet biedt mogelijkheden om onder andere vanwege eerbiediging van de persoonlijke levenssfeer beperkingen te stellen aan deze openbaarheid.
ARCHIEFBEWAARPLAATS EN BIJZONDERE PERSOONSGEGEVENS
De Archiefwet bepaalt dat het verbod uit de Wbp om bijzondere persoonsgegevens te verwerken in bepaalde situaties niet geldt. Zo geldt dit verbod niet voor het overbrengen van archiefbescheiden naar een archiefbewaarplaats. Zoals hiervoor vermeld is kunnen op grond van de Archiefwet beperkingen worden gesteld aan de openbaarheid van bepaalde gegevens.
BIJLAGE 4 WET OPENBAARHEID VAN BESTUUR
Het uitgangspunt van de Wob is dat overheidsinformatie openbaar is, tenzij de Wob of andere bijzondere wetten bepalen dat de gevraagde informatie niet geschikt is voor openbaarmaking.Hoofdregel is dat bestuursorganen actief uit eigen beweging informatie openbaar maken zodra dit in het belang is van een goede en democratische bedrijfsvoering, zodat burgers en bedrijfsleven inzage hebben in het handelen van de overheid (actieve openbaarmaking). Daarnaast kan iedere burger, bedrijf met een beroep op de Wob (Wobverzoek) informatie op vragen welke gaat over een bestuurlijke aangelegenheid vastgelegd in documenten (passieve openbaarmaking).
Op grond van de Wbp mogen persoonsgegevens slecht verwerkt worden als daarvoor een grondslag bestaat. Eén van de grondslagen is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting. Actieve en passieve openbaarmaking op grond van de Wob is een dergelijke verplichting.
Zowel het recht op “openbaarheid” als het recht op “eerbiediging van de persoonlijke levenssfeer” zijn grondrechten. Er treedt
een spanning op als gevraagd wordt om openbaarmaking van gegevens die de persoonlijke levenssfeer betreffen. De vraag rijst welk recht gaat voor?Er moet een belangenafweging plaatsvinden. Aan de ene kant het belang van openbaarmaking aan de ander kant het belang van de persoonlijke levenssfeer van de betrokkene.
De Wob kent enkele weigeringsgronden en beperkingen. Er bestaan twee weigeringsgronden betreffende de persoonlijke levenssfeer. De ene is een absolute weigeringsgrond (artikel 10, eerste lid aanhef en onder d).
Het bestuursorgaan is gehouden geen gegevens openbaar te maken als het bijzondere persoonsgegevens betreft in de zin van de Wbp (iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lid maatschap van een vakvereniging, mogelijk strafrechtelijke achtergrond) en iemands persoonlijk identificatienummer betreft (art. 24).
Het verstrekken van voornoemde persoonsgegevens blijft zonder meer
49Handreiking bescherming persoonsgegevens voor waterschappen
achterwege, tenzij de verstrekking kennelijk geen inbreuk op de persoonlijke levenssfeer maakt.
De andere weigeringsgrond is een relatieve weigeringsgrond. Het verstrekken van informatie blijft achterwege voor zover het belang niet opweegt tegen de eerbiediging van de persoonlijke levenssfeer (artikel 10, tweede lid, aanhef en onder e). Dat wil zeggen het bestuursorgaan moet afwegen welk belang voorgaat. Aan de ene kant het publieke belang van een goede en democratische bestuursvoering en aan de ander kant het privacybelang van de betrokkene. Deze regel geldt niet als betrokkene instemt met openbaarmaking.
BIJLAGE 5 BASISREGISTRATIES
Een basisregistratie is een door de overheid officieel aangewezen registratie met daarin gegevens (adressen, persoonsgegevens, bedrijfsnamen, geoinformatie) van hoogwaardige kwaliteit, die door alle overheidsinstellingen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken. Er zijn 12 basisregistraties.
Aan elke basisregistratie ligt een formele wet ten grondslag.
Voorbeelden • Basisregistratie personen – Wet Basisregistratie Personen• Basisregistratie kadaster – Kadasterwet• Basisregistratie voertuigen – Wegen verkeerswet• Basisregistratie grootschalige topografie – Wet basisregistratie grootschalige topografie
WET BASISREGISTRATIE PERSONEN (WET BRP)
De Wbp is niet van toepassing op persoons gegevens die vallen onder de werking van de Wet basisregistratie personen. Dit is bepaald in artikel 2 van de Wbp. Dit betekent dat regels uit de Wbp alleen van toepassing zijn op persoonsgegevens uit de Basisregistratie personen als dit in de Wet BRP zelf is geregeld.
In de Wet BRP is vastgelegd dat er een basisregistratie personen is waarin zijn opgenomen persoonsgegevens van de ingezetenen van Nederland en ook van nietingezetenen die een relatie hebben met de Nederlandse overheid. Doel van de basisregistratie personen is overheden te voorzien van de in de basisregistratie opgenomen gegevens, voor zover deze gegevens noodzakelijk zijn voor de vervulling van de taak van een overheid. De basisregistratie heeft ook nog tot doel onder bepaalde voorwaarden derden (niet overheidsorganen) te voorzien van de in de registratie opgenomen gegevens.
51Handreiking bescherming persoonsgegevens voor waterschappen
Voor de persoonsgegevens die zijn opgenomen in de basisregistratie personen gelden de specifieke regels van de Wet BRP en niet de regels van de Wbp.
De Wet BRP zegt dat de minister (minister van BZK) besluit tot het verstrekken van gegevens uit de BRP aan overheidsorganen. Het overheidsorgaan moet zelf om deze gegevens verzoeken en aangeven waarom deze gegevens noodzakelijk zijn voor de vervulling van zijn taak.
Voorbeeld Voor het uitvoeren van beheertaken door een waterschap vraagt het dagelijks bestuur van het waterschap de minister om gegevens uit de BRP te verstrekken. De minister neemt naar aanleiding van dit verzoek een besluit, het zogenaamde Autorisatiebesluit.
In het autorisatiebesluit is vermeld waar voor het waterschap gegevens mag opvragen uit de BRP en welke gegevens verstrekt mogen worden uit de BRP aan het waterschap.
Let op! Persoonsgegevens opgenomen in bestanden van het waterschap, afkomstig uit de BRP, vallen onder de regels van de Wbp.
OVERIGE BASISREGISTRATIES
Voor de overige basisregistraties maakt de Wbp geen uitzondering. Persoonsgegevens die in andere basisregistraties dan de BRP zijn opgenomen vallen dus onder de werking van de Wbp. Daarnaast gelden voor deze persoonsgegevens de specifieke regels van de wet die ten grondslag ligt aan de basisregistratie.
Voorbeeld In de Kadasterwet is bepaald voor welke doeleinden de Dienst (Dienst voor het kadaster en de openbare registers) persoonsgegevens mag verwerken. Voor de betekenis van persoonsgegevens wordt verwezen naar de Wbp. Ook is aangegeven in de Kadasterwet dat het bestuur van de Dienst verantwoordelijke is in de zin van artikel 1, onderdeel d Wbp. Dat betekent dus dat het bestuur van de Dienst verantwoordelijk is voor het voldoen aan de bepalingen van de Wbp voor zover het persoonsgegevens betreft die verwerkt worden op basis van de Kadasterwet.
BEZOEKADRESKoningskade 402596 AA Den Haag070 351 97 51Nederland
POSTADRESPostbus 932182509 AE Den HaagNederland
Maart 2016