HAND REIKING BESCHERMING PERSOONS­GEGEVENS VOOR WATER­SCHAPPEN

COLOFON

UITGAVEUnie van Waterschappen

SAMENSTELLING AD HOC WERKGROEP PRIVACYJohn Boekelman, Amstel, Gooi en VechtLore van Breugel - Tienhoven, Aa en MaasCatherine Decanniere, Amstel, Gooi en VechtJoyce van Dinther - Broeksteeg, RivierenlandMichiel Dirriwachter, Unie van WaterschappenHeidi Eijsberg, ScheldestromenBen Giltjes, RivierenlandLinnie de Gouw, Aa en MaasAda Karimlou - Kranendonk, Brabantse DeltaYarno Muggen, Schieland en de KrimpenerwaardRuben Schutte, Hunze en Aa’s

VoorzitterWillem Wensink, Unie van Waterschappen

SecretarisRaymond Ingenhut, Het Waterschapshuis

DRUKWERKPRODUCTIEOpmeer bv, Den Haag

FOTOGRAFIEEnkele foto’s van Bart van Vliet

OPLAGE300 exemplaren

1Handreiking bescherming persoonsgegevens voor waterschappen

VOORWOORD

De Europese Unie (EU) werkt momenteel aan een Algemene Verordening Gegevens­bescherming (AVG). Deze zal naar verwachting in 2016, met een invoeringsperiode van twee jaar, in werking treden. De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze geïmplementeerd is in de nationale wetgeving: in Nederland de Wet bescherming persoonsgegevens (Wbp). De AVG heeft straks rechtstreekse werking in alle lidstaten, zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wbp te vervallen.

Vooruitlopend op de komst van de AVG is op 1 januari 2016 de Nederlandse Wet meldplicht datalekken in werking getreden. Deze wet wijzigt met name de Wbp en raakt zodoende alle overheden en dus ook de waterschappen.

Niet alleen mag van de overheid verwacht worden dat regelgeving nageleefd wordt, de (financiële) consequenties van niet-naleven kunnen met de inwerkingtreding van de Wet meldplicht datalekken aanzienlijk zijn. Hoe groot de consequenties van de nieuwe privacywetgeving zijn, hangt in hoge mate samen met de vraag in hoeverre waterschappen op dit moment voldoen aan de huidige Wbp. Als waterschappen de huidige regels adequaat geïmplementeerd hebben, is een beperkt aantal aanpassingen nodig in verband met het van kracht worden van de Wet meldplicht datalekken. Is dat niet het geval, dan is er serieus werk aan de winkel.

De Unie van Waterschappen en Het Waterschapshuis hebben geconstateerd dat waterschappen veel vergelijkbare vragen stellen over (het implementeren) van de nieuwe wetgeving. Afgesproken is de krachten te bundelen en gezamenlijk (verder) invulling te geven aan de implementatie van de (nieuwe) privacyregelgeving. Concreet is een ad hoc werkgroep in het leven geroepen, die waterschappen nader informeert over de gevolgen van deze nieuwe regelgeving, goede voorbeelden van toepassingen ­ zoals (stappen)plannen, beleid, procedures en contracten ­ verzamelt en beschikbaar stelt en een handreiking opstelt. Deze middelen helpen u op weg om te voldoen aan de nieuwe wetgeving.

De nieuwe privacywetgeving heeft gevolgen voor alle waterschappen. Van belang is dat u bekend bent met de verwerkingen van persoonsgegevens in of namens uw eigen organisatie en weet welke processen privacyrisico’s met zich mee brengen. Op basis daarvan kunt u zo nodig de maatregelen treffen.

Voor u ligt een handreiking die u op weg kan helpen in dit proces. Deze handreiking bestaat uit een kort overzicht van de inhoud van de Wbp; een stappenplan om te kunnen voldoen aan de Wbp; en een stappenplan met betrekking tot de meldplicht datalekken.

Ik vertrouw erop dat deze handreiking in een behoefte voorziet en zal bijdragen aan het borgen van privacyregelgeving in de waterschapssector.

Albert VermuëAlgemeen directeur

3Handreiking bescherming persoonsgegevens voor waterschappen

INHOUDSOPGAVE

1 VOORWOORD

4 LEESWIJZER

8 INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS

10 STAPPENPLAN NALEVEN WET BESCHERMING PERSOONSGEGEVENS

18 STAPPENPLAN MELDPLICHT DATALEKKEN

26 BIBLIOGRAFIE

30 BIJLAGEN 31 Bijlage 1 Nadere toelichting op de Wet bescherming persoonsgegevens 39 Bijlage 2 De aankomende Algemene Verordening Gegevensbescherming 44 Bijlage 3 Archiefwet 46 Bijlage 4 Wet openbaarheid van bestuur 48 Bijlage 5 Basisregistraties

LEESWIJZER

ACTIEPUNTEN

Bij de tekst van de handreiking vindt u beknopte acties ten aanzien van het onderwerp waar de tekst ter plekke betrek­king op heeft en die u kunt uitvoeren om invulling te geven aan het stappenplan. Deze actiepunten zijn herkenbaar als witte tekst in een blauw vlak:

VOORBEELD

Dit is een voorbeeld

AANDACHTSPUNTEN

Waar nodig worden bij de tekst extra aandachtpunten meegegeven. Deze zijn herkenbaar als zwarte cursieve tekst:

Dit is een voorbeeld van een kopje zwarte cursieve tekstDit is een voorbeeld van zwarte cursieve tekst

Er is voor gekozen om deze handreiking tot op zekere hoogte beknopt te houden. Veel onderwerpen worden daardoor nood­zakelijkerwijs slechts kort aangestipt. Om tegemoet te komen aan eventuele behoefte

aan meer informatie over de verschillende onderwerpen zijn verwijzingen opgenomen naar online publicaties en voorbeeld­documenten.

EXTERNE PUBLICATIES

Daarnaast treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. Deze verwijzingen zijn herkenbaar als blauwe tekst:

Dit is een voorbeeld van een kopje blauwe tekst• Dit is een voorbeeld van een opsomming

blauwe tekst

De publicaties kunt u terugvinden in de bibliografie, alwaar ook de online vindplaats van de publicatie is weer­gegeven. Maakt u gebruik van de pdf­versie van deze handreiking, dan kunt u daarop doorklikken naar de online locatie van de publicatie – zolang u een actieve internet­verbinding heeft.

5Handreiking bescherming persoonsgegevens voor waterschappen

VOORBEELDEN VAN TOEPASSINGEN

Zoals eerder vermeld treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. De waterschappen hebben aangegeven dat ze naast nadere duiding ook veel baat verwachten van praktische voorbeelden van toepassingen zoals van (stappen)plannen, beleid, procedures en contracten. Waterschappen hebben een aantal voorbeelden aangedragen. Deze kunt u raadplegen op het portaal van Het Waterschapshuis via https://portaal.hetwaterschapshuis.nl/werkgroep­privacyOm deze voorbeelden te kunnen raadplegen zult u zich moeten registeren voor toegang tot het portaal van Het Waterschapshuis. Nieuwe voorbeelden kunnen water­schappen zelf blijven aandragen c.q. toevoegen aan de collectie.

Meer voorbeelddocumenten ten aanzien van informatieveiligheid in het algemeen kunt u raadplegen op: https://informatie veiligheid.pleio.nl en https://portaal.het waterschapshuis.nl/ Informatiebeveiliging. Voor beide websites zult u zich moeten registreren.

VERWIJZINGEN EN LINKS

In dit document zijn tal van verwijzingen toegepast. Al deze verwijzingen zijn klikbaar. De meeste verwijzingen leiden naar een andere locatie in de handreiking. Daar waar een verwijzing naar een ander document is opgenomen in de vorm van

een internet URL, is een actieve internetverbinding noodzakelijk om de verwijzing te volgen naar het betreffende document.

BEGRIPPEN

Privacy en PrivacywetIn het dagelijks gebruik wordt de Wbp ook wel de Privacywet genoemd. Het begrip ‘privacy’ omvat echter meer dan de bescherming van persoonsgegevens. In deze handreiking is met privacy alleen de bescherming van persoonsgegevens bedoeld.

Autoriteit persoonsgegevens en College bescherming persoonsgegevensHet orgaan dat toezicht houdt op de bescherming van persoonsgegevens draagt formeel de naam ‘College bescherming persoonsgegevens’. Aan de Wbp is echter een bepaling toegevoegd die luidt: “Het College bescherming persoons­gegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.” In deze handreiking worden de termen ‘Autoriteit persoons­gegevens’ en ‘College bescher ming persoonsgegevens’, alsmede de bijbe­horende afkortingen ‘AP’ en ‘CBP’, afwisselend gebruikt zonder daarmee onderscheid te willen aanduiden.

AFKORTINGEN

AP Autoriteit Persoonsgegevens AVG Algemene Verordening Gegevens­

beschermingBID Taskforce Bestuur en Informatie­

veiligheid DienstverleningBIWA Baseline Informatiebeveiliging

WaterschappenBRP Basisregistratie PersonenBSN BurgerservicenummerCBP College Bescherming Persoons­

gegevensCIP Centrum voor Informatie­

beveiliging en PrivacybeschermingEU Europese UnieFG functionaris voor de gegevens­

beschermingHWH Het Waterschapshuis IBD De Informatiebeveiligingsdienst

voor gemeentenUVW Unie van WaterschappenWbp Wet bescherming persoons ­

gegevensWob Wet openbaarheid van bestuur

1 INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS

PRIVACY, EERBIEDIGING PERSOONLIJKE LEVENSSFEER, BESCHERMING PERSOONSGEGEVENS

In de Grondwet is het recht op eerbiediging van de persoonlijke levenssfeer vastgelegd. In de volksmond genoemd het recht op privacy. Dit recht heeft onder andere betrekking op de bescherming van de lichamelijke integriteit, de woning, het briefgeheim en de bescherming van persoonsgegevens.

DE WBP GEEFT REGELS VOOR HET VERWERKEN VAN PERSOONSGEGEVENS

De Wbp heeft alleen betrekking op de bescherming van persoonsgegevens en geldt voor bedrijven en overheden. Persoonsgegevens zijn gegevens die direct (bijvoorbeeld naam en geboortedatum) of indirect (bijvoorbeeld IP­adres) leiden tot de identificatie van een natuurlijk persoon. Deze gegevens kunnen geschreven zijn, maar kunnen ook bestaan uit beeld of geluid. Bij indirect identificerende

gegevens zijn nog nadere stappen nodig om tot identificatie van een persoon te komen. Alleen wanneer deze stappen zonder onevenredige inspanning te nemen zijn, is er sprake van persoonsgegevens.

Onder het verwerken van persoons gegevens wordt verstaan elke handeling met betrek­king tot persoonsgegevens. Het omvat het gehele proces dat een persoonsgegeven doormaakt vanaf het moment van ver­zamelen tot en met het moment van vernietigen. Voorbeelden van verwerken: verzamelen, vastleggen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, uitwissen, vernietigen.

OP WELKE VERWERKING VAN PERSOONSGEGEVENS IS DE WBP VAN TOEPASSING?

De Wbp is van toepassing op persoons­gegevens die geheel of gedeeltelijk geautomatiseerd verwerkt worden. De Wbp is ook van toepassing op niet geauto­matiseerde verwerkingen van persoons­ gegevens. Dan geldt wel het vereiste dat

9Handreiking bescherming persoonsgegevens voor waterschappen

deze gegevens in een bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen. De Wbp is niet van toepassing als de verwerking van persoonsgegevens uitsluitend betrekking heeft op persoonlijke of huishoudelijke activiteiten zoals telefoonlijstjes van vrienden en familie.Ook verwerkingen van persoonsgegevens in het kader van onder andere de Kieswet, de Wet basisregistratie personen en de Politiewet 2012 vallen niet onder de regels van de Wbp.

VERZOEK OM INFORMATIE EN INZAGE VAN PERSOONSGEGEVENS

De betrokkene heeft het recht om, met redelijke tussenpozen, een bedrijf, instel­ling of overheid te vragen of van hem persoonsgegevens worden verwerkt. De `betrokkene hoeft geen reden, belang of doel van zijn verzoek aan te geven. Het recht op inzage moet zeer ruim worden opgevat. Wanneer er persoonsgegevens worden verwerkt van betrokkene dan moet aan hem een volledig overzicht van de verwerkte persoonsgegevens worden verstrekt in een begrijpelijke vorm. Dit kan in de vorm van afschriften, kopieën of uittreksels. Buitensporige verzoeken, wanneer bijvoorbeeld extreem veel docu­

menten verstrekt moeten worden, mogen echter afgewezen worden.

Interne notities, werkaantekeningen en persoonlijke gedachten van medewerkers vallen niet onder het inzagerecht.

Toelichting op de wet• Bijlage: Nadere toelichting op de Wbp• Bijlage: Nadere toelichting op de aanko­

mende AVG• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp• CIP – Meldplicht Datalekken• SURF – Raamwerk van de Wbp en AVG

Aandachtspunt verwerkingDe geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP of uw functio­naris gegevensbescherming. Op grond van het vrijstellingsbesluit is een aantal categorieën van verwerkingen vrijgesteld van deze meldplicht.

VrijstellingsbesluitAP – Handreiking Vrijstellingsbesluit Wbp

2 STAPPENPLAN NALEVEN WET BESCHERMING PERSOONSGEGEVENS

INLEIDING

Het vorige hoofdstuk heeft u een korte inleiding gegeven in de Wbp. Een nadere toelichting op de Wbp vindt u in bijlage 1. Dit stappenplan beschrijft de stappen die doorlopen kunnen worden om ervoor te zorgen dat uw organisatie voldoet aan de Wet bescherming persoonsgegevens.

Scope van het stappenplanDit stappenplan is nadrukkelijk geen alomvattende procedure. U zult zelf een uitwerking en vertaling moeten maken die bij uw organisatie(inrichting) past.

Meldplicht datalekkenOp 1 januari 2016 is de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid in werking getreden. Deze betreft een wijziging van de Wbp (en enige andere wetten). Dit stappenplan geeft geen invulling aan de Wet meldplicht datalekken. Meer informatie over het omgaan met de meldplicht datalekken vindt u in hoofdstuk 3 ‘stappenplan meldplicht datalekken’.

InformatiebeveiligingDe praktijk van het beschermen van persoonsgegevens heeft veel raakvlakken met informatiebeveiliging. Dit stappenplan beperkt zich echter tot de Wet bescherming persoonsgegevens. Voor meer informatie over het toepassen van informatie­beveiliging bij de waterschappen verwijzen we u graag naar de Baseline Infor­matiebeveiliging Waterschappen (BIWA). Een link naar de BIWA vindt u op verschillende plaatsen in deze hand­reiking, waaronder in de bibliografie.

STAP 1: INVENTARISEER WAAR IN UW ORGANISATIE PERSOONS­GEGEVENS WORDEN VERWERKT

Een datainventarisatie is nooit compleet, maar de bedoeling is wel om zo compleet mogelijk te zijn. Om zo efficiënt mogelijk te werken kan de inventarisatie het best met een focus op proces­ en appli catie­niveau worden uitgevoerd.

11Handreiking bescherming persoonsgegevens voor waterschappen

ACTIES

• Vraag informatie over het gebruik van persoonsgegevens in werk­ en bedrijfsprocessen aan medewerkers die werkzaam zijn in deze processen.

• Raadpleeg aanwezige documentatie zoals referentiearchitectuur, informa­tiearchitectuur, proces beschrijvingen en applicatielandschap.

• Raadpleeg derden wanneer taken extern zijn belegd zoals in regionale uitvoeringsorganisaties, gemeen­schappelijke regelingen en andere samenwerkingsverbanden zoals vaak het geval is bij bijvoorbeeld belastingtaken.

Onderzoeksmethoden• AP – Wbp Quickscan• AP – Wbp Zelfevaluatie

Aandachtspunt uitvraag Tijdens een uitvraag onder medewerkers komt informatie over het verwerken van persoonsgegevens op bestandsniveau vanzelf naar boven.

STAP 2: BEPAAL WELKE (EIGEN) WET­ EN REGELGEVING NAAST DE WBP VAN TOEPASSING IS OP SPECIFIEKE PERSOONSGEGEVENS EN WELKE INVLOED DEZE HEEFT OP DE WERKING VAN DE WBP

Naast de Wbp is in enkele gevallen ook andere wet­ en regelgeving van toepassing op de verwerking van persoonsgegevens, bijvoorbeeld de Archiefwet. Op bepaalde verwerkingen van persoonsgegevens is de Wbp niet van toepassing, maar geldt een specifieke wet, bijvoorbeeld de Kieswet.

Een aantal specifieke wetten die zien op persoonsgegevens Wet basisregistratie personen, Wet justitiële en strafvorderlijke gegevens, Kieswet, Algemene wet inzake rijksbelastingen, de Wet openbaarheid van bestuur en de Archiefwet.

Andere wetgeving en de Wbp• Bijlage: Archiefwet• Bijlage: Basisregistraties• Bijlage: Wet openbaarheid van bestuur

STAP 3: BEPAAL WELKE ROL UW ORGANISATIE HEEFT TEN AANZIEN VAN DE VERWERKING VAN SPECIFIEKE PERSOONSGEGEVENS

Afhankelijk van of u verantwoordelijke of bewerker bent ten aanzien van de verwer­king van persoonsgegevens heeft u andere verplichtingen en verantwoordelijkheden ten aanzien van de bescherming van de betreffende persoonsgegevens.

ACTIES

• Bepaal of u verantwoordelijke bent ten aanzien van het persoonsgegeven.

• Bent u verantwoordelijke? Bepaal of er bewerkers in de keten actief zijn.

• Zijn er bewerkers actief? Stel dan eisen aan de betreffende bewerkers door een bewerkers­overeenkomst af te sluiten met de betreffende partij. (Zie bijlage 1 Nadere toelich­ting op de Wbp, Punt 6)

Taakoverdracht aan o.a. gemeenschap­pelijke regelingenRegelmatig dragen waterschappen taken over aan een gemeenschappelijke regeling, zoals het heffen en invorderen van waterschapsbelastingen. Deze organisatie verwerkt de persoonsgegevens voor de doeleinden zoals die beschreven staan in de gemeenschappelijke regeling en niet ten behoeve van het waterschap.De gemeenschappelijke regeling heeft in dat geval zeggenschap over de persoonsgegevens die nodig zijn voor de uitvoering van de taak. Het bestuur van de gemeenschappelijke regeling is verantwoordelijke ten aanzien van de betreffende persoonsgegevens.

Regelen met bewerkers• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp hoofdstuk 2• IBD – Bewerkersovereenkomst

Cloudcomputing• SURF – Rapport De wolk in het onderwijs;

Privacy aspecten bij cloud computing services» hoofdstuk 2

• EC – Opinion 05/2012 on Cloud Computing

AansprakelijkheidFormuleer bij het afsluiten van een bewerkersovereenkomst ook een passende aansprakelijkheidsclausule.

STAP 4: BEOORDEEL DE RECHT­MATIGHEID VAN DE VERWERKING VAN PERSOONS GEGEVENS

Doel van verwerkingOp grond van de Wbp moet het doel van de verwerking van de persoonsgegevens voor

inwinning van de persoonsgegevens worden bepaald en vastgelegd. Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerecht vaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn. De Wbp bevat een algemene norm over de kwaliteit van een verwerking van persoonsgegevens. Persoons­gegevens moeten gelet op het doel waarvoor ze worden verwerkt niet bovenmatig, toereikend, ter zaken dienend en juist zijn.

Grondslag voor verwerkingOm te kunnen bepalen of persoonsgegevens rechtmatig worden verwerkt is het nood­zakelijk de grondslag voor de verwerking te bepalen. Vaak is echter bij het initieel bepalen van de in te winnen informatie wel bedacht voor welke taak gegevens noodzakelijk zijn, maar is de juridische grondslag voor de verwerking niet vast­gelegd.

ACTIES

• Stel per verwerking van persoons­gegevens in ieder geval vast:

• Het doel van de verwerking.• De grondslag van de verwerking.• Welke persoonsgegevens verwerkt

worden.• Herkomst van de persoonsgegevens.• Of er een informatieplicht is naar de

betrokkene.• Of er een meldplicht is naar de AP.

Risico’s bepalen• AP – Richtsnoeren beveiliging van

persoonsgegevens

13Handreiking bescherming persoonsgegevens voor waterschappen

Rechtmatige verwerking• AP – Handleiding Wet bescherming

persoonsgegevens, Schema 3

Informatieplicht• AP – Handleiding Wet bescherming

persoonsegevens, Schema 5

Zes (limitatieve) grondslagen voor ver­werking van persoonsgegevens• Ondubbelzinnig toestemming van de

betrokkene.• Noodzakelijk voor de uitvoering van een

overeenkomst.• Noodzakelijk om een wettelijke verplich­

ting na te komen.• Noodzakelijk ter vrijwaring van een

vitaal belang van betrokkene.• Noodzakelijk voor de goede vervulling

van een publiekrechtelijke taak.• Noodzakelijk voor de behartiging van het

gerechtvaardigde belang van de ver­antwoordelijke tenzij de rechten en vrijheden van de betrokkene (in het bijzonder recht op de bescherming van de persoonlijke levenssfeer) prevaleert.

Uitvoeren van een wettelijke taakAls de verwerking van persoonsgegevens noodzakelijk is voor het uitvoeren van een wettelijke taak van het waterschap, dan is geen toestemming vereist van de betrokkene.

Toestemming van de betrokkeneHet heeft sterk de voorkeur om de grondslag “toestemming van betrokkene” alleen te kiezen als geen enkele andere grondslag van toepassing is.

Let opAls gekozen is voor de grondslag “toestemming van de betrokkene” en de betrokkene trekt zijn toestemming in dan ontbreekt op dat moment een grondslag voor de ver werking van betreffende persoons gegevens. Dat betekent dat vervolgens een rechtsgeldige grondslag gevonden moet worden voor de verwerking van betreffende persoonsgegevens. De betrokkene moet op de hoogte gesteld worden van deze (nieuwe) grondslag. Is na intrekking van de toestemming geen andere grondslag van toepassing dan moeten betreffende persoonsgegevens verwijderd worden.

Bijzondere persoonsgegevensHet verwerken van bijzondere persoonsgegevens is verboden, tenzij voldaan is aan de extra strikte regels uit de Wbp. Bijzondere persoonsgegevens zijn: persoons gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vak­vereniging, strafrechtelijke persoons­ gegevens en het BSN.

Geen grondslagAls blijkt dat er geen bestaande grondslag is voor de verwerking van persoons­gegevens dan is de verwerking niet rechtmatig. Is de verwerking van de persoonsgegevens toch wenselijk in het kader van bijvoorbeeld de bedrijfsvoering, dan kan er alsnog om toestemming gevraagd worden. Daarmee ontstaat alsnog een grondslag voor de verwerking.

ACTIES

• Bepaal of er toestemming is gevraagd en gegeven voor de verwerking van het persoonsgegeven in relatie tot het doel waarvoor u het gegeven verwerkt.

• Is dat niet het geval? Bepaal dan of er toestemming is gevraagd en gegeven voor de verwerking van het persoons­gegeven voor een doel waarmee uw huidige doel verenigbaar is.

• Is dat niet het geval? Bepaal dan of het verwerken van het betreffende persoonsgegeven wenselijk is en waarom.

• Is het verwerken wenselijk? Vraag dan alsnog toestemming voor de verwerking.

• Is de verwerking niet wenselijk? Ga dan over tot vernietiging van de reeds ingewonnen gegevens en stop het inwinnen van nieuwe gegevens.

Verenigbaarheid van doelenWat verenigbaar is hangt af van de omstandigheden en het specifieke geval. Bij de beoordeling moet in ieder geval met de volgende factoren rekening worden gehouden:• Verwantschap tussen doel waarvoor

gegevens zijn verkregen en het beoogde doel.

• Aard van de gegevens.• Gevolgen van de beoogde verwerking

voor de betrokkene.• De wijze waarop de gegevens zijn

verkregen.• Verwachting betrokkenen.• De mate waarin jegens de betrokkene

wordt voorzien in passende waarborgen.

Vernietigen van persoonsgegevensLet er bij het vernietigen van persoons­gegevens op dat u een passende vernietigingsprocedure hanteert en dat u deze procedure heeft vastgesteld en de daadwerkelijke vernietiging registreert.

STAP 5: PRIVACY RISICO’S BEPALEN

Bij een privacy­risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat de schade is die op zou kunnen optreden als een bedreiging zich daadwerkelijk voordoet.

ACTIES

• Bepaal de aard van de te verwerken persoonsgegevens.

• Bepaal de impact van een eventuele inbreuk op de beveiliging van de te verwerken persoonsgegevens.

Risico’s bepalen• AP – Richtsnoeren beveiliging van

persoonsgegevens

Dataclassificatie• Taskforce BID – BIWA Dataclassificatie• IBD – Handreiking dataclassificatie

15Handreiking bescherming persoonsgegevens voor waterschappen

STAP 6: BEPALEN GENOMEN EN TE NEMEN MAATREGELEN

De bedoeling van een risicoanalyse is dat er na de analyse wordt vastgesteld op welke wijze de risico’s beheerst kunnen worden, of teruggebracht tot een aanvaard­baar niveau door (informatiebeveiligings)maat regelen te treffen. Daarbij wordt naast een risicoanalyse ook een kosten en baten analyse uitgevoerd.

ACTIE

Bepaal passende technische, juridische, beleidsmatige en organisatorische beveiligingsmaatregelen, leg deze vast en voer ze door.

Afdekken risico’s Niet ieder risico hoeft te worden afgedekt: wanneer de kosten van maatregelen hoger zijn dan de mogelijke schade, kan besloten worden het restrisico te accepteren. De verantwoordelijke bepaalt of de gegevens­classificatie juist is en of beargumenteerd van daaraan gekoppelde maatregelen kan worden afgeweken.

Maatregelen• UvW – Baseline Informatiebeveiliging

Waterschappen• AP – Richtsnoeren, Beveiliging van

persoonsgegevens• SURF – Model Beleid Verwerking Per­

soonsgegevens• SURF – Leidraad Model Beleid

Verwerking Persoonsgegevens• IBD – Bewerkersovereenkomst• IBD – Handreiking communicatieplan

informatiebeveiligings

Voorbeelden van maatregelen• Technische maatregelen: o.a. scheiden

van opslag van persoons gegevens van andere gegevens.

• Juridische maatregelen: o.a. bewerkers­overeenkomst.

• Organisatorische maatregelen: o.a. incidentenregistratie, interne procedures, communicatieplan, educatieplan en bewustwordingsprogramma.

STAP 7: BORGING, MONITOREN EN EVALUEREN: BEHEERSEN WE HET PROCES?

Het is voor de informatieveiligheid van belang ervoor te zorgen dat de organisatie alle geïntroduceerde beveiligingsprocessen en procedures ook op langere termijn blijft hanteren. Daarvoor is het aan te raden bij nieuwe of wijzigende processen en projecten waarbij mogelijk persoons­gegevens worden verwerkt vanaf het begin aandacht te vragen voor rechtmatige inwinning, gebruik en beveiliging van persoonsgegevens.

ACTIES

• Stel (een beperkt aantal) korte en lange termijn privacydoelstellingen vast. Deze kunnen ­ als de organisa­tie daar de waarde van ziet ­ verder gaan dan het voldoen aan de wet. Bijvoorbeeld om de organisatie onderscheidend vermogen te geven.

• Stel een evaluatieprogramma op basis van de vastgestelde doelstel­lingen op en definieer meetbare metrix waarover periodiek aan de organisatie (bestuur, management en personeel) wordt gerapporteerd.

• Stel een educatie­, bewustwordings­ en communicatieprogramma op om nieuwe medewerkers te instrueren en bestaande medewerker in te lichten over nieuwe werkwijzen en gewijzigde vereisten.

ACTIES

• Voer privacy impact assessments in voor alle nieuwe of wijzigende processen en projecten

• Voer periodieke privacy audits in om onafhankelijke toetsing te garanderen en bewijslast te creeren voor de inspanningen van de orga­nisatie.

Bewustwording• IBD – Handreiking communicatieplan

informatiebeveiliging

Privacy audit• AP – Raamwerk Privacy Audit

Privacy impact assessment• CIP – Privacy Impact Assessments:

Wat is het, hoe doe je het en hoe pak je het aan?

• IBD – Toelichting PIA• IBD – Verslag PIA• IBD – Vragenlijst PIA• Norea – Privacy Impact Assessment

(PIA), Introductie, handreiking en vra­genlijst

• SURF – Model Privacy Impact Assess­ment ­ PIA­risicoformulier

• SURFModel Privacy Impact Assessment ­ toelichting […] het PIA­risicoformulier

PrivacydoelstellingenVerbind de privacydoelstellingen aan de organisatiedoelstellingen om het manage­ment en het bestuur ook op langere termijn als stakeholder te verbinden aan het programma en voldoende middelen voor het programma veilig te stellen.

3 STAPPENPLAN MELDPLICHT DATALEKKEN

INLEIDING

De Wet meldplicht datalekken en uit­breiding bestuurlijke boetebevoegdheid is op 1 januari 2016 in werking getreden en betreft een wijziging van de Wbp (en enige andere wetten). Het is voortaan verplicht elk datalek te melden bij het College bescherming persoonsgegevens (CBP), voortaan ook de Autoriteit Persoons­gegevens (AP) genoemd. In een aantal situaties moet het datalek ook gemeld worden aan de betrokkene. Dat is de persoon wiens persoonsgegevens zijn gelekt. Met de nieuwe meldplicht loopt Nederland vooruit op de AVG.

Wat is een datalek?De Wbp vereist van de verantwoordelijke dat deze passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen tegen verlies of tegen elke vorm van on­rechtmatig gebruik. Iedere inbreuk op deze beveiliging wordt een datalek genoemd. We spreken dus van een datalek als er sprake is van onbevoegde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van diegene die verant­woordelijk is voor deze gegevens.

Ook verlies van persoonsgegevens bij bijvoorbeeld een brand geldt als een datalek als de gegevens daarbij verloren zijn gegaan en niet kunnen worden gereconstrueerd met behulp van bijvoor­beeld een back­up. Een lek waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, valt dus niet onder de meldplicht datalekken.

De inbreuk op de beveiliging van persoons­gegevens kan bestaan uit:

• Tekortschietende beveiligingsmaat­regelen.

• Beveiligingsmaatregelen die teniet worden gedaan of worden omzeild.

• Inadequate of onvakkundig toegepaste beveiliging door de verantwoordelijke zelf.

• Menselijke fouten van ondergeschikten van de verantwoordelijke en eventuele verwerkers.

Mogelijke bronnen van een inbreuk op de beveiliging kunnen zijn:

• Kwaadwillende buitenstaander.• Toevallig verlies.• Kwaadwillende insider.• Hacker/activist.

19Handreiking bescherming persoonsgegevens voor waterschappen

Verplicht bijhouden logboek van inbreuken op beveiliging De verantwoordelijke houdt een overzicht bij van alle inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens.

Uitbreiding boetebevoegdheden AP De boetebevoegdheden van de AP zijn aanzienlijk verruimd:

• Met ingang van 1 januari 2016 bedraagt de maximale boete 820.000 euro (i.p.v. 4.500 euro). Dit maximum geldt onder andere voor het niet melden van een datalek.

• Boetes kunnen worden opgelegd voor alle overtredingen van de Wbp. Zo geldt de maximale boete o.a. ook voor het zonder rechtsgrond verwerken van persoonsgegevens, het langer bewaren van persoonsgegevens dan noodzakelijk en het zonder gerechtvaardigd doel verzamelen van persoonsgegevens.

• Voordat de boete mag worden opgelegd moet de AP een bindende aanwijzing geven. De bindende aanwijzing is niet vereist wanneer er sprake is van opzet of ernstig verwijtbare nalatigheid.

Autoriteit persoonsgegevens Het orgaan dat toezicht houdt op de be­scherming van persoonsgegevens blijft formeel de naam “College bescherming persoonsgegevens” dragen. Aan de Wbp wordt echter een bepaling toegevoegd die luidt: “Het College bescherming persoons­gegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit per­soonsgegevens.”

Scope van het stappenplan Het melden van een datalek naar de Auto­riteit persoonsgegevens en in sommige gevallen de betrokkene is dus een wettelijk vereiste. De Autoriteit persoonsgegevens heeft naar aanleiding van de Wbp bepaalde kwaliteits ver wachtingen van de manier waarop uw organisatie met de beveiliging van persoonsgegevens omgaat en van de manier waarop uw organisatie – wanneer zich ondanks alle beveiligingsmaatregelen toch een datalek voordoet – met een data­lek omgaat. De Autoriteit Persoons­ gegevens kan uw organisatie te allen tijde vragen inzicht te geven in de maatregelen die uw organisatie daartoe heeft genomen.

Dit stappenplan beschrijft de stappen die doorlopen kunnen worden bij het omgaan met datalekken: het schetst een globaal beeld van een incidentmanagement­procedure. De melding zelf is daar slechts een onderdeel van. Het stappenplan is nadrukkelijk geen uitgewerkte procedure die u ter hand kunt nemen wanneer zich een incident voordoet. U zult zelf een uitwerking en vertaling moeten maken die bij uw organisatie(inrichting) past.

Tijdens het doorlopen van het stappenplan om tot een incidentmanagementprocedure te komen, zult u al snel ontdekken dat dit plan niet los te zien is van de manier waarop uw organisatie verder met de Wbp omgaat. Het aanpakken van een incident wordt immers al snel bemoeilijkt als de organisatie geen goed beeld heeft van waar en door wie persoonsgegevens in de organisatie worden verwerkt, en welke beveiligingsmaatregelen de organisatie daarbij heeft genomen.

Iemand die schade lijdt omdat het waterschap zich niet houdt aan de voor­schriften van de Wbp kan het waterschap aansprakelijk stellen op grond van artikel 49 van de Wbp. Er geldt hier een omgekeerde bewijslast, dat wil zeggen het waterschap moet bewijzen dat de schade het waterschap niet kan worden toegerekend.

Voorbeelden van mogelijke oorzaken voor een datalek• een kwijtgeraakte USB­stick• een gestolen laptop• een inbraak door een hacker• verzending van e­mail waarin de e­mail­

adressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden

• een calamiteit zoals een brand in een datacentrum

• gebroken encryptie/beveiliging waardoor toegang tot persoonsgegevens voor onbevoegden ontstond (bijv. gelekt wacht­woord van PIMS/Cloud/teamsite, etc.)

• verloren en vernietigde papieren met persoonsgegevens of bedrijfsgegevens (verlies van informatie)

• ongeautoriseerde toegang van een laptop, tablet of smartphone met bedrijfsgegevens/persoonsgegevens

ACTIES

• Creëer bewustzijn voor privacy bescherming en het fenomeen datalek bij bestuur, management en medewerkers.

• Stel een incidentmanagementplan of ­procedure vast.

• Stel een portefeuillehouder privacy aan op bestuurlijk niveau. Deze kan als sponsor het belang en de urgen­tie van privacy uitdragen.

• Stel een projectleider privacy en eventueel een functionaris gegevens­bescherming aan.

• Stel een incident response team aan.

Datalekken• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp hoofdstuk 3• CIP – Meldplicht Datalekken• paragraaf 2.1 en 2.2

Voorbeelden van persoonsgegevens• Naam • Adres• Woonplaats• Postcode• IP­adres• Bankrekeningnummer• Foto• Medische gegevens• Kadastrale informatie• BSN­nummer• Telefoonnummer• Kenteken • Geboortedatum

Incidentmanagement• IBD – Voorbeeld incidentmanagement

en responsebeleid

Tip Ook een privacyincident kan zich tot een calamiteit ontwikkelen, bijvoorbeeld als het incident onbeheersbaar blijkt of de gevolgen voor betrokkenen groot zijn. Zorg daarom dat een incidentmanagementplan en ­organisatie aansluit op het calami­teitenplan en de bijbehorende organisatie.

21Handreiking bescherming persoonsgegevens voor waterschappen

STAP 1: DETECTEREN VAN EEN DATALEK

Een datalek kan door iedereen op allerlei manieren gedetecteerd en gemeld worden. Bijvoorbeeld door:

• Derden, zoals burgers, media, partners, hackers.

• Medewerkers van de verantwoordelijke of een van de bewerkers.

• Het informatiebeveiligingsteam van de verantwoordelijke of een van de bewerkers.

Het is van belang dat iemand die een datalek wil melden weet hoe, waar en wanneer deze een melding kan doen.

ACTIES

• Richt een meldpunt in.• Maak een werkinstructie zodat

medewerkers weten hoe ze moeten handelen.

• Controleer of u de juiste afspraken heeft gemaakt met eventuele bewer­kers zodat u als verantwoordelijke aan uw zorgplicht kunt voldoen.

Tips• Houd bij de inrichting van het meldpunt

en de werkinstructie rekening met meldingen van buiten de eigen orga­nisatie.

• U kunt maatregelen nemen om op een verantwoorde wijze kwetsbaarheden in ICT­systemen en procedures te melden en openbaar te maken (responsible disclosure), zodat schade zo veel mogelijk kan worden voorkomen of beperkt.

Responsible disclosure• NCSC – Leidraad om te komen tot een

praktijk van responsible disclosure• IBD – Responsible disclosure• SURF – Implementatiehandleiding

responsible disclosure

Regelen met bewerkers• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp hoofdstuk 2• IBD – Bewerkersovereenkomst

STAP 2: REGISTREREN VAN EEN DATALEK

De verantwoordelijke is verplicht een overzicht bij te houden van alle inbreuken die leiden tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Deze registratie is van belang voor:

• Bewijsvoering bij een eventueel ( juridische) vervolgprocedure.

• Het trekken van lering uit het datalek en de wijze waarop dit is afgehandeld.

• Antwoord kunnen geven aan betrok­kenen en de AP.

• Alsnog melden van het datalek aan betrokkenen, indien dit in eerste instantie niet nodig bleek te zijn. Door veranderde omstandigheden kan het echter zijn dat dit achteraf alsnog gedaan moet worden.

Het overzicht bevat in ieder geval:

• Feiten en gegevens omtrent de aard van de inbreuk.

• De tekst van de kennisgeving aan betrokkene.

ACTIE

Richt een incidentenregistratie in of breidt een bestaande incidentenregi­ stratie uit conform de eisen uit de wet. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk en de tekst van de kennisgeving aan de betrokkenen.

Registreren van datalekken• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp hoofdstuk 10

STAP 3: BEPALEN MELDPLICHT

Voor u kunt bepalen of u meldplichtig bent en aan wie u meldplichtig bent, bepaalt u eerst uw verantwoordelijkheid ten aanzien van de gegevens en of u volgens de Wbp verantwoordelijke of bewerker bent. In veel gevallen zal het waterschap de verantwoordelijke zijn voor de verwerking van persoonsgegevens door het water­schap.

U bent bewerker

ACTIE

Bepaal aan de hand van uw overeen­komst met de verantwoordelijke of en wanneer u het datalek bij de verant­woordelijke moet melden of eventueel rechtstreeks aan de Autoriteit Per­soonsgegevens.

U bent verantwoordelijke

1. Melden aan de Autoriteit Persoons­gegevens

Een datalek moet uiterlijk op de tweede werkdag ná de ontdekking worden gemeld aan de Autoriteit Persoonsgegevens:

• Wanneer er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens.

• Wanneer een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Een lek heeft ernstig gevolgen als het om een grote hoeveelheid data gaat (kwanti­tatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig).

Aan de Autoriteit Persoonsgegevens moet minimaal worden gemeld:

• De aard van de inbreuk.• De instanties waar meer informatie over

de inbreuk kan worden verkregen.• De aanbevolen maatregelen om de

negatieve gevolgen van de inbreuk te beperken.

23Handreiking bescherming persoonsgegevens voor waterschappen

• De geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de ver­werking van persoonsgegevens.

• De maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Het heeft echter de voorkeur direct zo volledig mogelijk te zijn.

ACTIES

• Bepaal de aard van de gelekte gegevens

• Bepaal of u op basis van deze classi­ficatie of u meldplichtig bent richting de Autoriteit Persoonsgegevens.

• Bent u meldplichtig? Meld uw datalek dan via het daarvoor bij de Autoriteit Persoonsgegevens be­schikbare meldingsformulier.

• Verzamel (forensische) bewijsmate­riaal en bewaar en registreren dit bij of in je incidentenregistratie.

• Specialistisch onderzoek doen en herstel uitvoeren: (forensisch)onderzoek en herstel kan zelf d.m.v. inzet van een particulier beveiligings­ bureau of inschakelen van een instantie.

Melden• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp, hoofdstuk 4 t/m 6

Dataclassificatie• Taskforce BID – BIWA Dataclassificatie• IBD – Handreiking dataclassificatie

2. Melden aan de betrokkenen Een datalek moet onverwijld aan de betrokken persoon worden gemeld wanneer het datalek (waarschijnlijk) ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkene. Deze gevolgen kunnen materieel zijn, zoals financiële schade door misbruik van bankgegevens, of immaterieel, zoals discriminatie. Uw organisatie mag eerst nader onderzoek doen om de betrokkene in één keer op een zorgvuldige manier te kunnen informeren. Let wel: de betrokkene zal maatregelen willen nemen naar aanleiding van het datalek. Voort­varendheid van uw organisatie is dus gewenst!

Aan betrokkene moet minimaal worden gemeld:

• De aard van de inbreuk.• De instanties waar meer informatie over

de inbreuk kan worden verkregen.• De aanbevolen maatregelen om de

negatieve gevolgen van de inbreuk te beperken.

ACTIES

• Bepaal of u op basis van de classifi­catie of u meldplichtig bent richting betrokkene.

• Bent u meldplichtig? Meld uw datalek en richt indien nodig nazorg voor de betrokkenen in.

Melden• AP – Beleidsregels voor toepassing van

artikel 34a v.d. Wbp, hoofdstuk 7 t/m 9

Geen melding Melding kan achterwege blijven als de betreffende persoonsgegevens onbe­grijpelijk (encryptie) of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.

3. Aangifte doen bij de politieAls er sprake is van cybercrime/virtuele diefstal (moedwillig misbruik/schade aangebracht, virtuele spullen gestolen), is het wenselijk dat u aangifte doet bij de politie. Hier is sprake van bij verlies van beschikbaarheid, vertrouwelijkheid of integriteit van informatie door bijvoorbeeld ransomware, cryptoware of een hack.

Aangifte is verplicht wanneer ICT­voor­zieningen worden misbruikt en hierbij vermoedens bestaan van een ernstig misdrijf conform artikel 160 van het wetboek van strafrecht. Bij twijfel kunt u deskundige hulp inschakelen, bijvoorbeeld van een beveiligingsadviesbureau of een particulier recherchebureau, om het onderzoek te begeleiden of het beveilig­ingsincident op te volgen. Indien het datalek is ontstaan door computervredebreuk (‘hacking’), kunt u hiervan aangifte doen. Het is zeker aan te bevelen om dit te doen als blijkt dat er misbruik gemaakt is van gegevens of als er financiële schade is geleden. Politie en Openbaar Ministerie besluiten zelf tot onderzoek en eventueel vervolging over te gaan.

ACTIES

Van alle criminaliteit kunt u aangifte doen via het telefoonnummer 0900­8844 of bij uw lokale wijkteam. Van een aantal delicten kunt u ook online aangifte doen. https://www.politie.nl/themas/cybercrime.html of anoniem via https://www. meldknop.nl/mis­bruik/virtuele­diefstal/

Tip Bij een aangifte is het belangrijk om zoveel mogelijk sporen te verzamelen of de sporen in ieder geval niet te wissen zodat de politie deze veilig kan stellen.

4. Melden bij het NCSCHet melden van cybercrime bij het NCSC is niet verplicht maar levert een substantiële bijdrage aan het inzichtelijk maken van cybercrime. De meldingen leveren ook een bijdrage aan de beleidsformulering van diverse (overheids)instanties. Van een melding wordt geen proces­verbaal opgemaakt.

ACTIE

Een melding doen aan het NCSC kan via info@ncsc.nl en in noodgevallen buiten kantooruren cert@ncsc.nl.

25Handreiking bescherming persoonsgegevens voor waterschappen

STAP 4: DICHTEN VAN EEN DATALEK

Om te kunnen bepalen hoe een datalek het best verder kan worden afgehandeld, is het noodzakelijk om eerst te bepalen of het lek voor de organisatie beheersbaar is. Als dat niet zo is, dan is het verstandig het incident te escaleren en op te schalen naar de calamiteitenprocedure.

ACTIES

• Bepaal waar het lek vandaan komt.• Bepaal de omvang van het lek.• Bepaal of het lek beheersbaar is; zo

niet, schaal dan op naar de gangbare calamiteitenprocedure.

• Bepaal of er gerelateerde incidenten waarneembaar zijn.

• Zo ja, bepaal welke noodmaatrege­len genomen kunnen worden.

STAP 5: BORGEN VAN VEILIGHEID

Als het lek eenmaal is gedicht met behulp van noodmaatregelen, dan kan de organisatie overgaan tot het omzetten van de noodmaatregelen naar structurele maatregelen om herhaling van een soortgelijk incident te voorkomen.

ACTIES

• Voer technische, organisatorische en beleidsmaatregelen door om het lek te dichten.

• Beschrijf de genomen maatregelen en registreren deze bij of in de incidenten registratie.

Maatregelen• UvW – Baseline informatiebeveiliging

waterschappen• AP – Richtsnoeren beveiliging van

persoonsgegevens

BIBLIOGRAFIE

• Jean Pierre, G. Kuipers, & R. De Bruijn. (2015, November). Meldplicht datalekken, versie 2.0. Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy. Retrieved from: http://www.cip­overheid.nl/wp­content/uploads/2015/11/ 20151130_meldplicht_v2_0_def01.11.pdf

• Polderdijk­Rijntjes, M. van Heumen, A. Paulissen, & H. Alfons. (2014a, December). Model Privacy Impact Assessment; PIA risico formulier. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank /2015/201412­pia­risicoformulier.pdf

• Polderdijk­Rijntjes, M. van Heumen, A. Paulissen, & H. Alfons. (2014b, December). Model Privacy Impact Assessment; Toelichting en invulinstructie bij gebruik van het PIA risico formulier. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201412­­­model­privacy­impact­assessment.pdf

• European Commission, Article 29 data protection working party. (2012, July 1). Opinion 05/2012 on Cloud Computing. European Commission, Article 29 data protection working party. Retrieved from: http://ec.europa.eu/justice/data­protection/article­29/documentation/opinion-recommendation/files/2012/wp196_en.pdf

• Baseline Informatiebeveiliging Waterschappen. (2013, Oktober). Unie van Waterschappen. Retrieved from: https://www.uvw.nl/wp­content/uploads/2013/10/Baseline­Informatiebeveiliging­waterschappen­2013.pdf

• Dataclassificatie: Een operationeel product op basis van de Baseline Informatiebeveiliging Waterschappen (BIWA). (2014, November 13). Taskforce Bestuur & Informatieveiligheid Dienstverlening. Retrieved from: https://informatieveiligheid.pleio.nl/file/download/29245022

27Handreiking bescherming persoonsgegevens voor waterschappen

• Bewerkersovereenkomst. (2014, February). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/14­0218­bewerkersovereenkomst­v1.0.pdf

• CBP Richtsnoeren, Beveiliging van persoonsgegevens. (2013, February). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren­beveiliging­persoonsgegevens.pdf

• CBP Richtsnoeren, Publicatie van persoonsgegevens op internet. (2007, December). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/downloads/rs/rs_20071211_persoonsgegevens_op_internet_definitief.pdf

• Handleiding Wet bescherming persoonsgegevens. (2002, April), Ministerie van justitie. Retrieved from: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/brochures/2006/07/13/handleiding­wet­bescherming­persoonsgegevens/handleiding­wet­bescherming­persoonsgegevens.pdf

• Van Cauwenberghe, M. Zwinkels, L. Petersen, W. Bakker, R. Hageman, & C. Baartsmans. (2014, December). Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming. (SURF Projectgroep “Voorbereideing Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201501­­­raamwerk­privacy­avg.pdf

• De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp): Beleidsregels voor toepassing van artikel 34a van de Wbp. (2015, December 8). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

• Dr. C. Cuijpers, Prof. R. Leenes, S. Olislaegers, LLM, & Prof. K. Stuurman. (n.b.). Rapport De wolk in het onderwijs; Privacy aspecten bij cloud computing services. SURFnet/ Kennisnet. Retrieved from: https://www.surf.nl/kennis­en­innovatie/kennisbank/2011/whitepaper­de­wolk­in­het­onderwijs­privacyaspecten­bij­cloud­computing­ services.html

• F. Pingen, B. van den Heuvel, S. Capkin, R. Meijer, J. Gall, & C. Baartmans. (2014, December). Model Beleid Verwerking Persoonsgegevens. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming” en SURFibo, Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201501­­­model­beleid­verwerking­persoonsgegevens.pdf

• F. Pingen, B. van den Heuvel, S. Capkin, R. Meijer, J. Gall, & C. Baartmans. (2015, January). Leidraad Model Beleid Verwerking Persoonsgegevens. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennis bank/2015/201501­­­leidraad­beleid­verwerking­persoonsgegevens.pdf

• G.W. Van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001a, April). Raamwerk Privacy Audit. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: https://www.privacy-audit-proof.nl/readfile.aspx?ContentID=41152&ObjectID=383730&Type=1&File=0000022882_Raamwerk_Privacyaudit.pdf

• G.W. Van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001b, April). WBP Quickscan. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: http://www.svcnet.nl/handboek2/TL_Tools/5­wet_en_regelgeving/WBP_Quickscan.pdf

• G.W. van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001, April). WBP Zelfevaluatie. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: http://www.suprida.nl/wp/wp­content/uploads/wbp_zelf evaluatie.pdf

• Handreiking communicatieplan informatiebeveiliging. (2015, Maart). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2015/03/15­0320­Handreiking­communicatieplan­informatiebeveiliging­v1.0.pdf

• Handreiking dataclassificatie. (2013, Oktober). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/13-1018-handreiking-dataclassificatie.pdf

• Handreiking vrijstellingsbesluit Wbp. College bescherming persoonsgegevens. Retrieved from: https://autoriteitpersoonsgegevens.nl/nl/melden/handreiking­vrijstellingsbesluit­wbp

• Leidraad om te komen tot een praktijk van Responsible Disclosure. (n.d.). Nationaal Cyber Security Centrum. Retrieved from: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/richtlijnen/2013/01/03/leidraad­om­te­komen­tot­een­praktijk­van­responsible­disclosure/pers­5766b­document­responsible­disclosur­1.pdf

29Handreiking bescherming persoonsgegevens voor waterschappen

• M. Cuperus, & D. Van Es. (2014, July 9). Implementatiehandleiding responsible disclosure. SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/implementatiehandleiding­responsible­disclosure.pdf

• mr. dr. B.W. Schermer, & mr. drs. M. Wubben. (2014). Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan? Considerati. Retrieved from: http://www.cip­overheid.nl/wp­content/uploads/2014/05/Whitepaper­PIA.pdf

• Privacy Impact Assessment (PIA), Introductie, handreiking en vragenlijst, versie 1.2. (2015, November). Norea. Retrieved from: http://www.norea.nl/readfile.aspx?ContentID= 82987&ObjectID=1265283&Type=1&File=0000042779_PIA%20versie%201.2%20def.pdf

• Project Moore in opdracht van SURF. (2015, Mei). Handreiking Meldplicht Datalekken; Een stappenplan. SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/150416­stappenplan­en­vraagbaak­meldplicht­datalekken_v2.pdf

• Responsible Disclosure. (2014, February). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/14­0221­Responsible­disclosure­1.0.pdf

• Toelichting PIA. (2014, Maart). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/14­0404­Toelichting­PIA­v1.0.pdf

• Verslag PIA. (2014, April). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/14­0404­Verslag­PIA­v1.0.pdf

• Voorbeeld incidentmanagement en responsebeleid. (2013, November). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/13­1111­voorbeeld­incident­management­en­response­beleid.pdf

• Vragenlijst PIA. (n.d.). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp­content/uploads/2014/04/14­0404­Vragenlijst­PIA­v1.0.pdf

BIJLAGEN

31 BIJLAGE 1 NADERE TOELICHTING OP DE WET BESCHERMING PERSOONSGEGEVENS

39 BIJLAGE 2 DE AANKOMENDE ALGEMENE VERORDENING GEGEVENSBESCHERMING

44 BIJLAGE 3 ARCHIEFWET

46 BIJLAGE 4 WET OPENBAARHEID VAN BESTUUR

48 BIJLAGE 5 BASISREGISTRATIES

31Handreiking bescherming persoonsgegevens voor waterschappen

BIJLAGE 1 NADERE TOELICHTING OP DE WET BESCHERMING PERSOONSGEGEVENS

1. ALGEMEEN

De Wbp is in 2001 in werking getreden en is de implementatie van de Europese priva­cyrichtlijn ( 95/46/EG).

De Wbp geldt voor private organisaties en overheden. Heeft de verwerking van per­soonsgegevens uitsluitend betrekking op persoonlijke of huishoudelijke activiteiten dan is de Wbp niet van toepassing.Verder is de Wbp niet van toepassing op de verwerking van persoonsgegevens:

• Ten behoeve van inlichtingen­ en veilig­heidsdiensten (Wet op de inlichtingen­ en veiligheidsdiensten 2002) en de uitvoering van de politietaak (Politiewet 2012).

• Die geregeld is op grond van de Wet basisregistratie personen.

• Ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens.

• Ten behoeve van de uitvoering van de Kieswet.

Wanneer een wet specifieke regels heeft over de bescherming van persoons­gegevens dan hebben deze specifieke regels voorrang op de regels van de Wbp. Voorbeelden van dergelijke wetten zijn de Algemene wet inzake rijksbelastingen, de Wet openbaarheid van bestuur en de Archiefwet. De Wbp blijft verder wel van toepassing naast deze wetten.

Wanneer zijn gegevens persoons­gegevens?De Wbp beschrijft een persoonsgegeven als volgt:

Persoonsgegeven Elk gegeven betreffende een geïdentifi-ceerde of identificeerbare natuurlijke persoon.

Gegevens zijn persoonsgegevens als deze hetzij direct (bijvoorbeeld naam van een persoon, foto’s en videobeelden van bevei­lingscamera’s waar personen opstaan), hetzij indirect (identificatie nummer, IP-adres) tot identificatie leiden. Het gaat om gegevens die een persoon identificeren of mogelijk kunnen identi ficeren. Hierbij kan

het gaan om objectieve informatie (feiten) als ook subjectieve informatie (meningen en oordelen).

De Wbp kent ook bijzondere persoons­gegevens. Hieronder is kort aangegeven wat daaronder verstaan wordt. Het verwerken van bijzondere persoons­gegevens is verboden, tenzij voldaan is aan de extra strikte regels uit de Wbp.

Bijzondere persoonsgegevensPersoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en het BSN.

Wat wordt bedoeld met het verwerken van persoonsgegevens?Bij het verwerken van persoonsgegevens gaat het om elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens al dan niet op geautomatiseerde wijze. Het omvat het gehele proces dat een gegeven doormaakt vanaf het moment van verzamelen tot en met het moment van vernietiging.

Voorbeelden van verwerkenVerzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, uitwissen, vernietigen.

Op welke verwerking van persoons­gegevens is de Wbp van toepassing?De Wbp is van toepassing op persoons­gegevens die:

• Geheel of gedeeltelijk geautomatiseerd verwerkt worden.

• Niet geautomatiseerd verwerkt worden én in een bestand zijn opgenomen.

• Of bestemd zijn om in een bestand te worden opgenomen.

BestandEen bestand is volgens de Wbp elk gestructureerd geheel van persoons­gegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

VerantwoordelijkeHet is steeds de verantwoordelijke die moet voldoen aan de bepalingen van de Wbp. De verantwoordelijke is de natuurlijke­ of rechtspersoon of het bestuursorgaan dat het doel en de middelen voor de gegevensverwerking vaststelt: bij het waterschap formeel het dagelijks bestuur. De verantwoordelijke kan een derde namens hem persoons­gegevens laten verwerken. De verantwoordelijke is bevoegd om te bepalen welke gegevens verwerkt worden, met welk doel, hoe lang en met welke middelen. Met andere woorden de verantwoordelijke heeft zeggenschap over de persoonsgegevens en beslist over het gebruik van persoonsgegevens zoals het doorgeven aan derden.Deze zeggenschap kan alleen of met anderen worden uitgeoefend. Hieraan doet

33Handreiking bescherming persoonsgegevens voor waterschappen

niet af dat de verantwoordelijke met het verwerken van persoonsgegevens derden van dienst wil zijn.

BewerkerDe verantwoordelijke kan een derde namens hem persoonsgegevens laten verwerken. Deze derde, de bewerker genaamd, verwerkt persoonsgegevens ten behoeve van de verantwoordelijke zonder dat hij ondergeschikt is aan de verant­woordelijke. De bewerker verwerkt de persoonsgegevens volgens de instructies van de verantwoordelijke en onder de verantwoordelijkheid van de verant­woordelijke. De bewerker bepaalt niet het doel van de verwerking en ook niet de middelen voor de verwerking van de persoonsgegevens. Ook de bewerker heeft rechten en plichten op grond van de Wbp. Memorie van toelichting bij de Wbp: “De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verant­woordelijkheid.

Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegevens gepaard gaat. De bewerker is allereerst een buiten de organisatie van de verantwoordelijke staande persoon of instelling. Het zal veelal gaan om een persoon of instelling die niet in een hiërarchische relatie tot de verantwoordelijke staat. Daar waar een hiërarchische relatie bestaat met de verantwoordelijke moet worden gesproken

van (intern) beheer. De verantwoordelijke die gegevens te zijnen behoeve buiten zijn rechtstreeks gezag verwerkt wil hebben is op grond van artikel 14, tweede lid, verplicht een overeenkomst met de bewerker aan te gaan. Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslis­singen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz. Zou hij immers deze zeggenschap wel verwerven dan dient hij als verantwoordelijke te worden aan­gemerkt.”

BetrokkeneDe betrokkene is de persoon op wie de persoonsgegevens betrekking hebben.

2. VERPLICHTINGEN OP GROND VAN DE WBP

Op grond van de Wbp moet de verwerking van persoonsgegevens aan de volgende voorwaarden voldoen:

a. Persoonsgegevens worden in overeen­stemming met de wet op behoorlijke en zorgvuldige wijze verwerkt.

b. Persoonsgegevens worden voor wel­bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden ver zameld.

c. Persoonsgegevens mogen slechts worden verwerkt op grond van een zestal limita­tief in de Wbp benoemde situaties.

d. Er worden niet meer gegevens verwerkt dan strikt noodzakelijk is voor het uiteindelijke doel.

e. De gegevens worden in principe niet gebruikt voor andere doelen dan waarvoor ze zijn verzameld.

f. De organisatie heeft de betrokken burger laten weten wat de organisatie met de gegevens doet.

g. De gegevens mogen niet langer worden bewaard dan noodzakelijk.

h. Er zijn passende technische en organi­satorische maatregelen getroffen om de gegevens te beschermen.

i. De verantwoordelijke informeert de betrokkene over de verwerking van zijn persoonsgegevens.

j. De geheel of gedeeltelijk geautomati­seerde verwerking van persoonsgegevens moet gemeld worden bij de AP.

College Bescherming Persoonsgegevens (CBP)De Wbp voorziet in een onafhankelijk toe­zichthouder, het College Bescherming Persoonsgegevens (CBP), voortaan ook de Autoriteit Persoonsgegevens (AP) ge­noemd. Het CBP houdt toezicht op de naleving van alle wetten die het gebruik van persoonsgegevens regelen.

Het vrijstellingsbesluit (zie j.)De geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP. Het aanmelden van alle gegevensverwerkingen is admini­­stratief en organisatorische niet haalbaar.Op grond van het vrijstellingsbesluit zijn een aantal categorieën van verwerkingen van persoonsgegevens dan ook vrijgesteld van melding bij de AP. De vrijstellingen

hebben betrekking op verwerkingen die veel voorkomen, die standaard zijn en waarvan bekend is dat deze plaatsvinden. Wanneer de in het Vrijstellingsbesluit genoemde verwerkingen plaatsvinden volgens de regels van dit besluit geldt de verplichting tot melden niet.

Indien een organisatie een functionaris voor de gegevensbescherming heeft aan­gesteld dan kan de verplichte melding van een gegevensverwerking ook plaatsvinden bij de functionaris in plaats van bij de Autoriteit Persoonsgegevens. Het benoe­men van een functionaris voor de gegevensbescherming doet echter niets af aan de bevoegdheden van de AP. De functi­onaris moet in een register bijhouden welke gegevensverwerkingen bij hem zijn gemeld.

Doelverbinding (zie b.)Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden ver­zameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.

• Het doel moet dus vooraf zijn beschre­ven, vóór het moment van verzamelen van de persoonsgegevens.

• Persoonsgegevens mogen later ook worden gebruikt voor andere doelen, mits niet onverenigbaar met de doel­einden waarvoor ze zijn verkregen. Wat onverenigbaar is hangt af van de omstandigheden en het specifieke geval. Bij de beoordeling moet in ieder geval met de volgende factoren rekening worden gehouden:

35Handreiking bescherming persoonsgegevens voor waterschappen

­ Verwantschap tussen doel waarvoor gegevens zijn verkregen en het beoogde doel.

­ Aard van de gegevens.­ Gevolgen van de beoogde verwerking

voor de betrokkene.­ De wijze waarop de gegevens zijn

verkregen.­ Verwachting betrokkenen.­ De mate waarin jegens de betrokkene

wordt voorzien in passende waar­borgen.

Onder bepaalde voorwaarden is het toegestaan de persoonsgegevens te gebruiken/verder te verwerken voor een ander doel dan waarvoor ze verzameld zijn (zie e.). Een belangrijke voorwaarde is dat er een duidelijke verwantschap is tussen het oorspronkelijke doel en het doel waarvoor de gegevens verder verwerkt worden. Ook moet rekening worden gehouden met de gevolgen van de verdere verwerking voor betrokkene.

Zes (limitatieve) grondslagen voor verwerking (zie c.)I. Ondubbelzinnig toestemming van de

betrokkene.II. Noodzakelijk voor de uitvoering van

een overeenkomst.III. Noodzakelijk om een wettelijke

verplichting na te komen.IV. Noodzakelijk ter vrijwaring van een

vitaal belang van betrokkene.V. Noodzakelijk voor de goede vervulling

van een publiekrechtelijke taak.

VI. Noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke tenzij de rechten en vrijheden van de betrokkene (in het bijzonder recht op de bescher­ming van de persoonlijke levenssfeer) prevaleert.

Let op!Als gekozen is voor de grondslag “toestemming van betrokkene” en betrokkene trekt zijn toestemming in dan ontbreekt op dat moment een grondslag voor de verwerking van betreffende persoonsgegevens. Dat betekent dat vervolgens een rechtsgeldige grondslag gevonden moet worden voor de verwerking van betreffende persoonsgegevens. Betrokkene moet op de hoogte gesteld worden van deze (nieuwe) grondslag. Is na intrekking van de toestemming geen andere grondslag van toepassing dan moeten betreffende persoonsgegevens verwijderd worden.

Grondslag verwerken persoonsgegevensHet heeft sterk de voorkeur om de grondslag “toestemming van betrokkene” alleen te kiezen als geen enkele andere grondslag van toepassing is.

Proportioneel en subsidiair (zie d.)Er mogen niet meer gegevens worden verwerkt dan strikt noodzakelijk is voor het uiteindelijke doel.

• Overwogen moet worden of de persoons­gegevens (nog) noodzakelijk zijn voor het beschreven doel. Dat wil zeggen nagegaan moet worden of met minder gegevens hetzelfde doel bereikt worden, of via een andere weg ( minder ingrij­pend) het doel bereikt kan worden.

• Daarnaast moet een organisatie het belang en rechten van personen afwe­gen tegen het belang van de organisatie. De gevoeligheid van informatie en de getroffen beveiligingsmaatregelen spelen hierbij een rol.

Termijn van bewaren persoonsgegevens (zie g.)De noodzaak van het bewaren van persoonsgegevens is gerelateerd aan het bereiken van het doel waarvoor de per­soonsgegevens zijn verzameld. Kort gezegd: is het doel bereikt, dan is er (in principe) geen noodzaak meer voor het bewaren van de persoonsgegevens. Daarnaast moet wel rekening worden gehouden met bewaartermijnen uit specifieke wetgeving zoals belastingwetten en de Archiefwet.

3. RECHTEN VAN BETROKKENEN: INZAGE, CORRECTIE, VERZET

• Betrokkene heeft het recht om de ver­antwoordelijke te verzoeken om inzage en correctie van zijn persoonsgegevens.

• Betrokkene kan bij de verantwoordelijke verzet aantekenen, op grond van zijn bijzondere persoonlijke omstandig­heden, tegen het verwerken van zijn persoonsgegevens. Dit kan alleen als zijn persoonsgegevens verwerkt worden op grond van:­ Noodzakelijkheid voor publiekrechte­

lijke taak (zie onder “zes limitatieve grondslagen voor verwerking”).

­ Noodzakelijkheid voor een gerecht­vaardigd belang (zie onder “zes limitatieve grondslagen voor verwerking”).

• Betrokkene kan altijd verzet aantekenen bij verantwoordelijke tegen het ver­werken van zijn persoonsgegevens als er sprake is van direct marketingdoel­einden. Naar aanleiding van verzet moet de verantwoordelijke direct maatregelen treffen om de verwerking te beëindigen.

Recht op inzageDe rechter heeft bepaald dat het recht op inzage zeer ruim moet worden opgevat. Wanneer een betrokkene vraagt of van hem persoonsgegevens worden verwerkt dan moet, wanneer dit het geval is, hiervan schriftelijk een volledig overzicht worden verstrekt in begrijpelijke vorm. Het is niet voldoende om globale informatie te verstrekken over de verwerkte persoons­gegevens. De Wbp vereist niet dat betrokkene een doel, belang of reden aangeeft waarom hij zijn persoonsgegevens wil inzien. Het is voldoende als een persoon een beroep doet op het recht van inzage dat in de Wbp is vastgelegd (artikel 35 Wbp).

37Handreiking bescherming persoonsgegevens voor waterschappen

Welke verzoeken mogen worden afge­wezen:

• Verzoeken die zeer vaak, meer dan gemiddeld, worden ingediend. Met andere woorden, er is geen sprake meer van “redelijke tussenpozen”.

• Buitensporige verzoeken. De vereiste inspanning van de verantwoordelijke om aan het verzoek te voldoen staat niet meer in verhouding tot het verzoek. De verantwoordelijke zal dit moeten aan tonen.

Het aan betrokkene te verstrekken volledige overzicht van de verwerkte persoonsgegevens moet tevens de volgende informatie bevatten:

• Een omschrijving van het doel of de doeleinden van de verwerking.

• De categorieën van gegevens waarop de verwerking betrekking heeft.

• Wie of welke categorieën van personen de persoonsgegevens hebben ontvangen.

• De herkomst van de persoonsgegevens.

Beantwoording van het verzoek moet binnen vier weken nadat het verzoek is ontvangen. De schriftelijke beantwoording is een besluit (beschikking) in de zin van de Algemene wet bestuursrecht. Bezwaar en beroep tegen dit besluit zijn mogelijk door belanghebbenden.

Het kan voorkomen dat het verzoek om inzage van persoonsgegevens tevens een Wob­verzoek is. Dit is aan de orde wanneer betrokkene ook om gegevens vraagt die

geen betrekking hebben op persoons­gegevens. Behandel het verzoek dan als twee verzoeken: een Wob­verzoek en een artikel­35­Wbp­verzoek.

4. RECHTSBESCHERMING

Wanneer een bestuursorgaan een beslissing neemt naar aanleiding van een door een betrokkene uitgeoefend recht (recht van inzage, correctie, verzet), dan is deze beslissing een besluit in de zin van de Algemene wet bestuursrecht (bezwaar en beroep mogelijk volgens regels Awb).

Is de beslissing genomen door een ander dan een bestuursorgaan én betrokkene is niet akkoord met deze beslissing dan kan betrokkene zich tot de rechtbank wenden en een verzoekschrift indienen.

5. BEWERKERSOVEREENKOMST

Wanneer de verantwoordelijke persoons­gegevens door een bewerker laat verwerken is hij verplicht hiervoor een overeenkomst met de bewerker af te sluiten. Deze overeenkomst moet expliciet betrekking hebben op het verwerken van de persoonsgegevens.   Het contract mag niet betrekking hebben op een vorm van dienstverlening waar de gegevens­verwerking slechts een uitvloeisel van is.

Opmerking Wanneer de taak van het opleggen en innen van belastingen door het waterschap is overgedragen aan een gemeen­schappelijke regeling (GR), dan is deze GR géén bewerker. Het dagelijks bestuur van de GR is zelf verantwoordelijke voor het verwerken van persoonsgegevens in het kader van het opleggen en innen van belastingen.

6. FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING

De Wbp biedt ook de mogelijkheid om een interne toezichthouder aan te stellen: de functionaris voor de gegevensbescherming (FG). De verplichte melding van gegevens­verwerkingen vindt dan plaats bij deze functionaris in plaats van bij de AP. Het benoemen van een FG sluit controle door de AP niet uit. De FG is geen verlengde arm van de AP, maar kan als intermediair optreden tussen de verantwoordelijke en de AP. De AP behoudt zijn taken en bevoegdheden ten aanzien van organisaties die een FG hebben aangesteld, maar zal zich wat toezicht betreft terughoudend opstellen ten aanzien van organisaties waar de FG naar behoren functioneert.

De taak van de FG omvat onder meer het volgende:

• Toezien dat de verwerking van per­soonsgegevens in de organisatie in overeenstemming is met de wet en doen van aanbevelingen.

• Het inventariseren van gegevensver­werkingen.

• Het bijhouden van meldingen van gegevensverwerkingen in een register.

• Voorlichting en klachtenbehandeling.

7. NIET NALEVEN VAN DE WET BESCHERMING PERSOONSGEGEVENS

Op het moment dat de Wbp of daarop gebaseerde regelingen niet worden nageleefd, kan iedereen die als gevolg daarvan schade lijdt deze schade op de verantwoordelijke verhalen. Er geldt hier een omgekeerde bewijslast, dat wil zeggen de verantwoordelijke moet bewijzen dat de schade hem niet kan worden toegerekend. Daarnaast kunnen organisaties op grond van deze wet zowel strafrechtelijke als bestuursrechtelijk sancties opgelegd worden. (De AP kan bijvoorbeeld bij onterecht niet aangemelde gegevens­verwerkingen een boete opleggen per overtreding).

BIJLAGE 2 DE AANKOMENDE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Op 25 januari 2012 heeft de Europese Commissie een voorstel voor een Algemene Verordening Gegevens­bescherming (AVG) ingediend bij het Europees Parlement. De AVG heeft als doel:

• De bescherming van natuurlijke personen voor zover het de verwerking van persoonsgegevens betreft.

• Het vrije verkeer van deze persoons­gegevens.

De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze geïmplementeerd is in de nationale wetgeving. Deze Privacy­richtlijn sluit niet goed aan op technologische ontwikkelingen en globa­lisering. De AVG heeft rechtstreekse werking zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. De wijzigingen die de AVG met zich meebrengt zijn geen principiële wijzigingen. Het betreft vooral een aanscherping van verplichtingen van de verantwoordelijken en bewerkers, en meer rechten voor betrokkenen. Verder is de AVG afgestemd op onlineontwikkelingen.

Het Europees Parlement en de Raad van de EU oefenen samen de wetgevingstaak uit.Inmiddels heeft het Parlement diverse wijzigingen voorgesteld t.a.v. het voorstel van de Europese Commissie. Het gewijzigde voorstel is op 12 maart 2014 door het Europees Parlement met grote meerderheid aangenomen. Ook de Raad heeft een standpunt ingenomen ten aanzien van de teksten van de AVG. Het is nu wachten op de definitieve versie van Parlement en Raad samen. Verwacht wordt dat de Verordening begin 2016 in werking treedt. Daarna geldt een invoeringstermijn van 2 jaar. Dat betekent dat voor de verwerkingen van persoons­gegevens binnen de EU er nog twee jaren de tijd is om deze te laten voldoen aan de regels van de AVG.

De AVG heeft rechtstreekse werking. In alle lidstaten is de AVG dus direct bindend. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wet bescherming persoonsgegevens (Wbp) te vervallen.

41Handreiking bescherming persoonsgegevens voor waterschappen

Veel van de kernverplichtingen van de AVG zijn ook opgenomen in de huidige Wbp.Hieronder volgt een aantal belangrijke nieuwe bepalingen uit de AVG zoals die zijn opgenomen in de versie van de Raad van de EU. Indien het voorstel van het Parlement hier duidelijk van afwijkt is dat aangegeven.

NB: Deze toelichting is bijgewerkt tot 31 december 2015.

DOCUMENTATIEPLICHT

De verantwoordelijke moet kunnen aantonen dat de verwerking van persoons­gegevens in overeenstemming is met de AVG. Alle verantwoordelijken moeten een register bijhouden van alle categorieën van verwerkingen van persoonsgegevens waar zij verantwoordelijk voor zijn. Dit geldt ook voor de verwerker (in de Wbp wordt de term “bewerker” gebruikt) die namens verantwoordelijken persoons­gegevens verwerkt.

In het register moet onder andere vermeld worden: naam en contactgegevens verant­woordelijke/verwerker, doel van de ver­ werking, beschrijving van de catego rieën, wie zijn de ontvangers van de gegevens, wanneer gegevens wissen, beschrijving technische en organisa torische bevei­ligingsmaatregelen.

De meldplicht van verwerkingen bij de AP zoals die in de Wbp is opgenomen komt in de AVG niet meer terug.

In de versie van het Parlement wordt niet gesproken over het bijhouden van registers, maar over het bewaren van bijgewerkte documenten. Strekking van het artikel is wel gelijk gebleven.

INFORMATIEPLICHT

De verantwoordelijke moet passende maatregelen nemen om betrokkene te informeren over de persoonsgegevens die van betrokkene verwerkt worden. De informatie moet in een begrijpelijke en gemakkelijke vorm worden gegeven en in duidelijke en eenvoudige taal.

Gegevensbescherming by design en by default

Privacy by design De vereisten van de AVG voor de bescherming van gegevens zijn op voorhand verwerkt in de technische en organisatorische maatregelen die de verantwoordelijke neemt ter bescherming van persoonsgegevens.

Privacy by defaultStandaardinstellingen van een programma, app, website bieden maximale privacy.

PRIVACYEFFECTBEOORDELING (PRIVACY IMPACT ASSESSMENT OFWEL PIA)

Verwerkingen van persoonsgegevens met een hoog risico worden voordat de verwer­king start door de verantwoordelijke beoordeeld op het effect van de voor­

genomen verwerkingsactiviteiten op de bescherming van persoonsgegevens. Met hoog risico wordt gedoeld op risico’s op discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatie­schade, ongeoorloofde ongedaan making van pseudonimisering, verlies van ver­trouwelijkheid van door het beroepsgeheim beschermde gegevens, of elke andere aan­zienlijke economische of maatschappelijke schade. In de versie van het Parlement worden deze risico’s niet benoemd. Deze beoordeling is bijvoorbeeld ook vereist wanneer nieuwe technologieën worden gebruikt voor de gegevensbescherming. De beoordeling bevat in ieder geval een beschrijving van de maatregelen die de risico’s moeten beperken.

GedragscodeGedragscodes kunnen worden opgesteld voor categorieën van verwerkingen van persoonsgegevens. De AP kan gedrag­scodes goedkeuren. Het gebruik door een verantwoordelijke/verwerker van een goedgekeurde gedragscode draagt bij aan het “bewijs” dat er conform de AVG wordt gewerkt.

CERTIFICERING

De AVG biedt de mogelijkheid om certificeringsmechanismen voor gege-vensbescherming vast te stellen door lidstaten. Met een certificering kan worden aangetoond dat de AVG wordt nageleefd door de verantwoordelijke/verwerker. Een certificering mag voor maximaal 3 jaren worden afgegeven, met een maximale verlenging van 3 jaren.

CORRIGERENDE BEVOEGDHEDEN EN ADMINISTRATIEVE GELDBOETES BIJ OVERTREDING VAN DE AVG:

Iedere lidstaat bepaalt bij wet dat het toezichthoudende orgaan (in Nederland de AP) bevoegdheden krijgt om de verant­woordelijke/verwerker te corrigeren als deze niet voldoet aan de AVG. Voorbeelden hiervan zijn: waarschuwing, berisping, tijdelijke beperking opleggen voor het verwerken.

Voor het niet voldoen aan de AVG kan de AP op grond van de AVG geldboetes opleggen, naast of in plaats van een corrigerende maatregel.De geldboetes kunnen oplopen tot maximaal 1 miljoen Euro of in geval van een onderneming ten hoogste 2% van de in het vorige boekjaar gerealiseerde totale jaarlijkse wereldwijde omzet.

Parlement: boete is maximaal 100 000 000 euro of maximaal 5% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is.

DOORGIFTE PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES:

Wanneer de Europese Commissie heeft besloten dat het derde land/internationale organisatie een passend beschermings­niveau heeft mogen de persoonsgegevens daaraan worden doorgegeven. Ontbreekt dit besluit dan zijn er nog andere gronden

43Handreiking bescherming persoonsgegevens voor waterschappen

waarop persoonsgegevens mogen worden doorgegeven aan derde landen/inter­nationale organisaties. Bijvoorbeeld:De verantwoordelijke biedt in een juridisch instrument garanties voor de bescherming van de persoonsgegevens.Betrokkene heeft na volledige uitleg van de situatie toestemming gegeven.Er is een algemeen belang gemoeid met de doorgifte van de persoonsgegevens.

AANWIJZING FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING (DATA PROTECTION OFFICER):

De verantwoordelijke kan een functionaris voor de gegevensbescherming aanstellen. Deze aanstelling kan ook verplicht zijn op grond van nationale wetgeving of wet­geving van EU.

Deze privacyfunctionaris:

• Is deskundig op het gebied van wet­geving en de praktijk van bescherming van persoonsgegevens.

• Voert zijn taken onafhankelijk uit.• Kan extern worden ingehuurd.• Geniet tot op zekere hoogte ontslag­

bescherming.• Kan door betrokkene altijd worden

benaderd over de bescherming van de persoonsgegevens van betrokkene.

Parlement:De verantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor de gegevensbescherming aan:

• Wanneer de verwerking wordt uitge­voerd door een overheidsinstantie of ­orgaan.

• De verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen geduren­de een achtereenvolgende periode van 12 maanden.

MELDEN DATALEKKEN BINNEN 72 UUR (NA KENNISNAME VAN HET DATALEK) AAN DE TOEZICHT­HOUDER EN BETROKKENEN

Wanneer een datalek een hoog risico oplevert voor rechten en vrijheden van personen moet zowel de toezichthouder als de betrokkenen onverwijld (zonder onnodige vertraging) worden geïnfor­meerd.

Het Parlement spreekt van melding bij een datalek “zonder onnodige vertraging”. Een periode van 72 uur wordt niet genoemd.

TOESTEMMING BETROKKENE VOOR GEGEVENSVERWERKING.

Wanneer de verwerking van persoons­gegevens is gebaseerd op toestemming van betrokkene moet de verantwoordelijke kunnen aantonen dat betrokkene ondubbelzinnig toestemming heeft gegeven. Betreft het bijzondere persoons­gegevens dan moet de toestemming uitdrukkelijk zijn gegeven.

HET RECHT OP WISSEN VAN GEGEVENS EN RECHT OM VERGETEN TE WORDEN

Betrokkene heeft het recht om van de verantwoordelijke te vragen al zijn persoonsgegevens te wissen. De verant­woordelijke moet overgaan tot het wissen van deze gegevens als de verwerking gebaseerd is op toestemming van betrokkene en er geen andere rechtsgrond is voor de verwerking. De verantwoordelijke zal ook moeten zorgdragen dat derden aan wie hij de gegevens heeft verstrekt overgaan tot het wissen van die gegevens. De AVG geeft uitzonderingen op deze regel onder andere als de gegevensverwerking ziet op de vervulling van een taak van algemeen belang.

BIJLAGE 3 ARCHIEFWET

Persoonsgegevens maken deel uit van archiefbescheiden. Voor overheidsorganen gelden zowel de Wbp als de Archiefwet 1995 (hierna: de Archiefwet). Deze wetten moeten naast elkaar en in onderlinge samenhang worden gelezen en toegepast. Archiefbescheiden kunnen zijn onder­gebracht in archiefruimten en in archiefbewaarplaatsen. Archiefbescheiden worden tijdelijk in archiefruimten opgeslagen om te bepalen of ze (in principe na 20 jaar) eeuwig worden bewaard in een archiefbewaarplaats of worden vernietigd. Archiefbescheiden worden voor altijd bewaard in een archiefbewaarplaats.

BEWAARTERMIJN

Op grond van de Wbp gelden er geen specifieke bewaartermijnen voor per-soonsgegevens. De Wbp schrijft voor dat persoonsgegevens voor een bepaald doel moeten worden verwerkt. Bewaren van persoonsgegevens mag alleen zolang de gegevens nodig zijn voor dat doel. Geldt er een bewaartermijn vanuit een speciale wet, zoals belastingwetgeving, dan is deze termijn van toepassing.

De Wbp bepaalt ook dat persoonsgegevens langer mogen worden bewaard, dan nodig is voor het doel waarvoor ze verzameld zijn, als de gegevens voor historische, statistische of wetenschappelijke doel­einden worden bewaard. Dit bewaren in een archief is toegestaan als de verantwoordelijke de nodige voorzieningen treft zodat de persoonsgegevens alleen voor die specifieke doelen worden gebruikt.

Archiefbescheiden die op grond van de Ar­chiefwet overgebracht zijn naar een archiefbewaarplaats kunnen persoonsge­gevens bevatten. In de archiefbewaarplaats hebben deze persoons gegevens een onbe­paalde bewaartermijn. Dit is vastgelegd in de Archiefwet. Doel hiervan is het behoud van het Nederlandse culturele erfgoed. In de memorie van toelichting bij de Wbp is geschreven: “een goed functionerend ge­heugen van de overheid is een erkend publiek belang”.

47Handreiking bescherming persoonsgegevens voor waterschappen

OPENBAARHEID ARCHIEF­BESCHEIDEN

De gegevens in de archiefbewaarplaatsen zijn volgens de Archiefwet (in principe) openbaar. De Archiefwet biedt mogelijk­heden om onder andere vanwege eerbiediging van de persoonlijke levens­sfeer beperkingen te stellen aan deze openbaarheid.

ARCHIEFBEWAARPLAATS EN BIJZONDERE PERSOONS­GEGEVENS

De Archiefwet bepaalt dat het verbod uit de Wbp om bijzondere persoonsgegevens te verwerken in bepaalde situaties niet geldt. Zo geldt dit verbod niet voor het overbrengen van archiefbescheiden naar een archiefbewaarplaats. Zoals hiervoor vermeld is kunnen op grond van de Archiefwet beperkingen worden gesteld aan de openbaarheid van bepaalde gegevens.

BIJLAGE 4 WET OPENBAARHEID VAN BESTUUR

Het uitgangspunt van de Wob is dat overheidsinformatie openbaar is, tenzij de Wob of andere bijzondere wetten bepalen dat de gevraagde informatie niet geschikt is voor openbaarmaking.Hoofdregel is dat bestuursorganen actief uit eigen beweging informatie openbaar maken zodra dit in het belang is van een goede en democratische bedrijfsvoering, zodat burgers en bedrijfsleven inzage hebben in het handelen van de overheid (actieve openbaarmaking). Daarnaast kan iedere burger, bedrijf met een beroep op de Wob (Wob­verzoek) informatie op vragen welke gaat over een bestuurlijke aangelegenheid vastgelegd in documenten (passieve openbaarmaking).

Op grond van de Wbp mogen persoons­gegevens slecht verwerkt worden als daarvoor een grondslag bestaat. Eén van de grondslagen is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting. Actieve en passieve openbaarmaking op grond van de Wob is een dergelijke verplichting.

Zowel het recht op “openbaarheid” als het recht op “eerbiediging van de persoonlijke levenssfeer” zijn grondrechten. Er treedt

een spanning op als gevraagd wordt om openbaarmaking van gegevens die de persoonlijke levenssfeer betreffen. De vraag rijst welk recht gaat voor?Er moet een belangenafweging plaats­vinden. Aan de ene kant het belang van openbaarmaking aan de ander kant het belang van de persoonlijke levenssfeer van de betrokkene.

De Wob kent enkele weigeringsgronden en beperkingen. Er bestaan twee weigerings­gronden betreffende de persoonlijke levenssfeer. De ene is een absolute weigeringsgrond (artikel 10, eerste lid aanhef en onder d).

Het bestuursorgaan is gehouden geen ge­gevens openbaar te maken als het bijzondere persoonsgegevens betreft in de zin van de Wbp (iemands godsdienst of levensovertuiging, ras, politieke gezind­heid, gezondheid, seksuele leven, lid ­ maatschap van een vakvereniging, moge­lijk strafrechtelijke achtergrond) en iemands persoonlijk identificatienummer betreft (art. 24).

Het verstrekken van voornoemde per­soonsgegevens blijft zonder meer

49Handreiking bescherming persoonsgegevens voor waterschappen

achterwege, tenzij de verstrekking kenne­lijk geen inbreuk op de persoonlijke levenssfeer maakt.

De andere weigeringsgrond is een relatieve weigeringsgrond. Het verstrekken van informatie blijft achterwege voor zover het belang niet opweegt tegen de eerbiediging van de persoonlijke levenssfeer (artikel 10, tweede lid, aanhef en onder e). Dat wil zeggen het bestuursorgaan moet afwegen welk belang voorgaat. Aan de ene kant het publieke belang van een goede en democratische bestuursvoering en aan de ander kant het privacybelang van de betrokkene. Deze regel geldt niet als betrokkene instemt met openbaarmaking.

BIJLAGE 5 BASISREGISTRATIES

Een basisregistratie is een door de overheid officieel aangewezen registratie met daarin gegevens (adressen, persoonsgegevens, bedrijfsnamen, geo­informatie) van hoogwaardi­ge kwaliteit, die door alle overheidsinstellingen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken. Er zijn 12 basisregistraties.

Aan elke basisregistratie ligt een formele wet ten grondslag.

Voorbeelden • Basisregistratie personen – Wet Basisregistratie Personen• Basisregistratie kadaster – Kadasterwet• Basisregistratie voertuigen – Wegen verkeerswet• Basisregistratie grootschalige topografie – Wet basisregistratie grootschalige topografie

WET BASISREGISTRATIE PERSONEN (WET BRP)

De Wbp is niet van toepassing op persoons gegevens die vallen onder de werking van de Wet basisregistratie personen. Dit is bepaald in artikel 2 van de Wbp. Dit betekent dat regels uit de Wbp alleen van toepassing zijn op persoonsgegevens uit de Basisregistratie personen als dit in de Wet BRP zelf is geregeld.

In de Wet BRP is vastgelegd dat er een basisregistratie personen is waarin zijn opgenomen persoonsgegevens van de ingezetenen van Nederland en ook van niet­ingezetenen die een relatie hebben met de Nederlandse overheid. Doel van de basisregistratie personen is overheden te voorzien van de in de basisregistratie opgenomen gegevens, voor zover deze gegevens noodzakelijk zijn voor de vervulling van de taak van een overheid. De basisregistratie heeft ook nog tot doel onder bepaalde voorwaarden derden (niet overheidsorganen) te voorzien van de in de registratie opgenomen gegevens.

51Handreiking bescherming persoonsgegevens voor waterschappen

Voor de persoonsgegevens die zijn opgenomen in de basisregistratie personen gelden de specifieke regels van de Wet BRP en niet de regels van de Wbp.

De Wet BRP zegt dat de minister (minister van BZK) besluit tot het verstrekken van gegevens uit de BRP aan overheidsorganen. Het overheidsorgaan moet zelf om deze gegevens verzoeken en aangeven waarom deze gegevens noodzakelijk zijn voor de vervulling van zijn taak.

Voorbeeld Voor het uitvoeren van beheertaken door een waterschap vraagt het dagelijks bestuur van het waterschap de minister om gegevens uit de BRP te verstrekken. De minister neemt naar aanleiding van dit verzoek een besluit, het zogenaamde Autorisatiebesluit.

In het autorisatiebesluit is vermeld waar voor het waterschap gegevens mag opvragen uit de BRP en welke gegevens verstrekt mogen worden uit de BRP aan het waterschap.

Let op! Persoonsgegevens opgenomen in bestanden van het waterschap, afkomstig uit de BRP, vallen onder de regels van de Wbp.

OVERIGE BASISREGISTRATIES

Voor de overige basisregistraties maakt de Wbp geen uitzondering. Persoonsgegevens die in andere basisregistraties dan de BRP zijn opgenomen vallen dus onder de werking van de Wbp. Daarnaast gelden voor deze persoonsgegevens de specifieke regels van de wet die ten grondslag ligt aan de basisregistratie.

Voorbeeld In de Kadasterwet is bepaald voor welke doeleinden de Dienst (Dienst voor het kadaster en de openbare registers) persoonsgegevens mag verwerken. Voor de betekenis van persoonsgegevens wordt verwezen naar de Wbp. Ook is aangegeven in de Kadasterwet dat het bestuur van de Dienst verantwoordelijke is in de zin van artikel 1, onderdeel d Wbp. Dat betekent dus dat het bestuur van de Dienst verantwoordelijk is voor het voldoen aan de bepalingen van de Wbp voor zover het persoonsgegevens betreft die verwerkt worden op basis van de Kadasterwet.

BEZOEKADRESKoningskade 402596 AA Den Haag070 351 97 51Nederland

POSTADRESPostbus 932182509 AE Den HaagNederland

info@uvw.nlwww.uvw.nl

Maart 2016