Voorbeeld

Jaarrapportage gegevensbescherming

Jaarrapportage voor de gemeenteraad

2 Informatiebeveiligingsdienst

Colofon

Naam document FG Jaarrapportage gemeenteraad

Versienummer 1.0

Versiedatum 13-03-2019j

Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Copyright Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 4.0

Internationaal licentie. Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 om een kopie te zien van de

licentie of stuur een brief naar Creative Commons, PO Box 1866, Mountain View, CA 94042, USA.

© 2018 Informatiebeveiligingsdienst (IBD) Alle rechten voorbehouden. Verveelvoudiging, verspreiding en

gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor

alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te

drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;

3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven

onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf

vermelde mededeling.

Rechten en vrijwaring De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen.

Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende

onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig

gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing

ervan.

Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

Wijzigingshistorie:

Versie Datum Wijziging / Actie

1.0 12 maart 2019

3 Informatiebeveiligingsdienst

Over de IBD

De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT

voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van

informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum

(NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft

regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met

andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruik

maken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

Leeswijzer

Doel

Het doel van dit document is om de Functionaris voor de Gegevensbescherming een template aan te bieden

voor het maken en publiceren van de jaarrapportage gegevensbescherming. Er zijn twee templates

beschikbaar: een voor de jaarrapportage naar het college van B&W en een voor de gemeenteraad.

Doelgroep

Dit document is van belang voor de Functionaris voor de Gegevensbescherming van de gemeente.

Relatie met overige producten

• FG Jaarrapportage college van Burgemeester en Wethouders

• Borgen van gegevensbescherming in de gemeentelijke organisatie

• Privacybeleid van de gemeente

Kijk voor meer informatie op: www.informatiebeveiligingsdienst.nl

Nassaulaan 12

2514 JS Den Haag

CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)

CERT 24x7: Piketnummer (instructies via voicemail)

info@IBDGemeenten.nl / privacy@vng.nl

LOGO GEMEENTE

JAARRAPPORTAGE GEGEVENSBESCHERMING GEMEENTE [NAAM] 2018

GEMEENTERAAD

NAAM FG DATUM

5

TIPS & TRICKS VOORDAT U AAN DE SLAG GAAT

1. De template Jaarrapportage FG van de IBD is gebaseerd op het eerder gepubliceerde document ‘het

borgen van de Algemene Verordening Gegevensbescherming in de gemeentelijke organisatie’. Via onze website is dit document te raadplegen en kunt u een Excelbestand vinden waar u kunt aangeven in hoeverre uw organisatie voldoet aan de daar gestelde criteria. In het tweede tabblad zullen cirkeldiagrammen verschijnen, welke u in de jaarrapportage als bijlage 1 kunt opnemen.

2. De gele vlakken in de templaten geven aan welke tekst u kunt opnemen en bieden ruimte voor het gemeentespecifiek maken van het format. Het spreekt voor zich dat deze blokken wel verwijderd moeten worden bij het definitief maken van uw versie.

3. Er is een template beschikbaar voor het College, welke zal gaan over de verwerkingen die onder verantwoordelijkheid van het College plaatsvinden, en een template voor de gemeenteraad. De gemeenteraad heeft een controlerende taak ten opzichte van het College, maar is zelf ook verwerkingsverantwoordelijke. Om die reden is de jaarrapportage voor de gemeenteraad opgesplitst in drie delen. Op die manier kunt u de gemeenteraad ook gericht aanspreken in de rol van verwerkingsverantwoordelijke. Ook de burgemeester is als zelfstandig bestuursorgaan voor een aantal verwerkingen verwerkingsverantwoordelijk. Wij zouden aanbevelen om de acties, maatregelen en aanbevelingen in de rapportage richting het college apart te benoemen. Uiteraard kunt u er ook voor kiezen om beide rapportages samen te voegen en een jaarrapportage aan te bieden voor de gehele organisatie. Hier kunt u zowel de verwerkingen van het college als de gemeenteraad in opnemen. Als FG bepaalt u zelf of, en zo ja hoe, u dit wenst te doen.

4. Vanuit de AVG is er geen openbaarheid opgenomen voor wat betreft het jaarverslag van de FG. Bestuursorganen dienen er rekening mee te houden dat een verzoek om inzage op basis van de WOB een grote kans van slagen zal hebben. Ondanks de onafhankelijke positie van de FG is dit wel een punt van aandacht tijdens het schrijven van de jaarrapportage.

5. Voor veel gemeenten zal de jaarrapportage van 2018 het eerste jaarverslag zijn. Dit eerste jaarverslag zal niet alleen een weergave zijn van werkzaamheden en bevindingen van het afgelopen jaar, maar dit biedt ook de kans voor de FG om zich voor het eerst formeel te positioneren als interne toezichthouder.

6

Samenvatting Het jaar 2018 was op het gebied van gegevensbescherming bijzonder voor organisaties en burgers, zo ook voor de gemeente naam gemeente. Op 25 mei 2018 werd namelijk de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG verving de Wet bescherming persoonsgegevens (Wbp) en zorgt voor een verhoogde aandacht voor een rechtmatige verwerking van persoonsgegevens in alle sectoren. De overheid heeft hierin een belangrijke voorbeeldfunctie. Het college is verantwoordelijk voor het merendeel van de verwerkingen binnen de gemeente. In het eerste deel van deze jaarrapportage wordt beschreven welke acties en maatregelen het college in 2018 heeft genomen om aan de AVG te voldoen. Tevens wordt aangegeven welke aanbevelingen de FG heeft gedaan voor het jaar 2019. De gemeenteraad is zelf verantwoordelijk voor de verwerkingen van persoonsgegevens binnen de gemeenteraad en de griffie. Dit brengt verplichtingen met zich mee. In deze jaarrapportage wordt beschreven welke acties en maatregelen de gemeenteraad naam gemeente in 2018 heeft genomen om de doelstellingen en beginselen uit de AVG te behalen en te waarborgen. Ook bevat dit document aandachtspunten en actiepunten voor het jaar 2019. Adequaat omgaan met persoonsgegevens is een blijvend proces en zal dan ook aandacht blijven vergen van zowel bestuur, management als medewerkers. Samenvattend heeft de gehele gemeentelijke organisatie in 2018 veel werk verzet op het gebied van gegevensbescherming. Zo is onder andere [geef een samenvatting van het eerste deel van de rapportage].

7

Inhoudsopgave

INLEIDING .................................................................................................................................................. 8

LEESWIJZER .............................................................................................................................................................. 8

DEEL 1. VERANTWOORDING COLLEGE AAN RAAD ........................................................................................ 9

DEEL 2. TERUGBLIK OP 2018 ...................................................................................................................... 10

HET PRIVACYBELEID ................................................................................................................................................. 10 PROCESSEN ............................................................................................................................................................ 10 ORGANISATORISCHE INBEDDING ................................................................................................................................. 10 RECHTEN VAN BETROKKENEN ..................................................................................................................................... 10 SAMENWERKING ..................................................................................................................................................... 10 BEVEILIGING ........................................................................................................................................................... 11 VERANTWOORDING ................................................................................................................................................. 11 CONCLUSIES ........................................................................................................................................................... 11

DEEL 3. VOORUITKIJKEN NAAR 2019 ......................................................................................................... 12

HET PRIVACYBELEID ................................................................................................................................................. 12 PROCESSEN ............................................................................................................................................................ 12 ORGANISATORISCHE INBEDDING ................................................................................................................................. 12 RECHTEN VAN BETROKKENEN ..................................................................................................................................... 12 SAMENWERKING ..................................................................................................................................................... 12 BEVEILIGING ........................................................................................................................................................... 12 VERANTWOORDING ................................................................................................................................................. 12 CONCLUSIES EN SLOTAANBEVELING ............................................................................................................................. 12

8

Inleiding De gemeente dient zorgvuldig om te gaan met persoonsgegevens. Gemeenten verwerken immers bij de uitoefening van hun taken veel informatie. Niet alleen persoonlijke informatie van eigen inwoners, maar ook van andere burgers, medewerkers, externen en zakenrelaties. In de AVG wordt het wettelijk kader beschreven voor het verwerken van persoonsgegevens. Zo dient de gemeente transparant te zijn welke persoonsgegevens zij verwerkt en voor welk doel. Persoonsgegevens mogen alleen worden verwerkt wanneer dit in overeenstemming is met het doel waarvoor deze zijn verzameld en gegevens mogen niet langer bewaard worden dan strikt noodzakelijk. Bovendien moet de gemeente passende technische en organisatorische beveiligingsmaatregelen treffen om onrechtmatige toegang tot deze persoonsgegevens tegen te gaan en daardoor een onrechtmatig gebruik van deze persoonsgegevens te voorkomen. Daarnaast heeft de gemeente ook te maken met tal van privacyregels in sectorspecifieke wetgeving. Dit alles heeft gevolgen voor de inrichting van processen en systemen in en van de gemeente. Onder de verantwoordelijkheid van zowel het college van B&W als de gemeenteraad vindt een groot aantal verwerkingen van persoonsgegevens plaats. Het gaat hierbij om persoonsgegevens van eigen inwoners, inwoners van andere gemeenten, zakenrelaties, medewerkers en externen. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacyregels in Nederland. Daarnaast dient de gemeente naam gemeente te beschikken over een interne toezichthouder: de Functionaris voor de Gegevensbescherming (FG). Op [datum aanstelling] hebben de bestuursorganen van de gemeente naam gemeente [naam FG] aangesteld als FG1. De FG ziet erop toe dat de AVG intern wordt nageleefd. Het college dient erop toe te zien dat de FG naar behoren en tijdig wordt betrokken bij alle gelegenheden die verband houden met de bescherming van persoonsgegevens. Daarnaast dient de FG ondersteund te worden door hem toegang te verschaffen tot persoonsgegevens en verwerkingen daarvan en hem de benodigde middelen ter beschikking te stellen voor het vervullen van de taak en het in standhouden van zijn deskundigheid. De FG brengt jaarlijks een verslag uit aan de verwerkingsverantwoordelijke van zijn werkzaamheden, bevinden en aanbevelingen. Dit jaarverslag is bedoeld voor de gemeenteraad enerzijds als controlerend orgaan van het college van B&W, anderzijds als zelfstandig verwerkingsverantwoordelijke.

Leeswijzer Deze jaarrapportage bestaat uit drie onderdelen. In het eerste deel zal een samenvatting worden gegeven van de rapportage die de FG heeft opgesteld voor het college van B&W van de gemeente naam gemeente. In het tweede en derde deel zal worden aangegeven in hoeverre de verwerkingen van persoonsgegevens door de gemeenteraad voldoet aan de AVG. In het tweede deel wordt teruggekeken naar het jaar 2018. Wat heeft de gemeenteraad bereikt op het gebied van gegevensbescherming? Welke maatregelen zijn er genomen om te voldoen aan de AVG? In het tweede deel worden aanbevelingen gedaan om gegevensbescherming en privacy in het jaar 2019 naar een nog hoger niveau te tillen. Hierbij wordt waar nodig tevens aandacht geschonken aan de technische en organisatorische middelen die nodig zijn om dit hogere niveau te bereiken. De criteria die in alle delen worden genoemd zijn afkomstig uit het document ‘Het borgen van de Algemene Verordening Gegevensbescherming in de gemeentelijke organisatie’ van de Informatiebeveiligingsdienst. In dit document worden criteria en maatregelen omschreven die de AVG vertalen naar een kwaliteitscyclus voor gegevensbescherming en privacy voor gemeentelijke processen. In bijlage 1 is een overzicht opgenomen waar in cirkeldiagramvorm wordt aangegeven in hoeverre de gemeente de criteria reeds heeft geïmplementeerd.

1 Hiermee worden de drie bestuursorganen van de gemeente bedoeld: de burgemeester, het college van burgemeester en wethouders en de gemeenteraad.

9

Deel 1. Verantwoording College aan Raad Managementsamenvatting uit de rapportage naar het College

10

Deel 2. Terugblik op 2018 Het eerste deel van het jaar 2018 stond voor wat betreft privacy volledig in het teken van het van kracht worden van de AVG. In dit deel van de rapportage zal worden teruggeblikt op hetgeen de organisatie in 2018 heeft bereikt en welke werkzaamheden zijn verricht.

Het privacybeleid Het privacybeleid is een kader waarin de gemeenteraad van de gemeente naam gemeente aangeeft aan welke principes hij zicht houdt. Het laat zien hoe de gemeenteraad omgaat met persoonsgegevens en welke maatregelen hij treft om te voldoen aan de wet- en regelgeving. Beschrijf hier de gedane werkzaamheden en de bevindingen

Processen De verwerkingen van persoonsgegevens van de gemeenteraad van de gemeente naam gemeente dienen te voldoen aan de AVG. Dit houdt in dat de werkprocessen die persoonsgegevens bevatten getoetst en ingericht moeten worden volgens de volgende beginselen: behoorlijkheid, transparantie, doelbinding, dataminimalisatie, opslagbeperking, juistheid, integriteit en vertrouwelijkheid. Daarnaast kan de gemeenteraad in gevallen verplicht zijn om een gegevensbeschermingseffectbeoordeling (DPIA2) uit te voeren. Beschrijf hier de gedane werkzaamheden en de bevindingen In bijlage 2 is een overzicht opgenomen van de uitgevoerde DPIA’s voor de verwerkingen van de gemeenteraad voor het jaar 2018.

Organisatorische inbedding Voor een goede en juiste uitvoering is het van belang dat eenieder binnen de gemeenteraad op de hoogte is van de beginselen van de AVG en het belang van privacy. Organisatorische inbedding betekent het toewijzen van taken, verantwoordelijkheden en bevoegdheden en bewustzijn creëren. Beschrijf hier de gedane werkzaamheden en de bevindingen

Rechten van betrokkenen De gemeenteraad dient degene waar de gegevens van verwerkt worden (de betrokkene) zowel actief als passief te informeren over het verwerken, de wijze van het verwerken, de grondslag en de maatregelen genomen worden om onrechtmatige toegang en verwerking te voorkomen. Daarnaast stelt de AVG betrokkenen in staat om middels een aantal rechten controle en invloed uit te oefenen over zijn of haar persoonsgegevens. Beschrijf hier de gedane werkzaamheden en de bevindingen In bijlage 3 is een overzicht opgenomen van het aantal verzoeken van burgers voor het jaar 2018.

Samenwerking De gemeenteraad [naam gemeente] werkt op meerdere beleidsterreinen, in verschillende bedrijfsfuncties, in diverse rollen en hoedanigheden samen met (mede) overheden en private organisaties. In veelvoorkomende gevallen zal er sprake zijn van een verwerking van persoonsgegevens tussen partijen: ontvangen van persoonsgegevens, verzenden van persoonsgegevens, maar ook het opslaan van en inzage hebben in persoonsgegevens valt onder dit begrip. Deze verwerkingen dienen dan ook te voldoen aan de AVG. De

2 De gegevensbeschermingseffectbeoordeling wordt ook wel afgekort tot DPIA naar de Engelse term Data Protection Impact Assessment.

Beschrijf bij dit deel per onderwerp welke criteria uit het borgingsdocument welke mede van toepassing zijn voor de gemeenteraad groen en/of oranje kleuren. Dit zijn de criteria waarbij de organisatie reeds voldoet of gedeeltelijk voldoet aan de AVG.

11

gemeenteraad van de gemeente naam gemeente dient dan ook afspraken te maken met deze andere partijen. Beschrijf hier de gedane werkzaamheden en de bevindingen

Beveiliging Vanuit het algemene behoorlijkheidsbeginsel, het integriteitsbeginsel en het vertrouwelijkheidsbeginsel is het essentieel dat de gemeenteraad van de gemeente naam gemeente passende technische en organisatorische maatregelen neemt ter beveiliging van persoonsgegevens. Daarnaast geldt er onder de AVG een meldplicht datalekken. Dit houdt in dat incidenten – waaronder inbreuken – op de beveiliging onder omstandigheden gemeld dienen te worden aan de AP en/of de betrokkene(n). Beschrijf hier de gedane werkzaamheden en de bevindingen In bijlage 4 is een overzicht opgenomen van het aantal datalekken van dit jaar.

Verantwoording De AVG legt de verantwoordelijkheid bij de gemeenteraad zelf om aantoonbaar te maken dat deze voldoet aan de privacyregels. Door te voldoen aan de verantwoordingsplicht, levert de organisatie een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy. Dit betekent dat de gemeenteraad aan moet kunnen tonen dat de verwerkingen van persoonsgegevens voldoen aan de beginselen van de AVG en aan de andere relevante wet- en regelgeving. Beschrijf hier de gedane werkzaamheden en de bevindingen

Conclusies In 2018 heeft de gemeenteraad van de gemeente [naam gemeente] heel wat werk verzet om de AVG te implementeren in de organisatie, de systemen en de processen. Een aantal maatregelen waren zeer effectief, zoals [waar is de FG trots op]. Er zijn ook aandachtspunten voor de gemeenteraad om aantoonbaar te kunnen voldoen aan de AVG. In het tweede deel van de rapportage zullen aanbevelingen worden gedaan om gegevensbescherming daadwerkelijk in te bedden.

12

Deel 3. Vooruitkijken naar 2019 Gegevensbescherming onderdeel laten worden van de processen en systemen van de gemeenteraad, en daarmee aantoonbaar voldoen aan de relevante wet- en regelgeving, is geen afvinklijst, maar een continu proces. Het vraagt om structurele borging van dit onderwerp. Waar het jaar 2018 in het teken stond van voorbereiden op de AVG en het nemen van de eerste hobbels om uiteindelijk aantoonbaar te kunnen voldoen aan deze wet, zal 2019 in het teken staan van [invullen].

Het privacybeleid

Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Processen

Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Organisatorische inbedding

Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Rechten van betrokkenen Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Samenwerking Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Beveiliging Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Verantwoording Aanbevelingen: [benoem hier de maatregelen uit het borgingsdocument die nu nog oranje en/of rood zijn].

Conclusies en slotaanbeveling Op het gebied van privacy en gegevensbescherming is er in 2019 winst te behalen. Met name de [benoem wat prioriteit heeft in 2019] verdient komend jaar extra aandacht.

Beschrijf bij dit deel per onderwerp welke criteria uit het borgingsdocument oranje/rood kleuren en dus aandacht verdienen van de gemeenteraad. Probeer deze punten te prioriteren en houdt hierbij een risicogebaseerde benadering aan: richt je vooral op zaken die een hoger risico voor gegevensbescherming vormen en houdt hiermee rekening met de impact voor de organisatie om aan de gestelde aanbeveling te voldoen.

Bij dit onderdeel kan de FG wanneer nodig ook aangeven welke middelen er nodig zijn om bovenstaande aanbevelingen te bereiken, zoals: * Actieve ondersteuning van de functie van de FG door het hogere management; * Meer tijd voor de FG om zijn taken te vervullen; * Verbeterpunten t.a.v. positionering FG * Meer steun qua financiële middelen om bijvoorbeeld het kennisniveau van de organisatie naar een hoger niveau te tillen.

LOGO GEMEENTE

Bijlage 1 Stand van zaken AVG per onderwerp in tabelvorm3

3 Afkomstig IBD tweede tabblad

14

BIJLAGE 2 OVERZICHT DPIA’S

15

BIJLAGE 3 OVERZICHT RECHTEN VAN BETROKKENEN

16

BIJLAGE 4 OVERZICHT DATALEKKEN Geef hier een overzicht van de datalekken in 2018 en geef eventueel aan of deze wel/niet zijn gemeld aan de burger en wel/niet zijn gemeld aan de AP + welke maatregelen de organisatie heeft genomen.