Privacy

Informatiebeveiliging en privacy zijn nauw verwant. De IBD ontvangt regelmatig meldingen en vragen op het snijvlak van de twee onderwerpen. De privacyvragen worden door VNG en KING in nauwe afstemming behandeld en de IBD levert input op het informatiebeveiligingsdeel. VNG en KING zijn doorlopend bezig om te kijken waar en hoe ze gemeenten het best kunnen ondersteunen op het gebied van privacy.

Vragen over privacy

Vragen over de juridische en domeinspecifieke aspecten van privacy kunt u stellen aan het informatiecentrum van de VNG via info@VNG.nl. Vragen over privacy in relatie tot informatiebeveiliging kunt u stellen via info@IBDgemeenten.nl.

Kennisdeling tussen gemeenten

Gemeenten kunnen via de IBD community informatie over informatiebeveiliging met elkaar delen, vragen aan elkaar stellen en documenten uitwisselen. Hier treft u ook het subforum Privacy.

Kennisproducten

De IBD, VNG en KING hebben de afgelopen periode verschillende producten ontwikkeld om gemeenten te ondersteunen bij het implementeren en borgen van privacy in de eigen gemeente en in afspraken met (keten) partners:

  • IBD-producten
    • Privacy Impact Assessment: Aan de hand van een privacy impact assessment (PIA) kunnen gemeenten de huidige verwerkingen van persoonsgegevens in beeld brengen. Daarbij wordt gelijk bekeken in hoeverre dit risicovolle verwerkingen betreft en wat het niveau van naleving van de Wbp is.
    • Factsheet Verwerkersovereenkomst: In de factsheet worden de belangrijkste uitgangspunten voor het opstellen van verwerkersovereenkomsten behandeld. De factsheet beschrijft alle facetten van de verwerkersovereenkomst in het licht van de Algemene Verordening Gegevensbescherming (AVG). De factsheet biedt houvast bij het bepalen of een verwerkersovereenkomst verplicht is en wat er vervolgens in de overeenkomst moet zijn opgenomen.
    • Model Verwerkersovereenkomst: Gemeenten kunnen het model van de verwerkersovereenkomst als uitgangspunt gebruiken bij de onderhandelingen met leveranciers, als de gemeente het verwerken van persoonsgegevens aan een andere partij uitbesteedt.
    • Leaflet Meldplicht Datalekken: De leaflet ‘meldplicht datalekken’ biedt gemeenten extra achtergrondinformatie over de meldplicht dataleken, wat een datalek is, wanneer deze gemeld moet worden en de overwegingen rond aansprakelijkheid.
    • Baselinetoets BIG versie 1.3: Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment (DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.
  • KING en VNG-producten
    • Privacyraamwerk: Om gemeenten te helpen privacy in het sociaal domein goed te waarborgen, heeft de VNG een raamwerk ontwikkeld. Vijf gebieden, die met elkaar samenhangen: governance, beleid, werkprocessen en triage, bewustwording en training, en beheer en opslag. Uit de praktijk blijkt dat op al deze terreinen zaken moeten worden ingericht om de privacy goed te borgen, het zijn randvoorwaarden om privacy in het sociaal domein goed te regelen. Ondanks dat dit raamwerk voor het sociaal domein is opgesteld, is het uitstekend breder toepasbaar.
    • Handreiking rol en taken van de FG: Handvatten aan degenen die, binnen een gemeente, een FG willen instellen of verder gestalte willen geven. Deze handreiking vormt een hulpmiddel om te komen tot concrete invulling van de rol van FG.
    • Handreiking Positionering FG: Hoe verhoudt deze functie zich tot de rest van de organisatie? Hoe en met wie werkt deze functionaris samen?
    • Model privacybeleid en -reglement: Dit model kan als basis worden gebruikt om het privacybeleid en de regels die daarvoor gelden te verduidelijken aan burgers en ketenpartners. Het document kan vervolgens op de website van de gemeente geplaatst worden voor iedereen die graag meer wil weten over hoe de gemeente omgaat met persoonsgegevens en privacy.
    • Handreiking Privacyverklaring: Wanneer de gemeentelijke website persoonsgegevens verzamelt, bent u verplicht om een privacyverklaring te hebben. Dit product is voorbereid op de AVG en legt uit welke onderdelen er in een privacyverklaring op de website moeten zitten. Aan de hand van de voorbeelden kan een passende verklaring opgesteld worden.
    • Structuur register van verwerkingen: KING heeft, in samenwerking met verschillende gemeenten, een structuur van het register van verwerkingen opgesteld. Hierin is de focus gelegd op het abstractieniveau van de kolommen en rijen.
  • Producten van de Autoriteit Persoonsgegevens
    • In 10 stappen voorbereid op de AVG: De Autoriteit Persoonsgegevens (AP) heeft 10 stappen benoemd die organisaties kunnen helpen in de voorbereidingen op de nieuwe Europese privacywetgeving. Vanaf 25 mei 2018 moeten gemeenten net als alle overige organisaties voldoen aan deze nieuwe wet, de Algemene verordening gegevensbescherming (AVG).