Privacy: Nog 7 maanden voorbereidingstijd voor de AVG. Deel kennis, help elkaar!

Gemeenten hebben vanaf 25 oktober 2017 nog 7 maanden voorbereidingstijd voor de Algemene Verordening Gegevensbescherming (AVG) van kracht is. VNG en KING bieden een ondersteuningspakket om gemeenten gericht te ondersteunen bij de voorbereidingen. Tot en met mei 2018 ontvangen gemeenten iedere maand via de website van KING gerichte acties die ze kunnen ondernemen om zeker te stellen dat de organisatie klaar is voor de AVG.

Actie van de maand: Deel kennis, help elkaar!

Gemeenten zijn volop bezig met de voorbereidingen voor 25 mei 2018. Wellicht bent u in de praktijk tegen vragen en problemen aangelopen, en heeft u hiervoor oplossingen gevonden of zit u er juist nog mee. Hierin bent u zeker niet de enige, dus het kan helpen om ervaringen uit te wisselen en kennis te delen. Wie weet heeft een collega-gemeente al een slimme oplossing gevonden voor een probleem waar u niet uitkomt. Door met elkaar te praten, discussiëren, en elkaar te helpen voorkomen we dat iedereen het wiel zelf uit moet vinden.

Heeft u het register van verwerkingen al (verder) ingevuld, of heeft u al procesbeschrijvingen gemaakt voor het invullen van de rechten van betrokkenen? Deel deze dan met ons via privacy@kinggemeenten.nl of via het subforum privacy op de IBD Community.

Uiteraard is kennis delen binnen het gemeentelijke netwerk niet alleen belangrijk in de aanloop naar 25 mei 2018, maar zal het ook na deze datum een belangrijke rol blijven spelen bij het verder werken aan privacy. Reden genoeg dus om hier vroeg mee te beginnen!

Over kennis gesproken: KING heeft al een aantal ondersteunende productengepubliceerd die u op weg kunnen helpen!

Tip van de maand: Deel ervaringen en kennis op de IBD-community.

De IBD-community maakt het niet alleen mogelijk om documenten makkelijk te delen, maar ook om ideeën, kennis, adviezen en tips uit te wisselen, vragen te stellen en problemen waar u tegenaan loopt te bespreken. Denk hierbij aan vragen over het invullen van het register, maar ook bijvoorbeeld over het privacybeleid en reglement. Daarnaast zijn er discussies over actuele onderwerpen, zoals datalekken en het inzagerecht. Uiteraard kunt u ook zelf een discussie starten.

Heeft u nog geen toegang tot deze community? Registeren kan hier.

Waarom is het handig om documenten te delen op de IBD Community?

Gemeenten staan allemaal voor dezelfde uitdagingen waar het gaat om informatiebeveiliging en privacy. Door uw documenten te delen draagt u bij aan de kracht van het collectief. U kunt zelf ook nog voordeel hebben van het delen van documenten. Als u uw document deelt op de community kunnen andere gemeenten meekijken en reviewen. De IBD en / of KING kunnen helpen om uw specifieke document generiek maken voor alle gemeenten. U bepaalt zelf wat er gebeurt met documenten die u met de IBD en / of KING deelt. De voorwaarden kunt u aangeven bij het uploaden. Neemt u bij vragen of twijfel contact op met de IBD via info@IBDGemeenten.nl of het Team Privacy van KING via privacy@kinggemeenten.nl.

Wilt u deze tips per e-mail ontvangen? Stuur dan een e-mail aan privacy@kinggemeenten.nl.

FAQ
Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ