VNG / KING publiceert stappenplan AVG voor gemeenten

In voorbereiding op de inwerkingtreding van de Algemene Verordening Gegevensbescherming heeft VNG / KING een stappenplan voor gemeenten opgesteld en gepubliceerd. Het stappenplan is onderdeel van het privacyondersteuningspakket voor gemeenten en sluit aan bij de handreikingen, factsheets en overige documenten op het thema privacy.

Het stappenplan voor gemeenten ziet er als volgt uit:

  1. Stel een Functionaris Gegevensbescherming (FG) aan
  2. Stel een privacybeleid op en draag het uit
  3. Stel een register van verwerkingen op (en hou het bij)
  4. Pas de werkprocessen aan
  5. Maak afspraken met derden

Het document bevat een omschrijving van de stappen, een uitleg over de volgorde en alle onderdelen zijn gelinkt aan de relevante ondersteuningsproducten van VNG / KING en de IBD.

U kunt het het document downloaden op de website van VNG / KING. Voor vragen over het stappenplan of de andere ondersteuningsproducten kunt u contact opnemen via privacy@kinggemeenten.nl.

FAQ
Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ