Binnen de AVG wordt onderscheid gemaakt tussen een verwerker en een verwerkersverantwoordelijke. Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Ook wanneer je die verwerking uitbesteedt aan een verwerker. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wat is een verwerkingsverantwoordelijke?

Volgens de Algemene Verordening Gegevensbescherming (AVG) is een verwerkingsverantwoordelijke degene die het doel en de middelen voor de verwerking bepaalt. (Art 4.7 AVG)’.

Met deze definitie is het duidelijk dat veel gemeenten verwerkersverantwoordelijke zijn voor de gegevens die zij tijdens de uitvoering van hun wettelijke taak vastleggen. Het kan zijn dat gemeenten tijdens de uitvoering van hun taken gebruik maken van verwerkers, die in opdracht van de gemeente gegevens verwerken (bijvoorbeeld het opslaan en beheren van persoonsgegevens in geval van een datacenter of SAAS-leverancier). Hierbij blijft de gemeente als verwerkingsverantwoordelijke wel altijd eindverantwoordelijk voor de verwerking zelf.

De basisprincipes van gegevensverwerking

Volgens de AVG moet elke verwerking van persoonsgegevens voldoen aan de volgende principes:

·       Rechtmatigheid, behoorlijkheid en transparantie: dit wil zeggen dat je verplicht bent om persoonsgegevens te verwerken op een transparante manier met respect voor alle wetten en regels die gelden. Ook moet de persoon waarvan de gegevens worden opgeslagen op de hoogte zijn van welke gegevens over hem worden vastgelegd.

·       Doelbinding: de verwerking van persoonsgegevens moet uitdrukkelijk voor bepaalde doelen zijn. Binnen gemeenten is het doel waar je verschillende gegevens voor verzameld vaak wettelijk bepaald. Maar let wel op. Je mag gegevens die je voor een bepaald doel hebt verzameld (bijvoorbeeld WOZ) niet zomaar gebruiken voor een andere taak van de gemeente (bijvoorbeeld voor handhaving op permanente verhuur van vakantiehuisjes), wanneer niet duidelijk is aangegeven in de wet dat je die set gegevens daarvoor mag gebruiken.

·       Dataminimalisatie: verzamel alleen persoonsgegevens die je echt nodig hebt. Hoe minder gegevens er worden opgeslagen, hoe beter. Hierbij is het goed om na te gaan welke gegevens écht nodig zijn om de dienst of wettelijke verplichting uit te kunnen voeren. Vraag dus niet altijd om een BSN-nummer wanneer dit niet nodig is.

·       Juistheid: de persoonsgegevens moeten juist en actueel zijn. Vooral binnen het Sociaal Domein zie je wel eens een verzoek van de burger om de gegevens die zijn genoteerd aan te passen, omdat ze in sommige gevallen niet juist zijn.

·       Bewaartermijnen: de persoonsgegevens mogen niet langer worden bewaard dan nodig. Binnen gemeenten is dit vaak ook wettelijk bepaald. De afdeling Digitale Informatie Voorziening (DIV) kan je daar vast alles over vertellen. Maar kijk ook op je (persoonlijke) afdelingsschijven of hier geen informatie wordt vastgelegd die niet meer noodzakelijk is. De AVG geeft aan dat de bewaartermijn afhankelijk is van het doel waarvoor je het gebruikt. Dus is het doel niet meer relevant, dan moeten de gegevens worden verwijderd.

·       Integriteit en vertrouwelijkheid: de persoonsgegevens moeten goed beveiligd zijn en vertrouwelijk blijven. Hier komt bij gemeenten de informatiebeveiliging om de hoek kijken. Gemeenten moeten de Baseline Informatiebeveiliging Overheid (BIO) geïmplementeerd hebben. Binnen deze BIO zijn er verschillende beveiligingsniveaus (BBN’s) gedefinieerd. Systemen met persoonsgegevens hebben vaak de classificatie BBN2 of BBN2+.

Waar moet een verwerkingsverantwoordelijke voor zorgen?

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van bovenstaande principes en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze principes voldoet. Dit noemen we de verantwoordingsplicht. Hieronder vallen een aantal bij wet verplichte onderdelen die ik voor je onder elkaar heb gezet. Concreet moet je als gemeente:

1. Een register van verwerkingsactiviteiten bijhouden (artikel 30 AVG)
Dit is een overzicht van alle verwerkingen waarin persoonsgegevens zijn verwerkt. Hoe je een verwerkingsregister opstelt kan je lezen in mijn eerdere blog ‘Een verwerkingsregister invullen, hoe pak je dat aan?’. Vervolgens is het ook belangrijk dat je ervoor zorgt dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt.
Let op: dit is niet noodzakelijkerwijs een overzicht van al je applicaties waar je gegevens in verwerkt. De definitie van een verwerking is volgens de AVG ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Dit geeft aan dat je meer in processen moet denken dan in applicaties.

2. Afspraken maken met verwerkers in een verwerkersovereenkomst (artikel 28 AVG)
Dit is een overeenkomst met verwerkers (bijvoorbeeld SAAS-leveranciers) waarin je vastlegt op welke manier met de gegevens moet worden omgegaan. Tips nodig bij het afsluiten van een overeenkomst? Lees dan ook onze blog ‘Vijf tips bij het opstellen van een verwerkersovereenkomst’.

3. De rechten van de betrokkenen respecteren en invullen (artikel 15 AVG)
De betrokkene moet op de hoogte zijn van welke gegevens verwerkt worden en waarom. Verder moet je als gemeenten burgers goed informeren over wat je met hun gegevens doet en ze de mogelijkheid geven hun privacyrechten uit te oefenen. Dit informeren gebeurt vaak via een privacy statement op de gemeentelijke website. Intern moet je ook de juiste procedures hebben opgesteld om een verzoek van een burger juist op te pakken. Je moet namelijk binnen een bepaalde termijn reageren. Doe je dit niet, dan loop je de kans dat je als gemeente een boete moet betalen. Het recht waar de gemeente het meeste mee te maken krijgt is het recht op inzage. Hierbij kan de burger gegevens die over hem/haar verwerkt worden inzien. Het recht op verwijderen (of vergeten te worden) komt minder vaak voor. Dit komt doordat gemeenten vaak een wettelijke basis hebben voor het vastleggen van de gegevens. Deze kunnen dus niet op verzoek verwijderd worden.

4. Een Functionaris Gegevensbescherming (FG) aanstellen (artikel 37 AVG)
Voor gemeenten geldt dat er altijd een FG moet zijn aangesteld. De FG is de interne toezichthouder en heeft een aantal kerntaken. Welke taken dit zijn lees je hier. Een FG moet niet verward worden met een Privacy Officer. Ieder heeft zo zijn eigen taken binnen het privacyspeelveld.

5. Voorafgaand aan risicovolle verwerkingsactiviteiten een Data Protection Impact Assessment (DPIA) uitvoeren (artikel 35 AVG)
Voor systemen/processen met een hoog risico moet een impactanalyse gedaan worden op de wijze waarop met de persoonsgegevens wordt omgegaan. Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd, wanneer de adviezen die uit de DPIA komen worden opgevolgd.

6. Passende beveiligingsmaatregelen treffen met het oog op de bescherming van persoonsgegevens (artikel 32 AVG)
De gegevens die verwerkt worden moeten goed beschermd worden. Binnen de overheid geldt hierbij de Baseline Informatiebeveiliging Overheid (BIO). Niet alleen de gemeente moet de beveiliging op orde hebben, maar ook de leveranciers of verwerkers van gemeentelijke informatie. De beveiligingseisen moeten zijn vastgelegd in het contract met de verwerker of beschreven staan in de verwerkersovereenkomst.

7. In het geval van een datalek melding doen bij de Autoriteit Persoonsgegevens (AP) (artikel 33 AVG)
Volg hiervoor de stappen uit onze eerdere blog ‘Datalek melden bij de AP? Volg dan de volgende stappen!’. Ook moet er een register en procedure zijn met betrekking tot datalekken binnen de organisatie, waar ook datalekken die niet gemeld hoeven worden bij AP, worden geregistreerd. Op deze wijze heb je een goed en compleet overzicht over wat voor type datalekken binnen jouw organisatie voorkomen.

8. Bij het inrichten van verwerkingen rekening houden met privacy by default & design (artikel 25 AVG)
Dit betekent dat instellingen zo moeten zijn ingericht dat de privacy altijd voorop staat (by default). En wanneer een proces wordt ingericht of een systeem wordt aangeschaft moet er altijd vanuit een privacy-bril bij de inrichting/ontwikkeling gekeken worden (by design).

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het uitvoeren van een van bovenstaande verplichtingen? Laat ons dit dan weten en neem contact met ons op.