We zijn inmiddels bijna vier jaar verder nadat de Algemene Verordening Gegevensbescherming (AVG) van kracht is gegaan. Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?
Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Gezichtsherkenningscamera’s kunnen worden ingezet om personen in foto’s, video’s of in realtime te identificeren en worden vooral ingezet bij bedrijven in de detailhandel, beveiliging, sport & entertainment, vervoer, én bij gemeenten. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het waarborgen van de privacy?
Als gemeente heb je een grote verantwoordelijkheid als het gaat om het veilig omgaan met (persoons)gegevens. Activiteiten op privacyvlak moeten dan ook goed worden gecoördineerd én belegd. Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de ‘Functionaris Gegevensbescherming (FG)’ en de ‘Privacy Officer (PO)’. Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn de verschillen?
De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA); ook wel Gegevensbeschermingseffectbeoordeling (GEB) genoemd. Dit is een onderzoek naar de effecten van de wetgeving op de gegevensbescherming van burgers. De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze blog zet ik het op een rij.
Informatiebeveiliging en privacybescherming brengen veranderingen met zich mee voor gemeenten. En om verandering door te voeren, is draagvlak nodig. Als CISO, Privacy Officer of Functionaris Gegevensbescherming (FG) is het (mede) jouw taak om draagvlak te creëren voor deze veranderingen. Maar verandering gaat ook vaak hand in hand met weerstand. Dus hoe ga je hier effectief mee om? In deze blog geven we je tien praktische handvatten die je helpen bij het creëren van draagvlak.
Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar de vraag of een gegevensverwerking rechtmatig is, is niet altijd in één zin te beantwoorden. Dat hangt namelijk af van een aantal factoren. Welke factoren dit zijn, licht ik in deze blog toe aan de hand van een aantal vragen.
Eind mei is het eindrapport van de Rekenkamer Amersfoort verschenen. De rekenkamer heeft o.a. onderzoek gedaan naar de bescherming van persoonsgegevens. Want hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden, aan wie de gemeente diensten uitbesteedt, dat? En wat kunnen andere gemeenten leren van Amersfoort?
Deze week bestond de AVG-privacywet drie jaar. De AVG stelt strengere eisen aan het verzamelen van persoonsgegevens. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe krijg je privacy in de dagelijkse routine en hoger op de prioriteitenlijst van bestuurders?
Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. In 2018 schreef ik al een blog over hoe je een verwerkingsregister opstelt. Maar hoe zorg je er nu voor dat het bijhouden van het verwerkingsregister ook op een juiste en consistente wijze gebeurt?
Eerder deelden wij op de IB&P website een agenda met daarin relevante bijeenkomsten op het gebied van informatiebeveiliging en privacy m.b.v. Google Agenda. Eerder verstuurden we onze nieuwsbrief met behulp van het Amerikaanse Mailchimp. De wekelijkse nieuwsoverzichten gingen de spreekwoordelijke deur uit via Revue (onlangs gekocht door Twitter). We kunnen praktisch niet om de techgiganten heen, maar als IB&P worden we terecht hierop aangesproken Maar hoe verhoud je je persoonlijk tot dit soort vraagstukken, als CISO, Privacy Officer of FG?
Thuiswerken is momenteel de norm. Om dit mogelijk te maken is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Diverse clouddiensten, zoals MS Teams, zien het gebruik flink toenemen. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s doordat ze noodgedwongen en met beperkte voorbereiding deze diensten in gebruik hebben genomen. De Rijksoverheid heeft DPIA’s laten uitvoeren op verschillende Microsoft (cloud)diensten.
Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.