In control op privacy en beveiliging ? Instituut voor business research – 22 maart 2016
Agenda
• Persoonsinformatie en wettelijke kaders • Actuele ontwikkelingen in wetgeving en praktijk • De risico’s: juridisch en beveiligingstechnisch
Persoonsinformatie en privacy in: • Basisregistratie personen • Primaire processen • Bedrijfsvoering
Wettelijke kaders bescherming persoonsgegevens primaire processen Sectorale regelgeving
WBP WBP
Wet BRP
Reisdocumenten: Paspoortwet Rijbewijzen: Rijbewijswet Uittreksels: Diverse wetten, w.o.
BuZa
onderwijswetgeving.
Werk & inkomen: Participatiewet / SUWI / Schuldhulp
SoZa
Leerplicht: Leerplichtwet / RMC wetgeving
Ond
Aanslagen, heffing en invordering OZB-waarde: Gemeentewet, AWRB, Belastingverordening
FIN
Vergunningen & handhaving: WRO / Woningwet / WABO
Zorgvoorzieningen: WMO 2015 Jeugdhulp: Jeugdwet Diverse wetgeving, bijv lokale verordening armoe Evenementenvergunning: APV
VVH Zorg Overig Inkijk / Mutatieberichten & terugmelden
BZ-Systeem Geboorte Vestiging Mutaties
Overheidsorganen (1.1 t Wbrp)
LAV-BRP LOV-BRP Gemeente Autorisatiebesluit Gemeente Uitwisseling Modules Gemeente
Gegevensmagazijn
Gemeente
(1.2 Wbrp) ((niet-)ingezetenen))
BRPnetwerk Autorisatiebesluit BZK (3.2 +4.10 Wbrp)
LOV-BRP Andere gemeenten
Persoonsinformatie in bedrijfsvoering valt ook onder de WBP • • • • •
Personeels- en salarisadministratie Debiteuren- en crediteurenadministratie ICT-administratie (overzicht systemen, applicaties en (geautor.) gebruikers, sim-kaarten, internetgebruik) Relatiebeheer Et cetera
Verantwoordelijke
Uitvoerders / uitvoering
B&W Fictief
UWV: Werk: intake + onderzoek + begeleiding WZI Fictief: Inkomen: Intake + beoordeling + betaling/controle
B&W Fictief
WZI Fictief: Intake + onderzoek + beschikking WZI Fictief: Intake + beoordeling + advisering / beheer
WMO 2015
B&W Fictief
Medew. Fictief + partners intake + onderzoek + advies Back-office Fictief: Beschikking + opdracht + facturen
1. Melding bij Cbp 2. Privacyconvenant/-reglement gegevensdeling 3. Triage in werkproces plus toestemmingen 4. Communicatie/bewustwording
WGBO
Geneeskundige
Huisarts, medisch specialist, jeugdarts: Verwijzen naar Jeugdhulp
Machtiging patiënt Afspraken over delen gegevens
Regisseurs Jeugdhulp in dienst Fictief: Intake + 1e+ 2e lijn Jeugdhulp + toegangsadvies Jeugdhulpverlening Back-office Fictief: - Beschikking + opdracht + facturen
1. Melding bij Cbp 2. Bewerkersovereenkomsten 3. Privacyconvenant/-reglement uitvoering 4. Protocol gegevensdeling met partners 5. Triage in werkproces plus toestemmingen 6. Communicatie/bewustwording
Wet
Sociaal domein gemeente Fictief
Participatiewet
Schuldhulp
Jeugdwet
B&W Fictief
Gemeentewet 172
Burgem. Fictief
Combinatie van wetten
B&W Fictief
Veiligheid: Casusbehandeling
Gemeente en Partners : intake , casusbespreking, plan van aanpak, taakverdeling, monitoring, regie meervoudig complexe problemen Back-office Fictief: Beschikkingen + opdrachten + facturen
Privacy To Do’s
1. Melding bij Cbp 2. Reguliere privacypraktijk
1. Melding bij Cbp 2. Reguliere privacypraktijk
1. Melding bij Cbp 2. Priv.convenant uitwisseling met partners (DAT-informatie) 3. Toestemmingen: casusbespreking en delen gegevens 4. Communicatie/bewustwording 1. Melding bij Cbp 2. Priv.convenant uitwisseling met partners (DAT-informatie) 3. Toestemmingen: casusbespreking en delen gegevens 4. Communicatie/bewustwording
Meldplicht datalekken sinds 1-1-2016 • Beveiliging geregeld is uitgangspunt (BIG) • Datalek: doorbreken beveiliging met ernstige privacygevolgen • Datalek: melden bij autoriteit persoonsgegevens • Datalek: melden bij betrokkene • Procedure datalekken nodig met TVB voor verschillende rollen • Bewerkersovereenkomsten aanpassen
Algemene Verordening Gegevensbescherming vanaf juli 2016 … met overgangstermijn 2018 • Eén wet voor heel Europa • DPO verplicht voor overheidsinstanties • Nadruk op aantoonbare compliance (accountability, privacy by design) • Bewerkers krijgen zelfstandige verplichtingen en bevoegdheden • Forse boetes (tot 20 miljoen of 4% wereldwijde jaaromzet) • Nieuwe rechten betrokkenen (vergeetrecht)
Praktijkontwikkelingen… met risico’s • • • • • •
•
Big data voor beleidsontwikkeling: hoe resultaten te gebruiken / presenteren Criminaliteitsbestrijding met bestuurlijke informatie door bestuur: nog niet goed geregeld …. Verdergaande samenwerking tussen gemeenten. Wie is verantwoordelijke? Regiesystemen sociaal domein voor de samenwerking met de ketenpartners. Wie kan wat zien ? Zaakgericht werken. Iedere medewerker bij alle dossier ? Gegevensuitwisseling ivm radicalisering. Geen rechtmatige grondslag. Veel uitbestedingen aan bewerkers..
Hoe krijgen we dat in control ? •
Governance en beleid • Besturing en beleid inrichten • Privacyfunctionaris/-adviseur aanwijzen • Beheer • Zicht op wat gemeente in huis heeft (inventarisatie) • Processen toetsen aan privacywetgeving • Meldingen doen bij autoriteit persoonsgegevens • Bewerkersovereenkomsten opstellen / actualiseren en uitvoering (doen) controleren • Operationeel • Communicatie / instructie medewerkers