Functionaris voor de gegevensbescherming Ministerie van LNV

landbouw, natuur en voedselkwaliteit

Functionaris voor de gegevensbescherming Ministerie van LNV Jaarverslag 2007

mr. J. de Zeeuw 2 juli 2008

Jaarverslag Functionaris voor de gegevensbescherming LNV 2007

2


Inhoud

1

Inleiding................................................................................................................... 5

2

Managementsamenvatting .................................................................................. 6

3

Werkzaamheden 2007 ........................................................................................... 7 3.1

Advisering, klachtbehandeling................................................................................7 3.1.1 Behandelde onderwerpen ...........................................................................................7 3.1.2 Opvallende zaken .........................................................................................................9 3.1.2.1 Verstrekking van I&R-gegevens ten behoeve van de productschapheffing ter financiering van het Diergezondheidsfonds ...9 3.1.2.2 Kamervragen Gecombineerde opgave Landbouw....................................9 3.1.2.3 Rijksbreed Privacyreglement P-Direkt ......................................................10 3.1.2.4 Het gegeven “varkenshouder” als privacygevoelig gegeven.................11 3.1.3 Statistieken....................................................... Fout! Bladwijzer niet gedefinieerd.

3.2

Bijzondere onderzoeken.........................................................................................13 3.2.1 Privacy audit op inspectiegegevens VWA ................................................................13

3.3 3.4

Openbaar register....................................................................................................14 Implementatie van de Wbp bij directies en diensten........................................16 3.4.1 Verantwoordingsinformatie vanaf 2007 via de MCS-cyclus....................................17 3.4.2 Naar (decentraal) Wbp-management .......................................................................17

3.5

4

Communicatie, voorlichting, overleggremia ......................................................18

Bevindingen 2007 ................................................................................................. 19 4.1

Implementatie van de Wbp; resultaten, knelpunten, ontwikkelingen ..........19 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5

4.2

Resultaten ...................................................................................................................19 Informatiestroom richting FG werd aandachtspunt................................................20 Wbp en beveiliging kunnen niet volledig worden geïntegreerd ...........................21 Voldoen aan Wbp als Europese certificeringeis ......................................................21 Gedeeld beheer (share-units) en samenvoegingen.................................................21

Privacy audit op inspectiegegevens VWA ...........................................................22 4.2.1 Resultaten en bevindingen ........................................................................................22 4.2.2 Aanbevelingen............................................................................................................22 4.2.3 Follow up ....................................................................................................................23

4.3

Audit “Grip op gegevensleveringen” ...................................................................23 4.3.1 Resultaten en bevindingen ........................................................................................23 4.3.2 Conclusies en aanbevelingen ....................................................................................24 4.3.3 Follow up en beoordeling .........................................................................................25

4.4

5

Ontwikkelingen.................................................................................................... 26 5.1 5.2

6

Samenvattende bevindingen/conclusies .............................................................25 Gegevensuitwisselingen.........................................................................................26 Gevolgen toegenomen vraag naar behandeling Wbp-kwesties .....................27

Samenvattend oordeel ........................................................................................ 27

Bijlage: LNV en de Wbp ............................................................................................. 29 Bijlage: Taakopdracht FG .......................................................................................... 30

3


Bijlage: Openbaar register verwerkingen van persoonsgegevens door LNV... 31

4


1

Inleiding Toezicht door de FG De Functionaris voor de gegevensbescherming (FG) houdt binnen het Ministerie van Landbouw, Natuur en Voedselkwaliteit (LNV) toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Voor u ligt het vierde jaarverslag van de FG van het Ministerie van LNV. Het toezicht van de FG is er op gericht om te verzekeren dat de minister voldoet aan zijn of haar verplichtingen wat betreft het fundamentele recht op bescherming van persoonsgegevens. De beginselen van zorgvuldig gegevensgebruik vormen in de publieke sector voorwaarden voor rechtmatig overheidsoptreden en het vertrouwen van de burger in de overheid. Persoonsgegevens en privacywetgeving De Wbp is van toepassing op verwerkingen van persoonsgegevens. Een persoonsgegeven is elk gegeven dat betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. Gegevens over ondernemingen of organisaties kunnen persoonsgegevens zijn als zij mede bepalend zijn voor de wijze waarop iemand in het maatschappelijk verkeer wordt beoordeeld of behandeld. Naar heersende opvattingen vallen gegevens van eenmanszaken onder deze definitie. Informatie over de winst van een eenmanszaak zegt bijvoorbeeld in het maatschappelijk verkeer iets over het inkomen van de eigenaar van de onderneming. Privacywetgeving biedt een handvat om te kunnen beoordelen of bepaalde maatregelen of beleidskeuzes van LNV, waarbij het gebruik van persoonsgegevens aan de orde is, verantwoord zijn met het oog op de eisen van rechtmatigheid en behoorlijkheid. LNV is daardoor in staat effectiever te zijn in beleid en uitvoering1. Jaarverslag 2007 Dit jaarverslag bevat een verslag van de werkzaamheden en bevindingen van de FG over 2007. Door het jaarverslag legt de FG, die een deel van de toezichthoudende taak van het College bescherming persoonsgegevens (CBP)2 overneemt, verantwoording af, en worden conclusies over waarnemingen bericht aan de verantwoordelijke door wie hij is aangesteld. De taak van de FG en zijn verslaglegging vinden hun grondslag in de Wbp (art. 64, eerste lid, en art. 63, vijfde lid, Wbp). Aan de bevindingen is in dit jaarverslag tevens een samenvattend oordeel gekoppeld over de naleving van de Wbp door het ministerie van LNV. Dat oordeel is bedoeld om antwoord te geven op de vraag of LNV volgens de FG al dan niet in control is met betrekking tot de gevolgen van de Wbp. In Hoofdstuk 3 wordt een beschrijving gegeven van werkzaamheden van de FG in 2007. Hoofdstuk 4 gaat in op de bevindingen van de FG ten aanzien van in 2007 onderzochte onderwerpen. In Hoofdstuk 5 worden ontwikkelingen behandeld die relevant zijn voor het taakgebied en werkzaamheden van de FG. Het samenvattend oordeel over 2007 wordt besproken in Hoofdstuk 6.

1

Zie Bijlage: LNV en de Wbp.

2

Het CBP is de onafhankelijke toezichthoudende autoriteit als bedoeld in artikel 28 van de Europese Privacyrichtlijn

95/46/EG. Het toezicht van het CBP verhoudt zich tot het toezicht van de FG als tweede lijns-toezicht. Het college houdt

in dat verband toezicht op een geloofwaardig en effectief toezicht door de FG.

5


2

Managementsamenvatting

De Functionaris voor de gegevensbescherming (FG) houdt binnen LNV, op basis van de Wet bescherming persoonsgegevens (Wbp) onafhankelijk toezicht op rechtmatig en zorgvuldig gebruik van persoonsgegevens. Gegevensbescherming speelt een rol in talloze situaties bij LNV, vaak ook wanneer het gaat om bedrijfsgegevens. In het kader van het toezicht worden “zaken” behandeld: informatieverzoeken, klachten, en onderzoeken op eigen initiatief. De FG heeft daartoe bijzondere bevoegdheden. De FG communiceert binnen LNV via verschillende media over de gevolgen van de Wbp, licht voor, en voert overleg. Bijzondere aandacht is er voor de implementatie van de Wbp bij alle directies en diensten van LNV. In 2007 is o.a. een privacy audit uitgevoerd bij de Voedsel en Waren Autoriteit (VWA), waarbij aanbevelingen zijn gedaan om de verwerkingen te verbeteren. De bevindingen wijzen uit dat de naleving en beheersing van de Wbp bij met name uitvoerende diensten een punt van aandacht blijft, ondanks dat daar basisvoorzieningen aanwezig zijn zoals een decentrale Wbp-coördinator. Er blijken aanvullende maatregelen nodig om de risico’s te beheersen als gevolg van gegevensuitwisseling. Wel zijn er in 2007 belangrijke slagen gemaakt. De totstandkoming van het integrale beveiligingsbeleid, de Europese certificeringeisen en de uitgevoerde audits hebben een impuls gegeven aan de Wbp, of zullen dat nog doen. De bevindingen onderstrepen het belang van actief Wbpmanagement en toezicht. De FG beschrijft dat de management control bij de directies en diensten wat betreft de Wbp slechts met moeite van de grond komt. Er is sprake van een afnemende (groei)trend. Geconstateerd wordt dat ontwikkelingen die gevolgen hebben in de sfeer van de Wbp onverminderd door gaan. Gegevensverstrekking of -uitwisseling speelt een rol bij de steeds nauwere samenwerking tussen overheidsorganen, bij fusies en bij het ontstaan van nieuwe wetgeving over inwinning, gebruik, uitwisseling en openbaarmaking van gegevens. De minister moet in dat kader opereren binnen het spanningsveld van efficiency enerzijds, en rechtmatigheid en zorgvuldigheid anderzijds. Wat het er niet makkelijker op maakt, is dat LNV optreedt in verschillende rollen richting de burger. Ook speelt de (wisselende) context waarin de persoonsgegevens (zullen) worden gebruikt, een belangrijke rol. De toenemende clustering en centralisering van (bedrijfsvoerings)taken binnen de rijksoverheid leidt daarnaast vaak tot gedeeld beheer (shared services) waarbij het verwerken van persoonsgegevens aan de orde is. Deze ontwikkelingen vereisen in het algemeen alertheid en maatregelen om risico’s te beheersen en verantwoord beleid te borgen. Het aantal gestelde vragen op het gebied van de Wbp neemt nog steeds toe. De toename van het aantal zaken lijkt onderdeel van een algemene trend van toename van informatieen beveiligingsissues (zoals op het gebied van WOB-verzoeken en informatiebeveiligingsincidenten). De FG wordt ook vaker geconfronteerd met rijksbrede onderwerpen. Het College bescherming persoonsgegevens (CBP) is tegelijkertijd een beleid gaan voeren dat minder gericht is op advisering en meer op handhaving. LNV moet gelet op deze ontwikkelingen voorbereid zijn op hetgeen er in die zin op haar afkomt. Het oordeel van de FG luidt dat alles overwegende en ondanks de gesignaleerde tekortkomingen, LNV eind 2007 in control was wat betreft de risicobeheersing op het gebied van de Wbp. LNV en de FG beschikken over een zodanige basis, dat kwesties aan het licht kunnen komen, en verbeteringen kunnen worden aangebracht. De uitgevoerde (privacy)audits hebben hun meerwaarde bewezen. Actief management en toezicht blijven echter noodzakelijk om aan de wet te kunnen voldoen bij de uitvoering van beleids- en uitvoeringsprocessen.

6


3

Werkzaamheden 2007

3.1

Advisering, klachtbehandeling Door de FG worden in het kader van zijn toezicht “zaken” behandeld op het gebied van de Wbp. Tot “zaken” worden gerekend: informatieverzoeken, klachten3, en onderzoeken op eigen initiatief.

3.1.1

Behandelde onderwerpen Hieronder volgt een aantal voorbeelden van onderwerpen uit de zaaksbehandeling van de FG, bedoeld om een indruk te geven van de situaties waarin LNV met de Wbp te maken heeft. De bevindingen rond de behandelde zaken zijn, voor zover deze konden worden geclusterd of een trend te zien gaven, in algemene zin opgenomen in Hoofdstuk 4 (Bevindingen). De zaken zijn in de verslagperiode beoordeeld en/of worden tijdens de verdere implementatie van de Wbp door de directies nader opgepakt. Het is geen totaaloverzicht van alle Wbp-zaken waarmee LNV is geconfronteerd, maar een selectie van de zaken die door de FG zijn behandeld, en exclusief de zaken die zelfstandig door de (decentrale) Wbp-coördinatoren zijn afgehandeld. Verstrekken van persoonsgegevens aan andere organisaties (niet-overheid) Vragen waren o.a.: • Mag LNV op haar website de privé-adresgegevens van leden van een commissie publiceren die in een bijlage bij een Kamerstuk zijn vermeld? Moet LNV deze gegevens van haar website verwijderen, nu dezelfde gegevens door de Tweede Kamer niet op internet worden gepubliceerd? • Wanneer besmetting van pootaardappelen wordt geconstateerd, wordt rond het perceel waarop de aardappelen zijn geteeld, een gebied afgebakend met een straal van 1 km. Als deze afbakening wordt vastgelegd op een kaart, is vrij gemakkelijk te achterhalen bij welke teler de vondst is gedaan. De teler kan (reputatie)schade lijden door de verspreiding van deze informatie. Het is echter voor andere telers van groot belang om te weten of ze percelen in het gebied hebben. Kunnen deze kaartjes op internet worden gepubliceerd? • Mag informatie over de ligging van met bodemorganismen besmette terreinen worden verstrekt aan aannemers die zijn betrokken bij de aanleg van (pijp)leidingen in opdracht van bijvoorbeeld de Gasunie en stroomproducenten? Zo ja, mag dit via internet? • Mag LNV beschikken over volledige registers van preparateurs van dieren met de namen van aanbieders en afnemers van (geprepareerde) dieren? Mag LNV deze gegevens vervolgens openbaar maken? • LNV heeft gegevens over vissers en hun vistuig opgeslagen in haar vergunningadministratie. Mag LNV gegevens verstrekken over de eigenaar van een vistuig aan een verzekeringsmaatschappij, nu een charterschip in dat vistuig is gevaren en de verzekeringsmaatschappij de schade aan dat schip bij de eigenaar van dat vistuig wil verhalen?

3

De Wbp vermeldt in art. 63, vierde lid, in relatie tot de taakuitoefening van de FG expliciet het begrip “klacht”. Het begrip

kent echter geen wettelijke definitie. Onder klacht kan in dit verband worden verstaan: een reactie met betrekking tot de verwerking van persoonsgegevens die de FG aanleiding kan geven een onderzoek in te stellen. Klachten in de zin van de Awb worden behandeld door de directie Juridische Zaken (JZ). Het klachtrecht in de Awb kan betrekking hebben op elke gedraging van een bestuursorgaan jegens de betrokkene of een ander. Zaken die door de FG als klacht kunnen worden behandeld, kunnen ook Awb-klachten zijn. Als zich een dergelijk geval voordoet, wordt met de directie JZ bepaald hoe de onderlinge rolverdeling is met betrekking tot de behandeling van de klacht.

7


Verstrekken van persoonsgegevens aan andere overheden Vragen waren o.a.: • In hoeverre en onder welke voorwaarden mogen de Voedsel en Waren Autoriteit (VWA) en de Arbeidsinspectie elkaars toezichtstaken overnemen, met elkaar samenwerken en daarbij persoonsgegevens uitwisselen? • Bij (nieuwe) uitbraken van dierziekten zoals vogelgriep, die gevaarlijk kunnen zijn voor de mens, is het van belang om gegevens uit te wisselen tussen de VWA en het RIVM om de gevolgen voor de volksgezondheid te onderzoeken gekoppeld aan directe bestrijding van de uitbraak. Bij de aanlevering van de gegevens en de uitvoering van het onderzoek moet de privacy van betrokkenen worden gerespecteerd in verband met het feit dat het om gegevens gaat die de gezondheid van betrokkenen betreft. Onder welke voorwaarden kan gegevensuitwisseling tussen de VWA en het RIVM plaatsvinden? • De AID werkt bij de controles cross compliance (XC) volop samen met medehandhavers (waterschappen, gemeenten, provincies, COKZ, CPE). Mogen deze medehandhavers kopieën van de AID-rapporten ontvangen, om de reden dat de AID ook bevindingen van de medehandhavers kent? • Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) wil van LNV alle postcodes van een gebied met een straal van 5 km om huisartsen aan te schrijven rondom een haard van uitgebroken Q-koorts, zodat zij de huisartsen of de ziekenhuizen kunnen attenderen op de mogelijkheid van Q-koorts. Het kan ter bestrijding van deze ziekte, die ook voor de mens gevaarlijk is, van belang zijn om zelfs naam-, adres- en woonplaatsgegevens uit te wisselen. In welke omstandigheden is dit gerechtvaardigd en onder welke voorwaarden? • Verbiedt de Wbp het verstrekken aan Staatsbosbeheer (SBB) van de naam van iemand die door middel van een WOB-verzoek bij LNV informatie vraagt over SBB? Persoonsgegevens van LNV-personeel • Een medewerker van de Dienst ICT Uitvoering (DICTU) had persoonlijke mappen en persoonlijke bestanden van medewerkers van de Algemene Inspectiedienst (AID) zonder dat hij daarvoor opdracht had gekregen, gecontroleerd op ongewenstheden of onrechtmatigheden. Daarna had de betrokken medewerker de resultaten van zijn controle die op de medewerkers betrekking hadden, verspreid onder alle leden van het desbetreffende managementteam van de AID. Mag dit? • Mag de Plantenziektenkundige Dienst de exacte salarisgegevens (te weten schaal en periodiek) van een tijdelijk medewerker zonder zijn toestemming aan een externe keuringsdienst verstrekken, alwaar hij op een vacature had gesolliciteerd? • Nadat een medewerkster ten behoeve van een buitenlandse dienstreis, op kantoor bij LNV haar paspoort had ingescand, bleken de ingescande bestanden, zonder dat zij dat wist, op een vrij toegankelijke netwerkschijf van LNV te zijn geplaatst. Dit levert privacy- en beveiligingsrisico’s op. Had dit niet kunnen worden voorkomen? • Een medewerker plaatst bij de directie IFZ het verzoek - namens een andere medewerker om een uitdraai te krijgen van de binnenkomst- en vertrektijden van deze medewerker binnen een bepaalde periode. Hoe gaan wij hier mee om? • Mogen de persoonlijke mailbox en de persoonlijke mappen van een medewerker worden ingezien na uitdiensttreding, of bij afwezigheid van de medewerker? •

Beveiliging van persoonsgegevens Door de minister is besloten dat een voorziening zal worden getroffen om het risico van oneigenlijk gebruik van de openbaar gemaakte GLB-gegevens te beperken. Ter uitwerking daarvan is besloten dat een voorziening wordt ingebouwd die het downloaden van het bestand in zijn geheel moeilijker maakt, en dat in de database ook een voorziening wordt ingebouwd die een "robot" opspoort en blokkeert. Naar aanleiding van pogingen om het bestand in zijn geheel te downloaden, is besloten dat DICTU aanvullende technische voorzieningen blijft treffen om het functioneren van de site en de belangen van de individuen te waarborgen. Zonder adequate beveiliging bestaat het risico dat de database snel en in zijn geheel elektronisch over te nemen is, waarna deze kan worden gebruikt voor onbeveiligde publicatie en oneigenlijk gebruik van persoonsgegevens. Welk niveau van beveiliging van de database is voldoende en is het opportuun te investeren in onderzoek dat leidt tot verbetering van de beveiliging van de database?

8


Recht op inzage en correctie van eigen persoonsgegevens • Geldt het recht van een betrokkene om inzage te krijgen in zijn eigen persoonsgegevens alleen ten aanzien van zijn naam-, adres- en woonplaatsgegevens en de door hemzelf gegeven eigen verklaring? Of geldt dat recht ook ten aanzien van overige gegevens waarover LNV beschikt en die op hem betrekking hebben? •

Overige onderwerpen Het CBP heeft een onderzoek uitgevoerd naar de naleving van de verplichting om de via een telefoontap opgenomen gesprekken van zgn. geheimhouders (zoals advocaten) te vernietigen. Deze plicht tot vernietigen van opgenomen gesprekken bleek nog niet volledig te worden nageleefd. De desbetreffende tapkamers voeren ook tapprocessen uit voor de AID. De Minister van LNV is volgens het CBP medeverantwoordelijke voor het proces van opnemen en vernietigen van geheimhoudersgesprekken. Zijn er maatregelen nodig naar aanleiding van de bevindingen van het CBP, zo ja welke? • LNV legt gegevens vast van personen die de website van LNV bezoeken. Verstrekt LNV deze gegevens aan bedrijven? • Onder welke voorwaarden mag de AID van een bedrijf vastleggen dat ten aanzien daarvan een risico geldt voor de AID-controleur als hij het bedrijf bezoekt, bijvoorbeeld in verband met agressief gedrag van de betrokkene(n)? Is het vereist om de betrokkene te informeren over de aan hem toegekende gevarenindicatie in de systemen van de AID? Mag de AID de gevarenindicatie zonder meer verstrekken aan andere handhavers/toezichthouders?

3.1.2

Opvallende zaken

Sommige zaken die door de FG zijn behandeld zijn van bijzondere betekenis. Dit vanwege de gevolgen ervan voor LNV, de aandacht die er van buitenaf voor bestond, of de werking van het onderwerp of het standpunt in kwestie, als precedent. Deze zaken worden hier aangeduid als opvallende zaken. Een bespreking van enkele van die opvallende zaken volgt hieronder. 3.1.2.1

Verstrekking van I&R-gegevens ten behoeve van de productschapheffing ter financiering van het Diergezondheidsfonds De Productschappen Vee, Vlees en Eieren (PVE) hebben verzocht om verstrekking van Identificatie- en registratiegegevens (I&R-gegevens) van schapen en geiten. De gegevens over schapen en geiten zouden door de PVE gebruikt worden ten behoeve van het berekenen en opleggen van de productschapheffing ter financiering van het Diergezondheidsfonds. Er was vanuit de doelgroep van schapen- en geitenhouders veel weerstand tegen deze verstrekking van gegevens. Juridisch hangpunt was de vraag of het gebruik van de gegevens voor het opleggen van de heffing door het productschap niet onverenigbaar was met het doel van de I&R, waarvoor de gegevens oorspronkelijk zijn verzameld. Er zijn door de Dienst Regelingen veel inspanningen verricht om de gevraagde gegevens in overeenstemming met de Wbp te leveren aan het productschap. De verstrekking werd uiteindelijk geacht te zijn omkleed met voldoende waarborgen ter bescherming van de persoonlijke levenssfeer van de betrokken veehouders. Bij de Wbptoets was de FG betrokken. Het College bescherming persoonsgegevens (CBP) ondersteunde de FG in zijn oordeel dat DR in deze een zorgvuldige procedure heeft gevolgd. Een belangenorganisatie die een deel van de veehouders vertegenwoordigt, heeft geprotesteerd tegen verstrekking van de gegevens wegens strijd met de Wbp. Enkele tientallen veehouders hebben gebruik gemaakt van hun wettelijk recht van verzet tegen de verstrekking. Na afwijzing zijn daartegen bezwaren ingediend. Op dit moment is één beroep tegen de beslissing op bezwaar aanhangig bij de Rechtbank Maastricht.

3.1.2.2

Kamervragen Gecombineerde opgave Landbouw In juli 2007 heeft de minister kamervragen beantwoord van de leden Koopmans (CDA) en Atsma (CDA) over de gegevens uit de gecombineerde opgave landbouw4. De vraag was waarom de gegevens verkregen uit de Gecombineerde Opgave Landbouw door de Dienst Regelingen (DR) niet beschikbaar worden gesteld aan lagere overheden. In haar antwoord heeft de minister samengevat het volgende opgemerkt.

4

4 juli 2007 TRCJZ/2007/1946

9


Met de Gecombineerde Opgave Landbouw wordt aan de landbouwer gevraagd opgave te doen ten behoeve van de landbouwtelling op grond van de Landbouwwet, het Uitvoeringsbesluit Meststoffenwet en de Regeling GLB-inkomenssteun 2006. De gegevens die worden opgevraagd, zijn persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp). De ingewonnen gegevens worden niet aangeboden en vrijelijk gebruikt maar enkel verzameld en aangewend voor zover noodzakelijk voor een goede uitoefening van mijn publiekrechtelijke taak binnen de hiervoor aangegeven wettelijke kaders. Op grond van de Wbp mogen persoonsgegevens enkel verder worden verwerkt als deze verwerking niet onverenigbaar is met het doel waarvoor de gegevens zijn verzameld. Het doel waarvoor de gegevens zijn verzameld houdt verband met de Landbouwwet, het Uitvoeringsbesluit Meststoffenwet en de Regeling GLB-inkomenssteun 2006. Als gegevens niet verstrekt worden, heeft dat te maken met het doel waarvoor de gegevens zullen worden gebruikt, waarbij ook gekeken dient te worden naar de omstandigheden waaronder zij door de ontvanger worden gebruikt en hoe zij worden beveiligd. Dienst Regelingen is gehouden elke aanvraag voor het verstrekken van deze gegevens zorgvuldig te toetsen, zodat zonder toestemming van de betrokkene persoonsgegevens niet zomaar aan derden worden verstrekt. Ook voor het verstrekken van gegevens aan lagere overheden dient deze toets plaats te vinden en kan uitsluitend worden overgegaan tot het verstrekken van gegevens indien dat niet onverenigbaar is met de doelstellingen van de Landbouwwet, het Uitvoeringsbesluit Meststoffenwet en de Regeling GLBinkomenssteun 2006. Daar waar dit wettelijk is toegestaan, worden gegevens ook zo veel mogelijk eenmalig ingewonnen en meervoudig gebruikt binnen de overheid. Wanneer gegevens wèl verstrekt zouden worden, terwijl deze op basis van de criteria in de Wbp in combinatie met de sectorale weten regelgeving, niet verstrekt hadden mogen worden, biedt dit onvoldoende waarborgen aan betrokken landbouwers en is dit tevens onrechtmatig. 3.1.2.3

Rijksbreed Privacyreglement P-Direkt Van het ministerie van BZK ontving het Rijksplatform van privacyfunctionarissen (RPPF), waar de FG van LNV bij is aangesloten, een vraag met betrekking tot de vernieuwing van het HRM-stelsel. Gevraagd werd de voors en de tegens van één rijksbreed privacyreglement op een rij te zetten, met daarbij de aantekening dat dit een bredere reikwijdte heeft dan alleen P-Direkt. Het RPPF antwoordde dat het platform het uitgangspunt steunt om zo veel mogelijk te uniformeren en samen te doen wat samen kan. De voordelen van één privacyreglement zijn dat onderwerpen worden geharmoniseerd of geüniformeerd en dat versnippering van normering wordt tegengegaan. Vanuit Wbp-perspectief bezien is het opstellen van een rijksbreed privacyreglement echter niet aan te bevelen, omdat het door de samenvoeging moeilijker is om een goed beeld van de verwerking te geven, en transparantie te bieden zoals door de Wbp wordt vereist. Elke minister is zelf verantwoordelijke in de zin van de Wbp en kan tevens afzonderlijk aangesproken worden op de naleving van de Wbp. Er is in dit geval tevens sprake van een of meerdere organisaties aan welke gegevensverwerkingen zijn uitbesteed (bewerkers). Een rijksbreed privacyreglement draagt risico’s in zich voor de helderheid over deze gedifferentieerde verantwoordelijkheid en voor het bewustzijn van de eigen verantwoordelijkheid bij elk van de deelnemende organisaties. Een dergelijk reglement kan de schijn wekken dat de afzonderlijke verantwoordelijkheden zijn opgegaan in een collectief geheel (en zodoende “verdwijnen”), hetgeen een belangrijk risico oplevert voor de bescherming van de persoonsgegevens van de betrokkenen. Een rijksbreed privacyreglement heeft niet als voordeel dat daardoor de plicht voor de afzonderlijke ministers vervalt om de verwerkingen op andere wijze te beschrijven en te reguleren (zoals via de meldingen, en de verplichte bewerkercontracten). Gelet op de wettelijke medezeggenschapsregels, dienen bovendien alle afzonderlijke bestuurders en medezeggenschapsraden (WOR) in te stemmen met regelingen zoals hierboven besproken. Een uniform reglement zou bovendien een dermate abstract karakter kunnen krijgen (richting dat van de wet zelf) dat er vervolgens weer per onderwerp per departement

10


concrete vertalingen naar de praktijk nodig zijn. Een rijksbreed privacyreglement heeft alleen nut als het voldoende concreet is om daadwerkelijk als leidraad voor de wijze van omgaan met persoonsgegevens te kunnen fungeren, en het brengt in verband met het verschaffen van een goed beeld van de verwerking(en) een zeker risico met zich mee. Onderzocht kan worden of uniformering kan worden bereikt via een gedragscode in de zin van art. 25 Wbp5. 3.1.2.4

Het gegeven “varkenshouder” als privacygevoelig gegeven LNV kreeg het verzoek van een regionale GGD om adresgegevens van varkenshouders aan ziekenhuizen en ambulancediensten te verstrekken in verband met mogelijke verspreiding van de (multiresistente en daardoor gevaarlijke) MRSA-bacterie. Deze bacterie zou vaak worden aangetroffen bij varkenshouders, waardoor deze een risicogroep zou zijn voor besmetting. Doordat ambulances en ziekenhuizen van te voren zouden weten of ze met een varkenshouder te maken hebben in geval van vervoer per ambulance of een ziekenhuisopname, zouden zij een aangepaste behandeling kunnen toepassen. Tijdens de Wbp-toetsingsprocedure is de noodzaak om NAW-gegevens te verstrekken niet gebleken en zijn geanonimiseerde gegevens verstrekt. Deze zaak verdient bijzondere vermelding omdat het een illustratie is van het feit dat de gevoeligheid van een persoonsgegeven niet alleen afhangt van de aard van het gegeven, maar vooral door de context waarin de gegevens worden gebruikt. Hier blijken namelijk gegevens die op zichzelf beschouwd tot de laagste categorie van gevoeligheid behoren (nl. beroep van varkenshouder en adres), vanwege de context waarin ze worden gebruikt waarschijnlijk toch te moeten worden beschouwd als persoonsgegevens uit de hoogste categorie van gevoeligheid, nl. als gezondheidsgegevens6. Dat betekent in het algemeen dat het gebruik en de beveiliging van “ongevoelige” bedrijfsmatige gegevens als beroep en adres (een grote categorie van persoonsgegevens bij LNV) altijd ook vanuit de context waarin zij worden gebruikt moeten worden beoordeeld. Het is dus zaak bij soortgelijke verzoeken niet alleen naar de aard van de gegevens te kijken, maar ook te weten binnen welke “setting” de persoonsgegevens worden gebruikt, om de risico’s voor de betrokkenen en LNV (in dit geval bijvoorbeeld in verband met mogelijke stigmatisering) zoveel mogelijk te beperken.

3.1.3

5

Statistieken In totaal heeft de FG in de verslagperiode 133 zaken behandeld. Dit betekende wederom een stijging ten opzichte van de voorgaande jaren.

De gedragscode is bedoeld als precisering van de wettelijke beginselen, en heeft betrekking op meerdere

verantwoordelijken in een bepaalde branche of sector. 6

Gezondheidsgegevens zijn bijzondere gegevens in de zin van paragraaf 2 van de Wbp. Ten aanzien van deze categorie

gegevens gelden belangrijke wettelijke beperkingen.

11


Aantal zaken FG per jaar 140

120

100

80

60

40

20

0 2003/2004

2005

2006

2007

Aantal klachten per jaar 16 14 12 10 8 6 4 2 0 2003/2004

2005

2006

2007

Klachten De meerderheid van de door de FG behandelde zaken bestond uit informatieverzoeken. Informatieverzoeken komen in de regel voort uit adviesaanvragen vanuit de taakuitvoering van de organisatie. Er zijn in 2007 115 informatieverzoeken behandeld. Behalve informatieverzoeken behandelt de FG zaken die bestaan uit klachten van betrokkenen en onderzoeken die op eigen initiatief worden gestart. In 2007 zijn door de FG 8 klachten behandeld. 4 van die klachten waren afkomstig van medewerkers van LNV (dat waren er ook 4 in 2006, en 3 in 2005), en 4 klachten waren afkomstig van externen (dat waren er 11 in

12


2006, en 4 in 2005). Er is derhalve een afname geweest van klachten van externen ten opzichte van 20067. Onderzoeken op eigen initiatief Er zijn in 2007 10 zaken behandeld op eigen initiatief van de FG (dat waren er 5 in 2006, en 11 in 2005). Bij onderzoeken op eigen initiatief moet gedacht worden aan: 1. Onderzoek (al dan niet pro-actief) naar de gevolgen van specifieke systemen of projecten; 2. Incidenten of eigen waarnemingen (zoals beveiligingskwesties rond persoonsgegevens, bepaalde verstrekkingen van gegevens, openbaarmaking van gegevens). Totaal aantal onderzoeken Het aantal onderzoeken op eigen initiatief en naar aanleiding van klachten bij elkaar opgeteld geeft een indicatie van grofweg het aantal situaties die hebben geleid tot bezwaren of vermeende onrechtmatigheden, of aanwijzingen dat die zouden kunnen ontstaan. Dit aantal is vrij stabiel en bedraagt: 18 in 2005, 20 in 2006, en 18 in 2007. Betekenis van de statistieken Over de precieze betekenis van het verloop van de bovenstaande grafieken is niets met zekerheid te zeggen. Wel kan de oorzaak van het stijgend aantal zaken worden gezocht in een structurele toename van situaties waarin mensen binnen of buiten LNV geconfronteerd worden met de verwerking van persoonsgegevens. Die toename heeft te maken met uitgebreide of nieuwe vormen van geautomatiseerde gegevensverwerking. Voorbeelden van zulke verwerkingen zijn: gegevensuitwisseling bij (keten)samenwerking met andere overheidsorganen of met het bedrijfsleven, toenemend gebruik van internet voor o.a. publicaties in het kader van openbaarmaking, het gebruik van nieuwe technieken en systemen als geo-informatie, digitalisering van het contact met, en de verzameling van gegevens bij burgers en overheden, enz. Naar verwachting zal deze ontwikkeling niet afnemen. De ontwikkeling van het aantal klachten dat door de FG wordt behandeld houdt uiteraard ook daarmee verband, maar veel minder direct, aangezien bij het ontstaan van klachten ook andere aspecten een rol spelen. Te denken valt aan de politieke of sociaal-maatschappelijke context, kennis en perceptie van de klager, verwachtingen, gevoeligheid van het onderwerp, informatieverschaffing door LNV, enz. Bovendien is het aantal afhankelijk van de vraag of klachten van particulieren al dan niet zijn gebundeld door vertegenwoordigende organisaties. Ook kan een wisselend aantal klachten de FG bereiken, afhankelijk van andere mogelijkheden voor de burger om zijn grieven te uiten (zoals bezwaarschriften bij Dienst Regelingen, klachten bij Wbp-coördinatoren, enz.). Hierdoor zal naar verwachting de trend ten aanzien van het aantal klachten altijd een wat grilliger verloop kennen, dan de trend ten aanzien van informatieverzoeken.

3.2 3.2.1

Bijzondere onderzoeken Privacy audit op inspectiegegevens VWA De FG voert privacy audits uit of laat deze uitvoeren. Het uitvoeren van privacy audits geeft een relatief hoge mate van zekerheid over het antwoord op de vraag of de Wbp wordt nageleefd en is geborgd, en is onderdeel van een systeem van sturing, beheersing en toezicht. Eind 2007 vond op initiatief van de FG een audit plaats naar de naleving van de Wbp bij de VWA, die werd uitgevoerd in samenwerking met de AD en een externe onderzoeker. De VWA is een voor LNV-begrippen grote organisatie, waarbinnen op verschillende plekken persoonsgegevens worden verwerkt in het kader van inspectietaken. Een onderzoek is van belang vanwege de aard van de gegevens die worden verwerkt, en de beleidsvoornemens om met andere rijksinspecties samen te werken, c.q. om sommige

7

Deze aantallen zeggen niet altijd alles over het aantal “klagers”. In een geval was de klacht afkomstig van een

maatschappelijke organisatie die veel leden vertegenwoordigt. Van deze leden hadden tientallen om dezelfde reden bezwaar ingediend bij de Dienst Regelingen.

13


inspecties samen te voegen en de inspectiegegevens voor elkaar te ontsluiten. Hierdoor worden hoge eisen gesteld aan rechtmatigheid en kwaliteit van de gegevens. Object van onderzoek was de verwerking van inspectiegegevens bij de VWA, en zij werd uitgevoerd bij de regio Zuidwest, team DHT. Belangrijkste doelen van de privacy-audit waren: 1. Zicht krijgen op de mate van naleving van regels met betrekking tot de bescherming van persoonsgegevens, welke beoordeling is gericht op verbetering van verwerkingsprocessen en het geheel van maatregelen en procedures. 2. Borgen van de WBP en de kwaliteit van verwerken door het signaleren van eventuele verbeterpunten en het doen van aanbevelingen. Zicht krijgen of men met eventuele verbeteracties op de goede weg is. 3. Zo veel mogelijk benutten van het uitstralingseffect van deze audit ten behoeve van de kwaliteit van de gegevensverwerking VWA-breed. Aandachtspunten en aanbevelingen dragen bij aan het verhogen van de bewustwording, en aan de eisen die worden gesteld aan de rechtmatigheid en kwaliteit van de gegevens in het licht van de ontwikkelingen op het gebied van de samenwerking tussen andere inspecties en de daarmee gepaard gaande informatie-uitwisseling. Zie voor de bevindingen en aanbevelingen als resultaat van deze audit paragraaf 4.2.

3.3

Openbaar register Vormgeving De FG heeft de taak een openbaar register bij te houden van verwerkingen van persoonsgegevens. Bij LNV is het register van verwerkingen van persoonsgegevens via de website van LNV op internet gepubliceerd. De verwerkingen zijn gerangschikt per directie of dienst. Elke verwerking wordt beschreven in drie blokken: A. Welke gegevens van wie worden verwerkt, en waarvoor zijn die gegevens verzameld? B. Wat wordt in feite met de gegevens gedaan? C. Wie is (zijn) de verantwoordelijke(n) voor de verwerking? Inhoud van het register Op 31 december 2007 waren in totaal 236 verwerkingen van persoonsgegevens gemeld bij de FG. Er is opnieuw sprake van een toename. De grafiek toont de meerjarige trend. Aantal gemelde verwerkingen van persoonsgegevens 250

200

150

100

50

0 2003 nov

2004 juli

2005 feb

2005 juni

2005 dec

2006 juni

2006 dec

2007 juni

2007 dec

Het aantal verwerkingen van persoonsgegevens dat wordt gemeld bij de FG, is structureel snel toegenomen. De verwachting is dat deze snelle groei zal afnemen, maar het aantal zal in 2008 zeker nog toenemen.

14


Personeels- en beheersverwerkingen Uit het register blijkt dat persoonsgegevens worden verwerkt in het kader van een grote verscheidenheid van taken en bedrijfsprocessen. In 2007 zijn net als in 2006 vooral veel personeels- en beheersverwerkingen (secundaire verwerkingen) toegevoegd. Op 31 december 2007 hadden van de 236 meldingen er 132 betrekking op primaire verwerkingen en 104 op secundaire. Verbeteringen aan het register in 2007 In 2007 is een aantal meldingen van primaire verwerkingen gewijzigd als gevolg van inhoudelijke verbeteringen, of als gevolg van gewijzigde omstandigheden. Deze actualiseringen zijn een gevolg van de periodieke toetsing van de gemelde verwerkingen door de directies en diensten. Behalve deze wijzigingen die betrekking hebben op de inhoud van de meldingen, is in 2007 ook de vormgeving van het register aangepast. Dit wordt gedaan door de FG. In het register is in de lijst van de verwerkingen een onderscheid aangebracht tussen de primaire verwerkingen en de secundaire verwerkingen. Per directie zijn de meldingen zodanig gerangschikt dat een onderscheid is gemaakt tussen primaire verwerkingen (m.b.t. uitvoering van regelingen, enz.) en secundaire verwerkingen (personeelsadministraties e.d.). Dit komt de toegankelijkheid van het register ten goede. Er zijn daarnaast verbeteringen aangebracht ten aanzien van de weergave van de meldingen en de daarin opgenomen gegevens, en ten aanzien van de lay-out. Op enkele punten is de vermelding van gegevens verbeterd/aangevuld. Ook is de beveiliging van de gegevens in het register op orde gebracht. Via de zoekmachine Google bleken nl. contactgegevens van de decentrale Wbp-contactpersonen bij de directies en diensten te worden geopenbaard via internet, terwijl dit niet de bedoeling was. Dit beveiligingslek is na de ontdekking ervan - op aangeven van de FG - door DICTU direct hersteld. Door de aangebrachte verbeteringen kan het register nog beter voldoen aan zijn primaire doel: het bieden van transparantie ten aanzien van actuele gegevens, op overzichtelijke en begrijpelijke wijze. En dat draagt bij aan een betere bescherming van persoonsgegevens. Ten aanzien van het register en de meldingen zijn nog te wensen: 1. Een zoekfunctie in de meldingen. Het is belangrijk dat gezocht kan worden op in ieder geval: betrokkene, soort gegevens, ontvanger. Vanuit het oogpunt van de burger die op de site zoekt in welke verwerkingen zijn gegevens allemaal geregistreerd staan zou dat winst zijn, en ook voor LNV zelf om o.a. inzicht te krijgen voor welke verwerkingen dezelfde gegevenssoorten worden ingewonnen. 2. Dat in de meldingen getoond wordt of er bijzondere gegevens in de zin van de Wbp worden verwerkt, en zo ja, welke. 3. Een oplossing voor enkele onvolkomenheden in het elektronische meldingenprogramma van het CBP. Hoewel het register aan zijn doel voldoet, zal de FG aandacht houden voor deze punten en waar mogelijk aansturen op verbeteringen. Gebruik van het register Het meldingenregister bevat alle categorieën van persoonsgegevens die door LNV worden verwerkt. In verband daarmee heeft het niet alleen zijn diensten bewezen wat betreft zijn primaire functie, nl. het bieden van transparantie richting betrokkenen en “buitenwereld”8. Ook bleek het register een nuttig hulpmiddel te zijn voor interne inventarisaties waarbij een overzicht moest worden verkregen van processen, en van gegevenssoorten die worden verwerkt binnen LNV. Een voorbeeld is de inventarisatie die als doel had inzicht te krijgen of er op verschillende plaatsen dezelfde soorten gegevens worden ingewonnen. Deze inventarisatie is bedoeld om te onderzoeken of enkelvoudige inwinning kan worden toegepast binnen LNV om administratieve lasten te verminderen. De systemen zouden daartoe onderling gegevens kunnen gaan uitwisselen. Dat in het register bij deze soorten gegevens telkens de doelen zijn vermeld waarvoor zij oorspronkelijk zijn verzameld, 8

Helaas schijnt het technisch niet mogelijk te zijn het aantal “hits” van het register bij te houden.

15


ondersteunt direct de toetsing aan het doelbindingsbeginsel van de Wbp, wanneer zij worden uitgewisseld. Een ander voorbeeld is de inventarisatie van persoonsnummers ten behoeve van de implementatie van de Wet algemene bepalingen burgerservicenummer bij LNV. In het kader van die inventarisatie kon sneller een overzicht worden verkregen van de bestanden waarin persoonsnummers werden verwerkt.

3.4

Implementatie van de Wbp bij directies en diensten De verwerkingen van persoonsgegevens worden bij LNV in overeenstemming gebracht met de Wbp en andere in dat verband relevante weten regelgeving. Deze implementatie geschiedt met de directie Informatiebeleid en Facilitaire Zaken (IFZ) in een centrale, stimulerende rol, en de FG adviseert en controleert. De FG brengt jaarlijks een verslag uit aan de minister. Hij voorziet daarnaast in tussentijdse rapportages aan de ambtelijke top die zonodig tot bijsturing kunnen leiden. De rapportages geven de stand van zaken weer wat betreft de invoering van de Wbp per dienst of directie (halfjaarrapportage). Via een “stoplichtoverzicht” wordt de stand van zaken en eventuele knelpunten aangegeven die op concernniveau van belang zijn. De voortgang werd door de FG beoordeeld in het licht van risico’s vanuit de Wbp, en in 2007 voorzien van een advies aan de Stuurgroep concernbedrijfsvoering van LNV en de Bestuursraad. In september 2007 is een tussentijdse voortgangsrapportage uitgebracht. De implementatie van de Wbp is thans in het stadium dat plannen van aanpak zijn gemaakt om de verwerkingen in overeenstemming te brengen met de Wbp. Hiertoe beschikt elke directie of dienst over een volledig overzicht van de verwerkingen van persoonsgegevens in de organisatie en hoe zij worden verwerkt en beveiligd. De verwerkingen zijn bekend gemaakt via (elektronische) meldingen aan de FG. De FG plaatst de meldingen in een openbaar register op de website van het ministerie van LNV. De beoordeling van de voortgang van de implementatie is te vinden in paragraaf 2 van Hoofdstuk 4 (Bevindingen 2007). Door de implementatie worden de voorwaarden geschapen voor naleving. Bij LNV wordt op decentraal en centraal niveau het een en ander gedaan om aan de eisen van de Wbp tegemoet te komen. Vrijwel alle directies en diensten hebben thans voor ogen voor welke persoonsgegevens zij verantwoordelijk zijn, zowel op het gebied van hun specifieke LNV-taken, als op het gebied van personeel en beheer. De directies en diensten lichten al hun verwerkingen van persoonsgegevens periodiek door met het oog op de Wbp, om de noodzakelijke maatregelen vast te stellen en in te plannen om Wbp-proof te zijn. Hiervoor zijn bij LNV diverse hulpmiddelen en formats beschikbaar zoals het Handboek WBP, de compliancetoets en een sjabloon voor een plan van aanpak. De directie Juridische Zaken heeft daarnaast het Handboek gegevensverstrekking LNV ontwikkeld. De Wbp-coördinatoren van de directies en diensten zijn verenigd in het Wbpcoördinatorenplatform. Dit platform komt twee keer per jaar bijeen. De bijeenkomsten worden georganiseerd door de directie IFZ. Uit het platform heeft zich in 2007 een werkgroep gevormd die zich is gaan bezighouden met de bevordering van samenwerking, het uitwisselen van informatie en verbetering van producten en processen. Er is door de werkgroep gewerkt aan de totstandkoming van een werkdocument dat bijdraagt aan uniformering van rapportage, en dat gebruikt kan worden door staf- en beleidsdirecties van LNV. Daardoor hoefde niet opnieuw het wiel uitgevonden te worden, en werd het rapporteren aan de FG sneller en gemakkelijker gemaakt. Naar aanleiding van de vaststelling van het integraal beveiligingsbeleid van LNV in 2007 heeft een afbakening plaatsgevonden van beveiliging ten opzichte van de Wbp. Die afbakening betekende echter niet dat op deelgebieden geen integrale benadering mogelijk, en zelfs aangewezen is. Dat had ook betrekking op de werkwijze wat betreft de (centrale) aansturing en verantwoording. Zie paragraaf 4.1.3. Tevens is in 2007 de werkwijze geïntroduceerd waarbij de directies en diensten 1 keer per jaar een verslag uitbrengen over de implementatie en naleving van de Wbp. Dit sluit aan bij de praktijk die ook op andere departementen wordt gehanteerd. Met de introductie van het jaarverslag door de directies en diensten kan in een later stadium worden bezien in

16


hoeverre daarnaast nog langer voortgangsverslagen met een hogere frequentie nodig zullen zijn. Zie ook 3.4.2. 3.4.1

Verantwoordingsinformatie vanaf 2007 via de MCS-cyclus Met ingang van 2007 vond er een verschuiving plaats wat betreft de meting van de voortgang van de Wbp-acties, en de daarbij behorende informatievoorziening door de directies en diensten aan de FG. Bij de rapportageronde in mei is de verzameling van informatie over de voortgang van de implementatie van de Wbp voor de eerste keer gelopen via de MCS-cyclus. Aangezien de Wbp een wettelijke informatieverplichting in het leven roept, is in de MCS voorzien in een toetsvraag voor de Wbp9. Voorheen werd de voortgangsinformatie los van deze cyclus, rechtstreeks door de FG en IFZ opgevraagd. De reden van de wijziging was om de informatievoorziening in het kader van de Wbp aan te doen sluiten bij de informatierondes van de MCS. De nieuwe werkwijze heeft als voordeel dat de sturing op de Wbp door de dienst of directie de Wbp nader wordt ingebed in de reguliere sturings- en verantwoordingssystematiek (planning & control).

3.4.2

Naar (decentraal) Wbp-management Het streven is er op gericht om niet alleen risico’s te beheersen, maar ook te voldoen aan wettelijke verplichtingen. Dit kan verder bereikt worden door directies en diensten op een gegeven moment meer verantwoordelijkheid te laten oppakken, en te stimuleren om aan een bewust Wbp-management te doen. Dat is in de regel het geval wanneer de implementatie een bepaald niveau heeft bereikt en het decentrale management voldoende bewust is van de inhoud en betekenis van de Wbp. In dat verband is in 2007 een korte checklist van slechts vier vragen ontwikkeld voor zelfevaluatie door directies en diensten. Deze checklist leidt tot een zelfoordeel aan de hand waarvan op hoofdlijnen de mate van “control” door een directie of dienst is te bepalen. Deze checklist is gebaseerd op een viertal formele basisvereisten die corresponderen met de normen voor de periodieke sturings- of MCS-rapportages. Die basiseisen houden in dat de beheerder van gegevensverwerkingen dient te beschikken over: 1. een Wbp-coördinator; 2. een actuele inventarisatie van de verwerkingen (i.v.m. de verplichte meldingen); 3. een plan van aanpak (voor de uitvoering van de noodzakelijke acties); 4. een (jaar)rapportage10. Tot nu toe werden alle directies op de voet gevolgd bij het zetten van de stappen die nodig zijn om de Wbp voor de eerste keer te implementeren. Dit als uitvloeisel van de projectmatige, centrale aanpak van de Wbp. In 2007 is de ontwikkeling voortgezet naar de aanpak waarbij de beheerders zelf verantwoordelijk zijn voor het instandhouden van het opgezette systeem, en zelf Wbp-management voeren. Er is bovendien een groep directies voor welke intensieve rapportageverplichtingen niet nodig zijn. De bedoeling is dat via selectieve controles de voortgang en werking nader wordt getoetst. Dat laatste is noodzakelijk om te beoordelen in hoeverre niet slechts op papier, maar ook daadwerkelijk

9

De melding van verwerkingen van persoonsgegevens bij de FG is een wettelijke informatieverplichting. Art. 27, eerste lid,

Wbp bepaalt: Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt alvorens met de verwerking wordt aangevangen gemeld bij het College of de functionaris. Wijzigingen in de opgave moeten binnen een jaar na de voorafgaande melding worden gemeld voor zover zij blijken van meer dan incidentele aard te zijn (zie art. 28, derde lid, Wbp). Handelen in strijd met deze bepalingen is een strafbaar feit op grond van art. 75, eerste en tweede lid, van de Wbp. 10

Het is daarbij uiteraard wel van belang om te borgen dat op decentraal niveau blijvend aan de vereisten kan worden

voldaan. Daarom is het voor directies en diensten wel van belang om in aanvulling daarop te beschikken over actuele procedures en eventueel interne controlemechanismes op naleving. Het geheel kan uiteindelijk het beste worden neergelegd in een decentraal Wbp-beleid.

17


materiele verbeteringen worden aangebracht en de persoonsgegevens feitelijk op wettelijk juiste wijze worden verwerkt.

3.5

Communicatie, voorlichting, overleggremia Website LNV beschikt over twee interne webportalen over het onderwerp bescherming van persoonsgegevens: 1 portaal met als onderwerp: de bescherming van persoonsgegevens algemeen, en 1 portaal voor implementatie van de Wbp, speciaal bestemd voor Wbpcoördinatoren. Hierop zijn alle documenten, nieuws, nota’s, handboeken, regelingen en links te vinden, kortom alle benodigde informatie voor voorlichting over de Wbp, en het hulpmateriaal dat nodig is om de Wbp te implementeren. Ook is op de (externe) internetsite van het ministerie van LNV een dossier opgenomen over het onderwerp bescherming van persoonsgegevens, alsmede het openbaar Wbpmeldingenregister. Deze media hebben bijgedragen aan de voorlichting, kennis en bewustwording met betrekking tot de Wbp. Het meldingenregister met het overzicht van de verwerkingen van persoonsgegevens van LNV is door publicatie op het internet bovendien op transparante en toegankelijke wijze vorm gegeven. Artikelen In mei is in het tijdschrift VIA11 een artikel verschenen getiteld: LNV in control maar nog niet klaar met de Wbp over de ontwikkelingen en gebeurtenissen op het gebied van de Wbp in 2006 (geschreven door Jan de Zeeuw samen met Judith Scheepstra). In september is in hetzelfde tijdschrift een artikel van de FG verschenen getiteld: Strengere controle op privacy. Dit artikel ging over de betekenis van de Wbp voor LNV, meervoudig gebruik van persoonsgegevens, en toezicht en handhaving door het CBP en de FG. In het decembernummer heeft de FG een bijdrage geleverd aan de column DeVIAtie: Valkuilen van hergebruik door het concept van commentaar te voorzien. Wbp-coördinatorenplatform Het Wbp-coördinatorenplatform is in 2007 2 keer bijeen gekomen. In dit platform komen de Wbp-coördinatoren van de directies en diensten van LNV bijeen, worden Wbp-onderwerpen besproken, en informatie en best practices gedeeld met betrekking tot de toepassing van de Wbp en de wijze waarop deze wordt geïmplementeerd. De bijeenkomsten werden ook in 2007 goed bezocht, en droegen bij aan de kennisuitwisseling en de afstemming in het kader van de implementatie van de Wbp binnen LNV. In de bijeenkomst van oktober lag o.a. het accent op de stroomlijning en uniformering van de rapportage en op de aanpassing van de rapportagecyclus aan de MCS-cyclus. Uit dit platform heeft zich in 2007 een werkgroep gevormd, bestaande uit de Wbpcoördinatoren van Directie Visserij, Dienst Regelingen, Algemene inspectiedienst, Directie Natuur, Directie Kennis en Directie Informatiebeleid en facilitaire zaken, die zich actief bezig houdt met het onderzoeken van mogelijkheden om de werkwijzen en processen in het kader van de uitvoering van de Wbp te efficiënter te maken en te stroomlijnen. Een van de producten was het Werkdocument vereenvoudigde werkwijzen Wbp. Overige interne contacten De FG heeft in de verslagperiode deel genomen aan de volgende periodieke overleggen en (project)groepen: • Wbp-coördinatorenplatform, en de werkgroep van dit platform; • Klankbordgroep Handboek Gegevensverstrekking; • Projectgroep meervoudig gebruik van gegevens; • Projectgroep openbaarmaking GLB- en GVB-subsidiegegevens; • Periodiek overleg centrale Wbp-coördinatie Dienst Regelingen; • Periodiek overleg Informatiebeleid directie IFZ in het kader van de LNV-brede Wbpimplementatie; • Centraal overleg integrale beveiliging;

11

VIA staat voor tijdschrift voor Voorlichting over Informatievoorziening en Automatisering.

18


Tevens werd op specifieke verzoeken van verschillende directies overleg gevoerd, voorlichting en advies gegeven en presentaties verzorgd. Externe contacten De FG treedt op als intermediair tussen LNV en het CBP in voorkomende kwesties. Dit heeft in 2007 ook enkele keren plaatsgevonden. De FG heeft verder in 2007 deelgenomen aan de volgende externe gremia: • Het Rijksplatform van Privacyfunctionarissen (RPPF). Hierin zijn de departementale FG’s verenigd; • Het Nederlands genootschap van functionarissen voor de gegevensbescherming (NGFG). Het NGFG is de beroepsvereniging van FG’s. In deze gremia werden thema’s behandeld in het kader van afstemming, kennisoverdracht, en het oppakken en behandelen van gemeenschappelijke kwesties. Op de agenda van het RPPF stond in 2007 o.a.: de nadere uitwerking van rol en functie RPPF, ambities in het licht van de toename aan departementsoverstijgende onderwerpen, ontwikkelingen binnen de rijksoverheid. Daarnaast zijn concrete, rijksbrede vragen over de toepassing van privacywetgeving, en interdepartementale projecten behandeld. In 2007 heeft het RPPF o.a. een gedachtewisseling gevoerd met de voorzitter van het CBP, mr. J. Kohnstamm. Bij het NGFG zijn voordrachten gehouden door o.a. de Algemene Rekenkamer. Ten slotte verdient vermelding dat op 1 oktober 2007 de officiële presentatie heeft plaatsgevonden van het Handboek Gegevensverstrekking van LNV. Het handboek is ontwikkeld door de directie Juridische Zaken om medewerkers bewust te maken van de vragen die rond gegevensverstrekking leven. Het beschrijft tevens op een praktische manier de procedures voor het verstrekken van gegevens op grond van de Wob, Wbp en Awb. Het handboek is mede in overleg met de FG ontwikkeld. De presentatie vond plaats tijdens een speciale studiedag in aanwezigheid van in- en externe deskundigen en betrokkenen, en werd gevolgd door een paneldiscussie. Aan het panel van deskundigen werd o.a. deelgenomen door mevr. mr. M.W. McLaggan-van Roon, collegelid van het CBP.

4

Bevindingen 2007

In dit hoofdstuk worden de bevindingen van de FG beschreven ten aanzien van in 2007 onderzochte onderwerpen. Tot bevindingen worden in dit verband ook gerekend daarmee samenhangende opmerkingen die relevant zijn voor de naleving van de Wbp, conclusies en aanbevelingen.

4.1 4.1.1

Implementatie van de Wbp; resultaten, knelpunten, ontwikkelingen Resultaten Bij nota van 15 februari 2007 aan de Stuurgroep concernbedrijfsvoering (SCB), en bij nota van 19 september 2007 aan de bestuursraad heeft de FG gerapporteerd over de stand van zaken wat betreft de implementatie van de Wbp. Doel van de rapportage was om via een “stoplichtoverzicht” de stand van zaken en eventuele knelpunten aan te geven die op concernniveau van belang zijn, en voorstellen te doen voor een afdoende implementatie van de Wbp. Gemeten is de voortgang van de door de directies en diensten vastgestelde verbeteracties volgens de door henzelf vastgestelde planning. Het algemene (goede) beeld van de voortgang van de uitvoering van verbeteringen in februari bleek in mei te zijn teruggelopen. De voortgang was in 7 gevallen punt van aandacht (ten opzichte van 4 gevallen in februari).

19


Van de 22 directies of diensten, scoorden er 15 de kleur “groen”. 3 directies scoorden “rood”, 4 directies “oranje”12. Over het geheel genomen betekent het resultaat dat in 68 % van de gevallen over de voortgang geen opmerkingen worden gemaakt (was 82%, zie grafiek). Daarbij is als maatstaf gehanteerd dat meer dan 50% van de verbeteracties op schema ligt13. Het algemene beeld kon echter niet als goed worden gekwalificeerd in verband met het feit dat de aandachtspunten in 5 van de 7 gevallen liggen bij directies en diensten met uitvoerende taken. Daardoor is er een verhoudingsgewijs groter risico. De FG heeft de bestuursraad geadviseerd hieraan aandacht te geven in de sturingsgesprekken. % aantal directies met voldoende voortgang implementatie Wbp 100 90 80 70 60 50 40 30 20 10 0 Reeks1

2004-sept

2004-dec

2005-juni

2005-dec

2006-juli

2006-dec

2007-mei

19

25

86

64

74

84

68

De FG heeft in samenwerking met IFZ de voortgang van de implementatie gemeten. De grafiek toont de resultaten.

4.1.2

12

Informatiestroom richting FG werd aandachtspunt Bij de rapportageronde loopt vanaf mei 2007 de verzameling van informatie over de voortgang van de implementatie van de Wbp via de MCS-cyclus. Dit heeft als voordeel dat de sturing op de Wbp door de dienst of directie de Wbp nader wordt ingebed in de reguliere sturings- en verantwoordingssystematiek (planning & control), en daardoor een geïntegreerde verantwoording en sturing mogelijk is. Nadeel is echter dat waar door directies en diensten verantwoordingsinformatie moest worden aangeleverd, dit niet meer rechtstreeks aan de FG gebeurde, maar over meer schijven plaatsvond. Alle betrokken functionarissen, zoals hoofden bedrijfsvoering, controllers, management, maar ook Wbpcoördinatoren moesten wennen aan de nieuwe werkwijze. Tijdige en betrouwbare informatievoorziening richting het toezicht werd een aandachtspunt. Hierdoor kon over de voortgang van de verbeteracties over geheel LNV per december 2007 geen betrouwbaar beeld worden verkregen. Dat was wel wenselijk, want in verband met de stand van de implementatie was een LNV-breed beeld van belang en kon beter nog niet worden overgeschakeld naar een uitsluitend selectieve benadering. Zie paragraaf 3.4.2. Alle

Input voor de resultaten zijn de door de directies en diensten gemelde voortgang van door hen vastgestelde

verbeteracties volgens de daarvoor door de FG en IFZ ontwikkelde formats. Deze formats houden rekening met een minimumniveau voor naleving zoals wettelijk vereist, op basis van een directie-eigen risicoanalyse. 13

Op schema wil zeggen dat de acties volgens planning zijn afgerond, of dat de deadline nog niet is verstreken.

20


betrokken partijen dienen zich daarom in te blijven spannen om de voortgangsrapportages beschikbaar te doen zijn. 4.1.3 Wbp en beveiliging kunnen niet volledig worden geïntegreerd In 2007 is bij LNV invulling gegeven aan integraal beveiligingsbeleid. Daarbij is ook de integrale beveiligingsorganisatie vorm gegeven. Er bestaat een overlap tussen de eisen voor integrale beveiliging en de Wbp waar het gaat om de beveiliging van persoonsgegevens. De vraag was of die overlap betekent dat beveiliging en Wbp geheel onder een noemer te brengen zijn. Dat is niet het geval. De Wbp beslaat een aantal onderwerpen die verband houden met de grondrechtelijke dimensie van privacy en gegevensbescherming. Het gaat daarbij om de (rechts)verhouding tussen LNV en de burger, de inhoud van de gegevens en de noodzaak om ze te verwerken, informatieverplichtingen jegens betrokkenen, en het inzage, correctie- en verzetsrecht. Het toepassen van de Wbp betekent het toepassen van beginselen van behoorlijkheid, zorgvuldigheid en rechtmatigheid, en het laten meewegen van het belang van betrokkenen bij het gebruik van hun persoonsgegevens. Dat betekent dat er sprake is van een verschillend perspectief ten opzichte van beveiliging. Belangen van de Wbp en beveiliging kunnen bovendien met elkaar onderling conflicteren14. Dat laat onverlet dat integrale benadering en samenwerking – met name op de grensvlakken - bij zowel implementatie als toezicht goed mogelijk zijn. Daardoor wordt immers een effectieve en efficiënte benadering gerealiseerd. Er is een relatie met Integrale beveiliging in de zin van aansluitende methode en normen, zodat gecoördineerde benadering mogelijk is. Deze onderwerpen kunnen echter niet volledig worden geïntegreerd. Bij LNV wordt in de aansturing deze benadering gevolgd. Zowel Wbp als integrale beveiliging zijn bij LNV dan ook een zelfstandig onderwerp in zowel aansturing als toezicht. Dit wordt door de FG als positief beoordeeld15. Bij de (decentrale) inrichting van de beveiligingsorganisatie blijft echter aandacht nodig zodat de deelaspecten van de Wbp-functie: toezicht op behoorlijk gegevensgebruik en (juridisch) advies, niet ondergeschikt worden gemaakt aan de beveiligingsfunctie. 4.1.4 Voldoen aan Wbp als Europese certificeringeis In 2007 heeft de Dienst Regelingen (DR) veel activiteiten verricht die de blijvende naleving van de Wbp binnen de DR-organisatie moeten waarborgen. Deze activiteiten hebben tevens bijgedragen aan het kunnen voldoen aan de certificeringeisen ten behoeve van het behoud van de status van Europees betaalorgaan. Eén van de onderdelen van de certificeringeisen betrof de Wbp. De FG constateert dat hierdoor een flinke slag is gemaakt wat betreft de naleving van de Wbp en daarmee wat betreft de bevestiging van DR als een betrouwbaar betalingsorgaan. 4.1.5 Gedeeld beheer (share-units) en samenvoegingen De rijksoverheid en ook LNV krijgt in de nabije toekomst meer te maken met clustering en centralisering van (bedrijfsvoerings)taken. Voor zover daarbij sprake is van gedeeld beheer (shared services) waarbij het verwerken van persoonsgegevens aan de orde is, is in het algemeen sprake van een aandachtspunt (en mogelijke risico’s op het gebied van de Wbp). In het algemeen kan nl. gesteld worden dat bundeling van verwerkingen extra aandacht behoeven in relatie tot beheersing van Wbp-aspecten. Wie de zeggenschap heeft over verwerkingen van persoonsgegevens die door shares worden gevoerd, lijkt vaak minder duidelijk te worden. Er zou minder greep kunnen zijn op taken en verantwoordelijkheden die door directies en diensten zijn overgedragen, inclusief de taken en verantwoordelijkheden in het kader van de Wbp (meldings-, voortgangstaken en andere nalevingsaspecten). Deze taken zijn echter wel van belang voor de betrokkenen, de

14

In hoeverre er sprake is van behoorlijk gegevensgebruik is bovendien in veel gevallen niet (alleen) een onderwerp van

bedrijfsvoering maar ook onderdeel van beleid. 15

Zie o.a. de Werkgids sturingscyclus 2008.

21


medewerkers of andere relaties van LNV. De FG wijst er in het algemeen op dat de praktijk van het gedeeld beheer niet mag gaan knellen in verband met het feit dat directies of diensten verantwoordelijk zijn voor de naleving van de Wbp. Ook bij reorganisaties dient de uitvoering van de nodige maatregelen voor de Wbp niet tussen wal en schip te vallen, en dient de (decentrale) Wbp-functie adequaat te worden ingericht.

4.2

Privacy audit op inspectiegegevens VWA

4.2.1

Resultaten en bevindingen De privacy audit bij de Voedsel- en warenautoriteit (VWA) wees het volgende uit. • Bij het management en medewerkers van de VWA Zuidwest blijkt een sterk ontwikkeld algemeen bewustzijn aanwezig te zijn voor het optreden op basis van wettelijke bevoegdheden en de daarmee gepaard gaande kwaliteit en vertrouwelijkheid van inspectiegegevens. Ook in het kwaliteitssysteem van de VWA zijn voor de Wbp relevante procedures opgenomen. • In de afgelopen jaren zijn op centraal niveau stappen gezet voor de implementatie van de Wbp, VWA-breed. Onder meer door het aanstellen van een centrale Wbpcoördinator voor de VWA, het opstellen van een Wbp-implementatieplan, het periodiek monitoren van de voortgang van dit plan, en het periodiek agenderen van de voortgang in het MT-DU-centraal. • Het “in control” zijn op het gebied van de Wbp is echter nog geen vast onderwerp in de managementcontrolcyclus van de regio Zuidwest. Management en medewerkers zijn gemiddeld niet voldoende met relevante onderwerpen van de Wbp bekend. • Wel voldoet de regio Zuidwest uit hoofde van haar professionele bedrijfsvoering en optreden in de praktijk voor een deel aan belangrijke normen in de Wbp. • Ten aanzien van het andere deel van die normen, en op het terrein van bewaartermijnen, rechten van betrokkenen, en gegevensbeheer moeten echter stappen worden gezet om meer én aantoonbaar in control te komen wat betreft de Wbp. • Dat laatste geldt ook wat betreft de door de Wbp vereiste beveiliging van de gegevens. • Wat betreft de kwaliteit van de gegevens blijkt o.a. dat er meer aandacht moet zijn voor het invullen van teksten door inspecteurs in zgn. “vrije velden” van het inspectiesysteem (ISI), en dat de inspectiehistorie vaak wordt gekoppeld aan een inspectielocatie in plaats van aan een persoon of bedrijf. • Voor de samenwerking met (rijks)inspecties en de doorgifte van gegevens naar landen buiten de Europese Unie is voorts aanvullend onderzoek nodig om aan te tonen dat de VWA wat betreft de Wbp in control is. Het rapport bevatte voorts een gedetailleerd overzicht van geconstateerde voldoendes en onvoldoendes (deficiënties) op alle Wbp-nalevingaspecten.

4.2.2

Aanbevelingen Niet volledig in control zijn met de Wbp is risicovol voor de effectiviteit, efficiency, rechtmatigheid, betrouwbaarheid en vertrouwelijkheid van de met de samenwerking tussen de VWA en andere (rijks) inspecties) gepaard gaande informatie-uitwisseling. Dit geldt ook voor een eventuele aansluiting op c.q. integratie van inspectieinformatiesystemen en de investeringen die daarmee gemoeid zijn. Aanbevolen werd: 1. De follow-up van de aanbevelingen zo spoedig mogelijk gestructureerd op te pakken; 2. Prioriteiten vast te stellen om met de ontwikkelingen op het terrein van de samenwerking met andere (rijks)inspecties mee te kunnen gaan; 3. Op enkele onderdelen aanvullend onderzoek uit te voeren. Dit betreft in het bijzonder de impact van het aan nieuwe eigenaren van inspectielocaties koppelen van de inspectiehistorie en veiligheidsrisico’s van de voormalige eigenaar, de noodzakelijke informatie die VWA-breed in samenwerkingsverbanden wordt uitgewisseld (t.b.v. de informatiematrix), de vragen met betrekking tot de doorgifte van inspectiegegevens naar landen buiten de Europese Unie, en het bewaren en vernietigen van inspectiegegevens;

22


4. Aandacht te besteden aan het samenstellen van de informatiematrix. Daarbij ook aandacht te besteden aan de scheiding van gegevensstromen bij gecombineerde inspecties. De mogelijkheden onderzoeken van informatie-uitwisseling op basis van vooraf gedefinieerde risicoprofielen met het oog op de eisen van de proportionaliteit en de subsidiariteit waaraan de informatie-uitwisseling eveneens moet voldoen. 5. Aantoonbaar borgen van de implementatie en naleving van de Wbp in de managementcontrolcyclus op centraal en regionaal niveau. 4.2.3

4.3

Follow up De VWA heeft laten weten zich te kunnen vinden in het belang van het rapport en de bevindingen, en dat het voornemen bestaat de aanbevelingen op te pakken. Hiertoe werden concrete maatregelen voorbereid, zoals extra capaciteit en het voortzetten van het met deze audit in gang gezette proces in het interne auditprogramma. De FG heeft de secretaris-generaal van LNV geadviseerd ondersteuning te geven aan dit traject van noodzakelijke verbeteringen. De secretaris-generaal heeft dit advies opgevolgd door aan de aanbevelingen een opdracht te verbinden.

Audit “Grip op gegevensleveringen” In de periode september - december 2007 is door de AD op verzoek van de directie IFZ een onderzoek uitgevoerd naar het verstrekken van gegevens door LNV aan externe partijen16. Hoewel de audit niet alleen gericht was op de Wbp, zijn de resultaten zeer relevant voor de vraag in hoeverre LNV in control is op het gebied van de Wbp bij het verstrekken van persoonsgegevens. In verband daarmee heeft de FG met bijzondere belangstelling kennis genomen van de resultaten en aanbevelingen, en is een bespreking en beoordeling in dit jaarverslag op zijn plaats.

4.3.1

Resultaten en bevindingen Het resultaat van de inventarisatie luidt als volgt. LNV levert op uiteenlopende manieren een grote diversiteit aan gegevens aan verschillende externe partijen. De meest voorkomende soorten gegevens die geleverd worden, zijn keurings-, controle- en inspectiegegevens; productiegegevens (bijv. landbouwtellingen, visvangsten) en geografische informatie (bijv. perceelgegevens, registratie positie vaartuigen). Binnen alle onderkende categorieën kunnen persoonsgegevens of gegevens die herleidbaar zijn tot personen voorkomen. Er worden vooral veel gegevens geleverd aan het bedrijfsleven en zelfstandige bestuursorganen (ZBO’s). Daarnaast worden veel gegevens geleverd aan andere overheidsinstanties. Een aanzienlijk deel van de leveringen gaat ook over de grens (EU en internationale organisaties zoals de FAO, OESO). Het grootste deel van de digitale leveringen wordt via e-mail verstuurd, gevolgd door automatische koppelingen tussen geautomatiseerde systemen. Het verlenen van toegang tot LNV-applicaties, en het versturen van een digitale gegevensdrager (CD, DVD, USB-stick) per post komt ook regelmatig voor. Op het gebied van privacybescherming zijn de volgende risico’s genoemd en maatregelen gekozen om de risico’s te beheersen: Risico

16

Maatregelen om risico te beheersen

•

Fouten in de te leveren gegevens (gegevens zijn onvolledig, onjuist)

•

Privacygevoeligheid van gegevens

Bij een beperkt aantal leveringen zijn voorzieningen getroffen om de kwaliteit van de gegevens te bewaken Hier wordt een mix van maatregelen gekozen in een beperkt aantal gevallen (met name leveringen aan

“Grip op gegevensleveringen - Inzicht in de levering van gegevens aan externe instanties”, Auditdienst LNV, 20 december

2007, TRCAD/2007/801.

23


• •

•

4.3.2

Misbruik van gegevens door onvoldoende beveiliging tijdens transport of bij de ontvanger Overtreding van de aan LNV toegekende gebruiksrechten bij doorlevering aan een externe partij Gebrek aan actualisatie van gekozen maatregelen bij veranderende omstandigheden van leveringen

het bedrijfsleven, ZBO’s en onderzoeksinstellingen) Voor minder dan de helft van de onderzochte leveringen zijn er maatregelen op dit terrein Uit interviews en analyse van documenten komen geen maatregelen op dit gebied naar voren Bij de meeste uitvoerende diensten worden eenmaal gekozen maatregelen niet geactualiseerd

Conclusies en aanbevelingen Op basis van het uitgevoerde onderzoek werd een aantal conclusies getrokken: 1. Er is een grote diversiteit in soorten gegevens, manieren van leveren en de externe instanties waaraan geleverd wordt; 2. Voor de meeste uitvoerende diensten is het moeilijk om overzicht te krijgen over welke gegevens zij aan welke externe instanties leveren; 3. Geïnterviewden zijn zich niet altijd even bewust van verschillende risico’s bij het leveren van gegevens aan externen. Bij verschillende leveringen blijken financiële schade of het schenden van Wbp-afspraken echter een serieus risico te zijn; 4. De geïnterviewden erkennen het belang van een goede informatiebeveiliging, maar zij gaan er veelal vanuit dat een andere partij (DICTU of de post) daarvoor zorgt; 5. De maatregelen die worden genomen om risico’s af te dekken zijn heel divers. Dit geldt niet alleen per directie, maar ook per levering. Het lijkt erop dat voor elke levering opnieuw het wiel wordt uitgevonden; 6. Er is onduidelijkheid over de rol die verschillende betrokken partijen (waaronder Juridische Zaken en de Functionaris Gegevensbescherming) binnen LNV vervullen en er is onduidelijkheid over wat uitvoerende diensten van hen kunnen verwachten; 7. De grenzen tussen LNV en de buitenwereld bij het gebruik van informatie vervagen. LNV voert informatie in systemen van andere organisaties in, andere organisaties hebben toegang tot informatiesystemen van LNV en er wordt steeds intensiever met externe partijen samengewerkt. De verdeling van verantwoordelijkheden tussen betrokken partijen is hierbij niet altijd even helder. 8. De meeste maatregelen worden getroffen voor de meer geavanceerde manieren van leveren: automatische koppelingen en applicatietoegang. Voor leveringen per post en met name via e-mail wordt veel minder geregeld. Het rapport doet – samengevat - de volgende aanbevelingen om de levering van gegevens beter te beheersen: Aanbevelingen • • • • •

Beter zicht houden op welke gegevens geleverd worden aan welke instanties Standaard een risicoanalyse doen, voorafgaand aan het aangaan van leververplichtingen Kennisuitwisseling tussen uitvoerende diensten over de keuze van maatregelen bij risico’s Duidelijkheid m.b.t. rollen van partijen, eisen en kaders rond het leveren van gegevens Periodiek controleren of door de gemaakte afspraken rond gegevensleveringen nog steeds de risico’s voldoende worden afgedekt en afgedekt worden gehouden

24


4.3.3

Follow up en beoordeling De resultaten van dit onderzoek worden gebruikt als input voor nieuw beleid van de directie IFZ rond het leveren van gegevens aan externen. Daarnaast kunnen de resultaten gebruikt worden voor een grotere bewustwording van de risico’s en maatregelen op het gebied van externe gegevensleveringen bij de onderdelen van LNV die betrokken zijn bij het leveren van gegevens aan externe instanties. Duidelijk is vast te stellen dat de resultaten ook betrekking hebben op de naleving van de Wbp bij het verstrekken van gegevens. De bevindingen bevestigen eerdere conclusies dat kwaliteit en zorgvuldigheid van gegevensverwerkingen van aanzienlijke betekenis zijn voor het departement. De conclusies betekenen echter ook dat de huidige risico’s op wetsovertreding niet te verwaarlozen zijn. De FG ondersteunt de aanbevelingen van de AD, en dringt aan op een spoedige follow up van de aanbevelingen. Als follow up is besloten dat de diensten in 2009 een inventarisatie maken van de gegevensleveringen en op basis van risicoafwegingen de bijbehorende maatregelen treffen. Er zal een initiatief worden genomen om de benodigde instructies en richtlijnen te ontwikkelen. De FG wijst er daarbij op dat deze follow up, voor zover het persoonsgegevens betreft, mede in het licht van de naleving van de Wbp geplaatst moet worden, waarbij door middel van inventarisatie en meldingen van verwerkingen aan de FG, wettelijk voorzien is in de verplichting een overzicht te hebben van gegevensverstrekkingen, onder andere om de nodige maatregelen te kunnen treffen. Via de meldingen dient dit overzicht bovendien openbaar en actueel te zijn voor de burger. De aanbevelingen van de AD sluiten aan bij de eisen die worden gesteld in het kader van de LNV-kaders voor implementatie van de Wbp. Zij vormen een indicatie dat wat betreft de implementatie van de Wbp er nog veel werk aan de winkel is. Een en ander begint bij het bewustzijn rond de betekenis en de risico’s van gegevensbescherming, een aspect dat tot de verantwoordelijkheid wordt gerekend van elke directie en dienst17. Een inventarisatie van gegevensleveringen betekent een aanvulling op het reeds bestaande overzicht van gegevensverwerkingen. Gelet op het feit dat er qua structuur bij LNV een Wbp-organisatie aanwezig is en er ook andere inventarisaties worden gehouden, en gelet op het belang van de actualiteit van de meldingen en van de reeds bestaande plannen voor maatregelen, is de FG van mening dat de uitvoering van deze aspecten van de implementatie van de Wbp in 2008 met een voldoende impuls moet worden voortgezet. Het rapport stelt echter nog iets aan de orde. Namelijk dat binnen LNV ook veel gegevens ad hoc en op persoonlijke titel naar externe personen of bedrijven worden gestuurd. Dit viel echter buiten de scope van het onderzoek. Vanuit privacyoptiek en voor een adequate beheersing van mogelijke risico’s zou het van groot belang zijn te weten of het hierbij ook gaat om verstrekkingen van persoonsgegevens, en zo ja, of deze wel rechtmatig zijn18. Het spreekt voor zich dat diensten van LNV rechtmatig, integer en professioneel moeten opereren. Een aanvullend onderzoek om antwoord te krijgen op deze vraag lijkt daarom niet achterwege te kunnen blijven. De FG zal daarom, waar nodig en mogelijk, aandringen op de uitvoering van een zodanig onderzoek, zodat gerichte maatregelen mogelijk zijn.

4.4

Samenvattende bevindingen/conclusies Het functioneren van management control op het decentrale niveau van de directies en diensten op het gebied van de Wbp is nog niet volledig op peil. Er is sprake van een afnemende (groei)trend. Er zijn in 2007 over het geheel genomen wel vorderingen gemaakt, maar het tempo daarvan nam af en het wordt moeilijker de vorderingen of het uitblijven daarvan over de volle breedte te monitoren. Wat verder opviel was dat in 2007 juist bij de

17

Het verhogen van de bewustwording is vaak geen kwestie meer van het ontwikkelen van informatiemateriaal. Dat is nl.

vaak beschikbaar zoals het Handboek Gegevensverstrekking LNV dat al nuttige diensten bewijst bij de bewustwording, kennis en rolverdeling als het gaat om gegevensverstrekking. 18

Persoonsgegevens blijken nog wel eens uitgewisseld te worden binnen zgn. “old boys networks” waarbij het steeds de

vraag is of deze de Wbp-toets van behoorlijke, rechtmatige en zorgvuldige verwerking van persoonsgegevens kunnen doorstaan.

25


uitvoerende diensten de Wbp een aandachtspunt bleek te zijn geworden, ondanks dat daar de basisvoorzieningen zoals de aanwezigheid van een Wbp-coördinator, niet ontbraken. Privacyaspecten worden wel eens over het hoofd gezien of onderschat, bijvoorbeeld bij de uitvoering van een project, ook al zijn er voorzieningen om die aspecten te “checken”. Dat terwijl deze toch mede bepalend zijn voor een behoorlijke en rechtmatige verwerking van gegevens en daarmee voor het draagvlak en de effectiviteit van de te bereiken (beleids)doelen. Er blijken aan de hand van de auditresultaten aanvullende maatregelen nodig te zijn om de risico’s te beheersen als gevolg van gegevensuitwisseling. Op het gebied van gegevensuitwisselingen is gebleken dat het zaak is om daar een voldoende actueel en volledig overzicht van te behouden in de zin van welke gegevens aan wie worden verstrekt in welke gevallen voor welke doeleinden en onder welke voorwaarden (de informatiematrix). De bewustwording is nog niet overal op voldoende peil. Het doel is te kunnen beheersen dat aan de Wbp-beginselen wordt voldaan. Gewezen is onder andere op het vereiste van een voldoende noodzaak voor gegevensverwerking, proportionaliteit en subsidiariteit, met voldoende oog voor de omstandigheden van het geval. Samenwerkingsverbanden en samenvoegingen van organisatieonderdelen vragen extra aandacht. De totstandkoming en implementatie van het integrale beveiligingsbeleid, de Europese certificeringeisen en de uitgevoerde audits hebben aan de andere kant een impuls gegeven aan de Wbp, of zullen dat nog doen. LNV en de FG beschikken daarnaast over een zodanige basis met betrekking tot het systeem, dat kwesties aan het licht kunnen komen. Ook zijn er actuele richtlijnen en handboeken aanwezig.

5 Ontwikkelingen 5.1 Gegevensuitwisselingen Bijzondere aandacht vraagt de ontwikkeling rond gegevensuitwisselingen. Gegevens en met name veel persoonsgegevens worden steeds meer uitgewisseld met als doel om de taakuitoefening efficiënter te maken. Gegevensverstrekking of- uitwisseling speelt een rol bij de steeds nauwere samenwerking tussen overheidsorganen, en bij het ontstaan van nieuwe wetgeving over inwinning, gebruik, uitwisseling en openbaarmaking van gegevens. Dit speelt zeker ook bij LNV en is voor LNV en haar relaties van groot belang19. De taken van LNV, die ook vaak worden uitgeoefend in samenwerking met semi-overheden en bedrijven, zijn echter net als bij veel andere overheidsorganen uiteenlopend van aard. Ze variëren van dienstverlening aan de burger, tot beoordeling, controle, handhaving en openbaarmaking. Telkens zullen bij die ontwikkelingen de eisen van zorgvuldigheid en privacy meegenomen moeten worden. Binnen dat spanningveld tussen efficiency en zorgvuldigheid moet de minister opereren. Wat het er niet makkelijker op maakt, is dat de context waarin persoonsgegevens (zullen) worden gebruikt, een belangrijke rol speelt. Dat betekent dat de situatie van geval tot geval kan verschillen, bijvoorbeeld afhankelijk van de situatie waarin de personen op wie de persoonsgegevens betrekking hebben, zich bevinden20. Een goede toepassing van beginselen zoals die van doelbinding, proportionaliteit en subsidiariteit in het concrete geval speelt dan een belangrijke rol. Bewustwording en toezicht draagt daaraan bij. Behalve dat er oog moet zijn voor de (primaire) voorwaarden waaronder uitwisseling van persoonsgegevens mag plaatsvinden, dienen echter ook de “annexe” verplichtingen uit de Wbp niet uit het oog te worden verloren: de mogelijkheid tot uitoefening van rechten door de betrokkenen, de zorg voor de kwaliteit van de gegevens, de naleving van

19

De directie Juridische Zaken van LNV onderkent dit ook en onderhoudt o.a. werkverbanden met de FG.

20

Zie het voorbeeld van het gegeven “varkenshouder” als gevoelig gegeven (in paragraaf 3.1.2.4.)

26


informatieplichten richting de betrokkenen, naleving van bewaartermijnen en de beveiliging van de persoonsgegevens.

5.2 Gevolgen toegenomen vraag naar behandeling Wbp-kwesties Het aantal vragen - inclusief klachten - op het gebied van de Wbp neemt toe. Het is de taak van de FG deze te behandelen. Zoals de grafiek in paragraaf 3.1.3 aantoont, is er sprake van een structurele toename sinds 2003. Het is de taak van de FG om vragen van binnen en buiten de organisatie te beantwoorden en te adviseren over kwesties die de verwerking van persoonsgegevens betreffen. Het is echter zaak de onderzoekende, controlerende en verslaggevende rol van het toezicht door de FG ook op peil te houden. In 2007 is de “zakenlast” echter gaan knellen. Zo is een gepland bijzonder onderzoek doorgeschoven naar 2008, en zijn er vertragingen opgetreden bij de totstandkoming van het jaarverslag21. Een andere zorg is om zicht te houden op de follow up van eenmaal gegeven beoordelingen. Risicobeheersing en het borgen van verantwoord beleid zijn belangen die een rol spelen. De nationale toezichthouder, het CBP, heeft een beleidswijziging doorgevoerd, waarbij het zich meer zal toeleggen op controle en handhaving in plaats van op advisering. De gevolgen voor de FG en LNV zijn nog niet geheel duidelijk, maar deze ontwikkelingen kunnen gevolgen hebben voor het centrale Wbp-beleid van LNV. Het kan betekenen dat een FG het voorbeeld van het CBP zou kunnen volgen, maar aannemelijker is dat het zal betekenen dat er daardoor juist een gat zal vallen met betrekking tot advisering en klachtbehandeling, dat gedicht moet worden. Zeker als het risico groter wordt dat het CBP eerder en publiekelijk zijn “tanden laat zien”. De toename van het aantal zaken lijkt overigens onderdeel te zijn van een algemene trend van toename van informatieen beveiligingsissues (zoals op het gebied van WOB-verzoeken en informatiebeveiligingsincidenten). Aangenomen wordt dat deze trend wordt veroorzaakt door de toenemende digitalisering van gegevensverwerking. In 2008 dient een oplossing gevonden te worden voor de toegenomen behoefte aan werkzaamheden door de FG om de CBP-kwalificatie van geloofwaardig en effectief toezicht te behouden.

6 Samenvattend oordeel De voortgang richting management control op het decentrale niveau van de directies en diensten op het gebied van de Wbp verloopt nog niet vlekkeloos. De resultaten van de audits wijzen bovendien uit dat het reguliere systeem van aansturing en verantwoording nog geen garantie is voor voldoende Wbp-risicobeheersing en naleving, en voor afdoende Wbpmanagement. Dat de Wbp bij uitvoerende diensten toch een aandachtspunt blijft, ondanks dat daar basisvoorzieningen aanwezig zijn, onderstreept het belang van actief Wbpmanagement en toezicht. Mogelijke oplossing is om bij (uitvoerende) directies en diensten de Wbp-functie te verstevigen22. LNV en de FG beschikken echter wel over een zodanige basis met betrekking tot het systeem, dat kwesties aan het licht kunnen komen, en verbeteringen kunnen worden aangebracht. De uitgevoerde (privacy)audits hebben hun meerwaarde bewezen: er is draagvlak voor de uitvoering, en voor de resultaten ervan. Bovendien hebben zij geresulteerd in een effectieve samenwerking met de AD en een toename van deskundigheid bij het uitvoeren van onderzoeken. De bestuursraad neemt waar nodig haar verantwoordelijkheid voor (bij)sturing in geval van risico’s m.b.t. de Wbp. LNV is naar het oordeel van de FG, alles overwegende en

21

Ook op de andere departementen blijken FG’s te kampen met dit probleem.

22

De decentrale Wbp-functie is thans bij LNV de Wbp-coördinator of Wbp-contactpersoon. Bekend probleem dat inherent

is aan de decentrale Wbp-functie is dat deze zowel coördinerende/uitvoerende aspecten kent als juridisch/toetsende. Dat laatste aspect vereist expertise, speelt een belangrijke rol en moet (ook) voldoende aandacht krijgen. Een versteviging van de functie kan soms al plaatsvinden door een betere positionering. Zie ook 4.1.3 voor de relatie met de beveiligingsfunctie.

27


ondanks de gesignaleerde tekortkomingen, eind 2007 in control wat betreft de risicobeheersing op het gebied van de Wbp.

28


Bijlage: LNV en de Wbp Het toezicht van de Functionaris voor de gegevensbescherming (FG) is er op gericht om te verzekeren dat de minister voldoet aan zijn verplichtingen wat betreft het fundamentele recht op bescherming van persoonsgegevens. Over het gebruik van persoonsgegevens zijn regels neergelegd in internationale en nationale wettelijke regelingen23. Deze regels bedoelen een zorgvuldige omgang met de aan een ”verantwoordelijke” toevertrouwde persoonsgegevens te waarborgen. De bescherming van persoonsgegevens is voor de minister van LNV van belang vanwege het feit dat door de directies en uitvoerende diensten grote hoeveelheden gegevens worden verwerkt, die (ook) betrekking hebben op natuurlijke personen, meestal in geautomatiseerde systemen. Die gegevens en het gebruik ervan kunnen van invloed zijn op de wijze waarop deze personen in het maatschappelijk verkeer worden beoordeeld of behandeld. De beginselen van zorgvuldig gegevensgebruik vormen in de publieke sector voorwaarden voor rechtmatig overheidsoptreden en het vertrouwen van de burger in de overheid24. De Wbp is van toepassing op verwerkingen van persoonsgegevens. Een persoonsgegeven is elk gegeven dat betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon. De Wbp geeft verplichtingen aan de verantwoordelijke voor de gegevensverwerking, en rechten aan de betrokkenen (degenen op wie de gegevens betrekking hebben). Voorop staat dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt moeten worden. De verantwoordelijke heeft onder meer te maken met de volgende spelregels en beginselen (globaal geformuleerd): 1. Er moet aangetoond kunnen worden dat het noodzakelijk is dat de gegevens worden verwerkt in een vorm waarin ze tot personen te herleiden zijn (noodzakelijkheid); 2. De gegevens mogen alleen voor doeleinden worden gebruikt die niet onverenigbaar zijn met het doel waarvoor zij oorspronkelijk verzameld zijn (doelbinding); 3. Er dient gemeld te worden dat er gegevens verzameld worden, met welk doel dit gebeurt en door wie (transparantie); 4. De persoonsgegevens moeten toereikend, ter zake dienend, niet bovenmatig, juist en nauwkeurig zijn (kwaliteit); 5. De gegevens dienen adequaat beveiligd te worden tegen verlies en onrechtmatig gebruik (beveiliging). De betrokkenen hebben onder meer recht op: • Informatie; over het hoe en waarom van de verwerking; • inzage, herkomst; welke zijn de over de betrokkene geregistreerde gegevens en waar komen ze vandaan; • aanvulling, correctie of verwijdering van de gegevens; indien de kwaliteit te wensen overlaat; • verzet; betrokkenen kunnen vragen hun gegevens te blokkeren; • uitleg over de logica achter geautomatiseerde verwerkingen; • schadevergoeding; indien er materiële of immateriële schade geleden is die is veroorzaakt door handelen in strijd met de bij of krachtens de Wbp gegeven voorschriften.

23

O.a. art. 8 EVRM, Europees Databeschermingsverdrag (1981), Richtlijn van het Europees Parlement en de Raad

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Richtlijn 95/46/EG, PbEG L 281/31 van 23 november 1995), art. 10 Gw, Wet bescherming persoonsgegevens. 24

Begin 2008 zijn diverse malen kamervragen gesteld aan de Minister van Justitie over privacy en bescherming van

persoonsgegevens in Nederland.

29


Bijlage: Taakopdracht FG In de taakopdracht van de FG ligt een belangrijke rol besloten bij het fungeren als vraagbaak en centraal aanspreekpunt, en bij het signaleren van onregelmatigheden en het opheffen daarvan. De taak van de FG van LNV omvat de volgende onderdelen: • Toezicht; • Onderzoek doen naar de naleving van de Wbp (ambtshalve of op verzoek); • Verslaggeving middels een Jaarverslag; • Voeren van een openbaar register van gegevensverwerkingen; • Begeleiden inventarisatie gegevensverwerkingen; • Advisering; • Voorlichting; • Klachtbehandeling; • Ontwikkelen van normen, werkwijzen, regels of afspraken op het gebied van bescherming van persoonsgegevens; • Stimuleren en begeleiden van de toepassing van de juiste technologie en beveiliging. De FG heeft bij het ministerie van LNV een capaciteit van 1 fte. Alle directies en diensten van LNV beschikken daarnaast over een Wbp-coördinator.

30


Bijlage: Openbaar register verwerkingen van persoonsgegevens door LNV Het meldingenregister: doel De Wbp legt aan de FG de verplichting op om een register bij te houden van meldingen van de door “zijn” organisatie gevoerde verwerkingen van persoonsgegevens. Het register is openbaar en kan door een ieder kosteloos worden geraadpleegd. Meldingen worden gedaan door de directeuren als gemandateerde gegevensbeheerders, en bevatten informatie over de verwerkingen van persoonsgegevens. Door het register wordt het voor betrokkenen beter mogelijk hun rechten uit te oefenen, en wordt toezicht op een zorgvuldig gebruik van de gegevens beter mogelijk gemaakt. Door de meldingsplicht wordt de verantwoordelijke (directeur) ook geprikkeld om zich rekenschap te geven van de doeleinden waarvoor hij persoonsgegevens wil verwerken, en verslag te doen van het gebruik van de gegevens en de noodzakelijkheid ervan. De melding is bedoeld om transparantie te bieden aan de betrokkene en de toezichthouder over de persoonsgegevens die worden verwerkt, en de wijze waarop dat gebeurt. Daarmee biedt de melding de verantwoordelijke de kans om te tonen dat de verwerking van persoonsgegevens verantwoord plaatsvindt. Van belang voor inzagerecht en verstrekkingen Het register van verwerkingen is in de praktijk van belang voor het uitvoering geven aan het inzagerecht van betrokkenen (in welke verwerking staat men geregistreerd) alsmede bij de toetsing van een verstrekking van persoonsgegevens (wat was het doel waarvoor de gegevens oorspronkelijk zijn verzameld en is het doel waarvoor ik de gegevens nu wil gebruiken daarmee wel te verenigen?). Vormgeving Bij LNV is het register via de website van LNV op internet gepubliceerd. De verwerkingen zijn gerangschikt per directie of dienst. Elke verwerking wordt beschreven in drie blokken: A. Welke gegevens van wie worden verwerkt, en waarvoor zijn die gegevens verzameld? B. Wat wordt in feite met de gegevens gedaan? C. Wie is (zijn) de verantwoordelijke(n) voor de verwerking? Publicatie op internet Het Wbp-meldingenregister is geplaatst op de openbare website van het ministerie van LNV. Het register is toegankelijk via het submenu: Organisatie, en vervolgens Bescherming van persoonsgegevens/Meldingen Wet bescherming persoonsgegevens. De URL is: http://www.minlnv.nl/portal/page?_pageid=116,1641205&_dad=portal&_schema=PORTAL

31

Functionaris voor de gegevensbescherming Ministerie van LNV

Recommend Documents