HANDREIKING BESCHERMING PERSOONS GEGEVENS VOOR WATER SCHAPPEN

HANDREIKING BESCHERMING PERSOONS GEGEVENS VOOR WATER SCHAPPEN

COLOFON UITGAVE Unie van Waterschappen

SAMENSTELLING AD HOC WERKGROEP PRIVACY John Boekelman, Amstel, Gooi en Vecht Lore van Breugel - Tienhoven, Aa en Maas Catherine Decanniere, Amstel, Gooi en Vecht Joyce van Dinther - Broeksteeg, Rivierenland Michiel Dirriwachter, Unie van Waterschappen Heidi Eijsberg, Scheldestromen Ben Giltjes, Rivierenland Linnie de Gouw, Aa en Maas Ada Karimlou - Kranendonk, Brabantse Delta Yarno Muggen, Schieland en de Krimpenerwaard Ruben Schutte, Hunze en Aa’s Voorzitter Willem Wensink, Unie van Waterschappen Secretaris Raymond Ingenhut, Het Waterschapshuis

DRUKWERKPRODUCTIE Opmeer bv, Den Haag

FOTOGRAFIE Enkele foto’s van Bart van Vliet

OPLAGE 300 exemplaren

VOORWOORD De Europese Unie (EU) werkt momenteel aan een Algemene Verordening Gegevens bescherming (AVG). Deze zal naar verwachting in 2016, met een invoeringsperiode van twee jaar, in werking treden. De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze geïmplementeerd is in de nationale wetgeving: in Nederland de Wet bescherming persoonsgegevens (Wbp). De AVG heeft straks rechtstreekse werking in alle lidstaten, zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wbp te vervallen. Vooruitlopend op de komst van de AVG is op 1 januari 2016 de Nederlandse Wet meldplicht datalekken in werking getreden. Deze wet wijzigt met name de Wbp en raakt zodoende alle overheden en dus ook de waterschappen. Niet alleen mag van de overheid verwacht worden dat regelgeving nageleefd wordt, de (financiële) consequenties van niet-naleven kunnen met de inwerkingtreding van de Wet meldplicht datalekken aanzienlijk zijn. Hoe groot de consequenties van de nieuwe privacywetgeving zijn, hangt in hoge mate samen met de vraag in hoeverre waterschappen op dit moment voldoen aan de huidige Wbp. Als waterschappen de huidige regels adequaat geïmplementeerd hebben, is een beperkt aantal aanpassingen nodig in verband met het van kracht worden van de Wet meldplicht datalekken. Is dat niet het geval, dan is er serieus werk aan de winkel. De Unie van Waterschappen en Het Waterschapshuis hebben geconstateerd dat waterschappen veel vergelijkbare vragen stellen over (het implementeren) van de nieuwe wetgeving. Afgesproken is de krachten te bundelen en gezamenlijk (verder) invulling te geven aan de implementatie van de (nieuwe) privacyregelgeving. Concreet is een ad hoc werkgroep in het leven geroepen, die waterschappen nader informeert over de gevolgen van deze nieuwe regelgeving, goede voorbeelden van toepassingen - zoals (stappen) plannen, beleid, procedures en contracten - verzamelt en beschikbaar stelt en een handreiking opstelt. Deze middelen helpen u op weg om te voldoen aan de nieuwe wetgeving. De nieuwe privacywetgeving heeft gevolgen voor alle waterschappen. Van belang is dat u bekend bent met de verwerkingen van persoonsgegevens in of namens uw eigen organisatie en weet welke processen privacyrisico’s met zich mee brengen. Op basis daarvan kunt u zo nodig de maatregelen treffen.

Handreiking bescherming persoonsgegevens voor waterschappen

1

Voor u ligt een handreiking die u op weg kan helpen in dit proces. Deze handreiking bestaat uit een kort overzicht van de inhoud van de Wbp; een stappenplan om te kunnen voldoen aan de Wbp; en een stappenplan met betrekking tot de meldplicht datalekken. Ik vertrouw erop dat deze handreiking in een behoefte voorziet en zal bijdragen aan het borgen van privacyregelgeving in de waterschapssector.

Albert Vermuë Algemeen directeur

INHOUDSOPGAVE 1 VOORWOORD 4 LEESWIJZER 8

INLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS

10 STAPPENPLAN NALEVEN WET B ESCHERMING PERSOONSGEGEVENS 18

STAPPENPLAN MELDPLICHT DATALEKKEN

26 BIBLIOGRAFIE 30 BIJLAGEN

31 39 44 46 48

Bijlage 1 Bijlage 2 Bijlage 3 Bijlage 4 Bijlage 5

Nadere toelichting op de Wet bescherming persoonsgegevens De aankomende Algemene Verordening Gegevensbescherming Archiefwet Wet openbaarheid van bestuur Basisregistraties


3

LEESWIJZER ACTIEPUNTEN Bij de tekst van de handreiking vindt u beknopte acties ten aanzien van het onderwerp waar de tekst ter plekke betrek king op heeft en die u kunt uitvoeren om invulling te geven aan het stappenplan. Deze actiepunten zijn herkenbaar als witte tekst in een blauw vlak:

VOORBEELD Dit is een voorbeeld

AANDACHTSPUNTEN Waar nodig worden bij de tekst extra aandachtpunten meegegeven. Deze zijn herkenbaar als zwarte cursieve tekst:

Dit is een voorbeeld van een kopje zwarte cursieve tekst Dit is een voorbeeld van zwarte cursieve tekst Er is voor gekozen om deze handreiking tot op zekere hoogte beknopt te houden. Veel onderwerpen worden daardoor noodzakelijkerwijs slechts kort aangestipt. Om tegemoet te komen aan eventuele behoefte

aan meer informatie over de verschillende onderwerpen zijn verwijzingen opgenomen naar online publicaties en voorbeelddocumenten.

EXTERNE PUBLICATIES Daarnaast treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. Deze verwijzingen zijn herkenbaar als blauwe tekst: Dit is een voorbeeld van een kopje blauwe tekst • Dit is een voorbeeld van een opsomming blauwe tekst De publicaties kunt u terugvinden in de bibliografie, alwaar ook de online vindplaats van de publicatie is weer gegeven. Maakt u gebruik van de pdf-versie van deze handreiking, dan kunt u daarop doorklikken naar de online locatie van de publicatie – zolang u een actieve internet verbinding heeft.

VOORBEELDEN VAN TOEPASSINGEN

een internet URL, is een actieve internetverbinding noodzakelijk om de

Zoals eerder vermeld treft u bij de tekst verwijzingen aan naar externe publicaties die het onderwerp waar de tekst ter plekke betrekking op heeft verder uitdiepen of toelichten. De waterschappen hebben aangegeven dat ze naast nadere duiding ook veel baat verwachten van praktische voorbeelden van toepassingen zoals van (stappen)plannen, beleid, procedures en contracten. Waterschappen hebben een aantal voorbeelden aangedragen. Deze kunt u raadplegen op het portaal van Het Waterschapshuis via https://portaal. hetwaterschapshuis.nl/werkgroep-privacy Om deze voorbeelden te kunnen raadplegen zult u zich moeten registeren voor toegang tot het portaal van Het Waterschapshuis. Nieuwe voorbeelden kunnen water schappen zelf blijven aandragen c.q. toevoegen aan de collectie. Meer voorbeelddocumenten ten aanzien van informatieveiligheid in het algemeen kunt u raadplegen op: https://informatie veiligheid.pleio.nl en https://portaal.het waterschapshuis.nl/ Informatiebeveiliging. Voor beide websites zult u zich moeten registreren.

VERWIJZINGEN EN LINKS

verwijzing te volgen naar het betreffende document.

BEGRIPPEN Privacy en Privacywet In het dagelijks gebruik wordt de Wbp ook wel de Privacywet genoemd. Het begrip ‘privacy’ omvat echter meer dan de bescherming van persoonsgegevens. In deze handreiking is met privacy alleen de bescherming van persoonsgegevens bedoeld. Autoriteit persoonsgegevens en College bescherming persoonsgegevens Het orgaan dat toezicht houdt op de bescherming van persoonsgegevens draagt formeel de naam ‘College bescherming persoonsgegevens’. Aan de Wbp is echter een bepaling toegevoegd die luidt: “Het College bescherming persoons gegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.” In deze handreiking worden de termen ‘Autoriteit persoons gegevens’ en ‘College bescher ming persoonsgegevens’, alsmede de bijbe horende afkortingen ‘AP’ en ‘CBP’, afwisselend gebruikt zonder daarmee onderscheid te willen aanduiden.

In dit document zijn tal van verwijzingen toegepast. Al deze verwijzingen zijn klikbaar. De meeste verwijzingen leiden naar een andere locatie in de handreiking. Daar waar een verwijzing naar een ander document is opgenomen in de vorm van


5

AFKORTINGEN AP Autoriteit Persoonsgegevens AVG Algemene Verordening Gegevens bescherming BID Taskforce Bestuur en Informatie veiligheid Dienstverlening BIWA Baseline Informatiebeveiliging Waterschappen BRP Basisregistratie Personen BSN Burgerservicenummer CBP College Bescherming Persoons gegevens CIP Centrum voor Informatie beveiliging en Privacybescherming EU Europese Unie FG functionaris voor de gegevens bescherming HWH Het Waterschapshuis IBD De Informatiebeveiligingsdienst voor gemeenten UVW Unie van Waterschappen Wbp Wet bescherming persoons gegevens Wob

Wet openbaarheid van bestuur

1 I NLEIDING OP DE WET BESCHERMING PERSOONSGEGEVENS PRIVACY, EERBIEDIGING PERSOONLIJKE LEVENSSFEER, BESCHERMING PERSOONSGEGEVENS In de Grondwet is het recht op eerbiediging van de persoonlijke levenssfeer vastgelegd. In de volksmond genoemd het recht op privacy. Dit recht heeft onder andere betrekking op de bescherming van de lichamelijke integriteit, de woning, het briefgeheim en de bescherming van persoonsgegevens.

DE WBP GEEFT REGELS VOOR HET VERWERKEN VAN PERSOONSGEGEVENS De Wbp heeft alleen betrekking op de bescherming van persoonsgegevens en geldt voor bedrijven en overheden. Persoonsgegevens zijn gegevens die direct (bijvoorbeeld naam en geboortedatum) of indirect (bijvoorbeeld IP-adres) leiden tot de identificatie van een natuurlijk persoon. Deze gegevens kunnen geschreven zijn, maar kunnen ook bestaan uit beeld of geluid. Bij indirect identificerende

gegevens zijn nog nadere stappen nodig om tot identificatie van een persoon te komen. Alleen wanneer deze stappen zonder onevenredige inspanning te nemen zijn, is er sprake van persoonsgegevens. Onder het verwerken van persoonsgegevens wordt verstaan elke handeling met betrek king tot persoonsgegevens. Het omvat het gehele proces dat een persoonsgegeven doormaakt vanaf het moment van ver zamelen tot en met het moment van vernietigen. Voorbeelden van verwerken: verzamelen, vastleggen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, uitwissen, vernietigen.

OP WELKE VERWERKING VAN PERSOONSGEGEVENS IS DE WBP VAN TOEPASSING? De Wbp is van toepassing op persoons gegevens die geheel of gedeeltelijk geautomatiseerd verwerkt worden. De Wbp is ook van toepassing op niet geauto matiseerde verwerkingen van persoonsgegevens. Dan geldt wel het vereiste dat

deze gegevens in een bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen. De Wbp is niet van toepassing als de verwerking van persoonsgegevens uitsluitend betrekking heeft op persoonlijke of huishoudelijke activiteiten zoals telefoonlijstjes van vrienden en familie. Ook verwerkingen van persoonsgegevens in het kader van onder andere de Kieswet, de Wet basisregistratie personen en de Politiewet 2012 vallen niet onder de regels van de Wbp.

VERZOEK OM INFORMATIE EN INZAGE VAN PERSOONSGEGEVENS De betrokkene heeft het recht om, met redelijke tussenpozen, een bedrijf, instel ling of overheid te vragen of van hem persoonsgegevens worden verwerkt. De `betrokkene hoeft geen reden, belang of doel van zijn verzoek aan te geven. Het recht op inzage moet zeer ruim worden opgevat. Wanneer er persoonsgegevens worden verwerkt van betrokkene dan moet aan hem een volledig overzicht van de verwerkte persoonsgegevens worden verstrekt in een begrijpelijke vorm. Dit kan in de vorm van afschriften, kopieën of  uittreksels. Buitensporige verzoeken, wanneer bijvoorbeeld extreem veel docu-

enten verstrekt moeten worden, mogen m echter afgewezen worden. Interne notities, werkaantekeningen en persoonlijke gedachten van medewerkers vallen niet onder het inzagerecht. Toelichting op de wet • Bijlage: Nadere toelichting op de Wbp • Bijlage: Nadere toelichting op de aanko mende AVG • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp • CIP – Meldplicht Datalekken • SURF – Raamwerk van de Wbp en AVG

Aandachtspunt verwerking De geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP of uw functio naris gegevensbescherming. Op grond van het vrijstellingsbesluit is een aantal categorieën van verwerkingen vrijgesteld van deze meldplicht. Vrijstellingsbesluit AP – Handreiking Vrijstellingsbesluit Wbp


9

2 STAPPENPLAN NALEVEN WET BESCHERMING PERSOONSGEGEVENS INLEIDING Het vorige hoofdstuk heeft u een korte inleiding gegeven in de Wbp. Een nadere toelichting op de Wbp vindt u in bijlage 1. Dit stappenplan beschrijft de stappen die doorlopen kunnen worden om ervoor te zorgen dat uw organisatie voldoet aan de Wet bescherming persoonsgegevens. Scope van het stappenplan Dit stappenplan is nadrukkelijk geen alomvattende procedure. U zult zelf een uitwerking en vertaling moeten maken die bij uw organisatie(inrichting) past. Meldplicht datalekken Op 1 januari 2016 is de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid in werking getreden. Deze betreft een wijziging van de Wbp (en enige andere wetten). Dit stappenplan geeft geen invulling aan de Wet meldplicht datalekken. Meer informatie over het omgaan met de meldplicht datalekken vindt u in hoofdstuk 3 ‘stappenplan meldplicht datalekken’.

Informatiebeveiliging De praktijk van het beschermen van persoonsgegevens heeft veel raakvlakken met informatiebeveiliging. Dit stappenplan beperkt zich echter tot de Wet bescherming persoonsgegevens. Voor meer informatie over het toepassen van informatie beveiliging bij de waterschappen verwijzen we u graag naar de Baseline Infor matiebeveiliging Waterschappen (BIWA). Een link naar de BIWA vindt u op verschillende plaatsen in deze hand reiking, waaronder in de bibliografie.

STAP 1: INVENTARISEER WAAR IN UW ORGANISATIE PERSOONS GEGEVENS WORDEN VERWERKT Een datainventarisatie is nooit compleet, maar de bedoeling is wel om zo compleet mogelijk te zijn. Om zo efficiënt mogelijk te werken kan de inventarisatie het best met een focus op proces- en appli catie niveau worden uitgevoerd.

ACTIES • Vraag informatie over het gebruik van persoonsgegevens in werken bedrijfsprocessen aan medewerkers die werkzaam zijn in deze processen. • Raadpleeg aanwezige documentatie zoals referentiearchitectuur, informa tiearchitectuur, procesbeschrijvingen en applicatielandschap. • Raadpleeg derden wanneer taken extern zijn belegd zoals in regionale uitvoeringsorganisaties, gemeen schappelijke regelingen en andere samenwerkingsverbanden zoals vaak het geval is bij bijvoorbeeld belastingtaken.

Onderzoeksmethoden • AP – Wbp Quickscan • AP – Wbp Zelfevaluatie

Aandachtspunt uitvraag Tijdens een uitvraag onder medewerkers komt informatie over het verwerken van persoonsgegevens op bestandsniveau vanzelf naar boven.

Een aantal specifieke wetten die zien op persoonsgegevens Wet basisregistratie personen, Wet justitiële en strafvorderlijke gegevens, Kieswet, Algemene wet inzake rijksbelastingen, de Wet openbaarheid van bestuur en de Archiefwet. Andere wetgeving en de Wbp • Bijlage: Archiefwet • Bijlage: Basisregistraties • Bijlage: Wet openbaarheid van bestuur

STAP 3: BEPAAL WELKE ROL UW ORGANISATIE HEEFT TEN AANZIEN VAN DE VERWERKING VAN SPECIFIEKE PERSOONSGEGEVENS Afhankelijk van of u verantwoordelijke of bewerker bent ten aanzien van de verwer king van persoonsgegevens heeft u andere verplichtingen en verantwoordelijkheden ten aanzien van de bescherming van de betreffende persoonsgegevens.

ACTIES STAP 2: BEPAAL WELKE (EIGEN) WET- EN REGELGEVING NAAST DE WBP VAN TOEPASSING IS OP SPECIFIEKE PERSOONSGEGEVENS EN WELKE INVLOED DEZE HEEFT OP DE WERKING VAN DE WBP Naast de Wbp is in enkele gevallen ook andere weten regelgeving van toepassing op de verwerking van persoonsgegevens, bijvoorbeeld de Archiefwet. Op bepaalde verwerkingen van persoonsgegevens is de Wbp niet van toepassing, maar geldt een specifieke wet, bijvoorbeeld de Kieswet.

• Bepaal of u verantwoordelijke bent ten aanzien van het persoonsgegeven. • Bent u verantwoordelijke? Bepaal of er bewerkers in de keten actief zijn. • Zijn er bewerkers actief? Stel dan eisen aan de betreffende bewerkers door een bewerkers-overeenkomst af te sluiten met de betreffende partij. (Zie bijlage 1 Nadere toelich ting op de Wbp, Punt 6)


11

Taakoverdracht aan o.a. gemeenschap pelijke regelingen Regelmatig dragen waterschappen taken over aan een gemeenschappelijke regeling, zoals het heffen en invorderen van waterschapsbelastingen. Deze organisatie verwerkt de persoonsgegevens voor de doeleinden zoals die beschreven staan in de gemeenschappelijke regeling en niet ten behoeve van het waterschap. De gemeenschappelijke regeling heeft in dat geval zeggenschap over de persoonsgegevens die nodig zijn voor de uitvoering van de taak. Het bestuur van de gemeenschappelijke regeling is verantwoordelijke ten aanzien van de betreffende persoonsgegevens. Regelen met bewerkers • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp hoofdstuk 2 • IBD – Bewerkersovereenkomst Cloudcomputing • SURF – Rapport De wolk in het onderwijs; Privacy aspecten bij cloud computing services» hoofdstuk 2 • EC – Opinion 05/2012 on Cloud Computing

Aansprakelijkheid Formuleer bij het afsluiten van een bewerkersovereenkomst ook een passende aansprakelijkheidsclausule.

STAP 4: BEOORDEEL DE RECHT MATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS Doel van verwerking Op grond van de Wbp moet het doel van de verwerking van de persoonsgegevens voor

inwinning van de persoonsgegevens worden bepaald en vastgelegd. Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden v erwerkt voor doeleinden die daarmee verenigbaar zijn. De Wbp bevat een algemene norm over de kwaliteit van een verwerking van persoonsgegevens. Persoons gegevens moeten gelet op het doel waarvoor ze worden verwerkt niet bovenmatig, toereikend, ter zaken dienend en juist zijn. Grondslag voor verwerking Om te kunnen bepalen of persoonsgegevens rechtmatig worden verwerkt is het nood zakelijk de grondslag voor de verwerking te bepalen. Vaak is echter bij het initieel bepalen van de in te winnen informatie wel bedacht voor welke taak gegevens noodzakelijk zijn, maar is de juridische grondslag voor de verwerking niet vast gelegd.

ACTIES • Stel per verwerking van persoons gegevens in ieder geval vast: • Het doel van de verwerking. • De grondslag van de verwerking. • Welke persoonsgegevens verwerkt worden. • Herkomst van de persoonsgegevens. • Of er een informatieplicht is naar de betrokkene. • Of er een meldplicht is naar de AP.

Risico’s bepalen • AP – Richtsnoeren beveiliging van persoonsgegevens

Rechtmatige verwerking • AP – Handleiding Wet bescherming persoonsgegevens, Schema 3 Informatieplicht • AP – Handleiding Wet bescherming persoonsegevens, Schema 5

Zes (limitatieve) grondslagen voor ver werking van persoonsgegevens • Ondubbelzinnig toestemming van de betrokkene. • Noodzakelijk voor de uitvoering van een overeenkomst. • Noodzakelijk om een wettelijke verplichting na te komen. • Noodzakelijk ter vrijwaring van een vitaal belang van betrokkene. • Noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. • Noodzakelijk voor de behartiging van het gerechtvaardigde belang van de ver antwoordelijke tenzij de rechten en vrijheden van de betrokkene (in het bijzonder recht op de bescherming van de persoonlijke levenssfeer) prevaleert. Uitvoeren van een wettelijke taak Als de verwerking van persoonsgegevens noodzakelijk is voor het uitvoeren van een wettelijke taak van het waterschap, dan is geen toestemming vereist van de betrokkene. Toestemming van de betrokkene Het heeft sterk de voorkeur om de grondslag “toestemming van betrokkene” alleen te kiezen als geen enkele andere grondslag van toepassing is.

Let op Als gekozen is voor de grondslag “toestemming van de betrokkene” en de betrokkene trekt zijn toestemming in dan ontbreekt op dat moment een grondslag voor de ver werking van betreffende persoons gegevens. Dat betekent dat vervolgens een rechtsgeldige grondslag gevonden moet worden voor de verwerking van betreffende persoonsgegevens. De betrokkene moet op de hoogte gesteld worden van deze (nieuwe) grondslag. Is na intrekking van de toestemming geen andere grondslag van toepassing dan moeten betreffende persoonsgegevens verwijderd worden. Bijzondere persoonsgegevens Het verwerken van bijzondere persoonsgegevens is verboden, tenzij voldaan is aan de extra strikte regels uit de Wbp. Bijzondere persoonsgegevens zijn: persoons gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en het BSN. Geen grondslag Als blijkt dat er geen bestaande grondslag is voor de verwerking van persoons gegevens dan is de verwerking niet rechtmatig. Is de verwerking van de persoonsgegevens toch wenselijk in het kader van bijvoorbeeld de bedrijfsvoering, dan kan er alsnog om toestemming gevraagd worden. Daarmee ontstaat alsnog een grondslag voor de verwerking.


13

ACTIES • Bepaal of er toestemming is gevraagd en gegeven voor de verwerking van het persoonsgegeven in relatie tot het doel waarvoor u het gegeven verwerkt. • Is dat niet het geval? Bepaal dan of er toestemming is gevraagd en gegeven voor de verwerking van het persoons gegeven voor een doel waarmee uw huidige doel verenigbaar is. • Is dat niet het geval? Bepaal dan of het verwerken van het betreffende persoonsgegeven wenselijk is en waarom. • Is het verwerken wenselijk? Vraag dan alsnog toestemming voor de verwerking. • Is de verwerking niet wenselijk? Ga dan over tot vernietiging van de reeds ingewonnen gegevens en stop het inwinnen van nieuwe gegevens.

Verenigbaarheid van doelen Wat verenigbaar is hangt af van de omstandigheden en het specifieke geval. Bij de beoordeling moet in ieder geval met de volgende factoren rekening worden gehouden: • Verwantschap tussen doel waarvoor gegevens zijn verkregen en het beoogde doel. • Aard van de gegevens. • Gevolgen van de beoogde verwerking voor de betrokkene. • De wijze waarop de gegevens zijn verkregen. • Verwachting betrokkenen. • De mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.

Vernietigen van persoonsgegevens Let er bij het vernietigen van persoons gegevens op dat u een passende vernietigingsprocedure hanteert en dat u deze procedure heeft vastgesteld en de daadwerkelijke vernietiging registreert.

STAP 5: PRIVACY RISICO’S BEPALEN Bij een privacy-risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat de schade is die op zou kunnen optreden als een bedreiging zich daadwerkelijk voordoet.

ACTIES • Bepaal de aard van de te verwerken persoonsgegevens. • Bepaal de impact van een eventuele inbreuk op de beveiliging van de te verwerken persoonsgegevens.

Risico’s bepalen • AP – Richtsnoeren beveiliging van persoonsgegevens Dataclassificatie • Taskforce BID – BIWA Dataclassificatie • IBD – Handreiking dataclassificatie

STAP 6: BEPALEN GENOMEN EN TE NEMEN MAATREGELEN De bedoeling van een risicoanalyse is dat er na de analyse wordt vastgesteld op welke wijze de risico’s beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau door (informatiebeveiligings) maatregelen te treffen. Daarbij wordt naast een risicoanalyse ook een kosten en baten analyse uitgevoerd.

ACTIE Bepaal passende technische, juridische, beleidsmatige en organisatorische beveiligingsmaatregelen, leg deze vast en voer ze door.

Afdekken risico’s Niet ieder risico hoeft te worden afgedekt: wanneer de kosten van maatregelen hoger zijn dan de mogelijke schade, kan besloten worden het restrisico te accepteren. De verantwoordelijke bepaalt of de gegevens classificatie juist is en of beargumenteerd van daaraan gekoppelde maatregelen kan worden afgeweken.

Voorbeelden van maatregelen • Technische maatregelen: o.a. scheiden van opslag van persoons gegevens van andere gegevens. • Juridische maatregelen: o.a. bewerkersovereenkomst. • Organisatorische maatregelen: o.a. incidentenregistratie, interne procedures, communicatieplan, educatieplan en bewustwordingsprogramma.

STAP 7: BORGING, MONITOREN EN EVALUEREN: BEHEERSEN WE HET PROCES? Het is voor de informatieveiligheid van belang ervoor te zorgen dat de organisatie alle geïntroduceerde beveiligingsprocessen en procedures ook op langere termijn blijft hanteren. Daarvoor is het aan te raden bij nieuwe of wijzigende processen en projecten waarbij mogelijk persoons gegevens worden verwerkt vanaf het begin aandacht te vragen voor rechtmatige inwinning, gebruik en beveiliging van persoonsgegevens.

Maatregelen • UvW – Baseline Informatiebeveiliging Waterschappen • AP – Richtsnoeren, Beveiliging van persoonsgegevens • SURF – Model Beleid Verwerking Per soonsgegevens • SURF – Leidraad Model Beleid Verwerking Persoonsgegevens • IBD – Bewerkersovereenkomst • IBD – Handreiking communicatieplan informatiebeveiligings Handreiking bescherming persoonsgegevens voor waterschappen

15

ACTIES • Stel (een beperkt aantal) korte en lange termijn privacydoelstellingen vast. Deze kunnen - als de organisa tie daar de waarde van ziet - verder gaan dan het voldoen aan de wet. Bijvoorbeeld om de organisatie onderscheidend vermogen te geven. • Stel een evaluatieprogramma op basis van de vastgestelde doelstel lingen op en definieer meetbare metrix waarover periodiek aan de organisatie (bestuur, management en personeel) wordt gerapporteerd. • Stel een educatie-, bewustwordingsen communicatieprogramma op om nieuwe medewerkers te instrueren ACTIES en bestaande medewerker in te lichten over nieuwe enin • Voer privacy impactwerkwijzen assessments gewijzigde vereisten. voor alle nieuwe of wijzigende processen en projecten • Voer periodieke privacy audits in om onafhankelijke toetsing te garanderen en bewijslast te creeren voor de inspanningen van de orga nisatie.

Bewustwording • IBD – Handreiking communicatieplan informatiebeveiliging Privacy audit • AP – Raamwerk Privacy Audit Privacy impact assessment • CIP – Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan? • IBD – Toelichting PIA • IBD – Verslag PIA • IBD – Vragenlijst PIA • Norea – Privacy Impact Assessment (PIA), Introductie, handreiking en vra genlijst • SURF – Model Privacy Impact Assess ment - PIA-risicoformulier • SURFModel Privacy Impact Assessment - toelichting […] het PIA-risicoformulier

Privacydoelstellingen Verbind de privacydoelstellingen aan de organisatiedoelstellingen om het management en het bestuur ook op langere termijn als stakeholder te verbinden aan het programma en voldoende middelen voor het programma veilig te stellen.

3 STAPPENPLAN MELDPLICHT DATALEKKEN INLEIDING De Wet meldplicht datalekken en uit breiding bestuurlijke boetebevoegdheid is op 1 januari 2016 in werking getreden en betreft een wijziging van de Wbp (en enige andere wetten). Het is voortaan verplicht elk datalek te melden bij het College bescherming persoonsgegevens (CBP), voortaan ook de Autoriteit Persoons gegevens (AP) genoemd. In een aantal situaties moet het datalek ook gemeld worden aan de betrokkene. Dat is de persoon wiens persoonsgegevens zijn gelekt. Met de nieuwe meldplicht loopt Nederland vooruit op de AVG. Wat is een datalek? De Wbp vereist van de verantwoordelijke dat deze passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen tegen verlies of tegen elke vorm van on rechtmatig gebruik. Iedere inbreuk op deze beveiliging wordt een datalek genoemd. We spreken dus van een datalek als er sprake is van onbevoegde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van diegene die verant woordelijk is voor deze gegevens.

Ook verlies van persoonsgegevens bij bijvoorbeeld een brand geldt als een datalek als de gegevens daarbij verloren zijn gegaan en niet kunnen worden gereconstrueerd met behulp van bijvoor beeld een back-up. Een lek waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, valt dus niet onder de meldplicht datalekken. De inbreuk op de beveiliging van persoons gegevens kan bestaan uit: • Tekortschietende beveiligingsmaat regelen. • Beveiligingsmaatregelen die teniet worden gedaan of worden omzeild. • Inadequate of onvakkundig toegepaste beveiliging door de verantwoordelijke zelf. • Menselijke fouten van ondergeschikten van de verantwoordelijke en eventuele verwerkers. Mogelijke bronnen van een inbreuk op de beveiliging kunnen zijn: • Kwaadwillende buitenstaander. • Toevallig verlies. • Kwaadwillende insider. • Hacker/activist.

Verplicht bijhouden logboek van inbreuken op beveiliging

Scope van het stappenplan Het melden van een datalek naar de Auto

De verantwoordelijke houdt een overzicht bij van alle inbreuken die leiden tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens.

riteit persoonsgegevens en in sommige gevallen de betrokkene is dus een wettelijk vereiste. De Autoriteit persoonsgegevens heeft naar aanleiding van de Wbp bepaalde kwaliteits ver wachtingen van de manier waarop uw organisatie met de beveiliging van persoonsgegevens omgaat en van de manier waarop uw organisatie – wanneer zich ondanks alle beveiligingsmaatregelen toch een datalek voordoet – met een data lek omgaat. De Autoriteit Persoonsgegevens kan uw organisatie te allen tijde vragen inzicht te geven in de maatregelen die uw organisatie daartoe heeft genomen.

Uitbreiding boetebevoegdheden AP De boetebevoegdheden van de AP zijn aanzienlijk verruimd: • Met ingang van 1 januari 2016 bedraagt de maximale boete 820.000 euro (i.p.v. 4.500 euro). Dit maximum geldt onder andere voor het niet melden van een datalek. • Boetes kunnen worden opgelegd voor alle overtredingen van de Wbp. Zo geldt de maximale boete o.a. ook voor het zonder rechtsgrond verwerken van persoonsgegevens, het langer bewaren van persoonsgegevens dan noodzakelijk en het zonder gerechtvaardigd doel verzamelen van persoonsgegevens. • Voordat de boete mag worden opgelegd moet de AP een bindende aanwijzing geven. De bindende aanwijzing is niet vereist wanneer er sprake is van opzet of ernstig verwijtbare nalatigheid. Autoriteit persoonsgegevens Het orgaan dat toezicht houdt op de be scherming van persoonsgegevens blijft formeel de naam “College bescherming persoonsgegevens” dragen. Aan de Wbp wordt echter een bepaling toegevoegd die luidt: “Het College bescherming persoons gegevens wordt in het maatschappelijk verkeer aangeduid als: Autoriteit per soonsgegevens.”

Dit stappenplan beschrijft de stappen die doorlopen kunnen worden bij het omgaan met datalekken: het schetst een globaal beeld van een incidentmanagement procedure. De melding zelf is daar slechts een onderdeel van. Het stappenplan is nadrukkelijk geen uitgewerkte procedure die u ter hand kunt nemen wanneer zich een incident voordoet. U zult zelf een uitwerking en vertaling moeten maken die bij uw organisatie(inrichting) past. Tijdens het doorlopen van het stappenplan om tot een incidentmanagementprocedure te komen, zult u al snel ontdekken dat dit plan niet los te zien is van de manier waarop uw organisatie verder met de Wbp omgaat. Het aanpakken van een incident wordt immers al snel bemoeilijkt als de organisatie geen goed beeld heeft van waar en door wie persoonsgegevens in de organisatie worden verwerkt, en welke beveiligingsmaatregelen de organisatie daarbij heeft genomen.


19

Iemand die schade lijdt omdat het waterschap zich niet houdt aan de voor schriften van de Wbp kan het waterschap aansprakelijk stellen op grond van artikel 49 van de Wbp. Er geldt hier een omgekeerde bewijslast, dat wil zeggen het waterschap moet bewijzen dat de schade het waterschap niet kan worden toegerekend. Voorbeelden van mogelijke oorzaken voor een datalek • een kwijtgeraakte USB-stick • een gestolen laptop • een inbraak door een hacker • verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere g eadresseerden • een calamiteit zoals een brand in een datacentrum • gebroken encryptie/beveiliging waardoor toegang tot persoonsgegevens voor onbevoegden ontstond (bijv. gelekt wachtwoord van PIMS/Cloud/teamsite, etc.) • verloren en vernietigde papieren met persoonsgegevens of bedrijfsgegevens (verlies van informatie) • ongeautoriseerde toegang van een laptop, tablet of smartphone met bedrijfsgegevens/persoonsgegevens

ACTIES • Creëer bewustzijn voor privacy bescherming en het fenomeen datalek bij bestuur, management en medewerkers. • Stel een incidentmanagementplan of -procedure vast. • Stel een portefeuillehouder privacy aan op bestuurlijk niveau. Deze kan als sponsor het belang en de urgen tie van privacy uitdragen.

• Stel een projectleider privacy en eventueel een functionaris gegevens bescherming aan. • Stel een incident response team aan.

Datalekken • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp hoofdstuk 3 • CIP – Meldplicht Datalekken • paragraaf 2.1 en 2.2

Voorbeelden van persoonsgegevens • Naam • Adres • Woonplaats • Postcode • IP-adres • Bankrekeningnummer • Foto • Medische gegevens • Kadastrale informatie • BSN-nummer • Telefoonnummer • Kenteken • Geboortedatum Incidentmanagement • IBD – Voorbeeld incidentmanagement en responsebeleid

Tip Ook een privacyincident kan zich tot een calamiteit ontwikkelen, bijvoorbeeld als het incident onbeheersbaar blijkt of de gevolgen voor betrokkenen groot zijn. Zorg daarom dat een incidentmanagementplan en -organisatie aansluit op het calami teitenplan en de bijbehorende organisatie.

STAP 1: DETECTEREN VAN EEN DATALEK

Responsible disclosure • NCSC – Leidraad om te komen tot een

Een datalek kan door iedereen op allerlei manieren gedetecteerd en gemeld worden. Bijvoorbeeld door:

praktijk van responsible disclosure • IBD – Responsible disclosure • SURF – Implementatiehandleiding responsible disclosure

• Derden, zoals burgers, media, partners, hackers. • Medewerkers van de verantwoordelijke of een van de bewerkers. • Het informatiebeveiligingsteam van de verantwoordelijke of een van de bewerkers. Het is van belang dat iemand die een datalek wil melden weet hoe, waar en wanneer deze een melding kan doen.

ACTIES • Richt een meldpunt in. • Maak een werkinstructie zodat medewerkers weten hoe ze moeten handelen. • Controleer of u de juiste afspraken heeft gemaakt met eventuele bewer kers zodat u als verantwoordelijke aan uw zorgplicht kunt voldoen.

Tips • Houd bij de inrichting van het meldpunt en de werkinstructie rekening met meldingen van buiten de eigen orga nisatie. • U kunt maatregelen nemen om op een verantwoorde wijze kwetsbaarheden in ICT-systemen en procedures te melden en openbaar te maken (responsible disclosure), zodat schade zo veel mogelijk kan worden voorkomen of beperkt.

Regelen met bewerkers • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp hoofdstuk 2 • IBD – Bewerkersovereenkomst

STAP 2: REGISTREREN VAN EEN DATALEK De verantwoordelijke is verplicht een overzicht bij te houden van alle inbreuken die leiden tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Deze registratie is van belang voor: • Bewijsvoering bij een eventueel (juridische) vervolgprocedure. • Het trekken van lering uit het datalek en de wijze waarop dit is afgehandeld. • Antwoord kunnen geven aan betrok kenen en de AP. • Alsnog melden van het datalek aan betrokkenen, indien dit in eerste instantie niet nodig bleek te zijn. Door veranderde omstandigheden kan het echter zijn dat dit achteraf alsnog gedaan moet worden.


21

Het overzicht bevat in ieder geval: • Feiten en gegevens omtrent de aard van de inbreuk. • De tekst van de kennisgeving aan betrokkene.

ACTIE Richt een incidentenregistratie in of breidt een bestaande incidentenregistratie uit conform de eisen uit de wet. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk en de tekst van de kennisgeving aan de betrokkenen.

Registreren van datalekken • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp hoofdstuk 10

STAP 3: BEPALEN MELDPLICHT

U bent bewerker

ACTIE Bepaal aan de hand van uw overeen komst met de verantwoordelijke of en wanneer u het datalek bij de verant woordelijke moet melden of eventueel rechtstreeks aan de Autoriteit Per soonsgegevens.

U bent verantwoordelijke

1. Melden aan de Autoriteit Persoons gegevens Een datalek moet uiterlijk op de tweede werkdag ná de ontdekking worden gemeld aan de Autoriteit Persoonsgegevens: • Wanneer er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. • Wanneer een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Voor u kunt bepalen of u meldplichtig bent en aan wie u meldplichtig bent, bepaalt u eerst uw verantwoordelijkheid ten aanzien van de gegevens en of u volgens de Wbp verantwoordelijke of bewerker bent. In veel gevallen zal het waterschap de verantwoordelijke zijn voor de verwerking van persoonsgegevens door het water schap.

Een lek heeft ernstig gevolgen als het om een grote hoeveelheid data gaat (kwanti tatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Aan de Autoriteit Persoonsgegevens moet minimaal worden gemeld: • De aard van de inbreuk. • De instanties waar meer informatie over de inbreuk kan worden verkregen. • De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

• De geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de ver werking van persoonsgegevens. • De maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.  Het heeft echter de voorkeur direct zo volledig mogelijk te zijn.

ACTIES • Bepaal de aard van de gelekte gegevens • Bepaal of u op basis van deze classi ficatie of u meldplichtig bent richting de Autoriteit Persoonsgegevens. • Bent u meldplichtig? Meld uw datalek dan via het daarvoor bij de Autoriteit Persoonsgegevens be schikbare meldingsformulier. • Verzamel (forensische) bewijsmate riaal en bewaar en registreren dit bij of in je incidentenregistratie. • Specialistisch onderzoek doen en herstel uitvoeren: (forensisch) onderzoek en herstel kan zelf d.m.v. inzet van een particulier beveiligingsbureau of inschakelen van een instantie.

Melden • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp, hoofdstuk 4 t/m 6 Dataclassificatie • Taskforce BID – BIWA Dataclassificatie • IBD – Handreiking dataclassificatie

2. Melden aan de betrokkenen Een datalek moet onverwijld aan de betrokken persoon worden gemeld wanneer het datalek (waarschijnlijk) ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkene. Deze gevolgen kunnen materieel zijn, zoals financiële schade door misbruik van bankgegevens, of immaterieel, zoals discriminatie. Uw organisatie mag eerst nader onderzoek doen om de betrokkene in één keer op een zorgvuldige manier te kunnen informeren. Let wel: de betrokkene zal maatregelen willen nemen naar aanleiding van het datalek. Voort varendheid van uw organisatie is dus gewenst! Aan betrokkene moet minimaal worden gemeld: • De aard van de inbreuk. • De instanties waar meer informatie over de inbreuk kan worden verkregen. • De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

ACTIES • Bepaal of u op basis van de classifi catie of u meldplichtig bent richting betrokkene. • Bent u meldplichtig? Meld uw datalek en richt indien nodig nazorg voor de betrokkenen in.

Melden • AP – Beleidsregels voor toepassing van artikel 34a v.d. Wbp, hoofdstuk 7 t/m 9


23

Geen melding Melding kan achterwege blijven als de betreffende persoonsgegevens onbe grijpelijk (encryptie) of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. 3. Aangifte doen bij de politie Als er sprake is van cybercrime/virtuele diefstal (moedwillig misbruik/schade aangebracht, virtuele spullen gestolen), is het wenselijk dat u aangifte doet bij de politie. Hier is sprake van bij verlies van beschikbaarheid, vertrouwelijkheid of integriteit van informatie door bijvoorbeeld ransomware, cryptoware of een hack. Aangifte is verplicht wanneer ICT-voor zieningen worden misbruikt en hierbij vermoedens bestaan van een ernstig misdrijf conform artikel 160 van het wetboek van strafrecht. Bij twijfel kunt u deskundige hulp inschakelen, bijvoorbeeld van een beveiligingsadviesbureau of een particulier recherchebureau, om het onderzoek te begeleiden of het beveilig ingsincident op te volgen. Indien het datalek is ontstaan door computervredebreuk (‘hacking’), kunt u hiervan aangifte doen. Het is zeker aan te bevelen om dit te doen als blijkt dat er misbruik gemaakt is van gegevens of als er financiële schade is geleden. Politie en Openbaar Ministerie besluiten zelf tot onderzoek en eventueel vervolging over te gaan.

ACTIES Van alle criminaliteit kunt u aangifte doen via het telefoonnummer 09008844 of bij uw lokale wijkteam. Van een aantal delicten kunt u ook online aangifte doen. https://www.politie.nl/ themas/cybercrime.html of anoniem via https://www.meldknop.nl/mis bruik/virtuele-diefstal/

Tip Bij een aangifte is het belangrijk om zoveel mogelijk sporen te verzamelen of de sporen in ieder geval niet te wissen zodat de politie deze veilig kan stellen. 4. Melden bij het NCSC Het melden van cybercrime bij het NCSC is niet verplicht maar levert een substantiële bijdrage aan het inzichtelijk maken van cybercrime. De meldingen leveren ook een bijdrage aan de beleidsformulering van diverse (overheids)instanties. Van een melding wordt geen proces-verbaal opgemaakt.

ACTIE Een melding doen aan het NCSC kan via [email protected] en in noodgevallen buiten kantooruren [email protected].

STAP 4: DICHTEN VAN EEN DATALEK Om te kunnen bepalen hoe een datalek het best verder kan worden afgehandeld, is het noodzakelijk om eerst te bepalen of het lek voor de organisatie beheersbaar is. Als dat niet zo is, dan is het verstandig het incident te escaleren en op te schalen naar de calamiteitenprocedure.

ACTIES • Bepaal waar het lek vandaan komt. • Bepaal de omvang van het lek. • Bepaal of het lek beheersbaar is; zo niet, schaal dan op naar de gangbare calamiteitenprocedure. • Bepaal of er gerelateerde incidenten waarneembaar zijn. • Zo ja, bepaal welke noodmaatrege len genomen kunnen worden.

STAP 5: BORGEN VAN VEILIGHEID Als het lek eenmaal is gedicht met behulp van noodmaatregelen, dan kan de organisatie overgaan tot het omzetten van de noodmaatregelen naar structurele maatregelen om herhaling van een soortgelijk incident te voorkomen.

ACTIES • Voer technische, organisatorische en beleidsmaatregelen door om het lek te dichten. • Beschrijf de genomen maatregelen en registreren deze bij of in de incidentenregistratie.

Maatregelen • UvW – Baseline informatiebeveiliging waterschappen • AP – Richtsnoeren beveiliging van persoonsgegevens


25

BIBLIOGRAFIE • Jean Pierre, G. Kuipers, & R. De Bruijn. (2015, November). Meldplicht datalekken, versie 2.0. Centrum voor Informatiebeveiliging en Privacybescherming, Domeingroep Privacy. Retrieved from: http://www.cip-overheid.nl/wp-content/uploads/2015/11/ 20151130_meldplicht_v2_0_def01.11.pdf • Polderdijk-Rijntjes, M. van Heumen, A. Paulissen, & H. Alfons. (2014a, December). Model Privacy Impact Assessment; PIA risico formulier. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank /2015/201412-pia-risicoformulier.pdf • Polderdijk-Rijntjes, M. van Heumen, A. Paulissen, & H. Alfons. (2014b, December). Model Privacy Impact Assessment; Toelichting en invulinstructie bij gebruik van het PIA risico formulier. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/ binaries/content/assets/surf/nl/kennisbank/2015/201412---model-privacy-impactassessment.pdf • European Commission, Article 29 data protection working party. (2012, July 1). Opinion 05/2012 on Cloud Computing. European Commission, Article 29 data protection working party. Retrieved from: http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2012/wp196_en.pdf • Baseline Informatiebeveiliging Waterschappen. (2013, Oktober). Unie van Waterschappen. Retrieved from: https://www.uvw.nl/wp-content/uploads/2013/10/ Baseline-Informatiebeveiliging-waterschappen-2013.pdf • Dataclassificatie: Een operationeel product op basis van de Baseline Informatiebeveiliging Waterschappen (BIWA). (2014, November 13). Taskforce Bestuur & Informatieveiligheid Dienstverlening. Retrieved from: https://informatieveiligheid. pleio.nl/file/download/29245022

• Bewerkersovereenkomst. (2014, February). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/140218-bewerkersovereenkomst-v1.0.pdf • CBP Richtsnoeren, Beveiliging van persoonsgegevens. (2013, February). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/ downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf • CBP Richtsnoeren, Publicatie van persoonsgegevens op internet. (2007, December). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/ default/files/downloads/rs/rs_20071211_persoonsgegevens_op_internet_definitief.pdf • Handleiding Wet bescherming persoonsgegevens. (2002, April), Ministerie van justitie. Retrieved from: https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/ brochures/2006/07/13/handleiding-wet-bescherming-persoonsgegevens/handleidingwet-bescherming-persoonsgegevens.pdf • Van Cauwenberghe, M. Zwinkels, L. Petersen, W. Bakker, R. Hageman, & C. Baartsmans. (2014, December). Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming. (SURF Projectgroep “Voorbereideing Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2015/201501--raamwerk-privacy-avg.pdf • De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp): Beleidsregels voor toepassing van artikel 34a van de Wbp. (2015, December 8). College bescherming persoonsgegevens. Retrieved from: https://cbpweb.nl/sites/default/files/ atoms/files/beleidsregels_meldplicht_datalekken.pdf • Dr. C. Cuijpers, Prof. R. Leenes, S. Olislaegers, LLM, & Prof. K. Stuurman. (n.b.). Rapport De wolk in het onderwijs; Privacy aspecten bij cloud computing services. SURFnet/ Kennisnet. Retrieved from: https://www.surf.nl/kennis-en-innovatie/kennisbank/2011/ whitepaper-de-wolk-in-het-onderwijs-privacyaspecten-bij-cloud-computingservices.html • F. Pingen, B. van den Heuvel, S. Capkin, R. Meijer, J. Gall, & C. Baartmans. (2014, December). Model Beleid Verwerking Persoonsgegevens. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming” en SURFibo, Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/ nl/kennisbank/2015/201501---model-beleid-verwerking-persoonsgegevens.pdf


27

• F. Pingen, B. van den Heuvel, S. Capkin, R. Meijer, J. Gall, & C. Baartmans. (2015, January). Leidraad Model Beleid Verwerking Persoonsgegevens. (SURF Projectgroep “Voorbereiding Implementatie Algemene Verordening Gegevensbescherming,” Ed.). SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/kennis bank/2015/201501---leidraad-beleid-verwerking-persoonsgegevens.pdf • G.W. Van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001a, April). Raamwerk Privacy Audit. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: https://www.privacy-audit-proof.nl/readfile. aspx?ContentID=41152&ObjectID=383730&Type=1&File=0000022882_Raamwerk_ Privacyaudit.pdf • G.W. Van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001b, April). WBP Quickscan. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: http://www.svcnet.nl/handboek2/TL_Tools/5-wet_en_ regelgeving/WBP_Quickscan.pdf • G.W. van Blarkom, J.P.M.J. Leerentveld RA, & drs. R. Schreijnders. (2001, April). WBP Zelfevaluatie. CBPWEB Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit. Retrieved from: http://www.suprida.nl/wp/wp-content/uploads/wbp_zelf evaluatie.pdf • Handreiking communicatieplan informatiebeveiliging. (2015, Maart). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www. ibdgemeenten.nl/wp-content/uploads/2015/03/15-0320-Handreikingcommunicatieplan-informatiebeveiliging-v1.0.pdf • Handreiking dataclassificatie. (2013, Oktober). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/ uploads/2014/04/13-1018-handreiking-dataclassificatie.pdf • Handreiking vrijstellingsbesluit Wbp. College bescherming persoonsgegevens. Retrieved from: https://autoriteitpersoonsgegevens.nl/nl/melden/handreikingvrijstellingsbesluit-wbp • Leidraad om te komen tot een praktijk van Responsible Disclosure. (n.d.). Nationaal Cyber Security Centrum. Retrieved from: https://www.rijksoverheid.nl/binaries/ rijksoverheid/documenten/richtlijnen/2013/01/03/leidraad-om-te-komen-tot-eenpraktijk-van-responsible-disclosure/pers-5766b-document-responsible-disclosur-1.pdf

• M. Cuperus, & D. Van Es. (2014, July 9). Implementatiehandleiding responsible disclosure. SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/surf/nl/ kennisbank/2015/implementatiehandleiding-responsible-disclosure.pdf • mr. dr. B.W. Schermer, & mr. drs. M. Wubben. (2014). Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan? Considerati. Retrieved from: http://www. cip-overheid.nl/wp-content/uploads/2014/05/Whitepaper-PIA.pdf • Privacy Impact Assessment (PIA), Introductie, handreiking en vragenlijst, versie 1.2. (2015, November). Norea. Retrieved from: http://www.norea.nl/readfile.aspx?ContentID= 82987&ObjectID=1265283&Type=1&File=0000042779_PIA%20versie%201.2%20def.pdf • Project Moore in opdracht van SURF. (2015, Mei). Handreiking Meldplicht Datalekken; Een stappenplan. SURF. Retrieved from: https://www.surf.nl/binaries/content/assets/ surf/nl/kennisbank/2015/150416-stappenplan-en-vraagbaak-meldplicht-datalekken_ v2.pdf • Responsible Disclosure. (2014, February). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/140221-Responsible-disclosure-1.0.pdf • Toelichting PIA. (2014, Maart). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/14-0404Toelichting-PIA-v1.0.pdf • Verslag PIA. (2014, April). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/14-0404Verslag-PIA-v1.0.pdf • Voorbeeld incidentmanagement en responsebeleid. (2013, November). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/13-1111-voorbeeldincident-management-en-response-beleid.pdf • Vragenlijst PIA. (n.d.). Kwaliteitsinstituut Nederlandse Gemeenten (KING). Retrieved from: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/14-0404-VragenlijstPIA-v1.0.pdf


29

BIJLAGEN 31 BIJLAGE 1 NADERE TOELICHTING OP DE WET BESCHERMING PERSOONSGEGEVENS 39 BIJLAGE 2 DE AANKOMENDE ALGEMENE V ERORDENING GEGEVENSBESCHERMING 44

BIJLAGE 3 ARCHIEFWET

46

BIJLAGE 4 WET OPENBAARHEID VAN BESTUUR

48

BIJLAGE 5 BASISREGISTRATIES

BIJLAGE 1 NADERE TOELICHTING OP DE WET BESCHERMING PERSOONSGEGEVENS 1. ALGEMEEN De Wbp is in 2001 in werking getreden en is de implementatie van de Europese priva cyrichtlijn ( 95/46/EG). De Wbp geldt voor private organisaties en overheden. Heeft de verwerking van per soonsgegevens uitsluitend betrekking op persoonlijke of huishoudelijke activiteiten dan is de Wbp niet van toepassing. Verder is de Wbp niet van toepassing op de verwerking van persoonsgegevens: • Ten behoeve van inlichtingenen veilig heidsdiensten (Wet op de inlichtingenen veiligheidsdiensten 2002) en de uitvoering van de politietaak (Politiewet 2012). • Die geregeld is op grond van de Wet basisregistratie personen. • Ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens. • Ten behoeve van de uitvoering van de Kieswet.

Wanneer een wet specifieke regels heeft over de bescherming van persoons gegevens dan hebben deze specifieke regels voorrang op de regels van de Wbp. Voorbeelden van dergelijke wetten zijn de Algemene wet inzake rijksbelastingen, de Wet openbaarheid van bestuur en de Archiefwet. De Wbp blijft verder wel van toepassing naast deze wetten. Wanneer zijn gegevens persoons gegevens? De Wbp beschrijft een persoonsgegeven als volgt:

Persoonsgegeven Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Gegevens zijn persoonsgegevens als deze hetzij direct (bijvoorbeeld naam van een persoon, foto’s en videobeelden van bevei lingscamera’s waar personen opstaan), hetzij indirect (identificatienummer, IPadres) tot identificatie leiden. Het gaat om gegevens die een persoon identificeren of mogelijk kunnen identificeren. Hierbij kan


31

het gaan om objectieve informatie (feiten) als ook subjectieve informatie (meningen

Op welke verwerking van persoons gegevens is de Wbp van toepassing?

en oordelen).

De Wbp is van toepassing op persoons gegevens die:

De Wbp kent ook bijzondere persoons gegevens. Hieronder is kort aangegeven wat daaronder verstaan wordt. Het verwerken van bijzondere persoons gegevens is verboden, tenzij voldaan is aan de extra strikte regels uit de Wbp.

• Geheel of gedeeltelijk geautomatiseerd verwerkt worden. • Niet geautomatiseerd verwerkt worden én in een bestand zijn opgenomen. • Of bestemd zijn om in een bestand te worden opgenomen.

Bijzondere persoonsgegevens Persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en het BSN.

Bestand Een bestand is volgens de Wbp elk gestructureerd geheel van persoons gegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

Wat wordt bedoeld met het verwerken van persoonsgegevens? Bij het verwerken van persoonsgegevens gaat het om elke handeling of elk geheel van handelingen met betrekking tot

Verantwoordelijke Het is steeds de verantwoordelijke die moet voldoen aan de bepalingen van de Wbp. De verantwoordelijke is de natuurlijke- of rechtspersoon of het

persoonsgegevens al dan niet op geautomatiseerde wijze. Het omvat het gehele proces dat een gegeven doormaakt vanaf het moment van verzamelen tot en met het moment van vernietiging.

bestuursorgaan dat het doel en de middelen voor de gegevensverwerking vaststelt: bij het waterschap formeel het dagelijks bestuur. De verantwoordelijke kan een derde namens hem persoons gegevens laten verwerken. De verantwoordelijke is bevoegd om te bepalen welke gegevens verwerkt worden, met welk doel, hoe lang en met welke middelen. Met andere woorden de verantwoordelijke heeft zeggenschap over de persoonsgegevens en beslist over het gebruik van persoonsgegevens zoals het doorgeven aan derden. Deze zeggenschap kan alleen of met anderen worden uitgeoefend. Hieraan doet

Voorbeelden van verwerken Verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, uitwissen, vernietigen.

niet af dat de verantwoordelijke met het verwerken van persoonsgegevens derden

van (intern) beheer. De verantwoordelijke die gegevens te zijnen behoeve buiten zijn

van dienst wil zijn.

rechtstreeks gezag verwerkt wil hebben is op grond van artikel 14, tweede lid, verplicht een overeenkomst met de bewerker aan te gaan. Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslis singen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz. Zou hij immers deze zeggenschap wel verwerven dan dient hij als verantwoordelijke te worden aan gemerkt.”

Bewerker De verantwoordelijke kan een derde namens hem persoonsgegevens laten verwerken. Deze derde, de bewerker genaamd, verwerkt persoonsgegevens ten behoeve van de verantwoordelijke zonder dat hij ondergeschikt is aan de verant woordelijke. De bewerker verwerkt de persoonsgegevens volgens de instructies van de verantwoordelijke en onder de verantwoordelijkheid van de verant woordelijke. De bewerker bepaalt niet het doel van de verwerking en ook niet de middelen voor de verwerking van de persoonsgegevens. Ook de bewerker heeft rechten en plichten op grond van de Wbp. Memorie van toelichting bij de Wbp: “De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verant woordelijkheid. Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegevens gepaard gaat. De bewerker is allereerst een buiten de organisatie van de verantwoordelijke staande persoon of instelling. Het zal veelal gaan om een persoon of instelling die niet in een hiërarchische relatie tot de verantwoordelijke staat. Daar waar een hiërarchische relatie bestaat met de verantwoordelijke moet worden gesproken

Betrokkene De betrokkene is de persoon op wie de persoonsgegevens betrekking hebben.

2. VERPLICHTINGEN OP GROND VAN DE WBP Op grond van de Wbp moet de verwerking van persoonsgegevens aan de volgende voorwaarden voldoen: a. Persoonsgegevens worden in overeen stemming met de wet op behoorlijke en zorgvuldige wijze verwerkt. b. Persoonsgegevens worden voor wel bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. c. Persoonsgegevens mogen slechts worden verwerkt op grond van een zestal limita tief in de Wbp benoemde situaties.


33

d. Er worden niet meer gegevens verwerkt dan strikt noodzakelijk is

hebben betrekking op verwerkingen die veel voorkomen, die standaard zijn en

voor het uiteindelijke doel. e. De gegevens worden in principe niet gebruikt voor andere doelen dan waarvoor ze zijn verzameld. f. De organisatie heeft de betrokken burger laten weten wat de organisatie met de gegevens doet. g. De gegevens mogen niet langer worden bewaard dan noodzakelijk. h. Er zijn passende technische en organi satorische maatregelen getroffen om de gegevens te beschermen. i. De verantwoordelijke informeert de betrokkene over de verwerking van zijn persoonsgegevens. j. De geheel of gedeeltelijk geautomati seerde verwerking van persoonsgegevens moet gemeld worden bij de AP.

waarvan bekend is dat deze plaatsvinden. Wanneer de in het Vrijstellingsbesluit genoemde verwerkingen plaatsvinden volgens de regels van dit besluit geldt de verplichting tot melden niet.

College Bescherming Persoonsgegevens (CBP) De Wbp voorziet in een onafhankelijk toe zichthouder, het College Bescherming Persoonsgegevens (CBP), voortaan ook de Autoriteit Persoonsgegevens (AP) ge noemd. Het CBP houdt toezicht op de naleving van alle wetten die het gebruik van persoonsgegevens regelen. Het vrijstellingsbesluit (zie j.) De geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens moet gemeld worden bij de AP. Het aanmelden van alle gegevensverwerkingen is admini ‑stratief en organisatorische niet haalbaar. Op grond van het vrijstellingsbesluit zijn een aantal categorieën van verwerkingen van persoonsgegevens dan ook vrijgesteld van melding bij de AP. De vrijstellingen

Indien een organisatie een functionaris voor de gegevensbescherming heeft aan gesteld dan kan de verplichte melding van een gegevensverwerking ook plaatsvinden bij de functionaris in plaats van bij de Autoriteit Persoonsgegevens. Het benoe men van een functionaris voor de gegevensbescherming doet echter niets af aan de bevoegdheden van de AP. De functi onaris moet in een register bijhouden welke gegevensverwerkingen bij hem zijn gemeld. Doelverbinding (zie b.) Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden ver zameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn. • Het doel moet dus vooraf zijn beschre ven, vóór het moment van verzamelen van de persoonsgegevens. • Persoonsgegevens mogen later ook worden gebruikt voor andere doelen, mits niet onverenigbaar met de doel einden waarvoor ze zijn verkregen. Wat onverenigbaar is hangt af van de omstandigheden en het specifieke geval. Bij de beoordeling moet in ieder geval met de volgende factoren rekening worden gehouden:

- Verwantschap tussen doel waarvoor gegevens zijn verkregen en het beoogde doel. - Aard van de gegevens. - Gevolgen van de beoogde verwerking voor de betrokkene. - De wijze waarop de gegevens zijn verkregen. - Verwachting betrokkenen. - De mate waarin jegens de betrokkene wordt voorzien in passende waar borgen. Onder bepaalde voorwaarden is het toegestaan de persoonsgegevens te gebruiken/verder te verwerken voor een ander doel dan waarvoor ze verzameld zijn (zie e.). Een belangrijke voorwaarde is dat er een duidelijke verwantschap is tussen het oorspronkelijke doel en het doel waarvoor de gegevens verder verwerkt worden. Ook moet rekening worden gehouden met de gevolgen van de verdere verwerking voor betrokkene. Zes (limitatieve) grondslagen voor verwerking (zie c.) I. Ondubbelzinnig toestemming van de betrokkene. II. Noodzakelijk voor de uitvoering van een overeenkomst. III. Noodzakelijk om een wettelijke verplichting na te komen. IV. Noodzakelijk ter vrijwaring van een vitaal belang van betrokkene. V. Noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.

VI. Noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke tenzij de rechten en vrijheden van de betrokkene (in het bijzonder recht op de bescher ming van de persoonlijke levenssfeer) prevaleert.

Let op! Als gekozen is voor de grondslag “toestemming van betrokkene” en betrokkene trekt zijn toestemming in dan ontbreekt op dat moment een grondslag voor de verwerking van betreffende persoonsgegevens. Dat betekent dat vervolgens een rechtsgeldige grondslag gevonden moet worden voor de verwerking van betreffende persoonsgegevens. Betrokkene moet op de hoogte gesteld worden van deze (nieuwe) grondslag. Is na intrekking van de toestemming geen andere grondslag van toepassing dan moeten betreffende persoonsgegevens verwijderd worden. Grondslag verwerken persoonsgegevens Het heeft sterk de voorkeur om de grondslag “toestemming van betrokkene” alleen te kiezen als geen enkele andere grondslag van toepassing is.


35

Proportioneel en subsidiair (zie d.) Er mogen niet meer gegevens worden

• Betrokkene kan bij de verantwoordelijke verzet aantekenen, op grond van zijn

verwerkt dan strikt noodzakelijk is voor het uiteindelijke doel.

bijzondere persoonlijke omstandig heden, tegen het verwerken van zijn persoonsgegevens. Dit kan alleen als zijn persoonsgegevens verwerkt worden op grond van: - Noodzakelijkheid voor publiekrechte lijke taak (zie onder “zes limitatieve grondslagen voor verwerking”). - Noodzakelijkheid voor een gerecht vaardigd belang (zie onder “zes limitatieve grondslagen voor verwerking”). • Betrokkene kan altijd verzet aantekenen bij verantwoordelijke tegen het ver werken van zijn persoonsgegevens als er sprake is van direct marketingdoel einden. Naar aanleiding van verzet moet de verantwoordelijke direct maatregelen treffen om de verwerking te beëindigen.

• Overwogen moet worden of de persoons gegevens (nog) noodzakelijk zijn voor het beschreven doel. Dat wil zeggen nagegaan moet worden of met minder gegevens hetzelfde doel bereikt worden, of via een andere weg (minder ingrij pend) het doel bereikt kan worden. • Daarnaast moet een organisatie het belang en rechten van personen afwe gen tegen het belang van de organisatie. De gevoeligheid van informatie en de getroffen beveiligingsmaatregelen spelen hierbij een rol. Termijn van bewaren persoonsgegevens (zie g.) De noodzaak van het bewaren van persoonsgegevens is gerelateerd aan het bereiken van het doel waarvoor de per soonsgegevens zijn verzameld. Kort gezegd: is het doel bereikt, dan is er (in principe) geen noodzaak meer voor het bewaren van de persoonsgegevens. Daarnaast moet wel rekening worden gehouden met bewaartermijnen uit specifieke wetgeving zoals belastingwetten en de Archiefwet.

3. RECHTEN VAN BETROKKENEN: INZAGE, CORRECTIE, VERZET • Betrokkene heeft het recht om de ver antwoordelijke te verzoeken om inzage en correctie van zijn persoonsgegevens.

Recht op inzage De rechter heeft bepaald dat het recht op inzage zeer ruim moet worden opgevat. Wanneer een betrokkene vraagt of van hem persoonsgegevens worden verwerkt dan moet, wanneer dit het geval is, hiervan schriftelijk een volledig overzicht worden verstrekt in begrijpelijke vorm. Het is niet voldoende om globale informatie te verstrekken over de verwerkte persoons gegevens. De Wbp vereist niet dat betrokkene een doel, belang of reden aangeeft waarom hij zijn persoonsgegevens wil inzien. Het is voldoende als een persoon een beroep doet op het recht van inzage dat in de Wbp is vastgelegd (artikel 35 Wbp).

Welke verzoeken mogen worden afge wezen: • Verzoeken die zeer vaak, meer dan gemiddeld, worden ingediend. Met andere woorden, er is geen sprake meer van “redelijke tussenpozen”. • Buitensporige verzoeken. De vereiste inspanning van de verantwoordelijke om aan het verzoek te voldoen staat niet meer in verhouding tot het verzoek. De verantwoordelijke zal dit moeten aantonen. Het aan betrokkene te verstrekken volledige overzicht van de verwerkte persoonsgegevens moet tevens de volgende informatie bevatten: • Een omschrijving van het doel of de doeleinden van de verwerking. • De categorieën van gegevens waarop de verwerking betrekking heeft. • Wie of welke categorieën van personen de persoonsgegevens hebben ontvangen. • De herkomst van de persoonsgegevens. Beantwoording van het verzoek moet binnen vier weken nadat het verzoek is ontvangen. De schriftelijke beantwoording is een besluit (beschikking) in de zin van de Algemene wet bestuursrecht. Bezwaar en beroep tegen dit besluit zijn mogelijk door belanghebbenden.

geen betrekking hebben op persoons gegevens. Behandel het verzoek dan als twee verzoeken: een Wob-verzoek en een artikel-35-Wbp-verzoek.

4. RECHTSBESCHERMING Wanneer een bestuursorgaan een beslissing neemt naar aanleiding van een door een betrokkene uitgeoefend recht (recht van inzage, correctie, verzet), dan is deze beslissing een besluit in de zin van de Algemene wet bestuursrecht (bezwaar en beroep mogelijk volgens regels Awb). Is de beslissing genomen door een ander dan een bestuursorgaan én betrokkene is niet akkoord met deze beslissing dan kan betrokkene zich tot de rechtbank wenden en een verzoekschrift indienen.

5. BEWERKERSOVEREENKOMST Wanneer de verantwoordelijke persoons gegevens door een bewerker laat verwerken is hij verplicht hiervoor een overeenkomst met de bewerker af te sluiten. Deze overeenkomst moet expliciet betrekking hebben op het verwerken van de persoonsgegevens. Het contract mag niet betrekking hebben op een vorm van dienstverlening waar de gegevens verwerking slechts een uitvloeisel van is.

Het kan voorkomen dat het verzoek om inzage van persoonsgegevens tevens een Wob-verzoek is. Dit is aan de orde wanneer betrokkene ook om gegevens vraagt die


37

Opmerking Wanneer de taak van het opleggen en innen van belastingen door het waterschap is overgedragen aan een gemeenschappelijke regeling (GR), dan is deze GR géén bewerker. Het dagelijks bestuur van de GR is zelf verantwoordelijke voor het verwerken van persoonsgegevens in het kader van het opleggen en innen van belastingen.

De taak van de FG omvat onder meer het volgende: • Toezien dat de verwerking van per soonsgegevens in de organisatie in overeenstemming is met de wet en doen van aanbevelingen. • Het inventariseren van gegevensver werkingen. • Het bijhouden van meldingen van gegevensverwerkingen in een register. • Voorlichting en klachtenbehandeling.

6. FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING De Wbp biedt ook de mogelijkheid om een interne toezichthouder aan te stellen: de functionaris voor de gegevensbescherming (FG). De verplichte melding van gegevens verwerkingen vindt dan plaats bij deze functionaris in plaats van bij de AP. Het benoemen van een FG sluit controle door de AP niet uit. De FG is geen verlengde arm van de AP, maar kan als intermediair optreden tussen de verantwoordelijke en de AP. De AP behoudt zijn taken en bevoegdheden ten aanzien van organisaties die een FG hebben aangesteld, maar zal zich wat toezicht betreft terughoudend opstellen ten aanzien van organisaties waar de FG naar behoren functioneert.

7. NIET NALEVEN VAN DE WET BESCHERMING PERSOONSGEGEVENS Op het moment dat de Wbp of daarop gebaseerde regelingen niet worden nageleefd, kan iedereen die als gevolg daarvan schade lijdt deze schade op de verantwoordelijke verhalen. Er geldt hier een omgekeerde bewijslast, dat wil zeggen de verantwoordelijke moet bewijzen dat de schade hem niet kan worden toegerekend. Daarnaast kunnen organisaties op grond van deze wet zowel strafrechtelijke als bestuursrechtelijk sancties opgelegd worden. (De AP kan bijvoorbeeld bij onterecht niet aangemelde gegevens verwerkingen een boete opleggen per overtreding).

BIJLAGE 2 DE AANKOMENDE ALGEMENE VERORDENING GEGEVENSBESCHERMING Op 25 januari 2012 heeft de Europese Commissie een voorstel voor een Algemene Verordening Gegevens bescherming (AVG) ingediend bij het Europees Parlement. De AVG heeft als doel: • De bescherming van natuurlijke personen voor zover het de verwerking van persoonsgegevens betreft. • Het vrije verkeer van deze persoons gegevens. De AVG vervangt de huidige Privacyrichtlijn 95/46/EG die door de lidstaten op verschillende wijze geïmplementeerd is in de nationale wetgeving. Deze Privacy richtlijn sluit niet goed aan op technologische ontwikkelingen en globa lisering. De AVG heeft rechtstreekse werking zodat in de hele EU dezelfde privacyregels van kracht zullen zijn. De wijzigingen die de AVG met zich meebrengt zijn geen principiële wijzigingen. Het betreft vooral een aanscherping van verplichtingen van de verantwoordelijken en bewerkers, en meer rechten voor betrokkenen. Verder is de AVG afgestemd op onlineontwikkelingen.

Het Europees Parlement en de Raad van de EU oefenen samen de wetgevingstaak uit. Inmiddels heeft het Parlement diverse wijzigingen voorgesteld t.a.v. het voorstel van de Europese Commissie. Het gewijzigde voorstel is op 12 maart 2014 door het Europees Parlement met grote meerderheid aangenomen. Ook de Raad heeft een standpunt ingenomen ten aanzien van de teksten van de AVG. Het is nu wachten op de definitieve versie van Parlement en Raad samen. Verwacht wordt dat de Verordening begin 2016 in werking treedt. Daarna geldt een invoeringstermijn van 2 jaar. Dat betekent dat voor de verwerkingen van persoons gegevens binnen de EU er nog twee jaren de tijd is om deze te laten voldoen aan de regels van de AVG. De AVG heeft rechtstreekse werking. In alle lidstaten is de AVG dus direct bindend. Nationale afwijkingen van de AVG zijn alleen mogelijk als de AVG zelf die mogelijkheid biedt. Bij inwerkingtreding van de AVG komt de Wet bescherming persoonsgegevens (Wbp) te vervallen.

Veel van de kernverplichtingen van de AVG zijn ook opgenomen in de huidige

In de versie van het Parlement wordt niet gesproken over het bijhouden van

Wbp. Hieronder volgt een aantal belangrijke nieuwe bepalingen uit de AVG zoals die zijn opgenomen in de versie van de Raad van de EU. Indien het voorstel van het Parlement hier duidelijk van afwijkt is dat aangegeven.

registers, maar over het bewaren van bijgewerkte documenten. Strekking van het artikel is wel gelijk gebleven.

NB: Deze toelichting is bijgewerkt tot 31  december 2015.

DOCUMENTATIEPLICHT De verantwoordelijke moet kunnen aantonen dat de verwerking van persoons gegevens in overeenstemming is met de AVG. Alle verantwoordelijken moeten een register bijhouden van alle categorieën van verwerkingen van persoonsgegevens waar zij verantwoordelijk voor zijn. Dit geldt ook voor de verwerker (in de Wbp wordt de term “bewerker” gebruikt) die namens verantwoordelijken persoons gegevens verwerkt.

INFORMATIEPLICHT De verantwoordelijke moet passende maatregelen nemen om betrokkene te informeren over de persoonsgegevens die van betrokkene verwerkt worden. De informatie moet in een begrijpelijke en gemakkelijke vorm worden gegeven en in duidelijke en eenvoudige taal. Gegevensbescherming by design en by default

Privacy by design De vereisten van de AVG voor de bescherming van gegevens zijn op voorhand verwerkt in de technische en organisatorische maatregelen die de verantwoordelijke neemt ter bescherming van persoonsgegevens.

In het register moet onder andere vermeld worden: naam en contactgegevens verant woordelijke/verwerker, doel van de verwerking, beschrijving van de categorieën, wie zijn de ontvangers van de gegevens, wanneer gegevens wissen, beschrijving technische en organisa torische bevei ligingsmaatregelen.

Privacy by default Standaardinstellingen van een programma, app, website bieden maximale privacy.

De meldplicht van verwerkingen bij de AP zoals die in de Wbp is opgenomen komt in de AVG niet meer terug.

Verwerkingen van persoonsgegevens met een hoog risico worden voordat de verwer king start door de verantwoordelijke beoordeeld op het effect van de voor

PRIVACYEFFECTBEOORDELING (PRIVACY IMPACT ASSESSMENT OFWEL PIA)


41

genomen verwerkingsactiviteiten op de bescherming van persoonsgegevens. Met hoog risico wordt gedoeld op risico’s op discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatie schade, ongeoorloofde ongedaan making van pseudonimisering, verlies van ver trouwelijkheid van door het beroepsgeheim beschermde gegevens, of elke andere aan zienlijke economische of maatschappelijke schade. In de versie van het Parlement worden deze risico’s niet benoemd. Deze beoordeling is bijvoorbeeld ook vereist wanneer nieuwe technologieën worden gebruikt voor de gegevensbescherming. De beoordeling bevat in ieder geval een beschrijving van de maatregelen die de risico’s moeten beperken. Gedragscode Gedragscodes kunnen worden opgesteld voor categorieën van verwerkingen van persoonsgegevens. De AP kan gedrag scodes goedkeuren. Het gebruik door een verantwoordelijke/verwerker van een goedgekeurde gedragscode draagt bij aan het “bewijs” dat er conform de AVG wordt gewerkt.

CORRIGERENDE BEVOEGDHEDEN EN ADMINISTRATIEVE GELDBOETES BIJ OVERTREDING VAN DE AVG: Iedere lidstaat bepaalt bij wet dat het toezichthoudende orgaan (in Nederland de AP) bevoegdheden krijgt om de verant woordelijke/verwerker te corrigeren als deze niet voldoet aan de AVG. Voorbeelden hiervan zijn: waarschuwing, berisping, tijdelijke beperking opleggen voor het verwerken. Voor het niet voldoen aan de AVG kan de AP op grond van de AVG geldboetes opleggen, naast of in plaats van een corrigerende maatregel. De geldboetes kunnen oplopen tot maximaal 1 miljoen Euro of in geval van een onderneming ten hoogste 2% van de in het vorige boekjaar gerealiseerde totale jaarlijkse wereldwijde omzet.

Parlement: boete is maximaal 100 000 000 euro of maximaal 5% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is.

CERTIFICERING De AVG biedt de mogelijkheid om certificeringsmechanismen voor gege vensbescherming vast te stellen door lidstaten. Met een certificering kan worden aangetoond dat de AVG wordt nageleefd door de verantwoordelijke/verwerker. Een certificering mag voor maximaal 3 jaren worden afgegeven, met een maximale verlenging van 3 jaren.

DOORGIFTE PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES: Wanneer de Europese Commissie heeft besloten dat het derde land/internationale organisatie een passend beschermings niveau heeft mogen de persoonsgegevens daaraan worden doorgegeven. Ontbreekt dit besluit dan zijn er nog andere gronden

waarop persoonsgegevens mogen worden doorgegeven aan derde landen/inter

• Wanneer de verwerking wordt uitge voerd door een overheidsinstantie of

nationale organisaties. Bijvoorbeeld: De verantwoordelijke biedt in een juridisch instrument garanties voor de bescherming van de persoonsgegevens. Betrokkene heeft na volledige uitleg van de situatie toestemming gegeven. Er is een algemeen belang gemoeid met de doorgifte van de persoonsgegevens.

-orgaan. • De verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen geduren de een achtereenvolgende periode van 12 maanden.

AANWIJZING FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING (DATA PROTECTION OFFICER): De verantwoordelijke kan een functionaris voor de gegevensbescherming aanstellen. Deze aanstelling kan ook verplicht zijn op grond van nationale wetgeving of wet geving van EU. Deze privacyfunctionaris: • Is deskundig op het gebied van wet geving en de praktijk van bescherming van persoonsgegevens. • Voert zijn taken onafhankelijk uit. • Kan extern worden ingehuurd. • Geniet tot op zekere hoogte ontslag bescherming. • Kan door betrokkene altijd worden benaderd over de bescherming van de persoonsgegevens van betrokkene.

Parlement: De verantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor de gegevensbescherming aan:

MELDEN DATALEKKEN BINNEN 72 UUR (NA KENNISNAME VAN HET DATALEK) AAN DE TOEZICHT HOUDER EN BETROKKENEN Wanneer een datalek een hoog risico oplevert voor rechten en vrijheden van personen moet zowel de toezichthouder als de betrokkenen onverwijld (zonder onnodige vertraging) worden geïnfor meerd.

Het Parlement spreekt van melding bij een datalek “zonder onnodige vertraging”. Een periode van 72 uur wordt niet genoemd.

TOESTEMMING BETROKKENE VOOR GEGEVENSVERWERKING. Wanneer de verwerking van persoons gegevens is gebaseerd op toestemming van betrokkene moet de verantwoordelijke kunnen aantonen dat betrokkene ondubbelzinnig toestemming heeft gegeven. Betreft het bijzondere persoons gegevens dan moet de toestemming uitdrukkelijk zijn gegeven.


43

HET RECHT OP WISSEN VAN GEGEVENS EN RECHT OM VERGETEN TE WORDEN Betrokkene heeft het recht om van de verantwoordelijke te vragen al zijn persoonsgegevens te wissen. De verant woordelijke moet overgaan tot het wissen van deze gegevens als de verwerking gebaseerd is op toestemming van betrokkene en er geen andere rechtsgrond is voor de verwerking. De verantwoordelijke zal ook moeten zorgdragen dat derden aan wie hij de gegevens heeft verstrekt overgaan tot het wissen van die gegevens. De AVG geeft uitzonderingen op deze regel onder andere als de gegevensverwerking ziet op de vervulling van een taak van algemeen belang.

BIJLAGE 3 ARCHIEFWET Persoonsgegevens maken deel uit van archiefbescheiden. Voor overheidsorganen gelden zowel de Wbp als de Archiefwet 1995 (hierna: de Archiefwet). Deze wetten moeten naast elkaar en in onderlinge samenhang worden gelezen en toegepast. Archiefbescheiden kunnen zijn onder gebracht in archiefruimten en in archiefbewaarplaatsen. Archiefbescheiden worden tijdelijk in archiefruimten opgeslagen om te bepalen of ze (in principe na 20 jaar) eeuwig worden bewaard in een archiefbewaarplaats of worden vernietigd.

De Wbp bepaalt ook dat persoonsgegevens langer mogen worden bewaard, dan nodig is voor het doel waarvoor ze verzameld zijn, als de gegevens voor historische, statistische of wetenschappelijke doel einden worden bewaard. Dit bewaren in een archief is toegestaan als de verantwoordelijke de nodige voorzieningen treft zodat de persoonsgegevens alleen voor die specifieke doelen worden gebruikt.

Archiefbescheiden worden voor altijd bewaard in een archiefbewaarplaats.

rchiefbewaarplaats kunnen persoonsge a gevens bevatten. In de archiefbewaarplaats hebben deze persoonsgegevens een onbe paalde bewaartermijn. Dit is vastgelegd in de Archiefwet. Doel hiervan is het behoud van het Nederlandse culturele erfgoed. In de memorie van toelichting bij de Wbp is geschreven: “een goed functionerend ge heugen van de overheid is een erkend publiek belang”.

BEWAARTERMIJN Op grond van de Wbp gelden er geen specifieke bewaartermijnen voor per soonsgegevens. De Wbp schrijft voor dat persoonsgegevens voor een bepaald doel moeten worden verwerkt. Bewaren van persoonsgegevens mag alleen zolang de gegevens nodig zijn voor dat doel. Geldt er een bewaartermijn vanuit een speciale wet, zoals belastingwetgeving, dan is deze termijn van toepassing.

Archiefbescheiden die op grond van de Ar chiefwet overgebracht zijn naar een

OPENBAARHEID ARCHIEF BESCHEIDEN De gegevens in de archiefbewaarplaatsen zijn volgens de Archiefwet (in principe) openbaar. De Archiefwet biedt mogelijk heden om onder andere vanwege eerbiediging van de persoonlijke levens sfeer beperkingen te stellen aan deze openbaarheid.

ARCHIEFBEWAARPLAATS EN BIJZONDERE PERSOONS GEGEVENS De Archiefwet bepaalt dat het verbod uit de Wbp om bijzondere persoonsgegevens te verwerken in bepaalde situaties niet geldt. Zo geldt dit verbod niet voor het overbrengen van archiefbescheiden naar een archiefbewaarplaats. Zoals hiervoor vermeld is kunnen op grond van de Archiefwet beperkingen worden gesteld aan de openbaarheid gegevens.

van

bepaalde


47

BIJLAGE 4 WET OPENBAARHEID VAN BESTUUR Het uitgangspunt van de Wob is dat overheidsinformatie openbaar is, tenzij de Wob of andere bijzondere wetten bepalen dat de gevraagde informatie niet geschikt is voor openbaarmaking. Hoofdregel is dat bestuursorganen actief uit eigen beweging informatie openbaar maken zodra dit in het belang is van een goede en democratische bedrijfsvoering, zodat burgers en bedrijfsleven inzage hebben in het handelen van de overheid (actieve openbaarmaking). Daarnaast kan iedere burger, bedrijf met

een spanning op als gevraagd wordt om openbaarmaking van gegevens die de persoonlijke levenssfeer betreffen. De vraag rijst welk recht gaat voor? Er moet een belangenafweging plaats vinden. Aan de ene kant het belang van openbaarmaking aan de ander kant het belang van de persoonlijke levenssfeer van de betrokkene.

een beroep op de Wob (Wob-verzoek) informatie op vragen welke gaat over een bestuurlijke aangelegenheid vastgelegd in documenten (passieve openbaarmaking).

levenssfeer. De ene is een absolute weigeringsgrond (artikel 10, eerste lid aanhef en onder d).

Op grond van de Wbp mogen persoons gegevens slecht verwerkt worden als daarvoor een grondslag bestaat. Eén van de grondslagen is als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting. Actieve en passieve openbaarmaking op grond van de Wob is een dergelijke verplichting. Zowel het recht op “openbaarheid” als het recht op “eerbiediging van de persoonlijke levenssfeer” zijn grondrechten. Er treedt

De Wob kent enkele weigeringsgronden en beperkingen. Er bestaan twee weigerings gronden betreffende de persoonlijke

Het bestuursorgaan is gehouden geen ge gevens openbaar te maken als het bijzondere persoonsgegevens betreft in de zin van de Wbp (iemands godsdienst of levensovertuiging, ras, politieke gezind heid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, moge lijk strafrechtelijke achtergrond) en iemands persoonlijk identificatienummer betreft (art. 24). Het verstrekken van voornoemde per soonsgegevens blijft zonder meer

achterwege, tenzij de verstrekking kenne lijk geen inbreuk op de persoonlijke levenssfeer maakt. De andere weigeringsgrond is een relatieve weigeringsgrond. Het verstrekken van informatie blijft achterwege voor zover het belang niet opweegt tegen de eerbiediging van de persoonlijke levenssfeer (artikel 10, tweede lid, aanhef en onder e). Dat wil zeggen het bestuursorgaan moet afwegen welk belang voorgaat. Aan de ene kant het publieke belang van een goede en democratische bestuursvoering en aan de ander kant het privacybelang van de betrokkene. Deze regel geldt niet als betrokkene instemt met openbaarmaking.


49

BIJLAGE 5 BASISREGISTRATIES Een basisregistratie is een door de overheid officieel aangewezen registratie met daarin gegevens (adressen, persoonsgegevens, bedrijfsnamen, geo-informatie) van hoogwaardi ge kwaliteit, die door alle overheidsinstellingen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken. Er zijn 12 basisregistraties. Aan elke basisregistratie ligt een formele wet ten grondslag.

Voorbeelden • Basisregistratie personen – Wet Basisregistratie Personen • Basisregistratie kadaster – Kadasterwet • Basisregistratie voertuigen – Wegenverkeerswet • Basisregistratie grootschalige topografie – Wet basisregistratie grootschalige topografie

WET BASISREGISTRATIE PERSONEN (WET BRP) De Wbp is niet van toepassing op persoonsgegevens die vallen onder de werking van de Wet basisregistratie personen. Dit is bepaald in artikel 2 van de Wbp. Dit betekent dat regels uit de Wbp alleen van toepassing zijn op persoonsgegevens uit de Basisregistratie personen als dit in de Wet BRP zelf is geregeld. In de Wet BRP is vastgelegd dat er een basisregistratie personen is waarin zijn opgenomen persoonsgegevens van de ingezetenen van Nederland en ook van niet-ingezetenen die een relatie hebben met de Nederlandse overheid. Doel van de basisregistratie personen is overheden te voorzien van de in de basisregistratie opgenomen gegevens, voor zover deze gegevens noodzakelijk zijn voor de vervulling van de taak van een overheid. De basisregistratie heeft ook nog tot doel onder bepaalde voorwaarden derden (niet overheidsorganen) te voorzien van de in de registratie opgenomen gegevens.

Voor de persoonsgegevens die zijn opgenomen in de basisregistratie personen gelden de specifieke regels van de Wet BRP en niet de regels van de Wbp. De Wet BRP zegt dat de minister (minister van BZK) besluit tot het verstrekken van gegevens uit de BRP aan overheidsorganen. Het overheidsorgaan moet zelf om deze gegevens verzoeken en aangeven waarom deze gegevens noodzakelijk zijn voor de vervulling van zijn taak.

Voorbeeld Voor het uitvoeren van beheertaken door een waterschap vraagt het dagelijks bestuur van het waterschap de minister om gegevens uit de BRP te verstrekken. De minister neemt naar aanleiding van dit verzoek een besluit, het zogenaamde Autorisatiebesluit. In het autorisatiebesluit is vermeld waarvoor het waterschap gegevens mag opvragen uit de BRP en welke gegevens verstrekt mogen worden uit de BRP aan het waterschap.

Let op! Persoonsgegevens opgenomen in bestanden van het waterschap, afkomstig uit de BRP, vallen onder de regels van de Wbp.

OVERIGE BASISREGISTRATIES Voor de overige basisregistraties maakt de Wbp geen uitzondering. Persoonsgegevens die in andere basisregistraties dan de BRP zijn opgenomen vallen dus onder de werking van de Wbp. Daarnaast gelden voor deze persoonsgegevens de specifieke regels van de wet die ten grondslag ligt aan de basisregistratie.

Voorbeeld In de Kadasterwet is bepaald voor welke doeleinden de Dienst (Dienst voor het kadaster en de openbare registers) persoonsgegevens mag verwerken. Voor de betekenis van persoonsgegevens wordt verwezen naar de Wbp. Ook is aangegeven in de Kadasterwet dat het bestuur van de Dienst verantwoordelijke is in de zin van artikel 1, onderdeel d Wbp. Dat betekent dus dat het bestuur van de Dienst verantwoordelijk is voor het voldoen aan de bepalingen van de Wbp voor zover het persoonsgegevens betreft die verwerkt worden op basis van de Kadasterwet.


51

BEZOEKADRES Koningskade 40 2596 AA Den Haag 070 351 97 51 Nederland

POSTADRES Postbus 93218 2509 AE Den Haag Nederland [email protected] www.uvw.nl Maart 2016

HANDREIKING BESCHERMING PERSOONS GEGEVENS VOOR WATER SCHAPPEN

Recommend Documents