Onbekend

Privacy Scan VISD juni 2014

Waarom belangrijk voor gemeenten ?

Vraag

Antwoordcategorie To DO indien Nee of onbekend geantwoord Ja/Nee/ Onbekend

Bouwstenen vanuit actielijn Privacy VISD

1 Governance Deze vragen geven inzicht in de te ondernemen acties met betrekking tot de governance en organisatie van privacy. Dit is afhankelijk van de lokale situatie vanaf 2015. Elke gemeente moet nadenken over de rollen, taken en bevoegdheden als het gaat om de verwerking van persoonsgegevens. Ook de afspraken die u maakt over de verantwoording over het privacybeleid met de betrokken 1.1 partijen bepalen de governance.

Is er voor de situatie in het sociaal domein na 2015 een functionaris die expliciet verantwoordelijk is voor de verwerking van persoonsgegevens? (bijvoorbeeld een functionaris gegevensbescherming binnen de gemeente)

Ga na of er een functionaris gegevensbescherming (FG) is binnen uw gemeente (of binnen uw samenwerkingsorganitie of regio). Bespreek of deze ook verantwoordelijk kan worden voor de gegevensverwerking binnen het sociaal domein. Is er geen FG, bepaal dan wie (of welke functionaris) deze taak kan uitvoeren (wie wordt er verantwoordelijk voor het goed borgen van de privacy in het sociaal domein en monitort dit zodat er over gerapporteerd kan worden aan de Gemeenteraad)

Zijn de taken en bevoegdheden beschreven omtrent de verwerking van persoonsgegevens in het sociaal domein? ( zoals wie adviseert, controleert en rapporteert over de 1.2 verwerking en op welk niveau (binnen het team, directie en/of (deel)gemeente)

1.3

Beschrijf de taken en bevoegdheden omtrent de verwerking van persoonsgegevens binnen uw sociale domein. Dit kan op verschillende niveaus, zoals binnen het (wijk)team, directie en/of gemeente. U kunt hierbij denken aan taken als wie adviseert, controleert, rapporteert over de verwerking op welk niveau.

Heeft u juridische ondersteuning binnen uw organisatie voor privacyvraagstukken en uitwerking van wet en regelgeving naar een passend beleid?

Vraag aan de afdeling Juridische Zaken of zij u kunnen ondersteunen bij de privacyvraagstukken in het sociaal domein en de vertaling van wet en regelgeving naar een passend beleid voor uw gemeente.

Heeft u afspraken gemaakt met het college en de raad over de wijze van verantwoording over het privacybeleid? (zowel het privacybeleid van de gemeente zelf als de 1.4 verantwoording van partijen aan wie taken uitbesteed in het sociaal domein)

Maak afspraken (met het College van B&W en de Gemeenteraad) over het de wijze van verantwoording over het privacybeleid.

Meer informatie: www.visd.nl

•factsheet rollen en verantwoordelijkheden •format rollen en verantwoordelijkheden •praktijkvoorbeelden over rollen en verantwoordelijkheden



Vraag



2 Beleid Deze vragen geven inzicht waar u staat met de invulling van het privacybeleid in het sociaal domein. Het inhoudelijke beleid voor de inrichting van het sociaal domein per 1 januari 2015 bepaalt samen met het wettelijk kader de wijze waarop het privacybeleid vorm krijgt. Het beleid beschrijft uw visie op zorgvuldige verwerking van persoonsgegevens, reglementen en richtlijnen waar uw gemeente aan dient te voldoen. Wanneer u samenwerkt met externe partijen of activiteiten uitbesteedt waar persoonlijke gegevens in verwerkt worden, moet u formeel afstemmen op welke manier de partijen met deze gegevens om dienen te gaan. Dit staat beschreven in convenanten.

Is er voor de situatie in het sociaal domein vanaf 201, privacybeleid opgesteld voor uw gemeente (gebaseerd op de inhoudelijke beleidskeuzes die er gemaakt zijn)?

Stel voor de situatie in het sociaal domein vanaf 2015 privacybeleid op voor uw gemeente. In dit beleid beschrijft u de kaders waarbinnen gegevensverwerking plaatsvindt, waarbij u de inhoudelijke beleidskeuzes beschrijft (o.a. mate van integraliteit, doel gemeenten, taken wijkteam, archetype) in relatie tot de relevante (nieuwe) wettelijke kaders. Maakt u hierbij gebruik van bestaand privacybeleid binnen uw gemeente en betrek juridische zaken en de betrokken 3D-beleidsdirecties hierbij.

Zijn de diverse wettelijke kaders (onder andere Jeugdwet, WMO, BRP, WBP) voor het verwerken, beheren en delen van gegevens binnen het sociaal domein bekend en beschreven in uw privacybeleid?

Uw privacybeleid zal voor een groot gedeelte gebaseerd zijn op bestaande weten regelgeving. Het is dan ook van belang dat de betrokken jurist op de hoogte is van de wettelijke kaders die voor uw gemeente in het sociale domein van toepassing zijn.

Heeft u met alle partijen waarmee u vanaf 1 januari 2015 persoonsgegevens uitwisselt binnen het sociaal domein ook contracten of convenanten afgesloten waarin regels staan beschreven hoe er met deze gegevens moet worden omgegaan?

Zorg ervoor dat u privacyconvenanten afsluit met de partijen met wie uw vanaf 1 januari 2015 persoongegevens gaat delen. In veel gevallen zal dit gaan om een wijkteam. Een convenant beschrijft het doel, de hoeveelheid en de soort informatie die gedeeld wordt. Daarnaast geeft het inzicht in de Grondslagen voor het verwerken van gegevens, maar ook in de verantwoordelijkheid voor gegevensverwerking en zaken als inzage en bewaartermijnen.

2.1

2.2

2.3


•Stappenplan: Hoe stel ik mijn privacybeleid voor sociaal domein op •Juridisch kader Interdepartementale Beleidsvisie Privacy. •Voorbeelden privacybeleid plus oplegger • Q&A over Toestemming als grondslag • Q&A over nieuwe Europese regelgeving privacy • Q&A over mandatering van taken en privacy • Factsheet over de juridische vormen van wijkteams



Vraag



3 Werkprocessen en Triage De reglementen, richtlijnen en regels die beschreven staan in het Heeft u processen beschreven voor vraagverheldering, privacybeleid komen terug of moeten praktisch worden vertaald in selectie en routering van casuïstiek binnen het sociale de werkprocessen waarin persoonsgegevens verwerkt worden domein? (bijvoorbeeld om vast te stellen of er sprake is van 3.1 een enkelvoudige of meervoudige vraag dan wel een binnen het sociaal domein. Deze vragen geven u inzicht in waar u staat als het gaat om het inrichten van deze processen. Het kan hier multiprobleemsituatie). gaan om 0de en 1de lijn processen, maar ook processen waarin er gegevens uit worden gewisseld met externe partners. Daarnaast is Is per processtap beschreven wat de rollen en het van belang dat er bij de werkprocessen van de professionals in verantwoordelijkheden zijn met betrekking tot de het sociaal domein wordt nagedacht over de rollen en 3.2 gegevensverwerking? verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens, zoals: welke personen mogen welke gegevens inzien om hun taak te kunnen uitvoeren (dit bepaalt bijvoorbeeld de Is er per processtap ook beschreven wat het doel en de autorisaties binnen systemen). grondslag van de (eventuele) gegevensdeling of verwerking Naast werkprocessen zijn er ook processen die zich richten op de is? 3.3 rechten van burgers, zoals inzage, correctie en recht op verzet. Hierbij gaat het onder andere om de manier waarop toegang en doorgeleiding is ingericht en de bezwaar- en beroepsprocedures voor burgers. Is er een bezwaar- en beroepprocedure beschreven voor de Tot slot kan een triageproces bijdragen aan de doelbinding voor het burgers als het gaat om gegevensuitwisseling in het sociaal delen van informatie tussen verschillende partijen. Met triage domein? selecteer en routeer je complexe casuïstiek naar de juiste plek.

Zorg ervoor dat u processen beschrijft die gericht zijn op vraagverheldering, selectie en routering van vragen/casuïstiek binnen het sociaal domein om vast te kunnen stellen wanneer er sprake is van een enkelvoudige of meervoudige vraag of multiprobleemsituatie.

Beschrijf voor de werkprocessen die persoonsgegevens verwerken binnen uw sociaal domein welke rollen en verantwoordelijkheden van toepassing zijn met betrekking tot de gegevensverwerking. Naast het beschrijven van rollen en verantwoordelijkheden is het belangrijk dat u voor de stappen in deze processen ook het doel en de grondslag vastlegt wanneer er persoonsgegevens worden verwerkt. Uw privacybeleid kan u hierbij ondersteunen.

Het maken van bezwaar en beroep op de verwerking van persoonsgegevens is een belangrijk recht van de burger. Het is dan ook belangrijk dat u een bezwaar en beroepprocedure heeft beschreven en geimplementeerd als het gaat om de verwerking van persoonsgegevens binnen uw gemeente. Ga na of deze procedures ook van toepassing zijn op de nieuwe situatie in het sociaal domein. Als dit niet het geval is, zorg dan dat deze proceduresworden aangepast aan de nieuwe situatie.

3.4

Is er een proces ingericht waarmee de burger zijn gegevens kan opvragen (inzagerecht)?

Ga na of er een proces is ingericht waarmee de burger zijn gegevens kan opvragen (inzagerecht). Als dit niet het geval is, zorg er dan voor dat u dit proces inricht en toetst op de nieuwe situatie.

3.5


•Factsheet Triage •Triage-kader en instrumentarium •Praktijkvoorbeelden samenwerkingsconvenant • format samenwerkingsconvenant • Format informatieanalyse proces • procesbeschrijving voor bezwaar- en beroepprocedure • procesbeschrijving inzage proces



Vraag



4 Opslag en beheer gegevens Deze vragen geven inzicht in de eerste stappen die u zou moeten Heeft u een overzicht van de systemen die ondernemen om de opslag en het beheer van persoonsgegevens op persoonsgegevens verwerken binnen het sociaal domein een juiste manier in te richten. Het is belangrijk om te weten welke 4.1 (vanaf 1 januari 2015) ? persoonsgegevens in welk systeem worden opgeslagen, hoe lang ze bewaard mogen of moeten worden en wat er na die termijnen mee Heeft u een informatieanalyse uitgevoerd op de systemen gebeurt; welke informatie tussen systemen wordt uitgewisseld en 4.2 die persoonsgegevens verwerken? welke beveiligingseisen er aan de systemen gesteld worden (voor meer over informatiebeveiliging, zie de VISD-actielijn Zijn uw systemen zo ingericht dat de gebruiker alleen Informatiebeveiliging). toegang krijgt tot de persoonsgegevens die noodzakelijk zijn Daarnaast is het van belang om inzichtelijk te maken en te houden voor zijn specifieke rol en verantwoordelijkheid wie welke autorisatie heeft om persoonsgegevens te mogen 4.3 (autorisatie)? verwerken binnen het sociaal domein, daarbij rekening houdend met de specifieke taak, rol en verantwoordelijkheid van de gebruiker of professional (zoals omschreven in de werkprocessen).

Ga na of er een overzicht is van de systemen die factsheet opslag en beheer gegevens persoonsgegevens verwerken binnen het sociaal domein De belangrijkste privacyvragen voor systeemanalyse voor de situatie na 2015. Is dat er niet, zorg er voor dat een dergelijk overzicht wordt opgesteld. Voer een informatieanalyse uit op de systemen die persoonsgegevens verwerken (voor de situatie na 1 januari 2015). Inventariseer of de gebruikers alleen toegang hebben tot de persoonsgegevens die voor hen noodzakelijk zijn om hun rol en activiteiten uit te kunnen voeren. De beschrijvingen van de werkprocessen waarin persoonsgegevens worden verwerkt geldt als uitgangspunt voor de toewijzing van deze autorisaties.

Bent u op de hoogte van de bewaartermijnen van de persoonsgegevens die u heeft opgeslagen?

Inventariseer wat de bewaartermijnen zijn van de persoonsgegevens die u heeft opgeslagen en draag zorg voor de vernietiging, anonimisering of archivering van de gegevens als de bewaartermijn verstreken is, al naar gelang de wettelijke vereiste.

4.4




Vraag



5 Bewustwording en communicatie Naast het inrichten van het privacybeleid en uw werkprocessen is het van belang dat de personen die daadwerkelijk werken met deze gegevens weten wat hun verantwoordelijkheid is en hoe ze zorgvuldig om moeten gaan met persoonsgegevens. Daarom is het van belang dat de professionals in het veld en binnen uw gemeenten zich bewust zijn van de regels en gedragsnormen rondom privacy (uw privacybeleid). Ook richting de burger is de communicatie over de privacy in het sociaal domein van belang. De burger heeft het recht te weten wat er met zijn of haar gegevens gebeurt, bijvoorbeeld ook nadat men toestemming heeft gegeven voor het gebruik daarvan.

Ga na of er binnen uw gemeente een gedragscode is •Voorbeeld gedragscode professionals geïmplementeerd die zich richt op hoe uw medewerkers om • Voorbeeld communicatie met burgers dienen te gaan met de persoonsgegevens van burgers. Medewerkers dienen zich te committeren aan deze gedragscode. Vaak gebeurt dat door middel van een ondertekening bij indiensttreding. Ga na of de gedragscode ook geldig is voor de nieuwe situatie in het sociaal domein.

Is er binnen de gemeente een gedragscode geïmplementeerd om uit te dragen wat het belang is van privacy en aan welke regels en reglementen uw medewerkers in het sociaal domein (bijvoorbeeld in het 5.1 sociaal wijkteam en klantcontactcentrum) zich dienen te houden?

5.2

Zijn er voor de professionals in het sociaal domein trainingen beschikbaar over hoe er met privacy en zorgvuldige verwerking van persoonsgegevens moet worden omgegaan?

Train de professionals in het sociaal domein over hoe zij met privacyvraagstukken om moeten gaan in hun functie en/of rol. Zij moeten zich bewust zijn van het belang van privacy en hoe zij persoonsgegevens op een zorgvuldige manier dienen te verwerken, zoals is omschreven in uw privacybeleid en bijbehorende reglementen.

Wordt de burger actief geïnformeerd over het privacybeleid: inzage, bezwaar- en beroepprocedures en manier waarop met persoonsgegevens wordt omgegaan via website en andere kanalen?

Zorg ervoor dat er op een transparante manier richting de burger gecommuniceerd wordt over het privacybeleid van de gemeente. Burgers dienen op de hoogte te zijn van hun rechten omtrent de verwerking van hun persoonsgegevens, zoals o.a. inzagerecht, recht op correctie en recht op verzet. Communiceer hoe zij aanspraak kunnen maken op dit recht door middel van uw inzage-, bezwaar- en beroepprocedures.

5.3


Onbekend

Recommend Documents