Scriptie Privacy borging bij uitvoering decentralisaties gemeenten Door: Scriptienr. Versie: 1 mei 2015
Dani Taboada Parga 2049 2.0
Voorwoord Privacy, een breed begrip dat sinds jaar en dag bekend staat als ‘het recht om alleen gelaten te worden’, ‘het recht om controle te houden over eigen gegevens’ of ‘de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn’. De media schrijft vrijwel dagelijks over onderwerpen die betrekking hebben op privacy. Niet zo vreemd gezien de recente ontwikkelingen; van incidenten waaruit blijkt dat persoonsgegevens bij bedrijven zijn ontvreemd tot aan wijzigende wet- en regelgeving, zoals in Nederland de aanstaande ‘Meldplicht datalekken’. Ook in de wereld van audit en compliance neemt de aandacht voor privacy toe. Het is een divers onderwerp, het omvat wetgevende elementen, is tastbaar en vraagt om zorgvuldige beheersing. Dit zijn de elementen die privacy mijns inziens interessant maken. De keuze voor een onderzoek op gebied van privacy was dan al snel gemaakt. Een andere recente ontwikkeling is de overheveling van overheidstaken in het Sociaal Domein naar gemeenten. Dit wordt ook wel omschreven als de decentralisaties op het terrein van ondersteuning, participatie en jeugd. Wat dit precies inhoudt wordt verderop in mijn scriptie toegelicht. Wel kan alvast gedeeld worden dat deze verschuiving in taken consequenties heeft voor de wijze waarop met privacy wordt omgegaan. De combinatie van enerzijds privacy en anderzijds het Sociaal Domein (hierna te noemen: decentralisaties) heeft mij doen besluiten een onderzoek uit te voeren naar privacy borging bij de uitvoering van gemeentelijke taken in het kader van de decentralisaties. Ik heb een toetsingskader ontwikkeld waarmee inzichtelijk kan worden gemaakt in hoeverre gemeenten de privacy wetgeving volgen bij uitvoering van haar gemeentelijke taken. Het onderzoek is uitgevoerd als onderdeel van mijn afstuderen aan de IT Auditing, Compliance & Advisory opleiding van de VU Universiteit Amsterdam. Mijn dank gaat uit naar de onderstaande personen, zij hebben het onderzoek mogelijk gemaakt door er aan mee te werken en door mij te begeleiden en de juiste richting op te sturen: -
Ad Buckens RE CISM, Executive Director, Information Security Services, EY Advisory Paul Harmzen, begeleider vanuit het VU Universiteit Amsterdam Robert-Jan Taling van gemeente Amsterdam Max-Egter van Wissekerke van gemeente Rotterdam Jolanda Geerlings en Maaike Lighthart van gemeente Schagen
Geschreven door: Dani Taboada Parga, Sr. Advisory, Information Security Services, EY Advisory E:
[email protected] T: +31621251446
1
Management samenvatting Het begrip privacy haalt steeds vaker negatief het nieuws. In het kader van dit onderzoek bedoel ik met privacy het beschermen van persoonsgegevens van burgers. Persoonsgegevens worden steeds belangrijker, de burger wordt zich steeds bewuster van zijn of haar recht op privacy ten aanzien van persoonsgegevens. Anderzijds wil de publieke sector, en zodoende ook gemeenten, steeds meer digitaliseren. Men praat over de gemeente van de toekomst en digitale veiligheid. In een wereld waarin data grote vormen aanneemt lijkt er geen ontkomen meer aan, ook persoonsgegevens van burgers zullen in toenemende mate worden verwerkt. De recente ontwikkelingen binnen het Sociaal Domein zijn daar een uitstekend voorbeeld van. De overheveling van taken van het Rijk naar gemeenten is mede ingezet vanuit de gedachte dat gemeenten dichter bij de burgers staan. Een gedachtegang die prima te volgen is. Eén gezin, één plan, één regisseur, dat is het idee van de overheid. Bekeken vanuit de privacy bril vereist dat echter nogal wat. De Nederlandse privacy wet, de Wet bescherming persoonsgegevens (Wbp), eist dat goed wordt nagedacht over de rechtmatigheid van een verwerking alvorens deze verwerking wordt uitgevoerd. Enkel in bepaalde omstandigheden is het niet nodig aan bepaalde eisen uit de Wbp te voldoen. Om persoonsgegevens van burgers te verwerken dient een organisatie/instelling aan strikte eisen te voldoen. In dit onderzoek is in kaart gebracht aan welke eisen gemeenten dienen te voldoen wanneer zij persoonsgegevens wensen te verwerken in het kader van de decentralisaties. Om deze eisen inzichtelijk te krijgen is de definitie van privacy voor dit onderzoek vastgesteld. Vervolgens zijn ook de wettelijke kaders (de Wbp en de algemene verordening gegevensbescherming) inzichtelijk gemaakt en zijn de eisen die relevant zijn in het kader van de decentralisaties geïdentificeerd. Ook is in kaart gebracht wat de ontwikkelingen in het Sociaal Domein, genaamd de decentralisaties, inhouden en hoe dit zich verhoudt tot privacy. De geïdentificeerde eisen uit de wettelijke kaders zijn vertaald naar normen welke in een toetsingskader zijn opgenomen. De effectiviteit van het toetsingskader is vervolgens in de praktijk getoetst bij drie gemeenten. De gehanteerde criteria hierbij waren de relevantie, volledigheid, juistheid en toepasbaarheid van de opgenomen normen. Daarnaast is ook het scoringsmodel beoordeeld. Op basis van de resultaten uit het praktijkonderzoek kan geconcludeerd worden dat het toetsingskader effectief werkt. Verbetermogelijkheden zijn desondanks wel geïdentificeerd maar hebben niet een dusdanig impact dat dit de werking van het kader nadelig beïnvloed. De details zijn terug te vinden in het rapport. Het opgestelde toetsingskader kan derhalve gemeenten helpen inzicht te krijgen in de privacy voorwaarden en in de mate waarin zij aan deze voorwaarden voldoen. Het kan ondersteuning bieden bij het in kaart brengen van de voor de gemeente belangrijkste aandachtsgebieden. Hiermee kan gesteld worden dat de doelstelling van dit onderzoek, het ontwikkelen van een toetsingskader waarmee onderzocht kan worden in hoeverre gemeenten in staat zijn de privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties, behaald is.
2
Inhoudsopgave Voorwoord
1
Management samenvatting
2
Inhoudsopgave
3
1 1.1 1.2 1.3 1.3.1 1.3.2 1.4 1.5
Inleiding Aanleiding Problematiek Centrale vraag Hoofdvraag Deelvraag Doelstelling Scope
6 6 7 7 7 7 8 8
2 2.1 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 2.3
Onderzoeksmethode Verkennend onderzoek Aanpak Plan Design Prepare Collect Analyze Share Conceptualisatie
3 Theoretisch kader 3.1 Privacy 3.1.1 De geschiedenis van het woord privacy, in vogelvlucht 3.1.2 Privacy in Europa 3.1.3 De Nederlandse Grondwet 3.1.4 Definitie van privacy 3.2 Wet bescherming persoonsgegevens (Wbp) 3.2.1 Wettelijke eisen uit de Wbp 3.2.1.1 Wettelijke toepassing 3.2.1.2 Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens 3.2.1.3 Meldplicht 3.2.1.4 Vrijstellingsbesluit 3.2.1.5 Voorafgaand onderzoek 3.2.1.6 Transparantie 3.2.1.7 Rechten van de betrokkene 3.2.1.8 Uitzonderingen & beperkingen 3.2.2 Gevolgen van het niet voldoen aan de Wbp. 3.2.2.1 Bestuurlijke sancties 3.2.2.2 Strafrechtelijke sancties 3
10 10 10 11 11 11 11 11 11 11 13 14 14 15 16 16 16 17 19 20 22 23 23 23 23 24 24 24 25
3.2.2.3 Overige gevolgen 3.3 Algemene verordening gegevensbescherming 3.3.1 Verschillen met de Wbp 3.3.1.1 Meldplicht datalekken 3.3.1.2 Gegevensoverdraagbaarheid 3.3.1.3 Privacy by design 3.3.1.4 Privacy by default 3.3.1.5 Privacybeleid 3.3.1.6 Functionaris voor de Gegevensbescherming (FG) 3.3.2 Gevolgen van het niet voldoen aan de algemene verordening gegevensbescherming 3.4 Decentralisaties in het kader van het Sociaal Domein 3.4.1 Achtergrond 3.4.2 Taken in het kader van de decentralisaties 3.4.2.1 Wmo (Wet maatschappelijke ondersteuning) 3.4.2.2 Participatiewet 3.4.2.3 Jeugdzorg 3.4.3 Privacy en de decentralisaties
25 25 26 26 27 27 27 27 27 28 28 29 29 30 30 30 31
4 Toetsingskader 4.1 Scope, reikwijdte en beperkingen 4.2 Totstandkoming 4.2.1 Analyse wettelijke eisen Wbp en algemene verordening gegevensbescherming 4.2.2 Organisatorische- en verwerkingsmaatregelen 4.2.2.1 Organisatorische maatregelen 4.2.2.2 Verwerkingsmaatregelen 4.2.3 Scoringsmodel 4.2.4 Aangepast scoringsmodel op basis van eerste interview
32 33 33 33 34 35 35 35 37
5 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5
Praktijkonderzoek Interviews Bevindingen werking toetsingskader Relevantie Volledigheid Juistheid Toepasbaarheid Scoringsmodel
39 39 40 40 40 41 41 41
6 6.1 6.2
Conclusies Algemene conclusies toetsingskader Eindconclusie
43 45 48
7 7.1 7.2 7.3
Aanvullend onderzoek Wet- en regelgeving Expertise en ervaring van de auditor/adviseur Privacy audit
49 49 49 49
Bronnen
4
50
BIJLAGEN
52
1
Wettelijk kader Wet bescherming persoonsgegevens
53
2
Wettelijk kader algemene verordening gegevensbescherming
54
3
Uitgewerkt toetsingskader
55
5
1
Inleiding
In dit hoofdstuk ga ik in op het belang van privacy bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties, de aanleiding voor mijn onderzoek. Vervolgens schets ik de problematiek in dit kader, de doelstelling van het onderzoek en de hoofd- en deelvragen die tijdens het onderzoek beantwoord worden.
1.1
Aanleiding
Op 13 februari 2013 heeft minister Plasterk een kamerbrief uitgebracht waarin de minister de aanpak tot meer samenhang tussen de voorgenomen decentralisaties op het terrein van ondersteuning, participatie en jeugd toelicht. In de kamerbrief staat het volgende uitgangspunt opgenomen: “Het uitgangspunt van het kabinet is dat de zelfredzaamheid van de burger maximaal dient te worden gefaciliteerd en gestimuleerd. Goede ondersteuning en -nog belangrijker -goede gezondheid en actieve deelname aan de maatschappij zijn namelijk niet alleen een zaak van de overheid. Burgers zijn samen met hun netwerk in de eerste plaats zelf verantwoordelijk. Desalniettemin moeten mensen die het echt nodig hebben, kunnen blijven rekenen op de ondersteuning door de overheid. Ondersteuning die aansluit bij de behoefte van burgers en aansluit bij hun mogelijkheden. Gemeenten kunnen op deze manier beter inspelen op de behoefte van burgers”. In dezelfde kamerbrief van minister Plasterk wordt ook aangegeven dat: • maatwerk nodig is bij de ondersteuning van burgers en onnodige bureaucratie vermeden kan worden door het organiseren van de dienstverlening dichter bij de burger plaats te laten vinden; • de individuele ondersteuningsbehoefte van de burger centraal dient te staan; • één persoon de burger namens de gemeente dient te ondersteunen en begeleiden; • de stijgende kosten in de zorg door de decentralisaties verminderd kunnen worden. Op respectievelijk 17 oktober 2013, 11 februari 2014 en 8 juli 2014 zijn de Jeugdwet, Participatiewet en Wet maatschappelijke ondersteuning (Wmo) aangenomen. Deze drie wetten vormen de kern binnen de decentralisaties, de uitvoering en verantwoordelijkheid wordt veelal belegd bij gemeenten. Op 1 januari 2015 is de overheveling van taken van het Rijk naar gemeenten gerealiseerd. Gemeenten zijn verantwoordelijk geworden voor de uitvoering van taken op het gebied van Wmo, participatie en jeugdzorg. Deze verantwoordelijkheid eist meer van de gemeente. De gemeente zal in staat moeten zijn: • maatwerk te leveren bij de ondersteuning van burgers; • burgers aan één contactpersoon te koppelen welke vervolgens de burger namens de gemeente ondersteunt en begeleidt; • gebruik te maken van gedeelde informatievoorzieningen/-systemen om de stijgende kosten in de zorg te reduceren. De overheveling van taken naar gemeenten gaat gepaard met veranderende verantwoordelijkheid, veranderende eisen aan de gemeentelijke organisatie en veranderende beheersing van informatie en informatievoorzieningen, elementen die impact hebben op de privacy van de burger. In diverse gevallen is de gemeente de aangewezen organisatie die de persoonsgegevens van de burger verzameld, hetzij direct via de burger of via ketenpartijen. De overheid, maar ook enig andere instantie die persoonsgegevens in Nederland verwerkt, dient deze persoonsgegevens conform de in Nederland geldende wet- en regelgeving te verwerken.
6
Óók op Europees niveau gaat er aandacht uit naar het beschermen van de privacy van burgers. De in 1995 vastgestelde Data Bescherming richtlijn (95/46/EG) zal op korte termijn vervangen gaan worden door een verordening, de algemene verordening gegevensbescherming. Dit zal de nodige wijzigingen bewerkstelligen, zo zal de Nederlandse privacy wetgeving, de Wet bescherming persoonsgegevens (hierna: Wbp), komen te vervallen. Ook in Nederland zijn er ontwikkelingen gaande op het gebied van privacy wetgeving. Een voorbeeld daarvan is de meldplicht datalekken welke zich op moment van schrijven in het stadium van ‘schriftelijke voorbereiding’ bevindt en door de Tweede Kamer op 10 februari 2015 is aangenomen. De recente ontwikkelingen, zowel op gebied van wetgeving als op het gebied van de uitvoering van gemeentelijke taken in het kader van de decentralisaties dragen bij aan de aandacht die het onderwerp privacy in dit verband krijgt. De resultaten van de scriptie hebben een maatschappelijk belang en kunnen gebruikt worden om het bewustzijn ten aanzien van privacy te vergroten, de beveiliging te verbeteren en het vertrouwen van burgers te behouden.
1.2
Problematiek
In de vorige paragraaf hebben wij inzicht verworven in de relevante wetgeving, de actualiteiten en in welk kader privacy ten opzichte van de decentralisaties relevant is. Recente ontwikkelingen in de publieke sector, betrekking hebbende op privacy, wijzen uit dat niet alle gemeenten in staat zijn de privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties. De toezichthoudende organisatie in Nederland, het College Bescherming Persoonsgegevens (CBP), heeft meerdere malen haar zorgen geuit over de borging van privacy bij de decentralisaties. Ook andere instanties hebben (indirect) hun zorgen geuit. Zo heeft de Inspectie SZW een onderzoek uitgevoerd onder 80 gemeenten. Hieruit is gebleken dat slechts 4% van de gemeenten voldoende maatregelen hebben getroffen om de vertrouwelijkheid van via Suwinet uitgewisselde gegevens te waarborgen. Suwinet is een informatiesysteem dat in het kader van de Wet Structuur Uitvoeringsorganisatie Werk & Inkomen (Wet SUWI) wordt gebruikt door gemeenten en instanties als UWV en de Sociale Verzekeringsbank. Suwinet wordt zodoende ook binnen de decentralisaties gebruikt. Om burgers passende ondersteuning en begeleiding te kunnen bieden is tijdige, accurate informatie noodzakelijk. Informatie zal dan ook in toenemende mate tussen gemeenten, maar ook tussen de gemeente en ketenpartijen (zoals bijvoorbeeld UWV), worden gedeeld. De vraag werpt zich op of gemeenten in staat zijn passende ondersteuning en begeleiding te bieden binnen de daarbij geldende beperkingen/kaders van de Wbp en de aanstaande algemene verordening gegevensbescherming.
1.3
Centrale vraag
1.3.1 Hoofdvraag De hoofdvraag van de scriptie luidt: Aan welke privacy voorwaarden dienen gemeenten te voldoen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties?
1.3.2 Deelvraag Om tot een antwoord op de bovenstaande vraag te komen zijn de volgende deelvragen gedefinieerd: • Wat is privacy? • Wat is de Wet bescherming persoonsgegevens? 7
• • • • • • •
Aan welke eisen uit de Wet bescherming persoonsgegevens dient een gemeente te voldoen bij de uitvoering van haar gemeentelijke taken in het kader van de decentralisaties? Welke gevolgen kan het niet voldoen aan de Wet bescherming persoonsgegevens hebben voor gemeenten? Wat is de algemene verordening gegevensbescherming? Wat zijn de verschillende tussen de Wet bescherming persoonsgegevens en de algemene verordening gegevensbescherming? Wat zijn de decentralisaties in het kader van het Sociaal Domein? Wat wordt de scope en reikwijdte van het toetsingskader? Welke beperkingen zal het praktijkonderzoek kennen?
1.4
Doelstelling
De doelstelling van deze scriptie is het ontwikkelen van een toetsingskader waarmee onderzocht kan worden in hoeverre gemeenten in staat zijn de privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties. Het is derhalve van belang inzicht te hebben in de relevante wet- en regelgeving als de Wbp en de aanstaande algemene verordening gegevensbescherming. Op basis van beide wetten zal in kaart worden gebracht aan welke eisen gemeenten dienen te voldoen bij de uitvoering van de decentralisaties. Deze geïdentificeerde eisen zullen in een toetsingskader worden opgenomen en het toetsingskader zal bij drie gemeenten worden toegepast. Door het toetsingskader in de praktijk te toetsen wordt de bruikbaarheid van het kader in kaart gebracht, eventuele aspecten die tot verbetering van het kader kunnen leiden worden geïdentificeerd.
1.5
Scope
Om het onderzoek beheersbaar te houden is gekozen de scope te beperken tot de Wbp en de aanstaande algemene verordening gegevensbescherming. Hierbij is per wetgeving gekeken naar relevantie van de eisen. Eisen ten aanzien van het buiten de EU delen van gegevens zijn bijvoorbeeld bewust buiten scope gelaten. De analyse van deze wetgevingen wordt vertaald in het toetsingskader. Het toetsingskader zal derhalve uit een combinatie van normen bestaan die zijn afgeleid van de Wbp en van de algemene verordening gegevensbescherming. Het onderzoek is in vijf fasen verdeeld: Fase 1: Theoretisch kader Het startpunt van het onderzoek is: a) vaststellen wat privacy is; b) vaststellen wat de Wbp inhoudt en welke eisen hierin staan vastgelegd; c) vaststellen wat de algemene verordening gegevensbescherming inhoudt en welke aanvullende eisen ten opzichte van de Wbp gesteld worden; d) vaststellen wat de decentralisaties inhouden. Fase 2: Toetsingskader voortkomend uit het theoretisch kader De resultaten uit het theoretisch kader worden geanalyseerd en tot een toetsingskader ontwikkeld. Fase 3: Praktijkonderzoek De werking van het toetsingskader wordt vastgesteld door deze in de praktijk bij gemeenten toe te passen. Er is gekozen het kader bij drie gemeenten toe te passen door middel van interviews. De
8
resultaten uit de interviews leiden tot bevindingen welke tot conclusie kunnen hebben dat het toetsingskader dient te worden aangepast. Fase 4: Conclusies In fase vier volgen de conclusies die uit dit onderzoek getrokken kunnen worden. Ook wordt de feedback van gemeenten op het toetsingskader geanalyseerd. Per voorgestelde wijziging wordt een afweging gemaakt of de voorgestelde wijziging wel of niet doorgevoerd dient te worden in het kader. Dit levert een overzicht op van wel en niet door te voeren wijzigingen. Fase 5: Aanvullend onderzoek De laatste fase van dit onderzoek gaat in op de mogelijkheden tot aanvullend onderzoek. Het onderzoek heeft beperkingen gekend. Door aanvullend onderzoek uit te voeren op specifieke gebieden kan het toetsingskader en de toepassing daarvan verder worden onderzocht en worden verbetert. Dit hoofdstuk beschrijft een aantal facetten waarop aanvullend onderzoek kan worden uitgevoerd.
9
2
Onderzoeksmethode
2.1
Verkennend onderzoek
Het onderzoek is verkennend van aard. Het antwoord op de deelvragen volgt in de hoofdstukken ‘theoretisch kader' en ‘toetsingskader’, het antwoord op de hoofdvraag volgt na afronding van alle fasen van het onderzoek. Het theoretisch kader betreft een literatuurstudie. Het doel van de literatuurstudie is inzicht verkrijgen in de relevante onderwerpen behorende bij de hoofdvraag, te weten: • Privacy. • Decentralisaties. • Wet bescherming persoonsgegevens. • Algemene verordening gegevensbescherming. Het theoretisch kader dient als input voor het opstellen van het toetsingskader. Het toetsingskader zal beperkingen kennen, deze worden verder uitgelicht in paragraaf 4.1. De werking van het toetsingskader wordt vervolgens in de praktijk getoetst. De toepassing van het toetsingskader zal leiden tot aanbevelingen van de geïnterviewde. De aanbevelingen zullen worden uitgeschreven en vertaald in conclusies ten aanzien van de toepasbaarheid van het toetsingskader.
2.2
Aanpak
Voor de onderzoekaanpak wordt de methode van Robert K. Yin gehanteerd.1 Yin gaat uit van diverse fasen welke uiteen zijn gezet in figuur 1.
Figuur 1: Onderzoeksmethode Yin 1
Case Study Research Design and Methods, Yin, R.K., (2009).
10
2.2.1 Plan In deze fase worden de onderzoeksvragen (hoofd- en deelvragen) opgesteld. Deze fase is inventariserend van aard en bevat derhalve ook de aanleiding voor het onderzoek, de probleemstelling, doelstelling en scope. De plan fase schetst het plan voor het onderzoek en vormt zodoende de basis voor de uitvoering van het onderzoek. De ‘Plan’ fase is hoofdstuk 1.
2.2.2 Design De tweede fase, design fase, in het kader van dit onderzoek is het theoretisch kader. Ook wordt in deze fase vastgesteld op welke wijze het onderzoek wordt. Deze fase omvat de selectie van te interviewen organisaties/individuen voor het beoordelen van het toetsingskader conform vooraf vastgestelde criteria. Het doel van deze fase is de vaststelling van het theoretisch kader en het leggen van de basis voor de aanpak van het onderzoek. De ‘Design’ fase is terug te vinden in hoofdstuk 2 en 3.
2.2.3 Prepare In deze fase wordt het toetsingskader ontwikkeld. Het opgestelde toetsingskader wordt met de begeleiders van het onderzoek (P. Harmzen en A. Buckens) afgestemd, hetgeen als pilot wordt beschouwd. De ‘Prepare’ fase omvat hoofdstuk 4.
2.2.4 Collect In de vierde fase wordt vervolgens het ontwikkelde toetsingskader bij de drie gemeenten getoetst en wordt per interview informatie verzameld conform de vastgesteld criteria. Het toetsingskader wordt hierbij voorafgaand aan het interview gedeeld. Toepassing van het toetsingskader heeft geleid tot terugkoppeling op de werking van het kader, conform vooraf opgestelde criteria. De ‘Collect’ fase omvat hoofdstuk 5.
2.2.5 Analyze In deze fase worden de resultaten uit de toepassing van toetsingskader geanalyseerd. Dit zijn de bevindingen van de geïnterviewde individuen aangaande de werking van het toetsingskader. Hierbij is onderzocht wat de impact van de resultaten op het toetsingskader zijn. De ‘Analyze’ fase omvat eveneens hoofdstuk 5.
2.2.6 Share De laatste fase omvat het validatieproces, de ‘Share’ fase. Hierbij worden zowel de resultaten en conclusies als een conceptversie van de scriptie met de begeleiders van het onderzoek (P. Harmzen en A. Buckens) gedeeld. Eventuele op- of aanmerkingen worden besproken en indien nodig doorgevoerd in het rapport. Tijdens deze fase wordt de uitvoering van het onderzoek besproken, eveneens als de getrokken conclusies naar aanleiding van de uitgevoerde activiteiten. De ‘Share’ fase omvat hoofdstuk 6 en 7.
2.3
Conceptualisatie
De totstandkoming van het toetsingskader is gevisualiseerd (figuur 2) en vormt de leidraad van de scriptie. Om de leesbaarheid van het rapport te vergroten zal bij elk hoofdstuk, en waar nodig bij de onderliggende paragrafen, teruggegrepen worden op figuur 2.
11
Figuur 2: Visualisatie van conceptualisatie
12
3
Theoretisch kader
Het hoofdstuk theoretisch kader schept de basis voor het onderzoek en geeft een antwoord op de volgende deelvragen: • Wat is privacy? • Wat is de Wet bescherming persoonsgegevens? • Aan welke eisen uit de Wet bescherming persoonsgegevens dient een gemeente te voldoen bij de uitvoering van haar gemeentelijke taken in het kader van de decentralisaties? • Welke gevolgen kan het niet voldoen aan de Wet bescherming persoonsgegevens hebben voor gemeenten? • Wat is de algemene verordening gegevensbescherming? • Wat zijn de verschillende tussen de Wet bescherming persoonsgegevens en de algemene verordening gegevensbescherming? • Wat zijn de decentralisaties in het kader van het Sociaal Domein? Deze vragen zijn relevant voor het opstellen van het toetsingskader en daarmee ook voor het beantwoorden van de hoofdvraag: “Aan welke privacy voorwaarden dienen gemeenten te voldoen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties?”. Figuur 3 illustreert welke fase van het onderzoek het theoretisch kader inneemt.
Figuur 3: Theoretisch kader in perspectief van het onderzoek
13
3.1
Privacy
Het woord privacy kent diverse definities en kent een lange geschiedenis. In deze paragraaf werk ik toe naar de definitie van privacy zoals bedoeld voor de toepassing van het toetsingskader. Het zal ook inzicht geven op de oorsprong van het woord privacy. Figuur 4 illustreert de paragrafen die nodig zijn om uiteindelijk tot de definitie van privacy te komen zoals deze voor dit onderzoek van belang is.
Figuur 4: Privacy in relatie tot het onderzoek
3.1.1 De geschiedenis van het woord privacy, in vogelvlucht In 1879 gebruikte Thomas M. Cooley het woord privacy in combinatie met het schenden van iemands privacy door iemand thuis af te luisteren of door ramen te bespieden.2 Later in 1880 omschrijft dezelfde Thomas M. Cooley privacy als: “a right to complete immunity: to be let alone”.3 In 1891 schreven de Amerikaanse advocaten Samuel Warren en Louis Brandeis een artikel in het Harvard Law Review genaamd ‘The right to Privacy’.4 In dit artikel omschrijven zij privacy als: “the right to be left alone”, oftewel “het recht om alleen gelaten te worden”. In 1967 voegt Alan Westin een extra dimensie aan het woord privacy toe en omschrijft het als: “Privacy is the claim of individuals, groups, or
2
A treatise on the law of torts, or the wrongs which arise independent of contract. Thomas M. Cooley. Chicago, Callaghan and company, 1879. 3 The General Principles of Constitutional Law in the United States of America. Thomas M. Cooley. Little, Brown & Co. 1880 4 The right to Privacy, Samuel Warren and Louis Brandeis, Harvard Law Review No.5, 1890.
14
institutions to determine for themselves when, how, and to what extent information about them is communicated to others”.5 Alan voegt hierbij toe dat een individu zelf dient te bepalen wanneer, hoe en tot welk niveau informatie over henzelf met anderen wordt gedeeld. De term privacy in zijn huidige vorm stamt af van de omschrijvingen die eerder beschreven zijn. Het recht op bescherming van natuurlijke personen tegen inbreuken op hun persoonlijke levenssfeer, met name door de staat, is voor het eerst in een internationaal rechtsinstrument vastgelegd in artikel 12 van de Universele Verklaring van de rechten van de mens (UVRM) van de Verenigde Naties (VN) van 1948 inzake de eerbiediging van het privé- en gezinsleven.6 In 1950 heeft de Raad van Europa (RvE) het Europees Verdrag tot bescherming van de rechten van de mens (EVRM) aangenomen. Dit verdrag is in 1953 in werking getreden. De lidstaten hebben een internationale verplichting dit verdrag na te leven, Nederland is één van deze lidstaten.
3.1.2 Privacy in Europa Het verdrag dat in 1950 door de Raad van Europa is aangenomen bevat twee fundamentele eisen ten aanzien van privacy7: • Recht op leven (artikel 2); • Recht op eerbiediging van privé-, familie- en gezinsleven (artikel 8). Het recht op de bescherming van persoonsgegevens maakt deel uit van de rechten die worden beschermd onder artikel 8 van het EVRM. Concreet betekent dit dat het recht op respect voor het privé-, familie- en gezinsleven, de woning en correspondentie gegarandeerd wordt en dat het voorwaarden schept waaronder beperkingen van dit recht zijn toegestaan. Het EVRM is zodoende de stap richting de bescherming van persoonsgegevens zoals bedoeld onder de Wbp en zoals bedoeld voor dit onderzoek. De opkomst van informatietechnologie heeft ertoe geleid dat er een groeiende behoefte was aan gedetailleerde regels om natuurlijke personen bescherming te bieden door hun (persoons)gegevens te beschermen. Dit heeft ertoe geleid dat in 1981 het Verdrag 108 (Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens)8 is vastgesteld. Dit verdrag is tot op de dag van vandaag hét Europees wettelijk bindende instrument op het gebied van gegevensbescherming, mits het verdrag geaccepteerd en geratificeerd is. Het is van toepassing op alle gegevensverwerkingen uitgevoerd door zowel de private als de publieke sector. Het Verdrag 108 heeft ertoe geleid dat in 1995 de richtlijn ‘Richtlijn 95/46/EG’ van het Europees Parlement en de Raad van Europa is aangenomen. De richtlijn is een wettelijke instrument, echter geen bindend instrument, van de EU op het gebied van gegevensbescherming. De richtlijn 95/46/EG is tot op de dag van vandaag de Europees geldende richtlijn als het aankomt op gegevensbescherming. De Richtlijn 95/46/EG omschrijft de reikwijdte van de richtlijn als: “de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens”.9 5
Privacy and Freedom, Alan F. Westin, Washington and Lee Law Review Vol. 25 Issue 1, 1968. Verenigde Naties (VN), Universele Verklaring van de rechten van de mens (UVRM), 1948. 7 European Convention of Human Rights, 1950. 8 Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens (Raad van Europa, CETS nr. 108, 1981). 9 Richtlijn 95/46/EG van het Europees Parlement en de Raad, 24 oktober 1995. 6
15
3.1.3 De Nederlandse Grondwet In de Nederlandse Grondwet is opgenomen wat in Nederland onder de term privacy wordt verstaan, namelijk: Artikel 10: • Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. • De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. • De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. Artikel 10 van de Nederlandse Grondwet is gebaseerd op het verdrag van de Raad van Europa, de EVRM. Verdrag 108 vloeit voort uit de EVRM en zodoende dient Nederland zich te houden aan de eisen die in dit verdrag staan opgenomen. De EU Richtlijn 95/46/EG geeft invulling aan de gestelde eisen uit Verdrag 108. Nederland heeft ervoor gekozen EU Richtlijn 95/46/EG te implementeren en zodoende is de Wet bescherming persoonsgegevens (Wbp) geconcretiseerd. De Wbp is derhalve gebaseerd op de Europese richtlijn.
3.1.4 Definitie van privacy De term privacy kent een lange geschiedenis. Het is inmiddels 136 jaar geleden dat Thomas M. Cooley het woord privacy gebruikte in relatie tot het schenden van iets uit iemand privé leven. Desondanks kan het concept van het woord privacy als onveranderd worden beschouwd. Men spreekt nog steeds van het schenden van iets uit iemands privé leven. Als ik in dit onderzoek over privacy spreek dan beperk ik mij tot het deel dat betrekking heeft op persoonsgegevens, lid 2 van artikel 10 uit de Nederlandse Grondwet. De Wbp beschrijft de volgende definitie als het gaat om persoonsgegevens: “Het beschermen van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.10
3.2
Wet bescherming persoonsgegevens (Wbp)
In de vorige paragraaf hebben we kort beschreven waar de term privacy vandaan komt en hoe dit in de Europese en Nederlandse wetgeving is beschreven. De Wbp is een Nederlandse wet die voorschrijft hoe in Nederland dient te worden omgegaan met de persoonsgegevens van individuen (natuurlijke personen en dus ook burgers). De Wbp is ontstaan op basis van de Wet persoonsregistraties (Wpr), welke in 1989 is vastgesteld. In 2001 heeft de Wbp de Wpr vervangen. De Wbp beschrijft een persoonsgegeven als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Dit betekent dat een gegeven als naam, adres, foto of Burgerservicenummer als persoonsgegeven kan worden beschouwd. De Wbp is van toepassing op zowel private als publieke instanties, de Nederlandse overheid en gemeenten dienen zodoende ook conform de Wbp te handelen. Deze paragraaf gaat in op de gestelde eisen vanuit de Wbp en brengt in kaart wat de gevolgen zijn van het niet voldoen aan de eisen uit de Wbp. Het schetst zodoende een deel van de basis voor het toetsingskader en geeft inzicht in de noodzaak van het voldoen aan de in de Wbp gestelde eisen. Figuur 5 illustreert hoe paragraaf 3.2 is opgebouwd en hoe dit zich verhoudt tot de rest van het rapport. 10
Wet bescherming persoonsgegevens, 2001.
16
Figuur 5: Wbp in relatie tot het onderzoek
3.2.1
Wettelijke eisen uit de Wbp
Zoals in paragraaf 3.1 is beschreven is de Wbp gebaseerd op de EU richtlijn 95/46/EG. De 95/46/EG betreft een richtlijn en biedt zodoende een kader dat toepasbaar is voor de EU lidstaten. Ondanks het een richtlijn betreft kent de 95/46/EG wel een dwingende verplichting naar de EU lidstaten. Zij zijn derhalve verplicht de richtlijn tijdig en juist te implementeren.11 De richtlijn biedt echter wel ruimte voor de wijze waarop implementatie plaatsvindt. De Wbp is derhalve gebaseerd op de 95/46/EG richtlijn. Om het toetsingskader vorm te geven zijn de wettelijke eisen uit de Wbp geïdentificeerd.12 Om deze eisen te interpreteren is het echter noodzakelijk de definities van specifiek gebruikte termen in kaart te brengen. Tabel 1 geeft de definities uit de Wbp weer13: Term
Definitie
Persoonsgegevens
Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
11
Werking van Europese richtlijnen, http://www.europadecentraal.nl/services/praktijkvragen/rechtstreeksewerking-europese-richtlijnen/. 12 In het kader van de Wbp wordt onder ‘verwerking van persoonsgegevens’ verstaan: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”. 13 Artikel 1 Wet bescherming persoonsgegevens, 2001.
17
Bijzondere persoonsgegevens14
De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
Verwerking van persoonsgegevens
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Bestand
Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
Verantwoordelijke
De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Bewerker
Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Betrokkene
Degene op wie een persoonsgegeven betrekking heeft.
Derde
Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.
Ontvanger
Degene aan wie de persoonsgegevens worden verstrekt.
Toestemming van de betrokkene
Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
14
Artikel 16, Wet bescherming persoonsgegevens, 2001.
18
Functionaris
De functionaris voor de gegevensbescherming als bedoeld in artikel 62.
Verstrekken van persoonsgegevens
Het bekend maken of ter beschikking stellen van persoonsgegevens.
Verzamelen van persoonsgegevens
Het verkrijgen van persoonsgegevens.
College Bescherming Persoonsgegevens
Er is een College Bescherming Persoonsgegevens (CBP) dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Tevens houdt het CBP toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt overeenkomstig het recht van een ander land van de EU. Tabel 1: Definities van in de Wbp gebruikte termen
Voor dit onderzoek is onderzocht welke eisen de Wbp kent. Deze eisen vormen de basis voor het toetsingskader dat is opgesteld. De wettelijke eisen uit de Wbp kunnen worden onderverdeeld in specifieke onderwerpen, te weten: • Wettelijke toepassing. • Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens. • Meldplicht. • Vrijstellingsbesluit. • Voorafgaand onderzoek. • Transparantie. • Rechten van de betrokkene. • Uitzonderingen en beperkingen. Elk van deze onderwerpen wordt inhoudelijk behandeld in de paragrafen 3.2.1.1 tot en met 3.2.1.8.
3.2.1.1
Wettelijke toepassing
De artikelen 2 tot en met 5 beschrijven de wettelijke toepassing van de Wbp. Samengevat kan het volgende gesteld worden: • De Wbp is van toepassing op: “de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.15 • De Wbp is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland of als een verantwoordelijke die geen vestiging in Nederland heeft maar wel gebruik maakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens. 16 • De Wbp is van toepassing op de verwerking van persoonsgegevens van een betrokkene die minderjarig is en de leeftijd van zestien jaar nog niet heeft bereikt. Hierbij geldt dat zijn wettelijk
15 16
Artikel 2, Wet bescherming persoonsgegevens, 2001. Artikel 4, Wet bescherming persoonsgegevens, 2001.
19
vertegenwoordiger toestemming dient te verlenen voor de verwerking. Toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken. De wet schrijft ook voor in welke gevallen de Wbp niet van toepassing is. Omdat het onderzoek zich beperkt tot de situatie waarop de Wbp wel van toepassing is wordt voor de niet van toepassing zijnde situaties verwezen naar de Wbp.17
3.2.1.2
Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
De voorwaarden die gesteld worden voor de rechtmatigheid van de verwerking van persoonsgegevens worden in de Wbp onderverdeeld in de verwerking van persoonsgegevens in het algemeen en de verwerking van bijzondere persoonsgegevens. 3.2.1.2.1 De verwerking van persoonsgegevens in het algemeen In de artikelen 6 tot en met 15 beschrijft de Wbp de eisen die gesteld worden indien sprake is van de verwerking van persoonsgegevens. De verwerking van persoonsgegevens dient in overeenstemming met de wet, en op behoorlijke en zorgvuldige wijze te worden uitgevoerd. De termen proportionaliteit en subsidiariteit zijn hierbij relevant en van toepassing. Doelbinding Één van de belangrijkste bepalingen uit de Wbp is de doelbinding. De Wbp geeft hierbij aan dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Daarbij geldt dat de doelbinding moet voldoen aan één van de onder artikel 8 gesteld eisen: - de betrokkene heeft zijn ondubbelzinnige toestemming verleend; - de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst; - de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke plicht; - de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene; - de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak; - de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. Doeleinden In artikel 9 van de Wbp staat de eis beschreven die aangeeft dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. De verantwoordelijke dient daardoor altijd rekening te houden met de volgende aspecten: - de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; - de aard van de betreffende gegevens; - de gevolgen van de beoogde verwerking voor de betrokkene; - de wijze waarop de gegevens zijn verkregen; - de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.
17
Artikel 2 en 3, Wet bescherming persoonsgegevens, 2001.
20
Hierbij kan nog worden aangemerkt dat verder verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, niet als onverenigbaar wordt beschouwd, indien de verantwoordelijke de nodigde voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. Bewaartermijnen De Wbp besteed specifieke aandacht aan de bewaartermijnen. De Wbp bepaalt dat persoonsgegevens niet langer bewaard mogen worden in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Dataminimalisatie en kwaliteit Alleen die gegevens mogen worden verwerkt die toereikend, ter zake dienend en niet bovenmatig zijn. De verantwoordelijke dient maatregelen te treffen die zorgdragen dat persoonsgegevens juist en nauwkeurig zijn. Beveiliging De Wbp stelt eisen aan het beveiligingen van de persoonsgegeven die verwerkt worden. Hierover zegt de Wbp: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen”. Rechtsverhoudingen tussen de verantwoordelijke en bewerker Artikel 14 van de Wbp gaat in op de rechtsverhoudingen tussen de verantwoordelijke en de bewerker. De Wbp stelt dat de verantwoordelijke verantwoordelijk blijft voor de waarborging dat de persoonsgegevens, indien verwerkt door de bewerker, passende organisatorische en technische beveiligingsmaatregelen treft. De verantwoordelijke heeft hierin een toezichthoudende rol en dient er dus op toe te zien dat dit door de bewerker wordt nageleefd. 3.2.1.2.2 De verwerking van bijzondere persoonsgegevens De Wbp stelt dat bijzondere persoonsgegevens niet mogen worden verwerkt tenzij wordt voldaan aan de artikelen 17 tot en met 24. Daar waar persoonsgegevens dus wel mogen worden verwerkt rekening houdend met de specifieke eisen geldt hierbij dus dat bijzondere persoonsgegevens niet mogen worden verwerkt tenzij aan specifieke eisen wordt voldaan. Artikel 16 omschrijft bijzondere persoonsgegevens als: ”De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag”.
21
Artikelen 17 tot en met 22 beschrijven welke instanties/instellingen, in welke gevallen bijzondere persoonsgegevens mogen verwerken. Voor het onderzoek geldt dat rekening dient te worden gehouden met de bijzondere situatie als het bijzondere persoonsgegevens betreft. Voor de specifieke eisen aan de verwerking van bijzondere persoonsgegevens wordt zodoende verwezen naar de bepalingen in de Wbp. Daarnaast geldt dat bijzondere persoonsgegevens verwerkt mogen worden indien: 18 - dit geschiedt met uitdrukkelijke toestemming van de betrokkene; - de gegevens door de betrokkene duidelijk openbaar zijn gemaakt; - dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; - dit noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde en het vragen van diens uitdrukkelijke toestemming onmogelijk blijkt; - dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting; - dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend. Het College kan bij de verlening van ontheffing beperkingen en voorschriften opleggen; - de gegevens worden verwerkt door het College of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
3.2.1.3
Meldplicht
Een belangrijke bepaling in de Wbp is de verplichting van het melden van een verwerking. De Wbp bepaalt dat een verwerking dient te worden gemeld indien het een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens betreft. De melding dient bij het CBP of bij de Functionaris voor de Gegevensbescherming (FG), indien aanwezig, te worden gemeld. De melding dient het volgende te bevatten: • de identiteit van de verantwoordelijke; • de doeleinden van de gegevensverwerking; • de aard van de te verwerken gegevens; • de ontvangers van gegevens; • de voorgenomen doorgiften naar landen buiten de EU; • een algemene beschrijving van de maatregelen ter beveiliging van persoonsgegevens die tot doel heeft om te kunnen beoordelen of de beveiligingsplicht en de verplichtingen van een bewerker kunnen worden nageleefd. Indien een verwerking dient te worden gemeld en de verantwoordelijke over een FG beschikt, is de FG verplicht een register bij te houden van de verwerkingen. Indien de verantwoordelijke geen FG heeft aangesteld worden de verwerkingen door het CBP bijgehouden in een register. Het register dient tenminste deze elementen te bevatten: • de doeleinden van de verwerking;
18
Artikel 23, Wet bescherming persoonsgegevens, 2001.
22
• • • •
de verwerkte gegevens of categorieën van verwerkte gegevens; de categorieën van betrokkenen; de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt; de periode gedurende welke de gegevens worden bewaard.
3.2.1.4
Vrijstellingsbesluit
In artikel 29 van de Wbp staat vermeld dat veelvoorkomende verwerkingen in maatschappelijke sectoren onder voorwaarden zijn vrijgesteld van de meldplicht. Dit betekent dat in deze gevallen melding aan het CBP of aan de betreffende FG niet noodzakelijk is. Dit betreft echter geen vrijwaring van de Wbp. De Wbp is nog steeds van toepassing op de verwerking en er dient nog steeds te worden voldaan aan specifieke bepalingen uit de Wbp.
3.2.1.5
Voorafgaand onderzoek
Voorafgaand onderzoek is in een aantal gevallen noodzakelijk, namelijk: • voor het gebruik van persoon identificerende nummers ten behoeve van andere doeleinden dan waarvoor dit nummer noodzakelijk is; • voor het verzamelen van gegevens zonder dat de betrokkene daarvan op de hoogte is; • voor het gebruik van strafrechtelijke persoonsgegevens door particulieren. Er geldt een uitzondering voor openbare registers die bij wet zijn ingesteld, deze kunnen niet worden onderworpen aan een voorafgaand onderzoek. Daarnaast kunnen verwerkingen bij wet of bij algemene maatregel van bestuur worden onderworpen aan voorafgaand onderzoek.19
3.2.1.6
Transparantie
Artikel 33 en 34 van de Wbp gaan in op de transparantie richting de burger. In de Wbp wordt dit informatieverstrekking aan de betrokkene genoemd. De Wbp stelt dat de verantwoordelijke de betrokkene voorafgaand aan de verwerking dient te informeren (op de hoogte te stellen), tenzij de betrokkene hiervan reeds op de hoogte is. De te verstrekken informatie dient ook de identiteit van de verantwoordelijke en de doeleinden van gegevensverwerking te bevatten. Uiteindelijk dient de verantwoordelijke een behoorlijke en zorgvuldige verwerking te waarborgen, als hiervoor extra informatie met de betrokkene moet worden gedeeld is de verantwoordelijke daartoe verplicht. Ook in het geval de informatie niet direct van de betrokkene is verkregen dient de betrokkene geïnformeerd te worden over de verwerking conform de onder artikel 13, tweede en derde lid, omschreven bepalingen. Echter, indien het een onevenredige inspanning kost of mededeling aan de betrokkene onmogelijk maakt is het niet nodig de betrokkenen te informeren. Indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven is het evenmin nodig de betrokkene te informeren over de verwerking.
3.2.1.7
Rechten van de betrokkene
Op grond van de artikelen 35 tot en met 42 heeft de betrokkene diverse rechten toegekend gekregen. Hieronder worden deze rechten kort behandeld. 3.2.1.7.1 Recht van inzage De betrokkene heeft het recht om te weten welke persoonsgegevens door de verantwoordelijke worden verwerkt, voor welk doeleinden en aan welke derden deze gegevens zijn verstrekt. 19
Artikel 32, Wet bescherming persoonsgegevens, 2001.
23
3.2.1.7.2 Recht van correctie De betrokkene heeft het recht de verantwoordelijke te verzoeken de hem betreffende gegevens te verbeteren, aan te vullen, af te schermen, of te verwijderen bij feitelijke onjuistheden, bij verwerking ten behoeve van onvolledige of niet ter zake dienende doelen of bij verwerkingen die in strijd met een wettelijk voorschrift worden verricht. 3.2.1.7.3 Recht van verzet De betrokkene heeft, in bepaalde gevallen en onder bepaalde voorwaarden, het recht verzet aan te tekenen tegen de verwerking van zijn persoonsgegevens. 3.2.1.7.4
Recht om niet onderworpen te worden aan besluiten met rechtsgevolgen door volledig geautomatiseerde verwerkingen. De betrokkene heeft bij verwerkingen met dergelijke vérstrekkende consequenties een recht op menselijke tussenkomst, voorafgaande aan het nemen van het besluit.
3.2.1.8
Uitzonderingen & beperkingen
De Wbp heeft bepalingen opgesteld die enkele uitzonderingen/beperkingen kennen ten aanzien van de rechten van de betrokkene. Er wordt melding gemaakt dat uitzondering geldt voor: • de plicht tot afweging die de verantwoordelijke moet maken alvorens gegevens door te geven aan een derde; • de inlichtingenverstrekking over de van de meldplicht vrijgestelde verwerkingen; • de transparantieverplichtingen; • het recht op inzage. Deze verplichtingen mogen door de verantwoordelijke buiten toepassing worden gelaten indien het in het belang is van: • de veiligheid van de staat; • de voorkoming, opsporing en vervolging van strafbare feiten; • gewichtige economische en financiële belangen van de staat en andere openbare lichamen; • het toezicht op de naleving van wettelijke voorschriften, gesteld ten behoeve van bovengenoemde opsporings- en financiële belangen; • de bescherming van de betrokkene of van de rechten en vrijheden van anderen. Gegevensverkeer met landen buiten de EU De Wbp kent ook specifieke eisen ten aanzien van gegevensverkeer met landen buiten de EU. Voor dit onderzoek is dit echter buiten beschouwing gelaten. De verwerkingen uit dit onderzoek betreffen verwerkingen die in Nederland plaatsvinden in het kader van de decentralisaties. Zodoende zijn verwerkingen buiten Nederland en buiten de EU niet binnen de scope van dit onderzoek.
3.2.2
Gevolgen van het niet voldoen aan de Wbp.
Vanuit de Wbp bekeken kan het niet voldoen aan de Wbp diverse gevolgen hebben. De artikelen 65 tot en met 75 beschrijven de diverse sancties die opgelegd kunnen worden, bestuurlijk en strafrechtelijk.
3.2.2.1
Bestuurlijke sancties
Op bestuurlijk niveau is het CBP bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Ook is het CBP bevoegd om de 24
verantwoordelijke een bestuurlijke boete op te leggen van ten hoogste €4.500 euro ter zake van overtreding van het bij of krachtens de Wbp gestelde verplichtingen (artikelen 27, 28 en 29).
3.2.2.2
Strafrechtelijke sancties
Strafrechtelijke sancties kunnen volgen indien de verantwoordelijke in strijd handelt met hetgeen bij of krachtens artikel 4 (derde lid), artikel 27, 28, 78 (tweede lid) of 79 (eerste lid) is bepaald (getypeerd als overtreding). Indien dit opzettelijk heeft plaatsgevonden kan gevangenisstraf volgen van ten hoogste zes maanden (getypeerd als misdrijf).
3.2.2.3
Overige gevolgen
Naast bestuurlijke- en strafrechtelijke sancties kan het niet voldoen aan de Wbp ook maatschappelijke gevolgen hebben. Welke gevolgen dit exact zijn is geen onderdeel van het onderzoek maar gesteld kan worden dat dit een negatieve impact heeft op de reputatie van de verantwoordelijke instantie/instelling.
3.3
Algemene verordening gegevensbescherming
De richtlijn 95/46/EG wordt momenteel herzien. De opvolger van de richtlijn is de algemene verordening gegevensbescherming. Eén van de belangrijkste verschillen met de richtlijn 95/46/EG is dat het een verordening betreft. Daar waar de 95/46/EG een richtlijn betreft en niet dwingend is in de wijze waarop de richtlijn moet worden geïmplementeerd zal de verordening wel de eisen gesteld in de algemene verordening gegevensbescherming afdwingen onder de EU lidstaten, óók de wijze waarop deze wordt nageleefd. De algemene verordening gegevensbescherming zal de Nationale wetgeving gaan vervangen. Lidstaten zullen echter nog wel aanvullende eisen/wetgeving in de Nationale wetgeving kunnen opnemen. De algemene verordening gegevensbescherming kent op moment van schrijven nog niet de definitieve status. De verwachting is dat de algemene verordening gegevensbescherming in 2016 wordt vastgesteld en derhalve is voor het onderzoek gekozen de verschillen met de Wbp, waar relevant, mee te nemen voor het toetsingskader. In paragraaf 3.3.1 worden de verschillen met de Wbp, die relevant zijn voor dit onderzoek, in kaart gebracht. Figuur 6 illustreert daarbij hoe deze paragraaf zich verhoudt tot de andere paragrafen uit hoofdstuk 3.
25
Figuur 6: Algemene verordening gegevensbescherming in relatie tot het onderzoek
3.3.1
Verschillen met de Wbp
De algemene verordening gegevensbescherming volgt de richtlijn 95/46/EG op en kent zodoende veel gelijkenissen met de richtlijn. Er zijn echter ook belangrijke verschillen. In deze paragraaf ga ik echter in op de verschillen met de Wbp omdat de Wbp in Nederland de geldende wetgeving is op het gebied van bescherming van persoonsgegevens. De algemene verordening gegevensbescherming zal, wanneer in werking getreden, de Wbp gaan vervangen. Het is daarom van belang om inzicht te krijgen in de verschillen met de Wbp in plaats van inzicht in de verschillen met de richtlijn 95/46/EG. De verschillen met de richtlijn zijn daarom ook niet in het kader van dit onderzoek onderzocht. Op basis van het bestuderen van zowel de Wbp als de algemene verordening gegevensbescherming zijn de in deze paragraaf gemelde onderwerpen geïdentificeerd als aanvullingen op de Wbp. Het betreft hierbij eisen die gesteld worden aan gemeenten. Veranderingen in bijvoorbeeld de hoogte van sancties worden hierin niet genoemd omdat dit voor de toepassing van het toetsingskader niet relevant is, deze worden behandeld in paragraaf 3.3.2.
3.3.1.1
Meldplicht datalekken
Een veelbesproken onderwerp in de algemene verordening gegevensbescherming is de meldplicht bij datalekken. De meldplicht is momenteel nog niet aanwezig in de Wbp, echter speelt de Nederlandse overheid hier al wel op in. In Nederland is reeds een voorstel aangaande de meldplicht datalekken ingediend en op moment van schrijven is dit door de Tweede Kamer goedgekeurd. Hiermee anticipeert Nederland al op de aanstaande wijziging ten aanzien van de algemene verordening gegevensbescherming. De wijziging meldplicht datalekken houdt in dat een datalek die ernstige nadelige gevolgen heeft voor de privacy van de betrokkene dient te worden gemeld. Hierbij dient de verantwoordelijke rekening te houden met de eisen die aan de melding gesteld worden. De verantwoordelijke dient hierbij met de volgende aspecten rekening te houden: • een datalek moet wanneer bekend direct gemeld worden aan het CBP; • een inschatting moet zijn gemaakt van de ernst van de nadelige gevolgen voor de betrokkene; 26
•
de datalek dient aan de betrokkene te worden gemeld indien het nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkene (CBP dient op de hoogte te worden gesteld van het wel of niet aan de betrokkene kenbaar maken van de datalek).
Het niet naleven van de verplichtingen kan leiden tot een sanctie van maximaal €810.000 euro, opgelegd door het CBP, of indien dit bedrag hoger is, 10% van de omzet van een organisatie. Het betreft momenteel nog een concept wetgeving, inhoudelijk kan het voorstel meldplicht datalekken nog wijzigen. Op moment van schrijven wordt het voorstel in de eerste kamer behandeld.
3.3.1.2
Gegevensoverdraagbaarheid
Bij de verwerking van de persoonsgegevens dient de verantwoordelijke dit elektronisch en in een standaard, gestructureerd formaat te verwerken. De betrokkene heeft hierbij het recht een kopie van de persoonsgegevens te ontvangen in een algemeen aanvaard elektronisch formaat zodat deze overgedragen kan worden naar een ander informatiesysteem.
3.3.1.3
Privacy by design
Indien software en/of informatiesystemen worden ontwikkeld dient er tijdens de ontwikkelfase rekening te worden gehouden met maatregelen die de gebruikte persoonsgegevens in de software/ informatiesysteem beschermd tegen verlies, onbedoelde inzage en misbruik (in welke vorm dan ook). Daarnaast dient de bepaling van data minimalisatie te worden toegepast maar dat is een bepaling dat reeds in de Wbp is opgenomen.
3.3.1.4
Privacy by default
Privacy by default omvat wat de term al omschrijft, zorgen dat (systeem)instellingen zodanig zijn ingericht dat de privacy optimaal wordt gewaarborgd. Een simpel voorbeeld hiervan is een checkbox op een (online) formulier. Deze dient standaard aan te geven dat de betrokkene (het individu dat het formulier invult) zijn informatie niet wenst te delen met anderen. De bedoeling is de controle bij de betrokkene te houden.
3.3.1.5
Privacybeleid
Organisaties worden verplicht een intern privacy beleid op te stellen. Hoewel dit niet als zodanig in de in de Wbp staat vermeld komt dit er min of meer wel in terug. In de Wbp wordt gesproken van passende organisatorische en technische beveiligingsmaatregelen, het hebben van een intern privacy beleid kan hieronder geschaard worden. Echter het letterlijk eisen van een verplicht intern privacy beleid is ten opzichte van de Wbp een nieuwe eis en zodoende is dit als verschil met de Wbp opgenomen.
3.3.1.6
Functionaris voor de Gegevensbescherming (FG)
De officiële functie van een Functionaris voor de Gegevensbescherming (FG) is onder de Wbp vrijblijvend. De algemene verordening gegevensbescherming stelt de FG verplicht voor: • organisaties in de private sector met meer dan 250 werknemers; • organisaties waarvan de kernactiviteiten bestaan uit het verwerken van gegevens; • overheidsinstanties en organen.
27
3.3.2
Gevolgen van het niet voldoen aan de algemene verordening gegevensbescherming
De gevolgen van het niet voldoen aan de verordening komen overeen met die van het niet voldoen aan de Wbp. Het verschil is dat toezichthoudende instanties (zoals in Nederland het CBP) in staat zullen zijn hogere sancties op te leggen. Daar waar het CBP op dit moment een maximale boete van €4.500 euro kan opleggen, en na goedkeuring van de meldplicht datalekken wordt dit maximum bedrag verhoogd naar een boete van maximaal €810.000 euro of 10% van de omzet, kan het CBP onder de algemene verordening gegevensbescherming een boete opleggen van maximaal €100.000.000 euro of 5% van de omzet van een organisatie. Het betreft op dit moment uiteraard nog een voorstel en de algemene verordening gegevensbescherming is nog niet aangenomen. Er kan echter wel worden aangenomen dat de financiële sanctie die straks door een toezichthoudende instantie als het CBP kan worden toegepast aanzienlijk hoger zal zijn dan de €4.500 euro die het op dit moment is (dit bedrag geldt in Nederland voor het CBP, dit bedrag kan afwijken in andere EU lidstaten). Ook onder de algemene verordening gegevensbescherming geldt dat strafrechtelijke sancties kunnen volgen indien de verantwoordelijke, of de bewerker onder de verantwoordelijkheid van de verantwoordelijke, in strijd handelt met de wet. Daarnaast geldt ook bij de algemene verordening gegevensbescherming dat het niet conform de in de verordening gestelde eisen opereren ook maatschappelijke gevolgen kan hebben. Wat de impact hiervan is en welke gevolgen dit exact zijn is geen onderdeel van het onderzoek, gesteld kan worden dat dit een negatieve impact heeft op de reputatie van de verantwoordelijke.
3.4
Decentralisaties in het kader van het Sociaal Domein
In de voorgaande paragrafen is inzichtelijk gemaakt wat er tijdens dit onderzoek onder privacy wordt verstaan, wat de Wbp inhoudt en hoe de Wbp zich verhoudt tot de algemene verordening gegevensbescherming. Het onderzoek is toegespitst op activiteiten die door gemeenten in het kader van het Sociaal Domein, en meer specifiek de decentralisaties, worden uitgevoerd. Het is derhalve van belang een globaal inzicht te hebben in wat de decentralisaties inhouden. Deze paragraaf zal inzichtelijk maken wat er voor dit onderzoek onder de decentralisaties wordt verstaan en wat er vanuit de decentralisaties voor dit onderzoek relevant is. Figuur 7 geeft de verhouding weer met de voorgaande paragrafen en gaat tevens in op de structuur van dit hoofdstuk.
28
Figuur 7: Decentralisaties in relatie tot het onderzoek
3.4.1 Achtergrond Per 1 januari 2015 is de overheveling van taken op het gebied van Wmo, jeugd en participatie naar gemeenten een feit geworden. Voordat de taken naar gemeenten zijn overgeheveld werden deze taken deels uitgevoerd door het Rijk, het andere deel was al bij gemeenten belegd. Op 13 februari 2013 heeft minister Plasterk een kamerbrief uitgebracht waarin de minister de aanpak tot meer samenhang tussen de voorgenomen decentralisaties op het terrein van ondersteuning, participatie en jeugd toelicht. In de kamerbrief staat het volgende uitgangspunt opgenomen: “Het uitgangspunt van het kabinet is dat de zelfredzaamheid van de burger maximaal dient te worden gefaciliteerd en gestimuleerd. Goede ondersteuning en -nog belangrijker -goede gezondheid en actieve deelname aan de maatschappij zijn namelijk niet alleen een zaak van de overheid. Burgers zijn samen met hun netwerk in de eerste plaats zelf verantwoordelijk. Desalniettemin moeten mensen die het echt nodig hebben, kunnen blijven rekenen op de ondersteuning door de overheid. Ondersteuning die aansluit bij de behoefte van burgers en aansluit bij hun mogelijkheden. Gemeenten kunnen op deze manier beter inspelen op de behoefte van burgers”. De kamerbrief kondigt de wetswijzigingen aan. De overheveling van taken van het Rijk naar gemeenten is daarmee ingezet.
3.4.2 Taken in het kader van de decentralisaties De taken die in het kader van de decentralisatie van het Rijk naar gemeenten worden overgedragen worden door het Rijk als volgt omschreven: • • • 29
zorg bieden aan langdurig zieken of ouderen; hulp bij het vinden van werk (of een uitkering verstrekken); de jeugdzorg.
3.4.2.1
Wmo (Wet maatschappelijke ondersteuning)
Zoals aangegeven wordt met ingang van 2015 de verantwoordelijkheid aangaande de uitvoering van taken in het kader van de Wmo naar gemeenten overgeheveld. Dit omvat de begeleiding en de persoonlijke verzorging van hulpbehoevenden, de middelen voor inkomensondersteuning en cliëntondersteuning. Het laten meedoen van alle burgers in de samenleving staat onder de Wmo centraal. Taken die onder de Wmo worden uitgevoerd zijn: • Het regelen dat burgers die hulp nodig hebben in het dagelijkse leven ondersteuning krijgen (huishouden, rolstoel, woningaanpassing, etc.). • Ondersteunen van burgers die zich inzetten voor hun medemens of buurt, zoals mantelzorgers en vrijwilligers. • Stimuleren van activiteiten die de onderlinge betrokkenheid in buurten en wijken vergroten. • Voorkomen dat burgers later zwaardere vormen van hulp nodig hebben.
3.4.2.2
Participatiewet
De participatiewet richt zich op burgers die extra hulp nodig hebben om aan het werk te komen. Burgers die reeds een Wajong-uitkering hebben worden beoordeeld op arbeidsvermogen. De Participatiewet voegt drie regelingen samen in één regeling, namelijk: • Wet werk en bijstand. • Wajong. • Wet sociale werkvoorziening. Ook hierbij geldt dat de gemeenten de taken in het kader van de participatiewet zal gaan uitvoeren en dus de taken van het Rijk overneemt.
3.4.2.3
Jeugdzorg
Gemeenten zijn per 1 januari 2015 ook verantwoordelijk voor het verlenen van zorg aan jeugd. Met ingang van 1 januari 2015 zijn instellingen verplicht met geregistreerde professionals te werken, bij- en nascholing is daarbij een voorwaarde. De jeugdzorg die geleverd dient te worden omvat ook: • De jeugdbescherming. • De jeugdreclassering. • De jeugdzorgPlus (gesloten jeugdzorg). • De geestelijke gezondheidszorg voor jeugdigen (jeugd-GGZ). • De zorg voor jeugd met een licht verstandelijk beperking (jeugd-LVB). De nieuwe wet Jeugdzorg kent de volgende uitgangspunten: 1. Preventie en uitgaan van eigen verantwoordelijkheid en eigen mogelijkheden van jeugdigen en hun ouders, met inzet van hun sociale netwerk. 2. De-medicaliseren, ontzorgen en normaliseren door onder meer het opvoedkundig klimaat te versterken in gezinnen, wijken, scholen en in voorzieningen als kinderopvang en peuterspeelzalen.
30
3. Eerder de juiste hulp op maat te bieden om jeugdigen en gezinnen zo snel mogelijk, zo dichtbij mogelijk en zo effectief mogelijk hulp te bieden met aandacht voor de (kosten)effectiviteit van de geboden hulp. 4. Integrale hulp aan gezinnen volgens het uitgangspunt één gezin, één plan, één regisseur. 5. Meer ruimte voor professionals om de juiste hulp te bieden door vermindering van regeldruk.
3.4.3 Privacy en de decentralisaties Nu we inzicht hebben verworven in de taken die de decentralisaties omvatten en die de verantwoordelijkheid zijn geworden van gemeenten kan worden gesteld dat de toegenomen taken impact hebben op de informatieverwerking van gemeenten. De gemeenten krijgen meer, dan in het verleden, toegang tot persoonlijke informatie van haar burgers, persoonsgegevens en in veel gevallen ook bijzondere persoonsgegevens. Privacy is in het kader van de wetgeving een belangrijke voorwaarde voor de omgang met persoonsgegevens. Het toenemend gebruik van (bijzondere) persoonsgegevens door gemeenten, in relatie tot de decentralisaties vraagt om antwoord op de vraag of gemeenten in staat zijn de privacy eisen te waarborgen bij de uitvoering van gemeentelijke taken in het kader van de decentralisaties. Het toetsingskader, welke in het volgende hoofdstuk verder wordt uitgewerkt en toegelicht, zal helpen antwoord op deze vraag te krijgen.
31
4
Toetsingskader
In hoofdstuk 3 heb ik uitgebreid stilgestaan bij vier onderwerpen die van belang zijn in het kader van dit onderzoek en voor het opstellen van het toetsingskader: • Privacy. • Wbp. • Algemene verordening gegevensbescherming. • Decentralisaties. We kennen het concept privacy en de definitie van het woord voor dit onderzoek. We hebben inzicht in de voor dit onderzoek relevante wetgevingen op Nationaal en Europees niveau alsmede in de betekenis van een belangrijke ontwikkeling in de publieke sector, de decentralisaties. We hebben derhalve een antwoord verworven op de volgende deelvragen: • • • • • • •
Wat is privacy? Wat is de Wet bescherming persoonsgegevens? Aan welke eisen uit de Wet bescherming persoonsgegevens dient een gemeente te voldoen bij de uitvoering van haar gemeentelijke taken in het kader van de decentralisaties? Welke gevolgen kan het niet voldoen aan de Wet bescherming persoonsgegevens hebben voor gemeenten? Wat is de algemene verordening gegevensbescherming? Wat zijn de verschillende tussen de Wet bescherming persoonsgegevens en de algemene verordening gegevensbescherming? Wat zijn de decentralisaties in het kader van het Sociaal Domein?
In de paragrafen van dit hoofdstuk zal worden ingegaan op de totstandkoming van het toetsingskader, de scope, reikwijdte en de beperkingen van het kader. Figuur 8 geeft inzicht in de positie die het toetsingskader inneemt in dit rapport. Het is de kern van het onderzoek en de conclusies die aan het einde van het onderzoek worden getrokken kunnen aanleiding zijn tot aanpassing van het toetsingskader. De aanpassing zelf is echter geen onderdeel van het onderzoek.
Figuur 8: Toetsingskader in verhouding tot het onderzoek
32
4.1
Scope, reikwijdte en beperkingen
Het toetsingskader beperkt zich tot een aantal facetten: de wettelijk gestelde eisen in de Wbp en de daarop aanvullende wettelijke eisen die momenteel in de algemene verordening gegevensbescherming zijn opgenomen. Andere wetgevingen welke in het kader van bijvoorbeeld de decentralisaties relevant zijn, maken geen deel uit van dit onderzoek. Dit geldt ook voor wetgevingen die bijvoorbeeld strengere eisen stellen aan een specifiek onderdeel dat ook in de Wbp terugkomt. Een voorbeeld hiervan is de eis aan bewaartermijnen voor persoonsgegevens. In dit geval kan bijvoorbeeld de Archiefwet leidende zijn, dit is echter niet meegenomen in het onderzoek. Daarnaast beperkt het toetsingskader zich tot elementen welke vanuit de decentralisaties relevant zijn. In de paragraaf gewijd aan de totstandkoming van het toetsingskader (paragraaf 4.2) wordt hier verder aandacht aan besteed. Een laatste beperking is gericht op de diepgang van het toetsingskader. Het toetsingskader kent een verkennend karakter (quick scan). Dit verhoudt zich tot het kader als normen die zich beperken tot eisen aan processen en procedures. Samenvattend kan gesteld worden dat het toetsingskader de volgende beperkingen kent: • Beperkingen ten aanzien van omvang (toegespitst op de Wbp, de algemene verordening gegevensbescherming en de decentralisaties). • Beperkingen ten aanzien van diepgang (verkennend karakter en derhalve gericht op proces- en procedure eisen en in mindere mate detail vragen). • Beperkingen ten aanzien van toepassing (toegespitst op gemeenten in het kader van de decentralisaties en niet op bijvoorbeeld ketenpartijen of serviceorganisaties).
4.2
Totstandkoming
Een belangrijke voorwaarde uit de wetgeving is de vaststelling of de wet wel of niet van toepassing is. Deze afweging dient plaats te vinden voordat een gemeente over gaat tot de verwerking van een persoonsgegevens. Vanuit de Wbp is dit een belangrijke stap, echter voor de totstandkoming van het toetsingskader is dit buiten beschouwing gelaten. Het toetsingskader is gericht op verwerking waarvoor geldt dat de Wbp van toepassing is.
4.2.1 Analyse wettelijke eisen Wbp en algemene verordening gegevensbescherming In de paragrafen 3.2 en 3.3 zijn de wettelijke eisen uit de Wbp en de aanvullende wettelijke eisen uit de algemene verordening gegevensbescherming uiteengezet. Voor het opstellen van het toetsingskader is in kaart gebracht welke eisen in het toetsingskader opgenomen dienen te worden, namelijk: •
33
Wbp • Doelmatigheid. • Doelbinding. • Doeleinden. • Proportionaliteit en subsidiariteit. • Bewaartermijnen. • Dataminimalisatie en kwaliteit van data. • Beveiliging. • Rechtsverhoudingen tussen verantwoordelijke en bewerker.
• • • •
Voornemen en melden. Transparantie. Rechten van de betrokkene (inzage, correctie, verzet, vernietiging, etc.).
Algemene verordening gegevensbescherming • Meldplicht datalekken. • Gegevensoverdraagbaarheid. • Privacy by design. • Privacy by default. • Privacybeleid. • Functionaris voor de Gegevensbescherming.
4.2.2 Organisatorische- en verwerkingsmaatregelen Het samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit heeft in het jaar 2000 een raamwerk opgesteld welke is toegespitst op de Wbp. Dit raamwerk is breed toepasbaar, en maakt een duidelijke scheiding tussen de organisatie en de verwerking. Hierbij wordt het uitgangspunt van de organisatie omschreven als: “… om vanuit de doelstelling van de organisatie een privacybeleid te ontwikkelen, op basis waarvan een beleid voor de verwerking van persoonsgegevens kan worden geformuleerd. Aanvullend zal het bestaande privacybeleid worden geëvalueerd en verschillen ten opzichte van de implementatie van de WBP-eisen in kaart worden gebracht”.20 Het uitgangspunt van de verwerking wordt omschreven als: “Het geformuleerde beleid dient geconcretiseerd te worden naar specifieke maatregelen en procedures voor de verwerkingscyclus van persoonsgegevens. Het definiëren van concrete maatregelen en procedures vindt plaats na een grondige risicoanalyse, waarin bedreigingen worden geïnventariseerd waaraan de verwerking van persoonsgegevens blootstaat. In dit verband worden de sterke en zwakke punten van de gegevensverwerking vastgelegd. De risico’s tezamen met de sterke en zwakke punten van de verwerkingsorganisatie en een kosten-/batenanalyse leiden, op basis van het gedefinieerde privacybeleid, tot een afgewogen keuze voor de te treffen voorzieningen van organisatorische en technische aard. Het management dient vervolgens zorg te dragen voor implementatie van de gekozen voorzieningen op een toereikend niveau”.19 Voor het toetsingskader is aansluiting gezocht bij de splitsing die in het raamwerk wordt gemaakt tussen de organisatorische maatregelen en de verwerkingsmaatregelen. De organisatorische maatregelen gaan in op het organisatorische aspect van de verwerking. Dit betreffen waarborgen dat verwerkingsmaatregelen op grond van een juiste basis geïmplementeerd zijn. De organisatorische- en verwerkingsmaatregelen sluiten aan bij de eisen die vanuit de Wbp gesteld worden, eisen die in paragraaf 3.2 uitvoerig staan beschreven. De organisatorische- en verwerkingsmaatregelen sluiten ook aan bij de eisen die vanuit de algemene verordening gegevensbescherming worden gesteld. Deze zijn terug te vinden in paragraaf 3.3 van dit rapport.
20
Raamwerk Privacy Audit, Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit (waaronder NoREa), 2000.
34
4.2.2.1
Organisatorische maatregelen
De organisatie van de gemeente dient waarborgen te treffen welke garanderen dat gegevensverwerkingen binnen de kaders van de wet worden uitgevoerd. Om aan deze eisen te voldoen dienen op beleidsniveau beleid, processen en procedures te zijn ingericht. Hiermee wordt onder andere invulling gegeven aan artikel 13 uit de Wbp, echter overstijgt de inrichting van organisatorische maatregelen zoals hier bedoeld wordt, artikel 13. Om die reden zijn er voor het toetsingskader op hoofdlijnen de volgende normen geïdentificeerd21: • planning en organisatie van de verwerking van persoonsgegevens (paragraaf 3.2.1.2.1); • definiëren van de verwerkingsorganisatie en haar relaties (paragraaf 3.2.1.2.1); • communiceren van privacydoelstellingen en –beleid (paragraaf 3.2.1.2.1 & 3.2.1.6); • personeelsmanagement (paragraaf 3.2.1.2.1); • waarborgen om aan aanvullende eisen te voldoen (paragraaf 3.2.1.2.1); • beoordelen van afhankelijkheid en kwetsbaarheid van de gegevensverwerking (paragraaf 3.2.1.2.1); • waarborgen van eisen aan derde partijen (paragraaf 3.2.1.2.1); • waarborgen van logische toegangsbeveiliging (paragraaf 3.2.1.2.1); • gegevensbeheer (paragraaf 3.2.1.2.1). De geïdentificeerde normen kennen nog een verdiepingsslag. Per geïdentificeerde norm worden vervolgens detailnormen uitgewerkt. De resultaten hiervan zijn zichtbaar in bijlage 3.
4.2.2.2
Verwerkingsmaatregelen
De verwerkingsmaatregelen sluiten aan bij de wettelijke eisen welke terug te vinden zijn in het wettelijk kader van de Wbp en van de algemene verordening gegevensbescherming. Voor het toetsingskader aangaande de verwerkingsmaatregelen zijn op hoofdlijnen de volgende normen geïdentificeerd: • voornemen en melden (paragraaf 3.2.1.3); • transparantie (paragraaf 3.2.1.6); • doelbinding en doeleinden (paragraaf 3.2.1.2.1); • rechtmatige grondslag (paragraaf 3.2.1.2); • kwaliteit (paragraaf 3.2.1.2.1); • rechten (paragraaf 3.2.1.7); • beveiliging (paragraaf 3.2.1.2.1); • bewerker (paragraaf 3.2.1.2.1). Normen ten aanzien van het uitwisselen van persoonsgegevens buiten de EU zijn buiten beschouwing gelaten. Ook voor de geïdentificeerde normen ten aanzien van de verwerkingsmaatregelen geldt dat er nog een verdiepingsslag is. Het volledige kader is bijgesloten in bijlage 3.
4.2.3 Scoringsmodel Om de resultaten uit de toepassing van het toetsingskader inzichtelijk te maken is een scoringsmodel ontwikkeld. Door de scores aan de normen toe te kennen kan inzichtelijk worden gemaakt in welke mate er aan een norm wordt voldaan. Voor het toetsingskader is gekozen voor een scoringsmodel bestaande uit vier niveaus, te weten:
21
Deze aandachtsgebieden zijn zorgvuldig uit het Raamwerk Privacy Audit geselecteerd uit 23 aandachtsgebieden.
35
•
Voldoende (score 3); De norm is zodanig geïmplementeerd dat voldaan wordt aan de wettelijke eisen. De procedure kan slechts beperkt nog worden verbetert. Een voorbeeld kan zijn een procedure waaraan nog een beperkt aantal elementen ontbreken (niet meer dan drie) die niet vereist zijn maar wel aanbevolen worden door best practices.
•
Beperkt (score 2); De norm is deels geïmplementeerd en inhoudelijk ontbreekt er nog te veel om te voldoen aan de wettelijke eisen. Een voorbeeld kan zijn een procedure welke de helft van de verwachte aandachtspunten bevat, welke geen vastgelegde eigenaren kent en welke niet door management is vastgesteld.
•
Onvoldoende (score 1); De norm is zeer beperkt geïmplementeerd. Er is bijvoorbeeld een procedure in concept aanwezig of er zijn meerdere lossen documenten aanwezig die gezamenlijk één procedure vormen. Men heeft geen planning ten aanzien van de afronding van de conceptstukken of ten aanzien van het samenvoegen van de documenten tot één procedure. Ook is het management niet actief betrokken bij de totstandkoming van het document of de inrichting ervan.
•
Niet aanwezig (score 0). Procedures en processen ten aanzien van het relevante onderwerp zijn niet aanwezig. Er wordt niet aan de norm voldaan.
Figuur 9 illustreert hoe toepassing van het scoringsmodel eruit kan komen te zien nadat de resultaten verwerkt zijn.
Figuur 9: Voorbeeld van verwerkte resultaten van een toegepast toetsingskader
36
4.2.4 Aangepast scoringsmodel op basis van eerste interview In hoofdstuk 5 worden de resultaten uit de uitgevoerde interviews beschreven. Tijdens het eerste interview is er op basis van de ontvangen terugkoppeling gekozen om het scoremodel ter plekke aan te passen en het kader conform deze aanpassing te toetsen. Reden hiervoor was dat het de toepasbaarheid ten goede kwam en de huidige niveaus geen correcte weergave konden geven van nuanceringen ten aanzien van de norm. In paragraaf 5.2.5 ga op de bevinding in. Hetgeen ertoe geleid heeft dat gekozen is voor de volgende scoringsniveaus: •
Volledig aanwezig (5); De norm is zoals omschreven volledig bij de gemeente geïmplementeerd.
•
Ruim voldoende aanwezig (4); De norm zo goed als volledig aanwezig, conform de omschrijving bij de norm. Een voorbeeld kan zijn dat een procedure is opgesteld maar deze bijvoorbeeld niet door management is vastgesteld. Wel is vastgesteld dat management actief betrokken is.
•
Voldoende aanwezig (3); De norm is zodanig geïmplementeerd dat voldaan wordt aan de wettelijke eisen, er is echter nog ruimte voor verbetering. Een voorbeeld kan zijn een procedure waaraan nog enkele elementen ontbreken die niet vereist zijn maar wel aanbevolen worden. De procedure is ook niet vastgesteld door management.
•
Matig aanwezig (2); De norm is (deels) geïmplementeerd maar inhoudelijk ontbreekt er nog te veel om te voldoen aan de wettelijke eisen. Een voorbeeld kan zijn een procedure welke de helft van de verwachte aandachtspunten bevat, welke geen vastgelegde eigenaren kent en welke niet door management is vastgesteld. In samenspraak met de gemeenten is bepaald dat procedures, processen en andere documenten welke zich nog in een ontwikkelingsfase bevinden in deze categorie vallen.
•
Onvoldoende aanwezig (1); De norm is deels geïmplementeerd. Er is bijvoorbeeld een procedure in concept aanwezig of er zijn meerdere lossen documenten aanwezig die gezamenlijk één procedure vormen. Men heeft geen planning ten aanzien van de afronding van de conceptstukken of ten aanzien van het samenvoegen van de documenten tot één procedure. Ook is het management niet actief betrokken bij de totstandkoming van het document of de inrichting ervan.
•
Niet aanwezig (0). Procedures en processen ten aanzien van het relevante onderwerp zijn niet aanwezig. Er wordt niet aan de norm voldaan.
Figuur 10 illustreert het aangepaste scoringsmodel dat vervolgens in het kader van dit onderzoek is toegepast.
37
Figuur 10: Voorbeeld van verwerkte resultaten van het aangepaste en toegepast toetsingskader
38
5
Praktijkonderzoek
Het in hoofdstuk 4 ontwikkelde toetsingskader is in de praktijk getoetst om de werking van het kader vast te stellen en tekortkomingen/verbetermogelijkheden te identificeren. In dit hoofdstuk ga ik in op de wijze waarop de interviews zijn uitgevoerd (hierin wordt ook aandacht besteed aan de beperkingen van het praktijkonderzoek) en de terugkoppeling die relevant is voor verbetering/aanpassing van het kader. De resultaten zijn op basis van interviews met drie gemeenten, te weten gemeente Amsterdam, gemeente Rotterdam en gemeente Schagen, geïdentificeerd. Figuur 11 illustreert hoe dit hoofdstuk zich verhoudt tot de andere hoofdstukken in dit rapport.
Figuur 11: Praktijkonderzoek in relatie tot het onderzoek
5.1
Interviews
Het toetsingskader is op basis van interviews bij drie gemeenten getoetst. Per gemeente is één interview gehouden met personen die betrokken en verantwoordelijk zijn voor de gemeentelijke privacy organisatie in het kader van de decentralisaties. Dit is een randvoorwaarde voor de bruikbaarheid van de resultaten uit de interviews. Het dient te worden opgemerkt dat de interviews hebben plaatsgevonden op basis van hoor en wederhoor en dat er geen documentatie is geraadpleegd. De gemeenten die het toetsingskader hebben ingevuld hebben dit naar eigen zeggen naar waarheid ingevuld, invulling is derhalve wel onderhevig aan interpretatie van de norm, de scores en van de situatie bij de organisatie waar het kader wordt toegepast. Bij elk interview is het toetsingskader zoals vormgegeven in bijlage 3 toegepast. Het toetsingskader is door de geïnterviewde tijdens het interview ingevuld. Na invulling van het kader is vervolgens door de geïnterviewde terugkoppeling gegeven op de volgende aandachtsgebieden: •
39
Relevantie: Is de norm terecht opgenomen in het toetsingskader? Normen die niet van toepassing zijn op het
onderwerp privacy, de Wbp, de algemene verordening gegevensbescherming en/of de decentralisaties dienen niet opgenomen te zijn in het kader. •
Volledigheid: Sluit het toetsingskader inhoudelijk aan op de eisen die vanuit de Wbp en de algemene verordening gegevensbescherming gesteld worden? Het aandachtspunt ten aanzien van de volledigheid beperkt zich tot de volledigheid binnen de beperkingen van het onderzoek zoals benoemd onder paragraaf 4.1.
•
Juistheid Zijn de in het kader opgenomen normen juist en zijn deze correct verwoord? De normen dienen juist te zijn beschreven en correcte bewoordingen te bevatten.
•
Toepasbaarheid: Zijn de normen begrijpelijk en bruikbaar voor een derde? De normen dienen begrijpelijk te zijn voor de doelgroep, privacy functionarissen.
•
Scoringsmodel: Zijn de scoringsniveaus afdoende voor een juiste weergave van de beheersing van de norm? Het is hierbij van belang dat de scores die per norm toegekend worden zoveel mogelijk aansluiten bij de werkelijke situatie zoals deze bij het toepassen van het kader aangetroffen wordt.
5.2
Bevindingen werking toetsingskader
Het toetsingskader is afzonderlijk bij de drie gemeenten getoetst. In deze paragraaf worden de bevindingen uit de interviews echter gebundeld en niet per gemeente weergegeven. De resultaten worden per aandachtsgebied, conform de beschrijvingen in paragraaf 4.2.2.1 en 4.2.2.2, weergegeven.
5.2.1 Relevantie De normen in het toetsingskader zijn gebaseerd op de wettelijke eisen uit de Wbp en uit de algemene verordening gegevensbescherming. Het toetsingskader is gericht op de decentralisaties en in dat kader is bevonden dat norm 6.4.1 “Geautomatiseerde besluiten” onder aandachtsgebied van het technische kader “6. Rechten” niet van toepassing is op de situatie bij gemeenten. De norm beschrijft het volgende: “Er dient een procedure aanwezig te zijn waarin wordt beschreven hoe geautomatiseerde besluiten plaatsvinden, of dit op grond van profielschetsen is en of in het geval van profielschetsen ook een menselijke tussenkomst plaatsvindt”. Uit de interviews is gebleken dat in het kader van de decentralisaties geen geautomatiseerde beslissingen plaatsvinden.
5.2.2 Volledigheid Uit de interviews is gebleken dat één aandachtsgebied ontbreekt, te weten gegevensuitwisseling binnen en buiten de EU. Er is aan de betreffende geïnterviewde toegelicht dat dit aandachtsgebied bewust buiten de scope van dit onderzoek is geplaatst omdat het persoonsgegevens betreft van Nederlandse burgers welke door Nederlandse gemeenten worden verwerkt. Er is vervolgens door de geïnterviewde aangegeven dat gemeente wel de verantwoordelijkheid heeft, indien gebruik wordt gemaakt van een serviceorganisatie, rekening te houden met specifieke eisen ten aanzien van het gebruik van de persoonsgegevens. Een voorbeeld hiervan is de locatie van het opslaan van de persoonsgegevens. 40
Een ander onderwerp betreft het organisatorische kader, aandachtsgebied ”3. Communiceren privacydoelstellingen en privacybeleid”. De deelgebieden en normen die hieronder vallen gaan niet in op de privacydoelstellingen. Er is opgemerkt dat privacydoelstellingen in wettelijk opzicht een belangrijk aandeel vormen in de wettelijke kaders en dat normen hierover opgenomen dienen te worden in het toetsingskader. In hetzelfde deel van het kader, het organisatorische deel, en in het specifiek norm “7.1.1 Overeenkomsten”, is ook een bevinding opgemerkt. Onder norm 7.1.1 worden eisen beschreven die voor een verwerkingsorganisatie dienen te gelden. Hierbij is opgemerkt dat de gestelde eisen suggereren dat in dit kader onder verwerkingsorganisatie een leverancier/serviceorganisatie wordt bedoelt. In het kader van de decentralisaties kan een verwerkingsorganisatie echter ook een ketenpartij zijn. Derhalve is teruggekoppeld dat onderscheid dient te worden gemaakt tussen de verschillende type verwerkingsorganisaties, zoals ketenpartijen, leveranciers en service organisaties.
5.2.3 Juistheid In het kader van de juistheid is uit de interviews terugkoppelingen gegeven aangaande het gebruik van de term‘ dienen’. Het toetsingskader bevat normen die bijvoorbeeld beschrijven dat ‘procedures dienen te zijn ingericht’ of dat ‘informatiebeveiliging binnen de gemeente breed gedragen dient te worden’. De normen werden tijdens de interviews hierdoor beschouwd als een ‘richting’ in plaats van een ‘norm’. Ter illustratie werd norm 7.1.2. uit het technische kader genoemd. De norm is daarin als volgt beschreven: “Informatiebeveiliging dient binnen de gemeente breed te worden gedragen. Medewerkers dienen zich bewust te zijn van hun taken en verantwoordelijkheden op dit gebied door periodiek bewustwordingstraining te volgen”. De geïnterviewde merkte hierbij op dat hij het eens is dat informatiebeveiliging breed gedragen dient te worden en dat medewerkers zich inderdaad bewust dienen te zijn van hun taken en verantwoordelijkheden. Zodoende stelde de geïnterviewde voor de bewoording aan te passen zodat de strekking verandert van een ‘richting’ naar een ‘eis’.
5.2.4 Toepasbaarheid Ook de toepasbaarheid van het toetsingskader is als onderdeel van de praktijktoets beoordeeld. De beschreven normen dienen begrijpelijk te zijn voor de privacy functionaris die geïnterviewd is maar ook voor derden die in de toekomst wellicht van het toetsingskader gebruik gaan maken. Hierbij dient we te worden opgemerkt dat toepassing van het kader enige kennis van de concepten privacy en informatiebeveiliging vereist. Op basis van de ontvangen terugkoppeling is gebleken dat de normen zoals reeds opgenomen in het kader begrijpelijk en dus toepasbaar zijn voor de geïnterviewde.
5.2.5 Scoringsmodel In paragraaf 4.2.4 staat reeds beschreven dat het scoringsmodel tijdens het eerste interview is aangepast. De geïnterviewde gaf als terugkoppeling dat het gekozen scoringsmodel onvoldoende ruimte bood voor nuances bij de gestelde norm en dat dit, mede ingeleid doordat de gemeentelijke verantwoordelijkheid ten aanzien van de decentralisaties pas recent van kracht is geworden, van belang is omdat gemeenten nog bezig zijn met de invulling van wettelijke eisen. Na wederom te hebben gekeken naar het in eerste instantie ontwikkelde scoringsmodel is ervoor gekozen het scoringsmodel aan te passen en het interview op basis van het aangepaste kader uit te voeren.
41
Bij de interviews die daarop volgde is vervolgens eerst de vraag gesteld naar welk scoringsmodel de voorkeur uitging en waarom. De gemeenten kwamen met vergelijkbare antwoorden en zodoende is de wijziging definitief aangenomen en zijn ook de andere interviews uitgevoerd conform het aangepaste scoringsmodel.
42
6
Conclusies
Het onderzoek is afgerond en de conclusies zijn op basis van de geïdentificeerde bevindingen in dit hoofdstuk beschreven. De hoofdvraag van de scriptie luidde: Aan welke privacy voorwaarden dienen gemeenten te voldoen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties? Om tot een beantwoording van de hoofdvraag te komen zijn een aantal deelvragen gedurende het onderzoek beantwoord. Op basis van mijn onderzoek kom ik tot de conclusie dat een gemeente aan een uitgebreide set van privacy voorwaarden (tabel 2) moet voldoen bij het uitvoeren van de gedecentraliseerde taken op het gebied van Wmo, Participatie en Jeugd.
Organisatorisch Maatregel nr. Omschrijving 1. Planning en organisatie van de verwerking van persoonsgegevens 1.1 Privacybeleid 1.2 Organisatiebeleid 2. 2.1 2.2 2.3 2.4
Definieer de verwerkingsorganisatie en haar relaties Organisatorisch plaatsen van de verwerkingsfunctie Rollen en verantwoordelijkheden Functiescheiding Personeel
3. 3.1 3.2 3.3
Communiceren privacydoelstellingen en privacybeleid Privacybeleid Beveiligingsbeleid Communicatie en bewustwording beleid
4. 4.1 4.2
Personeelsmanagement Kwalificatie personeel Training van personeel
5. 5.1
Waarborgen dat aan aanvullende eisen wordt voldaan Beoordeling van externe eisen
6. 6.1
Beoordelen van afhankelijkheid en kwetsbaarheid gegevensverwerking Risicoanalyse methodiek
7. 7.1 7.2
Derde partijen Overeenkomsten SLA
43
8. 8.1
Waarborgen van logische toegangsbeveiliging Procedure logische toegangsbeveiliging
9. 9.1 9.2 9.3 9.4 9.5
Gegevensbeheer Invoer Verwerking Uitvoer Opslag Gegevensoverdraagbaarheid
10. 10.1
Privacyeffectbeoordeling Privacyeffectbeoordeling
11. 11.1 11.2
Voornemen en Melden Centraal register Verstrekken van inlichtingen over de verwerking
12. 12.1
Transparantie Informatieverstrekking aan de betrokkene
3. 13.1 13.2 13.3
Doelbinding Doelbinding Verenigbaarheid van gegevensverwerking Bewaren van persoonsgegevens
14. 14.1
Rechtmatige grondslag Grondslag voor de verwerking van persoonsgegevens
15. 15.1
Kwaliteit Kwaliteit van de invoer, verwerking en uitvoer
16. 16.1 16.2 16.3 16.4
Rechten Inzage Verbeteren, aanvullen, verwijderen en afschermen Relatief verzet (toekennen na belangenafweging) Geautomatiseerde besluiten
17. 17.1 17.2 17.3
Beveiliging Bewustzijn IT-voorzieningen Toegangsbeveiliging
44
17.4 17.5 17.6 17.7
Netwerken Bewaring en vernietiging Continuïteit Meldplicht datalekken
18. 18.1
Bewerker Bewerker Tabel 2: Set aan privacy voorwaarden
Deze set is tot stand gekomen door het inventariseren van de theoretische kaders en het opstellen van een toetsingskader (zie bijlage 3). Dit toetsingskader is vervolgens in de praktijk gevalideerd en de resultaten daarvan zijn geanalyseerd. In paragraaf 6.1 ga ik in op de resultaten uit de uitgevoerde analyse. Vervolgens wordt in paragraaf 6.2 mijn eindconclusie beschreven. Figuur 12 illustreert hoofdstuk 6 in relatie tot de voorgaande hoofdstukken. Het geeft weer dat de conclusies kunnen leiden tot aanpassingen aan het toetsingskader.
Figuur 12: Conclusies in relatie tot de overige hoofdstukken van het onderzoek
6.1
Algemene conclusies toetsingskader
In paragraaf 5.2 zijn de bevindingen ten aanzien van de werking van het toetsingskader uitgelicht. Deze bevindingen vormen een belangrijk onderdeel van de conclusies ten aanzien van het toetsingskader. Geconcludeerd kan worden dat het toetsingskader aangepast zal moeten worden om de relevantie, volledigheid, juistheid en toepasbaarheid te waarborgen. Welke aanbeveling wel of niet tot aanpassingen aan het kader leiden is terug te vinden in tabel 3. Het scoringsmodel is tijdens het eerste interview aangepast, dit naar aanleiding van de terugkoppeling. De aanpassingen aan het scoringsmodel zijn vervolgens in de praktijk getoetst bij de drie gemeenten.
45
Tabel 3 omvat een uiteenzetting van wijzigingen welke door de gemeenten zijn voorgesteld. In de kolommen staan de beschrijvingen van de wijzigingen, tot welk deelgebied deze behoren, de conclusie of de voorgestelde wijzigingen doorgevoerd dienen te worden en de toelichting die bij de conclusies horen. Aandachtsgebied
Relevantie
Voorgestelde wijziging
Doorvoeren wijziging (ja/nee)
Verwijderen norm 6.4.1 “Geautomatiseerde besluiten”.
Ja
Toevoegen aandachtsgebied “Gegevensuitwisselingen binnen en buiten de EU”.
Nee
Toevoegen specifieke normen ten aanzien van privacydoelstellingen aan aandachtsgebied 3. “Communiceren privacydoelstellingen en privacybeleid”.
Ja
Toevoegen specifiek normen ten aanzien van serviceorganisaties en ketenpartijen.
Nee
Volledigheid
46
Toelichting wel of niet doorvoeren aanpassing Op basis van de ontvangen toelichting en de ervaring en expertise van de geïnterviewde is besloten dat de wijziging bij aanpassing van het kader dient te worden doorgevoerd. Het aandachtsgebied zal niet toegevoegd worden aan het kader. De aanname wordt gedaan dat uitwisseling van gegevens met andere landen door de gemeenten zelf niet plaatsvindt. Wel kan het voorkomen dat de gemeente een overeenkomst heeft met een leverancier welke gegevens verwerkt buiten Nederland of buiten de EU. Dit onderdeel is echter in het kader opgenomen onder aandachtsgebied 7. “Derde partijen”. Hierin wordt gesteld dat een overeenkomst dient te zijn opgesteld welke een aantal waarborgen treft. De privacydoelstellingen vormen een belangrijk speerpunt in de wijze waarop gemeenten met de verwerking van persoonsgegevens om dienen te gaan. Onderscheid tussen de typen derde partijen is van belang, een serviceorganisatie dient aan andere eisen te voldoen dan een ketenpartij. Er zal echter geen norm worden
Aandachtsgebied
Voorgestelde wijziging
Doorvoeren wijziging (ja/nee)
Toelichting wel of niet doorvoeren aanpassing toegevoegd ten aanzien van ketenpartijen. Wel zal norm 7.1.1 moeten worden aangepast zodat enkel de eisen worden opgenomen die voor beide type organisaties relevant zijn. Hierbij zal ook worden opgenomen dat specifieke eisen per type organisatie in overweging moeten zijn genomen. De normen zullen zodanig verwoord moeten worden dat gemeenten niet kunnen antwoorden met een reactie als: “Wij zijn het eens dat informatiebeveiliging binnen de gemeenten breed gedragen dient te worden”. Het scoringsmodel dwingt af dat een score conform het model moet worden toegekend. Desalniettemin zal de formulering moeten worden aangepast.
Juistheid
De normen zodanig verwoorden dat het eisen zijn en dat aan de norm voldaan dient te worden.
Ja
Toepasbaarheid
Er zijn geen wijzigingen voorgesteld die de toepasbaarheid van het kader vergroten.
N.v.t.
N.v.t.
Scoringsmodel
Scores aanpassen zodat deze een betere weergave kunnen zijn van de werkelijke situatie bij de gemeente.
Ja
Wijzigingen ten aanzien van het scoringsmodel zijn reeds doorgevoerd in het toetsingskader.
Tabel 3: Conclusies bevindingen werking toetsingskader
De conclusies genoemd in tabel 3 zijn gebaseerd op de terugkoppeling ontvangen van alle geïnterviewde personen. Op basis van de argumentatie, de wettelijke kaders en de relatie tot de ontwikkelingen aangaande de decentralisaties is de afweging gemaakt of de voorgestelde wijziging wel of niet doorgevoerd dient te worden in het toetsingskader.
47
6.2
Eindconclusie
Uit dit onderzoek is duidelijk geworden dat privacy een breed begrip is dat veel omvat. Eisen uit wet- en regelgeving variëren van het beheersen van methodieken voor de uitvoering van risicoanalyses tot het treffen van technische beveiligingsmaatregelen die de privacy van de burger waarborgen. De ontwikkelingen in de publieke sector aangaande de decentralisaties eisen dat gemeenten per 1 januari 2015 in staat zijn de nieuwe gemeentelijke taken uit te voeren en dat ook nog eens binnen de wettelijke kader van diverse wet- en regelgeving zoals de Wbp en in de nabije toekomst de algemene verordening gegevensbescherming. In dit onderzoek heb ik in kaart gebracht aan welke privacy voorwaarden voldaan moet worden bekeken vanuit de Wbp en de algemene verordening gegevensbescherming. Gesteld kan worden dat de privacy voorwaarden veelomvattend zijn. Gemeenten zijn momenteel nog volop in beweging als het om privacy gaat. De praktijk heeft uitgewezen dat het opgestelde toetsingskader, welke de geïdentificeerde privacy voorwaarden omvat, effectief werkt. Enige verbetermogelijkheden zijn geïdentificeerd maar deze zijn niet van dusdanig impact dat de effectiviteit van het toetsingskader nadelig wordt beïnvloed. Het opgestelde toetsingskader kan gemeenten helpen inzicht te krijgen in de privacy voorwaarden en in de mate waarin zij aan deze voorwaarden voldoen. Het kan inzicht bieden in de deelgebieden die extra aandacht nodig hebben. Hiermee kan gesteld worden dat de doelstelling van dit onderzoek, het ontwikkelen van een toetsingskader waarmee onderzocht kan worden in hoeverre gemeenten in staat zijn de privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties, behaald is.
48
7
Aanvullend onderzoek
Bij het ontwikkelen van het toetsingskader en toepassing van dit kader in de praktijk heb ik diverse beperkingen gedefinieerd. Net als voor menig ander onderzoek geldt, is er ruimte voor aanvullend onderzoek door bijvoorbeeld deze beperkingen achterwege te laten. Met het huidige toetsingskader is het mogelijk om de taken in het kader van de decentralisaties bij gemeenten te toetsen conform de gestelde eisen in de Wbp en in de algemene verordening gegevensbescherming. De Wbp verwijst in enkele gevallen echter ook naar andere wetgeving zoals bijvoorbeeld de Archiefwet. Ik heb een aantal deelgebieden gedefinieerd waarop aanvullend onderzoek kan worden uitgevoerd ten gunste van het reeds ontwikkelde toetsingskader.
7.1
Wet- en regelgeving
Om op adequate wijze om te gaan met de persoonsgegevens dient ook in kaart te worden gebracht welke eisen er in andere wet- en regelgeving gelden. Zodoende dient onderzocht te worden welke weten regelgevingen dit zijn en waar het overlap zit tussen de verschillende wet- regelgevingen. Tijdens dit onderzoek ben ik de volgende relevantie wet- en regelgeving tegen gekomen: • Telecommunicatiewet. • Archiefwet. • Wet politiegegevens. • Wet publieke gezondheid. Ik merk hierbij op dat uit vervolgonderzoek dient te worden vastgesteld welke wetgevingen nog meer van belang kunnen zijn.
7.2
Expertise en ervaring van de auditor/adviseur
Zoals gemeld in paragraaf 5.2.4 dient het individu dat het ontwikkelde toetsingskader zal gaan toepassen kennis en ervaring te hebben met het toepassen van normenkaders in organisaties. Daarnaast dient het individu kennis te hebben van de onderwerpen relevant vanuit dit onderzoek, namelijk privacy, informatiebeveiliging en de decentralisaties. Om vast te stellen welke specifieke ervaring en kennis benodigd is voor een juiste toepassing van het toetsingskader is aanvullend onderzoek nodig.
7.3
Privacy audit
Het toetsingskader is opgesteld om inzicht te verschaffen aan welke privacy eisen dient te worden voldaan indien gemeenten taken in het kader van de decentralisaties uitvoeren. Het kader beperkt zich tot normen ten aanzien van processen en procedures en is toegepast conform het principe van hoor en wederhoor. Om met enige zekerheid vast te stellen in welke mate een gemeente aan een norm uit het kader voldoet dient een privacy audit plaats te vinden conform de audit principes: opzet, bestaan en werking. Het kader in dit onderzoek is echter niet opgesteld om enige mate van zekerheid te geven over de getoetste normen. Hiervoor geldt dat aanvullend onderzoek nodig is om vast te stellen of de huidige normen het juiste niveau en de juiste bewoordingen bevat, en aanvullende normen noodzakelijk zijn.
49
Bronnen Case Study Research Design and Methods, Yin, R.K., (2009). A treatise on the law of torts, or the wrongs which arise independent of contract. Thomas M. Cooley. Chicago, Callaghan and company, 1879. The General Principles of Constitutional Law in the United States of America. Thomas M. Cooley. Little, Brown & Co. 1880 The right to Privacy. Samuel Warren, Louis Brandeis. Harvard Law Review Vol. IV No.5, 1890. Privacy and Freedom. Alan F. Westin. Washington and Lee Law Review Vol. 25, Issue 1, 1968. European Convention of Human Rights, 1950. Verenigde Naties (VN), Universele Verklaring van de rechten van de mens (UVRM), 1948. Wet bescherming persoonsgegevens, 2001. Algemene verordening gegevensbescherming, 2012. De Nederlandse Grondwet, Grondwet voor het Koninkrijk der Nederlanden, 2008. Nieuwe Europese privacyverordening: gevolgen voor gemeenten, VISD.nl, https://www.visd.nl/gegevensuitwisseling-en-privacy/nieuws/nieuwe-europese-privacyverordeninggevolgen-voor-gemeenten. Factsheet on the “Right to be Forgotten”, European Commission, September 2014. Kamerbrief aanpak decentralisaties op terrein van ondersteuning, participatie en jeugd, Ministerie van Binnenlandse Zaken en Koninksrijkrelaties, 2013. Raamwerk Privacy Audit, Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit (waaronder NoREa), 2000. Contouren voor compliance, Handreiking bij het Raamwerk Privacy Audit, mei 2005. Advies privacytoets jeugdhulpdomein, College Bschermings Persoonsgegevens (CBP), 3 oktober 2014. CBP: Nog steeds zorgen over privacy bij decentralisaties, CBP, 11 november 2014, https://cbpweb.nl/nl/nieuws/cbp-nog-steeds-zorgen-over-privacy-bij-decentralisaties. CBP: gemeenten mogen bij decentralisatie privacywetgeving niet negeren, CBP, 1 juli 2014, https://cbpweb.nl/nl/nieuws/cbp-gemeenten-mogen-bij-decentralisatie-privacywetgeving-niet-negeren. CBP verscherpt aandacht voor informatiebeveiliging gemeenten, CBP, 26 november 2013, https://cbpweb.nl/nl/nieuws/cbp-verscherpt-aandacht-voor-informatiebeveiliging-gemeenten. 50
CBP wijst op privacyrisico’s van overheveling van taken naar gemeenten, CBP, 30 oktober 2013, https://cbpweb.nl/nl/nieuws/cbp-wijst-op-privacyrisico%E2%80%99s-van-overheveling-van-taken-naargemeenten. CBP adviseert over decentralisatie jeugdzorg naar gemeenten, CBP, 5 maart 2013, https://cbpweb.nl/nl/nieuws/cbp-adviseert-over-decentralisatie-jeugdzorg-naar-gemeenten. CBP adviseert over nieuwe taken gemeenten bij extramurale begeleiding, CBP, 25 april 2012, https://cbpweb.nl/nl/nieuws/cbp-adviseert-over-nieuwe-taken-gemeenten-bij-extramurale-begeleiding. Onderzoek naar de toegang tot Suwinet voor niet-Suwipartijen bij het Uitvoeringsinstituut Werknemersverzekeringen (UWV), organisatieonderdeel Bureau Keteninformatisering werk en Inkomen (BKWI), CBP, november 2014. Doorlichten burgers sociale zekerheid met behulp van SyRI, Privacy Barometer, september 2014, https://www.privacybarometer.nl/maatregel/85/De_transparante_burger. Privacy scan, Vereniging Informatievoorziening Sociaal Domein (VISD), http://www.visd.nl. Factsheet privacy, VISD, https://www.visd.nl/sites/visd/files/Factsheet-privacy-september-2014.pdf. Transitie jeugdzorg: een overzicht, Movisie, https://www.movisie.nl/artikel/transitie-jeugdzorg-overzicht. Drie decentralisaties, Vereniging van Nederlandse Gemeenten (VNG), http://www.vng.nl/files/vng/brieven/2013/attachments/drie-decentralisaties_20130923.pdf. Handboek Europese gegevensbeschermingswetgeving, Raad van Europa, 2014. Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP, Eerste Kamer der StatenGeneraal, maart 2015.
51
BIJLAGEN
52
1
Wettelijk kader Wet bescherming persoonsgegevens
Wet bescherming persoonsgegevens.pdf
53
2
Wettelijk kader algemene verordening gegevensbescherming
Algemene verordening gegevensbescherming originele tekst
EU Data Protection Regulation 2012.pdf
Algemene verordening gegevensbescherming wijzigingen 2014
EU Data Protection Regulation 2014 Amendments.pdf
54
3
Uitgewerkt toetsingskader
Organisatorisch Aandachtsgebied Bij de verwerking van persoonsgegevens is het van belang dat invulling wordt gegeven aan de organisatie van de verwerking. Hierbij wordt uitgegaan van een managementcyclus die bijdraagt aan de realisering van wettelijke eisen door deze eisen door te vertalen in beleid. De organisatie van de verwerking omvat en raakt aspecten als het strategisch en tactisch gemeentelijk beleid, privacybeleid, informatiebeveiligingsbeleid, risicoanalyse, implementatieplan en privacydoelstellingen. Maatregel nr. Omschrijving norm Planning en organisatie van de verwerking van 1. persoonsgegevens 1.1 Privacybeleid Een privacybeleid dient te zijn gedefinieerd conform de vereisten van de Wbp en relevante materiewetten in het kader van de decentralisaties 1.1.1 (Wmo, Jeugdzorg en Participatie). De richtlijnen in het privacybeleid dienen in relatie te staan tot de aard, de omvang en het gebruik van de persoonsgegevens die binnen de gemeente worden 1.1.2 verwerkt (classificatie van gegevens). Een risicoanalyse heeft vooraf plaatsgevonden en heeft als input gediend voor de totstandkoming van 1.1.3 het privacybeleid. Het privacybeleid dient periodiek te worden getoetst aan wijzigingen in de privacywetgeving en 1.1.4 rechtspraak, en wijzigingen in de materiewetten. 1.2 Organisatiebeleid Het privacy beleid dient aan te sluiten op ander beleid zoals het overkoepelende gemeentelijke beleid en beleid ten aanzien van 1.2.1 informatiebeveiliging. Bij het opstellen van een strategisch en tactisch gemeentelijkbeleid dient door het college B&W mede rekening te worden gehouden met de 1.2.2 richtlijnen uit het privacybeleid. Bij het opstellen van een informatiebeveiligingsbeleid dient door de functionaris voor de informatiebeveiliging rekening te worden gehouden met de richtlijnen uit het 1.2.3 privacybeleid.
55
Oordeel 5 = Volledig aanwezig 4 = Ruim voldoende aanwezig 3 = Voldoende aanwezig 2 = Matig aanwezig 1 = Onvoldoende aanwezig 0 = Niet aanwezig
Oordeel
2. 2.1
2.1.1 2.2 2.2.1
2.2.2 2.3 2.3.1 2.4
2.4.1
3. 3.1
3.1.1 3.1.2 3.2 3.2.1
56
Definieer de verwerkingsorganisatie en haar relaties Organisatorisch plaatsen van de verwerkingsfunctie De gemeente heeft een verwerkingsfunctie opgericht en aangesteld (functionaris voor de gegevensbescherming), en deze is zodanig in de algemene organisatiestructuur geplaatst dat voldoende autoriteit en onafhankelijkheid wordt gewaarborgd. Daarnaast dient deze te zijn vertegenwoordigd in het management met als doel het bevorderen van het bewustzijn en het onder de aandacht brengen van de privacy- en beveiligingsaspecten. Rollen en verantwoordelijkheden Er dient een organisatiestructuur te zijn waarin rollen en verantwoordelijkheden zijn vastgelegd. Het personeel dient zich bewust te zijn van de belegde rollen en verantwoordelijkheden en de verantwoordelijkheid die zij hierin hebben. Functiescheiding Er dient sprake te zijn van een adequate functiescheiding in taken en functies. Personeel Er dient een personeelsbeleid te zijn waarin richtlijnen zijn opgenomen en vastgelegd ten aanzien van het aannemen van personeel. Communiceren privacydoelstellingen en privacybeleid Privacybeleid Het management is verantwoordelijk voor het openbaar maken en beheersen van het privacybeleid. Het privacybeleid wordt ten minste jaarlijks herzien en het management is hierbij betrokken. Beveiligingsbeleid De verantwoordelijkheid voor het beveiligingsbeleid is belegd bij het management.
Oordeel
Oordeel
3.2.2 3.3
3.3.1 4. 4.1
4.1.1 4.2
4.2.1
4.2.2
5. 5.1
5.1.1
57
Het beveiligings- en interne controlebeleid omvat elementen als: - doel; - verantwoordelijkheden en rollen; - wijze van totstandkoming van het beleid; - definitie van straffende en disciplinaire maatregelen als gevolg van het niet opvolgen van beveiligings- en interne controlemaatregelen. Communicatie en bewustwording beleid Er dient een procedure te zijn opgesteld waarin staat vastgelegd hoe het privacy- en beveiligingsbeleid aan alle medewerkers beschikbaar wordt gesteld en op welke wijze communicatie ten aanzien van het privacy- en beveiligingsbeleid plaatsvindt. Personeelsmanagement Kwalificatie personeel Het management stelt periodiek vast of het personeel voldoende gekwalificeerd is op basis van een geschikte opleiding, vereiste training en/of ervaring. Training van personeel Het management waarborgt dat personeel wordt voorzien van voortdurende training voor het up to date houden van kennis, vaardigheden, mogelijkheden en beveiligingsbewustzijn. Er dient een trainingsprogramma te zijn opgesteld waarbij tenminste de volgende aspecten worden behandeld: - Ethische behandeling van de ICT functie - Beveiligingsaspecten ter bescherming tegen storingen die de beschikbaarheid raken - Vertrouwelijkheid, integriteit en uitvoering van taken op een veilige wijze Waarborgen dat aan aanvullende eisen wordt voldaan Beoordeling van externe eisen Er dienen formele procedures aanwezig te zijn voor de beoordeling van externe eisen vanuit: - wet- en regelgeving (materiewetten Wmo, Participatie en Jeugd); - toezichthoudende organisaties.
Oordeel
Oordeel
5.1.2 5.1.3
6. 6.1
6.1.1
6.1.2
6.1.3 7. 7.1
7.1.1
7.1.2 7.2 7.2.1
58
De procedures dienen te voorzien in een tijdige wijziging van het beleid op grond van de veranderde externe eisen. De verantwoordelijkheid voor de beoordeling van de externe eisen dient te zijn belegd. Beoordelen van afhankelijkheid en kwetsbaarheid gegevensverwerking Risicoanalyse methodiek Het management dient een risicoanalyse methodiek te hebben aanvaard waarin onder andere een periodieke beoordeling van de relevante risico's t.a.v. het behalen van de Wbp doelen is opgenomen. Er dient een risicoanalyse uitgevoerd te worden die het bereik en de grenzen, de te gebruiken methodiek, de verantwoordelijkheid en de benodigde vaardigheden definieert. De resultaten uit de risicoanalyse leiden tot een risicoactieplan waarin de behandeling van risico's staat beschreven. Indien risico's dienen te worden gemitigeerd dienen de maatregelen te zijn beschreven in het risicoactieplan. Derde partijen Overeenkomsten Er dient een overeenkomst te zijn opgesteld tussen de verwerkingsorganisatie en de verantwoordelijke waarbij afspraken zijn vastgelegd over tenminste de volgende aspecten: - beschikbaarheid - betrouwbaarheid - niveaus van gebruikersondersteuning - rampen- en herstelplan - beveiliging - minimum acceptatieniveau van voldoen aan geleverde systeemfunctionaliteit - restricties en wijzigingsprocedures Het management dient toezicht te houden op de afspraken vastgelegd in overeenkomsten tussen de verwerkingsorganisatie en de verantwoordelijke. SLA De afspraken overeengekomen in een overeenkomst dienen te zijn vastgelegd in een SLA.
Oordeel
Oordeel
7.2.2 8. 8.1
8.1.1 9. 9.1
9.1.1
9.1.2
9.1.3 9.2
9.2.1 9.3
9.3.1
9.3.2 59
Het management dient toezicht te houden op de prestaties van de andere partij, conform vastgelegd in de SLA. Waarborgen van logische toegangsbeveiliging Procedure logische toegangsbeveiliging Het management dient beleid op te stellen omtrent logische toegangsbeveiliging. Onderwerpen die hierin terug dienen te komen zijn onder andere: - Authenticatie en toegang - Beveiliging van directe toegang tot gegevens - Beheren, gebruik en beoordeling van gebruiker accounts - Classificatie van gegevens - incidentenbehandeling (inclusief beveiligingsincidenten) - Melding van privacy incidenten - Cryptografie - Encryptie - Bescherming en detectie virussen, malware
Oordeel
Gegevensbeheer Invoer Er dienen procedures aanwezig te zijn die waarborgen dat alle geautoriseerde brondocumenten tijdig, volledig, accuraat en juist worden ingevoerd. Foutafhandelingsprocedures tijdens de gegevensinvoer waarborgen dat fouten worden ontdekt, gemeld en gecorrigeerd. Er dienen procedures aanwezig te zijn die waarborgen dat originele brondocumenten in bezit blijven van dan wel binnen een acceptabele termijn reproduceerbaar zijn door de gemeente. Verwerking Er dienen procedures te zijn opgesteld die functiescheiding van het werk waarborgen en die het routinematig controleren van het werk waarborgen. Uitvoer Er dienen procedures aanwezig te zijn voor het behandelen, behouden en verspreiden van computerinvoer. Een adequate beveiliging dient ongeautoriseerde toegang en wijziging van gevoelige informatie tijdens transmissie en transport te voorkomen.
Oordeel
9.3.3 9.4
9.4.1 9.5
9.5.1 10. 10.1
10.1.1
60
Er dienen procedures te zijn ontwikkeld die voorzien in de vernietiging van persoonsgegevens. Opslag Er dienen procedures aanwezig te zijn voor gegevensopslag (rekening houdend met de gewenste beschikbaarheid). Gegevensoverdraagbaarheid Er dient gebruik te worden gemaakt van een gestructureerde format voor gegevensopslag in informatiesystemen ter bevordering van gegevensoverdraagbaarheid. Privacyeffectbeoordeling Privacyeffectbeoordeling Er dient een procedure te zijn opgesteld waarin staat beschreven wat onder de term 'bijzondere risico's' wordt verstaan. Indien binnen de gemeente sprake is van bijzondere risico's dient de gemeente privacyeffectbeoordelingen uit te voeren. De uitvoering dient eveneens beschreven te staan in beleid.
Oordeel
Verwerking Aandachtsgebied Het geformuleerde beleid dient geconcretiseerd te worden naar specifieke maatregelen en procedures voor de verwerkingscyclus van persoonsgegevens. Het definiëren van concrete maatregelen en procedures vindt plaats na een grondige risicoanalyse, waarin bedreigingen worden geïnventariseerd waaraan de verwerkingen van persoonsgegevens blootstaat. In dit verband worden de sterke en zwakke punten van de gegevensverwerking vastgelegd. De risico's tezamen met de sterke en zwakke punten van de verwerkingsorganisatie en een kosten-/batenanalyse leiden, op basis van het gedefinieerde privacybeleid, tot een afgewogen keuze voor de te treffen voorzieningen van organisatorische en technische aard. Het management dient vervolgens zorg te dragen voor implementatie van de gekozen voorzieningen op een toereikend niveau. Maatregel nr. Omschrijving norm 1. Voornemen en Melden 1.1 Centraal register Er dient een proces en procedure te zijn ingericht waarin staat omschreven hoe verwerkingen in het centrale register worden opgenomen en welke stappen 1.1.1 gevolgd dienen te worden.
1.2.1
Op een centraal punt binnen de gemeente dient een register van de verwerkingen te worden bijgehouden. Het register dient de gegevens die relevant zijn in geval van een vrijstelling of melding te bevatten Het register dient van gemelde verwerkingen de ontvangstbevestiging van het CBP te bevatten. Het register dient actueel te zijn en te worden bijgewerkt na wijzigingen. Verstrekken van inlichtingen over de verwerking Er dient een proces en procedure te zijn ingericht waarin is opgenomen hoe betrokkene, na verzoek om inlichtingen, worden ingelicht over de verwerking. Tevens dient de procedure aandacht te besteden aan situaties in welke geen inlichtingen worden verstrekt, ook niet op verzoek.
2. 2.1
Transparantie Informatieverstrekking aan de betrokkene
1.1.2 1.1.3 1.1.4 1.1.5 1.2
61
Oordeel
5 = Volledig aanwezig 4 = Ruim voldoende aanwezig 3 = Voldoende aanwezig 2 = Matig aanwezig 1 = Onvoldoende aanwezig 0 = Niet aanwezig
Oordeel
Oordeel
2.1.1
2.1.2
2.1.3 3. 3.1 3.1.1 3.2
3.2.1 3.3 3.3.1 4. 4.1 4.1.1
4.1.2 62
Er dient een procedure te zijn opgesteld waarin onder andere staat omschreven wanneer informatieverstrekking plaatsvindt, aan wie de verstrekking plaatsvindt en in welke gevallen de informatieverstrekking niet plaatsvindt. De betrokkene dient vooraf, of indien niet rechtstreeks verkregen van de betrokkene, tijdens de vastlegging, informatie te ontvangen over de identiteit van de gemeente, het doel en de bestemming van de gegevens. Indien de gemeente zich beroept op het feit dat mededeling onmogelijk is of een onevenredige inspanning kost, dient de herkomst van de gegevens te worden vastgelegd. Doelbinding Doelbinding Doeleinden dienen schriftelijk te zijn vastgelegd Verenigbaarheid van gegevensverwerking Indien gegevens worden verwerkt voor andere doeleinden dan waarvoor zij zijn verzameld, dient er sprake te zijn van verenigbaar gebruik. Daarbij dient de gemeente in ieder geval rekening te houden met: - de aard van de betreffende gegevens; - de gevolgen van de beoogde verwerking voor de betrokkene; - de wijze waarop de gegevens zijn verkregen en de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen; - een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift dat de verwerking in de weg kan staan. Bewaren van persoonsgegevens Een bewaartermijn dient te zijn vastgesteld (zie ook 7.5.2).
Oordeel
Rechtmatige grondslag Grondslag voor de verwerking van persoonsgegevens Er dient een grondslag voor de verwerking te zijn vastgesteld. Indien sprake is van de verwerking van bijzondere persoonsgegevens, dient de gemeente aantoonbaar de rechtmatigheid en daarmee de specifieke voorwaarden voor de verwerking van bijzodnere persoonsgegevens vast te leggen.
Oordeel
5. 5.1
5.1.1 6. 6.1
6.1.1 6.2
6.2.1
6.2.2 6.3
6.3.1 6.4
6.4.1 7. 7.1 7.1.1.
63
Kwaliteit Kwaliteit van de invoer, verwerking en uitvoer Er dienen procedures te zijn opgesteld die de kwaliteit van invoer, van de gegevensverwerking en van uitvoer waarborgen.
Oordeel
Rechten Inzage Er dient een proces / procedure te zijn ingericht die het verzoek van de betrokkene om inzage in diens persoonsgegevens regelt. Verbeteren, aanvullen, verwijderen en afschermen Er dient een proces / procedure te zijn ingericht voor de afhandeling van een verzoek de persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking, onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd zijn met een wettelijke voorschrift. Verzoeken tot inzage en correctie ten aanzien van minderjarigen die de leeftijd van zestien jaar nog niet hebben bereikt, en ten aanzien van onder curatele gestelde dienen door de wettelijke vertegenwoordigers te worden ingediend. De gemeente dient hierop te controleren. Relatief verzet (toekennen na belangenafweging) Er dient een procedure aanwezig te zijn waarlangs de betrokkene te allen tijde verzet kan aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Geautomatiseerde besluiten Er dient een procedure aanwezig te zijn waarin wordt beschreven hoe geautomatiseerde besluiten plaatsvinden, of dit op grond van profielschetsen is en of in het geval van profielschetsen ook een menselijke tussenkomst plaatsvindt.
Oordeel
Beveiliging Bewustzijn Er dient een beveiligingsbeleid te zijn opgesteld en formeel te zijn vastgesteld door management.
Oordeel
7.1.2
7.1.3
7.1.4 7.2
7.2.1
7.2.2 7.3
7.3.1 7.4
7.4.1 7.5
7.5.1
64
Informatiebeveiliging dient binnen de gemeente breed te worden gedragen. Medewerkers dienen zich bewust te zijn van hun taken en verantwoordelijkheden op dit gebied door periodiek bewustwordingstraining te volgen. Ingerichte beveiligingsmaatregelen dienen periodiek te worden getoetst en waar nodig te worden verbeterd of ten minste in een actieplan te worden opgenomen. Er dient een proces / procedure te zijn ingericht waarin omschreven staat hoe met beveiligingsincidenten en privacy incidenten wordt omgegaan. IT-voorzieningen Bij de ontwikkeling van systemen, software en processen dient te worden gecontroleerd of de maatregelen en procedures voor beveiligd in overeenstemming zijn met het informatiebeveiligingsbeleid. Voor het testen van (wijzigingen in) systemen en software dienen gegevens van fictieve personen te worden gebruikt. Toegangsbeveiliging Er dienen processen en procedure te zijn ingericht die waarborgen dat adequate maatregelen zijn getroffen in het kader van logische toegangsbeveiliging (procedure toekennen, verwijderen en muteren van rechten, wachtwoordbeleid, procedure aangaande het logging, procedure toegang tot computercentra, procedure aangaande backups, etc.). Netwerken Er dienen procedures te zijn opgesteld waarin staat omschreven van welke netwerken er gebruik wordt gemaakt, hoe deze netwerken zijn beveiligd tegen ongeautoriseerde toegang, hoe ze beschermd zijn tegen malafide doeleinden en hoe de over het netwerk verstuurde gegevens worden beschermd. Bewaring en vernietiging Er dient een procedure te zijn opgesteld waarin staat omschreven welke maatregelen getroffen zijn om te waarborgen dat alleen daartoe bevoegde personen kunnen beschikken over de verwijderbare gegevensdragers (laptops, removable media, etc.)
7.5.2 7.6
7.6.1 7.7
7.7.1 8. 8.1
8.1.1
8.1.2
65
Er dient een bewaartermijn te zijn vastgesteld voor de gemaakte backups. De bewaartermijn dient te zijn gebaseerd op wet- en regelgeving. De procedure dient te beschrijven welke wet- en regelgeving dat is en dient tenminste de materiewetten Wmo, Participatie en Jeugd te bevatten. Continuïteit Er dient een proces te zijn ingericht die de continuïteit van de gemeente en de gegevensverwerking waarborgen. Zodoende dient de gemeente te beschikken over een: - Calamiteitenplan - Backup en recovery procedure Meldplicht datalekken Er dient een proces en procedure te zijn ingericht die waarborgt dat datalekken conform de gestelde eisen worden gemeld. Onderdeel van de procedure is tenminste: - Uitspraak wanneer meldplicht wel en niet van kracht is - Overzicht van partijen die geïnformeerd dienen te worden in geval van datalek - Stappen die gevolgd moeten worden in geval van datalek Bewerker Bewerker De gemeente dient over een overzicht te beschikken waarin is opgenomen welke rol de gemeente per verwerking inneemt in het kader van de Wbp (verantwoordelijke of bewerker). De opdrachtnemer (bewerker) dient tenminste dezelfde beveiliging te garanderen als de verantwoordelijke (de gemeente). Er dient een procedure te zijn ingericht waarin staat beschreven hoe afspraken tussen een bewerker en verantwoordelijke dienen te worden vastgesteld en hoe er op naleving van deze afspraken wordt toegezien.
Oordeel