Beste bezoeker,

op dit moment wordt er een nieuwe release doorgevoerd op GEMMA Online. Hierdoor is de omgeving tijdelijk niet beschikbaar.

Vragen? Stuur een e-mail naar gemmaonline@vng.nl

Met vriendelijke groet, Kenniscentrum Architectuur VNG Realisatie

GMT Betrouwbaarheid

Laatst bewerkt: 23 november 2017, 02:01:09


Inhoudsopgave

Ergens in uw zoekopdracht was "" niet afgesloten door een bijbehorende "".


- [[Media:Ergens in uw zoekopdracht was "" niet afgesloten door een bijbehorende "".|PDF versie]] (, "<span class="smw-highlighter" data-type="4" data-state="inline" data-title="Waarschuwing" title="Ergens in uw zoekopdracht was "" niet afgesloten door een bijbehorende ""."><span class="smwtticon warning"></span><span class="smwttcontent">Ergens in uw zoekopdracht was "" niet afgesloten door een bijbehorende "".</span></span>" is geen geldige titel)

Een centraal begrip uit het vakgebied informatiebeveiliging is ‘betrouwbaarheid’. Betrouwbaarheid is de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is de verzamelterm voor vier aspecten van beveiliging die binnen het vakgebied informatiebeveiliging algemeen zijn geaccepteerd: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. De betrouwbaarheidseisen geven aan welke eisen het informatiesysteem moet voldoen met betrekking tot deze aspecten. De hierboven genoemde aspecten worden binnen het vakgebied informatiebeveiliging als volgt gedefinieerd:

Beschikbaarheid Beschikbaarheid betreft het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen). Het begrip ‘beschikbaarheid’ uit het vakgebied informatiebeveiliging valt uiteen in twee aspecten: Het waarborgen dat informatiesystemen op de juiste momenten beschikbaar zijn voor de gebruiker, bijvoorbeeld door extra machinecapaciteit in te zetten, zodat bedrijfskritische informatiesystemen 7 dagen per week, 24 uur per dag gebruikt kunnen worden. Dit aspect valt buiten de reikwijdte van artikel 13 Wbp. Het beveiligen van gegevens tegen verlies, waarbij onder ‘verlies’ het definitief verloren gaan van de gegevens wordt verstaan. Bedrijfscontinuïteitsbeheer is mede gericht op dit aspect. Dit aspect komt overeen met het “beveiligen tegen verlies” uit artikel 13 van de Wet bescherming persoonsgegevens.

Integriteit Integriteit betreft het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan. Het begrip ‘integriteit’ komt binnen de context van de beveiliging van persoonsgegevens overeen met de beveiliging tegen “aantasting van de gegevens [of onbevoegde wijziging]” uit de Wbp.

Vertrouwelijkheid Met vertrouwelijkheid wordt gedoeld op het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. Het begrip ‘vertrouwelijkheid’ komt overeen met de beveiliging tegen “onbevoegde kennisneming […] of verstrekking” uit de Wbp.

Naast de drie bovengenoemde aspecten, die betrekking hebben op de informatie en de verwerking ervan, wordt nog een vierde aspect onderkend:

Controleerbaarheid Controleerbaarheid betreft de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid.

Op een aantal punten worden maatregelen getroffen om te borgen dat de betrouwbaarheid van de gegevens die verwerkt worden geborgd is. In de onderstaande paragrafen wordt de relevante wet- en regelgeving en algemeen geaccepteerde technieken op het gebied van de inrichting- en beveiliging van de informatiehuishouding beschreven. Bij de inrichting van het gegevensmanagement wordt met deze elementen rekening gehouden.

Wet bescherming persoonsgegevens (Wbp)

Binnen een gemeente worden diverse soorten gegevens geautomatiseerd verwerkt. Deze verwerkingen betreffen handelingen zoals het verzamelen, vastleggen, bewaren, muteren, verstrekken en vernietigen van gegevens. Eén van de gegevenssoorten die verwerkt wordt betreft gegevens die betrekking hebben op personen of herleidbaar zijn tot personen. Ten aanzien van de verwerking van deze soort van gegevens gelden specifieke privacyregels welke zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Deze wet geeft uitvoering aan richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en aan artikel 10, tweede en derde lid, van de Grondwet. In de wet zijn regels gesteld die erop gericht zijn om de persoonlijke levenssfeer te beschermen van de burgers over wie gegevens worden vastgelegd en daaruit worden verstrekt aan overheidsorganen en derden. De regels hebben onder andere betrekking op het recht van de ingeschrevene op inzage, afschrift en correctie van de over hem vastgelegde gegevens. Ook heeft de ingeschrevene het recht om te vernemen welk gebruik van de over hem vastgelegde gegevens wordt gemaakt. Op zijn verzoek dient hem mededeling te worden gedaan of en aan wie zijn betreffende gegevens zijn verstrekt. In de Wbp wordt beschreven onder welke voorwaarden de verwerking van persoonsgegevens onder het regime van de wet valt. Onder het verwerken van persoonsgegevens verstaat de Wbp elke handeling of elk geheel van handelingen met betrekking tot die persoonsgegevens. Het is dus een zeer ruim begrip. De Wbp noemt een aantal handelingen die als verwerking worden aangeduid: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

De door het gegevensmanagement geboden verwerkingsdiensten op het gebied van persoonsgegevens vallen conform de definitie van de Wbp onder de werkingssfeer van de Wbp. In de Wbp wordt een aantal privacy beginselen gedefinieerd. De relevante beginselen zijn in de onderstaande tabel beschreven.

Beginsel Beschrijving
Transparantie De betrokkene moet voorafgaand aan de (eerste) registratie op de hoogte worden gesteld van de identiteit van de organisatie en het doel waarvoor de gegevens worden verwerkt.
Doelbinding De verzamelde persoonsgegevens worden alleen verder verwerkt als dit verenigbaar is met het doel waarvoor ze zijn verkregen.
Rechtmatige grondslag De Wbp geeft limitatief aan in welke gevallen persoonsgegevens mogen worden verwerkt. Voor gevoelige gegevens - de bijzondere gegevens als bedoeld in de Wbp – geldt dat verwerking onrechtmatig is tenzij aan specifieke voorwaarden is voldaan.
Kwaliteit Voor het doel behoren de persoonsgegevens toereikend, terzake dienend en niet bovenmatig te zijn.
Rechten betrokkenen De betrokkene heeft recht op inzage, verbetering, aanvulling, verwijdering of afscherming van diens persoonsgegevens.
Beveiliging De verantwoordelijke treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Proportionaliteit en subsidiariteit De beginselen van proportionaliteit en subsidiariteit beschrijven dat de inbreuk op belangen van betrokkene niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.

De in bovenstaande tabel genoemde privacy beginselen bepalen de benodigde waarborgen voor de bescherming van persoonsgegevens. Iedere verwerker van persoonsgegevens moet rekening houden met deze beginselen en dus voldoen aan de Wbp. Dit is echter niet de enige reden om de informationele privacy van burgers te respecteren. Het is ook een maatschappelijke verwachting dat de persoonsgegevens van burgers worden beschermd. Daarbij heeft de overheid een voorbeeldfunctie met het naleven van wetten die zij zelf heeft opgesteld.

Ten aanzien van de beveiliging van persoonsgegevens beschrijft de Wbp dat de voor de gegevens verantwoordelijke treffende beveiligingsmaatregelen dient te nemen:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.[1]

Het beveiligingsvoorschrift richt zich tegen 'verlies of enige vorm van onrechtmatige verwerking van gegevens'. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.[2] In het begrip ‘passend’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de zwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging.[3]

Er zijn geen algemene uitspraken mogelijk over ‘passende beveiligingsmaatregelen’. De invulling van dit criterium is voor een deel dynamisch en afhankelijk van concrete omstandigheden. Het vereiste niveau van bescherming is hoger naar mate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. Indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd worden de genomen maatregelen als ‘passend’ beschouwd. Kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen zijn niet vereist. Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt. [4] Voor technische en organisatorische maatregelen geldt verder dat deze cumulatief dienen te worden getroffen. Software is een belangrijk instrument tot beveiliging. De Wbp geeft de normen die mede met behulp van software dienen te worden gehandhaafd.[5] Naast de beveiliging van persoonsgegevens ziet artikel 13 Wbp ook op de toepassing van privacy enhancing technologies (PET). PET is de verzamelnaam voor een aantal technieken die de verantwoordelijke kan toepassen om bij het verwerken van persoonsgegevens de risico’s voor de betrokkenen te beperken. Een centraal principe van PET is het verminderen van de herleidbaarheid: de mate waarin persoonsgegevens kunnen worden herleid tot de betrokkenen.

'“De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”'[6]

De beveiligingsverplichting die in dit artikel is opgenomen strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Juridische normen zullen moeten worden vertaald in de feitelijke inrichting en verdere ontwikkeling van informatiesystemen. Steeds meer zullen ‘privacy enhancing technologies’ (PET) daarvoor onmisbaar zijn. Door te eisen dat de inrichting van systemen mede gericht moet zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens, wordt bewerkstelligd dat in plaats van een voortdurende controle op individuele gevallen van onrechtmatig gegevensgebruik het accent meer gelegd kan worden op de structuur van informatiesystemen.[7]

De zwaarste vorm van PET is anonimisering van de verwerkte persoonsgegevens. Van anonimisering is sprake als de gegevens op geen enkele manier meer tot de betrokkene te herleiden zijn. Er is dan geen sprake meer van persoonsgegevens en de Wbp is niet meer van toepassing op de gegevens. Een lichtere vorm van PET is het scheiden van de verwerkte persoonsgegevens in (zeer goed beveiligde) identificerende gegevens en niet­ identificerende gegevens. Alleen met behulp van de identificerende gegevens kan de identiteit van de betrokkenen worden achterhaald.[8]

Meldingsplicht aan de Autoriteit Persoonsgegevens

De Wet bescherming persoonsgegevens (Wbp) geeft regels voor de verwerking van persoonsgegevens. Op basis van de Wbp moet een verwerking, tenzij de verwerking is vrijgesteld van melden, worden gemeld bij de gemeentelijke functionaris voor de gegevensbescherming. Indien de gemeente deze functionaris niet heeft aangesteld dan dienen verwerkingen bij de Autoriteit Persoonsgegevens (AP) gemeld te worden. Onder het verwerken van persoonsgegevens verstaat de Wbp elke handeling of elk geheel van handelingen met betrekking tot die persoonsgegevens. Het is dus een zeer ruim begrip. De Wbp noemt een aantal handelingen die als verwerking worden aangeduid: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Een verwerking kan uit een of meer van deze handelingen bestaan. Verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid worden beschouwd, worden gezien als één gegevensverwerking. Zo wordt bijvoorbeeld een cliëntenadministratie of een klachtenregistratie als één gegevensverwerking beschouwd.

Meldingen van gegevensverwerkingen zorgen voor openheid en daarmee controleerbaarheid voor de burgers. De meldingen stellen burgers in staat om zo nodig gebruik te maken van hun rechten. Ook maken meldingen een effectiever toezicht door het CBP mogelijk, omdat het CBP via een melding bijvoorbeeld kan controleren of een verantwoordelijke gegevens verwerkt overeenkomstig de doeleinden die vóór de verwerking zijn geformuleerd. Gehele of gedeeltelijk geautomatiseerde gegevensverwerking moet gemeld worden bij de AP. Een handmatige gegevensverwerking hoeft in beginsel niet te gemeld te worden. Dit is alleen anders als de handmatige gegevensverwerking is onderworpen aan een voorafgaand onderzoek (VO). Het gaat daarbij om verwerkingen die naar het oordeel van de wetgever een bijzonder risico inhouden voor de persoonlijke levenssfeer van betrokkenen.

De verplichting een gegevensverwerking te melden is niet van toepassing de verstrekking van persoonsgegevens aan een bestuursorgaan vanwege een wettelijke verplichting. Van de meldingsplicht zijn ook vrijgesteld de verwerkingen die in het Vrijstellingsbesluit staan beschreven.

Algemene Verordening gegevensbescherming (AVG)

De AVG bevat regels voor de bescherming van persoonsgegevens waaraan gemeenten uiterlijk per 25 mei 2018 moeten voldoen. De huidige Wet bescherming persoonsgegevens (Wbp) wordt op die datum ingetrokken. Omdat in veel processen van gemeenten persoonsgegevens worden verwerkt, zullen de nieuwe regels een groot deel van de uitvoeringsprocessen raken. Hoewel de nieuwe AVG-regels grotendeels het bestaande stramien uit de Wbp volgen, zijn er desondanks belangrijke wijzigingen opgenomen die tot aangepaste maatregelen zullen leiden. Daarbij geldt dat de AVG ook de aandacht vestigt op de regels zoals deze nu al in de Wbp zijn opgenomen. In het algemeen geldt dat de inspanning om aan de AVG te voldoen groter zal zijn als op de naleving van de Wbp ook achterstallig onderhoud nodig is. De belangrijkste verschillen met de Wbp worden hieronder neergezet, met korte uitleg en wat zij betekenen.

Beginselen van de AVG

Invulling van deze beginselen betekent dat gemeenten moeten kunnen aantonen dat persoonsgegevens rechtmatig (bijvoorbeeld op wettelijke basis) en transparant (voldoende informatie verstrekken aan betrokkenen) worden verwerkt. Wat voldoende informatie is hangt af van de complexiteit van de verwerking en van de doelgroep (communicatie op maat voor bijvoorbeeld kinderen). Uitgangspunt is dat een betrokkene de verwerking en de redenen ervan daadwerkelijk moet kunnen snappen. Verwerkingen moeten verder binnen de vastgestelde doelen (gekoppeld aan de taak van een organisatie) plaatsvinden, en er mogen niet meer gegevens worden verwerkt en niet langer dan strikt nodig is voor die doelen. Tenslotte dienen (beveiliging)maatregelen te zijn getroffen om de juistheid, integriteit en vertrouwelijkheid van persoonsgegevens te borgen. Om de verantwoordingsplicht te kunnen naleven moeten daarom verwerkingen geïnventariseerd zijn, en moeten er maatregelen zijn getroffen en worden onderhouden. Naleving van de AVG wordt geen eenmalige handeling maar een doorlopend en continu proces. Processen zullen in de regel doorlopend in meer of mindere mate wijzigen. Aanbevolen worden om ten minste jaarlijks een actualisatie uit te voeren op de verwerkingen van persoonsgegevens. Dit betekent dat de aspecten voor de verantwoordingsplicht moeten worden nagelopen.

Registerplicht en verantwoordingsplicht

Anders dan onder de Wbp moeten organisaties (zowel verantwoordelijken als verwerkers) straks een register bijhouden van alle verwerkingen van persoonsgegevens. De AVG schrijft concreet voor welke gegevens ten aanzien van verwerkingen moeten worden bijgehouden. Ook moet actief aandacht worden besteed aan en maatregelen geïmplementeerd waaruit blijkt dat de AVG-beginselen voor verwerking van persoonsgegevens worden nageleefd.

Privacy by design en by default

De AVG verplicht expliciet om in het ontwerp (design) van systemen en standaardinstellingen (default) reeds rekening te houden met bescherming van persoonsgegevens. Er dienen bij het ontwerp technische en organisatorische maatregelen te zijn getroffen die de gegevensverwerking strikt beperken tot de noodzaak en persoonsgegevens mogen in beginsel – systeemtechnisch, dat wil zeggen zonder bewuste keuze - niet verwerkt/gedeeld worden. Delen/verwerken van informatie is uiteraard mogelijk, maar dit moet dan bewust worden besloten en passen binnen de daarvoor geldende (wettelijke) kaders. Dit vergt voorafgaande aandacht bij de inrichting en inregeling van taken en diensten.

Privacy Impact Assessment (PIA)

De AVG verplicht ingeval van verwerkingen van persoonsgegegevens met een hoog risico, zoals bij de inzet van nieuwe technieken of grootschalige gegevensverwerking -voorafgaand daarop een PIA uit te voeren op te voeren. Of en wanneer sprake is van een hoog risico wordt door de verordening niet strak omlijnd. Wel wordt aangegeven dat risico’s groter worden naarmate de mogelijkheden zoals discriminatie, fraude en financieel verlies toenemen. Van verplichte uitvoering van een PIA kan bijvoorbeeld sprake zijn als de organisatie nieuwe taken krijgt of bestaande taken/processen anders inricht. Als niet alle risico’s kunnen worden afgedekt is toestemming nodig van de Autoriteit Persoonsgegevens, die wordt belast met het toezicht op de AVG.

Verwerkersovereenkomsten

Als taken waarbij persoonsgegevens worden verwerkt uitbesteed worden aan een externe leverancier (de AVG noemt dit “verwerker”) moeten in de contracten (AVG: “verwerkersovereenkomsten”) daarover afspraken worden gemaakt. De AVG schrijft deze afspraken gedetailleerd voor, zoals bijvoorbeeld een exit-regeling. Het is belangrijk om daarmee in bestaande en nieuwe contractafspraken rekening mee te houden. Dit vergt voor zover nog niet voorhanden een inventarisatie van leveranciers en start van trajecten om contracten aan te passen. Indien dit contract heronderhandeling betekent kan dit extra doorlooptijd vergen, waarmee rekening moet worden gehouden. Overigens krijgen verwerkers onder de AVG een eigen, zelfstandige verantwoordelijk voor de naleving. Dit betekent dat zij zelf – naast de verantwoordelijke die nog steeds verantwoordelijk blijft - kunnen worden aangesproken op de naleving van de AVG door de AP voor het deel van de verwerkingen die zij in opdracht van de verantwoordelijke uitvoeren. Nu kan alleen de verantwoordelijke daarop aangesproken worden. Bij uitbesteding aan verwerkers of verwerkingen buiten de EU geldt net als onder de Wbp dat nagegaan moet worden of passende waarborgen zijn getroffen. Daarbij kan bijvoorbeeld gebruik gemaakt worden van standaard bepalingen indien geen nadere afspraken met derde landen zijn gemaakt (zoals bv privacy shield met VS).

Functionaris gegevensbescherming (FG)

Het aanstellen van een FG wordt verplicht voor gemeenten. De AVG bevat een gedetailleerde uitwerking van eisen ten aanzien van onafhankelijke positionering van de FG binnen de organisatie en de opdragen taken. De AVG bepaald dat binnen de overheid voor meerdere organisaties één FG kan worden aangesteld: met inachtneming van hun organisatiestructuur en omvang”. Dit laatste wordt niet nader uitgewerkt, maar aannemelijk is dat de grens zit in een redelijke balans die moet bestaan tussen de verantwoordelijkheid van de FG en de span of control, omdat anders de rol feitelijk niet goed kan worden ingevuld. Door de VNG zijn handreikingen gepubliceerd over de rol, taken en positie van de Functionaris Gegevensbescherming (FG).

Inregelen processen voor rechten van betrokkenen

Transparantie voor betrokkenen heeft in de AVG een belangrijke plaats gekregen, en kent aan burgers rechten tot om controle te houden over hun gegevens. Veel rechten, zoals inzage en correctierecht, golden al onder de Wbp, maar een aantal rechten is nieuw, zoals het “vergeetrecht (op verzoek wissen van gegevens) ” en “dataportabiliteit (meenemen van gegevens”. Hoewel deze rechten hoofdzakelijk lijken te gelden voor de private sector, kunnen deze ook in de (semi)overheidscontext van toepassing zijn. Het is belangrijk om dit in de processen in te regelen.

Inzagerecht: detailniveau verstrekking

Het inzagerecht geldt reeds onder de Wbp. Welk gegevens naar aanleiding van een inzageverzoek dienen te worden verstrekt wordt gedetailleerd vastgelegd in de verordening. Daarbij geldt als uitgangspunt: een langs elektronische weg ingediend inzageverzoek wordt lang elektronische weg beantwoord. In de praktijk bestaan vragen over het detailniveau waarin ook inzage moet worden gegeven over de ontvangers van de gegevens. Daarbij kan het gaan om categorieën van ontvangers (bijvoorbeeld medewerkers van de verantwoordelijke) of organisaties die gegevens ontvangen hebben. Het detailniveau zal ook afhangen van het niveau waarop vastlegging van ontvangers (in logging) is ingericht. Dat niveau hangt weer af van de beveiligingsmaatregelen die zijn getroffen en zal per organisatie moeten worden afgewogen tegen het risico van de verwerking. Niet elke verwerking vereist daarmee hetzelfde detailniveau aan logging, omdat de AVG de maatregelen laat afhangen van het bepaalde risico dat moet worden afgedekt. Een concreet breed toepasbaar detailniveau is daarom ook niet goed te bepalen. Dat geldt wel voor richtlijnen om daartoe te komen.

Treffen Specifieke beveiligingsnormen en periodiek testen

De AVG bepaalt dat een passend niveau van beveiliging moet worden ingericht gelet op het gelopen risico. De AVG geeft aan daarbij met name rekening moet worden gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Wat passend is, is op dit moment ingekaderd door het AP, met de “richtsnoeren beveiliging van persoonsgegevens”dat uitgaat van een risico-gestuurde benadering en aansluit bij standaarden op het gebied van informatiebeveiliging (zoals ISO 27001/2) en de Baseline Informatiebeveiliging Gemeenten (BIG).

Wel worden maatregelen als pseudonimisering en versleuteling in de AVG concreet genoemd als mogelijkheid. Daar waar mogelijk wordt daarom aanbevolen om deze maatregelen – naast andere maatregelen - te nemen. Op grond van de AVG dient de doeltreffendheid van de maatregelen periodiek te worden getest. Geadviseerd wordt om deze test bij substantiële wijzigingen en tenminste jaarlijks eenmaal uit te voeren. Dit sluit aan bij de huidige verantwoordingspraktijk van bijvoorbeeld de Baseline Informatiebeveiliging Gemeenten (BIG).

Monitoring/logging

Op grond van de AVG moet als onderdeel van beveiliging worden gezorgd dat op permanente basis de beschikbaarheid, vertrouwelijkheid en integriteit en veerkracht van systemen kan worden gegarandeerd, en dat bij een fysiek of technisch incident de beschikbaarheid en de toegang tot persoonsgegevens tijdig kan worden hersteld. Dit betekent dat logging en monitoring daarvan op de informatiesystemen die persoonsgegevens verwerken zal moeten zijn ingericht. Ook hier geldt dat het detailniveau afhankelijk zal zijn van de verwerking en niet generiek bepaald kan worden.

Meldplicht datalekken

Gemeenten zijn verplicht datalekken te melden aan de Autoriteit Persoonsgegevens en betrokkenen. De meldplicht datalekken – ook al bekend onder de Wbp – keert onder de AVG terug. Wel is de invulling (normering) ervan iets anders, waardoor het belangrijk is om de reeds ingerichte processen hierop na te lopen. Zo dient een gedocumenteerd overzicht beschikbaar te zijn van alle inbreuken die zich hebben voorgedaan – ook inbreuken die niet gemeld behoeven te worden – waaronder de gevolgen ervan en de corrigerende maatregelen. Dit sluit aan bij de eerder genoemde verantwoordingsplicht.

Aandacht bij profilering en geautomatiseerde besluitvorming

Geautomatiseerde besluitvorming
De AVG kent betrokkenen het recht toe om niet te onderworpen te worden aan geautomatiseerde besluitvorming, maar geeft lidstaten de ruimte om af te wijken. Nederland heeft daarvan in de Uitvoeringswet AVG gebruik gemaakt, en bepaald dat geautomatiseerde besluitvorming mogelijk moet kunnen zijn in het kader van een wettelijke verplichting of noodzakelijk is ter uitvoering van een taak van algemeen belang. Dit betekent dat in beginsel geautomatiseerde besluitvorming mogelijk blijft op het moment dat sprake is van geringe beoordelingsruimte bij gebonden bevoegdheden, op basis van individuele kenmerken (de toelichting noemt de toekenning van kinderbijslag als voorbeeld). Wel is het in deze gevallen noodzakelijk om maatregelen te nemen zodat een betrokkene tegen dergelijk besluiten kan opkomen en dat ook weet. Uit de AVG volgt dat betrokkenen daarover specifieke informatie moet krijgen en een “recht op menselijke tussenkomst heeft om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten”.

Profilering
Voor geautomatiseerde besluitvorming waarbij gebruik wordt gemaakt van profilering, waarbij op basis van generieke kenmerken (die stigmatiserend kunnen werken) beoordeeld wordt, geldt dat een specifieke wettelijke grondslag nodig is, ook voor de uitvoering van een wettelijke verplichting. Dit betekent dat uit de grondslag de mogelijkheid tot profiling concreet moet blijken, en niet uit een ruime omschrijving mag worden geïnterpreteerd

Toezicht en sancties/boetes

De Autoriteit Persoonsgegevens (AP) blijft onder de AVG belast met het toezicht op de naleving. De handhavingmogelijkheden van de AP worden aangepast. Zo kunnen onder de AVG kunnen boetes worden opgelegd tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke. Deze boetes kunnen niet enkel worden opgelegd aan degene in wiens opdracht de persoonsgegevens worden verwerkt, maar ook aan degene die in opdracht met de verwerking is belast.

Suwi wetgeving

In de Wet SUWI, de Wet Werk en Bijstand (WWB) en aanverwante wet- en regelgeving zijn de verantwoordelijkheden opgenomen van de partijen die onderdeel uitmaken van de Suwi-keten. In deze wetten is geregeld welke gegevens volgens welke doelbinding onderling uitgewisseld mogen worden. Op de gebieden waar deze wetten niet in voorzien is de Wbp van toepassing. De wettelijke gronden voor de gegevensuitwisseling zijn beschreven in de Wet structuur uitvoeringsorganisatie werk en inkomen[9], de Wet werk en bijstand[10], en de regelgeving die daarop is gebaseerd, met name hoofdstuk 5, gegevensverwerkingen en gegevensverstrekking, van het Besluit SUWI

Via Suwinet (Suwinet-Inkijk en Suwinet-Inlezen) vragen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar op. Binnen een paar seconden een digitaal klantdossier op maat. Dat is erg handig voor de dienstverlening, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen erop dat hun privacy beschermd wordt en dat er alles aan gedaan wordt om misbruik te voorkomen.

In het Suwinet Normenkader zijn essentiële beveiligingsnormen opgenomen waar bij gebruik van Suwinet minimaal invulling aan gegeven moet worden. Deze normen gelden niet alleen voor Suwinet maar komen ook terug bij andere Normenkaders, zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Archiefwet en bewaartermijnen

Overheidsorganen hebben zowel met privacywetgeving als de archiefwet te maken. Als algemene privacywet stelt de Wbp regels aan de zogenaamde verwerking van persoonsgegevens. Daarmee bedoelt de wet niet alleen het verzamelen, beheren en ter beschikken stellen van persoonsgegevens, maar ook het vernietigen van persoonsgegevens. De Wbp regelt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Als bepaalde persoonsgegevens niet meer nodig zijn en er is voor die gegevens geen wettelijke bewaartermijn, dan mogen ze verwijderd worden. Bij het verwijderen van persoonsgegevens is het van belang om na te gaan of deze gegevens onderdeel uitmaken van documenten, dossiers of bestanden. In bijvoorbeeld de Archiefwet, het Burgerlijk Wetboek of de onderwijs- en belastingwetgeving zijn namelijk wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Bij het bewaren van persoonsgegevens moet daarom rekening gehouden te worden met al deze wetgeving. Een wettelijke bewaarplicht hoeft niet voor alle gegevens van een persoon te gelden. Volgens de belastingwetgeving bijvoorbeeld dient bijvoorbeeld een werkgever alleen de fiscaal relevante gegevens van werknemers gedurende zeven jaar na beëindiging van het dienstverband te bewaren. Voor andere persoonsgegevens uit het personeelsdossier van de werknemers geldt geen specifieke wettelijke bewaarplicht, en daarmee is de algemene regel van de Wbp van toepassing en moeten die gegevens zo spoedig mogelijk uit het dossier verwijderd worden. De Archiefwet stelt regels aan het beheer van archiefbescheiden bij de overheid. Persoonsgegevens maken vaak deel uit van archiefbescheiden zoals documenten, dossiers of bestanden. De Archiefwet en de Wbp moeten daarom in onderlinge samenhang bekeken worden. Dit geldt vooral op het punt van de vernietiging van persoonsgegevens en het langer bewaren van persoonsgegevens. Voor de verhouding met de Archiefwet is vooral het Vrijstellingsbesluit Wbp van belang. Hierin worden de persoonsgegevens met een zogenaamde archiefbestemming uitgezonderd van de meldingsplicht. De Archiefwet kent geen algemene bewaartermijn, maar schrijft voor dat elk overheidsorgaan over een selectielijst moet beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven.

Baseline Informatiebeveiliging gemeenten (BIG)

De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete (incident)ondersteuning aangaande informatiebeveiliging. Alle gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. Om de gehele dienstverlening van de IBD af te kunnen nemen en elke gemeente gericht te kunnen helpen, heeft de IBD specifieke informatie nodig van elke gemeente. Hiervoor dient iedere gemeente zich ‘officieel’ aan te sluiten bij de IBD.

Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een strategische- én een tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau.

BIG – Strategische Baseline - De Strategische Baseline is de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente.

BIG – Tactische Baseline - De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de controls/maatregelen die als baseline gelden voor de gemeenten.

Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd, vertegenwoordigers van deze gemeenten hebben de producten gereviewd. Een dertigtal producten heeft de IBD door financiering van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) kunnen verwezenlijken.

Praktijkvoorbeeld: Privacy raamwerk sociaal domein

Om als gemeente integrale dienstverlening te kunnen bieden aan burgers is het kunnen delen van gegevens binnen en over domeinen een randvoorwaarde. Burgers moeten erop kunnen vertrouwen dat er zorgvuldig wordt omgegaan met persoonsgegevens wanneer zij bepaalde zorg of dienstverlening ontvangen. Gemeenten moeten nadenken over het minimaliseren van privacyrisico’s voor burgers bij het inrichten van de dienstverlening. Implementatie van de maatregelen die de eisen vanuit de Wbp implementeren en het kweken van bewustwording op het gebied van de privacy zijn hierbij belangrijke aandachtspunten. Om gemeenten hierin te ondersteunen is door VNG/KING het privacy raamwerk sociaal domein ontwikkeld. Dit raamwerk richt zich op vijf gebieden die in de praktijk of in zijn producten afhankelijk van elkaar zijn. Dit zijn Governance, Beleid, Werkprocessen en Triage, Communicatie en training en Beheer en opslag van gegevens.

Het privacy raamwerk is ontwikkeld specifiek voor het sociaal domein maar het toepassingsgebied is breder dan alleen het sociaal domein.

Privacy raamwerk sociaal domein
Figuur - Privacy raamwerk VISD


Referenties

  1. Artikel 13 Wbp
  2. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 98
  3. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99]
  4. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99
  5. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99
  6. Artikel 13 Wbp
  7. Kamerstukken II 1999-2000, 25 892, nr. 22
  8. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een publicatie uitgebracht waarin de toepassing van PET uitvoerig wordt toegelicht: Drs. ing. Ronald Koorn RE e.a., Privacy enhancing technologies, Witboek voor beslissers, ministerie van Binnenlandse Zaken en Koninkrijksrelaties, december 2004
  9. Wet structuur uitvoeringsorganisatie werk en inkomen, Hoofdstuk 9: Informatiebepalingen
  10. [http://wetten.overheid.nl/BWBR0015703/2014-11-28/1#Hoofdstuk6_Paragraaf6.6 Wet Werk en Bijstand, Paragraaf 6.6: Gegevensuitwisseling