Informatiebeveiliging en Privacy binnen de Omgevingswet

De invoering van de omgevingswet brengt grote veranderingen met zich mee voor gemeenten. Bij deze verandering dient ook rekening gehouden te worden met de aspecten Informatiebeveiliging en privacy. Als kader voor Informatiebeveiliging geldt, In 2020 geldt voor de gehele Nederlandse overheid één uniform normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). Voorheen hanteerden gemeenten de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) als normenkader. Rijk, de waterschappen en provincies hanteren hun eigen respectievelijke normen, de BIR, BIWA en IBI. Deze zijn nu samen met de BIG gebundeld in de Baseline Informatiebeveiliging Overheid (BIO). De nieuwe baseline is het nieuwe normenkader voor alle overheden. De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO. Het feit dat de BIO een gezamenlijke baseline is, voorkomt dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO zal gezamenlijk beheerd worden, onder regie van het ministerie van BZK. Er wordt een wijzigingsproces ingericht waarin alle overheidslagen wijzigingen kunnen voorstellen. Gemeenten hanteren vanaf 1 januari 2020 samen met de rijksoverheid, de waterschappen en de provincies dit uniforme normenkader voor informatiebeveiliging. 2019 is een overgangsjaar waarin gemeenten zich kunnen voorbereiden op de BIO. Voor de inrichting van informatiebeveiligingsmaatregelen kunnen gemeenten gebruik maken van de ondersteuningsproducten van de IBD. Voor de inrichting van informatiebeveiligingsmaatregelen kunnen gemeenten gebruik maken van de ondersteuningsproducten van de IBD.

De BIO bevat een normenkader met betrekking tot de sturing op informatiebeveiliging. De BIO bevat ook maatregelen ten aanzien van privacybescherming. De BIO is van toepassing voor alle verwerkingen van persoonsgegevens die onder de verantwoordelijkheid van gemeenten uitgevoerd worden. De BIO is terug te vinden op de website van de Informatiebeveiligingsdienst voor gemeenten samen met handreikingen voor het inrichten van specifieke informatiebeveiligingsmaatregelen.

Naast de BIO is vanuit privacy perspectief de implementatie van de Algemene verordening gegevensbescherming (AVG) van belang. Op het Privacy deel van de VNG Realisatie website staan de stappen die gemeenten moeten nemen om aan de AVG te voldoen.

Wettelijke kaders voor privacy
Naast de wetteksten uit de AVG zijn in het kader van privacy en de Omgevingswet ook de volgende wetten relevant:


Gedurende de voortgang van het project rond de Omgevingswet zal steeds meer bekend worden over specifieke informatiebeveiligings- en privacy eisen waaraan voldaan moet worden. Deze zullen dan op deze site bijgewerkt worden. Door middel van onderstaande FAQ wordt op de meest gestelde vragen antwoord gegeven. Mocht uw vraag er niet bij staan kunt u deze via onderstaande button indienen.

FAQ privacy en security Omgevingswet

Moeten gemeenten een Data Privacy Impact Assessment doen op de Omgevingswet?

Dat hangt ervan af: Vanuit het programma voor de Omgevingswet zijn er Data Privacy Impact Assessments (DPIA’s) uitgevoerd. In 2019 wordt een hernieuwde DPIA uitgevoerd op het Digitaal Stelsel Omgevingswet (DSO) en de Omgevingswet. VNG Realisatie heeft een checklist opgesteld om te bepalen wanneer een DPIA uitgevoerd zou moeten worden. Algemeen kan gezegd worden dat gemeenten geen DPIA meer hoeven uit te voeren waar het gaat om de generieke aspecten uit de omgevingswet. Daar waar gemeenten voor hun specifieke invoering van de Omgevingswet niet voldoen aan de eisen uit de checklist zullen zij een DPIA moeten uitvoeren op de verwerkingen die binnen hun eigen verantwoordelijkheid vallen. Het is raadzaam dat zij daarbij wel de resultaten van de eerdere centraal uitgevoerde DPIA’s raadplegen. Hierbij dient wel opgemerkt te worden dat de PIA 2018 vooral een interne focus heeft gehad en heeft geleid tot veel aanpassingen in (vooral) regelgeving en DSO. Dit is dan niet zo’n goede basis en deze kan, op aangeven van de opdrachtgever, niet gedeeld worden. Zoals hierboven aangegeven wordt er een update van deze PIA uitgevoerd en er is toegezegd dat er bij deze PIA beter rekening wordt gehouden met extern gebruik. Op het moment dat de PIA DSO 2019 is gepubliceerd zal deze beschikbaar worden gesteld via de GEMMA-online website.

Mag/ moet een vergunningaanvraag het BSN van de aanvrager bevatten?

Ja, de Wet algemene bepalingen burgerservicenummer (Wabb) biedt de rechtsgrondslag voor de verwerking van het BSN door overheidsorganen in het kader van de uitvoering van hun taak. Voor de Omgevingswet heeft de autoriteit persoonsgegevens (AP) aangegeven dat er in de basis een grondslag in de wet is (mits het echt nodig is voor het behandelen van de aanvraag) en dat het BSN als onderdeel van een vergunningsaanvraag gevraagd mag worden. Het is echter geen wettelijk indieningsvereiste. Er vindt momenteel nog discussie plaats over het BSN op nemen als (wettelijk) indieningsvereiste. Zolang dat niet zo is hoeft het dus niet (tenzij de gemeente kan aantonen dat het echt niet zonder kan) en is het dus theoretisch mogelijk voor een betrokkene om te weigeren het BSN af te geven bij een vergunningsaanvraag. NB: bij aanvragen door een betrokkene die geen Nederlandse identiteit heeft wordt ook geen BSN verwerkt.

Met welke partijen moeten gemeenten in het kader van de Omgevingswet verwerkersovereenkomsten afsluiten?

In het kader van de omgevingswet moeten gemeenten met de volgende partijen een verwerkersovereenkomst afsluiten:

  • IT leveranciers


Van de volgende partijen is duidelijk dat gemeenten geen verwerkersovereenkomst nodig hebben:

  • Omgevingsdiensten: Onlangs heeft de VNG hierover ook een standpunt ingenomen (dit standpunt staat haaks op de opvatting van de Rijksdienst). De VNG is van mening dat omgevingsdiensten zelf verantwoordelijk zijn voor de gegevensbewerking en dat er geen sprake is van een verwerkersrelatie. Om die reden zou een verwerkersovereenkomst niet aan de orde zijn. Het uitgangspunt in de wetgeving is dat sprake is van een verwerkersrelatie indien de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking echter een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener zelf verantwoordelijk voor de gegevensverwerking. In het geval van omgevingsdiensten ziet de dienstverlening op het uitvoeren van toezicht, handhaving en vergunningverlening in naam van de gemeenten en provincie en dus niet op het verwerken van persoonsgegevens. In het geval dat het verwerken van persoonsgegevens een bijproduct is van de dienstverlening, is de dienstverlener (omgevingsdienst) zelf verantwoordelijk (en dus geen verwerker).
  • Veiligheidsregio’s: veiligheidsregio’s worden ook als verantwoordelijke gezien.
  • Andere bevoegde gezagen. Alle bevoegde gezagen zijn verantwoordelijke voor de data die zij verwerken.
  • Adviesorganen en welstandscommissies: aangezien deze formeel onder de verantwoordelijkheid van een gemeente/ bevoegd gezag vallen is er geen sprake van een verwerkingsverantwoordelijke in de zin van de AVG
  • Deskundige adviseurs uit de markt (voor zover zij te maken hebben met persoonsgegevens en niet uit naam van de gemeente handelen)


Nog onduidelijk of er een verwerkersovereenkomst opgesteld moet worden:

  • DSO LV: De minister heeft algemeen regelgevende bevoegdheden ten aanzien van het verwerken van persoonsgegevens binnen het DSO LV (zoals over de inrichting, instandhouding, werking en beveiliging (art. 20.23 lid 4)), maar dit betekent niet dat de minister daarmee verwerkingsverantwoordelijke in de zin van de AVG is voor alle persoonsgegevens die binnen het DSO LV worden verwerkt.

Hoe gaan we om met bewaartermijnen binnen de Omgevingswet?

De AVG geeft alleen algemene regels met betrekking tot bewaartermijnen. In het kader van de basisbeginselen van dataminimalisatie en doelbinding is het namelijk slechts toegestaan de persoonsgegevens te bewaren zolang en voor daartoe een noodzaak bestaat. In het voorbeeld van een vergunningsaanvraag betekent dit dat persoonsgegevens in ieder geval niet verwijderd hoeven te worden gedurende de looptijd van de vergunning, aangezien deze immers noodzakelijk zijn voor het afhandelen van de aanvraag. Wat betreft bewaartermijnen zullen gemeenten voor de omgevingswet zich primair moeten houden aan wat in de Selectielijst gemeenten en intergemeentelijke organen 2017 bepaald is ten aanzien van bewaartermijnen. Daar waar de selectielijst geen uitsluitsel geeft over de bewaartermijn van een bepaald document zal er een beoordeling moeten plaatsvinden op basis van de basisbeginselen van de AVG. Naast het vaststellen van bewaartermijnen moeten gemeenten ook borgen dat deze bewaartermijnen in de systemen afgedwongen kunnen worden.

Welke specifieke privacy by design eisen gelden er binnen de Omgevingswet?

Er zijn nog geen privacy by design eisen bekend welke specifiek voor de Omgevingswet gelden. Zodra deze er zijn worden deze op deze site geplaatst. Privacy by Design en Default, of gegevensbescherming door ontwerp en door standaardinstellingen, zijn een vereiste in de AVG. Het daadwerkelijke artikel hierover in de AVG (artikel 25) is relatief kort, maar Privacy by Design en Default zijn belangrijke begrippen bij het denken over privacy. Het gaat met name om het stellen van de juiste vragen in een vroeg stadium van de ontwikkeling van een product of dienst, of de aanschaf van een systeem. Vragen als: welke gegevens heb ik echt nodig voor het doel van de dienst, aan welke eisen moet een systeem voldoen om privacy te garanderen, en hoe tref ik passende maatregelen ter bescherming van de verwerkte persoonsgegevens? Het boek Privacyontwerpstrategieën (Het Blauwe Boekje) beschrijft acht privacyontwerpstrategieën. Iedere strategie wordt kort uitgelegd en geïllustreerd aan de hand van praktische voorbeelden.

Wat is de verhouding met de Wet digitale overheid en het daaronder hangende besluit?

De Wet digitale overheid is, net als de AVG van toepassing op het DSO.

Welke invloed gaat de Wet digitale overheid op de systemen rond de Omgevingswet hebben?

Op 19 juni 2018 is de Wet digitale overheid aangeboden aan de Tweede Kamer, het wetsvoorstel moet nog worden aangenomen door de Tweede en Eerste Kamer. De beoogde inwerkingtredingsdatum van de wet is 1 juli 2019. Het wetsvoorstel bevat de meest urgente onderwerpen van regelgeving, te weten:

  • de bevoegdheid om bepaalde standaarden te verplichten in het elektronisch verkeer van de overheid;
  • het stellen van regels over informatieveiligheid;
  • de verantwoordelijkheid voor het beheer van de voorzieningen en diensten binnen de Generieke Digitale Infrastructuur (GDI);
  • de digitale toegang tot publieke dienstverlening voor burgers (natuurlijke personen) en bedrijven (rechtspersonen en ondernemingen).


De Wet Digitale Overheid regelt de wijze waarop burgers en bedrijven elektronisch hun zaken kunnen doen met de overheid. Van dienstverlening in de zin van dit wetsvoorstel is zowel sprake als een uitkering wordt aangevraagd of verstrekt of aangifte van een geboorte of overlijden wordt gedaan, als bij de aangifte voor de belasting, of de aanvraag voor een bijzondere vergunning, et cetera.
Zolang het wetsvoorstel nog niet in werking is getreden, is het noodzakelijk om zoveel mogelijk te anticiperen op de eisen die vanuit het wetsvoorstel zullen volgen. Het wetsvoorstel bevat regels om de bescherming van de persoonlijke levenssfeer te waarborgen. Teneinde de persoonlijke levenssfeer te beschermen beoogt het wetsvoorstel daarom eisen te stellen inzake verwerking, beveiliging en betrouwbaarheid van persoonsgegevens. Deze eisen, waarin privacybeginselen zijn vervat, zullen, in toenemende mate, in de identificatiemiddelen, private en publieke voorzieningen en bijbehorende interne systemen en werkprocessen worden meegenomen. Bij nieuwe ontwerpen dient ook privacy-by-design te worden gerealiseerd. De volgende beginselen komen daarin naar voren[1]:

  1. Dataminimalisatie. Elke partij verwerkt voor het verlenen van toegang slechts die persoonsgegevens die nodig zijn voor de taak die hij uitvoert.
  2. Het zoveel mogelijk vermijden van grote concentraties van persoonsgegevens (hotspots). De uitvoeringsregelgeving en het functioneel ontwerp dient zodanig te worden ingericht, dat het niet nodig of mogelijk is om identificatie en vertrouwelijke informatie bij één adressaat te beleggen.
  3. Het gebruik van privacy enhancing technologies. De bescherming van persoonsgegevens wordt in (uitvoerings)regelgeving voorgeschreven en waar mogelijk systeemtechnisch afgedwongen. Het feitelijk onherleidbaar maken van gegevens tot personen is een adequatere waarborg dan vertrouwen op procedurele afspraken.
  4. Incident impact beperking. Alhoewel er met (uitvoerings)regelgeving en (technische) maatregelen naar wordt gestreefd om beveiligingsincidenten en misbruik zoveel mogelijk te voorkomen, zijn deze niet geheel uit te sluiten. Er wordt daarom in maatregelen voorzien waardoor de impact van een eventueel beveiligingsincident beperkt blijft en het adequaat kan worden afgehandeld.

Hoe dient omgegaan te worden met bijlagen, bij een aanvraag omgevingsvergunning, die persoonsgegevens bevatten?

Bij aanvragen omgevingsvergunningen kunnen aanvragers op het papieren formulier, al dan niet via het omgevingsloket aangeven of hun naam, adres, woonplaats gegevens en bouwkosten openbaar gemaakt mogen worden. Geeft de aanvrager aan dit niet te willen, dan heeft de aanvrager in beginsel zelf ook een verantwoordelijkheid in de zin dat niet alle bijlagen, zoals tekeningen of rapporten, die worden ge-upload voorzien zijn van deze persoonsgegevens. In de praktijk blijkt dat deze bijlagen vaak toch nog naam, adres en woonplaats gegevens bevatten. Wat kan een gemeente doen om het publiceren van deze persoonsgegevens te voorkomen, zonder alle bijlagen die ter inzage liggen handmatig te anonimiseren en/of digitaliseren. De indiener kan hiervoor gewaarschuwd worden bij het uploaden van de documenten. De beheerder zou hiertoe gebruikersvoorwaarden op kunnen stellen. In het kader van de wijziging van de Bekendmakingswet worden een aantal opties bekeken, waaronder:

  • investeren in communicatie;
  • toetsen bij professionele partijen zoals aannemers/architecten of op vrijwillige basis persoonsgegevens kunnen worden weggelaten op door hun op te stellen documenten;
  • een juridische basis voor het verplicht overleggen van een geanonimiseerde versie van de stukken.


Bestuursorgaan blijft evenwel eindverantwoordelijk voor toets aan artikel 10 Wet openbaarheid van bestuur (Wob).

Aan welke beveiligingseisen moeten de koppelingen met het DSO voldoen?

Er wordt momenteel gewerkt aan een document waarin deze eisen komen te staan. Zodra deze gereed is worden deze hier op de site geplaatst.

Heeft u zelf een vraag die niet in deze FAQ staat, doe dan een voorstel op deze discussiepagina

  1. Zie de Memorie van toelichting van de Wet digitale overheid (34972-3)