Register van verwerkingsactiviteiten

1. Inleiding[bewerken]

Een van de belangrijke doelen van het kabinet is het versterken van de weerbaarheid van burgers en organisaties. In de visie Nederland Digitaal en de Digitale Agenda Overheid is verwoord op welke manier hieraan invulling wordt gegeven. Een belangrijk begrip hierbij is verantwoording naar de burger kunnen afleggen over welke persoonsgegevens, voor welk doel en door wie zijn verwerkt. Dergelijke transparantie vergroot het inzicht van de burger en daarmee het vertrouwen van de burger in de overheid.

De overheid heeft het streven om richting burger en ondernemer transparant te zijn in welke gegevens door de overheid worden verwerkt en met welke (wettelijke) doelbinding dit gebeurd.

“Om het vertrouwen in systemen te vergroten, hebben mensen het recht op inzicht wie, op welk moment en voor welk doel, hun gegevens inziet, gebruikt of aan anderen geeft. Dit recht is vastgelegd in de Algemene Verordening Gegevensbescherming. Dit vraagt veel van alle overheidsorganisaties en mogelijk leidt dit tot gezamenlijke acties.”

Bron: NL DIGIbeter - Agenda Digitale Overheid, juli 2018

Het bieden van transparantie naar burgers over zowel de verwerking van (persoons)gegevens als het specifieke doel waarvoor deze verwerkingen hebben plaatsgevonden heeft ingrijpende gevolgen voor de inrichting van de informatiesystemen van gemeenten. Verwerkingen van (persoons)gegevens, zowel binnen de gemeente als met keten- en netwerkpartijen, moeten vastgelegd worden en deze verwerkingen moeten aan de burger inzichtelijk gemaakt worden. Bij de verwerkingen van persoonsgegevens dient daarbij vastgelegd te worden voor welk doel en met welke wettelijke grondslag de gemeente de gegevens heeft verwerkt.

De huidige gemeentelijke informatiesystemen kunnen maar zeer beperkt voldoen aan deze eisen. Om te borgen dat in de (nabije) toekomst gemeenten invulling kunnen geven aan de gestelde eisen is het van belang om de bijhouding en ontsluiting van verwerkingen (logging) en het gebruik van doelen en wettelijke grondslagen (doelbindingen) te standaardiseren binnen de gemeentelijke informatiearchitectuur. In deze notitie wordt beschreven op welke wijze invulling gegeven kan worden aan de registratie en het gebruik van doelbindingen via een register (hierna: verwerkingenregister).

Daar waar in deze notitie wordt gesproken over de gemeente mag ook worden gelezen gemeentelijk samenwerkingsverband of SaaS-dienstverlener voor een gemeente.

2. Beleid en kaders[bewerken]

2.1. Visie Nederlands kabinet[bewerken]

Digitalisering transformeert wereldwijd economieën en maatschappijen in een razendsnel tempo. Nederland heeft een goede uitgangspositie om de economische en maatschappelijke kansen van digitalisering te verzilveren. De digitale infrastructuur is van wereldklasse, de beroepsbevolking is goed opgeleid en we hebben een traditie van samenwerking, bijvoorbeeld tussen bedrijfsleven, kennisinstellingen en overheid. Tegelijkertijd roept digitalisering ook nieuwe, fundamentele vragen op. Bijvoorbeeld over de bescherming van onze privacy en de toekomst van onze banen. Om de kansen van digitalisering te benutten en antwoorden te geven op deze vragen moet Nederland voorop lopen met digitalisering. Met onderzoek, experimenten, het toepassen van nieuwe technologie en constructieve discussies over ethische vraagstukken. Op die manier versterken we het Nederlands verdienvermogen, kunnen we beter richting geven aan technologische ontwikkelingen en zetten we vol in op de economische en maatschappelijke kansen van digitalisering. Om voorop te kunnen lopen moeten we ook het vertrouwen van burgers en bedrijven vergroten. Daarom versterken we het fundament – o.a. privacybescherming, cybersecurity, digitale vaardigheden en eerlijke concurrentie - voor digitalisering. De uitdaging bij deze transformatie is om iedereen binnen boord te krijgen én te houden. Op de arbeidsmarkt, maar ook in de samenleving als geheel.

Het kabinet zet daarom in op een aanpak met twee sporen:

  1. Maatschappelijke en economische kansen benutten (versnellen)

Digitalisering vindt voor een belangrijk deel plaats in maatschappelijke sectoren waar de overheid een relatief grote rol heeft. Denk aan de zorg, mobiliteit, energie en het agrifood-domein. Ook de verdere digitalisering van het openbaar bestuur zelf is een belangrijke opgave. De uitdaging voor het kabinet is om in deze sectoren de digitale transitie te versnellen en te ondersteunen.

  1. Het fundament voor digitalisering – waaronder privacybescherming, cybersecurity, digitale vaardigheden en eerlijke concurrentie – moet op orde zijn en verder worden versterkt. Het kabinet zet hiervoor in op vijf speerpunten, zodat burgers en bedrijven de kansen kunnen benutten die digitalisering biedt.

Het fundament van Nederland Digitaal is nader uitgewerkt in ‘NL DIGIbeter ’, de Agenda Digitale Overheid van alle overheden gezamenlijk, die in juli 2018 is vastgesteld door de Ministerraad. Deze agenda legt verbinding met publieke en private partners om kansen en vraagstukken van de digitalisering door de overheid op te pakken. Door NL DIGIbeter heen staan de behoeften en rechten van burgers en ondernemers centraal. De Agenda biedt enerzijds ruimte om op een innovatieve manier te werken aan maatschappelijke vraagstukken. Aan de andere kant wordt voortgebouwd op de bestaande voorzieningen om de dienstverlening beter en persoonlijker te maken. Bijvoorbeeld door modernisering van de overheidsportalen zodat mensen op één plek zaken met de overheid kunnen regelen die aan hun persoon gekoppeld is.

Verder besteedt de Agenda veel aandacht aan zowel grondrechten en publieke waarden (bijvoorbeeld bij datagebruik) als ook de toegankelijkheid/begrijpelijkheid van digitale dienstverlening (inclusie). Dat betekent dat mensen het recht hebben op digitale dienstverlening, maar ook dat voor inwoners die niet digitaal geholpen kunnen of willen worden er andere vormen van contact mogelijk is.

Nederland Digitaal

Belangrijk onderdeel van NL DIGIbeter is het persoonlijker maken van de dienstverlening, bijvoorbeeld door de inwoner meer inzage en regie te geven op de eigen gegevens. Gemeenten spelen dan ook een grote rol bij de sturing op voorzieningen van de digitale basisinfrastructuur die juist betrekking hebben op die dienstverlening. Denk hierbij aan mijnOverheid en identiteitsmiddelen.

Het onderwerp van dit document, het vastleggen van verwerkingen van persoonsgegevens en het bieden van transparantie hierover naar burger en ondernemer maakt deel uit van het fundament van Nederland Digitaal. Binnen het onderdeel “Weerbaarheid van burgers en organisaties versterken” is vanuit het beschermen van de persoonsgegevens en de rechten van burgers aandacht voor het feit dat de eigen regie van burgers op persoonsgegevens moet worden vergroot om daarmee de bescherming van privacy verder te bevorderen. Een van de beoogde resultaten op dit vlak is dat mensen er op moeten kunnen vertrouwen dat zij laagdrempelig en veilig inzage kunnen krijgen in hun persoonsgegevens en het gebruik daarvan door derden, én dat ze deze gegevens (waar mogelijk) kunnen corrigeren, verwijderen en (her)gebruiken.

2.2. Europees Kader: Algemene Verordening Gegevensbescherming (AVG)[bewerken]

De AVG is sinds 25 mei 2018 rechtstreeks van toepassing. Met de Uitvoeringswet Algemene verordening gegevensbescherming (zie voor een toelichting hierna) is de Wet bescherming persoonsgegevens (Wbp) ingetrokken. De AVG hanteert voor de bescherming van persoonsgegevens een bepaalde systematiek om op basis van een aantal privacy beginselen te komen tot afgewogen keuzes voor de bescherming van persoonsgegevens. Daarnaast schrijft de AVG aanvullend op een aantal aspecten meer in detail voor hoe persoonsgegevens moeten worden beschermd. In dit kader zijn het meest van belang de “transparantierechten” die aan betrokken worden toegekend en de verplichtingen om privacy by design als uitgangspunt te nemen en een PIA uit te voeren om zicht te krijgen op feitelijk spelende privacy risico’s en daarop maatregelen te treffen. De kern van de AVG wordt gevormd door een aantal grondslagen en beginselen dat als uitgangspunt moet worden genomen bij de (inrichting van) verwerking van persoonsgegevens. Deze relevante grondslagen en beginselen worden hieronder toegelicht.

2.2.1. Rechtmatige verwerking (verwerkingsgrondslag en doelbinding)[bewerken]

Uit de AVG volgt in de eerste plaats dat de verzameling en verwerking van persoonsgegevens plaatsvindt op een rechtmatige en behoorlijke wijze (artikel 5, eerste lid, aanhef en onder a, van de AVG). Verder dienen de doeleinden waarvoor verzameling en verwerking plaatsvindt gerechtvaardigd, welbepaald en uitdrukkelijk omschreven te zijn (doelbinding). Voor overheidsorganisaties geldt daarbij dat zij voor de verwerking van persoonsgegevens voor de hen toegekende taken het kader van die taken over een expliciete verwerkingsgrondslag moeten beschikken. De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  1. Toestemming van de betrokken persoon;
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Gemeenten zijn zelf verantwoordelijk om te beoordelen of ze zich voor een verwerking van persoonsgegevens kunnen baseren op één van de zes grondslagen.

Doorwerking voor het vastlegging en gebruik van doel en grondslag van verwerkingen:

Gemeenten zijn verplicht om de verwerkingen van persoonsgegevens in kaart te brengen en vast te leggen. Bij de vastlegging van verwerkingen dienen de doeleinden en verwerkingsgrondslagen waarvoor verzameling en verwerking plaats hebben gevonden te worden geregistreerd zodat verantwoording, zowel naar de burger als naar het bestuur, afgelegd kan worden over de rechtmatigheid van de verwerkingen.

2.2.2. Dataminimalisatie[bewerken]

Persoonsgegevens die worden verwerkt moeten toereikend en ter zake dienend zijn, en beperkt zijn tot wat noodzakelijk is voor de doeleinden. Daarbij gaat het om proportionaliteit en subsidiariteit, waardoor een minimum aan verwerking van persoonsgegevens wordt gerealiseerd (artikel 5, eerste lid, onder c, van de AVG). Er mogen niet meer gegevens dan nodig worden verwerkt en er moet goed worden bezien of het doel niet op een manier kan worden bereikt die minder inbreuk maakt op privacy.

Doorwerking voor het vastlegging en gebruik van doel en grondslag van verwerkingen:

Bij de verwerkingen van persoonsgegevens dient vastgelegd te worden welke categorieën van gegevens tijdens de verwerking worden gebruikt. Door deze vastlegging kan verantwoording worden afgelegd over proportionaliteit en subsidiariteit van het verwerkende proces.

2.2.3. Specifieke aanvullende verplichtingen uit de AVG[bewerken]

Naast de modellering van bescherming van persoonsgegevens aan de hand van deze beginselen, regelt de AVG ter ondersteuning en kadering daarvan ook nog aan aantal meer concrete verplichtingen. De in dit kader meest relevante verplichtingen worden hieronder besproken.

Register- en verantwoordingsplicht

De AVG vereist dat organisaties (zowel verantwoordelijken als verwerkers) aantoonbare controle hebben over de persoonsgegevens die zij verwerken. Dit betekent dat een register moet worden bijhouden van alle verwerkingen van persoonsgegevens die plaatsvinden. De AVG schrijft concreet voor welke gegevens ten aanzien van verwerkingen moeten worden bijgehouden. Ook moet actief aandacht worden besteed aan, en maatregelen geïmplementeerd waaruit blijkt dat de organisatie de AVG-beginselen voor verwerking van persoonsgegevens naleeft.

Doorwerking voor het vastlegging en gebruik van doel en grondslag van verwerkingen:

De register- en verantwoordingsplicht vanuit de AVG is een van de belangrijkste redenen om een verwerkingenregister bij te houden. Gemeenten zijn vanuit deze register- en verantwoordingsplicht wettelijk verplicht een verwerkingenregister te voeren voor de verwerkingen van persoonsgegevens. Per verwerking dient in het register vastgelegd te worden wat het doel en de wettelijke grondslag is van de verwerking. Informatiesystemen die een verwerking van persoonsgegevens uitvoeren dienen deze verwerking te relateren aan een doelbinding en grondslag uit het gemeentelijk register. In de vastlegging van de verwerking van gegevens door gemeentelijke informatiesystemen worden de doelbinding en grondslag als meta-gegevens bij de verwerking vastgelegd.

2.3. Nationaal kader: Uitvoeringswet AVG (UAVG)[bewerken]

Met de UAVG wordt uitvoering gegeven aan de AVG. De AVG is een Europese verordening. Dat betekent dat voor de lidstaten nog maar beperkt ruimte is voor de nationale wetgever om op het terrein van de verwerking van persoonsgegevens zelf iets (afwijkends) te regelen. Daar waar de verordening nog wel ruimte laat voor nationale keuzes, is gekozen om zo dicht mogelijk te blijven bij de Wbp (beleid-neutrale implementatie). In dit verband is het meest relevant dat artikel 87 van de AVG een grondslag geeft om bij nationaal recht specifieke voorwaarden te stellen voor de verwerking van nationale identificatienummers, in Nederland onder meer het BSN.

Vanuit de uitvoeringswet AVG komt geen specifieke doorwerking voor vastlegging en gebruik van doel en grondslag van verwerkingen.

3. Verwerkingenregister[bewerken]

3.1. Scope[bewerken]

Vanuit wet- en regelgeving is iedere gegevensverwerkende organisatie zelf verantwoordelijk voor het bijhouden van de doelen en wettelijke grondslagen die door de organisaties worden gehanteerd bij de verwerking van (persoons)gegevens. Een voorbeeld van een type verwerking is een Overlijdensmelding die de gemeente conform Artikel 1:19i en Artikel 19f Burgerlijk Wetboek Boek 1 af kan handelen. Verwerkingen kunnen een wettelijke grondslag hebben, maar kunnen ook op basis van bijvoorbeeld de expliciete toestemming van een betrokkene worden verwerkt.

In het gemeentelijk verwerkingenregister worden de verschillende verwerkingstypes bijgehouden die door de gemeente worden afgehandeld. Deze verwerkingen komen zowel uit de privaat- als publiekrechtelijke taken van de gemeente voort. Het verwerkingenregister is geen statisch register, het dient actief bijgehouden te worden door de gemeente. De AVG schrijft voor welke informatie minimaal in het register moet worden opgenomen. Door de Informatiebeveiligingsdienst (IBD) voor gemeenten is een voorbeeld van een vooringevuld gemeentelijk verwerkingenregister beschikbaar gesteld.

Het verwerkingenregister is vanuit de AVG bedoeld voor het vastleggen van de verwerkingen die door een organisatie ten aanzien van persoonsgegevens worden uitgevoerd. In dit document is de scope van het verwerkingenregister primair gericht op de verwerkingen van persoonsgegevens, maar het is nadrukkelijk de bedoeling om ook de verwerkingen van andere objecten in het register op te nemen.

3.2. Attributen van het register[bewerken]

De AVG geeft minimale eisen mee aan het verwerkingenregister (artikel 30). Naast de registereisen van artikel 30 van de AVG, worden ook andere AVG-verplichtingen in het register opgenomen. Eén van de functies van het register is die van een centrale registratie van de AVG-verplichtingen. Daarom is er een aantal kolommen opgenomen om deze informatie vast te leggen. Op deze manier kan het register gebruikt worden om de AVG-compliance van de gemeente te toetsen.

Het verwerkingenregister bevat voor wat betreft de verwerking van persoonsgegevens de volgende gegevens:

  • De eindverantwoordelijke;
  • De verwerkingsdoeleinden;
  • De categorieën van betrokkenen;
  • De categorieën van te verwerken persoonsgegevens;
  • De categorieën van ontvangers;
  • Doorgifte van aan derden;
  • De bewaartermijnen;
  • De technische en organisatorische beveiligingsmaatregelen.

Verschillende disciplines kijken op een andere manier naar de verwerkingen. De één vanuit een juridisch perspectief, de ander vanuit de functionaliteit van de applicaties. Met het oog op deze verschillende perspectieven heeft VNG Realisatie ervoor gekozen om een aantal (informatie)verplichtingen van de AVG direct beschikbaar te hebben in het register. Op deze manier is het register toegankelijk en begrijpelijk voor alle disciplines binnen de gemeente. Het betreft de volgende verplichtingen:

  • Grondslag voor de verwerking en de daarbij horende toelichting - Een herkenningspunt voor de juristen van een gemeente is de grondslag van de verwerking. Op deze manier komt er één overzicht waarin alle grondslagen van de verwerkingen opgenomen zijn.
  • Verwerker, verwerkersovereenkomst, en contactgegevens van de verwerkers - Dit geeft in een oogopslag inzicht in voor welke verwerkingen een verwerkersovereenkomst nodig is, en zo ja, of deze al is afgesloten. Dit is voor zowel de interne verantwoordelijke als de FG belangrijke informatie.
  • Soort verwerking - De soort verwerking is toegevoegd om onderscheid te kunnen maken op welke manier de beslissing van de verwerking wordt gemaakt; geautomatiseerd of handmatig. Dit geeft inzicht in mogelijke extra maatregelen die nodig zijn voor de verwerking.
  • Applicatie die de verwerking ondersteunt - Een herkenningspunt voor de interne verantwoordelijke van de verwerking of de invuller van het register, is de applicatie waarmee de gegevens verwerkt worden. Daarnaast wordt er in het register duidelijk voor welke applicatie er wel of niet een verwerkersovereenkomst afgesloten is.
  • Herkomst van persoonsgegevens - De herkomst van de persoonsgegevens in de verwerking geeft aan op welke manier de betrokkene geïnformeerd dient te worden. Artikel 13 en 14 van de AVG lichten toe op welke manier de gemeente transparant moet zijn indien de gegevens van de betrokkene zelf of van derden zijn verkregen.
  • Data protection impact assessment (DPIA) - Naar aanleiding van de motie-Franken heeft het kabinet bepaald dat bij de ontwikkeling van beleid en wetgeving waaruit gegevensverwerkingen voortvloeien, bij de bouw van ICT-systemen en de aanleg van grote databestanden een DPIA moet worden uitgevoerd. De AVG verplicht tot het voorafgaand uitvoeren van een DPIA voor gegevensverwerkingen met een hoog risico voor de rechten en vrijheden van natuurlijke personen. Daarvan wordt in elk geval geacht sprake te zijn als er sprake is van verwerkingen van persoonsgegevens met een hoog risico, zoals bij de inzet van nieuwe technieken of grootschalige gegevensverwerking - voorafgaand daarop – een DPIA uit te voeren. Doel er van is om – aanvullend op de inrichting van bescherming van persoonsgegevens op grond van de reeds besproken beginselen, scherper zicht te krijgen op de feitelijk bij de verwerking of in de context spelende privacy risico’s en daarmee – als correctiemechanisme - rekening te houden bij de uiteindelijke (ontwerp) en beveiligingsmaatregelen. Dit attribuut geeft inzicht op welke verwerkingen er een DPIA gedaan is en op welke verwerkingen er een nodig is. Dit is voor zowel voor de eindverantwoordelijke als de Functionaris Gegevensbescherming belangrijke informatie.

De inhoud van het register bevat verwerkingsactiviteiten die betrekking hebben op de publieke en de privaatrechtelijke taken van de gemeente.

3.3. Uitgangspunten[bewerken]

Gemeenten beschikken nu over informatiesystemen die op het gebied van de bescherming van de privacy vrijwel nooit volledig voldoen aan de eisen die vanuit wetgeving gesteld worden. Tegelijkertijd worden gemeenten geconfronteerd met een nieuwe denkwijze ten aanzien van de manier waarop de informatiesystemen ingericht moeten worden (scheiding van processen van gegevens). Leveranciers zullen gefaseerd hun informatiesystemen op deze nieuwe structuur aanpassen. De komende jaren zal een mix ontstaan van informatiesystemen die gebaseerd zijn op de huidige en nieuwe inrichtingsprincipes. Aan beide soorten van informatiesystemen worden dezelfde eisen gesteld ten aanzien van de hantering van doelbinding bij de verwerking van gegevens.

De volgende uitgangspunten worden gehanteerd:

  • De gemeente voert een verwerkingenregister waarin wordt vastgelegd welke (persoons)gegevens door de gemeente worden verwerkt, met welk doel en welke grondslag.
  • Het verwerkingenregister bevat minimaal de verwerkingsactiviteiten van persoonsgegevens maar is niet gelimiteerd tot enkel verwerkingsactiviteiten van persoonsgegevens;
  • Het verwerkingenregister kan gezien worden als een gemeentelijke kernregistratie;
  • Binnen informatiesystemen worden functies gerelateerd aan de combinatie van een doelbinding en een grondslag uit het verwerkingenregister;
  • De structuur van het verwerkingenregister wordt bepaald door het VNG Realisatie informatiemodel “Verwerkingen”;
  • Het verwerkingenregister wordt ontsloten via gestandaardiseerde APIs. Deze APIs kunnen door informatiesystemen worden gebruikt om gegevens uit het register te lezen;
  • Informatiesystemen nemen de in het verwerkingenregister opgenomen metagegevens betreffende een verwerkingsactiviteit op in de logging;
  • Het verwerkingenregister wordt gebruikt zowel vanuit de publieke als de privaatrechtelijke taken.

De bovenstaande uitgangspunten doen recht aan de binnen wet- en regelgeving gestelde eisen en gelden voor alle informatiesystemen die (persoons)gegevens verwerken, zowel informatiesystemen die op de huidige- als de nieuwe inrichtingsprincipes zijn gebaseerd.

3.4. Het register in de informatiearchitectuur[bewerken]

Door VNG Realisatie is de gewenste informatiearchitectuur beschreven. Onderdeel van de informatiearchitectuur is, conform vereisten vanuit de AVG, een verwerkingenregister. Vanuit de informatiearchitectuur wordt aan informatiesystemen de verplichting opgelegd dat verwerkingen door informatiesystemen gerelateerd zijn aan de in het register opgenomen verwerkingen. Tevens wordt de verplichting opgelegd om deze verwerkingen vanuit informatiesystemen te loggen en de relevante onderdelen van de logging open te stellen naar burgers.

Verwerkingenregister en Common Ground 5-lagenmodel

In bovenstaand figuur is weergegeven dat het onderdeel “Doel en grondslag” zich bevindt in de procesinrichtinglaag van dienstenafnemers. Het is de verantwoordelijkheid van de dienstenaanbieder om een administratie te voeren van verwerkingsactiviteiten en te borgen dat binnen de processen de juiste verwerkingsactiviteiten worden gerefereerd. Daarnaast kan de administratie van de verwerkingsactiviteiten worden gezien als een gemeentelijke kernregistratie die vanuit de gegevensbronnen wordt gefaciliteerd. Opslag van de verwerkingsactiviteiten wordt conform architectuurprincipes hierdoor gescheiden van de processen die de verwerkingsactiviteiten gebruiken.

3.5. Gebruik van het register[bewerken]

De huidige gemeentelijke informatiesystemen zijn meestal niet ingericht op de eisen die vanuit de AVG gesteld worden. De huidige informatiesystemen autoriseren over het algemeen eindgebruikers voor functies via een rol-gebaseerd patroon (role-based access control, RBAC). Bij RBAC wordt een model opgesteld met een overzicht van alle rollen en bijbehorende autorisaties binnen informatiesystemen. In dit model is in de rollen vastgelegd wat mensen doen en in de autorisaties wat ze op basis van deze rol mogen. Personen kunnen aan één of meerdere rollen worden toegekend. Door autorisaties te baseren op de rol van de gebruiker hoeven autorisaties niet op individueel niveau te worden toegekend, waardoor autorisatiebeheer binnen een organisatie efficiënt kan worden ingericht. Nadeel van het inrichten van autorisaties via rollen is dat functies kunnen worden ontsloten vanuit meerdere rollen en de functie niet ‘weet’ vanuit welke rol de gebruiker de functie gebruikt. Een voorbeeld hiervan is een generieke functie om binnengemeentelijke personen mee te zoeken. Deze functionaliteit zal vanuit meerdere rollen worden gebruikt, bijvoorbeeld vanuit de rol van ‘baliemedewerker’ maar ook vanuit de rol van ‘Wmo-consultent’. De generieke functie weet enkel dat de gebruiker geautoriseerd is voor het gebruik van de functie, maar weet niet wat het doel en de grondslag is waarvoor de functie wordt gebruikt. Dit is voor de register- en verantwoordingsplicht vanuit de AVG problematisch. Deze vereist immers dat de gemeente de verwerkingen dient te registreren met bepaalde meta-informatie en deze verwerkingen moet kunnen verantwoorden. Vanuit VNG Realisatie wordt onderzocht of een attribuut-gebaseerde wijze van autoriseren (ABAC) beter past op de eisen die onder andere vanuit de AVG aan gemeenten worden gesteld.

Alle gemeentelijke informatiesystemen moeten in de toekomst op het moment dat een functie wordt uitgevoerd waarmee gegevens worden verwerkt deze uitvoering relateren aan een verwerkingsactiviteit die in het verwerkingenregister is opgenomen. De informatiesystemen dienen de verwerkingsactiviteit vervolgens te loggen. Informatiesystemen lezen hiertoe de relevante informatie betreffende de verwerkingsactiviteit uit het verwerkingenregister en loggen deze gegevens samen met andere voor de verwerking relevante metagegevens (zoals een gebruikers-id, datum, tijd). Indien diensten van andere informatiesystemen of keten- of netwerkpartijen worden aangeroepen binnen de functie dan worden relevante metagegevens van de verwerkingsactiviteit aan deze dienst meegegeven zodat ook deze dienst deze gegevens kan loggen.

3.6. Vastlegging en verantwoording van de grondslag ‘toestemming’[bewerken]

Indien de gemeente (persoons)gegevens verwerkt gebaseerd op een toestemming van de betrokken persoon dan dient de gemeente onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat die toestemming daadwerkelijk van toepassing was op het moment van de verwerking. Dit maakt onderdeel uit van de verantwoordingsplicht die een gemeente onder de

Aan een toestemming van de burger worden de onderstaande aantal eisen gesteld.

3.6.1. Specifiek en geïnformeerd[bewerken]

Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat de gemeente kan aantonen op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.

3.6.2. Herleidbaarheid[bewerken]

De gemeente moet ervoor zorgen dat voldoende data beschikbaar is waarmee een link tussen de verwerking én de toestemming van een betrokkene aangetoond kan worden. Let wel, hierbij mag niet méér data verzameld worden dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.

3.6.3. Online toestemming[bewerken]

Wanneer online toestemming is gevraagd aan burgers voor het verwerken van hun persoonsgegevens dan dient de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastlegd te worden. Deze informatie dient gecombineerd te worden met:

  • documentatie over het proces waarin is vastgelegd op welke manier toestemming ontvangen en vastgelegd wordt.
  • een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming.

Verwijzen naar een automatische registratie van toestemming door de website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk.

3.7. Standaardisatie van de inhoud van het register[bewerken]

Alle gemeenten voeren dezelfde wetgeving uit, verrichten voor een groot deel dezelfde processen en bieden vergelijkbare dienstverlening. Binnen de uitvoering van de processen is er ruimte voor lokale variatie en via gemeentelijk beleid kunnen specifieke diensten worden aangeboden. Uiteraard zijn er specifieke processen die alleen spelen bij bijvoorbeeld gemeenten met een havenbedrijf of luchthaven, maar grosso modo voeren alle gemeenten van Nederland ongeveer dezelfde processen. Het ligt dan ook voor de hand om het verwerkingenregister daar waar mogelijk op inhoud te standaardiseren, en daar waar dat kan of gewenst is gemeenten de vrijheid te geven om zelf invulling te geven aan de inhoud. Het register zal in dat geval bestaan uit een deel landelijk gestandaardiseerde gegevens en een deel gemeentelijk specifieke gegevens.

Ten aanzien van de verwerkingen van persoonsgegevens is door de Informatiebeveiligingsdienst (IBD) en gemeenten in 2017 de structuur van de registratie van verwerkingen door gemeenten gestandaardiseerd. Ook is door de IBD een nieuw vooringevuld verwerkingenregister geïntroduceerd.

3.8. Bevraging en bijhouding van het register[bewerken]

Het verwerkingenregister is een nieuw register en wordt derhalve opgezet conform de gelaagde architectuur waarbij gegevens processen van elkaar gescheiden worden (zie Beschrijving informatiearchitectuur. Uitgangspunt van dit model is dat gegevens gestandaardiseerd worden qua syntax en samenhang via een informatiemodel en ontsloten worden via APIs die gebaseerd zijn op het informatiemodel. Het verwerkingenregister zal bestaan uit een procesondersteunende- en een gegevensopslag component. De bijhouding van het register vindt plaats vanuit de procesondersteunende component en maakt gebruik van APIs voor de feitelijke bijhouding. De procesondersteunende component biedt de mogelijkheid om gemeentespecifieke verwerkingsactiviteiten op te voeren en biedt de mogelijkheid om van de gestandaardiseerde inhoud de attributen bij te werken die gemeentespecifiek zijn.Denk hierbij bijvoorbeeld aan de registratie van de applicatie die een standaard verwerking ondersteunt.

De gegevensopslagcomponent van het verwerkingenregister is gestandaardiseerd ten aanzien van inhoud via het informatiemodel Verwerkingen. Het register wordt ten aanzien van bevraging en bijhouding ontsloten naar geautoriseerde afnemers via APIs.  De definitie van de APIs ten behoeve van het verwerkingenregister worden beheerd door VNG Realisatie in opdracht van gemeenten. De APIs conformeren zich aan de landelijke API strategie of een daarvan afgeleid gemeentelijk profiel.

Verwerkingsactiviteiten die landelijk gestandaardiseerd zijn kunnen niet verwijderd worden en gestandaardiseerde inhoud van attributen kan niet gemuteerd worden. De proces-ondersteunende component biedt de mogelijkheid om landelijk gestandaardiseerde inhoud in te lezen in de registratie.

3.9. Samenhang met het loggingregister[bewerken]

Gemeenten leggen in het loggingregister de voorkomens van verwerkingen van (persoons)gegevens vast. Bij deze vastlegging worden een aantal metagegevens opgenomen. Onderdeel van deze metagegevens is een doelbindingsclaim. Deze doelbindingsclaim wordt door een informatiesysteem wat gegevens verwerkt gebruikt als legitimatie van de verwerking van gegevens. De doelbindingsclaim bestaat uit een doel en een grondslag voor de verwerking. Deze doel en een grondslaggegevens zijn afkomstig uit het verwerkingenregister.

In het verwerkingenregister worden de types van verwerkingen vastgelegd, en in het loggingregister wordt vastgelegd wanneer deze type verwerkingen zijn uitgevoerd. In het verwerkingenregister wordt bijvoorbeeld de verwerking Overlijdensmelding vastgelegd. In het verwerkingenregister zijn een aantal metakenmerken opgenomen bij deze verwerking waaronder de wettelijke grondslag en de verwerkingsverantwoordelijke. In het loggingregister wordt bijgehouden wanneer, en door wie een Overlijdensmelding is afgehandeld. In dit register kunnen dus meerdere voorkomens van een bepaalde verwerking voorkomen.

4. Inrichtingsvarianten[bewerken]

Voor de opslag en ontsluiting van doelen en grondslagen van verwerkingen conform de in paragraaf 3.2 beschreven structuur in een verwerkingenregister zijn een aantal inrichtingsvarianten te onderkennen; een centrale en een decentrale (gefedereerde) inrichting.

Inrichting als centrale voorziening

Doelen en grondslagen van verwerkingen vastgelegd in een centraal register. Dit register kan door gemeentelijke informatiesystemen worden bevraagd. Het register kan vanuit een centrale voorziening voor de overheid of gemeenten worden gefaciliteerd, maar het kan ook lokaal binnen de gemeente als centrale gemeentelijke voorziening worden ingericht.

Inrichting van verwerkingenregister als centrale voorziening

Het verwerkingenregister kan door de overheid als onderdeel van de digitale basisinfrastructuur als voorziening worden aangeboden aan overheidsorganisaties. Overheidsorganisaties, en ook gemeenten, registreren in dat geval hun doelen en grondslagen in deze centrale voorziening en laten informatiesystemen gebruik maken van het centrale register. Gezien de beweging van de overheid naar meer gefedereerde oplossingen en voorzieningen lijkt het zeer onwaarschijnlijk te zijn dat de overheid een dergelijke voorziening gaat leveren. Gemeenten zullen daarom zelf voor een dergelijk register moeten zorgen. Hierbij hebben gemeenten de keuze om het register collectief of lokaal te organiseren. Indien gekozen wordt voor een collectief register wordt één register gebruikt waarin alle gemeenten hun verwerkingsactiviteiten vastleggen. Indien gekozen wordt voor het lokaal organiseren hebben gemeenten de mogelijkheid om een centraal register te gebruiken voor de vastlegging van alle gemeentelijke verwerkingsactiviteiten, maar de gemeente kan er ook voor kiezen om deze verantwoordelijkheid bij de verschillende domeinen te beleggen. In het laatste geval is er dan sprake van een gefedereerd model.

Inrichting als voorziening per informatiesysteem

Op het moment dat doelen en grondslagen van verwerkingen niet in een centrale registratie worden opgeslagen spreken we van een inrichting per informatiesysteem. Bij een dergelijke inrichting is ieder gemeentelijk informatiesysteem zelf verantwoordelijk voor de bijhouding van doelen en grondslagen in de lokale registraties. Er zijn in deze variant dus vele voorkomens van registers van verwerkingen. Het totaal van de inhoud van de verschillende registers beschrijft het geheel van de gemeenlijke gegevensverwerkingen.

Inrichting van verwerkingenregister per informatiesysteem

Beide vormen van inrichting, zowel centraal als per informatiesysteem, kennen voor- en nadelen. In een scenario waarin doelen en grondslagen centraal zijn ingericht lezen gemeentelijke informatiesystemen de doelen en grondslagen die bij verwerkingen worden gehanteerd uit een centraal register. Vanuit de gemeente is vanuit een centraal register een overzicht van alle gemeentelijke gegevensverwerkingen, en de informatiesystemen die van deze doelen en grondslagen gebruik maken. Een auditor of Functionaris Gegevensbescherming (FG) heeft hierdoor goed overzicht van de verwerkingen die binnengemeentelijk worden uitgevoerd.

In onderstaande tabel worden de voor- en nadelen van de verschillende centrale inrichtingscenario’s beschreven.

Voordelen Nadelen
Centraal (collectief)
  • Centraal overzicht van de verwerkingen van gemeenten, zowel generieke als gemeente specifieke;
  • Eenvoudig om doelen en grondslagen voor alle gemeenten gelijk te trekken;
  • Centrale bron voor bieden transparantie naar burger, ondernemer en Autoriteit Persoonsgegevens;
  • Centraal overzicht voor de FG;
  • Potentieel single-point-of-failure voor alle gemeenten;
Centraal

(lokaal)

  • Centraal overzicht van de gemeentelijke verwerkingen;
  • Centrale bron voor bieden transparantie naar burger, ondernemer en Autoriteit Persoonsgegevens;
  • Centraal overzicht voor de FG;
  • Potentieel single-point-of-failure voor de gemeente;
Per informatie-systeem

(lokaal)

  • Veel verschillende bronnen voor bieden transparantie naar burger, ondernemer en Autoriteit Persoonsgegevens;
  • Geen centraal overzicht voor de FG;


Gezien de voor- en nadelen en de beweging van de overheid naar gefedereerde voorzieningen ligt het voor de hand om het verwerkingenregister als een centrale voorziening lokaal bij gemeenten te implementeren.

5. GEMMA componenten[bewerken]

In de voorgaande hoofdstukken is beschreven dat gemeenten vanuit de AVG verplicht zijn om een verwerkingenregister te voeren. Dit verwerkingenregister dient doelen en wettelijke grondslagen te bevatten die door de gemeente worden gehanteerd bij de verwerking van persoonsgegevens. Het verwerkingenregister wordt door VNG Realisatie breder gepositioneerd dan enkel voor de verwerkingen van persoonsgegevens. Dit register zou ook verwerkingen van andere objecten moeten kunnen bevatten. Het register dient door informatiesystemen geraadpleegd te worden op het moment dat vanuit een functie van dat systeem een verwerking wordt uitgevoerd. Het informatiesysteem leest metagegevens ten aanzien van de verwerking uit het verwerkingenregister en logt deze gegevens via het loggingssysteem.

Samenhang componenten en actoren

In bovenstaand figuur is per laag van het architectuurmodel welke architectuurelementen een rol spelen bij zowel de bijhouding van doelen en grondslagen in het verwerkingenregister als de logging van verwerkingen in het loggingregister.

5.1. Verwerkingenregister[bewerken]

Het verwerkingenregister is het register voor opslag en ontsluiting van verwerkingsactiviteiten en daarbij behorende metadata. Het register ondersteunt de opslag van verwerkingsactiviteiten en de ontsluiting hiervan naar informatiesystemen. Het registreert en ontsluit verwerkingsactiviteiten op conform het (nog te ontwikkelen) Informatiemodel Gemeentelijke Verwerkingen. Het register stelt informatiesystemen in staat om via gestandaardiseerde APIs verwerkingsactiviteiten toe te voegen, te wijzigen, te verwijderen en aan de hand van een aantal zoekcriteria op te vragen.

Verwerkingenregister

5.2. Verwerkingenbeheercomponent[bewerken]

De verwerkingenbeheercomponent is de component waarmee de inhoud van de verwerkingenregister wordt bijgehouden. Deze component biedt de schermen die door de medewerker van de gemeente gebruikt wordt voor het toevoegen, verwijderen en wijzigen van verwerkingsactiviteiten. Daarnaast biedt de verwerkingenbeheercomponent functies om te zoeken naar in het verwerkingenregister opgenomen verwerkingsactiviteiten. De beheercomponent gebruikt hiertoe de APIs die door de verwerkingenregister worden geboden.

Verwerkingenbeheercomponent

Bijlage 1: Bronnen[bewerken]

Deze pagina is het laatst bewerkt op 27 sep 2023 om 13:00.