Thema Logging en verwerkingsactiviteiten


Gemeenten gebruiken binnen de uitvoering van de gemeentelijke taken grote hoeveelheden gegevens. Een deel van deze gegevens betreft persoonsgegevens. Vanuit de de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG zijn gemeenten verplicht dit gebruik van persoonsgegevens vast te leggen, en inzichtelijk te maken voor burgers. Door deze transparantie over het gebruik van persoonsgegevens heeft de burger de mogelijkheid om na te gaan of de gemeente zijn of haar gegevens rechtmatig gebruikt.

Gemeentelijk Gegevenslandschap
Over deze afbeelding

Gemeenten zijn verplicht om aan te kunnen tonen dat uitgevoerde verwerkingen van persoonsgegevens aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid. Om aan deze verantwoordingsplicht te kunnen voldoen moeten gemeenten transparant zijn over de verwerkingsactiviteiten die zij uitvoeren, en verwerkingen van persoonsgegevens die in het kader van een verwerkingsactiviteit worden uitgevoerd vastleggen. Het is voor gemeenten en leveranciers van belang dat zowel verwerkingsactiviteiten (welke typen verwerkingen kent de gemeente) als de daadwerkelijke verwerkingen van persoonsgegevens gestandaardiseerd worden op het gebied van semantiek, syntax en samenhang. Daarnaast is van belang om de wijze waar deze gegevens in de informatiehuishouding worden gepositioneerd en op welke manier ze worden ontsloten te standaardiseren. Onderstaande paragrafen beschrijven de architectuurproducten en standaarden die op voor zowel verwerkingsactiviteiten als voor verwerkingen zijn ontwikkeld.

Verwerkingsactiviteiten

Vanuit wet- en regelgeving is een gemeente zelf verantwoordelijk voor het bijhouden van de doelen en wettelijke grondslagen die door de organisaties worden gehanteerd bij de verwerking van (persoons)gegevens. Een voorbeeld van een type verwerking is een overlijdensmelding die de gemeente conform Artikel 1:19i en Artikel 19f Burgerlijk Wetboek Boek 1 af kan handelen. Dergelijke verwerkingsactiviteiten die zowel uit de privaat- als publiekrechtelijke taken van de gemeente voortkomen worden in het gemeentelijk verwerkingsactiviteitenregister bijgehouden. Dit register moet door de gemeente actief worden bijgehouden. Op het moment dat vanuit wet- of regelgeving nieuwe verwerkingsactiviteiten ontstaan of grondslagen wijzigen dienen deze in het register te worden verwerkt. De AVG schrijft voor welke informatie per verwerkingsactiviteiten minimaal in het register moet worden opgenomen.

Ten aanzien van het gemeentelijk verwerkingsactiviteitenregister zijn in samenwerking met gemeenten door VNG een aantal documenten ontwikkeld. Deze documenten beschrijven de plek van het register in de gemeentelijke informatiearchitectuur en bieden een voorzet voor een standaard vulling van het gemeentelijk register.

De volgende documentatie ten aanzien van het gemeentelijk verwerkingsactiviteitenregister is beschikbaar:

  • Vooringevuld verwerkingsactiviteitenregister. Op deze website van de IBD wordt een overzicht van verwerkingen gegeven die doorgaans bij iedere gemeenten worden uitgevoerd. Dit voorbeeld kan worden gehanteerd bij het vullen van een gemeentelijk verwerkingsactiviteitenregister.
  • Ten aanzien van het ontsluiten van gemeentelijke verwerkingsactiviteitenregisters via APIs wordt in Q1 2021 een Verwerkingsactiviteiten API-standaard ontwikkeld.

Vastlegging verwerking van (persoons)gegevens (logging)

Op het moment dat door een gemeente in het kader van een bepaalde verwerkingsactiviteit persoonsgegevens worden verwerkt dient deze verwerking vastgelegd te worden in een verwerkingenlog. Doel van deze vastlegging is het nadien kunnen verantwoorden van de verwerking aan betrokken burgers en functionarissen die binnengemeentelijk werkzaam zijn op het gebied van de de gegevensbescherming (FG/PO). De positie van het verwerkingenlog in de gemeentelijke informatiehuishouding en de relatie van dit register met andere gemeentelijke informatiesystemen is beschreven in de onderstaande architectuurdocumenten.

  • Logging van verwerking van (persoons)gegevens. Dit document beschrijft de visie van VNG Realisatie ten aanzien van de opslag en ontsluiting van de metagegevens van verwerkingen van gegevens. Ook worden in dit document het Gemeentelijk register van verwerkingsactiviteiten en het Verwerkingenlog in samenhang geschetst. Daarbij zijn verschillende implementatievarianten mogelijk: een centrale inrichting of een federatieve inrichting.
  • Interactiepatronen Verwerkingenlog. De Verwerkingenloggingcomponent is verbonden met meerdere componenten in het applicatielandschap van een organisatie. Er zijn verschillende patronen te ontdekken in de interactie tussen de Verwerkingenloggingcomponent en andere componenten. De verschillende patronen zijn uitgewerkt in views en worden kort beschreven.

Voor het vastleggen van verwerkingen van (persoons)gegevens vanuit procesapplicaties en de ontsluiting van die gegevens naar geautoriseerde afnemers is de Verwerkingenlogging API-standaard ontwikkeld als onderdeel van de GEMMA referentiearchitectuur. Deze API-standaard biedt leveranciers van informatiesystemen specificaties voor het vastleggen en ontsluiten van de logging van verwerkingen.

Presentaties

Onderstaand overzicht toont de presentaties die in verschillende gremia vanuit de VNG-R architectuurfunctie gegeven zijn ten aanzien van de logging van verwerkingen en het register van verwerkingsactiviteiten.

Document Metadata Versie Beschrijving Versiedatum
Pdf.jpg Logging informatiesessie leveranciers (PDF-bestand, 5,74 MB) Metadata icon.jpg 1.0 Toelichtend document Presentatie van 10 maart 2021 aan leveranciers over Verwerkingenlogging API-standaard 20210310