Informatiebeveiliging en Privacy binnen de Omgevingswet


De invoering van de omgevingswet brengt grote veranderingen met zich mee voor gemeenten. Bij deze verandering dient ook rekening gehouden te worden met de aspecten Informatiebeveiliging en privacy. Als kader voor Informatiebeveiliging geldt voor Nederlandse gemeentelijke organisaties de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De BIG bevat een normenkader met betrekking tot de sturing op informatiebeveiliging. De BIG bevat ook maatregelen ten aanzien van privacybescherming. De BIG is van toepassing voor alle verwerkingen van persoonsgegevens onder die onder de verantwoordelijkheid van gemeenten uitgevoerd worden. Voor andere partijen binnen de Omgevingswet kunnen andere (soortgelijke) normen gelden zoals de Baseline Informatiebeveiliging Rijksoverheid (BIR) en de Baseline Informatiebeveiliging Waterschappen (BIWA). De BIG is terug te vinden op de site www.informatiebeveiligingsdienst.nl samen met handreikingen voor het inrichten van specifieke informatiebeveiligingsmaatregelen.

Naast de BIG is vanuit privacy perspectief de implementatie van de Algemene verordening gegevensbescherming (AVG) van belang. Op de site www.vngrealisatie.nl/privacy staan de stappen die gemeenten moeten nemen om aan de AVG te voldoen.

Wettelijke kaders voor privacy Naast de wetteksten uit de AVG zijn in het kader van privacy en de Omgevingswet ook de volgende wetten relevant:

  • de Wet basisregistratie personen (BRP);
  • de Wet bescherming persoonsgegevens(Wbp);
  • de Uitvoeringswet Algemene verordening gegevensbescherming;
  • de Wet algemene bepalingen burgerservicenummer;
  • de Wet digitale overheid (nog concept).

Gedurende de voortgang van het project rond de Omgevingswet zal steeds meer bekend worden over specifieke informatiebeveiligings- en privacy eisen waaraan voldaan moet worden. Deze zullen dan op deze site bijgewerkt worden. Doormiddel van onderstaande FAQ wordt op de meest gestelde vragen antwoord gegeven. Mocht uw vraag er niet bij staan kunt u deze via onderstaande button indienen.

FAQ privacy en security Omgevingswet[bewerken]

Moeten gemeenten een Data Privacy Impact Assessment doen op de Omgevingswet?[bewerken]

Dat hangt ervan af: Vanuit het programma voor de Omgevingswet zijn er Data Privacy Impact Assessments (DPIA’s) uitgevoerd. In 2018 wordt in opdracht van het ministerie van Infrastructuur en Waterstaat opnieuw een DPIA uitgevoerd op de Omgevingswet. De Autoriteit Persoonsgegevens heeft een checklist opgesteld om te bepalen wanneer een DPIA uitgevoerd zou moeten worden. Algemeen kan gezegd worden dat gemeenten geen DPIA meer hoeven uit te voeren waar het gaat om de generieke aspecten uit de omgevingswet. Daar waar gemeenten voor hun specifieke invoering van de Omgevingswet niet voldoen aan de eisen uit de checklist zullen zij een DPIA moeten uitvoeren op de verwerkingen die binnen hun eigen verantwoordelijkheid vallen. Het is raadzaam dat zij daarbij wel de resultaten van de eerdere centraal uitgevoerde DPIA’s raadplegen.

Mag/ moet een vergunningaanvraag het BSN van de aanvrager bevatten?[bewerken]

Ja, de Wet algemene bepalingen burgerservicenummer (Wabb) biedt de rechtsgrondslag voor de verwerking van het BSN door overheidsorganen in het kader van de uitvoering van hun taak. Voor de Omgevingswet heeft de autoriteit persoonsgegevens (AP) aangegeven dat er in de basis een grondslag in de wet is (mits het echt nodig is voor het behandelen van de aanvraag) en dat het BSN als onderdeel van een vergunningsaanvraag gevraagd mag worden. Het is echter geen wettelijk indieningsvereiste. Er vindt momenteel nog discussie plaats over het BSN op nemen als (wettelijk) indieningsvereiste. Zolang dat niet zo is hoeft het dus niet (tenzij de gemeente kan aantonen dat het echt niet zonder kan) en is het dus theoretisch mogelijk voor een betrokkene om te weigeren het BSN af te geven bij een vergunningsaanvraag. NB: bij aanvragen door een betrokkene die geen Nederlandse identiteit heeft wordt ook geen BSN verwerkt.

Met welke partijen moeten gemeenten in het kader van de Omgevingswet verwerkersovereenkomsten afsluiten?[bewerken]

In het kader van de omgevingswet moeten gemeenten met de volgende partijen een verwerkersovereenkomst afsluiten:

  • IT leveranciers

Van de volgende partijen is duidelijk dat gemeenten geen verwerkersovereenkomst nodig hebben:

  • Omgevingsdiensten: Onlangs heeft de VNG hierover ook een standpunt ingenomen (dit standpunt staat haaks op de opvatting van de Rijksdienst). De VNG is van mening dat omgevingsdiensten zelf verantwoordelijk zijn voor de gegevensbewerking en dat er geen sprake is van een bewerkersrelatie. Om die reden zou een be/verwerkersovereenkomst niet aan de orde zijn. Het uitgangspunt in de wetgeving is dat sprake is van een bewerkersrelatie indien de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking echter een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener zelf verantwoordelijk voor de gegevensverwerking. In het geval van omgevingsdiensten ziet de dienstverlening op het uitvoeren van toezicht, handhaving en vergunningverlening in naam van de gemeenten en provincie en dus niet op het verwerken van persoonsgegevens.

In het geval dat het verwerken van persoonsgegevens een bijproduct is van de dienstverlening, is de dienstverlener (omgevingsdienst) zelf verantwoordelijk (en dus geen be/verwerker).

  • Veiligheidsregio’s: veiligheidsregio’s worden ook als verantwoordelijke gezien.
  • Andere bevoegde gezagen. Alle bevoegde gezagen zijn verantwoordelijke voor de data die zij verwerken.
  • Adviesorganen en welstandscommissies: aangezien deze formeel onder de verantwoording van een gemeente/ bevoegd gezag vallen is er geen sprake van een verantwoordelijke
  • Deskundige adviseurs uit de markt (voor zover zij te maken hebben met persoonsgegevens en niet uit naam van de gemeente handelen)

Nog onduidelijk of er een verwerkersovereenkomst opgesteld moet worden:

  • DSO LV: De minister heeft algemeen regelgevende bevoegdheden ten aanzien van het verwerken van persoonsgegevens binnen het DSO LV (zoals over de inrichting, instandhouding, werking en beveiliging (art. 20.23 lid 4)), maar dit betekent niet dat de minister daarmee verwerkingsverantwoordelijke in de zin van de AVG is voor alle persoonsgegevens die binnen het DSO LV worden verwerkt.

Hoe gaan we om met bewaartermijnen binnen de Omgevingswet?[bewerken]

De AVG geeft alleen algemene regels met betrekking tot bewaartermijnen. In het kader van de basisbeginselen van dataminimalisatie en doelbinding is het namelijk slechts toegestaan de persoonsgegevens te bewaren zolang en voor daartoe een noodzaak bestaat. In het voorbeeld van een vergunningsaanvraag betekent dit dat persoonsgegevens in ieder geval niet verwijderd hoeven te worden gedurende de looptijd van de vergunning, aangezien deze immers noodzakelijk zijn voor het afhandelen van de aanvraag. Wat betreft bewaartermijnen zullen gemeenten voor de omgevingswet zich primair moeten houden aan wat in de Selectielijst gemeenten en intergemeentelijke organen 2017 bepaald is ten aanzien van bewaartermijnen. Daar waar de selectielijst geen uitsluitsel geeft over de bewaartermijn van een bepaald document zal er een beoordeling moeten plaatsvinden op basis van de basisbeginselen van de AVG. Naast het vaststellen van bewaartermijnen moeten gemeenten ook borgen dat deze bewaartermijnen in de systemen afgedwongen kunnen worden.

Welke specifieke privacy by design eisen gelden er binnen de Omgevingswet?[bewerken]

Er zijn nog geen privacy by design eisen bekend welke specifiek voor de Omgevingswet gelden. Zodra deze er zijn worden deze op deze site geplaatst. Privacy by Design en Default, of gegevensbescherming door ontwerp en door standaardinstellingen, zijn een vereiste in de AVG. Het daadwerkelijke artikel hierover in de AVG (artikel 25) is relatief kort, maar Privacy by Design en Default zijn belangrijke begrippen bij het denken over privacy. Het gaat met name om het stellen van de juiste vragen in een vroeg stadium van de ontwikkeling van een product of dienst, of de aanschaf van een systeem. Vragen als: welke gegevens heb ik echt nodig voor het doel van de dienst, aan welke eisen moet een systeem voldoen om privacy te garanderen, en hoe tref ik passende maatregelen ter bescherming van de verwerkte persoonsgegevens?

Welke invloed gaat de Wet digitale overheid op de systemen rond de Omgevingswet hebben?[bewerken]

Op dit moment is de Wet Digitale Overheid in voorbereiding. Naar verwachting zal het wetsvoorstel in de eerste helft van 2018 door de 2e kamer goedgekeurd worden. De Wet Digitale Overheid regelt de wijze waarop burgers en bedrijven elektronisch hun zaken kunnen doen met de overheid. In de Wet Digitale Overheid worden maatregelen vastgesteld om de privacy van natuurlijke personen te verzekeren. Zo wordt onder meer voorgesteld om de privacy van de natuurlijke persoon d.m.v. polymorfe pseudonimisering zo goed mogelijk te borgen. Dit privacybeleid van de Wet Digitale Overheid ziet niet alleen op de toegang tot reeds gepubliceerde documenten maar strekt zich in principe uit tot alle interactie tussen burger/ondernemer en overheid, zoals bij het aanvragen van vergunningen, het doen van aangiftes etc. Zolang de Wet Digitale Overheid nog niet in werking is getreden, is het noodzakelijk om zoveel mogelijk te anticiperen op de eisen die vanuit de Wet Digitale Overheid zullen volgen. Relevante principes uit de Wet Digitale Overheid zijn:

I. Dataminimalisatie. Elke partij verwerkt voor het verlenen van toegang slechts die persoonsgegevens die nodig zijn voor de taak die hij uitvoert.
II. Het vermijden van grote concentraties van persoonsgegevens (hotspots). De uitvoeringsregelgeving en het functioneel ontwerp dient zodanig te worden ingericht, dat het niet nodig of mogelijk is om identificatie en vertrouwelijke informatie bij één adressant te beleggen.
III. Het gebruik van privacy enhancing technologies. De bescherming van persoonsgegevens wordt in (uitvoerings)regelgeving voorgeschreven en waar mogelijk systeemtechnisch afgedwongen. Het feitelijk onherleidbaar maken van gegevens tot personen is een adequatere waarborg dan vertrouwen op procedurele afspraken.

Aan welke beveiligingseisen moeten de koppelingen met het DSO voldoen?[bewerken]

Er wordt momenteel gewerkt aan een document waarin deze eisen komen te staan. Zodra deze gereed is worden deze hier op de site geplaatst.


Heeft u zelf een vraag die niet in deze FAQ staat, doe dan een voorstel op deze discussiepagina

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een door de overheid officieel aangewezen registratie met daarin gegevens van hoogwaardige kwaliteit, die door alle overheidsinstellingen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Het geheel van voorzieningen dat nodig is om een land of organisatie, zoals een bedrijf of een instelling, goed te laten functioneren.

De eenheid van wezen, volkomen overeenstemming en gelijkheid. Dat wat uniek of eigen is aan iets of iemand. Het kan daarbij gaan om zowel personen als organisaties of landen.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Een samenhangende set Diensten, Bedrijfsobjecten en/of Representaties die onder in een Overeenkomst beschreven voorwaarden kan worden afgenomen.

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de dienstafnemer(s)).

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

Interactie in de context van overheidsdienstverlening betreft de (digitale) gegevensuitwisseling en wisselwerking tussen burgers en bedrijven en de overheid(sorganisaties).

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Betekenisvolle gegevens.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Informatiebeveiliging_en_Privacy_binnen_de_Omgevingswet&oldid=522126"
Deze pagina is het laatst bewerkt op 14 jun 2018 om 02:00.