Versie door GEMMAbot (overleg | bijdragen) op 16 dec 2023 om 20:02
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)

Project Logging en verwerkingsactiviteiten

Gemeenten gebruiken binnen de uitvoering van de gemeentelijke taken grote hoeveelheden gegevens. Een deel van deze gegevens betreft persoonsgegevens. Vanuit de de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG zijn gemeenten verplicht dit gebruik van persoonsgegevens vast te leggen, en inzichtelijk te maken voor burgers. Door deze transparantie over het gebruik van persoonsgegevens heeft de burger de mogelijkheid om na te gaan of de gemeente zijn of haar gegevens rechtmatig gebruikt.

Gemeentelijk Gegevenslandschap
Over deze afbeelding

Gemeenten zijn verplicht om aan te kunnen tonen dat uitgevoerde verwerkingen van persoonsgegevens aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid. Om aan deze verantwoordingsplicht te kunnen voldoen moeten gemeenten transparant zijn over de verwerkingsactiviteiten die zij uitvoeren, en verwerkingen van persoonsgegevens die in het kader van een verwerkingsactiviteit worden uitgevoerd vastleggen. Het is voor gemeenten en leveranciers van belang dat zowel verwerkingsactiviteiten (welke typen verwerkingen kent de gemeente) als de daadwerkelijke verwerkingen van persoonsgegevens gestandaardiseerd worden op het gebied van semantiek, syntax en samenhang. Daarnaast is van belang om de wijze waar deze gegevens in de informatiehuishouding worden gepositioneerd en op welke manier ze worden ontsloten te standaardiseren. Onderstaande paragrafen beschrijven de architectuurproducten en standaarden die op voor zowel verwerkingsactiviteiten als voor verwerkingen zijn ontwikkeld.

Vastlegging van de gemeentelijke verwerkingsactiviteiten[bewerken]

Vanuit wet- en regelgeving is een gemeente zelf verantwoordelijk voor het bijhouden van de doelen en wettelijke grondslagen die door de organisaties worden gehanteerd bij de verwerking van (persoons)gegevens. Een voorbeeld van een type verwerking is een overlijdensmelding die de gemeente conform Artikel 1:19i en Artikel 19f Burgerlijk Wetboek Boek 1 af kan handelen. Dergelijke verwerkingsactiviteiten die zowel uit de privaat- als publiekrechtelijke taken van de gemeente voortkomen worden in het gemeentelijk verwerkingsactiviteitenregister bijgehouden. Dit register moet door de gemeente actief worden bijgehouden. Op het moment dat vanuit wet- of regelgeving nieuwe verwerkingsactiviteiten ontstaan of grondslagen wijzigen dienen deze in het register te worden verwerkt. De AVG schrijft voor welke informatie per verwerkingsactiviteiten minimaal in het register moet worden opgenomen.

Ten aanzien van het gemeentelijk verwerkingsactiviteitenregister zijn in samenwerking met gemeenten door VNG een aantal documenten ontwikkeld. Deze documenten beschrijven de plek van het register in de gemeentelijke informatiearchitectuur en bieden een voorzet voor een standaard vulling van het gemeentelijk register.

De volgende documentatie ten aanzien van het gemeentelijk verwerkingsactiviteitenregister is beschikbaar:

  • Vooringevuld verwerkingsactiviteitenregister. Op deze website van de IBD wordt een overzicht van verwerkingen gegeven die doorgaans bij iedere gemeenten worden uitgevoerd. Dit voorbeeld kan worden gehanteerd bij het vullen van een gemeentelijk verwerkingsactiviteitenregister.

Vastlegging verwerkingen van (persoons)gegevens[bewerken]

Op het moment dat door een gemeente persoonsgegevens (geautomatiseerd) worden verwerkt dienen een aantal metagegevens rondom deze verwerking vastgelegd te worden. Doel van deze vastlegging is het nadien kunnen verantwoorden van verwerkingen van persoonsgegevens aan betrokken burgers en functionarissen die binnengemeentelijk werkzaam zijn op het gebied van de de gegevensbescherming (FG/PO). De metagegevens rondom een verwerking worden vastgelegd in het gemeentelijk Verwerkingenloggingregister. De plek in de gemeentelijke informatiehuishouding van dit register, en de relatie met andere gemeentelijke informatiesystemen is beschreven in een aantal GEMMA architectuurdocumenten:

  • Vastlegging van de verwerking van (persoons)gegevens. Dit document beschrijft de visie van VNG Realisatie ten aanzien van de opslag en ontsluiting van de metagegevens van verwerkingen van gegevens. Ook worden in dit document het Gemeentelijk register van verwerkingsactiviteiten en het Verwerkingenlog in samenhang geschetst. Daarbij zijn verschillende implementatievarianten mogelijk: een centrale inrichting of een federatieve inrichting.
  • Interactiepatronen Verwerkingenloggingregister. Het Verwerkingenloggingregister is verbonden met meerdere componenten in het applicatielandschap van een organisatie. Er zijn verschillende patronen te ontdekken in de interactie tussen het Verwerkingenloggingregister en andere componenten. De verschillende patronen zijn uitgewerkt in views en worden kort beschreven.

API-standaard voor vastlegging van verwerkingen[bewerken]

De Verwerkingenlogging API-standaard is in samenwerking met gemeenten en marktpartijen ontwikkeld voor:

  • het vastleggen van verwerkingen van (persoons)gegevens in het gemeentelijk Verwerkingenloggingregister, en
  • de ontsluiting van die gegevens naar geautoriseerde afnemers is de Verwerkingenlogging API-standaard ontwikkeld.

Deze Verwerkingenlogging API-standaard omschrijft zowel technische specificaties(OAS) als functionele eisen. De standaard dient in gemeentelijke processystemen die persoonsgegevens verwerken ingebouwd te worden. De verschillende interactiepatronen die bij het inbouwen in processystemen gehanteerd kunnen worden zijn beschreven in de GEMMA architectuur rondom het Verwerkingenloggingregister (Interactiepatronen Verwerkingenloggingregister).

De uitwerking van de Verwerkingenlogging API-standaard is gepubliceerd bij de VNG API-standaarden op Github: Verwerkingenlogging API-standaard documentatie.



Deze pagina is het laatst bewerkt op 16 dec 2023 om 20:02.