Katern GEMMA Tactisch Gegevensmanagement
Hoofdstuk: Kaders en principes
- Inleiding
- Gegevensmanagement
- Kaders en principes
- Producten
- Rollen en verantwoordelijkheden
- Gegevenskwaliteit
- Aan de slag
- Agenda
- Bijlage A: Typering van gegevens
- Bijlage B: Voorbeeld GLO
- Bijlage C: Kwaliteit
- Bijlage D: Voorbeeld producten
- Bijlage E: ENSIA
- Bijlage F: Wet- & regelgeving
- Bijlage G: Gegevenssoorten en interoperabiliteit
- Bijlage H: Bijdragen
- Bijlage I: Bronnen
Deze pagina is een onderdeel van Katern GEMMA Tactisch Gegevensmanagement compleet: Hele document bekijken - Exporteren - Definitie
De gegevensmanagement-functie van gemeenten dient zodanig ingericht te zijn dat optimale kwaliteit van dienstverlening aan burger, bedrijf, instelling, andere overheden én afnemers wordt geboden. Dit wordt onder andere bereikt door:
- daar waar het conform wet- en regelgeving is voorgeschreven het principe van eenmalige uitvraag en meervoudig gebruik van gegevens in praktijk te brengen;
- het delen van gegevens tussen basis-, kern- en overige registraties te organiseren;
- bedrijfsprocessen van gegevensbronnen los te koppelen via gegevensservices waardoor een hoge mate van flexibiliteit in het inrichten van bedrijfsprocessen en informatiesystemen mogelijk wordt;
- kwaliteit van de gegevens te verhogen;
- terugmeldingen op alle registraties faciliteren, zowel basisregistraties als overige registraties;
- het verhogen van het inzicht in, en controle op, de levering en het gebruik van gegevens;
- het naleven van vigerende wetgeving op het gebied van beveiliging (baseline toets) en bescherming van de privacy;
- bewustzijn creëren.
Kaderstellende wetgeving
Vanuit vigerende wet- en regelgeving worden veel eisen gesteld aan de manier waarop gemeenten met gegevens omgaan (de zogenaamde gegevensverwerking) en de manier waarop gemeenten over deze verwerkingen verantwoording afleggen aan burgers, bedrijven en bestuur (zie bijlage G). Onderstaand worden de belangrijkste wetten en richtlijnen die gelden ten aanzien van persoonsgegevens toegelicht.
Algemene Verordening gegevensbescherming (AVG)
Binnen een gemeente worden gegevens die betrekking hebben op personen, of herleidbaar zijn tot personen verwerkt. Voor de verwerking van deze gegevens gelden specifieke privacyregels die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) . Deze regels zijn erop gericht de persoonlijke levenssfeer van burgers te beschermen. In de AVG wordt beschreven onder welke voorwaarden de verwerking van persoonsgegevens onder het regime van de wet valt. Daarnaast wordt beschreven welke verplichtingen voor gemeenten gelden bij de verwerking van persoonsgegevens en op welke rechten burgers aanspraak kunnen maken.
Archiefwet
Overheidsorganen hebben zowel met privacywetgeving als de archiefwet te maken. Als algemene privacywet stelt de AVG dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. In bijvoorbeeld de Archiefwet, het Burgerlijk Wetboek of de onderwijs- en belastingwetgeving zijn concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. De Archiefwet stelt regels aan het beheer van archiefbescheiden bij de overheid. Persoonsgegevens maken vaak deel uit van archiefbescheiden zoals documenten, dossiers of bestanden. De Archiefwet en de AVG moeten daarom in onderlinge samenhang bekeken worden. Dit geldt vooral op het punt van de vernietiging van persoonsgegevens en het langer bewaren van persoonsgegevens. De Archiefwet kent geen algemene bewaartermijn, maar schrijft voor dat elk overheidsorgaan over een selectielijst moet beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven.
Sectorale wetgeving
In de Wet SUWI, de Wet Werk en Bijstand (WWB), de Wet eenmalige gegevensuitvraag Werk en Inkomen en andere aanverwante wet- en regelgeving zijn de verantwoordelijkheden opgenomen van de partijen die onderdeel uitmaken van de Suwi-keten. In deze wetten is geregeld welke gegevens volgens welke doelbinding onderling uitgewisseld mogen worden. Op de gebieden waar deze wetten niet in voorzien is de AVG van toepassing. De wettelijke gronden voor de gegevensuitwisseling zijn beschreven in de Wet structuur uitvoeringsorganisatie werk en inkomen, de Wet werk en bijstand, en de regelgeving die daarop is gebaseerd, met name hoofdstuk 5, gegevensverwerkingen en gegevensverstrekking, van het Besluit SUWI. Via Suwinet (Suwinet-Inkijk en Suwinet-Inlezen) vragen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar op. Binnen een paar seconden heb je een digitaal klantdossier op maat. Dat is erg handig voor de dienstverlening, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen erop dat hun privacy beschermd wordt en dat er alles aan gedaan wordt om misbruik te voorkomen. In het Suwinet Normenkader zijn essentiële beveiligingsnormen opgenomen waar bij gebruik van Suwinet minimaal invulling aan gegeven moet worden. Deze normen gelden niet alleen voor Suwinet maar komen ook terug bij andere Normenkaders, zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
Informatiebeveiliging
Gemeenten hebben de verplichting om de betrouwbaarheid van de informatievoorziening en de informatieveiligheid binnen de gemeente te borgen. Door de Informatiebeveiligingsdienst voor gemeenten (IBD) is hiertoe een baseline informatiebeveiliging voor de gemeentelijke markt ontwikkeld. Met deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) hebben bestuur en management een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd. Gemeenten hanteren sinds 2013 de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, de waterschappen en provincies hanteren hun eigen respectievelijke normen, de BIR, BIWA en IBI. Deze zijn nu samen met de BIG gebundeld in de Baseline Informatiebeveiliging Overheid (BIO). De nieuwe baseline wordt het nieuwe normenkader voor alle overheden. De BIO is een doorontwikkeling, ofwel een ‘update’, van de nu bestaande BIG. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op deze BIG. De werkzaamheden die voor de BIG zijn verricht zijn al grotendeels in lijn met de BIO. De BIO wordt op 1 januari 2020 van kracht. In 2019 kunnen gemeenten zich voorbereiden op de overgang van de BIG naar de BIO. De informatiebeveiligingsdienst (IBD) ondersteunt gemeenten daarbij met producten en regionale bijeenkomsten. De verantwoordingssystematiek ENSIA zal ook worden bijgewerkt naar de BIO.
Basisprincipes
Ten aanzien van het gegevensmanagement zijn de volgende basisprincipes benoemd:
- GM-BP1 - Gegevens zijn een bedrijfsmiddel en hebben waarde;
- GM-BP2 - Gegevens worden gedeeld;
- GM-BP3 - Gegevens worden conform wet- en regelgeving verwerkt.
Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht.
GM-BP1: Gegevens zijn een bedrijfsmiddel en hebben waarde
Gegevens zijn de basis voor informatie en daarmee de basis van kennis waarop besluiten worden genomen. De gegevens zijn daarmee een belangrijk bedrijfsmiddel en worden ook zo behandeld.
Rationale | Implicaties |
---|---|
|
|
GM-BP2: Gegevens worden gedeeld
De gemeente is eigenaar of afnemer van gegevens en niet een afdeling of cluster. Gegevens worden door de gemeente zo breed mogelijk gedeeld. Daar waar mogelijk en toegestaan als open data, en daar waar dat door wetgeving en bedrijfsmatige of ethische afwegingen niet kan zo breed mogelijk binnen de overheid en gemeente.
Rationale | Implicaties |
---|---|
|
|
GM-BP3: Gegevens worden conform wet- en regelgeving verwerkt
Het doel waarvoor gegevens gebruikt mogen worden is vastgelegd in wet- en regelgeving. We verwerken gegevens conform deze wet en regelgeving.
Rationale | Implicaties |
---|---|
|
|
Afgeleide principes
Van de basisprincipes is een aantal principes afgeleid. Deze afgeleide principes geven een nadere detaillering van de basisprincipes en leveren een bijdrage aan de implementatie van één of meer van de basisprincipes. De onderstaande afgeleide principes zijn benoemd:
- GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig;
- GM-AP2: We beheren de kwaliteit van gegevens actief;
- GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens;
- GM-AP4: We melden gerede twijfel aan de bronhouder terug;
- GM-AP5: We verantwoorden de verwerking van persoonsgegevens;
- GM-AP6: We hanteren uniforme definities voor gegevens;
- GM-AP7: We borgen de duurzame toegankelijkheid van gegevens daar waar dat vereist is;
- GM-AP8: We kennen de waarde van gegevens en de positie van deze gegevens in het informatievoorzieningsproces en dit dragen we ook uit.
Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht. Per principe is aangegeven of, en welke, relatie er ligt met de principes van de NORA. Indien een relatie gelegd is, is het principe een gemeentelijke implementatie van het NORA principe.
GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig
Stelling | |
---|---|
Onze gemeente voert de processen zodanig uit dat burgers en ondernemingen niet naar (basis)gegevens worden gevraagd die al bekend zijn binnen de vastgestelde basisregistraties | |
Implicaties | |
* Verstrekking van gegevens aan afnemers enkel indien de afnemer doelbinding heeft en voldaan is aan de beginselen van subsidiariteit en proportionaliteit;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP2: We beheren de kwaliteit van gegevens actief
Stelling | |
---|---|
De kwaliteit van de gegevens die worden verwerkt binnen de gemeente wordt actief gemonitord en continu verbeterd en op een niveau gehouden wat in overeenstemming is met de eisen die daar vanuit de wetgeving en de afnemers aan gesteld worden. | |
Implicaties | |
* Processen die het kwaliteitsbeheer borgen zijn ingericht;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens
Stelling | |
---|---|
Gegevens die binnen de gemeentelijke organisatie worden gegevens verwerkt worden, worden conform de overeengekomen kaders beschikbaar gesteld en beveiligd tegen ongeautoriseerde toegang, frauduleus gebruik of mutatie en gegevensverlies. De gemeente zorgt ervoor dat afnemers van vertrouwelijke gegevens enkel de gegevens verstrekt krijgen waar ze conform hun doelbinding recht op hebben. | |
Implicaties | |
* Voldoen aan wet- en regelgeving;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP4: We melden gerede twijfel aan de bronhouder terug
Stelling | |
---|---|
De gemeente zorgt ervoor dat de vermeende onjuistheden in gegevens aan de bronhouder gemeld worden. De gemeente verplicht alle afnemers bij gerede twijfel aan de juistheid van gegevens dit terug te melden aan de bronhouder. | |
Implicaties | |
* Vanuit het oogpunt van het continu werken aan het verbeteren van de kwaliteit van gegevens worden vermeende onjuistheden terug gemeld op alle registraties;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP5: We verantwoorden de verwerking van persoonsgegevens
Stelling | |
---|---|
De gemeente is transparant ten aanzien van de verwerking (verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken en verspreiden) van persoonsgegevens teneinde met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de wettelijk gestelde eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. | |
Implicaties | |
* Vanuit de informatiebeveiliging worden eisen gesteld aan de integriteit en vertrouwelijkheid van gegevens;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP6: We hanteren uniforme definities voor gegevens
Stelling | |
---|---|
Om het delen en hergebruiken van gegevens mogelijk te maken worden voor zowel gestructureerde- als ongestructureerde gegevens uniforme definities gebruikt. | |
Implicaties | |
* Voor maximale interoperabiliteit is het van belang dat structuur en syntax gestandaardiseerd zijn;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP7: We borgen de duurzame toegankelijkheid van gegevens daar waar dat vereist is
Stelling | |
---|---|
Gegevens worden conform de geldende bewaar- en vernietigingstermijnen uit de vigerende wet- en regelgeving behandeld. Zowel gestructureerde als ongestructureerde gegevens worden duurzaam toegankelijk gehouden. | |
Implicaties | |
* Voldoen aan wet- en regelgeving;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
- |
GM-AP8: We kennen de waarde van gegevens en de positie van deze gegevens in het informatievoorzieningsproces en dragen dit ook uit
Stelling | |
---|---|
Gegevens hebben waarde en worden als een waardevol bedrijfsmiddel behandeld. Net als alle andere bedrijfsmiddelen, moeten ook gegevens worden bijgehouden en onderhouden. Ook moet voor iedereen in de organisatie duidelijk zijn welke gegevens beschikbaar zijn, waar deze voor gebruikt (kunnen) worden en wat de gevoeligheid van de gegevens is. | |
Implicaties | |
* Classificeren van gegevens;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |