Informatiebeveiliging en Privacy binnen de Omgevingswet

De invoering van de omgevingswet brengt grote veranderingen met zich mee voor gemeenten. Bij deze verandering dient ook rekening gehouden te worden met Informatiebeveiliging en gegevensbescherming/privacy. De huidige Baseline Informatiebeveiliging Overheid (BIO) 1.04 geldt voor de 4 overheidslagen rijk, provincies, waterschappen en gemeenten. De BIO is hét normenkader om aan te voldoen en om daarmee de gegevens binnen processen passend te beschermen op het gebied van organisatorische en technische maatregelen. De BIO ondersteunt daarmee ook privacy, omdat typische privacy maatregelen niet kunnen werken als ook organisatorisch en technisch alles op orde is.

De BIO is terug te vinden op de website van de Informatiebeveiligingsdienst (IBD) van de VNG samen met ondersteuningsproducten voor het inrichten van specifieke informatiebeveiligingsmaatregelen.

Naast de beveiliging van de systemen die worden gebruikt om de Omgevingswet uit te voeren, is het ook van belang dat de persoonsgegevens die worden gebruikt voor de uitvoering van de Omgevingswet voldoende worden beveiligd.

Hieronder wordt op de meest gestelde vragen antwoord gegeven. Mocht uw vraag er niet bij staan kunt u deze via onderstaande button indienen.


FAQ privacy en security Omgevingswet[bewerken]

Moeten gemeenten een Data Privacy Impact Assessment doen op de Omgevingswet?[bewerken]

Algemeen kan gezegd worden dat gemeenten geen DPIA hoeven uit te voeren waar het gaat om de generieke aspecten uit de omgevingswet. Daar waar gemeenten zelf specifieke zaken hebben ingevoerd, kunnen zij het pré-DPIA sjabloon van de IBD/VNG gebruiken om te bepalen of er alsnog een DPIA moet komen.

Mag/moet een vergunningaanvraag het BSN van de aanvrager bevatten?[bewerken]

Ja, de Wet algemene bepalingen burgerservicenummer (Wabb) biedt de rechtsgrondslag voor de verwerking van het BSN door overheidsorganen in het kader van de uitvoering van hun taak. Voor de Omgevingswet heeft de autoriteit persoonsgegevens (AP) aangegeven dat er in de basis een grondslag in de wet is, mits het echt tot een aanvraag komt.

Met welke partijen moeten gemeenten in het kader van de Omgevingswet verwerkersovereenkomsten afsluiten?[bewerken]

Gemeenten hebben op grond van de Omgevingswet en het Omgevingsbesluit een duidelijke taak op grond van de Omgevingswet. Dat betekent dat gemeenten voor wat betreft de verwerking van persoonsgegevens ter uitvoering van de wet en het besluit een verwerkingsverantwoordelijke zijn.

De gemeente moet afspraken maken met een organisatie die een gemeentelijke taak uitvoert en daarbij persoonsgegevens verwerkt, een verwerker.

Een IT-leverancier kan een verwerker zijn, als deze bij de uitvoering van de gemeentelijke taak persoonsgegevens verwerkt.

Wat is de privacypositie van een omgevingsdienst?[bewerken]

Als een gemeente haar taken in mandaat overdraagt aan een omgevingsdienst, blijft de gemeente verantwoordelijk voor de uitvoering van de taak zoals opgelegd aan de gemeente in de Omgevingswet en het Omgevingsbesluit. De omgevingsdienst neemt namelijk beslissingen in naam van de opdrachtverlenende gemeente. De omgevingsdienst is dan een verwerker t.a.v. de verwerking van persoonsgegevens die voortvloeien uit de opdrachtverlening.

Als een gemeente haar taken in delegatie overdraagt aan een omgevingsdienst, gaat de omgevingsdienst op eigen titel beslissen. De omgevingsdienst is dan een verwerkingsverantwoordelijke t.a.v. de verwerking van persoonsgegevens die voortvloeien uit de opdrachtverlening.

Hoe gaan we om met bewaartermijnen binnen de Omgevingswet?[bewerken]

De AVG geeft alleen algemene regels met betrekking tot bewaartermijnen. In het kader van de basisbeginselen van dataminimalisatie en doelbinding is het namelijk slechts toegestaan de persoonsgegevens te bewaren zolang en voor daartoe een noodzaak bestaat. In het voorbeeld van een vergunningsaanvraag betekent dit dat persoonsgegevens in ieder geval niet verwijderd hoeven te worden gedurende de looptijd van de vergunning, aangezien deze immers noodzakelijk zijn voor het afhandelen van de aanvraag. Wat betreft bewaartermijnen zullen gemeenten voor de omgevingswet zich primair moeten houden aan wat in de Selectielijst gemeenten en intergemeentelijke organen 2020 bepaald is ten aanzien van bewaartermijnen. Daar waar de selectielijst geen uitsluitsel geeft over de bewaartermijn van een bepaald document zal er een beoordeling moeten plaatsvinden op basis van de basisbeginselen van de AVG. Naast het vaststellen van bewaartermijnen moeten gemeenten ook borgen dat deze bewaartermijnen in de systemen afgedwongen kunnen worden.

Wat is de verhouding met de Wet digitale overheid en het daaronder hangende besluit?[bewerken]

De Wet digitale overheid is, net als de AVG van toepassing op het DSO.

Welke invloed gaat de Wet digitale overheid op de systemen rond de Omgevingswet hebben?[bewerken]

De Wet Digitale Overheid regelt de wijze waarop burgers en bedrijven elektronisch hun zaken kunnen doen met de overheid. Van dienstverlening in de zin van deze wet is zowel sprake als een uitkering wordt aangevraagd of verstrekt of aangifte van een geboorte of overlijden wordt gedaan, als bij de aangifte voor de belasting, of de aanvraag voor een bijzondere vergunning, et cetera. De wet bevat regels om de bescherming van de persoonlijke levenssfeer te waarborgen. Zo stel de wet eisen aan de verwerking, beveiliging en betrouwbaarheid van persoonsgegevens. Deze eisen, waarin privacybeginselen zijn vervat, zullen, in toenemende mate, in de identificatiemiddelen, private en publieke voorzieningen en bijbehorende interne systemen en werkprocessen worden meegenomen. Bij nieuwe ontwerpen dient ook privacy-by-design te worden gerealiseerd. De volgende beginselen komen daarin naar voren[1]:

  1. Dataminimalisatie. Elke partij verwerkt voor het verlenen van toegang slechts die persoonsgegevens die nodig zijn voor de taak die hij uitvoert.
  2. Het zoveel mogelijk vermijden van grote concentraties van persoonsgegevens (hotspots). De uitvoeringsregelgeving en het functioneel ontwerp dient zodanig te worden ingericht, dat het niet nodig of mogelijk is om identificatie en vertrouwelijke informatie bij één adressant te beleggen.
  3. Het gebruik van privacy enhancing technologies. De bescherming van persoonsgegevens wordt in (uitvoerings)regelgeving voorgeschreven en waar mogelijk systeemtechnisch afgedwongen. Het feitelijk onherleidbaar maken van gegevens tot personen is een adequatere waarborg dan vertrouwen op procedurele afspraken.
  4. Incident impact beperking. Alhoewel er met (uitvoerings)regelgeving en (technische) maatregelen naar wordt gestreefd om beveiligingsincidenten en misbruik zoveel mogelijk te voorkomen, zijn deze niet geheel uit te sluiten. Er wordt daarom in maatregelen voorzien waardoor de impact van een eventueel beveiligingsincident beperkt blijft en het adequaat kan worden afgehandeld.

Hoe dient omgegaan te worden met bijlagen, bij een aanvraag omgevingsvergunning, die persoonsgegevens bevatten?[bewerken]

Bij aanvragen omgevingsvergunningen kunnen aanvragers op het papieren formulier, al dan niet via het omgevingsloket aangeven of hun naam, adres, woonplaats gegevens en bouwkosten openbaar gemaakt mogen worden. Geeft de aanvrager aan dit niet te willen, dan heeft de aanvrager in beginsel zelf ook een verantwoordelijkheid in de zin dat niet alle bijlagen, zoals tekeningen of rapporten, die worden ge-upload voorzien zijn van deze persoonsgegevens. In de praktijk blijkt dat deze bijlagen vaak toch nog naam, adres en woonplaats gegevens bevatten. Wat kan een gemeente doen om het publiceren van deze persoonsgegevens te voorkomen, zonder alle bijlagen die ter inzage liggen handmatig te anonimiseren en/of digitaliseren? De indiener kan hiervoor gewaarschuwd worden bij het uploaden van de documenten. De beheerder zou hiertoe gebruikersvoorwaarden op kunnen stellen. In het kader van de wijziging van de Bekendmakingswet worden een aantal opties bekeken, waaronder:

  • investeren in communicatie;
  • toetsen bij professionele partijen zoals aannemers/architecten of op vrijwillige basis persoonsgegevens kunnen worden weggelaten op door hun op te stellen documenten;
  • een juridische basis voor het verplicht overleggen van een geanonimiseerde versie van de stukken.

Bestuursorgaan blijft evenwel eindverantwoordelijk voor toets aan artikel 5.1 Wet open overheid.

Deze pagina is voor het laatst bewerkt op 10 dec 2024 om 09:03.