Scriptie - vurore.nl · 4 3.2.2.3Overige gevolgen 25 3.3 Algemene verordening gegevensbescherming...
Transcript of Scriptie - vurore.nl · 4 3.2.2.3Overige gevolgen 25 3.3 Algemene verordening gegevensbescherming...
Scriptie Privacy borging bij uitvoering decentralisaties gemeenten Door: Dani Taboada Parga
Scriptienr. 2049
Versie: 2.0
1 mei 2015
1
Voorwoord Privacy, een breed begrip dat sinds jaar en dag bekend staat als ‘het recht om alleen gelaten te worden’,
‘het recht om controle te houden over eigen gegevens’ of ‘de mogelijkheid om in eigen omgeving
helemaal zichzelf te zijn’. De media schrijft vrijwel dagelijks over onderwerpen die betrekking hebben op
privacy. Niet zo vreemd gezien de recente ontwikkelingen; van incidenten waaruit blijkt dat
persoonsgegevens bij bedrijven zijn ontvreemd tot aan wijzigende wet- en regelgeving, zoals in
Nederland de aanstaande ‘Meldplicht datalekken’.
Ook in de wereld van audit en compliance neemt de aandacht voor privacy toe. Het is een divers
onderwerp, het omvat wetgevende elementen, is tastbaar en vraagt om zorgvuldige beheersing. Dit zijn
de elementen die privacy mijns inziens interessant maken. De keuze voor een onderzoek op gebied van
privacy was dan al snel gemaakt.
Een andere recente ontwikkeling is de overheveling van overheidstaken in het Sociaal Domein naar
gemeenten. Dit wordt ook wel omschreven als de decentralisaties op het terrein van ondersteuning,
participatie en jeugd. Wat dit precies inhoudt wordt verderop in mijn scriptie toegelicht. Wel kan alvast
gedeeld worden dat deze verschuiving in taken consequenties heeft voor de wijze waarop met privacy
wordt omgegaan.
De combinatie van enerzijds privacy en anderzijds het Sociaal Domein (hierna te noemen:
decentralisaties) heeft mij doen besluiten een onderzoek uit te voeren naar privacy borging bij de
uitvoering van gemeentelijke taken in het kader van de decentralisaties. Ik heb een toetsingskader
ontwikkeld waarmee inzichtelijk kan worden gemaakt in hoeverre gemeenten de privacy wetgeving
volgen bij uitvoering van haar gemeentelijke taken.
Het onderzoek is uitgevoerd als onderdeel van mijn afstuderen aan de IT Auditing, Compliance &
Advisory opleiding van de VU Universiteit Amsterdam. Mijn dank gaat uit naar de onderstaande
personen, zij hebben het onderzoek mogelijk gemaakt door er aan mee te werken en door mij te
begeleiden en de juiste richting op te sturen:
- Ad Buckens RE CISM, Executive Director, Information Security Services, EY Advisory
- Paul Harmzen, begeleider vanuit het VU Universiteit Amsterdam
- Robert-Jan Taling van gemeente Amsterdam
- Max-Egter van Wissekerke van gemeente Rotterdam
- Jolanda Geerlings en Maaike Lighthart van gemeente Schagen
Geschreven door:
Dani Taboada Parga, Sr. Advisory, Information Security Services, EY Advisory
T: +31621251446
2
Management samenvatting Het begrip privacy haalt steeds vaker negatief het nieuws. In het kader van dit onderzoek bedoel ik met
privacy het beschermen van persoonsgegevens van burgers. Persoonsgegevens worden steeds
belangrijker, de burger wordt zich steeds bewuster van zijn of haar recht op privacy ten aanzien van
persoonsgegevens. Anderzijds wil de publieke sector, en zodoende ook gemeenten, steeds meer
digitaliseren. Men praat over de gemeente van de toekomst en digitale veiligheid. In een wereld waarin
data grote vormen aanneemt lijkt er geen ontkomen meer aan, ook persoonsgegevens van burgers
zullen in toenemende mate worden verwerkt. De recente ontwikkelingen binnen het Sociaal Domein zijn
daar een uitstekend voorbeeld van.
De overheveling van taken van het Rijk naar gemeenten is mede ingezet vanuit de gedachte dat
gemeenten dichter bij de burgers staan. Een gedachtegang die prima te volgen is. Eén gezin, één plan,
één regisseur, dat is het idee van de overheid. Bekeken vanuit de privacy bril vereist dat echter nogal
wat. De Nederlandse privacy wet, de Wet bescherming persoonsgegevens (Wbp), eist dat goed wordt
nagedacht over de rechtmatigheid van een verwerking alvorens deze verwerking wordt uitgevoerd.
Enkel in bepaalde omstandigheden is het niet nodig aan bepaalde eisen uit de Wbp te voldoen. Om
persoonsgegevens van burgers te verwerken dient een organisatie/instelling aan strikte eisen te
voldoen. In dit onderzoek is in kaart gebracht aan welke eisen gemeenten dienen te voldoen wanneer zij
persoonsgegevens wensen te verwerken in het kader van de decentralisaties.
Om deze eisen inzichtelijk te krijgen is de definitie van privacy voor dit onderzoek vastgesteld.
Vervolgens zijn ook de wettelijke kaders (de Wbp en de algemene verordening gegevensbescherming)
inzichtelijk gemaakt en zijn de eisen die relevant zijn in het kader van de decentralisaties
geïdentificeerd. Ook is in kaart gebracht wat de ontwikkelingen in het Sociaal Domein, genaamd de
decentralisaties, inhouden en hoe dit zich verhoudt tot privacy. De geïdentificeerde eisen uit de
wettelijke kaders zijn vertaald naar normen welke in een toetsingskader zijn opgenomen. De effectiviteit
van het toetsingskader is vervolgens in de praktijk getoetst bij drie gemeenten. De gehanteerde criteria
hierbij waren de relevantie, volledigheid, juistheid en toepasbaarheid van de opgenomen normen.
Daarnaast is ook het scoringsmodel beoordeeld.
Op basis van de resultaten uit het praktijkonderzoek kan geconcludeerd worden dat het toetsingskader
effectief werkt. Verbetermogelijkheden zijn desondanks wel geïdentificeerd maar hebben niet een
dusdanig impact dat dit de werking van het kader nadelig beïnvloed. De details zijn terug te vinden in
het rapport.
Het opgestelde toetsingskader kan derhalve gemeenten helpen inzicht te krijgen in de privacy
voorwaarden en in de mate waarin zij aan deze voorwaarden voldoen. Het kan ondersteuning bieden bij
het in kaart brengen van de voor de gemeente belangrijkste aandachtsgebieden. Hiermee kan gesteld
worden dat de doelstelling van dit onderzoek, het ontwikkelen van een toetsingskader waarmee
onderzocht kan worden in hoeverre gemeenten in staat zijn de privacy te borgen bij de uitvoering van
de gemeentelijke taken in het kader van de decentralisaties, behaald is.
3
Inhoudsopgave
Voorwoord 1
Management samenvatting 2
Inhoudsopgave 3
1 Inleiding 6 1.1 Aanleiding 6 1.2 Problematiek 7 1.3 Centrale vraag 7 1.3.1 Hoofdvraag 7 1.3.2 Deelvraag 7 1.4 Doelstelling 8 1.5 Scope 8
2 Onderzoeksmethode 10 2.1 Verkennend onderzoek 10 2.2 Aanpak 10 2.2.1 Plan 11 2.2.2 Design 11 2.2.3 Prepare 11 2.2.4 Collect 11 2.2.5 Analyze 11 2.2.6 Share 11 2.3 Conceptualisatie 11
3 Theoretisch kader 13 3.1 Privacy 14 3.1.1 De geschiedenis van het woord privacy, in vogelvlucht 14 3.1.2 Privacy in Europa 15 3.1.3 De Nederlandse Grondwet 16 3.1.4 Definitie van privacy 16 3.2 Wet bescherming persoonsgegevens (Wbp) 16 3.2.1 Wettelijke eisen uit de Wbp 17 3.2.1.1 Wettelijke toepassing 19 3.2.1.2 Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens 20 3.2.1.3 Meldplicht 22 3.2.1.4 Vrijstellingsbesluit 23 3.2.1.5 Voorafgaand onderzoek 23 3.2.1.6 Transparantie 23 3.2.1.7 Rechten van de betrokkene 23 3.2.1.8 Uitzonderingen & beperkingen 24 3.2.2 Gevolgen van het niet voldoen aan de Wbp. 24 3.2.2.1 Bestuurlijke sancties 24 3.2.2.2 Strafrechtelijke sancties 25
4
3.2.2.3 Overige gevolgen 25 3.3 Algemene verordening gegevensbescherming 25 3.3.1 Verschillen met de Wbp 26 3.3.1.1 Meldplicht datalekken 26 3.3.1.2 Gegevensoverdraagbaarheid 27 3.3.1.3 Privacy by design 27 3.3.1.4 Privacy by default 27 3.3.1.5 Privacybeleid 27 3.3.1.6 Functionaris voor de Gegevensbescherming (FG) 27 3.3.2 Gevolgen van het niet voldoen aan de algemene verordening gegevensbescherming 28 3.4 Decentralisaties in het kader van het Sociaal Domein 28 3.4.1 Achtergrond 29 3.4.2 Taken in het kader van de decentralisaties 29 3.4.2.1 Wmo (Wet maatschappelijke ondersteuning) 30 3.4.2.2 Participatiewet 30 3.4.2.3 Jeugdzorg 30 3.4.3 Privacy en de decentralisaties 31
4 Toetsingskader 32 4.1 Scope, reikwijdte en beperkingen 33 4.2 Totstandkoming 33 4.2.1 Analyse wettelijke eisen Wbp en algemene verordening gegevensbescherming 33 4.2.2 Organisatorische- en verwerkingsmaatregelen 34 4.2.2.1 Organisatorische maatregelen 35 4.2.2.2 Verwerkingsmaatregelen 35 4.2.3 Scoringsmodel 35 4.2.4 Aangepast scoringsmodel op basis van eerste interview 37
5 Praktijkonderzoek 39 5.1 Interviews 39 5.2 Bevindingen werking toetsingskader 40 5.2.1 Relevantie 40 5.2.2 Volledigheid 40 5.2.3 Juistheid 41 5.2.4 Toepasbaarheid 41 5.2.5 Scoringsmodel 41
6 Conclusies 43 6.1 Algemene conclusies toetsingskader 45 6.2 Eindconclusie 48
7 Aanvullend onderzoek 49 7.1 Wet- en regelgeving 49 7.2 Expertise en ervaring van de auditor/adviseur 49 7.3 Privacy audit 49
Bronnen 50
5
BIJLAGEN 52
1 Wettelijk kader Wet bescherming persoonsgegevens 53
2 Wettelijk kader algemene verordening gegevensbescherming 54
3 Uitgewerkt toetsingskader 55
6
1 Inleiding In dit hoofdstuk ga ik in op het belang van privacy bij de uitvoering van de gemeentelijke taken in het
kader van de decentralisaties, de aanleiding voor mijn onderzoek. Vervolgens schets ik de problematiek
in dit kader, de doelstelling van het onderzoek en de hoofd- en deelvragen die tijdens het onderzoek
beantwoord worden.
1.1 Aanleiding Op 13 februari 2013 heeft minister Plasterk een kamerbrief uitgebracht waarin de minister de aanpak
tot meer samenhang tussen de voorgenomen decentralisaties op het terrein van ondersteuning,
participatie en jeugd toelicht. In de kamerbrief staat het volgende uitgangspunt opgenomen: “Het
uitgangspunt van het kabinet is dat de zelfredzaamheid van de burger maximaal dient te worden
gefaciliteerd en gestimuleerd. Goede ondersteuning en -nog belangrijker -goede gezondheid en actieve
deelname aan de maatschappij zijn namelijk niet alleen een zaak van de overheid. Burgers zijn samen
met hun netwerk in de eerste plaats zelf verantwoordelijk. Desalniettemin moeten mensen die het echt
nodig hebben, kunnen blijven rekenen op de ondersteuning door de overheid. Ondersteuning die aansluit
bij de behoefte van burgers en aansluit bij hun mogelijkheden. Gemeenten kunnen op deze manier beter
inspelen op de behoefte van burgers”.
In dezelfde kamerbrief van minister Plasterk wordt ook aangegeven dat:
• maatwerk nodig is bij de ondersteuning van burgers en onnodige bureaucratie vermeden kan worden
door het organiseren van de dienstverlening dichter bij de burger plaats te laten vinden;
• de individuele ondersteuningsbehoefte van de burger centraal dient te staan;
• één persoon de burger namens de gemeente dient te ondersteunen en begeleiden;
• de stijgende kosten in de zorg door de decentralisaties verminderd kunnen worden.
Op respectievelijk 17 oktober 2013, 11 februari 2014 en 8 juli 2014 zijn de Jeugdwet, Participatiewet
en Wet maatschappelijke ondersteuning (Wmo) aangenomen. Deze drie wetten vormen de kern binnen
de decentralisaties, de uitvoering en verantwoordelijkheid wordt veelal belegd bij gemeenten. Op 1
januari 2015 is de overheveling van taken van het Rijk naar gemeenten gerealiseerd. Gemeenten zijn
verantwoordelijk geworden voor de uitvoering van taken op het gebied van Wmo, participatie en
jeugdzorg. Deze verantwoordelijkheid eist meer van de gemeente. De gemeente zal in staat moeten zijn:
• maatwerk te leveren bij de ondersteuning van burgers;
• burgers aan één contactpersoon te koppelen welke vervolgens de burger namens de gemeente
ondersteunt en begeleidt;
• gebruik te maken van gedeelde informatievoorzieningen/-systemen om de stijgende kosten in de zorg
te reduceren.
De overheveling van taken naar gemeenten gaat gepaard met veranderende verantwoordelijkheid,
veranderende eisen aan de gemeentelijke organisatie en veranderende beheersing van informatie en
informatievoorzieningen, elementen die impact hebben op de privacy van de burger. In diverse gevallen
is de gemeente de aangewezen organisatie die de persoonsgegevens van de burger verzameld, hetzij
direct via de burger of via ketenpartijen. De overheid, maar ook enig andere instantie die
persoonsgegevens in Nederland verwerkt, dient deze persoonsgegevens conform de in Nederland
geldende wet- en regelgeving te verwerken.
7
Óók op Europees niveau gaat er aandacht uit naar het beschermen van de privacy van burgers. De in
1995 vastgestelde Data Bescherming richtlijn (95/46/EG) zal op korte termijn vervangen gaan worden
door een verordening, de algemene verordening gegevensbescherming. Dit zal de nodige wijzigingen
bewerkstelligen, zo zal de Nederlandse privacy wetgeving, de Wet bescherming persoonsgegevens
(hierna: Wbp), komen te vervallen. Ook in Nederland zijn er ontwikkelingen gaande op het gebied van
privacy wetgeving. Een voorbeeld daarvan is de meldplicht datalekken welke zich op moment van
schrijven in het stadium van ‘schriftelijke voorbereiding’ bevindt en door de Tweede Kamer op 10
februari 2015 is aangenomen.
De recente ontwikkelingen, zowel op gebied van wetgeving als op het gebied van de uitvoering van
gemeentelijke taken in het kader van de decentralisaties dragen bij aan de aandacht die het onderwerp
privacy in dit verband krijgt. De resultaten van de scriptie hebben een maatschappelijk belang en
kunnen gebruikt worden om het bewustzijn ten aanzien van privacy te vergroten, de beveiliging te
verbeteren en het vertrouwen van burgers te behouden.
1.2 Problematiek In de vorige paragraaf hebben wij inzicht verworven in de relevante wetgeving, de actualiteiten en in
welk kader privacy ten opzichte van de decentralisaties relevant is. Recente ontwikkelingen in de
publieke sector, betrekking hebbende op privacy, wijzen uit dat niet alle gemeenten in staat zijn de
privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties. De
toezichthoudende organisatie in Nederland, het College Bescherming Persoonsgegevens (CBP), heeft
meerdere malen haar zorgen geuit over de borging van privacy bij de decentralisaties.
Ook andere instanties hebben (indirect) hun zorgen geuit. Zo heeft de Inspectie SZW een onderzoek
uitgevoerd onder 80 gemeenten. Hieruit is gebleken dat slechts 4% van de gemeenten voldoende
maatregelen hebben getroffen om de vertrouwelijkheid van via Suwinet uitgewisselde gegevens te
waarborgen. Suwinet is een informatiesysteem dat in het kader van de Wet Structuur
Uitvoeringsorganisatie Werk & Inkomen (Wet SUWI) wordt gebruikt door gemeenten en instanties als
UWV en de Sociale Verzekeringsbank. Suwinet wordt zodoende ook binnen de decentralisaties gebruikt.
Om burgers passende ondersteuning en begeleiding te kunnen bieden is tijdige, accurate informatie
noodzakelijk. Informatie zal dan ook in toenemende mate tussen gemeenten, maar ook tussen de
gemeente en ketenpartijen (zoals bijvoorbeeld UWV), worden gedeeld. De vraag werpt zich op of
gemeenten in staat zijn passende ondersteuning en begeleiding te bieden binnen de daarbij geldende
beperkingen/kaders van de Wbp en de aanstaande algemene verordening gegevensbescherming.
1.3 Centrale vraag
1.3.1 Hoofdvraag
De hoofdvraag van de scriptie luidt: Aan welke privacy voorwaarden dienen gemeenten te voldoen bij de
uitvoering van de gemeentelijke taken in het kader van de decentralisaties?
1.3.2 Deelvraag
Om tot een antwoord op de bovenstaande vraag te komen zijn de volgende deelvragen gedefinieerd:
• Wat is privacy?
• Wat is de Wet bescherming persoonsgegevens?
8
• Aan welke eisen uit de Wet bescherming persoonsgegevens dient een gemeente te voldoen bij de
uitvoering van haar gemeentelijke taken in het kader van de decentralisaties?
• Welke gevolgen kan het niet voldoen aan de Wet bescherming persoonsgegevens hebben voor
gemeenten?
• Wat is de algemene verordening gegevensbescherming?
• Wat zijn de verschillende tussen de Wet bescherming persoonsgegevens en de algemene verordening
gegevensbescherming?
• Wat zijn de decentralisaties in het kader van het Sociaal Domein?
• Wat wordt de scope en reikwijdte van het toetsingskader?
• Welke beperkingen zal het praktijkonderzoek kennen?
1.4 Doelstelling De doelstelling van deze scriptie is het ontwikkelen van een toetsingskader waarmee onderzocht kan
worden in hoeverre gemeenten in staat zijn de privacy te borgen bij de uitvoering van de gemeentelijke
taken in het kader van de decentralisaties. Het is derhalve van belang inzicht te hebben in de relevante
wet- en regelgeving als de Wbp en de aanstaande algemene verordening gegevensbescherming. Op
basis van beide wetten zal in kaart worden gebracht aan welke eisen gemeenten dienen te voldoen bij
de uitvoering van de decentralisaties. Deze geïdentificeerde eisen zullen in een toetsingskader worden
opgenomen en het toetsingskader zal bij drie gemeenten worden toegepast. Door het toetsingskader in
de praktijk te toetsen wordt de bruikbaarheid van het kader in kaart gebracht, eventuele aspecten die
tot verbetering van het kader kunnen leiden worden geïdentificeerd.
1.5 Scope Om het onderzoek beheersbaar te houden is gekozen de scope te beperken tot de Wbp en de aanstaande
algemene verordening gegevensbescherming. Hierbij is per wetgeving gekeken naar relevantie van de
eisen. Eisen ten aanzien van het buiten de EU delen van gegevens zijn bijvoorbeeld bewust buiten scope
gelaten. De analyse van deze wetgevingen wordt vertaald in het toetsingskader. Het toetsingskader zal
derhalve uit een combinatie van normen bestaan die zijn afgeleid van de Wbp en van de algemene
verordening gegevensbescherming. Het onderzoek is in vijf fasen verdeeld:
Fase 1: Theoretisch kader
Het startpunt van het onderzoek is:
a) vaststellen wat privacy is;
b) vaststellen wat de Wbp inhoudt en welke eisen hierin staan vastgelegd;
c) vaststellen wat de algemene verordening gegevensbescherming inhoudt en welke aanvullende
eisen ten opzichte van de Wbp gesteld worden;
d) vaststellen wat de decentralisaties inhouden.
Fase 2: Toetsingskader voortkomend uit het theoretisch kader
De resultaten uit het theoretisch kader worden geanalyseerd en tot een toetsingskader ontwikkeld.
Fase 3: Praktijkonderzoek
De werking van het toetsingskader wordt vastgesteld door deze in de praktijk bij gemeenten toe te
passen. Er is gekozen het kader bij drie gemeenten toe te passen door middel van interviews. De
9
resultaten uit de interviews leiden tot bevindingen welke tot conclusie kunnen hebben dat het
toetsingskader dient te worden aangepast.
Fase 4: Conclusies
In fase vier volgen de conclusies die uit dit onderzoek getrokken kunnen worden. Ook wordt de feedback
van gemeenten op het toetsingskader geanalyseerd. Per voorgestelde wijziging wordt een afweging
gemaakt of de voorgestelde wijziging wel of niet doorgevoerd dient te worden in het kader. Dit levert een
overzicht op van wel en niet door te voeren wijzigingen.
Fase 5: Aanvullend onderzoek
De laatste fase van dit onderzoek gaat in op de mogelijkheden tot aanvullend onderzoek. Het onderzoek
heeft beperkingen gekend. Door aanvullend onderzoek uit te voeren op specifieke gebieden kan het
toetsingskader en de toepassing daarvan verder worden onderzocht en worden verbetert. Dit hoofdstuk
beschrijft een aantal facetten waarop aanvullend onderzoek kan worden uitgevoerd.
10
2 Onderzoeksmethode
2.1 Verkennend onderzoek Het onderzoek is verkennend van aard. Het antwoord op de deelvragen volgt in de hoofdstukken
‘theoretisch kader' en ‘toetsingskader’, het antwoord op de hoofdvraag volgt na afronding van alle fasen
van het onderzoek. Het theoretisch kader betreft een literatuurstudie. Het doel van de literatuurstudie is
inzicht verkrijgen in de relevante onderwerpen behorende bij de hoofdvraag, te weten:
• Privacy.
• Decentralisaties.
• Wet bescherming persoonsgegevens.
• Algemene verordening gegevensbescherming.
Het theoretisch kader dient als input voor het opstellen van het toetsingskader. Het toetsingskader zal
beperkingen kennen, deze worden verder uitgelicht in paragraaf 4.1. De werking van het toetsingskader
wordt vervolgens in de praktijk getoetst. De toepassing van het toetsingskader zal leiden tot
aanbevelingen van de geïnterviewde. De aanbevelingen zullen worden uitgeschreven en vertaald in
conclusies ten aanzien van de toepasbaarheid van het toetsingskader.
2.2 Aanpak
Voor de onderzoekaanpak wordt de methode van Robert K. Yin gehanteerd.1 Yin gaat uit van diverse
fasen welke uiteen zijn gezet in figuur 1.
Figuur 1: Onderzoeksmethode Yin
1 Case Study Research Design and Methods, Yin, R.K., (2009).
11
2.2.1 Plan
In deze fase worden de onderzoeksvragen (hoofd- en deelvragen) opgesteld. Deze fase is inventariserend
van aard en bevat derhalve ook de aanleiding voor het onderzoek, de probleemstelling, doelstelling en
scope. De plan fase schetst het plan voor het onderzoek en vormt zodoende de basis voor de uitvoering
van het onderzoek. De ‘Plan’ fase is hoofdstuk 1.
2.2.2 Design
De tweede fase, design fase, in het kader van dit onderzoek is het theoretisch kader. Ook wordt in deze
fase vastgesteld op welke wijze het onderzoek wordt. Deze fase omvat de selectie van te interviewen
organisaties/individuen voor het beoordelen van het toetsingskader conform vooraf vastgestelde
criteria. Het doel van deze fase is de vaststelling van het theoretisch kader en het leggen van de basis
voor de aanpak van het onderzoek. De ‘Design’ fase is terug te vinden in hoofdstuk 2 en 3.
2.2.3 Prepare
In deze fase wordt het toetsingskader ontwikkeld. Het opgestelde toetsingskader wordt met de
begeleiders van het onderzoek (P. Harmzen en A. Buckens) afgestemd, hetgeen als pilot wordt
beschouwd. De ‘Prepare’ fase omvat hoofdstuk 4.
2.2.4 Collect
In de vierde fase wordt vervolgens het ontwikkelde toetsingskader bij de drie gemeenten getoetst en
wordt per interview informatie verzameld conform de vastgesteld criteria. Het toetsingskader wordt
hierbij voorafgaand aan het interview gedeeld. Toepassing van het toetsingskader heeft geleid tot
terugkoppeling op de werking van het kader, conform vooraf opgestelde criteria. De ‘Collect’ fase omvat
hoofdstuk 5.
2.2.5 Analyze
In deze fase worden de resultaten uit de toepassing van toetsingskader geanalyseerd. Dit zijn de
bevindingen van de geïnterviewde individuen aangaande de werking van het toetsingskader. Hierbij is
onderzocht wat de impact van de resultaten op het toetsingskader zijn. De ‘Analyze’ fase omvat
eveneens hoofdstuk 5.
2.2.6 Share
De laatste fase omvat het validatieproces, de ‘Share’ fase. Hierbij worden zowel de resultaten en
conclusies als een conceptversie van de scriptie met de begeleiders van het onderzoek (P. Harmzen en
A. Buckens) gedeeld. Eventuele op- of aanmerkingen worden besproken en indien nodig doorgevoerd in
het rapport. Tijdens deze fase wordt de uitvoering van het onderzoek besproken, eveneens als de
getrokken conclusies naar aanleiding van de uitgevoerde activiteiten. De ‘Share’ fase omvat hoofdstuk 6
en 7.
2.3 Conceptualisatie
De totstandkoming van het toetsingskader is gevisualiseerd (figuur 2) en vormt de leidraad van de
scriptie. Om de leesbaarheid van het rapport te vergroten zal bij elk hoofdstuk, en waar nodig bij de
onderliggende paragrafen, teruggegrepen worden op figuur 2.
12
Figuur 2: Visualisatie van conceptualisatie
13
3 Theoretisch kader Het hoofdstuk theoretisch kader schept de basis voor het onderzoek en geeft een antwoord op de
volgende deelvragen:
• Wat is privacy?
• Wat is de Wet bescherming persoonsgegevens? • Aan welke eisen uit de Wet bescherming persoonsgegevens dient een gemeente te voldoen bij de
uitvoering van haar gemeentelijke taken in het kader van de decentralisaties?
• Welke gevolgen kan het niet voldoen aan de Wet bescherming persoonsgegevens hebben voor
gemeenten?
• Wat is de algemene verordening gegevensbescherming?
• Wat zijn de verschillende tussen de Wet bescherming persoonsgegevens en de algemene verordening
gegevensbescherming? • Wat zijn de decentralisaties in het kader van het Sociaal Domein?
Deze vragen zijn relevant voor het opstellen van het toetsingskader en daarmee ook voor het
beantwoorden van de hoofdvraag: “Aan welke privacy voorwaarden dienen gemeenten te voldoen bij de
uitvoering van de gemeentelijke taken in het kader van de decentralisaties?”.
Figuur 3 illustreert welke fase van het onderzoek het theoretisch kader inneemt.
Figuur 3: Theoretisch kader in perspectief van het onderzoek
14
3.1 Privacy
Het woord privacy kent diverse definities en kent een lange geschiedenis. In deze paragraaf werk ik toe
naar de definitie van privacy zoals bedoeld voor de toepassing van het toetsingskader. Het zal ook
inzicht geven op de oorsprong van het woord privacy. Figuur 4 illustreert de paragrafen die nodig zijn
om uiteindelijk tot de definitie van privacy te komen zoals deze voor dit onderzoek van belang is.
Figuur 4: Privacy in relatie tot het onderzoek
3.1.1 De geschiedenis van het woord privacy, in vogelvlucht
In 1879 gebruikte Thomas M. Cooley het woord privacy in combinatie met het schenden van iemands
privacy door iemand thuis af te luisteren of door ramen te bespieden.2 Later in 1880 omschrijft dezelfde
Thomas M. Cooley privacy als: “a right to complete immunity: to be let alone”.3
In 1891 schreven de Amerikaanse advocaten Samuel Warren en Louis Brandeis een artikel in het
Harvard Law Review genaamd ‘The right to Privacy’.4 In dit artikel omschrijven zij privacy als: “the right
to be left alone”, oftewel “het recht om alleen gelaten te worden”. In 1967 voegt Alan Westin een extra
dimensie aan het woord privacy toe en omschrijft het als: “Privacy is the claim of individuals, groups, or
2 A treatise on the law of torts, or the wrongs which arise independent of contract. Thomas M. Cooley. Chicago,
Callaghan and company, 1879. 3 The General Principles of Constitutional Law in the United States of America. Thomas M. Cooley. Little, Brown &
Co. 1880 4 The right to Privacy, Samuel Warren and Louis Brandeis, Harvard Law Review No.5, 1890.
15
institutions to determine for themselves when, how, and to what extent information about them is
communicated to others”.5 Alan voegt hierbij toe dat een individu zelf dient te bepalen wanneer, hoe en
tot welk niveau informatie over henzelf met anderen wordt gedeeld. De term privacy in zijn huidige vorm
stamt af van de omschrijvingen die eerder beschreven zijn.
Het recht op bescherming van natuurlijke personen tegen inbreuken op hun persoonlijke levenssfeer,
met name door de staat, is voor het eerst in een internationaal rechtsinstrument vastgelegd in artikel 12
van de Universele Verklaring van de rechten van de mens (UVRM) van de Verenigde Naties (VN) van
1948 inzake de eerbiediging van het privé- en gezinsleven.6 In 1950 heeft de Raad van Europa (RvE) het
Europees Verdrag tot bescherming van de rechten van de mens (EVRM) aangenomen. Dit verdrag is in
1953 in werking getreden. De lidstaten hebben een internationale verplichting dit verdrag na te leven,
Nederland is één van deze lidstaten.
3.1.2 Privacy in Europa
Het verdrag dat in 1950 door de Raad van Europa is aangenomen bevat twee fundamentele eisen ten
aanzien van privacy7:
• Recht op leven (artikel 2);
• Recht op eerbiediging van privé-, familie- en gezinsleven (artikel 8).
Het recht op de bescherming van persoonsgegevens maakt deel uit van de rechten die worden
beschermd onder artikel 8 van het EVRM. Concreet betekent dit dat het recht op respect voor het privé-,
familie- en gezinsleven, de woning en correspondentie gegarandeerd wordt en dat het voorwaarden
schept waaronder beperkingen van dit recht zijn toegestaan. Het EVRM is zodoende de stap richting de
bescherming van persoonsgegevens zoals bedoeld onder de Wbp en zoals bedoeld voor dit onderzoek.
De opkomst van informatietechnologie heeft ertoe geleid dat er een groeiende behoefte was aan
gedetailleerde regels om natuurlijke personen bescherming te bieden door hun (persoons)gegevens te
beschermen. Dit heeft ertoe geleid dat in 1981 het Verdrag 108 (Verdrag tot bescherming van personen
ten opzichte van de geautomatiseerde verwerking van persoonsgegevens)8 is vastgesteld. Dit verdrag is
tot op de dag van vandaag hét Europees wettelijk bindende instrument op het gebied van
gegevensbescherming, mits het verdrag geaccepteerd en geratificeerd is. Het is van toepassing op alle
gegevensverwerkingen uitgevoerd door zowel de private als de publieke sector.
Het Verdrag 108 heeft ertoe geleid dat in 1995 de richtlijn ‘Richtlijn 95/46/EG’ van het Europees
Parlement en de Raad van Europa is aangenomen. De richtlijn is een wettelijke instrument, echter geen
bindend instrument, van de EU op het gebied van gegevensbescherming. De richtlijn 95/46/EG is tot op
de dag van vandaag de Europees geldende richtlijn als het aankomt op gegevensbescherming. De
Richtlijn 95/46/EG omschrijft de reikwijdte van de richtlijn als: “de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die
gegevens”.9
5 Privacy and Freedom, Alan F. Westin, Washington and Lee Law Review Vol. 25 Issue 1, 1968. 6 Verenigde Naties (VN), Universele Verklaring van de rechten van de mens (UVRM), 1948. 7 European Convention of Human Rights, 1950. 8 Verdrag tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens
(Raad van Europa, CETS nr. 108, 1981). 9 Richtlijn 95/46/EG van het Europees Parlement en de Raad, 24 oktober 1995.
16
3.1.3 De Nederlandse Grondwet
In de Nederlandse Grondwet is opgenomen wat in Nederland onder de term privacy wordt verstaan,
namelijk:
Artikel 10:
• Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging
van zijn persoonlijke levenssfeer.
• De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het
vastleggen en verstrekken van persoonsgegevens.
• De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen
vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering
van zodanige gegevens.
Artikel 10 van de Nederlandse Grondwet is gebaseerd op het verdrag van de Raad van Europa, de EVRM.
Verdrag 108 vloeit voort uit de EVRM en zodoende dient Nederland zich te houden aan de eisen die in
dit verdrag staan opgenomen. De EU Richtlijn 95/46/EG geeft invulling aan de gestelde eisen uit
Verdrag 108. Nederland heeft ervoor gekozen EU Richtlijn 95/46/EG te implementeren en zodoende is
de Wet bescherming persoonsgegevens (Wbp) geconcretiseerd. De Wbp is derhalve gebaseerd op de
Europese richtlijn.
3.1.4 Definitie van privacy
De term privacy kent een lange geschiedenis. Het is inmiddels 136 jaar geleden dat Thomas M. Cooley
het woord privacy gebruikte in relatie tot het schenden van iets uit iemand privé leven. Desondanks kan
het concept van het woord privacy als onveranderd worden beschouwd. Men spreekt nog steeds van het
schenden van iets uit iemands privé leven. Als ik in dit onderzoek over privacy spreek dan beperk ik mij
tot het deel dat betrekking heeft op persoonsgegevens, lid 2 van artikel 10 uit de Nederlandse
Grondwet. De Wbp beschrijft de volgende definitie als het gaat om persoonsgegevens: “Het beschermen
van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.10
3.2 Wet bescherming persoonsgegevens (Wbp) In de vorige paragraaf hebben we kort beschreven waar de term privacy vandaan komt en hoe dit in de
Europese en Nederlandse wetgeving is beschreven. De Wbp is een Nederlandse wet die voorschrijft hoe
in Nederland dient te worden omgegaan met de persoonsgegevens van individuen (natuurlijke personen
en dus ook burgers). De Wbp is ontstaan op basis van de Wet persoonsregistraties (Wpr), welke in 1989
is vastgesteld. In 2001 heeft de Wbp de Wpr vervangen.
De Wbp beschrijft een persoonsgegeven als: “elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon”. Dit betekent dat een gegeven als naam, adres, foto of
Burgerservicenummer als persoonsgegeven kan worden beschouwd. De Wbp is van toepassing op zowel
private als publieke instanties, de Nederlandse overheid en gemeenten dienen zodoende ook conform
de Wbp te handelen.
Deze paragraaf gaat in op de gestelde eisen vanuit de Wbp en brengt in kaart wat de gevolgen zijn van
het niet voldoen aan de eisen uit de Wbp. Het schetst zodoende een deel van de basis voor het
toetsingskader en geeft inzicht in de noodzaak van het voldoen aan de in de Wbp gestelde eisen. Figuur
5 illustreert hoe paragraaf 3.2 is opgebouwd en hoe dit zich verhoudt tot de rest van het rapport.
10 Wet bescherming persoonsgegevens, 2001.
17
Figuur 5: Wbp in relatie tot het onderzoek
3.2.1 Wettelijke eisen uit de Wbp
Zoals in paragraaf 3.1 is beschreven is de Wbp gebaseerd op de EU richtlijn 95/46/EG. De 95/46/EG
betreft een richtlijn en biedt zodoende een kader dat toepasbaar is voor de EU lidstaten. Ondanks het
een richtlijn betreft kent de 95/46/EG wel een dwingende verplichting naar de EU lidstaten. Zij zijn
derhalve verplicht de richtlijn tijdig en juist te implementeren.11 De richtlijn biedt echter wel ruimte voor
de wijze waarop implementatie plaatsvindt. De Wbp is derhalve gebaseerd op de 95/46/EG richtlijn. Om
het toetsingskader vorm te geven zijn de wettelijke eisen uit de Wbp geïdentificeerd.12 Om deze eisen te
interpreteren is het echter noodzakelijk de definities van specifiek gebruikte termen in kaart te brengen.
Tabel 1 geeft de definities uit de Wbp weer13:
Term Definitie
Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon.
11 Werking van Europese richtlijnen, http://www.europadecentraal.nl/services/praktijkvragen/rechtstreekse-
werking-europese-richtlijnen/. 12 In het kader van de Wbp wordt onder ‘verwerking van persoonsgegevens’ verstaan: “elke handeling of elk geheel
van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen,
ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen,
alsmede het afschermen, uitwissen of vernietigen van gegevens”. 13 Artikel 1 Wet bescherming persoonsgegevens, 2001.
18
Bijzondere persoonsgegevens14
De verwerking van persoonsgegevens betreffende iemands
godsdienst of levensovertuiging, ras, politieke gezindheid,
gezondheid, seksuele leven, alsmede persoonsgegevens
betreffende het lidmaatschap van een vakvereniging is
verboden behoudens het bepaalde in deze paragraaf.
Hetzelfde geldt voor strafrechtelijke persoonsgegevens en
persoonsgegevens over onrechtmatig of hinderlijk gedrag in
verband met een opgelegd verbod naar aanleiding van dat
gedrag.
Verwerking van persoonsgegevens
Elke handeling of elk geheel van handelingen met betrekking
tot persoonsgegevens, waaronder in ieder geval het
verzamelen, vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken, verstrekken door
middel van doorzending, verspreiding of enige andere vorm
van terbeschikkingstelling, samenbrengen, met elkaar in
verband brengen, alsmede het afschermen, uitwissen of
vernietigen van gegevens.
Bestand
Elk gestructureerd geheel van persoonsgegevens, ongeacht
of dit geheel van gegevens gecentraliseerd is of verspreid is
op een functioneel of geografisch bepaalde wijze, dat volgens
bepaalde criteria toegankelijk is en betrekking heeft op
verschillende personen.
Verantwoordelijke
De natuurlijke persoon, rechtspersoon of ieder ander die of
het bestuursorgaan dat, alleen of te zamen met anderen, het
doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt.
Bewerker
Degene die ten behoeve van de verantwoordelijke
persoonsgegevens verwerkt, zonder aan zijn rechtstreeks
gezag te zijn onderworpen.
Betrokkene Degene op wie een persoonsgegeven betrekking heeft.
Derde
Ieder, niet zijnde de betrokkene, de verantwoordelijke, de
bewerker, of enig persoon die onder rechtstreeks gezag van
de verantwoordelijke of de bewerker gemachtigd is om
persoonsgegevens te verwerken.
Ontvanger Degene aan wie de persoonsgegevens worden verstrekt.
Toestemming van de betrokkene
Elke vrije, specifieke en op informatie berustende wilsuiting
waarmee de betrokkene aanvaardt dat hem betreffende
persoonsgegevens worden verwerkt.
14 Artikel 16, Wet bescherming persoonsgegevens, 2001.
19
Functionaris De functionaris voor de gegevensbescherming als bedoeld in
artikel 62.
Verstrekken van persoonsgegevens Het bekend maken of ter beschikking stellen van
persoonsgegevens.
Verzamelen van persoonsgegevens Het verkrijgen van persoonsgegevens.
College Bescherming
Persoonsgegevens
Er is een College Bescherming Persoonsgegevens (CBP) dat
tot taak heeft toe te zien op de verwerking van
persoonsgegevens overeenkomstig het bij en krachtens de
wet bepaalde. Tevens houdt het CBP toezicht op de
verwerking van persoonsgegevens in Nederland, wanneer de
verwerking plaatsvindt overeenkomstig het recht van een
ander land van de EU.
Tabel 1: Definities van in de Wbp gebruikte termen
Voor dit onderzoek is onderzocht welke eisen de Wbp kent. Deze eisen vormen de basis voor het
toetsingskader dat is opgesteld. De wettelijke eisen uit de Wbp kunnen worden onderverdeeld in
specifieke onderwerpen, te weten:
• Wettelijke toepassing.
• Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens.
• Meldplicht.
• Vrijstellingsbesluit.
• Voorafgaand onderzoek.
• Transparantie.
• Rechten van de betrokkene.
• Uitzonderingen en beperkingen.
Elk van deze onderwerpen wordt inhoudelijk behandeld in de paragrafen 3.2.1.1 tot en met 3.2.1.8.
3.2.1.1 Wettelijke toepassing
De artikelen 2 tot en met 5 beschrijven de wettelijke toepassing van de Wbp. Samengevat kan het
volgende gesteld worden:
• De Wbp is van toepassing op: “de geheel of gedeeltelijk geautomatiseerde verwerking van
persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een
bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.15 • De Wbp is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van
een vestiging van een verantwoordelijke in Nederland of als een verantwoordelijke die geen vestiging
in Nederland heeft maar wel gebruik maakt van al dan niet geautomatiseerde middelen die zich in
Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van
persoonsgegevens. 16
• De Wbp is van toepassing op de verwerking van persoonsgegevens van een betrokkene die
minderjarig is en de leeftijd van zestien jaar nog niet heeft bereikt. Hierbij geldt dat zijn wettelijk
15 Artikel 2, Wet bescherming persoonsgegevens, 2001. 16 Artikel 4, Wet bescherming persoonsgegevens, 2001.
20
vertegenwoordiger toestemming dient te verlenen voor de verwerking. Toestemming kan door de
betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken.
De wet schrijft ook voor in welke gevallen de Wbp niet van toepassing is. Omdat het onderzoek zich
beperkt tot de situatie waarop de Wbp wel van toepassing is wordt voor de niet van toepassing zijnde
situaties verwezen naar de Wbp.17
3.2.1.2 Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
De voorwaarden die gesteld worden voor de rechtmatigheid van de verwerking van persoonsgegevens
worden in de Wbp onderverdeeld in de verwerking van persoonsgegevens in het algemeen en de
verwerking van bijzondere persoonsgegevens.
3.2.1.2.1 De verwerking van persoonsgegevens in het algemeen
In de artikelen 6 tot en met 15 beschrijft de Wbp de eisen die gesteld worden indien sprake is van
de verwerking van persoonsgegevens. De verwerking van persoonsgegevens dient in
overeenstemming met de wet, en op behoorlijke en zorgvuldige wijze te worden uitgevoerd. De
termen proportionaliteit en subsidiariteit zijn hierbij relevant en van toepassing.
Doelbinding
Één van de belangrijkste bepalingen uit de Wbp is de doelbinding. De Wbp geeft hierbij aan
dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en
gerechtvaardigde doeleinden worden verzameld. Daarbij geldt dat de doelbinding moet
voldoen aan één van de onder artikel 8 gesteld eisen:
- de betrokkene heeft zijn ondubbelzinnige toestemming verleend;
- de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
- de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke plicht;
- de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de
betrokkene;
- de gegevensverwerking is noodzakelijk voor de goede vervulling van een
publiekrechtelijke taak;
- de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde
belang van de verantwoordelijke of van een derde aan wie de gegevens worden
verstrekt.
Doeleinden
In artikel 9 van de Wbp staat de eis beschreven die aangeeft dat persoonsgegevens niet
verder mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden
waarvoor ze zijn verkregen. De verantwoordelijke dient daardoor altijd rekening te houden
met de volgende aspecten:
- de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de
gegevens zijn verkregen;
- de aard van de betreffende gegevens;
- de gevolgen van de beoogde verwerking voor de betrokkene;
- de wijze waarop de gegevens zijn verkregen;
- de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.
17 Artikel 2 en 3, Wet bescherming persoonsgegevens, 2001.
21
Hierbij kan nog worden aangemerkt dat verder verwerking van de gegevens voor
historische, statistische of wetenschappelijke doeleinden, niet als onverenigbaar wordt
beschouwd, indien de verantwoordelijke de nodigde voorzieningen heeft getroffen ten einde
te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze
specifieke doeleinden.
Bewaartermijnen
De Wbp besteed specifieke aandacht aan de bewaartermijnen. De Wbp bepaalt dat
persoonsgegevens niet langer bewaard mogen worden in een vorm die het mogelijk maakt
de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de
doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
Dataminimalisatie en kwaliteit
Alleen die gegevens mogen worden verwerkt die toereikend, ter zake dienend en niet
bovenmatig zijn. De verantwoordelijke dient maatregelen te treffen die zorgdragen dat
persoonsgegevens juist en nauwkeurig zijn.
Beveiliging De Wbp stelt eisen aan het beveiligingen van de persoonsgegeven die verwerkt worden.
Hierover zegt de Wbp: “De verantwoordelijke legt passende technische en organisatorische
maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige
vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met
de stand van de techniek en de kosten van de tenuitvoerlegging, een passend
beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen
gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige
verzameling en verdere verwerking van persoonsgegevens te voorkomen”.
Rechtsverhoudingen tussen de verantwoordelijke en bewerker
Artikel 14 van de Wbp gaat in op de rechtsverhoudingen tussen de verantwoordelijke en de
bewerker. De Wbp stelt dat de verantwoordelijke verantwoordelijk blijft voor de
waarborging dat de persoonsgegevens, indien verwerkt door de bewerker, passende
organisatorische en technische beveiligingsmaatregelen treft. De verantwoordelijke heeft
hierin een toezichthoudende rol en dient er dus op toe te zien dat dit door de bewerker
wordt nageleefd.
3.2.1.2.2 De verwerking van bijzondere persoonsgegevens
De Wbp stelt dat bijzondere persoonsgegevens niet mogen worden verwerkt tenzij wordt voldaan
aan de artikelen 17 tot en met 24. Daar waar persoonsgegevens dus wel mogen worden verwerkt
rekening houdend met de specifieke eisen geldt hierbij dus dat bijzondere persoonsgegevens niet
mogen worden verwerkt tenzij aan specifieke eisen wordt voldaan. Artikel 16 omschrijft
bijzondere persoonsgegevens als: ”De verwerking van persoonsgegevens betreffende iemands
godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede
persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het
bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en
persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod
naar aanleiding van dat gedrag”.
22
Artikelen 17 tot en met 22 beschrijven welke instanties/instellingen, in welke gevallen bijzondere
persoonsgegevens mogen verwerken. Voor het onderzoek geldt dat rekening dient te worden
gehouden met de bijzondere situatie als het bijzondere persoonsgegevens betreft. Voor de
specifieke eisen aan de verwerking van bijzondere persoonsgegevens wordt zodoende verwezen
naar de bepalingen in de Wbp.
Daarnaast geldt dat bijzondere persoonsgegevens verwerkt mogen worden indien: 18
- dit geschiedt met uitdrukkelijke toestemming van de betrokkene;
- de gegevens door de betrokkene duidelijk openbaar zijn gemaakt;
- dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in
rechte;
- dit noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een
derde en het vragen van diens uitdrukkelijke toestemming onmogelijk blijkt;
- dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting;
- dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende
waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij
wet wordt bepaald dan wel het College ontheffing heeft verleend. Het College kan bij de
verlening van ontheffing beperkingen en voorschriften opleggen;
- de gegevens worden verwerkt door het College of een ombudsman als bedoeld in artikel
9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een
zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen
taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke
levenssfeer van de betrokkene niet onevenredig wordt geschaad.
3.2.1.3 Meldplicht
Een belangrijke bepaling in de Wbp is de verplichting van het melden van een verwerking. De Wbp
bepaalt dat een verwerking dient te worden gemeld indien het een geheel of gedeeltelijk
geautomatiseerde verwerking van persoonsgegevens betreft. De melding dient bij het CBP of bij de
Functionaris voor de Gegevensbescherming (FG), indien aanwezig, te worden gemeld. De melding dient
het volgende te bevatten:
• de identiteit van de verantwoordelijke;
• de doeleinden van de gegevensverwerking;
• de aard van de te verwerken gegevens;
• de ontvangers van gegevens;
• de voorgenomen doorgiften naar landen buiten de EU;
• een algemene beschrijving van de maatregelen ter beveiliging van persoonsgegevens die tot doel
heeft om te kunnen beoordelen of de beveiligingsplicht en de verplichtingen van een bewerker
kunnen worden nageleefd.
Indien een verwerking dient te worden gemeld en de verantwoordelijke over een FG beschikt, is de FG
verplicht een register bij te houden van de verwerkingen. Indien de verantwoordelijke geen FG heeft
aangesteld worden de verwerkingen door het CBP bijgehouden in een register. Het register dient
tenminste deze elementen te bevatten:
• de doeleinden van de verwerking;
18 Artikel 23, Wet bescherming persoonsgegevens, 2001.
23
• de verwerkte gegevens of categorieën van verwerkte gegevens;
• de categorieën van betrokkenen;
• de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;
• de periode gedurende welke de gegevens worden bewaard.
3.2.1.4 Vrijstellingsbesluit
In artikel 29 van de Wbp staat vermeld dat veelvoorkomende verwerkingen in maatschappelijke
sectoren onder voorwaarden zijn vrijgesteld van de meldplicht. Dit betekent dat in deze gevallen
melding aan het CBP of aan de betreffende FG niet noodzakelijk is. Dit betreft echter geen vrijwaring
van de Wbp. De Wbp is nog steeds van toepassing op de verwerking en er dient nog steeds te worden
voldaan aan specifieke bepalingen uit de Wbp.
3.2.1.5 Voorafgaand onderzoek
Voorafgaand onderzoek is in een aantal gevallen noodzakelijk, namelijk:
• voor het gebruik van persoon identificerende nummers ten behoeve van andere doeleinden dan
waarvoor dit nummer noodzakelijk is;
• voor het verzamelen van gegevens zonder dat de betrokkene daarvan op de hoogte is;
• voor het gebruik van strafrechtelijke persoonsgegevens door particulieren.
Er geldt een uitzondering voor openbare registers die bij wet zijn ingesteld, deze kunnen niet worden
onderworpen aan een voorafgaand onderzoek. Daarnaast kunnen verwerkingen bij wet of bij algemene
maatregel van bestuur worden onderworpen aan voorafgaand onderzoek.19
3.2.1.6 Transparantie
Artikel 33 en 34 van de Wbp gaan in op de transparantie richting de burger. In de Wbp wordt dit
informatieverstrekking aan de betrokkene genoemd. De Wbp stelt dat de verantwoordelijke de
betrokkene voorafgaand aan de verwerking dient te informeren (op de hoogte te stellen), tenzij de
betrokkene hiervan reeds op de hoogte is. De te verstrekken informatie dient ook de identiteit van de
verantwoordelijke en de doeleinden van gegevensverwerking te bevatten. Uiteindelijk dient de
verantwoordelijke een behoorlijke en zorgvuldige verwerking te waarborgen, als hiervoor extra
informatie met de betrokkene moet worden gedeeld is de verantwoordelijke daartoe verplicht.
Ook in het geval de informatie niet direct van de betrokkene is verkregen dient de betrokkene
geïnformeerd te worden over de verwerking conform de onder artikel 13, tweede en derde lid,
omschreven bepalingen. Echter, indien het een onevenredige inspanning kost of mededeling aan de
betrokkene onmogelijk maakt is het niet nodig de betrokkenen te informeren. Indien de vastlegging of
de verstrekking bij of krachtens de wet is voorgeschreven is het evenmin nodig de betrokkene te
informeren over de verwerking.
3.2.1.7 Rechten van de betrokkene
Op grond van de artikelen 35 tot en met 42 heeft de betrokkene diverse rechten toegekend gekregen.
Hieronder worden deze rechten kort behandeld.
3.2.1.7.1 Recht van inzage De betrokkene heeft het recht om te weten welke persoonsgegevens door de verantwoordelijke
worden verwerkt, voor welk doeleinden en aan welke derden deze gegevens zijn verstrekt.
19 Artikel 32, Wet bescherming persoonsgegevens, 2001.
24
3.2.1.7.2 Recht van correctie
De betrokkene heeft het recht de verantwoordelijke te verzoeken de hem betreffende gegevens te
verbeteren, aan te vullen, af te schermen, of te verwijderen bij feitelijke onjuistheden, bij
verwerking ten behoeve van onvolledige of niet ter zake dienende doelen of bij verwerkingen die
in strijd met een wettelijk voorschrift worden verricht.
3.2.1.7.3 Recht van verzet
De betrokkene heeft, in bepaalde gevallen en onder bepaalde voorwaarden, het recht verzet aan
te tekenen tegen de verwerking van zijn persoonsgegevens.
3.2.1.7.4 Recht om niet onderworpen te worden aan besluiten met rechtsgevolgen door
volledig geautomatiseerde verwerkingen.
De betrokkene heeft bij verwerkingen met dergelijke vérstrekkende consequenties een recht op
menselijke tussenkomst, voorafgaande aan het nemen van het besluit.
3.2.1.8 Uitzonderingen & beperkingen
De Wbp heeft bepalingen opgesteld die enkele uitzonderingen/beperkingen kennen ten aanzien van de
rechten van de betrokkene. Er wordt melding gemaakt dat uitzondering geldt voor:
• de plicht tot afweging die de verantwoordelijke moet maken alvorens gegevens door te geven aan
een derde;
• de inlichtingenverstrekking over de van de meldplicht vrijgestelde verwerkingen;
• de transparantieverplichtingen;
• het recht op inzage.
Deze verplichtingen mogen door de verantwoordelijke buiten toepassing worden gelaten indien het in
het belang is van:
• de veiligheid van de staat;
• de voorkoming, opsporing en vervolging van strafbare feiten;
• gewichtige economische en financiële belangen van de staat en andere openbare lichamen;
• het toezicht op de naleving van wettelijke voorschriften, gesteld ten behoeve van bovengenoemde
opsporings- en financiële belangen;
• de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
Gegevensverkeer met landen buiten de EU
De Wbp kent ook specifieke eisen ten aanzien van gegevensverkeer met landen buiten de EU. Voor dit
onderzoek is dit echter buiten beschouwing gelaten. De verwerkingen uit dit onderzoek betreffen
verwerkingen die in Nederland plaatsvinden in het kader van de decentralisaties. Zodoende zijn
verwerkingen buiten Nederland en buiten de EU niet binnen de scope van dit onderzoek.
3.2.2 Gevolgen van het niet voldoen aan de Wbp.
Vanuit de Wbp bekeken kan het niet voldoen aan de Wbp diverse gevolgen hebben. De artikelen 65 tot
en met 75 beschrijven de diverse sancties die opgelegd kunnen worden, bestuurlijk en strafrechtelijk.
3.2.2.1 Bestuurlijke sancties
Op bestuurlijk niveau is het CBP bevoegd tot oplegging van een last onder bestuursdwang ter
handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Ook is het CBP bevoegd om de
25
verantwoordelijke een bestuurlijke boete op te leggen van ten hoogste €4.500 euro ter zake van
overtreding van het bij of krachtens de Wbp gestelde verplichtingen (artikelen 27, 28 en 29).
3.2.2.2 Strafrechtelijke sancties
Strafrechtelijke sancties kunnen volgen indien de verantwoordelijke in strijd handelt met hetgeen bij of
krachtens artikel 4 (derde lid), artikel 27, 28, 78 (tweede lid) of 79 (eerste lid) is bepaald (getypeerd als
overtreding). Indien dit opzettelijk heeft plaatsgevonden kan gevangenisstraf volgen van ten hoogste
zes maanden (getypeerd als misdrijf).
3.2.2.3 Overige gevolgen
Naast bestuurlijke- en strafrechtelijke sancties kan het niet voldoen aan de Wbp ook maatschappelijke
gevolgen hebben. Welke gevolgen dit exact zijn is geen onderdeel van het onderzoek maar gesteld kan
worden dat dit een negatieve impact heeft op de reputatie van de verantwoordelijke instantie/instelling.
3.3 Algemene verordening gegevensbescherming De richtlijn 95/46/EG wordt momenteel herzien. De opvolger van de richtlijn is de algemene verordening
gegevensbescherming. Eén van de belangrijkste verschillen met de richtlijn 95/46/EG is dat het een
verordening betreft. Daar waar de 95/46/EG een richtlijn betreft en niet dwingend is in de wijze waarop
de richtlijn moet worden geïmplementeerd zal de verordening wel de eisen gesteld in de algemene
verordening gegevensbescherming afdwingen onder de EU lidstaten, óók de wijze waarop deze wordt
nageleefd.
De algemene verordening gegevensbescherming zal de Nationale wetgeving gaan vervangen. Lidstaten
zullen echter nog wel aanvullende eisen/wetgeving in de Nationale wetgeving kunnen opnemen. De
algemene verordening gegevensbescherming kent op moment van schrijven nog niet de definitieve
status. De verwachting is dat de algemene verordening gegevensbescherming in 2016 wordt vastgesteld
en derhalve is voor het onderzoek gekozen de verschillen met de Wbp, waar relevant, mee te nemen
voor het toetsingskader. In paragraaf 3.3.1 worden de verschillen met de Wbp, die relevant zijn voor dit
onderzoek, in kaart gebracht. Figuur 6 illustreert daarbij hoe deze paragraaf zich verhoudt tot de andere
paragrafen uit hoofdstuk 3.
26
Figuur 6: Algemene verordening gegevensbescherming in relatie tot het onderzoek
3.3.1 Verschillen met de Wbp
De algemene verordening gegevensbescherming volgt de richtlijn 95/46/EG op en kent zodoende veel
gelijkenissen met de richtlijn. Er zijn echter ook belangrijke verschillen. In deze paragraaf ga ik echter in
op de verschillen met de Wbp omdat de Wbp in Nederland de geldende wetgeving is op het gebied van
bescherming van persoonsgegevens. De algemene verordening gegevensbescherming zal, wanneer in
werking getreden, de Wbp gaan vervangen. Het is daarom van belang om inzicht te krijgen in de
verschillen met de Wbp in plaats van inzicht in de verschillen met de richtlijn 95/46/EG. De verschillen
met de richtlijn zijn daarom ook niet in het kader van dit onderzoek onderzocht. Op basis van het
bestuderen van zowel de Wbp als de algemene verordening gegevensbescherming zijn de in deze
paragraaf gemelde onderwerpen geïdentificeerd als aanvullingen op de Wbp. Het betreft hierbij eisen die
gesteld worden aan gemeenten. Veranderingen in bijvoorbeeld de hoogte van sancties worden hierin
niet genoemd omdat dit voor de toepassing van het toetsingskader niet relevant is, deze worden
behandeld in paragraaf 3.3.2.
3.3.1.1 Meldplicht datalekken
Een veelbesproken onderwerp in de algemene verordening gegevensbescherming is de meldplicht bij
datalekken. De meldplicht is momenteel nog niet aanwezig in de Wbp, echter speelt de Nederlandse
overheid hier al wel op in. In Nederland is reeds een voorstel aangaande de meldplicht datalekken
ingediend en op moment van schrijven is dit door de Tweede Kamer goedgekeurd. Hiermee anticipeert
Nederland al op de aanstaande wijziging ten aanzien van de algemene verordening
gegevensbescherming.
De wijziging meldplicht datalekken houdt in dat een datalek die ernstige nadelige gevolgen heeft voor de
privacy van de betrokkene dient te worden gemeld. Hierbij dient de verantwoordelijke rekening te
houden met de eisen die aan de melding gesteld worden. De verantwoordelijke dient hierbij met de
volgende aspecten rekening te houden:
• een datalek moet wanneer bekend direct gemeld worden aan het CBP;
• een inschatting moet zijn gemaakt van de ernst van de nadelige gevolgen voor de betrokkene;
27
• de datalek dient aan de betrokkene te worden gemeld indien het nadelige gevolgen kan hebben voor
de persoonlijke levenssfeer van de betrokkene (CBP dient op de hoogte te worden gesteld van het wel
of niet aan de betrokkene kenbaar maken van de datalek).
Het niet naleven van de verplichtingen kan leiden tot een sanctie van maximaal €810.000 euro,
opgelegd door het CBP, of indien dit bedrag hoger is, 10% van de omzet van een organisatie. Het betreft
momenteel nog een concept wetgeving, inhoudelijk kan het voorstel meldplicht datalekken nog wijzigen.
Op moment van schrijven wordt het voorstel in de eerste kamer behandeld.
3.3.1.2 Gegevensoverdraagbaarheid
Bij de verwerking van de persoonsgegevens dient de verantwoordelijke dit elektronisch en in een
standaard, gestructureerd formaat te verwerken. De betrokkene heeft hierbij het recht een kopie van de
persoonsgegevens te ontvangen in een algemeen aanvaard elektronisch formaat zodat deze
overgedragen kan worden naar een ander informatiesysteem.
3.3.1.3 Privacy by design
Indien software en/of informatiesystemen worden ontwikkeld dient er tijdens de ontwikkelfase rekening
te worden gehouden met maatregelen die de gebruikte persoonsgegevens in de software/
informatiesysteem beschermd tegen verlies, onbedoelde inzage en misbruik (in welke vorm dan ook).
Daarnaast dient de bepaling van data minimalisatie te worden toegepast maar dat is een bepaling dat
reeds in de Wbp is opgenomen.
3.3.1.4 Privacy by default
Privacy by default omvat wat de term al omschrijft, zorgen dat (systeem)instellingen zodanig zijn
ingericht dat de privacy optimaal wordt gewaarborgd. Een simpel voorbeeld hiervan is een checkbox op
een (online) formulier. Deze dient standaard aan te geven dat de betrokkene (het individu dat het
formulier invult) zijn informatie niet wenst te delen met anderen. De bedoeling is de controle bij de
betrokkene te houden.
3.3.1.5 Privacybeleid
Organisaties worden verplicht een intern privacy beleid op te stellen. Hoewel dit niet als zodanig in de in
de Wbp staat vermeld komt dit er min of meer wel in terug. In de Wbp wordt gesproken van passende
organisatorische en technische beveiligingsmaatregelen, het hebben van een intern privacy beleid kan
hieronder geschaard worden. Echter het letterlijk eisen van een verplicht intern privacy beleid is ten
opzichte van de Wbp een nieuwe eis en zodoende is dit als verschil met de Wbp opgenomen.
3.3.1.6 Functionaris voor de Gegevensbescherming (FG)
De officiële functie van een Functionaris voor de Gegevensbescherming (FG) is onder de Wbp
vrijblijvend. De algemene verordening gegevensbescherming stelt de FG verplicht voor:
• organisaties in de private sector met meer dan 250 werknemers;
• organisaties waarvan de kernactiviteiten bestaan uit het verwerken van gegevens;
• overheidsinstanties en organen.
28
3.3.2 Gevolgen van het niet voldoen aan de algemene verordening
gegevensbescherming
De gevolgen van het niet voldoen aan de verordening komen overeen met die van het niet voldoen aan
de Wbp. Het verschil is dat toezichthoudende instanties (zoals in Nederland het CBP) in staat zullen zijn
hogere sancties op te leggen. Daar waar het CBP op dit moment een maximale boete van €4.500 euro
kan opleggen, en na goedkeuring van de meldplicht datalekken wordt dit maximum bedrag verhoogd
naar een boete van maximaal €810.000 euro of 10% van de omzet, kan het CBP onder de algemene
verordening gegevensbescherming een boete opleggen van maximaal €100.000.000 euro of 5% van de
omzet van een organisatie. Het betreft op dit moment uiteraard nog een voorstel en de algemene
verordening gegevensbescherming is nog niet aangenomen. Er kan echter wel worden aangenomen dat
de financiële sanctie die straks door een toezichthoudende instantie als het CBP kan worden toegepast
aanzienlijk hoger zal zijn dan de €4.500 euro die het op dit moment is (dit bedrag geldt in Nederland
voor het CBP, dit bedrag kan afwijken in andere EU lidstaten).
Ook onder de algemene verordening gegevensbescherming geldt dat strafrechtelijke sancties kunnen
volgen indien de verantwoordelijke, of de bewerker onder de verantwoordelijkheid van de
verantwoordelijke, in strijd handelt met de wet. Daarnaast geldt ook bij de algemene verordening
gegevensbescherming dat het niet conform de in de verordening gestelde eisen opereren ook
maatschappelijke gevolgen kan hebben. Wat de impact hiervan is en welke gevolgen dit exact zijn is
geen onderdeel van het onderzoek, gesteld kan worden dat dit een negatieve impact heeft op de
reputatie van de verantwoordelijke.
3.4 Decentralisaties in het kader van het Sociaal Domein
In de voorgaande paragrafen is inzichtelijk gemaakt wat er tijdens dit onderzoek onder privacy wordt
verstaan, wat de Wbp inhoudt en hoe de Wbp zich verhoudt tot de algemene verordening
gegevensbescherming. Het onderzoek is toegespitst op activiteiten die door gemeenten in het kader
van het Sociaal Domein, en meer specifiek de decentralisaties, worden uitgevoerd. Het is derhalve van
belang een globaal inzicht te hebben in wat de decentralisaties inhouden.
Deze paragraaf zal inzichtelijk maken wat er voor dit onderzoek onder de decentralisaties wordt
verstaan en wat er vanuit de decentralisaties voor dit onderzoek relevant is. Figuur 7 geeft de
verhouding weer met de voorgaande paragrafen en gaat tevens in op de structuur van dit hoofdstuk.
29
Figuur 7: Decentralisaties in relatie tot het onderzoek
3.4.1 Achtergrond
Per 1 januari 2015 is de overheveling van taken op het gebied van Wmo, jeugd en participatie naar
gemeenten een feit geworden. Voordat de taken naar gemeenten zijn overgeheveld werden deze taken
deels uitgevoerd door het Rijk, het andere deel was al bij gemeenten belegd.
Op 13 februari 2013 heeft minister Plasterk een kamerbrief uitgebracht waarin de minister de aanpak
tot meer samenhang tussen de voorgenomen decentralisaties op het terrein van ondersteuning,
participatie en jeugd toelicht. In de kamerbrief staat het volgende uitgangspunt opgenomen: “Het
uitgangspunt van het kabinet is dat de zelfredzaamheid van de burger maximaal dient te worden
gefaciliteerd en gestimuleerd. Goede ondersteuning en -nog belangrijker -goede gezondheid en actieve
deelname aan de maatschappij zijn namelijk niet alleen een zaak van de overheid. Burgers zijn samen
met hun netwerk in de eerste plaats zelf verantwoordelijk. Desalniettemin moeten mensen die het echt
nodig hebben, kunnen blijven rekenen op de ondersteuning door de overheid. Ondersteuning die aansluit
bij de behoefte van burgers en aansluit bij hun mogelijkheden. Gemeenten kunnen op deze manier beter
inspelen op de behoefte van burgers”.
De kamerbrief kondigt de wetswijzigingen aan. De overheveling van taken van het Rijk naar gemeenten
is daarmee ingezet.
3.4.2 Taken in het kader van de decentralisaties
De taken die in het kader van de decentralisatie van het Rijk naar gemeenten worden overgedragen
worden door het Rijk als volgt omschreven:
• zorg bieden aan langdurig zieken of ouderen;
• hulp bij het vinden van werk (of een uitkering verstrekken);
• de jeugdzorg.
30
3.4.2.1 Wmo (Wet maatschappelijke ondersteuning)
Zoals aangegeven wordt met ingang van 2015 de verantwoordelijkheid aangaande de uitvoering van
taken in het kader van de Wmo naar gemeenten overgeheveld. Dit omvat de begeleiding en de
persoonlijke verzorging van hulpbehoevenden, de middelen voor inkomensondersteuning en
cliëntondersteuning. Het laten meedoen van alle burgers in de samenleving staat onder de Wmo
centraal.
Taken die onder de Wmo worden uitgevoerd zijn:
• Het regelen dat burgers die hulp nodig hebben in het dagelijkse leven ondersteuning krijgen
(huishouden, rolstoel, woningaanpassing, etc.).
• Ondersteunen van burgers die zich inzetten voor hun medemens of buurt, zoals mantelzorgers en
vrijwilligers.
• Stimuleren van activiteiten die de onderlinge betrokkenheid in buurten en wijken vergroten.
• Voorkomen dat burgers later zwaardere vormen van hulp nodig hebben.
3.4.2.2 Participatiewet
De participatiewet richt zich op burgers die extra hulp nodig hebben om aan het werk te komen. Burgers
die reeds een Wajong-uitkering hebben worden beoordeeld op arbeidsvermogen. De Participatiewet
voegt drie regelingen samen in één regeling, namelijk:
• Wet werk en bijstand.
• Wajong.
• Wet sociale werkvoorziening.
Ook hierbij geldt dat de gemeenten de taken in het kader van de participatiewet zal gaan uitvoeren en
dus de taken van het Rijk overneemt.
3.4.2.3 Jeugdzorg
Gemeenten zijn per 1 januari 2015 ook verantwoordelijk voor het verlenen van zorg aan jeugd. Met
ingang van 1 januari 2015 zijn instellingen verplicht met geregistreerde professionals te werken, bij- en
nascholing is daarbij een voorwaarde.
De jeugdzorg die geleverd dient te worden omvat ook:
• De jeugdbescherming.
• De jeugdreclassering.
• De jeugdzorgPlus (gesloten jeugdzorg).
• De geestelijke gezondheidszorg voor jeugdigen (jeugd-GGZ).
• De zorg voor jeugd met een licht verstandelijk beperking (jeugd-LVB).
De nieuwe wet Jeugdzorg kent de volgende uitgangspunten:
1. Preventie en uitgaan van eigen verantwoordelijkheid en eigen mogelijkheden van jeugdigen en
hun ouders, met inzet van hun sociale netwerk.
2. De-medicaliseren, ontzorgen en normaliseren door onder meer het opvoedkundig klimaat te
versterken in gezinnen, wijken, scholen en in voorzieningen als kinderopvang en
peuterspeelzalen.
31
3. Eerder de juiste hulp op maat te bieden om jeugdigen en gezinnen zo snel mogelijk, zo dichtbij
mogelijk en zo effectief mogelijk hulp te bieden met aandacht voor de (kosten)effectiviteit van
de geboden hulp.
4. Integrale hulp aan gezinnen volgens het uitgangspunt één gezin, één plan, één regisseur.
5. Meer ruimte voor professionals om de juiste hulp te bieden door vermindering van regeldruk.
3.4.3 Privacy en de decentralisaties
Nu we inzicht hebben verworven in de taken die de decentralisaties omvatten en die de
verantwoordelijkheid zijn geworden van gemeenten kan worden gesteld dat de toegenomen taken impact
hebben op de informatieverwerking van gemeenten. De gemeenten krijgen meer, dan in het verleden,
toegang tot persoonlijke informatie van haar burgers, persoonsgegevens en in veel gevallen ook
bijzondere persoonsgegevens. Privacy is in het kader van de wetgeving een belangrijke voorwaarde voor
de omgang met persoonsgegevens. Het toenemend gebruik van (bijzondere) persoonsgegevens door
gemeenten, in relatie tot de decentralisaties vraagt om antwoord op de vraag of gemeenten in staat zijn
de privacy eisen te waarborgen bij de uitvoering van gemeentelijke taken in het kader van de
decentralisaties. Het toetsingskader, welke in het volgende hoofdstuk verder wordt uitgewerkt en
toegelicht, zal helpen antwoord op deze vraag te krijgen.
32
4 Toetsingskader In hoofdstuk 3 heb ik uitgebreid stilgestaan bij vier onderwerpen die van belang zijn in het kader van dit
onderzoek en voor het opstellen van het toetsingskader:
• Privacy.
• Wbp.
• Algemene verordening gegevensbescherming.
• Decentralisaties.
We kennen het concept privacy en de definitie van het woord voor dit onderzoek. We hebben inzicht in
de voor dit onderzoek relevante wetgevingen op Nationaal en Europees niveau alsmede in de betekenis
van een belangrijke ontwikkeling in de publieke sector, de decentralisaties. We hebben derhalve een
antwoord verworven op de volgende deelvragen:
• Wat is privacy?
• Wat is de Wet bescherming persoonsgegevens? • Aan welke eisen uit de Wet bescherming persoonsgegevens dient een gemeente te voldoen bij de
uitvoering van haar gemeentelijke taken in het kader van de decentralisaties?
• Welke gevolgen kan het niet voldoen aan de Wet bescherming persoonsgegevens hebben voor
gemeenten?
• Wat is de algemene verordening gegevensbescherming?
• Wat zijn de verschillende tussen de Wet bescherming persoonsgegevens en de algemene verordening
gegevensbescherming? • Wat zijn de decentralisaties in het kader van het Sociaal Domein?
In de paragrafen van dit hoofdstuk zal worden ingegaan op de totstandkoming van het toetsingskader, de
scope, reikwijdte en de beperkingen van het kader. Figuur 8 geeft inzicht in de positie die het
toetsingskader inneemt in dit rapport. Het is de kern van het onderzoek en de conclusies die aan het
einde van het onderzoek worden getrokken kunnen aanleiding zijn tot aanpassing van het
toetsingskader. De aanpassing zelf is echter geen onderdeel van het onderzoek.
Figuur 8: Toetsingskader in verhouding tot het onderzoek
33
4.1 Scope, reikwijdte en beperkingen
Het toetsingskader beperkt zich tot een aantal facetten: de wettelijk gestelde eisen in de Wbp en de
daarop aanvullende wettelijke eisen die momenteel in de algemene verordening gegevensbescherming
zijn opgenomen. Andere wetgevingen welke in het kader van bijvoorbeeld de decentralisaties relevant
zijn, maken geen deel uit van dit onderzoek. Dit geldt ook voor wetgevingen die bijvoorbeeld strengere
eisen stellen aan een specifiek onderdeel dat ook in de Wbp terugkomt. Een voorbeeld hiervan is de eis
aan bewaartermijnen voor persoonsgegevens. In dit geval kan bijvoorbeeld de Archiefwet leidende zijn,
dit is echter niet meegenomen in het onderzoek.
Daarnaast beperkt het toetsingskader zich tot elementen welke vanuit de decentralisaties relevant zijn.
In de paragraaf gewijd aan de totstandkoming van het toetsingskader (paragraaf 4.2) wordt hier verder
aandacht aan besteed. Een laatste beperking is gericht op de diepgang van het toetsingskader. Het
toetsingskader kent een verkennend karakter (quick scan). Dit verhoudt zich tot het kader als normen
die zich beperken tot eisen aan processen en procedures.
Samenvattend kan gesteld worden dat het toetsingskader de volgende beperkingen kent:
• Beperkingen ten aanzien van omvang (toegespitst op de Wbp, de algemene verordening
gegevensbescherming en de decentralisaties).
• Beperkingen ten aanzien van diepgang (verkennend karakter en derhalve gericht op proces- en
procedure eisen en in mindere mate detail vragen).
• Beperkingen ten aanzien van toepassing (toegespitst op gemeenten in het kader van de
decentralisaties en niet op bijvoorbeeld ketenpartijen of serviceorganisaties).
4.2 Totstandkoming
Een belangrijke voorwaarde uit de wetgeving is de vaststelling of de wet wel of niet van toepassing is.
Deze afweging dient plaats te vinden voordat een gemeente over gaat tot de verwerking van een
persoonsgegevens. Vanuit de Wbp is dit een belangrijke stap, echter voor de totstandkoming van het
toetsingskader is dit buiten beschouwing gelaten. Het toetsingskader is gericht op verwerking waarvoor
geldt dat de Wbp van toepassing is.
4.2.1 Analyse wettelijke eisen Wbp en algemene verordening gegevensbescherming
In de paragrafen 3.2 en 3.3 zijn de wettelijke eisen uit de Wbp en de aanvullende wettelijke eisen uit de
algemene verordening gegevensbescherming uiteengezet. Voor het opstellen van het toetsingskader is
in kaart gebracht welke eisen in het toetsingskader opgenomen dienen te worden, namelijk:
• Wbp
• Doelmatigheid.
• Doelbinding.
• Doeleinden.
• Proportionaliteit en subsidiariteit.
• Bewaartermijnen.
• Dataminimalisatie en kwaliteit van data.
• Beveiliging.
• Rechtsverhoudingen tussen verantwoordelijke en bewerker.
34
• Voornemen en melden.
• Transparantie.
• Rechten van de betrokkene (inzage, correctie, verzet, vernietiging, etc.).
• Algemene verordening gegevensbescherming
• Meldplicht datalekken.
• Gegevensoverdraagbaarheid.
• Privacy by design.
• Privacy by default.
• Privacybeleid.
• Functionaris voor de Gegevensbescherming.
4.2.2 Organisatorische- en verwerkingsmaatregelen
Het samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit heeft in het jaar 2000 een
raamwerk opgesteld welke is toegespitst op de Wbp. Dit raamwerk is breed toepasbaar, en maakt een
duidelijke scheiding tussen de organisatie en de verwerking. Hierbij wordt het uitgangspunt van de
organisatie omschreven als: “… om vanuit de doelstelling van de organisatie een privacybeleid te
ontwikkelen, op basis waarvan een beleid voor de verwerking van persoonsgegevens kan worden
geformuleerd. Aanvullend zal het bestaande privacybeleid worden geëvalueerd en verschillen ten
opzichte van de implementatie van de WBP-eisen in kaart worden gebracht”.20
Het uitgangspunt van de verwerking wordt omschreven als: “Het geformuleerde beleid dient
geconcretiseerd te worden naar specifieke maatregelen en procedures voor de verwerkingscyclus van
persoonsgegevens. Het definiëren van concrete maatregelen en procedures vindt plaats na een grondige
risicoanalyse, waarin bedreigingen worden geïnventariseerd waaraan de verwerking van
persoonsgegevens blootstaat. In dit verband worden de sterke en zwakke punten van de
gegevensverwerking vastgelegd. De risico’s tezamen met de sterke en zwakke punten van de
verwerkingsorganisatie en een kosten-/batenanalyse leiden, op basis van het gedefinieerde
privacybeleid, tot een afgewogen keuze voor de te treffen voorzieningen van organisatorische en
technische aard. Het management dient vervolgens zorg te dragen voor implementatie van de gekozen
voorzieningen op een toereikend niveau”.19
Voor het toetsingskader is aansluiting gezocht bij de splitsing die in het raamwerk wordt gemaakt tussen
de organisatorische maatregelen en de verwerkingsmaatregelen. De organisatorische maatregelen gaan
in op het organisatorische aspect van de verwerking. Dit betreffen waarborgen dat verwerkings-
maatregelen op grond van een juiste basis geïmplementeerd zijn. De organisatorische- en
verwerkingsmaatregelen sluiten aan bij de eisen die vanuit de Wbp gesteld worden, eisen die in
paragraaf 3.2 uitvoerig staan beschreven. De organisatorische- en verwerkingsmaatregelen sluiten ook
aan bij de eisen die vanuit de algemene verordening gegevensbescherming worden gesteld. Deze zijn
terug te vinden in paragraaf 3.3 van dit rapport.
20 Raamwerk Privacy Audit, Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit (waaronder NoREa),
2000.
35
4.2.2.1 Organisatorische maatregelen
De organisatie van de gemeente dient waarborgen te treffen welke garanderen dat
gegevensverwerkingen binnen de kaders van de wet worden uitgevoerd. Om aan deze eisen te voldoen
dienen op beleidsniveau beleid, processen en procedures te zijn ingericht. Hiermee wordt onder andere
invulling gegeven aan artikel 13 uit de Wbp, echter overstijgt de inrichting van organisatorische
maatregelen zoals hier bedoeld wordt, artikel 13. Om die reden zijn er voor het toetsingskader op
hoofdlijnen de volgende normen geïdentificeerd21:
• planning en organisatie van de verwerking van persoonsgegevens (paragraaf 3.2.1.2.1);
• definiëren van de verwerkingsorganisatie en haar relaties (paragraaf 3.2.1.2.1);
• communiceren van privacydoelstellingen en –beleid (paragraaf 3.2.1.2.1 & 3.2.1.6);
• personeelsmanagement (paragraaf 3.2.1.2.1);
• waarborgen om aan aanvullende eisen te voldoen (paragraaf 3.2.1.2.1);
• beoordelen van afhankelijkheid en kwetsbaarheid van de gegevensverwerking (paragraaf 3.2.1.2.1);
• waarborgen van eisen aan derde partijen (paragraaf 3.2.1.2.1);
• waarborgen van logische toegangsbeveiliging (paragraaf 3.2.1.2.1);
• gegevensbeheer (paragraaf 3.2.1.2.1).
De geïdentificeerde normen kennen nog een verdiepingsslag. Per geïdentificeerde norm worden
vervolgens detailnormen uitgewerkt. De resultaten hiervan zijn zichtbaar in bijlage 3.
4.2.2.2 Verwerkingsmaatregelen
De verwerkingsmaatregelen sluiten aan bij de wettelijke eisen welke terug te vinden zijn in het wettelijk
kader van de Wbp en van de algemene verordening gegevensbescherming. Voor het toetsingskader
aangaande de verwerkingsmaatregelen zijn op hoofdlijnen de volgende normen geïdentificeerd:
• voornemen en melden (paragraaf 3.2.1.3);
• transparantie (paragraaf 3.2.1.6);
• doelbinding en doeleinden (paragraaf 3.2.1.2.1);
• rechtmatige grondslag (paragraaf 3.2.1.2);
• kwaliteit (paragraaf 3.2.1.2.1);
• rechten (paragraaf 3.2.1.7);
• beveiliging (paragraaf 3.2.1.2.1);
• bewerker (paragraaf 3.2.1.2.1).
Normen ten aanzien van het uitwisselen van persoonsgegevens buiten de EU zijn buiten beschouwing
gelaten. Ook voor de geïdentificeerde normen ten aanzien van de verwerkingsmaatregelen geldt dat er
nog een verdiepingsslag is. Het volledige kader is bijgesloten in bijlage 3.
4.2.3 Scoringsmodel
Om de resultaten uit de toepassing van het toetsingskader inzichtelijk te maken is een scoringsmodel
ontwikkeld. Door de scores aan de normen toe te kennen kan inzichtelijk worden gemaakt in welke mate
er aan een norm wordt voldaan. Voor het toetsingskader is gekozen voor een scoringsmodel bestaande
uit vier niveaus, te weten:
21 Deze aandachtsgebieden zijn zorgvuldig uit het Raamwerk Privacy Audit geselecteerd uit 23 aandachtsgebieden.
36
• Voldoende (score 3);
De norm is zodanig geïmplementeerd dat voldaan wordt aan de wettelijke eisen. De procedure kan
slechts beperkt nog worden verbetert. Een voorbeeld kan zijn een procedure waaraan nog een
beperkt aantal elementen ontbreken (niet meer dan drie) die niet vereist zijn maar wel aanbevolen
worden door best practices.
• Beperkt (score 2);
De norm is deels geïmplementeerd en inhoudelijk ontbreekt er nog te veel om te voldoen aan de
wettelijke eisen. Een voorbeeld kan zijn een procedure welke de helft van de verwachte
aandachtspunten bevat, welke geen vastgelegde eigenaren kent en welke niet door management is
vastgesteld.
• Onvoldoende (score 1);
De norm is zeer beperkt geïmplementeerd. Er is bijvoorbeeld een procedure in concept aanwezig of
er zijn meerdere lossen documenten aanwezig die gezamenlijk één procedure vormen. Men heeft
geen planning ten aanzien van de afronding van de conceptstukken of ten aanzien van het
samenvoegen van de documenten tot één procedure. Ook is het management niet actief betrokken
bij de totstandkoming van het document of de inrichting ervan.
• Niet aanwezig (score 0).
Procedures en processen ten aanzien van het relevante onderwerp zijn niet aanwezig. Er wordt niet
aan de norm voldaan.
Figuur 9 illustreert hoe toepassing van het scoringsmodel eruit kan komen te zien nadat de resultaten
verwerkt zijn.
Figuur 9: Voorbeeld van verwerkte resultaten van een toegepast toetsingskader
37
4.2.4 Aangepast scoringsmodel op basis van eerste interview
In hoofdstuk 5 worden de resultaten uit de uitgevoerde interviews beschreven. Tijdens het eerste
interview is er op basis van de ontvangen terugkoppeling gekozen om het scoremodel ter plekke aan te
passen en het kader conform deze aanpassing te toetsen. Reden hiervoor was dat het de toepasbaarheid
ten goede kwam en de huidige niveaus geen correcte weergave konden geven van nuanceringen ten
aanzien van de norm. In paragraaf 5.2.5 ga op de bevinding in. Hetgeen ertoe geleid heeft dat gekozen
is voor de volgende scoringsniveaus:
• Volledig aanwezig (5);
De norm is zoals omschreven volledig bij de gemeente geïmplementeerd.
• Ruim voldoende aanwezig (4);
De norm zo goed als volledig aanwezig, conform de omschrijving bij de norm. Een voorbeeld kan zijn
dat een procedure is opgesteld maar deze bijvoorbeeld niet door management is vastgesteld. Wel is
vastgesteld dat management actief betrokken is.
• Voldoende aanwezig (3);
De norm is zodanig geïmplementeerd dat voldaan wordt aan de wettelijke eisen, er is echter nog
ruimte voor verbetering. Een voorbeeld kan zijn een procedure waaraan nog enkele elementen
ontbreken die niet vereist zijn maar wel aanbevolen worden. De procedure is ook niet vastgesteld
door management.
• Matig aanwezig (2);
De norm is (deels) geïmplementeerd maar inhoudelijk ontbreekt er nog te veel om te voldoen aan de
wettelijke eisen. Een voorbeeld kan zijn een procedure welke de helft van de verwachte
aandachtspunten bevat, welke geen vastgelegde eigenaren kent en welke niet door management is
vastgesteld. In samenspraak met de gemeenten is bepaald dat procedures, processen en andere
documenten welke zich nog in een ontwikkelingsfase bevinden in deze categorie vallen.
• Onvoldoende aanwezig (1);
De norm is deels geïmplementeerd. Er is bijvoorbeeld een procedure in concept aanwezig of er zijn
meerdere lossen documenten aanwezig die gezamenlijk één procedure vormen. Men heeft geen
planning ten aanzien van de afronding van de conceptstukken of ten aanzien van het samenvoegen
van de documenten tot één procedure. Ook is het management niet actief betrokken bij de
totstandkoming van het document of de inrichting ervan.
• Niet aanwezig (0).
Procedures en processen ten aanzien van het relevante onderwerp zijn niet aanwezig. Er wordt niet
aan de norm voldaan.
Figuur 10 illustreert het aangepaste scoringsmodel dat vervolgens in het kader van dit onderzoek is
toegepast.
38
Figuur 10: Voorbeeld van verwerkte resultaten van het aangepaste en toegepast toetsingskader
39
5 Praktijkonderzoek Het in hoofdstuk 4 ontwikkelde toetsingskader is in de praktijk getoetst om de werking van het kader
vast te stellen en tekortkomingen/verbetermogelijkheden te identificeren. In dit hoofdstuk ga ik in op de
wijze waarop de interviews zijn uitgevoerd (hierin wordt ook aandacht besteed aan de beperkingen van
het praktijkonderzoek) en de terugkoppeling die relevant is voor verbetering/aanpassing van het kader.
De resultaten zijn op basis van interviews met drie gemeenten, te weten gemeente Amsterdam,
gemeente Rotterdam en gemeente Schagen, geïdentificeerd.
Figuur 11 illustreert hoe dit hoofdstuk zich verhoudt tot de andere hoofdstukken in dit rapport.
Figuur 11: Praktijkonderzoek in relatie tot het onderzoek
5.1 Interviews Het toetsingskader is op basis van interviews bij drie gemeenten getoetst. Per gemeente is één interview
gehouden met personen die betrokken en verantwoordelijk zijn voor de gemeentelijke privacy
organisatie in het kader van de decentralisaties. Dit is een randvoorwaarde voor de bruikbaarheid van de
resultaten uit de interviews. Het dient te worden opgemerkt dat de interviews hebben plaatsgevonden
op basis van hoor en wederhoor en dat er geen documentatie is geraadpleegd. De gemeenten die het
toetsingskader hebben ingevuld hebben dit naar eigen zeggen naar waarheid ingevuld, invulling is
derhalve wel onderhevig aan interpretatie van de norm, de scores en van de situatie bij de organisatie
waar het kader wordt toegepast.
Bij elk interview is het toetsingskader zoals vormgegeven in bijlage 3 toegepast. Het toetsingskader is
door de geïnterviewde tijdens het interview ingevuld. Na invulling van het kader is vervolgens door de
geïnterviewde terugkoppeling gegeven op de volgende aandachtsgebieden:
• Relevantie:
Is de norm terecht opgenomen in het toetsingskader? Normen die niet van toepassing zijn op het
40
onderwerp privacy, de Wbp, de algemene verordening gegevensbescherming en/of de
decentralisaties dienen niet opgenomen te zijn in het kader.
• Volledigheid:
Sluit het toetsingskader inhoudelijk aan op de eisen die vanuit de Wbp en de algemene verordening
gegevensbescherming gesteld worden? Het aandachtspunt ten aanzien van de volledigheid beperkt
zich tot de volledigheid binnen de beperkingen van het onderzoek zoals benoemd onder paragraaf
4.1.
• Juistheid
Zijn de in het kader opgenomen normen juist en zijn deze correct verwoord? De normen dienen juist
te zijn beschreven en correcte bewoordingen te bevatten.
• Toepasbaarheid:
Zijn de normen begrijpelijk en bruikbaar voor een derde? De normen dienen begrijpelijk te zijn voor
de doelgroep, privacy functionarissen.
• Scoringsmodel:
Zijn de scoringsniveaus afdoende voor een juiste weergave van de beheersing van de norm? Het is
hierbij van belang dat de scores die per norm toegekend worden zoveel mogelijk aansluiten bij de
werkelijke situatie zoals deze bij het toepassen van het kader aangetroffen wordt.
5.2 Bevindingen werking toetsingskader
Het toetsingskader is afzonderlijk bij de drie gemeenten getoetst. In deze paragraaf worden de
bevindingen uit de interviews echter gebundeld en niet per gemeente weergegeven. De resultaten
worden per aandachtsgebied, conform de beschrijvingen in paragraaf 4.2.2.1 en 4.2.2.2, weergegeven.
5.2.1 Relevantie
De normen in het toetsingskader zijn gebaseerd op de wettelijke eisen uit de Wbp en uit de algemene
verordening gegevensbescherming. Het toetsingskader is gericht op de decentralisaties en in dat kader
is bevonden dat norm 6.4.1 “Geautomatiseerde besluiten” onder aandachtsgebied van het technische
kader “6. Rechten” niet van toepassing is op de situatie bij gemeenten.
De norm beschrijft het volgende: “Er dient een procedure aanwezig te zijn waarin wordt beschreven hoe
geautomatiseerde besluiten plaatsvinden, of dit op grond van profielschetsen is en of in het geval van
profielschetsen ook een menselijke tussenkomst plaatsvindt”. Uit de interviews is gebleken dat in het
kader van de decentralisaties geen geautomatiseerde beslissingen plaatsvinden.
5.2.2 Volledigheid
Uit de interviews is gebleken dat één aandachtsgebied ontbreekt, te weten gegevensuitwisseling binnen
en buiten de EU. Er is aan de betreffende geïnterviewde toegelicht dat dit aandachtsgebied bewust
buiten de scope van dit onderzoek is geplaatst omdat het persoonsgegevens betreft van Nederlandse
burgers welke door Nederlandse gemeenten worden verwerkt. Er is vervolgens door de geïnterviewde
aangegeven dat gemeente wel de verantwoordelijkheid heeft, indien gebruik wordt gemaakt van een
serviceorganisatie, rekening te houden met specifieke eisen ten aanzien van het gebruik van de
persoonsgegevens. Een voorbeeld hiervan is de locatie van het opslaan van de persoonsgegevens.
41
Een ander onderwerp betreft het organisatorische kader, aandachtsgebied ”3. Communiceren
privacydoelstellingen en privacybeleid”. De deelgebieden en normen die hieronder vallen gaan niet in op
de privacydoelstellingen. Er is opgemerkt dat privacydoelstellingen in wettelijk opzicht een belangrijk
aandeel vormen in de wettelijke kaders en dat normen hierover opgenomen dienen te worden in het
toetsingskader.
In hetzelfde deel van het kader, het organisatorische deel, en in het specifiek norm “7.1.1
Overeenkomsten”, is ook een bevinding opgemerkt. Onder norm 7.1.1 worden eisen beschreven die
voor een verwerkingsorganisatie dienen te gelden. Hierbij is opgemerkt dat de gestelde eisen
suggereren dat in dit kader onder verwerkingsorganisatie een leverancier/serviceorganisatie wordt
bedoelt. In het kader van de decentralisaties kan een verwerkingsorganisatie echter ook een ketenpartij
zijn. Derhalve is teruggekoppeld dat onderscheid dient te worden gemaakt tussen de verschillende type
verwerkingsorganisaties, zoals ketenpartijen, leveranciers en service organisaties.
5.2.3 Juistheid
In het kader van de juistheid is uit de interviews terugkoppelingen gegeven aangaande het gebruik van
de term‘ dienen’. Het toetsingskader bevat normen die bijvoorbeeld beschrijven dat ‘procedures dienen
te zijn ingericht’ of dat ‘informatiebeveiliging binnen de gemeente breed gedragen dient te worden’. De
normen werden tijdens de interviews hierdoor beschouwd als een ‘richting’ in plaats van een ‘norm’. Ter
illustratie werd norm 7.1.2. uit het technische kader genoemd. De norm is daarin als volgt beschreven:
“Informatiebeveiliging dient binnen de gemeente breed te worden gedragen. Medewerkers dienen zich
bewust te zijn van hun taken en verantwoordelijkheden op dit gebied door periodiek
bewustwordingstraining te volgen”. De geïnterviewde merkte hierbij op dat hij het eens is dat
informatiebeveiliging breed gedragen dient te worden en dat medewerkers zich inderdaad bewust dienen
te zijn van hun taken en verantwoordelijkheden. Zodoende stelde de geïnterviewde voor de bewoording
aan te passen zodat de strekking verandert van een ‘richting’ naar een ‘eis’.
5.2.4 Toepasbaarheid
Ook de toepasbaarheid van het toetsingskader is als onderdeel van de praktijktoets beoordeeld. De
beschreven normen dienen begrijpelijk te zijn voor de privacy functionaris die geïnterviewd is maar ook
voor derden die in de toekomst wellicht van het toetsingskader gebruik gaan maken. Hierbij dient we te
worden opgemerkt dat toepassing van het kader enige kennis van de concepten privacy en
informatiebeveiliging vereist.
Op basis van de ontvangen terugkoppeling is gebleken dat de normen zoals reeds opgenomen in het
kader begrijpelijk en dus toepasbaar zijn voor de geïnterviewde.
5.2.5 Scoringsmodel
In paragraaf 4.2.4 staat reeds beschreven dat het scoringsmodel tijdens het eerste interview is
aangepast. De geïnterviewde gaf als terugkoppeling dat het gekozen scoringsmodel onvoldoende ruimte
bood voor nuances bij de gestelde norm en dat dit, mede ingeleid doordat de gemeentelijke
verantwoordelijkheid ten aanzien van de decentralisaties pas recent van kracht is geworden, van belang
is omdat gemeenten nog bezig zijn met de invulling van wettelijke eisen. Na wederom te hebben gekeken
naar het in eerste instantie ontwikkelde scoringsmodel is ervoor gekozen het scoringsmodel aan te
passen en het interview op basis van het aangepaste kader uit te voeren.
42
Bij de interviews die daarop volgde is vervolgens eerst de vraag gesteld naar welk scoringsmodel de
voorkeur uitging en waarom. De gemeenten kwamen met vergelijkbare antwoorden en zodoende is de
wijziging definitief aangenomen en zijn ook de andere interviews uitgevoerd conform het aangepaste
scoringsmodel.
43
6 Conclusies Het onderzoek is afgerond en de conclusies zijn op basis van de geïdentificeerde bevindingen in dit
hoofdstuk beschreven. De hoofdvraag van de scriptie luidde: Aan welke privacy voorwaarden dienen
gemeenten te voldoen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties? Om
tot een beantwoording van de hoofdvraag te komen zijn een aantal deelvragen gedurende het onderzoek
beantwoord.
Op basis van mijn onderzoek kom ik tot de conclusie dat een gemeente aan een uitgebreide set van
privacy voorwaarden (tabel 2) moet voldoen bij het uitvoeren van de gedecentraliseerde taken op het
gebied van Wmo, Participatie en Jeugd.
Organisatorisch
Maatregel nr. Omschrijving
1. Planning en organisatie van de verwerking van persoonsgegevens
1.1 Privacybeleid
1.2 Organisatiebeleid
2. Definieer de verwerkingsorganisatie en haar relaties
2.1 Organisatorisch plaatsen van de verwerkingsfunctie
2.2 Rollen en verantwoordelijkheden
2.3 Functiescheiding
2.4 Personeel
3. Communiceren privacydoelstellingen en privacybeleid
3.1 Privacybeleid
3.2 Beveiligingsbeleid
3.3 Communicatie en bewustwording beleid
4. Personeelsmanagement
4.1 Kwalificatie personeel
4.2 Training van personeel
5. Waarborgen dat aan aanvullende eisen wordt voldaan
5.1 Beoordeling van externe eisen
6. Beoordelen van afhankelijkheid en kwetsbaarheid gegevensverwerking
6.1 Risicoanalyse methodiek
7. Derde partijen
7.1 Overeenkomsten
7.2 SLA
44
8. Waarborgen van logische toegangsbeveiliging
8.1 Procedure logische toegangsbeveiliging
9. Gegevensbeheer
9.1 Invoer
9.2 Verwerking
9.3 Uitvoer
9.4 Opslag
9.5 Gegevensoverdraagbaarheid
10. Privacyeffectbeoordeling
10.1 Privacyeffectbeoordeling
11. Voornemen en Melden
11.1 Centraal register
11.2 Verstrekken van inlichtingen over de verwerking
12. Transparantie
12.1 Informatieverstrekking aan de betrokkene
3. Doelbinding
13.1 Doelbinding
13.2 Verenigbaarheid van gegevensverwerking
13.3 Bewaren van persoonsgegevens
14. Rechtmatige grondslag
14.1 Grondslag voor de verwerking van persoonsgegevens
15. Kwaliteit
15.1 Kwaliteit van de invoer, verwerking en uitvoer
16. Rechten
16.1 Inzage
16.2 Verbeteren, aanvullen, verwijderen en afschermen
16.3 Relatief verzet (toekennen na belangenafweging)
16.4 Geautomatiseerde besluiten
17. Beveiliging
17.1 Bewustzijn
17.2 IT-voorzieningen
17.3 Toegangsbeveiliging
45
17.4 Netwerken
17.5 Bewaring en vernietiging
17.6 Continuïteit
17.7 Meldplicht datalekken
18. Bewerker
18.1 Bewerker
Tabel 2: Set aan privacy voorwaarden
Deze set is tot stand gekomen door het inventariseren van de theoretische kaders en het opstellen van
een toetsingskader (zie bijlage 3). Dit toetsingskader is vervolgens in de praktijk gevalideerd en de
resultaten daarvan zijn geanalyseerd. In paragraaf 6.1 ga ik in op de resultaten uit de uitgevoerde
analyse. Vervolgens wordt in paragraaf 6.2 mijn eindconclusie beschreven.
Figuur 12 illustreert hoofdstuk 6 in relatie tot de voorgaande hoofdstukken. Het geeft weer dat de
conclusies kunnen leiden tot aanpassingen aan het toetsingskader.
Figuur 12: Conclusies in relatie tot de overige hoofdstukken van het onderzoek
6.1 Algemene conclusies toetsingskader
In paragraaf 5.2 zijn de bevindingen ten aanzien van de werking van het toetsingskader uitgelicht. Deze
bevindingen vormen een belangrijk onderdeel van de conclusies ten aanzien van het toetsingskader.
Geconcludeerd kan worden dat het toetsingskader aangepast zal moeten worden om de relevantie,
volledigheid, juistheid en toepasbaarheid te waarborgen. Welke aanbeveling wel of niet tot aanpassingen
aan het kader leiden is terug te vinden in tabel 3. Het scoringsmodel is tijdens het eerste interview
aangepast, dit naar aanleiding van de terugkoppeling. De aanpassingen aan het scoringsmodel zijn
vervolgens in de praktijk getoetst bij de drie gemeenten.
46
Tabel 3 omvat een uiteenzetting van wijzigingen welke door de gemeenten zijn voorgesteld. In de
kolommen staan de beschrijvingen van de wijzigingen, tot welk deelgebied deze behoren, de conclusie of
de voorgestelde wijzigingen doorgevoerd dienen te worden en de toelichting die bij de conclusies horen.
Aandachtsgebied Voorgestelde wijziging Doorvoeren
wijziging
(ja/nee)
Toelichting wel of niet
doorvoeren aanpassing
Relevantie Verwijderen norm 6.4.1
“Geautomatiseerde besluiten”. Ja
Op basis van de ontvangen
toelichting en de ervaring en
expertise van de
geïnterviewde is besloten dat
de wijziging bij aanpassing van
het kader dient te worden
doorgevoerd.
Volledigheid
Toevoegen aandachtsgebied
“Gegevensuitwisselingen binnen en
buiten de EU”.
Nee
Het aandachtsgebied zal niet
toegevoegd worden aan het
kader. De aanname wordt
gedaan dat uitwisseling van
gegevens met andere landen
door de gemeenten zelf niet
plaatsvindt. Wel kan het
voorkomen dat de gemeente
een overeenkomst heeft met
een leverancier welke
gegevens verwerkt buiten
Nederland of buiten de EU. Dit
onderdeel is echter in het
kader opgenomen onder
aandachtsgebied 7. “Derde
partijen”. Hierin wordt gesteld
dat een overeenkomst dient
te zijn opgesteld welke een
aantal waarborgen treft.
Toevoegen specifieke normen ten
aanzien van privacydoelstellingen
aan aandachtsgebied 3.
“Communiceren
privacydoelstellingen en
privacybeleid”.
Ja
De privacydoelstellingen
vormen een belangrijk
speerpunt in de wijze waarop
gemeenten met de verwerking
van persoonsgegevens om
dienen te gaan.
Toevoegen specifiek normen ten
aanzien van serviceorganisaties en
ketenpartijen.
Nee
Onderscheid tussen de typen
derde partijen is van belang,
een serviceorganisatie dient
aan andere eisen te voldoen
dan een ketenpartij. Er zal
echter geen norm worden
47
Aandachtsgebied Voorgestelde wijziging Doorvoeren
wijziging
(ja/nee)
Toelichting wel of niet
doorvoeren aanpassing
toegevoegd ten aanzien van
ketenpartijen. Wel zal norm
7.1.1 moeten worden
aangepast zodat enkel de
eisen worden opgenomen die
voor beide type organisaties
relevant zijn. Hierbij zal ook
worden opgenomen dat
specifieke eisen per type
organisatie in overweging
moeten zijn genomen.
Juistheid
De normen zodanig verwoorden dat
het eisen zijn en dat aan de norm
voldaan dient te worden.
Ja
De normen zullen zodanig
verwoord moeten worden dat
gemeenten niet kunnen
antwoorden met een reactie
als: “Wij zijn het eens dat
informatiebeveiliging binnen
de gemeenten breed
gedragen dient te worden”.
Het scoringsmodel dwingt af
dat een score conform het
model moet worden
toegekend. Desalniettemin zal
de formulering moeten
worden aangepast.
Toepasbaarheid
Er zijn geen wijzigingen voorgesteld
die de toepasbaarheid van het kader
vergroten.
N.v.t. N.v.t.
Scoringsmodel
Scores aanpassen zodat deze een
betere weergave kunnen zijn van de
werkelijke situatie bij de gemeente.
Ja
Wijzigingen ten aanzien van
het scoringsmodel zijn reeds
doorgevoerd in het
toetsingskader.
Tabel 3: Conclusies bevindingen werking toetsingskader
De conclusies genoemd in tabel 3 zijn gebaseerd op de terugkoppeling ontvangen van alle geïnterviewde
personen. Op basis van de argumentatie, de wettelijke kaders en de relatie tot de ontwikkelingen
aangaande de decentralisaties is de afweging gemaakt of de voorgestelde wijziging wel of niet
doorgevoerd dient te worden in het toetsingskader.
48
6.2 Eindconclusie Uit dit onderzoek is duidelijk geworden dat privacy een breed begrip is dat veel omvat. Eisen uit wet- en
regelgeving variëren van het beheersen van methodieken voor de uitvoering van risicoanalyses tot het
treffen van technische beveiligingsmaatregelen die de privacy van de burger waarborgen. De
ontwikkelingen in de publieke sector aangaande de decentralisaties eisen dat gemeenten per 1 januari
2015 in staat zijn de nieuwe gemeentelijke taken uit te voeren en dat ook nog eens binnen de wettelijke
kader van diverse wet- en regelgeving zoals de Wbp en in de nabije toekomst de algemene verordening
gegevensbescherming.
In dit onderzoek heb ik in kaart gebracht aan welke privacy voorwaarden voldaan moet worden bekeken
vanuit de Wbp en de algemene verordening gegevensbescherming. Gesteld kan worden dat de privacy
voorwaarden veelomvattend zijn. Gemeenten zijn momenteel nog volop in beweging als het om privacy
gaat. De praktijk heeft uitgewezen dat het opgestelde toetsingskader, welke de geïdentificeerde privacy
voorwaarden omvat, effectief werkt. Enige verbetermogelijkheden zijn geïdentificeerd maar deze zijn
niet van dusdanig impact dat de effectiviteit van het toetsingskader nadelig wordt beïnvloed.
Het opgestelde toetsingskader kan gemeenten helpen inzicht te krijgen in de privacy voorwaarden en in
de mate waarin zij aan deze voorwaarden voldoen. Het kan inzicht bieden in de deelgebieden die extra
aandacht nodig hebben. Hiermee kan gesteld worden dat de doelstelling van dit onderzoek, het
ontwikkelen van een toetsingskader waarmee onderzocht kan worden in hoeverre gemeenten in staat
zijn de privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de
decentralisaties, behaald is.
49
7 Aanvullend onderzoek Bij het ontwikkelen van het toetsingskader en toepassing van dit kader in de praktijk heb ik diverse
beperkingen gedefinieerd. Net als voor menig ander onderzoek geldt, is er ruimte voor aanvullend
onderzoek door bijvoorbeeld deze beperkingen achterwege te laten. Met het huidige toetsingskader is
het mogelijk om de taken in het kader van de decentralisaties bij gemeenten te toetsen conform de
gestelde eisen in de Wbp en in de algemene verordening gegevensbescherming. De Wbp verwijst in
enkele gevallen echter ook naar andere wetgeving zoals bijvoorbeeld de Archiefwet. Ik heb een aantal
deelgebieden gedefinieerd waarop aanvullend onderzoek kan worden uitgevoerd ten gunste van het
reeds ontwikkelde toetsingskader.
7.1 Wet- en regelgeving Om op adequate wijze om te gaan met de persoonsgegevens dient ook in kaart te worden gebracht
welke eisen er in andere wet- en regelgeving gelden. Zodoende dient onderzocht te worden welke wet-
en regelgevingen dit zijn en waar het overlap zit tussen de verschillende wet- regelgevingen. Tijdens dit
onderzoek ben ik de volgende relevantie wet- en regelgeving tegen gekomen:
• Telecommunicatiewet.
• Archiefwet.
• Wet politiegegevens.
• Wet publieke gezondheid.
Ik merk hierbij op dat uit vervolgonderzoek dient te worden vastgesteld welke wetgevingen nog meer
van belang kunnen zijn.
7.2 Expertise en ervaring van de auditor/adviseur Zoals gemeld in paragraaf 5.2.4 dient het individu dat het ontwikkelde toetsingskader zal gaan
toepassen kennis en ervaring te hebben met het toepassen van normenkaders in organisaties.
Daarnaast dient het individu kennis te hebben van de onderwerpen relevant vanuit dit onderzoek,
namelijk privacy, informatiebeveiliging en de decentralisaties. Om vast te stellen welke specifieke
ervaring en kennis benodigd is voor een juiste toepassing van het toetsingskader is aanvullend
onderzoek nodig.
7.3 Privacy audit Het toetsingskader is opgesteld om inzicht te verschaffen aan welke privacy eisen dient te worden
voldaan indien gemeenten taken in het kader van de decentralisaties uitvoeren. Het kader beperkt zich
tot normen ten aanzien van processen en procedures en is toegepast conform het principe van hoor en
wederhoor.
Om met enige zekerheid vast te stellen in welke mate een gemeente aan een norm uit het kader voldoet
dient een privacy audit plaats te vinden conform de audit principes: opzet, bestaan en werking. Het
kader in dit onderzoek is echter niet opgesteld om enige mate van zekerheid te geven over de getoetste
normen. Hiervoor geldt dat aanvullend onderzoek nodig is om vast te stellen of de huidige normen het
juiste niveau en de juiste bewoordingen bevat, en aanvullende normen noodzakelijk zijn.
50
Bronnen
Case Study Research Design and Methods, Yin, R.K., (2009).
A treatise on the law of torts, or the wrongs which arise independent of contract. Thomas M. Cooley.
Chicago, Callaghan and company, 1879.
The General Principles of Constitutional Law in the United States of America. Thomas M. Cooley. Little,
Brown & Co. 1880
The right to Privacy. Samuel Warren, Louis Brandeis. Harvard Law Review Vol. IV No.5, 1890.
Privacy and Freedom. Alan F. Westin. Washington and Lee Law Review Vol. 25, Issue 1, 1968.
European Convention of Human Rights, 1950.
Verenigde Naties (VN), Universele Verklaring van de rechten van de mens (UVRM), 1948.
Wet bescherming persoonsgegevens, 2001.
Algemene verordening gegevensbescherming, 2012.
De Nederlandse Grondwet, Grondwet voor het Koninkrijk der Nederlanden, 2008.
Nieuwe Europese privacyverordening: gevolgen voor gemeenten, VISD.nl,
https://www.visd.nl/gegevensuitwisseling-en-privacy/nieuws/nieuwe-europese-privacyverordening-
gevolgen-voor-gemeenten.
Factsheet on the “Right to be Forgotten”, European Commission, September 2014.
Kamerbrief aanpak decentralisaties op terrein van ondersteuning, participatie en jeugd, Ministerie van
Binnenlandse Zaken en Koninksrijkrelaties, 2013.
Raamwerk Privacy Audit, Samenwerkingsverband Audit Aanpak / Werkgroep Privacy Audit (waaronder
NoREa), 2000.
Contouren voor compliance, Handreiking bij het Raamwerk Privacy Audit, mei 2005.
Advies privacytoets jeugdhulpdomein, College Bschermings Persoonsgegevens (CBP), 3 oktober 2014.
CBP: Nog steeds zorgen over privacy bij decentralisaties, CBP, 11 november 2014,
https://cbpweb.nl/nl/nieuws/cbp-nog-steeds-zorgen-over-privacy-bij-decentralisaties.
CBP: gemeenten mogen bij decentralisatie privacywetgeving niet negeren, CBP, 1 juli 2014,
https://cbpweb.nl/nl/nieuws/cbp-gemeenten-mogen-bij-decentralisatie-privacywetgeving-niet-negeren.
CBP verscherpt aandacht voor informatiebeveiliging gemeenten, CBP, 26 november 2013,
https://cbpweb.nl/nl/nieuws/cbp-verscherpt-aandacht-voor-informatiebeveiliging-gemeenten.
51
CBP wijst op privacyrisico’s van overheveling van taken naar gemeenten, CBP, 30 oktober 2013,
https://cbpweb.nl/nl/nieuws/cbp-wijst-op-privacyrisico%E2%80%99s-van-overheveling-van-taken-naar-
gemeenten.
CBP adviseert over decentralisatie jeugdzorg naar gemeenten, CBP, 5 maart 2013,
https://cbpweb.nl/nl/nieuws/cbp-adviseert-over-decentralisatie-jeugdzorg-naar-gemeenten.
CBP adviseert over nieuwe taken gemeenten bij extramurale begeleiding, CBP, 25 april 2012,
https://cbpweb.nl/nl/nieuws/cbp-adviseert-over-nieuwe-taken-gemeenten-bij-extramurale-begeleiding.
Onderzoek naar de toegang tot Suwinet voor niet-Suwipartijen bij het Uitvoeringsinstituut
Werknemersverzekeringen (UWV), organisatieonderdeel Bureau Keteninformatisering werk en Inkomen
(BKWI), CBP, november 2014.
Doorlichten burgers sociale zekerheid met behulp van SyRI, Privacy Barometer, september 2014,
https://www.privacybarometer.nl/maatregel/85/De_transparante_burger.
Privacy scan, Vereniging Informatievoorziening Sociaal Domein (VISD), http://www.visd.nl.
Factsheet privacy, VISD, https://www.visd.nl/sites/visd/files/Factsheet-privacy-september-2014.pdf.
Transitie jeugdzorg: een overzicht, Movisie, https://www.movisie.nl/artikel/transitie-jeugdzorg-overzicht.
Drie decentralisaties, Vereniging van Nederlandse Gemeenten (VNG),
http://www.vng.nl/files/vng/brieven/2013/attachments/drie-decentralisaties_20130923.pdf.
Handboek Europese gegevensbeschermingswetgeving, Raad van Europa, 2014.
Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP, Eerste Kamer der Staten-
Generaal, maart 2015.
52
BIJLAGEN
53
1 Wettelijk kader Wet bescherming persoonsgegevens
Wet bescherming persoonsgegevens.pdf
54
2 Wettelijk kader algemene verordening gegevensbescherming
Algemene verordening gegevensbescherming originele tekst
EU Data Protection Regulation 2012.pdf
Algemene verordening gegevensbescherming wijzigingen 2014
EU Data Protection Regulation 2014 Amendments.pdf
55
3 Uitgewerkt toetsingskader Organisatorisch
Aandachtsgebied Oordeel
Bij de verwerking van persoonsgegevens is het van belang dat invulling wordt gegeven aan de organisatie van de verwerking. Hierbij wordt uitgegaan van een managementcyclus die bijdraagt aan de realisering van wettelijke eisen door deze eisen door te vertalen in beleid. De organisatie van de verwerking omvat en raakt aspecten als het strategisch en tactisch gemeentelijk beleid, privacybeleid, informatiebeveiligingsbeleid, risicoanalyse, implementatieplan en privacydoelstellingen.
5 = Volledig aanwezig 4 = Ruim voldoende aanwezig 3 = Voldoende aanwezig 2 = Matig aanwezig 1 = Onvoldoende aanwezig 0 = Niet aanwezig
Maatregel nr. Omschrijving norm
1. Planning en organisatie van de verwerking van persoonsgegevens Oordeel
1.1 Privacybeleid
1.1.1
Een privacybeleid dient te zijn gedefinieerd conform de vereisten van de Wbp en relevante materiewetten in het kader van de decentralisaties (Wmo, Jeugdzorg en Participatie).
1.1.2
De richtlijnen in het privacybeleid dienen in relatie te staan tot de aard, de omvang en het gebruik van de persoonsgegevens die binnen de gemeente worden verwerkt (classificatie van gegevens).
1.1.3
Een risicoanalyse heeft vooraf plaatsgevonden en heeft als input gediend voor de totstandkoming van het privacybeleid.
1.1.4
Het privacybeleid dient periodiek te worden getoetst aan wijzigingen in de privacywetgeving en rechtspraak, en wijzigingen in de materiewetten.
1.2 Organisatiebeleid
1.2.1
Het privacy beleid dient aan te sluiten op ander beleid zoals het overkoepelende gemeentelijke beleid en beleid ten aanzien van informatiebeveiliging.
1.2.2
Bij het opstellen van een strategisch en tactisch gemeentelijkbeleid dient door het college B&W mede rekening te worden gehouden met de richtlijnen uit het privacybeleid.
1.2.3
Bij het opstellen van een informatiebeveiligingsbeleid dient door de functionaris voor de informatiebeveiliging rekening te worden gehouden met de richtlijnen uit het privacybeleid.
56
2. Definieer de verwerkingsorganisatie en haar relaties Oordeel
2.1 Organisatorisch plaatsen van de verwerkingsfunctie
2.1.1
De gemeente heeft een verwerkingsfunctie opgericht en aangesteld (functionaris voor de gegevensbescherming), en deze is zodanig in de algemene organisatiestructuur geplaatst dat voldoende autoriteit en onafhankelijkheid wordt gewaarborgd. Daarnaast dient deze te zijn vertegenwoordigd in het management met als doel het bevorderen van het bewustzijn en het onder de aandacht brengen van de privacy- en beveiligingsaspecten.
2.2 Rollen en verantwoordelijkheden
2.2.1 Er dient een organisatiestructuur te zijn waarin rollen en verantwoordelijkheden zijn vastgelegd.
2.2.2
Het personeel dient zich bewust te zijn van de belegde rollen en verantwoordelijkheden en de verantwoordelijkheid die zij hierin hebben.
2.3 Functiescheiding
2.3.1 Er dient sprake te zijn van een adequate functiescheiding in taken en functies.
2.4 Personeel
2.4.1
Er dient een personeelsbeleid te zijn waarin richtlijnen zijn opgenomen en vastgelegd ten aanzien van het aannemen van personeel.
3. Communiceren privacydoelstellingen en privacybeleid Oordeel
3.1 Privacybeleid
3.1.1
Het management is verantwoordelijk voor het openbaar maken en beheersen van het privacybeleid.
3.1.2 Het privacybeleid wordt ten minste jaarlijks herzien en het management is hierbij betrokken.
3.2 Beveiligingsbeleid
3.2.1 De verantwoordelijkheid voor het beveiligingsbeleid is belegd bij het management.
57
3.2.2
Het beveiligings- en interne controlebeleid omvat elementen als: - doel; - verantwoordelijkheden en rollen; - wijze van totstandkoming van het beleid; - definitie van straffende en disciplinaire maatregelen als gevolg van het niet opvolgen van beveiligings- en interne controlemaatregelen.
3.3 Communicatie en bewustwording beleid
3.3.1
Er dient een procedure te zijn opgesteld waarin staat vastgelegd hoe het privacy- en beveiligingsbeleid aan alle medewerkers beschikbaar wordt gesteld en op welke wijze communicatie ten aanzien van het privacy- en beveiligingsbeleid plaatsvindt.
4. Personeelsmanagement Oordeel
4.1 Kwalificatie personeel
4.1.1
Het management stelt periodiek vast of het personeel voldoende gekwalificeerd is op basis van een geschikte opleiding, vereiste training en/of ervaring.
4.2 Training van personeel
4.2.1
Het management waarborgt dat personeel wordt voorzien van voortdurende training voor het up to date houden van kennis, vaardigheden, mogelijkheden en beveiligingsbewustzijn.
4.2.2
Er dient een trainingsprogramma te zijn opgesteld waarbij tenminste de volgende aspecten worden behandeld: - Ethische behandeling van de ICT functie - Beveiligingsaspecten ter bescherming tegen storingen die de beschikbaarheid raken - Vertrouwelijkheid, integriteit en uitvoering van taken op een veilige wijze
5. Waarborgen dat aan aanvullende eisen wordt voldaan Oordeel
5.1 Beoordeling van externe eisen
5.1.1
Er dienen formele procedures aanwezig te zijn voor de beoordeling van externe eisen vanuit: - wet- en regelgeving (materiewetten Wmo, Participatie en Jeugd); - toezichthoudende organisaties.
58
5.1.2
De procedures dienen te voorzien in een tijdige wijziging van het beleid op grond van de veranderde externe eisen.
5.1.3 De verantwoordelijkheid voor de beoordeling van de externe eisen dient te zijn belegd.
6. Beoordelen van afhankelijkheid en kwetsbaarheid gegevensverwerking Oordeel
6.1 Risicoanalyse methodiek
6.1.1
Het management dient een risicoanalyse methodiek te hebben aanvaard waarin onder andere een periodieke beoordeling van de relevante risico's t.a.v. het behalen van de Wbp doelen is opgenomen.
6.1.2
Er dient een risicoanalyse uitgevoerd te worden die het bereik en de grenzen, de te gebruiken methodiek, de verantwoordelijkheid en de benodigde vaardigheden definieert.
6.1.3
De resultaten uit de risicoanalyse leiden tot een risicoactieplan waarin de behandeling van risico's staat beschreven. Indien risico's dienen te worden gemitigeerd dienen de maatregelen te zijn beschreven in het risicoactieplan.
7. Derde partijen Oordeel
7.1 Overeenkomsten
7.1.1
Er dient een overeenkomst te zijn opgesteld tussen de verwerkingsorganisatie en de verantwoordelijke waarbij afspraken zijn vastgelegd over tenminste de volgende aspecten: - beschikbaarheid - betrouwbaarheid - niveaus van gebruikersondersteuning - rampen- en herstelplan - beveiliging - minimum acceptatieniveau van voldoen aan geleverde systeemfunctionaliteit - restricties en wijzigingsprocedures
7.1.2
Het management dient toezicht te houden op de afspraken vastgelegd in overeenkomsten tussen de verwerkingsorganisatie en de verantwoordelijke.
7.2 SLA
7.2.1 De afspraken overeengekomen in een overeenkomst dienen te zijn vastgelegd in een SLA.
59
7.2.2
Het management dient toezicht te houden op de prestaties van de andere partij, conform vastgelegd in de SLA.
8. Waarborgen van logische toegangsbeveiliging Oordeel
8.1 Procedure logische toegangsbeveiliging
8.1.1
Het management dient beleid op te stellen omtrent logische toegangsbeveiliging. Onderwerpen die hierin terug dienen te komen zijn onder andere: - Authenticatie en toegang - Beveiliging van directe toegang tot gegevens - Beheren, gebruik en beoordeling van gebruiker accounts - Classificatie van gegevens - incidentenbehandeling (inclusief beveiligingsincidenten) - Melding van privacy incidenten - Cryptografie - Encryptie - Bescherming en detectie virussen, malware
9. Gegevensbeheer Oordeel
9.1 Invoer
9.1.1
Er dienen procedures aanwezig te zijn die waarborgen dat alle geautoriseerde brondocumenten tijdig, volledig, accuraat en juist worden ingevoerd.
9.1.2
Foutafhandelingsprocedures tijdens de gegevensinvoer waarborgen dat fouten worden ontdekt, gemeld en gecorrigeerd.
9.1.3
Er dienen procedures aanwezig te zijn die waarborgen dat originele brondocumenten in bezit blijven van dan wel binnen een acceptabele termijn reproduceerbaar zijn door de gemeente.
9.2 Verwerking
9.2.1
Er dienen procedures te zijn opgesteld die functiescheiding van het werk waarborgen en die het routinematig controleren van het werk waarborgen.
9.3 Uitvoer
9.3.1
Er dienen procedures aanwezig te zijn voor het behandelen, behouden en verspreiden van computerinvoer.
9.3.2
Een adequate beveiliging dient ongeautoriseerde toegang en wijziging van gevoelige informatie tijdens transmissie en transport te voorkomen.
60
9.3.3 Er dienen procedures te zijn ontwikkeld die voorzien in de vernietiging van persoonsgegevens.
9.4 Opslag
9.4.1
Er dienen procedures aanwezig te zijn voor gegevensopslag (rekening houdend met de gewenste beschikbaarheid).
9.5 Gegevensoverdraagbaarheid
9.5.1
Er dient gebruik te worden gemaakt van een gestructureerde format voor gegevensopslag in informatiesystemen ter bevordering van gegevensoverdraagbaarheid.
10. Privacyeffectbeoordeling Oordeel
10.1 Privacyeffectbeoordeling
10.1.1
Er dient een procedure te zijn opgesteld waarin staat beschreven wat onder de term 'bijzondere risico's' wordt verstaan. Indien binnen de gemeente sprake is van bijzondere risico's dient de gemeente privacyeffectbeoordelingen uit te voeren. De uitvoering dient eveneens beschreven te staan in beleid.
61
Verwerking
Aandachtsgebied Oordeel
Het geformuleerde beleid dient geconcretiseerd te worden naar specifieke maatregelen en procedures voor de verwerkingscyclus van persoonsgegevens. Het definiëren van concrete maatregelen en procedures vindt plaats na een grondige risicoanalyse, waarin bedreigingen worden geïnventariseerd waaraan de verwerkingen van persoonsgegevens blootstaat. In dit verband worden de sterke en zwakke punten van de gegevensverwerking vastgelegd. De risico's tezamen met de sterke en zwakke punten van de verwerkingsorganisatie en een kosten-/batenanalyse leiden, op basis van het gedefinieerde privacybeleid, tot een afgewogen keuze voor de te treffen voorzieningen van organisatorische en technische aard. Het management dient vervolgens zorg te dragen voor implementatie van de gekozen voorzieningen op een toereikend niveau.
5 = Volledig aanwezig 4 = Ruim voldoende aanwezig 3 = Voldoende aanwezig 2 = Matig aanwezig 1 = Onvoldoende aanwezig 0 = Niet aanwezig
Maatregel nr. Omschrijving norm
1. Voornemen en Melden Oordeel
1.1 Centraal register
1.1.1
Er dient een proces en procedure te zijn ingericht waarin staat omschreven hoe verwerkingen in het centrale register worden opgenomen en welke stappen gevolgd dienen te worden.
1.1.2 Op een centraal punt binnen de gemeente dient een register van de verwerkingen te worden bijgehouden.
1.1.3 Het register dient de gegevens die relevant zijn in geval van een vrijstelling of melding te bevatten
1.1.4 Het register dient van gemelde verwerkingen de ontvangstbevestiging van het CBP te bevatten.
1.1.5 Het register dient actueel te zijn en te worden bijgewerkt na wijzigingen.
1.2 Verstrekken van inlichtingen over de verwerking
1.2.1
Er dient een proces en procedure te zijn ingericht waarin is opgenomen hoe betrokkene, na verzoek om inlichtingen, worden ingelicht over de verwerking. Tevens dient de procedure aandacht te besteden aan situaties in welke geen inlichtingen worden verstrekt, ook niet op verzoek.
2. Transparantie Oordeel
2.1 Informatieverstrekking aan de betrokkene
62
2.1.1
Er dient een procedure te zijn opgesteld waarin onder andere staat omschreven wanneer informatieverstrekking plaatsvindt, aan wie de verstrekking plaatsvindt en in welke gevallen de informatieverstrekking niet plaatsvindt.
2.1.2
De betrokkene dient vooraf, of indien niet rechtstreeks verkregen van de betrokkene, tijdens de vastlegging, informatie te ontvangen over de identiteit van de gemeente, het doel en de bestemming van de gegevens.
2.1.3
Indien de gemeente zich beroept op het feit dat mededeling onmogelijk is of een onevenredige inspanning kost, dient de herkomst van de gegevens te worden vastgelegd.
3. Doelbinding Oordeel
3.1 Doelbinding
3.1.1 Doeleinden dienen schriftelijk te zijn vastgelegd
3.2 Verenigbaarheid van gegevensverwerking
3.2.1
Indien gegevens worden verwerkt voor andere doeleinden dan waarvoor zij zijn verzameld, dient er sprake te zijn van verenigbaar gebruik. Daarbij dient de gemeente in ieder geval rekening te houden met: - de aard van de betreffende gegevens; - de gevolgen van de beoogde verwerking voor de betrokkene; - de wijze waarop de gegevens zijn verkregen en de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen; - een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift dat de verwerking in de weg kan staan.
3.3 Bewaren van persoonsgegevens
3.3.1 Een bewaartermijn dient te zijn vastgesteld (zie ook 7.5.2).
4. Rechtmatige grondslag Oordeel
4.1 Grondslag voor de verwerking van persoonsgegevens
4.1.1 Er dient een grondslag voor de verwerking te zijn vastgesteld.
4.1.2
Indien sprake is van de verwerking van bijzondere persoonsgegevens, dient de gemeente aantoonbaar de rechtmatigheid en daarmee de specifieke voorwaarden voor de verwerking van bijzodnere persoonsgegevens vast te leggen.
63
5. Kwaliteit Oordeel
5.1 Kwaliteit van de invoer, verwerking en uitvoer
5.1.1
Er dienen procedures te zijn opgesteld die de kwaliteit van invoer, van de gegevensverwerking en van uitvoer waarborgen.
6. Rechten Oordeel
6.1 Inzage
6.1.1
Er dient een proces / procedure te zijn ingericht die het verzoek van de betrokkene om inzage in diens persoonsgegevens regelt.
6.2 Verbeteren, aanvullen, verwijderen en afschermen
6.2.1
Er dient een proces / procedure te zijn ingericht voor de afhandeling van een verzoek de persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking, onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd zijn met een wettelijke voorschrift.
6.2.2
Verzoeken tot inzage en correctie ten aanzien van minderjarigen die de leeftijd van zestien jaar nog niet hebben bereikt, en ten aanzien van onder curatele gestelde dienen door de wettelijke vertegenwoordigers te worden ingediend. De gemeente dient hierop te controleren.
6.3 Relatief verzet (toekennen na belangenafweging)
6.3.1
Er dient een procedure aanwezig te zijn waarlangs de betrokkene te allen tijde verzet kan aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.
6.4 Geautomatiseerde besluiten
6.4.1
Er dient een procedure aanwezig te zijn waarin wordt beschreven hoe geautomatiseerde besluiten plaatsvinden, of dit op grond van profielschetsen is en of in het geval van profielschetsen ook een menselijke tussenkomst plaatsvindt.
7. Beveiliging Oordeel
7.1 Bewustzijn
7.1.1. Er dient een beveiligingsbeleid te zijn opgesteld en formeel te zijn vastgesteld door management.
64
7.1.2
Informatiebeveiliging dient binnen de gemeente breed te worden gedragen. Medewerkers dienen zich bewust te zijn van hun taken en verantwoordelijkheden op dit gebied door periodiek bewustwordingstraining te volgen.
7.1.3
Ingerichte beveiligingsmaatregelen dienen periodiek te worden getoetst en waar nodig te worden verbeterd of ten minste in een actieplan te worden opgenomen.
7.1.4
Er dient een proces / procedure te zijn ingericht waarin omschreven staat hoe met beveiligingsincidenten en privacy incidenten wordt omgegaan.
7.2 IT-voorzieningen
7.2.1
Bij de ontwikkeling van systemen, software en processen dient te worden gecontroleerd of de maatregelen en procedures voor beveiligd in overeenstemming zijn met het informatiebeveiligingsbeleid.
7.2.2
Voor het testen van (wijzigingen in) systemen en software dienen gegevens van fictieve personen te worden gebruikt.
7.3 Toegangsbeveiliging
7.3.1
Er dienen processen en procedure te zijn ingericht die waarborgen dat adequate maatregelen zijn getroffen in het kader van logische toegangsbeveiliging (procedure toekennen, verwijderen en muteren van rechten, wachtwoordbeleid, procedure aangaande het logging, procedure toegang tot computercentra, procedure aangaande backups, etc.).
7.4 Netwerken
7.4.1
Er dienen procedures te zijn opgesteld waarin staat omschreven van welke netwerken er gebruik wordt gemaakt, hoe deze netwerken zijn beveiligd tegen ongeautoriseerde toegang, hoe ze beschermd zijn tegen malafide doeleinden en hoe de over het netwerk verstuurde gegevens worden beschermd.
7.5 Bewaring en vernietiging
7.5.1
Er dient een procedure te zijn opgesteld waarin staat omschreven welke maatregelen getroffen zijn om te waarborgen dat alleen daartoe bevoegde personen kunnen beschikken over de verwijderbare gegevensdragers (laptops, removable media, etc.)
65
7.5.2
Er dient een bewaartermijn te zijn vastgesteld voor de gemaakte backups. De bewaartermijn dient te zijn gebaseerd op wet- en regelgeving. De procedure dient te beschrijven welke wet- en regelgeving dat is en dient tenminste de materiewetten Wmo, Participatie en Jeugd te bevatten.
7.6 Continuïteit
7.6.1
Er dient een proces te zijn ingericht die de continuïteit van de gemeente en de gegevensverwerking waarborgen. Zodoende dient de gemeente te beschikken over een: - Calamiteitenplan - Backup en recovery procedure
7.7 Meldplicht datalekken
7.7.1
Er dient een proces en procedure te zijn ingericht die waarborgt dat datalekken conform de gestelde eisen worden gemeld. Onderdeel van de procedure is tenminste: - Uitspraak wanneer meldplicht wel en niet van kracht is - Overzicht van partijen die geïnformeerd dienen te worden in geval van datalek - Stappen die gevolgd moeten worden in geval van datalek
8. Bewerker Oordeel
8.1 Bewerker
8.1.1
De gemeente dient over een overzicht te beschikken waarin is opgenomen welke rol de gemeente per verwerking inneemt in het kader van de Wbp (verantwoordelijke of bewerker).
8.1.2
De opdrachtnemer (bewerker) dient tenminste dezelfde beveiliging te garanderen als de verantwoordelijke (de gemeente). Er dient een procedure te zijn ingericht waarin staat beschreven hoe afspraken tussen een bewerker en verantwoordelijke dienen te worden vastgesteld en hoe er op naleving van deze afspraken wordt toegezien.