16/06/2019
Persoonsgegevens en de regels voor het gebruik ervan
Deze keer besteden we weer aandacht aan de Algemene Verordening Gegevensbescherming AVG, daar zijn nog veel misverstanden over. Velen zijn er ook bang voor, door de boetes en dergelijke. Ons moet van het hart dat als u vroeger goed omging met de Wet Bescherming Persoonsgegeven u niet bang hoeft te zijn voor de AVG. De AVG is vrijwel het zelfde als de WBp, alleen wat meer aangescherpt. Belangrijk is echter wel dat de bewustwording voldoende is, u moet weten wat u waarom doet én of u het er ook mee eens bent.
Waar gaat het over
Er liggen veel gegevens van burgers bij de gemeente. Vaak zijn burgers ook verplicht om hun persoonsgegevens aan de gemeente af te geven. Daarom moet iedereen erop kunnen vertrouwen dat gemeenten zorgvuldig met deze gegevens omgaan.
Er zijn 3 wetten die bepalen hoe gemeenten persoonsgegevens mogen gebruiken. Dit zijn de Algemene verordening gegevensbescherming AVG, de Uitvoeringswet AVG (UAVG) en de Wet basisregistratie personen (Wet BRP). De Autoriteit Persoonsgegevens houdt in de gaten of gemeenten zich aan deze wetten houden.
Bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en de Jeugdwet verzamelen gemeenten meer persoonsgegevens van mensen dan noodzakelijk voor hun zorgvraag. Dit is in strijd met de privacywetgeving. De Autoriteit Persoonsgegevens (AP) onderzocht de manier waarop twee gemeenten persoonsgegevens verwerken in een zelfredzaamheidsmatrix (ZRM). Voorzitter Aleid Wolfsen: “Het gaat hier om persoonsgegevens van kwetsbare mensen. Het is belangrijk dat gemeenten hier zorgvuldig mee omgaan. Goede zorg en een zorgvuldige omgang met persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Alle gemeenten die een ZRM gebruiken, moeten hun werkwijze hierop aanpassen.”
De ZRM is een instrument waarmee wordt gemeten hoe zelfredzaam mensen zijn. De matrix wordt in veel gemeenten als leidraad gebruikt bij contacten met burgers, zoals tijdens de zogeheten keukentafelgesprekken. Met een ZRM worden persoonsgegevens verzameld op een groot aantal domeinen, zoals lichamelijke en psychische gezondheid, financiën en justitie.
Gebruik zelfredzaamheidsmatrix
In de Wet bescherming persoonsgegevens is vastgelegd dat er niet meer persoonsgegevens mogen worden verzameld dan noodzakelijk voor het doel. Uit het onderzoek van de AP blijkt dat met een ZRM ook persoonsgegevens worden verzameld die niet relevant zijn voor de hulpvraag. Daarmee handelen gemeenten in strijd met de wet.
Zorgplicht gemeenten
De AP constateert dat instructies van de gemeenten op dit punt onvoldoende concreet en specifiek zijn. Daarmee voldoen de gemeenten niet aan hun zorgplicht. Gemeenten hebben een zorgplicht om te waarborgen dat professionals voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens noodzakelijk zijn voor de toeleiding naar zorg. Dat betekent dat zij daarvoor waarborgen moeten treffen, bijvoorbeeld door het organiseren van opleidingen en het opstellen van adequate handreikingen voor professionals.
De Autoriteit Persoonsgegevens (AP) heeft bij de Vereniging Nederlandse Gemeenten (VNG) aandacht gevraagd voor de bescherming van persoonsgegevens van kinderen bij
aanbestedingen voor leerlingenvervoer door gemeenten. De AP had signalen ontvangen over publicatie van (bijzondere) persoonsgegevens van kinderen met een zorgvraag of beperkingen op de aanbestedingswebsite.
Noodzaak
Bij de publicatie van de persoonsgegevens van kinderen door gemeenten op de website TenderNed ging het naast namen, adresgegevens, telefoonnummers, geboortedata en schoollocaties ook om heel gevoelige gegevens, zoals een aanduiding van de beperking(en) van de kinderen.
Naar aanleiding daarvan heeft de AP enkele gemeenten benaderd. Deze gemeenten hebben de documenten met persoonsgegevens inmiddels laten verwijderen. “Gemeenten mogen dit soort gevoelige gegevens niet op een aanbestedingswebsite zetten. Dat moet en kan anders.” Aldus Wilbert Tomesen, vicevoorzitter van de AP.
De toezichthouder benadrukt in een brief aan de VNG dat het verwerken, dus ook het publiceren, van persoonsgegevens noodzakelijk moet zijn voor het doel, in dit geval de aanbesteding, waarvoor ze worden gebruikt.
De vraag moet altijd zijn of het doel niet kan worden bereikt met minder gegevens of dat er een andere, minder ingrijpende manier is om hetzelfde doel te bereiken. Bijvoorbeeld als kan worden volstaan met niet-herleidbare gegevens.
Gemeenten kunnen aanbestedingen via verschillende websites of systemen publiceren. Ook dan geldt: publiceer alleen het hoogstnoodzakelijke. De AP heeft de VNG verzocht dit onder de aandacht te brengen van haar leden.
De Functionaris Gegevensbescherming (de FG)
De AP stelt een externe functionaris gegevensbescherming (FG) aan. Een FG houdt intern toezicht op de toepassing en naleving van de AVG en is in beginsel iemand die binnen de organisatie werkzaam is. De AP is echter zelf de onafhankelijke toezichthouder op de naleving van het register bescherming van persoonsgegevens. Om die reden is er voor gekozen een externe FG aan te stellen die meer op aftand staat, om te waarborgen dat ook de FG onafhankelijk van de AP handelt en niet wordt aangestuurd door de AP. De externe FG zal uitsluitend op basis van signalen uit de organisatie acteren en wordt in haar taak uitvoerig bijgestaan door Privacy contact personen binnen de AP, die haar voorzien van de benodigde informatie over bijvoorbeeld nieuwe verwerkingen, DPIA’s die uitgevoerd (moeten) worden en over privacy schendingen of signalen hiervan en (andere) relevante zaken op het gebied van gegevensverwerking binnen de AF. De externe FG zal om die reden worden geïnformeerd en ondersteund worden door een aantal privacy contactpersonen (per directie één) en een concern privacy contactpersoon. Deze personen zullen tevens de privacy-gerelateerde verzoeken en klachten van burgers en personeel behandelen en de externe FG daarover tijdig informeren. Zo wordt geborgd dat de externe FG over afdoende informatie kan beschikken en haar taak goed kan uitoefenen.
Definitie privacy
Hier wordt met de term privacy verwezen naar de informationele privacy. Deze gaat over het verwerken en verzamelen van persoonlijke data, zogeheten persoonsgegevens. Hieronder vallen bijvoorbeeld medische gegevens, financiële gegevens en contact gegevens, maar ook alle andere informatie over geïdentificeerde of identificeerbare natuurlijke personen. De AP volgt de definitie van persoonsgegevens zoals die in de AVG en Richtlijn 2016/680 wordt gegeven en uitgelegd
Begrippen
Persoonsgegevens (artikel 4, aanhef en onder; van de AVG en artikel 3, aanhef en onder; van Richtlijn2o; 6/68o) Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatie zoals een naam, een identiteit nummer, locatie gegevens, een online identificatie of van een of
meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Verwerking (artikel 4, aanhef en onder 2, van de AVG en artikel 3, aanhef en onder 2, van Richtlijn 2016/680)
Een bewerking of een geheel van bewerkingen tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vast leggen, ordenen, structureren, opslaan, bijwerk en of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijk (artikel, aanhef en onder 7, van de AVG) Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unie recht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is en/of volgens welke criteria deze wordt aangewezen.
Verwekingsverantwoordelijke (artikel 3. Aanhef en onder 8, van Richtlijn 2016/680) De bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking in het Unie recht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigde zijn om de persoonsgegevens te verwerken.
Er zijn verschillende ISMS systemen op de markt die u in combinatie met de BIG/BIO kunt gebruiken voor de AVG.
Workshops
Zowel de workshop voor de BIG/BIR/BiWa/IBI/BIO als ook voor de AVG worden gehouden aan de hand van de artikelen uit de betreffende wet en regelgeving. Tijdens deze workshops gaan we bekijken wat de invloed van deze wet en regelgeving is op uw werk, hoe we de artikelen moeten lezen en wat deze artikelen inhoudelijk betekenen.
Daarnaast bekijken we wat de wetgever bedoeld heeft met deze wet en regelgeving.
Ook gaan we bekijken hoe de CISO zich verhoudt tot de FG en waar we deze moeten plaatsen en ook waarom het management dient samen te werken met de CISO en de FG.
We laten ook zien dat beveiliging en de AVG niet simpel het voldoen aan de regeltjes is, maar dat zeker ook het zogenaamde Security by Design-principe belangrijk is.
Andere zaken die aan de orde komen zijn:
• Het verankeren van het beleid in de organisatie
• De beveiligingsbewustwording van de gehele organisatie op peil brengen en houden
• Het betrekken van het MT bij zowel de BIG als ook bij de AVG
Het is core-issue dat men een ad-hoc aanpak heeft als het gaat om business information security (BIS) of AVG. Het is brandweergedrag: men laat zich vaak verrassen, blust dan brandjes en rent daar nog steeds achteraan. Dat geldt zowel voor het management als voor de uitvoerenden.” Wij concluderen dat dat komt doordat het onvoldoende urgentie heeft bij het management, dat er bovendien de kennis niet voor heeft om een betere BIS aan te sturen en blijvend te verankeren, zoals dat wél gebeurt met bijvoorbeeld de financiële administratie. “Zowel uitvoerenden als bestuurders laten zich verrassen door incidenten. Men worstelt met die verantwoordelijkheid en aansprakelijkheid. Een onderzoek leverde concrete tips op om die verantwoordelijkheid en aansprakelijkheid op verschillende niveaus binnen de organisatie beter onder controle te krijgen.
Wij helpen u om (weer) grip op de situatie te krijgen, want er is voor zowel de BIG/BIO als de AVG een sociologische aanpak nodig en dat kan alleen met een juiste houding, een bepaald gedrag en een bijpassende cultuur.
Wij hopen u met bovenstaande informatie een beetje verder geholpen te hebben en natuurlijk kunt u ook uw eigen contactpersoon binnen QCN raadplegen.
Uiteraard staat er ook informatie op onze webpage www.qcn.nl en op https://www.qcn.nl/de-fg/workshop/
Bronnen: In dit stuk hebben we onder andere gebruik gemaakt van teksten van het ministerie van BzK
Quality Centre Nederland biedt gepassioneerde interimmers, CISO, beveiligingsfunctionarissen en Functionarissen Gegevensbescherming voor de overheid.