Algemene Verordening Gegevensbescherming (AVG)

Wijk bij Duurstede, 2 februari 2018 . Op 15 januari stelde de VVD schriftelijke vragen over hoe ver het college is met de voorbereidingen op de invoer van de Algemene Verordening Gegevensbescherming (AVG) die op 30 januari door burgemeester Poppens werden beantwoord en sinds 2 februari zijn te lezen op de website van de gemeente.

  1. Hoe ver is het college met de voorbereidingen op de invoer van de Algemene Verordening Gegevensbescherming (AVG)?
    • Antwoord: De AVG is een aanscherping en uitbreiding van de huidige Wet bescherming Persoonsgegevens (WBP) en de voorbereiding loopt al enkele jaren. Inmiddels zijn de volgende stappen gezet:
      • Er is een procedure voor het identificeren en melden van datalekken
      • Werkprocessen zijn/worden zo ingericht dat ze voldoen aan de AVG
      • Overeenkomsten tussen gemeente en organisaties die persoonsgegevens van onze inwoners verwerken zijn omgezet naar verwerkersovereenkomsten cf de AVG
      • Er wordt voortdurend gewerkt aan bewustwording van het belang van privacy binnen en buiten de gemeentelijke organisatie
      • Bij Loket Wijk (bij stichting Binding) is extern onderzoek gedaan naar de omgang met persoonsgegevens, een zgn privacy impact assessment (PIA)
      • Organisatiebreed privacybeleid is in voorbereiding
  2. Ter ondersteuning van de verantwoordingsplicht van het college bevat de AVG een aantal verplicht voorgeschreven instrumenten, waarbij de volgende vragen relevant zijn:
    • De aanwijzing van een functionaris voor gegevensbescherming
    • 2a. Is er reeds een functionaris gegevensbescherming (FG) aangesteld zoals benoemd in de kadernota 2018-2021 (pag. 10) ?
      • Besloten is om met de 5 gemeenten in regio Zuid-Oost Utrecht, die samenwerken op het sociaal domein, 2 FG’s aan te stellen. De sollicitatieprocedure hiervoor loopt op dit moment.
    • Het opzetten en bijhouden van een verwerkingsregister
    • 2b. Is dit verwerkingsregister op ingangsdatum operationeel binnen de gemeentelijke organisatie en bij verwerkers die in opdracht van de gemeente werken ?
      • Ja. Het opzetten en bijhouden van het verwerkingsregister wordt één van de taken van de regionale F.
    • Het uitvoeren van een privacy impact assessment (PIA)
    • 2c. Heeft er een PIA plaats gevonden en wat zijn daaruit de bevindingen?
      • Antwoord: Er heeft in juni 2017 een PIA plaatsgevonden bij Loket Wijk (Binding). In september zijn de resultaten hiervan gepresenteerd aan betrokkenen en de portefeuillehouders. De bevindingen waren overwegend positief:
        • Een heldere toedeling van verantwoordelijkheden
        • Uitvoering van Wmo en Jeugdwet bij één organisatie, dus een beperkt aantal betrokken partijen
        • Eén case manager per dossier, dus een beperkt aantal betrokken medewerkers
        • Een proces-ondersteunende en veilige webapplicatie (Zorgned)
        • Een automatische koppeling tussen BRP en Zorgned
        • Privacy protocol en verwerkersovereenkomsten
        • Gebruik van veilige mail voor persoonsgegevens
        • Een hoog privacybewustzijn
    • Toepassen van privacy by design/default-principe
      • Er is sprake van Privacy by Default als de instellingen van een programma, app, website of dienst zodanig zijn dat maximale privacy wordt betracht. Privacy by design houdt in dat de organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) aandacht besteedt aan privacybescherming en aan data-minimalisatie: alleen de persoonsgegevens verwerken die noodzakelijk zijn voor het doel van de verwerking.
    • 2d. Wordt er al gewerkt volgens dit principe ?
      • Dit heeft onze aandacht. In het zaaksysteem bijvoorbeeld kan informatie het label ‘vertrouwelijk’ krijgen, waardoor alleen degenen die deze informatie voor het uitvoeren van hun werkzaamheden nodig hebben, daartoe toegang hebben. Daarnaast wordt het gelogd wanneer een medewerker een BSN-nummer raadpleegt in het zaaksysteem. Wanneer nieuwe systemen in gebruik worden genomen, zal privacy by design worden toegepast.
    • Informatiebeveiliging
    • 2e. Hoe wordt gegarandeerd dat privacy gevoelige informatie niet in verkeerde handen terecht komt ? Er is een informatiebeveiligingsbeleid vastgesteld door het college en daarnaast wordt ieder jaar gewerkt aan de hand van een jaarplan informatiebeveiliging.
      • Er kan geen garantie worden gegeven dat er nooit privacy gevoelige (persoons)gegevens naar buiten komen, wel worden er acties ondernomen om dit te voorkomen, bijvoorbeeld door bewustwordingsacitiviteiten in de organisatie. Mocht er toch privacy gevoelige informatie naar buiten komen, dan treedt de procedure datalekken in werking en wordt er aan gewerkt om zo snel mogelijk het datalek te dichten. Betreft het een ernstig datalek, dan wordt dit gemeld aan de Autoriteit Persoonsgegevens (AP).
    • De meldplicht datalekken
    • 2f. Hoe is de meldplicht datalekken verankerd in de organisatie en wordt datalekken gemonitord ?
      • Bij het vermoeden van een datalek wordt de procedure datalekken gevolgd: het datalek wordt geclassificeerd (ernstig of minder ernstig), betrokkenen en college worden geïnformeerd en indien nodig wordt gemeld aan de Autoriteit Persoonsgegevens (AP).
  3. Hoe is het met het privacy bewustwordingsproces van de ambtelijke organisatie in zijn algemeenheid en wat wordt er aan gedaan dit te verhogen tot het niveau dat de AVG vraagt?
    • Antwoord: Er hebben diverse activiteiten op het gebied van bewustwording plaatsgevonden: medewerkers zijn via allerlei kanalen geïnformeerd over het belang van informatieveiligheid en een verantwoorde omgang met persoonsgegevens. Voor wat betreft het sociaal domein, waar veel (bijzondere) persoonsgegevens verwerkt worden, zijn sinds 2014 trainingen en bijeenkomsten georganiseerd over dit onderwerp, voor de medewerkers van Binding en de beleidsadviseurs sociaal domein. Uit de PIA bij Loket Wijk kwam naar voren dat het privacy bewustzijn hier hoog is vergeleken met andere gemeenten.
  4. Zijn privacy gegevens los van elkaar gekoppeld waardoor een waarborg ontstaat dat bij raadpleging alleen de voor het doel van de raadpleging benodigde informatie wordt getoond en houdt de gemeente daar toezicht op. M.a.w. zijn de rechten van betrokkenen gewaarborgd?
    • Antwoord: In het sociaal domein wordt erop gestuurd dat informatie die voor een bepaald doel (bijv uitvoering van een bepaalde wet) wordt verzameld, in principe niet toegankelijk is voor medewerkers die een andere wet uitvoeren. Dat is goed mogelijk door systemen als de leerplichtadministratie (JVS) en Suwinet gescheiden te houden van elkaar en van Zorgned. Het is wel lastig waar we willen dat de medewerkers van Loket Wijk integraal werken volgens het principe van 1 gezin, 1 plan maar zij vervolgens niet hiervoor één dossier zouden mogen aanmaken omdat het zowel Wmo als Jeugdwet betreft. Men kan hier inmiddels mee uit de voeten, maar dit blijft een inconsequentie in de wetgeving in het sociaal domein.
  5. De gegevensverwerking kan gebaseerd zijn op toestemming van betrokkenen. De AVG stelt strengere eisen aan toestemming. Is de manier waarop toestemming wordt gevraagd, krijgt en registreert geëvalueerd? Zijn de toestemmingprocedures hier op aangescherpt?
    • Antwoord: Veel verwerkingen van persoonsgegevens vereisen geen toestemming van de betrokkene omdat deze verwerking nodig is voor de uitvoering van een publiekrechtelijke taak. In het sociaal domein speelt wel regelmatig dat toestemming en informatie van de cliënt nodig is. Uitgangspunt is dan ook dat zoveel mogelijk samen met de cliënt wordt bekeken hoe begeleiding en/of behandeling vorm krijgen.
  6. Hoe staat het met de audit volgens ENSIA. Is deze werkwijze opgenomen in de gemeentelijke planning & controlcyclus ? Wanneer kunnen wij de eerste resultaten daarvan verwachten? De ENSIA vragenlijsten zijn ingeleverd.
    • Antwoord: Op twee onderdelen vindt een onafhankelijke audit plaats: DigiD en Suwinet. De pre-audit DigiD heeft plaatsgevonden, deze is goed verlopen. De definitieve audit volgt. Het gebruik van Suwinet is voor de werk en inkomen taken uitbesteed aan de RSD KRH, vanuit de gemeente is gevraagd om een rapport van een onafhankelijk auditor. De RSD heeft dit rapport opgeleverd, hieruit blijkt dat de RSD voldoet aan alle onderzochte normen. Wijk bij Duurstede volgt de landelijke richtlijn van het proces ‘ENSIA verantwoordingsjaar 2017’. Uiterlijk 1 mei 2018 volgt de een Collegeverklaring Informatieveiligheid. Voor 15 juli 2018 legt het college van B&W verantwoording af over informatieveiligheid aan de gemeenteraad.
  7. Wanneer kunnen wij als raad beschikken over een zgn. collegeverklaring?
    • Antwoord: Uiterlijk 15 juli 2018, passend bij de landelijke ENSIA verantwoordingssystematiek.
  8. Gezien de implementatieopgave. Wat zijn de kosten die aan de invoering van de AVG zijn verbonden en is daar op begroot (bv. de aanstelling van een FG)? In de programma begroting 2017-2020 is hierover niets specifieks te vinden.
    • Antwoord: Voor de FG’s is € 18.000 begroot als zijnde onze bijdrage (i.c. 12 %) in de begroting sociaal domein.
  9. Is het college op de hoogte van het feit dat een niet tijdige implementatie van de invoer van de AVG leidt tot forse boetes van de Gegevens Autoriteit?
    • Ja.
  10. Denkt het college voor de invoerdatum van de AVG op 25 mei ambtelijk gereed te zijn? Zo nee, welke maatregelen worden genomen om dit wel te bewerkstelligen?
    • Ja.
  11. Is het college bereid de raad verder te informeren over de stand van zaken m.b.t. het invoeringstraject van de AVG, zodat deze zijn controlerende taak kan uitvoeren?
    • Ja.

Gratis nieuwsbrief

Aanmelden of afmelden

De nieuwsbrief wordt dagelijks na 18.00 uur gemaild.
captcha