MEMO
ZAAKNUMMER : 2018028569
AAN : Raad
VAN : College van B&W, portefeuillehouder burgemeester H.G. Vos NAMENS DEZE : team Control, M.A.M. van Arensbergen
DATUM : 29 mei 2018
ONDERWERP : Memo over invoering Algemene verordening gegevensbescherming (AVG)/Privacy
Samenvatting
Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in
werking. Om Asten hierop voor te bereiden is medio vorig jaar het privacyproject gestart.
Dit project voorziet in het ontwikkelen en implementeren van het instrumentarium dat verplicht gesteld wordt in de AVG. Met deze memo informeren wij u over de invoering van de Algemene verordening gegevensbescherming.
Inleiding
Als op 25 mei 2018 de AVG definitief van kracht wordt, vervalt de Wet bescherming persoonsgegevens (Wbp). De AVG is Europese wetgeving die rechtstreekse werking heeft in alle lidstaten, zodat in de hele EU dezelfde privacyregels van kracht zullen zijn.
De AVG brengt geen inhoudelijke wijzigingen. De nieuwe verordening betreft vooral een aanscherping van verplichtingen van de verantwoordelijken en verwerkers, en meer rechten voor betrokkenen. De nadruk ligt er hierbij op dat organisaties moeten kunnen aantonen dat zij zich aan de wet houden. De Autoriteit Persoonsgegevens, voorheen College voor bescherming van persoonsgegevens is de nationale toezichthouder.
Deze verordening is van toepassing op alle organisaties in de EU die persoonsgegevens verwerken. De belangrijkste verplichtingen van de AVG zijn:
1. Bewustwording;
Gemeenten dienen ervoor te zorgen dat medewerkers op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op de huidige
processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Door de invoering van de AVG organisatiebreed projectmatig aan te pakken is er de nodige bewustwording gecreëerd.
2. Rechten burgers
Burgers hebben verder het recht te vragen hun gegevens te corrigeren of te verwijderen.
Dit heeft niet enkel betrekking op de gemeentes, maar ook op alle organisaties die in opdracht van een gemeente met persoonsgegevens werken. In het kader van het recht op informatie is een privacyverklaring opgesteld die op de website wordt geplaatst. Hierin wordt uitgelegd hoe Asten omgaat met persoonsgegevens en bij wie burgers terecht kunnen voor vragen, verzoeken en klachten.
3. Register gegevensverwerkingen
De AVG legt een documentatieplicht op, wat inhoudt dat aangetoond moet kunnen worden dat de gemeente handelt in overeenstemming met de AVG. Hiervoor is het van belang dat de gemeente een register van gegevensverwerkingen heeft.
2/3 4. Privacy Impact Assessment (PIA)
Een gemeente moet een PIA uitvoeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dat is een instrument om vooraf de
privacyrisico’s van een gegevensverwerking in kaart te brengen, waarmee vervolgens maatregelen kunnen worden genomen om risico’s te verkleinen. Dit speelt bij veel gemeentelijke processen omdat gemeenten vanuit hun aard veel werken met
privacygevoelige informatie van burgers. De PIA is opgepakt in Peelverband. Momenteel loopt een onderzoek naar het jeugdproces van lokale aanvraag tot individuele
jeugdhulpvoorziening.
5. Privacy by design & privacy by default
Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten door gemeenten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Privacy by default betekent dat de gemeente technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt
worden die noodzakelijk zijn voor het specifieke doel dat de gemeente wenst te bereiken.
6. Benoeming Functionaris Gegevensbescherming
Onder de AVG zijn gemeenten verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen.
7. Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken die zich hebben voorgedaan. Ook de boetes worden substantieel hoger.
8. Verwerkersovereenkomsten
Met een verwerkersovereenkomst wordt geregeld dat organisaties die in opdracht van gemeenten werken zorgvuldig met de verkregen persoonsgegevens omgaan. Het is verplicht om met alle relevante organisaties een dergelijke overeenkomst af te sluiten.
9. Toestemming
Een van de grondslagen om persoonsgegevens te kunnen delen is het krijgen van toestemming hiervoor van de betrokkene. Bij overheidsinstanties is dit weerbarstige materie. Gemeenten moet er rekening mee houden dat burgers het recht hebben om deze toestemming in te trekken.
Om aan bovenstaande te kunnen voldoen en privacy te borgen is door het college privacybeleid vastgesteld en is in de organisatie de privacyfunctie ingesteld.
Algemeen privacybeleid gemeente Asten 2018:
De gemeente geeft met het privacybeleid invulling aan de verplichtingen en bevoegdheden die voortvloeien uit de AVG en laat daarmee zien dat zij de privacy waarborgt, beschermt en handhaaft. Daarmee is het privacybeleid een kader waarin wordt aangegeven aan welke principes de gemeente zich houdt. Zie bijlage.
Privacyfunctie
Om privacy te kunnen borgen in de organisatie onderkennen we de volgende rollen:
1. Functionaris Gegevensbescherming (FG);
2. Privacy Officer;
Ad 1. De FG is wettelijk verplicht. Deze functie wordt in regionaal verband ingevuld.
Aanstelling vindt plaats bij de GR Peelgemeenten. Voor de 6 organisaties wordt 2 fte FG aangesteld, in eerste instantie voor de duur van 2 jaar waarna een evaluatie plaatsvindt op oa de formatie.
Aangezien het niet haalbaar was om voor 25 mei 2 fte FG aan te stellen, is tijdelijk de juridisch controller aangewezen als FG.
Ad 2. De Privacy Officer (PO) heeft vooral een aanjagende en adviserende rol op het gebied van privacy en opereert dicht op de business, is praktisch adviserend en behandelt privacyvraagstukken op casusniveau.
3/3 Deze rol is niet wettelijk verplicht; wordt echter wel geadviseerd door VNG en in
Peelverband is afgesproken op deze wijze de privacy functie in te vullen. De FG heeft een controlerende taak, en is het verlengde van de Autoriteit Persoonsgegevens. Door de functies advies en controle te scheiden wordt voorkomen dat ‘de slager zijn eigen vlees keurt’. Dit waarborgt de geloofwaardigheid, betrouwbaarheid en komt de kwaliteit ten goede. De rol van Privacy Officer wordt belegd binnen de bestaande capaciteit van de juridisch controller met ondersteuning van medewerkster(s) juridische kwaliteitszorg.
Risico’s
Niet naleving van de AVG levert risico’s op:
Financieel (boete en schadevergoeding) en imagoschade.
De in de wet datalekken opgenomen boetes van € 820.000 of 10% van de jaaromzet zijn substantieel verhoogd naar maximaal € 20.000.000 of 4% van de jaaromzet. De drempel om een boete op te leggen is onder de nieuwe wet verlaagd.
Communicatie
Burgers hebben het recht op informatie hoe de gemeente omgaat met
persoonsgegevens. De privacyverklaring op de website legt dit uit. Hierin staat tevens waar burgers met vragen, verzoeken en klachten terecht kunnen. Naast de
privacyverklaring worden het privacybeleid en het verwerkingenregister gepubliceerd op de website.
Uw raad wordt periodiek geïnformeerd over privacy via de paragraaf bedrijfsvoering in begroting en jaarrekening.
Meer informatie over privacy vindt u op : www.autoriteitpersoonsgegevens.nl
Bijlage: Algemeen privacybeleid gemeente Asten 2018 Zie https://www.asten.nl/fileadmin/Asten/PDF-
formulieren_producten/Beleid/Beleid/Algemeen_Privacybeleid25052018.pdf
