3.5.8 Privacy
Algemene Verordening Gegevensbescherming (AVG)
De gemeente Almelo is verplicht te voldoen aan de Europese privacyregels op grond van de AVG.
Hierin staan de belangrijkste regels voor de omgang met persoonsgegevens. De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Het is een illusie dat een gemeente als ‘AVG-proof’ kan worden betiteld. Er zal namelijk continue aandacht gevraagd moeten worden voor het bewust omgaan met privacygegevens van klanten en eigen personeelsleden. Door het treffen van onderstaande maatregelen kunnen de risico’s worden beperkt.
Maatregelen AVG
In de AVG staat een aantal verplichte maatregelen genoemd om aan de verantwoordingsplicht (accountability) te voldoen. Dit principe vereist dat organisaties passende technische en organisatorische maatregelen nemen om te voldoen aan de beginselen en verplichtingen uit de AVG, en dit ook kunnen aantonen.
Bij onderstaande verplichte maatregelen is cursief de status over 2018 weergegeven:
1. Het aanstellen van een Functionaris Gegevensbescherming (FG):
- De Autoriteit Persoonsgegevens (AP) heeft bevestigd dat de gemeente Almelo per bestuursorgaan de FG heeft aangemeld.
2. Het bijhouden van een ‘Register van Verwerkingsactiviteiten’:
- Het register is aanwezig, waarin 114 verwerkingen van persoonsgegevens zijn opgenomen. De volledigheid en actualiteit van het register is nog niet geborgd. Oorzaken zijn dat er in 2018 veel personele capaciteit is ingezet op privacybewustwording en dat de huidige beschikbaar gestelde privacytool voor het register onbetrouwbare rapportages genereert.
3. Het uitvoeren van Data Protection Impact Assessments (DPIA’s):
- Er zijn in 2018 twee DPIA’s (achteraf) uitgevoerd. De intentie is om DPIA’s uit te voeren vóórdat de verwerkingen met een hoog privacyrisico starten om zodoende inzicht te krijgen in de te treffen maatregelen. Er wordt zoveel mogelijk samenwerking gezocht met de 14 Twentse gemeenten. Hoewel de verantwoordelijkheid voor het opstellen van DPIA’s ligt bij de manager in de lijn wordt deze verantwoordelijkheid nog niet dusdanig opgepakt.
4. Het bijhouden van een register van datalekken:
- In 2018 zijn 45 datalekken in het register geregistreerd, waarvan er 11 bij de AP zijn gemeld.
5. Het aantonen dat betrokkene daadwerkelijk toestemming heeft gegeven:
- De processen waarin persoonsgegevens worden verwerkt, zijn hoofdzakelijk gebaseerd op de wettelijke taak van de gemeente. Verwerkingen van persoonsgegevens binnen het sociaal domein zijn vrijwel nooit gebaseerd op toestemming, aangezien de betrokkene zijn wil in vrijheid moet kunnen uiten. Dat is niet het geval als de betrokkene zich gedwongen voelt toestemming te verlenen of als de betrokkene nadelige gevolgen zal ondervinden van het niet verlenen van toestemming.
In het AVG-Projectplan gemeente Almelo 2018 -2019 zijn de volgende extra (vrijwillige) maatregelen getroffen. De mate waarin deze maatregelen in 2018 zijn uitgevoerd, wordt cursief weergegeven:
6. Het creëren van privacybewustwording:
- Vormgegeven door o.a. 3 externe privacybewustwordingsbijeenkomsten, toelichting in werkoverleggen, advisering bij de pilot ‘Toegang sociaal domein’, cursus AVG (algemeen) en de kennismaking met de ‘Leertuin Integraal werken en Privacy’ t.b.v. medewerkers sociaal domein.
7. Het implementeren van privacybeleid:
- Het ‘Privacybeleid gemeente Almelo 2018 – 2021’ is nog niet op de website gepubliceerd, aangezien de instemming van het Georganiseerd Overleg (GO) nog ontbreekt. Implementatie van het privacybeleid vindt in 2019 plaats nadat de privacy-handreiking opgesteld is.
- Evaluatie AVG-verzoeken:
Jaar | Zaaktype | In behandeling | Afgesloten | Totaal | ||
Sociaal | Overig | Sociaal | Overig | |||
2018 | Verzoek om inzage (AVG) | 5 | 1 | 16 | 2 | 24 |
Verzoek om vergetelheid (AVG) | 1 | 1 | 2 |
(bron: JOIN per 25-01-2019)
- Uit bovenstaande tabel over 2018 blijkt dat Almelo erg veel inzage-verzoeken heeft in het Sociaal Domein.
- Er zijn 2 AVG-verzoeken ingediend (‘overig’), afkomstig van niet-ingezetene van Almelo, welke ook reeds eerder WOB-verzoeken hebben ingediend. Hiervan is nog 1 verzoek om vergetelheid in behandeling (beroepsprocedure). Het andere AVG-verzoek (‘overig’) betreft een verzoek om inzage (met een bezwaarprocedure) is afgehandeld.
- Vanuit het regionale platform FG/CISO blijkt dat Almelo koploper is in het aantal inzageverzoeken.
8. Het afleggen van verantwoording d.m.v. de P&C-cyclus:
- De gemeente laat de verantwoording, zowel t.a.v. informatiebeveiliging als privacy, vanaf 2018 meelopen in de P&C-cyclus.