Privacy

Het jaar 2018 was op het gebied van gegevensbescherming bijzonder voor organisaties en burgers, zo ook voor de gemeente Gemeente Hulst. Op 25 mei 2018 werd namelijk de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG verving de Wet bescherming persoonsgegevens (Wbp) en zorgt voor een verhoogde aandacht voor een rechtmatige verwerking van persoonsgegevens in alle sectoren. De overheid heeft hierin een belangrijke voorbeeldfunctie.

De AVG versterkt de positie van de betrokkenen, de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Hierdoor krijgen organisaties die persoonsgegevens verwerken, zoals gemeente Hulst, meer verplichtingen. De nadruk ligt nu meer op de verantwoordelijkheid om te kunnen aantonen dat zij zich aan de wet houden. De Autoriteit Persoonsgegevens (AP) is het controlerend orgaan voor deze wetgeving (en kan boetes opleggen). Deze heeft voor de implementatie binnen een organisatie een 10 stappenplan geïntroduceerd. De gemeente Hulst heeft in 2018 de volgende stappen gezet:

Stap 1: Bewustwording
Interne communicatie over privacy dient een onderdeel te zijn van de reguliere bedrijfsvoering bij de gemeente Hulst om privacy bewustwording te blijven garanderen. De gemeente Hulst
heeft het afgelopen jaar de diverse acties ondernomen om privacy bewustwording binnen de
organisatie te vergroten. Ook in 2019 zal er continu aandacht blijven voor de bewustwording op het gebied van zowel privacy als informatiebeveiliging.

Stap 2: Rechten van betrokkenen
Het is van belang dat medewerkers van de gemeente Hulst op de hoogte zijn van deze rechten en weten welke stappen zij dienen te nemen wanneer een betrokkene een beroep doet op een (of meerdere) van zijn rechten. In het privacy Statement op de gemeentelijke website wordt de burger op zijn/haar rechten gewezen. Vanaf 25 mei 2018 zijn er bij de gemeente Hulst geen verzoeken ingediend.

Stap 3: Overzicht verwerkingen
De gemeente Hulst heeft grote stappen gezet met het inventariseren, implementeren en
completeren van het verwerkingsregister. Het huidige verwerkingsregister bevat de minimale verplichte onderdelen die op grond van de AVG zijn vereist. Wel zijn er nog een aantal slagen te maken met het completeren van het verwerkingsregister. Dit staat op de planning van 2019

Stap 4: Data protection impact assessment (DPIA)
Indien sprake is van een risicovolle verwerking dient Data Protection Impact Assessment (DPIA), te worden uitgevoerd. Tot op heden is er een DPIA uitgevoerd ten aanzien van de Omgevingswet en het Omgevingsloket en gebruik SUWInet bij de PW, IOAW en IOAZ. Ook voor nieuwe of gewijzigde processen wordt het uitvoeren van een DPIA aangeraden. Voor 2019 staan er dan ook een aantal DPIA’s op de planning.

Stap 5: Privacy by design & privacy by default
Deze stap heeft de aandacht om er voor te zorgen dat het een structureel aandachtsgebied binnen de gemeentelijke bedrijfsvoering wordt. Zowel in technisch als in organisatorisch opzicht zullen hier nog stappen in worden gezet. Privacy wordt aan de voorkant bij inrichting van processen en systemen al wel meegenomen.

Stap 6: Functionaris voor de gegevensbescherming
De gemeente Hulst heeft samen met de gemeente Terneuzen, gemeente Sluis en de gemeenschappelijke regeling SABEWA een Functionaris Gegevensbescherming (FG) aangesteld. Er is gekozen voor een externe FG van het bureau Privacy Company zodat deze een onafhankelijke rol kan vervullen.
Naast de FG heeft de gemeente Hulst een Privacy Officer (PO) aangesteld. Waar de FG toeziet op de naleving van de AVG, heeft de PO een adviserende en coördinerende rol binnen de gemeente Hulst op het gebied van de implementatie (en naleving) van de AVG.

Stap 7: Meldplicht datalekken
Er hebben bij de gemeente Hulst in 2018 twee datalekken plaatsgevonden. Ook is er sprake geweest van een aantal beveiligingsincidenten, echter zijn deze beveiligingsincidenten op basis van de gestelde afwegingskaders niet als een datalek aangemerkt. Voor het bijhouden van beveiligingsincidenten en mogelijke datalekken is een meldingsregister opgesteld. Hiermee voldoet de gemeente Hulst aan een belangrijke verplichting onder de AVG, namelijk het registreren van beveiligingsincidenten.

Stap 8: Verwerkersovereenkomsten
De gemeente Hulst maakt gebruik van de standaard verwerkersovereenkomst van de IBD.  Met het merendeel van de verwerkers waarmee de gemeente een verwerkersrelatie heeft in de zin van art. 28 AVG, heeft de gemeente een verwerkersovereenkomst dan wel convenant gesloten.

Stap 9: Leidende toezichthouder
De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.

Stap 10: Toestemming
Gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Behoudens binnen het sociaal domein is binnen andere vakgebieden toestemming van een betrokkene niet aan de orde.