Privacy en de AVG in het Sociaal domein

door | 4 juni 2020 | Niet gecategoriseerd | 0 Reacties

Kernpunten van de visie op gegevensverwerking en privacy in het sociaal domein

Deze visie is gebouwd op de volgende pijlers:

  • balans tussen noodzakelijke gegevensverwerking vanuit de maatschappelijke opgave in het sociaal domein en borging van de privacy, versterking van de positie van de burger  en versterken van de democratische verantwoording over gegevensverwerking en privacy op lokaal niveau.

De AVG is leidend

De wijze van gegevensverwerking is vastgelegd in de sector wetgeving. Hierin zijn de wettelijke grondslagen vastgelegd op basis waarvan gemeenten gegevens kunnen verwerken. In die wetten wordt ook een wettelijke basis gelegd voor integrale dienstverlening en de daarvoor noodzakelijke gegevensverwerking.

  • De AVG biedt voldoende mogelijkheden om, indien noodzakelijk, gegevens te verwerken ten behoeve van het oplossen van probleem situaties. Het is veeleer daar waar de AVG met algemeen geformuleerde normen ruimte biedt voor maatwerk, waar de discussie en interpretatieverschillen ontstaan.
  • Het goed regelen van informatiebeveiliging en privacy in een beleidsdocument is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van de bedrijfsvoering optimaal te kunnen waarborgen.
  • Onder informatiebeveiliging en privacy wordt verstaan het nemen en onderhouden van een hoeveelheid samenhangende maatregelen zodat de betrouwbaarheid van de informatievoorziening gegarandeerd kan worden.

Informatiebeveiliging richt zich op de volgende aspecten:

  • Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.
  • Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.
  • Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.

Accountability

Als verwerkingsverantwoordelijke bent u verantwoordelijk voor de rechtmatige en zorgvuldige omgang met persoonsgegevens. Dit betekent dat u:

  • de plichten uit de Verordening moet naleven; en
  • dat u de goede naleving van deze plichten kunt aantonen.

Deze verantwoordingsplicht (in het Engels accountability) staat centraal in de Verordening en geldt te allen tijden. Als verwerkingsverantwoordelijke bent
u verplicht passende en effectieve maatregelen vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden. Bij het nemen van
maatregelen moet u rekening houden met de aard, de omvang, de context en het doel van de verwerking en de risico’s die uw verwerking voor de rechten en vrijheden van de betrokkene kunnen hebben.

  • De verwerkingsverantwoordelijke is degene die ‘doel en middelen’ bepaalt voor de verwerking. Met andere woorden, de verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens worden verwerkt. De verwerkingsverantwoordelijke is de (rechts)persoon die letterlijk de verantwoordelijkheid heeft voor het naleven van de Verordening.
  • De verwerker handelt in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, zonder onder diens rechtstreeks gezag te staan.

De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”)

Persoonsgegevens mogen alleen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

Digitale technische ondersteuning en Privacy

Digitale technische ondersteuning en Privacy vertaalt de Algemene Verordening Gegevensbescherming naar de praktijk. Het bevat afspraken over het omgaan met persoonsgegevens bij het gebruik van digitale hulpmiddelen. Dankzij het convenant weten aanbieders wat ze over en weer van elkaar mogen verwachten, zijn de afspraken werkbaar in de praktijk en heeft iedereen dezelfde gemeenschappelijke uitleg bij deze afspraken.

Voorbeeld: Een Uniforme aanpak

  • Het Gemeentedossier is een functionaliteit specifiek ontwikkeld met het doel technische ondersteuning te geven aan organisaties bij de verwerking- en beveiliging van persoonsgegevens voor de in deze doelbinding vastgelegde verwerkingscriteria.

Voor de aanpak is uit gegaan van een gestandaardiseerd implementatiemodel waarmee de organisatie ondersteunt wordt bij het formuleren en vastleggen van de verwerkingscriteria zoals bedoeld in de Contouren of compliance. Deze documentatie vormt de basis voor de Accountability documentatie en beschrijft alle criteria die volgens de AVG aantoonbaar moeten zijn vastgelegd.

De Privacy Management Methode (P.M.M ®)  een Uniforme, gestandaardiseerd aanpak .

Voor de aanpak is uit gegaan van een  gestandaardiseerd implementatiemodel waarmee de organisatie ondersteunt wordt bij het formuleren en vastleggen van de verwerkingscriteria zoals bedoeld in de Contouren of compliance. Deze documentatie vormt de basis voor de Accountability documentatie en beschrijft alle criteria die volgens de AVG aantoonbaar moeten zijn vastgelegd.

Het doel is het creëren van een gestandaardiseerd implementatiemodel waarin alle aspecten die noodzakelijk zijn voor het vastleggen van  beleidsprocedures waarin alle criteria van de verwerking- en beveiliging  van persoonsgegevens zijn opgenomen en gedocumenteerd zoals bedoeld in de Contouren of compliance.

De kern van dit document bestaat uit:

  1. Beschrijving van de richtlijnen voor de gegevensverwerkingen: een beschrijving van aspecten die van toepassing zijn voor de verwerking van persoonsgegevens met de AVG criteria als uitgangspunt;
  2. Beschrijving van het beveiligingskader voor de informatiebeveiliging: een beschrijving van alle aspecten voor de beveiliging van persoonsgegevens die noodzakelijk zijn om  de beveiligingsprocedures in relatie tot de verwerkingsdoeleinden vast te leggen;
  3. Beschrijving en beoordeling risico’s voor betrokkenen: een beschrijving van de beleidsprocedures ter beoordeling van de gevolgen en risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen.
  4. Beschrijving voorgenomen maatregelen voor datalekken:Een beschrijving van beleidsprocedures ter beoordeling van de voorgenomen maatregelen om deze gevolgen en risico’s van de datalekken vast te leggen en te documenteren.

Met de voor deze aanpak ontwikkelde methode wordt een organisatie ondersteunt bij de uitvoer van het  implementatieproces en het op maat formuleren van beleidsdocumenten om passende en effectieve maatregelen  vast te leggen en te zorgen dat de verwerkingen in lijn met de Verordening plaatsvinden.

  • Door voormalig directeuren van de Autoriteit Persoonsgegevens (A.P) is de Privacy Management Methode (P.M.M ®) omschreven als een compleet, volledig en unieke Toolbox waarmee de functionaris ondersteunt wordt bij de realisatie en implementatie van dit proces.

De richtprijs is 95 euro per uur exclusief btw.

Voor meer informatie:

Functionaris voor de gegevensbescherming: Henk Fernald;

Email: [email protected], of  [email protected]

Mobiel: 0031(0)640232495