Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Financiering

ADVIESNOTA Burgemeester en wethouders

advertisement 
ADVIESNOTA Burgemeester en wethouders
 Dantumadiel
Registratienummer
 Dongeradeel
2017-Z26770
 Ferwerderadiel
 Kollumerland c.a.
Datum
24 april 2017
Paraaf manager
Invoering Alg. Verordening Gegevensbescherming; onderdeel: Aanwijzing Functionaris
Gegevensbescherming
Onderwerp
Naam opsteller
Productgroep/afdeling/team
Concernstaf
Portefeuillehouder
Burgemeester
In dit voorstel is
meegenomen het
advies/mail van
Paraaf-Hamer/Behandelstuk

par

behandelstuk

Juridisch
Openbaar

ja

nee

P&O
Ondernemingsraad

ja

nee

Financiën
Gemeenteraad

ja

nee

Communicatie

Inkoop
paraaf
datum

datum
conform
bespr.
opmerkingen
Burgemeester
Wethouder 1
Wethouder 2
Wethouder 3
AD/Secretaris
GEADVISEERD besluit Burgemeester en wethouders:
1. Het college besluit de huidige Adviseur Gegevensbescherming, de heer K. Akkerman, Concernstaf, per 1 juni 2017 aan te
wijzen als Functionaris Gegevensbescherming zoals omschreven de artikel 37 e.v. van de Algemene Verordening
Gegevensbescherming en hem als zodanig aan te melden bij de Autoriteit Persoonsgegevens. (hiertoe bijgaand
aanmeldingsformulier te ondertekenen door gem.secretaris).
2. De directie DDFK te vragen:
 dit aan de organisatie te communiceren (Viadesk) zodat medewerkers bekend zijn met het bestaan, functie, taken en
bevoegdheden van de Functionaris Gegevensbescherming;


de functiebenaming in mandaatlijst als zodanig aan te passen;
P&O de functiebenaming als zodanig te laten aanpassen. Overigens kent deze mutatie geen financiële of rechtspositionele
gevolgen.
BESLUIT Burgemeester en wethouders
Opmerkingen
 Dan
 Don
-1-
 Fer
 Kol
Datum:
9 mei 2017
Samenvatting
Als gevolg van de inwerkingtreding van de Alg. Verordening Gegevensbescherming zullen diverse beslissingen en
maatregelen genomen moeten worden, zie onderstaand. Dit voorstel heeft betrekking op de verplichte aanwijzing van
een Functionaris Gegevensbescherming.
Persbericht bijgevoegd n.v.t.
Interne communicatie via Intranet
t.z.t.
Aanleiding voorstel, toelichting, argumentatie
Op 25 mei 2016 is de (Europese) Algemene Verordening Gegevensbescherming (AVG) in werking getreden. (Decentrale)
overheden en bedrijven hebben tot twee jaar tijd om de AVG te implementeren, dus tot 25 mei 2018, voordat de
Autoriteit Persoonsgegevens (AP) gaat handhaven. De AVG is opvolger van de (nationale) Wet Bescherming
Persoonsgegevens (Wbp), die gelijktijdig met het operationeel worden van de AVG wordt ingetrokken.
Belangrijkste wijzigingen







Functionaris gegevensbescherming (FG):
De aanwijzing van een FG is niet langer vrijblijvend, maar verplicht voor organisaties die veel persoonsgegevens
verwerken zoals gemeenten. De FG is o.m. verantwoordelijk voor het toezicht op het naleven van de AVG;
Rechtmatigheid en transparantie:
Transparantie is in de AVG opgenomen als een apart beginsel. Het dient transparant te zijn voor een natuurlijk
persoon dat zijn persoonsgegevens worden verzameld, gebruikt, geraadpleegd, oftewel worden verwerkt.
Daarnaast dient het duidelijk te zijn in hoeverre dit gebeurt en op basis van welke wettelijke grondslag;
Accountability:
Bedrijven en overheden moeten actief beleid voeren en maatregelen treffen waaruit blijkt dat de AVG wordt
nageleefd. Het is dus niet langer voldoende enkel (passief) te informeren over het doel en de middelen van
verwerking;
Vergeetrecht:
Klanten, patiënten, cliënten en burgers hebben straks het recht om “vergeten” te worden. Dat wil zeggen dat ze
het recht hebben om zich te laten verwijderen uit databases, tenzij legitieme wettelijke vereisten dit
voorkomen. Het in kaart hebben van de wettelijke grondslag van verwerking van persoonsgegevens is in dit
kader van groot belang;
Dataportabiliteit:
Burgers hebben het recht op dataportabiliteit (de burger moet zijn of haar data kunnen meenemen naar een
andere dienst) en hebben hiervoor het recht een kopie te ontvangen van de persoonsgegevens die over hem
zijn verzameld;
Profilering:
Burgers hebben het recht niet te worden onderworpen aan een louter op geautomatiseerde verwerking,
waaronder profilering, gebaseerd besluit (data analytics, big data);
Privacy by design en privacy by default:
Explicieter dan voorheen dienen er passende technische en organisatorisch maatregelen getroffen te worden
die de gegevensverwerking strikt beperken tot het noodzakelijke en mogen persoonsgegevens in beginsel niet
met een onbeperkt aantal natuurlijke personen gedeeld te worden (gegevensminimalisatie of pseudonimisatie:
het identificerende gegeven wordt vervangen door een ander identificerend gegeven);
-2-

Gegevensbeschermingseffectbeoordeling: (PIA)
Omdat het verwerken van persoonsgegevens tot de kernactiviteiten van gemeenten behoort, stelt de Autoriteit
Persoonsgegevens het uitvoeren van een gegevensbeschermingseffectbeoordeling (oftewel een impactanalyse)
bij nieuwe verwerkingen verplicht, om er voor te zorgen dat de gegevensverwerking op een verantwoorde
manier plaatsvindt.
Gevolgen
Zowel beleidsmatig als organisatorisch betekent de implementatie van de AVG veel voor de gemeenten. Zo zal
beleidsmatig een overkoepelend privacy-beleid geformaliseerd moeten worden met sectorale verbijzondering (bijv.
voor het Sociaal Domein), er zal een FG aangewezen moeten worden, er zal een privacy informatiebeveiligingsteam
operationeel gemaakt moeten worden, werkprocessen zullen (opnieuw) ingericht / aangepast moeten worden om aan
de verplichting van dataminimalisatie te voldoen etc. etc. Daarbij is het noodzakelijk een “tool” aan te schaffen om de
verplichte registraties in “control” te brengen en te houden, daarmee aantoonbaar te kunnen rapporteren aan de AP en
ook aan te kunnen sluiten bij de planning en control-cyclus organisatie breed. Hiertoe is reeds binnen het Information
Security Management-system (ISMS) een privacy module aangekocht bij Key2Control. (ISMS in samenwerking SSL) Deze
zal in 2017 / 2018 operationeel worden gemaakt.
Naar verwachting zal het nog heel “spannend” worden om tijdig in voldoende mate aan de AVG te voldoen! Waarbij
DDFK overigens in goed gezelschap is van heel veel andere gemeenten…
Waarschijnlijk zal de AP vanaf de zomer 2018 in eerste instantie alleen handhavend optreden op een aantal “harde”
criteria zoals bijvoorbeeld; is er tijdig een FG aangesteld, is het wettelijk register voor nieuwe gegevensverwerkingen
operationeel en zijn of worden werkprocessen (her-)ingericht vanuit gegevens-minimalisatie met gebruikmaking van
gegevensbeschermingseffectbeoordelingen. (PIA’s).
Het niet (tijdig) voldoen aan de AVG kan grote financiële gevolgen hebben. Hoewel dit natuurlijk niet de drijfveer mag
zijn, mag het niet onvermeld blijven dat de boete vanwege het niet juist, volledig, tijdig nakomen van de AVG is
verhoogd tot een maximum van 20 miljoen euro. De huidige maximale boetebepaling in de Wet bescherming
persoonsgegevens van € 820.000,00 werd in Europees verband te laag geacht….
Vervolg
De komende maanden zal, voor zover nodig planmatig, een vervolg aan de implementatie van de AVG moeten worden
gegeven. Via college- dan wel directievoorstellen zal een raamwerk van te implementeren maatregelen worden
voorgelegd en waar nodig vooraf op portefeuille- en managementniveau worden afgestemd. Hierbij zal onder meer
worden aangesloten bij de DDFK brede harmonisatie van processen.
Eerste nu te nemen besluit
Aan de orde is nu allereerst de aanwijzing van de functionaris gegevensbescherming (FG) en deze voor officiele
registratie aan te melden bij de AP. Hiermee wordt voldaan aan het bepaalde in afdeling 4 AVG, artikel 37 e.v. Het is de
nadrukkelijke aanbeveling van de VNG en de Informatiebeveiligingsdienst IBD deze FG zo spoedig mogelijk aan te wijzen
om daarmee ook de toegang tot specifieke informatie te ontsluiten. Het implementatieproces AVG kan daarmee vlotter
verlopen.
-3-
In het kort: De taak van de FG is primair er op toe te zien dat de AVG wordt nageleefd. Als onderdeel van deze
verplichting kan de FG m.n.



Informatie verzamelen om verwerkingswerkzaamheden te identificeren;
Analyseren en controleren in hoeverre de verwerkingswerkzaamheden aan de AVG voldoen; en
De verantwoordelijke (gemeente) of de verwerker (vaak een derde partij) informeren, adviseren of
aanbevelingen geven.
De AVG maakt duidelijk dat het niet de FG, maar de Verantwoordelijke (de gemeente / ambtelijke organisatie) is die
verplicht is “passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen
aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. In dit verband is het volgens artikel
35 (1) de taak van de Verantwoordelijke en niet van de FG om, waar nodig, een privacy impact assessment (PIA) uit
te voeren. De rol van de FG is om “ desgevraagd advies over het PIA te verstrekken en toe te zien op de uitvoering
daarvan”. Het ontmoet daarbij geen bezwaar de FG op te dragen het register van de verwerkingen bij te houden.
Tevens vereist de AVG dat de FG toegang heeft tot andere diensten, zoals personeelszaken, juridische afdeling, ICT
etc. zodat hij de essentiële steun, input en informatie ontvangt.
De AVG regelt in artikel 38 (3) de onafhankelijke rol van de FG; deze moet zijn taken met voldoende autonomie
binnen een organisatie kunnen uitvoeren. Dit betekent met name dat de Verantwoordelijke/Verwerker er op toe
ziet dat de FG “geen instructies ontvangt m.b.t. de uitvoering van zijn taken” Overweging 97 AVG voegt hieraan toe
de FG “ in staat dient te worden gesteld zijn taken en verplichtingen onafhankelijk te vervullen, ongeacht of hij in
dienst is van de Verantwoordelijke”. Artikel 38 vereist hierbij tevens dat een FG “niet ontslagen of gestraft wordt
voor de uitvoering van zijn taken”. Tevens, de FG mag geen positie in de organisatie hebben die ertoe leidt dat hij
het doel van en de middelen voor het verwerken van persoonsgegevens bepaalt. (vermijden van
belangenconflicten). De AVG ziet de FG als een verlengde van de AP. Hij geeft primair aanwijzingen vanuit een
toezichthoudende rol en stelt zich terughoudend op qua advisering. (de slager mag niet zijn eigen vlees keuren)
Hieruit volgt dat het management op afdelings- of teamniveau een informatiebeveiligings- en privacyaanspreekpunt aanwijst. Deze medewerker levert dan tevens de input voor het ISMS w.o. de privacy module voor
de betreffende afdeling of team. Ook de VNG visitatiecommissie die op 12 april jl. de gemeente Dongeradeel / de
DDFK organisatie bezocht, wees op deze organisatievorm om maatregelen operationeel te maken en te kunnen
borgen. Kortom, de AVG kent aan de FG een onafhankelijke toezichthoudende functie toe.
Binnen de DDFK organisatie, Concernstaf, is nu een Adviseur Gegevensbescherming aangesteld. Dit m.n. op grond
van de Wet bescherming persoonsgegevens. Het benoemen van een dergelijke functionaris was niet wettelijk
verplicht, maar wel zeer aanbevelingswaardig mede met het oog op de Meldplicht datalekken. In die zin is de
Adviseur Gegevensbescherming ook gemandateerd tot het melden van datalekken en contactpersoon voor de AP.
Nu de AVG in de plaats treedt van de Wbp en de verplichting geldt een FG aan te stellen, is het – gezien de vele
overeenkomsten in functie en taken – vrij logisch de huidige Adviseur Gegevensbescherming aan te wijzen als
Functionaris Gegevensbescherming en hem als zodanig aan te melden bij de AP. Dit dient plaats te vinden door de
Verantwoordelijke, i.c. het college van B&W van de desbetreffende gemeente.
Mede met het oog op het borgen van de onafhankelijke positie en de rechtstreekse rapportagelijn naar colleges en
directie, blijft zijn plaats bij de Concernstaf. Overigens kent e.e.a. geen financiële dan wel rechtspositionele
gevolgen.
De Adviseur Gegevensbescherming heeft inmiddels de benodigde opleiding gevolgd en beschikt voor de AVG over
de vereiste kennis en professionele kwaliteiten. Tevens staat hij reeds toegelaten en geregistreerd in de lijst
Vertrouwde Contactpersonen van de Informatie Beveiligingsdienst IBD.
-4-
Indien uw college besluit de huidige Adviseur Gegevensbescherming aan te wijzen als Functionaris
Gegevensbescherming, dan dient hiertoe een mutatie in de functiebenaming bij P&O en in de mandateringslijst te
worden doorgevoerd. Het aanmeldingsformulier voor registratie bij de AP is als bijlage toegevoegd. Eveneens dient
officiële communicatie over de aanwijzing van de FG naar alle medewerkers plaats te vinden zodat zijn bestaan,
functie, taken en bevoegdheden binnen de organisatie bekend zijn.
Relatie tot gemeentelijk beleid, beleidsuitgangspunten, wettelijke plicht, maatschappelijk belang, nieuw inzicht
Wettelijke verplichting
Betrokkenen (participanten, productgroepen, afdelingen, externe organisaties)
College van B&W, ambtelijke organisatie DDFK en derden, de zgn. Verwerkers die in opdracht van de gemeente
persoonsgegevens verwerken.
Financiële middelen, bestaand budget, formatie, subsidies, kosten + dekking, eenmalige of structurele middelen
en gevolgen voor de exploitatie
Niet voorzienbaar
Risico's (financieel/juridisch, overige risico's (precedentwerking), planschade, imagoschade)
Niet nakoming van deze wettelijke verplichting leidt tot een hoge boete en een dwingende aanwijzing.
Te volgen inspraakprocedure
n.v.t.
Actie-volgende stap
Termijnplanning
Aanmelding van de FG bij de Autoriteit Persoonsgegevens; mutatie functiebenaming bij
P&O en in het mandaatregister.
Bijlagen
Aanmeldingsformulier Functionaris Gegevensbescherming van de Autoriteit Persoonsgegevens.
-5-
Related documents
op weg naar gdpr-naleving in topvorm komen voor de
op weg naar gdpr-naleving in topvorm komen voor de
European Commission
European Commission
Stappenplan naar GDPR compliance
Stappenplan naar GDPR compliance
AVG en onderzoek FXS 18+
AVG en onderzoek FXS 18+
Yvonne Mulder Johannes Postlaan 8 2995 VK Heerjansdam KvK
Yvonne Mulder Johannes Postlaan 8 2995 VK Heerjansdam KvK
PRIVACYREGLEMENT DIGITAAL RITTENREGISTRATIESYSTEEM
PRIVACYREGLEMENT DIGITAAL RITTENREGISTRATIESYSTEEM
Verzoek tot inzage gegevens
Verzoek tot inzage gegevens
Information Ethics
Information Ethics
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Jaarcongres VPR
Jaarcongres VPR
PA_INL
PA_INL
Aanvraag - Brouwer de Koning Advies
Aanvraag - Brouwer de Koning Advies
Download
advertisement