Algemene Verordening Gegevensbescherming (AVG)
De gemeente Almelo is verplicht te voldoen aan de Europese privacyregels op grond van de AVG.
Hierin staan de belangrijkste regels voor de omgang met persoonsgegevens. De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Het een illusie is dat een gemeente als ‘AVG-proof’ kan worden betiteld. Er zal namelijk continue aandacht gevraagd moeten worden voor het bewust omgaan met privacygegevens van klanten en eigen personeelsleden. Door het treffen van onderstaande maatregelen kunnen de risico’s worden beperkt.
Maatregelen AVG
In de AVG staat een aantal verplichte maatregelen genoemd om aan de verantwoordingsplicht (accountability) te voldoen. Dit principe vereist dat organisaties passende technische en organisatorische maatregelen nemen om te voldoen aan de beginselen en verplichtingen uit de AVG, en dit ook kunnen aantonen.
1. Het aanstellen van een Functionaris Gegevensbescherming (FG);
2. Het bijhouden van een ‘Register van Verwerkingsactiviteiten’;
3. Het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een gegevensbeschermings- effectbeoordeling bij verwerkingen met een hoog privacyrisico;
4. Het bijhouden van een register van datalekken;
5. Het aantonen dat betrokkene daadwerkelijk toestemming heeft gegeven.
Daarnaast heeft de AP op haar website voorbeelden staan van extra (vrijwillige) maatregelen:
6. Het creëren van privacybewustwording;
7. Het implementeren van privacybeleid;
8. Het afleggen van verantwoording d.m.v. de P&C-cyclus.
Beleid gemeente Almelo
Als eindverantwoordelijke voor de AVG heeft het college van B&W heeft op 15 mei 2018 het 'Privacybeleid gemeente Almelo 2018 - 2021' vastgesteld en geldt als algemeen beleid. Hierin zijn de kaders met de risico’s en maatregelen beschreven, om te voldoen aan de AVG. Het privacybeleid is van toepassing op alle taken en processen waar de gemeente voor verantwoordelijk is en heeft betrekking op de persoonsgegevens van personen van wie de gemeente Almelo gegevens verwerkt (of laat verwerken). Dat houdt in: verzamelen, raadplegen, wijzigen enzovoorts van persoonsgegevens. Het (lijn)-management is primair verantwoordelijk.
Doel van het privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen waarvan de gemeente Almelo persoonsgegevens verwerkt.
Voor bepaalde domeinen kan het nodig zijn om aanvullend een specifiek privacybeleid vast te stellen. Denk hierbij aan het sociaal domein, publiekszaken, leerlingzaken, schuldsanering, belastingen. Daarnaast wordt er ten behoeve van de medewerkers van de gemeente Almelo een praktische handreiking opgesteld.
Na instemming van de Ondernemingsraad (OR) zal het privacybeleid d.m.v. een link in de privacyverklaring op de website van de gemeente Almelo worden gepubliceerd. Het beleid wordt jaarlijks geëvalueerd en minimaal na 3 jaar, of eerder als er belangrijke wijzigingen zijn, bijgesteld. Hierover wordt gerapporteerd in de P&C-cyclus.
Actuele ontwikkelingen
Naar mate er meer taken decentraal bij de gemeenten worden gelegd en burgers meer worden betrokken bij de inrichting van hun leefomgeving zullen er meer processen ontstaan waarin persoonsgegevens worden verwerkt. Nieuwe processen en veranderingstrajecten (bijv. de ‘Toegang Sociaal domein’ per 1 januari 2020) vragen erom dat IT-systemen en applicaties de persoonsgegevens standaard op een hoog niveau beveiligen. Bovendien hoeven de gebruikers van de systemen (zelf) geen extra handelingen te verrichten om de gegevens te beschermen. Uitgangspunt is om standaard zo min mogelijk gegevens te verwerken. Het vereist daarnaast dat de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn.
Bij de keuze van toekomstige nieuwe cloud-applicaties, waarbij de leverancier toegang heeft tot (bijzondere) persoonsgegevens, zal een verwerkers-overeenkomst moeten worden opgesteld. De gemeente zal, net als in 2019 d.m.v. de vragenlijst AVG in ENSIA verantwoording moeten afleggen over informatiebeveiliging aan haar toezichthouder (zie ‘Begroting 2020 Paragraaf Informatiebeveiliging).
Kosten
Opleidingskosten:
In 2020 zijn zowel voor de FG als de PO opleidingen gepland, die in het nieuwe AVG-Jaarplan 2020 worden opgenomen en uit het opleidingsbudget 2020 worden bekostigd. Dat geldt ook voor de privacyambassadeurs.
Daarnaast vindt er in het kader van zowel informatiebeveiligings- als privacybewustwording op alle niveaus een verplichte Kennistoets plaats. De Kennistoets wordt een jaarlijks terugkerende verplichte module.
Personeelskosten:
De structurele personele kosten voor de FG bedragen circa 40.000 euro per jaar en de structurele personele kosten voor de PO bedragen ongeveer 25.000 euro.