Bedrijfsvoering

Algemene Verordening Gegevensbescherming (AVG)

De gemeente Almelo is verplicht te voldoen aan de Europese privacyregels op grond van de AVG.
Hierin staan de belangrijkste regels voor de omgang met persoonsgegevens. De AVG zorgt onder meer voor:

• versterking en uitbreiding van privacyrechten;
• meer verantwoordelijkheden voor organisaties;
• dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Het een illusie is dat een gemeente als ‘AVG-proof’ kan worden betiteld. Er zal namelijk continue aandacht gevraagd moeten worden voor het bewust omgaan met privacygegevens van klanten en eigen personeelsleden. Door het treffen van onderstaande maatregelen kunnen de risico’s worden beperkt.

Maatregelen AVG
In de AVG staat een aantal verplichte maatregelen genoemd om aan de verantwoordingsplicht te voldoen. Dit principe vereist dat organisaties passende technische en organisatorische maatregelen nemen om te voldoen aan de beginselen en verplichtingen uit de AVG, en dit ook kunnen aantonen.

Bij onderstaande verplichte maatregelen is cursief de status over 2019 weergegeven:

  1.   Het aanstellen van een Functionaris Gegevensbescherming (FG):

• De Autoriteit Persoonsgegevens (AP) heeft bevestigd dat de gemeente Almelo per bestuursorgaan de Functionaris Gegevensbescherming heeft aangemeld. In de begroting 2020 is opgenomen dat voor de invulling van de functie van de FG en de Privacy Officer (PO) structureel middelen beschikbaar zijn gesteld.

  2.   Het bijhouden van een ‘Register van Verwerkingsactiviteiten’:

• Het register is aanwezig, waarin 138 verwerkingen van persoonsgegevens zijn opgenomen. De volledigheid en actualiteit van het register is nog niet geborgd. Oorzaken zijn dat de inrichting van de beschikbaar gestelde privacytool niet voldeed aan de criteria genoemd in Art. 30 van de AVG en de personele capaciteit ontbrak om dit register inhoudelijk volledig te krijgen.

  3.   Het uitvoeren van Data Protection Impact Assessments (DPIA’s):

• Er zijn in 2019 opnieuw twee DPIA’s uitgevoerd, waarbij invulling is gegeven aan de eis om de DPIA’s af te ronden vóórdat de verwerkingen met een hoog privacyrisico starten om zodoende inzicht te krijgen in de te treffen maatregelen. Hoewel de verantwoordelijkheid voor het opstellen van DPIA’s ligt bij de manager in de lijn wordt deze verantwoordelijkheid nog niet dusdanig opgepakt. Eind 2019 is de Privacy Officer structureel aangesteld, waardoor de begeleiding in de uitvoering van de DPIA’s is geborgd.

  4.   Het bijhouden van een register van datalekken:

• In 2019 zijn 48 datalekken in het register geregistreerd, waarvan er 13 bij de Autoriteit Persoonsgegevens zijn gemeld.

  5.   Het aantonen dat betrokkene daadwerkelijk toestemming heeft gegeven:

• De processen waarin persoonsgegevens worden verwerkt zijn hoofdzakelijk gebaseerd op de wettelijke taak van de gemeente. Verwerkingen van persoonsgegevens binnen het sociaal domein zijn vrijwel nooit gebaseerd op toestemming, vanwege de afhankelijkheidsrelatie tot de gemeente om voor een voorziening in aanmerking te komen.

Daarnaast heeft de gemeente de volgende extra (vrijwillige) maatregelen getroffen (status cursief vermeld).

  6.   Het creëren van privacybewustwording:

• Hier is onder andere vorm aan gegeven door toelichting in werkoverleggen, advisering naar medewerkers en teammanagers. Het thema Privacy komt daarnaast structureel op de agenda bij de meetings over Informatieveiligheid voor het zittend personeel en nieuwkomers. In 2019 zijn oriënterende gesprekken gevoerd met een drietal aanbieders om in 2020 informatiebeveiligings- en privacybewustwording door middel van e-learning en een verplichte kennistoets voor de hele organisatie vorm te gaan geven. Daarbij krijgt het sociaal domein, gelet op de hoeveelheid (bijzondere) persoonsgegevens specifieke aandacht.

7.    Het implementeren van privacybeleid:

• Het ‘Privacybeleid gemeente Almelo 2018 – 2021 ’ is op de website gepubliceerd.
• Verwerkersovereenkomsten: Er zijn 38 geldige verwerkersovereenkomsten met verwerkers, gekoppeld aan hoofdovereenkomsten geregistreerd. Hiervan zijn 2 overeenkomsten niet meer verlengd.
• Evaluatie AVG-verzoeken gericht op de 'Rechten van betrokkenen':

  8.   Het afleggen van verantwoording d.m.v. de P&C-cyclus:

• De gemeente laat de verantwoording, zowel t.a.v. informatiebeveiliging als privacy, vanaf 2019 meelopen in de P&C-cyclus.