VR 18 25 Fractie BvR - Is de gemeente Rijswijk al AVG-proof

Op 8 februari 2018 heeft de VNG een brief verzonden aan haar leden omtrent de Algemene verordening gegevensbescherming. Op 25 mei 2018 is het zover: vanaf die datum zijn gemeenten, net als andere organisaties die persoonsgegevens verwerken, wettelijk verplicht om aan de nieuwe privacyregels van de Algemene verordening gegevensbescherming (AVG) te voldoen. Dit betekent dat de gemeente op 25 mei 2018 wettelijk verplicht is om ten minste aan zes AVG-maatregelen te voldoen.

Het fundament van goed privacy management en een cultuuromslag wordt gelegd door het college van B&W. Het college heeft de verantwoordelijkheid om het privacy beleid voor de gemeente vast te stellen en de implementatie daarvan aan te sturen. Het college is verantwoordelijk om aan te tonen dat effectieve privacy maatregelen zijn genomen.  Het gaat daarbij zowel om het op papier zetten van het privacy beleid als om ervoor te zorgen dat dit in de hele organisatie wordt toegepast en gaat leven (governance). Het college zal ook moeten optreden wanneer het beleid niet van de grond komt.  Essentieel is een goede verdeling van rollen, taken en verantwoordelijkheden. Alleen dan kan privacy doordringen tot in de haarvaten van de organisatie.

Beter voor Rijswijk wil naar aanleiding van bovenstaande, het college de volgende vragen stellen:

  1. Heeft de gemeente al een Functionaris gegevensbescherming  (als internettoezichthouder en adviseur van het college van B&W) aangesteld zoals verplicht gesteld wordt? Zo nee, waarom niet?
  2. Beschikt de gemeente Rijswijk al over een register van verwerkingsactiviteiten? Zo nee, waarom nog niet.
  3. Beschikt de gemeente Rijswijk al over een data privacy impact assessment (PIA) voor gegevensverwerkingen met een hoog privacy risico? Zo nee, waarom niet?
  4. Heeft de gemeente Rijswijk al een procedure voor inzage persoonsgegevens volgens de AVG? Zo nee, waarom niet?
  5. Beschikt de gemeente Rijswijk al over een register van eventuele datalekken die kunnen optreden? Zo nee, waarom niet?
  6. Is er al opdracht gegeven aan de gemeentelijke leidinggevende en medewerkers om het gemeentelijke privacy beleid uit te voeren? Zo nee, waarom niet?
  7. Is er door het college al één of meerdere privacy coördinatoren als aanspreekpunt aangewezen voor privacy en het laten zorgen voor de operationele kant van de uitvoering? Zo nee, waarom niet?
  8. Is er door het college al opdracht gegeven aan de proceseigenaren om ervoor te zorgen dat hun eigen processen voldoen aan het privacy beleid? Zo nee, waarom niet?

Namens de fractie van Beter voor Rijswijk

Larissa Bentvelzen

Marcel Keijzer

Antwoord

Het college beantwoordt de vragen als volgt:

  1. Ja, op 27 juni 2017 hebben we een functionaris gegevensbescherming benoemd.
  2. Ja, we hebben een register van verwerkingsactiviteiten. De belangrijkste verwerkingen zijn hierin geregistreerd. Wij streven ernaar om alle verwerkingen voor de zomer aangevuld te hebben.
  3. Nee, organisaties hoeven niet voor elke gegevensverwerking een data protection impact analyse’ (DPIA) uit te voeren. Dit is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen. Dat is in ieder geval zo als een organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering; bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische of biometrische gegevens op grote schaal verwerkt, op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). De Autoriteit Persoonsgegevens (AP) publiceert op termijn een lijst van gegevens­verwerkingen waarvoor een DPIA verplicht is. Voor nieuwe verwerkingen worden op dit moment al een PIA  uitgevoerd. Voor het uitvoeren van PIA’s op bestaande gegevens­verwerkingen wordt de lijst van de AP afgewacht.
  4. De huidige inzageprocedure wordt aangepast in de lijn van de AVG.
  5. Ja, Rijswijk heeft een procedure voor datalekken. Datalekken worden gemeld aan de Autoriteit Persoonsgegevens en indien nodig aan betrokkene. Datalekken worden bijgehouden in een register.
  6. Ja, vanaf oktober 2017 loopt een bewustwordingscampagne over informatieveiligheid en privacy. Opgaven en teams zijn geïnformeerd over beveiligingsrisico’s, de AVG en de impact hiervan op hun processen en werkzaamheden.
  7. Ja, er is een privacy organisatie bestaande uit een functionaris gegevensbescherming, een adviseur informatieveiligheid en twee privacy adviseurs (privacy officers).
  8. Ja, als de verwerkingen van persoonsgegevens in het register zijn opgenomen, bepaalt de FG of en welke maatregelen moeten worden getroffen om aan de AVG te voldoen. Tot op heden was het alleen noodzakelijk om een aanpassing te doen in het documentmanagement-systeem (herinrichting van de autorisaties).  

Burgemeester en wethouders,
de secretaris,                                                              de burgemeester,

 

drs. M. Middendorp MPC                                             drs. M.J. Bezuijen

Politieke partij

Beter voor Rijswijk