Privacy binnen de Drechtsteden
Inhoud
Aanleiding Wetgeving Algemene verordening Gegevensbescherming (AGV) Gelijke privacy wetgeving in Europa Van toepassing vanaf 25 mei 2018 Verandering Versterking en uitbreiding van de privacy rechten Meer verantwoordelijkheid voor organisaties Rol en afspraken bewerkers documenteren Beveiliging en meldplicht datalekken - boetes Overgang Opvolger wet bescherming persoonsgegevens (Wbp) Publicatiedatum AVG 4 mei 2016 2 jaar voorbereiding voor organisaties en toezichthouders Afvalbranche Wetgeving toepassen op NAW (adres) gegevens Uitspraak rechtszaak Arnhem Doelmatigheid gegevens bewerking bepalen
Arnhem De Autoriteit Persoonsgegevens (AP) heeft op 20 april 2017 een beslissing genomen in de Arnhemse afvalpaskwestie. Uit de beslissing is een aantal relevante punten op te maken. Ten eerste heeft de AP aangegeven dat het gebruik van adresgebonden afvalpassen mag. De gemeente moet daarvoor dan wel een duidelijk en gerechtvaardigd doel hebben en moet voldoen aan de overige eisen van de privacywetgeving. Ten tweede heeft de AP besloten de stortgegevens op een (ondergrondse) container te kwalificeren als persoonsgegevens, zelfs als die gegevens voor gemeenten niet direct toegankelijk zijn en alleen via een koppeling van diverse bestanden herleidbaar zijn tot een adres. De afvalcontainers in Arnhem verwerken dus persoonsgegevens in de vorm van stortgegevens (wie wat wanneer stort). Deze verwerking is volgens de AP niet noodzakelijk voor een goede vervulling van de publiekrechtelijke taak van de gemeente Arnhem. Daardoor bestaat geen grondslag voor de verwerking, is de verwerking bovenmatig en handelt de gemeente Arnhem in strijd met de Wbp.
Ten derde concludeert de AP dat in het geval van diftar het verwerken van stortgegevens nodig is om het variabele deel van de afvalstoffenheffing te bepalen. De AP treedt niet handhavend op tegen de gemeente Arnhem, omdat de gemeente voornemens is om per 1 januari 2018 over te stappen op het diftarsysteem. Vanaf dat moment heeft de gemeente een doeleinde voor het verwerken van de stortgegevens en is de verwerking daarvan in overeenstemming met de privacyregelgeving.
Proces borging gegevens bescherming Beleid Formuleren van doel van registratie en verwerking Vastleggen doel in collegebesluit Communicatie Communiceren van vastgesteld beleid naar bewoners Overeenkomst Opstellen uniforme bewerkersovereenkomsten tussen DVO gemeenten en HVC Opstellen bewerkersovereenkomsten tussen HVC en sub-bewerkers Uitvoering Software die in compliance is met wetgeving Processen waarin gebruik persoonsgegevens zijn geborgd
High Lights bewerkersovereenkomst Doelen Moet een afgeleide zijn van een doel dat is opgenomen in de verordening, college of raadsbesluit. Persoonsgegevens: Beiden partijen zijn wettelijke verplicht om afspraken te maken en vast te leggen mbt de verwerking van persoonsgegevens: NAW gegevens – nummer afvalpas- aantal ledigingsgegevens- kenteken – telefoonnummers- e-mail – rekeningnummer – inhoud verzoek/melding/klacht
Geheimhouding: Alle maatregelen treffen om geheimhouding te verzekeren, HVC zal de verplichting tot geheimhouding aan haar personeel en ingeschakelde personen opleggen. Beveiliging In de bijlagen worden de specifieke afspraken vastgelegd hoe HVC de persoonsgegevens technisch en organisatorisch beveiligd. Controle Er kan controle uitgevoerd worden middels een audit Beveiligingsincidenten De bewerker informeert zo spoedig mogelijk de verantwoordelijke zo spoedig mogelijk en treft maatregelen om het incident beperken of een nieuw incident te voorkomen.
Waar staat HVC nu? Privacy Impact Analyse (PIA) door extern bureau HVC maakt gebruik van dezelfde soort registratie HVC rol van bewerker Gerechtvaardigd doel Werkgroep Privacy grondstoffen Privacy verklaring op website QenA lijst Gemeente adviseur samen met de gemeente bewerkersovereenkomst opstellen Deelname HVC aan projectgroep NVRD (in samenwerking met APV en software leveranciers) Inhoudelijke sessie met Moniek Hennekens