Begroting 2019

Bedrijfsvoering

Privacy

Algemene Verordening Gegevensbescherming  (AVG)

De gemeente Almelo is verplicht te voldoen aan de Europese privacyregels op grond van de AVG.
Hierin staan de belangrijkste regels voor de omgang met persoonsgegevens. De AVG zorgt onder meer voor:

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Het een illusie is dat een gemeente als ‘AVG-proof’ kan worden betiteld. Er zal namelijk continue aandacht gevraagd moeten worden voor het bewust omgaan met privacygegevens van klanten en eigen personeelsleden. Door het treffen van onderstaande maatregelen kunnen de risico’s worden beperkt.

Maatregelen AVG
In de AVG staat een aantal verplichte maatregelen genoemd om aan de verantwoordingsplicht (accountability) te voldoen. Dit principe vereist dat organisaties passende technische en organisatorische maatregelen nemen om te voldoen aan de beginselen en verplichtingen uit de AVG, en dit ook kunnen aantonen.
  1.   Het aanstellen van een Functionaris Gegevensbescherming (FG);
  2.   Het bijhouden van een ‘Register van Verwerkingsactiviteiten’;

  3.   Het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een gegevensbeschermings- effectbeoordeling bij verwerkingen met een hoog privacyrisico;

  4.   Het bijhouden van een register van datalekken;
  5.   Het aantonen dat betrokkene daadwerkelijk toestemming heeft gegeven.
Daarnaast heeft de AP op haar website voorbeelden staan van extra (vrijwillige) maatregelen:
  6.   Het creëren van privacybewustwording;
  7.   Het implementeren van privacybeleid;
  8.   Het afleggen van verantwoording d.m.v. de P&C-cyclus.

Beleid gemeente Almelo
Als eindverantwoordelijke voor de AVG heeft het college van B&W heeft op 15 mei 2018 het 'Privacybeleid gemeente Almelo 2018 - 2021' vastgesteld en geldt als algemeen beleid. Hierin zijn de kaders met de risico’s en maatregelen beschreven, om te voldoen aan de AVG. Het privacybeleid is van toepassing op alle taken en processen waar de gemeente voor verantwoordelijk is en heeft betrekking op de persoonsgegevens van personen van wie de gemeente Almelo gegevens verwerkt (of laat verwerken). Dat houdt in: verzamelen, raadplegen, wijzigen enzovoorts van persoonsgegevens. Het (lijn)-management is primair verantwoordelijk.
Doel van het privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen waarvan de gemeente Almelo persoonsgegevens verwerkt.
Voor bepaalde domeinen kan het nodig zijn om aanvullend een specifiek privacybeleid vast te stellen. Denk hierbij aan het sociaal domein, publiekszaken, leerlingzaken, schuldsanering, belastingen. Daarnaast wordt er ten behoeve van de medewerkers van de gemeente Almelo een praktische handreiking opgesteld.
Na instemming van de Ondernemingsraad (OR) zal het privacybeleid d.m.v. een link in de privacyverklaring op de website van de gemeente Almelo worden gepubliceerd. Het beleid wordt jaarlijks geëvalueerd en minimaal na 3 jaar, of eerder als er belangrijke wijzigingen zijn, bijgesteld. Hierover wordt gerapporteerd in de P&C-cyclus.

Actuele ontwikkelingen

Naar mate er meer taken decentraal bij de gemeenten worden gelegd en burgers meer worden betrokken bij de inrichting van hun leefomgeving zullen er meer processen ontstaan waarin persoonsgegevens worden verwerkt. Dit heeft ertoe geleid dat de FG als interne toezichthouder tot 1 augustus 2019 ondersteuning krijgt van een Privacy Officer (PO) voor het uitvoerend privacywerk, zodat de functiescheiding (tijdelijk) is geborgd. Nieuwe processen en veranderingstrajecten (bijv. de pilot ‘Toegang Sociaal domein’) vragen erom dat IT-systemen en applicaties de persoonsgegevens standaard op een hoog niveau beveiligen. Bovendien hoeven de gebruikers van de systemen (zelf) geen extra handelingen te verrichten om de gegevens te beschermen. Uitgangspunt is om standaard zo min mogelijk gegevens te verwerken. Het vereist daarnaast dat de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn.
Ook het uitbreiden van bestaande of aangaan van nieuwe samenwerkingsverbanden in de regio (bijv. de mobiliteitsapp van de pilot ‘MaaS (Mobility as a Service)’ leveren weer nieuwe privacyaspecten op.
Bij de keuze van toekomstige nieuwe cloud-applicaties, waarbij de leverancier toegang heeft tot (bijzondere) persoonsgegevens, zal een verwerkersovereenkomst moeten worden opgesteld. De gemeente zal, net als in 2018 d.m.v. de vragenlijst AVG in ENSIA verantwoording moeten afleggen over informatiebeveiliging aan haar toezichthouder (zie ‘Begroting 2019 Paragraaf Informatiebeveiliging).

Kosten

Opleidingskosten:
In 2019 zijn zowel voor de FG als de PO opleidingen gepland, die reeds in het AVG-Projectplan 2018-2019 zijn opgenomen en uit het opleidingsbudget 2019 worden bekostigd.
Daarnaast zal in het kader van zowel informatiebeveiligings- als privacybewustwording in 2019 voor alle niveaus een opleiding d.m.v. e-learning plaatsvinden. De kosten hiervan bedragen maximaal 30.000 euro, waarop nog een ESF-subsidie in mindering kan worden gebracht.

Personeelskosten:
De structurele personele kosten voor de FG bedragen 39.000 euro in 2019.
De eenmalige personele kosten voor de PO bedragen 24.000 euro in 2019.