Documentnummer: : Eindnotitie implementatie privacy

Transcriptie

1 Eindnotitie implementatie privacy Afdeling Bedrijfsvoering, team Advies en Middelen

2 Inhoudsopgave 1. Inleiding.3 2. Resultaten.3 3. Documenten.4 4. Implementatie Training voor het sociaal domein Interne juridische bijeenkomsten Afstemming met betrekking tot de documenten Documenten beschikbaar op Hofnet.5 5. Conclusie Openstaande actiepunten Afronding...6 2

3 1. Inleiding Op 24 februari 2016 heeft uw MT ingestemd met het plan van aanpak implementatie privacy. Het college heeft hiermee ingestemd op 1 maart Inmiddels is bijna een jaar verstreken en is het tijd om de balans op te maken. In deze notitie wordt per onderdeel aangegeven wat de stand van zaken is. In het plan van aanpak is een checklist opgenomen met daarin een aantal actiepunten. Onder nummer 2 van deze memo wordt de stand van zaken weergegeven met betrekking tot de genoemde actiepunten. Onder punt 3 beschreven tot welke documenten de actiepunten hebben geleid. Onder nummer 4 wordt aangegeven hoe de documenten en de resultaten zijn geland en zullen landen in de organisatie. Onder nummer 5 wordt de conclusie weergegeven. 2. Resultaten In het plan van aanpak is een opsomming gegeven van een aantal actiepunten. Hierna wordt deze opsomming weergegeven met daarbij de stand van zaken. Een betekent dat het resultaat is afgerond. Een betekent dat de actie nog een vervolg krijgt in Actie Status Toelichting 1. Benoeming functionaris Gepland voor het vierde kwartaal van gegevensbescherming De verplichting hiertoe ontstaat in mei P&O onderzoekt of de functie in gezamenlijkheid kan worden ingevuld met de gemeenten Emmen en Borger-Odoorn. 2. Taken, rollen, bevoegdheden en Dit is op hoofdlijnen beschreven in het verantwoordelijkheden zijn Informatiebeveiligingsplan. Voor Suwinet en beschreven BRP is dit specifiek beschreven. 3. Het is duidelijk op welke wijze de raad en het college worden betrokken bij de verantwoording van privacyvraagstukken. 4. Periodiek wordt gecheckt welke medewerkers de eed en/of belofte moeten afleggen. 5. De huidige privacy-beleidsregels zijn geëvalueerd. 6. Er is privacybeleid vastgesteld voor het sociaal domein. 7. Er is een memo opgesteld met daarin uitgewerkte actiepunten rondom de Wet meldplicht datalekken. 8. Het Suwinet-beveiligingsplan is geactualiseerd. 9. De huidige contracten met zorgaanbieders en samenwerkingspartners zijn geëvalueerd en gecheckt of deze privacyproof zijn. 10. Per processtap is inzichtelijk wat de taken, rollen en verantwoordelijkheden zijn ten aanzien van privacy, maar is ook helder wat het doel en de grondslag is voor gegevensverwerking. 11. Er is een overzicht van systemen waarin persoonsgegevens worden verwerkt. 12. Helder is wat de rechten en plichten zijn van inwoners en hoe hun rechtsbescherming is gewaarborgd. Dit vindt plaats via de P&C-cyclus. Voor het eerst in de jaarrekening van 2017 wordt hier aandacht aan besteed. Dit is opgenomen in de paragraaf bedrijfsvoering van de begroting van Dit is inmiddels geborgd bij P&O. ondertussen zijn diverse momenten geweest waarbij nieuwe medewerkers de eed of belofte hebben afgelegd. Bij de introductie van nieuwe medewerkers wordt eveneens aandacht geschonken aan integriteit en privacy. De beleidsregels zijn zowel geëvalueerd als geactualiseerd. Dit heeft uitwerking gekregen in een protocol. Een aantal actiepunten uit de memo worden uitgevoerd in Het gaat hierbij om de punten 11 en 14 van dit schema. Het Suwinet-beveiligingsplan is in januari 2016 vastgesteld. Er is een standaardbepaling ontwikkeld voor bewerkersovereenkomsten als het gaat om de melding van datalekken. Deze kan worden toegevoegd aan de huidige contracten indien daar niet in is voorzien. Er zijn documenten beschikbaar die de functionele afdelingen kunnen invullen om deze check uit te voeren. Dit is een onderdeel van de actiepunten uit de memo Wet meldplicht datalekken. Dit is vastgelegd in een informatiefolder die beschikbaar is op de gemeentelijke website. 3

4 13. Er is een proces ingericht waarbij de inwoner gebruik kan maken van zijn inzagerecht. 14. Er is een analyse uitgevoerd met betrekking tot de beveiliging van bovenstaande systemen. 15. Herbeoordelen van autorisaties. 16. Integriteitsbeleid is vastgesteld 17. Er zijn trainingen voor medewerkers georganiseerd. 18. Inwoners worden actief geïnformeerd over het nieuwe privacybeleid. Dit onderdeel is opgenomen in de beleidsregels. Zie toelichting punt 7. Hier is uitvoering aan gegeven door de security officer en de functioneel beheerders. Er is een kadernota vastgesteld voor zowel ambtelijke als bestuurlijke integriteit. Deze kadernota bevat een implementatieplan waarin bepaalde onderwerpen nader uitgewerkt worden. Alle medewerkers die werkzaam zijn in het sociaal domein hebben een cursus privacy gevolgd. Voor de overige medewerkers geldt dat de onderdelen privacy en integriteit worden meegenomen in het meerjarig opledingsplan. Dit wordt door P&O georganiseerd en verder uitgewerkt. Er is een informatiefolder ontwikkeld die beschikbaar is bij de balie. In deze folder staat eveneens uitgelegd welke rechten en plichten inwoners hebben als het gaat om uitvoering van de Wet bescherming persoonsgegevens. 3. Documenten Bovenstaande resultaten hebben ertoe geleid dat er een aantal documenten is opgeleverd: Document Vastgesteld Door wie? 1. Beleidsregels Verwachte datum 20 College 2. Protocol datalekken Verwachte datum 20 College 3. Suwinetbeveiligingsplan 1 maart 2016 College 4. Privacy protocol sociaal domein Verwachte datum 20 College 5. Standaardbewerkersovereenkomst Verwachte datum 20 College 6. Kadernota integriteit Op 8 november jl. door het college en de burgemeester, op 13 door de raad. College/raad/burgemeester 4

5 4. Implementatie Hoe hebben de genoemde stukken en resultaten een plek gekregen in de organisatie? Wie zijn hier bij betrokken? Kortom, hoe is bovenstaande geïmplementeerd? In deze paragraaf wordt hier kort bij stil gestaan. 4.1 Training voor het sociaal domein Een belangrijk onderdeel van de implementatie is training en bewustwording van medewerkers. De training die heeft plaats gevonden voor medewerkers in het sociaal domein heeft hier een grote bijdrage aan geleverd. Dit heeft er ook toe geleid dat er steeds meer vragen rondom privacy gesteld worden aan de adviseurs van zowel Bedrijfsvoering als de juridisch kwaliteitsmedewerkers. 4.2 Interne juridische bijeenkomsten Er is een nieuwe standaard bewerkersovereenkomst ontwikkeld. Deze is besproken in een breder juridisch overleg waarbij diverse disciplines hebben meegedacht. Hiervoor is in de zomer een oproep geplaatst op Hofnet. Ongeveer 10 collega s hebben hieraan deelgenomen. In een ander breder juridisch overleg staat het Protocol datalekken op de agenda. Bewustwording en herkenning van datalekken kan via de juridisch kwaliteitsmedewerkers of andere collega s verder worden uitgedragen in de teams. 4.3 Afstemming met betrekking tot de documenten De documenten die zijn opgeleverd zijn in breed verband afgestemd met andere teams en afdelingen. Er is sprake geweest van een intensieve samenwerking met onder meer de teams Advies en Services en Actief voor Werk, maar er heeft ook afstemming plaatsgevonden met diverse collega s uit andere teams. Voor het privacyprotocol in het sociaal domein is ook afstemming gezocht met medewerkers die uitvoerende functies hebben. 4.4 Documenten beschikbaar op Hofnet De documenten die zijn opgeleverd zullen na vaststelling beschikbaar worden gesteld op Hofnet. Tevens zal een berichtje op Hofnet worden geplaatst dat de documenten beschikbaar zijn. De folder die is opgeleverd voor inwoners van de gemeente, zal beschikbaar worden gesteld via onze website maar ook bij de publieksbalie. 5. Conclusie 5.1 Openstaande actiepunten Er staat nog een drietal actiepunten open in het schema zoals weergegeven onder nummer 2. Het betreft de volgende punten: Benoeming functionaris gegevensbescherming. Er is een overzicht van systemen waarin persoonsgegevens worden verwerkt. Er is een analyse uitgevoerd met betrekking tot de beveiliging van bovenstaande systemen. Bovenstaande actiepunten worden verder uitgewerkt in De benoeming van de functionaris gegevensbescherming wordt pas een verplichting vanaf 25 mei Dit was nog niet bekend bij aanvang van dit project. Daarom is ervoor gekozen om met de benoeming van de functionaris gegevensbescherming te starten in de loop van Het overzicht van de systemen waarin persoonsgegevens worden verwerkt en de beveiliging daarvan hangen nauw met elkaar samen. Gedurende het project is ervoor gekozen om dit onder te brengen in de memo Wet Meldplicht Datalekken. Dit betekent overigens niet dat niet inzichtelijk is in welke systemen persoonsgegevens worden verwerkt. Dat is namelijk wel het geval. Dit actiepunt is uitgebreider in de memo Wet Meldplicht Datalekken verwoord en om die reden nog niet afgevinkt in bovenstaand schema als zijnde afgerond. Het actiepunt in de memo luidt als volgt: Informatiestromen en systemen in kaart brengen. In beeld brengen waar diverse persoonsgegevens worden gebruikt. Door inzichtelijk te maken bij welke afdelingen en functies welke persoonsgegevens worden verwerkt en met welk doel; Processen inrichten volgens de geldende en nieuwe wetgeving rondom privacy; Het gesprek aangaan over dataminimalisatie om de verwerking van persoonsgegevens tot het hoogst noodzakelijke te reduceren. Deze openstaande actiepunten zullen als reguliere werkzaamheden worden opgepakt en indien wenselijk worden opgenomen in de jaarplannen van de teams van de afdeling Bedrijfsvoering. 5

6 6

7 5.2 Afronding Voor het overige kan worden geconcludeerd dat het project is afgerond. De drie openstaande punten worden in de lijn opgepakt. Aan alle vooraf vastgestelde actiepunten is invulling gegeven. Wat vooraf niet is opgenomen in het plan van aanpak is een standaard-bewerkersovereenkomst. Deze is inmiddels opgesteld en kan worden gebruikt indien sprake is van een dienstverleningsovereenkomst waarbij een derde partij persoonsgegevens van ons bewerkt. Een schoolvoorbeeld hiervan is een leverancier van applicaties zoals de leverancier van de applicatie voor de basisregistratie personen. 7