Privacybescherming professionaliseren

Transcriptie

1 Privacybescherming professionaliseren Jaarverslag van de Functionaris voor de Gegevensbescherming Gemeente Utrecht. Periode maart 2015-september 2016

2 Inhoudsopgave: Pagina Inleiding 3 Rollen 3 1 Jaarverslag De context: nieuwe wet- en regelgeving 4 2 Activiteiten van de FG Interne advisering Deskundigheidsbevordering Versterking van de interne organisatie Externe netwerken 8 3 Stand van zaken Utrechtse privacybescherming Het toetsingskader met zeven normen Is er beleid vastgesteld (strategisch, tactisch en operationeel)? Wordt het beleid periodiek op gestructureerde wijze herzien? Wordt het beleid uitgedragen in de organisatie? Is de organisatie van Privacybescherming en Informatiebeveiliging vormgegeven? Wordt er met privacywetgeving rekening gehouden bij nieuwe verwerkingen? Is er voldoende aandacht voor bewustwording en gedragsverandering? Is er sprake van geautoriseerd gebruik van persoonsgegevens? 17 4 Vooruitblik 19 Betrokkenen binnen de organisatie 20 Bijlage I Artikelen 62 t/m 64 Wet bescherming persoonsgegevens 21 Pagina 2

3 Inleiding Per 1 maart 2015 heeft het college van B&W van de gemeente Utrecht een Functionaris voor de Gegevensbescherming (FG) aangesteld. Deze vervult een belangrijke rol in de professionalisering in de omgang met privacybescherming binnen de organisatie en het toezicht daarop. Hier is om verschillende redenen voor gekozen. Allereerst moet op een zorgvuldige manier met persoonsgegevens worden omgegaan. Privacybescherming is mede belangrijk in verband met de ambities op het gebied van innovatieve digitale toepassingen binnen het programma Datagedreven Sturing. De FG speelt een belangrijke rol in het beschermen van de privacy en de bewustwording daarvan binnen de organisatie. Daarnaast was duidelijk dat er een aangescherpte Europese privacywetgeving aankwam (de Algemene Verordening Gegevensbescherming), evenals aangescherpte nationale wettelijke bepalingen (zie hoofdstuk 1). Rollen De gemeente Utrecht heeft met het aanstellen van een FG een interne toezichthouder in huis die toeziet op het naleven van wettelijke regels over verwerking van persoonsgegevens. De functionaris doet aanbevelingen om te komen tot een betere bescherming van persoonsgegevens. De FG laat de verwerkingen van persoonsgegevens die moeten worden aangemeld bij de Autoriteit Persoonsgegevens vastleggen in het openbare register. Andere taken zijn: interne advisering; deskundigheidsbevordering; toetsen interne regelingen; uit laten voeren van een privacy-audit door een onafhankelijke externe; klachtbehandeling. De taken en bevoegdheden van de FG zijn vastgelegd in de Wet Bescherming Persoonsgegevens (Wbp), in de artikelen 62 t/m 64 (zie bijlage I). De bevoegdheden van FG zijn vastgelegd in de Privacyverordening gemeente Utrecht. De Utrechtse FG is in februari 2015 opgenomen in het register van de Autoriteit Persoonsgegevens (AP), voorheen het College Bescherming Persoonsgegevens. De FG is het aanspreekpunt voor de AP en overlegt indien nodig met de AP over zaken die zich in de praktijk voordoen. Pagina 3

4 1 Jaarverslag Per 1 februari 2012 is de verplichting tot het uitbrengen van een jaarverslag vervallen (voormalig artikel 63, lid 5 Wbp). Toch lijkt er behoefte aan een verslag dat inzicht geeft in de ontwikkeling van de Utrechtse privacybescherming. Bij raadsleden en bij de Utrechts bevolking leeft het onderwerp privacy sterk. Dat bleek ook tijdens de bijeenkomsten die rond de nieuwe Privacy-verordening gemeente Utrecht werden georganiseerd. Tijdens de raadsvergadering op 22 september 2016 werd de Privacyverordening nog explicieter door de aangenomen amendementen A39 Anonimiseren tenzij en A40 Wat weet je eigenlijk over mij? en motie M171 Beginnen met Privacy. De vernieuwde privacy-verordening is vastgesteld door de gemeenteraad op 22 september Dit eerste privacy jaarverslag beslaat de periode maart 2015 tot en met september 2016; vanaf de aanstelling van de FG tot heden. In 2015 is voorrang gegeven aan het ontwikkelen en implementeren van de meldplicht datalekken, terwijl in 2016 de nadruk lag op het opstellen van de vernieuwde Privacyverordening gemeente Utrecht als solide basis voor de Utrechtse omgang met privacy De context: nieuwe wet- en regelgeving Het veld van privacybescherming is sterk in beweging door het van kracht worden van nieuwe wet- en regelgeving op Europees en nationaal niveau. Meldplicht datalekken De meldplicht datalekken is als wijziging van de Wet bescherming persoonsgegevens op 26 mei 2015 aangenomen door de eerste Kamer en op 1 januari 2016 in werking getreden. Een datalek kan leiden tot forse boetes (nu maximaal per datalek), tenzij er aantoonbaar voldoende beveiligingsmaatregelen zijn genomen die voldoen aan de huidige stand van de techniek. Het Hoofd Informatiebeveiliging en de FG hebben een werkwijze opgesteld waarmee medewerkers van de organisatie tijdig eventuele datalekken kunnen melden. Ook is er een werkwijze voor meldingen door personen van buiten de organisatie. Een overzicht van de datalekken wordt op de website van de gemeente gepubliceerd in het 4 e kwartaal van Pagina 4

5 Algemene Verordening Gegevensbescherming De Europese Algemene Verordening Gegevensbescherming (AVG) is ingegaan op 25 mei Gezien de grote impact op organisaties kent de AVG een overgangstermijn van twee jaar. Deze verordening leidt tot belangrijke wijzigingen in de gegevensbescherming. De belangrijkste wijzigingen zijn: Het vervallen van het vrijstellingenbesluit Wbp - waar nu nog veel overheidsregistraties onder vallen - en een volledige documentatie- en publicatieplicht voor alle verwerkingen van persoonsgegevens; De verplichting van een Privacy Impact Assessment (PIA) voor registraties met een verhoogd Privacy risico. Daarvan is bij overheidsregistraties al snel sprake, bijvoorbeeld als het burgerservicenummer (BSN) wordt verwerkt. Het advies van de FG hierbij is bindend; Kunnen aantonen in welke mate technische en organisatorische beveiligingsmaatregelen genomen zijn en in welke mate de werking hiervan kan worden aangetoond; De manier van verantwoorden bij het verwerken van persoonsgegevens; begrippen als accountability (vrij vertaald: kun je je verantwoorden) en auditability (vrij vertaald: ben je controleerbaar) gelden ook voor verwerkingen van persoonsgegevens; Bij controle geldt een aantoonplicht voor alle audit onderdelen; Hoge boetes bij het niet voldoen aan wettelijke verplichtingen: maximaal 4% van de wereldwijde omzet (voor ondernemingen) of maximaal 20 miljoen. Op 25 mei 2018 moet de gemeente aan alle bepalingen in de AVG voldoen. In september 2016 is een projectleider aangesteld die de wijzigingen in kaart brengt en deze verwerkt in een plan van aanpak, zodat de implementatie tijdig en gestructureerd wordt aangepakt. Privacy-verordening gemeente Utrecht Vooruitlopend op de nieuwe wet- en regelgeving, zijn de bepalingen hiervan al verwerkt in de nieuwe Privacy-verordening gemeente Utrecht. De meldplicht datalekken is hierin verankerd, net als de verplichte privacy by design voor nieuw te ontwikkelen systemen en het uitvoeren van Privacy Impact Analyse (PIA). Bij privacy by design leg je van tevoren al precies vast voor welk doel je persoonsgegevens wil verwerken, welke gegevens dat precies zijn, hoe je ze verwerkt, wie er toegang tot deze persoonsgegevens hebben en hoe lang je ze bewaart. Met de PIA worden de privacy risico s in kaart gebracht en kunnen de juiste beheersmaatregelen worden geïmplementeerd. Door de actieve inbreng tijdens de raadsinformatiebijeenkomst, de raadscommissie en de tijdens de bespreking in de gemeenteraadsvergadering is er een scherpe en actuele Privacy-verordening vastgesteld die ook in de media positief is ontvangen. Pagina 5

6 2 Activiteiten van de FG Hierna worden de activiteiten beschreven die - mede door de FG - sinds maart 2015 in gang zijn gezet om de omgang met privacy in Utrecht verder te professionaliseren en aan de nieuwe wet- en regelgeving te kunnen voldoen. Interne advisering Deskundigheidsbevordering Versterking van de interne organisatie Externe netwerken 2.1 Interne advisering De interne advisering heeft vaak het karakter van bewustwording. Zo is bij het managementteam van UVO deelgenomen aan een themaochtend, waarin risico s in kaart zijn gebracht dat als input wordt meegenomen bij het jaarplan Ook bij de organisatieonderdelen Veiligheid en bij Stadsbedrijven zijn afzonderlijke bewustwordingssessies gehouden. Met informatie- en procesmanagers van de organisatieonderdelen zijn verschillende bijeenkomsten geweest om informatieveiligheid en daarmee de privacybescherming binnen de gescheiden organisatieonderdelen beter te borgen. Verder adviseerde de FG bij de pilots datagedreven sturing, opdat de privacy van meet af aan goed is geborgd. Sinds juni 2016 is er een privacy-spreekuur waar beleidsambtenaren, projectleiders en andere medewerkers advies kunnen krijgen over privacyaspecten. In dit spreekuur zijn, naast de FG, ook de privacy-juristen en het Hoofd Informatiebeveiliging vertegenwoordigd. In samenwerking met Werk en Inkomen zijn vragen bij de SUWI-audit (een door de Inspectie SZW uitgevoerde landelijke audit) beantwoord. Het ministerie van SZW heeft aangegeven dat de gemeente Utrecht aan alle gestelde SUWI-eisen voldoet. De uitkomsten van dit landelijke onderzoek zijn januari 2016 bekendgemaakt. Bij het nalopen van diverse aspecten van privacy bleek dat de informatie op beeldschermen van enkele werkplekken in de centrale hal van het Stadskantoor van buitenaf zichtbaar waren. Hierdoor zou er informatie over burgers naar buiten kunnen lekken. Er is ander meubilair aangeschaft, waardoor de informatie op de beeldschermen niet meer van buiten zichtbaar is. Pagina 6

7 De FG was verder betrokken bij nieuwe ontwikkelingen rond cameratoezicht, gegevensverzameling via WIFI, digitalisering en bewaartermijnen van persoonsgegevens. Bij verkeerstellingen wordt gebruik gemaakt van camera s die tijdelijk in de openbare ruimte worden geplaatst. De FG beoordeelde de scherpte van de camerabeelden. Hieruit blijkt dat personen en kentekens van auto s in Utrecht onherkenbaar in beeld komen, waardoor de privacy goed is geborgd. Ook bij de grootschalige reconstructie van de openbare ruimte in de omgeving van de t-goylaan wordt tijdelijk gebruik gemaakt van camera s om de verkeerstromen te monitoren. De FG keek mee bij het inregelen van de positie en scherpte van camera s. Beelden van de bebouwing zijn afgeschermd. Ook hier is de privacy goed geregeld. De FG controleert op willekeurige momentende camera-instellingen. 2.2 Deskundigheidsbevordering De FG werkt aan het verhogen van het kennisniveau in de organisatie. Allereerst heeft de FG samen met de concernjuriste en het Hoofd Informatiebeveiliging de cursus Privacy Officer gevolgd. Hierdoor is de benodigde specialistische kennis over privacy bij meerdere personen aanwezig. Vervolgens is samen met de juristen van Interne Bedrijven een korte cursus privacy ontwikkeld, waarbij in een dagdeel de basisbeginselen van de Wbp worden belicht. Deze cursus is diverse malen gevolgd door verschillende interne doelgroepen. In G4 verband is periodiek overleg tussen privacyfunctionarissen over de ontwikkelingen op het gebied van privacy en specifieke casussen die zich bij deze steden voordoen. Van elkaar wordt veel geleerd en goede praktijken worden uitgewisseld. De ontwikkelingen rond de Europese AVG zijn nauwlettend gevolgd, onder andere door deelname aan de bijeenkomsten hierover bij het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG), de Vereniging Nederlandse Gemeenten en het Centrum voor Informatiebeveiliging en Privacybescherming. Ook zijn enkele seminars over dit onderwerp gevolgd bij verschillende externe organisaties. 2.3 Versterking van de interne organisatie Er is op verschillende manieren ingezet op versterken van de interne organisatie rondom privacy. Zo is er een terugkerend overleg met de privacy juristen en het Hoofd Informatiebeveiliging waarbij diverse ontwikkelingen aan de orde komen. Hierbij komen onder meer actuele zaken aan de orde rond privacy, verbetering van werkprocessen en te volgen opleidingen. Pagina 7

8 Er is een privacy spreekuur waarbij ontwikkelingen binnen de gemeente in een multidisciplinair verband aan de orde komen. Daarbij is het betreffende organisatieonderdeel vertegenwoordigd met kennis van de uitvoering, juridische kennis, beveiligingskennis en privacy kennis aanwezig. Deze aanpak is effectief en efficiënt. In samenwerking met een externe organisatie en de Informatie- en Procesmanagers van de organisatieonderdelen is onderzoek gedaan naar het niveau van informatiebeveiliging binnen de hele organisatie. Op basis van dit onderzoek komen er per organisatieonderdeel plannen om informatiebeveiliging en de bewustwording op dat gebied te verbeteren, mede in verband met nieuwe eisen en nieuwe regelgeving. De meldplicht datalekken die per 1 januari 2016 in werking is getreden heeft daarbij de speciale aandacht. Er is een standaard Wbp-bewerkersovereenkomst, vormgegeven door Juridische Zaken, waarin de recente wijzigingen van de Wet bescherming persoonsgegevens staan. Deze wordt sinds 1 januari 2016 zowel aan nieuw te sluiten, als aan bestaande contracten toegevoegd. Hierdoor zijn de rechten en plichten van de contractpartijen helder als er datalekken optreden. Sinds januari 2016 zijn meldingen van beveiligingsincidenten en datalekken via de website van de gemeente Utrecht mogelijk. Ook intern is de procedure zo vormgegeven dat ook telefonisch of in persoon deze meldingen kunnen worden gedaan. 2.4 Externe netwerken Om ontwikkelingen op het gebied van privacy tijdig op relevantie te kunnen schatten, is zorgvuldig een netwerk opgebouwd. Zo is de Utrechtse FG: lid van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG); verbonden aan het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). CIP is het expertisecentrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties.en wordt er samengewerkt met: de Vereniging Nederlandse Gemeenten (VNG); de Autoriteit Persoonsgegevens; de G4, verschillende gemeenten en organisaties. In november 2015 heeft een kennismakingsgesprek plaatsgevonden bij de Autoriteit Persoonsgegevens in Den Haag. Daarnaast wordt deelgenomen aan het periodieke G4- overleg van privacy juristen. Pagina 8

9 In samenwerking met de VNG en de G4 organiseerde Utrecht in mei 2016 een bijeenkomst met de Autoriteit Persoonsgegevens om de ervaringen met de meldplicht datalekken uit te wisselen. De Autoriteit Persoonsgegevens verzocht dergelijke bijeenkomsten enkele malen per jaar te herhalen, waarbij ook andere onderwerpen worden besproken. In november 2016 worden de ervaringen uitgewisseld rond het onderwerp Big Data en Privacy. Taskforce Daarnaast loopt er een taskforce-overleg Terugkeer na detentie met de ministeries van V&J en SZW, het Inlichtingenbureau en de gemeenten Tilburg, Amsterdam, Rotterdam en Utrecht. Tilburg is trekker van deze taskforce. De Utrechtse FG neemt, evenals collega s van het onderdeel Veiligheid, deel aan de taskforce. Het doel is om te komen tot afspraken c.q. aanpassing van wetgeving op basis waarvan informatie binnen het gemeentelijk domein kan worden gedeeld en de re-integratie van (ex)gedetineerden effectiever kan worden vormgegeven. Er wordt ook in wisselende samenstelling met verschillende collega s deelgenomen aan de Taskforce gegevensuitwisseling Sociaal Domein. In deze taskforce zijn naast Utrecht ook de gemeenten Rotterdam, Den Haag, Amsterdam en het ministerie van SZW vertegenwoordigd. Bij de verschillende onderwerpen worden deskundigen uit de uitvoering betrokken waardoor een helder beeld ontstaat van de noodzakelijke persoonsgegevens voor verschillende uitvoeringstaken. Uitgangspunt daarbij is dat niet meer wordt verzameld dan strikt noodzakelijk. Indien tegen wettelijke beperkingen wordt aangelopen, wordt bekeken op welke manier deze zijn op te lossen. Voor het onderdeel gemeentelijke schuldhulpverlening zet het ministerie van SZW een extern bureau in om de noodzakelijke gegevensverwerking voor dit specifieke aandachtsgebied in kaart te brengen. Debat E-ID Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) organiseerde een debat in Lagerhuisstijl bij het adviesbureau PBLQ in Den Haag over de privacyaspecten rond de opvolger van DigID, het nieuwe E-ID stelsel (Elektronische Identiteit). Het Haagse Openbaar Ministerie opende samen met de Utrechtse FG dit debat. Het leverde enkele aanbevelingen op die bij ontwikkeling van het E-ID stelsel worden meegenomen. Pagina 9

10 Overig Utrecht is gastheer geweest voor de pilot selfassessment Privacy Sociaal Domein. Deze wordt georganiseerd door de VNG. Onder anderen Cap Gemini, ICTU, Enschede, Zaanstad en V&J zijn hierbij betrokken. Dit leidde tot de zelf scan privacy sociaal domein. Het Hoofd Informatiebeveiliging en de FG namen deel aan deze ontwikkeling. Bij het Kwaliteitsplatform Gemeenten is een presentatie gegeven over privacy gemeente breed en de gevolgen van wijzigingen van nationale en Europese wetgeving. Wijziging van de Wbp rond datalekken en de gevolgen van de AVG zijn hier onder de aandacht gebracht. Op het BZK-symposium datagedreven overheid en grondrechten presenteerde Utrecht een praktijkcasus en is aangedrongen op heldere regelgeving voor het delen van persoonsgegeven tussen de verschillende (gemeentelijke) domeinen. Pagina 10

11 3 Stand van zaken Utrechtse privacybescherming In een lerende organisatie gebruikt de FG in de omgang met privacyregels een toetsingskader. Dit kader is afgeleid van de normen die bij de verschillende SUWIonderzoeken door de Inspectie SZW zijn gebruikt. Deze normen zijn ook onderdeel van de Baseline Informatiebeveiliging Gemeenten van de VNG. 3.1 Het toetsingskader met zeven normen Norm 1: Is er beleid vastgesteld (strategisch, tactisch en operationeel)? Norm 2: Wordt het beleid periodiek op gestructureerde wijze herzien? Norm 3: Wordt het beleid uitgedragen in de organisatie? Norm 4: Is de organisatie van Privacybescherming en Informatiebeveiliging vormgegeven? Norm 5: Wordt er met privacywetgeving rekening gehouden bij nieuwe verwerkingen? Norm 6: Is er voldoende aandacht voor bewustwording en gedragsverandering? Norm 7: Is er sprake van geautoriseerd gebruik van persoonsgegevens? Bij deze normen is er een sterke samenhang tussen privacybescherming en informatiebeveiliging zoals de volgende afbeelding laat zien. Afb. Privacybescherming en Informatiebeveiliging in hun samenhang. Pagina 11

12 3.1.1 Is er beleid vastgesteld (strategisch, tactisch en operationeel)? Door het college van B&W is in 2014 op basis van de Baseline Informatiebeveiliging Gemeenten (BIG) van de VNG een strategisch informatiebeveiligingsbeleid vastgesteld voor de periode Daarnaast zijn er tactische richtlijnen vastgesteld door de concerndirectie die elke twee jaar worden herzien. Hierin staan de normen en maatregelen ten behoeve van risicomanagement en controle die op basis van pastoe-leg-uit gelden voor alle organisatieonderdelen van de gemeente Utrecht. Op basis van de Privacyverordening gemeente Utrecht 2016 moeten organisatieonderdelen operationele procedures vaststellen voor zaken als autorisatiebeheer, logging en controle. Dit krijgt gestalte in jaarplannen privacy en informatiebeveiliging waar elk organisatieonderdeel aan werkt. Eind 2016 worden de jaarplannen - die betrekking hebben op opgeleverd. Bij een deel van de organisatieonderdelen was het vaststellen van operationele procedures ten aanzien van privacy en informatiebeveiliging nog geen gangbare praktijk. Alleen bij een beperkt aantal onderdelen (Publiekszaken en Werk en Inkomen) is hier sprake van. Dit is een (wettelijke) verplichting voor bijvoorbeeld de Basisregistratie Persoonsgegevens en op basis van de SUWI-wetgeving. Voor de SUWIwetgeving is door de Inspectie SZW vastgesteld dat de gemeente Utrecht aan de normen voldoet. Conclusie: De gemeente voldoet aan deze norm op strategisch en tactisch niveau. Op operationeel niveau wordt actief gewerkt aan het invullen van operationele procedures Wordt het beleid periodiek op gestructureerde wijze herzien? Zowel het strategisch beleid als de tactische richtlijnen zijn aan herziening toe op basis van gewijzigde wet- en regelgeving. Per is de gewijzigde Wbp in werking getreden en per is de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht. Voor implementatie van de AVG is in september 2016 een projectleider aangetrokken om de impact hiervan te inventariseren en de implementatie vast te leggen in een plan van aanpak. De implementatie gebeurt in 2017, waardoor de gemeente voldoende tijd heeft om op 25 mei 2018 aan de eisen van de gewijzigde wetgeving te voldoen. Daarnaast leidt ook de Privacyverordening gemeente Utrecht 2016 tot aanpassing van het gemeentelijk beleid. Zo zijn de hierin gemaakte keuzes over de omgang met de verwerking van persoonsgegevens (waaronder camerabeelden, Bluetooth en WIFItracking) direct van invloed op zowel het beleid als de uitvoeringsprocessen. Pagina 12

13 De operationele procedures - op basis van de Baseline Informatiebeveiliging Gemeenten (BIG) van de Vereniging Nederlandse Gemeenten (VNG) worden vanaf 2017 jaarlijks herzien. Conclusie: De gevolgen van wijzigingen in de nationale en Europese wetgeving en de Privacy-verordening gemeente Utrecht zijn op dit moment nog niet in alle beleidstukken verwerkt. Het strategisch beleid en de tactische richtlijnen worden naar aanleiding van deze wijzigingen geactualiseerd Wordt het beleid uitgedragen in de organisatie? Na het vaststellen van het strategisch informatiebeveiligingsbeleid en de tactische richtlijnen in 2014, is dit beleid breed onder de aandacht gebracht van de organisatie, onder meer in bewustwordingsbijeenkomsten en diverse risicosessies met management van organisatieonderdelen. Dit beleid is in 2015 ook meegenomen in de BIG-bewustwordingscampagne. Ook bij de cursus voor de Privacy- en beveiligingscoördinatoren wordt dit beleid onder de aandacht gebracht. Conclusie: De gemeente voldoet aan deze norm. Het beleid wordt in de organisatie uitgedragen als vast onderdeel van bijeenkomsten op verschillende niveaus Is de organisatie van privacybescherming en informatiebeveiliging vorm gegeven? In 2012 is op concernniveau de functie van Hoofd Informatiebeveiliging (Chief Information Security Officer of CISO) vormgegeven. Binnen de decentrale organisatieonderdelen is de rol van aanspreekpunt voor Privacy en informatiebeveiliging (Decentrale Information Security Officer, DISO) bij drie organisatieonderdelen ingevuld, meestal als onderdeel van een breder takenpakket. De organisatie rond privacy en informatiebeveiliging kreeg structureel vorm door het invoeren van een periodiek overleg tussen centrale en decentrale functionarissen waarin zowel privacyaspecten als informatiebeveiliging centraal staan. De functie van DISO is ook verankerd in de Privacy-verordening gemeente Utrecht. Bij de inrichting van het Stadskantoor is er veel aandacht besteed aan zowel de fysieke als de technische beveiliging, waardoor er een goede basis is gelegd voor privacybescherming en informatiebeveiliging. Pagina 13

14 Door implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG) is er structureel meer aandacht voor privacy- en informatiebeveiliging. In 2015 is hier de Functionaris Gegevensbescherming (FG) aan toegevoegd. In 2016 wordt, zoals vastgesteld in de Privacy-verordening 2016, het aanspreekpunt voor Privacy en informatiebeveiliging bij organisatieonderdelen belegd. Er vindt structureel overleg plaats met informatiemanagers, informatie-architecten, juristen, archivarissen en recordmanagers om privacy by design vanaf het allereerste moment toe te passen. Dat betekent dat je van tevoren al precies vastlegt voor welk doel je persoonsgegevens wil verwerken, welke gegevens dat precies zijn, hoe je ze verwerkt, wie er toegang tot deze persoonsgegevens hebben en hoe lang je ze bewaart. Een cursus privacybescherming en informatiebeveiliging binnen de verschillende organisatieonderdelen is in september 2016 gestart. Deze opleiding krijgt in december zijn beslag door oplevering van plannen voor informatieveiligheid (=Privacybescherming en Informatiebeveiliging). Binnen de organisatieonderdelen worden de decentrale coördinatoren voor Privacy en Informatiebeveiliging verantwoordelijk voor de uitvoering van deze plannen. In de Voorjaarsnota 2016 zijn voorstellen voor financiering van Privacy en Informatiebeveiliging opgenomen onder paragraaf 3.8; Digitale dienstverlening en samenwerking. Deze voorstellen zijn bedoeld om processen te verbeteren en datalekken in de toekomst te voorkomen, nieuwe voorzieningen in te richten voor identity-management en informatie-uitwisseling. Daarnaast hebben ze betrekking op het uitvoeren van jaarlijks (verplichte) audits en het aanstellen van functionarissen. Hierdoor zijn informatiebeveiliging en privacy aantoonbaar geborgd in de dagelijkse werkzaamheden van de gehele organisatie en van onze ketenpartners. Verschillende interne auditors nemen aan de genoemde cursus privacybescherming en informatiebeveiliging deel en gaan de resultaten monitoren door het uitvoeren van periodieke audits. Conclusie: Aan deze norm wordt deels voldaan. Hoewel momenteel nog niet alle functies zijn ingevuld, is de verwachting dat alle organisatieonderdelen eind 2016 structureel invulling hebben gegeven aan deze nieuwe organisatierol. Pagina 14

15 3.1.5 Wordt er met privacywetgeving rekening gehouden bij nieuwe verwerkingen? Bij projecten op het gebied van Datagedreven Sturing wordt voldoende aandacht gegeven aan privacybeschermende maatregelen. Zo wordt bij de start van elk project bepaald welke gegevens minimaal noodzakelijk zijn om de gestelde onderzoeksvraag te kunnen beantwoorden. Bij vergelijking van data tussen twee organisaties of organisatieonderdelen worden de afspraken over het verwerken ervan vastgelegd en door de Integraal Resultaatverantwoordelijk Manager (IRM-er) ondertekend. Dataminimalisatie, anonimiseren of pseudonimiseren worden hier structureel toegepast binnen de kaders van de Wbp. Producten als de inbraakmonitor, weesfietsen, gezondheidsmonitor zijn hier goede voorbeelden van. Toch worden elders in de organisatie bepaalde persoonsgegevens niet altijd als zodanig herkend. Het besef is nog onvoldoende aanwezig dat bijvoorbeeld een Macadres, een IP-adres of een ander uniek kenmerk (afvalpas, barcode) persoonsgegevens zijn. Deze gegevens maken het in theorie mogelijk om een natuurlijk persoon te volgen in de openbare ruimte door het vastleggen van kenmerk, datum en tijdstip. Het is de betrokken persoon vaak niet eens bekend dat dergelijke technieken zouden kunnen worden ingezet. Onvoldoende bekend met herkennen persoonsgegevens Voorbeelden waarbij de verantwoordelijke organisatieonderdelen zich vooraf onvoldoende hebben gerealiseerd dat bij deze verwerkingen de Wbp van toepassing is zijn: camera s in de wijk Pijlsweerd die de beweegbare afzettingen filmden, afvalpassen voor de ondergrondse afvalcontainers, barcodescan bij de fietsenstallingen. Het herleiden naar personen is bij deze registraties niet uit te sluiten. De betreffende camera s in Pijlsweerd zijn weggehaald en voor de afvalpassen wordt, mede naar aanleiding van raadsvragen hierover een privacy-protocol opgesteld en de verwerking aangepast. Over de verwerkingsdoeleinden van de barcode bij de fietsenstallingen zijn door de FG vragen gesteld, omdat deze elektronische registratie niet is opgenomen in de algemene voorwaarden van de gemeentelijke fietsenstallingen. Persoonsgegevens van abonnementhouders worden bijvoorbeeld wel geregistreerd. In deze algemene voorwaarden is sprake van een bewaarbewijs en onduidelijk is voor welk doel deze barcodescan verder wordt gebruikt. Aan een privacy protocol voor de fietsenstallingen wordt gewerkt waarin duidelijk wordt gemaakt welke gegevens voor welke doelen worden verzameld. PIA verplicht bij tracking Ook bij tracking van mobiele datadragers via Bluetooth of Wifi moet, voordat met dergelijke verwerkingen wordt gestart, een Privacy Impact analyse (PIA) worden uitgevoerd. Hierin breng je in kaart wat de mogelijk (negatieve) gevolgen zijn van het gebruik van persoonsgegevens voor de betrokken personen en organisaties en Pagina 15

16 lokaliseer je de risico s. Op basis van de antwoorden van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van de betrokkene wordt geschaad, hoe hoog deze is en op welke gebieden dit is. Op basis van de uitkomsten kun je gericht acties ondernemen om deze risico s te verminderen. Voor de PIA wordt gebruik gemaakt van het model van KING / VNG. De verplichting om een PIA uit te voeren, is vastgelegd in de Privacyverordening Bij inzet van dergelijke technieken als tracking is het vooraf betrekken van omwonenden en belanghebbenden een essentiële voorwaarde die zorgvuldig in de besluitvorming moet worden afgewogen. Bij een plan om Wifi tracking of Bluetooth tracking in de omgeving van de Vredenburgmarkt uit te voeren, heeft de FG aangegeven dat voorafgaand eerst de privacyaspecten moeten worden beoordeeld, omwonenden worden betrokken en een PIA moet worden uitgevoerd. Op basis van de Privacy-verordening 2016 en de motie M171 Beginnen met Privacy wordt het toepassen van privacy by design binnen de organisatie voor alle nieuwe verwerkingen verplicht. Sinds juli 2016 worden PIA s opgesteld bij nieuwe verwerkingen, zelf te ontwerpen verwerkingen of wijzigingen van bestaande verwerkingen van persoonsgegevens. Conclusie: Bij verwerkingen binnen datagedreven sturing wordt voldoende rekening gehouden met privacywetgeving. Bij inzet van nieuwe technieken en informatievoorzieningen, zoals Bluetooth of Wifi tracking, is men zich in de organisatie nog onvoldoende bewust van de privacy- regels en verplichtingen die hierbij gelden, bij traditionele verwerkingen zie je meer bewustzijn. Advies: Richt de bewustwordingscampagne nadrukkelijker op gegevensverwerkingen waarbij nieuwe technieken worden ingezet Is er voldoende aandacht voor bewustwording en gedragsverandering? In 2015 is er een voortvarende aanpak met de BIG-bewustwordingscampagne (BIG = Bewust Informatie Gebruiken) geweest. Op verschillende aansprekende manieren is de organisatie attent gemaakt op de risico s en het daarbij gewenste gedrag om deze risico s te beperken. De in 2015 ontwikkelde intranetsite heeft ook de aandacht van andere gemeenten getrokken. Deze aanpak voor bewustwording en gedragsverandering is in 2015 met tijdelijke middelen gefinancierd. Voor 2016 is er ook incidenteel budget beschikbaar, zij het minder dan in De bewustwordingscampagne is daardoor getemporiseerd en ook het onderhoud van de BIG-intranet pagina s heeft een achterstand opgelopen. Pagina 16

17 Inmiddels is er een actie gestart om de informatie op intranet weer actueel te maken. Voor het autorisatiebeheer en de bewustwording op het gebied van informatiebeveiliging en privacy bij instroom, doorstroom en uitstroom van medewerkers is een project gestart om dit op orde te krijgen. Parallel hieraan is in de voorjaarsnota 2016 budget aangevraagd en verkregen voor informatiebeveiliging en privacy. Het budget is weliswaar lager dan het budget dat hiervoor incidenteel in 2015 beschikbaar was, maar het is wel structureel budget. De planvorming voor de besteding hiervan in 2017 en verder is in volle gang. Conclusie: De grootste bedreiging voor privacybescherming en informatiebeveiliging bij organisaties is gebaseerd op menselijke fouten. In 2015 is het bewustwordingsprogramma met incidenteel geld gefinancierd. Omdat er minder incidentele middelen beschikbaar waren in 2016 kon de bewustwordingscampagne niet op het gewenste niveau worden voortgezet. Een doorstart van het bewustwordingsprogramma is inmiddels in gang gezet. In 2016 is er bij de voorjaarsnota structureel budget gevraagd en verkregen. Door de tijdelijk lagere inspanning op het gebied van bewustwording loopt de gemeente een verhoogd risico op schade in geval van datalekken. Hierdoor kan de gemeente niet volledig aan de norm voldoen. Advies: Prioriteer binnen de beschikbare middelen om het bewustwordingsprogramma terug te brengen op het niveau van Is er sprake van geautoriseerd gebruik van persoonsgegevens? De accountant heeft bij de controle op de jaarrekeningen in 2015 en 2016 geadviseerd om maatregelen te treffen ten aanzien van procedures voor logische toegangsbeveiliging (autorisaties). In meerdere gevallen is er geen periodieke controle op autorisaties binnen de verschillende geautomatiseerde systemen. In meerdere systemen is er geen logging op het raadplegen van gevoelige informatie aangetroffen, waardoor controle hierop niet mogelijk is. Bij de Basisregistratie personen en de SUWIraadplegingen wordt wel aan deze eisen voldaan. Logging en autorisaties nog onvoldoende geregeld In meerdere gevallen wordt niet voldaan aan de eis uit de Wbp om voldoende technische en organisatorische maatregelen te treffen voor de bescherming van de privacy (zie art. 13 Wbp) 1. Bij een beveiligingsincident of een datalek kan door het 1 Artikel 13 van de Wbp. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Pagina 17

18 ontbreken van logging onvoldoende worden aangetoond of er sprake is geweest van onrechtmatige verwerking van persoonsgegevens. Onrechtmatige verwerking van persoonsgegevens kan op basis van logging niet alleen worden aangetoond, maar ook worden uitgesloten. Bij twee systemen (Stroomlijn en Key2parkeren) zijn de autorisaties onvoldoende vormgegeven. Hierdoor is niet vast te stellen of er uitsluitend door geautoriseerde medewerkers gebruik wordt gemaakt van deze systemen. Bij een derde systeem (Omgevingsloket Online) was eveneens sprake van het ontbreken van adequate autorisaties. Deze situatie is in september 2016 voor het Omgevingsloket hersteld door toekenning van individuele autorisaties. Bij het interne systeem Digiplaza (Alfresco) is er sprake van zoveel beheerders (sitemanagers) dat er sprake is van een onvoldoende beheersbare situatie. Twee, bij de Autoriteit Persoonsgegevens, gemelde datalekken hebben betrekking op dit systeem. Bij controle was namelijk op meerdere meetmomenten privacygevoelige informatie toegankelijk voor ongeautoriseerde medewerkers. Door het ontbreken van logging kan onrechtmatige verwerking niet worden aangetoond, noch worden uitgesloten. Er is inmiddels een projectgroep gevormd om verbeteringen door te voeren, maar implementatie van de voorgestelde maatregelen laat nog op zich wachten. Vanuit het oogpunt van privacy zou dit de hoogste prioriteit moeten krijgen. De organisatie is inmiddels bezig om aan deze norm te gaan voldoen. Conclusie: De interne beheersing van de verwerking van persoonsgegevens dient structureel te worden verbeterd. Bij verwerkingen van persoonsgegevens dient in alle gevallen tenminste een gedegen autorisatietabel te worden gehanteerd en meerdere keren per jaar de juistheid, volledigheid en tijdigheid hiervan te worden gecontroleerd en vastgesteld. Om te voldoen aan de principes van privacy by design is onder meer een effectieve logging van elke geautomatiseerde verwerking van privacygevoelige gegevens een minimaal vereiste. Op de log-gegevens zal een periodieke controle plaats moeten vinden, zodat ongewenste verwerkingen kunnen worden voorkomen of tijdig kunnen worden vastgesteld. Advies: Tref op korte termijn maatregelen om deze tekortkomingen te herstellen. Er zijn verbeteracties van genoemde knelpunten belegd bij Informatie- en Procesmanagers. Structurele gemeentebrede verbeteringen worden projectmatig aangepakt in het project Identity Management, wat ervoor zorgt dat 80% eind 2016 gereed is. Pagina 18

19 4 Vooruitblik Dit is het eerste jaarverslag van de Utrechtse FG. Zoals in hoofdstuk 1 gemeld is, is het maken van een dergelijk verslag geen wettelijke verplichting meer. Gezien de snelle ontwikkelingen in wet- en regelgeving en de maatschappelijke behoefte in het professionaliseren van de privacybescherming, lijkt een jaarverslag wel gewenst. Ook andere verslaglegging is aan verandering onderhevig en kan input leveren voor het FG jaarverslag. In G4-verband worden bijvoorbeeld Kritische Prestatie Indicatoren (KPI s) ontwikkeld om Privacy- en Informatiebeveiliging op concernniveau te kunnen besturen en hierover te rapporteren. Het doel is transparant aan bestuur en inwoners te rapporteren over de kwaliteit van Privacy- en Informatiebeveiliging. Op 19 april 2016 is de Wet open overheid (Woo) aangenomen door de Tweede Kamer. Deze wet ligt nu ter besluitvorming voor in de Eerste Kamer. De wet beoogt overheden en semi-overheden transparanter te maken om zo het belang van openbaarheid van publieke informatie voor de democratische rechtsstaat, de burger, het bestuur en economische ontwikkeling beter te dienen. De Wet openbaarheid van bestuur wordt ingetrokken. Een zorgvuldige implementatie van de Woo zal aandacht vragen. Invoering van de Woo zal immers een groot effect hebben op de processen waarin verwerkingen van persoonsgegevens vanzelfsprekend zijn en als een rode draad door de processen heenlopen. Openheid van zaken is natuurlijk prima, maar kan niet betekenen dat de privacygevoelige gegevens van burgers ook open toegankelijk worden. Een zorgvuldige afweging is noodzakelijk tussen openheid van zaken en respect voor en borging van privacy van de burger. De verdere ontwikkelingen worden met belangstelling gevolgd. Pagina 19

20 Betrokkenen binnen de organisatie: Privacy bewaking en informatiebeveiliging bij gemeente Utrecht wordt ondermeer actief vormgegeven door: Hoofd Informatievoorzieningen Hoofd Informatiebeveiliging Kwartiermaker datagedreven sturing Informatie- en procesmanagers Integrale resultaatmanagers Securitymanager en securitycoördinator Beveiligingscoördinator facilitaire zaken Informatiecommissaris Decentrale aanspreekpunten voor privacy en informatiebeveiliging Juristen met belangstelling voor en/of specialisatie in privacywetgeving Communicatieadviseurs Projectmedewerkers Stagiaires en Trainees Medewerkers en burgers die actief melding maken van beveiligingsincidenten of datalekken. de verantwoordelijke wethouder het college van B&W de gemeenteraad Dank aan allen voor hun bijdragen! Utrecht, 7 november 2016 De Functionaris voor de Gegevensbescherming J. van Impelen Pagina 20

21 Bijlage I: I: Artikelen 62 t/m 64 Wet bescherming persoonsgegevens. Paragraaf 2. De functionaris voor de gegevensbescherming Artikel 62 Een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten kan een eigen functionaris voor de gegevensbescherming benoemen, onverminderd de bevoegdheden van het College ingevolge hoofdstuk 9 en 10 van deze wet. Artikel 63 1 Als functionaris kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht. 2 De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat het verantwoordelijke gevolg dient te geven aan wat in de tweede volzin is bepaald. 3 De functionaris oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen. 4 De functionaris is verplicht tot geheimhouding van wat hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt. Artikel 64 1 De functionaris ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd. 2 Indien op de verwerking een krachtens artikel 25 vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code. 3 De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel 5.2 van de Algemene wet bestuursrecht. 4 De functionaris kan aanbevelingen doen aan de verantwoordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College. Colofon: 7 november 2016 Gemeente Utrecht << Pagina 21