Werkproces Privacygerelateerde Dataleveringen

Transcriptie

1 Werkproces Privacygerelateerde Dataleveringen Procesbeschrijving voor het beschermen van persoonsgegevens bij het leveren van diensten door afdeling Onderzoek, Informatie en Statistiek Versie 1.0, 28 maart 2018 Gemeente Amsterdam Cluster Dienstverlening en Informatie rve Onderzoek, Informatie en Statistiek (OIS)

2 1. Inleiding De afdeling Onderzoek, Informatie en Statistiek (OIS) stelt op verschillende manieren data beschikbaar aan klanten binnen en (deels) buiten de gemeentelijke organisatie. De betreffende data zijn afkomstig uit een groot aantal systemen in de stad en worden beschikbaar gesteld in de vorm van gegevensdiensten gericht op het vinden, raadplegen, opvragen en analyseren van data. In een deel van deze gegevensdiensten worden persoonsgegevens verwerkt. Dit document legt het proces vast dat OIS hanteert om in haar dienstverlening te voldoen aan de wet- en regelgeving met betrekking tot privacy. Het proces neemt daarbij niet alleen de rol van OIS zelf in ogenschouw, maar beschrijft ook de taken en verantwoordelijkheden van andere betrokken partijen, met name die van de klant van de gegevensdienst en die van de bronhouder of verstrekker 1 van de data. Het doel van het Werkproces Privacygerelateerde Dataleveringen (verder te noemen WPD) is om het beschikbaar stellen van gegevensdiensten te faciliteren op een rechtmatige, behoorlijke en transparante manier. Een goed ingericht en geaccordeerd proces met heldere rollen en verantwoordelijkheden, uitgevoerd door deskundigen, verhoogt zowel de rechtmatigheid, de voorspelbaarheid als de snelheid van de dienstverlening. Het format van een procesbeschrijving als deze wekt onvermijdelijk de indruk van een bureaucratisch proces waarin de partijen vooral schriftelijk communiceren. Dit is echter niet de intentie van deze beschrijving. Het proces zal juist tot optimale resultaten leiden als bronhouder, klant en OIS om tafel gaan en in dialoog tot resultaat komen. Dit komt zowel de kwaliteit als de snelheid van het gehele proces ten goede. Positionering van dit document 1. Deze procesbeschrijving is opgesteld onder verantwoordelijkheid van de afdeling Onderzoek, Informatie en Statistiek, in afstemming met de IV afdeling Privacy en Informatiebeveiliging (PIB) van het cluster Dienstverlening en Informatie (D en I), de afdeling Basisinformatie, de kwartiermaker Functionaris Gegevensbeheer (FG), het stedelijke privacy vakoverleg en de Commissie Persoonsgegevens Amsterdam (CPA). Goedkeuring van dit document heeft plaatsgevonden door de Stuurgroep Datapunt, het Informatievoorziening Management Overleg (IVMO), de Chief Information Security Officer (CISO) en het Gemeentelijk Management Team (GMT). Het toezicht op het proces is belegd bij de Informatievoorzienings-eenheid (IVE) van het cluster Dienstverlening en Informatie (D&I). Het proces is geaccordeerd door de Stedelijk Directeur D&I. 2. Amsterdam hanteert al instrumenten voor privacy- en informatiebeveiliging, te weten de Verkorte Risico Analyse (VRA), de Privacy Impact Assessment (PIA) en Diepgaande Risico Analyse (URA), die worden ingezet bij (min of meer) grootschalige projecten. Dit Werkproces Privacygerelateerde Dataleveringen is aanvullend aan deze instrumenten in twee opzichten: a. het ontwikkelen gebeurt in de lijn en vraagt om een lichtere variant van de bovengenoemde instrumenten; b. dit proces beperkt zich niet tot het begin van een traject, maar richt zich op de gehele levenscyclus van de gegevensdienst, inclusief de exploitatie- en beëindigingsfase. 3. Op het moment van vaststellen van het WPD v1.0 loopt binnen de gemeente het Project Implementatie AVG. De eisen vanuit de Algemene Verordening Gegevensbescherming (AVG) zijn, vooruitlopend op het resultaat van dit project, al zoveel mogelijk opgenomen in dit generieke werkproces. 4. De templates die worden gehanteerd bij afzonderlijke processtappen maken integraal onderdeel uit van het werkproces. 1 Het Reglement Stelsel Basisinformatie Amsterdam (kortweg: stelselreglement) onderkent met betrekking tot basis en kernregistraties de rol van verstrekker, die belegd is bij de afdeling Basisinformatie. Versie 1.0 definitief, 28 maart

3 5. Het WPD is geformuleerd in generieke termen en benamingen. Deze kunnen afwijken van benamingen en gebruikte begrippen in wetgeving, reglementen en procedures met een specifiek werkingsdomein2. Bijlage 3 beschrijft de relatie tussen het WPD en deze begrippen en procedures. 2. Gegevensdiensten geleverd door OIS OIS levert duurzame gegevensdiensten: verzamelingen van gegevens, in een zodanige vorm (frequentie, formaat, selectie, etc.) dat een klant deze gegevens kan (her)gebruiken 3 in de eigen processen. De volgende typen gegevensdiensten worden onderscheiden: 1. Tonen van data in een portaal (zichtbaar voor iedereen of alleen na autorisatie): Amsterdam City Data. Eenieder kan gegevens opzoeken en raadplegen via een portaal, en deze gegevens vervolgens handmatig overnemen; 2. Beschikbaar stellen van data via API s (connectoren naar databronnen; toegankelijk voor iedereen of alleen na autorisatie). Systemen van afnemers kunnen vraagberichten sturen aan de voorziening Datapunt en dan het opgehaalde gegeven verwerken, vaak zonder dat de gebruiker van het afnemende systeem zich daarvan bewust is. 3. Leveren datasets als download, via het portaal (toegankelijk voor iedereen of alleen na autorisatie). 4. Personen kunnen met een handmatige actie in het portaal een heel gegevensbestand met meerdere records overhalen naar de eigen omgeving; 5. Beschikbaar stellen van een data-analyseomgeving, gevuld met gevraagde data door OIS bijeengebracht en waar data analisten/onderzoekers analyse en onderzoek op uit kunnen voeren; 6. Het beschikbaar stellen van de toegang tot data op andere wijze dan via API s of een dataset (onder andere tbv verwerking in Tableau Software). 7. Klantspecifieke oplossingen (maatwerk). Het grootste deel van de gegevensdiensten wordt geleverd aan klanten binnen de gemeentelijke organisatie, maar open data worden via het portaal en API s ook aangeboden aan externe klanten. 2 Onder meer de Wet basisregistratie personen en het stelselreglement bevatten relevante begrippen; waarschijnlijk bevat ook wet- en regelgeving in het sociaal domein begrippen die gerelateerd moeten worden aan dit generieke proces. 3. Hergebruik betekent dat een gegeven wordt gebruikt buiten de context/processen waarin het oorspronkelijk is ingewonnen, vaak door een andere organisatie of organisatieonderdeel. Versie 1.0 definitief, 28 maart

4 3. van betrokken partijen op hoofdlijnen Bij de realisatie van gegevensdiensten staan drie partijen centraal. De verantwoordelijkheden en onderlinge relaties daarbij zijn weergegeven in de onderstaande figuur. Onderbouwen rechtmatigheid Toetsen en beslissen Klant Behoeften Gegevensdienst Ontwerp & realisatie gegevensdienst Bronhouder Bronhouder(s) Bronhouder Ontwerp en realisatie IB-maatregelen Beoordelen en goedkeuren OIS De klant is verantwoordelijk voor het onderbouwen van de rechtmatigheid van de gewenste gegevensdienst en voor de inrichting van werkprocessen en beveiligingsmaatregelen in de eigen organisatie, overeenkomstig wet- en regelgeving 4. De bronhouder 5 heeft als eigenaar van de gegevens de verantwoordelijkheid om te toetsen of het gevraagde gebruik door de klant overeenstemt met de wettelijke kaders en om erop toe zien dat in de gegevensdienst passende maatregelen worden genomen t.a.v. informatiebeveiliging. OIS vervult de juridische rol als zijnde verwerker 6, zoals bedoeld in de AVG 7. OIS heeft een eigen verantwoordelijkheid aangaande het inrichten van de gegevensverwerking binnen haar organisatie, overeenkomstig de eisen vanuit wet- en regelgeving: veilig, transparant en aantoonbaar 8. De afwegingen en keuzen in het bovenstaande model beïnvloeden elkaar wederzijds. Bij besluitvorming moeten deze keuzen daarom in samenhang bezien worden. OIS faciliteert de uitvoering van dit proces, onder meer door de inbreng van kennis, het aanreiken van templates en het doen van voorstellen voor de inrichting van de gegevensdienst gericht op privacy en informatiebeveiliging. OIS heeft echter geen inhoudelijke verantwoordelijkheid in de juridische afwegingen aangaande rechtmatigheid. Dit is volledig de verantwoordelijkheid van de bronhouder en het gesprek daarover ligt primair bij de bronhouder en de klant 9. 4 Is deze onderbouwing al geleverd in een eerder uitgevoerde PIA, dan mag deze uiteraard hergebruikt worden. 5 Het stelselreglement kent de rol van verstrekker. Deze rol is binnen de strekking van dit werkproces vergelijkbaar met de rol van de bronhouder. Overal waar in dit document gesproken wordt over de bronhouder kan dus ook worden gelezen verstrekker zoals bedoeld in artikel 5 van het stelselreglement. 6 Verleent OIS diensten voor een klant buiten de gemeente Amsterdam, dan treedt OIS op als verwerker. 7 Zie artikel 4 lid 8 AVG. (zie ook bijlage twee hieronder). 8 OIS vervult niet de rol als zijnde een verwerkingsverantwoordelijke en wordt dus geen bronhouder of zelfstandig leverancier van data. 9 Dit laat onverlet dat OIS vanuit haar eigen verantwoordelijkheid als zijnde een verwerker wél een signaleringsfunctie heeft als sprake is van kennelijke onrechtmatigheid van de beoogde dienstverlening. In die gevallen zal OIS dit onder de aandacht brengen van de bronhouder. Versie 1.0 definitief, 28 maart

5 4. Uitgangspunten Bij het opstellen van het werkproces zijn de volgende uitgangspunten gehanteerd: 1. OIS hanteert één generiek werkproces voor het ontwikkelen en beschikbaar stellen van gegevensdiensten; het WPD is ingebed in dit generieke werkproces: a. Bij alle klantvragen (gemeentelijke een niet-gemeentelijke) wordt zorg gedragen dat een scan op privacyaspecten uitgevoerd wordt. b. Eisen voor privacy worden vanaf het begin meegenomen in de ontwikkeling en beschikbaarstelling van diensten; bewaking duurt voort gedurende de gehele exploitatiefase, tot en met de ontmanteling van de dienst. c. Als gebruik wordt gemaakt van de agile/scrum ontwikkelwijze betekent dit dat in de realisatiefase van diensten op dagelijks niveau aandacht voor (eisen voortvloeiend uit) privacy noodzakelijk is. Vanwege de benodigde snelheid van reageren moet de benodigde privacyexpertise integraal onderdeel uitmaken van het ontwikkelteam. 2. Het WPD richt zich op het waarborgen van de rechtmatigheid van de gegevensdiensten en het kunnen afleggen van verantwoording daarover; het waarborgen van de technische beveiliging van de door OIS geleverde voorziening is beschreven in het Privacy Assessment in combinatie met het Raamwerk Informatiebeveiliging Gegevensdiensten (RIG). 3. De interne toetsing binnen OIS is zodanig ingericht dat externe toetsing beperkt kan worden tot verantwoording achteraf (met uitzondering van enkele gegevensdiensten waarvoor vanuit landelijke of stedelijke regelgeving toetsing of advisering vóóraf expliciet geboden is 10 ). De eerste lijn voor de externe verantwoording is de PIB-eenheid van het cluster D en I en mogelijk de Functionaris Gegevensbescherming (Gegevensbeschermingseffectbeoordeling); de tweede lijn wordt gevormd door de CISO en mogelijk ook de Functionaris Gegevensbescherming (in de zin van toezichthouder) en de CPA De verantwoordelijkheden voor de afzonderlijke partijen zijn in lijn met wat is beschreven in hoofdstuk 3, en worden nader gespecificeerd per processtap: a. De bronhouder 12 van gegevens is verantwoordelijk voor de toetsing van gevraagde gegevensdienst aan wet- en regelgeving, voor het besluit daarover en voor de beoordeling van de beveiligingsmaatregelen in de gegevensdienst b. De klant van een gegevensdienst is verantwoordelijk voor de volledigheid en correctheid van de ter beoordeling voorgelegde informatie in de Privacy Assessment (beoogd gebruik, wettelijke grondslagen, etc) en voor het zorgdragen dat het werkelijk gebruik van de gegevens in de exploitatiefase overeenstemt met wat is vastgelegd in de Privacy Assessment Een voorbeeld hiervan is de bepaling in het stelselreglement dat verstrekkingen uit de BRP voor advies dienen te worden voorgelegd aan de CPA. 11 De invulling van de rol van FG en de inrichting van de stedelijke privacy deskundigheid is op dit moment onderwerp van gesprek. Naar gelang daar meer duidelijkheid over is zal het WPD, als dat nodig is, worden aangepast. 12 Het is mogelijk dat bij één gegevensdienst sprake is van meerdere bronnen van meerdere bronhouders. In dat geval moet in dit document en de bijbehorende templates bronhouder worden gelezen als bronhouders. 13 De AVG stelt een Privacy Assessment alleen verplicht als uit de quickscan een hoog risico blijkt. De invulling van de Quickscan en de Assessment in de AVG wijkt echter af van de in het WMPD gehanteerde invulling. Bewust is daarom gekozen altijd een Privacy Assessment uit te voeren als sprake is van gegevensdiensten m.b.t. persoonsgegevens. Versie 1.0 definitief, 28 maart

6 c. OIS is verantwoordelijk voor het ontwerpen en realiseren van beveiligingsmaatregelen binnen de voorziening. Daarnaast faciliteert OIS het proces en draagt zij zorg voor de vastlegging en logging van alle bewerkingen/verwerkingen, teneinde verantwoording achteraf mogelijk te maken. 5. De uitvoering van alle processtappen (en de onderliggende documenten) wordt vastgelegd in het klantvraagdossier. 6. Uitganspunt in dit werkproces is volledige transparantie. De in het proces gehanteerde verantwoordingsdocumenten worden gepubliceerd op intranet/internet. 7. De in dit document genoemde privacy Officer OIS moet worden gezien als een rol en niet als functionaris. Deze rol kan al naar gelang omstandigheden bij diverse functionarissen belegd worden. Vooralsnog is deze rol belegd bij privacy-deskundigen binnen OIS, maar dat kan in de toekomst veranderen. Versie 1.0 definitief, 28 maart

7 5. Het generieke OIS-werkproces voor de ontwikkeling van gegevensdiensten OIS levert (middels de voorziening Datapunt) duurzame gegevensdiensten: verzamelingen van gegevens, zodanig dat een klant deze gegevens kan (her)gebruiken 14 in de eigen processen. Het startpunt voor het ontwikkelen en/of beschikbaar stellen van een gegevensdienst is de klantvraag, waarin een externe partij bij OIS een verzoek neerlegt om een gegevensdienst aan hem beschikbaar te stellen. De levering van gegevensdiensten kent een generiek werkproces met een vijftal fasen: A. Intake: globaal in beeld brengen van de klantvraag in één of enkele gesprekken. Er is dus een intake voor alle klantvragen, ongeacht door welke eenheid binnen OIS deze worden opgepakt. B. Voorbereiding: nader in beeld brengen van de klantvraag, specificeren van de benodigde gegevensdienst, identificeren van de beschikbare bronnen, ontwerpen van de benodigde gegevensverwerking, raming van hoeveelheid werk en kosten. C. Realisatie: configureren, aanpassen of uitbreiden van de voorziening, het inregelen van de gegevensverwerking (in het geval het nieuwe gegevens betreft). D. Exploitatie: feitelijke levering van de gegevens en/of de feitelijke uitvoering van de analyse, monitoren van gegevensverwerking, -gebruik en services levels. E. Beëindiging: configureren of aanpassen van de voorziening, gericht op het stoppen van de gegevensdienst; veiligstellen/archiveren van te bewaren gegevens, vernietigen van overige gegevens. 14. Hergebruik betekent dat een gegeven wordt gebruikt buiten de context/processen waarin het oorspronkelijk is ingewonnen, vaak door een andere organisatie of organisatieonderdeel. Versie 1.0 definitief, 28 maart

8 6. Proces privacybewaking Het startpunt voor het proces van privacybewaking is de klantvraag. Alle klantvragen doorlopen het proces beschreven in Hoofdstuk 6. In de onderstaande figuur staan de belangrijkste activiteiten en instrumenten voor privacybewaking in dit proces benoemd. De hoofdlijn van het proces is als volgt. De rol en taken van OIS, klant én bronhouder in dit proces staan hieronder beschreven (zie hfst. 6.1 e.v.): A. Binnen fase Intake: uitvoeren korte check óf de klantvraag betrekking heeft op persoonsgegevens. B. Binnen fase Voorbereiding: uitvoeren Privacy Assessment om de grondslag (doelbinding, proportionaliteit, subsidiariteit), de risico s en de (eventueel) benodigde informatiebeveiligingsmaatregelen voor de gegevensdienst vast te stellen. Dit op basis van een beschrijving van de gegevensdienst en (als dat van toepassing is) een transparantiedocument. van deze fase is om een expliciet akkoord te krijgen van de bronhouder door de klant om de betreffende gegevensdienst beschikbaar te stellen. C. Binnen fase Realisatie: implementatie van de benodigde technische maatregelen, zoals beschreven in de assessment; inregelen van de benodigde beheerprocessen. Vervolgens wordt, vóór vrijgave van de dienst geverifieerd of inderdaad alle maatregelen zijn genomen. D. Binnen fase Exploitatie: uitvoeren van de beheermaatregelen die zijn beschreven in de assessment; monitoren en loggen werking van het proces. E. Binnen fase Beëindiging: zorg dragen dat de dienst wordt geïnactiveerd en (als dat van toepassing is) de opgeslagen persoonsgegevens worden vernietigd. Belangrijke beslismomenten vanuit privacyperspectief zijn het moment waarop de bronhouder toestemming geeft om de gegevensdienst te leveren (C1) en het moment waarop de privacy-officer constateert dat alle afgesproken voorbereidingen/maatregelen zijn getroffen (D1). Alle stappen in dit proces worden vastgelegd om de werking van het proces aantoonbaar te maken. De aard en locatie van deze vastlegging is per processtap beschreven in het volgende hoofdstuk. Versie 1.0 definitief, 28 maart

9 6.1. Nadere beschrijving van instrumenten en activiteiten Alle activiteiten in het proces, weergegeven in figuur 1, worden in dit hoofdstuk toegelicht. De bijdrage van de afzonderlijke actoren (OIS, klant, bronhouder) is telkens verwoord onder de kopjes werkwijze en verantwoordelijkheden. A2: Privacy Quickscan Bij de eerste beoordeling van een klantvraag vaststellen óf er op enige wijze sprake is van een verwerking van persoonsgegevens. Deze Quickscan wordt uitgevoerd tijdens de intake-fase. De Projectleider die de klantvraag in behandeling heeft brengt deze in beeld in één of enkele gesprekken en legt e.e.a. vast in het realisatievoorstel. Daarbij beantwoordt hij ook de vragen in de Privacy Quickscan. Op basis daarvan stelt de privacy-officer vast of de gevraagde dienst op enige wijze betrekking heeft op gegevens die herleidbaar zijn tot personen (verwerking, bewerking, levering). Zo ja (of bij twijfel), dan is het uitvoeren van een Privacy Assessment (zie B) noodzakelijk. Een groot deel van de bij OIS gevraagde gegevensdiensten betreft zonder enige twijfel geen verwerking van persoonsgegevens. Deze quickscan is bedoeld om dit type klantvragen snel te kunnen onderscheiden van klantvragen waarin privacyaspecten wél een rol spelen, zonder de bronhouder onnodig te belasten. In deze processtap wordt dus om pragmatische redenen enigszins afgeweken van het generieke uitgangspunt dat OIS geen juridische inhoudelijke verantwoordelijkheid heeft, zoals beschreven in Hoofdstuk 5. Door deze quickscan systematisch uit te voeren en door de privacy-officer de beoordeling te laten doen wordt voorkomen dat privacy aspecten in klantvragen over het hoofd worden gezien of dat deze te laat worden gesignaleerd. In geval van twijfel moet altijd een Privacy Assessment (B2) worden uitgevoerd. De Quickscan vormt daarmee de trigger om de bronhouder te betrekken bij de volgende fase. Projectleider: in beeld brengen klantvraag volgens format en invullen Quickscan Privacy-officer: beoordeling wel/geen verwerking persoonsgegevens n.v.t. De Privacy Quickscan wordt vastgelegd in een afzonderlijk document, als bijlage bij het binnen OIS gehanteerde realisatievoorstel B2: Privacy Assessment Vaststellen of de gegevensdienst juridisch is toegestaan en of in de gegevensdienst voldoende waarborgen zijn voorzien voor de bescherming van persoonsgegevens De Privacy Assessment heeft betrekking op twee hoofdvragen: a) Is het leveren van de gegevensdienst aan de klant conform wet- en regelgeving (onder meer grondslag, doelbinding, etc.). b) Wordt de gegevensdienst zodanig ingericht (technisch en organisatorisch) dat de persoonsgegevens afdoende beschermd zijn. Het uitvoeren van de Privacy Assessment wordt ondersteund door middel van een Versie 1.0 definitief, 28 maart

10 vragenformulier/format. De gezamenlijke partijen kunnen bij de beantwoording van de vragen verwijzen naar afzonderlijk beschikbare documentatie (zoals een ontwerp of een transparantiedocument) waarin de gegevensdienst in zijn geheel is beschreven van bron tot klant: wie levert welke gegevens aan wie, op welke wijze, in welke hoedanigheid (bronhouder, leverancier, OIS/de voorziening Datapunt Als zijnde verwerker ), onder welke restricties, etc. De werkwijze is als volgt: - Deel één bevat vragen aan de klant ter beargumentering van de rechtmatigheid van het gebruik van de gevraagde gegevens. De beantwoording van de vragen wordt in voldoende mate gemotiveerd en onderbouwd met verwijzingen naar relevante wet- en regelgeving (op artikelniveau). - Deel twee bevat een inventarisatie van de bij de gegevensdienst te implementeren basis-informatiebeveiligingsmaatregelen, in te vullen door OIS. - Deel drie bevat een analyse van eventuele bijzondere risico s die niet afgedekt worden door de basismaatregelen genoemd in deel twee. Als sprake is van dergelijke bijzondere risico s, dan worden de aard en omvang hiervan beschreven, evenals de extra te nemen informatie-beveiligingsmaatregelen ter ondervanging van de risico s. - De privacy-officer toetst of het proces zorgvuldig is uitgevoerd, in het bijzonder of de antwoorden voldoende gemotiveerd zijn en voldoende onderbouwd met stukken en/of referenties. - Het ingevulde assessmentformulier wordt door de klant voorgelegd aan de bronhouder, gezamenlijk met de beschrijving van de gegevensdienst en de eventuele andere documenten ter onderbouwing. Als landelijke of stedelijke regelgeving dit voorschrijft kan op basis van de assessment advies ingewonnen worden bij de CPA Op basis van de aangereikte informatie toetst de bronhouder de gevraagde gegevensdienst aan wet- en regelgeving, ter onderbouwing van zijn besluit om deze al dan niet toe te staan (zie C2). De bronhouder legt de motivatie voor zijn besluit vast in deel vier van de Privacy Assessment. De Privacy Assessment wordt idealiter uitgevoerd in een traject waarin bronhouder, klant en OIS gezamenlijk participeren, met voldoende ruimte voor dialoog. Dit komt de kwaliteit, de snelheid en de acceptatie van de assessment ten goede. Vanzelfsprekend kunnen zowel bronhouder als klant zich laten ondersteunen door juridisch specialisten. NB: mocht in de (latere) realisatiefase wezenlijk afgeweken worden van wat in de Privacy Assessment is beschreven, dan stelt de klant de privacy-officer hiervan op 15 Dit werkproces beoogt een dusdanige zorgvuldigheid te waarborgen dat toetsing achteraf in de regel volstaat, tenzij op basis van wet of regelgeving toetsing vooraf geboden is, zoals beschreven in hoofdstuk 5. Versie 1.0 definitief, 28 maart

11 de hoogte en wordt zo nodig de bronhouder opnieuw om goedkeuring gevraagd. Deze stap vormt het fundament van het proces bewaken privacy, namelijk het maken van alle relevante juridische afwegingen (grondslag, doelbinding, proportionaliteit, subsidiariteit etc.) over het leveren van de gevraagde gegevensdienst aan de betreffende klant en daarnaast het borgen van de herleidbaarheid van deze afwegingen. Verwerking van persoonsgegevens vraagt in de regel om privacybeschermende maatregelen (autorisatie e.d.). Daarom wordt naast de juridische analyse ook de (beoogde) inrichting van de gegevensdienst en de keten van verwerkingen in beeld gebracht en beoordeeld. De risicoanalyse spitst zich nadrukkelijk toe op de risico s die (mogelijk) aanwezig blijven ná het nemen van de basis-informatiebeveiligingsmaatregelen. Op deze wijze wordt voorkomen dat allerlei gewone risico s moeten worden omschreven die toch al door de basis-set worden afgedekt. Met de beschrijving van de gegevensdienst, met de juridische analyse, de beschrijving van de basis-informatiebeveiligingsmaatregelen en de analyse van eventuele bijzondere risico s heeft de bronhouder voldoende informatie om te kunnen beslissen. Klant: volledigheid en correctheid van de geleverde informatie over doel en beoogd gebruik van de gegevensdienst (deel één assessment), bijdragen aan risicoanalyse. OIS: beschrijven werking gegevensdienst, beschrijven beoogde maatregelen (deel twee assessment), bijdragen aan risicoanalyse. Privacy-officer: procesmatige toetsing Privacy Assessment. Bronhouder: Inhoudelijke toetsing (rechtmatigheid en beoogde maatregelen; deel drie assessment), ter onderbouwing van besluit (C2) Getoetst wordt aan Wet- en regelgeving m.b.t. gegevensbescherming, zowel aan de algemene bepalingen uit de AVG als (indien van toepassing) aan specifieke sectorale of gemeentelijke bepalingen; De beschrijving van de gegevensdienst moet de gehele keten van bronhouder tot gebruiker omvatten, inclusief alle tussenliggende schakels en verwerkingen tot en met vernietiging. De Privacy Assessment wordt vastgelegd in een afzonderlijk document, als bijlage bij het binnen OIS gehanteerde voorbereidingsdocument. Alle Privacy Assessments worden vastgelegd in het klantvraagdossier, inclusief de tussentijds afgebroken Privacy Assessments en de assessments die hebben geleid tot een afwijzing. C1: Besluit bronhouder Creëren eenduidig en traceerbaar moment waarop de bronhouder toestemming verleent tot het leveren van de gegevensdienst, met inbegrip van de voorwaarden waaronder deze toestemming is verleend. Op basis van de uitgevoerde Privacy Assessment, de onderliggende documenten en (indien nodig) een advies van de CPA, besluit de bronhouder over het toestaan van levering van de gegevensdienst aan de klant. De bronhouder legt daarbij de motivatie voor zijn besluit vast. Pas na goedkeuring door de bronhouder kan met de realisatie van de dienst worden begonnen. Versie 1.0 definitief, 28 maart

12 In geval van verstrekkingen uit de basisregistratie personen (BRP) heeft het besluit van de bronhouder de vorm van een besluit door de directeur Basisinformatie. Deze stap vormt feitelijk de laatste stap in de uitvoering van de Privacy Assessment, en wordt ook vastgelegd in het template Privacy Assessment. Deze verbijzondering in een aparte stap heeft ten doel om een eenduidig en traceerbaar moment te creëren waarop is besloten over de gegevenslevering. Bronhouder: besluiten t.a.v. leveren van de gevraagde dienst. Privacy-0fficer: correcte uitvoering van het proces, vastlegging hiervan. OIS toetst niet de bevoegdheid van de medewerker die namens de bronhouder akkoord geeft; enkel bij kennelijke onjuistheid zal de privacy-officer tot toetsing overgaan. Het besluit van de bronhouder wordt vastgelegd in hetzelfde document als de Privacy Assessment, samen met de motivatie voor dit besluit. C2: Autorisatiemodel (ontwerp, initiële vulling, testen) Bewerkstelligen dat alleen de juiste personen toegang krijgen tot data; bieden eenduidig en transparant beeld hoe hiertoe de autorisatie wordt ingericht; aantonen van de correcte werking van het autorisatiemechanisme. 1: In samenspraak tussen bronhouder, klant, OIS en de privacy-officer uitwerken/concretiseren van het autorisatiemodel, te weten: - Vaststellen eisen t.a.v. autorisaties, rollen en bevoegdheden. - Model voor rollen bevoegdheden (welke rollen zijn er en wat mogen die) - Procedureafspraken voor het toekennen van rollen/autorisaties aan personen (wie geeft toestemming aan OIS om personen in het systeem te autoriseren). 2: Opstellen overzicht van initieel te verstrekken autorisaties. 3: Inrichten en vullen autorisatietabellen in de voorziening Datapunt. 4: Testen of het gehele autorisatiemechanisme correct werkt. Toekennen van rollen en autorisaties is een essentieel element in het afschermen van persoonsgegevens. In de realisatiefase dient het model daartoe vastgesteld én beproefd te worden. In sommige gevallen kunnen specifieke regels bestaan t.a.v. inrichting van autorisaties (bijv. bij BRP) waarmee rekening gehouden dient te worden. Bronhouder: formuleren eisen aangaande autorisaties. OIS: opstellen autorisatiemodel, inrichten model in de voorziening, testen van de werking. Klant: aanleveren namen en bijbehorende rollen voor initiële vulling. Privacy-officer: beoordelen model, testen werking. Nog te bepalen Rollen en bevoegdheden zijn vastgelegd in de autorisatietabellen in de voorziening Datapunt; wijzigingen in autorisatietabellen worden gelogd. Autorisatieprocedure: vastgelegd via een standaard template. Testrapportage Autorisaties: vastgelegd via een standaard template. Versie 1.0 definitief, 28 maart

13 C3: Inrichten Logging D1: Vrijgave Zorgdragen dat gegevensverstrekkingen en -bewerkingen in de exploitatiefase worden geregistreerd, overeenkomstig beschreven in de Privacy Assessment. Configuratie van de generieke logging-component in de voorziening Datapunt. Testen hiervan. Logging moet aantoonbaar zijn ingericht alvorens de gegevensdienst kan worden geleverd/geëxploiteerd. OIS: inrichten logging. Privacy-officer: toetsen inrichting. Nog te bepalen De inrichting van de logging is vastgelegd in de voorziening Datapunt. De toetsing door de privacy-officer wordt vastgelegd via een standaard template. Creëren van een eenduidig en traceerbaar moment waarop geverifieerd wordt dat aan de eerder overeengekomen maatregelen en voorwaarden is voldaan. De privacy-officer controleert i.s.m. het ontwikkelteam of alle in de Privacy Assessment toegezegde maatregelen zijn geïmplementeerd. Schrijft wet- of regelgeving dit voor, dan kan daarnaast voorafgaand aan de vrijgave een externe onafhankelijke aansluitaudit worden uitgevoerd. Zie doel Bronhouder: verantwoordelijk voor vrijgave, kan privacy-officer mandateren. n.v.t. Vrijgave van de gegevensdienst wordt vastgelegd via een standaard template. D2: Autorisatiebeheer Zorg dragen dat autorisaties overeen blijven stemmen met de actuele situatie bij de klant (personeel, taken, rollen). Beheer van autorisaties valt uiteen in vier werkzaamheden. a. Toekennen nieuwe autorisaties op aanvraag conform afgesproken procedure. b. Intrekken tijdelijke autorisaties bij verstrijken van de afgesproken termijn. c. Intrekken autorisaties als de klant dit aangeeft. d. Periodieke uitvraag bij betreffende klanten of bestaande autorisaties moeten worden gecontinueerd. Autorisaties moeten onderhouden worden aangezien voortdurend mutaties plaatsvinden in personeel; vooral moet voorkomen worden dat autorisaties actief blijven voor personeel dat niet meer werkzaam is of dat niet meer de taken uitvoert die de grondslag waren voor de autorisatie. OIS: uitvoering van de stappen genoemd onder werkwijze. Klant: melden mutaties, verstrekken informatie n.a.v. periodieke uitvraag privacy-officer: toezicht op uitvoeren van deze processtap Nog te bepalen Wijzigingen in mutaties worden gelogd in de voorziening Datapunt. De periodieke uitvraag en reactie daarop wordt vastgelegd via een standaard template. D3: Logging/Audit trail Vastleggen van alle verstrekkingen van data (incl. inzage) en alle beheerwerkzaamheden. Versie 1.0 definitief, 28 maart

14 Automatisch door systeem, conform eerder opgesteld ontwerp. Logging van alle gegevensverstrekkingen is noodzakelijk om te allen tijde na te kunnen gaan wie gegevens heeft afgenomen en om te kunnen verifiëren of dit overeenstemt met de afspraken zoals vastgelegd in de Privacy Assessment. OIS: vastleggen en bewaren van de logging. Nog te bepalen Logging binnen de voorziening Datapunt vindt plaats volgens een generiek mechanisme. D4: Incident management Registreren van gebeurtenissen met (mogelijke) gevolgen voor de privacy en het treffen van de benodigde maatregelen Incidentmanagement m.b.t. privacy maakt deel uit van het generieke incidentmanagementproces binnen OIS. 1. Ontvangen melding. 2. Informeren privacy-officer en bronhouder dat er incident is met gevolgen voor privacy. 3. Analyse van ernst en impact van het incident. 4. Besluiten over te nemen acties en urgentie daarvan. Ondanks het grote aantal waarborgen in processen en systemen kunnen privacyincidenten zich voordoen. Het is van belang dat hiervoor een proces is ingericht en dat helder is wie de ernst van het incident bepaalt en wat het afhandelscenario is bij een bepaalde incident-klasse. OIS: registreren gemelde incidenten, informeren bronhouder en privacy-officer. Privacy-officer: adviseren inzake urgentie en afhandeling incident. Classificatie voor de urgentie van incidenten (zie bijlage). Protocol afhandelen privacy incidenten (zie bijlage). Alle gemelde incidenten, dus ook de incidenten m.b.t. privacy, worden vastgelegd in de incidentregistratie van OIS. D5: Bewaken bewaartermijnen Zorgdragen dat opgeslagen data worden vernietigd conform de afspraken gemaakt bij de Privacy Assessment. 1. Signaleren aflopen opslagtermijn in de voorziening Datapunt, m.b.v. geautomatiseerde routine. 2. Verwijderen van de data door medewerker van OIS. Vernietiging van data als deze niet meer nodig zijn verkleint het risico dat beschikbaar komen voor personen of partijen die daartoe niet gerechtigd zijn. Alleen van toepassing als sprake is van opslag van data binnen de voorziening Datapunt en bij diensten die langdurig geëxploiteerd worden (de bronhouder en klant zijn zelf verantwoordelijk voor (eventueel noodzakelijke) vernietiging van data in hun eigen systemen). OIS: verwijderen data van opslagmedia. Privacy-officer: toezien op verwijdering data. Nog te bepalen De verwijdering van data is aantoonbaar in de logging van gegevensverwerking. D6: Periodieke herijking Privacy Assessment Borgen dat de geleverde gegevensdienst in overeenstemming blijft met de actuele Versie 1.0 definitief, 28 maart

15 regelgeving en met de actuele taken van de klant. Periodieke toetsing eens per jaar, waarbij wordt uitgevraagd bij de klanten van gegevensdiensten in fase exploitatie of er substantiële wijzigingen zijn opgetreden sinds de uitvoering van de Privacy Assessment Wijzigingen in processen, taken en regelgeving kunnen eenvoudig onopgemerkt blijven voor OIS. Daarom is een periodieke expliciete evaluatie nodig om na te gaan in hoeverre de gegevens in de Privacy Assessment en de onderliggende documenten (beschrijving gegevensdienst, transparantiedocument etc.) nog kloppen (deze processtap is dus alleen van toepassing bij diensten die langdurig geëxploiteerd worden). OIS: uitvoeren periodieke toetsing. Privacy-officer: toezien op proces/procedure. Zie onder B2 (Privacy Assessment). De herijking wordt vastgelegd met een standaard template, in aanvulling op de oorspronkelijke Privacy Assessment. E1: Besluit beëindigen dienst Creëren eenduidig en traceerbaar moment waar besloten wordt de dienst aan de betreffende klant te beëindigen. 1. Signaleren van te beëindigen gegevensdiensten. 2. Voornemen tot beëindigen dienst voorleggen aan bronhouder en klant ter bevestiging. 3. Ontvangen verklaring van klant dat de dienst beëindigd kan worden. Geborgd moet worden dat de dienst aan de klant niet blijft voortbestaan terwijl de grond daartoe is vervallen. OIS: signaleren. Privacy-officer: toezien op proces/procedure. n.v.t. Correspondentie met klant en bronhouder wordt vastgelegd in het klantvraagdossier. E2: Dienst beëindigen Doorvoeren wijzigingen in de voorziening Datapunt om de dienst werkelijk te beëindigen. 1. Opstellen beëindigingsplan : lijst van acties a.d.h.v. checklist om de betreffende dienst te beëindigen (welke autorisaties intrekken, welke services beëindigen, welke data verwijderen, welke logging veilig stellen, etc.) 2. Uitvoering van de acties hierboven genoemd. 3. Informeren bronhouder. Beëindigen van de dienst vraagt in de regel een aantal acties, dat goed doordacht en aantoonbaar moet worden uitgevoerd. OIS: uitvoering, informeren bronhouder. Privacy-officer: toezicht. n.v.t. Het beëindigingsplan. De werkzaamheden om de dienst uit te zetten worden geregistreerd d.m.v. de generieke logging-mechanismen in de voorziening Datapunt. E3: Logging Archiveren Zorgdragen dat logging van verwerkingen en verstrekkingen veilig is gesteld. Versie 1.0 definitief, 28 maart

16 Exporteren van logfiles naar een leesbaar formaat en deze vastleggen in het klantvraagdossier. Logging kan na het beëindigen van de dienst nog nodig zijn ten behoeve van eventuele verantwoording op een later tijdstip. Daarom moet zeker worden gesteld dat deze logging niet per ongeluk kan worden verwijderd. OIS: zorg dragen voor feitelijke archivering. Privacy-officer: toezien op archivering. Nog te bepalen. De logging wordt gearchiveerd. E4: Gegevens vernietigen Zorg dragen dat gegevens niet beschikbaar blijven na de termijn die is afgesproken in de Privacy Assessment. 1. Opstellen lijst van te verwijderen gegevenssets en de bijbehorende locaties. 2. Verwijderen van de data door medewerker van OIS. Als gegevens beschikbaar zouden blijven na de afgesproken termijn, dan neemt het risico op oneigenlijk gebruik van de gegevens toe. Daarom moet actief worden gestuurd op het vernietigen van gekopieerde persoonsgegevens en moet deze vernietiging gedocumenteerd worden. NB: deze processtap is dus alleen van toepassing als sprake is van opslag van (gekopieerde) data binnen de voorziening Datapunt. Zijn de gegevens niet opgeslagen binnen de voorziening Datapunt, maar worden ze uitgelezen bij de bron zelf, dan wordt alleen de toegang tot de bron geblokkeerd (E2). OIS: verwijderen data van opslagmedia. Privacy-officer: toezien op verwijdering data. n.v.t. De verwijdering van de data wordt geregistreerd met de generieke loggingmechanismen van de voorziening Datapunt. Versie 1.0 definitief, 28 maart

17 Bijlage 1: Relevante templates en procedures De onderstaande templates en procedures maken deel uit van dit werkproces xxxx Template Omschrijving Versie Intakedocument (incl. Privacy Quickscan) Document opgesteld bij het beëindigden van de intake-fase, met daarin een globale duiding van klantwens en ook de Privacy Quickscan (deze maakt als hoofdstuk deel uit van het intakedocument) Privacy Assessment Protocol afhandelen privacy incidenten Protocol beëindigen dienst Legt de juridische onderbouwing vast voor de rechtmatigheid van de gegevensdienst, de voorziene maatregelen t.a.v. privacy en informatiebeveiliging, met daarbij het besluit van de bronhouder om de gegevensdienst al dan niet toe te staan en zijn motivatie hier voor. Kan verwijzen naar verdiepende documenten zoals wet- en regelgeving, beschrijvingen van de gegevensdienst, een transparantiedocument etc. Legt vast welke klassen van privacy-incidenten worden onderscheiden en welke procedure gevolgd moet worden indien deze zich voordoen. Document waarin het beëindigen van de gegevensdienst formeel wordt vastgelegd. Omvat onder meer een checklist met noodzakelijke acties en de bevestiging dat deze zijn uitgevoerd Daarnaast wordt in dit werkproces gebruik gemaakt van de onderstaande generieke templates en procedures. Voorbereidingsdocument Autorisatieprocedure Testrapportage autorisaties Document opgesteld bij het beëindigen van de voorbereidingsfase, met daarin een ontwerp op hoofdlijnen van de gegevensdienst (welke bronnen, verwerkingen, gebruikers, structuur van de oplossing). Vormt tevens de input voor de Privacy Assessment. Legt vast welke procedure wordt gevolgd mij het aanmaken/muteren/intrekken van autorisaties. Legt de resultaten van de test vast waarin de werking van het autorisatiemechanisme is beproefd. <nnb> <nnb> Versie 1.0 definitief, 28 maart

18 Bijlage 2: Gehanteerde begrippen Begrip Voorziening Datapunt OIS Gegevensdienst Privacy-officer Klant Bronhouder Omschrijving Geheel van ICT-voorzieningen die gezamenlijk noodzakelijk zijn om de dienst Datapunt te kunnen leveren. Het OIS-team dat verantwoordelijk is voor de organisatie van de ontwikkeling en het beheer van de voorziening Datapunt en de levering en exploitatie van de dienst Datapunt. Dit team is momenteel vormgegeven als programma-organisatie, maar zal na beëindigen van de programmafase in afgeslankte vorm voortbestaan als een lijnorganisatie. Duurzaam beschikbaar stellen van (verzamelingen van) gegevens. De volgende typen gegevensdiensten worden onderscheiden: - Tonen data in een portaal (zichtbaar voor iedereen of alleen na autorisatie): Amsterdam City Data. Eenieder kan gegevens opzoeken en raadplegen via een portaal, en deze gegevens vervolgens handmatig overnemen. - Beschikbaar stellen data via API s (toegankelijk voor iedereen of alleen na autorisatie). Systemen van afnemers kunnen vraagberichten sturen aan de voorziening Datapunt en dan het opgehaalde gegeven verwerken, vaak zonder dat de gebruiker van het afnemende systeem zich daarvan bewust is. - Leveren datasets als download, via het portaal (toegankelijk voor iedereen of alleen na autorisatie). Personen kunnen met een handmatige actie in het portaal een heel gegevensbestand met meerdere records overhalen naar de eigen omgeving. - Beschikbaar stellen van een data-analyseomgeving, gevuld met gevraagde data door OIS bijeengebracht, waar data analisten/onderzoekers analyse en onderzoek op uit kunnen voeren. - Het beschikbaar stellen van de toegang tot data op andere wijze dan via API s of een dataset (onder andere tbv verwerking in Tableau Software). - Klant-specifieke oplossingen (maatwerk). Een binnen OIS aangestelde deskundige, die de rol heeft om zorg te dragen voor de dagelijkse beoordeling van privacyvraagstukken, die advies geeft en kennis inbrengt, in alle fasen van het proces. Deze rol is nadrukkelijk gepositioneerd als uitvoerder en onderscheidt zicht daarmee van de toetsende rol vanuit IV-PIB. Partij die OIS verzoekt om een gegevensdienst te leveren of die gebruik maakt van een gegevensdienst. De klant ontvangt dus de gegevens en verwerkt deze (in de regel) verder Partij die data primair vastlegt, als onderdeel van het proces dat Versie 1.0 definitief, 28 maart

19 Gemeentelijke verstrekker Klantvraag Klantvraagdossier Persoonsgegeven Bijzonder persoonsgegeven Verwerkingsverantwoordelijke Verwerker hij uitvoert. Deze partij is ook de eigenaar van de data e n heeft vanuit die rol zeggenschap welke andere partijen de data ook mogen gebruiken. Begrip ontleent het Reglement Stelsel Basisinformatie Amsterdam, artikel 5. Het betreft de partij die verantwoordelijk is voor het beschikbaar stellen van brongegevens. Binnen de strekking van dit document gelijk aan de bronhouder. Bij OIS ingediende vraag om een gegevensdienst te realiseren of een beschikbare gegevensdienst open te stellen. Het dossier waarin alle documenten betreffende de vraag van een (potentiele) klant zijn opgenomen, vanaf de eerste gesprekken tot het ontwerp van de gegevensdienst tot aan de beëindiging. Vinden vastlegging van handelingen, controles e.d. geautomatiseerd plaats in een van de systemen binnen de voorziening Datapunt en er dus geen sprake is van documenten - dan bevat het klantvraagdossier een verwijzing naar de juiste locatie. Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (artikel 4 AVG). Werwerkingen waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Dit is de bevoegde die doel en middel van de verwerking vaststelt (bijv. welke persoonsgegevens, hoe lang, wijze van vernietiging, etc..). Het college van B en W is in beginsel de verwerkingsverantwoordelijke binnen de gemeente Amsterdam. Dit is de bevoegde die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Als zijnde verwerker Formeel juridisch kan OIS geen verwerker in de zin van artikel 4 lid 8 AVG zijn, omdat het college van B enw verwerkingsverantwoordelijke is voor de gegevens. Binnen de gemeente Amsterdam vervult OIS wel de rol van verwerker. Vandaar de term OIS als zijnde verwerker. Hierdoor is de juridische verantwoordelijkheid van OIS tevens afgebakend ten opzichte van de overige betrokken partijen bij de gegevensdienst. Versie 1.0 definitief, 28 maart

20 Bijlage 2: Relatie tussen WPD en bestaande procedures met een beperkter domein van werking 1. Mapping van Instrumenten uit de Wbrp en het stelselreglement op het WPD Begrip Begrip in WPD Toelichting Wbrp/Stelselreglement Verstrekker Bronhouder De verstrekker in het stelselreglement heeft een rol vergelijkbaar met die van de bronhouder in het WPD: deze is verantwoordelijk voor de beslissing om gegevens wel of niet te mogen gebruiken in een gegevensdienst. De bronhouder/verstrekker wordt betrokken in alle fasen van het WPD Instrument o.g.v. Wbrp/Stelselreglement Toets op doelbinding, proportionaliteit, Subsidiariteit Transparantiedocument Maakt deel uit van WPD-fase (stap): Voorbereiding (B2: Privacy Assessment) Voorbereiding (B2: Privacy Assessment) Toelichting Toetsing op doelbinding, proportionaliteit en subsidiariteit maakt deel uit van de Privacy Assessment (deel 1, vraag 1-4) Het transparantiedocument geeft een end-to-end beschrijving van de gegevensdienst. Het vormt een mogelijk onderdeel bij de Privacy Assessment. Binnengemeentelijke gegevensleveringsovereenkomst Advies CPA Besluit verstrekking uit BRP Eisen aangaande inrichten autorisatiemodel Aansluitaudit door externe auditor Voorbereiding (B2) Privacy Assessment) Voorbereiding (B2: Privacy Assessment) Realisatie (C1: akkoord bronhouder) Realisatie (C2: autorisatiemodel) Exploitatie (D1: Vrijgave) Het transparantiedocument geeft een end-to-end beschrijving van de gegevensdienst. Het vormt een mogelijk onderdeel bij de Privacy Assessment. Het advies door de CPA is een optionele stap in het WPD, ter validatie van de Privacy Assessment. Deze stap wordt genomen als wet- en regelgeving (Wet BRP, stelselreglement) dit expliciet voorschrijven. Formeel besluit van de directeur Basisinformatie, namens het college, om gegevens uit de BRP te verstrekken. Dit besluit is een verbijzondering van het akkoord bronhouder in het werkproces. In het opstellen van het autorisatiemodel gelden (waar van toepassing) de eisen dienaangaande vanuit Basisinformatie en het stelselreglement. De aansluitaudit dient ter onderbouwing van WPD-beslismoment vrijgave : een onafhankelijke) bevestiging dat de gegevensdienst daadwerkelijk is ingericht conform de afspraken vastgelegd in de Versie 1.0 definitief, 28 maart

21 Vernietigen gegevens Vernietigen gegevens Exploitatie (D5: bewaken bewaartermijnen) Beëindigen dienst (E4: gegevens vernietigen) Privacy Assessment/transparantiedocument. Vernietiging van gegevens kan tijdens de exploitatiefase noodzakelijk zijn, als de looptijd van de dienst langer is dan de vastgestelde bewaartermijn van gegevens. Vernietiging van persoonsgegevens is in de regel vereist na beëindiging van de gegevensdienst. Versie 1.0 definitief, 28 maart