Template Privacy Assessment

Transcriptie

1 Template Privacy Assessment Behorend bij het Werkproces Privacygerelateerde Dataleveringen Versie 1.0, 28 maart 2018 Gemeente Amsterdam Cluster Dienstverlening en Informatie rve Onderzoek, Informatie en Statistiek (OIS)

2 Toelichting Dit formulier heeft betrekking op de Privacy Assessment welke deel uitmaakt van het Werkproces Privacygerelateerde Dataleveringen (WPD) van OIS. In het gelijknamige document worden het werkproces, de Privacy Assessment en het gebruik van dit template nader toegelicht. OIS adviseert de klant om bij het invullen van dit formulier juridische expertise te betrekken op het gebied van de bescherming van persoonsgegevens (denk aan de Algemene Verordening Gegevensbescherming: AVG) en de domeinspecifieke wetgeving. Betreft gegevensdienst: Gegevensdienst <naam> Klantvraagdossier <kantvraagdossiernummer> Ten behoeve van <organisatie(onderdeel)> Documentatie <document><versienummer><datum><status> Beknopte omschrijving van de <geef een omschrijving van de gegevensdienst in niet meer dan enkele gegevensdienst zinnen, bijvoorbeeld zoals hieronder De gegevensdienst betreft de verstrekking van gegevens <vul in> ingewonnen bij <vul in> aan de klant(en) <vul in> door middel van <vul in>. <of> <De gegevensdienst betreft analyse van de brongegevens <vul in, vul in en vul in> door de klant <vul in> gericht op het inzichtelijk maken van <vul in>. Daarbij wordt gebruik gemaakt van methoden <vul in> Toelichting: Het moet altijd duidelijk te zijn op welke gegevensdienst dit formulier betrekking heeft, in welk document de dienst is beschreven en op welke versie van de beschrijving dit assessment is gebaseerd. De beknopte omschrijving van de gegevensdienst beoogt geen volledigheid, maar dient als geheugensteun voor de lezer. Deel 1: Gebruik (bijzondere) persoonsgegevens/herleidbare gegevens (In te vullen door de klant) 1. Is het met de gegevensdienst beoogde resultaat uitsluitend te bereiken met de gevraagde verwerking van persoonsgegevens? Of zou een ander minder ingrijpend middel, waarin geen persoonsgegevens hoeven te worden verwerkt, eveneens geschikt kunnen zijn? Toelichting: deze vraag gaat in op de proportionaliteit en subsidiariteit van de verwerking. Kan het nagestreefde doel ook anders bereikt worden? Staat het doel in verhouding tot de mogelijke impact op privacy? Blijkt bij de beantwoording van deze vraag dat er geen sprake meer hoeft te zijn van de verwerking van (bijzondere) persoonsgegevens of tot gegevens die tot personen herleidbaar zijn, dan hoeft dit formulier niet te worden ingevuld. Versie 1.0, definitief, 28 maart

3 2. Welke (bijzondere) persoonsgegevens worden verwerkt? Toelichting: onder vraag 1 is aangegeven dat er (bijzondere) persoonsgegevens worden/zijn verwerkt. Hier wordt een specificatie van die gegevens gevraagd in elk deel van het proces. 3. Met welk doel worden de (bijzondere) persoonsgegevens verwerkt (doelbinding)? Is dit nieuwe doel verenigbaar met het doel waarvoor de brongegevens oorspronkelijk zijn verzameld? Toelichting: omschrijf hier helder het doel van het eindproduct en het verband met de (bijzondere) persoonsgegevens onder vraag 6. De persoonsgegevens moeten immers passen in dit doel. 4. Wat is de wettelijke grondslag voor de beoogde verwerking? Toelichting: Is onderliggende sectorale wetgeving van toepassing, dan moet deze gespecificeerd worden. Toon de grondslag toestemming aan met documentatie waaruit die toestemming blijkt. 5. Wie is de verwerkingsverantwoordelijke. Is dit niet het college van B en W van de gemeente Amsterdam, dan hier de juiste verwerkingsverantwoordelijke noemen. Toelichting: voor het uitoefenen van zijn/haar rechten moet de burger zich wenden tot de juiste verwerkingsverantwoordelijke. In geval van datalekken moeten deze door de juiste verwerkingsverantwoordelijke worden gemeld. OIS zal nooit de rol innemen van verwerkingsverantwoordelijke. Zie bijlage <ntb> voor een niet-uitputtende lijst van bronnen waarvoor de verwerkingsverantwoordelijke al bekend is, inclusief het daaraan ten grondslag liggende besluit. 6. Moet de betrokkene door de klant geïnformeerd worden over de beoogde verwerking bij OIS? Toelichting: de klant moet in bepaalde gevallen de betrokkene benaderen om hem/haar te informeren (zie artikel 14 AVG) of om toestemming te krijgen voor de beoogde verwerking. Dit laatste kan het geval zijn als de wettelijke grondslag verandert of een gegeven toestemming niet ziet op de beoogde verwerking. 7. Geef aan hoe de betrokkene zijn of haar individuele rechten uit de AVG kan effectueren en wie verantwoordelijk is voor de afhandeling daarvan? Toelichting: de privacy experts van OIS en uw eigen jurist kunnen toelichten wat deze rechten inhouden. Er is op dit moment nog geen eenduidig stedelijk proces. Dit proces is vanwege de invoering van de AVG in ontwikkeling. 8. Is vanuit wet- en of regelgeving een advies van de Functionaris Gegevensbescherming (of de CPA) noodzakelijk voordat OIS de gevraagde gegevensdienst kan leveren? Zo ja: hier aangeven op grond van welke wet- en regelgeving dit noodzakelijk is en de kern van het bewuste advies. Toelichting: op grond van de AVG, artikel 39 kan de FG ongevraagd maar ook gevraagd advies geven over een voorgenomen gegevensdienst en de comptabiliteit van deze met de verplichtingen uit de AVG. Hoewel het Werkproces privacygerelateerde dataleveringen toetsing achteraf als uitgangspunt hanteert, kan het in sommige gevallen op grond van sectorspecifieke of Amsterdamse regelgeving noodzakelijk zijn om vooraf advies in te winnen. Dit is bijvoorbeeld vastgelegd in het Stelselreglement voor verstrekkingen uit de BRP. (Tot 25 mei met 2018 (inwerkingtreding AVG) heeft de CPA op basis van het Reglement van de Commissie Persoonsgegevens Amsterdam (september 2011), artikel 2, exclusief de adviesbevoegdheid). OIS kan de gegevensdienst uitsluitend leveren als: een positief advies is gegeven; een positief advies is gegeven onder voorwaarden waaraan gevolg is of wordt gegeven. In dit geval kan er ook een taak voor OIS zijn. Denk aan het realiseren van expliciet benoemde informatiebeveiligingsmaatregelen ter invulling van artikel 6 van de AVG ; Versie 1.0, definitief, 28 maart

4 zo wel de klant als de bronhouder geen gevolg willen (laten) geven aan een negatief advies of de voorwaarden bij een positief advies en alsnog de gegevensdienst door OIS wensen. OIS is in dit geval geen partij in een (conflictueuze) samenspraak tussen klant/bronhouder/fg/cpa. Ondertekening voor juistheid en volledigheid ingevulde gegevens (deel 1) Klant Naam: Functie: Datum: Paraaf: Versie 1.0, definitief, 28 maart

5 Deel 2: AVG Informatiebeveiligingsmaatregelen (In te vullen door klant, OIS en bronhouder gezamenlijk) 9. Wie voert/voeren de verwerking uit en is/zijn diegene(n) geautoriseerd tot het verwerken van de persoonsgegevens? Dit betreft zowel personeel van de klant, de bronhouder en OIS; Toelichting: geef korte opsomming van rollen en benodigde autorisaties. De klant voorziet OIS van de informatie aangaande de eindgebruikers van de gegevensdienst. 10. Welke van de onderstaande maatregelen zijn van toepassing voor de betreffende gegevensdienst? Toelichting: OIS hanteert voor de verwerking van persoonsgegevens in de voorziening DataPunt een passende set aan maatregelen voor informatiebeveiliging. Deze zijn deels generiek geïmplementeerd (bijv. encryptie van dataverkeer, logische scheiding van dataopslag, data minimalisatie); deels is er sprake van te maken keuzen binnen deze set. Geef aan welke van de onderstaande opties bij deze gegevensdienst van toepassing is (zie voor toelichting het Raamwerk Informatiebeveiliging Gegevensdiensten). Autorisatie: Autorisatie per groep Autorisatie per gebruiker Autorisatie per gehele dataset Autorisatie op attributen van dataset Anders, nl... Herleidbaarheid tot persoonsgegevens Anonimisering (niet herleidbaar) Pseudonimisering (alleen herleidbaar met sleutel) Anders, nl... Encryptie: Fulldisk encryptie Database encryptie Bestand encryptie Anders, nl... Fysieke beveiliging: Beperking toegang tot de werkplek Anders, nl... Versie 1.0, definitief, 28 maart

6 Opslag en vernietiging van data Er is geen sprake van opslag van data binnen de voorziening DataPunt Tijdelijke opslag, vernietigen data bij het beëindigen dienst Tijdelijke opslag, data eens per X- maanden te verwijderen Tijdelijke opslag, data ouder dan X-dagen te verwijderen Anders, nl... Logging: Logging op persoonsniveau Logging op verwerkingsprocessen Logging op ontwikkelprocessen Logging op projectniveau Anders, nl... Auditing: Eenmalige audit voor live gaan van de gegevensdienst Realtime auditing Project auditing Project audit archivering Anders, nl... Versie 1.0, definitief, 28 maart

7 Deel 3: Analyse bijzondere risico s en aanvullende maatregelen (AVG+) 11. Vraagt de beoogde gegevensdienst, als de bovenstaande informatiebeveiligingsmaatregelen zijn getroffen, om additionele informatiebeveiligingsmaatregelen? Bijvoorbeeld omdat de beoogde verwerking bijzondere risico s kent? Zo ja, op welke van de onderstaande risico-elementen hebben deze risico s betrekking? Toelichting: benoem in de onderstaande tabel bij welke risico-element sprake is van bijzondere risico s. Deze kunnen worden ingebracht door zowel klant, bronhouder als OIS. Risico-element Betreft onder meer risico s voortkomend uit Bijzondere Risico s (J/N) Gegevens Verwerking bijzondere persoonsgegevens of anderszins zeer gevoelige gegevens. Mens Eindgebruikers én beheerders. Onachtzaamheid, kwaadwillendheid, ondeskundigheid, onjuiste omgang met wachtwoorden, oneigenlijk gebruik van autorisaties. Apparatuur Onvoldoende toegangsbeperking tot apparatuur, verlies van datadragers. Programmatuur Achterdeuren in programmatuur voor (onbevoegde) toegang, fouten, manipulatie van software, vatbaarheid voor malware, onbevoegd kunnen kopiëren van gegevens. Organisatie Interne controle, richtlijnen voor gebruik en toetsing daarop, richtlijnen voor beheer, gedragscodes, duidelijke verantwoordelijkheden. Omgeving Fysieke beveiliging van werkruimte en apparatuur. Dienst 12. Welke zijn de bijzondere risico s en wat zijn de benodigde aanvullende maatregelen? <kopieer de onderstaande tabel zo vaak als nodig> Component: <vul in: Gegevens, Mens, Apparatuur, Programmatuur, Organisatie of OMgeving > Toelichting Risico <omschrijf risico> Kans op voorkomen <H/M/L> Schade bij <type (financieel, aansprakelijkheid, imago) en omvang> voorkomen Beheersmaatregel <benoem benodigde aanvullende maatregelen, aanvullend en leg uit hoe deze aanvullende maatregel net genoemd risico mitigeert> Restrisico acceptabel <ja/nee, beschrijf daarbij wat het restrisico is en waarom dat acceptabel is > 13. Heeft de beoogde verwerking/gevraagde dienst impact op de (bewerkers)overeenkomst met de cloudprovider die de hosting van de voorziening DataPunt verzorgt en zo ja waarom? Toelichting: geef aan op welke punten en waarom de bewerkersovereenkomst met de cloud-provider aangepast moet worden. 14. Moet de Autoriteit Persoonsgegevens worden geïnformeerd/betrokken over de beoogde verwerking? Toelichting: bij verwerkingen met een hoog of onacceptabel restrisico voor de privacy van betrokkenen is er een verplichting de AP te raadplegen over de betreffende voorgenomen gegevensdienst. Versie 1.0, definitief, 28 maart

8 Ondertekening voor juistheid en volledigheid ingevulde gegevens (deel 2 en deel 3) Klant OIS Bronhouder Naam: Functie: Datum: Paraaf: Versie 1.0, definitief, 28 maart

9 Deel 4 Motivatie en besluit bronhouder Motivatie: Toelichting: benoem de overwegingen voor het besluit en de wet- en regelgeving (artikelgewijs)die van toepassing zijn. Hierbij kan verwezen worden naar de informatie gegeven in deel 1 van dit document. Besluit: Toelichting: bronhouder kan als volgt besluiten. a. De levering van de gegevensdienst aan klant is toegestaan, met inachtneming van de waarborgen en maatregelen ter bescherming van privacy, zoals beschreven in deel 2 van dit formulier. b. De levering van de gevraagde gegevensdienst is niet toegestaan. Ondertekening bronhouder voor akkoord of afwijzing 1 Bronhouder Naam: Functie: Datum: Paraaf: 1 Dit akkoord betreft de toestemming of afwijzing van de bronhouder om de gegevensdienst te ontwikkelen. Mogelijk zijn in het realisatieproces aanvullende overeenkomsten nodig (bijv, binnengemeentelijke gegevensleveringsovereenkomst); het akkoord maakt die niet overbodig. Versie 1.0, definitief, 28 maart