Startnotitie privacy Westerkwartier

Transcriptie

1 Startnotitie privacy Westerkwartier Datum : 25 maart 2015 Versie : 0.3 Status : definitief

2 Inhoud 1 Inleiding Toelichting op privacy Privacywaarborgen Stappenplan & planning Bijlage 1: Ingevulde privacyscan Bijlage 2: Beschrijving functionaris gegevensbescherming/privacy

3 1 Inleiding Het waarborgen van privacy is een belangrijk onderdeel van de decentralisaties in het sociaal domein. Gemeenten bieden vanaf 2015 integrale dienstverlening aan op het gebied van jeugdzorg, de Wmo en de Participatiewet. Het kunnen delen van gegevens binnen en over domeinen is hierbij een voorwaarde voor het realiseren van het hoofddoel, te weten 1 gezin, 1 plan. Burgers moeten erop kunnen vertrouwen dat de gemeente zorgvuldig met deze gegevens omgaat. Om de privacybescherming van burgers te waarborgen in het nieuwe, door gemeenten aangestuurde sociaal domein, hebben de regio s BMWE, DAL en Westerkwartier de handen ineen geslagen. In samenwerking met de VNG en de organisatie Privacy Management Partners is op 24 november 2014 een workshop privacy georganiseerd bij de gemeente Leek. Hier waren medewerkers uit de drie regio s aanwezig. Het resultaat van de workshop is de Startnotitie privacy die hier voor u ligt. Deze notitie is het uitgangspunt voor een toekomstbestendig privacybeleid in deze drie regio s. De startnotitie is ontwikkeld door een samenwerking tussen het Westerkwartier, DAL en de BMWE gemeenten. Deze notitie gaat alleen in op de privacy in de Westerkwartier-gemeenten. De notities die bij de BWME en DAL gemeenten worden aangeboden zijn echter grotendeels gelijk aan deze notitie. Het belangrijkste verschil is dat iedere regio zelfstandig de zelftest heeft uitgevoerd die in de volgende alinea aan bod komt. De VNG heeft verzocht om het gezamenlijke deel van deze notitie voor alle Nederlandse gemeenten beschikbaar te stellen. Privacy in de Westerkwartier Het doel van de startnotitie is om in kaart te brengen wat er per regio nodig is om minimaal niveau vier of vijf te bereiken op de Privacy maturity-ladder (PML, zie figuur 1) 1. Op dat niveau waarborgt de gemeente de privacy van burgers en medewerkers en beheerst de gemeente haar afbreuk- en aansprakelijkheidsrisico s. De gemeentelijke informatiehuishouding wordt op dat niveau gekenmerkt door kwaliteit, continuïteit, veiligheid en klantgerichtheid. Privacy maturity-ladder (AI CPA/ CI CA) 1 Optimaliserend 5 Organisatiebreed privacybeleid gekenmerkt door vanzelfsprekendheid en natuurlijke samenwerking. Optimalisering van beheersmaatregelen is een continu proces en gebeurt op basis van feedback en evaluaties. Gemanaged 4 Organisatiebreed privacybeleid gekenmerkt door hoge awareness, en bijsturing van beheersmaatregelen op basis van periodieke evaluaties. Afgebakend 3 Organisatiebeleid op de onderdelen die het meest in het oog springen als risicovol. Processen worden in kaart gebracht en voorzien van bijpassende beheersmaatregelen. Herhaalbaar 2 De organisatie beschikt over beheersmaatregelen maar risico s zijn niet noodzakelijk overal afgedekt en gedocumenteerd. Ad hoc 1 Maatregelen staan op zichzelf en ontbreken bij andere aandachtsgebieden. Ze zijn vaak te operationeel, missen consistentie en zijn niet noodzakelijk toereikend. Nalatig 0 Privacy leeft niet. De wet wordt genegeerd. Privacywaarborgen zijn afwezig. 1 De privacy maturity-ladder. 1 De AICPA/CICA privacy maturity-ladder is een standaard voor het beoordelen van organisaties op het omgaan met privacy. 3

4 Het beeld dat naar voren komt uit een zelftest 2, is dat de Westerkwartier-gemeenten zich momenteel op het eerste niveau van de PML bevinden (Ad Hoc). Dit houdt concreet in dat de privacy is geregeld in op zichzelf staande regelingen en protocollen en dat een noodzakelijk organisatiebreed privacybeleid ontbreekt. Zoals staat beschreven in het Beleidsplan vernieuwing sociaal domein Westerkwartier hechten de Westerkwartier-gemeenten belang aan het waarborgen van de privacy van inwoners. Inwoners die zorg of ondersteuning ontvangen, moeten erop kunnen vertrouwen dat er zorgvuldig wordt omgegaan met hun persoonsgegevens en dat het delen van deze gegevens binnen de kaders van de wet gebeurt. Het privacybeleid in de Westerkwartier-gemeenten wordt toekomstbestendig door het stappenplan in deze notitie uit te voeren (zie hoofdstuk 4). De privacy is dan blijvend geborgd bij de taakuitoefening in het sociaal domein en op andere terreinen, zoals burgerzaken, openbare orde en veiligheid). Voldoen aan de wet Praktisch Formalistisch Naar de bedoeling van de wet Principle based Naar de letter van de wet Rule driven Roekeloos Ontoereikend Niet voldoen aan de wet Leeswijzer De startnotitie is als volgt opgebouwd. Eerst wordt het begrip privacy kort toegelicht (hoofdstuk 2). Vervolgens komt op hoofdlijnen aan bod hoe gemeenten kunnen sturen op privacywaarborgen (hoofdstuk 3). Tot slot volgt een stappenplan om te komen tot een organisatiebreed privacybeleid. 2 De zelftest bestond uit het invullen van de privacyscan van de VISD. De scan geeft aan op welk niveau de privacy van een organisatie zich bevindt. Zie bijlage 1 van deze startnotitie voor de ingevulde scan. 4

5 2 Toelichting op privacy Wanneer over privacy wordt gesproken, is het belangrijk om goed de verschillende vormen van privacy te kennen: huiselijke privacy lichamelijke privacy gegevensprivacy In het sociaal domein spelen ze in veel gevallen alle drie een rol omdat woningen moeten worden bezocht, lichamelijke, psychische of medische zorg vaak de kern van de zaak is, en zorg- of hulptaken afhankelijk zijn van aantekeningen, verslagen, dossiers en andere vormen van gegevensverwerking. Wel of geen toestemming Goed onderscheid tussen de drie vormen van privacy is belangrijk omdat het recht op privacy per vorm een andere betekenis krijgt en juridisch en praktisch andere consequenties heeft. Dat geldt met name voor de privacybescherming die geboden moet worden. Bij huiselijke en lichamelijke privacy ligt die bescherming besloten in de toestemming die in de meeste gevallen gevraagd moet worden voordat mag worden overgegaan tot zorg- of hulpverlening ( opt-in ). De Wet Maatschappelijke Ondersteuning en de Jeugdwet zijn daar heel duidelijk over en beschrijven ook de uitzonderingen waarin toestemming niet nodig is. Bij gegevensprivacy is het precies andersom. Privacybescherming ligt juist niet besloten in toestemming en moet alleen bij uitzondering worden gevraagd 3. Het is zelfs in strijd met de wet om toestemming te vragen in de situaties waarin dat juridisch buiten de orde is 4, óók als het gaat om verwerking van extra privacygevoelige informatie zoals medische gegevens, gegevens over iemands herkomst of geloofsovertuiging. Wel heeft een persoon altijd het recht om bezwaar te maken tegen de verwerking van zijn gegevens ( opt-out ). Maar dat bezwaar hoeft niet te leiden tot stopzetting van gegevensverwerking 5. Wie instemt met zorg- of hulpverlening, kan of moet begrijpen dat dit onlosmakelijk is verbonden met gegevensverwerking. Wel is het aan de gemeente om in de specifieke situatie of in het algemeen uit te leggen met welke andere privacybeschermende maatregelen de gegevensverwerking dan is omkleed. Dit zijn de privacywaarborgen die in hoofdstuk 3 worden besproken. Hierbij hoort ook informatie over de manier waarop iemand zijn privacyrechten kan uitoefenen, zoals de rechten op inzage en correctie of het zojuist genoemde recht van bezwaar ( recht van verzet ). Grondslagen De wet erkent verschillende situaties waarin gegevensverwerking als vanzelfsprekend ( noodzakelijk ) moet worden beschouwd 6 : 1. gegevens zijn nodig voor de totstandkoming of uitvoering van een overeenkomst denk aan een behandelingsovereenkomst; 3 Bijvoorbeeld wanneer gemeenten gegevens willen afnemen van zorgverzekeraars of zorgaanbieders (zie artikel lid 5 WMO). 4 Zie ook TK 25892, nr 3, p. 9 en 80. Dit is onder meer ook het punt dat het College Bescherming Persoonsgegevens maakt in de brief van 30 oktober 2014 aan de minister van BZK over de privacytoets jeugddomein. 5 Artikel 40 WBP 6 Art. 8b t/m 8f WBP 5

6 2. de gegevensverwerking is wettelijk verplicht bijvoorbeeld verplicht gebruik van de verwijsindex risicojongeren; 3. de gegevens zijn nodig voor bescherming van vitale belangen bijvoorbeeld signalering van kindermishandeling; 4. de gegevens zijn nodig voor de goede vervulling van publieke taken bijvoorbeeld de feiten die bekend moeten zijn voor zorgvuldige besluitvorming over passende voorzieningen; 5. de gegevensverwerking is nodig voor andere gerechtvaardigde belangen bijvoorbeeld het opsporen van fraude of misbruik van gemeentelijke voorzieningen. Het voorgaande wil niet zeggen dat een gemeente gerechtigd is om vervolgens ongebreideld gegevens te verzamelen of deze breed toegankelijk te maken. Zonder praktische maatregelen op het gebied van gegevensdosering (proportionele informatievoorzieningen) en de juiste waterscheidingen om te voorkomen dat gegevens te gemakkelijk voor andere doelen kunnen worden gebruikt (doelbinding), vervalt alsnog de legitimiteit van de gegevensverwerking. De gemeente opereert dan onrechtmatig en schendt de privacy. Dit is ook het geval wanneer de andere privacywaarborgen die in de volgende paragraaf worden genoemd, niet of gebrekkig zijn vormgegeven. Bestuursaansprakelijkheid Het college is wettelijk aansprakelijk wanneer zij de het bestaan van de privacywaarborgen van paragraaf 3 onvoldoende waarborgt. Iedere benadeelde heeft dan recht op schadevergoeding. 7 De landelijke toezichthouder, het College Bescherming Persoonsgegevens (CBP) die binnenkort de Autoriteit Gegevensbescherming gaat heten kan ambtshalve of op iemands verzoek altijd onderzoek instellen en besluiten tot uitoefening van bestuursdwang (last onder dwangsom). Vanaf 2015 is het CBP ook bevoegd om bestuurlijke boetes op te leggen. Aanvankelijk moet het college rekening houden met boetes tot Euro. In de nieuwe algemene wet op de gegevensprivacy, de Algemene Verordening Gegevensbescherming van de Europese Unie (AVG), kunnen de boetes oplopen tot miljoenen Euro s. De AVG wordt in 2015 goedgekeurd maar heeft vervolgens nog een invoeringstermijn van twee jaar. 7 Art. 49 WBP. 6

7 3 Privacywaarborgen Voldoen aan wetgeving op de gegevensprivacy betekent dat Westerkwartier-gemeenten structureel de onderstaande privacywaarborgen bieden 8. Deze waarborgen zijn tegelijkertijd ook de handvatten om op privacy te sturen. Alle in deze paragraaf genoemde aandachtspunten moeten op groen staan wil er sprake zijn van behoorlijke en zorgvuldige gegevensverwerking in overeenstemming met de wet. Gegeven het huidige beschermingsniveau (gelezen de uitkomsten van de privacy scan) en zonder onderzoek naar bestaande oplossingen, is er nog veel werk te verrichten op de privacy in het Westerkwartier goed te borgen. Bestuurlijk 1. Privacy management: pro-actieve sturing door het college om de gegevensprivacy van burgers en medewerkers te waarborgen, onder meer door rollen en verantwoordelijkheden af te bakenen. 2. Beleid: een goed gedocumenteerd stelsel van afspraken over een integrale aanpak om persoonlijke en gemeentelijke belangen bij gegevensbescherming te beschermen. 3. Ketenregie: een goed gedocumenteerd stelsel van afspraken over rollen en verantwoordelijkheden met ketenpartners en (gezamenlijke) uitvoeringsorganisaties. 4. Beleidstransparantie: doelgroepgerichte uitleg over het gemeentelijk privacybeleid en de keuzes die hierbij zijn gemaakt. 5. Service: goed inspelen op vragen over het privacybeleid, klachten en verzoeken om inzage, correctie en voor zover de wet daartoe verplicht stopzetting en verwijdering van gegevens. 6. Toezicht: controle op de privacybestendigheid van de organisatie, bij voorkeur door een onafhankelijke privacyfunctionaris en, waar nodig, ondersteund door audits. 7. Accountability: het vermogen om op ieder gewenst moment verantwoording te kunnen over de naleving van privacywetgeving, zoals aangegeven in de vorige paragraaf. Uitvoerend A. Subsidiariteit: privacybestendigheid weegt zwaar bij de vormgeving van informatievoorzieningen en oplossingen voor gegevensuitwisseling. Voor zover kostenafwegingen en andere kwaliteitseisen zich daar niet tegen verzetten, wordt gekozen voor de meest privacybestendige optie. B. Legitimiteit: gegevensverwerking is noodzakelijk voor goede gemeentelijke taakuitoefening of is om andere redenen wettelijk gerechtvaardigd. C. Doelbinding: gegevens worden gebruikt voor duidelijk omschreven doelen en kunnen alleen voor andere doelen worden gebruikt of aan derden verstrekt voor zover de wet dat toestaat; D. Kwaliteit: gegevens zijn steeds voldoende actueel en zijn een nauwkeurige weergave van de feitelijke situatie. E. Proportionaliteit: de gegevensverwerking is steeds geoptimaliseerd aan de hand van de functionele informatiebehoefte waarbij ook rekening is gehouden met de belangen van betrokkenen F. Informatieveiligheid: geheimhoudingsafspraken en passende beveiliging van gegevens en informatievoorzieningen 9. G. Houdbaarheid: gegevens die niet langer nodig zijn, worden vernietigd of gearchiveerd Afbakening rollen en verantwoordelijkheden 8 Vgl. kernbepalingen van de WBP en de AVG. 9 Informatiebeveiliging bij voorkeur op basis van een daarvoor geschikte standaardnormering zoals ISO

8 De governance-structuur maakt het probleemeigenaarschap duidelijk. De wet wijst in eerste instantie weliswaar het college aan als de probleemeigenaar, maar het college zal op haar beurt verantwoordelijkheden aan afdelingshoofden moeten opdragen of daarover afspraken moeten maken bij samenwerking met andere gemeenten en of ketenpartners. Ook op lager niveau dienen rollen en verantwoordelijkheden duidelijk te zijn, en zijn er afspraken nodig over het afleggen van interne verantwoording. Uiteindelijk helpt iedereen en is op zijn eigen manier verantwoordelijk voor geslaagde privacybeleidsvoering. Eventueel helpt een RASCI-tabel om rollen en verantwoordelijk inzichtelijk te maken 10 : Gelaagde aanpak Privacybeleid kent een gelaagdheid: Overkoepelend privacybeleid: er is een kapstok/raamwerk nodig waarin de algemene aspecten van de gemeentelijke privacybeleidsvoering wordt geregeld: missie, wijze van sturing, middelen, toezicht en handhaving. Themabeleid: benoeming van de generieke aspecten van privacybeleidsvoering voor de gemeentelijke taken (privacybeleid voor het sociaal domein, burgerzaken, openbare orde en veiligheid, personeelszaken) Procesplannen: beschrijving van mix van maatregelen waarmee de gegevensverwerking rondom een bepaald proces wordt omgeven. Om dit voldoende evenwichtig te kunnen doen, ligt aan een procesplan een risico-inventarisatie ten grondslag (privacy impact assessment). Uitwerkingen, bijvoorbeeld afspraken over een concrete informatiebeveiligingsaanpak, formulering van een protocol voor gegevensuitwisseling, de vormgeving van een voorlichtingscampagne of het opstellen van een convenant met ketenpartners. Privacyfunctionaris Voor een zorgvuldige aanpak, beveelt de WBP het college aan om zich te laten bijstaan door een de privacyfunctionaris. Onder de AVG is het betrekken van een privacyfunctionaris mogelijk verplicht. De eigenlijke taak van de privacyfunctionaris is om toezicht te houden op de privacybeleidsvoering. Hij is als het ware de privacy-accountant van de gemeente en de privacy-ombudsman voor burgers. In de praktijk is privacyfunctionaris echter vooral de aanjager en coördinator van de privacybeleidsvoering. Hij adviseert over oplossingen en kan daarover een wettelijk zwaarwegend oordeel afgeven. In de relatie tussen de gemeente en het CBP vervult de privacyfunctionaris een bufferrol. In bijlage 2 is een handreiking Functionaris gegevensbescherming opgenomen. Privacy en invoering BIG Het vernieuwen van het privacybeleid raakt aan de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Om de informatie binnen gemeenten zo goed 10 Responsible, Accountable, Supporting, Consulted (hier tegelijkertijd: Controlerend) en Informed. 8

9 als mogelijk beveiligd te hebben, is de implementatie van de BIG van belang. In de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente onderschrijft iedere gemeente een informatieveiligheidsbeleid vast te stellen aan de hand van de BIG. Met het aannemen van de Resolutie Informatieveiligheid hebben gemeenten zich verplicht tot de implementatie van de BIG binnen hun gemeente. Dit is belangrijk, aangezien gemeenten veel (persoons-)gegevens beheren die uiteraard goed beveiligd dienen te zijn. De BIG geldt als dé minimale set van maatregelen, die gemeente breed ingevoerd moeten worden. Ongeacht het proces of het systeem, de BIG geldt voor alle bedrijfsvoeringsprocessen van de gemeente. Het doel van de Implementatie BIG is om binnen de gemeente te toetsen of en in welke mate de gemeente voldoet aan de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).Deze aanpak is handig, omdat een uitsplitsing naar verschillende organisatieonderdelen dan wel sub-processen er toch voor zorgt dat ongeveer dezelfde lijst aan maatregelen geïmplementeerd gaat worden. Bij de invoering van het nieuwe privacybeleid is het van belang dat dit de implementatie van de BIG niet in de weg staat. Privacybeleid heeft te maken met welke informatie/gegevens medewerkers of medewerkers van derden mogen gebruiken/combineren bij de uitoefening van hun taak. De BIG regelt het beheer en veilig gebruik van de informatie in de bedrijfsvoering. Voorbeeld: Een medewerker krijgt o.b.v. autorisatie toegang tot privacygevoelige informatie via verschillende bronnen/toepassingen, waarbij o.a. de gebruikte middelen en de controle daarop zijn uitgewerkt en beschreven in de BIG. Hoe en welke informatie de medewerker in bepaalde gevallen mag gebruiken, voor de uitoefening van de taak en de controle daarop vloeit voort uit het privacy beleid. De medewerker heeft dus geautoriseerde toegang tot benodigde gegevens (BIG), die voortvloeit uit de betreffende materiewetgeving, de WBP en het gemeentelijke beleid rondom gegevensverwerking (inwinnen, gebruiken, uitwisselen, bewaren) bij het oplossen van sociale vraagstukken van burgers (Privacy). Het gemeentelijke beleid rondom gegevensverwerking heeft te maken met zowel de wettelijke kaders van de privacywetgeving als de implementatie van de BIG. Hierbij is dus van belang dat het nieuwe gemeentelijke privacybeleid -waarvan deze notitie de start is- voldoende ruimte biedt voor de invoering van de BIG. Zodra er wordt gestart met de implementatie van de BIG komt er een moment wanneer beide zaken bij elkaar komen. 9

10 4 Stappenplan & planning In de vorige hoofdstukken werd duidelijk wat nakoming van privacywetgeving inhoudt. Welbeschouwd is privacybeleidsvoering voor een gemeente een logische zaak. Dit niet alleen omdat het gaat om een wettelijke plicht, maar vooral ook uit oogpunt van zorgvuldigheid. Gebrekkig privacybeleid schept risico s die onder omstandigheden zeer ernstig kunnen uitpakken. Privacywaarborgen beschermen niet alleen burgers, maar ook de gemeentelijke organisatie profiteert. Het stappenplan dat hierna volgt, resulteert in privacybeleidsvoering op niveau 4 of 5 van de privacy maturity ladder (zie hoofdstuk 1: inleiding). Dit betekent niet dat zich nooit meer fouten of discussies kunnen voordoen maar dat: De gemeente al het redelijk aan heeft gedaan om problemen te voorkomen; de gemeente soepel met fouten en discussies weet om te gaan; de gemeente voldoet aan de eisen van de wet het college van B&W met vertrouwen verantwoording kan afleggen aan de raad en/of CBP. Behoorlijk Bestuur Visie Bescherm in g van burgers Beheersing best uurlijke risico s Ruim t e voor publieke t aakuitoefening Sturing Act Beleid PI A Plan Efficiënt er Effect iever Klantgerichter Veiliger Maatschappelijk vertrou w en Legit im it eit Processen Controle Check Cultuur Uitrol Do Personeel Rekenschap & Transparan e Risk appetite ICT Wettelijke eisen Privacywaarborgen Stappenplan Stap 1 Goedkeuring van deze notitie Beleidsvisie op privacy Bestuurlijke commitment voor een privacybestendige aanpak Stap 2 Aanwijzing privacyfunctionaris Inrichting privacy office (taken, plaats in organisatie, rapportagelijnen, middelen) Keuze voor een geschikte persoon Melding bij het CBP Stap 3 Realisering van overkoepelend privacybeleid Formulering en goedkeuring bestuurlijk privacybeleid Formulering communicatiestrategie op hoofdlijnen Inrichting incident managementprocedure Inrichting verantwoordingsprocedures Inrichting privacyservices Informeren gemeenteraad 10

11 Update privacy statement website Stap 4 Realisering specifiek privacybeleid Stand van zaken-analyse en prioritering Uitvoerig van privacy impact assessments op gemeentelijke processen Inventarisatie van bijzondere wettelijke verplichtingen volgens materiewetten Vertaling naar themabeleid en procesplannen Betrekken gemeenteraad / inspraakmogelijkheden burgers Eventueel check bij CBP Besluitvorming op themabeleid en procesplannen Terugkoppeling aan de raad en voorlichting aan inwoners Stap 5 Uitwerking en implementatie Conform de actiepunten uit de procesplannen Aandacht voor convenanten, protocollen, inkoopcontracten en andere samenwerkingsafspraken. Voorlichting en trainingen (bijvoorbeeld e-learning) Aandacht voor individuele geheimhoudingsafspraken, gedragsafspraken Aandacht voor juridische formaliteiten zoals meldingen van gegevensverwerkingen bij het CBP Stap 6 Beheer en evaluatie Controle op naleving afspraken via in control-statements en/of audits Advies over de stand van zaken en verbeterpunten door de privacyfunctionaris Evaluatie & optimalisering gemeentelijk privacybeleid waar nodig Terugkoppeling stand van zaken en bijsturingsbesluiten aan de raad Publieksinformatie over de privacybeleidsvoering Optioneel: informeren CBP Planning Wat Wanneer klaar Wie verantwoordelijk Goedkeuring privacy startnotitie in Westerkwartier Maart/april 2015 Directie/management College Aanstellen en/of opleiden Afhankelijk provinciale keuzes Directie/management privacyfunctionaris Ontwikkelen en vaststellen privacybeleid sociaal domen Afdelingshoofden sociaal Domein College 1 e helft 2016 Directie/management College Ontwikkelen en vaststellen overkoepelend privacybeleid Uitwerking en implementatie 1 e helft 2016 Afdelingshoofden sociaal Domein Beheer en evaluatie 2 e helft 2016 Directie/management College 11

12 5 Bijlage 1: Ingevulde privacyscan In deze bijlage staat de ingevulde privacyscan van de VISD voor de Westerkwartier-gemeenten. 12

13 6 Bijlage 2: Beschrijving functionaris gegevensbescherming/privacy Iemand is geschikt om als privacyfunctionaris te worden aangewezen indien hij voldoende gekwalificeerd is: 11 expert op het gebied van privacywetgeving; praktijkdeskundig (kennis van organisaties, processen, ICT en informatiebeveiliging); onafhankelijk en betrouwbaar; gevoel voor de interne en externe verhoudingen; beroepservaring die past bij zijn verantwoordelijkheden; vaardigheden op het gebied van communicatie, PR en regulatory affairs. Een privacyfunctionaris kan intern worden aangesteld, worden ingehuurd of worden betrokken via een organisatie waarbij de gemeente is aangesloten. Hij behoort te worden aangemeld bij het CBP, 12 die zijn gegevens overneemt in het openbare register van privacyfunctionarissen. 13 Het CBP beoordeelt niet de geschiktheid van de privacyfunctionaris. 11 Art. 63 WBP en vergelijkbare vereisten in de AVG

14 14