Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0



Vergelijkbare documenten
Aan welke eisen moet het beveiligingsplan voldoen?

UB/S/2007/12795/ / /193 T-toets amvb in het kader van eenmalige gegevensuitvraag werk en inkomen

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

gewoondoenreintegratie

Verantwoordingsrichtlijn GeVS 2019 (versie )

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Algemene Verordening Gegevensbescherming (AVG)

Plan

Inlichtingenbureau Privacyjaarverslag Mr. J.P.R. Bergfeld Privacyfunctionaris

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Privacyreglement. Datum Januari 2017 Versie 2.0 Pagina s 6 (inclusief voorpagina)

Privacy reglement Pagina 1 van 6

Privacy reglement Geluk in werken

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Artikel 1. Algemene begripsbepalingen 1.2 Persoonsgegevens 1.3 Verwerking van persoonsgegevens 1.4 Verantwoordelijke 1.5 Bewerker

Collegevoorstel. Zaaknummer Nieuwe bewerkersovereenkomst IKZ en mandaat

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

Privacyreglement Esma dienstverlening (februari 2018)

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

In dit reglement zullen we vastleggen hoe bij SPEL de privacy van persoonsgegevens is vastgesteld.

Vastgesteld 25 september Stedelijk kader verwerken persoonsgegevens door de gemeente Amsterdam

BSH Bewerkersovereenkomst

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

Datum Juni 2018 Privacy Protocol IB Gemeenten def V01b pdf

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

Privacyreglement 2018

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Doel: Bescherming van de persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten Tubbie Kinderopvang.


de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

onderzoek en privacy WAT ZEGT DE WET

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Privacyreglement Stichting Queridon taal & horeca September 2017

Reglement van de Nederlandse Kankerregistratie

Wet bescherming persoonsgegevens in de praktijk. Aramis Jean Pierre Functionaris voor de gegevensbescherming DUO

Wet bescherming persoonsgegevens (Wbp) Bewerkersovereenkomst de gemeente Scherpenzeel met Jeugdbescherming Gelderland

1. Begripsbepalingen In dit reglement wordt verstaan onder:

STE Languages. Privacyreglement versie 1.2

Verantwoordingsrichtlijn

Bewerkersovereenkomst op grond van artikel 14, tweede lid Wbp tussen <naam> en < >

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement. NLeducatie

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Privacyreglement Work4People Privacyreglement

Informatie over logging gebruik Suwinet-Inkijk

Concept Bewerkersovereenkomst Basismobiliteit Achterhoek Perceel 2A: Vraagafhankelijk vervoer

Privacyreglement. DutchNL

Inhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

Privacyreglement Potenco

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Privacyreglement van De Zaak van Ermelo

Privacyreglement OCA(Zorg)

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Wettelijke kaders voor de omgang met gegevens

Concept Bewerkersovereenkomst uitvoering

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs

Documentinformatie: Wijzigingslog:

P R I V A C Y R E G L E M E N T

2. Reikwijdte Dit reglement is van toepassing op registraties zoals bedoeld in artikel 1.2 binnen de instelling.

Privacy reglement. Inleiding

Privacy in de afvalbranche

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Inleiding. Privacyreglement Rivas ledenorganisatie

Privacyreglement Stichting Houtdatwerkt

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

Bewerkersovereenkomst uitvoering Vroeg Eropaf

Ons kenmerk z Contactpersoon. Onderwerp Advies concept wetsvoorstel vereenvoudiging beslagvrije voet

PRIVACYREGLEMENT AVAQ GROEP. Allround Security Company B.V., Allround Security Company B.V.B.A. en Vidocq B.V. maken onderdeel uit van AVAQ B.V.

Introductie Suwinet en ENSIA

Privacyreglement

Bewerkersovereenkomst. Hosting

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Definitieve versie d.d. 24 mei Privacybeleid

2.1. Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Accent Taaltraining NT2.

Documentnummer Verkorte inhoud document

Privacy Protocol - CityTraffic

Verstrekking aan derden

Privacyreglement AMK re-integratie

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Privacyreglement. V&V Personeelsdiensten. V&V Personeelsdiensten B.V. Wethouder Jansenlaan DG Harderwijk

Privacyreglement de Kriek Software

Privacy reglement Payroll Select Nederland B.V.

Privacyreglement WIJ 3.0 Versie ; versie 1.4

Bewerkersovereenkomst

b. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon.

Privacyreglement 1. Begripsbepalingen

Privacyreglement AnkervandeRiet

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement KOM Kinderopvang

Reglement bescherming persoonsgegevens Nieuwegein

Privacyreglement. Artikel 1. Bereik

Het Privacyreglement Coaching Monitor

Transcriptie:

Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015

1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking van persoonsgegevens... 3 1.3 Doelspecificatie/doelbinding... 3 1.4 Transparantie... 4 1.5 Inzageverzoeken... 4 1.6 Bewaartermijn... 4 1.7 Informatiebeveiliging... 4 Privacy jaarverslag 2014 2

1. Privacybescherming en informatiebeveiliging 1.1 Inleiding/privacy by design Stichting Inlichtingenbureau besteedt veel aandacht aan privacybescherming en informatiebeveiliging, vanuit de gedachte dat dit noodzakelijke kwaliteitsaspecten zijn van de dienstverlening. Het Inlichtingenbureau geeft als knooppunt voor gemeenten en onderdeel van de gezamenlijke elektronische voorzieningen SUWI (GeVS) door de wijze waarop de dienstverlening is ingericht in zichzelf al invulling aan de gedachte van privacy by design. De werkwijze van elektronische gegevens uitwisseling via IB impliceert vaste formats, waarbij vooraf dient te worden gespecificeerd op welke wijze, van welke instantie welke gegevens voor welk doel worden verkregen. Samenloopsignalering via het IB vervangt een werkwijze waarbij vorm en inhoud van de uit te wisselen persoonsgegevens veel minder eenduidig hoeven vast te liggen en waarbij dus veel eerder meer persoonsgegevens beschikbaar worden gesteld dan noodzakelijk is voor het specifieke doel. In het vervolg van dit hoofdstuk wordt nader ingegaan op een aantal privacy-uitgangspunten die voortvloeien uit de Wet bescherming persoonsgegevens (Wbp), de Europese richtlijn en diverse internationale verdragen. Op het gebied van informatiebeveiliging is het Inlichtingenbureau op grond van het Besluit SUWI en de Regeling SUWI onder andere gehouden om jaarlijks een externe audit te laten uitvoeren conform een door SUWI-partijen gezamenlijk opgesteld normenkader naar de inrichting en het gebruik van de GeVS en de gegevensuitwisselingen die in dit verband plaatsvinden. 1.2 Verwerking van persoonsgegevens De Wet bescherming persoonsgegevens maakt een belangrijk onderscheid tussen de verantwoordelijke en de bewerker. De verantwoordelijke is degene die formeel-juridisch de zeggenschap over de verwerking heeft. Het gaat om degene die bevoegd is doel en middelen vast te stellen. Een bewerker handelt in opdracht van een verantwoordelijke (volgens diens instructies en onder diens verantwoordelijkheid). Een bewerker neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enzovoorts. Vanaf de oprichting tot 2008 is het Inlichtingenbureau als verantwoordelijke aangemerkt. In 2008 is het Inlichtingenbureau in de SUWI-regelgeving voor een aantal taken aangemerkt als bewerker en niet meer als verantwoordelijke. Waar een bewerker is moet ook altijd een verantwoordelijke zijn. Voor het Inlichtingenbureau worden de gemeenten gezamenlijk als verantwoordelijke gezien. Omdat de gemeenten in de praktijk niet gezamenlijk (kunnen) optreden voorziet de minister van SZW in de vorm van het Inlichtingenbureau Gegevensregister (IB-GR), bijlage XVIII bij de Regeling SUWI, in een wettelijke bewerkersovereenkomst die de noodzakelijke instructies bevat. 1.3 Doelspecificatie/doelbinding Het Inlichtingenbureau heeft als statutaire doelstelling het voor gemeenten ten behoeve van de door hen uit te voeren wettelijke taken in het kader van de sociale zekerheid verrichten van feitelijke werkzaamheden ter zake van de coördinatie en dienstverlening op het gebied van gegevensuitwisseling tussen gemeenten en derden in het kader van werk en inkomen. Doelspecificatie, duidelijk maken welke gegevens op welke wijze voor welk doel worden gebruikt, gebeurt in de vorm van de Productencatalogus. Een actuele versie is beschikbaar op de website van het Inlichtingenbureau. Privacy jaarverslag 2014 3

Ook het periodiek door de minister van SZW te actualiseren IB-GR geeft invulling aan doelspecificatie. In de uitwisselings- en bewerkersovereenkomsten die het Inlichtingenbureau met gemeenten en derden sluit wordt ook altijd op het doel van de uitwisseling ingegaan. Het is in beginsel niet toegestaan persoonsgegevens die voor het ene doel zijn verstrekt (ook) voor andere doelen te gebruiken. Het Inlichtingenbureau is voor de eigen doelbinding ook gehouden aan de bepalingen van het IB-GR en de bewerkersovereenkomsten. In de communicatie met gemeenten wordt ook altijd op doelbinding en de consequenties hiervan gewezen. Het is daarbij echter wel van belang om vast te stellen dat het Inlichtingenbureau een dienstverlener is en dus geen controlerende of toezichthoudende taken of bevoegdheden heeft. 1.4 Transparantie De dienstverlening van het Inlichtingenbureau is op hoofdlijnen transparant te noemen. Zowel het IB-GR als het Productenboek zijn openbaar toegankelijk via de website van het Inlichtingenbureau. Ook op diverse andere manieren draagt het Inlichtingenbureau zorg voor doeltreffende voorlichting over de wijze waarop invulling wordt gegeven aan de taak en werkwijze. 1.5 Inzageverzoeken Hoewel het Inlichtingenbureau als bewerker vanaf 2008 niet (meer) wettelijk verplicht is om invulling te geven aan inzageverzoeken voldoet het Inlichtingenbureau nog wel aan dergelijke verzoeken. Daarbij wordt met name inzage gegeven in de wijze waarop personen in de door het Inlichtingenbureau gevoerde landelijke WWB-database staan geregistreerd en welke signalen eventueel over deze personen aan een gemeente zijn verstrekt. Ook geeft het Inlichtingenbureau in het kader van inzageverzoeken een toelichting op de resultaten van toetsing ten behoeve van ambtshalve kwijtschelding. Voor inzage in het GSDDP-bericht kunnen burgers terecht op werk.nl. Inzage in de resultaten van onder verantwoordelijkheid van de minister van SZW uitgevoerde bestandskoppelingen verloopt via de landelijke stuurgroep. In 2014 ontving de privacyfunctionaris 29 verzoeken om inzage waarvan er 28 ook in 2014 zijn afgehandeld. 1.6 Bewaartermijn Persoonsgegevens mogen op basis van de Wbp niet langer worden bewaard dan noodzakelijk voor het realiseren van de doeleinden waarvoor zij worden verzameld en/of verwerkt. Conform het bepaalde in het IB-GR worden in de database van het Inlichtingenbureau jaarlijks de uitkeringsperioden en de bijbehorende samenloopsignalen verwijderd die betrekking hebben op uitkeringen met een einddatum die op 31 december van enig jaar langer dan twee jaar geleden was. Verzoeken om ondersteuning geautomatiseerde voortzetting kwijtschelding en de resultaten van deze onderzoeken worden bewaard gedurende het belastingjaar waarop de kwijtschelding betrekking heeft en na afloop van dat jaar verwijderd. 1.7 Informatiebeveiliging Privacybescherming is meer dan informatiebeveiliging, zoals informatiebeveiliging ook veel aspecten heeft zonder raakvlakken met privacybescherming. Een essentieel raakvlak tussen privacybescherming en informatiebeveiliging is dat organisaties die persoonsgegevens verwerken, zorg dienen te dragen voor een adequaat niveau van technische en organisatorische maatregelen om misbruik door middel van ongeoorloofde toegang te voorkomen. Privacy jaarverslag 2014 4

Deze algemene norm is voor de SUWI-organisaties UWV, SVB en IB nader geconcretiseerd in een zogenoemde verantwoordingsrichtlijn, die het normenkader bevat op basis waarvan een onafhankelijke EDP-auditor jaarlijks vaststelt in hoeverre de informatiebeveiliging op orde is. Conform het bepaalde in de SUWI-regelgeving (artikel 5.22 Regeling SUWI) heeft de rapportage van de auditor betrekking op de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. Conform artikel 6.4 van de Regeling SUWI is een vergelijkbare rapportageplicht met externe audit van toepassing op de activiteiten van IB in het kader van het gebruik en de inrichting van de gezamenlijke elektronische voorzieningen SUWI (GeVS). De auditor oordeelt dat het stelsel van procedures en maatregelen, opgenomen in de onder het beheer van het Inlichtingenbureau vallende bedrijfsprocessen in het koppelvlak gericht op de beveiliging van de gegevensuitwisseling via de GeVS en de betrouwbaarheid van de gegevensverwerking naar de stand per 31 december voldoet, en gedurende 2014 heeft voldaan aan de normen. Voor de normen 10.1 (logisch gescheiden omgevingen), 13.1 (herleidbaarheid), 13.6 (logging), 21.7 (beveiligingsopties netwerkapparatuur en programmatuur) en 26.4 (controleerbaarheid) geldt dat gedeeltelijk aan de norm wordt voldaan en dat aanbevelingen dienen te worden opgevolgd om geheel aan de norm te voldoen. Privacy jaarverslag 2014 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback