Onderzoek naar het register van verwerkingen EEN ONDERZOEK NAAR HET REGISTER VAN VERWERKINGEN BIJ GEMEENTEN EN PROVINCIES

Vergelijkbare documenten
Vergelijking verwerkingsregister AVG

Privacyverklaring cliënten en wettelijk vertegenwoordigers/contactpersonen

Hoe word ik Privacy-proof? 21 november 2017

PRIVACY VERKLARING. 1. Verwerkingsverantwoordelijke. 2. Verplichtingen van de HA

Privacyreglement Gemeente Borsele

Hoe word ik Privacy-proof? 16 JANUARI 2017

PRIVACYVERKLARING NVFK Mei 2018

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

PRIVACYVERKLARING. Lidmaatschap Regionale Organisatie voor Fysiotherapie Gelderse Vallei Denk daarbij onder meer aan:

Privacyreglement VESTEN VAKLUI B.V.

PRIVACYVERKLARING. Mei 2018

Privacy Verklaring VVV Zuid-Limburg / Ticketshop Limburg

AVG Algemeen PRIVACYREGLEMENT

Privacyreglement Medewerkers Welzijn Stede Broec

Websites Denk daarbij onder meer aan: - gebruik van - gebruik van

HANDREIKING REGISTER VAN VERWERKINGEN VOOR GEMEENTEN

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Richtlijn

We adviseren u deze privacyverklaring goed door te lezen, voordat u akkoord gaat en het VWC toestemming geeft om uw persoonsgegevens te verwerken.

Privacyverklaring Therapeuten VVET

Moshe Beukers Dalila Dizdar Robert van Asch

AVG. Algemene Verordening Gegevensbescherming

RSM NEDERLAND PRIVACY VERKLARING

Privacyverklaring voor de gemeentelijke website

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

INFORMATIE WET- EN REGELGEVING PRIVACYSTATEMENT UITGEBREID

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

INFORMATIE WET- EN REGELGEVING PRIVACY VERKLARING UITGEBREID

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Privacyverklaring Teleson B.V. Versie 1.2, 22 mei 2018

Frappant maakt merken sterker.

PRIVACYVERKLARING (samengevat)

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Privacyverklaring Fluunt

Reglement privacy gemeente Goes 18INT01558

VERKLARING DINOVE ADVOCATEN INGEVOLGE DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

PRIVACYVERKLARING VAN INKOOPBUREAU WEST-BRABANT

Procedure Rechten van betrokkenen in het kader van de EU-AVG 24 mei toe aan de betrokkenen van wie persoonsgegevens worden verwerkt:

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

4 APRIL 2018 DE WEG NAAR DE AVG - RENS GOUDSMIT ONDERNEMERSVERENIGING VOORSCHOTEN ONDERNEMEND WASSENAAR

Stichting De Bibliotheek CultuurPuntAltena heeft geen camera s in de bibliotheek hangen.

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacyverklaring Christelijke Woonstichting Patrimonium Urk

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Handleiding Dataregister relaties

PRIVACYVERKLARING 1. WERKINGSSFEER

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Privacyverklaring. Wat is privacy? Het recht om met rust gelaten te worden. Het recht gegevens over jezelf te controleren

Algemene verordening gegevensbescherming

Privacyreglement Senzer

AKJ Privacyverklaring. Goedgekeurd MT 28 mei 2018 Datum volgende evaluatie 1 mei 2021

Wettelijke kaders voor de omgang met gegevens

Procedure Behandeling verzoeken betreffende rechten van betrokkenen

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

VERANTWOORDINGSPLICHT

PRIVACYREGLEMENT SERKO GEVELTECHNIEK

Functionaris gegevensbescherming Naam : Frank van Keulen adres : Telefoonnummer :

Privacyreglement Gemeente Tiel

Stichting Pensioenfonds Recreatie. Privacyreglement

Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Privacyverklaring AJ Bewind

Privacy wetgeving: Wat verandert er in 2018?

INFORMATIE WET- EN REGELGEVING - PRIVACYSTATEMENT (UITGEBREID) 1

Privacyverklaring. Stichting Viveste Datum: 22 mei 2018, versie 1.0

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Privacy Statement Fondo ICT Professionals BV. Wij zijn ons er van bewust dat u vertrouwen in ons stelt. Daarom vinden we het belangrijk u

Privacy reglement. Pagina 1 van 9

Privacyverklaring Privacyverklaring Bibliotheek Zoetermeer Datum: mei 2018

Bij afname van YunaCare diensten verwerk ik in ieder geval je (bedrijfs)naam, adres, woonplaats, telefoonnummer en jouw adres.

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

PRIVACY REGLEMENT ORIONIS WALCHEREN

2.1 WP verwerkt mogelijk Persoonsgegevens van u in de volgende situaties: U bent een leverancier van producten of diensten aan WP;

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Privacyverklaring Stichting Tals. 24 mei 2018, versie 1.0

Privacyverklaring. R B.V. Assurantiekantoor Flevo

Privacy beleid De Kompanjie

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Privacyverklaring Bato Eemland Personenvervoer B.V. mei 2018, versie 1.0

Privacyreglement Werkzaak Rivierenland

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Laatste versie:

Privacyverklaring Stichting Speelotheek Pinoccio

Phytalis-Verwerkersovereenkomst

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacyverklaring Woonstichting Land van Altena Versie 2018

Doelen van de gegevensverwerkingen Uw persoonsgegevens worden voor de volgende doelen gebruikt:

Algemene verordening gegevensbescherming (AVG) & Inkomensregistratie

Privacyverklaring Eurofins Agro Testing Wageningen b.v.

HANDREIKING: PRIVACYVERKLARING VOOR DE GEMEENTELIJKE WEBSITE

Privacyverklaring Kraamzorg de Eilanden

Privacy ondersteuning VNG/KING/IBD

PRIVACY POLICY EXTERN

PRIVACYREGLEMENT Springkussenverhuur Nederland

Privacy beleid. Hoe en waarom verzamelt Catknip persoonsgegevens?

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

Privacy verklaring. Waarom deze privacyverklaring? Welke gegevens worden door ons verwerkt? Gegevens van onze leden

Transcriptie:

Onderzoek naar het register van verwerkingen EEN ONDERZOEK NAAR HET REGISTER VAN VERWERKINGEN BIJ GEMEENTEN EN PROVINCIES Maarten Visser OPEN STATE FOUNDATION JUNI 2019

Achtergrond De Algemene Verordening Gegevensbescherming (AVG) is een Europese richtlijn die sinds 25 mei 2018 op alle landen binnen de Europese Unie van toepassing is. De wet heeft als voornamelijk doel om de privacy van inwoners van Europese Unie beter te beveiligen en beschermen. De Europese Unie beoogt dat mensen weer eigenaar zijn van hun eigen gegevens. Inwoners van een lidstaat van de Europese Unie hebben door de AVG verschillende rechten met betrekking tot privacy. Enkele van deze rechten zijn het recht op inzage en het recht op rectificatie en aanvulling. De AVG-wet stelt overheidsorganisaties en andere organisaties verplicht om vast te leggen welke gegevens ze van mensen gebruiken en alle informatie die daarmee gepaard gaat. Dit wordt vastgelegd in het register van verwerkingen, zoals is vastgelegd in Artikel 30 van de AVG-wet. Gemeenten, provincies en ministeries gebruiken op grote schaal gegevens van burgers. Dit zijn de organisaties die worden bekeken voor het onderzoek. Deze registers van verwerkingen zijn in Nederland opvraagbaar door de Autoriteit Persoonsgegevens, en moeten desgevraagd overhandigd kunnen worden. Alle publieke organisaties zijn dus verplicht een dergelijk register bij te houden. Doel van het onderzoek Voor Open State Foundation wordt onderzocht of en hoe gemeenten, provincies en ministeries omgaan met het register van verwerkingen. Enkele vragen daarbij zijn: Welke overheden hebben een register van verwerkingen vindbaar online staan? Welke overheden hebben een dergelijk register op opvraag beschikbaar? In welk sjabloon en bestandsformaat worden deze registers beschikbaar gesteld? Wat zijn verschillen en overeenkomsten tussen deze registers van verschillende overheden en wat valt hiermee te zeggen over de kwaliteit en compleetheid van deze registers? Het hoofddoel van het onderzoek is om inzichtelijk te krijgen hoe gemeenten, provincies en ministeries zich houden aan artikel 30 van de Algemene Verordening Gegevensbescherming en wat mogelijke punten voor verbetering zijn die maximaal inzicht in gegevensverwerkingen door overheden mogelijk maakt. Het onderzoek geeft Open State Foundation inzicht in actieve openbaarmaking en wenselijkheid en mogelijkheid tot standaardisatie van deze registers door overheden. Indien nodig aangevuld met een pleidooi om de kwaliteit en compleetheid van deze registers te verbeteren. Het register van verwerkingen geeft daarnaast veel inzicht in de informatiehuishouding van overheidsorganisaties. Dit is voor Open State Foundation relevant omdat Open State Foundation open data bij de overheid stimuleert. Het register van verwerkingen geeft Open State Foundation een indicatie van welke processen en documenten de onderzochte overheidsorganisaties hebben waarna Open State Foundation inzicht kan verschaffen in welke documenten interessant zijn als open data en hier vervolgens campagne voor kan voeren. Opzet van het onderzoek Om inzicht te kunnen krijgen in de verwerkingsregisters van overheden is uiteraard toegang tot de registers nodig. Om de registers te kunnen inzien is allereerst bekeken welke overheden het register reeds online hadden staan. Dit waren er 89. Bij elke gemeente, provincie en ministerie die het register niet online had staan of in een niet herbruikbaar en machine-leesbaar format is begin december per mail een verzoek gedaan voor het register van verwerkingen van de organisatie in een herbruikbaar en machine-leesbaar format zoals Excel of CSV. Dit verzoek was allereerst op informele basis. In januari is naar de gemeenten die niet hadden gereageerd een reminder gestuurd. Op 13 februari is naar 154 organisaties die het register niet wilde delen op basis van het informele verzoek, niet hadden gereageerd of enkel een pdf hadden opgestuurd een officieel verzoek op basis van de Wet openbaarheid van bestuur en de Wet hergebruik overheidsinformatie (Who) gestuurd. Vervolgens zijn de registers geanalyseerd op basis van de in, de bijlage toegevoegde, vragenlijst. 1

In totaal zijn 246 registers ontvangen van gemeenten, provincies en gemeentelijke samenwerkingsverbanden. Hiervan zijn er 135 op basis van een Wob/Who verzoek ontvangen. Van niet alle gemeenten en provincies zijn registers ontvangen. Dit heeft verschillende redenen. De eerste reden is dat sommige Wob-verzoeken zijn afgewezen op basis van afwijzingsgronden die in de wet staan geformuleerd. Ook zijn er afwijzingen van het verzoek geweest die niet in lijn waren met de Wob. Een andere reden is dat na het eerste verzoek in december verschillende organisaties aangaven dat zij nog druk bezig waren met het register in orde te brengen en dat op een later moment het register zou kunnen worden ontvangen/ er opnieuw contact over zou plaatsvinden. Echter is in sommige van deze situaties het register (toch) niet afgestaan nadat er later contact was opgenomen om uiteenlopende redenen. Vaak was het belangrijkste bezwaar dat ze (nog steeds) niet klaar waren en geen onvolledig register wilde delen. Toelichting grootte van organisaties Bij sommige resultaten wordt gesproken over grote, midden en kleine organisaties. Onder grote gemeenten worden alle gemeenten met meer dan 100.000 inwoners en provincies met meer dan 2.000.000 inwoners verstaan, onder midden gemeenten met inwonersaantallen tussen de 40.000 en 100.000 en provincies met inwonersaantallen tussen de 1.000.000 en 2.000.000 en onder klein gemeenten met minder dan 40.000 inwoners en provincies met minder dan 1.000.000 inwoners. 2

Resultaten van het onderzoek: Staat het register online? Het register van verwerkingen staat van 89 van de 379 onderzochte organisaties online. Hiervan staat er slechts één in een herbruikbaar en machine-leesbaar format online. 34 andere organisaties hebben aangegeven het register van verwerkingen later online te zetten (in veel gevallen als deze helemaal compleet is). Hoe is het register ontvangen? Van de ontvangen registers is de meerderheid van de registers ontvangen voor het uitsturen van het WOBverzoek/Who-verzoek. Dit kan ook inhouden dat er is afgesproken met een gemeente om later het register te ontvangen, zolang er geen WOB-verzoek aan te pas is gekomen. 39% is ontvangen na het versturen van een WOBverzoek/Who-verzoek en van 6% stond het register van verwerkingen online en is er geen herbruikbaar en machineleesbaar register ontvangen. Hoe is het register ontvangen? 30% 9% 6%0% 1% 54% Het register is ontvangen in excel voor het uitsturen van een WOBverzoek het register is ontvangen in excel na het versturen van een WOB-verzoek het register is ontvangen in pdf voor het WOB-verzoek en in excel (oid) ontvangen op basis van WHO Het register stond al online en hebben geen excel ontvangen Ja, het register van verwerkingen staat online in een herbruikbaar en machine-leesbaar format Overige Formats Het register van verwerkingen was een veel besproken onderdeel in aanloop naar 25 mei 2018, de ingangsdatum van de Algemene verordening gegevensbescherming vanaf wanneer elke organisatie officieel over een register van verwerkingen moest beschikken. In aanloop naar 25 mei 2018 kwamen er meerdere organisaties met een format voor het register van verwerkingen waaronder de Vereniging van Nederlandse Gemeenten 1 en de gemeente Amersfoort 2. Ook maken veel gemeente gebruik van applicaties voor het register van verwerkingen. Een applicatie is een systeem waarin organisaties hun gegevens kunnen invullen en het systeem deze gegevens in een format verwerkt. Van veel van deze applicaties hebben wij geen inzicht hoe deze is opgebouwd. Van één grote applicatie (de i-navigator van VHIC) is wel duidelijk hoe deze is opgebouwd is. Van de ontvangen registers hebben wij er 25 (10%) kunnen herleiden tot de i-navigator applicatie. Het gebruik van de applicatie van i-navigator wordt naar verwachting door meer organisaties gebruikt dan wij hebben kunnen achterhalen. Dit is doordat gemeenten in sommige gevallen het register van verwerkingen aanpassen nadat ze het uit de applicatie halen zodat deze bijvoorbeeld beter deelbaar is met externen. 1 https://www.vngrealisatie.nl/sites/default/files/2018-07/20180604%20handreiking%20register%20van%20verwerkingen%201.3_0.pdf 2 https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/privacy-avg/nieuws/amersfoortsmodel-verwerkingsregister-persoonsgegevens 3

In veel registers was er een combinatie zichtbaar van meerdere formats. Deze zijn niet meegerekend omdat deze niet aan één format konden worden toegedicht. Wel is 10% van de registers volledig op basis van het format van de gemeente Amersfoort en 6% van het format van de VNG. Aantal verwerkingen in een register Gemiddeld heeft een register van verwerkingen 241 verwerkingen. Het is echter relevanter te spreken van de mediaan (het middelste getal) omdat een klein aantal registers met veel verwerkingen het gemiddelde nogal omhoog haalt. Het aantal verwerkingen in een register lopen namelijk enorm uiteen. Het kleinste register bestaat uit slechts 55 verwerkingen terwijl het grootste register uit 1417 verwerkingen bestaat. Dit register komt uit de applicatie i- Navigator. De organisaties die gebruik maken van i-navigator hebben vaak registers met veel verwerkingen. Er is een groot verschil in het aggregatieniveau van registers, zoals ook hier onder te zien. De mediaan van het aantal verwerkingen in een register is 165,5. Opvallend is dat bij het kijken naar de grote van de organisatie en het aantal verwerkingen er een verband zichtbaar is tussen de grote van de gemeente en het aantal verwerkingen. Grote organisaties de meeste rijen hebben en dat middelgrote en kleine organisaties steeds kleinere register hebben. aantal verwerkingen 350 300 250 200 150 100 50 0 Groot Midden Klein Compleet Opvallend is dat lang niet alle registers compleet zijn. Onder compleet wordt verstaan dat tenminste alle wettelijk verplichte kolommen van alle processen in het register zijn ingevuld. In gesprek met organisaties kwam vaak naar voren dat veel nog bezig waren met het register van verwerkingen te completeren of te verbeteren. Van de onderzochte registers is bijna tweederde (63%) nog niet compleet. Grote organisaties hebben in bijna 80% van de gevallen een volledig register. Dit is een stuk vaker dan middelgrote en kleine organisaties die beide rond de 60% zitten. 4

compleet 100% 80% 60% 40% 20% 0% Groot Midden Klein Verplichte onderdelen In de Algemene verordening gegevensbescherming staan 8 verplichte onderdelen van het register genoemd. Dit zijn: 1. Verwerkingsdoel 2. Categorie van betrokkenen 3. Categorie van persoonsgegevens 4. Categorie van ontvangers 5. Doorgifte aan derde 6. Bewaartermijn 7. Beveiligingsmaatregelen 8. Verwerkingsverantwoordelijke Slechts 31% van alle registers bevatten alle wettelijke verplichte onderdelen. Veel gemeente (30%) missen enkel de contactgegevens van de verwerkingsverantwoordelijke. In totaal mist bij meer dan de helft (52,58%) van de registers de verwerkingsverantwoordelijke Verder ontbreken de volgende kolommen in registers: - in 19 registers ontbreekt de bewaartermijn - in 53 registers ontbreekt doorgifte aan landen buiten de EU - in 19 registers ontbreekt categorieën van betrokkenen - in 3 registers ontbreekt het verwerkingsdoel - in 12 registers ontbreekt de categorieën van ontvanger De categorieën van persoonsgegevens is het enige wettelijk verplichte onderdeel wat in alle onderzochte registers aanwezig was. Niet wettelijk verplichte kolommen Alle kolommen die in het register aanwezig zijn die niet door de wet verplicht worden gesteld (zie verplichte onderdelen) en wel in het register aanwezig zijn worden gezien als niet wettelijk verplichte kolommen. Het gemiddelde register heeft 8 niet wettelijk verplichte kolommen. De mediaan van alle registers is 6. Sommige registers hebben geen enkele niet wettelijke verplichte kolommen in het register opgenomen terwijl er ook een register is met maar liefst 38 niet wettelijk verplichte kolommen. In 86.6% van de registers (213 registers) is de grondslag eén van de niet wettelijk verplichte kolommen. Deze categorie beschrijft welke van de zes grondslagen voor gegevensverwerking van toepassing is. Deze is in driekwart van de gevallen gestandaardiseerd. Ook bij het aantal niet wettelijk verplichte kolommen valt op dat de groter de organisatie is de meer niet wettelijk verplichte kolommen deze heeft. 5

niet wettelijk verplichte kolommen 12 10 8 6 4 2 0 Groot Midden Klein Toelichting grondslagen voor gegevensverwerking In artikel 6 lid 1 van de Algemene verordening gegevensbescherming worden 6 voorwaarden (grondslagen) gesteld waaraan tenminste aan 1 moet worden voldaan om gegevens te mogen verwerken. De grondslagen zijn: a) de betrokkene heeft toestemming gegeven voor de verwerking b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in de uitoefening van het openbaar gezag f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen Gestandaardiseerd Als Open State Foundation zien wij het liefst één gestandaardiseerd format van het register van verwerkingen waarin ook (waar mogelijk) onderdelen zijn gestandaardiseerd (zie voor meer toelichting het kopje aanbevelingen). De categorieën van betrokkenen en categorieën van ontvangers zijn in het register van verwerkingen onderdelen die gestandaardiseerd kunnen worden. Dit gebeurt nog weinig. De categorieën van ontvangers wordt slechts in 22 registers gestandaardiseerd (9%) en de categorie van ontvangers in 4 (1,5%), Zoals eerder aangegeven wordt de niet wettelijk verplichte kolom grondslag wel in driekwart van de gevallen door gemeenten gestandaardiseerd. Meerdere tabbladen en registers De meeste registers bestaan uit één tabblad. In 11.8% van de gevallen worden er meerdere tabbladen gebruikt en bij 5 registers (2%) bestaat het register van verwerkingen uit meerdere documenten 6

Conclusies en aanbevelingen De belangrijkste conclusie die te trekken is, is dat de registers van verwerkingen van gemeenten en provincies enorm van elkaar verschillen. Slechts 16% van alle registers is direct te herleiden tot een publiek bekend format. De overige registers liepen uiteen in vele opzetten. Ook bij het analyseren van het aantal verwerkingen en het aantal niet wettelijk verplichte kolommen in een register valt op dat er een enorm is in het aggregatieniveau dat organisaties kiezen in het register van verwerkingen. Sommige registers, waaronder veel van registers van organisaties die gebruik maken van de applicatie i-navigator, hebben enorm veel verwerkingen oplopend tot 1414 en andere gemeenten hebben zeer weinig verwerkingen met als minimum 55 verwerkingen. De helft van de gemeenten heeft minder dan 165,5 verwerkingen (de mediaan), de andere helft zit hierboven. Bij het aantal niet wettelijk verplichte kolommen loopt het verschil ook enorm uiteen met maximaal 38 niet wettelijk verplichte kolommen en andere registers waar geen enkele niet wettelijk verplichte kolom in wordt opgenomen. Een andere conclusie die getrokken kan worden is dat een groot gedeelte van de gemeenten en provincies het register van verwerkingen nog niet compleet hebben. Dit kan opmerkelijk genoemd worden omdat overheidsorganisaties na twee jaar voorbereidingstijd en minimaal een half jaar na het ingaan van de wet nog niet voldoen aan de wet. Aanbevelingen Uit het onderzoek naar het register van verwerkingen is gebleken dat er enorme verschillen zijn tussen de registers. Open State Foundation is een voorstander van standaardisatie van het register van verwerkingen en actieve openbaarmaking. Als alle organisaties een register van verwerkingen hebben in dezelfde gestandaardiseerde opzet zijn, zijn de registers makkelijk te vergelijken met elkaar. Hierdoor kunnen organisaties van elkaars registers leren en wordt de algemene kwaliteit van de registers van verwerkingen verhoogd. Op dit moment zijn er veel verschillen in het aggregatieniveau van de registers. Open State Foundation vindt dat er bij de standaardisatie van het register ook gekeken moet worden naar het aggregatieniveau. Op dit moment zijn er veel verschillen tussen. Bij een te hoog aggregatieniveau zijn er zoveel verwerkingen in het register dat deze niet bij te houden is terwijl bij een te laag aggregatieniveau het register te algemeen is en daarmee niet duidelijk genoeg inzage geeft in welke gegevens bij welke processen worden verwerkt. Open State Foundation is tevens voorstander van het actief openbaar maken van het register van verwerkingen. Bij een openbaar register van verwerkingen kunnen inwoners inzicht krijgen in welke gegevens de organisatie van haar gebruikt. Bovendien geeft een open register inzicht in de informatiehuishouding van de overheid. Dit is belangrijk omdat hiermee duidelijk wordt welke informatie overheden hebben en daarmee wat interessant is om als open data te publiceren. Proces Naar aanleiding van het onderzoek is er veel reactie gekomen uit met name gemeenteland. Hierom is besloten om samen Privacy Management Partners en de Vereniging van Nederlandse Gemeenten een gesprek te organiseren over het standaardiseren van het register van verwerkingen met hier een groot aantal gemeenten bij. Het eerste gesprek hierover is inmiddels geweest met meer dan 20 gemeenten. Het gesprek heeft ertoe geleid dat er met een kleine kopgroep een start wordt gegeven aan het proces om het register van verwerkingen te standaardiseren. 7

Bijlage 1: Vragenlijst Vragen: - Is het register publiek beschikbaar, het register van verwerkingen staat online in een herbruikbaar en machine-leesbaar format, het register staat online in pdf, het register van verwerkingen staat niet online maar komt wel online te staan, het register van verwerkingen staat niet online - Hoe hebben wij het register ontvangen o het register stond al online in excel (o.i.d.) o Het register is ontvangen in excel voor het uitsturen van een WOB-verzoek o het register is ontvangen in excel na het versturen van een WOB-verzoek o het register stond al online in pdf en is voor het versturen van een WOB-verzoek ontvangen in excel (o.i.d.) o het register is ontvangen in pdf voor het WOB-verzoek en in excel (o.i.d.) ontvangen op basis van WHO o Het register stond al online en hebben geen excel ontvangen - Is het register volledig ingevuld o Onduidelijk - Is het register op basis van een format?, op basis van het format VNG, op basis van het format VHIC (i-navigators), op basis van het format Amersfoort o Onbekend - Hoeveel rijen (verwerkingen) heeft het document? - Hoeveel niet wettelijk verplichte kolommen zijn er in het document? - Is rechtmatige grondslag een kolom? - Zijn alle wettelijk verplichte kolommen aanwezig?, verwerkingsverantwoordelijke ontbreekt, verwerkingsdoeleinde ontbreekt, categorieën van betrokkenen ontbreekt, categorieën van persoonsgegevens ontbreekt, categorieën van ontvangers ontbreekt, doorgifte aan derde land ontbreekt, de bewaartermijn ontbreekt - Is de kolom categorieën van betrokkenen gestandaardiseerd? - Is de kolom categorie van ontvangers gestandaardiseerd? - is de kolom rechtmatige grondslag gestandaardiseerd? - Is het register opgebouwd uit meerdere tabbladen/registers?, meerdere tabbladen, meerdere registers o nee - 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback