Tweede Kamer der Staten-Generaal

Vergelijkbare documenten
Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 29 maart 2018 Betreft Kamervragen. Geachte voorzitter,

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de. Tweede Kamer der Staten-GeneraalPostbus EA Den Haag

PLATFORM IZO 21 OKTOBER 2016

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

VNG: Referentiemodellen Gegevensuitwisseling Jeugddomein. Concept, 30 september 2014.

Rekenkamercommissie Brummen

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Privacy in het jeugddomein

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 30 juni 2016 Betreft Kamervragen. Geachte voorzitter,

Informatievoorziening voor Raadsleden

Tweede Kamer der Staten-Generaal

Privacy & online. 9iC9I

ECIB/U Lbr. 15/079

ons kenmerk ECIB/U Lbr. 16/046

Tweede Kamer der Staten-Generaal

Datum 8 november 2016 Onderwerp Antwoorden Kamervragen over het bericht dat de politie foto s neemt van personen en hun identiteitsbewijzen

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Privacy verklaring Veilig Thuis Flevoland

Congres: de AVG bent u er klaar voor? Workshop privacy en Sociaal Domein

Factsheet. Verwerkingsverantwoordelijke of verwerker?

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

Voorstel Informatiebeveiliging beleid Twente

BABVI/U Lbr. 13/057

Privacy en de decentralisaties

Privacyverklaring voor de gemeentelijke website

Privacyverordening gemeente Utrecht. Utrecht.nl

Privacybeleid gemeente Wierden

Algemeen privacybeleid gemeente Asten 2018

Ons kenmerk z Contactpersoon

PRIVACYVERKLARING. Januari 2019

Tweede Kamer der Staten-Generaal

ADDENDUM BIJ DE (RAAM)OVEREENKOMST TUSSEN GEMEENTE(N) EN ZORGAANBIEDER

Privacy en gegevensdeling binnen samenwerkingsverbanden. mr. Iris Koetsenruijter

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Uw privacy bij de gemeente Woerden

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Tweede Kamer der Staten-Generaal

Ouder(s) Volledige naam; Adres; Telefoonnummer; adres; Geslacht; Geboortedatum; BSN; Bankrekeningnummer.

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Plan

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

HANDREIKING: PRIVACYVERKLARING VOOR DE GEMEENTELIJKE WEBSITE

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

ECIB/U Lbr. 17/010

vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580).

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Factsheet juridische informatie MedMij

Controlerende taak en Informatie

Datum 6 april 2018 Betreft Toezicht en handhaving in de kinderopvang - onderzoeken van de Inspectie van het Onderwijs

Wettelijke kaders voor de omgang met gegevens

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA..DEN HAAG

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacy Maturity Scan (PMS)

A2 PROCEDURE MELDEN DATALEKKEN

Advies conceptwetsvoorstel Jeugd. Geachte,

Verwerking van persoonsgegevens van Klanten of leveranciers

3 Wordt met technisch onmogelijk bedoelt de huidige IT-security-middelen die nu ter beschikking zijn, of meer in algemene zin?

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Directoraat-Generaal Rechtspleging en Rechtshandhaving

Voor de bovenstaande doelstelling(en) kan {Organisatie} de volgende persoonsgegevens van u vragen:

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

- Administratieve doeleinde; - Communicatie over opdracht; - Het uitvoering geven aan of het uitgeven van een opdracht.

Artikel 39 vragen van de fractie van D66 over privacy decentralisaties

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

o n k Ö A fia* V/ \ ^ * f

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

Waar in deze verklaring wordt gesproken over wij of ons wordt bedoeld: SUMMAVIEW B.V.

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid Kooiman (SP) over de budgetten en bureaucratie in de jeugdzorg (2016Z23037).

Voor de bovenstaande doelstelling(en) kan Derks Ondernemersadvies de volgende persoonsgegevens van u vragen:

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid Dik-Faber (CU) over jong ouderschap (2017Z00272).

Privacy Policy. deze doelen en type persoonsgegevens zijn beschreven in deze Privacy Policy;

- Administratieve doeleinde; - Communicatie over de opdracht en/of uitnodigingen; - Het uitvoering geven aan of het uitgeven van een opdracht.

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Verwerking van persoonsgegevens van cliënten

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

- Zorgverleners hebben hier toestemming voor vanuit de overheid; - Middels een arbeids/model overeenkomst

Hoe gebruiken Josette van Toor Voeding en Veel Beter jouw gegevens?

Procedure meldplicht datalekken

Voor de bovenstaande doelstelling(en) kan Stichting De Kleinste Reus de volgende persoonsgegevens van u vragen:

Gegevensbescherming/Privacy

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Raadsmededeling - Openbaar

Veranderingen privacy wet- en regelgeving

Privacyprotocol Sociaal Domein regio Utrecht Zuidoost

Verwerking van persoonsgegevens van cliënten Persoonsgegevens van cliënten worden door ZOMV verwerkt ten behoeve van de volgende doelstelling(en):

Algemeen. Privacy policy Van Wieren. Van Wieren Randweg AS EMMELOORD Telefoon +31 (0) Fax +31 (0)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Transcriptie:

Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2015 2016 Aanhangsel van de Handelingen Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden 2564 Vragen van het lid Klein (Klein) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de berichtgeving in verschillende media inzake de veiligheid van persoonsgegevens bij gemeenten (ingezonden 21 april 2016). Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 20 mei 2016). Vraag 1 Bent u op de hoogte van het bericht «gemeente Amersfoort lekt zorggegevens» in het Algemeen Dagblad van 12 april 2016? Bent u eveneens op de hoogte van de inhoud van het onderzoeksrapport «Toestemming Sociaal Domein» zoals dat door de Autoriteit Persoonsgegevens op 19 april is gepubliceerd? Bent u daarnaast ook op de hoogte van het bericht «Gemeenten onzorgvuldig met privegegevens burgers» op NOS.nl, en het bericht «Persoonlijke gegevens niet in goede handen bij gemeenten» uit het NRC, beide verschenen op 19 april 2016? 1 2 3 Antwoord 1 Ja. Vraag 2 Is de berichtgeving dat de gemeente Amersfoort zich onlangs met het delen van de persoonsgegevens schuldig heeft gemaakt aan een zogeheten datalek, waar? Zijn inderdaad door een blunder van de gemeente Amersfoort de persoonsgegevens (waaronder de burgerservicenummers (BSN), de naam- en adresgegevens en een omschrijving van de (jeugd)zorg) van 1.000 tot 1.500 inwoners die zorg ontvangen via de sociale wijkteams) in verkeerde handen gevallen? 1 http://www.ad.nl/ad/nl/31848/amersfoort/article/detail/4280488/2016/04/12/gemeente- Amersfoort-lekt-zorggegevens.dhtml. 2 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/ rapport_de_rol_van_toestemming_in_het_sociaal_domein.pdf. 3 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. ah-tk-20152016-2564 ISSN 0921-7398 s-gravenhage 2016 Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 1

Antwoord 2 Er was inderdaad sprake van een incident in de gemeente Amersfoort dat is gemeld bij de Autoriteit Persoonsgegevens (hierna ook: AP). De gemeente Amersfoort geeft op haar website openheid van zaken over de gebeurtenissen en de maatregelen die zij heeft getroffen om verdere verspreiding van de gegevens te voorkomen. Vraag 3 Hoe rijmt deze berichtgeving volgens u met uw antwoorden op eerdere vragen waarin u poneert dat uw inziens «geen gemeenten bekend zijn (red.) die informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben»? 4 Kunt u deze discrepantie nader uitleggen c.q. verklaren? Welke stelling is juist: hebben gemeenten volgens u nou wel of niet de veiligheid van persoonsgegevens op orde? Zo nee, waarom niet en in welke mate niet? Antwoord 3 Wanneer gemeenten en andere organisaties persoonsgegevens verwerken, is de Wet bescherming persoonsgegevens van kracht. Voor informatieverwerking in het sociaal domein komen daar nog specifieke bepalingen uit de materiewetten zoals de Wmo 2015 en de Jeugdwet bij. De Autoriteit Persoonsgegevens ziet daarop toe. Om verwerkers van persoonsgegevens inzicht te geven in de handhaving, heeft het College bescherming persoonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) in 2013 richtsnoeren gepubliceerd (http://wetten.overheid.nl/bwbr0033572). Voor informatieveiligheid hebben gemeenten zich bovenop deze wettelijke plicht die geldt voor de verwerking van persoonsgegevens gecommitteerd aan de implementatie van de Baseline Informatiebeveiliging voor Gemeenten (BIG). Het incident in Amersfoort berustte op een menselijke fout, niet op een fout in de techniek of procedures. In antwoord op vragen van de leden Veldman, De Caluwé en Oosenbrug (Aanhangsel Handelingen, vergaderjaar 2015 2016, nr. 2076) ging ik in op de wijze waarop gemeenten in samenwerking met hun toeleveranciers een kwetsbaarheid hebben opgelost en dat gemeenten de BIG als gezamenlijk normenkader hanteren. In dat normenkader staan fysieke, organisatorische en technische maatregelen beschreven die gemeenten doorvoeren om de beveiliging van gegevens zoveel als mogelijk te garanderen. Desondanks is een menselijke fout natuurlijk nooit 100% uit te sluiten. Het gaat er om dat gemeenten lering trekken uit dergelijke incidenten en deze benutten om hun beleid op details aan te scherpen. Ik constateer dat de gemeente Amersfoort direct actie heeft ondernomen om te trachten de fout te herstellen, en verdere verspreiding van de gelekte gegevens te voorkomen. Daarnaast heeft zij openheid van zaken gegeven naar zowel de burgers die het betreft, als naar de Amersfoortse bevolking en naar de gemeenteraad. Ook laat de gemeente het incident nader onderzoeken om te achterhalen hoe een dergelijke fout in de toekomst kan worden voorkomen. Een en ander leidt niet tot de conclusie dat gemeenten de informatiebeveiliging in het algemeen of de beveiliging van persoonsgegevens in het bijzonder niet op orde zouden hebben. Vraag 4 Bent u het eens met de stelling dat de berichtgeving in het Algemeen Dagblad over het datalek binnen de gemeente Amersfoort van onlangs overeenkomt met de resultaten van het onderzoek «Toestemming Sociaal Domein», zoals dat op 19 april door de Autoriteit Persoonsgegevens is gepubliceerd, en waarin wordt geconcludeerd dat geen van de 41 onderzochte gemeenten de wettelijke regels kende of deze correct toepaste? Zo ja, kunt u hier een reactie op geven? In hoeverre bent u bereid te erkennen dat er bij gemeenten op het gebied van de veiligheid van persoonsgegevens inderdaad een probleem bestaat, zoals de Autoriteit in haar onderzoek concludeert en waarvan de berichtgeving in het AD een voorbeeld is? Zo nee, kunt u hier eveneens een reactie op geven? Waarom zou er volgens u geen probleem met de veiligheid van persoonsgegevens bij gemeenten bestaan 4 Aanhangsel van de Handelingen 2015 2016, nr. 2076. Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 2

ondanks dat zowel het bovengenoemde onderzoek van de Autoriteit alsmede het bericht in het AD het tegendeel beweren, casu quo laten zien? Antwoord 4 Ik ben het niet eens met de stelling dat de berichtgeving in het Algemeen Dagblad over het incident binnen de gemeente Amersfoort overeenkomt met de resultaten van het onderzoek dat op 19 april door de Autoriteit Persoonsgegevens is gepubliceerd. Het onderzoek van de Autoriteit Persoonsgegevens is gericht op het vragen van toestemming als wettelijke grondslag voor gegevensverwerking in het sociaal domein. De vraag of gemeenten al dan niet toestemming vragen aan hun cliënten als grondslag voor gegevensverwerking heeft niets te maken met de omgang met datalekken. Een incident als dat in Amersfoort moet gemeld worden bij de Autoriteit Persoonsgegevens. Daar is iedere gemeente van op de hoogte. De Autoriteit Persoonsgegevens heeft in december 2015 beleidsregels uitgevaardigd voor de toepassing van de meldplicht datalekken in de Wet bescherming persoonsgegevens. Vraag 5 Herkent u het beeld dat geschetst wordt in het artikel «Gemeenten onzorgvuldig met privégegevens burgers» waarin naar voren komt dat gemeenten niet weten welke privacygevoelige informatie ze mogen vragen van burgers die bij hen aankloppen voor ondersteuning en zorg? Antwoord 5 Het rapport van de Autoriteit Persoonsgegevens gaat over de vraag hoe gemeenten omgaan met toestemming. De Autoriteit Persoonsgegevens constateert dat gemeenten veelal toestemming vragen voor gegevensverwerking in het sociale domein. De Autoriteit zegt dat toestemming meestal geen grondslag kan zijn in het sociaal domein omdat die toestemming niet in vrijheid gegeven kan worden, de betreffenden zijn immers afhankelijk van de gemeente voor hulp. De Autoriteit zegt echter ook dat er in die gevallen vaak een andere grondslag voor gegevensverwerking is, een in de materiewetgeving opgenomen wettelijke verplichting of publiekrechtelijke taak. Gemeenten die toestemming als grondslag zien, gaan dus uit van de verkeerde wettelijke grondslag. Aan dat onderwerp is het afgelopen jaar veel aandacht besteed in de ondersteuning van gemeenten. Het voorbeeld dat in het artikel wordt aangehaald herken ik niet als algemeen beeld. Het is een verantwoordelijkheid van gemeenten om ervoor te zorgen dat hun medewerkers steeds zorgvuldige afwegingen maken omtrent de noodzaak om bepaalde gegevens wel of niet uit te vragen bij betrokkenen. Vraag 6 Kunt u een reactie geven op het feit dat de Autoriteit Persoonsgegevens 5 «schrikt van het gebrek aan kennis over privacyregels» (bij gemeenten.)? Antwoord 6 Natuurlijk begrijp ik dat de Autoriteit Persoonsgegevens daarvan schrikt. Het is voor de naleving van de privacyregels, waarop de Autoriteit toezicht houdt, immers van belang dat gemeenten goede kennis over die regels in huis hebben. Ik meen echter dat er sinds vorig jaar mei heel hard gewerkt is door gemeenten aan het vergroten van die kennis. Vraag 7 Kunt u zich voorstellen, dat burgers afgeschrikt kunnen worden wanneer hun gemeente hen allerlei persoonlijke vragen stelt? 6 Zo nee, waarom niet? Antwoord 7 Wanneer de vragen die gemeenten stellen niet ter zake en niet nodig zijn voor het uitvoeren van de gemeentelijke taken op basis van de hulpvragen van de betreffende burgers, kan dat burgers inderdaad afschrikken. Dat is ook niet toegestaan. Voorts ben ik het met de Autoriteit Persoonsgegevens eens 5 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 6 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 3

dat het van belang is dat gemeenten goed uitleggen waarom ze persoonlijke gegevens vragen en voor welk doel ze die gebruiken. De Wet bescherming persoonsgegevens schrijft immers voor dat betrokkenen worden geïnformeerd over hun betreffende gegevensverwerkingen. Als burgers een goede uitleg krijgen zullen ze niet zo snel afgeschrikt worden. Vraag 8 Bent u het met de constatering van de Autoriteit Persoonsgegevens 7 eens dat er momenteel te weinig waarborgen betreffende privacybescherming zijn? Zo nee, waarom niet? Antwoord 8 Ik ben van mening dat de wettelijke kaders voor die waarborgen op dit moment toereikend zijn. Ik ben ook van mening dat de handreikingen en richtlijnen die daarnaast geboden worden gemeenten in staat stellen om die waarborgen te treffen. Vraag 9 Bent u het met de constatering van de Autoriteit Persoonsgegevens 8 eens dat u de zaak teveel op z n beloop heeft gelaten? Zo nee, waarom niet? Antwoord 9 Nee, dat ben ik niet met de Autoriteit Persoonsgegevens eens zoals ik ook uiteengezet heb in mijn brief aan uw Kamer d.d. 29 april 2016 (Kamerstuk 32 761, nr. 98). Vraag 10 Bent u het met de constatering van de Autoriteit Persoonsgegevens 9 eens dat er momenteel sprake is van verschillende regels die niet altijd in overeenstemming zijn met elkaar? Antwoord 10 De Autoriteit Persoonsgegevens maakt in het rapport niet duidelijk welke regels volgens haar niet in overeenstemming zijn met elkaar. Als de Autoriteit concreet aangeeft welke regels zij bedoelt, zullen wij daar uiteraard naar kijken. Vraag 11 Kunt u een reactie geven op de constatering van de Autoriteit 10 dat er sprake is van een «gebrek aan sturing vanuit Den Haag»? Houdt u vast aan de bewering in uw eerder genoemde antwoord op vragen waarin u poneerde dat «informatiebeveiliging van gemeenten een lokale aangelegenheid is»? Zo ja, waarom? Zo nee, waarom niet? Antwoord 11 Het is inderdaad een verantwoordelijkheid van de gemeenten om ervoor te zorgen dat zij voldoen aan de wet. Zowel waar het gaat om de informatieveiligheid, als waar het gaat om de borging van de privacy van burgers. Met betrekking tot de informatieveiligheid hebben gemeenten de afgelopen jaren veel inspanningen verricht en zich o.a. gecommitteerd aan de BIG. Bij de VNG is de IBD (Informatiebeveiligingsdienst) ingericht om gemeenten te ondersteunen bij de implementatie. Vanuit BZK hebben wij dat van februari 2013 tot februari 2015 ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverlening Met betrekking tot de Privacy sociaal domein heb ik u in mijn brief dd. 29 april 2016 uitgebreid geschetst hoe wij vanuit «Den Haag» richting 7 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 8 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 9 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 10 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 4

gegeven hebben en gemeenten ondersteund hebben bij het op een goede manier borgen van de privacy. Vraag 12 Herkent u de situatie zoals geschetst 11 dat gemeenten momenteel voor de zekerheid overal maar toestemming voor vragen ook als dat wettelijk niet hoeft wat volgens de Autoriteit Persoonsgegevens het vertrouwen van burgers in de overheid niet ten goede komt? Zo nee, waarom niet? Zo ja, welke concrete maatregelen kan en wilt u nemen om dit vertrouwen van burgers te herstellen? Antwoord 12 Ik ben het met de Autoriteit Persoonsgegevens eens dat -voor zover gemeenten dat nog steeds doen die situatie ongewenst is. In mijn brief d.d. 29 april 2016, heb ik uitgebreid geschetst hoe wij gemeenten ook op dit punt ondersteund hebben om ervoor te zorgen dat zij de juridische basis van hun gegevensverwerking goed op orde hebben. Die ondersteuning wordt nog voortgezet via masterclasses onder de vlag van de VNG. Ik heb geen indicatie dat een onjuist gebruik van toestemming door gemeenten ertoe heeft geleid dat het vertrouwen in de overheid is afgenomen. Vraag 13 Welke structurele maatregelen heeft u tot nu toe ondernomen om de veiligheid van persoonsgegevens bij gemeenten voor de burgers controleerbaar te verbeteren? Antwoord 13 Binnen het wettelijke kader dat wordt geboden door de Wet bescherming persoonsgegevens is het beveiligen van persoonsgegevens bij gemeenten, net als informatiebeveiliging van gemeenten, een lokale verantwoordelijkheid. Gemeenten hebben de BIG als normenkader vastgesteld middels de Resolutie informatieveiligheid en zijn voortvarend aan de slag gegaan met de implementatie hiervan. De BIG biedt technische, organisatorische en fysieke handvatten om de beveiliging van persoonsgegevens te kunnen waarborgen. Gemeenten voeren een gefaseerde en gedifferentieerde implementatie van de BIG door die gebaseerd is op lokale (risico)afwegingen. De IBD is opgericht door gemeenten zelf en ondersteunt hen in generieke zin bij de implementatie van de BIG en faciliteert kennisdeling tussen gemeenten. Vanuit BZK is dat ondersteund met de Taskforce Bestuur en Informatieveiligheid Dienstverlening. Vraag 14 Bent u het met de Autoriteit Persoonsgegevens eens dat het tijd wordt dat gemeenten met duidelijke richtlijnen gaan werken? Bent u het met de Autoriteit Persoonsgegevens eens dat er een simpel overzicht moet komen van wat mag en wat niet? Zo nee, waarom niet? Antwoord 14 Er zijn duidelijke richtlijnen, dat wil niet zeggen dat daarmee alles eenvoudig is. U vraagt om een simpel overzicht van wat mag en wat niet mag, maar zo werkt de Wet bescherming persoonsgegevens niet. De wet vraagt om een afweging te maken welke gegevens noodzakelijk zijn. Wat noodzakelijk is, is afhankelijk van de specifieke casus en de specifieke situatie. Bij een eenvoudige problematiek kunnen gemeenten toe met minder gegevens. Bij complexe multi-problematiek zullen meer gegevens noodzakelijk zijn om tot goede ondersteuning te komen. Alleen voor standaardprocessen als het maken van een beschikking of facturering is een simpel overzicht mogelijk. Dat kan echter ook per gemeente verschillen. Niet iedere gemeente werkt met contracten op basis van individuele behandelingen. Sommige gemeenten werken met lump-sum bekostiging, daar zijn geen persoonsgegevens voor nodig. 11 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 5

Vraag 15 Herkent u het beeld 12 dat u «gemeenten heeft laten zwemmen bij de decentralisaties van zorgtaken door geen duidelijke regels over privacy mee te geven» Antwoord 15 Zoals ik in mijn brief van 29 april heb uiteengezet herken ik het beeld niet dat ik de gemeenten heb laten zwemmen. Vraag 16 Kunt u een reactie geven op het citaat van de heer Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens: «Het Rijk had duidelijkheid moeten scheppen. Gemeenten weten nu niet wat ze ermee aan moeten, en dus ligt het probleem bij de burger»? Kunt u aangeven wat u van plan bent te doen om ervoor te zorgen dat dit probleem bij de burger wordt weggenomen? Antwoord 16 Ik ben niet van mening dat het Rijk geen duidelijkheid heeft geschapen. Wij hebben mede naar aanleiding van eerdere signalen van de Autoriteit Persoonsgegevens richting gegeven aan gemeenten middels de kabinetsvisie «Zorgvuldig en bewust». Wij hebben vervolgens nadere invulling gegeven aan de wijze waarop gemeenten de privacy moeten borgen middels de Privacy Impact Assessment 3D. Vervolgens hebben wij met de VNG masterclasses verzorgd om gemeenten verder op weg te helpen. Telkens wanneer gemeenten in de uitvoering op onduidelijkheden stuitten is er vanuit Rijk en VNG van alles aan gedaan om helderheid te scheppen door middel van handreikingen etcetera. Waar nodig is ook de wet aangepast, zoals de veegwet Jeugd. Dat is wat ik bedoel met «richting geven aan de lerende praktijk.» Daar gaan we ook mee door, zoals u in mijn brief van 29 april 2016 heeft kunnen lezen(kamerstuk 32 761, nr. 98). Vraag 17 Is het waar dat de Autoriteit Persoonsgegevens 13, in het verleden herhaaldelijk heeft gewaarschuwd voor dit soort praktijken? Antwoord 17 De Autoriteit heeft eerder zorgen geuit over mogelijke privacyrisico s bij gemeenten. Mede daarom zijn er vanuit het Rijk en de VNG de afgelopen jaren allerlei acties ondernomen om gemeenten te ondersteunen bij een gestructureerde aanpak van privacy bij de nieuwe taken in het sociaal domein. Zie ook mijn antwoord op vraag 16 en mijn brief van 29 april 2016. Vraag 18 Kunt u reageren op de constatering van de heer Tomesen, 14 dat daar «onvoldoende naar is geluisterd»? Antwoord 18 Ik ben de Autoriteit Persoonsgegevens zeer erkentelijk voor haar rapport. Het rapport bevestigt voor mij dat de inhoudelijke richting die wij geven aan gemeenten de goede is. Juist omdat wij in het verleden goed geluisterd hebben naar de zorgen van de Autoriteit. Ik ben blij dat de Autoriteit duidelijkheid geeft aan gemeenten over wat zij als toezichthouder belangrijk vindt, zodat gemeenten hun verantwoordelijkheid kunnen nemen, met gebruikmaking van hetgeen het Rijk en de VNG hen hebben aangereikt. 12 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 13 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. 14 http://nos.nl/artikel/2100176-gemeenten-onzorgvuldig-met-privegegevens-burgers.html. Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback