Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Vergelijkbare documenten
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Tweede Kamer der Staten-Generaal

Aan de Voorzitter van de. Tweede Kamer der Staten-GeneraalPostbus EA Den Haag

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Raadsmededeling - Openbaar

Aan de Voorzitter van de Tweede Kamer der Staten Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Procedure meldplicht datalekken

ECIB/U Lbr. 17/010

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Privacybeleid gemeente Wierden

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Datalekken (en privacy!)

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag. Datum 5 juni 2014 Antwoorden Kamervragen met kenmerk 2014Z07915

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Informatiebeveiligingsbeleid

checklist in 10 stappen voorbereid op de AVG. human forward.

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

PROCEDURE MELDPLICHT DATALEKKEN

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 30 juni 2016 Betreft Kamervragen. Geachte voorzitter,

Datalek dichten en voorkomen. 21 april 2017

De Tweede Kamer der Staten-Generaal T.a.v. de Voorzitter Postbus EA DEN HAAG

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Protocol datalekken Samenwerkingsverband ROOS VO

Privacyverklaring Stichting Openbaar Onderwijs Oost Groningen

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Aan de voorzitter van de Tweede kamer der Staten- Generaal Postbus EA Den Haag

Plan

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580).

Stappenplan naar GDPR compliance

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Privacy statement Wat zijn persoonsgegevens? Bijzondere persoonsgegevens Van wie verwerkt Stichting Welzijn Bergen persoonsgegevens?

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Protocol Beveiligingsincidenten en datalekken

Procedure Meldplicht Datalekken

Protocol informatiebeveiligingsincidenten en datalekken

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Stappenplan naar GDPR compliance

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA DEN HAAG. Datum 23 januari 2017 Beantwoording Kamervragen

Procedure datalekken NoorderBasis

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Protocol informatiebeveiligingsincidenten en datalekken

3 Wordt met technisch onmogelijk bedoelt de huidige IT-security-middelen die nu ter beschikking zijn, of meer in algemene zin?

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Protocol informatiebeveiligingsincidenten en datalekken

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Kenmerk Uw kenmerk Bijlage(n)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Protocol meldplicht datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

PRIVACY VERKLARING. Deze Privacy Verklaring geldt voor alle personen van wie Caris Elektro persoonsgegevens verwerkt.

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Veranderingen privacy wet- en regelgeving

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

De Algemene Verordening Gegevensbescherming

Aan Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Procedure Meldplicht Datalekken & Veiligheidsincidenten gemeente Geertruidenberg

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 21 maart 2016 Kamervragen 2016Z04425

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA DEN HAAG

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

De Voorzitter van de Tweede Kamer der Staten Generaal Postbus EA Den Haag

Privacy Maturity Scan (PMS)

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Protocol Meldplicht datalekken

Protocol beveiligingsincidenten en datalekken

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Transcriptie:

> Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Directoraat-generaal Overheidsorganisatie Directie Informatiesamenleving en Overheid Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den Haag http://www.rijksoverheid.nl Datum 16 december 2016 Onderwerp Beantwoording Kamervragen over het bericht jaaropgaven 1712 cliënten van verschillende sociale diensten in Groningen naar een andere cliënt gestuurd UwKenmerk 2016Z21954 Hierbij bied ik u, mede namens de staatssecretaris van Sociale Zaken en Werkgelegenheid, de antwoorden aan op de schriftelijke vragen die zijn gesteld door de leden Oosenbrug en Kerstens (beiden PvdA) over het bericht jaaropgaven 1712 cliënten van verschillende sociale diensten in Groningen naar een andere cliënt gestuurd. Deze vragen werden ingezonden op 23 november 2016, met kenmerk 2016Z21954. De minister van Binnenlandse Zaken en Koninkrijksrelaties, dr. R.H.A. Plasterk Pagina 1 van 5

2016Z21954 Vragen van de leden Oosenbrug en Kerstens (beiden PvdA) aan de minister van Binnenlandse Zaken en Koninkrijksrelaties en de staatssecretaris van Sociale Zaken en Werkgelegenheid over het bericht dat jaaropgaven van 1712 cliënten van enkele Groningse sociale diensten per ongeluk aan een andere cliënt zijn toegestuurd (ingezonden 23 november 2016) Vraag 1 Kent u het bericht dat jaaropgaven van 1712 cliënten van enkele Groningse sociale diensten per ongeluk aan een andere cliënt zijn toegestuurd? 1) Antwoord 1 Ja Vraag 2 Hoe beoordeelt u de situatie waarin de jaaropgaven van 1712 cliënten van Groningse sociale diensten aan een cliënt verzonden zijn terwijl er op deze jaaropgaven gegevens terug te vinden zijn waarmee identiteitsfraude gepleegd zou kunnen worden? Antwoord 2 Ik hecht er aan te benadrukken dat wat er is voorgevallen buitengewoon ongelukkig is voor alle betrokkenen en dat betreur ik. Een kwaadwillende zou misbruik kunnen maken van gegevens. Het risico is klein, maar misbruik van persoonsgegevens valt niet uit te sluiten. Vraag 3 Deelt u de mening dat het incident een datalek betreft? Doet de Autoriteit Persoonsgegevens onderzoek naar het genoemde datalek? Zo ja, wat is de stand van zaken van dat onderzoek? Zo nee, waarom niet? Antwoord 3 Volgens de definitie die de Autoriteit Persoonsgegeven hanteert is er sprake van een datalek als zich een beveiligingsincident heeft voorgedaan waarbij persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kan worden uitgesloten. De vier gemeenten waar Werkplein Ability voor werkt, de gemeenten Bedum, De Marne, Winsum en Eemsmond, hebben naar eigen zeggen het incident gemeld bij de Autoriteit Persoonsgegevens (AP) en zijn daarmee van mening dat het in dit incident om een datalek gaat. De Autoriteit Persoonsgegevens doet geen mededelingen over eventuele onderzoeken. Vraag 4 Heeft u er zicht op hoe vaak datalekken bij gemeenten en bij organisaties binnen het sociaal domein plaatsvinden en wat de voornaamste oorzaken van deze datalekken zijn? Zo nee, waarom niet en bent u bereid hier onderzoek naar te doen? Antwoord 4 Vanaf 1 januari 2016 zijn ook gemeenten verplicht om datalekken te melden bij de AP. Ik heb dan ook niet de beschikking over de exacte cijfers van de AP over datalekken in het sociale domein. In een interview van 7 oktober jongstleden met NU.nl verklaart de voorzitter van de AP Aleid Wolfsen dat er sinds de invoering van Pagina 2 van 5

de meldplicht datalekken op 1 januari 2016, tot de datum van het interview bijna 4000 meldingen zijn geregistreerd bij de AP 1. Ongeveer 10% van die meldingen is afkomstig van een gemeente. Jaarlijks rapporteert de AP in het jaarverslag, maar de AP doet geen mededelingen over eventuele (lopende) onderzoeken. Vraag 5 Herinnert u zich uw antwoorden op de vele eerdere vragen die gesteld zijn over de beveiliging en verwerking van persoonsgegevens in gemeenten? 2) Antwoord 5 Ja Vraag 6 Deelt u de mening dat datalekken nog te vaak voorkomen bij gemeenten? Zo ja, op welke manier gaat u gemeenten verder stimuleren om adequate maatregelen te nemen om datalekken zoveel als mogelijk te voorkomen en om aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) te voldoen? Op welke wijze worden ook organisaties binnen het sociaal domein hierbij betrokken? Antwoord 6 Vanzelfsprekend is elke datalek er één te veel, zeker als het persoonsgegevens betreft en is zorgvuldigheid geboden. Het is een goede zaak dat gemeenten melden aan de AP. De gemeenten hebben de BIG als normenkader voor informatiebeveiliging waarbij gestructureerd wordt aangegeven wat de doelstellingen van de technische, organisatorische en fysieke beveiligingsmaatregelen zijn. Implementatie verschilt per situatie en is een continu proces van plannen, uitvoeren, controleren en bijstellen. Elke gemeente blijft afzonderlijk verantwoordelijk voor de eigen informatiebeveiliging. De VNG heeft er bij gemeenten op aangedrongen extra aandacht te besteden aan informatiebeveiliging in samenwerkingsverbanden, vooral waar het een samenwerking met ketenpartners betreft. De VNG biedt hiervoor praktische handreikingen zoals de handreiking informatieveiligheid en intergemeentelijke samenwerkingsverbanden. Daarbij biedt de Informatie Beveiligingsdienst (IBD) van de VNG/KING verdere ondersteuning door middel van preventie en preventieadvies, incidentcoördinatie en kennisdeling. Vraag 7 Bent u van mening dat de informatiesystemen van gemeenten en organisaties binnen het sociaal domein voldoende beveiligd zijn tegen datalekken? Is het bij al deze systemen mogelijk de veiligheid en gebruiksvriendelijkheid te verbeteren om zo datalekken in de toekomst te voorkomen? Zo ja, bent u voornemens samen met gemeenten te bekijken waar aanpassing en/of opwaardering van de huidige informatiesystemen nodig is? Zo nee, ziet u mogelijkheden om samen met gemeenten te onderzoeken waar de kwetsbaarheden in de systemen zitten en zo te komen tot een doelgerichtere aanbesteding van deze software in de toekomst? Antwoord 7 Alle organisaties zijn zelf verantwoordelijk voor het beveiligen van de door hen gebruikte informatiesystemen. Het gaat juist om de combinatie van mens en systeem. Uit mijn contact met de IBD blijkt dat een groot deel van datalekken bij gemeenten voortkomen uit menselijke fouten. De IBD wijst gemeenten op 1 http://www.nu.nl/internet/4332988/privacywaakhond-start-tientallen-onderzoeken-meldingen-datalekken.html` Pagina 3 van 5

maatregelen die hiertegen kunnen worden genomen. Ook werken gemeenten en samenwerkingsverbanden samen met VNG en KING aan het verbeteren van de veiligheid, gebruiksvriendelijkheid en interoperabiliteit van hun ICT-systemen. Behalve de BIG helpt het Gemeentelijk Model Architectuur (GEMMA), de landelijke referentiearchitectuur voor gemeenten. GEMMA helpt gemeenten en ketenpartners om (ICT-)ontwikkelingen in samenhang aan te sturen en aan te sluiten op landelijke voorzieningen. Ook zijn de Gemeentelijke Inkoopvoorwaarden Bij IT (GIBIT) ontwikkeld, die dit najaar van kracht zijn geworden en gemeenten en gemeentelijke samenwerkingsverbanden verder ondersteunen in het formuleren van passende en effectieve voorwaarden voor de levering, het gebruik en het onderhoud van IT-middelen, waaronder software en daarbij geldende (open) standaarden naar de verschillende leveranciers. Vraag 8 Zijn de informatiesystemen van gemeenten en organisaties binnen het sociaal domein voldoende toegerust om te kunnen voldoen aan de eisen die worden gesteld vanuit de nieuwe privacyverordening die vanaf 2018 van kracht is? Zo nee, zal er dan een aanpassing plaatsvinden van de lopende contracten met de aanbieders van de software om gemeenten en organisaties binnen het sociaal domein aan te laten sluiten op de nieuwe privacywetgeving en richtlijn? Antwoord 8 Gemeenten zijn, net als alle andere organisaties, ieder voor zich verantwoordelijk voor het toepassen van en voldoen aan de eisen van de komende Algemene Verordening Gegevensbescherming (AVG). Uitgangspunt is dat eenieder, gemeenten en de leveranciers, op het tijdstip dat de verordening van kracht wordt voldoet aan de gestelde normen. Waar nodig worden de komende tijd werkwijzen, afspraken en producten aangepast om aan de nieuwe regels te voldoen. Gemeenten hebben daar een aantal mogelijkheden voor, zoals privacy by design en impactanalyses en uitvoeringstoetsen. Met privacy by design kunnen organisaties daarnaast tijdens de ontwikkeling van producten en diensten zoals informatiesystemen al rekening houden met privacyverhogende maatregelen om verantwoorde en zorgvuldige omgang met persoonsgegevens technisch af te dwingen. Ook het uitvragen of laten uitvoeren van impactanalyses en uitvoeringstoetsen voor het gemeentelijk domein behoort tot de mogelijkheden. Gemeenten kunnen zich een beeld vormen over wat er op ze af gaat komen. Er hebben mij geen signalen bereikt dat gemeenten en de leveranciers niet aan de gestelde normen kunnen voldoen wanneer de verordening van kracht wordt. Vraag 9 Is er voldoende kennis bij gemeenten en organisaties binnen het sociaal domein aanwezig om tijdig aan te kunnen sluiten op de nieuwe privacywetgeving en richtlijn? Zo nee, op welke wijze gaat u gemeenten ondersteunen om aan de nieuwe privacywetgeving en richtlijn te kunnen voldoen? Antwoord 9 Toenemende digitalisering, ketensamenwerking en nieuwe regelgeving maken het noodzakelijk om continu te werken aan kennisopbouw op het gebied van bescherming van de privacy. Hierbij worden gemeenten onder andere ondersteund door VNG en KING. In samenspraak met de gemeenten heeft de VNG een position paper privacy opgesteld met actiepunten. Deze actiepunten worden door de VNG en KING uitgewerkt tot een beleids- en ondersteuningsprogramma. Ook de IBD speelt daarbij een rol met het ontwikkelen van operationele kennisproducten waaronder de leaflet over meldplicht. VNG en KING ondersteunen de gemeenten met de Pagina 4 van 5

invoering van de AVG en de inrichting van de functie van Functionaris Gegevensbescherming die gemeenten, al dan niet in samenwerking met andere gemeenten, verplicht moeten aanstellen. Hiervoor worden gerichte (netwerk)bijeenkomsten georganiseerd en producten, waaronder handreikingen en opleidingen, ontwikkeld. Deze kennisopbouw wordt, waar relevant, specifiek gericht op verschillende beleidsdomeinen, waaronder het sociaal domein. 1) http://nos.nl/artikel/2143831-vrouw-ontvangt-jaaropgaven-van-ruim-1700- andere-klanten-sociale-dienst.html 2) Aanhangsel Handelingen, vergaderjaar 2015-2016, nrs. 1613, 2076, 2401, 2643 en 2943. Pagina 5 van 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback