Tip 63

Gebruik en deel persoonsgegevens alleen als het mag

informatieveiligheid

Waarborg privacy door persoonsgegevens alleen te gebruiken als dat is toegestaan. Check eerst of het wel rechtmatig is dat je persoonsgegevens gaat gebruiken. Het kan zijn dat je een probleem wilt gaan aanpakken dat niet tot de taak van jouw afdeling behoort. Dan mag je geen gebruik maken van die persoonsgegevens. Soms lijkt het handig en goed om gegevens te delen met een andere afdeling. Daarvoor geldt hetzelfde. Mocht je gegevens willen gebruiken, maar ben je daar niet toe gerechtigd, dan kan je nog toestemming vragen van de burger. Dat mag alleen als het antwoord ‘nee’ mogelijk is en wordt geaccepteerd. Ga bewust om met persoonsgegevens door ze niet zomaar te forwarden. Wees er heel alert op: spring er niet makkelijk mee om. Bedenk hoe jij het zelf zou vinden als dat met jouw gegevens zou gebeuren.

Voorbeelden

Denk na voordat je een kopie van een ID vraagt

Ik vind het belangrijk dat overheidsorganisaties goed nadenken over:

  • Waarom vragen we een kopie van een ID?
  • Wat doen we met die kopie?
  • Waar wordt die bewaard?

In heel veel gevallen vragen instanties, ook overheidsinstanties, om kopieën. Ik vind dat wij zelf als overheid daar niet altijd het goede voorbeeld geven.

Helen van der Sluys

Coördinator Centraal Meldpunt Identiteitsfraude en –fouten, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties Meer tips van Helen

Wees alert op het beschermen van belangen

Er kan een risico zijn dat iemand, ongetwijfeld met de beste bedoelingen, toch te weinig aandacht heeft voor belangen die beschermd moeten worden. Veronderstel, een gemeenteambtenaar is bezig met een groot maatschappelijk probleem, zoals ‘scheefwonen’ en dan zou het eigenlijk wel handig zijn als van de Belastingdienst inkomensgegevens konden worden verkregen om de huurders met een te hoog inkomen uit de sociale woningbouw te krijgen. Het maatschappelijk belang daarvan is groot, maar daarmee is nog niet gezegd dat het groot genoeg is om die gegevens onbeperkt voor dat doel te gaan gebruiken. Er zijn andere belangen en ook die moeten worden meegewogen. Het doel heiligt niet de middelen. Althans, vrijwel nooit.

Gerrit-Jan Zwenne

Partner Brinkhof, Professor Leiden University Meer tips van Gerrit-Jan

Beschaam vertrouwen niet

Uiteindelijk gaat het om: de klant vertrouwt jou, beschaam dat vertrouwen niet. Wees dan ook zorgvuldig met de gegevens die je hebt vastgelegd over een klant.

Mark Hulsman

Privacyfunctionaris bij een gemeente Meer tips van Mark

Gegevens op Facebook geen reden om privacy niet te waarborgen

We krijgen vaak teruggeschoten: maar burgers zetten dat toch zelf op Facebook?  Die houden toch helemaal geen rekening met hun privacy? Maar dat is geen reden voor de overheid dat dan ook niet te doen. Je mag die gegevens alleen maar verwerken als je daar een gerechtvaardigd doel voor hebt. En die rechtvaardiging vind je in je publieke taak. Al zet de burger zijn hele hebben en houden op Facebook dan is dat nog geen reden voor de overheid om die gegevens naar believen te mogen gebruiken.

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Maak goede afspraken over uitwisseling gegevens

Wat je vaak ziet in overheidsland is dat verschillende overheidsorganen samenwerken. Bijvoorbeeld om problematische gezinnen aan te pakken werkt de reclassering samen met de GGD en met de gemeente, de politie en misschien een straatwerker. Wat daarbij erg belangrijk is dat men onderling goede afspraken maakt over hoe gegevens worden uitgewisseld. En dat die afspraken ook een basis hebben in de wet.  Dat men niet denkt, we gaan dit gewoon uitwisselen. We maken daar een  convenant voor, dan is het geregeld. Nee, ieder heeft zijn wettelijke basis om gegevens te verwerken. Als het dan mag, moet je vervolgens duidelijke afspraken maken over het uitwisselen.

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Mail doorsturen?

Forwarden: denk er bij na en voorkom in ieder geval dat je onbedoeld of onnodig persoonsgegevens doorstuurt die de ander helemaal niet nodig heeft.

Mark Hulsman

Privacyfunctionaris bij een gemeente Meer tips van Mark

Verplaats je in diegene op wie gegevens betrekking hebben

We zijn allemaal natuurlijke personen, we zijn allemaal consumenten, werknemer of student, of patiënt. Of we zijn dat ooit geweest. Om die reden is het voor ons helemaal niet moeilijk om ons te verplaatsen in diegene op wie die gegevens betrekking hebben. We kunnen dan ook al heel snel bedenken: zou die persoon hier bezwaar tegen maken? Kan het misschien op een manier die voor die persoon minder ingrijpend is? Hebben we echt nagedacht over alternatieven die minder inbreuk maken?

Gerrit-Jan Zwenne

Partner Brinkhof, Professor Leiden University Meer tips van Gerrit-Jan

Plaats geen foto's van identiteitsdocumenten op je site

Op de website verlorenofgevonden.nl worden zaken die door burgers verloren of gevonden zijn al dan niet met foto gepubliceerd. Dit gebeurt niet zonder dat de gemeente daar een oordeel over geeft. Zo wordt voorkomen dat er zaken op komen te staan die er niet op thuis horen zoals bijvoorbeeld vuurwapens. Regelmatig staan er foto’s van paspoorten, identiteitskaarten en rijbewijzen op bovengenoemde site. Als Centraal Meldpunt Identiteitsfraude en -fouten proberen we niet alleen slachtoffers van identiteitsfraude te helpen maar het ook te voorkomen. Vandaar onze bezorgdheid over deze kwesties waarbij gemeenten er (waarschijnlijk niet bewust) aan meewerken dat er persoonsgegevens gepubliceerd worden. Met deze gegevens kan namelijk identiteitsfraude gepleegd worden. Zo kan er bijvoorbeeld een telefoonabonnement mee worden afgesloten. Zeker ook in het kader van de Wet Meldplicht Datalekken moeten we zorgvuldig omgaan met persoonsgegevens en dit soort publicaties voorkomen.

Lees meer op de website van de NVVB.

Onderzoek

Het ministerie van BZK heeft binnen het doorbraakproject Massaal Digitaal onderzocht waarom burgers en bedrijven soms geen gebruik maken van het digitale kanaal als zij zaken moeten regelen met de overheid. Niet zeker zijn van de veiligheid van de digitale route, met het oog op persoonlijke gegevens, blijkt daarbij een rol te spelen. Veiligheid van de digitale route moet een vanzelfsprekendheid zijn; deze moet gegarandeerd worden. Daarbij moet de verantwoordelijkheid bij de overheid liggen, en niet bij de burger of het bedrijf.
(Bron: Eindrapport Massaal Digitaal en Highlight rapport Algemene bevindingen (Pdf ).

Conclusie

  • Benoem en garandeer veiligheid, communiceer dit.
  • Neem die verantwoordelijkheid en leg deze niet bij de burger neer (geen disclaimers).

Meer tips over informatieveiligheid