Tip 99

Ken de wet!

informatieveiligheid

Als je omgaat met persoonsgegevens of werkt aan informatiebeveiliging moet je weten wat er wettelijk wel en niet mag. Wanneer mag je bijvoorbeeld gegevens gebruiken, bewaren of delen? En welke rechten hebben burgers als het gaat om hun gegevens? Wat is er veranderd met de inwerkingtreding van de Europese Algemene verordening gegevensbescherming (AVG) in mei 2018? Ook moeten websites van de overheid sinds 23 september 2020 toegankelijk zijn voor iedereen. Maak er een punt van in je organisatie: zorg dat jij en je collega’s de wet kennen!

Voorbeelden

Software waarmee de wet wordt overtreden

Ik doe veel voor lokale overheden en dan heb ik weleens met softwareleveranciers te maken. Die verkopen bijvoorbeeld een product waarmee een gemeente de wet overtreedt. Die software verwerkt dan gegevens op een manier die niet is toegestaan. Een simpel voorbeeld: Er was een softwarebedrijf dat een applicatie had ontwikkeld waarbij diverse afdelingen gemakkelijker konden samenwerken, door gegevens van cliënten te delen. Het werd aanbevolen met de mededeling dat de applicatie zou zorgen voor ontschotting binnen de gemeente. Een privacy jurist griezelt van zo’n woord, want dat betekent dat geen rekening is gehouden met het principe van doelbinding en geheimhoudingsverplichtingen. Nog een voorbeeld: Er is software ontwikkeld waarmee medewerkers van het klantcontactcentrum in één oogopslag de persoonsgegevens van de beller zien. Plus de gegevens van de ex-echtgenoot, plus de Burgerservicenummers, plus inzicht of de beller onder curatele staat… Dat wordt door softwareleveranciers standaard zo ingericht. Soms zijn het zelfs verplichte velden. Die leveranciers vergeten dat ze aansprakelijk gesteld kunnen worden voor het leveren van ondeugdelijke producten. Een gemeente kan tegenwoordig zeer hoge boetes krijgen voor het onrechtmatig verwerken van gegevens, tot 820 duizend euro per overtreding. Dat kan op de leverancier verhaald worden. Privacy by design vormt hier de oplossing: wat wettelijk niet mag, technisch onmogelijk maken.

Corrie Ebbers

Privacy Jurist Meer tips van Corrie

Teveel gegevens die nooit worden weggegooid

De wetgeving is heel duidelijk, als het gaat om privacy: gij zult geen persoonsgegevens verwerken. Pas als er een wettelijke grondslag is, dan mag je gegevens verwerken. En dan alleen die gegevens die daarvoor nodig zijn!

Kees Hintzbergen

Adviseur Informatiebeveiliging Informatiebeveiligingsdienst voor gemeenten (IBD) Meer tips van Kees

Kennis over privacywetgeving en ervaring met informatieveiligheid noodzakelijk

Mensen die te maken hebben met informatieveiligheid hebben kennis nodig om goede beslissingen te kunnen nemen. We hebben vanaf 1989 privacywetgeving. Maar er is tot op de dag van vandaag niemand degelijk in opgeleid. Er zijn nog steeds ambtenaren bij gemeenten die de wet die ze uitvoeren nooit hebben gelezen. Dus die weten ook niet hoe ze met persoonsgegevens om moeten gaan. Ze moeten opgeleid worden en weten welke aspecten van belang zijn als je persoonlijke gegevens verwerkt. Persoonsgegevens zijn het werkkapitaal van de overheid. Voor digitale dienstverlening kun je bijvoorbeeld de toegang tot gemeenten zo inrichten dat mensen niet altijd per se met DigiD hoeven in te loggen. Want DigiD is alleen maar in bepaalde situaties noodzakelijk, niet om bijvoorbeeld een losse stoeptegel te melden.

Corrie Ebbers

Privacy Jurist Meer tips van Corrie

Burgers hebben recht op inzage gegevens

Geef burgers inzage in hun gegevens, als ze daar om vragen, behoudens de beperkingen die bij de wet zijn gesteld. Burgers hebben recht op inzage, wijziging en verwijdering.

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Gegevens niet gebruiken voor ander doel waarvoor verzameld

Het verwerken van persoonsgegevens is onderhevig aan wet- en regelgeving. Je mag gegevens niet gebruiken voor een ander doel dan waarvoor ze verzameld zijn. Verleidelijk is dat wel. Het verwerken van persoonsgegevens gaat bijna altijd via software. Als je een nieuwe toepassing realistisch wilt testen, dan is het aantrekkelijk om echte persoonsgegevens te gebruiken. Hetzelfde gaat op voor probleemanalyses van operationele software. Maar de Wet bescherming persoonsgegevens staat het gebruik van productiegegevens voor dit soort doeleinden meestal niet toe. Het is bovendien zeer onwenselijk dat medewerkers van de IT-afdeling toegang krijgen tot persoonlijke gegevens die niet voor hen bedoeld zijn. En afgezien van al het voorgaande: bedenk dat het merendeel van alle fraudegevallen van binnenuit komt. Bind dus niet de kat op het spek!

Lees verder op iBestuur.

Chris Verhoef

(Blog op iBestuur)

Wbp = Wet-zorgvuldig-met-gegevens-omgaan

De Wet bescherming persoonsgegevens (Wbp) wordt vaak de privacywet genoemd. Maar eigenlijk is het de zorgvuldig-met-gegevens-omgaan-wet. Zorgvuldig omgaan met gegevens zorgt ervoor dat je je privacy kunt behouden. Dat is het uitgangspunt.

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Wees alert op het beschermen van belangen

Iemand kan met de beste bedoelingen toch te weinig aandacht hebben voor belangen die beschermd moeten worden. Voorbeeld: een gemeenteambtenaar is bezig met een groot maatschappelijk probleem, zoals ‘scheefwonen’. Dan zou het eigenlijk wel handig zijn om met inkomensgegevens van de Belastingdienst de huurders met een te hoog inkomen uit de sociale woningbouw te krijgen. Het maatschappelijk belang daarvan is groot, maar daarmee is nog niet gezegd dat het groot genoeg is om die gegevens onbeperkt voor dat doel te gaan gebruiken. Er zijn andere belangen en ook die moeten worden meegewogen. Het doel heiligt niet de middelen. Althans, vrijwel nooit.

Gerrit-Jan Zwenne

Partner Brinkhof, Professor Leiden University Meer tips van Gerrit-Jan

Rechtvaardiging gebruik gegevens baseren op grondslagen in Wbp

Toestemming moet je baseren op één van de zes grondslagen die in de Wbp staan. Voor de overheid is de belangrijkste grondslag dat je een publiekrechtelijke taak hebt om gegevens te verwerken. Het gaat dan om de vraag ‘waartoe je als overheidsorgaan op aarde bent’. En of je in het kader van jouw publiekrechtelijke taak wel of niet gegevens mag verwerken. Is het antwoord bevestigend, dan mag het en is geen toestemming van de burger nodig. Bijvoorbeeld: de GGD heeft als taak ’de gezondheid van burgers te monitoren’. Dan is dat de grond waarop ze gegevens mogen verwerken, dan is het gerechtvaardigd.

Bart Schermer

Partner Considerati, Associate Professor Leiden University Meer tips van Bart

Meer tips over informatieveiligheid