Sinds 1 januari 2018 werkt Halderberge op het gebied van privacy samen met gemeente Rucphen en gemeente Zundert. De functie voor Functionaris Gegevensbescherming (FG) is gezamenlijk ingevuld en tussen de privacy coördinatoren wordt veel samengewerkt.
In 2019 is veel werk verzet om de Algemene Verordening Gegevensbescherming (Avg) verder te implementeren. Op zeven gebieden binnen het privacy domein: privacy beleid, processen, organisatorische inbedding, rechten van betrokkenen, samenwerking, beveiliging, en verantwoording inmiddels al actie ondernomen. Hieronder worden per gebied de acties kort toegelicht.
Privacy beleid
- Er is een werkgroep communicatie gevormd die zich bezig houdt met de bewustwording op het gebied van privacy, informatiebeveiliging en gegevensmanagement. Hiervoor is ook een communicatieplan opgesteld, op basis waarvan met de organisatie worden gecommuniceerd op basis van de uitgangspunten in het privacy beleid.
- In de gesprekken tussen de FG, privacy coördinator en de teammanagers is gesproken over de specifieke processen in de teams waar extra aandacht en bewustwording nodig is.
Processen
- Er is de keuze gemaakt om in het jaar 2020 privacytool te gaan gebruiken. Hiermee kan onder andere het verwerkingsregister actueel worden gehouden samen met de verschillende teams. Deze tool is ook ondersteunend aan uit de voeren privacy impact analyses (Dpia).
- Het proces voor de melding van datalekken is geactualiseerd en afgestemd met Rucphen en Zundert. Daarnaast is back up georganiseerd voor de functie van privacy coördinator. Dit is met name van belang bij datalekken en inzageverzoeken.
Organisatorische inbedding
- De bewustwording op het gebied van privacy in de organisatie is groeiende. Op basis van het eerder genoemde communicatieplan wordt dit ook versterkt. Ook de privacy coördinator wordt steeds meer betrokken bij (nieuwe) processen in de organisatie.
Rechten van betrokkenen
- Het onderwerp privacy is een vast onderdeel op het moment dat processen worden gedigitaliseerd. De privacy coördinator wordt hierbij betrokken.
- Het is mogelijk om verzoeken tot inzage digitaal via de website te doen.
Samenwerking
- Het afsluiten van verwerkersovereenkomsten met andere partijen bij bestaande contracten verloopt soms wat moeizaam. De verschillende partijen zijn in beeld en er worden regelmatig verwerkersovereenkomsten afgesloten. Bij het aangaan van een nieuw contract waarbij verwerking van persoonsgegevens aan de orde is, wordt de verwerkersovereenkomst standaard in het inkoopproces meegenomen.
Beveiliging
- Bij de aankoop of ontwikkeling van (nieuwe) systemen en applicaties, en bij de inrichting van processen worden zowel de aspecten van informatiebeveiliging als privacy aan de voorkant betrokken.
- De verbetering van de autorisaties zal ook worden meegenomen bij de verdere inbedding van het applicatiebeheer en functioneel beheer.
Verantwoording
- Door het bijhouden van het verwerkingenregister, het datalekkenregister, het nemen van adequate beveiligingsmaatregelen voldoet Halderberge aan de eisen van de AVG voor de verantwoording.
In onderstaand overzicht is aangegeven hoeveel verzoeken om inzage er in 2019 zijn geweest en hoeveel datalekken hebben plaatsgevonden.
Verzoeken om inzage
- Ingediend 1
- Geweigerd, omdat identiteit aanvrager niet vastgesteld kon worden.
(Vermoedelijke) datalekken
- Meldingen 13
- Daadwerkelijke datalekken 11
- Gemeld bij AP 0
- Betrokkenen geïnformeerd 0
De risico’s voor de betrokkenen waren in alle gevallen laag. Daarom zijn de datalekken niet gemeld bij de Autoriteit Persoonsgegevens. Melding is pas verplicht als het risico hoog is. Omdat het risico voor betrokkenen laag was, was ook de verplichting en noodzaak om betrokkenen te informeren over de datalekken niet van toepassing.