Het verwerken en verzamelen van persoonsgegevens

Aan de privacywetgeving liggen verschillende wetten ten grondslag. Zowel op Europees als op nationaal niveau. Belangrijke wetten zijn bijvoorbeeld het Europees Verdrag voor de Rechten van de Mens, de Nederlandse grondwet. Meer recent gaat het om de Uitvoering Algemene verordening gegevensbescherming (UAVG).

*muziek speelt*

Beeldtekst: microlearnings Beveiliging

Man zit aan tafel

MR. SYBREN L. SPOELSTRA, CENTRALE PRIVACY OFFICER (CPO), DIENST UITVOERING ONDERWIJS: 
Hallo, mijn naam is Sybren Spoelstra. Ik ben Centrale Privacy Officer
bij Dienst Uitvoering Onderwijs oftewel DUO, gevestigd in Groningen.

Aan de privacywetgeving liggen verschillende wetten ten grondslag. Zowel op Europees als op nationaal niveau. Belangrijke wetten zijn bijvoorbeeld het Europees Verdrag voor de Rechten van de Mens, de Nederlandse grondwet.

In beide wordt de eerbiediging van de persoonlijke levenssfeer uitdrukkelijk benoemd, maar meer recent kun je denken…

Beeldtekst: Uitvoering Algemene verordening gegevensbescherming (UAVG)

…aan de Algemene verordening gegevensbescherming en de Nederlandse uitvoeringswet, de UAVG. Dat is de nationale implementatie voor waar de Europese wetgever nog ruimte heeft gegeven om zelf interpretatie te geven aan de wetgeving.

De verplichtingen vanuit de Algemene verordening gegevensbescherming gelden vooral voor de zogeheten verwerkingsverantwoordelijken. Als onderdelen van de rijksoverheid zijn wij vaak degenen die bepalen waarom…

Beeldtekst: De overheid draagt verantwoordelijkheid voor ‘waarom en hoe gegevens worden verwerkt’

…en hoe persoonsgegevens worden verwerkt. Dat betekent dat wij
de verwerkingsverantwoordelijkheid hebben om ervoor te zorgen dat voor die processen wordt voldaan aan de wetgeving.

In de praktijk en formeel is het goed om te weten dat jouw minister van het onderdeel waar je onder valt formeel de verwerkingsverantwoordelijke is. Voor mij als CPO van DUO is dat bijvoorbeeld de minister van OCW.

De Algemene verordening gegevensbescherming heeft, als je het platslaat,
eigenlijk best wel een simpele logica. Je moet altijd beginnen met  nadenken over twee dingen. Heb ik een legitiem doel? 

Beeldtekst: Heb ik een legitiem doel? Waarom is dat nodig?

Oftewel, waarom wil ik eigenlijk persoonsgegevens gaan verzamelen? Waarom is dat nodig? 

Beeldtekst: Kan ik dat rechtvaardigen? Met welke wet(ten)kan ik dit onderbouwen?

En aan de andere kant: Kan ik dat rechtvaardigen? Oftewel, kan ik het onderbouwen op basis van de wet? Daarvoor bestaan zogeheten grondslagen.

In de Algemene verordening gegevensbescherming staan er zes van genoemd. De belangrijkste voor ons…

Beeldtekst: Belangrijkste grondslagen

…als rijksoverheid zijn de zogeheten wettelijke verplichting…

Beeldtekst: wettelijke verplichting

…en…

Beeldtekst: Noodzakelijkheid voor de uitvoering van het algemeen belang

…het noodzakelijk verwerken van persoonsgegevens voor het uitvoeren van het algemeen belang. Het is daarom ook belangrijk dat voor burgers goed voorzienbaar is wat onze wettelijke taken zijn of welke taken van algemeen belang er zijn zodat duidelijk is welke verwerkingen van persoonsgegevens daarbij horen.

Iets waar je altijd even extra aandacht aan moet besteden bij het verwerken van persoonsgegevens zijn de categorieën persoonsgegevens
waar je mee te maken hebt. Er zijn namelijk bepaalde extra privacygevoelige gegevens waarvoor ook extra waarborgen gelden 
en die je in principe niet zomaar mag verwerken. Dit zijn de zogeheten bijzondere categorieën van persoonsgegevens.

Beeldtekst: Extra aandacht voor bijzondere persoonlijke gegevens zoals politieke voorkeur, seksuele geaardheid en gezondheidsgegevens

Hierbij kun je denken aan gegevens over iemands politieke voorkeur 
seksuele geaardheid of gezondheidsgegevens. Omdat je deze gegevens in principe niet mag verwerken, dat is verboden, heb je daarvoor nog een zogeheten uitzonderingsgrond nodig naast de grondslag. Als hier sprake van is, het verwerken van deze gegevens, zoek dan altijd even contact
met de adviseur in jouw organisatie zodat je kunt bepalen hoe je ook deze gegevens in lijn met wet- en regelgeving kunt verwerken.

In de AVG vindt je zes beginselen. 

Beeldtekst: minimale gegevensverwerking, juistheid, opslagbeperking, integriteit & vertrouwelijkheid

Beeldtekst: behoorlijk, rechtmatig, transparant, doelbinding

Belangrijke uitgangspunten. Als organisatie moeten we kunnen aantonen dat we aan al die beginselen voldoen. 

Beeldtekst: Verantwoordingsplicht: aantonen dat wij voldoen aan alle beginselen en verplichtingen

Dat heet de verantwoordingsplicht. De verantwoordingsplicht is erg belangrijk om aan te kunnen tonen dat we voldoen aan alle verplichtingen. Hierbij kun je bijvoorbeeld denken…

Beeldtekst: Verwerkingsregister met waarom en hoe bij verwerking persoonsgegevens

…aan het bijhouden van een register waar alle processen in opgenomen zijn waarin persoonsgegevens worden verwerkt…

Beeldtekst: Datalekken tijdig melden bij Autoriteit Persoonsgegevens (AP)

…het melden van datalekken, op tijd bij de Autoriteit Persoonsgegevens…

Beeldtekst: Datalekken intern registreren

…en je interne registratie daarvan.

Dus zorg ervoor dat je binnen jouw departement weet wat de spelregels zijn om ook de naleving van de verplichtingen te kunnen aantonen. Het beschermen van persoonsgegevens van burgers is een van de belangrijke taken die je als ambtenaar hebt. Neem de privacybescherming daarom altijd
zoveel mogelijk mee aan het begin van je werk en betrek waar nodig de relevante collega's die veel van dit onderwerp weten.

*muziek speelt*

Beeldtekst: microlearnings Beveiliging

Logo Rijksoverheid verschijnt in beeld.

Beeldtekst: Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK)en de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO).