Copy
AVG NIEUWSBRIEF - APRIL 2018

Geachte leden,

 
Op 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) van toepassing. Naar verwachting zal in dezelfde periode ook de uitvoeringswet AVG in werking treden. De privacybescherming voor alle personen van wie u gegevens verwerkt, wordt hierdoor verbeterd. Voor u als rekenkamer(commissie)[1] betekent dit dat uw verantwoordelijkheid groter wordt. Het gaat bijvoorbeeld niet alleen om gegevens van burgers die u in het kader van onderzoek verzamelt, maar ook om gegevens van ambtenaren, raadsleden of geraadpleegde experts. Ook als u onderzoek uitbesteedt, blijft u verantwoordelijk. U moet kunnen aan tonen dat u zich aan de AVG en de uitvoeringswet houdt. Voldoet u daaraan niet, of kunt u dat niet aantonen, dan kan de Autoriteit Persoonsgegevens een (forse) boete opleggen.

In deze brief geeft de NVRR u algemene richtinggevende adviezen als ondersteuning aan uw taak de privacy van personen, waarvan u gegevens verwerkt, goed te beschermen en daarmee te voldoen aan de AVG en de uitvoeringswet. Naast deze adviezen zal de NVRR op korte termijn enkele algemene modellen ter beschikking stellen die in het kader van de AVG noodzakelijk of wenselijk worden geacht. Tot slot zal de NVRR een Q en A publiceren van algemene vragen die leven bij rekenkamers.
De AVG vraagt ook om maatwerk. Wat dit concreet voor uw rekenkamer(commissie) betekent is afhankelijk van de aard en omvang van de persoonsgegevens die u verwerkt. Wij raden u aan om dit af te stemmen met uw Functionaris Gegevensbescherming (FG). Zie hierna over de FG.
 
[1]  De AVG geldt voor alle overheids- en bestuursorganen. Deze brief is gericht aan alle decentrale rekenkamer(commissie)s, van gemeenten, provincies en waterschappen.

Adviezen

Wij adviseren u de volgende stappen te ondernemen zodat u klaar bent voor de AVG (en de uitvoeringswet):
1.    Stel een Functionaris Gegevensbescherming aan

Doorloop de volgende stappen samen met uw Functionaris Gegevensbescherming:
2.    Word bewust van de inhoud van de AVG en de uitvoeringswet
3.    Breng in kaart welke (bijzondere) persoonsgegevens u verwerkt
4.    Ga na of u een Data Protection Impact Assessment (DPIA) moet uitvoeren
5.    Tref passende beveiligingsmaatregelen
6.    Weet hoe te handelen bij datalekken
7.    Ga na of privacybeleid moet worden opgesteld 
8.    Stel een privacyverklaring op
9.    Kom verwerkersovereenkomsten overeen
10.  Zorg dat betrokkenen hun rechten kunnen uitoefenen

Tot slot, voer de regelhulp van de Autoriteit Persoonsgegevens uit om op hoofdlijnen in te schatten in hoeverre u al voldoet aan de AVG en bespreek dit met uw FG.

Klik hier voor nadere uitleg en hulpmiddelen ten aanzien van de tien genoemde stappen.

NVRR-modellen

Het is op grond van de AVG niet voldoende dat u maatregelen neemt om te waarborgen dat uw verwerkingen in overeenstemming met de AVG plaatsvinden, maar u moet dit ook kunnen aantonen. In verband met deze ‘aantoonplicht’ zal de NVRR enkele handreikingen en modellen van de VNG verder ontwikkelen, zodat ze meer zijn toegespitst op de praktijk van rekenkamer(commissie)s. Het betreft:
•    Model verwerkingsregister (stap 3)
•    Model privacyverklaring (stap 8)
•    Model verwerkersovereenkomst (stap 9)

Zodra deze handreikingen en modellen beschikbaar komen zullen ze worden gepubliceerd op de website van de NVRR: www.nvrr.nl 

NVRR-antwoorden op algemene vragen

De AVG en de uitvoeringswet zijn nieuw. De NVRR heeft nog niet op alle vragen een antwoord. Wij geven drie voorbeelden. Wij vragen ons af of rekenkamer(commissie)s betrokkenen altijd moeten informeren of dat er ook uitzonderingen zijn waarvoor dat niet geldt, bijvoorbeeld bij grote databestanden die de rekenkamer van de gemeente ontvangt tijdens een onderzoek. Ook vragen wij ons af of een betrokkene altijd zijn of haar rechten moet kunnen uitoefenen, of dat het denkbaar is dat deze rechten beperkt worden als de rekenkamer de gegevensverwerking heeft ontvangen van de gemeente in het kader van de uitoefening van zijn taak.  
Een derde voorbeeld, de archiefwet is van toepassing op de rekenkamer(commissie)s, maar welke persoonsgegevens moeten worden gearchiveerd en in hoeverre kan de openbaarheid daarvan worden beperkt? In de komende periode gaan wij deze vragen afstemmen met de Autoriteit Persoonsgegevens of andere deskundigen en zullen wij de antwoorden op die vragen publiceren op de website van de NVRR.
Copyright © 2018 NVRR, All rights reserved.


Stel hier uw voorkeuren in of meld u af voor onze nieuwsbrief 

Email Marketing Powered by Mailchimp