Transcription of Scriptie - vurore.nl
1 Scriptie Privacy borging bij uitvoering decentralisaties gemeenten Door: Dani Taboada Parga Scriptienr. 2049 Versie: 1 mei 2015 1 Voorwoord Privacy, een breed begrip dat sinds jaar en dag bekend staat als het recht om alleen gelaten te worden , het recht om controle te houden over eigen gegevens of de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn . De media schrijft vrijwel dagelijks over onderwerpen die betrekking hebben op privacy. Niet zo vreemd gezien de recente ontwikkelingen; van incidenten waaruit blijkt dat persoonsgegevens bij bedrijven zijn ontvreemd tot aan wijzigende wet- en regelgeving, zoals in Nederland de aanstaande Meldplicht datalekken.
2 Ook in de wereld van audit en compliance neemt de aandacht voor privacy toe. Het is een divers onderwerp, het omvat wetgevende elementen, is tastbaar en vraagt om zorgvuldige beheersing. Dit zijn de elementen die privacy mijns inziens interessant maken. De keuze voor een onderzoek op gebied van privacy was dan al snel gemaakt. Een andere recente ontwikkeling is de overheveling van overheidstaken in het Sociaal Domein naar gemeenten. Dit wordt ook wel omschreven als de decentralisaties op het terrein van ondersteuning, participatie en jeugd. Wat dit precies inhoudt wordt verderop in mijn Scriptie toegelicht.
3 Wel kan alvast gedeeld worden dat deze verschuiving in taken consequenties heeft voor de wijze waarop met privacy wordt omgegaan. De combinatie van enerzijds privacy en anderzijds het Sociaal Domein (hierna te noemen: decentralisaties) heeft mij doen besluiten een onderzoek uit te voeren naar privacy borging bij de uitvoering van gemeentelijke taken in het kader van de decentralisaties. Ik heb een toetsingskader ontwikkeld waarmee inzichtelijk kan worden gemaakt in hoeverre gemeenten de privacy wetgeving volgen bij uitvoering van haar gemeentelijke taken. Het onderzoek is uitgevoerd als onderdeel van mijn afstuderen aan de IT Auditing, Compliance & Advisory opleiding van de VU Universiteit Amsterdam.
4 Mijn dank gaat uit naar de onderstaande personen, zij hebben het onderzoek mogelijk gemaakt door er aan mee te werken en door mij te begeleiden en de juiste richting op te sturen: - Ad Buckens RE CISM, Executive Director, Information Security Services, EY Advisory - Paul Harmzen, begeleider vanuit het VU Universiteit Amsterdam - Robert-Jan Taling van gemeente Amsterdam - Max-Egter van Wissekerke van gemeente Rotterdam - Jolanda Geerlings en Maaike Lighthart van gemeente Schagen Geschreven door: Dani Taboada Parga, Sr. Advisory, Information Security Services, EY Advisory E: T: +31621251446 2 Management samenvatting Het begrip privacy haalt steeds vaker negatief het nieuws.
5 In het kader van dit onderzoek bedoel ik met privacy het beschermen van persoonsgegevens van burgers. Persoonsgegevens worden steeds belangrijker, de burger wordt zich steeds bewuster van zijn of haar recht op privacy ten aanzien van persoonsgegevens. Anderzijds wil de publieke sector, en zodoende ook gemeenten, steeds meer digitaliseren. Men praat over de gemeente van de toekomst en digitale veiligheid. In een wereld waarin data grote vormen aanneemt lijkt er geen ontkomen meer aan, ook persoonsgegevens van burgers zullen in toenemende mate worden verwerkt. De recente ontwikkelingen binnen het Sociaal Domein zijn daar een uitstekend voorbeeld van.
6 De overheveling van taken van het Rijk naar gemeenten is mede ingezet vanuit de gedachte dat gemeenten dichter bij de burgers staan. Een gedachtegang die prima te volgen is. E n gezin, n plan, n regisseur, dat is het idee van de overheid. Bekeken vanuit de privacy bril vereist dat echter nogal wat. De Nederlandse privacy wet, de Wet bescherming persoonsgegevens (Wbp), eist dat goed wordt nagedacht over de rechtmatigheid van een verwerking alvorens deze verwerking wordt uitgevoerd. Enkel in bepaalde omstandigheden is het niet nodig aan bepaalde eisen uit de Wbp te voldoen.
7 Om persoonsgegevens van burgers te verwerken dient een organisatie/instelling aan strikte eisen te voldoen. In dit onderzoek is in kaart gebracht aan welke eisen gemeenten dienen te voldoen wanneer zij persoonsgegevens wensen te verwerken in het kader van de decentralisaties. Om deze eisen inzichtelijk te krijgen is de definitie van privacy voor dit onderzoek vastgesteld. Vervolgens zijn ook de wettelijke kaders (de Wbp en de algemene verordening gegevensbescherming) inzichtelijk gemaakt en zijn de eisen die relevant zijn in het kader van de decentralisaties ge dentificeerd.
8 Ook is in kaart gebracht wat de ontwikkelingen in het Sociaal Domein, genaamd de decentralisaties, inhouden en hoe dit zich verhoudt tot privacy. De ge dentificeerde eisen uit de wettelijke kaders zijn vertaald naar normen welke in een toetsingskader zijn opgenomen. De effectiviteit van het toetsingskader is vervolgens in de praktijk getoetst bij drie gemeenten. De gehanteerde criteria hierbij waren de relevantie, volledigheid, juistheid en toepasbaarheid van de opgenomen normen. Daarnaast is ook het scoringsmodel beoordeeld. Op basis van de resultaten uit het praktijkonderzoek kan geconcludeerd worden dat het toetsingskader effectief werkt.
9 Verbetermogelijkheden zijn desondanks wel ge dentificeerd maar hebben niet een dusdanig impact dat dit de werking van het kader nadelig be nvloed. De details zijn terug te vinden in het rapport. Het opgestelde toetsingskader kan derhalve gemeenten helpen inzicht te krijgen in de privacy voorwaarden en in de mate waarin zij aan deze voorwaarden voldoen. Het kan ondersteuning bieden bij het in kaart brengen van de voor de gemeente belangrijkste aandachtsgebieden. Hiermee kan gesteld worden dat de doelstelling van dit onderzoek, het ontwikkelen van een toetsingskader waarmee onderzocht kan worden in hoeverre gemeenten in staat zijn de privacy te borgen bij de uitvoering van de gemeentelijke taken in het kader van de decentralisaties, behaald is.
10 3 inhoudsopgave Voorwoord 1 Management samenvatting 2 inhoudsopgave 3 1 Inleiding 6 Aanleiding 6 Problematiek 7 Centrale vraag 7 Hoofdvraag 7 Deelvraag 7 Doelstelling 8 Scope 8 2 Onderzoeksmethode 10 Verkennend onderzoek 10 Aanpak 10 Plan 11 Design 11 Prepare 11 Collect 11 Analyze 11 Share 11 Conceptualisatie 11 3 Theoretisch kader 13 Privacy 14 De geschiedenis van het woord privacy, in vogelvlucht 14 Privacy in Europa 15 De Nederlandse Grondwet 16 Definitie van privacy 16 Wet bescherming persoonsgegevens (Wbp) 16 Wettelijke eisen uit de Wbp 17 Wettelijke toepassing 19 Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens 20 Meldplicht 22 Vrijstellingsbesluit 23 Voorafgaand onderzoek 23 Transparantie 23 Rechten van de betrokkene 23 Uitzonderingen & beperkingen 24 Gevolgen van het niet voldoen aan de Wbp.
