Privacy en gegevensbescherming
In DDAS delen we persoonsgegevens van inwoners. Om data veilig te kunnen delen, moeten we vooraf onderbouwen hoe we ervoor zorgen dat we de juiste gegevens op de juiste manier beschikbaar stellen en verwerken.
Acties voor de privacy officer
Om data te kunnen delen, moet de privacy officer kijken wat de gevolgen voor de privacy zijn. Daarvoor moet die een aantal acties ondernemen.
DDAS Schuldhulpverlening
- Lees de Notitie DDAS - Privacy. In deze notitie worden twee zaken uitgewerkt:
- De wettelijke grondslag waarop persoonsgegevens rondom schuldhulpverlening aan het CBS verstrekt kunnen worden;
- De wijze waarop deze verstrekking in de praktijk plaats zou kunnen vinden.
- Bekijk welke gegevens aangeleverd moeten worden in het informatiemodel en de uitwisselspecificatie.
- Bepaal of er een DPIA nodig is. Zo ja, gebruik de basis voor de DPIA.
- Voer je de schuldhulpverlening uit namens de gemeente. Ga na of er aanvullende afspraken nodig zijn.
DDAS Vroegsignalering
- Bekijk welke gegevens aangeleverd moeten worden in het informatiemodel en de uitwisselspecificatie.
- Bepaal of er een Data Protection Impact Assessment (DPIA) nodig is. Gebruik hiervoor de basis voor de DPIA.
- Voer je de schuldhulpverlening uit namens de gemeente? Ga na of er aanvullende afspraken nodig zijn.
Veelgestelde vragen
Hieronder vind je een selectie van veel gestelde vragen en antwoorden. Bekijk hier alle veelgestelde vragen over privacy en gegevensbescherming
-
Nee, in dat geval is een DPIA niet verplicht. In specifieke situaties kan uit een pre-DPIA blijken dat er geen DPIA nodig is, omdat er bijvoorbeeld geen sprake is van verwerking van persoonsgegevens van kwetsbare personen of van grootschalige verwerking. Gemeenten hebben dus de ruimte om zelf te beoordelen of een DPIA noodzakelijk is.
De samenwerkingspartners van DDAS hebben echter bewust gekozen voor een standaard DPIA. Dit neemt vooraf al vragen van gemeenten over de gegevensverwerking zoveel mogelijk weg. Bovendien hoeven gemeenten die zelf concluderen dat zij een DPIA nodig hebben, hierdoor niet het wiel uit te vinden: zij kunnen de standaard DPIA direct overnemen.
-
Op basis van de DPIA is hiervoor de volgende constructie gevolgd:
- De AVG-grondslag (artikel 6 lid 1 sub c AVG): de verstrekking is noodzakelijk om te voldoen aan een wettelijke verplichting. Artikel 33 van de Wet CBS verplicht gemeenten namelijk om gegevens aan het CBS te leveren. Dit vult de algemene AVG-grondslag in.
- De specifieke basis voor het BSN (artikel 46 lid 1 UAVG): De AVG-grondslag alleen is niet voldoende voor het BSN; de UAVG vereist een aanvullende wettelijke basis. Deze basis rust op de volgende artikelen:
- Artikel 10 Wabb: gemeenten én het CBS zijn als overheidsorganen bevoegd het BSN te gebruiken bij de uitvoering van hun wettelijke taken.
- Artikel 8c Wgs: geeft de gemeente expliciet de bevoegdheid het BSN te verwerken in het kader van schuldhulpverlening, inclusief vroegsignalering.
- Artikel 33 jo. 34 Wet CBS: geeft het CBS de bevoegdheid het BSN op te vragen en te ontvangen van gemeenten voor statistische doeleinden.
- Verenigbaar vervolggebruik (artikel 5 lid 1 sub b AVG): Omdat de gemeente het BSN oorspronkelijk heeft verzameld voor de Wgs (schuldhulpverlening) en niet voor statistiek, is een onderbouwing voor deze verdere verwerking nodig. Artikel 5 lid 1 sub b AVG biedt deze ruimte: dit artikel stelt dat verdere verwerking voor statistische doeleinden als verenigbaar met het oorspronkelijke doel wordt beschouwd.
-
Nee, er wordt geen aparte overeenkomst per gemeente afgesloten. De basis hiervoor is als volgt:
- Wettelijke grondslag: Het CBS vraagt en ontvangt gegevens op basis van de CBS-wet. In het kader van de AVG handelt het CBS hierbij vanuit de grondslag 'algemeen belang'. Omdat deze wettelijke taak al is vastgelegd, is een aanvullende leveringsovereenkomst niet nodig.
- Privacy en DPIA: Het CBS heeft een DPIA (Data Protection Impact Assessment) opgesteld. Hierin is de standaardwerkwijze rondom dataprivacy en de impact op personen en bedrijven beschreven.