| Ingediend | 18 februari 2021 |
|---|---|
| Beantwoord | 21 juli 2021 (na 153 dagen) |
| Indiener | Kees Verhoeven (D66) |
| Beantwoord door | Ank Bijleveld (minister defensie) (CDA), Wouter Koolmees (minister sociale zaken en werkgelegenheid, viceminister-president ) (D66), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD), Stientje van Veldhoven (staatssecretaris infrastructuur en waterstaat) (D66), Wopke Hoekstra (minister financiën) (CDA), Ankie Broekers-Knol (staatssecretaris justitie en veiligheid) (VVD), Mona Keijzer (staatssecretaris economische zaken) (CDA), Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA), Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | economie europese zaken ict internationaal |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z03370.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-3642.html |
Ja.
Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.
De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers, inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei 2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien van de privacywetgeving in control op basis van een risicogerichte aanpak en weet wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen. Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3
DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te herijken op basis van interne en externe signalen. DUO werkt daarbij constructief samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces en het waarborgen van de rechten van betrokkenen.
Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen. Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen rondom privacy.
In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking. Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie. Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking. Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd. Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder risicovol is, wordt deze getoetst aan de beginselen uit de AVG.
De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder medewerkers levend gehouden.
De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers, een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw Document Management Systeem en met de overgang van testfase naar het in productie nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen van de SVB.
De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd worden.
Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).
Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink het privacystatement gepubliceerd op zijn website.
Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het privacybeleid wordt daarnaast jaarlijks besproken met de directie.
De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.
De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.
De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk om de normen uit de AVG structureel en in overeenstemming met de governance in de bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen. De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.
Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021 afgerond, waarna ook alle technische maatregelen zijn afgerond.
Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers, justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt conform de Wet justitiële en strafvorderlijke gegevens.
Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren, acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie. In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn. Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit «klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd. Op die wijze wordt voldaan aan de vigerende privacywetgeving.
De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen, de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie persoonsgegevens BES en de AVG zelf.
Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie, monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces. Dit proces is eveneens cyclisch ingericht.
Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid. De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging Overheid en de AVG worden gesteld.
De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacygegevens (AVG).
De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn. In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces, samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.
Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen en opgevolgd worden om aan de AVG te blijven voldoen.
Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments (DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken met een complexe uitvoeringspraktijk.
Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen, maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie en justitie.
Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.
Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement (toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling van genoemde onderwerpen staat voor 2021 geagendeerd.
Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan. Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM en die inherent is aan het primaire proces van de strafrechtspleging (en de andere toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.
De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau (CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts op als verwerker.
De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is, geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.
Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.
De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming (AVG).
De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en de informatievoorziening ten behoeve van toezicht en opsporing.
De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register van de FIOD. Dit wordt op korte termijn aangepast.
Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.
Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de juridische afdeling behandeld.
De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel 35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op het in lijn zijn met de beginselen van de AVG.
De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd. Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces en zijn onderdeel van de rapportage- en monitoringcyclus.
Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving, het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.
De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.
In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG. Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het compliant zijn.
Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter- en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.
De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid. Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).
DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.
De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.
De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie, openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn, de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend met beschikbaarheid of juist afscherming daarvan.
Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.
De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend proces.
In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september 2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of veranderde wet- en regelgeving.
Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden. In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een wettelijke grondslag gecreëerd is.
Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.
Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door de zorginstellingen.
Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving. De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door zorgverzekeraars.
Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens. Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel 82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.
Op 16 maart 2021 deelde ik uw Kamer mede dat het niet lukte om de aan mij en de Ministers van Defensie, Justitie en Veiligheid, Financiën, Sociale Zaken en Werkgelegenheid, Volksgezondheid, Welzijn en Sport en de Staatssecretarissen van Justitie en Veiligheid, Infrastructuur en Waterstaat, Economische Zaken en Klimaat gestelde vragen van het lid Verhoeven D66 over het naleven van de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG) bij (uitvoerings)instanties (ingezonden op 18 februari 2021, met kenmerk 2021Z03370), binnen de termijn van drie weken te beantwoorden. Helaas moet ik u mededelen dat een zorgvuldige beantwoording van de vragen nog wat tijd vergt. De reden hiervan is dat de aard van de vragen met zich brengt dat informatie moet worden verzameld bij alle genoemde (uitvoerings)instanties. Daarnaast is voor de benodigde afstemming met betrokken overheden meer tijd nodig. Dit laat onverlet dat ik zo spoedig mogelijk u de antwoorden op de Kamervragen zal doen toekomen.
Hierbij deel ik u mede dat de aan mij en de Ministers van Defensie, Justitie en Veiligheid, Financiën, Sociale Zaken en Werkgelegenheid, Volksgezondheid, Welzijn en Sport en de |Staatssecretarissen van Justitie en Veiligheid, Infrastructuur en Waterstaat, Economische Zaken en Klimaat gestelde vragen van het lid Verhoeven D66 over het naleven van de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG) bij (uitvoerings)instanties (ingezonden op 18 februari 2021, met kenmerk 2021Z03370), niet binnen de termijn van drie weken kunnen worden beantwoord. Voor een zorgvuldige beantwoording van de vragen is meer tijd nodig vanwege de benodigde afstemming met de betrokken overheden. Zo spoedig mogelijk zal ik u de antwoorden op de Kamervragen doen toekomen.