De rechtbank concludeert dat verweerder met de doorzending van de persoonsgegevens van eiser, de beginselen van proportionaliteit en subsidiariteit heeft geschonden en dat niet uitgesloten kan worden geacht dat verweerder vaker persoonsgegevens van eiser heeft verwerkt.

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBOVE:2...

http://www.breednetwerk.nl/profiles/blogs/rondetafelgesprek-avg-en-...

http://www.breednetwerk.nl/profiles/blogs/standaard-verwerkersovere...

http://www.breednetwerk.nl/forum/topics/anoniem-digitaliseren-ervar...

Let ook op met het gebruik van vensterenveloppen en AVG:

http://m.binnenlandsbestuur.nl/nieuws/zwolle-de-fout-in-met-envelop...

Honderden Amerikaanse sites weren EU-burgers

http://www.breednetwerk.nl/profiles/blogs/sluit-je-aan-bij-het-pion...

Downtime kost Drechtstedengemeenten half miljoen euro

https://www.computable.nl/artikel/nieuws/ict-branche/6422162/250449...

In deze interactieve cursus staat de Algemene Verordening Gegevensbescherming (AVG) centraal. Wat zijn de veranderingen ten opzichte van de huidige Wbp en welke nieuwe aspecten vragen om aandacht? In mei 2018 dienen alle overheidsorganisaties een functionaris voor de gegevensbescherming (FG) te hebben aangesteld en moeten alle verwerkingen in kaart zijn gebracht en procedures op orde zijn. Ter ondersteuning van de in voering van de AVG biedt de VNG Academie volledige en direct in de praktijk toepasbare kennis op het gebied van privacy en gegevensbescherming in deze tweedaagse interactieve cursus. Naast de documentatieplicht komen ook onderwerpen aan de orde zoals de rechten van de betrokkenen, uitwisseling van persoonsgegevens, bewerkersovereenkomst, PIA, privacyverklaring, privacy by design, meldplicht datalekken en inzicht over de rol en positie van een FG binnen een organisatie. Daarbij wordt niet alleen ingegaan op de relatie tussen de onderwerpen maar ook op de toepassing met behulp van plan van aanpak in de eigen gemeente.

https://www.vngacademie.nl/training/Cursus-Europese-Algemene-Verord...

Geheimhouding binnen de gemeente

Nog 50 werkdagen om te voldoen aan de eIDAS-verordening

Nieuws 27 juli 2018

Biedt u dienstverlening aan via DigiD of eHerkenning? Dan dient uw organisatie te voldoen aan de Europese eIDAS-verordening. En heeft u nog 50 werkdagen om uw dienstverlening gereed te maken voor Europese gebruikers.

https://www.digitaleoverheid.nl/nieuws/nog-50-werkdagen-om-te-voldo...

Is er eindelijk een standaard IBD verwerkersovereenkomst, wordt die zwak genoemd.

IBD presenteert zwak verwerkerscontract

https://www.securityvandaag.nl/article/item/informatiebeveiligingsd...

Digitalisering en auteursrecht

https://www.dohmenadvocaten.nl/Voet-Erfgoed-Leiden-auteursrecht-dig...

http://www.breednetwerk.nl/video/digitalisering-en-democratie

Het inzagerecht uit het privacyrecht wordt steeds meer gebruikt. En dat is ook wel logisch; het is een makkelijke manier om bewijs te verzamelen. Of er werkelijk veel burgers zijn die uit louter interesse hun gegevens opvragen waag ik te betwijfelen. De paradox is echter: zodra de verzoeker eerlijk vermeldt dat het om bewijsverzameling te doen is, moet (althans mag) het inzageverzoek worden afgewezen. Hoe zit dat? In deze blog leg ik dit kort uit.

https://www.dirkzwager.nl/kennis/artikelen/een-privacyparadox-waaro...

Europees parlementariër en kandidaat-lijsttrekker D66 Europa Marietje Schaake vindt dat er meer nodig is dan een maatschappelijk debat of ethische overwegingen om de impact van technologie te kaderen. Zij wil wettelijke toetsen op de algoritmen die ons leven bepalen.

Schaake haalt in haar opinie een aantal keren China aan, waar apps massaal data verzamelen en die gebruiken om mensen op basis van gedrag scores te geven. Ze waarschuwt dat wat er in China gebeurt geen ver-van-ons-bedshow is. Want we weten niet of er weinig of te veel offline wordt gehaald zonder dat we algoritmen kunnen controleren.

https://www.agconnect.nl/artikel/d66er-schaake-wil-algoritmes-wette...

Deelt u de mening dat we totaal doorslaan met het beschermen van persoonsgegevens, op het moment dat scholen de namen van hun leerlingen niet eens meer mogen publiceren bij zo’n feestelijke mijlpaal als het behalen van een eindexamen?

Ik heb er begrip voor dat scholen in eerste instantie moeten wennen aan het naleven van de nieuwe AVG-regels, die soms ver strekken. De AVG beoogt bepaalde fundamentele waarden in onze samenleving te beschermen, zoals de privacy van kinderen. Dat belang kan botsen met andere belangen, zoals de wens van scholen om hun geslaagde leerlingen te feliciteren en in het zonnetje te zetten. De AVG maakt hen dat ook niet onmogelijk. Wel geldt er een belangrijke voorwaarde: zij hebben daarvoor toestemming nodig. Als leerlingen niet genoemd willen worden, kunnen zij ook ‘nee’ zeggen. Ik begrijp dat dit voor scholen een extra administratieve last met zich brengt.

https://www.rijksoverheid.nl/documenten/kamerstukken/2018/08/17/ant...

AVG proof dankzij een spelletje in Den Haag, schijnt echt een aanrader te zijn.

http://publicatie.da2020.nl/magazine-juli-2018/intro/

Meer dan 220 gemeenten doen mee aan GGI-Veilig

Memorie van Antwoord wetsvoorstel Wet beveiliging netwerk- en informatiesystemen

https://vng.us5.list-manage.com/track/click?u=1cab247ff6b2157eacb12...

Recht op inzage eigen personeelsdossier

Rechter: AVG is van toepassing op het personeelsdossier

Voor als er nog twijfels over bestonden, heeft de rechter op 25 juli 2018 (gepubliceerd op 13 augustus 2018) geoordeeld dat een werknemer op grond van de AVG recht heeft op inzage in zijn personeelsdossier.

De werknemer, die op 11 februari 2002 in dienst is getreden, heeft zich op 5 maart 2018 ziekgemeld. Nog geen twee maanden later informeerde de werkgever hem dat hij de auto en telefoon die hij heeft gekregen (geleend), op grond van zijn arbeidsovereenkomst dient terug te geven. De werkgever heeft de auto dringend nodig en de werknemer heeft deze, vanwege zijn arbeidsongeschiktheid, niet meer nodig voor zijn werkzaamheden, aldus de werkgever. Dit heeft de werknemer niet gedaan, waarop de werkgever de kosten voor het huren van een vervangende auto heeft ingehouden op het salaris.

Op grond van de AVG vordert de werknemer om afgifte van (een kopie van) zijn volledige personeelsdossier. De vraag in deze zaak is of de AVG van toepassing is op het bijhouden van een personeelsdossier en dienovereenkomstig op het verzoek tot inzage in het personeelsdossier.

De AVG is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Niet duidelijk is of het personeelsdossier van de werknemer in kwestie geautomatiseerd wordt verwerkt, bijvoorbeeld in een online-database of op de computer opgeslagen documenten. Wanneer dat het geval is, valt het personeelsdossier onder de AVG.

https://www.solv.nl/weblog/rechter-avg-is-van-toepassing-op-het-per...

http://www.breednetwerk.nl/profiles/blogs/nieuw-handreiking-ibd-int...

https://www.linkedin.com/pulse/de-vraagtekens-rondom-blockchain-en-...

http://www.breednetwerk.nl/video/i-visie-amsterdam

Onzalig wetsvoorstel om grootschalig burgerdata tussen overheidsorganen en private partijen uit te wisselen

http://www.zorgictzorgen.nl/onzalig-wetsvoorstel-om-grootschalig-bu...

http://www.breednetwerk.nl/video/de-informatiebeveiligingsdienst-ib...

http://m.binnenlandsbestuur.nl/nieuws/beveiliging-vertrouwelijke-ge...

Verttriuwelijk gegevens provincie niet veilig

Geen twijfel meer mogelijk, de AVG is ook op het personeelsdossier van toepassing zo oordeelde kantonrechter op 25 juli 2018. Dit betekent dat de werknemer inzage in zijn personeelsdossier en afgifte van een kopie daarvan kan vorderen. Voldoet u, in strijd met de AVG, niet aan dit verzoek dan riskeert u als werkgever een rechtszaak (aangespannen door de werknemer) en een boete door de AP. http://bit.ly/2NmLhjg

http://www.breednetwerk.nl/profiles/blogs/go-cursus-grip-op-ongedee...

Let’s face it, complying with GDPR is a problem for most organisations due to non-existent or poor recordkeeping practices. Cheap electronic storage, databases and search tools have made records classification and life-cycle management a thing of the past. Due to the lack of records management procedures, personal data is never routinely deleted as part of business processes. Over-retention of personal data is the norm, and the ‘right of erasure’, as provided for by GDPR Art. 17, is proving difficult to apply. We’ve forgotten what records we have, which processes use them and why. This also makes it very difficult to implement another GDPR requirement, the Register of Processing Operations (Art. 30), which requires, among other attributes, a name and purpose for each processing operation that uses personal data, and a ‘time-limit for storing’ this information.

https://www.linkedin.com/pulse/records-management-pre-requisite-gdp...

Geen gebruik BSN nummers leerlingenvervoer

https://vng.nl/onderwerpenindex/onderwijs/leerlingenvervoer%20/nieu...

Zwolle aan de slag met hiaten in digitale beveiliging

De manier waarop de gemeente Zwolle vorig jaar is omgegaan met de beveiliging van digitale informatiesystemen, was onder de maat. Dit kwam deels door ziekte en werkdruk. De lokale overheid werkt aan een verbeterplan, maar verzekert dat gegevens van burgers en bedrijven niet in gevaar zijn geweest.

https://www.destentor.nl/zwolle/zwolle-aan-de-slag-met-hiaten-in-di...

https://www.vngrealisatie.nl/nieuws/draag-bij-aan-het-aanscherpen-v...

Column: eIDAS-verordening

https://informatiebeveiliging-gemeenten.nl/download/column-eidas-ve...

Privacy en data

Privacy en onderzoek

Hoe ga je om met privacy en onderzoek? Drie referentiekaarten brengen kort en helder het waarom, wat en hoe van privacy en onderzoek in beeld. Ook heeft de EUR een 'informed consent'-formulier voor landelijk gebruik opgesteld. Bij onderzoek met privacygevoelige data is het belangrijk dat dit vooraf wordt ingevuld.

Kun je in een verwerkersovereenkomst afspraken maken over je aansprakelijkheid?

Het beroep van FG bestaat zo’n twintig jaar en is een betrekkelijk nieuw beroep. Om een bijdrage te leveren aan de verdere professionalisering van de functie, heeft het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) een enquête ontwikkeld, waar we graag uw aandacht voor vragen.

Achtergrond

De AVG stelt dat de FG wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 39 AVG genoemde taken te vervullen.

Om na te gaan hoe in de praktijk de invulling van de functie van FG vorm krijgt, heeft het CIP een enquête opgesteld waarmee het een beeld wil opbouwen over vragen als: hoe ervaren FG’s hun eigen werk en hun positionering in de organisatie, welke opleidingen zij hebben gedaan, wat achten ze nodig om hun functie effectief te vervullen, etc.

De bevindingen kunnen bijvoorbeeld mede gebruikt worden bij het ontwikkelen van nadere eisen aan de functie zelf, aan opleidingen, etc.

Wilt u meedoen?

Graag nodigen wij u uit om de enquête in te vullen. Zou u dat willen doen vóór 15 september? De enquête is anoniem en neemt ongeveer 20 minuten in beslag.

Ga naar de enquête en lever uw bijdrage.

ChristenUnie en SGP in Staphorst vinden het jammer dat de burgerlijke stand niet meer in de krant verschijnt door de Privacywet. Ze vragen of het college het besluit wil heroverwegen.

Dat gaat de gemeente doen, maar de kans dat de stukjes met huwelijken, geboortes en sterfgevallen weer in de kranten komen, is niet zo groot. Dat heeft burgemeester Theo Segers van Staphorst gezegd.

Staphorst is onlangs gestopt met de informatieverstrekking. Reden is de Algemene Verordening Gegevensbescherming, kortweg AVG. Gemeenten moeten toestemming vragen aan burgers of ze die gegevens mogen publiceren. Dat ligt juridisch lastig en dus stopte Staphorst ermee, na tientallen jaren. Overigens was Staphorst een van de weinige gemeenten in Nederland die deze gegevens liet publiceren. Meppel doet het nog wel. Gemeenten worstelen met de nieuwe privacywet. In Staphorst zijn vier ambtenaren dagelijks bezig met die AVG.

https://www.meppelercourant.nl/nieuws/staphorst/552526/gemeente-sta...

http://www.breednetwerk.nl/profiles/blogs/een-spaghetti-aan-koppeli...

Privacy Regiobijeenkomsten VNG

https://viag.nl/nieuws/2018/09/20/privacy-regiobijeenkomsten

Checklist Data Privacy Impact Analyse

Gemeenten zitten regelmatig met de vraag voor welke verwerkingen een data protection impact assessment (DPIA) uitgevoerd moet worden en wanneer. In artikel 35 (Gegevensbeschermingseffectbeoordeling) van de AVG staat beschreven wanneer een DPIA uitgevoerd moet worden. Om meer duiding aan de eisen uit artikel 35 te geven heeft de werkgroep van Europese privacytoezichthouders (WP29) aanvullende kaders opgesteld die ook op de site van de Autoriteit Persoonsgegevens (AP) gepubliceerd staan. De checklist is van deze kaders afgeleid en dient als handreiking om te bepalen wanneer het verplicht is een DPIA uit te voeren.

U kunt de checklist downloaden op de privacy website van VNG Realisatie (versie 1.1 – lijst van AP met verwerkingen opgenomen waarvoor DPIA verplicht is)

Nijmegenaren testen app voor ‘digitale identiteit’

Sjoerd Hartholt 28 sep 2018 reacties" class="number number-of-comments""> Reageer

Een groep inwoners van de gemeente Nijmegen krijgt met een app de mogelijkheid om hun gegevens uit de basisregistratie personen op te vragen en deze te gebruiken voor hun ‘digitale identiteit’ in de app IRMA (I Reveal My Attributes). Met IRMA zijn de diverse gebruikersprofielen voor websites en apps niet meer nodig.

https://www.binnenlandsbestuur.nl/digitaal/nieuws/nijmegenaren-test...

https://www.informatiebeveiligingsdienst.nl/nieuws/alert-online-voo...

'De eerste AVG-boetes worden voor het einde van 2018 opgelegd'

Het BSN verwerken onder de AVG; wat mag wel en niet?

• 27 september 2018
• Renco Schoemaker
• blogs, informatiebeveiliging, privacy

Iedere Nederlander heeft er één. Het unieke nummer dat als reeks van negen cijfers op jouw paspoort, identiteitskaart en rijbewijs staat, ofwel jouw Burgerservicenummer (BSN). Binnen gemeenteland wordt het BSN veelvuldig gebruikt. Toch is niet voor iedereen binnen de gemeente duidelijk wanneer en op welke wijze je het BSN mag gebruiken. Daarom wil ik in deze blog ingaan op een viertal vragen die ik in de praktijk vaak voorbij hoor komen. Wat mag wel en belangrijker, wat mag niet?

https://informatiebeveiliging-gemeenten.nl/2018/09/het-bsn-verwerke...

http://www.breednetwerk.nl/profiles/blogs/de-ontwikkeling-van-de-bl...

kamerbrief-met-reactie-op-initiatiefnota-online-identiteit-en-regie...

Elke burger heeft een unieke identiteit in de vorm van het BSN, dat overheid-breed verplicht wordt gebruikt;