Wie heeft er voor de medewerkers op de werkvloer een instructie/checklist/beslisboom om te bepalen of een document/informatie het label "vertrouwelijk" mee moet/mag krijgen ?

Het gaat hierbij om het zo vroeg mogelijk in het proces vastleggen van dit kenmerk, waarbij in de loop der tijd het label kan worden gewijzigd.

Tot nu toe komen wij zelf uit op:

- openbaar tenzij WOB art.10 van toepassing is (met een uitzondering volgens WOB art 11 voor milieu), waarbij in elk geval de privacy moet worden gewaarborgd (lees: weglakken van privacygevoelige gegevens). Openbaar is dan voor iedereen. Bij toepassing van de WOB is dat "vertrouwelijk".

- na overdracht geldt: openbaar, tenzij voorwaarden bij overbrenging zijn vastgelegd (dan is dat "beperkt openbaar").

Bij "vertrouwelijk" zien we in de praktijk: "toegang voor alle medewerkers" en "toegang voor een beperkte groep". Wie bepaalt dit en wat is dan de formele basis (besluit informatiebeheer ? ) ?

Namens het team Informatievoorziening Gelderse Omgevingsdiensten,

Jules Lauwerier

Weergaven: 748

Hierop reageren

Berichten in deze discussie

Juiste link gevonden met de handreiking dataclassificatie:

https://www.binnenlandsbestuur.nl/digitaal/kennispartners/kpn-lokal...

Yvonne,

dank voor je reacties. Het zijn teksten die vooral leunen op voorbeelden. In GEMMA en de BIR komen ook lijsten voor met dergelijke termen, maar de basis om iets als "vertrouwelijk" te bestempelen is o.i. juridisch mager: de WOB en Archiefwet beletten immers om veel als "vertrouwelijk" te markeren. We zijn daarom op zoek naar een eenvoudige instructie voor medewerkers die niet van persoonlijke voorkeur of gevoel afhankelijk is.

Ik vind dit ook een belangrijk item, Jules, en ik probeer ook al geruime tijd een antwoord te vinden op de vraag die je stelt. Met name om het zo vroeg mogelijk vast te (kunnen) leggen. En inderdaad 'Bij "vertrouwelijk" zien we in de praktijk: "toegang voor alle medewerkers" en "toegang voor een beperkte groep". Wie bepaalt dit en wat is dan de formele basis (besluit informatiebeheer ? )?': Ik heb nog nergens een dergelijk concreet besluit gevonden en het blijkt in de praktijk ook moeilijk vast te stellen.

Vanwege de privacy eisen zijn we (informatie/DIV) zelfs de vertrouwelijk heden verder gaan begrenzen, omdat bijvoorbeeld 'toegang voor alle medewerkers' volgens onze Privacyofficer disproportioneel is. Wel is het zo, dat de proceseigenaar (de teammanager) de vertrouwelijkheid bepaalt (Privacybeleid) en dat wij (informatie/DIV) slechts adviseren. Niet duidelijk, concreet genoeg, is de grond, maar als gevolg van de AVG bepaalt privacy veel.

Technisch zijn we nog niet voldoende in staat de vertrouwelijkheid met één druk op de knop vast te leggen en de privacy voldoende te beschermen én aan de openbaarheidseis te voldoen. De openbaarheid naar buiten de organisatie/vertrouwelijkheid binnen de organisatie vormen dus voorlopig nog een lastige knoop. Maatwerk en handwerk dus...

Laat ik het maar concreet stellen, AVG is Europese wetgeving en weegt daarom altijd zwaarder dan de WOB/Archiefwet, tenzij daar in de uitzonderingswet daar expliciet een uitzondering voor is benoemd, bijvoorbeeld artikel 89 UAVG.

Zie ook deze link website VNG.

Ik ben het geheel met Wim eens dat het lastig is om uit te voeren, ook voor statische archieven. voor de dilemma's waar wij voor staan, zou best wat meer praktische toepasbare instrumenten voor mogen komen.

Gegevensuitwisseling zonder wettelijke grondslag kan ook een probleem vormen, zie dit bericht over een gezamenlijk klantportaal in Limburg:

De Provincie Limburg, beide regionale uitvoeringsdiensten, de veiligheidsregio’s en 22 gemeenten in Limburg bundelen de krachten voor een gemeenschappelijke informatievoorziening voor Vergunningverlening, Toezicht en Handhaving.

https://sittard-geleen.nieuws.nl/nieuws/20181019/informatievoorzien...

Uiteraard blijven afspraken nodig wie verantwoordelijk is voor archivering, zeker bij gedecentraliseerde omgevingsdiensten.

Link naar website IBD over het houden van PIA's

https://www.informatiebeveiligingsdienst.nl/faq/wanneer-doe-ik-een-...

Volgens mij dwalen we af: privacybescherming is en blijft natuurlijk belangrijk, maar is geen reden voor vertrouwelijkheid. Privacygevoelig informatie in openbare stukken moet afgeschermd zijn (pseudonimiseren/anonimiseren). Dat doet niet af aan de vraag: wanneer is een stuk als "vertrouwelijk" aan te merken en wat is de basis om vertrouwelijkheid te beperken tot een bepaalde groep ?

Dat is niet zo, zeker niet door de gegevensuitwisseling bij omgevingsdiensten.

Yvonne, ik begrijp jouw laatste reactie niet. Privacybescherming is slechts 1 van de mogelijke redenen voor afscherming van (persoons)gegevens. De vraag draait om vertrouwelijkheid/openbaarheid van documenten. Dat zijn m.i. 2 verschillende zaken.

Vertrouwelijkheid/openbaarheid kan je niet los zien van de AVG wetgeving, lees ook deze blog:

https://www.cibit.nl/nl/blog/privacy-de-wettelijke-kaders-voor-de-v...

Ik denk dat we een beetje langs elkaar heen praten. Ik ben het met je eens Jules, zie ook mijn eerdere reactie. Ik denk dat een stuk vertrouwelijk kan zijn en dan is de inzage 'beperkt', maar een stuk kan openbaar zijn en dan komt de AVG en de privacybescherming (persoonsgegevens) om de hoek kijken. Vertrouwelijk heeft dan meer direct met de inhoud te maken, lijkt mij.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden