Overheid & de AVG
Overheidsorganisaties beschikken over grote hoeveelheden – vaak gevoelige – persoonsgegevens. Mensen zijn bovendien meestal verplicht om hun gegevens aan de overheid af te staan. Daarom moet iedereen erop kunnen vertrouwen dat u als overheidsorganisatie uiterst zorgvuldig met hun gegevens omgaat.
Dat betekent dat u bijvoorbeeld:
- altijd de juiste wettelijke basis nodig heeft om gegevens te verwerken, vooral als u gegevens uitwisselt;
- niet meer persoonsgegevens mag verwerken dan noodzakelijk;
- de gegevens goed moet beveiligen.
Deze verplichtingen zijn niet veranderd door de komst van de Algemene verordening gegevensbescherming (AVG). Maar de AVG heeft ook nieuwe verantwoordelijkheden met zich meegebracht.
Verplichtingen AVG
Sinds de AVG zijn er de volgende nieuwe verplichtingen:
Functionaris gegevensbescherming
Alle overheidsorganisaties moeten een functionaris gegevensbescherming (FG) hebben.
Data protection impact assessment (DPIA)
Wilt u gegevens gaan verwerken, maar levert dit een hoog privacyrisico op? Dan moet u eerst een data protection impact assessment (DPIA) doen.
Verantwoordingsplicht
U heeft een verantwoordingsplicht. Dit houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de AVG voldoen.
In de AVG staat een aantal verplichte maatregelen waarmee u aan uw verantwoordingsplicht voldoet, waaronder:
- Verwerkingsregister
U bent vrijwel altijd verplicht om een verwerkingsregister op te stellen. - Privacybeleid
U kunt verplicht zijn om een privacybeleid op te stellen. Dit hangt af van welke soort gegevens uw organisatie verwerkt en op welke schaal. - Datalekregister
U moet een datalekregister bijhouden. Hierin registreert u alle datalekken die zich in uw organisatie hebben voorgedaan. Ook de datalekken die u niet hoeft te melden.
Archivering & de AVG
Als overheidsorganisatie bent u op grond van de Archiefwet verplicht om bepaalde informatie blijvend te bewaren. In deze informatie staan vaak persoonsgegevens. Daarom heeft u ook te maken met de AVG. Zie verder: Archivering door de overheid.
Meer informatie over de overheid
Niet gevonden wat u zocht? Kijk ook eens bij:
Bekijk binnen het onderwerp Overheid & de AVG
Nieuws
-
Nieuwsbericht / 17 augustus 2020AP: Privacy gebruikers corona-app nog onvoldoende gewaarborgd
-
Nieuwsbericht / 20 april 2020AP: privacy corona-apps niet aangetoond
-
Nieuwsbericht / 17 april 2020AP toetst opzet corona-apps
Alle antwoorden op mijn vragenVragen van de overheid over de AVG
-
Kan ik als gemeente, waterschap of provincie één FG aanmelden voor meerdere bestuursorganen?
Ja, dat kan. U kunt één aanmelding doen bij de Autoriteit Persoonsgegevens (AP).
U hoeft dus niet meerdere aanmeldformulieren in te vullen voor elk bestuursorgaan binnen uw gemeente, waterschap of provincie waarvoor u een functionaris gegevensbescherming (FG) wilt aanmelden.
Het moet wel duidelijk zijn voor welke bestuursorganen u de FG aanmeldt. Dit kunt u aangeven in het toelichtingenveld in het aanmeldformulier.
Zonder toelichting gaat de AP ervan uit dat u de FG aanmeldt voor alle bestuursorganen binnen uw gemeente, waterschap of provincie.
-
Kan ik als gemeente, waterschap of provincie één melding doen als een datalek meerdere bestuursorganen treft?
Ja, dat kan. Is er een datalek dat meerdere bestuursorganen treft binnen dezelfde gemeente, hetzelfde waterschap of dezelfde provincie? Dan kunt u één datalek melden namens de hele gemeente, het hele waterschap of de hele provincie.
Het is niet nodig om voor elk getroffen bestuursorgaan een apart formulier in te vullen.
-
Kan ik als gemeente, waterschap of provincie de verwerkingen van meerdere bestuursorganen opnemen in één verwerkingsregister?
Ja, dat kan. Het staat bestuursorganen vrij om gezamenlijk één verwerkingsregister op te stellen.
Wel moet uit het verwerkingsregister duidelijk blijken welk bestuursorgaan de verwerkingsverantwoordelijke is (dat kunnen er ook meerdere zijn) voor welke gegevensverwerking.
Publicaties
- Rapport / 20 april 2020DownloadenPDFOnderzoek corona-apps
- Wetgevingsadvies / 2 december 2020DownloadenPDFAdvies Wet aanwijzing rechtspersoon wettelijke taak internationalisering