Kwaliteit van bestuurVragen

Antwoorden – Is Amersfoort klaar voor de nieuwe privacy wetgeving?

Gemeente Amersfoort

BEANTWOORDING SCHRIFTELIJKE RAADSVRAGEN

Reglement van orde van de raad (artikel 43)

Docs.nr 5788608

Nr. 2018 – 037

Vragen van raadslid Hans van Wegen en Ralph Langendam van BPA over “Is Amersfoort klaar voor de nieuwe AVG privacywetgeving?”,

conform Reglement van orde van de raad, ontvangen 14 mei 2018.

ANTWOORD van het college dd. 5 juni 2018

TOELICHTING door fractie: zie die toelichting van BPA bij de schriftelijke vragen.

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) is een Europese verordening (dus met rechtstreekse werking) die gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van Europese staatsburgers en betreffende het vrije verkeer van die gegevens’. Deze nieuwe verordening geldt wereldwijd voor alle ondernemingen en organisaties die persoonsgegevens bijhouden en verwerken van Europese staatsburgers, onafhankelijk of er al dan niet betaald wordt voor diensten of producten. In het Engels heet de AVG General Data Protection Regulation (GDPR). De verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt.

De volledige AVG-wettekst is hier te vinden:

http://eur-lex.europa.eu/legalcontent/NL/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=NL

De e-privacyverordening is een voorstel voor een Europese verordening. De volledige naam is de “VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)”. Het is de bedoeling de huidige e-privacyrichtlijn (Richtlijn 2002/58/EG) in te trekken en te vervangen door de e-privacyverordening, die beter zou moeten zijn aangepast op de nieuwe technologische realiteit. Deze aanpassingen bevatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten. Het idee is om de verordening vóór 25 mei 2018 (wanneer de controles op naleving van de algemene verordening gegevensbescherming van 2016 starten) aangenomen te hebben, om zo burgers, bedrijven en instellingen een consistent wettelijk kader bieden. De volledige tekst van de voorgenomen richtlijn is hier te vinden:

http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42691

VRAGEN AAN & ANTWOORDEN VAN HET COLLEGE

Afgestemd portefeuillehouder(s): Bolsius/ Tigelaar INLEIDING DOOR HET COLLEGE (facultatief)

De Raad is in juni 2017 en december 2017 met een raadsinformatiebrief uitvoerig geïnformeerd over de stand van zaken van de implementatie van de Algemene Verordening Gegevensbescherming (AVG). De laatste raadsinformatiebrief bevatte een tussenevaluatie, welke tijdens de Ronde in januari en februari door de Functionaris Gegevensbescherming (FG) is toegelicht.

Destijds is afgesproken dat uw Raad in juni 2018 wederom geïnformeerd zal worden door middel van een raadsinformatiebrief over de stand (per 25 mei 2018) van de implementatie van de AVG. Deze raadsinformatiebrief is in voorbereiding en zal meer gedetailleerde informatie bevatten.

Vraag 1:

Is het College op de hoogte van de informatie, zoals genoemd in de BPA toelichting hieronder?

Antwoord 1:

Ja, de verstrekte informatie is bekend bij het College.

Vraag 2:

In hoeverre is, volgens het College, de bedrijfsvoering van de gemeente Amersfoort reeds in overeenstemming gebracht met de AVG?

Antwoord 2:

Per 25 mei 2018 is de gemeentelijke organisatie met concrete producten (privacyverklaring, verwerkersovereenkomsten e.d.), werkprocessen en een privacy-governancestructuur ingericht om conform de AVG te kunnen werken. Een aantal onderdelen worden nog nader uitgewerkt, verder geïmplementeerd en/of geoptimaliseerd. De eerste ervaringen in den lande laten zien dat het doorleven van de AVG een doorlopend proces van continu leren, ontwikkelen, uitvoeren en optimaliseren. De FG zal hierop toezien en komt regelmatig met haar bevindingen.

Daarbij komen er regelmatig nieuwe richtlijnen van de Autoriteit Persoonsgegevens (AP) die aanleiding kunnen zijn voor bijstellen. Hetzelfde geldt voor aanbevelingen die de FG doet. Ook eventuele handhaving in 2019 door de AP zal hoogstwaarschijnlijk weer tot nieuwe richtlijnen en inzichten leiden die aanpassing en bijstelling van de inrichting vergen.

Vraag 3:

In hoeverre is, volgens het College, de bedrijfsvoering van de verbonden partijen van de gemeente Amersfoort reeds in overeenstemming gebracht met de AVG?

Antwoord 3:

Hoewel partijen een eigen verantwoordelijkheid hebben en wij daarom geen exact beeld van hun implementatie hebben, blijft het werken conform de AVG momenteel een belangrijk onderdeel van de samenwerking en aandachtspunt in gesprekken. Ook deze partijen zijn doordrongen van het feit dat ze moeten werken conform de AVG. In samenwerkingsrelaties is het belangrijk om de rollen en wijze van verwerking van gegevens te duiden. Wij doen dit middels het afsluiten van bewerkersovereenkomsten.

De FG zal hierin een adviserende rol blijven spelen richting het College. Het College zal het gesprek met de verbonden partijen en subsidienten hierover blijven voeren.

Vraag 4:

In hoeverre is, volgens het College, de bedrijfsvoering van de subsidiënten van de gemeente Amersfoort reeds in overeenstemming gebracht met de AVG?

Antwoord 4:

Zie antwoord 3.

Vraag 5:

Voor iedere partij onder 2, 3 en 4 heeft BPA nog de volgende drie vragen voor het College:

Zijn zij hiermee op tijd klaar voor de deadline van 25 mei 2018?

En zo nee,

  1. Op welke onderdelen van de AVG schort het bij deze partij aan de implementatie?
  1. Welke consequenties heeft dit niet tijdig gereed zijn van deze partij voor de gemeente Amersfoort?

Antwoord 5:

Zie antwoord 2, 3 en 4

Vraag 6:

Vooruitlopend op het feit dat deze schriftelijke BPA vragen waarschijnlijk pas na 25 mei 2018 door het College van een antwoord zullen worden voorzien vragen wij ons eveneens af in hoeverre de situatie, volgens het College, veranderd is na de deadline van 25 mei 2018.

Antwoord 6:

Er is geanticipeerd op de datum van 25 mei 2018 waarop de AVG van toepassing wordt en de organisatie is ingericht om te kunnen werken conform de AVG.

De gemeente is voortdurend bezig om de inrichting en uitwerking van de AVG verder te optimaliseren. In dat opzicht verandert de situatie voor en na 25 mei 2015 voortdurend en is het een doorlopend proces van continu leren, ontwikkelen, uitvoeren en optimaliseren.

Vraag 7:

Vooruitlopend op het EU-voorstel de nieuwe e-privacyverordening als les specialis de AVG te laten vergezellen wil de BPA, van het College weten hoe ver de gemeente Amersfoort reeds is, met de implementatie van deze verordening.

Antwoord 7:

De Europese Commissie had bij publicatie van het eerste voorstel als streven de e-privacyverordening (ePV) gelijktijdig met de AVG (op 25 mei 2018) in werking te laten treden. Deze deadline is niet gehaald. Over de definitieve uitwerking van de ePV blijkt nog flink te worden onderhandeld. De huidige verwachting is dat de ePV pas in 2019 kan worden vastgesteld.

De gemeente Amersfoort zal de ontwikkeling omtrent de ePV blijven volgen.

Inlichtingen bij:

Afd. Programma’s & Projecten / programma Privacy & Informatiebeveiliging, Jan Wiss tel 033-469 5586