Vragen van het lid Verhoeven (D66) aan de Ministers van Binnenlandse Zaken en Koninkrijkrelaties, van Defensie, van Justitie en Veiligheid, van Financiën, van Sociale Zaken en Werkgelegenheid, voor Rechtsbescherming, van Volksgezondheid, Welzijn en Sport en de Staatssecretarissen van Justitie en Veiligheid, van Infrastructuur en Waterstaat en van Economische Zaken en Klimaat over het naleven van de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG) bij (uitvoerings)instanties (ingezonden 18 februari 2021).

Antwoord van Staatssecretaris Knops (Binnenlandse Zaken en Koninkrijksrelaties), mede namens Minister van Defensie, Minister van Justitie en Veiligheid, Minister van Financiën, Minister van Sociale Zaken en Werkgelegenheid, Minister van Onderwijs, Cultuur en Wetenschap, Minister van Volksgezondheid, Welzijn en Sport, Minister voor Rechtsbescherming, Staatssecretaris van Infrastructuur en Waterstaat, Staatssecretaris van Justitie en Veiligheid en Staatssecretaris van Economische Zaken en Klimaat (ontvangen 21 juli 2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2016 en Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2263.

Vraag 1

Kent u het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers»? 1

Antwoord 1

Ja.

Vraag 2

Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers (COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV)? 2

Antwoord 2

Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.

Vraag 3

Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 3

De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers, inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei 2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien van de privacywetgeving in control op basis van een risicogerichte aanpak en weet wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen. Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3

DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te herijken op basis van interne en externe signalen. DUO werkt daarbij constructief samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces en het waarborgen van de rechten van betrokkenen.

Vraag 4

Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen (CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 4

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen. Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen rondom privacy.

In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking. Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie. Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking. Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd. Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder risicovol is, wordt deze getoetst aan de beginselen uit de AVG.

De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder medewerkers levend gehouden.

Vraag 5

Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 5

De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers, een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw Document Management Systeem en met de overgang van testfase naar het in productie nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen van de SVB.

De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd worden.

Vraag 6

Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 6

Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).

Vraag 7

Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 7

Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink het privacystatement gepubliceerd op zijn website.

Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het privacybeleid wordt daarnaast jaarlijks besproken met de directie.

Vraag 8

Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 8

De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.

De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.

Vraag 9

Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 9

De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk om de normen uit de AVG structureel en in overeenstemming met de governance in de bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen. De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.

Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021 afgerond, waarna ook alle technische maatregelen zijn afgerond.

Vraag 10

Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 10

Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers, justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt conform de Wet justitiële en strafvorderlijke gegevens.

Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren, acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie. In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn. Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit «klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd. Op die wijze wordt voldaan aan de vigerende privacywetgeving.

Vraag 11

Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens (RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 11

De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen, de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie persoonsgegevens BES en de AVG zelf.

Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie, monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces. Dit proces is eveneens cyclisch ingericht.

Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid. De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging Overheid en de AVG worden gesteld.

Vraag 12

Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 12

De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacygegevens (AVG).

De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn. In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces, samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.

Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen en opgevolgd worden om aan de AVG te blijven voldoen.

Vraag 13

Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 13

Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments (DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken met een complexe uitvoeringspraktijk.

Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen, maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie en justitie.

Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.

Vraag 14

Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 14

Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement (toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling van genoemde onderwerpen staat voor 2021 geagendeerd.

Vraag 15

Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 15

Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan. Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM en die inherent is aan het primaire proces van de strafrechtspleging (en de andere toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.

Vraag 16

Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 16

De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau (CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts op als verwerker.

De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is, geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.

Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.

Vraag 17

Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 17

De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming (AVG).

De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en de informatievoorziening ten behoeve van toezicht en opsporing.

De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register van de FIOD. Dit wordt op korte termijn aangepast.

Vraag 18

Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 18

Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.

Vraag 19

Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 19

Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de juridische afdeling behandeld.

De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel 35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op het in lijn zijn met de beginselen van de AVG.

De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd. Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces en zijn onderdeel van de rapportage- en monitoringcyclus.

Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving, het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.

Vraag 20

Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 20

De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.

In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG. Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het compliant zijn.

Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter- en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.

Vraag 21

Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 21

De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid. Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).

DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.

Vraag 22

Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 22

De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.

De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie, openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn, de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend met beschikbaarheid of juist afscherming daarvan.

Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.

Vraag 23

Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 23

De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend proces.

Vraag 24

Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 24

In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september 2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of veranderde wet- en regelgeving.

Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden. In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een wettelijke grondslag gecreëerd is.

Vraag 25

Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Antwoord 25

Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.

Vraag 26

Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Antwoord 26

Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door de zorginstellingen.

Vraag 27

Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Antwoord 27

Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving. De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door zorgverzekeraars.

Vraag 28

Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS) tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden (het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s), en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom niet?

Antwoord 28

Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens. Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel 82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.


X Noot
3

Zie de brief van de Minister voor Basis- en Voortgezet Onderwijs en Media d.d. 22 januari 2021 inzake de uitvoering van diverse aangenomen moties en toezeggingen voor met name het primair en voortgezet onderwijs, onder het kopje «Ontwikkelingen in de wetgeving omtrent het register onderwijsdeelnemers» (Kamerstukken II 2020/21, 31 293, nr. 573, p. 21–22).

X Noot
4

Zie de brief van de Staatssecretaris van Economische Zaken en Klimaat d.d. 5 december 2019 inzake het afschermen van het woonadres van natuurlijke personen bij ondernemingen zonder rechtspersoonlijkheid en adviezen Autoriteit Persoonsgegevens ten aanzien van het Handelsregister (Kamerstuk II 2019/20, 32 761, nr. 158).

Naar boven