Stap 5 en 6: datastromen en afspraken met externen vastleggen

Iedere organisatie moet de komende maanden concrete stappen zetten om aan de eisen van de Algemene Verordening Gegevensbescherming te voldoen. Nog niet begonnen? Of al in het proces maar behoefte aan een checklist? Jouw Gemeente Mijn Gemeente wijst de weg met dit stappenplan: The Road to… Algemene Verordening Gegevensbescherming. In dit blog stap 5 en 6: datastromen en afspraken met externen vastleggen.

  • Stap 1: stel een Functionaris Gegevensbescherming aan.
  • Stap 2: zorg voor een kennisbasis over beleid en protocol.
  • Stap 3: bewustwording binnen de organisatie.
  • Stap 4: start met een Privacy Impact Assesment.
  • Stap 5: leg datastromen vast in modellen en processen.
  • Stap 6: maak afspraken met externe verwerkers.
  • Stap 7: 24/7 letten op datalekken en processen maken.
  • Stap 8: informeer en krijg zo de beslissers mee.
  • Stap 9: informeer de burgers.
  • Stap 10: begin weer bij stap 2.

Stap 5: leg datastromen vast in modellen.
Het voelt heel natuurlijk om het vastleggen van datastromen als één van de allereerste stappen te zien. Maar uit de praktijk blijkt dat veel stromen in grote lijnen al zijn gedocumenteerd, door bijvoorbeeld de gemeentelijk gegevensbeheerder. Een PIA zorgt ervoor dat je ook goed weet hoe alles binnen een gemeente loopt. Het vastleggen van deze stromen in modellen blijft natuurlijk wel essentieel.

Tip: begin bij de start van een registratie en werk vanuit daar verder met de informatie die er al is en uit de PIA is verkregen. Het is goed om te kijken naar de GEMMA informatiearchitectuur. Deze is leidend en door deze als basis te gebruiken vallen al veel dingen op zijn plek. De GEMMA informatiearchitectuur is te vinden op de website van KING.

Download het complete stappenplan ‘The Road to… Algemene Verordening Gegevensbescherming’ met nog meer handige tips en links.

Stap 6: maak afspraken met externe verwerkers.
Externe verwerkers zijn er in alle soorten in maten. In deze stap gaan we in op de drie belangrijkste soorten verwerkers: huidige verwerkers, nieuwe verwerkers en organisaties die dossiers geleverd krijgen van de gemeente.

Voor nieuwe verwerkers is het simpel: kijk op de website van IBD gemeenten wat aan een overeenkomst moet worden toegevoegd en doe dit bij alle nieuwe overeenkomsten.

Bij huidige verwerkers kunnen twee dingen aan de hand zijn: privacy is al onderdeel van de overeenkomst óf dat is het niet. In het eerste geval is een kwestie van controleren of de overeenkomst genoeg voldoet. Zorg er wel voor dat je de overeenkomsten ziet.

In het laatste geval, er is geen overeenkomst, is het goed om dit kort te sluiten met de verwerker. De GebruikersVereniging van PinkRoccade Local Government heeft een standaard overeenkomst gemaakt. Deze kan worden gebruikt om andere overeenkomsten te toetsen. Meer daarover kan via de volgende link worden gelezen.

Dan zijn er nog de organisaties die voor de uitvoer van hun taken afhankelijk zijn van gemeentelijke informatie. Denk dan aan organisaties die actief zijn binnen het Sociale Domein zoals het Jeugdbeschermingsbureau. Het is daarin de vraag wie eigenaar is van de informatie. Bij de meeste gemeenten is afgesproken dat dit soort organisaties de dossiers en informatie aangeleverd krijgen. Daarna houdt de verantwoordelijkheid van de gemeente op. Wees hier ook richting burgers open en helder over: leveren wij jouw dossier bij dit soort organisaties, dragen we de verantwoordelijkheid ook over.

Download het complete stappenplan ‘The Road to… Algemene Verordening Gegevensbescherming’ met nog meer handige tips en links.