Antwoord schriftelijke vragen : Antwoord op vragen van het lid Verhoeven over het naleven van de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG) bij (uitvoerings)instanties

Antwoord van Staatssecretaris Knops (Binnenlandse Zaken en Koninkrijksrelaties), mede
namens Minister van Defensie, Minister van Justitie en Veiligheid, Minister van Financiën,
Minister van Sociale Zaken en Werkgelegenheid, Minister van Onderwijs, Cultuur en
Wetenschap, Minister van Volksgezondheid, Welzijn en Sport, Minister voor Rechtsbescherming,
Staatssecretaris van Infrastructuur en Waterstaat, Staatssecretaris van Justitie en
Veiligheid en Staatssecretaris van Economische Zaken en Klimaat (ontvangen 21 juli
2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2016 en Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2263.

Vraag 1

Kent u het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische
dossiers»? 1

Antwoord 1

Ja.

Vraag 2

Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven
over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens
door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers
(COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen
(UWV)? 2

Antwoord 2

Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.

Vraag 3

Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene
verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie
nog niet?

Antwoord 3

De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering
van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers,
inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming
van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen
werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving
wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei
2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond
en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien
van de privacywetgeving in control op basis van een risicogerichte aanpak en weet
wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend
aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen.
Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3

DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te
herijken op basis van interne en externe signalen. DUO werkt daarbij constructief
samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene
Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd
in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy
aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht
en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van
een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van
een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces
en het waarborgen van de rechten van betrokkenen.

Vraag 4

Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen
(CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals
vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 4

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen
van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden
en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen.
Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht
houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks
aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer
en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen
rondom privacy.

In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking.
Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie.
Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en
beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking.
Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen
ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico
opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd.
Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren
een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder
risicovol is, wordt deze getoetst aan de beginselen uit de AVG.

De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van
maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder
medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte
bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder
medewerkers levend gehouden.

Vraag 5

Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 5

De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de
Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming
(AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers,
een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen
zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering
van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren
en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde
data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw
Document Management Systeem en met de overgang van testfase naar het in productie
nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen
van de SVB.

De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader
van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt
in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke,
geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de
grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd
worden.

Vraag 6

Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 6

Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese
privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).

Vraag 7

Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en
verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op
welke onderdelen voldoet de organisatie nog niet?

Antwoord 7

Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels
zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger
wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen
en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink
het privacystatement gepubliceerd op zijn website.

Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving
van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd
de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een
protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens
worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het
privacybeleid wordt daarnaast jaarlijks besproken met de directie.

Vraag 8

Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 8

De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese
privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).
Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande
uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming.
Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens.
Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen
aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat
de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy
en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd
en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels
een burgerportaal.

De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie
om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving.
Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale
Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register
(NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden
verstrekt.

Vraag 9

Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND)
persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd
in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 9

De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens
conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming
(AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance
Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk
om de normen uit de AVG structureel en in overeenstemming met de governance in de
bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals
het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de
IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van
reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen.
De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer
door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.

Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen
gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021
afgerond, waarna ook alle technische maatregelen zijn afgerond.

Vraag 10

Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 10

Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de
Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers,
justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten
in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden
verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene
verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt
conform de Wet justitiële en strafvorderlijke gegevens.

Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren,
acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging
structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties
vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere
vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt
in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten
aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie.
In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact
Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt
bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het
ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn.
Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit
«klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen
worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd.
Op die wijze wordt voldaan aan de vigerende privacywetgeving.

Vraag 11

Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens
(RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals
vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 11

De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens
conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming
(AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden
waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen,
de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie
persoonsgegevens BES en de AVG zelf.

Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie,
monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties
zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces.
Dit proces is eveneens cyclisch ingericht.

Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid.
De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging
Overheid en de AVG worden gesteld.

Vraag 12

Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 12

De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe
worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten
en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels
zoals vastgelegd in de Algemene verordening privacygegevens (AVG).

De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu
proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn.
In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK
wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces,
samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt
worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen
en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.

Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt
gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze
zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen
en opgevolgd worden om aan de AVG te blijven voldoen.

Vraag 13

Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 13

Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens
van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de
Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG).
Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments
(DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening
van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken
met een complexe uitvoeringspraktijk.

Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot
belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen
wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens
van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden
zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht
doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor
persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen,
maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie
en justitie.

Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering
Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische
maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.

Vraag 14

Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 14

Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels
conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels
(AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt
over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure
en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische
maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris
gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend
Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement
(toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen
worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling
van genoemde onderwerpen staat voor 2021 geagendeerd.

Vraag 15

Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt
conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen
voldoet de organisatie nog niet?

Antwoord 15

Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken
een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening
gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële
en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures
ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving
en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy
Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking
in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische
en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is
bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten
zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een
groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten
zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en
te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan.
Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM
en die inherent is aan het primaire proces van de strafrechtspleging (en de andere
toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.

Vraag 16

Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB)
persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd
in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 16

De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau
(CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook
niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen
en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften
is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts
op als verwerker.

De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is,
geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste
uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s
die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat
er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op
nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen
kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig
is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen
zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.

Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB
te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet
aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten
moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.

Vraag 17

Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 17

De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere
opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts
enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming
(AVG).

De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals
vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld
in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat
ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren
van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende
btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en
de informatievoorziening ten behoeve van toezicht en opsporing.

De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke
verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register
van de FIOD. Dit wordt op korte termijn aangepast.

Vraag 18

Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en
verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op
welke onderdelen voldoet de organisatie nog niet?

Antwoord 18

Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze
organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort
niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de
Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk
en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.

Vraag 19

Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt
en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee,
op welke onderdelen voldoet de organisatie nog niet?

Antwoord 19

Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels
zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een
onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen
het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers
ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau
onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken
van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de
juridische afdeling behandeld.

De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel
35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het
Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met
persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick
scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design
en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op
het in lijn zijn met de beginselen van de AVG.

De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen
in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd.
Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces
en zijn onderdeel van de rapportage- en monitoringcyclus.

Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving,
het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan
wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.

Vraag 20

Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 20

De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de
Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming
(AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke
taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige
relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt
vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling
van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.

In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject
heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert
de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG.
Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het
jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het
compliant zijn.

Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter-
en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het
kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het
actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot
het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.

Vraag 21

Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt
conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen
voldoet de organisatie nog niet?

Antwoord 21

De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese
privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).
De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid.
Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor
het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke
maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische
maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische
maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld
door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).

DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden
en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn
vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft
DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken
en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden
van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.

Vraag 22

Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 22

De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de
verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.

De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in
de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie,
openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale
wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de
Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn,
de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese
regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van
gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid
aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het
Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend
met beschikbaarheid of juist afscherming daarvan.

Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt
de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de
persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen
van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben
van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister
te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.

Vraag 23

Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt
conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen
voldoet de organisatie nog niet?

Antwoord 23

De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese
privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)
of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is
afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake
is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee
daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend
proces.

Vraag 24

Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens
verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG?
Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Antwoord 24

In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september
2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet
direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit
is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is
aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet
worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van
systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige
tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in
samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen
gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of
veranderde wet- en regelgeving.

Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader
van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming
moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding
tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs
ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van
juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden.
In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV
zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een
wettelijke grondslag gecreëerd is.

Vraag 25

Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform
de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen
voldoen deze organisaties nog niet?

Antwoord 25

Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun
wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten
persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of
doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke
op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten
voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse
zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private
organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.

Vraag 26

Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform
de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen
voldoen deze organisaties nog niet?

Antwoord 26

Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene
wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de
zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet
aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving
van de privacywetgeving door de zorginstellingen.

Vraag 27

Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform
de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen
voldoen deze organisaties nog niet?

Antwoord 27

Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene
wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar
is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving.
De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving
door zorgverzekeraars.

Vraag 28

Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS)
tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld
en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden
(het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar
Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s),
en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de
Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels
van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom
niet?

Antwoord 28

Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan
de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie,
doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit
en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de
WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen
bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens.
Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een
plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband
gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel
82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.