GeoWeb en AVG

GeoWeb en bescherming persoonsgegevens: “Dankzij een extra workflow voldoen we met GeoWeb aan de AVG”

Als gemeente moet je er niet aan denken dat de gegevens van burgers op straat komen te liggen, want slechte beveiliging van persoonsgegevens kan leiden tot identiteitsfraude. Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is, heb je als organisatie ook meer verplichtingen bij het verwerken van persoonsgegevens dan voorheen. Veel organisaties worstelen alleen met de vraag hoe zij hier met hun WebGIS-oplossing aan kunnen voldoen. Gelukkig is daar een oplossing voor, die je zowel voor GeoWeb als ArcGIS Web AppBuilder kunt toepassen. Jeroen Verhagen, beheerder basisregistraties bij gemeente Vught: “Dankzij een workflow kunnen we persoonsgegevens in GeoWeb beschermen en voldoen we aan de AVG.”  

De AVG is sinds mei 2018 van toepassing en is de Nederlandse implementatie van de Europese privacy wetgeving GDPR. Dat betekent dat in de hele Europese Unie dezelfde privacywetgeving geldt. Door deze wet heb je als organisatie meer verantwoordelijkheid om zorgvuldig met digitale persoonsgegevens om te gaan. De AVG geldt voor alle organisaties, die persoonsgegevens vastleggen van klanten, personeel, of burgers uit de EU.

“Als gemeente wil je dat persoonsgegevens veilig zijn”

Toen de AVG werd ingevoerd, wilde de gemeente Vught daar met GeoWeb direct aan voldoen. “Je wilt natuurlijk dat de persoonsgegevens van je burgers veilig zijn”, vertelt Verhagen. “Daarom hebben wij dat goed beschermd. Niet alleen omdat het moet volgens de AVG en je door de Autoriteit Persoonsgegevens beboet kunt worden, maar vooral omdat je als gemeente de privacy van mensen en bedrijven wilt waarborgen.”

Johan Ruiter is GIS Specialist bij Meerinzicht, een samenwerkingsverband tussen gemeenten Ermelo, Harderwijk en Zeewolde. Ook hij denkt er zo over: “Het doel van de AVG is dat er geen misbruik gemaakt wordt van persoonsgegevens. En dat is natuurlijk ook ons doel. Wij willen voorkomen dat gegevens in verkeerde handen vallen en mensen daardoor slachtoffer worden van identiteitsroof en criminaliteit.”

AVG-proof werken in GeoWeb

“Bij de gemeente Vught werken we op dit moment bijvoorbeeld aan een groot infrastructureel project”, vertelt Verhagen. “Als we dan moeten uitzoeken hoe de grond voor het nieuwe tracé kan worden aangekocht, is een medewerker van grondzaken vanuit zijn functie gerechtigd om in GeoWeb de adresgegevens van grondeigenaren op te vragen. Dit hebben we geregeld met een extra workflow, die registreert wie welke gegevens opvraagt. Medewerkers die adresgegevens mogen inzien, worden daar individueel voor gemachtigd. En dat is afhankelijk van de functie. Zo kunnen we altijd uitleggen wie van welke informatie gebruikmaakt.” 

Om te voldoen aan de AVG werken ook de gemeenten Ermelo, Harderwijk en Zeewolde met een extra workflow. “Wij hebben in GeoWeb 2 gebruikersgroepen geautoriseerd”, legt Ruiter uit. “Medewerkers van de gemeenten mogen persoonsgegevens opvragen, maar ingehuurde medewerkers hebben die toegang niet. Daarbij mogen gebruikers persoonsgegevens alleen opvragen voor hun wettelijke taken.”

Waarborgen wie welke gegevens inziet

Om daadwerkelijk te kunnen aantonen wie welke informatie opvraagt, zorgt de workflow er ervoor dat dit gelogd wordt. “Met het loggen waarborgen we wie welke gegevens inziet. Zo kunnen we altijd bewijzen dat de mensen die gegevens opgevraagd hebben, daar ook voor geautoriseerd zijn en voldoen we aan de wet- en regelgeving”, aldus Verhagen.

Michel Derksen, specialist Geo-informatie bij de gemeente Bronckhorst, bevestigt dat ook zij op deze manier werken. “Als je privacygevoelige informatie wilt opvragen in GeoWeb bekijkt de workflow wie er is ingelogd. Vervolgens krijg je een scherm te zien, waarin staat dat je privacygevoelige informatie wilt opvragen en dat dit gelogd wordt. De gebruiker moet dan ook de reden aangeven waarom hij die gegevens nodig heeft. Alle records worden in een database opgeslagen. Als we dan een Wob-verzoek krijgen, kunnen we exact aantonen welke informatie is opgevraagd, door wie, waarom en wanneer.”

“BSN is meer dan alleen een nummertje”

In de afgelopen periode hebben we bij de GGD kunnen zien dat privégegevens van miljoenen Nederlanders op straat kwamen te liggen. Ook bij gemeenten gaat het vaak om persoonsgegevens van burgers. Gemeente Vught heeft er met behulp van de workflow voor gezorgd dat ook medewerkers met toegang tot persoonsgegevens, alleen de volledige naam en adres te zien krijgen en niet het BSN-nummer.

“BSN-nummers blijven in GeoWeb voor iedereen onzichtbaar”, stelt Verhagen. “De GGD zegt dat het slechts een nummertje is, maar met een BSN-nummer kun je je online voordoen als iemand anders. De gevolgen kunnen gigantisch zijn. Daarom zorgen wij er te allen tijde voor dat we geen BSN-nummers kúnnen lekken. Dat is volledig afgeschermd.”

Automatisering levert ook tijdswinst op

Natuurlijk was de invoering van de AVG voor deze gemeenten de aanleiding om het opvragen van persoonsgegevens beter te beveiligen en te automatiseren, maar volgens gemeente Vught scheelt het ook veel tijd. “Voorheen moesten we persoonsgegevens altijd opvragen via de afdeling Burgerzaken. Zij toetsten dan of de gegevens wel of niet opgevraagd mochten worden. Nu we dit proces met een workflow geautomatiseerd hebben, hoeven we geen beroep meer te doen op Burgerzaken. Daardoor ligt de werkdruk, voor dit type informatieverzoeken, bij Burgerzaken nu een stuk lager”, aldus Verhagen.

Is jouw WebGIS-oplossing al AVG-proof?

De extra workflow maakt het dus mogelijk dat privacygevoelige informatie via GeoWeb beschikbaar kan worden gesteld aan de daartoe gerechtigde personen én dat je altijd kunt terugzien wie de gegevens wanneer heeft opgevraagd. En als je met meerdere organisaties samenwerkt, bijvoorbeeld in een shared service center, dan is het ook mogelijk om op basis van administratieve grenzen toegang te verlenen met de module Access Control.

Ben je benieuwd hoe je met de GeoWeb-oplossing van jouw organisatie ook aan de AVG kunt voldoen, zodat privacygevoelige gegevens goed beschermt zijn? Neem dan contact op met jouw GeoWeb-contactpersoon.