ALGEMEEN BELEID

Privacy

 

Na het van kracht worden van de AVG in mei 2018 is meer duidelijkheid gekomen over de interpretatie en invulling van deze privacywet. Centric heeft in samenwerking met de Privacy Company een Centric Baseline Product Privacy opgesteld. Hierbij is gebruik gemaakt van het Privacy by Design Framework van de Privacy Company. Deze baseline is gebruikt om de bestaande applicaties te toetsen of voldaan wordt aan de AVG. Naar aanleiding van bevindingen hieruit zijn aanpassingen doorgevoerd. Ook bij nieuwe ontwikkelingen stellen we met behulp van deze baseline de privacy eisen vast.

De AVG stelt rechtmatigheid, behoorlijkheid en transparantie bij de verwerking van persoonsgegevens voorop. Gegevens mogen uitsluitend worden verwerkt in het kader van een gerechtvaardigd doel en dan ook alleen die gegevens die ook echt noodzakelijk zijn. Ook mogen gegevens niet langer bewaard blijven dan noodzakelijk. Tevens hebben rechthebbenden het recht om te weten welke gegevens er van hem/haar bekend zijn en welke verwerkingen er hebben plaatsgevonden.

Centric heeft onderzoek gedaan naar de gegevensverzameling in de verschillende toepassingen. Bij twijfel aan de rechtmatigheid van de opslag van bepaalde gegevens is met de betreffende gebruikersgroep besproken of er maatregelen nodig zijn. Het ging daarbij over het verwijderen van bepaalde gegevens of het beter kunnen autoriseren.

Om de vraag van betrokkenen te kunnen beantwoorden welke gegevens van hen verwerkt worden en welke verwerkingen er hebben plaatsgevonden is de Privacy Workspace ontwikkeld. Al onze applicaties schrijven bij elke verwerking enkele

gegevens weg naar een privacy-logging. Deze gegevens worden versleuteld opgeslagen zodat alleen de Functionaris Gegevensbescherming rapportages kan draaien en burgers inzage kan geven in de verwerkingen.

 

Verwerkersovereenkomst

De AVG schrijft voor dat bij verwerking van persoonsgegevens door een verwerker (in dit geval Centric) de afspraken en maatregelen om een veilige verwerking te garanderen worden vastgelegd in een verwerkersovereenkomst. Centric heeft

meegewerkt aan de standaard verwerkersovereenkomst van de Vereniging van Nederlandse Gemeenten (VNG) en gebruikt deze vanaf januari 2019. Daarnaast heeft Centric meegeholpen aan het opstellen van een Factsheet om te bepalen in welke gevallen Centric een Verwerker is (in de zin van de AVG) en dat daarom een verwerkersovereenkomst moet worden afgesloten.

Privacy statement

Centric heeft op haar site een privacyverklaring staan. Naast algemene zaken is hier informatie te vinden over specifieke verwerkingen die Centric voor haar klanten kan uitvoeren. Te denken valt aan het uitvoeren van conversies en het leveren van support.

 

Monitoring kwetsbaarheden en dreigingen

Voor het continue monitoren van nieuwe kwetsbaarheden en mogelijke dreigingen maakt Centric o.a. gebruik van de Dienst Kwetsbaarheid waarschuwingen van de Informatiebeveiligingsdienst (VNG/IBD). De IBD verzamelt informatie over aankomende of acute beveiligingsrisico’s in software en hardware. Aangesloten gemeenten worden door de IBD geïnformeerd als zich een risico bij hen voordoet.

Om optimaal gebruik te kunnen maken van de IBD diensten is het voor de gemeenten van belang dat zij over de gewenste informatie beschikken. De gemeente is daarbij voor een deel afhankelijk van Centric als leverancier van software en eventuele Cloud diensten (Hosting en SaaS). Met de IBD is de afspraak gemaakt dat Centric informatie geeft over de gebruikte softwarecomponenten, IP-adressen en URL’s. Het gaat hier om het publieke deel, dus de software en infrastructuur die vanaf het internet te benaderen of te gebruiken is. De afspraak met de IBD is dat de partijen elkaar zo snel mogelijk informeren over security- en privacy incidenten en kwetsbaarheden. Aan de hand van een risicoanalyse nemen we passende maatregelen in software en hardware om daarmee de risico’s te verminderen.