Statenvragen Jaarverslag privacy 2023
Geacht college,
Gedateerd 13 december 2024 stuurde u aan PS een document getiteld 'Jaarverslag privacy 2023'. Dit roept de volgende vragen op bij de PVV Noord-Brabant:
1. Gedateerd 13 december 2024 stuurde u aan PS een document getiteld 'Jaarverslag privacy 2023'.[1] In dit verslag, opgesteld door de Chief Information Officer (CIO) van de provinciale organisatie en niet door de Functionaris Gegevensbescherming (FG), wordt toegelicht dat er in 2023 gedeeltelijk géén Functionaris Gegevensbescherming (FG) en géén Privacy Officer (PO) in functie waren in de GS-organisatie.
a. Exact wanneer vanaf 1 januari 2023 tot en met 31 december 2024 beschikte de provinciale organisatie (het deel onder de verantwoordelijkheid GS) over een volwaardige FG? Wanneer in de periode(s) betrof het een eigen aangestelde FG en wanneer een ingehuurde?
b. Exact wanneer vanaf 1 januari 2023 tot en met 31 december 2024 beschikte de provinciale organisatie (het deel onder de verantwoordelijkheid GS) over een volwaardige PO? Wanneer in die periode(s) betrof het een eigen aangestelde PO en wanneer een ingehuurde?
c. Hoeveel fte formatie is er beschikbaar voor de FG in de provinciale organisatie (GS-deel)?
d. Hoeveel fte formatie is er beschikbaar voor de PO in de provinciale organisatie (GS-deel)?
e. Beschikt de provinciale organisatie over Information Security Officers (ISO's)? Zo ja, hoeveel fte?
2. Het 'Jaarverslag privacy 2023' is opgesteld door de CIO.
a. Aan wie legt de CIO verantwoording af?
b. Waarom is het rapport 'Jaarverslag privacy 2023' niet opgesteld door een onafhankelijke functionaris die geen verantwoording schuldig is aan het college of de algemeen directeur?
c. Is het college net als de PVV van mening dat een toezichtsverslag FG vanuit de CIO te kwalificeren is als 'de slager keurt zijn eigen vlees'?
d. Zo nee, waarom niet?
3. Het document stelt " Gelukkig konden snel een interim FG en een interim PO-er de werkzaamheden voortzetten, waardoor er geen risico’s gelopen zijn op het gebied van het werken met de persoonsgegevens conform de Algemene verordening persoonsgegevens (AVG)."
a. Op basis waarvan concludeert GS dat er geen risico's zijn gelopen?
b. De stelling omvat het argument dat als er een FG en een PO zijn aangesteld, er géén risico op non-compliance zou bestaan. Onderschrijft het college die conclusie?
4.
a. Heeft de Autoriteit Persoonsgegevens (AP) in 2023 of 2024 contact gehad met de Provincie?
b. Zo ja, was er op dat moment een FG actief in de provinciale organisatie?
c. Is de FG ingelicht over elk contact dan wel alle communicatie vanuit en naar de AP?
5. Met een eenvoudige internet zoekactie zijn talloze fraaie voorbeelden te vinden van duidelijke en relevante jaarverslagen over privacy, bijvoorbeeld bij gemeentes of andere provincies. Zelfs kant-en klare handreikingen of model-jaarverslagen vanuit de VNG of overheidsorganisaties zijn beschikbaar.
a. Waarom heeft het college zich er met een Jantje-van-Leiden van afgemaakt en een onduidelijk 'jaarverslag' van nauwelijks 3 kantjes over privacy aan PS aan te bieden in plaats van een heldere toezichtsverantwoording aan PS?
b. Waarom is er pas op 13 december 2024 over het jaar 2023 gerapporteerd aan PS?
6.
a. Heeft het college de AP op de hoogte gebracht van de langdurige absentie van een FG in de organisatie?
b. Zo nee, waarom niet?
c. Waarom heeft het college PS niet op de hoogte gesteld van de langdurige afwezigheid van een FG in de organisatie?
7. Het 'jaarverslag privacy 2023' beschrijft diverse thema's vooral in termen van hoe ze theoretisch zouden moeten worden georganiseerd of ingericht. Op concrete resultaten, de werkelijke situatie en de uitvoering van de plichten van het college als verwerkingsverantwoordelijke wordt niet tot nauwelijks ingegaan. Daar waar wel inhoudelijk iets wordt vermeld, betreft het de griffieorganisatie. Gezien de tekst niet door de FG is opgesteld, was op zijn minst een zelfkritische en volledig transparante houding op zijn plaats geweest.
a. Is het college zich ervan bewust dat de belangstelling van PS primair uitgaat naar resultaten en functioneren van het organisatiedeel onder de verantwoordelijkheid van GS?
b. Is het college zich ervan bewust dat het aangeleverde document op geen enkele manier vertrouwen wekt dat de Provincie compliant is aan de AVG?
c. Waarom heeft het college niet aan PS uitputtend gerapporteerd over de verplichtingen als verwerkingsverantwoordelijke organisatie?
8. T.a.v. het verwerkingsregister wordt een verhandeling opgevoerd over de verplichtingen rondom een verwerkingsregister. Zo stelt het verslag "Om het verwerkingsregister voor alle organisatie-onderdelen actueel, juist en volledig te houden is het noodzakelijk dat nieuwe verwerkingen, of gewijzigde verwerkingen worden opgenomen/aangepast in het verwerkingsregister."
a. Kan het college aangeven of het verwerkingsregister met verwerkingen waarvoor GS verantwoordelijk is ultimo 2023 actueel, juist en volledig was?
b. Zo nee, waarom niet?
c. Indien het niet volledig was, wat was concreet de status wat betreft juistheid, volledigheid en actualiteit?
d. Kan het college aangeven of dit verwerkingsregister ultimo 2024 actueel, juist en volledig was?
e. Zo nee, waarom niet?
f. Indien het niet volledig was, wat was concreet de status wat betreft juistheid, volledigheid en actualiteit?
9.
a. Op welke wijze heeft de FG de actualiteit van het verwerkingsregister (gedeelte verantwoordelijkheid GS) bewaakt en vastgesteld?
b. Heeft de FG in 2023 of 2024 het college dan wel de ambtelijke organisatie /management bevraagd of aangesproken op de mate van actualiteit, volledigheid of juistheid van het verwerkingsregister?
c. Zo ja, hoe vaak, wanneer, en hoe luidde de boodschap?
d. Wat heeft het college dan wel de organisatie precies gedaan met de vragen of opmerkingen van de FG?
10. In het document is t.a.v. het anonimiseren van documenten als verplichting vanuit de AVG het volgende gesteld: " Als gevolg van deze norm in de AVG en de veranderende maatschappelijke sentimenten, wordt het steeds belangrijker om bepaalde ambtelijke documenten of bewoners)brieven te anonimiseren."
a. Kan het college toelichten om welke 'veranderende maatschappelijke sentimenten' het precies gaat?
b. Kan het college duiden wat die maatschappelijke sentimenten precies te maken hebben met de bepalingen van de AVG?
c. Welke bepalingen uit de AVG raken die 'sentimenten' precies?
d. Om welke 'ambtelijke documenten' gaat het precies?
e. Welke informatie precies wordt er door het college geanonimiseerd in ambtelijke documenten?
11. Volgens het document zijn er in 2023 diverse DPIA's voor GS uitgevoerd in 2023.
a. Graag een uitputtende lijst van alle in 2023 en 2024 (onder de organisatorische verantwoordelijkheid van GS) uitgevoerde DPIA's.
b. Wat waren, per DPIA, de uitkomsten t.a.v. de privacy-risico's?
c. Hoe luidden, per DPIA, de adviezen van de FG?
d. Wat heeft GS met de adviezen van de FG (per casus a.u.b.) gedaan?
12.
a. Heeft het college voor alle applicaties / I(C)T-diensten een DPIA opgesteld?
b. Zo nee, waarom niet?
c. Welke niet?
d. Heeft het college voor alle applicaties / I(C)T-diensten een BIA opgesteld?
e. Zo nee, waarom niet?
f. Welke niet?
g. Heeft het college voor alle applicaties / I(C)T-diensten een dataclassificatie opgesteld?
h. Zo nee, waarom niet?
i. Welke niet?
13. Het document geeft achtergrondinformatie over verwerkersovereenkomsten.
a. Heeft GS voor alle applicaties of I(C)T-diensten waarvoor dit nodig is een verwerkersovereenkomst opgesteld?
b. Zo nee, waarom niet?
c. Welke niet?
14. Eind 2022 heeft de PVV u bevraagd over het risico van een Single Point of Failure bij de FG-functie. Het college antwoordde "Een Single Point of Failure (SPOF) wordt niet aanwezig geacht. Er is geen verplichting tot aanwijzing van een plaatsvervangend FG. De FG is voor noodsituaties ook buiten kantoortijd bereikbaar. Indien de FG onverhoopt langere tijd afwezig is, wordt – evenals bij andere functies – voorzien in een vervangingsconstructie."
a. Op welke vervangingsconstructie doelde GS destijds bij de beantwoording in oktober 2022?
b. Waarom heeft de 'vervangingsconstructie' niet gezorgd voor continuïteit van de FG-functie?
c. Is het college inmiddels net als de PVV destijds, overtuigd van het risico van een SPOF van de FG functie?
d. Wat gaat het college ondernemen om herhaling te voorkomen?
15. Kunt u het jaarverslag 2022 van de FG aan PS toesturen?
16. In het document worden conclusies geformuleerd: "Geconcludeerd kan worden dat de provincie Noord-Brabant de normen voor het AVG-conform werken met persoonsgegevens goed heeft geïmplementeerd. Inmiddels is wel duidelijk dat het AVG-conform werken met persoonsgegevens een regulier werkproces is geworden binnen de provinciale werkprocessen en het vakgebied Privacy voortdurend aandacht behoeft, mede gezien de snelle technologische ontwikkelingen."
a. Het document geeft geen enkele onderbouwing voor deze conclusies. Op basis waarvan stelt GS dat de provincie de normen voor het AVG-conform werken goed heeft geïmplementeerd?
b. Behalve dat de normen geïmplementeerd zijn, is het vooral van belang dat ze in de praktijk worden nageleefd. Op welke wijze heeft GS kunnen vaststellen dat ze worden nageleefd?
c. GS schrijft dat het vakgebied Privacy voortdurend aandacht behoeft. Waaruit blijkt dat het vakgebied binnen de provinciale organisatie de aandacht krijgt die het verdient?
d. Is GS net als de PVV van mening dat het 'jaarverslag privacy 2023' op geen enkele manier een indruk wekt dat de conclusies van het college hout snijden? Zo nee, waarom niet?
e. Wat gaat het college ondernemen in het kader van de compliance inclusief de verantwoording erover m.b.t. privacy en de AVG?
Namens de PVV Noord-Brabant,
Patricia van der Kammen