Is de White list verplicht?

Veel gemeenten stellen aan het team implementatie BVGS de vraag of invoering van de Whitelist verplicht is. Deze vraag is niet met een eenvoudig ‘ja’ of ‘nee’ te beantwoorden. Vanuit de Wet SUWI of het normenkader Suwinet is er weliswaar geen directe verplichting tot het invoeren van de Whitelist. Echter, vanuit de Wet Bescherming Persoonsgegevens (WBP) is er ten eerste het proportionaliteitsbeginsel en ten tweede, artikel 13. In dit artikel staat verwoord dat organisaties passende technische en organisatorische maatregelen dienen te treffen.
 
Wettekst WBP, artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
 
Toelichting:
In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de huidige stand van de techniek.
 
WBP
Vanuit de WBP mag op grond van bovenstaand artikel gesteld worden, dat wanneer bepaalde ‘oplossingen’ beschikbaar zijn om de beveiliging op een passend niveau te brengen, de verantwoordelijke organisatie ook geacht wordt deze oplossingen toe te passen. De Whitelist is een dergelijke technische oplossing. Het niet toepassen ervan leidt ertoe dat men niet voldoet aan de verplichting rekening te houden met de stand van de techniek.
 
AVG
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese verordening komt in de plaats van de WBP en is op onderdelen strikter dan de huidige WBP. In de AVG komen o.a. de begrippen ‘privacy by design’ en ‘privacy by default’ aan de orde. Beide begrippen en vooral ‘privacy by default’ zijn met het oog op de Whitelist relevant. Organisaties zijn op grond van de AVG verplicht organisatorische en technische maatregelen te treffen om het gebruik van persoonsgegevens tot een minimum te beperken. De Whitelist is een treffend voorbeeld van dergelijke maatregelen als verplichting, voortvloeiend uit de AVG. Ter voorbereiding op de inwerkingtreding van de AVG is invoering van de Whitelist een belangrijke eerste stap.
 
Privacy Impact Assessment Suwinet
In 2014 en 2016 zijn twee Privacy Impact Assessments uitgevoerd. In beide PIA’s wordt geconcludeerd dat het open karakter van Suwinet tot risico’s leidt en dat toegang tot gegevens van burgers die geen dienstverleningsrelatie hebben met de betreffende gemeente, beperkt moet worden. De PIA van 2016 gaat zelfs nog een stap verder en stelt dat toegang tot Suwinet beperkt moet worden tot alleen de persoonsgegevens van burgers die tot de ‘caseload’ van de individuele medewerker van de gemeente behoren. Dit is echter met de huidige techniek (nog) niet mogelijk en stuit op grote organisatorische bezwaren.
 
Voordelen Whitelist
Los van wet- en regelgeving zijn er ook voordelen te behalen met toepassing van de Whitelist. Gemeenten controleren nu ofwel steekproefsgewijs achteraf, of vergelijken bevragingen in Suwinet met de eigen bestanden. Met name deze controles worden veel eenvoudiger. Een belangrijk extra voordeel is dat medewerkers zich beter toegerust vinden voor hun taak en weten dat ze alleen tot die gegevens toegang hebben die ze nodig hebben. Medewerkers zijn daarmee meer ‘op hun gemak’ bij het werken met deze persoonsgegevens.
 
Beleid bronhouders
Tot slot: vanuit de verantwoordelijkheid die bronhouders hebben voor het verstrekken van gegevens, gaan stemmen op dat alleen gegevens worden verstrekt aan gemeenten die gebruik maken van de Whitelist. Zover is het nu nog niet. Wij houden u graag op de hoogte.
 
Nadere informatie kunt u vinden op www.vng.nl/veiliggebruiksuwinet