Privacy

Mensen op straat lopen langs schaduw van beveiligingscamera
© ANP

19-9-2022

Het CBS gaat zorgvuldig om met uw (persoons)gegevens. Op deze pagina leest u welke maatregelen wij hebben genomen om uw gegevens te beschermen.

[video: https://www.cbs.nlnl-nl/video/986276d0916046b58e76ca44ee0a2749]

Persoonsgegevens

Informatie die over iemand gaat of naar iemand te herleiden is noemen we een persoonsgegeven. Dit is bijvoorbeeld de naam van iemand, een huisadres of het inkomen. Ook een mailadres is een persoonsgegeven. Op de website van de Autoriteit Persoonsgegevens staat een uitgebreide uitleg over persoonsgegevens. Het CBS heeft op haar website een overzicht van alle reguliere verwerkingen van persoonsgegevens.

Maatregelen

Het CBS beveiligt (persoons)gegevens met technische en organisatorische maatregelen die nodig zijn om de gegevens zo goed mogelijk te beschermen. Hieronder een greep uit de maatregelen die het CBS hierbij getroffen heeft.

Maatregelen richting de medewerkers van het CBS zelf

  • Medewerkers van het CBS moeten zich houden aan een geheimhoudingsplicht en hiervoor de eed/belofte afleggen. Alle medewerkers hebben daarbij een geheimhoudingsverklaring ondertekend en houden zich aan de gedragscode van het CBS.
  • Medewerkers van het CBS moeten een Verklaring Omtrent het Gedrag (VOG) inleveren.
  • Alle medewerkers kunnen alleen op beveiligde werkomgevingen werken. Om op CBS gegevens onderzoek te kunnen doen moeten bovendien ook extra autorisaties gegeven worden.

Maatregelen bij aanvang van een onderzoek

  • Er vind voorafgaand aan een onderzoek altijd een wettelijke toetsing plaats. Zo moet de grondslag en doelbinding vastgesteld zijn.
  • Het CBS gebruikt de gegevens alléén voor statistisch en wetenschappelijk onderzoek. Gebruik voor fiscale, administratieve, controle en gerechtelijke doeleinden is wettelijk verboden. Ook gebruikt het CBS de gegevens niet voor marketingdoeleinden.
  • Het CBS kent een ethische commissie die een onderzoeksvoorstel toetst wanneer er mogelijke ongewenste gevolgen voor specifieke groepen personen of bedrijven kunnen zijn.

In alle gevallen kijkt het CBS in het voortraject of een onderzoek met minder gegevens, of met minder gevoelige gegevens kan worden uitgevoerd. Dit voorkomt nieuwe, extra gegevensstromen en een lagere lastendruk voor personen, overheidsinstellingen en ondernemingen.

Maatregelen gedurende het proces

  • Als u een enquête invult of gegevens aanlevert, dan stuurt u deze informatie gecodeerd naar het CBS. Bij het CBS komen de gegevens terecht in een beveiligde omgeving. Alleen daartoe bevoegde medewerkers van het CBS, die dit voor hun werkzaamheden nodig hebben, hebben toegang tot deze gegevens.
  • Het CBS heeft voor grote gegevensstromen veilige uploadportals, zie ook de webpagina's Data uitwisselen met het CBS en Beveiliging uitwisseling van gegevens.
  • De gegevens die bij het CBS binnenkomen worden zo snel mogelijk ontdaan van direct identificerende kenmerken zoals Burger-Service-Nummer, naam, adres en geboortedatum en vervangen voor betekenisloze nummers. Dit noemt het CBS pseudonimiseren.
  • Het CBS heeft een gestandaardiseerde manier van het beschrijven van de gegevens (de metadata). Hierdoor kan een onderzoeker vooraf precies zien wat het CBS aan gegevens heeft zonder de gegevens daadwerkelijk in te zien. Deze beschrijvingen zijn vanwege transparantie ook gepubliceerd op de CBS-website (Catalogus microdata) zodat burgers, bedrijven en organisaties ook kunnen zien over welke gegevens het CBS beschikt.
  • Het CBS bewaart gegevens niet langer dan noodzakelijk is om de wettelijke taak uit te kunnen voeren. Voor het bewaartermijnenbeleid conformeert het CBS zich aan de AVG en aan de Archiefwet. Zie ook de toelichting in de CBS DPIA die op deze website gepubliceerd is en de Selectielijst CBS die gepubliceerd is in de Staatscourant.
  • Alle statistieken van het CBS worden vóór publicatie gecontroleerd op onthullingsrisico.
  • Het CBS voldoet aan de hoogste eisen m.b.t. gegevensbescherming. Dit wordt jaarlijks getoetst door een externe organisatie en resulteert in een privacy-proof verklaring. Zie ook onze toelichting op: ISO en privacycertificering.

Dit is een selectie van de belangrijkste concrete maatregelen vanuit het privacybeleid van het CBS. Wilt u eens doorpraten over een van deze onderwerpen, dan heeft het CBS een Chief Privacy Officer die dit beleid kan toelichten.

Het CBS heeft een algemene Gegevensbeschermingseffectbeoordeling (DPIA) gemaakt die een uitgebreide beschrijving geeft van de maatregelen.

Verwerkingsverantwoordelijkheid

Voor het uitvoeren van zijn wettelijke taak verwerft en verwerkt het CBS gegevens voor statistiek. Het CBS is daarmee voor alle ontvangen bestanden de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) en geen verwerker.

Op de website van de Autoriteit Persoonsgegevens staat uitgebreide informatie over het onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Externe registerhouders zijn zelf verwerkingsverantwoordelijke en veelal wettelijk verplicht bestanden te leveren aan CBS. De AVG- verantwoordelijkheid van de gegevensleveranciers houdt op zodra de bestanden door het CBS zijn ontvangen.

De rechten van de betrokkenen in de AVG

De AVG kent een aantal artikelen, 13-18, 20-22, waarin de rechten van betrokkenen beschreven worden.

  • 13. (en 14) het recht op informatie
  • 15. het recht op inzage
  • 16. het recht op rectificatie
  • 17. het recht op gegevenswissing (vergetelheid)
  • 18. het recht op beperking van de verwerking
  • 20. het recht op overdraagbaarheid (dataportabiliteit)
  • 21. het recht van bezwaar
  • 22. het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profilering

De Uitvoeringswet AVG kent in artikel 44 een aantal uitzonderingen hierop:

  • Artikel 44. Uitzonderingen inzake wetenschappelijk onderzoek en statistiek
    Indien een verwerking wordt verricht door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische of wetenschappelijke doeleinden kunnen worden gebruikt, kan de verwerkingsverantwoordelijke de artikelen 15, 16 en 18 van de verordening buiten toepassing laten.
  • Recht op informatie (artikel 13 en 14 AVG)
    Het CBS vult dit recht in door zijn berichtgevers via een brief direct te informeren over wat het CBS met de gegevens gaat doen. De indirecte berichtgevers, de personen over wie het CBS gegevens via registraties ontvangt, worden via de CBS-website geïnformeerd.
  • Recht op gegevenswissing / vergetelheid (artikel 17 AVG)
    Het CBS mag de persoonsgegevens op een veilige manier voor onbepaalde tijd bewaren tot dat het CBS deze gegevens niet meer nodig heeft.
  • Recht op overdraagbaarheid / dataportabiliteit (artikel 20 AVG)
    Het CBS mag op basis van de CBS-wet geen persoonsgegevens aan derden verstrekken.
  • Recht van bezwaar (artikel 21 AVG)
    Een betrokkene kan nooit direct nadeel of voordeel ondervinden van een verwerking van het CBS. Het CBS zal daarom bezwaren tegen de verwerking van gegevens afwijzen.
  • Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profilering (artikel 22 AVG)
    Het CBS zal nooit een individu onderwerpen aan geautomatiseerde individuele besluitvorming/profilering.

Toezicht

  • Het CBS heeft een Functionaris voor de Gegevensbescherming (FG). Deze functionaris houdt binnen het CBS toezicht op de toepassing en naleving van de AVG. Hij houdt een register met alle verwerkingen van persoonsgegevens.
  • De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Voor de Autoriteit Persoonsgegevens is de FG een belangrijk aanspreekpunt.
  • Het CBS beschikt tevens over een chief privacy officer die toezicht houdt op en is aanspreekpunt voor de handhaving van de privacy vanuit het CBS. De chief privacy officer is via de Infoservice bereikbaar.

Contact

AVG-verzoeken (dat wil zeggen verzoeken op basis van de AVG) dienen per brief te worden ingediend. Dit kan per post of als bijlage per e-mail. Dit betekent dat AVG-verzoeken die worden ingediend via andere media (zoals via social media, fax enz.) of in persoon worden afgegeven bij het CBS niet in behandeling worden genomen. Dit geldt ook voor ingebrekestellingen en bezwaren.
Een schriftelijk verzoek, ingebrekestelling of bezwaar dient gericht te worden aan:

CBS
T.a.v. de Directeur-Generaal
Postbus 24500
2490 HA Den Haag

Vermeld bovenaan uw brief en indien van toepassing tevens in de onderwerp regel van uw e-mail duidelijk dat het om een AVG-verzoek gaat.
Wilt u meer weten over het meldingenregister of de verwerking van persoonsgegevens? Neem dan contact op met de Functionaris voor de Gegevensbescherming via onze Infoservice.