De werkzaamheden van de kwartiermaker FG zijn op te delen in vier resultaatgebieden.

 

 

1. Informeren en adviseren

Het informeren en adviseren van de gemeente over zijn verplichtingen uit hoofde van de AVG en andere EU wet- en regelgeving en nationale wettelijke voorschriften over gegevensbescherming, waaronder:

in samenspraak met de Ciso adviseren over een passend niveau van informatiebeveiliging;

het volgen van nieuwe ontwikkelingen en wetgeving op het gebied van persoonsgegevensbeschermingsrecht en deze ontwikkelingen vertalen naar privacybeleid en uitvoering;

adviseren over het toepassen van de principes met betrekking tot gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default);

(het coördineren van de) afhandeling van de uitoefening van de rechten van de betrokkene: inzageverzoeken; verzoeken om rectificatie; verzoeken om gegevenswissing; verzoeken om beperking van de verwerking; verzoeken om persoonsgegevens in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen en (rechtstreeks) aan een andere verwerkingsverantwoordelijke over te dragen;

(het coördineren van de) afhandeling van een bezwaar tegen de verwerking;

vragen en klachten van betrokkenen afhandelen. 

 

 

2. Toezicht, controle en onderzoek

Toezien op naleving van de AVG, en van andere EU wet- en regelgeving en nationale wet- en regelgeving, waaronder:

het toezicht houden op de implementatie en naleving van het (interne) privacybeleid;

het opstellen c.q. actueel houden van het register van de verwerkingsactiviteiten als bedoeld in artikel 30 AVG;

het toezicht houden op de naleving van de beginselen van gegevensverwerking als bedoeld in artikel 5.1 AVG;

onderzoek doen naar de wijze waarop persoonsgegevens worden verwerkt en beveiligd;

het geven van voorlichting, waaronder bewustwording en opleiding van de bij uitvoering

betrokken professionals;

het opzetten of initiëren van een registratie voor beveiligingsincidenten die kwalificeren als ‘datalek’, evenals het afhandelen van opgetreden incidenten en het nemen van preventieve maatregelen ter voorkoming van dergelijke incidenten;

Advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling: 

het adviseren over het uitvoeren van een Privacy Impact Assessment (PIA) met betrekking tot (nieuwe) producten, diensten of processen;

het erop toezien dat de PIA voldoet aan de daaraan te stellen eisen als bedoeld in artikel 35 AVG.

 

 

3. Opzetten structuur privacy(beheer)organisatie

Het opzetten van een interne privacy(beheer)organisatie, dat wil zeggen een groep van aanspreekpersonen of coördinatoren binnen de meest betrokken afdelingen die op periodieke basis overlegt over aangelegenheden betreffende de verwerking van persoonsgegevens.

 

 

4. Met de toezichthoudende autoriteit samenwerken en optreden als contactpunt voor de externe toezichthouder (Autoriteit Persoonsgegevens).

Deze samenwerking kan zien op een casusoverleg (bijvoorbeeld de vraag of iets een

datalek is), op de uitleg van bepalingen van de AVG of op nadere verduidelijking van het beleid van de AP met betrekking tot toezicht. Daarnaast gaat het om het onderhouden van externe en interne contacten op alle niveaus binnen dit resultaatgebied.

 

Gunningscriteria (weging)

Minimaal een afgeronde HBO bachelor opleiding (10%);

Minimaal 6 maanden aantoonbare kennis van en werkervaring bij een gemeente op het terrein van privacy (beheer/bescherming/processen/verantwoording) in de afgelopen 2 jaar, bijvoorbeeld in de rol van privacy officer/data protection officer/ FG (25%)

Aantoonbare gedegen en actuele kennis van het privacyrecht en de gemeentelijke privacy-praktijk, in het bijzonder van de AVG en relevante nationale bijzondere wetten (20%);

Aantoonbare kennis van en werkervaring met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ISO 27001/27002 (20%);

Aantoonbare kennis van risicoanalyse methoden op het terrein van informatieveiligheid en privacy (15%);

Selectiegesprek in de tweede beoordelingsfase (10%).