logo InternetSpiegel

Privacy en informatiebeveiliging

Op deze pagina vind je meer informatie over de constructie van het concept InternetSpiegel en welke maatregelen er zijn genomen op het gebied van privacy en informatiebeveiliging. Relevante documenten en informatiebronnen vind je onderaan deze pagina.

Hoe werkt de constructie van concept InternetSpiegel?

Als organisaties gebruik willen maken van het concept InternetSpiegel, gebeurt dat onder de volgende constructie:

  • Het InternetSpiegel-medewerkeronderzoek is eigendom van het ministerie van BZK die de regie en het beheer hiervan heeft ondergebracht bij het programma Venster bij ICTU.
  • ICTU stuurt als programmaverantwoordelijke de uitvoering van InternetSpiegel aan. Dit omvat een aantal zaken:
    • Zorgdragen voor een uitvoerende partij en de selectie hiervan (Europese aanbesteding).
    • Bewaken van de kwaliteit en uitvoering (regiefunctie) op de uitvoering door Effectory (de partij aan wie de aanbesteding is gegund).
    • Vaststellen aanbod binnen het InternetSpiegel-medewerkersonderzoek.
    • Vaststellen minimumbeveiligingsmaatregelen (conform BIO).
    • Vaststellen niveau van aggregatie van gegevens.
    • Vaststellen bewaartermijnen.
    • Vaststellen Algemene Voorwaarden Verwerking Persoonsgegevens InternetSpiegel.
  • ICTU heeft in 2024 voor de uitvoering van de InternetSpiegel-medewerkeronderzoeken een Europese aanbesteding uitgezet. Deze aanbesteding is gegund aan Effectory.
  • Effectory biedt in opdracht van ICTU het concept InternetSpiegel aan bij organisaties binnen de sector openbaar bestuur & veiligheid en de sector Hogescholen.
  • Tussen Effectory en ICTU is een raamovereenkomst (ROK) afgesloten, inclusief Verwerkersovereenkomst (ARVODI 2018). Organisaties binnen de sector openbaar bestuur & veiligheid kunnen via deze raamovereenkomst gebruik maken van InternetSpiegel (en dus de diensten vanuit Effectory).

Hoe wordt er binnen het concept InternetSpiegel rekening gehouden met privacy en informatiebeveiliging?

Jullie organisatie wordt samen met ICTU verwerkersverantwoordelijke voor de onderzoeksgegevens binnen het concept InternetSpiegel (gezamenlijke verwerkersverantwoordelijkheid).  De Algemene Voorwaarden Verwerking Persoonsgegevens (AVVP) van InternetSpiegel vormen de regeling tussen uw organisatie en ICTU als bedoeld in art. 26 AVG en bevatten door de AVG vereiste verdeling van de verantwoordelijkheden tussen jullie organisatie en ICTU op het gebied van de naleving van de AVG.

De AVVP van InternetSpiegel zijn van toepassing op alle aanbiedingen, werkzaamheden, offertes, voorstellen, overeenkomsten voor dienstverlening en elke tot stand gekomen overeenkomst op afstand, inclusief vervolgopdrachten, addenda en/of verlengingen t.b.v. jullie organisatie.

ICTU heeft als programmaregisseur mede namens jullie organisatie met verwerker Effectory reeds de verwerkersovereenkomst afgesloten als bedoeld in art. 28 AVG. Jullie hoeven dus niet zelf ook nog een verwerkersovereenkomst te sluiten.

Vanuit haar regierol heeft ICTU in de aanbesteding van het concept InternetSpiegel eisen gesteld aan inschrijvers met betrekking tot compliance met de Algemene Verordening Gegevensbescherming (AVG) en overige wet- en regelgeving op het gebied van verwerking van persoonsgegevens en informatiebeveiliging. Meer informatie over de uitvraag is te vinden via de website van TenderNed. Effectory voldoet ruimschoots aan deze eisen.

ICTU heeft een Data Protection Impact Assessment (DPIA) uit laten voeren op het concept InternetSpiegel door een onafhankelijke adviesbureau Privacy Management Partners (PMP). Door PMP is alles binnen InternetSpiegel beoordeeld als AVG-compliant. Dit betekent dat PMP in de naleving van de AVG door ICTU en Effectory geen tekortkomingen heeft aangetroffen. De DPIA vindt u onderaan deze pagina.

Ten behoeve van het tweede doel van het concept InternetSpiegel levert jullie organisatie via Effectory de onderzoeksresultaten (subset van de ruwe data) in geanonimiseerde vorm aan bij ICTU. PMP heeft de data die geleverd wordt en de werkwijze rondom de statistische analyses door ICTU getoetst en geconcludeerd dat deze gegevensverwerkingen voor ICTU anoniem zijn conform de uitleg die het Europese Hof van Justitie aan die term geeft. De AVG is daarom niet van toepassing op de data die ICTU ontvangt, noch op de statistische analyses die ICTU maakt. PMP heeft haar bevindingen vastgelegd in een memo. De memo vind je onderaan deze pagina.

Binnen het concept InternetSpiegel worden persoonsgegevens beveiligd op een manier die gelijkwaardig is aan de normen van de Baseline Informatiebeveiliging Overheid en de internationale standaard voor informatiebeveiliging ISO 27001. Organisaties die een medewerkersonderzoek met InternetSpiegel gaan uitvoeren moeten de (persoons)gegevens van de medewerkers via een beveiligde verbinding bij Effectory aanleveren. Al deze gegevens, dus ook de antwoorden van medewerkers op vragenlijsten, worden versleuteld alvorens te worden verzonden of opgeslagen. Ook gebruikt Effectory andere beveiligingstechnieken om gegevens te beschermen. De medewerkers van Effectory zijn verplicht om gegevens geheim te houden. Daarnaast worden de gegevens door Effectory onomkeerbaar geanonimiseerd alvorens deze door hen (namens de organisatie) aan Stichting ICTU worden verstrekt t.b.v. het tweede doel van het concept InternetSpiegel. Onafhankelijke auditors verzorgen geregeld controles op de beveiliging bij Effectory. Voor meer informatie zie de website van Effectory.

Medewerkers doen op vrijwillige basis mee aan de medewerkersonderzoeken van het concept InternetSpiegel. Zij krijgen in de uitnodiging voor deelname aan InternetSpiegel-onderzoeken in opdracht van hun werkgever een link naar een privacyverklaring (zie hieronder) waarin zij geïnformeerd worden over hoe er binnen het concept InternetSpiegel met persoonsgegevens wordt omgegaan. Betrokkenen moeten over alle informatie beschikken over wat er met hun gegevens voorzienbaar gaat gebeuren, dus ook dat de gegevens in geanonimiseerde vorm worden verstrekt aan een derde (ICTU), zodat zij zelf kunnen beoordelen of zij onder die voorwaarde hun gegevens willen aanleveren of niet. Werkgevers doen er goed aan om al in een eerder stadium te communiceren over de AVG; d.w.z. voorafgaand aan het moment dat zij de persoonsgegevens delen met Effectory.

Welke maatregelen worden genomen op het gebied van privacy en informatiebeveiliging?

Vanuit haar regierol heeft ICTU in de aanbesteding van het concept InternetSpiegel eisen gesteld aan inschrijvers met betrekking tot compliance met de Algemene Verordening Gegevensbescherming (AVG) en overige wet- en regelgeving op het gebied van verwerking van persoonsgegevens en informatiebeveiliging. Meer informatie over de uitvraag is te vinden via de website van TenderNed. Effectory voldoet ruimschoots aan deze eisen.

Uitgebreide vragen over hoe de informatiebeveiliging bij Effectory is geregeld, kun je vinden op het Security Center van Effectory.

Meer informatie

Onderstaande documenten en pagina’s kunnen gewijzigd zijn. Raadpleeg altijd de knoppen hieronder voor de meest actuele versie.

Algemene voorwaarden

Algemene Voorwaarden Verwerking Persoonsgegevens InternetSpiegel

Download
AVG-rollen

Algemene Verordening Gegevensbescherming-rollen binnen InternetSpiegel

Download
DPIA

Data Protection Impact Assessment van InternetSpiegel

Download
Statistisch beleidsonderzoek

Memo Statistisch beleidsonderzoek ICTU InternetSpiegel en de AVG

Download
Privacyoverenkomst

Privacyverklaring voor medewerkers t.b.v. InternetSpiegel-medewerkersonderzoek

Download
Security Center Effectory

Informatiebeveiligings- en privacymaatregelen van Effectory

Ga naar pagina

Vragen?

Heb je vragen over de constructie, privacy en informatiebeveiliging van het concept InternetSpiegel? Neem dan contact op via onderzoek@ictu.nl.