Privacyverklaring

Privacyverklaring MijnOverheid

27 juli 2023 - versie 2.4

1. Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?

De Minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor MijnOverheid. Het beheer van MijnOverheid wordt uitgevoerd door Logius. Logius is onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.

2. Waarom worden persoonsgegevens verwerkt?

MijnOverheid verwerkt persoonsgegevens voor meerdere functies:

Berichtenbox: Een persoonlijke postbus voor het ontvangen van digitale post van de overheid. De Berichtenbox functionaliteit is toegankelijk via MijnOverheid en beschikbaar als app (''Berichtenbox app'') voor smartphones en tablets.
Lopende Zaken: Een functie binnen MijnOverheid waar een gebruiker inzage heeft in de voortgang van zaken die lopen bij organisaties die hierop aangesloten zijn.
Persoonlijke Gegevens: Een functie binnen MijnOverheid waar een gebruiker inzage heeft in de gegevens die geregistreerd staan bij organisaties die hierop aangesloten zijn op MijnOverheid en ook beschikbaar zijn als app (''MijnGegevens app'') voor smartphones en tablets.
Algemene Bekendmakingen: een functionaliteit binnen MijnOverheid waarmee een gebruiker (algemene) bekendmakingen, mededelingen en kennisgevingen die betrekking hebben op de directe woonomgeving daar kunnen inzien en (als de gebruiker een e-mailadres heeft opgegeven) automatisch per e-mail word geattendeerd op nieuwe publicaties.

MijnOverheid verwerkt daarbij persoonsgegevens voor de volgende doeleinden:

de inrichting, beschikbaarstelling, instandhouding en (adequate) werking van MijnOverheid;
het weergeven van informatie, berichten en gegevens:
op de website van MijnOverheid;
in de Berichtenbox app;
in de MijnGegevens app;
het aanmaken van MijnOverheid-accounts;
het personaliseren van MijnOverheid-accounts;
het gebruik van de hierboven vermelde functies van MijnOverheid;
het verstrekken van persoonsgegevens aan (overheids-)organisaties belast met een publieke taak en die aangesloten zijn op MijnOverheid, zoals nader beschreven onder 6;
de (informatie)beveiliging en zorgen voor de betrouwbaarheid van MijnOverheid, zoals het tegengaan van misbruik en oneigenlijk gebruik en de analyse van (beveiligings-) incidenten;
gebruikersondersteuning inclusief het afhandelen van vragen en klachten van gebruikers;
bezoekersstatistieken, trendanalyse en usability onderzoek inzake MijnOverheid;
bij het verstrekken van persoonsgegevens ingevolge een wettelijke verplichting.

MijnOverheid is te bereiken via de website http://mijn.overheid.nl .

Voor mobiele apparaten zijn de Berichtenbox app en MijnGegevens app beschikbaar, via de App-store van Apple en de Google Play store. De Berichtenbox app en de Mijn Gegevens app tonen (een selectie van) dezelfde persoonsgegevens en verwerken deze voor dezelfde doeleinden, als hierboven vermeld voor de website van MijnOverheid.

3. Grondslag voor het verwerken van persoonsgegevens

De grondslag voor het verwerken van persoonsgegevens is het Besluit digitale overheid, dat gebaseerd is op de Wet digitale overheid.

4. Welke persoonsgegevens worden verwerkt?

Bij een bezoek aan de website van MijnOverheid, zonder in te loggen op een MijnOverheid-account, worden de volgende persoonsgegevens verwerkt:

IP-adres en kenmerken van de gebruikte software en hardware van het apparaat waarmee de bezoeker de website bezoekt.

Bij het gebruik van MijnOverheid worden de volgende persoonsgegevens van de gebruiker verwerkt:

het burgerservicenummer;
naam, adres, geboortedatum, eventuele datum van overlijden, nationaliteit, en gegevens om vast te kunnen stellen of iemand in aanmerking komt voor een MijnOverheid-account;
indien van toepassing: voorvoegsel en achternaam van (ex)partner(s);
indien van toepassing: datum beëindiging huwelijk(en) en/of datum beëindiging geregistreerd partnerschap(pen);
gegevens over het aanmaken of wijzigen van een MijnOverheid-account;
berichtvoorkeur (van welke afnemers wil een gebruiker berichten ontvangen);
IP-adres en kenmerken van de gebruikte software en hardware van het apparaat waarmee de gebruiker inlogt;
e-mailadres (niet verplicht);
inloghistorie zoals het tijdstip van begin en einde sessie;
gegevens over navigatie en handelingen van de gebruiker;
gegevens over het opvragen, tonen of wijzigen van gegevens of het falen van functies;
gegevens over de verzending van e-mailnotificaties en het eventueel falen daarvan;
gegevens over een eventueel gemachtigde in MijnOverheid, zoals diens naam, geboortedatum en burgerservicenummer, handelingen van de gemachtigde, of het falen van functies in MijnOverheid;
vragen, klachten en contactgegevens (zoals naam, e-mailadres en/of telefoonnummer) van personen die contact opnemen met de Helpdesk van MijnOverheid.

Bij het gebruik van de Berichtenbox app en/of de MijnGegevens app worden, om de gegevens vanuit het MijnOverheid-account te kunnen tonen, de persoonsgegevens verwerkt die ook onder ‘het gebruik van MijnOverheid’ zijn genoemd. Daarbij worden, als uitgangspunt, zo min mogelijk gegevens lokaal -op het mobiele apparaat zelf- opgeslagen. Uitzondering hierop zijn bijlagen bij berichten. Indien een gebruiker van de Berichtenbox app een bijlage bij een bericht opent, wordt -voor de goede werking van de app- (alleen) die bijlage lokaal opgeslagen en beveiligd met een encryptietoken. Deze bijlage blijft lokaal opgeslagen totdat de gebruiker de app verwijdert. Een notificatietoken wordt ingezet om de gebruiker op de juiste manier, beveiligd, notificaties te kunnen tonen bij het gebruik van de Berichtenbox app.

Onderdelen van de Berichtenbox app en/of de MijnGegevens app zijn afkomstig van Microsoft en Google en zijn opgenomen vanwege ondersteunings- en beheerfunctionaliteit vanuit de app-ontwikkeling. Specifiek zijn Microsoft App Center-onderdelen nodig voor technische ondersteuning en monitoring van het functioneren van de app, waaronder informatie bij crashes van de app.
Het Google Firebase-onderdeel is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit op het Google-platform. Hierbij worden geen persoonsgegevens naar Microsoft of Google verstuurd.

Voorkomen en beëindigen van misbruik en oneigenlijk gebruik

Misbruik en oneigenlijk gebruik kan bestaan uit:

aantastingen van en inbreuken op de technische beveiliging zoals hacken en DDoS-aanvallen;
als anderen (met of zonder toestemming) iemands digitale identiteit gebruiken om gegevens en berichten in te zien in MijnOverheid, of instellingsvoorkeuren van MijnOverheid en de Berichtenbox aan te passen.

Logius bestrijdt dit om continuïteit van onze dienstverlening te waarborgen en om te voorkomen dat mensen de dupe worden van cybercrime zoals phishing en in samenwerking met publieke dienstverleners fraude tegen te gaan. We nemen elke melding serieus. Als het om phishing gaat, halen we uit voorzorg de betreffende websites, apps en domeinnamen offline. Hierdoor is de kans dat criminelen misbruik kunnen maken van de gevoelige gegevens, kleiner.

Met onze ketenpartners werken we mee aan onderzoeken die mogelijk misbruik en oneigenlijk gebruik van onze diensten in kaart brengen. Als er aanwijzingen zijn van misbruik of oneigenlijk gebruik van DigiD, DigiD Machtigen, BSNk of MijnOverheid mag Logius deze verder onderzoeken. Daarbij mogen Logius en haar partners onderling gegevens delen. Op basis van de uitkomsten van het onderzoek kan Logius besluiten of er maatregelen nodig zijn zoals de toegang via DigiD of DigiD Machtigen tot MijnOverheid te onderbreken of beëindigen.

Als anderen de persoonsgegevens kunnen inzien in een MijnOverheid account, die niet van hen is, of berichten kunnen lezen die niet voor hen bedoeld zijn, kan die persoon van wie het MijnOverheid account is de dupe worden van identiteitsfraude. In nauwe samenwerking met andere overheidsorganisaties helpt Logius mensen als het misgaat. We nemen contact op en begeleiden u in het controleren van uw MijnOverheid account. Zo blijven uw gegevens en berichten van u persoonlijk en heeft u wat nodig is om zaken digitaal te regelen met de overheid.

Alle in onderdeel 4 genoemde gegevens kunnen worden gebruikt bij het voorkomen en beëindigen van misbruik en oneigenlijk gebruik. Voor het onderzoek worden echter alleen de hoogstnoodzakelijke gegevens gebruikt. Welke gegevens dat zijn, varieert per situatie.

5. Cookies en statistische informatie

MijnOverheid verzamelt statistieken in een systeem voor analysedoeleinden. Dit wordt gedaan om MijnOverheid nog beter af te stemmen op de gebruiker. Daarvoor wordt gebruik gemaakt van een cookie met een anoniem visitor-id. Deze visitor-id wordt gebruikt bij terugkerende bezoeken, maar is niet herleidbaar tot een persoon. Daarnaast wordt een deel van het IP-adres geregistreerd waardoor er in beeld is vanuit welke landen mensen gebruikmaken van MijnOverheid.

De herleidbaarheid naar het oorspronkelijk IP-adres wordt zoveel mogelijk beperkt door de laatste twee groepen getallen van elk IP-adres te verwijderen. Bij IPv6 geldt dit voor de laatste vijf groepen. Het resterende deel van het IP-adres is daarmee niet meer te herleiden tot een individueel persoon. Er is dus geen sprake meer van persoonsgegevens.

Om gebruik te kunnen maken van MijnOverheid worden zogenaamde sessiecookies aangemaakt zodra de gebruiker inlogt. Een sessiecookie is noodzakelijk voor het gebruik van MijnOverheid.
Het sessiecookie verdwijnt zodra de gebruiker uitlogt of wanneer de sessie na een bepaalde tijd automatisch verloopt.

MijnOverheid maakt ook gebruik van een permanente cookie. Deze wordt onder meer aangemaakt als de smartbanner, waarmee de MijnOverheid website de Berichtenbox app onder de aandacht brengt, wordt weg geklikt of als iemand een mobiele telefoon gebruikt en via de website op MijnOverheid komt. Er komt dan een melding dat er ook een mobiele versie is, namelijk de Berichtenbox app. Zo’n melding wordt een smartbanner genoemd. Om te voorkomen dat iemand de smartbanner nog een keer krijgt in de eerste 30 dagen na het wegklikken, wordt zo’n permanente cookie ingezet. Deze cookie bevat geen persoonsgegevens.

6. Aan wie worden persoonsgegevens verstrekt?

Aan (overheids)organisaties die aangesloten zijn op de Berichtenbox van MijnOverheid, verstrekt MijnOverheid het burgerservicenummer en de berichtvoorkeur (wil de gebruiker van deze afnemers berichten ontvangen). Deze worden verstrekt, zodat de (overheids)instelling op basis hiervan berichten kan aanleveren bij MijnOverheid en MijnOverheid de aflevering van deze berichten aan deze (overheids)instelling kan bevestigen. Aan (overheids)organisaties, die de Berichtenbox als verplicht kanaal voor elektronisch berichtenverkeer hebben aangewezen (bijvoorbeeld de Belastingdienst), verstrekt MijnOverheid informatie of een gebruiker zijn MijnOverheid-account wel of niet heeft geactiveerd.

Logius gebruikt voor haar gebruikersondersteuning een private partij, die de “eerstelijns ondersteuning” op zich neemt. Daarnaast maakt Logius gebruik van de diensten van een private partij voor het houden van klanttevredenheidsonderzoek, om zo te kunnen zien of de gebruiker tevreden is met de geboden hulp.

Deze partijen verwerken ten behoeve van Logius persoonsgegevens van gebruikers die contact opnemen met de Helpdesk van MijnOverheid. Met deze partijen zijn verwerkersovereenkomsten gesloten. Wanneer u contact opneemt met de Helpdesk van MijnOverheid, worden persoonsgegevens ook verwerkt door deze verwerkers.

Verder worden er geen persoonsgegevens aan derden verstrekt zonder voorafgaande ondubbelzinnige toestemming van de gebruiker. Uitzonderingen hierop zijn een wettelijke verplichting om gegevens te verstrekken (zoals de wettelijke plicht om op verzoek gegevens te verstrekken aan opsporingsdiensten), of het verstrekken van gegevens aan een overheidsorgaan of rechtspersoon met een wettelijke taak die noodzakelijk is voor de borging van de beveiliging en betrouwbaarheid van MijnOverheid.

Dat betekent onder meer dat bij (beveiligings-) incidenten, om misbruik en oneigenlijk gebruik van MijnOverheid te voorkomen en beëindigen, Logius de authenticatiedienst DigiD en de betrokken aangesloten (overheids)organisatie(s) mag informeren en daarvoor noodzakelijke gegevens kan verstrekken.

7. Bewaren van persoonsgegevens

Persoonsgegevens worden bewaard op computerservers die zich bevinden op Nederlands grondgebied en die worden beheerd door Logius. Uw persoonsgegevens worden niet doorgegeven aan landen buiten de EU.

De gegevens die ten behoeve van MijnOverheid verwerkt worden, moeten bewaard worden volgens de geldende wettelijke bewaartermijnen. Deze termijnen zijn gesteld om burgers bepaalde informatie te kunnen geven als zij hier om vragen, en om te voldoen aan de zorgplicht van de Minister van Binnenlandse Zaken en Koninkrijksrelaties om beveiliging en betrouwbaarheid van deze voorzieningen te garanderen.

De voorgeschreven bewaartermijn kan per persoonsgegeven verschillen, omdat hier andere veiligheidsaspecten voor gelden. De bewaartermijnen voor MijnOverheid variëren tussen maximaal 18 maanden en maximaal 5 jaar. De precieze bewaartermijnen zijn vastgelegd in artikel 13 van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur.

Bij het gebruik van de Berichtenbox app worden bijlagen, bij het openen ervan, lokaal opgeslagen en blijven bewaard zolang de app op het mobiele apparaat staat. Andere persoonsgegevens, die worden getoond in de Berichtenbox app of de MijnGegevens app, worden niet lokaal opgeslagen. De (persoons)gegevens die lokaal op het mobiele apparaat worden opgeslagen, worden beveiligd met een encryptietoken.

8. Uw rechten ten aanzien van uw persoonsgegevens

Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden.
Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan MijnOverheid:

Recht om te weten te komen of wij persoonsgegevens van u verwerken en het recht op inzage in uw persoonsgegevens.
Recht om uw persoonsgegevens te verbeteren, aan te vullen of de verwerking ervan te beperken, rekening houdende met de hiervoor omschreven doeleinden.
Recht om uw persoonsgegevens te verwijderen, bijvoorbeeld als deze gegevens niet langer nodig zijn voor de hiervoor omschreven doeleinden.
Recht op bezwaar tegen de verwerking van uw persoonsgegevens wegens met uw specifieke situatie verband houdende redenen.

Als gebruiker van MijnOverheid is uw gebruikersnaam, burgerservicenummer, e-mailadres en gebruiksgeschiedenis in te zien door in te loggen op de website van MijnOverheid. Het e-mailadres kunt u zelf wijzigen.

U kunt een verzoek indienen door een e-mail (aan info@mijn.overheid.nl) of een brief te sturen (MijnOverheid - Postbus 96810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek wordt u gevraagd zich te identificeren.

Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen.

9. Beveiliging van uw persoonsgegevens

Wij treffen passende technische en organisatorische maatregelen, opdat uw persoonsgegevens adequaat beveiligd zijn. Deze maatregelen zijn beschreven in de Wet Digitale Overheid en bijbehorende regelingen en dienen om inbreuken op en aantastingen van de beveiliging en de processen van MijnOverheid te voorkomen.

Onder informatiebeveiliging vallen tevens de maatregelen om de betrouwbaarheid van MijnOverheid te kunnen waarborgen. Om misbruik en oneigenlijk gebruik van MijnOverheid te kunnen signaleren en beëindigen, voeren we controles uit op de gegevens. Mocht een MijnOverheid-account niet meer in veilige handen zijn, dan kunnen we passende maatregelen nemen.

De Berichtenbox app en de MijnGegevens app voldoen aan beveiligingsmaatregelen die vergelijkbaar zijn met de beveiligingsmaatregelen van de website van MijnOverheid. Ook maakt de Berichtenbox app en de MijnGegevens app gebruik van de veiligheidsmechanismen van het besturingssysteem van het mobiele apparaat.

De gebruiker is zelf verantwoordelijk voor de beveiliging van zijn mobiele apparaat.

Voor de Berichtenbox app en/of de MijnGegevens app kunnen zo nu en dan updates via de app-store worden gedownload en geïnstalleerd. Deze updates zijn bedoeld om de apps te verbeteren, uit te breiden of verder te ontwikkelen en kunnen bestaan uit oplossingen voor programmafouten, geavanceerde functies, nieuwe softwaremodules of volledig nieuwe versies. Zonder deze updates is het mogelijk dat de Berichtenbox app of de MijnGegevens app niet of niet behoorlijk functioneert.

10. Wijziging privacyverklaring

Wij kunnen deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op onze website https://mijn.overheid.nl publiceren waarna deze privacyverklaring direct van kracht is.

11. Wat als ik vragen of klachten heb?

U kunt uw vragen, opmerkingen of suggesties aan MijnOverheid doorgeven via het contactformulier, telefonisch via nummer 1400 of door een brief te schrijven naar Logius, postbus 96810, 2509 JA Den Haag.

Het ministerie van BZK heeft een functionaris voor gegevensbescherming. Deze functionaris houdt intern toezicht op de privacywetgeving. U kunt contact met deze functionaris opnemen via postbusfg@minbzk.nl.

De Autoriteit Persoonsgegevens houdt extern toezicht op de naleving van de privacywetgeving. U heeft het recht om bij de autoriteit een klacht over Logius in te dienen. Dat kan online [https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen-bij-de-ap], of bel 088 - 180 52 50.

Veelgestelde vragen

Lees hier meer over in de Privacyverklaring, https://mijn.overheid.nl/privacy.

U bent de enige die hier toegang toe heeft.

Heeft u iemand gemachtigd? Dan kan deze persoon gemachtigde berichten uit uw Berichtenbox lezen. Deze persoon heeft geen toegang tot andere gegevens in uw MijnOverheid-account.

Ja, MijnOverheid maakt gebruik van een zogenaamde sessie-cookie. Dit is een cookie die wordt aangemaakt als u inlogt. Logt u uit? Dan verdwijnt deze cookie. Een sessie-cookie bevat geen inhoudelijke gegevens en wordt niet op uw apparaat (bijvoorbeeld uw pc, tablet of smartphone) opgeslagen.

Hiernaast wordt voor het maken van de statistieken gebruik gemaakt van een cookie met anoniem visitor-id. Deze visitor-id is niet herleidbaar tot een persoon, maar kan wel worden gebruikt bij terugkerende bezoeken.

Bekijk alle veelgestelde vragen