Algemeen Privacyreglement Metropoolregio Eindhoven

Het Dagelijks Bestuur van de Metropoolregio Eindhoven,

 

 

overwegende dat het Algemeen Privacyreglement een uitwerking vormt van de Algemene Verordening Gegevensbescherming (AVG) en een praktische handleiding voor de organisatie;

de regels en uitgangspunten geeft voor de eerlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens,

 

 

Besluit:

 

het Algemeen Privacyreglement vast te stellen.

Algemeen Privacyreglement

 

In dit reglement laat de Metropoolregio Eindhoven zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is.

 

Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de bestuurlijke agenda. Overheidsorganisaties hebben de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar ze actief zijn. Zo zijn ze verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van burgers. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van overheidsorganisaties. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.

 

1. Wetgeving en definities

 

Op 25 mei 2018 is de Europese Verordening; de Algemene Verordening Gegevensbescherming (hierna AVG) in werking getreden. Deze verordening regelt het juridische kader voor de omgang met persoonsgegevens in de Europese Unie en daarmee ook in Nederland. De AVG zorgt onder andere voor versterking en uitbreiding van de privacy rechten met meer verantwoordelijkheden voor organisaties.

 

De volgende begrippen worden in de AVG gebruikt:

 

Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon, een mens dus, op wie de persoonsgegevens betrekking hebben. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. De betrokkene is degene van wie de gegevens worden verwerkt. Dit is niet alleen een burger, maar heeft bijvoorbeeld ook betrekking op een medewerker van de overheidsorganisatie, of de contactpersoon van een organisatie waar de Metropoolregio Eindhoven mee werkt.

 

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon. Denk hierbij aan naam, adres, woonplaats, geboortedatum of -plaats, e-mailadres, handtekening, telefoonnummer, inkomen of geslacht. Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Deze gegevens mogen in beginsel niet worden verwerkt. Of alleen worden gebruikt bij uitdrukkelijke toestemming van de betrokkene, tenzij naar Nederlands recht het verwerkingsverbod niet kan worden opgeheven, wanneer de gegevens door de betrokkene duidelijk openbaar zijn gemaakt of wanneer de wet het toestaat.

 

Privacy Impact Assessment (PIA) / gegevensbeschermingseffectbeoordeling: een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens welke voorafgaande aan de verwerking moet worden uitgevoerd wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Met een PIA worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy.

 

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

 

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

 

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Een verwerking is feitelijk alles wat je met een persoonsgegeven doet.

 

Overige wetgeving om in het bijzonder rekening mee te houden:

 

Wet openbaarheid van bestuur ( Wob ): Via de Wob (en straks wellicht de Wet Open Overheid) kun je een verzoek om informatie indienen bij de Metropoolregio Eindhoven. Bij het verzoek bekijkt de organisatie altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

 

Archiefwet 1995: nadat de krachtens selectielijsten blijvend te bewaren archiefbescheiden zijn overgebracht naar de archiefbewaarplaats zijn deze openbaar tenzij bij overbrenging hieraan openbaarheidsbeperkingen zijn gesteld. Bij overbrengen bekijkt de organisatie altijd of het openbaar beschikbaar stellen geen onredelijke inbreuk maakt op de persoonlijke levenssfeer van betrokkenen.

 

Wet hergebruik van overheidsinformatie: De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt de organisatie altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

 

2. Reikwijdte

 

Het algemeen privacyreglement is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van de Metropoolregio Eindhoven. Oftewel: voor alle verwerkingen die binnen de voormelde organisatie plaatsvinden. Dit algemeen privacyreglement vormt een verdere uitwerking van de wettelijke regelgeving en een praktische handleiding voor de organisatie. Het geeft de regels en uitgangspunten voor de eerlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens. Op die manier kan hiermee een nog betere verwerking van persoonsgegevens plaatsvinden binnen de organisatie.

 

3. Verantwoordelijke voor de verwerking

 

De bestuursorganen van de Metropoolregio Eindhoven zijn allemaal verantwoordelijken voor de verwerkingen die door of namens de organisatie worden uitgevoerd. Het bestuur van het de Metropoolregio Eindhoven bestaat uit een algemeen bestuur, een dagelijks bestuur, een voorzitter alsmede alle ingestelde bestuurs- en adviescommissies.

 

4. Verwerkingen

 

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. Wij verzamelen en verwerken als overheidsorganisatie persoonsgegevens. Het gaat bijvoorbeeld om de diverse processen zoals: benoemen van bestuurders, benoemen van ambtenaren, verzenden nieuwsbrieven, betalen van declaraties, betalen en innen van facturen, aangaan/wijzigen/beëindigen contracten, subsidies, bezoeker statistieken/analyses/logboeken websites, bezoekers-/aanvraagregistratie studiezaal, et cetera

 

Onder verwerken worden in ieder geval de volgende handelingen begrepen:

 

  • 1.

    Verzamelen, vastleggen en ordenen.

 

  • 2.

    Bewaren, bijwerken en wijzigen.

 

  • 3.

    Opvragen, raadplegen, gebruiken.

 

  • 4.

    Verstrekken door middel van doorzending.

 

  • 5.

    Verspreiding of enige andere vorm van ter beschikkingstellen.

 

  • 6.

    Samenbrengen, met elkaar in verband brengen.

 

  • 7.

    Afschermen, uitwissen of vernietigen van gegevens.

 

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

 

5. Doeleinden

 

Algemeen uitgangspunt is dat persoonsgegevens alleen verzameld worden als daarvoor een doel bestaat. Dit doel moet welbepaald, duidelijk omschreven en gerechtvaardigd zijn. Ook moet steeds nagegaan worden of het verwerken van persoonsgegevens noodzakelijk is voor het doel. De verwerkingsdoelen zijn het ‘waarom’ van het verwerken van persoonsgegevens. Doelen zijn van belang voor verschillende normen. Denk hierbij aan onder andere het bepalen wie verantwoordelijk is voor de verwerking van persoonsgegevens. Of de vraag of het delen van deze gegevens met andere organisaties is toegestaan. Ook zijn doelen van belang voor het vaststellen van bewaartermijnen en het informeren van de burger. Zo weet je hoe lang het nodig is om de persoonsgegevens te bewaren of waar je burgers over moet informeren. Persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt.

 

Voor de uitvoering van diverse wetten zal in die wet dikwijls zijn aangegeven welke persoonsgegevens nodig zijn en dus verwerkt mogen worden. Daar waar over verwerking van persoonsgegevens in bijzondere wetgeving niets is geregeld, gelden dus de strenge regels van de AVG (en de daarmee samenhangende nadere uitwerking in de Uitvoeringswet AVG).

 

Een belangrijke eis is dat doelen vooraf specifiek geformuleerd moeten zijn. De doelen mogen dus niet te ruim en vaag omschreven zijn of achteraf bepaald worden. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd bij inachtneming van het beginsel van minimale gegevensverwerking. Verwerking voor een ander doel dan het oorspronkelijke doel is alleen onder strikte voorwaarden toegestaan. Zo zal er een directe relatie moeten zijn met het doel waarvoor de persoonsgegevens eerder zijn verzameld. Ook moet men rekening houden met de soort gegevens. Algemeen geldt: hoe gevoeliger het gegeven, hoe minder snel er sprake is van verenigbaar gebruik en de gegevens niet verder mogen worden verwerkt. Dus niet mogen worden gebruikt voor een ander doel dan waarvoor deze eerder zijn verzameld. Ook moet men rekening houden met de gevolgen van de beoogde verwerking voor de betrokkene. Denk hierbij aan het vooraf inlichten van de burger over het doel waarvoor de gegevens worden gebruikt als de burger zijn persoonsgegevens aan de Metropoolregio Eindhoven geeft.

 

6. Rechtmatige grondslag

 

De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dit betekent dat we als overheidsorganisatie moeten verantwoorden op basis waarvan we persoonsgegevens van bijvoorbeeld een burger verwerken. Een uitzondering hierop is het hiervoor besproken geval waarin persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze zijn verzameld. Dit is onder strikte voorwaarden toegestaan. Een goed voorbeeld hiervan is het verder gebruiken van de gegevens voor wetenschappelijk onderzoek en statistiek.

 

Iedere verwerking van persoonsgegevens moet kunnen worden gebaseerd op ten minste één van de volgende zes grondslagen:

 

  • 1.

    de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend;

 

  • 2.

    de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, waarbij ook rekening moet worden gehouden met de onderhandelingsfase, bijvoorbeeld een sollicitant die een arbeidsrelatie aangaat met de organisatie;

 

  • 3.

    de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de organisatie onderworpen is, bijvoorbeeld de verplichting tot loonaangifte of een bewaarplicht;

 

  • 4.

    de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene (in het kader van leven of dood, bijvoorbeeld delen van gegevens bij opname spoedeisende hulp);

 

  • 5.

    de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

 

  • 6.

    de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de overheidsorganisatie of van een derde aan wie de gegevens worden verstrekt. dit moet een gerechtvaardigd belang zijn en hierbij geldt dat de rechten en belangen van de betrokkene zwaarder wegen dat de belangen van de verantwoordelijke.

 

Voor alle grondslagen zal er altijd een noodzaak moeten zijn om die gegevens te verwerken. Of het verwerken van bepaalde gegevens noodzakelijk is, moet altijd gemotiveerd worden.

 

Van de zes grondslagen zijn voor de Metropoolregio Eindhoven in de praktijk de wettelijke grondslag en de goede vervulling van een publiekrechtelijke taak leidend. Doordat er tussen de organisatie en de betrokkene een afhankelijkheidsrelatie bestaat, zal de grondslag met betrekking tot toestemming zelden kunnen worden gebruikt. Voor veel voorzieningen moet de betrokkene aankloppen bij de overheidsorganisatie en is de betrokkene dus afhankelijk. Alleen in uitzonderlijke situaties is toestemming van de betrokkene een grondslag.

 

Voor de interne bedrijfsvoering van de Metropoolregio Eindhoven, voor de medewerkers dus, speelt ook de grondslag gerechtvaardigd belang een rol. Denk hierbij aan de vraag of de organisatie het recht heeft om e-mail, internet- en telefoongebruik door medewerkers te controleren. Het gerechtvaardigd belang mag nooit als reden van de verwerking van gegevens van betrokkenen worden gebruikt.

 

7. Wijze van verwerking

 

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt. In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

 

Persoonsgegevens moeten dus juist, ter zake dienend, up-to-date en niet bovenmatig veel zijn in het licht van het doel van de verwerking. Dit betekent dat alleen die persoonsgegevens mogen worden gebruikt die strikt noodzakelijk zijn voor het doel van de verwerking. Wanneer het bijvoorbeeld voldoende is om iemands contactgegevens te gebruiken, is het niet nodig om ook een pasfoto en BSN te vragen. Sowieso gelden voor het gebruik van het BSN strenge regels. Wanneer ook met anonieme gegevens volstaan kan worden, mogen geen herleidbare persoonsgegevens gebruikt worden.

 

7.1 Organisatorische maatregelen

 

De Metropoolregio Eindhoven zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht. Ook is het van belang dat de personen die daadwerkelijk werken met deze gegevens weten wat hun verantwoordelijkheid is en hoe ze zorgvuldig om moeten gaan met persoonsgegevens. Het is dus belangrijk dat de medewerkers van de Metropoolregio Eindhoven zich bewust zijn van de regels en gedragsnormen rondom privacy. Deze organisatorische maatregelen dragen ook bij aan een bewustwording binnen de organisatie. Denk hierbij aan het ontwikkelen van specifieke privacy protocollen en afwegingskaders, maar ook in de vorm van het ondersteunen van de medewerkers door privacy trainingen en kennissessies. De medewerkers moeten zich bewust zijn van het belang van privacy. Zo moeten zij persoonsgegevens verwerken zoals is bepaald in het algemeen privacybeleid, algemeen privacyreglement en de bijbehorende privacyregelingen.

7.2 Beveiliging

 

Daarnaast beveiligt de Metropoolregio Eindhoven alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Als uitgangspunt geldt dat naarmate de risico’s van de verwerking hoger liggen er betere beveiligingsmaatregelen moeten worden getroffen. De Metropoolregio Eindhoven heeft hiervoor een specifiek beleid opgesteld in de vorm van het Informatiebeveiligingsbeleid. Het is aan de Metropoolregio Eindhoven om te bepalen hoe de persoonsgegevens organisatorisch en technisch moeten worden beveiligd. Hoe de Metropoolregio Eindhoven dit doet staat in het informatiebeveiligingsbeleid van de organisatie en in een eventueel aanvullend beveiligingsplan specifiek opgesteld voor een proces of registratie.

 

Middels steekproeven wordt gecontroleerd of het gebruik van de systemen en de verwerking van persoonsgegevens in lijn is met de wet- en regelgeving, het privacybeleid en dit reglement. Ook voor overige systemen wordt gebruik gemaakt van het loggen van gegevens. Indien daar aanleiding toe is, zal ook hier worden gecontroleerd of de systemen en verwerking van persoonsgegevens worden gebruikt conform de wet- en regelgeving, het privacybeleid en dit reglement.

 

7.3 Melden verwerkingen

 

Zodra er een functionaris voor de gegevensbescherming (FG) is aangesteld bij de Metropoolregio Eindhoven, wat verplicht is per 25 mei 2018, moet een gegevensverwerking met een bepaald risico bij deze functionaris worden gedaan.

 

7.4 Voorafgaand onderzoek

 

Bepaalde verwerkingen van persoonsgegevens zijn zo privacygevoelig dat deze voorafgaand moeten worden onderzocht door de Autoriteit Persoonsgegevens. Deze toetst dan of de verwerkingen in overeenstemming zijn met de wet. De Metropoolregio Eindhoven is verplicht om zelf, wanneer het nodig is, een voorafgaand onderzoek te melden via het algemene meldingsformulier bij de Autoriteit Persoonsgegevens.

 

Tijdens het voorafgaand onderzoek moet het gebruik van deze gegevens worden gestopt totdat het onderzoek is afgerond of bericht is ontvangen dat er geen verder onderzoek wordt ingesteld. Een voorafgaand onderzoek is verplicht, als:

 

  • 1.

    Een BSN wordt verwerkt voor een ander doel dan waarvoor het BSN specifiek is bedoeld;

 

  • 2.

    Een onderzoek plaatsvindt naar bijvoorbeeld een burger zonder dat deze burger wordt ingelicht (denk aan internetonderzoek en stamboekonderzoek); en

 

  • 3.

    Kennis over onrechtmatig of strafrechtelijk gedrag van een burger wordt gedeeld met andere partijen.

 

8. Doorgifte aan derden

 

Persoonsgegevens mogen in principe niet worden doorgegeven naar een organisatie in een land buiten de EU. Dit komt omdat binnen de EU een goede bescherming voor de persoonsgegevens is, en daarbuiten niet in alle gevallen. Onder doorgifte wordt o.a. verstaan: het opslaan (bijvoorbeeld in de Cloud) of het ter beschikking stellen aan een organisatie buiten de EU. Hieronder valt niet het via internet zichtbaar maken van persoonsgegevens aan personen buiten de EU. De Metropoolregio Eindhoven geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

9. Transparantie en communicatie

 

9.1 Informatieplicht

 

Betrokkenen moeteninformatie worden verschaft over de verwerking van de eigen persoonsgegevens door de Metropoolregio Eindhoven. Het moment van informeren en de manier waarop is afhankelijk van de vraag hoe de persoonsgegevens worden verzameld. Namelijk, zijn de gegevens rechtstreeks van de betrokkene verkregen of op een andere manier. In bepaalde gevallen verwerkt de Metropoolregio Eindhoven persoonsgegevens op basis van een wettelijke verplichting en is zij niet verplicht om de betrokkene te informeren zoals bijvoorbeeld de belastingdienst.

 

Als de persoonsgegevens door de burger of medewerker zelf worden aangeleverd, dan moet deze over de verwerking van zijn gegevens vooraf worden geïnformeerd. Als persoonsgegevens over de betrokkene niet direct bij deze persoon maar ergens anders, zoals een andere organisatie, dan hoeft de betrokkene pas op een later moment geïnformeerd te worden. De burger moet dan pas geïnformeerd worden als die persoonsgegevens door de Metropoolregio Eindhoven worden vastgelegd. Of op het moment dat de gegevens voor het eerst aan een andere organisatie worden gegeven en dit uiteraard nodig is.

 

9.2 Inzage

 

Betrokkenen hebben recht op inzage in de eigen persoonsgegevens. De betrokkene hoeft geen reden op te geven voor zijn inzageverzoek, maar hij mag niet overdreven veel verzoeken in korte tijd indienen. Als een betrokkene vraagt om inzage, dan heeft hij of zij recht op een volledig overzicht van de gegevens die worden gebruikt. Ook moet inzage worden gegeven in de herkomst van de gegevens, de ontvangers van de gegevens en de doelen van de verwerking van de persoonsgegevens. De Metropoolregio Eindhoven zorgt ervoor dat aan dit verzoek tijdig en volledig wordt voldaan. Voor hetgeen in de archiefbewaarplaats berust zal een verzoek worden geweigerd indien dat verzoek om inzage zodanig ongericht is dat deze in redelijkheid niet kan worden ingewilligd.

 

9.3 Correctie en verwijdering

 

Naast een recht op inzage heeft de betrokkene ook recht op correctie, aanvullen, verwijderen of afschermen van de eigen persoonsgegevens. Aan dit verzoek moet alleen gehoor worden gegeven als de gegevens onjuist zijn of onvolledig zijn voor het doel waarvoor de gegevens worden verzameld. Dit verzoek moet ook worden gerespecteerd als de gegevens niet relevant zijn of in strijd met de wet worden gebruikt. In geval de gegevens zich in de archiefbewaarplaats bevinden, wordt in plaats van correctie de betrokkene in de gelegenheid gesteld zijn eigen lezing aan de desbetreffende archiefbescheiden toe te voegen. Persoonsgegevens zullen niet worden verwijderd voor zover de verwerking, inachtneming van het beginsel van minimale gegevensverwerking, hiervan nodig is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden en de verwezenlijking van de doeleinden van die verwerking door de verwijdering van de persoonsgegevens onmogelijk dreigt te worden gemaakt of ernstig in het gedrang dreigt te worden gebracht.

 

De betrokkene moet in zijn verzoek duidelijk aangeven welke gegevens om welke reden moeten worden aangepast. Het recht kan niet worden gebruikt om meningen of onderzoeksresultaten te wijzigen. Als positief wordt besloten op het verzoek, dan moeten de wijzigingen zo snel mogelijk worden doorgevoerd.

 

De wijzigingen of verwijderingen van persoonsgegevens moeten ook worden doorgegeven aan andere organisaties aan wie de Metropoolregio Eindhoven de gegevens heeft verstrekt. Deze afspraken zijn standaard opgenomen in de verwerkersovereenkomsten van de Metropoolregio Eindhoven.

 

9.4 Verzet

 

De betrokkene heeft de mogelijkheid om zich te verzetten tegen het gebruik van zijn persoonsgegevens. Als een betrokkene zich verzet tegen gebruik van de gegevens, dan mag de organisatie de gegevens niet meer gebruiken. Ook al is de gegevensverwerking op zich gerechtvaardigd en toegestaan. Er zijn een aantal situaties waar het recht van verzet kan worden ingezet. Allereerst in het geval er sprake is van bijzondere persoonlijke omstandigheden en de verwerking gebaseerd is op de publiekrechtelijke taak. Ten tweede in de situatie dat het een medewerker betreft en deze vanwege bijzondere persoonlijke omstandigheden bezwaar maakt tegen de verwerking van zijn gegevens gebaseerd op een gerechtvaardigd belang. In beide situaties kan er niet met succes verzet worden ingediend tegen het opnemen van de persoonsgegevens in openbare registers die bij wet zijn ingesteld.

 

De betrokkene kan zich altijd verzetten tegen het gebruik van persoonsgegevens voor direct marketing-doeleinden of liefdadigheidsdoelen.

 

9.5 Indienen van verzoek

 

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. De Metropoolregio Eindhoven heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de Metropoolregio Eindhoven laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de Metropoolregio Eindhoven, of een klacht in te dienen bij de Autoriteit Persoonsgegevens. Aan de hand van een verzoek kan de Metropoolregio Eindhoven aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

 

10. Plichten van de organisatie

 

10.1 Register van verwerkingen

 

De Metropoolregio Eindhoven is verplicht om te documenteren welke persoonsgegevens worden verwerkt, wat het doel ervan is, van wie of waar deze gegevens afkomstig zijn en met wie deze gegevens worden gedeeld. Daarnaast moeten we per verwerking documenteren en verantwoorden op basis van welke wettelijke grondslag de organisatie deze persoonsgegevens verwerkt.

 

10.2 Bewaartermijnen

 

De Metropoolregio Eindhoven bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van gemeentelijke taken zoals vastgelegd in de krachtens Archiefwet 1995 vastgestelde selectielijsten. In de AVG worden geen bewaartermijnen genoemd.

 

De hoofdregel is: bewaren mag zolang het nodig is voor het doel van de verwerking.

 

In een aantal wetten zijn specifieke bewaartermijnen opgenomen voor bepaalde persoonsgegevens. Als geen bewaartermijn aanwezig is dan moet goed kunnen worden onderbouwd waarom persoonsgegevens voor een bepaalde termijn worden bewaard. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Na afloop van de bewaartermijnen moeten de persoonsgegevens worden vernietigd of geanonimiseerd. Dit geldt niet alleen voor de gegevens zelf, maar ook voor kopieën en back-ups.

 

10.3 Meldplicht datalekken

 

De meldplicht datalekken houdt in dat de Metropoolregio Eindhoven zo snel mogelijk (binnen 72 uur) een melding doet bij de Autoriteit Persoonsgegevens zodra een ernstig datalek zich heeft voorgedaan. Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Denk hierbij aan een kwijtgeraakte USB-stick met persoonsgegevens, het sturen van een e-mail naar een verkeerd e-mailadres, een gestolen laptop of een inbraak op het netwerk (hack). Als de kans bestaat dat het datalek nadelige gevolgen zou kunnen hebben voor burgers, dan moet de Metropoolregio Eindhoven het daarnaast óók melden bij de betrokken burgers. Daarnaast moet de burger worden geïnformeerd over welke maatregelen wij als overheidsorganisatie nemen om de risico’s en schade te beperken.

 

Naast het melden moeten wij ook alle datalekken documenteren. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of wij als organisatie aan de meldplicht hebben voldaan.

 

10.4 Verwerkersovereenkomst

 

Verwerkersovereenkomsten moeten iedere keer worden afgesloten wanneer derden – ook wel verwerkers genoemd – in opdracht van de Metropoolregio Eindhoven persoonsgegevens verwerken. Uiteraard moeten er duidelijke afspraken worden gemaakt over hoe deze instantie moet omgaan met de gegevens die zij van de Metropoolregio Eindhoven krijgt. Denk hierbij aan welke gegevens men nodig heeft om haar taak uit te oefenen en de manier waarop de organisatie de gegevens heeft beveiligd en wat zij moet doen als er een datalek is. De Metropoolregio Eindhoven heeft een standaard verwerkersovereenkomst beschikbaar gesteld die in al deze gevallen moet worden gebruikt.

 

10.5 De Privacy Impact Assessment (PIA)

 

Met een PIA worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt. De Metropoolregio Eindhoven voert deze alleen uit wanneer:

 

  • 1.

    er een (geautomatiseerde) verwerking plaatsvindt met een hoog risico,

 

  • 2.

    er een (geautomatiseerde) verwerking plaatsvindt waarvan de Autoriteit Persoonsgegevens heeft aangegeven dat daarvoor een PIA verplicht is;

 

  • 3.

    een grootschalige verwerking plaatsvindt,

 

  • 4.

    of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt.

 

10.6 Privacy by Design en privacy by default

 

Bij de aanschaf of ontwikkeling van producten, systemen of processen moet altijd rekening worden gehouden met de bescherming van persoonsgegevens. We noemen dit Privacy by Design (Pbd) en privacy by default. Voor alle producten, systemen of processen moeten de technische en organisatorische maatregelen ervoor zorgen dat standaard alleen die gegevens worden gebruikt die nodig zijn voor het doel. Als blijkt dat bij een systeem gevoelige of bijzondere persoonsgegevens worden verwerkt en dit mogelijk een hoog privacyrisico met zich meebrengt, zijn we verplicht om een PIA uit te voeren.

 

10.7 Functionaris voor de gegevensbescherming

 

De Metropoolregio Eindhoven heeft een functionaris voor de gegevensbescherming (FG) aangesteld. Door het aanstellen van een FG wordt een belangrijke stap gezet in de manier waarop de organisatie aan haar burgers wil uitdragen dat zij serieus omgaat met de verwerking van persoonsgegevens. De aanwijzing van een FG wordt voor de Metropoolregio Eindhoven onder de AVG verplicht. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn ongevraagd en gevraagd informeren en adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens. De Metropoolregio Eindhoven stelt ook een FG aan om daarmee het eigen toezicht en controle te organiseren. Hij heeft een belangrijke coördinerende rol en adviseert over oplossingen over privacy. De FG houdt vanuit een onafhankelijke positie intern toezicht op de manier waarop door de Metropoolregio Eindhoven wordt omgegaan met persoonsgegevens. Belangrijk is ook dat hij aan de voorkant een rol speelt bij de inrichting van processen. En als laatste is de FG het formele aanspreekpunt voor burgers als zij hun rechten als betrokkene willen uitoefenen. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de organisatie overneemt. De organisatieonderdelen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens.

 

Voor vragen over privacy of over deze toelichting kunt u contact opnemen met de functionaris voor gegevensbescherming van de Metropoolregio Eindhoven via: fg@metropoolregioeindhoven.nl

 

10.8 Verantwoordelijkheid

 

De dienst is verantwoordelijk voor de wijze waarop zij persoonsgegevens verwerkt. De FG of de medewerkers belast met privacy kunnen adviseren of oordelen dat een bepaalde gegevensverwerking niet conform het beleid en het reglement wordt uitgevoerd.

 

Als de aanwijzing(en) door de FG ten aanzien van de desbetreffende gegevensverwerking niet binnen een redelijke termijn wordt opgevolgd, wordt het volgende escalatiemodel gehanteerd:

 

  • 1.

    De leidinggevende van de desbetreffende afdeling wordt geïnformeerd en de opvolging wordt zijn / haar verantwoordelijkheid;

 

Bij het niet opvolgen van de aanwijzing wordt:

 

  • 2.

    De directeur van de desbetreffende dienst wordt geïnformeerd en de opvolging wordt zijn / haar verantwoordelijkheid;

 

Bij het niet opvolgen van de aanwijzing wordt:

 

  • 3.

    De secretaris/directeur Metropoolregio Eindhoven geïnformeerd en de opvolging wordt zijn / haar verantwoordelijkheid;

 

Bij het niet opvolgen van de aanwijzing worden:

 

  • 4.

    De leden van het Dagelijks Bestuur geïnformeerd.

 

Citeertitel en inwerkingtreding

 

Deze regeling kan worden aangehaald als ‘Algemeen Privacyreglement Metropoolregio Eindhoven’. Zij treedt in werking op de dag volgend op die waarop de bekendmaking heeft plaatsgevonden.

Naar boven