De VNOG hecht grote waarde aan het recht op eerbiediging van privé-, familie- en gezinsleven zoals opgenomen in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en in de grondrechten van Nederland, artikel 10 van de Grondwet:
Europees Verdrag voor de Rechten van de Mens, artikel 8
1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
Grondwet, artikel 10
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Hieruit volgend hecht de VNOG dan ook grote waarde aan de gegevensbescherming, zoals opgenomen in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)
1.1 Visie op gegevensbescherming
De verwerking van persoonsgegevens is een essentieel onderdeel van de taakuitvoering van de VNOG. De verwerking van gegevens gaat gepaard met de verantwoordelijkheid om effectieve bescherming van gegevens te bieden. Het uitgangspunt hierbij is, dat we respect hebben voor de persoonlijke levenssfeer van alle betrokkenen. Daarbij houdt VNOG zich aan de wettelijke regels op het gebied van de verwerking van de persoonsgegevens.
1.2 Reikwijdte
Dit beleid is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens binnen de VNOG. Daarnaast is het van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen. De kaders die in dit beleid staan beschreven gelden voor iedereen (zowel interne als externe verwerkers) die namens VNOG gegevens verwerken.
Wanneer in dit document gesproken wordt over VNOG wordt bedoeld de gehele organisatie van de Veiligheidsregio Noord- en Oost-Gelderland, waaronder in ieder geval begrepen:
• Bestuur
• Afdeling Directie en Staf
• Afdeling Brandweerzorg, inclusief vrijwilligers
• Afdeling Risico- en Crisisbeheersing
• Afdeling Bedrijfsvoering
• Geneeskundige Hulpverleningsorganisatie in de Regio (GHOR)
• Individuele Programma’s en Projecten
1.3 Juridisch kader
Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkenen voorop. Er moet voorkomen worden dat er onnodig inbreuk wordt gemaakt. De Algemene Verordening Gegevensbescherming (AVG) welke sinds 25 mei 2018 van kracht is, biedt hiervoor het wettelijk kader. De AVG heeft als doel om de privacy van burgers in Europa beter te beschermen. In de Uitvoeringswet Algemene Verordening Gegevensbescherming is een nadere uitwerking vastgelegd.
Daarnaast is er specifieke wetgeving van kracht waarin ook een kader voor privacy is weggelegd, zoals in de zorg. Bij dit beleid wordt ondermeer in aanmerking genomen:
• Algemene Verordening Gegevensbescherming (AVG);
• Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG);
• Burgerlijk Wetboek (BW);
• Wet op de Veiligheidsregio’s (WVr)
• Wet houdende regels inzake de telecommunicatie (Telecommunicatiewet)
• Belastingwet
• Aanbestedingswet
• De Europese e-Privacy verordening (vanaf het moment van inwerkingtreding)
• Wet openbaarheid van bestuur (Wob)
• Wet open overheid (Woo)
Het doel van dit gegevensbeschermingsbeleid is om invulling te geven aan de manier waarop binnen VNOG wordt omgegaan met privacy en gegevensbescherming.
Als algemene regel geldt dat persoonsgegevens binnen VNOG op een zorgvuldige wijze moeten worden verwerkt. Persoonsgegevens moeten rechtmatig, op behoorlijke wijze en transparant zijn verkregen en mogen enkel en alleen voor een specifiek beschreven doel worden verwerkt. De VNOG verwerkt niet meer persoonsgegevens dan nodig en bewaakt de juistheid, de integriteit en de vertrouwelijkheid. Daarbij geldt dat deze gegevens niet langer mogen worden bewaard dan noodzakelijk om het doel waarvoor ze zijn verzameld, te realiseren of om aan wettelijke verplichtingen te voldoen. De VNOG draagt zorg voor beveiliging van de persoonsgegevens in technische, fysieke en organisatorische zin. De betrokkenen kunnen altijd gebruik maken van hun rechten op informatie, om in te zien, te wijzigen, vergeten te worden of gegevens over te dragen. Dit wordt in de volgende hoofdstukken nader uitgewerkt.
1.4 Begripsbepalingen
Anonimiseren
Persoonsgegevens die voor een taakuitvoering niet meer noodzakelijk zijn, worden verwijderd uit een dataset. De dataset bevat dan enkel geanonimiseerde gegevens, die wel worden bewaard voor bijvoorbeeld onderzoeksdoeleinden of om te gebruiken als open data. Geanonimiseerde gegevens zijn geen persoonsgegevens en vallen niet onder dit beleid. Het anonimiseren zelf is een verwerking en valt wel onder dit beleid.
Autoriteit Persoonsgegevens
De Nederlandse toezichthouder die tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig de Algemene Verordening Gegevensbescherming.
AVG
Algemene Verordening Gegevensbescherming of in het Engels binnen de EU: General Data Protection Rules (GDPR)
Beheerder
Degene die binnen de organisatie belast is met de inrichting en de beveiliging van een bestand of een verzameling van bestanden binnen een organisatieonderdeel.
Bestand
Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functionele of geografische wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op één of meer verschillende natuurlijke personen.
Betrokkene
Degene op wie een persoonsgegeven betrekking heeft.
Bijzondere persoonsgegevens
Persoonsgegevens ten aanzien van:
• Ras of etnische afkomst
• Politieke opvattingen
• Religie of levensbeschouwing
• Lidmaatschap van vakvereniging of vakbond
• Gezondheid
• Seksueel gedrag of gerichtheid
• Genetische gegevens
• Biometrische gegevens ten aanzien van unieke identificatie.
Datalek
Een situatie of gebeurtenis die onbevoegd of onopzettelijk leidt tot een inbreuk op de vertrouwelijkheid, op de integriteit of op de beschikbaarheid van persoonsgegevens.
• Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
• Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
• Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Afhankelijk van de ernst van het datalek bestaat de verplichting om binnen 72 uur een melding daarvan te doen bij de Autoriteit Persoonsgegevens.
Dataminimalisatie
Bij het verzamelen en verwerken van persoonsgegevens mogen niet meer gegevens worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.
Data Protection Impact Assessment (DPIA)
Een instrument om de privacy risico’s in kaart te brengen wanneer er sprake is van een verwerking van persoonsgegevens. Ook wel genoemd Gegevensbeschermingseffectbeoordeling (GEB) of Privacy Impact Assessment (PIA).
In gevallen met een hoger risico is een DPIA verplicht. De Veiligheidsregio Noord- en Oost-Gelderland gebruikt een DPIA-toets om na te gaan of een DPIA nodig is.
Derde
Ieder ander dan de betrokkene, de verantwoordelijke, de verwerker, of degene(n) die onder gezag van de verantwoordelijke of de verwerker gemachtigd is (zijn) om persoonsgegevens te verwerken.
Directie en staf
De directeur en de staf Directie en Bestuur, die bestaat uit de bestuursadviseur, de controller, de strategisch communicatieadviseur en de managementsecretaris.
Directie en MT
Directeur, Controller en afdelingshoofden.
Gebruiker
Degene die geautoriseerd is gegevens in een persoonsregistratie in te voeren en/of te muteren, dan wel van enigerlei uitvoer van de persoonsregistratie kennis te nemen.
Gevoelige persoonsgegevens
Persoonsgegevens die in hun aard gevoelig zijn en extra voorzichtigheid behoeven. Daaronder in ieder geval alle bijzondere- en strafrechtelijke persoonsgegevens, maar ook gewone persoonsgegevens ten aanzien van minderjarigen, Unieke identificatiegegevens, zoals BSN en DigiD, specifieke financiële gegevens etc.
Gewone persoonsgegevens
Alle persoonsgegevens niet zijnde Bijzondere of Strafrechtelijke persoonsgegevens
Gezondheidsgegevens
Alle gegevens die op enige wijze gaan over de fysieke of mentale gezondheid van een natuurlijk persoon of daarnaar te herleiden zijn. Gezondheidsgegevens vallen onder de bijzondere persoonsgegevens. Zie ook: Medische gegevens.
Least Privilege
Gebruikers hebben alleen toegang tot de informatie en middelen die nodig zijn voor de uitvoering van aan hun toebedeelde taken.
Medische gegevens
Onder-categorie van gezondheidsgegevens. Medische gegevens zijn gezondheidsgegevens die naar aard de van de gegevens voorbestemd zijn om door zorgverleners verwerkt te worden. Binnen de VNOG worden geen medische gegevens verwerkt, behoudens wettelijke verplichtingen daartoe en behoudens bij de GHOR gebruikte gegevens die verwerkt worden door een daartoe bevoegde en geregistreerde medewerker in het kader van de wettelijke taken van de GHOR.
Ontvanger
Degene aan wie de persoonsgegevens worden verstrekt.
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is
Pseudonimiseren
Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd. Daarin onderscheidt pseudonimiseren zich van anonimiseren, waarbij het koppelen op persoon van informatie uit verschillende bronnen niet mogelijk is
Security Board
De samenwerking tussen FG, CISO, Controller en Jurist met als doel het integraal toezicht en advies op risico’s voor de organisatie.
Strafrechtelijke persoonsgegevens
Persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten. Of met veiligheidsmaatregelen die daarmee verband houden
Taakverantwoordelijke
Diegene die verantwoordelijk is voor of belast is met de uitvoering van een bepaalde taak.
Toestemming van betrokkene
Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt. Deze toestemming moet vrij en ondubbelzinnig zijn. Dat betekent dat betrokkenen in vrijheid hun wil moeten kunnen uiten. Ook mag er geen twijfel zijn of betrokkenen hun toestemming hebben gegeven en voor welke specifieke verwerking zij dit hebben gedaan. Er zijn geen vormvereisten voor de toestemming, maar omdat er geen twijfel mag bestaan is het aan te bevelen om geen mondeling toestemming te gebruiken als deze niet wordt opgenomen.
Veiligheidsregio Noord- en Oost-Gelderland
Het rechtspersoonlijkheid bezittend openbaar lichaam met die naam, ingesteld op grond van de Wet gemeenschappelijke regelingen en de Wet veiligheidsregio’s. De Algemene Verordening Gegevensbescherming is van toepassing op alle gegevensverwerkingen binnen Veiligheidsregio Noord- en Oost-Gelderland.
Verstrekken van persoonsgegevens
Het bekend maken of ter beschikking stellen van persoonsgegevens.
Verwerker
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt” (artikel 4, lid 8 AVG)
Verwerkingsregister
Een overzicht van alle verwerkingen van persoonsgegevens die plaatsvinden binnen de Veiligheidsregio Noord- en Oost-Gelderland. Het register dient actueel te zijn en wordt dus aangepast zodra verwerkingen worden aangepast of wanneer sprake is van nieuwe verwerkingen. Ten minste jaarlijks vindt een review plaats.
Verwerkingsverantwoordelijke
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van- en de middelen voor de verwerking van persoonsgegevens vaststelt’’ (artikel 4, lid 7 AVG).
Binnen de VNOG is het dagelijks bestuur van de Veiligheidsregio Noord- en Oost-Gelderland bestuurlijk verantwoordelijk.
Verwerking van persoonsgegevens
Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens al dan niet handmatig dan wel geautomatiseerd uitgevoerd, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, anonimiseren, pseudonimiseren, uitwissen of vernietigen van gegevens.