Beleidsregels Privacy Werk en Handhaving van Gemeenschappelijke Regeling de Bevelanden 2025

Hoofdstuk 1 Algemeen

Artikel 1 Begripsbepalingen

  • 1.

    Alle begrippen die in deze beleidsregels worden gebruikt en die niet nader worden omschreven hebben dezelfde betekenis als in de Participatiewet, IOAW, IOAZ, het Besluit bijstandsverlening zelfstandigen 2004 en de Algemene wet bestuursrecht.

  • 2.

    In deze beleidsregels wordt verstaan onder:

a. Dagelijks Bestuur: het Dagelijks Bestuur van Gemeenschappelijke Regeling Samenwerking de Bevelanden;

b. Avg: Algemene verordening gegevensbescherming;

c. Wpg: Wet politiegegevens;

d. Awb: Algemene wet bestuursrecht;

e. BIO: Baseline Informatiebeveiliging Overheid;

f. Verwerkingsverantwoordelijke: GR de Bevelanden;

g. Pw: Participatiewet;

h. IOAW: de Wet inkomensvoorziening oudere en gedeeltelijke arbeidsongeschikte werkloze werknemers;

i. IOAZ: de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen;

j. Bbz 2004: het Besluit bijstandsverlening zelfstandigen 2004;

k. WMO: Wet maatschappelijke ondersteuning;

l. Inlichtingenplicht: verplichting genoemd in artikel 17, eerste lid van de Participatiewet, artikel 13, eerste lid van de IOAW, artikel 13, eerste lid van de IOAZ en artikel 30c, tweede en derde lid van de Wet structuur uitvoeringsorganisatie werk en inkomen;

m. Uitkering: de door het Dagelijks bestuur verleende bijstand in het kader van de Participatiewet en Bbz 2004 en de inkomensvoorziening in het kader van de IOAW en IOAZ;

Artikel 2 Inleiding

  • 1.

    Handhaving is elke (re)actie van GR de Bevelanden die erop gericht is de naleving van de geldende wet- en regelgeving te bevorderen en te bewerkstelligen. Zo nodig ook door het opleggen van sancties. Het gaat om het beïnvloeden van het gedrag van burgers en bedrijven voor wie de betreffende regels gelden met als doel: naleving. Dat begint in feite al met goede wetgeving, en goede wetgeving begint op haar beurt met goed inzicht in gedrag. Duidelijke informatievoorziening en communicatie zijn van groot belang om naleving te bevorderen. Handhaving gaat voor een groot deel over het onderhouden van contacten met de burger om zo normconform gedrag te bevorderen, maar ook om gedrag dat afwijkt van de norm met die burger te bespreken. Daarnaast heeft handhaving betrekking op de interne organisatie binnen gemeenten, de samenwerking tussen de handhavingspartners, certificeringsmogelijkheden en andere ‘slimme’ instrumenten. 

  • 2.

    GR de Bevelanden heeft een algemeen beleid inzake privacy vastgesteld. Hierin is opgenomen hoe GR de Bevelanden omgaat met de persoonsgegevens van haar inwoners en van andere personen waarmee zij een relatie heeft. De beleidsregels Privacy Werk en Handhaving betreffen regels over de verwerking van persoonsgegevens door de boa’s van GR de Bevelanden. De gegevensverwerking door de boa’s valt aan de ene kant onder de Algemene verordening gegevensbescherming (AVG) en aan de andere kant onder de Wet politiegegevens (Wpg). Gegevensverwerking voor de opsporingstaak van de boa valt onder de Wpg; de overige gegevensverwerkingen als toezichthouder vallen onder de AVG. GR de Bevelanden vindt dat burgers, medewerkers en (keten)partners erop moeten kunnen vertrouwen dat zij zorgvuldig en veilig met de persoonsgegevens omgaat. Technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van persoonsgegevens en privacy. GR de Bevelanden is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

  • 3.

    De privacywetgeving voor politiegegevens is grotendeels gelijkluidend aan de privacywetgeving in het bestuursrecht. Daar waar belangrijke afwijkingen zijn met betrekking tot de privacywetgeving van politiegegevens, wordt dit in deze beleidsregels vermeld.

Artikel 3 Wettelijke kaders

GR de Bevelanden is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

  • 1.

    Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Dit is de Algemene Verordening Gegevensbescherming (AVG);

  • 2.

    Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG);

  • 3.

    Richtlijn (EU) 2016/680 – De bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens door de politie en strafrechtelijke autoriteiten, en het vrije verkeer van die gegevens;

  • 4.

    Wet politiegegevens (Wpg);

  • 5.

    Besluit politiegegevens (Bpg);

  • 6.

    Besluit buitengewoon opsporingsambtenaar;

  • 7.

    Regeling periodieke audit politiegegevens;

  • 8.

    Participatiewet (PW) en aanverwante wetgeving (o.a. de IOAW/IOAZ);

  • 9.

    Algemene wet Bestuursrecht (Awb);

  • 10.

    Wet gemeentelijke schuldhulpverlening (Wgs);

  • 11

    Wet Sociale Werkvoorziening (WSW);

  • 12

    Archiefwet 1995;

Artikel 4 Rollen

Toezichthouder

De boa van GR de Bevelanden heeft toezichts-en handhavingstaken vanuit het bestuursrecht. De taken die de boa als toezichthouder uitvoert vallen onder de AVG.

Opsporingsambtenaar

De taken die de boa van GR de Bevelanden als opsporingsambtenaar uitvoert vallen onder de Wpg artikel 8- en artikel 9. De boa ontleent de bevoegdheden uit de regeling Domeinlijsten buitengewoon opsporingsambtenaar, domein 5 welke is vastgelegd in de beleidsregels Buitengewoon opsporingsambtenaar hoofdstuk 10. De boa treedt niet buiten deze gekregen bevoegdheid.

Functionaris gegevensbescherming (FG)

De FG is een onafhankelijke functionaris die binnen de organisatie van de verwerkings-verantwoordelijke toezicht houdt op de naleving van de AVG en/of de Wpg. De FG wordt door de verwerkingsverantwoordelijke aangewezen en wordt betrokken bij alle aangelegenheden die gaan over de bescherming van persoonsgegevens. De FG wordt op grond van haar of zijn professionele kwaliteiten en deskundigheid op het gebied van de wetgeving gekozen en is het eerste aanspreekpunt voor de Autoriteit Persoonsgegevens.

Bevoegd functionaris (BF) De BF is de “hoeder” van de artikel 9 gegevens en wordt beschreven in artikel 2:10 lid 1 van het Besluit politiegegevens. De persoon moet voldoende kennis en vaardigheden hebben over artikel 9 gegevens. Taken van de bevoegd functionaris zijn:

  • 1.

    het doel van de artikel 9 Wpg-verwerking omschrijven en vastleggen;

  • 2.

    het autoriseren van personen voor de betreffende verwerking;

  • 3.

    bepalen of gegevens voor andere doeleinden mogen worden gebruikt;

  • 4.

    zorgen dat voor alle gegevens de herkomst en wijze van verkrijgen wordt vastgelegd;

  • 5.

    bewaken dat gegevens rechtmatig worden verkregen en verwerkt. Hierbij letten op termijnen van verwerking.

Hoofdstuk 2 Algemene uitgangspunten

Artikel 5 Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Uit de mutatie in de daarvoor bestemde systemen blijkt altijd of het gaat om een AVG-Verwerking of om een verwerking van politiegegevens (combibon).

Artikel 6 Grondslag en doelbinding

  • 6.1

    Persoonsgegevens worden alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen verzameld en verwerkt.

  • 6.2

    Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

  • 6.3

    De grondslag tussen artikel 8- en artikel 9-gegevens (Wpg) is niet altijd eenduidig. Het is belangrijk om de grondslag te onderscheiden in verband met andere voorwaarden en verwerkingstermijnen.

Artikel 7 Dataminimalisatie

Handhavers van GR de Bevelanden verwerken alleen de persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. GR de Bevelanden streeft hierbij naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt. De gegevens die worden verwerkt zijn juist, volledig en actueel. Als blijkt dat gegevens niet langer juist en compleet zijn, dan zullen deze onverwijld worden gewijzigd of vernietigd. Het is voor betrokkenen mogelijk om bij de gemeente een verzoek in te dienen op rectificatie of vernietiging van politiegegevens.

Artikel 8 Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven. Voor persoonsgegevens die vallen onder het bestuursrecht hanteert GR de Bevelanden de termijnen uit de Selectielijst gemeenten en intergemeentelijke organen 2020.

Politiegegevens worden niet langer bewaard dan de minimale tijd die nodig is, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt. Politiegegevens dienen na verwijdering nog maximaal vijf jaar worden bewaard voordat zij definitief vernietigd worden. Daarna, of binnen deze periode van vijf jaar (afhankelijk van welke bewaartermijn geldt) dient definitieve vernietiging plaats te vinden. Indien van cultureel of historisch belang kan worden afgezien van vernietiging van de gegevens. Er wordt dan aan de bewaareisen als genoemd in de Archiefwet voldaan.

Alle politiegegevens worden gelabeld in artikel 8, 9 en 13 informatie. Voor elk label is de bewaartermijn conform de wettelijke bepaling geconfigureerd, zodat geborgd wordt dat deze politiegegevens niet langer worden bewaard dan de minimale tijd die nodig is, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt.

Artikel 9 Integriteit en vertrouwelijkheid

Handhavers van GR de Bevelanden gaan zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Persoonsgegevens worden enkel verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze persoonsgegevens zijn verzameld. Daarbij zorgt GR de Bevelanden voor passende beveiliging van persoonsgegevens. Hiertoe heeft GR de Bevelanden een privacy beleid en privacyverklaring.

Iedereen die over politiegegevens beschikt, is verplicht tot geheimhouding. Uitzonderingen op deze geheimhoudingsplicht staan beschreven in paragraaf 3 van de Wpg (verstrekkingen). Als gegevens worden verstrekt, reist de geheimhoudingsplicht mee. Ze vallen na verstrekking vaak onder de AVG: de ontvanger mag de gegevens alleen verwerken voor het doel waarvoor hij ze heeft verkregen en verder is nog steeds de geheimhoudingsverplichting van kracht.

Artikel 10 Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt GR de Bevelanden afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet en, indien de verwerker een externe partij betreft, worden vastgelegd in een verwerkersovereenkomst. Voor politiegegevens gelden andere eisen voor het delen van gegevens. Deze eisen zijn beschreven in de Wpg en worden door GR de Bevelanden gehanteerd. Bij politiegegevens wordt onderscheid gemaakt tussen het ter beschikking stellen van politiegegevens en het verstrekken ervan. Het ter beschikking stellen houdt in dat deze in principe worden gedeeld met eenieder die de politiegegevens nodig heeft voor de uitoefening van zijn/haar taak. Bij dit ‘need to know’-principe dient altijd een noodzakelijkheids-, proportionaliteits- en subsidiariteitsafweging te worden gemaakt. Het ter beschikking stellen voltrekt zich dus binnen het Wpg-domein. Bij het verstrekken gaat het om het delen van politiegegevens buiten het Wpg-domein. In dat geval moet zijn geborgd dat politiegegevens alleen worden verstrekt aan personen of instanties buiten het politiedomein, voor zover dit noodzakelijk is voor de doeleinden zoals deze in de Wpg (paragraaf 3) en het Bpg zijn genoemd.

Artikel 11 Subsidiariteit en Proportionaliteit

Subsidiariteit: Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt door GR de Bevelanden de inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt. De inbreuk op de persoonlijke levenssfeer van de betrokkene vindt alleen plaats indien er geen minder ingrijpend middel voorhanden is om het doel te bereiken.

Proportionaliteit: De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Artikel 12 Rechten van betrokkenen

Betrokkenen hebben rechten. Deze worden in de AVG en de Wpg vermeld.

1. Recht op vergetelheid, het recht om online ‘vergeten’ te worden.

2. Recht op dataportabiliteit, het recht om persoonsgegevens over te dragen.

3. Recht op inzage, het recht om persoonsgegevens in te zien.

4. Recht op rectificatie, het recht om persoonsgegevens te laten aanpassen of aanvullen.

5. Recht op beperking van de verwerking, het recht om te vragen om het gebruik van persoonsgegevens te beperken.

6. Recht bij geautomatiseerde besluitvorming en profilering, het recht op een menselijke blik bij besluiten.

7. Recht op bezwaar, het recht om bezwaar te maken tegen de gegevensverwerking.

Op basis van artikel 27 Wpg kan een dergelijk verzoek (gedeeltelijk) worden afgewezen.

Reden voor afwijzingen kunnen zijn:

  • a.

    Ter vermijding van belemmering van gerechtelijke onderzoeken of procedures;

  • b.

    Ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

  • c.

    Ter bescherming van de openbare veiligheid;

  • d.

    Ter bescherming van de rechten en vrijheden van derden;

  • e.

    Ter bescherming van de nationale veiligheid;

  • f.

    Ingeval van een kennelijk ongegrond of buitensporig verzoek, als bedoeld in artikel 24a, vierde lid.

Voor politiegegevens zijn er aanvullende beperkingen en uitzonderingen. Deze zijn onder meer beschreven in de Richtlijn (EU) 2016/680 – De bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens door de politie en strafrechtelijke autoriteiten, en het vrije verkeer van die gegevens.

Artikel 13 Het melden van datalekken

Omgaan met datalekken onder de AVG staat beschreven in het privacyreglement van GR de Bevelanden welke is gepubliceerd op de website. Op hoofdlijnen zijn deze rechten op grond van de Wpg gelijkluidend. Specifiek voor de Wpg geldt nog het volgende: Op deze mededelingsplicht zijn enkele uitzonderingen van toepassing, onder andere als de mededeling achterwege moet blijven ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

Artikel 14 Register verwerking politiegegevens

Wpg verplicht een register van gegevensverwerkingen, waarbij in dit register meer gegevens moeten worden opgenomen dan op basis van de AVG. GR de Bevelanden heeft een apart verwerkingsregister voor politiegegevens.

Artikel 15 Beveiliging van politiegegevens

Bij de verwerking van de politiegegevens voldoet GR de Bevelanden aan de eisen vanuit de BIO. Bij het verstrekken van autorisaties tot de software waarin de politiegegevens worden verwerkt, wordt gebruik gemaakt van een autorisatiematrix voor het verwerken van politiegegevens. In geval van een toekomstige verwerking van artikel 9-gegevens worden de autorisaties voor de specifieke casus verleend door de bevoegd functionaris.

Logging: in de gebruikte software wordt vastgelegd wie wanneer heeft ingelogd, wie wat heeft vastgelegd en wie wat heeft bekeken. Elke drie maanden worden de logs gecontroleerd op onregelmatigheden.

Artikel 16 Interne bewustwording, bescherming en borging

Het zorgvuldig omgaan met persoonsgegevens is enerzijds een kwestie van het organiseren van een goede informatieveiligheid en het zorgvuldig inrichten van werkprocessen, anderzijds is het een zaak van bewustwording bij de boa's. De boa’s van GR de Bevelanden voldoen aan de bekwaamheidseis zoals vernoemd in artikel 10.2 van de beleidsregels Buitengewoon Opsporingsambtenaar.

Uitgangspunt is om jaarlijks verantwoording af te leggen middels een interne audit voor de verwerking van politiegegevens. Om de vier jaar wordt een externe audit gedaan. De uitkomst van deze audit moet worden aangeboden aan de Autoriteit Persoonsgegevens.

GR de Bevelanden voert, bij het verwerken van persoonsgegevens waarvan vermoed wordt dat zij een hoog privacy risico opleveren, een DPIA (data protection impact assessment) uit. Hierin worden risico’s in kaart gebracht. Aan de hand van deze risico’s kan de organisatie maatregelen nemen om de risico’s te verkleinen.

Aanvullende verplichtingen borging Wpg:

  • 1.

    Er moet een scheiding worden aangebracht tussen gegevens die op feiten zijn gebaseerd en feiten die op een persoonlijk oordeel zijn gebaseerd;

  • 2.

    Er moet onderscheid worden gemaakt tussen betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden;

  • 3.

    Documentatie is vereist van de doelen van onderzoeken, verstrekking of doorgifte, afwijzing van verzoeken om inzage, inbreuk op de beveiliging, doorgifte buiten de EU met datum en tijd, ontvanger, redenen en doorgegeven gegevens en melding van gemeenschappelijke verwerkingen aan de Autoriteit Persoonsgegevens (AP).

  • 4.

    Er vindt logging plaats in geautomatiseerde systemen van de invoer van gegevens in systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens.

  • 5.

    Er worden specifieke eisen gesteld aan de informatiebeveiliging uit het Bpg.

Hoofdstuk 3 Overige bepalingen

Artikel 17 Inwerkingtreding en Citeertitel

  • 1.

    Deze beleidsregels worden aangehaald als “Beleidsregels Privacy Werk en Handhaving van Gemeenschappelijke Regeling de Bevelanden 2025.

  • 2.

    Deze beleidsregels treden een dag na publicatie in werking.

Vastgesteld op 9 september 2026,

Het Dagelijks Bestuur Gemeenschappelijke regeling Samenwerking De Bevelanden,

Namens deze,

R.C.J. Nagtzaam

(Interim) Directeur

Naar boven