Gemeenteblad van Hoorn
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Hoorn | Gemeenteblad 2017, 5553 | Overige besluiten van algemene strekking |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Hoorn | Gemeenteblad 2017, 5553 | Overige besluiten van algemene strekking |
Privacybeleid Gemeente Hoorn 2016
Iedereen heeft recht op privacy. Gemeenten verzamelen en gebruiken veel persoonsgegevens. Deze gegevens zijn nodig voor het uitvoeren van taken. De gemeente is verantwoordelijk voor de bescherming van deze persoonsgevens.
De bescherming van persoonsgegevens speelt een steeds belangrijkere rol door de:
Iedereen heeft recht op correcte, veilige en betrouwbare informatieverwerking en moet erop kunnen vertrouwen dat de gemeente zorvuldig met deze gegevens omgaat.
1.2 Reikwijdte en afbakening privacy
Het gemeentelijk privacybeleid is van toepassing op alle taken en processen waar de gemeente voor verantwoordelijk is. Het privacybeleid heeft betrekking op de persoonsgegevens van personen van wie de gemeente Hoorn gegevens verwerkt (of laat verwerken).
Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Er is al snel sprake van 'verwerken' van persoonsgegevens. Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van gegevens valt allemaal onder het verwerken van persoonsgegevens.
Verdere definities met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in de Algemene Verordening Gegevensbescherming.
Het privacybeleid geldt als algemeen beleid. Hierin zijn de kaders met de risico’s en maatregelen beschreven, om te voldoen aan wet- en regelgeving. Voor bepaalde domeinen kan het nodig zijn om aanvullend een specifiek privacybeleid vast te stellen. Denk hierbij aan het sociaal domein, publiekszaken, leerlingzaken, schuldsanering, belastingen.
De juridische grondslag voor privacy is terug te vinden in wet- en regelgeving. De bescherming van de privacy bij de verwerking van persoonsgegevens is een grondrecht. Dit is geregeld in:
De belangrijkste wet die op dit moment invulling geeft aan de bescherming van de privacy van personen bij de verwerking van persoonsgegevens is de Wet Bescherming Persoonsgegevens (WBP). De WBP wordt op 25 mei 2018 vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG).
Verder is ook in specifieke regelgeving invulling gegeven aan de bescherming van de privacy bij de verwerking van persoonsgegevens zoals:
Informatiebeveiliging en de bescherming van persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Informatiebeveiliging is een randvoorwaarde voor de borging van privacy bij de verwerking van persoonsgegevens. In het document Informatiebeveiligingsbeleid van de gemeente Hoorn zijn maatregelen opgenomen om alle gegevens te beschermen.
Doel van dit privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen waarvan de gemeente Hoorn persoonsgegevens verwerkt.
Het privacybeleid draagt bij aan:
Iedereen werkzaam binnen de organisatie is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen. Het is belangrijk om persoonsgegevens rechtmatig, behoorlijk en transparant te verwerken . De uitgangspunten hierbij zijn:
* op basis van de wet of een overeenkomst,
* bij bescherming van de vitale belangen,
* voor een taak in het algemeen belang of voor de uitoefening van het openbaar gezag.
Het college van B&W is verantwoordelijk voor het naleven van deze uitgangspunten en moet dit kunnen aantonen.
Bij schending van de privacy is het college van B&W wettelijk aansprakelijk. Het verwijtbaar onvoldoende beschermen van persoonsgegevens en het niet naleven van privacywet- en regelgeving kan leiden tot:
Binnen bepaalde domeinen wordt er gewerkt met zeer gevoelige (bijzondere) persoonsgegevens zoals medische gegevens, gegevens over iemands financiële situatie of strafrechtelijke gegevens. Voorbeelden zijn het sociale domein, leerlingzaken, burgerzaken. De risico’s zijn hier hoger.
De risico’s van schending van de privacy voor personen variëren van ongemak, substantiële benadeling, ernstige sociale beschadiging of gevaren voor de gezondheid en de persoonlijke veiligheid.
Om de risico’s te beperken zijn maatregelen getroffen. Deze maatregelen zijn beschreven in hoofdstuk 4.
De bescherming van de privacy van betrokkenen beleggen bij de verantwoordelijke personen.
Het college van B&W is eindverantwoordelijk, maar iedereen binnen de organisatie is verantwoordelijk voor de bescherming van de privacy van betrokkenen. Onderstaande tabel brengt de verantwoordelijkheden in beeld aan de hand van het RASCI-model:
De FG heeft minimaal de volgende taken en bevoegdheden:
Er kunnen meerdere privacyfunctionarissen werkzaam zijn binnen de organisatie, zoals een organisatie brede privacyfunctionaris, maar ook specifiek gericht op een vakgebied.
Juridische- en personeelszaken, de concern controller en andere medewerkers kunnen onderdeel uitmaken van het privacyteam. Dit kan ook tijdelijk, bijvoorbeeld projectmatig zijn.
Alle medewerkers (inclusief inhuur/externen) zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen. Dat betekent dat iedereen zorgt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens (zie paragraaf 2.2).
Met de maatregelen beschreven in dit hoofdstuk kunnen de doelstellingen van het privacybeleid worden gehaald en de risico’s worden beperkt.
Onderstaande maatregelen zijn getroffen om persoonsgegevens rechtmatig, behoorlijk en transparant te kunnen verwerken, volgens geldende wet- en regelgeving.
Betrokkenen krijgen vooraf duidelijke informatie (via de website en de dienstverlening (telefonisch, schriftelijk, email)) over de verwerking van hun persoonsgegevens en het doel van de verwerking.
Op basis van het informatiebeveiligingsbeleid zijn maatregelen getroffen om de bescherming van persoonsgegevens te waarborgen. Informatieveiligheid is een eerste voorwaarde voor gegevensbescherming in het kader van privacy.
De mens is de zwakste schakel in de omgang met persoonsgegevens. Bewustwording is essentieel voor het borgen van privacy in de organisatie. Het is belangrijk dat iedereen die werkt met privacygevoelige informatie zich bewust is van het belang om hier zorgvuldig mee om te gaan. Doorlopend wordt er aandacht geschonken aan de bewustwording.
Er wordt een register bijgehouden met alle verwerkingsactiviteiten van persoonsgegevens per proces. Hierin worden onder andere de doeleinden van de verwerkingen, categorieën van betrokkenen en persoonsgegevens, derden ontvangers, bewaartermijn en maatregelen opgenomen.
Voor (veranderingen in) processen, diensten en producten en informatiesystemen, waar persoonsgegevens worden verwerkt, worden PIA’s uitgevoerd. De AVG noemt dit een Gegevensbeschermingseffectbeoordeling. Systematisch worden verwerkingen van persoonsgegevens, doeleinden, risico’s en (voorgenomen) maatregelen beschreven. Het doel is om de impact van de verwerkingen op de bescherming van persoonsgegevens in kaart te brengen.
Per PIA wordt advies aan de FG gevraagd. Als uit een PIA blijkt dat er sprake is van risicovolle verwerkingen wordt de Autoriteit Persoonsgegevens op de hoogte gesteld. De Autoriteit Persoonsgegevens maakt het overzicht met risicovolle verwerkingen openbaar.
Privacy by design houdt in dat vanaf het ontwerpen van een nieuw of aangepast proces, product, dienst of informatiesysteem wordt nagedacht over:
Privacy by default betekent dat de standaard instellingen in systemen zijn ingesteld om maximale privacy bescherming te borgen. De AVG noemt dit ‘Gegevensbescherming door ontwerp en standaardinstellingen’.
Bij het toepassen van Privacy by design en – default wordt advies aan de FG gevraagd.
Er zijn bewerkersovereenkomsten afgesloten met bewerkers. Een bewerkersovereenkomst is wettelijk verplicht als het verwerken van persoonsgegevens aan een andere partij wordt uitbesteed. Er worden afspraken gemaakt over:
Datalekken worden intern via de cyclusdocumenten en indien nodig bij de Autoriteit Persoonsgegevens en de betrokkene(n) gemeld.
De meldplicht datalekken houdt in dat een ernstig datalek direct moet worden gemeld bij de Autoriteit Persoonsgegevens. Er is sprake van een ernstig datalek als persoonsgegevens:
Een datalek moet aan de betrokkene(n) worden gemeld als de inbreuk waarschijnlijk ongunstige gevolgen heeft voor zijn of haar privéleven.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2017-5553.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.