Artikel 1. Algemeen (introductie)

De Algemene Verordening Gegevensbescherming (AVG) die per 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt, geeft regels en verplichtingen ten aanzien van het verwerken van persoonsgegevens. Een van deze verplichtingen is dat overheidsinstanties, waaronder de decentrale overheid, verplicht zijn om een Functionaris voor de gegevensbescherming (FG) aan te wijzen. De belangrijkste taak van de FG is dat deze onafhankelijk toezicht en controle houdt op de naleving van de wijze waarop door de organisatie met persoonsgegevens wordt omgegaan. Door het aanstellen van een FG wordt tevens een belangrijke stap gezet in de manier waarop de gemeente aan haar burgers wil uitdragen dat zij serieus omgaat met de verwerking van persoonsgegevens.

De bepalingen, verplichtingen en bevoegdheden zijn gebaseerd op de in de AVG gestelde eisen en op grond van de in artikel 37 AVG opgenomen verplichting voor overheidsinstanties om per 25 mei 2018 (inwerkingtreding AVG) een FG aan te stellen.

Artikel 2. Verwerkingsverantwoordelijke

Als verantwoordelijke voor de verwerking van persoonsgegevens worden aangemerkt: de gemeenteraad, het college van burgemeester en wethouders en de burgemeester van de gemeente Stadskanaal. Deze dienen ervoor te zorgen dat de onafhankelijke positie van de FG is gewaarborgd. Zodoende stelt de verantwoordelijke de FG ¹ in de gelegenheid zijn taak zelfstandig, onafhankelijk en naar behoren uit te kunnen oefenen.

Artikel 3. Positie FG

• 1.

  De FG maakt onderdeel uit van het team bestuurlijk-juridische zaken en brengt verslag uit over zijn werkzaamheden en de taken genoemd in artikel 4 van dit reglement aan de algemeen directeur/gemeentesecretaris

• 2.

  De organisatorische aansturing van de FG geschiedt uitsluitend door de algemeen directeur/secretaris.

• 3.

  De FG rapporteert rechtstreeks aan de voor verwerking verantwoordelijke bestuursorgaan (zijnde de raad, het college van burgemeester en wethouders en de burgemeester als verwerkingsverantwoordelijke) bij constatering van gebreken of calamiteiten alsmede andere noodzakelijke aanpassingen in de gegevensverwerking, onder gelijktijdige rapportage aan de algemeen directeur/secretaris dan wel voor zover de raad als verwerkingsverantwoordelijke dient te worden aangemerkt met de griffier. De FG overlegt met de algemeen directeur/secretaris of de griffier over de te nemen maatregelen.

• 4.

  De FG kan voor wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verwerkingsverantwoordelijke noch van de algemeen directeur/secretaris. De FG mag niet ontslagen of gestraft worden voor het uitvoeren van zijn taken. Ook ondervindt de FG geen ander nadeel van de uitoefening van zijn taak. Desgewenst kan hij de kantonrechter verzoeken te bepalen dat de verwerkingsverantwoordelijke ervoor moet zorgen dat de FG geen nadeel ondervindt in de uitoefening van zijn taak.

Artikel 4. Taken en verantwoordelijkheden

Het is van groot belang dat de FG zijn taken en bevoegdheden onafhankelijk en zonder enige belemmering kan uitoefenen. Het zorgdragen voor deze onafhankelijke positie en belemmeringsvrij uitoefenen van de taak valt onder de verantwoordelijkheid van de verwerkingsverantwoordelijke, de gemeenteraad, het college van burgemeester en wethouders en de burgemeester van de gemeente Stadskanaal. De bestuursorganen dienen er ook op toe te zien dat de FG geen instructies ontvangt met betrekking tot de uitvoering van de taken. De FG heeft een belangrijke coördinerende rol en adviseert over oplossingen over privacy. Vanuit een onafhankelijke positie houdt de FG intern toezicht op de manier waarop door de gemeente wordt omgegaan met persoonsgegevens. Belangrijk is ook dat de FG aan de voorkant een rol speelt bij de inrichting van processen. En als laatste is de FG het formele aanspreekpunt voor alle betrokkenen als zij hun rechten willen uitoefenen.

De taken van de FG zijn:

• a.

  toezicht houden op de verwerking van persoonsgegevens en naleving hiervan door de gemeente Stadskanaal, en het toezicht houden op het gemeentelijk privacy- en beveiligingsbeleid en de naleving hiervan door middel van advisering en controles;

• b.

  gevraagd en ongevraagd signaleren, adviseren en informeren - van de verwerkingsverantwoordelijken en de verwerkers die namens de gemeente persoonsgegevens verwerken - over hun verplichtingen aangaande de Wet bescherming persoonsgegevens/AVG dan wel andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming en overige onderwerpen die de privacy betreffen;

• c.

  zorgdragen voor de inventarisatie van de verwerkingsprocessen en het beheren van meldingen van verwerkingen in het register van de Autoriteit Persoonsgegevens;

• d.

  verantwoordelijk zijn voor de coördinatie van de werkprocessen in geval van datalekken en het beheren van het logboek en register inzake datalekken;

• e.

  het fungeren als aanspreekpunt en de contactpersoon aangaande privacy, voor zowel de Autoriteit Persoonsgegevens, de interne organisatie als externe organisaties;

• f.

  raadgevend op te treden (en betrokken worden bij de besluitvorming) indien een betrokkene zijn rechten op grond van de AVG wil uitoefenen of een klacht heeft ten aanzien van de verwerking van persoonsgegevens en desgewenst een onafhankelijke bemiddelende rol te spelen in de oplossing van de klacht.

• g.

  het toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van bij de verwerking betrokken medewerkers en de betreffende audits;

• h.

  het communiceren met de gemeentelijke organisatie en individuele medewerkers over alle ontwikkelingen op het gebied van techniek en wetgeving die relevant zijn voor het gemeentelijk privacy- en beveiligingsbeleid;

• i.

  het geven van een bindend advies met betrekking tot de Privacy Impact Assessment/Data Protection Impact Assessment (PIA/DPIA) en het toezien of de uitvoering daarvan in overeenstemming is met de AVG. Dit in verband met de verplichting dat voordat een beslissing wordt genomen over nieuwe of wijzigingen van bestaande verwerkingen door middel van een PIA/DPIA wordt aangetoond dat de privacy voldoende is gewaarborgd en worden de al dan niet te nemen maatregelen gemotiveerd;

• j.

  het samenwerken met de Autoriteit Persoonsgegevens (AP);

• k.

  het fungeren als aanspreekpunt van de AP.

Artikel 5. Toezicht en onderzoek

Vanuit zijn onafhankelijke toezichthoudende functie dient de FG te beschikken over – in ieder geval - onderstaande bevoegdheden die hem in staat stellen om zijn taken naar behoren uit te kunnen oefenen. De bevoegdheden zijn gelijkwaardig aan de bevoegdheden zoals geregeld in titel 5.2 van de Algemene wet bestuursrecht.

• 1.

  De FG heeft bij twijfel of verschil van mening over de wijze waarop verwerkingen van persoonsgegevens dienen plaats te vinden de doorslaggevende stem.

• 2.

  De verantwoordelijke en de personen die bij een verwerking van persoonsgegevens zijn betrokken verstrekken desgevraagd de FG alle inlichtingen en verlenen alle overige medewerking die zij voor de uitoefening van zijn taak behoeft.

• 3.

  De FG heeft toegang tot alle ruimten, waar een verwerking van persoonsgegevens plaatsvindt. De FG heeft deze bevoegdheid slechts voor zover dit noodzakelijk is voor zijn toezichthoudende rol.

• 4.

  De FG is bevoegd apparatuur, programmatuur, gegevensbestanden, boeken en bescheiden te onderzoeken en zich de werking van apparatuur en programmatuur te doen tonen.

• 5.

  De FG dient zelfstandig en onafhankelijk over zijn bevindingen aan de verantwoordelijke te rapporteren (zonder last of ruggespraak). Daarbij geeft de FG aanbevelingen over te nemen maatregelen, die een goede werking van de verwerking van persoonsgegevens moeten helpen waarborgen.

• 6.

  De FG kan een onderzoek instellen naar de wijze waarop in verband met de verwerking van persoonsgegevens, in een bepaald geval dan wel in het algemeen belang, de persoonlijke levenssfeer wordt beschermd.

• 7.

  De FG is bevoegd inlichtingen te vorderen van een ieder die onder gezag of in opdracht van de verwerkingsverantwoordelijke werkzaam is of overeenkomstig voor of namens de verantwoordelijke of de gemeente persoonsgegevens verwerkt.

• 8.

  De FG is bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt.

• 9.

  De FG is bevoegd van de gegevens en bescheiden kopieën te maken. Indien het maken van kopieën niet ter plekke kan gebeuren, is hij bevoegd de gegevens en bescheiden voor maximaal één werkdag mee te nemen.

• 10.

  De FG is bevoegd tot het geven van een opdracht tot:

  • a.

    het aanmaken van een registratie van persoonsgegevens in overeenstemming met de AVG;

  • b.

    vernietiging van persoonsgegevens, waarvan de bewaartermijn is overschreden of indien de gegevensverwerking onrechtmatig is.

• 11.

  De FG is bevoegd zich te laten vergezellen en bijstaan door personen die daartoe door hem zijn aangewezen. Indien de FG dit naar redelijkheid nodig acht, kan de FG voor zijn onderzoek gebruik maken van de diensten van derden. Ingeval het laatste het geval is verzoekt de FG voorafgaand aan de inzet toestemming aan de verwerkingsverantwoordelijke.

• 12.

  De FG maakt van de bevoegdheden als bedoeld in dit artikel slechts gebruik voor zover dit redelijkerwijs voor de uitoefening van de taak noodzakelijk is.

Artikel 6. Verplichting tot medewerking

• 1.

  Een ieder, die werkzaam is bij en/of in opdracht werkt van de verwerkingsverantwoordelijke, is verplicht aan de FG medewerking te verlenen, die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

• 2.

  Indien de medewerking aan de uitoefening van de bevoegdheden van de FG zoals bedoeld in artikel 5, wordt geweigerd, kan de verwerkingsverantwoordelijke op een met redenen omkleed verzoek, toestemming verlenen aan de FG de benodigde handelingen zelfstandig uit te voeren in weerwil van de weigering tot medewerking.

• 3.

  De verwerkingsverantwoordelijke wordt door de FG zo spoedig mogelijk in kennis gesteld over de uitvoering van het bepaalde in dit artikel.

Artikel 7. Datalek register

Er gelden verplichtingen ten aanzien van het melden van datalekken bij de Autoriteit Persoonsgegevens. De FG draagt samen met de Chief Information Security Officer (CISO) zorg voor de juiste en correcte melding en registratie van (mogelijke) datalekken. Afstemming met de CISO is belangrijk omdat datalekken een gevolg kunnen zijn van beveiligingsincidenten.

Indien het verlies of misbruik van persoonsgegevens betreft die ernstige nadelige gevolgen voor de burger of betrokkene kunnen hebben, zal dit ook aan deze betrokkenen kenbaar moeten worden gemaakt. Deze incidenten dienen door de gemeente gedocumenteerd te worden. De FG houdt namens de gemeente het logboek bij van (potentiële) datalekken.

In het logboek worden in ieder geval de volgende gegevens vermeld:

• a.

  het onderwerp van het datalek;

• b.

  de datum van het datalek;

• c.

  de duur van het datalek;

• d.

  de aard van de inbreuk;

• e.

  de instanties waar meer informatie over de inbreuk kan worden verkregen;

• f.

  de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk gevolgen te beperken;

• g.

  een beschrijving van de gevolgen voor de verwerkte persoonsgegevens;

• h.

  de maatregelen die de gemeente heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;

• i.

  de kennisgeving aan betrokkenen.

Artikel 8. Geheimhouding

De FG is verplicht tot geheimhouding van al hetgeen hem op grond van dit reglement bekend is geworden, tenzij de betrokkene in bekendmaking toestemt.

Artikel 9. Inwerkingtreding

• 1.

  Dit reglement kan worden aangehaald als Reglement Functionaris voor de gegevensbescherming Stadskanaal 2018.

• 2.

  Dit reglement treedt in werking één dag na bekendmaking.