Het college van burgemeester en wethouders, de burgemeester of de gemeenteraad zijn, ieder voor zover het een gegevensverwerking betreft in het kader van hun taak, eindverantwoordelijk voor het naleven van de AVG en het privacy beleid.

Leidinggevenden zijn verantwoordelijk voor de verwerkingen binnen zijn/haar team. Bij de uitvoering van de verwerkingen zijn zij zich bewust van de mogelijke inbreuk die dit kan maken op de persoonlijke levenssfeer van inwoners en handelen daar naar. Dit betekent dat zij de AVG naleven en handelen naar het privacy beleid en reglement van de gemeente.

Medewerkers zijn verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens. Bij de uitvoering van hun taken zijn zij zich bewust van de mogelijke inbreuk die dit kan maken op de persoonlijke levenssfeer van inwoners en handelen daar naar. Dit betekent dat zij de AVG naleven en handelen naar het privacy beleid en reglement van de gemeente.

Op grond van de AVG is het voor de gemeente verplicht om een intern toezichthouder en adviseur aan te stellen; de Functionaris Gegevensbescherming (FG). De FG is een onafhankelijke toezichthouder die binnen de organisatie toezicht houdt op de naleving van de AVG en bovendien medewerkers, management en bestuur kan adviseren over vragen die zien op de naleving van de AVG. De FG rapporteert over de wijze waarop de gemeente omgaat met de persoonsgegevens van de inwoners. Op de website van de gemeente worden de contactgegevens van de FG gepubliceerd. De FG geeft gevraagd en ongevraagd advies aan bestuur, management en medewerkers over onderwerpen die de verwerking van persoonsgegevens betreffen. De FG is de contactpersoon voor de Autoriteit Persoonsgegevens (AP). De FG is in de uitvoering van taken onafhankelijk en ontvangt geen instructies over de uitvoering van zijn taken. Over de taken en bevoegdheden van de FG is meer te lezen in het Reglement taken en bevoegdheden Functionaris voor Gegevensbescherming.

De jurist privacy is het aanspreekpunt als het gaat om advies over de verwerking van persoonsgegevens en de uitleg van de AVG. De jurist privacy is tevens coördinator van het up to date houden van het register van verwerkingen. De jurist privacy heeft kennis van het gemeentelijk privacy beleid en de AVG.

De verwerking van persoonsgegevens is onlosmakelijk verbonden met de beveiliging daarvan. Beveiliging van persoonsgegevens is een verantwoordelijkheid van iedere medewerker. Maar om er voor te zorgen dat er een samenhangend pakket aan maatregelen in de gemeente beschikbaar is ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen een gemeente is er de CISO: Chief Information Security Officer. De CISO zal in samenwerking met de FG toezichthouden op en adviseren over de passende beveiliging van persoonsgegevens binnen de organisatie.

De gemeente zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

De gemeente verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

De gemeente Borger-Odoorn bewaart de verzamelde persoonsgegevens niet langer dan strikt nodig is, of wettelijk geregeld is, om de doelen te realiseren waarvoor de gegevens zijn verzameld. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven. De meeste termijnen hiervoor liggen vast in de Archiefwet en andere wetten waar de termijnen zijn vastgesteld. Welke bewaartermijn van toepassing is op een verwerking is terug te vinden in het register van verwerkingen.

De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht of door personen die een integriteitsverklaring hebben ondertekend en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken klant zoveel mogelijk beperkt.

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel.

De gemeente honoreert alle rechten van betrokkenen.

Voor elke verwerking van de gemeente is vooraf in begrijpelijke taal informatie beschikbaar over het doel van de verwerking, welke gegevens er worden vastgelegd, voor hoe lang en op welke wijze rechten kunnen worden uitgeoefend. Deze informatie is beschikbaar op het moment dat er klantcontact is, onafhankelijk of dit in persoon is of digitaal.

De gemeente beschikt, overeenkomstig artikel 30 van de AVG, over een register van verwerkingen. In dit actuele en volledige register wordt onder meer vastgelegd welke gegevensverwerkingen er onder verantwoordelijkheid van de gemeente plaatsvinden en per verwerking wordt aangegeven voor welk doel de verwerking is, over welke categorieën van personen het gaat en wie de ontvangers van die gegevens zijn. Het register van verwerkingen wordt door de gemeente openbaar gemaakt via de website.

Een ieder van wie persoonsgegevens worden verwerkt, heeft rechten welke in de AVG in hoofdstuk 3 zijn geregeld. De rechten van betrokkenen worden in het privacy reglement en de privacyverklaring nader toegelicht. De privacyverklaring is te raadplegen op de website van de gemeente Borger-Odoorn. Ook zal betrokkene actief worden gewezen op de mogelijkheid een klacht gerelateerd aan de AVG in te dienen bij de AP, indien het verzoek niet naar tevredenheid is afgehandeld.

Met de digitalisering van dienstverlening en de uitbreiding van taken neemt het aantal persoonsgegevens dat door de gemeente wordt verwerkt toe. Het verwerken van (bijzondere) persoonsgegevens vraagt in alle gevallen een zorgvuldige afweging over of de verwerking noodzakelijk is en of de verwerking op grond van de AVG is toegestaan.

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wordt, overeenkomstig artikel 35 van de AVG, vóór de verwerking een gegevensbeschermingseffectbeoordeling gemaakt, ook wel een Data protection impact Assesment genoemd (DPIA). Bij het opstellen van de DPIA wordt een werkgroep samengesteld waarin in ieder geval de CISO en jurist privacy bij zijn betrokken. De FG kan desgewenst vooraf gevraagd worden om advies te verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35 van de AVG. De FG, jurist privacy en de CISO worden betrokken bij de uitkomsten van de DPIA. De uitkomsten van de DPIA worden meegewogen bij de beslissing voor het al dan niet aanvangen van de verwerking. Dat betekent dat altijd gemotiveerd wordt beargumenteerd welke keuzes worden gemaakt ten aanzien van de verwerking van persoonsgegevens. De keuzes zijn daarmee transparant en zijn onder andere voor de FG, de raad of de toezichthouder beschikbaar voor het uitoefenen van hun (controlerende) taken. Wanneer uit een DPIA blijkt dat de verwerking een hoog risico oplevert, en er geen maatregelen worden genomen om het risico te beperken, wordt voorafgaand aan de verwerking de AP geraadpleegd (artikel 36 lid 1 van de AVG).

De persoonsgegevens waarover de gemeente beschikt worden passend beveiligd. Als uitgangspunt hiervoor hanteert de gemeente de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG). In de BIG staan verschillende technische en organisatorische maatregelen genoemd om persoonsgegevens te beveiligen tegen uiteenlopende risico’s, zoals ongeautoriseerde toegang tot data, verlies van data of gijzeling van data (ransomware). Wat passend is, wordt mede bepaald door het soort persoonsgegeven, bijvoorbeeld een bijzonder persoonsgegeven, de mate van beschikbaarheid en toepasbaarheid van de beveiligingsmaatregel, de kosten die verbonden zijn aan de maatregel in relatie tot de kans op het risico en de gevolgen voor betrokkenen indien de persoonsgegevens openbaar worden of juist vernietigd zijn. Persoonsgegevens worden, waar dit kan, versleuteld verzonden. Bijvoorbeeld door gebruik te maken van beveiligde diensten waarmee informatie kan worden verzonden. Ten aanzien van informatiebeveiliging hanteert de gemeente het ‘’pas toe of leg uit’’ principe. In principe wordt de BIG integraal toegepast, tenzij op grond van bovenstaande criteria gemotiveerd tot een andere keuze wordt gekomen.

Bij het verwerken van persoonsgegevens is privacy by design en privacy by default het uitgangspunt (artikel 25 lid 1 en 2 van de AVG). Dat wil zeggen dat altijd wordt beoordeeld of het doel van de verwerking ook kan worden bereikt met het verwerken van minder persoonsgegevens of voor een kortere periode. Bij het ontwerp van een systeem of werkwijze wordt aandacht besteed aan de wijze waarop waarborgen voor de naleving van de AVG kunnen worden ingebouwd, zoals de toegang tot de persoonsgegevens en automatische archivering, verwijdering en vernietiging.

De gegevens van betrokkenen worden door de gemeente Borger-Odoorn alleen verstrekt, indien dit nodig is om te voldoen aan een wettelijke verplichting of voor de uitvoering van de overeenkomst met betrokkenen. De gemeente Borger-Odoorn sluit een verwerkersovereenkomst met organisaties (derden) die gegevens van betrokkenen in opdracht van de gemeente verwerken. In deze overeenkomst regelt de gemeente Borger-Odoorn hoe organisaties (derden) om moeten gaan met de beveiliging en vertrouwelijkheid van de gegevens. De gemeente blijft verantwoordelijk voor deze verwerkingen van de persoonsgegevens van betrokkenen.

Persoonsgegevens uit de Basisregistratie Personen worden gedeeld met andere overheidsinstanties of instanties die de gegevens van betrokkenen nodig zijn voor de uitvoering van een wettelijke taak. Op de website van de Rijksoverheid is te zien welke organisaties gegevens uit de Basis Registratie Personen (BRP) krijgen en waarvoor deze gegevens worden gedeeld. In het Reglement gegevensverstrekking basisregistratie personen Borger-Odoorn is te lezen hoe wordt omgegaan met de gegevens uit de BRP.

De gemeente meldt overeenkomstig de bepalingen uit de AVG datalekken bij de AP en, indien van toepassing, aan de betrokkenen die het betreft. De gemeente houdt, overeenkomstig artikel 33 lid 5 van de AVG een register bij van alle inbreuken (gemeld en niet gemeld bij de AP). Een overzicht van het aantal meldingen en klachten gerelateerd aan de AVG wordt opgenomen in het bedrijfsvoeringsprogramma.

Elk jaar stelt de ambtelijke organisatie een verantwoording op over het uitgevoerde beleid en haar uitgaven. In dit jaarverslag wordt met ingang van het verantwoordingsjaar 2018 ook verantwoording afgelegd over de wijze waarop de gemeente uitvoering heeft gegeven aan de AVG en haar privacy beleid en de wijze waarop zij rekenschap heeft afgelegd. Dit zal in het jaarverslag en de begroting worden opgenomen in de paragraaf ‘bedrijfsvoering’.