Gemeenteblad van Borger-Odoorn
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Borger-Odoorn | Gemeenteblad 2019, 59431 | Beleidsregels |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Borger-Odoorn | Gemeenteblad 2019, 59431 | Beleidsregels |
Privacy reglement gemeente Borger-Odoorn
In dit reglement laat gemeente Borger-Odoorn zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is.
In de bijlage zijn de gouden regels van de gemeente Borger-Odoorn te vinden. De gouden regels betreffen de praktische uitvoering van het verwerken van persoonsgegevens.
De Algemene Verordening Gegevensbescherming (AVG) regelt samen met de Uitvoeringswet AVG en de specifieke materiewetten het juridische kader voor de omgang met persoonsgegevens in Nederland.
De volgende begrippen worden in de AVG gebruikt (artikel 4 van de AVG):
Anonimiseren: persoonsgegevens die voor een taakuitvoering niet meer noodzakelijk zijn, worden verwijderd uit een dataset. De dataset bevat enkel geanonimiseerde gegevens.
Autoriteit Persoonsgegevens (AP): de AP is op grond van de AVG bevoegd om toe te zien op de verwerking van persoonsgegevens.
Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
Gegevensbeschermingseffectbeoordeling : met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Data Protection Impact Assessment (DPIA).
Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld: naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN).
Pseudonimiseren : een procedure waarmee identificerende gegevens met behulp van een bepaald algoritme in een dataset worden vervangen door versleutelde gegevens (het pseudoniem).
Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.
Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander of vernietigen.
Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Het reglement is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van de gemeente. Oftewel: voor alle verwerkingen die binnen de gemeente plaatsvinden. Dit privacy reglement vormt een verdere uitwerking van de wet- en regelgeving en een praktische handleiding voor de organisatie. Het geeft de regels en uitgangspunten voor de eerlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens. Op die manier kan hiermee een nog betere verwerking van persoonsgegevens plaatsvinden binnen de gemeentelijke organisatie.
De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen (artikel 4 van de AVG). De gemeente verzamelt en verwerkt persoonsgegevens, omdat de gemeente diensten verleent aan klanten, bedrijven en haar eigen personeel. In de AVG valt onder een verwerking:
Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld (artikel 5 van de AVG). Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. Ook moet steeds nagegaan worden of het verwerken van persoonsgegevens noodzakelijk is voor het doel. De gegevens mogen niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Jeugdwet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden. Daar waar over verwerking van persoonsgegevens in bijzondere wetgeving niets is geregeld, gelden de regels van de AVG (en de daarmee samenhangende Uitvoeringswet AVG).
De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn (artikel 6 van de AVG). Dat betekent dat de verwerking alleen mag plaatsvinden:
Voor alle grondslagen zal er altijd een noodzaak moeten zijn om die gegevens te verwerken. Of het verwerken van bepaalde gegevens noodzakelijk is, moet altijd gemotiveerd worden. Van de zes grondslagen zijn voor de gemeente in de praktijk veelal de wettelijke grondslag en de goede vervulling van de gemeentelijke taak leidend. Doordat er tussen de gemeente en de klant een afhankelijkheidsrelatie bestaat, zal de grondslag toestemming zelden kunnen worden gebruikt. Voor veel voorzieningen moet de klant aankloppen bij de gemeente en is de klant afhankelijk van de overheid. Alleen in uitzonderlijke situaties of als de wet dat vereist is toestemming van de klant een grondslag.
De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.
In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.
De gemeente zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht of personen die een integriteitsverklaring hebben ondertekend. Daarnaast beveiligt de gemeente alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe de gemeente dit doet staat in het informatiebeveiligingsbeleid van de gemeente en in een eventueel aanvullend beveiligingsplan specifiek opgesteld voor een proces of registratie.
Persoonsgegevens mogen in principe niet worden doorgegeven aan een organisatie in een land buiten de EU (artikel 44 t/m 50 van de AVG). Dit komt omdat binnen de EU een goede bescherming voor de persoonsgegevens is, en daarbuiten niet in alle gevallen. Onder doorgifte wordt o.a. verstaan: het opslaan (bijvoorbeeld in de ‘Cloud’) of het ter beschikking stellen aan een organisatie buiten de EU. Hieronder valt niet het via internet zichtbaar maken van persoonsgegevens aan personen buiten de EU. De gemeente geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.
9. Transparantie en communicatie
Communicatie, openheid en toetsing zijn belangrijke randvoorwaarden voor het realiseren van een optimale inbedding van het privacy reglement. Richting de klant is communicatie over gegevensbescherming van belang. De klant heeft het recht te weten wat er met zijn of haar gegevens gebeurt (informatieplicht). Het gaat hierbij niet alleen om informatie over de manier waarop de gemeente met persoonsgegevens omgaat maar ook om informatie over de rechten van inwoners, zoals inzage- en correctierecht van gegevens, de mogelijkheid verzet aan te tekenen tegen verwerking en het vernietigingsrecht als wel informatie over de bezwaar- en klachtenprocedure.
9.1 Wet openbaarheid van bestuur (Wob)
Via de Wob kan een ieder een verzoek om informatie indienen bij de gemeente. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt. Er wordt altijd een belangenafweging gemaakt of persoonsgegevens wel of niet worden verstrekt.
9.3 Informatieplicht (artikel 13, 14 van de AVG)
De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven, worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens om zal gaan. Dit kan bijvoorbeeld via een formulier gebeuren. Vaak staat op de aanvraagformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.
Wanneer de gegevens via een andere weg gekregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.
De gemeente bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van gemeentelijke taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijke als digitaal ingediend worden. De gemeente heeft één maand de tijd, vanaf de ontvangst van een (compleet) verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen één maand zal de gemeente laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente, of een klacht gerelateerd aan de AVG in te dienen bij de Autoriteit Persoonsgegevens (AP) of de Functionaris Gegevensbescherming.
Alvorens een verzoek in behandeling wordt genomen, dient de betrokkene te worden geïdentificeerd. De gemeente gaat zorgvuldig om met de gegevens van betrokkenen en wil daarom vaststellen dat de gegevens aan de juiste persoon worden overhandigd. Om bijvoorbeeld fraude te voorkomen, is het nodig dat betrokkene langskomt om zich te identificeren met zijn/haar identificatiebewijs. Het opsturen van een kopie van het identiteitsbewijs acht de gemeente onvoldoende om de identiteit vast te stellen. Indien de identiteit van betrokkene niet kan worden vastgesteld, kan de gemeente geen gevolg geven aan het verzoek van betrokkene.
10.2 Privacy by design en privacy by default (artikel 25 van de AVG)
Bij de aanschaf of ontwikkeling van producten, systemen of processen moet altijd rekening worden gehouden met de bescherming van persoonsgegevens. We noemen dit privacy by design en privacy by default. Voor alle producten, systemen of processen moeten de technische en organisatorische maatregelen ervoor zorgen dat standaard alleen die gegevens worden gebruikt die nodig zijn voor het doel. Bij het ontwerp van een systeem of werkwijze wordt aandacht besteed aan de wijze waarop waarborgen voor de naleving van de AVG kunnen worden ingebouwd, zoals de toegang tot de persoonsgegevens en automatische archivering, verwijdering en vernietiging.
10.3 Gegevensbeschermingseffectbeoordeling (artikel 35 van de AVG)
Met een gegevensbeschermingseffectbeoordeling (DPIA) worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. De gemeente voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën en gevoelige of bijzondere persoonsgegevens worden gebruikt.
10.4 Meldplicht datalekken (artikel 33, 34 van de AVG)
We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de gemeente dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de AP. Deze melding is niet noodzakelijk als het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Als dit later dan 72 uur is, wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de gemeente dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.
10.5 Functionaris voor de Gegevensbescherming (FG) (Artikel 37 t/m 39 van de AVG)
De gemeente heeft een FG aangesteld. De FG wordt door de gemeente actief betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de AP. De functionaris is niet verantwoordelijk voor de uitvoering van de taken op het gebied van bescherming van de privacy. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy door de gemeente.
Voor vragen over privacy of over dit reglement kunt u contact opnemen met de Functionaris voor de Gegevensbescherming van de gemeente Borger-Odoorn via:
E-mailadres: fg@borger-odoorn.nl of gemeente@borger-odoorn.nl t.a.v. de Functionaris voor de gegevensbescherming.
10.6 Contactpersonen privacy per afdeling/cluster
Per afdeling/cluster zullen contactpersonen privacy zijn aangewezen door leidinggevenden. De personen hebben meer uitleg gekregen over de AVG, waardoor zij dienen als eerste vraagbaak op de afdelingen. Indien deze contactpersonen niet kunnen adviseren, kan de jurist privacy of de functionaris gegevensbescherming geraadpleegd worden. Tevens hebben deze contactpersonen een actieve rol bij het up-tot-date houden van het register van verwerkingen.
Bekendmaking en inwerkingtreding
Dit reglement treedt in werking na vaststelling door het college van burgermeester en wethouders. Het reglement wordt geëvalueerd en, indien nodig, herzien. Als er belangrijke wijzigingen zijn, wordt het privacy reglement bijgesteld.
Gouden regels voor zorgvuldig en veilig omgaan met (persoons-)gegevens
Om voor iedereen op een duidelijke en begrijpelijke wijze het belang van het zorgvuldig omgaan met persoonsgegevens onder de aandacht te brengen, zijn er 10 regels opgesteld. Deze regels gelden niet alleen binnen de ‘muren’ van de gemeente Borger-Odoorn, maar uiteraard ook als je thuis of op een andere locatie werkt. Ook gelden deze regels voor de Stichting Sociale Teams Borger-Odoorn.
Deze 10 regels worden gezamenlijk aangeduid als de gouden regels voor zorgvuldig en veilig omgaan met (persoons-)gegevens. Iedereen binnen de gemeente Borger-Odoorn en de Stichting Sociale Teams Borger-Odoorn dient deze gouden regels te kennen, te respecteren en toe te passen in de dagelijkse werkzaamheden.
Verwerk niet meer persoonsgegevens dan nodig;
Er zijn veel klanten die ons zonder enige beperking voorzien van álle (bijzondere) persoonsgegevens die ze bezitten. Noteer en rapporteer (ook dan) alleen de gegevens die strikt noodzakelijk zijn voor je taak (b.v. benoem alleen dat er (bepaalde) belemmeringen zijn die in de weg staan bij arbeidsinschakeling en vermeld eventueel dat je bewijs hebt ingezien);
Functionaris gegevensbescherming: Harry de Groot
Contactpersoon privacy Sociale Teams: Anne-Marie Keizer
Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
Persoonsgegeven: alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Het verwerken van Persoonsgegevens: De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking:
Datalek : elke inbreuk op de beveiliging van de Persoonsgegevens, die per ongeluk of op onrechtmatige wijze heeft geleid tot de vernietiging, het verlies, de wijziging of de ongeautoriseerde toegang tot, de ongeautoriseerde verstrekking van of het ongeautoriseerde gebruik van doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, inclusief geconstateerde incidenten of kwetsbaarheden waarin dergelijk verlies, toegang, verstrekking, gebruik of verwerking redelijkerwijs niet kan worden uitgesloten. Voorbeelden zijn verlies van een USB-stick of computer, inbraak door een hacker, verzending van email waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor andere geadresseerden, een malwarebesmetting of een calamiteit, zoals brand in een datacentrum.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2019-59431.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.