Gemeenteblad 2020, 150060 | Overheid.nl > Officiële bekendmakingen

Datum publicatie	Organisatie	Jaargang en nummer	Rubriek
15-06-2020 09:00	Medemblik	Gemeenteblad 2020, 150060	Beleidsregels

Besluit van de gemeenteraad van de gemeente Medemblik houdende regels omtrent het verwerken van privacygevoelige informatie (Privacybeleid Raad Medemblik 2020)

Vastgesteld in de raadsvergadering van: 19 maart 2020

Inleiding

Aanleiding

Binnen gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de inwoners voor het goed uitvoeren van de gemeentelijke (wettelijke) taken. De inwoner moet erop kunnen vertrouwen dat gemeente Medemblik zorgvuldig en veilig met de persoonsgegevens omgaan.

De raad van de gemeente Medemblik (hierna kort: raad Medemblik) hecht er veel waarde aan dat de verwerkingen van persoonsgegevens zorgvuldig, rechtmatig en veilig plaatsvinden. In het privacybeleid heeft de raad Medemblik geformuleerd hoe om te gaan met de verwerkingen van persoonsgegevens.

In dit privacybeleid staan kaders beschreven voor het verwerken van privacygevoelige informatie oftewel persoonsgegevens, de bescherming van deze gegevens en omgang met deze gegevens. De kaders gelden voor de gemeente en derden die zijn of worden ingeschakeld.

Figuur 1: Strategische borging privacy

Reikwijdte en afbakening

Het privacybeleid is van toepassing op:

•
de werkprocessen van de raad Medemblik waarbinnen persoonsgegevens worden verwerkt,
•
informatiesystemen(zowel digitaal als fysiek) waarin persoonsgegevens worden verwerkt, waarvoor de gemeente (intern en extern) verantwoordelijk is,
•
alle ruimten en devices die door griffiemedewerkers, raadsleden intern en extern worden gebruikt waar(op) persoonsgegevens worden verwerkt,
•
alle geldende normen en regels op het gebied van privacy.

(Juridisch) Kader

De gemeente heeft de wettelijke verplichting om een veilige persoonsgegevensverwerking te borgen. Dit moet zij doen door technische en organisatorische maatregelen te treffen. De gemeente is verplicht de persoonlijke levenssfeer van haar inwoners te beschermen. Dit is geregeld in:

•
Grondwet (artikel 10),
•
Handvest van de grondrechten van de Europese Unie (EHRM),
•
Europees Verdrag voor de Rechten van de Mensen (EVRM),
•
Internationaal Kinderrechtenverdrag (IVRK).

Vanaf 25 mei 2016 (inwerkingtreding 25 mei 2018) geldt de Algemene Verordening Gegevensbescherming. De Algemene Verordening Gegevensbescherming is momenteel de belangrijkste wetgeving die invulling geeft aan de bescherming van de privacy.

Verder is ook in specifieke regelgeving invulling gegeven aan de bescherming van de privacy bij de verwerking van persoonsgegevens, zoals:

•
Wet maatschappelijke ondersteuning,
•
Jeugdwet,
•
Wet basisregistratie personen.

Informatiebeveiliging en de bescherming van persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Informatiebeveiliging is een randvoorwaarde voor de borging van privacy bij de verwerking van persoonsgegevens. In het Informatiebeveiligingsbeleid van de gemeente Medemblik zijn maatregelen opgenomen om data te beschermen.

Privacybeleid Raad Medemblik 2020

Hoofdstuk 1 Algemene bepalingen

Art. 1 Definities

1.
In deze regeling en de daarop berustende bepalingen wordt verstaan onder:
- a)
  betrokkene: diegene van wie persoonsgegevens worden verwerkt¹.
- b)
  gemeente Medemblik: het bestuur en de organisatie van de gemeente Medemblik.
- c)
  raad Medemblik: de verwerkingsverantwoordelijke raad van de gemeente Medemblik, diegene die het doel en middelen van een gegevensverwerking bepaalt.
- d)
  functionaris gegevensbescherming: de interne toezichthouder op het gebied van privacy en informatiebeveiliging.
- e)
  privacyofficer: diegene die binnen de gemeente Medemblik de uitvoering van de AVG coördineert.
- f)
  privacymedewerker: diegene die de AVG –voor bepaalde taken- op afdelingsniveau uitvoert.
- g)
  persoonsgegeven: elk gegeven dat herleidbaar is tot een natuurlijk persoon.
- h)
  verwerken van persoonsgegevens: alle handelingen die betrekking hebben op persoons-gegevens.
2.
Verdere definities met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in de Algemene Verordening Gegevensbescherming (e.v. AVG).

Hoofdstuk 2 Organisatorische borging

Art. 2 Verantwoordelijkheid

De raad Medemblik is eindverantwoordelijk voor de waarborging van privacy- en informatiebeveiliging.

	Verantwoordelijk	Rol
R	Responsible / Feitelijk verantwoordelijk	• Griffier • Alle medewerkers (inclusief inhuur/externen)
A	Accountable / Eindverantwoordelijk	• Raad Medemblik
S	Supporting / Uitvoerend	• Griffier • Privacyofficers • Privacymedewerkers
C	Consulted / Adviserend	• Privacyofficers • Functionaris gegevensbescherming (FG) • Chief information security officer (CISO)
I	Informerend / Geïnformeerd	• Functionaris gegevensbescherming • Belanghebbenden/betrokkene(n)

Figuur 2 Bovenstaande tabel brengt de verantwoordelijkheden, t.a.v. privacy, in beeld aan de hand van het RASCI-model.

Art. 3 Functionaris gegevensbescherming, privacyofficer en privacymedewerker

1.
De raad Medemblik heeft een functionaris gegevensbescherming (e.v. FG). De FG vervult de taken als beschreven in art. 39 AVG.
2.
De raad Medemblik publiceert de zakelijke gegevens van haar FG op de website van de gemeente Medemblik. Onder zakelijke gegevens wordt verstaan:
- a.
  Naam.
- b.
  Zakelijk telefoonnummer.
- c.
  E-mailadres (privacy@medemblik.nl).
3.
Gemeente Medemblik benoemt één of meerdere privacyofficer(s) (e.v. PO). De PO:
- a.
  adviseert de organisatie gevraagd, en ongevraagd, over het implementeren en borgen van privacy.
- b.
  beheert het register van verwerkingsactiviteiten.
- c.
  bereidt afspraken met externe partijen, als bedoeld in art. 8, voor.
- d.
  draagt zorg voor de periodieke interne verantwoording richting de FG.
- e.
  fungeert als contactpersoon richting de FG.
- f.
  behandelt verzoeken van betrokkenen.
4.
De raad Medemblik heeft één of meerdere privacymedewerker(s) (e.v. PM). Een PM draagt zorg voor:
- a.
  het toetsen van de werkprocessen naar de geldende privacynormen.
- b.
  het actueel houden van het register van verwerkingsactiviteiten.
- c.
  het signaleren en melden van onjuist gebruik van persoonsgegevens bij de PO.
- d.
  het signaleren van organisatorische ontwikkelingen die verband houden met privacy- en informatiebeveiliging.
- e.
  het ondersteunen van de PO en FG.
5.
De FG draagt zorgt voor een voldoende kennisniveau, met betrekking tot privacy- en informatiebeveiliging, van de PO & PM.
6.
Bij afwezigheid van de FG ziet de PO toe op de naleving van de AVG. Hierbij zal de PO:
- a.
  Ondersteunen bij beveiligingsincidenten en datalekken conform art. 9.
- b.
  Adviseren over spoedeisende vraagstukken.

Hoofdstuk 3 Uitgangspunten

Art. 4 Beginselen

1.
De raad Medemblik verwerkt persoonsgegevens in beginsel slechts:
- a.
  ter uitvoering van een wettelijke verplichting,
- b.
  ter behartiging van een algemeen belang of het uitoefenen van openbaar gezag,
- c.
  ter uitvoering van een overeenkomst.
2.
De raad Medemblik informeert de betrokkene via een privacyverklaring op de website van de gemeente Medemblik.
3.
De raad Medemblik gebruikt voor haar gegevensverwerkingen slechts de categorieën persoonsgegevens die noodzakelijk zijn om een verwerkingsdoel te bereiken, of voor doelen die verenigbaar zijn met de oorspronkelijke reden van verzamelen.
4.
In afwijking van lid 3 kunnen persoonsgegevens met toestemming van de betrokkene voor afwijkende verwerkingsdoeleinden worden gebruikt.
5.
De raad Medemblik bewaart en vernietigt persoonsgegevens conform de op dat moment geldende selectielijst gemeenten en intergemeentelijke organen.

Art. 5 Waarborgen en beveiliging

1.
De raad Medemblik zorgt voor een veilige gegevensverwerking. Hiervoor worden in ieder geval de volgende maatregelen genomen:
- a)
  externe medewerkers, in dienst van gemeente Medemblik en de raad Medemblik, ondertekenen een geheimhoudingsverklaring.
- b)
  (externe) medewerkers, in dienst de raad Medemblik, worden continue getraind in het juist omgaan met persoonsgegevens.
- c)
  gemeente Medemblik inventariseert en minimaliseert doorlopend potentiële privacy risico’s middels de instrumenten als bedoeld in hoofdstuk 4 van dit beleid.
- d)
  persoonsgegevens worden, zonder toestemming of wettelijke grondslag, niet intern of extern gedeeld.
2.
De raad Medemblik voert beleid op de juiste toegang tot fysieke ruimtes en de rechten en bevoegdheden tot de digitale informatiesystemen. De fysieke ruimtes en digitale informatiesystemen zijn zo ingericht dat onbevoegden geen toegang hebben tot persoonsgegevens.

Hoofdstuk 4 Privacy instrumenten

Art. 6 Register van verwerkingsactiviteiten

1.
Gemeente Medemblik heeft een register van verwerkingsactiviteiten dat voldoet aan de daaraan gestelde normen². In het register van de gemeente Medemblik zijn de verwerkingsactiviteiten van de raad Medemblik opgenomen.
2.
Gemeente Medemblik publiceert de volgende delen van haar register van verwerkingsactiviteiten op haar website:
- a.
  naam en contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijke.
- b.
  de naam van de gegevensverwerking en specifieke verwerkingsdoeleinden.
- c.
  een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens.
- d.
  de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden vernietigd en verwijderd.
- e.
  de categorieën van partijen aan wie de persoonsgegevens zijn of zullen worden verstrekt.
- f.
  de rechtmatigheidsgrondslag.
- g.
  de herkomst van de persoonsgegevens.

Art. 7 Gegevensbeschermingseffectbeoordelingen

1.
De raad Medemblik voert gegevensbeschermingseffectbeoordelingen (e.v. PIA) uit op die werkprocessen die een risico inhouden op het gebied van gegevensbescherming en op iedere nieuwe en gewijzigde gegevensverwerking³.
2.
De raad Medemblik beschouwt in ieder geval de werkprocessen als beschreven in bijlage 2 als risicovol op het gebied van gegevensbescherming.
3.
De PM van de griffie is bevoegd om in overleg met de FG bijlage 2 te actualiseren.

Art. 8 Afspraken externe partijen

1.
De raad Medemblik houdt een overzicht bij van alle externe partijen met wie zij persoonsgegevens uitwisselt.
2.
De raad Medemblik maakt met alle partijen met wie zij persoonsgegevens uitwisselt afspraken over de veilige omgang met persoonsgegevens.
3.
In het geval dat de raad Medemblik het doel en de middelen van de externe gegevensverwerking bepaalt wordt een verwerkersovereenkomst gesloten.
4.
In de gevallen waar de raad Medemblik niet het doel en de middelen van een gegevensverwerking bepaalt worden afspraken gemaakt over gedeelde en/of gezamenlijke verwerkingsverantwoordelijkheid.
5.
De raad Medemblik maakt gebruik van het model van de VNG.
6.
De naleving van de gemaakte afspraken wordt periodiek gecontroleerd door de FG.

Art. 9 Omgang beveiligingsincident/datalek

1.
In het geval van een beveiligingsincident en/of datalek geldt het op dat moment geldende incident management responseplan van de gemeente Medemblik.
2.
De FG is gezamenlijk met de CISO (informatiebeveiliger) verantwoordelijk voor de behandeling van beveiligingsincidenten en datalekken.

Hoofdstuk 5 Rechten van betrokkenen

Art. 10 Rechten op inzage/afschrift

1.
Het staat een betrokkene vrij om inzage in de betreffende persoonsgegevens te vragen en om een afschrift van deze persoonsgegevens te verzoeken.
2.
Het verzoek beschrijft specifiek wat de betrokkene van de raad Medemblik aan inzage, of afschrift verlangt.
3.
Een verzoek, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het DigiD formulier op de website van gemeente Medemblik of door het aanleveren van het betreffende formulier.
4.
Een verzoek, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. De raad Medemblik behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen.

Art. 11 Recht op correctie

1.
Het staat een betrokkene vrij om correctie van de eigen persoonsgegevens te vragen.
2.
Het verzoek beschrijft de foutieve persoonsgegevens en de juiste persoonsgegevens.
3.
Een verzoek, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het DigiD formulier op de website van gemeente Medemblik of door het aanleveren van het betreffende formulier.
4.
Een verzoek, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. De raad Medemblik behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen.

Art. 12 Recht op verwijdering

1.
Het staat een betrokkene vrij om een verwijderingsverzoek persoonsgegevens in te dienen.
2.
Een verwijderingsverzoek persoonsgegevens wordt toegewezen indien:
- a)
  de bewaar- en vernietigingstermijn zijn verstreken.
- b)
  de betrokkene zijn expliciet gegeven toestemming herroept.
- c)
  de persoonsgegevens onrechtmatig zijn verwerkt.
3.
Een verzoek, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het DigiD formulier op de website van gemeente Medemblik of door het aanleveren van het betreffende formulier.
4.
Een verzoek, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. De raad Medemblik behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen.

Art. 13 Recht op bezwaar

1.
Het staat een betrokkene vrij om bezwaar in te dienen tegen een verwerking van persoonsgegevens.
2.
De betrokkene beargumenteert waarom een bepaalde gegevensverwerking onverenigbaar is met het beoogde verwerkingsdoel.
3.
Een bezwaar, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het DigiD formulier op de website van gemeente Medemblik of door het aanleveren van het betreffende formulier.
4.
Een bezwaar, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. De raad Medemblik behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen

Art. 14 Weigeringsgronden

1.
De raad Medemblik weigert een verzoek, als bedoeld in de artikelen 10 t/m 13, indien:
- a)
  de identiteit van de verzoeker niet kan worden vastgesteld.
- b)
  het verzoek inbreuk maakt op de rechten en vrijheden van anderen.
- c)
  het verzoek, gelet op de daaraan voorafgaande verzoeken met onredelijke tussenpozen – meer dan één verzoek per maand -wordt ingediend.

Hoofdstuk 6 Overgangs- en slotbepalingen

Art. 15 Bekendmaking en inwerkingtreding

1.
Het privacybeleid treedt in werking met ingang van de dag na bekendmaking.
2.
Jaarlijks wordt het privacybeleid geëvalueerd door de PM van de griffie in samenwerking met de FG.
3.
Dit beleid wordt aangehaald als: Privacybeleid Raad Medemblik 2020.

Bijlage 1: Artikelsgewijs commentaar

Art. 1 Definities

In het privacybeleid wordt aangesloten bij de definities die vanuit de AVG worden gehanteerd.

Waar in dit beleid de term vakafdeling ter sprake komt, wordt ook de griffie bedoeld. Aanvullend maakt de griffie voor het waarborgen van privacy bij de raad veelal gebruik van de capaciteit en opzet van het college. Zodoende wordt in deze regeling zoveel mogelijk aansluiting gezocht bij de beleidsopvattingen van het college.

Art. 2 Verantwoordelijkheid

Het borgen van privacy- en informatiebeveiliging is een aangelegenheid waar alle lagen van de gemeente Medemblik een rol en verantwoordelijkheid bij hebben. Waar de raad eindverantwoordelijke is, ligt de operationele borging bij de griffier en PM.

Art.3 Functionaris gegevensbescherming, privacyofficer en privacymedewerker

De AVG stelt de aanstelling van een FG voor alle overheidsinstanties verplicht. De FG is de interne toezichthouder op het gebied van privacy. Een FG zal dan ook vanuit zijn wettelijke taak gevraagd en ongevraagd adviseren over de mate waarin de raad Medemblik voldoet aan haar verplichtingen uit hoofde van de AVG en verdere (privacy)regelgeving. Naast de verplichting om een FG aan te stellen, verplicht de AVG gemeente Medemblik om nieuwe privacy instrumenten te implementeren⁴. Ten einde privacy structureel te borgen heeft de raad Medemblik één of meerdere privacy-medewerkers.

De PO adviseert en ondersteunt de gemeente Medemblik en de griffie bij het implementeren en borgen van privacy. Dit uit zich in het begeleiden van PIA’s en het adviseren over organisatiebrede privacy- en informatievraagstukken. Voorts beheert de PO het register van verwerkingsactiviteiten, met inbegrip van de publicatie hiervan. Tevens coördineert de PO het maken van privacyafspraken met externe partijen.

De PM voert PIA’s uit, ondersteunt bij het maken van privacyafspraken met externe partijen en heeft een signaleringsfunctie. Binnen deze signaleringsfunctie valt het herkennen van ontwikkelingen die van invloed kunnen zijn op het register van verwerkingsactiviteiten en externe gegevensverwerkingen. Ook het signaleren van mogelijk onjuist gebruik van persoonsgegevens valt binnen de signaleringsfunctie van de PM.

Het is van belang dat de griffie zich bewust is van de verplichtingen die op de organisatie rusten t.a.v. privacy- en informatiebeveiliging. De FG verzorgt of faciliteert dan ook in trainingen op het gebied van privacy ten einde een adequaat kennisniveau bij de PO en PM te realiseren.

Art. 4 Beginselen

Uit onderstaande schematische weergave blijkt op welke wijze gemeente Medemblik invulling geeft aan de algemene verwerkingsbeginselen⁵.

Norm	Invulling raad Medemblik
Rechtmatigheid, behoorlijkheid en transparantie	Persoonsgegevens worden slechts verwerkt ter uitvoering van een wettelijke verplichting (voorbeeld: Gemeentewet of Algemene wet bestuursrecht), ter behartiging van een algemeen belang of openbaar gezag (bijvoorbeeld camerabewaking) of het uitvoeren van een overeenkomst (bijvoorbeeld een koopovereenkomst). Een betrokkene wordt via de privacyverklaring en het register van verwerkingsactiviteiten op de website (www.medemblik.nl) geïnformeerd over de gegevensverwerkingen van gemeente Medemblik en de raad Medemblik.
Doelbinding	Slechts die categorieën persoonsgegevens die noodzakelijk zijn om een bepaald verwerkingsdoel te bereiken worden verwerkt.
Minimale gegevensverwerking	Conform het doelbindingsbeginsel worden slechts die persoonsgegevens gebruikt die noodzakelijk zijn om een bepaald verwerkingsdoel te bereiken.
Opslagbeperking	Persoonsgegevens worden bewaard en vernietigd conform de op dat moment geldende “Selectielijst gemeenten en intergemeentelijke organen”.
Integriteit en vertrouwelijkheid	Persoonsgegevens, die gebruikt worden voor publiekrechtelijke taken, worden geverifieerd op basis van de basisregistratie personen. Persoonsgegevens worden beveiligd conform het “Informatiebeveiligingsbeleid gemeente Medemblik”.
Verantwoordingsverplichting	Periodiek wordt verantwoording afgelegd aan de FG. Op verzoek legt raad Medemblik verantwoording af aan de AP.

Art. 5 Waarborgen en beveiliging

Ten einde privacy- en informatiebeveiliging structureel te waarborgen is het van belang dat de raadsleden en de medewerkers van de griffie op een zorgvuldige wijze met persoonsgegevens omgaan. Wat dat betreft zal de organisatie voldoende middelen beschikbaar moeten stellen om kennis t.a.v. privacy- en informatiebeveiliging op peil te houden. Voorts is het van belang dat de griffie zich bewust is van de eventuele privacy- en beveiligingsrisico’s en doorlopend werken aan het minimaliseren hiervan.

Het waarborgen van privacy gaat voor gemeente Medemblik verder dan slechts zichtbare maatregelen⁶. Conform de geldende richtlijnen waarborgt de gemeente Medemblik privacy in de digitale en fysieke sfeer⁷⁸.

Art. 6 Register van verwerkingsactiviteiten

Conform de eisen van art. 30 AVG heeft gemeente Medemblik een register van verwerkings-activiteiten.

Art. 7 Gegevensbeschermingseffectbeoordelingen

Indien een organisatie risicovolle gegevensverwerkingen uitvoert stelt de wetgever hiervoor een PIA (privacy-onderzoek) verplicht.

Gemeente Medemblik kwalificeert een proces als risicovol indien er sprake is van:

-
een structurele grootschalige gegevensverwerking.
-
een verwerking van bijzondere persoonsgegevens.
-
een nieuwe (of gewijzigde) verwerking van persoonsgegevens
-
een hoog risico voor de rechten en vrijheden van natuurlijke personen.

De raad Medemblik kwalificeert in ieder geval de processen als beschreven in bijlage 2 als risicovol. De vakafdelingen zijn verantwoordelijk voor het uitvoeren van PIA’s. Voorafgaand aan het uitvoeren van een PIA neemt de vakafdeling contact op met de FG en PO. De FG adviseert over de kaders en reikwijdte van de PIA’s, de PO onder andere over de (eventueel) te implementeren maatregelen.

Art. 8 Afspraken externe partijen

Het is van belang (en wettelijk verplicht) dat de raad Medemblik afspraken maakt met externe partijen over de veilige omgang met gemeentelijke data/persoonsgegevens. In het geval van een externe gegevensuitwisseling is er sprake van een verwerkersrelatie of van een gezamenlijke/gedeelde verwerkingsverantwoordelijkheid.

Indien de raad Medemblik het doel en de middelen van de externe gegevensverwerking bepaalt is er sprake van een verwerkersrelatie en moet een verwerkersovereenkomst gesloten worden. Gemeente Medemblik gebruikt hiervoor het model van de VNG. De verantwoordelijkheid voor het afsluiten van deze overeenkomsten rust bij de vakafdelingen, die hierbij juridisch worden ondersteund door de PO. In het geval dat de raad Medemblik niet het doel en/of de middelen van een gegevensverwerking bepaalt kan er sprake zijn van een gezamenlijke/gedeelde verwerkingsverantwoordelijkheid. In dit geval dient er een overeenkomst gezamenlijke/gedeelde verwerkingsverantwoordelijkheid te worden gesloten. Gemeente Medemblik gebruikt hiervoor –bij afwezigheid van een VNG-model- het, in West-Friesland vastgestelde format. Het is van belang dat de naleving van de gemaakte afspraken periodiek wordt gecontroleerd en geëvalueerd. Deze controlebevoegdheid is voorbehouden aan de FG.

Art. 9 Omgang beveiligingsincident/datalek

Indien er zich een beveiligingsincident/datalek voordoet is het van belang dat er binnen 72 uur verschillende acties worden uitgevoerd. De FG en CISO zijn gezamenlijk verantwoordelijk voor de coördinatie en afhandeling van een beveiligingsincident/datalek. Hiervoor wordt het op dat moment geldende “Incident Management Responseplan gemeente Medemblik” gevolgd. Bij afwezigheid van de FG of CISO neemt de PM van de griffie deze taak over.

Art. 10 Rechten op inzage/afschrift

Diegene die betrokken is bij een gegevensverwerking kan de raad Medemblik verzoeken om inzage te bieden in de eigen persoonsgegevens. Het recht op inzage is van toepassing op alle gemeentelijke documenten en registraties, met uitzondering van wat in de Wet basisregistratie personen (e.v. Wet BRP) is bepaald. Gemeente Medemblik faciliteert in deze behoefte door een betrokkene inzage op het gemeentehuis aan te bieden of een schriftelijk afschrift van zijn verwerkte persoonsgegevens te verstrekken. Een inzageverzoek wordt behandeld door de PO.

Art. 11 Recht op correctie

Diegene die betrokken is bij een gegevensverwerking kan de raad Medemblik verzoeken om correctie van de eigen persoonsgegevens. Het recht op correctie op grond van de AVG is van toepassing op alle gemeentelijke documenten en registraties, behoudens de reikwijdte van de Wet BRP. Gemeente Medemblik faciliteert in deze behoefte door de betrokkene een afschrift van de doorgevoerde correctie(s) te verstrekken. Een correctieverzoek wordt behandeld door de PO.

Art. 12 Recht op verwijdering

Diegene die betrokken is bij een gegevensverwerking kan de raad Medemblik vragen persoonsgegevens te verwijderen. Het recht op verwijdering op grond van de AVG is van toepassing op alle gemeentelijke documenten en registraties, uitgezonderd van hetgeen bepaald in de Wet BRP. Gemeente Medemblik bewaart persoonsgegevens conform de termijnen opgenomen in de op dat moment geldende “Selectielijst gemeenten en intergemeentelijke organen”. In die hoedanigheid wordt een verwijderingsverzoek te allen tijde getoetst aan de geldende bewaar- en vernietigingstermijnen.

Een verwijderingsverzoek wordt toegewezen indien de betrokkene zijn toestemming intrekt, mits de gegevensverwerking gebaseerd is op deze toestemming⁹. Voorts worden persoonsgegevens verwijderd indien deze onrechtmatig blijken te zijn verwerkt. Een verwijderingsverzoek wordt behandeld door de PO.

Art. 13 Recht op bezwaar

Het staat diegene die betrokken is bij een gegevensverwerking vrij om bezwaar in te dienen tegen een specifieke verwerking van persoonsgegevens. Een dergelijk bezwaar wordt niet behandeld als een bezwaar in de zin van de Algemene wet bestuursrecht (e.v. Awb), maar conform de AVG. Een bezwaar wordt toegewezen indien een gegevensverwerking onverenigbaar is met het beoogde verwerkingsdoel. Een bezwaar tegen een gegevensverwerking wordt behandeld door de FG.

Art. 14 Weigeringsgronden en rechtsbescherming

Het indienen van een verzoek, als bedoeld in art. 10, art. 11, art. 12 en art. 13, is aan voorwaarden gebonden. Allereerst dient de identiteit van de verzoeker te worden vastgesteld. De raad Medemblik kiest ervoor om de identiteit van de verzoeker op het moment van indiening vast te stellen. Voorts wordt een verzoek (gedeeltelijk) afgewezen indien het betreffende verzoek de privacy van een ander natuurlijke persoon raakt en daar geen toestemming of machtiging aan ten grondslag ligt. Tot slot wordt een verzoek afgewezen indien deze binnen een onredelijke termijn, volgend op een voorgaand verzoek, wordt ingediend. Als een redelijke termijn beschouwt gemeente Medemblik één type verzoek, als bedoeld in art. 10, art. 11, art. 12 en art.13, per maand. Een besluit op een verzoek, als bedoeld in art. 10, art. 11, art. 12 en art. 13, wordt gelijkgesteld aan een besluit in de zin van de Awb¹⁰.

Art. 15 Bekendmaking en inwerkingtreding

Het privacybeleid heeft zowel interne als externe werking en wordt zodoende gepubliceerd. Het privacybeleid wordt jaarlijks geëvalueerd.

Bijlage 2: Aanwijzing risicovolle processen raad Medemblik o.g.v. artikel 7

De raad Medemblik kwalificeert de volgende processen en applicaties als risicovol.

ICT systeem: iBabs

Griffie

-
Burgermeestersbenoemingen
-
Publiceren ingekomen stukken
-
Camerabeelden openbare bijeenkomsten gemeenteraad en/of commissies.

Berichten over uw Buurt

Dienstverlening

Beleid & regelgeving

Contactgegevens overheden

Gemeenteblad van Medemblik

Inhoudsopgave

Extra informatie

Gerelateerd

Geconsolideerde regelgeving

Publicaties referendum

Inhoudsopgave

Extra informatie

Gerelateerd

Geconsolideerde regelgeving

Publicaties referendum

Permanente link

Disclaimer