De gemeente Zwolle zorgt ervoor dat al haar medewerkers op rechtmatige wijze persoonsgegevens verwerken tijdens de uitvoering van hun taken. In dit hoofdstuk wordt beschreven hoe dit organisatorisch wordt geborgd.

Alle medewerkers binnen de gemeente Zwolle zijn verantwoordelijk voor een rechtmatige omgang met persoonsgegevens. Hiertoe zijn de volgende basisregels opgesteld:

• 1.

  Persoonsgegevens worden alleen vastgelegd als dit noodzakelijk is om te voldoen aan een wettelijke verplichting, ter uitvoering van een gemeentelijke taak of om de belangen van betrokkenen te beschermen.

• 2.

  Voor elke verwerking van persoonsgegevens die plaatsvindt bestaat een wettelijke grondslag en een vooraf bepaald specifiek doel.

• 3.

  Persoonsgegevens worden alleen gedeeld met collega’s die vanuit hun functie direct betrokken zijn. Bij een uitwisseling van persoonsgegevens vindt er een belangenafweging plaats omtrent het juiste gebruik van persoonsgegevens.

• 4.

  Daar waar toestemming geldt als wettelijke grondslag voor een verwerking wordt er voldoende begrijpbare informatie gegeven aan een inwoner. Toestemming door inwoners wordt te alle tijde in vrije wil gegeven. Gegeven toestemming kan aantoonbaar worden gemaakt middels een toestemmingsformulier of aantekening in een dossier.

• 5.

  Medewerkers kiezen te alle tijde voor de minst ingrijpende manier op de privacy van betrokkenen om een bepaald doel te bereiken.

• 6.

  Er wordt zoveel mogelijk met inwoners gepraat en zo min mogelijk over inwoners

• 7.

  Medewerkers volgen de Archiefwet en de vastgestelde bewaartermijnen voor persoonsgegevens binnen hun afdeling, als er geen vastgestelde termijn is wordt deze opgesteld in lijn met het doel van de verwerking.

• 8.

  Als er iets misgaat met persoonsgegevens wordt dit direct gemeld via het Servicedesk Digitaal of via het emailadres datalek@zwolle.nl (ook bij een vermoeden dat er iets mis is gegaan). Voor nadere informatie omtrent de omgang met datalekken wordt verwezen naar het Protocol Datalekken.

• 9.

  Medewerkers maken afspraken met derde partijen als daarmee persoonsgegevens worden uitgewisseld in de vorm van een verwerkersovereenkomst, convenant of soortgelijke overeenkomst. Hiermee wordt eenzelfde niveau van beveiliging gewaarborgd. Eventuele gemaakte afspraken ontslaan de gemeente niet van de noodzaak tot het hebben van een wettelijke grondslag.

• 10.

  Alvorens een gegevensverwerking plaatsvindt wordt onderzocht of dit een hoog privacy risico oplevert voor de betrokkenen en of daarom een DPIA uitgevoerd moet worden.

• 11.

  De gemeente Zwolle hanteert het principe van Privacy by design en Privacy by default.

• 12.

  Medewerkers vragen tijdig advies van de privacy-contactpersoon van de afdeling. Bij bijzondere of complexe situaties wordt de Privacy Officer dan wel FG geraadpleegd.

Deze basisregels vormen ook het kader bij het vaststellen of aanpassen van de diverse werkprocessen binnen de organisatie.