Privacybeleid 2022-2025

Privacybeleid gemeente Beuningen

 

 

 

1. Beleid

De kaders uit dit privacybeleid vormen de uitgangspunten voor alle documenten die worden ontwikkeld om richting te geven aan de dagelijkse praktijk.

Het gaat dan om o.a.:

- Privacyverklaring gemeente Beuningen;

- Procedure datalekken gemeente Beuningen;

- Procedure AVG rechten;

- Format verwerkersovereenkomst.

 

Er zijn ook verschillende landelijke initiatieven voor wetsontwikkeling die het mogelijk maken gegevens tussen verschillende werkvelden uit te wisselen. Deze nieuwe wetten vragen ook om beleidsregels te ontwikkelen die de toepasbaarheid in de gemeente vergemakkelijken. Hierbij valt te denken aan gegevensuitwisseling in het sociaal domein en in de bestrijding van ondermijning.

 

Het privacybeleid wordt op basis van een PDCA cyclus ten minste iedere drie jaar geëvalueerd en indien nodig herzien. De meest actuele versie van het beleid is te vinden op overheid.nl en op de website van de gemeente Beuningen.

 

2. Waarom hebben we beleid voor Privacy?

 

Privacy en Informatieveiligheid zijn twee belangrijke pijlers van onze democratische rechtstaat. Privacy is een grondrecht en een fundamentele vrijheid, maar het gaat het ook om de bescherming van (persoons)gegevens en vertrouwelijke informatie.

 

Dat gevoel van veiligheid, dat rust op deze twee pijlers, is een vereiste voor het uitoefenen van andere fundamentele vrijheden zoals de vrijheid om voor je mening uit te komen in spreken en schrijven.

 

Wij willen als gemeente Beuningen bijdragen aan de democratische rechtstaat door een toekomstgerichte en betrouwbare gemeente te zijn die in verbinding is met inwoners. Daarom blijven wij investeren in kennis en kunde. Zo kunnen wij actuele vraagstukken rondom privacy en informatieveiligheid goed aanpakken. De bescherming van de privacy van onze inwoners richten wij in volgens de meest passende normen van informatiebeveiliging. Wij volgen daarom trends en ontwikkelingen op de voet.

 

3. Voor wie is het beleid bedoeld?

Het beleid is van toepassing op de hele organisatie, op alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente Beuningen. Het college stelt het beleid vast.

 

 

4. Welke wettelijke kaders zijn van toepassing?

Verwerkingen van persoonsgegevens zijn gebonden aan wet- en regelgeving. In deze wet- en regelgeving staan bepalingen die aangeven hoe met de bescherming van persoonsgegevens moet worden omgegaan. De belangrijkste wettelijke kaders staan in:

• Artikel 8 Europese Verdrag voor de Rechten van de Mens;

• Artikelen 10 t/m 13 Grondwet;

• De Algemene Verordening Gegevensbescherming en de Uitvoeringswet AVG;

• De Wet politiegegevens (Wpg) en het Besluit politiegegevens

• Wetten gericht op de uitvoering in specifieke sectoren zoals:

o Wet Maatschappelijke Ondersteuning 2015;

o Participatiewet;

o Jeugdwet;

o Wet Algemene bepalingen Omgevingswet (WABO);

o Wet openbaarheid van bestuur (Wob) en vanaf 1 mei 2022

Wet open overheid (Woo);

o Wet Basis Registratie Personen;

o Drank- en Horecawet

• Archiefwet

• Het wetboek van Strafrecht

 

Naast de wet- en regelgeving van buiten kennen we ook eigen kaders die van invloed zijn op de verwerkingen van persoonsgegevens:

• Informatieveiligheidsbeleid;

• Integriteitsbeleid.

 

5. Uitgangspunten

De gemeente Beuningen verwerkt persoonsgegevens voornamelijk voor de uitvoering van wettelijke taken en regelingen in het algemeen belang. En altijd binnen de hierboven genoemde wettelijke kaders. Hieruit volgen meerdere uitgangspunten voor hoe wij omgaat met privacy.

Uitgangspunten

• Bij dataverzamelingen en datagebruik zetten wij het maatschappelijk belang voorop;

Dataverzameling en -gebruik moet noodzakelijk zijn voor het maatschappelijk belang en bijdragen aan de leefbaarheid in de gemeente;

• Inwoners kunnen vertrouwen op onze zorgvuldigheid;

Inwoners, bedrijven en belanghebbenden moeten erop kunnen vertrouwen dat we zorgvuldig met hun gegevens omgaan . Wij zijn een betrouwbare overheid, zeker omdat mensen niet altijd de keuze hebben om hun (soms zeer privacygevoelige) gegevens aan ons te geven.;

• Wij beschermen onze informatie;

We beschermen al onze systemen en de informatie die we daarin verwerken en hebben opgeslagen;

• Wij geven toegang tot informatie volgens het "Need-to-know" en "Need-to-Use" principe;

Onze medewerkers mogen en kunnen alleen die informatie zien die zij voor hun werkprocessen nodig hebben. We beschermen onze (persoons)gegevens tegen ongeoorloofde toegang;

• Wij passen Privacy-by-design en Privacy-by-default toe;

We nemen privacy afwegingen en informatieveiligheidsmaatregelen vanaf het begin mee bij aanpassingen van processen en systemen.

• Wij nemen maatregelen gebaseerd op risico acceptatie;

We kiezen bij het nemen van informatieveiligheidsmaatregelen voor de juiste balans tussen informatieveiligheid en gebruiksgemak. Zo wordt voorkomen dat die de werkprocessen belemmeren;

• Wij innoveren en investeren in maatregelen;

We vergroten het vertrouwen bij onze inwoners, bedrijven en belanghebbenden door aantoonbaar en blijvend te innoveren en investeren in privacy en informatieveiligheid;

• Wij blijven verantwoordelijk voor persoonsgegevens "in huis" en "bij derden";

We zijn ook verantwoordelijk voor de verwerkingen en de informatie die we door “derden” laten uitvoeren. Daar maken we goede afspraken over met de ketenpartners en leveranciers die we in (verwerkers)overeenkomsten vastleggen.;

• Proceseigenaren zijn verantwoordelijk;

We stimuleren proceseigenaren in onze organisatie in het nemen en voelen van verantwoordelijkheid voor de zorg rond privacy en informatieveiligheid.

 

 

6. Samenhang privacy en informatiebeveiliging

Er is een nauwe samenhang tussen privacy en informatiebeveiliging. Het zijn twee verschillende begrippen, maar wel met een gemeenschappelijk raakvlak. Privacy gaat over het vertrouwelijk omgaan met persoonlijke gegevens en deze dus ook voldoende beschermen. Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van alle (gevoelige) informatie. Zowel informatiebeveiliging als privacy vragen om een risico-gedreven aanpak.

 

Figuur 1: Samenhang Privacy en Informatiebeveiliging

Het privacybeleid kan door deze samenhang niet los worden gezien van het informatiebeveiligingsbeleid. Het informatiebeveiligingsbeleid van de gemeente Beuningen voldoet aan de landelijk gestelde beveiligingsnormen voor de overheid.

 

7. Rollen en verantwoordelijkheden

De bestuursorganen van de gemeente zijn allemaal verantwoordelijken voor de verwerkingen die door of namens de gemeente worden uitgevoerd. De bestuursorganen van de gemeente zijn onder andere de burgemeester, het college van Burgemeester en Wethouders (het college van B&W) en de Gemeenteraad.

 

Binnen de gemeente Beuningen zijn verschillende rollen en verantwoordelijkheden belegd om uitvoering te geven aan dit privacybeleid:

 

Verantwoordelijk

Rol

Verwerkingsverantwoordelijke (Eindverantwoordelijk)

 

Burgemeester

College

Verantwoordelijk (feitelijk verantwoordelijk)

 

Gemeentesecretaris/directeur

Uitvoerend (Proces verantwoordelijk)

Afdelingsmanagers

 

Adviserend

Functionaris Gegevensbescherming (FG)

Privacy Officer (PO)

Chief Information Security Officer (CISO)

 

Geïnformeerd

Gemeenteraad

Functionaris Gegevensbescherming (FG)

Belanghebbenden

Betrokkenen

 

 

 

Gemeenteraad

De gemeenteraad is zelf verantwoordelijk voor het borgen van de privacy binnen de griffie en de door hen ingestelde commissies.

Daarnaast kan de gemeenteraad door het college worden geïnformeerd over de staat van Privacy in de gemeente. Jaarlijks brengt de FG een verslag uit waarin die staat wordt toegelicht vanuit het perspectief van de onafhankelijke toezichthouder.

 

Burgemeester

De burgemeester is voor de taakuitoefening een eigen bestuursorgaan en die hoedanigheid verantwoordelijk voor een zorgvuldige verwerking van persoonsgegevens in de eigen processen. De burgemeester neemt maatregelen om te waarborgen en aan te kunnen tonen dat de verwerking van persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd.

 

College van B&W

Het college van B&W is verantwoordelijk voor het verwerken van persoonsgegevens binnen de gestelde kaders. Het college stelt hiervoor de beleidskaders en specifieke regelingen en procedures vast. Jaarlijks legt ze verantwoording af aan de gemeenteraad over privacy en de toepassing van het privacybeleid, via de paragraaf bedrijfsvoering in de jaarstukken.

 

Het managementteam (MT) en de afdelingsmanagers

Het MT en de afdelingsmanagers zijn naar de medewerkers verantwoordelijk voor het sturen op en monitoren van de uitvoering van het beleid. Ze stimuleren bewustwording over privacy bij medewerkers. Het vaststellen van doelen en middelen om persoonsgegevens te verwerken is aan de afdelingsmanagers gemandateerd. De afdelingsmanagers zijn ook verantwoordelijk voor het afhandelen en melden van datalekken binnen hun afdeling. De afdelingsmanagers zorgen voor het aanstellen van "Privacybeheerders" die hen in de 1e lijn ondersteunen in de dagelijkse naleving van de AVG.

 

Functionaris Gegevensbescherming (FG)

• ziet toe op de naleving van de AVG, UAVG en Wpg.

• is onafhankelijk en kan voor de uitoefening van zijn rol geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die de FG heeft benoemd (artikel 37 AVG).

• is contactpersoon voor de Autoriteit Persoonsgegevens (AP).

• houdt toezicht op de opvolging van aanbevelingen die voortvloeien uit Data Protection Impact Assesments (DPIA).

• rapporteert periodiek aan de directie over de staat van Privacy in de organisatie en jaarlijks aan de Verantwoordelijken in de gemeente.

 

Chief Information Security Officer (CISO)

De CISO ondersteunt, coördineert en adviseert vanuit een onafhankelijke positie over de te nemen maatregelen voor informatiebeveiliging. Hij of zij rapporteert hierover aan het bestuur, de directie en afdelingsmanagers.

 

Privacybeheerders

Binnen de verschillende domeinen zijn privacybeheerders aangewezen. Zij zijn binnen hun domein het eerste aanspreekpunt voor privacy gerelateerde vragen.

 

Registerverantwoordelijke

Binnen de gemeente Beuningen wordt er een register bijgehouden waar alle werkprocessen waarbij persoonsgegevens worden verwerkt in staan. Voor het efficiënt up-to-date houden van het register van verwerkingen van de gemeente zijn er registerverantwoordelijken aangesteld. Deze personen zorgen voor het bijhouden en doorgeven van nieuwe verwerkingen en wijzigingen in bestaande verwerkingen waarbij persoonsgegevens worden gebruikt. Deze worden doorgegeven aan de Privacybeheerder, die de het register van verwerkingen beheert.

 

 

8. Processen en gegevens

De processen van de gemeente Beuningen zijn beschreven. Aan een proces is een Proceseigenaar gekoppeld. Hiermee is inzichtelijk en controleerbaar onder wiens verantwoordelijkheid het proces wordt uitgevoerd. De Proceseigenaar heeft een verantwoordelijkheid in de naleving van de regels van de AVG binnen het proces.

Daar kunnen procedures voor worden opgesteld en werkinstructies.

Voor de invulling van technische maatregelen wordt verwezen naar het Informatiebeveiligingsbeleid dat wordt opgesteld door de CISO.

 

De gemeente gaat zorgvuldig om met data en gegevens. De inwoners van de gemeente en ook de medewerkers van de organisatie mogen ervan uitgaan dat de gegeven informatie vertrouwelijk wordt behandeld.

 

Om op een veilige manier met persoonsgegevens om te gaan worden de volgende normen toegepast.

 

Grondslag en doelbinding

Voor alle verwerkingen van persoonsgegevens beschikt de gemeente Beuningen over een wettelijke grondslag. De gemeente heeft inzichtelijk welke persoonsgegevens zij bijhoudt, voor welk doel zij deze bijhoudt, waar ze vandaan komen en met wie ze worden gedeeld. De gemeente houdt een Register van Verwerkingen bij waarin dit beginsel is uitgewerkt.

 

Subsidiariteit

Bij de verwerking van persoonsgegevens wordt erop toegezien dat een inbreuk op de persoonlijke levenssfeer van de betrokkenen zoveel als mogelijk wordt beperkt. Er wordt altijd nagegaan of het doel ook met minder ingrijpende middelen kan worden bereikt.

 

Proportionaliteit

De inbreuk op de belangen van betrokkenen mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel.

 

Rechtmatigheid, behoorlijkheid, transparantie

De gemeente heeft processen ingericht zodat personen, van wie de organisatie (bijzondere) persoonsgegevens verwerkt, hun rechten kunnen uitoefenen. Personen, van wie de gemeente persoonsgegevens verwerkt, worden tijdig en begrijpelijk geïnformeerd over de verwerking.

 

Transparantie heeft ook beperkingen wanneer er sprake is van legitieme uitzonderingen. Dit kan zijn in situaties die betrekking hebben op de openbare orde en veiligheid. De gemeente kan, met inachtneming van wet- en regelgeving, een voorbehoud maken op het transparantiebeginsel.

 

Data Privacy Impact Assessments (DPIA)

De gemeente Beuningen voert risicoanalyses uit (DPIA) op verwerkingen die mogelijk een verhoogd risico opleveren.

 

Privacy by Design en Privacy by Default

De gemeente Beuningen houdt bij de start van het ontwerpen of inrichten van projecten, informatiesystemen, datasets rekening met Privacy en Informatiebeveiliging.

De gemeente Beuningen heeft de inrichting, instellingen van projecten, programma’s, website(s) of diensten dusdanig georganiseerd dat maximale privacy en informatiebeveiliging wordt geborgd.

 

Bewaartermijn(en)

De gemeente bewaart persoonsgegevens niet langer dan nodig is. Het gebruiken en bewaren van persoonsgegevens kan nodig zijn om gemeentelijke taken goed uit te voeren of om wettelijke verplichtingen na te kunnen leven. Voor de bewaartermijnen wordt aangesloten bij de "Selectielijst gemeenten en intergemeentelijke organen 2020".

Daar waar wet- en regelgeving, zoals de selectielijst, geen uitsluitsel geeft over bewaring van persoonsgegevens, dienen die persoonsgegevens volgens de AVG geen dag langer bewaard te worden en terstond te worden vernietigd

 

Verwerkersovereenkomsten met derden

De gemeente maakt gebruik van derde partijen in de uitvoering van werkzaamheden waartoe zij zelf geen mogelijkheden bezit. Hierbij valt te denken aan leveranciers van software, netwerkdiensten, dataopslag. De gemeente maakt alleen gebruik van derde partijen als verwerkers van persoonsgegevens (aantoonbaar) voldoende garanties kunnen bieden om de verwerking van (persoons)gegevens te laten voldoen aan de AVG-vereisten. Hiervoor wordt zoveel mogelijk gebruik gemaakt van de modelovereenkomst van VNG-realisatie.

 

Dataminimalisatie

De gemeente verwerkt alleen die persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. Er wordt gestreefd naar minimale gegevensverwerking.

 

 

9. Transparantie en communicatie

Informatieplicht (Artikel 13,14, AVG)

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven, worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens om zal gaan. Dit kan bijvoorbeeld via een formulier gebeuren. Vaak staat op de aanvraagformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor

welk doel dat gebeurt.

 

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

 

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd.

 

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan schriftelijk of digitaal ingediend worden. De gemeente heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de gemeente laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan de gemeente aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

 

Er is een mogelijkheid om het verzoek per post in te dienen of via het formulier op de website: https://www.beuningen.nl/bestuur_en_organisatie/Privacy/Privacyverklaring_gemeente_Beuningen.

 

Register van verwerkingen (Artikel 30, AVG)

De gemeente is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de gemeente de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt

 

Het verwerkingsregister van de gemeente Beuningen is een levend document, deze wordt doorlopend up-to-date gehouden met de nieuwste verwerkingen van persoonsgegevens. Het verwerkingsregister wordt online gepubliceerd. De laatste versie van het verwerkingsregister van de gemeente Beuningen is te vinden op de gemeentelijke website.

 

 

10. Specifieke beleidsterreinen

Wet politiegegevens (Wpg)

Door de komst van de AVG valt de verwerking van persoonsgegevens rondom strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in de Wet politiegegevens (Wpg), aangevuld met het Besluit politiegegevens (Bpg), en is sinds 1 januari 2019 van kracht. De opsporing van strafbare feiten door boa’s valt daarmee buiten het bereik van de AVG. Verwerking van politiegegevens – dit zijn persoonsgegevens die worden verwerkt op strafrechtelijke grond – moet voldoen aan de vereisten van de Wpg. De gemeente Beuningen heeft daarmee bij de verwerking van persoonsgegevens door BOA’s te maken met zowel de AVG als de Wpg.

 

Openbaarheid van Bestuur

Op 1 januari 2022 treedt de Wet open overheid (naar verwachting) in werking. De wet is bedoeld om overheden transparanter te maken en moet ervoor zorgen dat overheidsinformatie beter vindbaar, uitwisselbaar, eenvoudig te ontsluiten en goed te archiveren is. Als de Woo van kracht wordt, vervangt deze wet de Wet openbaarheid van bestuur. Het grote verschil tussen de Woo en Wob is dat de actieve openbaarmaking van overheidsinformatie. Bezien zal moeten worden welke gevolgen de Woo heeft en hoe deze wetgeving goed kan worden geïmplementeerd zonder dat de privacy van inwoners in het geding komt.

 

Afsluiting

Als de gemeente een wettelijke verplichting niet nakomt, kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van de gemeente worden behandeld. Mocht de betrokkene onverhoopt het gevoel hebben dat zijn of haar zorgen niet serieus worden genomen, dan is het ook nog mogelijk om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Meer informatie daarover is te vinden via de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap.

 

Dit Privacybeleid van de gemeente Beuningen treedt op 1 januari 2022 in werking naar aanleiding van de vaststelling hiervan door het bevoegde bestuursorgaan.

Aldus vastgesteld op 16 november 2021,

Burgemeester en wethouders,

Dyanne Kocken

secretaris

Daphne Bergman

burgemeester

Naar boven