Privacybeleid gemeente Reimerswaal

In dit beleid laat de gemeente Reimerswaal zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy en wat er wettelijk wel en niet verantwoord is.

Binnen de gemeente Reimerswaal wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de inwoners voor het goed uitvoeren van de wettelijke taken van de gemeente. De inwoner moet erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met de persoonsgegevens omgaat. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. De gemeente is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole. Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy.

 

1. Samenhang privacy en informatiebeveiliging

Er is een nauwe samenhang tussen privacy en informatiebeveiliging. Het zijn twee verschillende begrippen, maar wel met een gemeenschappelijk raakvlak. Privacy gaat over het vertrouwelijk omgaan met persoonlijke gegevens en deze dus ook voldoende beschermen. Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van alle (gevoelige) informatie. Zowel informatiebeveiliging als privacy vragen om een risico-gedreven aanpak.

Het privacybeleid kan door deze samenhang niet los worden gezien van het informatiebeveiligingsbeleid. De gemeente Reimerswaal hanteert een ambitieniveau waarbij wordt voldaan aan voorgeschreven wet- en regelgeving en conformeert zich daarbij aan landelijke regelgeving. Ingezet wordt op het verhogen van informatieveiligheid en borging van de informatiebeveiligings- en privacy-functie in de organisatie. Het informatiebeveiligingsbeleid 2021-2024 bevat het beleid van de gemeente Reimerswaal omtrent informatiebeveiliging.

2. Wettelijke kaders

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht en bestaat er daarnaast ook een uitvoeringswet. Verder staan in specifieke wetten aanvullende of meer specifieke eisen en kaders voor een bepaalde sector of domein, zoals in de Wet maatschappelijke ondersteuning (Wmo), de Jeugdwet of de Wet Basisregistraties Personen (Wet BRP).

Het privacybeleid wordt verder uitgewerkt in specifieke procedures en richtlijnen voor medewerkers, zoals werkprocessen of richtlijnen voor telewerken. Deze specifieke procedures en richtlijnen sluiten altijd aan bij de kaders en uitgangspunten in dit beleid.

3. Reikwijdte

Het beleid is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van de gemeente Reimerswaal. Oftewel: voor alle verwerkingen die binnen de gemeente plaatsvinden. Verwerken van persoonsgegevens houdt alles in wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen.

4. Rollen en verantwoordelijkheden

De bestuursorganen van de gemeente zijn allemaal verantwoordelijken voor de verwerkingen die door of namens de gemeente worden uitgevoerd. De bestuursorganen van de gemeente zijn onder andere de burgemeester, het college van burgemeester en wethouders (het college van B&W) en de gemeenteraad.

Binnen de gemeente Reimerswaal zijn verschillende rollen en verantwoordelijkheden belegd om uitvoering te geven aan dit privacybeleid.

 

Gemeenteraad

De gemeenteraad stelt de gemeentelijke kaders en uitgangspunten rondom privacy vast. De gemeenteraad controleert het college van B&W bij de uitvoering van deze kaders.

 

College van B&W

Het college van B&W is verantwoordelijk voor het verwerken van persoonsgegevens binnen de gestelde kaders. Het college stelt hiervoor de beleidskaders en specifieke regelingen en procedures vast. Jaarlijks legt ze verantwoording af aan de gemeenteraad over privacy en de toepassing van het privacybeleid, via de paragraaf bedrijfsvoering in de jaarstukken.

 

Het directieteam (DT) en de afdelingshoofden

Het DT en de afdelingshoofden zijn naar de medewerkers verantwoordelijk voor het sturen op en monitoren van de uitvoering van het beleid. Ze stimuleren bewustwording over privacy bij medewerkers. Het vaststellen van doelen en middelen om persoonsgegevens te verwerken is aan de afdelingshoofden gemandateerd. De afdelingshoofden zijn ook verantwoordelijk voor het afhandelen en melden van datalekken binnen hun afdeling.

 

Functionaris Gegevensbescherming (FG)

Het college van B&W stelt een Functionaris Gegevensbescherming (FG) aan. De FG houdt vanuit een onafhankelijke positie intern toezicht op de omgang met privacy en naleving van de wetgeving door de gemeente Reimerswaal. Hij of zij adviseert en ondersteunt de organisatie rondom privacy. Ook zorgt de FG voor een periodieke rapportage over de naleving van de wetgeving. De FG is ook contactpersoon voor de Autoriteit Persoonsgegevens. De Functionaris Gegevensbescherming en Privacy Officer houden het register van datalekken bij.

 

Privacy Officer

De FG heeft een wettelijke toezichthoudende taak. Om die reden kan en mag hij zich niet met de dagelijkse uitvoerende privacywerkzaamheden bezighouden. Dit is gescheiden.

Met de dagelijkse werkzaamheden is de Privacy Officer (PO) belast. De functie PO is geen formele functie maar de werknaam voor de functionaris die zich bezighoudt met de praktische en uitvoerende privacywerkzaamheden. Het college van B&W legt wel in een besluit vast wie de rol van PO vervult. Daarmee is het voor de organisatie duidelijk wie het eerstelijns aanspreekpunt is voor alle privacyvraagstukken.

De PO heeft de volgende taken:

  • a.

    Aanspreekpunt voor en ondersteuning van de FG;

  • b.

    Verstrekken van informatie en advies over de dagelijkse praktijk aan de FG;

  • c.

    Samenwerken met de FG om de adviezen van de FG toe te passen en/of uit te voeren;

  • d.

    Initiëren en mede uitvoeren van DPIA’s. Een DPIA is een analyse van de impact van het risico bij bijvoorbeeld misbruik van gegevens of een datalek;

  • e.

    Contactpersoon voor betrokkenen voor vragen, verzoeken, klachten en andere zaken die verband houden met de verwerking van hun persoonsgegevens;

  • f.

    Eerstelijns vraagbaak voor de organisatie voor alle privacyvraagstukken;

  • g.

    Gevraagd en ongevraagd de organisatie adviseren over de juiste toepassing van de privacywet en –regelgeving, in samenwerking met de FG;

  • h.

    Beoordelen van datalekken en deze zo nodig melden bij de Autoriteit Persoonsgegevens en de betrokkene;

  • i.

    Bijhouden van het verwerkingsregister;

  • j.

    Het opstellen en afsluiten van verwerkersovereenkomsten en het bijhouden van het register van verwerkingsovereenkomsten.

Chief Information Security Officer (CISO)

De CISO ondersteunt, coördineert en adviseert vanuit een onafhankelijke positie over de te nemen maatregelen voor informatiebeveiliging. Hij of zij rapporteert hierover aan het bestuur, de directie en afdelingshoofden.

 

Medewerkers (inclusief inhuur/extern)

Alle medewerkers (inclusief inhuur/externen) zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen. Dat betekent dat iedereen zorgt, binnen de kaders van zijn rol/functie, voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens.

 

Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens is de landelijke toezichthoudende instantie.

5. Uitgangspunten

De gemeente Reimerswaal verwerkt persoonsgegevens voornamelijk voor de uitvoering van wettelijke taken en regelingen in het algemeen belang. En altijd binnen de hierboven genoemde wettelijke kaders. Hieruit volgen meerdere uitgangspunten voor hoe de gemeente omgaat met privacy.

 

Grondslag en doelbinding

De gemeente verwerkt alleen persoonsgegevens voor een doel waar een grondslag voor is. De AVG kent zes grondslagen die de verwerking van persoonsgegevens rechtvaardigen. Persoonsgegevens worden gebruikt voor het doel waarvoor ze zijn verzameld en eventuele verenigbare doelen. De gemeente Reimerswaal hergebruikt deze persoonsgegevens niet voor andere doelen.

Dit houdt bijvoorbeeld in dat de gemeente (bijzondere) persoonsgegevens kan verzamelen over jongeren (zoals naam, geboortedatum, medische achtergrond) met het doel om problematiek in het gezin aan te pakken en te voorkomen dat er multi-problematiek rondom zorg en veiligheid bij een jongere ontstaat. De gemeente heeft immers een jeugdhulptaak. De gemeente gebruikt daarbij niet meer gegevens dan nodig voor deze taak.

 

Subsidiariteit en proportionaliteit

Het verwerken van persoonsgegevens is een inbreuk op de privacy van de betrokkene. Deze inbreuk houden we zo klein mogelijk en staat in verhouding tot het bereiken van het doel waarvoor de persoonsgegevens verwerkt worden. Dit noemen we subsidiariteit en proportionaliteit. Het is bijvoorbeeld niet nodig om allerlei medische of financiële gegevens in te kunnen zien wanneer een persoon enkel bij de gemeente een evenementenvergunning wil aanvragen. Soms is per wet bepaald welke gegevens noodzakelijk zijn om het doel te bereiken. In andere gevallen maakt de gemeente Reimerswaal deze afweging. Hierbij worden alleen de gegevens verwerkt die nodig zijn om het doel te bereiken. Waar mogelijk wordt gewerkt met anonieme gegevens.

 

Behoorlijk en zorgvuldig

De gemeente Reimerswaal gaat zorgvuldig om met de persoonsgegevens die zij verwerkt. Dit noemen we rechtmatigheid. Dit wordt ook vertaald in specifieke werkprocessen en procedures, zoals het werken in een beveiligd systeem zoals Join waarbij er persoonsgegevens afgeschermd kunnen worden per rolverdeling.

Behoorlijk en zorgvuldig omgaan met persoonsgegevens betekent ook dat we niet meer gegevens verwerken dan nodig. Dit noemen we dataminimalisatie. Dit sluit ook aan bij de principes van subsidiariteit en proportionaliteit.

 

Privacy by design

De gemeente Reimerswaal richt haar werkprocessen zo in dat ze voldoen aan de in dit beleid gestelde kaders en uitgangspunten. Dit noemen we privacy by design. Door vooraf na te denken over mogelijke privacyvraagstukken en dit mee te nemen in de inrichting van de processen en systemen, verkleinen we eventuele privacyrisico’s. Een voorbeeld hiervan is het aanpassen van sjablonen van brieven waarbij zo min mogelijk persoonsgegevens worden opgenomen of kunnen worden ingevuld en waarbij de schrijver op voorhand zo geanonimiseerd mogelijk werkt.

 

Privacyrechten

De AVG kent betrokkenen verschillende privacyrechten toe. De gemeente Reimerswaal maakt het voor betrokkenen eenvoudig om gebruik te maken van deze rechten. Hoe dit kan, is verder uitgewerkt onder 7.

 

Informeren van betrokkenen

De gemeente Reimerswaal informeert betrokkenen over de persoonsgegevens die zij van hen verwerkt en de reden hiervoor. Dit noemen we transparantie. Vaak gebeurt dit al doordat de betrokkene zijn/haar gegevens zelf doorgeeft op een aanvraagformulier. Hierop staat vaak al vermeld welke persoonsgegevens nodig zijn en voor welk doel. Als de gemeente persoonsgegevens verwerkt die ze niet van de betrokkene krijgt, stelt ze de betrokkene op de hoogte. Ook wordt op de website van de gemeente Reimerswaal een overzicht geplaatst waarop de algemene verwerkingen per onderwerp te vinden zijn (verwerkingsregister).

 

Delen met derden

Wanneer de gemeente haar taken laat uitvoeren door een andere organisatie of in samenwerking met partners, worden er afspraken vastgelegd over het verwerken van persoonsgegevens. Deze passen altijd binnen de kaders en uitgangspunten zoals gesteld in dit beleid. Wanneer de gemeente taken uitbesteedt, sluit ze een verwerkersovereenkomst af met de betrokken partij. Hiervoor gebruikt de gemeente Reimerswaal het door de VNG vastgestelde model.

Sommige doelen worden bereikt door samenwerking tussen meerdere (maatschappelijke) organisaties. Hiervoor kan het nodig zijn om persoonsgegevens met elkaar te delen. Wanneer er persoonsgegevens met andere organisaties gedeeld worden, gebeurt dat altijd binnen de hierboven genoemde kaders en uitgangspunten. Indien nodig wordt er gebruik gemaakt van een convenant tussen partijen.

 

Bewaartermijn

Hoe lang de gemeente Reimerswaal persoonsgegevens bewaart, loopt uiteen. De Archiefwet, AVG en diverse andere wetten verplichten de gemeente om gegevens voor een minimale of maximale termijn te bewaren of zo lang als noodzakelijk is. Tijdens deze bewaartermijn, zorgt de gemeente voor een zorgvuldige en veilige opslag. Na verloop van de verplichte bewaartermijn, worden de gegevens vernietigd.

6. Transparantie en communicatie

 

Wet open overheid ( Woo )

Via de Wet open overheid (Woo) kan een verzoek om informatie worden ingediend bij de gemeente. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In beginsel worden geen persoonsgegevens verstrekt.

 

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In beginsel worden geen persoonsgegevens verstrekt.

 

Informatieplicht (Artikel 13 en 14 AVG)

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven, worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens om zal gaan. Dit kan bijvoorbeeld via een formulier gebeuren. Vaak staat op de aanvraagformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt en weet waarom en voor welk doel dat gebeurt.

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

 

Verwijdering

De gemeente bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van gemeentelijke taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

7. Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

  • Recht op informatie

  • Recht op inzage

  • Recht op correctie

  • Recht om vergeten te worden

  • Recht op bezwaar

  • Recht op beperking van de verwerking

  • Recht op overdraagbaarheid van gegevens (dataportabiliteit)

  • Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling

Recht op informatie

De gemeente verzamelt gegevens om haar taken te kunnen uitvoeren. Indien dit persoonsgegevens betreffen, heeft de gemeente de plicht om betrokkenen, voor zover deze daar niet reeds van op de hoogte zijn, te informeren over verwerkingen van hun persoonsgegevens. De gemeente verstrekt dan aan betrokkenen informatie over de verwerking, zoals het doel daarvan, welke persoonsgegevens worden verwerkt en of de gegevens aan anderen worden verstrekt. Dit met inachtneming van de beperkingen zoals die neergelegd zijn in wet- en regelgeving.

 

Recht op inzage

Betrokkenen hebben de mogelijkheid om te controleren of en op welke manier hun gegevens worden verzameld en verwerkt. Dit met inachtneming van de beperkingen zoals neergelegd in wet- en regelgeving. Dit inzageverzoek kan worden gedaan aan het college.

 

Recht op correctie

Als de gemeente persoonsgegevens van betrokkenen verwerkt die naar hun oordeel onjuist zijn, kunnen zij een verzoek indienen bij de gemeente om dit te verbeteren. Dit met inachtneming van de beperkingen zoals neergelegd in wet- en regelgeving.

 

Recht om vergeten te worden

Betrokkenen hebben het recht persoonsgegevens te laten verwijderen indien de gemeente niet langer een goede grond heeft voor het gebruik hiervan, bijvoorbeeld indien betrokkenen een gegeven toestemming intrekken, indien de gegevens onjuist zijn of de gegevens niet langer nodig zijn.

 

Recht op bezwaar

Betrokkenen hebben het recht aan de gemeente te vragen hun persoonsgegevens niet meer te gebruiken en bezwaar te maken tegen de verwerking van hun persoonsgegevens. De gemeente moet hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

 

Recht op beperking van de verwerking

Het recht op beperking houdt in dat de gemeente de persoonsgegevens (tijdelijk en onder voorwaarden) niet mag verwerken en niet mag wijzigen, bijvoorbeeld wanneer betrokkenen de juistheid van de gegevens ter discussie stellen.

 

Recht op overdraagbaarheid van gegevens ( dataportabiliteit )

De gemeente is vanuit de AVG niet verplicht invulling te geven aan overdraagbaarheid van gegevens voor zover het werkzaamheden betreft in het kader van algemeen belang, de uitoefening van een openbaar gezag, wanneer deze zijn openbare taken uitoefent of aan een wettelijke verplichting voldoet. Desondanks zal de gemeente in voorkomende gevallen voorzieningen treffen in het kader van dataportabiliteit.

 

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling

Uitgangspunt in de AVG is dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene (degene wiens persoonsgegevens het betreft) zijn verbonden of het besluit hem in aanmerkelijke mate treft. Daarbij kan gedacht worden aan bijvoorbeeld de kredietwaardigheid van een persoon. Een ander voorbeeld is het verwerken van sollicitaties via internet zonder menselijke tussenkomst.

 

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan schriftelijk ingediend worden. De gemeente heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de gemeente laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan de gemeente aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

8. Geautomatiseerde verwerkingen

 

Profilering (Artikel 22, AVG)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag of locatie.

Om profilering wat duidelijker te maken gebruiken we het volgende voorbeeld: Wanneer een bezoeker op de gemeentelijke website naar een bepaalde dienst kijkt, mag de gemeente geen actie ondernemen om de dienst aan te bieden. Gemeenten mogen wel bekijken hoe vaak een bepaalde dienst bekeken is, maar dus niet specifiek gericht adverteren. Daarnaast geeft de wet aan dat er geen besluit mag worden genomen op basis van profilering.

De gemeente Reimerswaal maakt geen gebruik van profilering.

 

Big data en tracking

Door middel van Big data onderzoek en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door, of namens, de gemeente wordt uitgevoerd.

De verzamelde gegevens door Big data onderzoek en tracking zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden toegepast. Dit betekent dat alleen de data die echt nodig zijn voor het behalen van het doel gebruikt zullen worden. Daarnaast kunnen persoonsgegevens gepseudonimiseerd worden zodat zij niet herleidbaar zijn tot een persoon.

De gemeente Reimerswaal maakt geen gebruik van tracking. Het gebruik van Big Data wordt op dit moment niet toegepast maar wij onderzoeken wel welke voordelen het gebruik van Big Data kan hebben voor onze dienstverlening. Daarbij wordt rekening gehouden met wat uiteengezet wordt in dit beleid.

 

Inzet van camera’s

Binnen de gemeente kan onder bepaalde omstandigheden gebruik worden gemaakt van cameratoezicht, zoals vastgelegd in de Gemeentewet. Cameratoezicht kan onder andere worden gebruikt voor het vergroten van de veiligheid op straat. Camera’s kunnen een grote inbreuk maken op de privacy van diegenen die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van camera’s. Thans is er sprake van twee vaste plaatsen van cameratoezicht, te weten in de publieke ruimte van het gemeentehuis en in de haven van Yerseke.

10. Plichten van de gemeente

 

Register van verwerkingen (Artikel 30, AVG)

De gemeente is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de gemeente de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;

  • De doelen van de verwerking;

  • Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

  • Een beschrijving van de ontvangers van de persoonsgegevens;

  • Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

  • De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;

  • Een algemene beschrijving van de beveiligingsmaatregelen.

Het verwerkingsregister van de gemeente Reimerswaal is een levend document, deze wordt doorlopend up to date gehouden met de nieuwste verwerkingen van persoonsgegevens. Het verwerkingsregister wordt online gepubliceerd. De laatste versie van het verwerkingsregister van de gemeente Reimerswaal is te vinden op de gemeentelijke website.

 

Data Protection Impact Assessment (DPIA) (Artikel 35, AVG)

Met een Data Protection Impact Assessment (DPIA) worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. De gemeente voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

 

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)

De gemeente heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de AP. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy. Ook de Wet politiegegevens eist dat de gemeente een (aparte) FG aanwijst voor deze specifieke wet en taak die daaruit voortvloeit. Deze FG is daarmee verantwoordelijk voor het structureel toetsen van de uitvoering van de eisen in de Wet politiegegevens.

 

Datalekken (Artikel 33,34, AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de gemeente dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de gemeente dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

 

Klachten

Als de gemeente een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van de gemeente worden behandeld. In gevallen waar het reglement niets over zegt, beslist het verantwoordelijke bestuursorgaan van de gemeente. Naast de reguliere klachtenprocedure is er ook de mogelijkheid om de Functionaris Gegevensbescherming direct te benaderen met een klacht. De FG treedt hierbij op als onafhankelijk persoon.

De betrokkene kan zijn of haar klacht of een verzoek tot bemiddeling ook indienen bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ 's Gravenhage.

 

Aldus vastgesteld door de burgemeester op 14 juni 2022.

Aldus vastgesteld door het college op 14 juni 2022.

Aldus vastgesteld door de gemeenteraad op 19 juli 2022.

Naar boven