Privacyprotocol Meld Misdaad Anoniem

Nijverdal, 21 maart 2023 Nr. 2023-005772

 

Burgemeester en wethouders van Hellendoorn;

dat de gemeente Hellendoorn op 20 februari 2023 een overeenkomst is aangegaan met de Stichting Meld Misdaad Anoniem;

dat het gewenst is voor de verwerking van de persoonsgegevens, die van de Stichting Meld Misdaad Anoniem worden verkregen, een privacyprotocol op te stellen;

 

b e s l u i t e n :

 

vast te stellen het

Privacyprotocol Meld Misdaad Anoniem

 

Inleiding

De gemeente Hellendoorn is op 20 februari 2023 (zaaknummer 2023-003704) een overeenkomst aangegaan met de Stichting Meld Misdaad Anoniem (Stichting MMA). Op grond van deze overeenkomst zal de Stichting MMA anonieme meldingen, die bij haar binnenkomen en die betrekking hebben op mogelijke misdaden op het grondgebied van de gemeente Hellendoorn, bij de gemeente melden. Het is vervolgens aan de gemeente om te beoordelen of zij iets met de melding doet. Een complete lijst van onderwerpen waarover de gemeente een melding kan krijgen, is hieronder opgenomen.

Persoonsgegevens

Een melding van de Stichting MMA bevat persoonsgegevens van de persoon, die volgens de melder een mogelijke overtreding of misdrijf zou hebben begaan. Het kan ook gaan om vermoedens of verdachte situaties. De persoonsgegevens kunnen bestaan uit: naam, adres, telefoonnummer, plaats van handeling, tijdstip, kenteken, e.d., maar kunnen ook bestaan uit bijzondere persoonsgegevens als bedoeld in artikel 9 Algemene verordening gegevensbescherming (Avg). Van de gemeente wordt verwacht dat we de Avg op een goede, zorgvuldige manier toepassen binnen onze werkzaamheden. Dit protocol bevat daarom handvatten voor de medewerkers van de gemeente Hellendoorn om de Avg op een goede manier na te leven. De werkwijze omtrent de MMA-meldingen en de omgang met persoonsgegevens is vastgelegd in dit protocol.

De melding bevat uiteraard geen persoonsgegevens van de melder, aangezien deze de melding anoniem doet. Mocht de melding toch gegevens bevatten, waardoor de melding tot een bepaalde persoon is te herleiden, dan zorgt de Stichting MMA ervoor dat deze gegevens worden verwijderd. De gemeente ontvangt in geen enkel geval gegevens waardoor de melder voor haar identificeerbaar is. Na de melding aan de gemeente, vernietigt Stichting MMA de melding uit haar systemen. De gemeente zal periodiek wel statische informatie moeten verschaffen aan Stichting MMA met het oog op de verbetering van de dienstverlening van Stichting MMA.

Is de melding bedoeld voor de gemeente, dan wordt deze geplaatst in de applicatie Meldnet van Stichting MMA. Hierbij gaat het enkel om ondermijningsactiviteiten dan wel activiteiten waartegen de gemeente bestuursrechtelijke actie kan ondernemen. Het gaat om de volgende onderwerpen:

Onderwerpen

Diefstal/verduistering

Opsporing personen

Drugs

Terrorisme

Explosieven

Sociale zekerheid

Fraude

Vervalsingen

Geld

Wonen

Geweld

Zeden

Illegalen

Corona

Mensenhandel/-smokke.

Illegale zenders

Milieu

Indien een melding betrekking heeft op een bepaald onderwerp, dan zal deze niet altijd aan de gemeente Hellendoorn beschikbaar worden gesteld. Indien deze ook gegevens bevat voor de politie, dan zal deze niet aan de gemeente worden bekendgemaakt.

Op de verwerking van de persoonsgegevens van degene, op wie de melding betrekking heeft, zijn de Avg en de Uitvoeringswet algemene verordening gegevensbescherming van toepassing. Dit betekent onder meer dat er voor de verwerking van persoonsgegevens, die van Stichting MMA afkomstig zijn, een grondslag als bedoeld in artikel 6 Avg moet zijn en dat – als er een grondslag is aan te wijzen – de verwerking van de persoonsgegevens moet voldoen aan artikel 5, eerste lid Avg (o.a. doelbinding, minimale gegevensverwerking en juistheid).

Grondslag

Volgens artikel 6 Avg is de verwerking van persoonsgegevens alleen rechtmatig als daarvoor één of meer van de volgende grondslagen is aan te wijzen:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

 

Bij de verwerking van persoonsgegevens, die van de Stichting MMA worden verkregen, kan de onder c) genoemde grondslag in de meeste gevallen als grondslag van verwerking worden aangewezen. Weliswaar behoort het bestrijden van criminaliteit niet primair tot de taak van de gemeente, maar criminaliteit kan gevolgen hebben voor de openbare orde. En daarmee is de gemeente (de burgemeester) op grond van artikel 172 Gemeentewet wel belast. Van een verstoring van de openbare orde is sprake bij verstoring van enige betekenis van de normale gang van zaken in of aan de desbetreffende openbare ruimte (Hoge Raad 30 januari 2007, ECLI:NL:HR:2007:AZ2104, r.o. 3.4.1).

Daarnaast zijn er andere wettelijke bepalingen aan te wijzen (artikel 13b Opiumwet, artikel 274 en 274a Gemeentewet) die de burgemeester bevoegdheden geven op het gebied van de openbare orde. Zie in dit verband de annotatie onder AB 2021/334.

Ook valt te wijzen op de bevoegdheden die de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob) aan de bestuursorganen van de gemeente toekent met als doel het voorkomen dat met vergunningen, subsidies, overheidsopdrachten, vastgoedtransacties strafbare feiten worden begaan.

Als het gaat om een melding over mogelijke sociale fraude is de Participatiewet de wettelijke grondslag voor de verwerking van persoonsgegevens.

Als er geen wettelijke taak is die kan dienen als grondslag voor de verwerking van persoonsgegevens, zal de onder e) genoemde grondslag over het algemeen als grondslag kunnen dienen. Volgens overweging 45 van de Avg schrijft de Avg niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag.

Als geen grondslag voor de verwerking van persoonsgegevens valt aan te wijzen, is de verwerking van persoonsgegevens niet toegestaan en zal de melding niet in behandeling kunnen worden genomen. De melding dient dan terstond uit de systemen van de gemeente te worden verwijderd.

 

Eisen aan de verwerking

Indien een grondslag voor de verwerking valt aan te wijzen, is de verwerking van persoonsgegevens toegestaan. Dit betekent echter niet dat er carte blanche bestaat om maar van alles met de persoonsgegevens te doen. Artikel 5 Avg stelt namelijk de volgende eisen aan de verwerking:

  • a.

    het vereiste van doelbinding; het vereiste dat gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde belangen worden verzameld en niet in strijd met die doeleinden verder worden verwerkt;

  • b.

    persoonsgegevens moeten worden verwerkt op een wijze die ten opzichte van de betrokkene rechtmatig, behoorlijk en transparant is;

  • c.

    persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is;

  • d.

    persoonsgegevens moeten juist zijn. Als zij niet meer juist zijn, moeten ze worden geactualiseerd dan wel worden verwijderd;

  • e.

    persoonsgegevens mogen niet langer worden bewaard dan voor de doeleinden, waarvoor zij zijn verzameld, noodzakelijk is;

  • f.

    er moeten passende organisatorische en technische maatregelen worden getroffen om te voorkomen dat zij onrechtmatig worden verwerkt, verloren gaan, vernietigd worden of beschadigd raken.

ad a: de persoonsgegevens worden verwerkt met als doel na te gaan of de melding juist is en of sprake is van een mogelijke misdaad. Onder “misdaad” worden hier misdrijven verstaan. Bij wet in formele zin (bijvoorbeeld Tweede boek Wetboek van Strafrecht, artikel 2 Wet op de economische delicten, artikel 13 Opiumwet) wordt bepaald welke delicten als misdrijf en welke als overtreding worden aangemerkt.

De persoonsgegevens mogen niet voor andere doeleinden worden ingezet. Indien blijkt dat de melding gegrond is, kunnen zij wel worden doorgegeven aan de politie. Op dat moment dienen de persoonsgegevens uit het gemeentelijke meldingssysteem te worden verwijderd (zie ad e).

ad b: De persoonsgegevens, die worden verwerkt na een melding van de Stichting MMA, zijn niet van betrokkene zelf verkregen. Voor dat geval is de hoofdregel van artikel 14 Avg dat de verwerkingsverantwoordelijke de betrokkene de informatie, genoemd in het eerste en tweede lid en binnen de voorwaarden van het derde lid, verstrekt.

Het vijfde lid noemt een aantal uitzonderingsgevallen op deze hoofdregel. Eén van deze uitzonderingen is “voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen”. Deze uitzondering is hier aan de orde. Het bekend worden van betrokkene met de melding zou immers een eventueel opsporingsonderzoek in gevaar kunnen brengen, aangezien betrokkene zijn gedrag op de melding af zou kunnen stemmen. In dit geval kan niet (volledig) aan de eis van transparantie worden voldaan. Wel dient uiteraard voldaan te worden aan de eis dat de verwerking behoorlijk en rechtmatig moet zijn.

ad c: Het gaat er om dat er een juist beeld ontstaan van degene op wie de melding betrekking heeft. Het kan handig zijn (nice to know) om van alles te weten van die persoon, maar er mogen alleen gegevens worden opgenomen die noodzakelijk zijn (need to know) om met de melding aan de slag te kunnen. Anderzijds mogen ook niet te weinig gegevens worden vastgelegd, want hierdoor kan een onjuist beeld ontstaan. Zo moeten ontlastende gegevens wel in het systeem worden vastgelegd.

ad d: Het vereiste dat persoonsgegevens juist moeten zijn, hangt samen met hetgeen hierboven onder ad c is vermeld. Met onjuiste persoonsgegevens kan een verkeerd beeld ontstaan van de persoon in kwestie. Als persoonsgegevens (bijvoorbeeld het adres) gedurende het onderzoek naar de melding wijzigen, moet deze wijziging in het systeem worden verwerkt.

ad e: De persoonsgegevens moeten uit de gemeentelijke systemen worden verwijderd op het moment dat de melding is afgedaan, hetzij omdat de conclusie is dat met de melding verder niets wordt gedaan, hetzij op het moment dat de melding aan een andere instantie, bijvoorbeeld de politie, wordt doorgezet.

ad f: Er moeten technische maatregelen worden genomen om te voorkomen dat gegevens worden gehackt. De gebruikte software mag geen beveiligingslekken bevatten. Daarnaast moeten organisatorische maatregelen (autorisaties) worden getroffen om te voorkomen dat personen, die niet betrokken zijn bij het onderzoek van de meldingen, toegang krijgen tot het systeem. Artikel 32 Avg stelt de eis dat de beveiligingsmaatregelen “passend zijn”. Bij de vraag wat passend is, d.w.z. bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

 

Register van verwerkingen

Op grond van artikel 30 Avg houdt de verwerkingsverantwoordelijke een register van de verwerkingsactiviteiten bij. In dit register dienen onder meer de verwerkingsdoeleinden en een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens te worden vermeld.

Burgemeester en wethouders van Hellendoorn,

de plv. secretaris, de burgemeester,

Naar boven