Hoofdstuk 1 beschrijft het doel van dit document, wie hiervan kennis moeten hebben en de reikwijdte.

Hoofdstuk 2 beschrijft de visie, de ambitie en uitgangspunten van de gemeente.

Hoofdstuk 3 gaat in op de privacy organisatie, rollen en verantwoordelijken.

Hoofdstuk 4 beschrijft de privacy principes.

Hoofdstuk 5 maakt de vertaling hoe privacy in de gemeente ingebed is.

De begrippen zoals gedefinieerd in artikel 4 van de Algemene Verordening Gegevensbescherming (AVG) en artikel 1 van de Wet politiegegevens (Wpg) hebben in deze beleidsuitwerking privacy dezelfde betekenis. Daarnaast gebruikt de gemeente veel afkortingen en eigen begrippen. Die zijn opgenomen in het document “Definities en afkortingen AVG WPG”.

De gemeente kan in uitzonderlijke gevallen afwijken van deze beleidsuitwerking privacy, als de toepassing ervan voor de betrokkene buitensporige gevolgen zou hebben en in het geval van bijzondere omstandigheden, die niet in verhouding staan tot de doelen die met deze beleidsuitwerking privacy worden nagestreefd.

Het doel van deze beleidsuitwerking privacy is om richting te geven aan de gemeente ten aanzien van de privacy visie (paragraaf 2.1.), het privacy ambitieniveau (paragraaf 2.2.) en de uitgangspunten (paragraaf 2.3).

De richting is vastgelegd in richtlijnen die tot doel hebben een verantwoorde omgang met persoonsgegevens te waarborgen en de persoonlijke levenssfeer van de personen van wie de gemeente persoonsgegevens verwerkt (of laat verwerken) te beschermen.

Daarnaast heeft het beleidsuitwerking privacy als doel duidelijk omschreven taken en verantwoordelijkheden met betrekking tot de bescherming van persoonsgegevens en politiegegevens vast te leggen.

De concrete uitwerking van deze beleidsuitwerking privacy is – indien van toepassing – beschreven in andere documenten binnen de gemeente. In inrichtingsdocumenten zoals handreikingen en procedures zoals bijvoorbeeld procedure melden datalekken of afspraken ten aanzien van gegevensdeling in het kader van wetuitvoering. En in documenten die de verrichtingen beschrijven zoals procesbeschrijvingen en werkafspraken.

Raakvlakken met andere beleidsthema’s zijn beschreven in paragraaf 2.6.

Iedereen die werkzaam is binnen de gemeente is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens. De gemeente verlangt van al haar medewerkers en alle personen die werkzaam zijn voor de gemeente dat de voorschriften van deze beleidsuitwerking privacy worden opgevolgd en actief worden uitgedragen.

Voor betrokkenen⁵, zoals onze inwoners, geeft deze beleidsuitwerking privacy informatie over hoe de gemeente hun persoonsgegevens verwerkt.

De gemeente verzamelt en gebruikt persoonsgegevens van inwoners, leveranciers en medewerkers en andere natuurlijke personen (hierna te noemen: betrokkenen).

Deze beleidsuitwerking privacy is van toepassing op alle verwerkingen van persoonsgegevens en politiegegevens door of namens de bestuursorganen van de gemeente, waaronder:

• 1.

  De verwerking van persoonsgegevens binnen de bedrijfsprocessen van de gemeente;

• 2.

  De verwerking van persoonsgegevens die is uitbesteed, of op een andere manier is georganiseerd, zoals deelname van de gemeente aan een rechtspersoon die voor de gemeente bepaalde diensten verricht;

• 3.

  De gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden of leveranciers.

• 4.

  De verwerking van politiegegevens in het kader van de uitvoering van de dagelijkse politietaak door de daarvoor aangewezen buitengewoon opsporingsambtenaren (BOA’s) en hun ondersteuners (niet-BOA’s).

Ons privacy kompas is ingesteld op het voldoen aan de intentie van de AVG en de Wpg, en daarbij de rechten van inwoners en bedrijven te beschermen. De gemeente hanteert waar mogelijk de principes van privacy by design en privacy by default (zie paragraaf 5.5.).

Onze privacy visie (toekomstbeeld) is:

We hanteren het volwassenheidsmodel CIP⁶ dat identiek is aan het volwassenheidsmodel van de Informatie beveiliging dienst (IBD).

Figuur 2: Volwassenheidsmodel

Onze privacy ambitie⁷ is:

De gemeente hanteert in haar werkwijze de volgende uitgangspunten:

• •

  Onze visie en ambitie

• •

  Lijnmanagement is verantwoordelijk voor de borging van de gegevensbescherming in processen

• •

  Privacy is de verantwoordelijkheid van iedere medewerker

• •

  Persoonsgegevens worden verwerkt volgens de privacy principes

• •

  Persoons- en politiegegevens worden adequaat beveiligd

• •

  Persoons- en politiegegevens worden bewaard conform wetgeving (o.a. archiefwet, WPG)

• •

  We hanteren een risico gestuurde aanpak, en registreren de impact voor betrokkenen bij geaccepteerde risico’s.

• •

  De privacy risicoclassificatie van het DocumentStructuurPlan⁸ wordt gehanteerd, tenzij…..

• •

  Politiegegevens worden verwerkt in systemen die de WPG-vereisten faciliteren, tenzij …

• •

  De standaardinstellingen zijn altijd zo privacy-vriendelijk mogelijk (privacy by design / by default)

We werken hierbij vanuit onze kernwaarden:

Figuur 1: Kernwaarden

Het normenkader van de Wpg is grotendeels gelijk aan dat van de AVG. Op hoofdlijnen geldt voor de WPG aanvullend nog het volgende:

• •

  De boa's van de gemeente kunnen naast hun opsporingstaken ook bestuursrechtelijke toezichts- en handhavingstaken hebben. Zij krijgen dan bij het verwerken van persoonsgegevens zowel met de AVG te maken als met de Wpg;

• •

  In de verwerking van gegevens moet duidelijk zijn welke gegevens er worden verwerkt onder de AVG en welke onder de Wpg;

• •

  De Wpg stelt andere eisen aan de verwerking van persoonsgegevens dan de AVG. Waaronder de plicht tot delen met ieder andere opsporingsambtenaar die deze gegevens nodig heeft voor zijn werk;

• •

  Het uitvoeren van interne en externe Wpg-privacyaudits.

De Wpg vereisten die in onze applicaties moeten zijn geborgd:

• •

  Er moet een scheiding worden aangebracht tussen informatie die op feiten is gebaseerd en informatie die op een persoonlijk oordeel is gebaseerd;

• •

  Er moet onderscheid worden gemaakt tussen betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden;

• •

  Documentatie is vereist van de doelen van onderzoeken, verstrekking of doorgifte, afwijzing van verzoeken om inzage, inbreuk op de beveiliging, doorgifte buiten de EU met datum en tijd, ontvanger, redenen en doorgegeven gegevens en melding van gemeenschappelijke verwerkingen aan de Autoriteit Persoonsgegevens (AP);

• •

  Er vindt logging plaats in geautomatiseerde systemen van de invoer van gegevens in die systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens.

• •

  Er worden specifieke eisen gesteld aan de informatiebeveiliging (Bpg, artikel 6:1A⁹).

Persoons-, politie- en strafrechtelijke gegevens onderscheiden zich van elkaar door de taak waarvoor ze verwerkt worden.

Bijzondere persoonsgegevens door de gevoeligheid van de informatie. Het betreft dan informatie over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op unieke identificatie, gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid.

De beleidsuitwerking privacy heeft raakvlakken met andere beleidsthema’s, vertoont hiermee overlap, of is hiervan afhankelijk.

De gemeenteraad wordt geïnformeerd over de privacy binnen de gemeente, omdat zij een bestuurlijke toezichttaak heeft op basis van de Gemeentewet en decentralisatiewetgeving.

Het College is eindverantwoordelijk (verwerkingsverantwoordelijke) voor de naleving van de privacywetgeving binnen de gemeente en het aantoonbaar maken hiervan, óók voor het gedeelte dat via mandaat bij de Dienst Dommelvallei is belegd.

De burgemeester is verantwoordelijk voor (het naleven en aantonen daarvan voor) de Wpg.

College en burgemeester zijn daarmee verantwoordelijk voor het vaststellen van de beleidsuitwerking privacy, het aansturen van de uitvoering ervan, en de verantwoording aan de partijen benoemd bij Informed, waaronder de Gemeenteraad.

De concernmanagers zijn feitelijk verantwoordelijk voor de uitvoering van de beleidsuitwerking privacy en de naleving van de privacywetgeving binnen de teams of de programma’s.

Het dagelijks bestuur Dienst Dommelvallei is verantwoordelijk dat de aan de GR gemandateerde taken worden uitgevoerd conform deze beleidsuitwerking privacy en de naleving van de privacywetgeving.

De gemeentesecretaris is eindverantwoordelijk voor de uitvoering van de beleidsuitwerking privacy en de naleving van de privacywetgeving van gemeentebrede of teams en programmas overstijgende zaken. Deze verantwoordelijkheid kan, indien gewenst, per onderdeel toegewezen worden aan een van de concernmanagers of aan de directeur Dienst Dommelvallei.

Zij zorgen voor de verantwoording, voor voldoende middelen, voor de uitvoering van (verbeter)activiteiten en voor de bewaking en beveiliging van de persoonsgegevens en politiegegevens.

Iedereen werkzaam binnen de gemeente is betrokken bij de verwerking van persoonsgegevens en is daarom verantwoordelijk voor het verantwoord omgaan met persoonsgegevens de behoren bij zijn/haar taak. De gemeente verlangt daarom van al haar medewerkers en alle personen die werkzaam zijn voor de gemeente, dat de voorschriften van deze beleidsuitwerking privacy worden opgevolgd en actief worden uitgedragen. Daarnaast worden geheimhoudingsverklaringen afgesloten met de (interne en externe) medewerkers.

De functionaris die zorgt draagt voor de opsporing van strafbare feiten en de voorbereiding van eventuele vervolging van deze feiten. De gecertificeerde en aangestelde buitengewoon opsporingsambtenaren (BOA’s) verwerken politiegegevens, en zijn verantwoordelijk voor de juiste verwerking van deze politiegegevens conform de Wpg.

De team[Manager]¹⁴) van de BOA is aangewezen als bevoegd functionaris (BF). De BF is de ‘hoeder’ van de politiegegevens en beoordeelt wie er toegang mag hebben tot deze gegevens. Daarnaast bepaald de BF of deze politiegegevens voor onderzoek verder verwerkt mogen worden (Wpg artikel 9 lid 3, artikel 11 lid 1 en 4, artikel 13 lid 3) en of ze kunnen worden verstrekt aan een samenwerkingspartner.

De Privacy Officer (PO) is het interne aanspreekpunt voor de gemeente rondom (praktische invulling van) privacy gerelateerde vraagstukken, heeft een monitorende en ondersteunende functie rondom het naleven en uitvoeren van de beleidsuitwerking privacy, en is belast met de coördinatie en uitvoering van het privacy- en gegevensbeschermingsbeleid van de gemeente. Daarnaast kan de Privacy Officer de lijn ondersteunen (support) bij de uitwerking van privacy vraagstukken.

De Chief Information Security Officer (CISO) stelt kaders op het gebied van informatiebeveiliging die voor de gehele organisatie gelden, zorgt voor afstemming tussen informatiebeveiliging met andere beveiligingsdomeinen, waaronder privacybescherming, adviseert over de beveiliging bij datalekken (volgens de procedure Datalekken) en is coördinator van de Eenduidige Normatiek Single Information Audit (ENSIA).

De Functionaris Gegevensbescherming (FG) is als onafhankelijk interne toezichthouder aangewezen, en ziet toe op de naleving van de AVG en Wpg (art. 36) bij de gemeente. De FG kan ambtshalve een onderzoek instellen naar de wijze waarop wordt voldaan aan de AVG en WPG en dit privacy beleid.

De FG stelt jaarlijks een AVG Jaarrapportage en WPG jaarrapportage op en stuurt dit aan het College van Burgemeester en Wethouders. De FG stemt af met portefeuillehouder en gemeentesecretaris hoe de gemeenteraad hierover wordt geïnformeerd.

De FG is de contactpersoon voor de Autoriteit Persoonsgegevens (AP) en voor de inwoners in geval van privacy klachten en adviseert bij datalekken (volgens de procedure Datalekken).

De FG wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

Alle personen van wie de gemeente persoonsgegevens verwerkt, worden tijdig geïnformeerd over de inhoud van dit privacy beleid en hoe zij hun rechten kunnen uitoefenen (bijvoorbeeld via flyers, gesprekken en de website), zie 5.7. Betrokkenen zijn onder andere (onze) inwoners en medewerkers.

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke landelijke toezichthouder en houdt toezicht op de naleving van de privacyregels in Nederland.

De gemeente verwerkt persoonsgegevens alleen in overeenstemming met de wet, dan is de verwerking rechtmatig. Veelal verwerkt de gemeente gegevens op basis van een wet (wettelijke verplichting) of een publiekrechtelijke taak. Soms gebeurd de verwerking op basis van toestemming on in het kader van algemeen belang.

De gemeente vindt het belangrijk dat betrokkenen erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. Daarom informeert de gemeente de betrokkenen op welke wijze hun persoonsgegevens verwerkt worden. Dit gebeurd op een begrijpelijke en toegankelijke manier, via diverse communicatiekanalen waaronder de privacyverklaring van de gemeente. De betrokkene wordt daarbij ook geïnformeerd over zijn rechten en de wijze waarop hij deze kan uitoefenen.

Alleen als de wet anders bepaalt, wijkt de gemeente van de informatieplicht af.

De gemeente verwerkt persoonsgegevens alleen met een gerechtvaardigd en gespecificeerd doel. De persoonsgegevens worden niet voor andere doelen gebruikt. Tenzij geldt dat de twee doelen aan elkaar verwant zijn, er geen nadelige effecten voor de betrokkenen zijn of hiervoor extra waarborgen worden getroffen.

De gemeente voert voordat de verwerking start, een toets uit om te bepalen of de gegevens (voor andere doelen) mogen worden gebruikt op grond van de wet- en regelgeving.

De gemeente verwerkt alleen persoonsgegevens die noodzakelijk zijn – in verhouding staan – om het doel te bereiken. Dit betekent dat als het doel op een andere wijze – zonder of met minder persoonsgegevens¹⁵ of die minder inbreuk maken op de privacy van betrokkene¹⁶ – kan worden bereikt, dan kiest de gemeente bij voorkeur voor die mogelijkheid. We slaan zo min mogelijk gegevens op.

De gemeente stelt de bewaartermijn van de verwerking vast op basis van wettelijke bepalingen of de Archiefwet 1995 selectielijsten. Als hierop geen bewaartermijn kan worden vastgesteld, dan stelt de gemeente zelf de bewaartermijn vast waarbij de persoonsgegevens niet langer worden bewaard dan noodzakelijk. Bewaart de gemeente gegevens toch langer, dan worden deze geanonimiseerd zodat directe of indirecte identificatie van een persoon niet meer mogelijk is.

De gemeente verwerkt alleen persoonsgegevens die juist en actueel zijn, oftewel betrouwbaar, gelet op het doel waarvoor zij zijn verzameld. De gemeente neemt redelijke maatregelen om persoonsgegevens juist en actueel te houden, onjuiste persoonsgegevens te actualiseren, te rectificeren en/of te wissen.

Betrokkenen kunnen aan de gemeente vragen hun persoonsgegevens aan te passen als die niet kloppen (zie paragraaf 5.7).

Daarnaast neemt de gemeente passende (technische en organisatorische) beveiligingsmaatregelen om te voorkomen dat (met name bijzondere) persoonsgegevens misbruikt, onrechtmatig of ongeautoriseerd verwerkt of bekend gemaakt worden. Deze zijn vastgelegd in het informatiebeveiligingsbeleid en bijbehorende documenten.

Persoonsgegevens worden alleen verwerkt door medewerkers/personen die voor geheimhouding hebben getekend, en voor de bevoegdheden die aan hen zijn toegekend op grond van het geldend toegangsbeleid.

Periodiek wordt gecontroleerd (onder andere door logging en monitoring) op ongeautoriseerde toegang tot en niet toegestane verwerkingen van persoonsgegevens, om deze zo te voorkomen.

De gemeente schakelt soms andere organisaties in om taken uit te voeren. Daarbij zorgt de gemeente voor de juiste privacy afspraken (zie paragraaf 5.4) en legt die vast bij het contract (conform contractmanagement).

Het zorgvuldig omgaan met persoonsgegevens is een kwestie van een adequate informatiebeveiliging, van correcte werkprocessen, en van bewustwording van de medewerkers.

Het bewustzijn van medewerkers wordt voortdurend aangescherpt, zodat kennis van risico’s wordt verhoogd en verantwoord gedrag wordt aangemoedigd.

Iedere medewerker wordt aantoonbaar geïnformeerd over het zorgvuldig omgaan met persoonsgegevens, bijvoorbeeld via instructies.

Elke Boa doorloopt verplicht een Wpg training

Er is sprake van een datalek als toegang tot, verlies of wijziging van persoonsgegevens heeft plaatsgevonden zonder dat dit de bedoeling was.

De gemeente behandelt en registreert deze datalekken conform de procedure ‘datalekken’. Als een datalek meldplichtig is, dan wordt dit gemeld bij de toezichthouder (de Autoriteit Persoonsgegevens). Afhankelijk van het risico voor de betrokkenen worden ook zij geïnformeerd.

Een mededeling aan betrokkenen blijft achterwege indien daarvoor een Wpg-uitzondering van toepassing is. Bijvoorbeeld ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

De gemeente zet de bevindingen om in verbeterpunten en bewaakt de opvolging hiervan.

Als de verwerking gelet op de aard en omvang, de context en de doeleinden mogelijk een hoog risico¹⁷ inhoudt voor de rechten en vrijheden van betrokkene, dan voert de gemeente een beoordeling uit op het effect van de verwerking van persoonsgegevens.

Deze beoordeling wordt Data Processing Impact Assessment, DPIA) of gegevenseffectbeoordeling (GEB) genoemd.

Als uit de DPIA blijkt dat er inderdaad hoge risico’s zijn verbonden aan de verwerking, neemt de gemeente voldoende maatregelen om deze risico’s te verminderen. Als het niet lukt om met maatregelen de risico’s tot een acceptabel niveau te verlagen, dan motiveert de gemeente dit.

De FG geeft over elke DPIA een zwaarwegend advies aan de verwerkingsverantwoordelijke.

De gemeente overlegt met de AP voordat wordt gestart met een verwerking met een hoog risico: dit wordt een voorafgaande raadpleging¹⁸ genoemd.

De gemeente werkt veel samen met externe partners. De gemeente zorgt voor bescherming van de privacy en gegevensverwerking door afspraken te borgen in contracten, via een vast onderdeel van het inkoopproces. Deze afspraken voldoen aan wettelijke eisen en aan de modelovereenkomsten van de Vereniging Nederlandse Gemeenten of de Informatiebeveiligingsdienst.

De gemeente beoordeelt of de externe partner een verwerker of een verwerkingsverantwoordelijke is. Zie Voorbeeldlijst: wie is hier de verwerker en wie de verantwoordelijke?

Verwerkers

Indien de externe organisatie in opdracht van de gemeente persoonsgegevens verwerkt, dan is dit een verwerker. Bijvoorbeeld een cloudsysteem leverancier. Ook een verwerker moet zich houden aan de privacyregelgeving. Daarom legt de gemeente afspraken met verwerkers vast in verwerkersovereenkomsten.

Samenwerkingsverbanden

Als de gemeente samenwerkt met andere (overheid)organisaties om een taak van algemeen belang uit te voeren, kan er sprake zijn van meerdere verwerkersverantwoordelijken (gezamenlijk of individueel). Ook dan maakt de gemeente afspraken over de wijze waarop persoonsgegevens worden verwerkt en beschermd, bijvoorbeeld in een privacyconvenant.

Doorgifte buiten de EER

Doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER) of aan een internationale organisatie, gebeurt alleen in overeenstemming met de relevante bepalingen in toepasselijke wet- en regelgeving en deze beleidsuitwerking privacy.

De maatschappij staat niet stil en ook de gemeente verandert. Bijvoorbeeld ontwikkelt en levert nieuwe diensten/producten, krijgt nieuwe of wijzigt bestaande processen of systemen, of gaat nieuwe samenwerkingsverbanden aan. Door bij het ontwerp van deze nieuwe ontwikkelingen de privacy mee te nemen, inclusief een adequate bescherming van persoonsgegevens, beperkt de gemeente het risico op onrechtmatige verwerkingen en datalekken. Dit wordt Privacy by Design genoemd.

Daarbij richt de gemeente de standaardinstellingen zo privacy-vriendelijk mogelijk in (Privacy by Default).

De gemeente beschikt over een verwerkingsregister, waarin alle verwerkingen van persoonsgegevens en politiegegevens gedocumenteerd en inzichtelijk zijn gemaakt.

Het verwerkingsregister voldoet aan de eisen die daaraan zijn gesteld (art. 30 AVG). Zie voor meer informatie de privacyverklaring op de website van de gemeente.

In de maatschappij en ook binnen de gemeente, worden op steeds grotere schaal gegevens van betrokkenen vastgelegd. En de tendens is dat die informatie steeds vaker aan elkaar gekoppeld wordt.

De gemeente zal zorgvuldig omgaan met diens persoonsgegevens, en zorgt dat betrokkenen voor zichzelf op kunnen komen door controle te houden over de verwerking van hun persoonsgegevens.

De rechten worden gerespecteerd en verankerd in onze procedures.

Iedereen heeft het recht om te vernemen welke persoonsgegevens de gemeente over hem/haar heeft verzameld en waarvoor deze worden gebruikt. Betrokkenen hebben de mogelijkheid om hun rechten uit hoofdstuk III van de AVG (art. 13 t/m 22) en de WPG (paragraaf 4) uit te oefenen, te weten het recht van inzage, recht op rectificatie, recht op verwijdering, recht op bezwaar, recht op beperking van de verwerking en het recht op overdraagbaarheid (dataportabiliteit).

Om te zorgen dat de persoonsgegevens aan de juiste betrokkene worden afgegeven, moet de gemeente bij een verzoek altijd eerst de identiteit van de betrokkene vastgesteld worden. Desnoods wordt hiervoor aanvullende informatie opgevraagd.

De gemeente reageert binnen één maand op het verzoek. In uitzonderlijke gevallen mag de gemeente er drie maanden over doen, maar dan wordt de betrokkene hierover geïnformeerd binnen een maand. Indien nodig ondersteunt de Privacy Officer.

Nadere regels ten aanzien van de rechten van betrokkenen zijn opgenomen in de procedure ‘rechten van betrokkenen’ . Voor audio-en beeldmateriaal zie paragraaf 5.10.

Als de betrokkene van mening is dat de gemeente niet tijdig heeft gereageerd of niet op een juiste wijze met zijn persoonsgegevens is omgegaan, kan de FG worden benaderd zoals beschreven in de privacyverklaring op de website van de gemeente.

Mocht de betrokkene niet tevreden zijn met de reactie van de FG, dan kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens (zie www.autoriteitpersoonsgegevens.nl) of kan betrokkene de gemeente in gebreke stellen wegens niet tijdig beslissen, zie website van de gemeente.

Voelt de betrokkene zich onheus bejegend over de wijze waarop de het bestuursorgaan of medewerker van de gemeente zich jegens hem heeft gedragen, dan kan de betrokkene een klacht indienen middels de van toepassing zijnde klachtenprocedure zoals is opgenomen op de website of www.overheid.nl (dit gebeurd dan op grond van de Algemene wet bestuursrecht Awb).

Indien de klachtenprocedure in relatie staat tot de verwerking van persoonsgegevens zal de behandelend ambtenaar van de klachtadviescommissie afstemming zoeken met de FG.

De gemeente zet op verschillende plekken audio- en beeldopnames in, bijvoorbeeld tijdens de in beginsel openbare raads- en commissievergaderingen en voor veiligheid.

De gemeentelijke website vermeld waar deze zijn ingezet en waarvoor, en kunnen betrokkenen lezen hoe ze hun audio/beelden kunnen inzien.

De inzet van audio- en beeldopnames gebeurt conform passende wetgeving, de beleidsregels van de Autoriteit Persoonsgegevens en het ‘audio en beeldmateriaal beleid’.

De gemeente streeft ernaar om rondom de verwerking van persoonsgegevens in control te zijn en daarover op professionele wijze verantwoording af te leggen.

In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn ten aanzien van de verwerking van persoonsgegevens¹⁹, dat er een planning is van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus.

Figuur 3: Plan-Do-Check-Act cyclus

Jaarlijks wordt een privacyplan geactualiseerd. Onder andere naar aanleiding van jaarverslagen van de AP/IBD en toekomstige verwachtingen, organisatorische en maatschappelijke ontwikkelingen, actueel privacy volwassenheidsniveau, datalekken, risico’s en verbetermaatregelen.

Onder de verantwoordelijkheid van zowel het college van B&W als de gemeenteraad vindt een groot aantal verwerkingen van persoonsgegevens plaats. Daar vindt extern en intern toezicht op plaats.