Algemeen Privacyreglement Wpg

Het college van Burgemeester en Wethouders,

In zijn vergadering van 20 februari 2024,

Gezien het voorstel met reg.nr. 15967067,

 

 

overwegende dat het Algemeen Privacyreglement Wet politiegegevens een uitwerking vormt van de Wet politiegegevens (Wpg);

de regels en uitgangspunten geeft voor de eerlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens wanneer de Wpg van toepassing is,

 

B E S L U I T:

het Algemeen Privacyreglement Wpg vast te stellen.

Algemeen Privacyreglement Wpg

 

In dit reglement laat de gemeente ’s-Hertogenbosch zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy wanneer politiegegevens worden gebruikt. Hierbij is ook de nadruk met het oog op wat er wettelijk wel en niet verantwoord is. Privacy speelt een belangrijke rol in de relatie tussen de inwoner en de overheid en staat daarmee hoog op de bestuurlijke agenda. Als gemeente zijn we verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met de persoonsgegevens van inwoners. Dat geldt dus ook voor taken waarin politiegegevens worden gebruikt waarop de Wet politiegegevens (Wpg) van toepassing is. Het beschermen van privacy wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en door nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens en privacy omgaan.

Artikel 1: De Bossche aanpak

De Gemeente ‘s-Hertogenbosch respecteert en beschermt de privacy en persoonsgegevens van haar inwoners. In de uitoefening van haar publiekrechtelijke taak houdt zij zich aan de wet en zoekt waar mogelijk de ruimte om de privacybelangen van zowel de inwoner als de doelstellingen van de gemeente naar beste inzicht te behartigen. Het is daarom belangrijk dat onze medewerkers privacy bewust zijn. De gemeente wil hiermee aantonen dat wij beschikken over medewerkers die bewust zijn van de risico’s bij het werken met persoonsgegevens en politiegegevens. Om privacy bewust te worden zorgt de gemeente voor kennissessies en workshops op het gebied van privacy en het omgaan met persoonsgegevens. Ook volgt iedere medewerker periodiek een e-learning waarmee naast kennisoverdracht ook de aanwezige privacy kennis wordt gemeten. Ook stelt de gemeente diverse handleidingen, factsheets en overige materialen ter beschikking om de medewerker handvatten te bieden bij het verwerken van de persoonsgegevens en politiegegevens waarmee zij werken.

Artikel 2: Definities

In dit reglement wordt verstaan onder:

  • a.

    Gemeente 's-Hertogenbosch: het college van de burgemeester en wethouders als verwerkingsverantwoordelijke van de politiegegevens;

  • b.

    Buitengewoon opsporingsambtenaar: de buitengewoon opsporingsambtenaar (boa) als bedoeld in het Besluit buitengewoon opsporingsambtenaar;

  • c.

    Opsporingstaak: de opsporing van de strafbare feiten als bedoeld in artikel 142, tweede lid, van het Wetboek van Strafvordering;

  • d.

    Akte van opsporingsbevoegdheid: de akte van opsporingsbevoegdheid als bedoeld in artikel 142, eerste lid, onder a, van het Wetboek van Strafvordering;

  • e.

    Wet: de Wet politiegegevens (Wpg), het Besluit politiegegevens, het Besluit politiegegevens voor buitengewoon opsporingsambtenaar en de Regeling periodieke audit politiegegevens;

  • f.

    Beschikbaar studiemateriaal: het Praktijkhandboek van de wet politiegegevens, de Verstrekkingenwijzer en het Naslagwerk Verstrekken op grond van de wet politiegegevens;

  • g.

    Wpg-domein: domein bestaande uit de politie, marechaussee, rijksrecherche, Bijzondere Opsporingsdiensten en de buitengewoon opsporingsambtenaren;

  • h.

    Politiegegevens: persoonsgegevens die in het kader van de uitoefening van de politietaak worden verwerkt;

  • i.

    Verwerken van politiegegevens: elke handeling of elk geheel van handelingen met betrekking tot politiegegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, vergelijken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van politiegegevens;

  • j.

    Autorisatiebeleid: het autorisatiebeleid voor het toewijzen, wijzigen en intrekken van autorisaties t.b.v. de toegang tot politiegegevens;

  • k.

    Verwerker van politiegegevens: degene die, niet werkzaam binnen de gemeentelijke organisatie, het geheel of een gedeelte van het geautomatiseerde systeem onder zich heeft waarmee de politiegegevens worden verwerkt.

 

Artikel 3: Het aanwijzen van de buitengewoon opsporingsambtenaar

De gemeente 's-Hertogenbosch wijst de buitengewoon opsporingsambtenaar aan, indien de buitengewoon opsporingsambtenaar in het bezit is van een:

  • a.

    akte van opsporingsbevoegdheid;

  • b.

    verklaring omtrent het gedrag;

 

De buitengewoon opsporingsambtenaar voldoet aan de her- en bijscholingsplicht. De gemeente 's-Hertogenbosch organiseert ten aanzien van politiegegevens bewustwordingsactiviteiten dan wel cursussen over de omgang met politiegegevens, die door de buitengewoon opsporingsambtenaar jaarlijks verplicht worden bijgewoond.

 

Artikel 4: Het verlenen, wijzigen en beëindigen van de toegang tot politiegegevens

De gemeente stelt ten aanzien van het verlenen, wijzigen- en beëindigen van toegang tot politiegegevens een autorisatiebeleid vast. De gemeente verleent aan de buitengewoon opsporingsambtenaar conform het vastgestelde autorisatiebeleid een autorisatie tot politiegegevens, indien de toegang tot politiegegevens noodzakelijk is voor het uitvoeren van de aan de buitengewoon opsporingsambtenaar opgedragen opsporingstaak.

 

Buitengewoon opsporingsambtenaren worden aangewezen ten aanzien van politiegegevens op de plicht tot geheimhouding en de consequenties bij de schending van deze plicht. Als de buitengewoon opsporingsambtenaar van functie verandert dan wel uit dienst gaat, wordt de autorisatie conform het autorisatiebeleid gewijzigd of beëindigd.

 

Artikel 5: De plicht tot loggen

De gemeente controleert en evalueert periodiek de toegekende autorisaties van de buitengewoon opsporingsambtenaar met als doel om de integriteit en de rechtmatigheid van de toegang tot politiegegevens te waarborgen. De logginggegevens worden uitsluitend gebruikt voor de controle van de rechtmatigheid van de gegevensverwerking, ter ondersteuning van de verplichte audits en ter waarborging van de integriteit en de rechtmatigheid van de toegang tot politiegegevens.

 

Het resultaat van de periodieke controle wordt vastgelegd in een verslag van bevindingen, welke wordt gearchiveerd binnen het daartoe bestemde en beveiligde zaaksysteem. De logginggegevens alsmede het resultaat van de periodieke controle voor een periode van vijf jaar.

 

Een verwerker heeft ten aanzien van de periodieke controle de plicht om de toegang tot politiegegevens te loggen. Ook verstrekt de verwerker op verzoek van de gemeente de logginggegevens zodat deze conform het autorisatiebeleid periodiek gecontroleerd kunnen worden.

 

Artikel 6: Het verwerken van politiegegevens

De gemeente voorziet in werkinstructies per boa-domein, die de buitengewoon opsporingsambtenaar bij de uitvoering van de opsporingstaak in acht neemt. De buitengewoon opsporingsambtenaar verwerkt politiegegevens ten behoeve van de uitvoering van de politietaak als bedoeld in artikel 8 van de Wet politiegegevens.

 

De buitengewoon opsporingsambtenaar verwerkt geen politiegegevens, indien het gegevens betreft die niet noodzakelijk zijn voor de uitvoering van de aan hem of haar opgedragen opsporingstaak. De buitengewoon opsporingsambtenaar maakt bij het verwerken van politiegegevens onderscheid tussen:

de verschillende categorieën van betrokkenen zoals genoemd in artikel 6b van de Wet politiegegevens;

gegevens die gebaseerd zijn op feiten en een persoonlijk oordeel zoals genoemd in artikel 4 van de Wet politiegegevens.

 

De buitengewoon opsporingsambtenaar neemt geen besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking zoals bedoeld in artikel 7a van de Wet politiegegevens, met inbegrip van profilering, dat voor de betrokkene nadelige rechtsgevolgen heeft of hem of haar in aanmerkelijke mate treft.

 

De verwerker dient ervoor te zorgen dat het onderscheid a en b in de applicatie, waartoe de buitengewoon opsporingsambtenaar toegang heeft, mogelijk wordt gemaakt.

 

Artikel 7: De termijnen van politiegegevens

De gemeente voorziet in voldoende waarborgen om te bewerkstelligen dat de politiegegevens conform de wet niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de buitengewoon opsporingsambtenaar opgedragen opsporingstaak. De politiegegevens voor de uitvoering van de opsporingstaak zoals bedoeld in artikel 8 van de Wet politiegegevens:

  • a.

    gedurende een jaar beschikbaar zijn in het kader van de uitvoering van de opsporingstaak;

  • b.

    na een jaar slechts beschikbaar zijn voor het gericht zoeken;

  • c.

    na vijf jaar worden verwijderd;

  • d.

    na tien jaar worden vernietigd.

 

De verwerker zorgt ervoor dat de bewaartermijn conform de wet en dit artikel geconfigureerd zijn, zodat gewaarborgd is dat de politiegegevens niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de opsporingstaak.

 

Artikel 8: Het ter beschikking stellen en verstrekken van politiegegevens

De gemeente stelt de politiegegevens conform de wet ter beschikking op basis van het ‘Free flow of information’ principe, indien het ter beschikking stellen van politiegegevens noodzakelijk is voor de uitoefening van de taken binnen het Wpg-domein. De politiegegevens mogen verstrekt worden zoals beschreven in de verstrekkingenwijzer aan partijen buiten het Wpg-domein. Daarbij wijst de gemeente 's-Hertogenbosch de ontvangende partij op de plicht tot geheimhouding die op de verstrekte gegevens van toepassing is. De gemeente 's-Hertogenbosch legt de verstrekking vast.

 

De gemeente en de verwerker zorgen voor de technische mogelijkheden om de politiegegevens via een beveiligde wijze te verstrekken aan de ontvangende partij. De verwerker heeft de plicht om binnen de gebruikte applicaties, technische mogelijkheden te creëren, waarmee verstrekkingen kunnen worden vastgelegd. Ook zorgt de verwerker ervoor dat de geautomatiseerde verstrekkingen, zoals bijvoorbeeld aan het Centraal Justitieel Incassobureau, conform de wet plaatsvinden en worden gedocumenteerd.

 

De gemeente verstrekt geen politiegegevens aan ontvangers in derde landen of internationale organisaties.

 

Artikel 9: De rechten van de betrokkenen

De gemeente draagt zorg voor het informeren van de betrokkenen over de verwerking van politiegegevens. Dit vindt plaats conform paragraaf 4 van de Wet politiegegevens. Daarbij heeft de gemeente 's-Hertogenbosch de plicht tot:

  • a.

    actieve informatieverstrekking waarbij de informatievoorziening op de website conform de wet plaatsvindt;

  • b.

    passieve informatieverstrekking; waarbij de informatie op verzoek wordt verstrekt, tenzij het verzoek conform artikel 27 van de Wet politiegegevens geheel of gedeeltelijk kan worden afgewezen, bijvoorbeeld als de informatieverstrekking de opsporing en vervolging belemmert.

De gemeente heeft een procedure voor de behandeling van verzoeken van betrokkenen, bestaande uit:

  • a.

    recht op informatie;

  • b.

    inzagerecht;

  • c.

    correctierecht;

  • d.

    recht van verzet;

  • e.

    recht op bezwaar.

 

Artikel 10: Het behandelen van datalekken

De gemeente heeft een procedure voor het melden van een (vermoedelijke) inbreuk op de beveiliging op politiegegevens, waaronder voor het melden van datalekken. Deze worden bijgehouden in een register van gemelde datalekken.

 

Artikel 11: Het register van verwerkingen

De gemeente houdt een register van verwerkingen bij, waarin per verwerking minimaal de volgende informatie voorkomt:

  • a.

    de naam en contactgegevens van de gemeente 's-Hertogenbosch;

  • b.

    de verwerkingsdoeleinden;

  • c.

    een beschrijving van de categorieën persoonsgegevens die worden verwerkt;

  • d.

    een beschrijving van de categorieën betrokkenen;

  • e.

    een beschrijving van de categorieën van ontvangers aan wie de politiegegevens ter beschikking worden gesteld of worden verstrekt;

De gemeente actualiseert jaarlijks het register van verwerkingen.

 

Artikel 12. Het uitvoeren van een audit

De gemeente laat conform de wet, eenmaal in de vier jaren een externe audit uitvoeren. Ter voorbereiding hierop wordt jaarlijks een interne audit uitgevoerd via een auditplan. Indien uit de resultaten van de externe audit blijkt dat de verwerking van de politiegegevens op onderdelen niet voldoet aan de wettelijke normen, dient de gemeente 's-Hertogenbosch binnen een jaar zorg te dragen voor deze tekortkomingen, met als doel dat deze worden verholpen. Daarnaast voert de gemeente 's-Hertogenbosch binnen één jaar een hercontrole uit, binnen de onderdelen waarvan het resultaat onvoldoende bleek te zijn. De gemeente 's-Hertogenbosch zendt een afschrift van de controleresultaten van de audit aan de Autoriteit Persoonsgegevens.

 

De betrokken verwerkers dienen ten behoeve van de audit een Third Party Memorandum verklaring te overleggen die conform de ‘Nederlandse Orde van EDP Auditors handreiking’ wordt uitgevoerd, zodat deze verklaring betrokken kan worden bij de beoordeling van de audit. Als blijkt dat de beheersmaatregelen ten aanzien van de gebruikte applicatie(s) niet voldoen aan de wettelijke normen, dan draagt de verwerker verantwoordelijkheid voor het verhelpen van de tekortkomingen binnen een periode van één jaar.

 

Artikel 13. De functionaris voor de gegevensbescherming

De gemeente heeft een Functionaris voor de Gegevensbescherming (FG) aangesteld ten behoeve van de controle en het toezicht op het verwerken van politiegegevens conform de wet en het beleid van de gemeente 's-Hertogenbosch. De FG is dus de privacyfunctionaris zoals bedoeld in de Wpg. De FG voert daarbij periodiek controles uit op het naleven van de wettelijke verplichtingen, waaronder de controle op:

  • a.

    de bewustwordingsverplichting conform van artikel 1 van dit reglement;

  • b.

    het autorisatieproces conform artikel 2 van dit reglement

  • c.

    de kwaliteit en waarborging van de juistheid van de nauwkeurigheid van politiegegevens;

  • d.

    het verwerken van politiegegevens conform artikel 5 van dit reglement;

  • e.

    de bewaartermijnen conform artikel 6 van dit reglement;

  • f.

    het ter beschikking stellen en verstrekken van politiegegevens zoals bedoeld in artikel 7 van dit reglement

  • g.

    de controle op de informatiebeveiliging en de controle op het uitvoeren van een risicoanalyse zoals genoemd artikel 8 van dit reglement

  • h.

    het register voor verwerkingen conform artikel 11 van dit reglement

  • i.

    de verplichtingen ten aanzien van de audit conform artikel 12 van dit reglement

 

De FG stelt periodiek rapportages op en rapporteert zo nodig rechtstreeks aan de gemeente 's-Hertogenbosch.

 

Artikel 14: De verplichtingen van de gemeente 's-Hertogenbosch

De gemeente draagt zorg dat de procesinrichting voor de verwerking van politiegegevens in opzet, bestaan en dat de werking voldoet zoals genoemd in de wet, zodat hierop door de auditor en de functionaris gegevensbescherming toezicht kan worden gehouden. De gemeente treft daarbij conform de wet passende technische- en organisatorische maatregelen om ongeoorloofde of onrechtmatige verwerkingen, verlies, vernietiging of beschadiging van politiegegevens tegen te gaan, met als doel om de rechtmatigheid en beveiliging van politiegegevens te waarborgen.

 

Als er sprake is van een hoog risico op de rechten en vrijheden van betrokkenen, dan voert de gemeente 's-Hertogenbosch conform artikel 4c van de Wet politiegegevens een risicoanalyse, zoals een Data protection impact assessment (DPIA), uit. Ook moet de gemeente voldoen aan de documentatieplicht zoals genoemd in de wet.

 

De gemeente 's-Hertogenbosch maakt uitsluitend gebruik van een verwerker, indien de verwerker afdoende garandeert dat de passende technische- en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat voldaan wordt aan het bij of krachtens de wet bepaalde (Artikel 6c, 4a en 4b van de Wet politiegegevens). De verwerker verstrekt op verzoek van de gemeente 's-Hertogenbosch alle informatie die nodig is om de nakoming van de verplichtingen uit artikel 6, 32 en 32a van de Wet politiegegevens aan te tonen. De gemeente 's-Hertogenbosch legt de verplichtingen vast in een schriftelijke overeenkomst, welke door beide partijen wordt ondertekend.

 

Artikel 15: Wijziging en aanvullingen

Wijzigingen van of aanvullingen op het Algemeen Privacyreglement Wpg Gemeente ’s-Hertogenbosch worden ter goedkeuring en vaststelling voorgelegd aan het College van Burgemeester en Wethouders.

De verschillende sectoren van de Gemeente ‘s-Hertogenbosch kunnen aanvullende Wpg reglementen of overige regelingen dan wel uitvoeringsregels opstellen, waarmee invulling wordt gegeven aan het algemeen beleid en de kaders zoals vastgelegd door de Gemeente ’s-Hertogenbosch. De goedkeuring en vaststelling van sectorale aanvullingen geschiedt door het Algemeen Management Team.

Artikel 16: Slotbepaling

Dit reglement wordt aangehaald als Algemeen Privacyreglement Wpg Gemeente ’s-Hertogenbosch en treedt in werking na vaststelling door het College van Burgemeester en Wethouders.

 

 

Het college voornoemd,

De secretaris,

Drs. B. van der Ploeg

De burgemeester,

Drs. J.M.L.N. Mikkers

Naar boven