Binnen de gemeente Mook en Middelaar wordt gewerkt met persoonsgegevens van inwoners en andere burgers, medewerkers en (keten)partners. Persoonsgegevens worden verzameld voor het goed uitvoeren van de gemeentelijke taken, om te voldoen aan wettelijke verplichtingen en voor het werkgeverschap. Alle personen van wie de gemeente gegevens verwerkt moeten erop kunnen vertrouwen dat de gemeente zorgvuldig met hun persoonsgegevens omgaat.

Een steeds meer digitale overheid stelt andere eisen aan de bescherming van gegevens en privacy. De gemeente Mook en Middelaar is zich hier van bewust en zorgt dat privacy, door middel van een continu verbeterproces, gewaarborgd wordt.

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy en juist daarom stelt het College het bijbehorende beleid vast. Gemeente Mook en Middelaar geeft door dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit privacybeleid van de gemeente Mook en Middelaar is in lijn met het algemene beleid van de gemeente en de relevante lokale, regionale, nationale en Europese wet- en regelgeving.

2.1 Reikwijdte

Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente.

2.2 Wettelijke kaders voor de omgang met gegevens

De gemeente is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

• 1.

  De Algemene Verordening Gegevensbescherming (AVG).

• 2.

  Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).

• 3.

  Wet politiegegevens (Wpg)

• 4.

  Wet basisregistratie personen (Wet brp)

• 5.

  Bijzondere wetten zoals de Jeugdwet en de Wmo2015 waarin nadere, sectorspecifieke, regelgeving vastgelegd die de gemeente uiteraard moet uitvoeren. Zulke bijzondere regelgeving gaat boven de algemene regelgeving.

 

2.3 Uitgangspunten

De gemeente gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. De gemeente houdt zich hierbij aan de volgende uitgangspunten: Rechtmatigheid, behoorlijkheid en transparantie. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Daarbij dient het voorliggende privacy beleidskader als basis voor het vormgeven van alle verwerkingen van persoonsgegevens. Waarbij de gemeente streeft naar een goede balans tussen adequate bescherming van privacy en effectieve processen om betrokkenen te bedienen.

Nadere of sector/domein specifieke invulling zal indien wenselijk in een privacyreglement of sectoraal privacybeleid, richtlijn dan wel werkwijze worden vastgelegd.

2.4 Raakvlakken en overlap met andere beleidsthema’s

Het privacybeleid is nauw verbonden met de volgende beleidsthema’s:

Informatiebeveiliging

Privacy kan enkel adequaat worden geborgd als de informatiebeveiliging van de gemeente in voldoende mate op pijl is, het is een randvoorwaarde. De gemeente heeft een Informatiebeveiligingsbeleid waarin het thema verder is vormgegeven.

Archiefbeleid en gegevensvernietiging

Privacywetgeving en – beleid en de Archiefwet en – beleid moeten in onderlinge samenhang bekeken worden.

Integriteit

Privacybewust werken en integer zijn raken elkaar. Integer zijn is niet voldoende om te voldoen aan privacywetgeving, maar veilig omgaan met persoonsgegevens vereist een integere houding. In het kader van integriteit leggen (nieuwe) medewerkers de eed of belofte af en hebben zij een geheimhoudingsplicht vanuit de wet dan wel contractueel vastgelegd.

2.5 Rollen en verantwoordelijkheden 

Een behoorlijk en zorgvuldig omgang met persoonsgegevens is de verantwoordelijkheid van de hele organisatie. In het verwerkingsregister is opgenomen welk gemeentelijk bestuursorgaan verwerkingsverantwoordelijke is, in de zin van artikel 4 lid 7 AVG. Voor de meeste verwerkingen geldt dat het college verwerkingsverantwoordelijke is.

Raad, college en burgemeester 

Bestuursorganen die aangemerkt kunnen zijn als verwerkingsverantwoordelijke.

Management team (MT)

Het college belegt de nadere invulling van privacymanagement bij het MT. Het MT is verantwoordelijk voor de integrale sturing van de ambtelijke organisatie op naleving van privacywet- en regelgeving.

Functionaris Gegevensbescherming (FG)

Voor onafhankelijk toezicht op de naleving van privacywet- en regelgeving en het privacybeleid hebben de bestuursorganen een FG aangesteld. De FG heeft een onafhankelijke positie in de organisatie. De werkzaamheden die de FG uitvoert hebben een wettelijke grondslag.

De taken van deze functionaris zijn, kort samengevat, informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens.

De FG treedt op als adviseur voor de directie, het college, de raad en burgemeester op beleidsniveau. De FG heeft het recht op toegang tot alle informatie en systemen en processen waarin persoonsgegevens een rol (kunnen) spelen.

Chief Information Security Officer (CISO), ENSIA coördinator en Informatiemanager 

Zoals eerder benoemt is het waarborgen van informatiebeveiliging en management van informatie in algemene zin een randvoorwaarde voor het kunnen borgen van de privacy. Alle drie de functies dragen bij aan het waarborgen van informatiebeveiliging dan wel uitvoering daarvan.

In het bijzonder de rol van de CISO is verder ingevuld in het Informatiebeveiligingsbeleid van de gemeente.

Medewerkers

Alle medewerkers (inclusief inhuur en externen) van de gemeente Mook en Middelaar zijn ervoor verantwoordelijk dat zij bij de uitoefening van hun werkzaamheden conform het privacybeleid en eventuele nadere instructies werken. Zij dienen zich hiervan bewust te zijn en te voldoen aan hun geheimhoudingsverplichting. Zij hebben zo een belangrijke bijdrage aan de rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens binnen de gemeente.

Incidentmanagementprocedure

Garanderen dat er niets mis gaat kan, ondanks het treffen van adequate maatregelen, niet. Derhalve is het belangrijk dat de gemeente een passend incidentmanagementproces heeft ingericht en de daarbij horende rollen heeft ingevuld.

Sector specifieke rollen

Bij de uitvoering van sectorspecifieke wetgeving kan de voor de sector van toepassing zijnde wet andere dan wel aanvullende rollen bepalen. Hier wordt in lijn met de van toepassing zijnde wet en op een bij de gemeente passende wijze invulling aangegeven.

3.1 Invulling uitgangspunten 

De gemeente gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. De gemeente houdt zicht hierbij aan de volgende uitwerking van de uitgangspunten:

Rechtmatigheid en behoorlijkheid

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Transparantie

Het is belangrijk dat betrokkenen erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. Dat vertrouwen wordt gecreëerd door inzichtelijk te maken, door middel van verschillende communicatiekanalen, op welke wijze persoonsgegevens worden verwerkt en beheerd. Denk bijvoorbeeld aan het verwerkingsregister, de privacyverklaring op de website van de gemeente en informatie die voor aanvang van een verwerking aan een betrokkene wordt verstrekt. In uitzonderingsgevallen kunnen de bestuursorganen besluiten om geen informatie over de verwerking van persoonsgegevens te verstrekken. Dit kan bijvoorbeeld het geval zijn bij kwesties van openbare orde en veiligheid, zoals bij het vervolgen, voorkomen en opsporen van een strafbaar feit

Grondslag en doelbinding

De gemeente zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie

De gemeente verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft steeds naar minimale gegevensverwerking. Waar mogelijk worden dus minder of geen persoonsgegevens verwerkt.

Bewaartermijn

Persoonsgegevens worden uitsluitend bewaard zo lang dat nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

Integriteit en vertrouwelijkheid

De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de gemeente schriftelijke afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. De gemeente controleert deze afspraken regelmatig en actualiseert de afspraken wanneer dat volgens wet en/of rechtspraak en/of de dagelijkse praktijk nodig is.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met door de verwerking te dienen doel.

Rechten van betrokkenen

De gemeente honoreert de rechten van betrokkenen; zo heeft een betrokkene wiens gegevens zijn verwerkt inzagerecht en het recht om correcties te vragen. Onder de AVG zal een betrokkene ook het recht hebben om zijn gegevens ‘mee te nemen’ naar een andere organisatie (het recht van dataportabiliteit).

Meer informatie over de rechten van betrokken staat vermeld op de website van de gemeente.

Informatieplicht

De gemeente informeert betrokkenen adequaat over het verwerken van persoonsgegevens. Het gaat dan zowel om betrokkenen die gegevens aan de gemeente vertrekken als betrokkenen van wie de gegevens via een andere weg worden verstrekt.

Privacy by design

Bij de ontwikkeling van producten en diensten is er aandacht voor privacy en wordt gebruik gemaakt van privacy-verhogende maatregelen.

Privacy by default

Het concept van privacy by default verplicht de organisatie om instellingen en functies van producten of diensten standaard (by default) op de meest privacy vriendelijke stand te zetten, maar zodat het uitvoeren van de taken nog altijd gewaarborgd is.

3.2 Maatregelen

In aanvulling op de uitwerking van de uitgangspunten worden de volgende maatregelen getroffen om privacy te waarborgen.

Bewustwording

Doorlopend wordt er aandacht geschonken aan de bewustwording. Het is belangrijk dat iedereen die met persoonsgegevens werkt, in het bijzonder gevoelige persoonsgegevens, zich bewust is van het belang om hier zorgvuldig mee om te gaan. Specifiek voor nieuwe medewerkers bestemde bewustwording acties kunnen binnen drie maanden na indiensttreding worden gevolg. Verder worden er jaarlijkse bewustwordingssessies georganiseerd, waarin aandacht wordt besteed aan opfrissen en nieuwe risico’s en mogelijkheden.

Register van verwerkingen

Er wordt een register van verwerkingen bijgehouden met alle verwerkingsactiviteiten van persoonsgegevens per proces. Hierin wordt onder andere de doeleinde van verwerkingen,

categorieën van betrokkenen en persoonsgegevens, bewaartermijnen en maatregelen opgenomen.

Data Protection Impact Assesments (DPIA’s)

Voor processen, producten en informatiesystemen waar persoonsgegevens worden verwerkt, worden DPIA’s uitgevoerd om de impact van de verwerking op de bescherming van persoonsgegevens in kaart te brengen om vervolgens de juiste maatregelen te treffen. De AVG noemt dit een Gegevensbeschermingseffectbeoordeling. 

Overeenkomsten in het kader van de AVG

Indien wenselijk dan wel verplicht worden overeenkomsten in het kader van de AVG afgesloten.

Melden datalekken

Datalekken worden intern zoals incidentmanagementprocedure voorschrijft en indien nodig bij de Autoriteit Persoonsgegevens en de betrokkene(n) gemeld. Incidenten, welke ook datalekken kunnen zijn, worden opgenomen in het daarvoor bestemde register. De verdere uitwerking van het proces melden datalekken is vastgelegd in de gemeentelijke incidentmanageprocedure.

Toezicht en rapportages

De FG beoordeelt de naleving van het privacybeleid en rapporteert hierover.

 

Sommige verwerkingsmethoden vragen om extra zorgvuldigheid en transparantie vanwege de risico’s die dergelijke methoden met zich meebrengen.

Inzet camera’s

Binnen de gemeente kan onder bepaalde omstandigheden gebruik worden gemaakt van cameratoezicht, zoals vastgelegd in de Gemeentewet. Cameratoezicht kan onder andere worden gebruikt voor het vergroten van de veiligheid op straat. Camera’s kunnen een grote inbreuk maken op de privacy van diegenen die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van camera’s.

Gemeente Mook en Middelaar maakt op haar website bekend of en waar de gemeente gebruik wordt gemaakt van cameratoezicht.

Profilering, geautomatiseerde besluitvorming, big data en tracking

Profilering, geautomatiseerde besluitvorming, big data en tracking zijn voorbeelden van verwerkingsmethode die extra zorgvuldigheid en transparantie vragen. Voordat een van deze methode wordt toegepast of een bestaand proces wordt gewijzigd, zal de gemeente altijd een (aanvullende) DPIA uitvoeren en zullen passende maatregelen worden getroffen.