Gemeenteblad 2024, 37384 | Overheid.nl > Officiële bekendmakingen

Datum publicatie	Organisatie	Jaargang en nummer	Rubriek
23-01-2024 09:00	Heusden	Gemeenteblad 2024, 37384	beleidsregel

Privacyverklaring Gemeente Heusden 2023

Het college van Heusden,

BESLUIT:

vast te stellen het navolgende:

P rivacyverklaring gemeente Heusden 2023

De gemeente verwerkt persoonsgegevens om haar dienstverlening en wettelijke taken te kunnen uitvoeren. Dat begint op het moment van inschrijving bij de gemeente tot aan de aangifte van een overlijden. Als inwoner van de gemeente en soms ook als bezoeker van de gemeente, krijg je op verschillende manieren te maken met de gemeente. Denk bijvoorbeeld aan de gemeentelijke belastingaanslag, het vastleggen van een huwelijk en het beoordelen van een aanvraag voor een vergunning of zorgvoorziening.

In deze privacyverklaring beschrijven we hoe we omgaan met persoonsgegevens en welke rechten je hebt op het gebied van privacy.

1. Wetgeving en definities

Sinds 25 mei 2018 is in de hele Europese Unie dezelfde privacywetgeving van toepassing: de Algemene Verordening Gegevensbescherming (AVG). Op een aantal punten binnen de AVG is ruimte voor nationale keuzes. In Nederland zijn die keuzes uitgewerkt in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). De begrippen die in deze privacyverklaring worden gebruikt, komen overeen met de Definities volgens artikel 4 van de AVG.

2. Reikwijdte

Deze verklaring is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van de gemeente. Oftewel: voor alle verwerkingen die namens de gemeente plaatsvinden.

Voor politiegegevens geldt naast de AVG extra privacywetgeving. Zie hiervoor zowel het Beleid Wet politiegegevens als de aanvullende privacyverklaring Wet politiegegevens van gemeente Heusden.

3. Verantwoordelijke

De verantwoordelijke voor de verwerking van persoonsgegevens zoals bedoeld in de AVG, zijn de bestuursorganen van de gemeente. Dat zijn o.a. de burgemeester, het college van Burgemeester en Wethouders (college van B&W) en de Raad.

4. Persoonsgegevens

Volgens de AVG zijn persoonsgegevens alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Een betrokkene is de persoon op wie de persoonsgegevens betrekking hebben. De gemeente verwerkt persoonsgegevens om haar dienstverlening en wettelijke taken te kunnen uitvoeren. Afhankelijk van het doel, kunnen dit gewone persoonsgegevens zijn of bijzondere/gevoelige persoonsgegevens. Uitgangspunt bij de verwerking van persoonsgegevens is dataminimalisatie. Dat houdt in dat de verwerking van de gegevens moet passen bij het doel. Ook mogen er niet meer gegevens verwerkt worden dan noodzakelijk om het doel te bereiken.

4.1 Categorieën van persoonsgegevens

Gewone/gevoelige persoonsgegevens, zoals:

•
persoonlijke gegevens zoals naam, geboortedatum, geslacht, gezinssamenstelling;
•
contact gegevens zoals e-mail adres, telefoonnummer, adres;
•
identiteitsgegevens zoals identificatienummer, paspoortnummer, BTW-nummer, ZZP-er;
•
burgerservicenummer (BSN);
•
financiële gegevens;
•
arbeidsgegevens zoals functie en werktijden;
•
inloggegevens zoals gebruikersnaam, wachtwoord;
•
internetgegevens zoals IP-adres, online surfgedrag, cookies;
•
beeldmateriaal zoals video materiaal en audio materiaal;
•
locatiegegevens zoals lengtegraad, breedtegraad.

Bijzondere persoonsgegevens, zoals:

•
biometrische gegevens met het oog op unieke identificatie van de persoon;
•
strafrechtelijke persoonsgegevens;
•
gegevens over iemands gezondheid;
•
lidmaatschap van de vakbond;
•
politieke opvattingen;
•
ras of etnische afkomst;
•
religieuze of levensbeschouwelijke overtuigingen;
•
seksueel gedrag of seksuele gerichtheid.

4.2 Bron van de gegevens

De gemeente krijgt informatie van jou zelf, maar ontvangt ook informatie over jou uit andere bronnen.

Wanneer en van wie is afhankelijk van de specifieke situatie.

Voorbeelden:

•
basisregistraties, zoals:
- - Basisregistratie Personen
  - Basisregistratie Adressen en Gebouwen
  - Basisregistratie Waarde Onroerende Zaken
  - Basisregistratie Kadaster
  - Basisregistratie Inkomen (via SUWINET)
  - Basisregistratie Voertuigen (kentekenregister)
  - Handelsregister
•
interne clusters/teams
•
andere overheidsorganen, zoals Belastingdienst, UWV, SVB, CAK, DUO, politie
•
relevante hulpverleners van maatschappelijke organisaties
•
samenwerkingsverbanden zoals het Regionaal Informatie en Expertise Centrum (RIEC)
•
landelijk Bureau Bibob

5. Verwerkingen

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen.

In de AVG valt onder een verwerking:

•
verzamelen, vastleggen en ordenen;
•
bewaren, bijwerken en wijzigen;
•
opvragen, raadplegen, gebruiken;
•
verstrekken door middel van doorzending;
•
verspreiding of enige andere vorm van ter beschikkingstellen;
•
samenbrengen, met elkaar in verband brengen;
•
afschermen, uitwissen of vernietigen van gegevens.

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

5.1 Doeleinden

Persoonsgegevens mogen alleen verwerkt worden als daarvoor een doel is vastgesteld. Dat doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen alleen voor dat doel en daarmee verenigbare doelen worden verwerkt.

Zo gebruikt de gemeente bijvoorbeeld (persoons)gegevens om te onderzoeken of het gemeentelijk beleid goed werkt. Dat doen we om nieuw beleid te kunnen maken en om de kwaliteit van het beleid te bewaken. Om dit te kunnen onderzoeken moeten we soms gegevens combineren. Zo kunnen we bijvoorbeeld de leerplichtadministratie bekijken om te onderzoeken of nieuw beleid op het gebied van integrale jeugdhulp op een bepaalde school ook echt werkt. De resultaten van een dergelijk onderzoek zijn altijd anoniem.

Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Jeugdwet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden.

5.2 Rechtmatige grondslag

Voor elke verwerking van persoonsgegevens moet een rechtmatige grondslag zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

•
om een verplichting na te komen die in de wet staat;
•
voor de uitvoering van een overeenkomst waar de betrokkene onderdeel van is;
•
om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;
•
voor de goede vervulling van de gemeentelijke taak;
•
wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking;
•
op basis van een gerechtvaardigd belang van de verwerkingsverantwoordelijke.

Om haar dienstverlening en wettelijke taken te kunnen uitvoeren, verwerkt de gemeente persoonsgegevens op basis van de grondslag gemeentelijke taak (ook openbaar gezag of publieke taak genoemd).

Soms verwerkt de gemeente persoonsgegevens op een andere grondslag, zoals toestemming. Voorbeeld: het toesturen van een nieuwsbrief. Alleen als je je daarvoor aanmeldt, ontvang je de nieuwsbrief. Je kunt je eerder gegeven toestemming altijd weer intrekken.

In bepaalde gevallen verwerkt de gemeente persoonsgegevens op basis van een gerechtvaardigd belang. Daarbij wordt een belangenafweging gemaakt tussen het (privacy)belang van de betrokkenen ten opzichte van het belang van de gemeente. Dit kan alleen voor niet-publieke taken.

Voorbeelden:

•
Gebruik van bodycams door boa’s en handhavers (zie “Protocol gebruik bodycams gemeente Heusden”);
•
Cameratoezicht en opname van gesprekken (zie “Protocol cameratoezicht en opname gesprekken van gemeente Heusden”).

5.3 Wijze van verwerking

De gemeente zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Binnen de organisatie wordt toezicht gehouden op de rechtmatigheid van de gegevensverwerking. Een gegevensverwerking is rechtmatig als deze voldoet aan de eisen die de AVG, sectorspecifieke wetgeving en/of een (eventuele) Gedragscode stelt.

5.4 Delen met derden

Om ons werk goed te kunnen doen, werken we samen met verschillende partners, instellingen, aanbieders en andere overheidsinstellingen.

Met alle partijen waarmee we samenwerken, hebben we goede afspraken gemaakt over het beschermen van persoonsgegevens. Die afspraken staan in de wet of in een contract dat we met deze partijen hebben afgesloten.

Personen of organisaties die in onze opdracht persoonsgegevens verwerken, noemen we verwerkers. Dit zijn bijvoorbeeld leveranciers van (cloud)applicaties. Met een verwerker sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van persoonsgegevens. Gemeente Heusden blijft verantwoordelijk voor deze verwerkingen.

5.5 Doorgifte

De gemeente geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

5.6 Bewaartermijnen

De gemeente bewaart veel informatie. Die informatie is belangrijk voor de organisatie van de gemeente zelf, maar ook om te kunnen laten zien waarom de gemeente bepaalde dingen doet. Dit is nodig voor de publieke verantwoording, rechtsvinding en vanuit cultuur historisch oogpunt.

Er zijn daarom regels die er voor zorgen dat overheidsorganisaties hun informatie goed bewaren. Die regels staan in de Archiefwet en de regels zijn voor de gemeente uitgewerkt in de zogenaamde ‘selectielijst’. Daarin staat precies hoe lang de gemeente verschillende soorten informatie bewaart. Na die periode is de gemeente verplicht om de informatie te vernietigen. Hoe lang informatie bewaard wordt, hangt van het soort informatie af. En of de informatie bijvoorbeeld is gebruikt bij een rechtszaak. Sommige informatie mag zelfs nooit worden vernietigd en moet eindeloos worden bewaard.

Als voor een bepaalde verwerking geen wettelijke bewaartermijn is vastgelegd, bewaart de gemeente de gegevens niet langer dan noodzakelijk.

6. Privacyrechten van de betrokkenen

6.1 Informatierecht

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven, worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens om zal gaan. Dit kan bijvoorbeeld via een formulier gebeuren. Vaak staat op de aanvraagformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt. Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

6.2 Rechten van betrokkenen

De AVG kent rechten toe aan betrokkenen. Deze privacyrechten zijn bedoeld om je controle te laten houden over je persoonsgegevens.

Je kunt:

•
Inzage vragen in de persoonsgegevens die wij van jou vastgelegd hebben zodat je kunt controleren of die gegevens kloppen en goed in het systeem staan. Ook kun je controleren of wij jouw gegevens volgens de wet verwerken.
•
Ons vragen de persoonsgegevens te wijzigen, te verbeteren of aan te vullen als deze onvolledig zijn.
•
Ons vragen om de verwerking te beperken, gegevens te wissen of je kunt bezwaar maken tegen het vastleggen van de gegevens.
•
Je digitale gegevens in een digitaal bestand opvragen. Dit wordt ook wel ‘dataportabiliteit’ genoemd. Dat kan alleen als de vastlegging van deze gegevens is gebeurd op grond van een overeenkomst of op basis van uw toestemming. Dat is bij de gemeente bijna nooit het geval.

6.3 Indienen van verzoek

Je kunt je verzoek digitaal indienen via het formulier op onze website, je logt in via DigiD. Je kunt ook bij de gemeente langs komen om een inzageformulier in te dienen. Neem dan je identiteitsbewijs mee. Voordat we je verzoek in behandeling kunnen nemen, moeten we je identiteit controleren.

Als je jonger dan 16 jaar bent of onder curatele staat, dan kan alleen je wettelijk vertegenwoordiger namens jou een beroep doen op jouw privacyrechten. Dit geldt ook als voor jou een bewind of mentorschap is ingesteld. Het moet dan wel gaan over een aangelegenheid waarvoor jij onbekwaam dan wel onbevoegd wordt geacht.

6.4 Behandelen van een verzoek

Na het verifiëren van je identiteit nemen wij jouw verzoek in behandeling. We kijken of je verzoek voldoet aan de wet- en regelgeving. Is dat het geval en je verzoek is duidelijk, dan handelen we je verzoek binnen een maand af. Het kan zijn dat we nog aanvullende vragen hebben over je verzoek: dan nemen we contact op. Heb je een heel uitgebreid of ingewikkeld verzoek? Dan kan het zijn dat we iets langer nodig hebben om aan je verzoek te voldoen. Dat laten we je tijdig weten.

Soms kunnen we je verzoek (gedeeltelijk) weigeren. Bijvoorbeeld als de weigering noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid, de voorkoming, opsporing en vervolging van strafbare feiten. Of om de rechten en vrijheden van anderen te beschermen.

Als je verzoek niet (volledig) wordt opgevolgd, heb je de mogelijkheid bezwaar te maken bij de gemeente. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens (AP).

7. Plichten van de gemeente

7.1 Register van verwerkingen

De gemeente is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de gemeente de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

•
de naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;
•
de doelen van de verwerking;
•
een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
•
een beschrijving van de ontvangers van de persoonsgegevens;
•
een beschrijving van het delen van persoonsgegevens aan een ander land of internationale organisatie;
•
de termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
•
een algemene beschrijving van de beveiligingsmaatregelen.

7.2 Gegevensbeschermingseffectbeoordeling (GEB)

Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een privacy Impact Assessment (PIA). De gemeente voert zo’n PIA uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

7.3 Functionaris voor gegevensbescherming (FG)

De gemeente heeft een FG aangesteld. De FG is een onafhankelijke adviseur en toezichthouder die binnen de organisatie o.a. controleert of de gemeente zich houdt aan de privacyregels. Binnen de gemeente zijn de clusters zelf verantwoordelijk voor het goed omgaan met privacygevoelige informatie. Heb je een vraag of een klacht over de manier waarop de gemeente Heusen omgaat met je persoonsgegevens? Neem dan contact op met onze Functionaris voor de Gegevensbescherming via het formulier op onze website.

7.4 Meldplicht datalekken

Bij een datalek gaat het om toegang tot persoonsgegevens, zonder dat dit mag of zonder dat dit de bedoeling is. De oorzaak is een beveiligingsincident. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n incident valt onder een datalek.

De gemeente registreert alle gesignaleerde datalekken. Als een datalek een (mogelijk) risico inhoudt voor de betrokkenen (de personen van wie de gegevens zijn gelekt), dan melden we het datalek binnen 72 uur bij de Autoriteit Persoonsgegevens. Is er sprake van een hoog risico voor de betrokkenen, dan worden ook de betrokkenen zelf geïnformeerd, tenzij dat niet hoeft volgens de AVG. Denk bij hoog risico aan o.a. mogelijke identiteitsfraude.

Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

7.5 Beveiliging persoonsgegevens

De gemeente Heusden heeft een informatiebeveiligings- en privacybeleid opgesteld. We hebben passende technische en organisatorische maatregelen genomen om je persoonsgegevens te beschermen tegen onopzettelijke of moedwillige manipulatie, verlies, vernietiging of tegen inzage door onbevoegden. Dit doen we zoals in de Baseline Informatiebeveiliging Overheid (BIO) is vastgelegd.

De BIO bevat regels over een goede beveiliging van informatie voor gemeenten, rijk, waterschappen en provincies. Hierover leggen we jaarlijks verantwoording af. Van onze partners en leveranciers eisen wij hetzelfde niveau van beveiliging.

Denk bijvoorbeeld aan:

•
Gegevens worden via een beveiligde verbinding verzonden op het moment dat je gebruikmaakt van een online formulier op de website van de gemeente Heusden;
•
Het bepalen wie er vanuit zijn of haar functie toegang tot bepaalde gegevens mag hebben. Wie dit niet nodig heeft voor zijn of haar functie, krijgt geen toegang.
•
Medewerkers hebben een geheimhoudingsplicht en moeten bij indiensttreding een Verklaring omtrent het Gedrag (VOG) overleggen.
•
Het organiseren van trainingen voor onze medewerkers onder andere over veilig werken en hoe om te gaan met persoonsgegevens.

8. Geautomatiseerde verwerkingen

8.1 Geautomatiseerde besluitvorming

Gemeente Heusden maakt geen gebruik van geautomatiseerde besluitvorming en profilering.

8.2 Big data onderzoek en tracking

Gemeente Heusden maakt gebruik van big data en tracking. Tracking is het volgen van mobiele datadragers zoals telefoons, bijvoorbeeld door Wifi- of bluetooth apparatuur waarbij (persoons)gegevens worden verzameld uit die datadragers.

Dit doen wij onder de volgende voorwaarden:

•
gegevens in big data en tracking mogen alleen worden verzameld, opgeslagen en gedeeld, als ze niet herleidbaar zijn tot een persoon en worden alleen verzameld voor onderzoek dat door of namens gemeente wordt uitgevoerd;
•
voor big data en tracking wordt uitsluitend gebruik gemaakt van brongegevens die door daartoe geautoriseerde personen zijn verzameld;
•
brongegevens die gebruikt worden voor big data toepassingen worden omgezet tot een dataset die geen persoonsgegevens bevat en dus geanonimiseerd is;
•
met big data wordt alleen ethisch verantwoord onderzoek uitgevoerd;
•
indien het noodzakelijk is om van bullet 3 af te wijken wordt vooraf toestemming aangevraagd bij de functionaris gegevensbescherming die de aanvraag zal beoordelen in het kader van de wet en doelmatigheid. Alleen bij een goedgekeurde aanvraag mogen de gegevens gepseudonimiseerd in plaats van geanonimiseerd worden;
•
onderzoek aan de hand van de dataset als bedoeld onder bullet 3, mag alleen door andere dan de onder bullet 2 bedoelde geautoriseerde personen worden uitgevoerd.

8.3 Inzet van camera’s

Gemeente Heusden maakt gebruik van cameratoezicht onder de volgende voorwaarden:

•
cameratoezicht in de openbare ruimte of waarbij de openbare ruimte geheel of gedeeltelijk in beeld wordt gebracht ten behoeve van de openbare orde of veiligheid vindt alleen door of namens de gemeente plaats, na een daartoe strekkend besluit van het college van burgemeester en wethouders;
•
camerabewaking kan tevens door particuliere bedrijven worden uitgeoefend onder voorwaarde dat indien er camera’s in de openbare ruimte worden geplaatst dan wel delen van de openbare ruimte in beeld worden gebracht, er een daartoe strekkend besluit door of namens het college van burgemeester en wethouders is genomen en er een convenant met de verantwoordelijke is gesloten voorafgaande aan de verwerking;
•
het convenant zoals bedoeld in het tweede bullet gaat in ieder geval in op:
- - de grondslag voor de verwerking van persoonsgegevens;
  - het verzamel- en verwerkingsdoel;
  - de organisatorische en technische maatregelen die worden getroffen tegen verlies of onrechtmatige verwerking;
  - de bewaartermijn;
  - de wijze waarop voldaan wordt aan de meldplicht datalekken.
•
bij inzet van camera’s voor andere gemeentelijke doeleinden dient voorafgaand aan deze inzet advies te worden gevraagd aan de functionaris voor de gegevensbescherming.
•
voor de autorisatie tot en het gebruik van camerabeelden is een protocol opgesteld.

8.4 Open data

Hergebruik van gegevens zoals bedoeld in de Wet hergebruik van overheidsgegevens via het aanbieden van open data door de gemeente gebeurt met inachtneming van de AVG en deze verklaring. Een openbare dataset bevat geen gegevens die herleidbaar zijn naar een persoon.

8.5 Gebruik van elektronische chip

De gemeente kan voor specifieke doeleinden elektronische chips gebruiken voor het identificeren van een object en het gebruik ervan. Hierbij worden de volgende regels gehanteerd:

•
bij inzet van chips is voorafgaand hieraan goedkeuring van het college gegeven;
•
voor de autorisatie tot het gebruik van elektronische chips en hieraan verbonden gegevens is een protocol vastgesteld.

9. Klachtafhandeling

Heb je vragen over de verwerking van je persoonsgegevens of heb je een klacht, dan helpen we je graag. Neem hiervoor direct contact opnemen met onze Functionaris voor de Gegevensbescherming (FG) via het contactformulier op onze website.

Mocht je er desondanks niet uitkomen, dan heb je op grond van de AVG het recht om een klacht in te dienen bij de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP). Zie voor meer informatie de website van de AP: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap.

Afsluiting

Deze privacyverklaring treedt in werking één dag na publicatie.

Met de inwerkingtreding van deze verklaring komt het “Privacyreglement 2018” te vervallen.

Aldus besloten in de vergadering van het college van Heusden op 9 januari 2024.

Het college van Heusden,

de secretaris,

mr. H.J.M. Timmermans

de burgemeester,

drs. W. van Hees

Berichten over uw Buurt

Dienstverlening

Beleid & regelgeving

Contactgegevens overheden

Gemeenteblad van Heusden

Inhoudsopgave

Extra informatie

Gerelateerd

Geconsolideerde regelgeving

Publicaties referendum

Inhoudsopgave

Extra informatie

Gerelateerd

Geconsolideerde regelgeving

Publicaties referendum

Permanente link

Disclaimer