Privacybeleid gemeente Eersel 2024-2025

het college van de gemeente Eersel

 

gelet op het artikel 4:81 van de Algemene wet bestuursrecht;

 

 

b e s l u i t

 

 

vast te stellen de volgende beleidsregel:

 

Privacybeleid gemeente Eersel 2024-2025

 

Inleiding

 

Binnen de gemeente Eersel wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de gemeentelijke wettelijke taken. De burger moet erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met de persoonsgegevens omgaat.

 

De gemeente gaat mee met nieuwe ontwikkelingen. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. De gemeente is zich hier van bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen te treffen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

 

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy. De gemeente Eersel geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente.

 

Dit privacybeleid van de gemeente Eersel is in lijn met het algemene beleid van de gemeente en de relevante lokale, regionale, nationale en Europese wet- en regelgeving. Voor het sociaal domein is een specifiek beleid opgesteld. In het “Privacybeleid 2022-2025 GRSK” en “Privacybeleid KempenPlus Het Participatiebedrijf 2022 – 2025” is aangeven hoe wordt omgegaan met privacygevoelige informatie. Dit meer specifieke beleid voldoet aan de uitgangspunten van dit algemene privacybeleid en het algemene privacyreglement Gemeente Eersel.

 

Wettelijke kaders

De gemeente is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

  • Europese Algemene Verordening Gegevensbescherming (AVG)

  • Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)

  • Grondwet (artikel 10 t/m 13)

  • Handvest van de grondrechten van de Europese Unie (EHRM)

  • Europees Verdrag voor de Rechten van de Mens (EVRM) (artikel 8)

  • Wet politiegegevens (Wpg) en het Besluit politiegegevens

  • Wet justitiële en strafvorderlijke gegevens

  • Wet Bibob

 

Wetten gericht op de uitvoering in specifieke sectoren zoals:

  • Wet maatschappelijke ondersteuning (WMO)

  • Jeugdwet

  • Participatiewet

  • Wet Basisregistratie Personen (BRP)

  • Omgevingswet

  • Wet openbaarheid van bestuur (Wob) en vanaf 1 mei 2022 Wet open overheid (Woo)

  • Archiefwet

  • Drank- en Horecawet

  • Het wetboek van Strafrecht

 

Verantwoordelijkheden

De secretaris is eindverantwoordelijk voor gegevensverwerking en informatiebeveiliging die binnen de ambtelijke organisatie plaatsvinden, maar iedereen, elke medewerker, binnen de ambtelijke organisatie is verantwoordelijk voor de bescherming van de privacy van betrokkenen.

 

De gemeenteraad is eindverantwoordelijk voor gegevensverwerking en informatiebeveiliging die door de griffie plaatsvindt. De raadsleden en medewerkers van de griffie zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen.

 

Onderstaande tabel brengt de verantwoordelijkheden in beeld.

 

Verantwoordelijk

Eindverantwoordelijk

Gemeenteraad

College van Burgemeester en Wethouders

Burgemeester

Secretaris

Feitelijk verantwoordelijk

Griffier

Afdelingshoofden

Uitvoerend

Team coördinator

Griffie

Functioneel beheerders

Projectleiders

Proceseigenaren

Medewerkers (inclusief inhuur/extern)

Adviserend / ondersteunend

Functionaris Gegevensbescherming

Privacy Officer

CISO

Controlerend

Concerncontroller

Functionaris Gegevensbescherming

OR

Geïnformeerd

Belanghebbende/betrokkene(n)

 

 

Risico’s

Op basis van de AVG is bij schending van privacy het college van burgemeester en wethouders wettelijk aansprakelijk. De risico’s van schending van de privacy voor personen variëren van ongemak, substantiële benadeling, identiteitsfraude, ernstige sociale beschadiging of gevaren voor de gezondheid en de persoonlijke veiligheid.

Het verwijtbaar onjuist inzetten of onvoldoende beschermen van persoonsgegevens kan leiden tot dwangmaatregelen en bestuurlijke boetes die de Autoriteit Persoonsgegevens (AP), de landelijke toe- zichthouder, kan opleggen. Een boete kan oplopen tot maximaal €20 miljoen. Het directieteam en het managementteam spelen een cruciale rol bij het waarborgen van privacy. Om de risico’s te beperken zijn maatregelen getroffen die zijn vastgelegd in het privacyreglement.

 

Uitgangspunten

De gemeente Eersel gaat op een veilige manier en respectvolle manier met persoonsgegevens om en heeft technische en organisatorische maatregelen getroffen om de privacy en persoonsgegevens van haar burgers te beschermen. In de uitoefening van haar publiekrechtelijke taak houdt zij zich aan de wet en zoekt waar mogelijk de ruimte om de privacybelangen van zowel de burger als de doelstellingen van de gemeente naar beste inzicht te behartigen. De gemeente houdt zich hierbij aan de volgende uitgangspunten:

 

Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Zorgvuldige en behoorlijke verwerking houdt in ieder geval een transparantieplicht in. De burgers, medewerkers en andere personen die op de een of andere manier te maken hebben met de gemeente moeten weten dat en waarom hun gegevens worden verwerkt.

Een AVG verzoek kan via de gemeentelijke website worden ingediend door de burger.

 

Grondslag en doelbinding

De gemeente Eersel zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt. Verwerkingen met de daar bijbehorende grondslag zijn terug te vinden in het gemeentelijke verwerkingsregister.

 

Data Privacy Impact Assessments (DPIA)

De gemeente Eersel voert risicoanalyses uit (DPIA) op verwerkingen die mogelijk een verhoogd risico opleveren.

 

Privacy by Design en Privacy by Default

De gemeente Eersel houdt bij de start van het ontwerpen of inrichten van projecten, informatiesystemen, datasets rekening met Privacy en Informatiebeveiliging.

 

De gemeente Eersel heeft de inrichting, instellingen van projecten, programma’s, website(s) of diensten dusdanig georganiseerd dat maximale privacy en informatiebeveiliging wordt geborgd.

 

Verwerkersovereenkomsten met derden

De gemeente Eersel maakt gebruik van derde partijen in de uitvoering van werkzaamheden waartoe zij zelf geen mogelijkheden bezit. Hierbij valt te denken aan leveranciers van software, netwerkdiensten, dataopslag. De gemeente maakt alleen gebruik van derde partijen als verwerkers van persoonsgegevens (aantoonbaar) voldoende garanties kunnen bieden om de verwerking van (persoons)gegevens te laten voldoen aan de AVG-vereisten. Hiervoor wordt zoveel mogelijk gebruik gemaakt van de modelovereenkomst van VNG-realisatie.

 

Dataminimalisatie

De gemeente Eersel verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

 

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is (conform AVG en Archiefwet). Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

 

Integriteit en vertrouwelijkheid

De gemeente Eersel gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door bevoegde personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Indien het doel is behaald zullen gegevens niet langer worden bewaard dan wettelijk vereist is of worden gewist. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het “informatiebeveiligings-beleid Kempengemeenten en de GRSK”.

 

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de gemeente afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Indien er aanleiding is zal er controle uitgevoerd worden door de gemeente op bestaande afspraken. Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding met het voor de verwerking te dienen doel.

 

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

 

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

 

Rechten van betrokkenen

De gemeente honoreert alle rechten van betrokkenen zoals bepaald in de AVG.

 

Intrekking oude beleidsregel

De beleidsregel Privacybeleid gemeente Eersel 2022 wordt ingetrokken.

 

Inwerkingtreding en citeertitel

  • 1.

    Deze beleidsregel treedt in werking de dag na de bekendmaking en werkt terug tot en met 1 januari 2024.

  • 2.

    Deze beleidsregel wordt aangehaald als: Privacybeleid gemeente Eersel 2024-2025.

 

Aldus besloten in de vergadering van het college van Eersel op 30 januari 2024

burgemeester en wethouders van Eersel,

de secretaris, ing. H.M.L. Offermans

de burgemeester, drs. W.A.C.M. Wouters

Naar boven