Gemeenteblad van Lansingerland
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Lansingerland | Gemeenteblad 2024, 74526 | beleidsregel |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Lansingerland | Gemeenteblad 2024, 74526 | beleidsregel |
Privacybeleid Gemeente Lansingerland
Dit beleid schetst het kader om de privacybelangen van burgers van de gemeente Lansingerland (hierna: de gemeente) goed te borgen. Het beschermen van de privacy van onze bewoners en medewerkers is voor de gemeente een wettelijke plicht. Het College van Burgemeester en Wethouders (hierna: College van B&W), de gemeenteraad en de burgemeester zijn eindverantwoordelijk voor de juiste uitvoering van de Algemene Verordening Gegevensbescherming. Met dit beleid worden er concrete handvatten geboden om invulling te geven aan deze wettelijke plicht en wordt duidelijk hoe de gemeente omgaat met de persoonsgegevens die de gemeente verwerkt.
De gemeente heeft als publieke organisatie een bijzondere verantwoordelijkheid om de privacy van bewoners te waarborgen. Binnen de maatschappij heeft de gemeente een voorbeeldfunctie en werkt het vaak met gevoelige gegevens van bewoners. Gemeentelijke dienstverlening omvat verschillende services en interacties tussen een gemeente en haar inwoners, zoals het verstrekken van vergunningen, het verwerken van belastingen, het handhaven van de openbare orde en meer. In deze dienstverlening wordt veel persoonlijke informatie verwerkt, wat kan leiden tot een spanningsveld tussen het leveren van efficiënte en effectieve diensten en het beschermen van de privacy van individuen. Het navigeren van het spanningsveld tussen gemeentelijke dienstverlening en privacy is van vitaal belang om het evenwicht te bewaren tussen het bieden van essentiële diensten en het beschermen van de privacy van individuen. Doordacht privacybeleid stelt de gemeente in staat om zowel de behoeften van bewoners te dienen als te voldoen aan de wettelijke en ethische verplichtingen met betrekking tot de bescherming van persoonsgegevens.
Het doel van dit privacybeleid is om te beschrijven hoe de gemeente invulling geeft aan privacy management zodat de medewerkers van de gemeente begrijpen waarom privacy management nodig is en hoe ze dit vorm moeten geven.
Het doel van privacy management is vervolgens om het controleerbaar en aantoonbaar te maken hoe de gemeente het bovengenoemde spanningsveld navigeert en hoe daarmee aan de privacywetgeving wordt voldaan. Met adequaat privacy management wordt beoogd dat het proces van gegevensverwerking binnen de gemeente duidelijk en controleerbaar is. De gemeente kan zo privacy risico’s beheersen. Dit betekent concreet dat persoonsgegevens (in het geval van de Algemene Verordening Gegevensbescherming) en politiegegevens (in het geval van de Wet Politiegegevens) rechtmatig, behoorlijk en transparant worden verwerkt. Een rechtmatige, behoorlijke en transparante verwerking betekent onder andere dat er een grondslag moet zijn waarop de gemeente de gegevens verzamelt en verwerkt, de verwerking noodzakelijk is om de doelen van de gemeente omtrent goede dienstverlening te bereiken én dat dit duidelijk naar de betrokkene moet worden gecommuniceerd. Dit rechtmatig, behoorlijk en transparant werken is gestoeld op de uitgangspunten van de gemeente Lansingerland om een sterke digitale dienstverlening te bieden en een transparante en open overheid te zijn.1
Dit beleid is van toepassing op alle bestuurders, de gemeenteraad, en medewerkers van de gemeente Lansingerland, zowel intern als externe medewerkers en zowel in vaste als tijdelijke dienst.
Het privacybeleid is van toepassing op alle processen en verwerkingen die plaatsvinden onder verantwoordelijkheid van de gemeente binnen de geldende wet- en regelgeving op het gebied van gegevensbescherming.
Onder dit privacybeleid vallen in ieder geval:
Voor dit privacybeleid is de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Wet Politiegegevens (Wpg) de voornaamste relevante wetgeving. Er is daarnaast andere relevante privacy- en materiewetgeving die de gemeente dient na te leven. Denk bijvoorbeeld aan de Wet basisregistratie personen, de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI) en de Archiefwet. In deze wettelijke context wordt de meest bepalende wetgeving toegelicht: de AVG en de Wpg.
De AVG is een Europese verordening die het Europese grondrecht op de bescherming van persoonsgegevens uitwerkt. Regels voor de verzameling, verwerking en opslag van persoonsgegevens zijn hierin vastgelegd. Evenals de rechten van individuen met betrekking tot hun gegevens. De gemeente moet ervoor zorgen dat uitvoering wordt gedaan aan deze regelgeving.
De Wet Politiegegevens (hierna: Wpg) is een Nederlandse wet die specifiek van toepassing is op de verwerking van politiegegevens door politie, bijzondere opsporingsdiensten en buitengewoon opsporingsambtenaren (boa’s). Politiegegevens zijn persoonsgegevens die verwerkt worden in het kader van een opsporingstaak. De Wpg stelt regels vast voor de verzameling, verwerking en uitwisseling van politiegegevens.
Om de balans te vinden tussen de doelstelling van de gemeente om de burger optimaal te ondersteunen én conform de geldende wet- en regelgeving op het gebied van privacy te werken, hanteert de gemeente een aantal uitgangspunten. Deze uitgangspunten helpen het bestuur, de directie, het management en de medewerkers om de balans te vinden in het spanningsveld tussen het leveren van efficiënte en effectieve diensten en het beschermen van de privacy van individuen.
Risico gebaseerd. De gemeente Lansingerland baseert de activiteiten en besluitvorming op een systematische en strategische beoordeling van risico’s. Het doel is om de beschikbare middelen en inspanningen zo effectief mogelijk in te zetten op de gebieden met de grootste risico’s, om zo effectiever en efficiënter te zijn in het bereiken van de gemeentelijke doelstellingen. De gemeente Lansingerland acteert niet op elk risico, maar maakt na een risicoanalyse een afweging welke risico’s prioriteit hebben om op te pakken.
Continu verbeteren. De gemeente Lansingerland werkt volgens de PDCA-cyclus. PDCA staat voor plan, do, check, act. Dit houdt in dat de gemeente Lansingerland continu bezig is met verbeteren en het sturen op kwaliteitsmanagement. De PDCA-cyclus biedt een gestructureerde methode om processen te plannen, uit te voeren, te controleren en indien nodig aan te passen. Het werken met de PDCA-cyclus vereist betrokkenheid van alle relevante belanghebbenden en een cultuur van leren en verbeteren binnen alle lagen van de gemeente. Door systematisch gebruik te maken van de PDCA-cyclus kan de gemeente haar dienstverlening verbeteren, processen optimaliseren en beter inspelen op veranderende behoeften en uitdagingen.
Verantwoordelijk. Eindverantwoordelijk zijn de bestuursorganen voor de verwerkingen. De medewerkers zijn medeverantwoordelijk voor het naleven van relevante wet- en regelgeving, in dit geval de AVG en de Wpg. Medewerkers zijn verantwoordelijk om op de hoogte te zijn van de wettelijke kaders van gegevensverwerking en om daarbinnen te werken. Teammanagers stellen medewerkers in staat om deze verantwoordelijkheid te nemen en zijn verantwoordelijk om te toetsen en te borgen dat dit gebeurt. Alle processen en verwerkingen hebben één proceseigenaar binnen de gemeente. De primaire verantwoordelijkheid voor privacy en het in kaart brengen van risico’s binnen verwerkingen ligt bij de proceseigenaar (zie hoofdstuk 2.3.2).
Transparantie. De gemeente hanteert een open cultuur waarin risico’s transparant zijn en bespreekbaar worden gemaakt. Daarnaast communiceert de gemeente open en eerlijk met haar inwoners en belanghebbenden over hoe persoonsgegevens worden verzameld, verwerkt en gebruikt. Dit principe speelt een cruciale rol voor de gemeente bij het opbouwen van vertrouwen richting de bewoners van de gemeente en het waarborgen van de privacy van individuen.
Deze uitgangspunten implementeert de gemeente in haar bedrijfsvoering aan de hand van het Three Lines Model (oftewel het drie linies model). Het Three Lines Model is een organisatorisch raamwerk dat verantwoordelijkheden verdeelt tussen de eerste lijn (operationele afdelingen), tweede lijn (privacy en compliance) en derde lijn (Functionaris Gegevensbescherming (FG) en onafhankelijke audit). Het doel is het bevorderen van effectief risicomanagement, naleving van regelgeving en interne controle, waarbij elke lijn een specifieke rol speelt in het identificeren, beheersen en bewaken van risico's.
De eerste lijn, bestaande uit gemeentelijke diensten, identificeert en beheert dagelijkse privacy risico’s bij gegevensverwerking. De tweede lijn, bestaande uit privacy medewerkers, bewaakt en ondersteunt de implementatie van privacybeleid en -normen. De derde lijn, de FG en onafhankelijke audit, evalueert onafhankelijk de doeltreffendheid van het privacymanagement:
Dit model zorgt voor een gestructureerde aanpak voor privacy management, waarbij de nadruk ligt op naleving van privacywetgeving en de bescherming van persoonsgegevens.
2.3 Rollen en verantwoordelijkheden
In dit hoofdstuk wordt de privacy governance met de bijbehorende rollen en verantwoordelijkheden beschreven. Met de beschrijving van deze rollen en verantwoordelijkheden wordt verder aangeduid hoe er binnen de gemeente Lansingerland wordt gestuurd op het borgen van privacy. In een onderliggend uitvoeringskader wordt invulling gegeven aan de taken die horen bij de rollen en verantwoordelijkheden binnen de privacy governance.
Het College van B&W, de gemeenteraad en de burgemeester zijn ieder verwerkingsverantwoordelijke voor hun ‘eigen’ verwerkingen. Alle drie zijn wettelijk eindverantwoordelijk. In de dagelijkse werkzaamheden ligt deze verantwoordelijkheid bij de directie, met als hoogste uitvoeringsverantwoordelijke de gemeentesecretaris. Ten aanzien van de gemeenteraad is de griffier de uitvoeringsverantwoordelijke. De directie delegeert op hun beurt de verantwoordelijkheid aan de teammanagers, die de teams aansturen. Als privacy binnen de teams in de gemeente onvoldoende wordt geborgd, zal de betreffende directeur in actie moeten komen en de capaciteit inzetten op basis van het hoogste privacy risico. Elke medewerker van de gemeente is medeverantwoordelijk voor een geslaagde uitvoering van het privacybeleid. Medewerkers worden daartoe opgeleid en ook op managementniveau is hier structureel aandacht voor. Het College van B&W, de gemeenteraad en de burgemeester blijven eindverantwoordelijk voor de verwerkingen van gegevens van zowel burgers, medewerkers als derden, en voor de vereiste privacyborging op organisatieniveau. De rollen en verantwoordelijkheden worden hieronder weergegeven:
De proceseigenaar is degene die verantwoordelijk is voor een bedrijfsproces en vanuit deze rol regisseur is. De proceseigenaar zorgt ervoor dat een proces van begin tot einde optimaal uitgevoerd wordt. Dit geldt ook als een proces team- of domein overstijgend is. Op het vlak van privacy stelt de proceseigenaar eisen waar het proces en onderliggende systemen aan dienen te voldoen. De proceseigenaar is verantwoordelijk voor het toezicht op de naleving van dit privacybeleid. De griffie verwerkt persoonsgegevens. Het privacybeleid is daarom ook van toepassing op de griffie. De griffier is in dit kader te beschouwen als proceseigenaar.
De uitvoering van het privacybeleid, zowel voor de AVG als de Wpg, is een verantwoordelijkheid van het lijnmanagement. Alle verwerkingen binnen de gemeente hebben een eigenaar die het proces bewaakt en fungeert als aanspreekpunt, dit is de proceseigenaar. Het kan voorkomen dat een proceseigenaar het proceseigenaarschap mandateert aan een sub proceseigenaar binnen de gemeente. Bij mandatering blijft de mandaatgever verantwoordelijk voor de privacy bestendigheid van de verwerking.
Bij de privacy governance van de gemeente is de teammanager de proceseigenaar van de verwerkingen binnen een team. De teammanager is verantwoordelijk voor de verwerkingen die plaatsvinden binnen het team. Bij een nieuwe of veranderende verwerking van persoonsgegevens binnen het team is de teammanager verantwoordelijk voor het contact leggen met de tweede lijn. Op basis van de risico gebaseerde werkwijze van de gemeente wordt er samen met de tweede lijn een inschatting gemaakt van het potentiële risico dat de gemeente Lansingerland en de betrokkenen lopen. Hiervoor wordt een risico analyse (in de vorm van een DPIA) uitgevoerd. De teammanager kan de rol van proceseigenaar onderverdelen binnen het team, maar blijft feitelijk verantwoordelijk en aanspreekpunt in relatie tot de tweede lijn. Als een verwerking wordt uitbesteed aan een externe leverancier, of er wordt samengewerkt met een externe leverancier, blijft de teammanager van het team waar de verwerking binnen valt verantwoordelijk.
De proceseigenaar heeft een actieve rol in het contact met externe partijen. In het geval van uitwisselingsverbanden, samenwerken in samenwerkingsverbanden of het uitbesteden van processen, maakt de proceseigenaar afspraken met de externe partij. De proceseigenaar is verantwoordelijk om de naleving van deze afspraken te controleren. Dit gebeurt in samenwerking met de tweede lijn.
2.3.3 College van B&W, gemeenteraad en burgemeester
Alle bestuursorganen van de gemeente Lansingerland zijn zelf ‘verwerkingsverantwoordelijke’ in de zin van de AVG. Het College van B&W, de gemeenteraad en de burgemeester zijn verwerkingsverantwoordelijke voor de gemeente. Het College van B&W stelt vanuit de rol als portefeuillehouder privacy, middels de vaststelling van het privacybeleid, uitgangspunten, richtlijnen en protocollen met betrekking tot privacy vast. Deze kaders worden gesteld aan de hand van landelijke en Europese wet- en regelgeving, jurisprudentie en normenkaders. Het College van B&W stimuleert het management van de organisatieonderdelen om voldoende technische en organisatorische maatregelen te nemen om persoons- en politiegegevens te beschermen.
De lijn tussen het College van B&W en de FG moet kort zijn. Het is hier van belang dat het College van B&W ervoor zorgt dat de FG naar behoren en tijdig wordt betrokken bij de verwerking van persoonsgegevens. Ook moet de FG volledig worden geïnformeerd over aspecten van de bedrijfsvoering binnen de gemeente waarbij persoons- en politiegegevens worden verwerkt of wanneer daartoe voornemens bestaan.
2.3.4 De tweedelijns privacy rollen
In de tweede lijn privacy is er een onderverdeling in drie rollen gemaakt. Zij stellen de kaders waarbinnen de eerste lijn werkt. Als tweede lijn hebben zij de verantwoordelijkheid om de eerste lijn te ondersteunen en adviseren in hun werkzaamheden. Hier hoort adviseren bij privacy incidenten bij, maar ook het ondersteunen van de klachten coördinator bij privacy gerelateerde klachten. Ook hebben de tweedelijns privacy rollen een controlerende en monitorende rol door te ondersteunen in het formuleren van de beheersmaatregelen. Ten slotte is de tweede lijn verantwoordelijk voor een overzicht waar privacy staat binnen de gemeente (bijvoorbeeld aan de hand van een privacy jaarverslag). Hoe de tweedelijns privacy rollen en verantwoordelijkheden worden uitgevoerd in taken, wordt toegelicht in het uitvoeringskader.
De senior jurist privacy is op juridisch gebied verantwoordelijk voor de privacy compliance van de gemeente. De senior privacy jurist houdt hierbij vooral de grote lijnen in zicht: het opstellen en implementeren van het privacybeleid en het opstellen van het jaarverslag en de uitvoering hiervan.
De privacy officer is verantwoordelijk voor de uitvoering van de privacy taken. Dit zijn taken als het adviseren bij verwerkersovereenkomsten, begeleiden van DPIA’s, behandelen van verzoeken tot uitvoering van rechten van betrokkenen en het behandelen van datalekken. Samen met de chief information security officer (CISO), information security officer (ISO) en de FG neemt de privacy officer en de senior jurist privacy plaats in het periodieke Privacy en Informatiebeveiliging Team (PIT).
De medewerker privacy heeft een ondersteunende rol: het helpen bij de uitvoering van de taken die bij de senior jurist privacy en de privacy officer horen. Daarnaast is deze medewerker verantwoordelijk voor het bijhouden van de actielijst en voor de overige administratieve taken.
2.3.5 Functionaris Gegevensbescherming
De Functionaris voor Gegevensbescherming is de interne toezichthouder van gemeente Lansingerland op de naleving van de AVG en de Wpg binnen de gemeente. De FG is geregistreerd bij de Autoriteit Persoonsgegevens en is het contactpunt voor betrokkenen, toezichthoudende autoriteiten en andere belanghebbenden met betrekking tot gegevensbescherming.
Binnen de gemeente Lansingerland is de FG het advies en informatiepunt in relatie tot de naleving van de AVG. De FG heeft een directe lijn met het College en informeert en adviseert het College, de eerste en tweede lijn gevraagd en ongevraagd met betrekking tot gegevensbescherming. De zienswijze van de FG is zwaarwegend en geldt als de manier waarop de gemeente Lansingerland de AVG naleeft.
In het uitvoeringskader worden de taken van de FG verder uitgelicht, hieronder is een overzicht van de taken van de FG opgenomen. De FG:
3.1 Invulling van privacymanagement
3.1.1 Privacy framework en de beheersmaatregelen
De gemeente geeft invulling aan privacy management door het implementeren van een gestructureerd privacy framework dat richtlijnen en procedures biedt voor de omgang met persoonsgegevens. Dit framework omvat duidelijke normen en richtlijnen die van toepassing zijn op alle aspecten van gegevensverwerking binnen de gemeente. Binnen dit framework worden beheersmaatregelen vastgesteld om risico's te minimaliseren en de bescherming van persoonsgegevens te waarborgen. Deze beheersmaatregelen omvatten technische, organisatorische en procedurele aspecten, zoals het versleutelen van gevoelige gegevens, het instellen van toegangsbeperkingen en het regelmatig evalueren, en indien nodig, bijwerken van privacybeleid.
Gemeente Lansingerland hanteert een privacy framework dat is gebaseerd op relevante normen op het gebied van privacy en informatiebeveiliging: het Privacy en Informatieveiligheid (PIV) framework. Dit framework is een verzameling van alle relevante wet- en regelgeving op het gebied van privacy en informatiebeveiliging zoals de privacy baseline van het Centrum Informatiebeveiliging en Privacy (CIP), de Wpg, de VNG Criteria borging AVG 2.0 én de ISO27701. De privacy baseline van het CIP is een vertaling van de AVG voor overheidsorganisaties. De beheersmaatregelen die zijn opgenomen zijn vertalingen van normen als de privacy baseline, de Wpg, de VNG criteria borging AVG 2.0 én de ISO27701.
De beheersmaatregelen (genaamd SMART-controls in Recourse) worden continu gemonitord door periodiek in de organisatie op te halen of de gemeente voldoet aan de beheersmaatregelen. Als blijkt dat de organisatie of organisatieonderdelen de beheersmaatregelen niet uitvoeren, dan moet actie worden ondernomen. Niet compliant zijn met beheersmaatregelen betekent niet compliant met relevante wet- en regelgeving en dit vormt een risico voor de gemeente Lansingerland. De eerste en tweede lijn moeten in actie komen om het risico te mitigeren. In onderstaand kader het volgende voorbeeld:
Een belangrijk onderdeel van dit privacy managementproces is het inventariseren van de risico’s en beheersmaatregelen die specifiek zijn voor de verwerkingen van de gemeente. Binnen de privacy organisatie wordt op privacy risico’s gestuurd door middel van het uitvoeren van Data Protection Impact Assessments (DPIA) en pre-DPIA’s door de eerste en tweede lijn. Deze assessments worden ingezet bij nieuwe en bestaande projecten, systemen of diensten die mogelijk een impact hebben op de privacy van inwoners. Door DPIA's uit te voeren, kan de gemeente proactief privacy risico’s identificeren en beoordelen voordat een initiatief wordt geïmplementeerd. Dit stelt de gemeente in staat om passende beheersmaatregelen te plannen en uit te voeren om potentiële risico's te minimaliseren.
De risico’s worden vervolgens vergeleken met de beheersmaatregelen die al aanwezig zijn. Als de beheersmaatregelen het risico niet benoemen, wordt er een beheersmaatregel toegevoegd of uitgebreid door de eerste en tweede lijn. Deze werkwijze is in lijn met de PDCA-cyclus en het ‘continue verbeteren’ uitgangspunt van de gemeente Lansingerland.
De combinatie van een robuust privacy framework, continue monitoring van beheersmaatregelen en de uitvoering van DPIA's vormt een integrale benadering van privacy management die de gemeente in staat stelt om zowel effectieve dienstverlening als privacybescherming te waarborgen.
3.1.2 Het privacy management proces
Het privacy management proces omvat verschillende stappen om privacy risico's te identificeren, beoordelen, beheersen en op lange termijn te monitoren en evalueren. De kernstappen van dit proces zijn:
Identificatie van privacy risico’s: In deze fase worden door het uitvoeren van DPIA’s potentiële privacy risico’s geïdentificeerd die kunnen ontstaan bij de verwerking van persoonsgegevens. Dit omvat het in kaart brengen van de verschillende activiteiten, processen en systemen waarbij persoonlijke informatie wordt betrokken. Als aan beheersmaatregelen niet of deels wordt voldaan, bevinden zich hier mogelijke privacy risico’s.
Beoordeling van privacy risico’s: Bij deze stap worden de geïdentificeerde privacy risico’s beoordeeld. Dit gebeurt op basis van criteria zoals impact op individuen, gevoeligheid van gegevens en de kans op een incident middels het uitvoeren van DPIA’s. Dit helpt bij het prioriteren van risico's en het bepalen van de benodigde beheersmaatregelen.
Ontwikkeling van beheersmaatregelen: Na het beoordelen van de risico's worden passende beheersmaatregelen ontwikkeld om deze risico's te verminderen of te elimineren. Dit omvat technische, organisatorische en procedurele maatregelen die gericht zijn op het waarborgen van de privacy en beveiliging van persoonsgegevens. De DPIA geeft aanbevelingen hoe de risico’s gemitigeerd kunnen worden. De eerste lijn is verantwoordelijk om deze op te pakken en (zie ook volgende stap) deze te implementeren.
Implementatie van beheersmaatregelen: De vastgestelde beheersmaatregelen worden geïmplementeerd in de organisatie. Dit omvat het integreren van de maatregelen in de dagelijkse werkwijzen, systemen en processen om ervoor te zorgen dat privacy risico’s effectief worden aangepakt. De eerste lijn is verantwoordelijk voor de implementatie van de beheersmaatregelen. De tweede lijn ondersteunt hierbij.
Monitoring en evaluatie: Na de implementatie wordt het privacy management proces voortgezet met monitoring. Hierbij wordt gecontroleerd of de genomen beheersmaatregelen daadwerkelijk de gewenste effecten hebben en of nieuwe risico's zich voordoen. De monitoring door beheersmaatregelen vindt plaats door een check op de effectiviteit van de beheersmaatregelen door de tweede lijn.
Rapportage en communicatie: De bevindingen van de monitoring worden gerapporteerd aan het management en andere relevante belanghebbenden. Dit zorgt voor transparantie en zorgt ervoor dat passende beslissingen kunnen worden genomen op basis van de risico-evaluatie. De derde lijn, in dit geval de FG, informeert de organisatie middels het FG jaarverslag. De tweede lijn informeert de organisatie eveneens middels het privacy jaarverslag.
Evaluatie en bijsturing: Periodiek wordt het gehele proces geëvalueerd om te beoordelen of het privacy management effectief is en of er verbeteringen mogelijk zijn. Indien nodig worden beheersmaatregelen aangepast om de evoluerende risico's aan te pakken. Middels de jaarverslagen van de FG en het privacy jaarverslag, geeft de directie aan waar de prioriteit ligt en waarop gestuurd moet worden.
Het privacy risicomanagement proces is een cyclisch proces dat continu wordt herhaald om ervoor te zorgen dat privacy risico’s adequaat worden aangepakt en dat de bescherming van persoonsgegevens wordt gehandhaafd in overeenstemming met de geldende privacywetgeving en -normen.
De belangrijkste beheersmaatregelen uit het privacymanagement framework worden verder uitgewerkt in operationeel beleid om ervoor te zorgen dat abstracte richtlijnen en principes worden vertaald naar concrete en praktisch toepasbare stappen die binnen de dagelijkse activiteiten van de gemeente kunnen worden geïntegreerd. Implementatie van beheersmaatregelen in operationeel beleid is van essentieel belang om de bescherming van persoonsgegevens te waarborgen en te voldoen aan privacyregelgeving. Om de beheersmaatregelen een herkenbare structuur te geven zijn ze ingedeeld in een aantal thema’s. Per thema is er een uitvoeringskader beschikbaar. Het uitvoeringskader is een verdere uitwerking van de privacy thema’s op operationeel niveau. De thema’s worden hieronder geïntroduceerd en kort uitgelegd.
3.2.3 Privacy risico beheersing
4.1 Cyclus van het privacybeleid
Dit beleid is opgesteld aan de hand van de geldende wet- en regelgeving op het gebied van de bescherming van persoonsgegevens en de verwerking van politiegegevens. Het privacybeleid treedt in werking na vaststelling door de verantwoordelijke, de gemeenteraad, de burgemeester en het College van B&W. Dit beleid wordt elke drie jaar ambtelijk geëvalueerd en wordt tussentijds herzien wanneer dat nodig is. De evaluatie van dit beleid is gestoeld op de PDCA-cyclus (Plan-Do-Check-Act). Dit is een model voor continue verbetering van de werkprocessen, een belangrijk uitgangspunt voor de gemeente.
In de Wet Politiegegevens is vastgelegd dat de verwerkingsverantwoordelijke de naleving van de Wpg moet controleren middels audits. Werkgevers van boa's die voor de uitvoer van hun opsporingstaak persoonsgegevens verwerken zijn verplicht om eens per vier jaar een externe privacy audit uit te voeren. De gemeente is een werkgever van boa’s en is dus verplicht tot het uitvoeren van externe privacy audits op de Wpg. De rapportage van deze externe audit moet worden verstrekt aan de externe toezichthouder, de Autoriteit Persoonsgegevens (AP). Bij het constateren van tekortkomingen moet drie maanden na het uitvoeren van de audit een verbeterrapport worden opgesteld, waarop binnen een jaar een hercontrole plaatsvindt. De hercontrole geldt alleen voor die onderdelen van de wet waar de tekortkomingen geconstateerd worden. De resultaten van de hercontrole worden vastgelegd in een rapportage en eveneens verstrekt aan de AP, uiterlijk 1 jaar na het uitvoeren van de externe audit. De verantwoordelijkheid voor het initiëren van deze audits ligt binnen de gemeente bij de derde lijn, de interne toezichthouder (zie 2.3.5).
Daarnaast moet in de jaren dat géén externe audit wordt uitgevoerd een interne audit Wpg worden uitgevoerd die specifiek gericht is op de werkzaamheden die binnen de lijnorganisatie plaatsvindt op grond van de Wpg.
AVG (Algemene Verordening Gegevensbescherming) – Europese wet op de verwerking van persoonsgegevens, die rechtstreeks geldt in alle lidstaten
Bedrijfsproces – gemeentelijke bedrijfsvoering waarbij persoonsgegevens worden verwerkt
FG (Functionaris Gegevensbescherming) – wettelijk toezichthouder voor de naleving van privacywetgeving en bedrijfsvoorschriften
Governance – sturing op privacy door het management
(Gegevens)verwerking – zowel geheel of gedeeltelijk geautomatiseerde operationele informatieverwerking (bijvoorbeeld archiveren, analyseren, doorgeven, raadplegen) als ieder geheel daarvan (bijvoorbeeld de salarisadministratie, gemeentebelastingen of thuiszorg)
Persoonsgegevens – gegevens over personen en waarvan de gegevensverwerking door herleidbaarheid gevolgen heeft in de persoonlijke levenssfeer (privacy impact heeft)
DPIA (Data Protection Impact Assessment) – een beoordelingsrapport waarin een gegevensverwerking wordt geanalyseerd op noodzaak en risico’s vanuit privacy-optiek, resulterend in een lijst van passende beheersmaatregelen (waarborgen)
PIT – het privacy- en informatiebeveiligingsteam dat het college, directie, proceseigenaren en teammanagers ondersteunt
Politiegegevens – elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak: het handhaven van de rechtsorde en het verlenen van hulp aan hen die deze behoeven
Portefeuillehouder privacy – het lid van het college van B&W dat verantwoordelijk is voor de uitvoering en naleving van privacywetgeving met behulp van het privacybeleid
Privacy audit – controles op de naleving van privacybeleid en privacywetgeving
Privacybeleid – het algemeen privacybeleid van een organisatie
Privacy incidenten – incidenten waarbij een onrechtmatige gegevensverwerking plaatsvindt
Privacymanagement – verwijst naar het proces van beheren, beschermen en waarborgen van persoonlijke gegevens binnen de gemeente Lansingerland
Privacywetgeving – wetgeving die verwerking van persoonsgegevens regelt, in het bijzonder de AVG
Proces - is een serie van activiteiten (uitgevoerd door een menselijk handelen of door een systeem) waar verschillende middelen voor nodig zijn. Binnen de context van de gemeente Lansingerland is een proces een keten van activiteiten waar een product of dienst uit komt
Proceseigenaren – teammanager i.c. de afdelingshoofden die verantwoordelijk zijn voor uitvoering van gemeentelijke taken zoals burgerzaken, uitvoering Jeugdwet, belastingen en veiligheid
Uitvoeringskader – in het uitvoeringskader wordt invulling gegeven aan de privacy governance rollen en verantwoordelijkheden. Bijvoorbeeld een uitwerking van het DPIA proces en het melden en afhandelen van datalekken
Verwerking - een handeling waar persoonsgegevens voor worden gebruikt. Dit kan zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van persoonsgegevens
Wpg (Wet Politiegegevens) – Nederlandse wet die specifiek van toepassing is op de verwerking van politiegegevens door de politie, bijzondere opsporingsdiensten en boa’s.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2024-74526.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.