Privacybeleid 2025 gemeente Bladel

Burgemeester en wethouders van de gemeente Bladel;

 

Namens dezen het afdelingshoofd Bedrijfsvoering & Dienstverlening;

 

gelet op artikel 24, tweede lid van de Algemene Verordening Gegevensbescherming;

 

besluit:

 

vast te stellen de volgende regeling:

 

Privacybeleid 2025 gemeente Bladel

 

Begrippenlijst

 

Autoriteit Persoonsgegevens (AP): de AP is de landelijke toezichthouder op het gebied van privacywetgeving.

 

Algemene Verordening Gegevensbescherming (AVG): Europese privacywetgeving waarin de belangrijkste regels voor de omgang met persoonsgegevens zijn geregeld.

 

Betrokkene: degene van wie persoonsgegevens worden verwerkt. Dit kunnen bijvoorbeeld inwoners of medewerkers zijn.

 

CISO (Chief Information Security Officer ): de CISO is verantwoordelijk voor de informatiebeveiliging binnen een organisatie. Deze persoon zorgt ervoor dat gegevens goed beschermd zijn tegen dreigingen zoals hackers en dat de organisatie voldoet aan de veiligheidsregels.

 

Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

 

Data Protection Impact Assessment (DPIA): Een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat maatregelen kunnen worden genomen om deze risico’s te verkleinen.

 

Functionaris voor de gegevensbescherming (FG): de FG is de onafhankelijk toezichthouder op de omgang met persoonsgegevens binnen de gemeente. De FG controleert en adviseert de gemeente op het gebied van gegevensbescherming.

 

Gedelegeerd: het overdragen door een bestuursorgaan van zijn bevoegdheden aan een ander die deze onder eigen verantwoordelijkheid uitoefent.

 

Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Enkele voorbeelden van persoonsgegevens zijn: naam, identificatienummer, locatiegegevens, adres, woonplaats.

 

Privacy officer (PO): de PO gaat over het beschermen van persoonsgegevens en ziet toe op naleving van privacywetgeving. De PO adviseert, stelt beleid op en is het aanspreekpunt voor privacy gerelateerde zaken.

 

Privacy by Design: dit betekent dat privacy al vanaf het begin wordt meegenomen bij de ontwikkeling van een informatiesysteem of nieuw product.

 

UAVG (Uitvoeringswet Algemene verordening gegevensbescherming): de UAVG is een Nederlandse wet die de regels van de AVG (Europese privacywet) aanvult en uitlegt voor Nederland.

 

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

 

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

 

Verwerkingsregister: een register van de verwerkingsactiviteiten die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke plaatsvinden.

 

Verwerkersovereenkomst: een overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Hierin staan afspraken over hoe de gegevens worden beschermd en verwerkt.

 

Wet politiegegevens ( Wpg ): een Nederlandse wet die regels geeft over hoe politiegegevens mogen worden verwerkt. Dit geldt voor buitengewoon opsporingsambtenaren (boa’s) en voor de rechten en plichten van burgers.

 

1. Inleiding

 

In de gemeente Bladel werken we veel met persoonsgegevens van inwoners, medewerkers en (samenwerkings)partners. We verzamelen vooral gegevens van inwoners om onze wettelijke taken goed uit te voeren. Dit doen we bijvoorbeeld voor sociale hulp, veiligheid en burgerzaken. Om deze taken goed te doen, is het nodig dat we persoonsgegevens verwerken. Inwoners moeten erop kunnen vertrouwen dat wij zorgvuldig en veilig met hun gegevens omgaan.

 

De gemeente blijft zich ontwikkelen. Nieuwe technologieën, digitalisering en wereldwijde veranderingen zorgen ervoor dat we steeds beter moeten letten op de bescherming van gegevens en privacy. Wij zijn ons hiervan bewust en nemen maatregelen om privacy te beschermen. Dit doen we onder andere door informatie goed te beveiligen, alleen de nodige gegevens te verzamelen, transparant te zijn en inwoners controle te geven over hun gegevens.

 

Het bestuur en management spelen een belangrijke rol bij het beschermen van privacy. Met dit beleid laat de gemeente Bladel zien hoe wij privacy beschermen, naleven en controleren. Dit beleid wordt als dat nodig is herzien.

2. Reikwijdte

 

De gemeente verzamelt en gebruikt persoonsgegevens van inwoners, medewerkers en andere personen (hierna: betrokkenen).

 

Dit privacybeleid geldt voor alle manieren waarop door en voor de gemeente persoonsgegevens worden verwerkt, zoals:

 

  • 1.

    Binnen de eigen werkprocessen van de gemeente;

  • 2.

    Wanneer de gemeente een andere organisatie inschakelt om taken uit te voeren. Dit kan bijvoorbeeld een bedrijf of samenwerkingsverband zijn;

  • 3.

    Bij het delen van gegevens met andere partijen, zoals samenwerkingspartners of leveranciers.

Als taken zijn gedelegeerd dan geldt dit privacybeleid niet.

3. Privacy beginselen

De AVG heeft 6 beginselen voor het verwerken van persoonsgegevens. Iedereen die met persoonsgegevens werkt, moet zich hieraan houden en kunnen laten zien dat ze dit doen. Dit verantwoorden is het zevende, algemene beginsel van de AVG.

In deze paragraaf leggen we stap voor stap uit wat deze beginselen betekenen.

3.1 Behoorlijkheid, rechtmatigheid en transparantie

De gemeente verwerkt persoonsgegevens alleen als dit volgens de wet mag en binnen de privacyregelgeving past. Op de website van de gemeente Bladel staat een privacyverklaring: https://www.bladel.nl/privacy-statement.

 

Hierin leggen we uit:

 

  • Van wie we persoonsgegevens verwerken en waarom we de gegevens verwerken;

  • Welke rechten zij hebben en hoe zij een verzoek kunnen indienen;

  • Hoe we omgaan met datalekken.

De gemeente deelt persoonsgegevens alleen met landen buiten de Europese Economische Ruimte (EER) of met internationale organisaties als dit echt nodig is én als die landen of organisaties goed zorgen voor de bescherming van gegevens. De Europese Commissie bepaalt welke landen en organisaties hieraan voldoen.

3.2 Doelen

De gemeente gebruikt persoonsgegevens alleen voor duidelijke en gerechtvaardigde doelen. Gegevens die voor een bepaald doel zijn verzameld, worden niet voor iets anders gebruikt. Dit mag alleen als het nieuwe doel past bij het oorspronkelijke doel waarvoor de gegevens zijn verzameld.

3.3 Zo min mogelijk gegevens verwerken

De gemeente verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor het beoogde doel. Wij vragen of bewaren geen gegevens die niet strikt nodig zijn.

3.4 Juiste en actuele gegevens

De gemeente zorgt ervoor dat persoonsgegevens correct, volledig en relevant zijn voor het doel waarvoor ze worden gebruikt. Als gegevens niet kloppen, passen we ze aan of verwijderen we ze.

3.5 Veilige en vertrouwelijke verwerking

De gemeente zorgt voor technische en organisatorische maatregelen om persoonsgegevens goed te beschermen. Dit geldt vooral voor gevoelige gegevens. We voorkomen misbruik en ongeoorloofde toegang tot persoonsgegevens.

 

We volgen hierbij ons informatiebeveiligingsbeleid. Hoe we omgaan met datalekken staat beschreven in de interne procedure melden van datalekken.

3.6 Gegevens niet langer bewaren dan nodig

Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het doel van de verwerking, tenzij wij wettelijk verplicht zijn om ze langer te bewaren (bijvoorbeeld: bewaarverplichtingen uit de Archiefwet). Daarna worden de gegevens verwijderd of geanonimiseerd.

4. Verantwoording en toezicht

De gemeente is een overheidsinstantie die structureel op grote schaal persoonsgegevens verwerkt, hierdoor is het verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. De FG is de onafhankelijke interne toezichthouder voor de gemeente, de FG houdt toezicht op de naleving van het privacy beleid en de wettelijke verplichtingen. De FG houdt toezicht op de toepassing en naleving van de privacywetgeving.

 

De Autoriteit Persoonsgegevens (AP) is de nationale toezichthoudende instantie op het gebied van privacywetgeving. De AP houdt toezicht op de naleving van de privacywetgeving bij organisaties, daarbij controleert de AP ook overheidsinstanties.

 

De Wet politiegegevens (Wpg) verplicht werkgevers van boa’s om iedere vier jaar een externe audit uit te voeren door een gecertificeerde IT-auditor. De resultaten van de externe audit moeten worden gedeeld met de AP.

5. Bewustwording

Het is belangrijk dat medewerkers van gemeente Bladel goed en veilig omgaan met persoonsgegevens. Daarom blijft dit onderwerp voortdurend onder de aandacht.

 

Wanneer medewerkers in dienst komen bij de gemeente Bladel volgen zij een training over de AVG en hoe je conform deze regelgeving handelt. Daarnaast bieden we periodieke trainingen en e-learning modules aan en voeren we bewustwordingscampagnes om een privacy bewuste omgeving te bevorderen.

6. Privacy by design & Privacy by default

De gemeente Bladel houdt vanaf ontwerpfase van projecten, informatiesystemen, datasets rekening met privacy zodat privacy gerelateerde risico’s proactief worden beperkt (Privacy by design).

 

De gemeente Bladel heeft de inrichting, instellingen van projecten, programma’s, website(s) of diensten dusdanig georganiseerd dat maximale privacy wordt geborgd (Privacy by default).

7. Organisatie en verantwoordelijkheden

Binnen de gemeente is vaak het college van burgemeester en wethouders eindverantwoordelijk voor het naleven van de privacyregelgeving. De eindverantwoordelijke kan voor verschillende verwerkingen ook de burgemeester of de gemeenteraad zijn. Onderstaande tabel brengt de verantwoordelijkheden in beeld:

 

Eindverantwoordelijk

Gemeenteraad

College van Burgemeester en Wethouders

Burgemeester

Feitelijk verantwoordelijk

Griffier

Managementteam

Uitvoerend

Alle medewerkers (inclusief inhuur/extern)

Adviserend / ondersteunend

Functionaris Gegevensbescherming (FG)

Privacy Officer (PO)

Chief Information & Security Officer (CISO)

Controlerend

Functionaris Gegevensbescherming

Toezichthoudend

Functionaris Gegevensbescherming (FG)Autoriteit Persoonsgegevens (AP)

 

Alle Kempengemeenten, de Gemeenschappelijke Regeling Samenwerking Kempengemeenten (GRSK) en Participatiebedrijf KempenPlus hebben samen één functionaris gegevensbescherming. Deze functie is ondergebracht bij de GRSK.

 

De privacy officers van deze organisaties overleggen en werken samen.

8. Verwerkingsregister

De gemeente is verplicht een verwerkingsregister bij te houden. Dit register biedt een actueel overzicht van alle verwerkingen van persoonsgegevens waarvoor de gemeente verantwoordelijk voor is. Het register helpt bovendien bij het naleven van de verantwoordingsplicht onder de AVG.

 

In het verwerkingsregister staat onder andere:

 

  • Welke gegevens de gemeente verwerkt;

  • De verwerkingsdoeleinden;

  • De naam en contactgegevens van de verwerkingsverantwoordelijke en de FG;

  • Hoe lang de gegevens worden bewaard.

Toegang en verantwoordelijkheid:

 

Elke afdeling binnen de gemeente Bladel heeft toegang tot het verwerkingsregister. Om ervoor te zorgen dat het register volledig en up-to-date blijft, gelden de volgende afspraken:

 

  • Proceseigenaren: Houden hun eigen gegevensverwerkingen bij. Indien er wijzigingen of nieuwe verwerkingen zijn geven zij dit door aan de Privacy Officer.

  • Privacy Officer: Beheert het verwerkingsregister.

  • Functionaris Gegevensbescherming (FG): Controleert of het register voldoet aan de AVG-, UAVG- en Wpg-regels.

Het verwerkingsregister is openbaar, deze is te raadplegen op de website van de gemeente.

9. DPIA proces

Een DPIA (Data Protection Impact Assessment) is een instrument dat helpt om de privacyrisico’s van een gegevensverwerking in kaart te brengen. Onder verschillende omstandigheden kan de gemeente verplicht zijn om een DPIA uit te voeren. Een voorbeeld hiervan is wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

 

Binnen de gemeente Bladel gelden de volgende afspraken:

 

  • Proceseigenaar:

    • o

      Voert de DPIA uit en krijgt hierbij ondersteuning van de Privacy Officer (PO).

    • o

      Betrekt de Privacy Officer (PO), Functionaris Gegevensbescherming (FG) en/of Chief Information Security Officer (CISO) op tijd, zodat zij advies kunnen geven.

    • o

      Zorgt voor de juiste documentatie.

Op basis van de uitkomsten van een DPIA nemen wij passende maatregelen om risico’s te beperken. Het management kan besluiten om af te wijken van het advies van de DPIA en bepaalde risico’s niet uit te voeren. Dit gebeurt alleen wanneer we kunnen aantonen dat de risico’s op andere manieren voldoende zijn beperkt of wanneer de maatregel disproportioneel is. Indien de DPIA uitwijst dat een verwerking toch gepaard gaat met een hoog risico, moet de AP voorafgaand aan de verwerking worden geraadpleegd.

10. Rechten van betrokkenen

Volgens de AVG en Wpg kunnen betrokkenen controle uitoefenen over hun persoonsgegevens. Verzoeken tot uitoefening van de rechten worden afgehandeld conform de AVG en Wpg.

 

De volgende rechten kunnen betrokkenen uitoefenen:

 

  • Recht op inzage: betrokkenen hebben het recht om te weten of wij persoonsgegevens van hen verwerken en, zo ja, inzage te krijgen in die gegevens.

  • Recht op rectificatie: indien persoonsgegevens onjuist of onvolledig zijn, kunnen betrokkenen verzoeken om correctie of aanvulling.

  • Recht op gegevenswissing: in bepaalde gevallen kunnen betrokkenen verzoeken om verwijdering van hun gegevens.

  • Recht op beperking van de verwerking: Onder voorwaarden kan worden verzocht om de verwerking van persoonsgegevens tijdelijk stop te zetten.

  • Recht op overdraagbaarheid: betrokkenen hebben het recht om hun gegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en deze aan een andere partij over te dragen.

  • Recht van bezwaar: betrokkenen kunnen in bepaalde gevallen bezwaar maken tegen de verwerking van hun persoonsgegevens.

  • Rechten met betrekking tot geautomatiseerde besluitvorming: Indien er sprake is van uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen, heeft de betrokkene recht op menselijke tussenkomst en heroverweging.

Verzoeken kunnen op de website van de gemeente Bladel worden ingediend middels het daarvoor bestemde e-formulier, per e-mail, per post of mondeling.

11. Andere belangrijke onderwerpen voor privacywetgeving

Om privacy goed te beschermen, moet er gekeken worden naar meerdere invalshoeken. In dit hoofdstuk leggen we uit hoe privacy samenhangt met andere belangrijke onderwerpen.

10.1 informatiebeveiliging

Naast het privacybeleid heeft de gemeente ook een informatiebeveiligingsbeleid. Hierin staan maatregelen om ervoor te zorgen dat (persoons)gegevens:

 

  • Beschikbaar blijven wanneer ze nodig zijn;

  • Juist en volledig worden verwerkt;

  • Veilig en vertrouwelijk worden opgeslagen en gebruikt.

Goede informatiebeveiliging is noodzakelijk om persoonsgegevens goed te beschermen. Daarom horen het privacybeleid en het informatiebeveiligingsbeleid bij elkaar en kunnen ze niet los van elkaar worden gezien.

10.2 Samenwerking

Bij sommige gemeentelijke processen werkt gemeente Bladel samen met andere organisaties. Hierbij gelden duidelijke afspraken over privacy.

 

  • Verwerker/verwerkersovereenkomst: Als een andere organisatie persoonsgegevens verwerkt namens de gemeente, is een verwerkersovereenkomst verplicht. Wij controleren de verwerkersovereenkomsten volgens de standaard van de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG). Zo zorgen we ervoor dat we de nieuwste ontwikkelingen volgen.

  • Meerdere verwerkingsverantwoordelijken: Soms is de gemeente niet de enige verantwoordelijke voor de gegevensverwerking. Er kan sprake zijn van meerdere zelfstandige verwerkingsverantwoordelijken of van gezamenlijke verwerkingsverantwoordelijkheid. In het geval van gezamenlijke verwerkingsverantwoordelijkheid sluiten we een overeenkomst af met de andere verwerkingsverantwoordelijke waarin duidelijk wordt vastgelegd wie welke verplichtingen op zich neemt.

10.3 Gebruik van algoritmes en Kunstmatige Intelligentie

De gemeente Bladel gebruikt soms algoritmes om de dienstverlening te verbeteren. Een algoritme is een set van regels en instructies die een computer uitvoert. Kunstmatige Intelligentie zijn systemen die kunnen leren en patronen herkennen, het systeem kan zichzelf verbeteren en aanpassen.

 

Wij vinden het belangrijk dat uw privacy goed beschermd blijft. Daarom:

 

  • Controleert een medewerker altijd automatische adviezen. Een algoritme of een systeem met Kunstmatige Intelligentie neemt nooit zelf beslissingen;

  • Houden we ons aan de geldende wet- en regelgeving rondom dit onderwerp.

Gemeenten moeten open zijn over het gebruik van algoritmes. Daarom is er een landelijk algoritmeregister. Hierin staat welke algoritmes we gebruiken, waarom we ze gebruiken en hoe we zorgen dat uw gegevens veilig blijven. Bekijk het register hier: https://algoritmes.overheid.nl/nl/organisatie/gemeente-bladel.

12. Rol van de Functionaris Gegevensbescherming (FG)

De Functionaris Gegevensbescherming (FG) controleert binnen de gemeente of de privacyregels goed worden nageleefd. Dit geldt zowel voor de wetgeving als voor het interne privacybeleid.

 

De FG heeft daarnaast een adviserende rol en is ook het contactpunt voor inwoners en de Autoriteit Persoonsgegevens (AP).

 

Om het werk goed te kunnen doen:

 

  • Werkt de FG onafhankelijk en mag geen instructies krijgen van het college, de burgemeester of het management;

  • Heeft de FG ontslagbescherming, zodat hij of zij zonder invloed van anderen kan werken.

13. Slotbepalingen

Als de gemeente zich niet aan de privacy wet- en regelgeving houdt, kan een inwoner een klacht indienen. De klacht wordt behandeld volgens de klachtenregeling van de gemeente.

Meer informatie en het indienen van een klacht kan via: https://www.bladel.nl/klacht-indienen.

 

Voor het sociaal domein is speciaal beleid gemaakt over hoe persoonsgegevens worden uitgewisseld bij taken die zijn gedelegeerd aan de Samenwerking Kempengemeenten en KempenPlus. In de volgende documenten staat beschreven hoe privacygevoelige informatie wordt behandeld binnen deze taken:

 

Privacybeleid GRSK

Versie 2022-2025 en toekomstige versies

Privacybeleid KempenPlus Het Participatiebedrijf

Versie 2022-2025 en toekomstige versies

Privacybeleid Sociaal Domein Kempengemeenten

Versie 2018 en toekomstige versies

 

Dit besluit wordt aangehaald als ‘Privacybeleid 2025 gemeente Bladel’.

 

Dit besluit treedt in werking op de dag na die van bekendmaking.

 

Het ‘Algemeen Privacybeleid Gemeente Bladel 2024-2025’ wordt ingetrokken.

Bladel, 21 mei 2025

Mevrouw Drs. M.L.J. Van Camp

Naar boven