De gemeente gebruikt persoonsgegevens alleen in overeenstemming met de wet. Zo moet er altijd een verwerkingsgrondslag zijn om persoonsgegevens te gebruiken. Ook gaat de gemeente altijd behoorlijk en zorgvuldig om met persoonsgegevens.

De gemeente gebruikt alleen persoonsgegevens als vooraf een duidelijk omschreven en gerechtvaardigd doel is bepaald. De gemeente gebruikt persoonsgegevens vervolgens niet verder voor andere doeleinden. Tenzij het nieuwe doel verenigbaar is met het oorspronkelijke doel en aan de wettelijke eisen wordt voldaan.

De gemeente gebruikt alleen persoonsgegevens die noodzakelijk zijn om een bepaald doel te bereiken. Als de gemeente een doel kan bereiken zonder bepaalde persoonsgegevens vast te leggen is het niet toegestaan om die persoonsgegevens vast te leggen. Daarbij gelden altijd de beginselen van proportionaliteit en subsidiariteit:

• •

  Proportionaliteit: de inbreuk op de rechten en vrijheden van betrokkenen moet in verhouding staan tot het doel.

• •

  Subsidiariteit: Als er een mogelijkheid is om minder inbreuk te maken wordt voor die optie gekozen. Bijvoorbeeld door minder of geen persoonsgegevens vast te leggen.

Het gebruiken van onjuiste persoonsgegevens kan nadelige gevolgen hebben voor betrokkenen. De gemeente neemt daarom alle redelijke maatregelen om te zorgen dat persoonsgegevens juist en actueel zijn. Indien blijkt dat persoonsgegevens niet juist of actueel zijn, worden deze hersteld.

De gemeente bewaart persoonsgegevens in lijn met wettelijke bewaartermijnen en de Selectielijst gemeenten en intergemeentelijke organen. In sommige gevallen staat er in de wet of in de Selectielijst geen bewaartermijn. Alleen in die gevallen bepaalt de gemeente een bewaartermijn op basis van noodzakelijkheid. De gemeente bewaart persoonsgegevens niet langer dan noodzakelijk is om het vooraf bepaalde doel te bereiken.

De gemeente zorgt ervoor dat persoonsgegevens altijd goed worden beveiligd. En dat medewerkers integer en vertrouwelijk omgaan met persoonsgegevens. Daarbij geldt dat hoe gevoeliger persoonsgegevens zijn, hoe meer technische en organisatorische maatregelen worden genomen om deze te beschermen. Dit is verder uitgewerkt in het Informatiebeveiligingsbeleid van de gemeente.

De gemeente informeert betrokkenen altijd tijdig en in begrijpelijke taal over de omgang met hun persoonsgegevens en de rechten die zij hebben. Daarbij communiceert de gemeente altijd in Nederlands taalniveau B1. Alleen als in de wet een uitzondering op de informatieplicht staat, kan de gemeente hier vanaf wijken.

Uitsluitend geautoriseerde medewerkers voor wie het noodzakelijk is om persoonsgegevens in te zien hebben toegang tot voor hen relevante persoonsgegevens. Ook hebben alleen geautoriseerde medewerkers de bevoegdheid om persoonsgegevens in te voeren, te wijzigen of te verwijderen.

De gemeente geeft geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER), tenzij wordt voldaan aan de eisen uit de AVG die hiervoor gelden.

De gemeente doet niet aan profilering en neemt geen geautomatiseerde besluiten die gevolgen hebben voor betrokkenen. Een medewerker van de gemeente zal altijd de computer controleren. Een eventueel besluit neemt de medewerker ook altijd zelf.

Privacy by design betekent dat in de ‘ontwerpfase’ van een werkproces, applicatie of dienst wordt nagedacht over het zo privacyvriendelijk mogelijk inrichten daarvan. Bijvoorbeeld dat alleen die persoonsgegevens worden vastgelegd die nodig zijn om een verzoek af te handelen. Privacy by default betekent dat standaardinstellingen zo privacyvriendelijk mogelijk worden ingesteld. De gemeente heeft dit vastgelegd in het Beleid Privacy by Design. Naast dat deze beginselen wettelijk verplicht zijn, zijn deze beginselen ook erg efficiënt. Achteraf bijstellen is minder efficiënt en kostbaarder. Deze beginselen worden bij leveranciers afgedwongen door de toepassing ervan als eis op te nemen in een programma van eisen bij een aanbestedingsprocedure.

De gemeente voert een Data Protection Impact Assessment (DPIA) uit voor processen waar waarschijnlijk een verhoogd privacyrisico is. Dit is bijvoorbeeld het geval voor gemeentelijke taken waar met veel gevoelige persoonsgegevens van kwetsbare personen wordt gewerkt. Een DPIA is een vragenlijst om voor een bepaald proces in kaart te brengen of er privacyrisico’s zijn. Voor die risico’s worden maatregelen bedacht om ze weg te nemen. De Autoriteit Persoonsgegevens heeft een lijst opgesteld voor gevallen waarin wettelijk verplicht een DPIA moet worden uitgevoerd. Als er twijfel is of een DPIA wettelijk verplicht is voert de gemeente een pre-DPIA uit. Aan de hand van die vragenlijst adviseert een Privacy Officer of een DPIA wettelijk verplicht is. Dit is uitgewerkt in de Procedure risicoanalyses (DPIA). De gemeente houdt de uitgevoerde DPIA’s bij in een register.

De gemeente houdt een register van verwerkingen bij. Dit is een overzicht van alle activiteiten waarbij de gemeente werkt met persoonsgegevens. Per activiteit is aanvullende informatie te vinden over de gegevensverwerking. Bijvoorbeeld:

• •

  welke persoonsgegevens de gemeente gebruikt.

• •

  wat daarvan het doel is.

• •

  hoe lang de persoonsgegevens worden bewaard.

• •

  of deze persoonsgegevens worden gedeeld met andere partijen.

Dit overzicht moet altijd volledig en actueel zijn. In het kader van transparantie streeft de gemeente ernaar dit register van verwerkingen zoveel mogelijk openbaar te maken. Dit is verder uitgewerkt in de Procedure beheren en publiceren register van verwerkingen.

Bij een datalek hebben personen toegang tot andermans persoonsgegevens zonder dat dit de bedoeling is. Er is ook sprake van een datalek als persoonsgegevens worden gewijzigd of verwijderd zonder dat dit de bedoeling is. Als er sprake is van een risico voor de betrokkene moet een datalek binnen 72 uur worden gemeld bij de Nederlandse toezichthouder: de Autoriteit Persoonsgegevens. Als er sprake is van een hoog risico moet ook zo snel als mogelijk de betrokkene worden geïnformeerd. De gemeente legt alle datalekken vast in een intern datalekregister. Ieder kwartaal vindt er een evaluatie plaats van alle datalekken die hebben plaatsgevonden. Dit is verder uitgewerkt in de Procedure datalekken.

De gemeente wisselt persoonsgegevens uit met andere partijen. Dit gebeurt alleen als het is toegestaan en er vooraf contractuele afspraken over zijn gemaakt. Afhankelijk van de situatie worden de afspraken vastgelegd in een van de volgende overeenkomsten:

• •

  Verwerkersovereenkomst.

• •

  Overeenkomst gezamenlijk verwerkingsverantwoordelijken.

• •

  Convenant.

• •

  Gegevensuitwisselingsovereenkomst tussen zelfstandig verwerkingsverantwoordelijken.

De gemeente gebruikt daarbij zoveel als mogelijk haar eigen sjablonen. Dit en een uitleg van de type overeenkomsten is verder uitgewerkt in de Procedure privacy overeenkomsten.

De AVG en Wpg brengen niet alleen verplichtingen mee voor de gemeente. Ze brengen ook mee dat betrokkenen verschillende rechten hebben:

• •

  Het recht op informatie.

• •

  Het recht op inzage.

• •

  Het recht op rectificatie of aanvulling.

• •

  Het recht op verwijdering.

• •

  Het recht op beperking van de verwerking.

• •

  Het recht op dataportabiliteit.

• •

  Het recht op bezwaar.

• •

  Het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.

Hoe de gemeente deze verzoeken van betrokkenen afhandelt is vastgelegd in de Procedure rechten van betrokkenen.

Als een betrokkene een klacht indient over de omgang met zijn persoonsgegevens is de Functionaris Gegevensbescherming (FG) hiervoor het eerste aanspreekpunt.

Beleid en maatregelen alleen zijn niet voldoende om risico’s op het terrein van het verwerken van persoonsgegevens uit te sluiten. Het is noodzakelijk om het bewustzijn binnen de gemeente voortdurend aan te scherpen. Iedere medewerker wordt aantoonbaar geïnformeerd over het zorgvuldig omgaan met persoonsgegevens. Bijvoorbeeld via een e-learning. De Privacy Officers stellen daarnaast ieder jaar een bewustwordingsplan op en voeren daarin opgenomen acties uit. Ieder kwartaal evalueren ze deze acties. Het onderwerp bewustwording is verder uitgewerkt in het Beleid veilig personeel.

De gemeente streeft ernaar om in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control zijn betekent dat de gemeente weet welke maatregelen genomen zijn, dat er een planning is van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus. Daarom vinden er verschillende evaluaties plaats:

• •

  Kwartaalevaluatie: ieder kwartaal evalueren de Privacy Officers de datalekken, inzageverzoeken, DPIA’s, bewustwording en procedures.

• •

  Jaarlijkse evaluatie: jaarlijks wordt er een (privacy)nulmeting gedaan. Uit de nulmeting wordt duidelijk wat het volwassenheidsniveau van de gemeente is. Aan de hand van de nulmeting wordt een rapportage en jaarplan opgesteld om verbeteringen door te voeren.

Het college van burgemeester en wethouders, waar de burgemeester onderdeel van is, is eindverantwoordelijk voor de naleving van de privacywetgeving binnen de gemeente. De gemeentesecretaris is belast met de ambtelijke uitvoering namens het college. Het college heeft de volgende rollen en verantwoordelijkheden:

• •

  Eindverantwoordelijk voor de naleving van de privacywetgeving binnen de gemeente.

• •

  Stelt het Privacybeleid vast.

• •

  Geeft sturing aan privacy beleidsvoering.

• •

  Evalueert de toepassing en werking van het Privacybeleid op basis van de rapportage van de FG.

• •

  Stelt voldoende middelen beschikbaar voor de naleving van het Privacybeleid en bevordert een duurzame privacycultuur.

De directeuren zijn eindverantwoordelijk voor de naleving van de privacywetgeving binnen hun cluster. De gemeente Oegstgeest heeft geen clusters, maar heeft wel een directeur. De directeur en gemeentesecretaris hebben daar dezelfde verantwoordelijkheden maar dan voor de hele organisatie. Zij hebben de volgende rollen en verantwoordelijkheden:

• •

  Eindverantwoordelijk voor de naleving van de privacywetgeving binnen het eigen cluster.

• •

  Verantwoordelijk voor implementatie en uitvoering van het Privacybeleid binnen het eigen cluster.

• •

  Informeert op verzoek van de FG op welke manier de eigen cluster voldoet aan de privacywetgeving.

• •

  Bevordert een duurzame privacycultuur.

De gemeente Leiderdorp heeft geen directeuren. Deze taken zijn bij de afdelingsmanagers belegd. Bij de gemeente Zoeterwoude heet deze rol clustermanager.

De afdelingsmanagers zijn eindverantwoordelijk voor de naleving van de privacywetgeving binnen de afdeling. Zij hebben de volgende rollen en verantwoordelijkheden:

• •

  Eindverantwoordelijk voor de naleving van de privacywetgeving binnen de eigen afdeling.

• •

  Verantwoordelijk voor implementatie en uitvoering van het Privacybeleid binnen de eigen afdeling.

• •

  Informeert op verzoek van de FG op welke manier de eigen afdeling voldoet aan de privacywetgeving.

• •

  Bevordert een duurzame privacycultuur.

De Griffier voert deze taken bij de Griffie uit. De gemeente Zoeterwoude heeft geeft afdelingsmanagers. Bij de gemeente Leiderdorp en Oegstgeest heet deze functietitel manager.

Elke teammanager is binnen het eigen team verantwoordelijk voor de naleving van het Privacybeleid en een zorgvuldige omgang met persoonsgegevens. Een teammanager is vaak proceseigenaar. Als een team geen teammanager, maar een coördinator heeft gaan deze verantwoordelijkheden over op de afdelingsmanager. De afdelingsmanager kan bepaalde taken wel beleggen bij de coördinator of een projectleider, maar blijft zelf wel eindverantwoordelijk. De Griffier voert deze taken bij de Griffie uit.

Teammanagers hebben de volgende rollen en verantwoordelijkheden als het gaat om hun eigen team:

• •

  Het tijdig betrekken van een Privacy Officer bij een nieuwe of wijziging van een activiteit waarbij persoonsgegevens worden vastgelegd.

• •

  Het maken van contractuele afspraken over gegevensuitwisseling bij een nieuwe samenwerking.

• •

  Het (laten) uitvoeren van een Data Protection Impact Assessment (DPIA) voor hoog risico activiteiten. Bijvoorbeeld als er veel gevoelige persoonsgegevens worden vastgelegd. Ook verantwoordelijk voor het opvolgen van maatregelen volgend uit een DPIA of het accepteren van risico’s.

• •

  Het registreren van nieuwe activiteiten in het register van verwerkingen en het doorvoeren van wijzigingen van bestaande activiteiten.

• •

  Het verstrekken en intrekken van autorisaties van medewerkers.

• •

  Het tijdig (laten) melden van datalekken binnen het team.

• •

  Het tijdig oppakken van verzoeken van betrokkenen die hun rechten uitoefenen onder coördinatie van de Privacy Officer.

• •

  Bevordert een duurzame privacycultuur binnen de afdeling, door periodiek beleid, procedures en privacygerelateerde onderwerpen onder de aandacht te brengen.

Teammanagers kunnen bij deze taken altijd hulp krijgen van de Privacy Officers, maar blijven wel verantwoordelijk voor de uitvoering van deze taken. Ook kunnen ze bepaalde taken laten uitvoeren door medewerkers binnen de afdeling. Bijvoorbeeld het uitvoeren van een DPIA of het bijhouden van het register van verwerkingen.

De gemeente Oegstgeest heeft geen teammanagers. Deze taken komen terecht bij de managers. Bij de gemeente Leiderdorp heet deze functietitel teamleider. Bij de gemeente Zoeterwoude wordt een programmamanager gelijkgesteld aan een teammanager.

Op basis van de AVG en de Wet politiegegvevens (Wpg) is het aanstellen van een FG verplicht voor de gemeente. De FG is verantwoordelijk voor het toezicht op de naleving van de AVG en Wpg. De FG heeft een onafhankelijke adviserende en toezichthoudende positie in de organisatie. De FG stelt bij de uitoefening van zijn taak prioriteiten en richt zijn inspanningen op aangelegenheden waarbij sprake is van grotere risico’s.

De FG heeft de volgende rollen en verantwoordelijkheden in de gehele organisatie van de gemeente:

• •

  Interne toezichthouder op de naleving van de AVG en Wpg.

• •

  Monitort veranderingen in wetgeving en stelt de impact van deze wijzigingen vast en adviseert de organisatie bij de implementatie hiervan.

• •

  Draagt Privacybeleid actief uit binnen de gehele gemeente en bevordert een duurzame privacycultuur.

• •

  Adviseert de gemeente bij privacy klachten en verzoeken van betrokkenen.

• •

  Adviseert de gemeente ten aanzien van het wegnemen of verminderen van privacy risico’s, bijvoorbeeld bij het uitvoeren van DPIA’s en hoog risico dossiers.

• •

  Adviseert de gemeente indien nodig bij datalekken.

• •

  Ziet toe op bewustwording en opleiding van medewerkers.

• •

  Ziet toe op het uitvoeren van audits.

• •

  Treedt op als contactpunt voor de toezichthouder (Autoriteit Persoonsgegevens) en betrokkenen.

• •

  Beschikt over controle- en monitoringbevoegdheden (het recht om interne onderzoeken te laten uitvoeren met toegang tot informatie).

• •

  Rapporteert aan het college van burgemeester & wethouders, de directie en de Gemeenteraad.

De Privacy Officer is het eerste aanspreekpunt voor de gemeente rondom privacygerelateerde vragen. De Privacy Officer heeft een monitorende en ondersteunende functie bij het naleven en uitvoeren van het Privacybeleid. De Privacy Officer heeft de volgende rollen en verantwoordelijkheden:

• •

  Adviseert en faciliteert de gemeente ten aanzien van het naleven en de uitvoering van het Privacybeleid.

• •

  Opstellen Privacybeleid, procedures, formats en standaardovereenkomsten.

• •

  Monitort en ondersteunt bij het registreren of wijzigen van verwerkingen in het register van verwerkingen.

• •

  Adviseert en ondersteunt de gemeente bij het uitvoeren van Data Protection Impact Assessments (DPIA’s).

• •

  Adviseert over de bepalingen in verwerkersovereenkomsten en ondersteunt bij het opstellen, aanpassen en uitonderhandelen daarvan.

• •

  Adviseert over mechanismen voor internationale uitwisseling van persoonsgegevens naar landen buiten de EU/EER.

• •

  Adviseert over de verwerkingsgrondslag en rechtmatigheid van verwerkingen van persoonsgegevens.

• •

  Ontwikkelt, organiseert en voert bewustwordingsprogramma’s en privacytrainingen voor medewerkers uit.

• •

  Adviseert en coördineert verzoeken van betrokkenen die hun rechten uit de AVG en Wpg uitoefenen.

• •

  Adviseert de gemeente over privacy-by-design en privacy by default bij ontwikkeling van nieuwe systemen en processen. Ook adviseert de Privacy Officer bij aanbestedingen.

• •

  Het inrichten van een privacyboekhouding zodat aan de verantwoordingsplicht wordt voldaan. Dit betekent het bijhouden van de administratie. Bijvoorbeeld het DPIA-register en Register datalekken.

• •

  Toezichthouden op het BRP-domein (Basisregistratie Personen).

• •

  Ondersteunt en faciliteert de gemeente bij het afhandelen van datalekken (volgens de meldprocedure).

De (C)ISO draagt zorgt voor de informatiebeveiliging binnen de gemeente. De (C)ISO zorgt voor een actueel informatiebeveiligingsbeleid. De rollen en verantwoordelijkheden van de (C)ISO staan in het informatiebeveiligingsbeleid.

Medewerkers hebben een grote rol in de manier waarop de gemeente omgaat met persoonsgegevens. Alle medewerkers hebben een eigen verantwoordelijkheid hierin. Van hen wordt verwacht dat zij zorgvuldig en integer omgaan met persoonsgegevens en kennisnemen van dit Privacybeleid. Ook wordt verwacht dat zij actief hun kennis up-to-date houden door de aangeboden (digitale) trainingen te volgen.

De gemeente voorziet in werkinstructies per domein waarin boa’s politiegegevens vastleggen. De boa’s werken in lijn met die werkinstructie bij de uitvoering van hun opsporingstaken. De werkinstructies bevatten onder andere de volgende onderwerpen: Principes, vastlegging van gegevens (feiten/persoonlijk oordeel en categorie van betrokkene), delen van gegevens, bewaartermijnen, melden van datalekken en onderzoeken.

In de Wet politiegegevens staan bewaartermijnen voor politiegegevens. De gemeente hanteert altijd deze bewaartermijnen.

Binnen het Wpg-domein stelt de gemeente politiegegevens ter beschikking op basis van het ‘free flow of information’-principe. Dit betekent dat politiegegevens beschikbaar worden gesteld als dit noodzakelijk is voor de uitoefening van de taken binnen het Wpg-domein. Buiten het Wpg-domein verstrekt de gemeente alleen politiegegevens als dit volgens de Wpg is toegestaan. Daarbij wijst de gemeente de ontvangende partij op de plicht tot geheimhouding van de politiegegevens. De gemeente legt alle verstrekkingen vast.

De gemeente stelt ten aanzien van het verlenen, wijzigen- en beëindigen van toegang tot politiegegevens een Autorisatieprocedure Wpg vast. De gemeente autoriseert een boa als de toegang noodzakelijk is voor het uitvoeren van de opgedragen opsporingstaken. Als niet-boa’s toegang nodig hebben tot politiegegevens neemt de gemeente een autorisatiebesluit. De gemeente wijst een boa op de plicht tot geheimhouding en de gevolgen bij de schending van deze plicht. Als een boa van functie verandert of uit dienst gaat, wijzigt of beëindigt de gemeente de autorisaties.

Loggegevens zijn automatische registraties van acties en gebeurtenissen in een systeem, zoals wie wanneer een bestand heeft geopend en gegevens heeft gewijzigd. De gemeente controleert en evalueert periodiek de toegekende autorisaties van de boa’s. Het doel hiervan is de integriteit en de rechtmatigheid van de toegang tot politiegegevens waarborgen. De gemeente gebruikt de loggegevens alleen om te controleren of de gegevensverwerking op een juiste en rechtmatige manier gebeurt. Deze gegevens helpen bij verplichte controles (audits) en zorgen ervoor dat toegang tot politiegegevens eerlijk en volgens de regels verloopt. De gemeente legt het resultaat van de periodieke controle vast in een verslag van bevindingen. De gemeente bewaart deze gegevens 5 jaar.

In de Wet politiegegevens staan wettelijk verplichte audits. De gemeente volgt deze wettelijke auditcyclus. Dit betekent elke vier jaar een externe audit en ieder jaar een interne audit. De resultaten van een externe audit worden gedeeld met de Autoriteit Persoonsgegevens. De gemeente stelt hiervoor een auditplan vast en zorgt dat het omgaan met politiegegevens in opzet, bestaan en in de werking voldoet aan de wet. De FG en auditor houden hier toezicht op. Als uit de externe audit blijkt dat de verwerking van politiegegevens op onderdelen niet voldoet aan de wet volgt er een hercontrole. Hierin staan de tekortkoming en verbeteringen centraal.

De gemeente gebruikt persoonsgegevens alleen in overeenstemming met de wet. Zo moet er altijd een verwerkingsgrondslag zijn om persoonsgegevens te gebruiken bij het trainen en gebruiken van AI.

De gemeente doet niet aan profilering en neemt geen geautomatiseerde besluiten die gevolgen hebben voor betrokkenen. Een medewerker controleert altijd de computer of AI en neemt zelf een besluit.

Om een AI te trainen is data nodig. Voor deze data geldt altijd het beginsel van dataminimalisatie als het gaat om persoonsgegevens. Dit betekent dat alleen persoonsgegevens worden gebruikt die noodzakelijk zijn om het doel te bereiken.

De gemeente informeert betrokkenen op een heldere en duidelijke manier over wat er met hun persoonsgegevens gebeurt. Als daarbij AI wordt gebruikt, legt de gemeente in duidelijke taal uit wat een AI doet en welke persoonsgegevens daarbij zijn gebruikt.

De gemeente zorgt ervoor dat betrokkenen hun rechten kunnen uitoefenen. Dit betekent dat altijd duidelijk moet zijn waar persoonsgegevens van betrokkenen zijn opgeslagen. In de gehele levenscyclus van data in AI moet duidelijk zijn welke persoonsgegevens zijn gebruikt.

Bij complexe AI-systemen waar persoonsgegevens worden gebruikt voert de gemeente altijd een Data Protection Impact Assessment (DPIA) uit.

De gemeente verwijdert persoonsgegevens als deze niet meer nodig zijn. Dit geldt voor gehele levenscyclus van persoonsgegevens in relatie tot een AI-systeem.