Provinciaal blad van Limburg
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Limburg | Provinciaal blad 2018, 8377 | Beleidsregels |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Limburg | Provinciaal blad 2018, 8377 | Beleidsregels |
Privacybeleid Provincie Limburg 2018
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Hoewel de inhoudelijke wijzigingen ten opzichte van zijn voorganger (de Wet bescherming persoonsgegevens) op één hand te tellen zijn, staat de AVG te boek als een aanscherping van de privacywetgeving. Deze aanscherping zit hem met name in alles wat de gegevensverwerkende organisatie moet doen om ervoor te zorgen dat zij het naleven van de AVG structureel waarborgt, en daarover ook rekenschap kan afleggen.
Anders dan vaak wordt gedacht, bevat de AVG niet voor elk privacyvraagstuk een pasklaar antwoord. De wet bevat normen, die samen een afwegingskader geven. Aan de hand van dat wettelijke afwegingskader moet de Provincie Limburg beoordelen of een bepaalde verwerking van persoonsgegevens is toegestaan, en zo ja, onder welke voorwaarden. Daarnaast gaat het bij bescherming van persoonsgegevens (en informatiebeveiliging) altijd om een kosten-baten afweging en zit in elk proces en in elke ketensamenwerking wel een zwakke schakel. 100% Veiligheid is dan ook een utopie. De Provincie Limburg streeft een adequaat niveau van privacy- en informatiebeveiliging na waarbij, voor het reduceren van risico’s, afwegingen worden gemaakt om de juiste balans te vinden tussen kostenefficiëntie en –effectiviteit, wetgeving, de taakstelling van de organisatie, een praktische manier van werken en de persoonlijke levenssfeer van betrokkenen. De implementatie van de AVG zien wij als een zoektocht naar de juiste balans tussen deze belangen.
Ook binnen de Provincie Limburg wordt met persoonsgegevens gewerkt (bijvoorbeeld van burgers en medewerkers). Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van wettelijke provinciale taken, autonome taken of vanwege een andere legitieme noodzaak die verband houdt met de kwaliteit en continuïteit van de Provinciale bedrijfsvoering. Tegelijkertijd gaat ook de Provincie Limburg mee met nieuwe ontwikkelingen. Nieuwe technologieën, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. We zijn ons hier bewust van en streven ernaar dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie en transparantie. De burger moet erop kunnen vertrouwen dat de Provincie Limburg zorgvuldig en veilig met persoonsgegevens omgaat.
De Provincie Limburg geeft via dit beleid een duidelijke richting aan privacy en laat zien hoe zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de Provincie Limburg.
Iedereen heeft recht op bescherming van zijn persoonlijke levenssfeer. Dit recht is geborgd in de Grondwet en is een groot goed. Het juridische kader voor de omgang met persoonsgegevens in Nederland staat in de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en diverse andere wetten (bijvoorbeeld de Wet politiegegevens, de Kieswet en de Archiefwet). Bij de omgang met persoonsgegevens hanteert en toetst de Provincie Limburg met name de regels uit de AVG. Sectorspecifieke privacywetgeving die van toepassing is op de verwerking van persoonsgegevens door de Provincie Limburg wordt in een separaat register opgenomen.
De volgende begrippen worden in de AVG (Artikel 4, AVG) gebruikt en zijn van belang voor een goed begrip van deze Europese verordening en onderhavig beleid:
Persoonsgegevens: Alle gegevens die gaan over natuurlijke personen en waaraan je een persoon als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaalde persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast “gewone” persoonsgegevens kent de AVG ook “bijzondere” persoonsgegevens. Dit zijn gegevens die door hun aard bijzonder gevoelig zijn, zoals etnische achtergrond, gezondheid, politieke voorkeuren of genetische en biometrische gegevens.
3. Organisatie: taken en verantwoordelijkheden
3.1 Centrale verantwoordelijkheid
Het college van Gedeputeerde Staten (Gedeputeerde Staten) is eindverantwoordelijk voor de naleving van privacywetgeving. Gedeputeerde Staten leggen over de uitvoering van het privacybeleid verantwoording af aan Provinciale Staten en betrachten beleidstransparantie met behulp van publieksvoorlichting. Als verantwoordelijk gezag stelt het college privacybeleid op, draagt het dit uit en wijst het taken, verantwoordelijkheden en bevoegdheden toe.
3.2 Rollen (functies) rondom privacy en informatiebeveiliging
3.2.1. De secretaris/algemeen directeur
De secretaris/algemeen directeur is verantwoordelijk voor de kaderstelling en sturing op de uitvoering van het privacybeleid. Minimaal één keer per jaar evalueert hij/zij, samen met de Functionaris voor gegevensbescherming (FG) de naleving van privacyregelgeving en onderhavig beleid. Daarnaast zorgt hij/zij ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
De clustermanagers zijn op uitvoeringsniveau verantwoordelijk voor een privacybestendige bedrijfsvoering en gegevensuitwisseling met derden. Uiteraard voor zover passend binnen hun mandaat en de door Gedeputeerde Staten vastgestelde beleidskaders. Zij leggen hierover via de directie verantwoording af aan Gedeputeerde Staten. Daarnaast kan het voorkomen dat ook een directeur of programma-/projectmanager op uitvoeringsniveau verantwoordelijk is voor een proces waarin persoonsgegevens worden verwerkt.
3.2.3. Het privacy- en informatiebeveiligingsteam (PIT)
Privacybescherming vergt kennis op het gebied van gegevensmanagement en IT, juridische kennis van wet- en regelgeving, auditexpertise voor de DPIA’s, kennis van informatiebeveiliging en van werkprocessen en systemen. Binnen de Provincie Limburg is een team actief waarin deze expertise voorhanden is. Dit team heet ‘het privacy- en informatiebeveiligingsteam’, kortweg: PIT. Het PIT ondersteunt de clusterambassadeurs privacy, de clustermanagers, de directie en Gedeputeerde Staten bij de uitvoering van het privacybeleid. Dit team bestaat tenminste uit de Privacy coördinator (jurist van het cluster Juridische Zaken en Inkoop (JZI)), de Information Security Officer (sr. Adviseur Organisatie en Informatie van het cluster Organisatie en Informatie) en de FG (als adviseur). Dit team adviseert de directie eveneens bij datalekken.
Concreet heeft het team de volgende taken:
3.2.4. De clusterambassadeurs privacy
Elke clustermanager wijst een medewerker aan die binnen zijn cluster fungeert als privacy-ambassadeur. Deze ambassadeur is eerste aanspreekpunt voor het PIT bij de implementatie van (nieuwe) maatregelen op het terrein van privacy en heeft verder de volgende taken en verantwoordelijkheden:
Het PIT geeft de clusterambassadeurs privacy periodiek voorlichting over nieuwe ontwikkelingen op het gebied van privacy en informatiebeveiliging.
3.2.5. De Functionaris voor gegevensbescherming (FG)
De Provincie Limburg heeft een FG aangesteld. Deze functionaris is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en het provinciale beleid op het gebied van privacy.
Concreet heeft de FG de volgende taken:
De FG krijgt de nodige ruimte voor professionele uitvoering van zijn taken. Conform artikel 38 AVG:
Periodiek (minimaal halfjaarlijks) brengt de FG verslag uit van zijn/haar werkzaamheden aan de secretaris/Algemeen directeur.
Schematische weergave taken en verantwoordelijkheden op terrein van privacy
4. Uitgangspunten en maatregelen
In dit hoofdstuk staan de uitgangspunten en maatregelen centraal die de Provincie Limburg hanteert bij de verwerking van persoonsgegevens. Zoals eerder aangegeven wordt bij het bepalen van een passende maatregel o.a. rekening gehouden met de soort verwerking (de aard, omvang, context, het doel) en de risico’s voor betrokkenen (hoe groot is de kans dat die zich ook daadwerkelijk een schending van de privacy van betrokkene(n) voordoet en als dat onverhoopt mocht gebeuren, hoeveel hinder en schade heeft dit dan voor hem/haar).
De Provincie Limburg hanteert voor het op de juiste manier waarborgen van privacy de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming. In deze Privacy Baseline zijn de eisen van de AVG vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.
Volgens de AVG mogen persoonsgegevens alleen verwerkt worden als daarvoor een doel is vastgesteld. Het doel moet per individuele verwerking uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden, tenzij er sprake is van een verenigbaar doel. Voor de uitvoering van diverse provinciale taken zijn de doelen voor het verwerken in een wet vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden. Op het moment dat een verwerking wordt opgenomen in het register zoals genoemd onder punt 4.10, wordt het doel van de verwerking in het register vermeld.
Verwerking van persoonsgegevens mag alleen, indien dit gebaseerd is op een van de zes grondslagen uit de AVG (artikel 6), te weten:
De grondslag dient te worden vastgelegd in het register van verwerkingsactiviteiten.
Bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt (artikel 5 onder c AVG): er worden zo min mogelijk persoonsgegevens verwerkt, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt.
Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk voor de dienstverlening of wettelijke verplichting.
Er is op grond van de AVG geen concrete bewaartermijn voor persoonsgegevens. Persoonsgegevens mogen echter alleen bewaard worden als identificeerbare gegevens, voor zolang het nodig is voor de doeleinden waarvoor ze verzameld zijn. Bij de bepaling van de bewaartermijn is het dus zaak om na te gaan hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld in de archiefwet en de belastingwetgeving.
De AVG eist dat maatregelen worden getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn. Indien nodig worden persoonsgegevens geactualiseerd. De AVG geeft in dit kader aan dat alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.
Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. Slechte beveiliging kan bijvoorbeeld leiden tot een datalek, verandering van en ontoegankelijkheid van persoonsgegevens.
Op grond van de AVG moeten bedrijven en overheden dan ook passende technische en organisatorische maatregelen nemen. Er moet dus niet alleen naar de techniek worden gekeken, maar ook naar hoe de Provincie Limburg als organisatie met persoonsgegevens omgaat. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
In de AVG is expliciet opgenomen dat persoonsgegevens verwerkt moeten worden op een manier die transparant is voor de betrokkene. Voor een natuurlijke persoon moet transparant zijn of en in hoeverre zijn persoonsgegevens (zullen) worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt: het transparantiebeginsel (artikel 5, eerste lid onder a AVG). Dit betekent dat een betrokkene onder andere op de hoogte moet worden gesteld van verwerking van zijn persoonsgegevens en de doeleinden hiervan. Deze actieve informatieplicht is vastgelegd in artikel 13, eerste lid en 14, eerste lid AVG. Communicatie met betrokkene dient bovendien plaats te vinden in begrijpelijke, beknopte en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (artikel 12, eerste lid AVG).
De Provincie Limburg informeert betrokkene actief over het verwerken van zijn/haar persoonsgegevens. Wanneer betrokkenen gegevens aan de Provincie Limburg verstrekken, worden zij op dat moment (bijvoorbeeld via het aanvraagformulier) op de hoogte gesteld van de manier waarop de Provincie Limburg met hun persoonsgegevens om zal gaan. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de Provincie Limburg persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.
Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene binnen een redelijke termijn geïnformeerd: altijd direct de eerste keer dat met hem wordt gecommuniceerd en uiterlijk binnen een maand. Deze plicht is niet van toepassing als betrokkene die informatie al heeft, het onmogelijk of ondoenlijk is om de informatie te verstrekken, de verwerking wettelijk verplicht is of daarmee de doeleinden van de verwerking ernstig in het gedrang komen.
4.8.2. Rechten van betrokkenen
De AVG bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel ‘de rechten van betrokkenen’ genoemd, en bestaan uit:
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via een webformulier ingediend worden. De Provincie Limburg heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de Provincie Limburg laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd kan betrokkene bezwaar (ex artikel 7.1 Awb) maken bij de Provincie Limburg, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).
4.9 Geautomatiseerde verwerkingen
Wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen, spreken we van profilering. Voorbeelden van persoonlijke aspecten kunnen zijn: financiële situatie, interesses, gedrag of locatie.
De Provincie Limburg doet niet aan louter geautomatiseerde besluitvorming of profilering welke herleidbaar is tot het individu. |
Ter vergroting van de veiligheid (bescherming medewerkers en bezoekers, tegengaan van diefstal en beschadiging eigendommen) wordt in en rondom het Provinciehuis gebruik gemaakt van cameratoezicht. De camerabeelden worden alleen voor dat doeleinde gebruikt. Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd wordt. Om de privacy zo goed mogelijk te waarborgen zal de Provincie Limburg op duidelijke wijze (o.a. in het reglement voor bezoekers en via bebording) kenbaar maken dat er sprake is van cameratoezicht.
4.10 Register van verwerkingsactiviteiten
De Provincie Limburg is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de Provincie Limburg de verwerkingsverantwoordelijke of verwerker is, het zogenaamde register van verwerkingsactiviteiten. Dit register bevat:
De Privacy coördinator binnen het cluster Juridische Zaken en Inkoop beheert het register. De clusters, programma’s en projecten dienen nieuwe verwerkingen - voor opname in het register - en wijzigingen in bestaande verwerkingen tijdig aan te leveren bij voornoemd cluster. Hierbij kunnen ze gebruik maken van het protocol ‘nieuwe verwerking persoonsgegevens’. Eén keer per jaar richt het cluster JZI zich actief tot alle clusters, projecten en programma’s met het verzoek om het register te controleren op actualiteit.
4.11 De verwerkersovereenkomst
De Provincie Limburg besteedt de verwerking van persoonsgegevens ook uit aan derden. Als verantwoordelijke mag de Provincie Limburg niet zomaar met een verwerker in zee gaan. Zij moet vaststellen of de verwerker voldoet aan de AVG. Meer concreet: de verwerker moet passende technische en organisatorische maatregelen treffen zodat deze voldoet aan de AVG en de bescherming van de rechten van de betrokkene gewaarborgd is.
Alle maatregelen die de verwerker hiervoor dient te nemen, komen vast te liggen in een zogenaamde verwerkersovereenkomst tussen de Provincie Limburg en de verwerker. Binnen de Provincie Limburg wordt gewerkt met een standaard verwerkersovereenkomst. De vraag of een verwerkersovereenkomst noodzakelijk is, maakt bovendien onderdeel uit van de interne inkoop-/aanbestedingsprocedure. De manager die de opdracht aan een derde verstrekt voor de verwerking van persoonsgegevens is tevens verantwoordelijk voor het afsluiten van de verwerkersovereenkomst.
De Provincie Limburg houdt een register bij van verwerkersovereenkomsten.
4.12 Gegevensbeschermingseffectbeoordeling/DPIA
Een gegevensbeschermingseffectbeoordeling - ook wel data protection impact assessment (DPIA) genoemd - is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
De Provincie Limburg moet dus zelf bepalen of er sprake is van een risicovolle verwerking. Bij de volgende categorieën verwerkingen moet de Provincie Limburg in ieder geval op grond van de AVG een DPIA uitvoeren:
Verder zal de Provincie Limburg een DPIA uitvoeren indien er sprake is van hoge risico’s voor de ‘rechten en vrijheden’ van betrokkenen.
Het besluit om een DPIA uit te voeren wordt genomen door de verantwoordelijke manager, na advies van de FG.
We spreken van een datalek wanneer persoonsgegevens (mogelijk) in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de Provincie Limburg dit zonder onredelijke vertraging, doch uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan het AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de Provincie Limburg dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd. Daarnaast wordt elk datalek geregistreerd.
Sinds januari 2017 heeft de Provincie Limburg een Protocol meldplicht datalekken. Bij de beslissing of een incident dat zich heeft voorgedaan moet worden gemeld bij de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene(n), moeten een aantal afwegingen worden gemaakt. Het protocol helpt de provinciale medewerkers bij het maken van deze afwegingen.
4.14 Privacy by design en privacy by default
Privacybescherming bestaat niet alleen uit toetsing en controle achteraf. Ook aan de voorkant, bij het ontwerpen en inrichten van processen en systemen dient privacybescherming een belangrijk uitgangspunt te zijn. De adviseurs binnen het cluster Organisatie en Informatie hebben hierbij een ondersteunende en adviserende rol.
Voor de AVG zijn privacy by design en privacy by default belangrijke onderdelen van de verantwoordingsplicht van de Provincie Limburg.
Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Bij de inrichting van het proces en/of bouw van het systeem wordt bijvoorbeeld gekeken naar de benodigde technische en organisatorische maatregelen om deze gegevens te beschermen. Dataminimalisatie is een ander voorbeeld van één van de uitgangspunten die gehanteerd worden: zo min mogelijk persoonsgegevens verzamelen, alleen datgene wat strikt noodzakelijk is voor het bereiken van het doel.
Privacy by default betekent dat de standaardinstellingen van bijvoorbeeld diensten of invulformulieren altijd zoveel mogelijk de privacy moeten garanderen. Bijvoorbeeld door een app die de Provincie Limburg aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is of door iemand die zich op een nieuwsbrief wil abonneren alleen te vragen naar zijn emailadres.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/prb-2018-8377.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.