Vaststelling “Privacyprotocol cameratoezicht provincie Drenthe”

Gedeputeerde Staten van Drenthe;

 

overwegende dat:

 

de provincie Drenthe gebruik maakt van cameratoezicht ter bescherming en beveiliging van de terreinen en objecten van de provincie Drenthe, zoals bruggen, onderdoorgangen, sluizen, tunnels of andere objecten, zoals provinciale gebouwen en de in deze gebouwen aanwezige personen;

 

  • de provincie Drenthe natuurlijke personen herkenbaar in beeld brengt en andere tot personen herleidbare informatie opneemt en aldus persoonsgegevens verwerkt;

  • het wenselijk is vast te leggen hoe de provincie Drenthe met deze gegevensverwerkingen omgaat;

  • gelet op de Algemene Verordening Gegevensbescherming, nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en de Uitvoeringswet Algemene Verordening Gegevensbescherming;

 

BESLUITEN:

 

het Privacyprotocol cameratoezicht provincie Drenthe vast te stellen.

 

Privacyprotocol cameratoezicht provincie Drenthe

 

Artikel 1 Begripsbepalingen

 

In dit Protocol wordt verstaan onder:

 

  • a.

    Afhandeling zaak: het moment waarop de beelden zijn bekeken en beoordeeld;

  • b.

    Algemeen privacyreglement: de algemene privacyverklaring van de provincie Drenthe;

  • c.

    AVG: Algemene Verordening Gegevensbescherming, nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;

  • d.

    Betrokkene: degene op wie een persoonsgegeven direct of indirect betrekking heeft, in dit geval personeelsleden en andere natuurlijke personen die zich in de ruimten bevinden;

  • e.

    Beveiliging: de dienstdoende beveiligers;

  • f.

    Camera: aan provinciale gebouwen, bruggen, sluizen, onderdoorgangen of andere objecten vastgemaakt apparaat om beelden vast te leggen, niet zijnde mobiele of verborgen camera’s;

  • g.

    Camerabeelden: digitale beelden, zowel stilstaand als bewegend, voorzien van datum- en tijdstempel, niet zijnde livestream-camerabeelden;

  • h.

    FG: de functionaris gegevensbescherming zoals genoemd in de AVG;

  • i.

    Incident: strafbare en/of onrechtmatige handelingen, dan wel handelingen die in strijd zijn met de eed, verklaring en belofte of met de integriteitsverklaring zoals afgelegd door Personeelsleden, dan wel een redelijk vermoeden hiervan;

  • j.

    Jurist: door de provincie ingeschakelde interne dan wel externe jurist(en);

  • k.

    Leidinggevende: ofwel de manager die verantwoordelijk is voor het beheer wegen en vaarwegen, ofwel gebouwen, ofwel de beide managers tezamen;

  • l.

    Livestream-camerabeelden: beelden die slechts live waarneembaar zijn en enkel zichtbaar zijn voor de beveiliging van het pand en gebruikt worden door daartoe bevoegde personen op locaties van de provincie;

  • m.

    Ruimten: openbare ruimten, terreinen en objecten van de provincie die toegankelijk zijn voor personeel en publiek. Bijvoorbeeld bruggen, sluizen, viaducten, tunnels en publiek toegankelijke ruimtes in en rondom provinciale gebouwen zoals de parkeerplaats, (hoofd)ingang en receptie van het Provinciehuis;

  • n.

    Personeelsleden: personen in dienst van de provincie Drenthe, werkzaam bij en/of voor de provincie Drenthe of personen die werkzaam voor de provincie Drenthe zijn geweest;

  • o.

    Persoonsgegevens: alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd;

  • p.

    DPIA: Data Protection Impact Assessment; een DPIA is een voorafgaand onderzoek naar de privacy-effecten van een project zoals een nieuw ICT-systeem voor klantinformatie of een nieuwe manier van analyseren of profileren van mensen. Het doel is om risico’s ten aanzien van privacyrechten van personen in een vroeg stadium in kaart te brengen en maatregelen te bedenken waarmee deze risico’s kunnen worden geminimaliseerd;

  • q.

    Protocol: Privacyprotocol cameratoezicht provincie Drenthe;

  • r.

    Provincie: de provincie Drenthe;

  • s.

    Technisch beheerder: de functionaris belast met het technisch beheer van het camerasysteem;

  • t.

    Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die of dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

  • u.

    Verwerking van Persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens, zoals bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, of aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  • v.

    Verwerkingsregister: register van de provincie waarin de verwerkingen van persoonsgegevens worden geregistreerd;

  • w.

    Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die of dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt, in deze de Gedeputeerde Staten.

Artikel 2 Reikwijdte Protocol

 

  • 1.

    Dit protocol documenteert de wijze waarop de provincie (a) persoonsgegevens gebruikt, (b) hoe zij omgaat met camera’s en (c) hoe zij camerabeelden bewaart en bekijkt, dit al dan niet in combinatie met het gebruik van persoonsgegevens.

  • 2.

    Het protocol is van toepassing op de verwerking van persoonsgegevens door de camera’s, die zich bevinden aan of bij ruimten zoals gedefinieerd in artikel 1 sub n.

Artikel 3 Doeleinden gebruik cameratoezicht

 

De provincie maakt gebruik van cameratoezicht ten behoeve van de volgende doelen:

  • 1.

    het beveiligen van haar personeel en overige personen die zich in of bij de ruimten bevinden;

  • 2.

    het beveiligen van provinciale terreinen en objecten, bezittingen van het personeel en bezittingen van overige personen die zich in/rondom de ruimten van de provincie bevinden;

  • 3.

    het voorkomen van en/of onderzoeken en verzamelen van bewijs met betrekking tot een Incident.

Artikel 4 Grondslag

 

De provincie verwerkt persoonsgegevens middels cameratoezicht gelet op bovenstaande doeleinden op basis van een dan wel meerdere van de volgende wettelijke grondslagen:

  • i.

    een wettelijk voorschrift in de zin van artikel 6, lid 1, onder c AVG;

  • ii.

    een taak van algemeen belang in de zin van artikel 6, lid 1, onder e AVG;

  • iii.

    een gerechtvaardigd belang in de zin van artikel 6, lid 1, onder f AVG. Het gerechtvaardigde belang van de provincie is gelegen in het beveiligen van personen en/of objecten in en rondom de ruimten tegen onder andere diefstal, vandalisme en overig onrechtmatig handelen.

Artikel 5 DPIA

 

De provincie bepaalt voorafgaand aan een voorgenomen plaatsing van een camera volgens de daarvoor vastgestelde procedure of een DPIA is vereist. De FG wordt geraadpleegd bij de beoordeling van de vraag of een DPIA is vereist. Indien dit het geval blijkt te zijn, zal de camera niet eerder operationeel zijn dan nadat een DPIA is uitgevoerd conform artikel 35 AVG.

 

Artikel 6 Kenbaar maken cameratoezicht

 

  • 1.

    Het gebruik van cameratoezicht wordt kenbaar gemaakt door het aanbrengen van borden dan wel stickers in/bij de ruimten.

  • 2.

    Personeelsleden worden intern geïnformeerd over dit protocol.

  • 3.

    Betrokkenen kunnen de hun toekomende rechten ingevolge de AVG uitoefenen conform het wettelijk bepaalde en door middel van een e-mail aan privacy@drenthe.nl. Meer informatie met betrekking tot deze rechten is te vinden in het Algemeen privacyreglement van de provincie Drenthe en www.provincie.drenthe.nl.

Artikel 7 Livestream-camerabeelden

 

Op bepaalde locaties van de provincie kan de beveiliging of Technisch beheerder livestream-camerabeelden volgen, uitsluitend ten behoeve van het waarborgen van de veiligheid op dat moment.

 

Artikel 8 Verwerkte persoonsgegevens

 

Door middel van het cameratoezicht worden persoonsgegevens verwerkt. De camera’s leggen de volgende (persoons)gegevens vast:

  • herkenbare beelden van betrokkenen

  • herkenbare beelden van schadeveroorzakende voertuigen met of zonder kenteken

  • de bijbehorende datum

  • het bijbehorende tijdstip

  • de locatie waar de beelden zijn gemaakt

Artikel 9 Toegang tot opgeslagen beelden

 

  • 1.

    Toegang tot de camerabeelden en/of de bijbehorende (persoons)gegevens is beperkt tot situaties waarin sprake is van (een redelijk vermoeden van) een Incident.

  • 2.

    De toegang is tevens beperkt tot de tijdspanne waarbinnen het Incident vermoedelijk heeft plaatsgevonden, om door bestudering van de camerabeelden vast te stellen:

    • a.

      of een Incident heeft plaatsgevonden;

    • b.

      de aard en omstandigheden van het Incident.

  • 3.

    De camera’s, communicatiekanalen en het systeem waar de camerabeelden worden opgeslagen zijn enkel toegankelijk voor de leidinggevende en/of jurist.

  • 4.

    In geval van toegang houdt de leidinggevende een logboek bij. Incidenten die toegang tot dan wel het bewaren van camerabeelden noodzakelijk maken, worden geregistreerd en gedocumenteerd in het logboek. Dit logboek bevindt zich digitaal bij, en onder verantwoordelijkheid van, de leidinggevende. De FG heeft te allen tijde toegang tot dit logboek.

  • 5.

    Indien voor de personen die toegang hebben tot de camerabeelden, niet reeds uit hoofde van hun ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn deze alsnog verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Artikel 10 Verstrekking aan derden

 

De camerabeelden en/of de bijbehorende persoonsgegevens van een incident kunnen worden verstrekt aan personen of instanties die betrokken zijn bij, of belast zijn met, strafrechtelijke of civielrechtelijke acties.

 

Artikel 11 Toezicht, beheer en beveiliging

 

  • 1.

    De provincie neemt passende en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen. De maatregelen zijn mede gericht op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens.

  • 2.

    De beveiliging van informatiemiddelen is in de provincie onderworpen aan kaders vastgelegd in de Baseline Informatiebeveiliging Overheid en het informatiebeveiligingsbeleid van de provincie dat verantwoordelijkheden en toezicht op de informatiebeveiliging regelt.

  • 3.

    Indien camerabeelden buiten het standaardsysteem worden opgeslagen of doorgegeven, zorgt de provincie voor passende beveiliging en zekerheid over de adressering en aflevering.

  • 4.

    De classificatie van informatie en de toepasselijke beveiliging worden geregistreerd in het Verwerkingsregister.

Artikel 12 Bewaren en vernietigen

 

  • 1.

    Camerabeelden met bijbehorende persoonsgegevens worden na afhandeling van een zaak, niet langer dan één week bewaard. Daarbij worden beelden gedurende maximaal 28 dagen opgeslagen en daarna automatisch verwijderd.

  • 2.

    In afwijking van het eerste lid kunnen de camerabeelden met bijbehorende gegevens tot maximaal één jaar worden bewaard, indien sprake is van een uitzonderingssituatie als bedoeld in artikel 9.

  • 3.

    De beelden met bijbehorende persoonsgegevens worden na deze bewaartermijn automatisch verwijderd, tenzij sprake is van een (redelijk vermoeden van een) Incident.

  • 4.

    De camerabeelden en/of de bijbehorende persoonsgegevens worden bij een Incident verwerkt totdat het Incident is afgehandeld en na maximaal een jaar vernietigd.

Artikel 13 Inwerkingtreding en publicatie

 

  • 1.

    Dit protocol treedt in werking met ingang van de dag na de datum van uitgifte van het Provinciaal Blad waarin het wordt geplaatst.

  • 2.

    Dit potocol wordt aangehaald als: Privacyprotocol cameratoezicht provincie Drenthe.

 

Gedeputeerde Staten voornoemd,

 

drs. J. Klijnsma, voorzitter

W.F. Brenkman MSc, secretaris

 

Assen, 28 november 2023

Kenmerk 4.11/2023001630

 

Uitgegeven: 30 november 2023

Naar boven