1. Inleiding

De Algemene Verordening Gegevensbescherming (AVG) geeft iedere medewerker en andere betrokkenen bepaalde rechten waarmee ze controle kunnen uitoefenen op de verwerking van hun persoonsgegevens. De AVG verplicht het waterschap om gehoor te geven aan verschillende soorten verzoeken (zie schema in de bijlage aan de linkerzijde van deze publicatie).

In deze procedure is het uitoefenen van deze rechten uitgewerkt zodat het voor alle verwerkers-verantwoordelijken en beheerders van persoonsregistraties duidelijk is welke stappen doorlopen moeten worden om te voldoen aan een recht.

 

2. Achtergrond en aanleiding

De betrokkene heeft in kader van de AVG meer rechten gekregen dan op basis van de Wet bescherming persoonsgegevens (Wbp). Deze rechten zijn weergegeven in het schema hiervoor. Het gaat om een verzoek om inzage, rectificatie, wissen, beperken, bezwaar, overdraagbaarheid en intrekken instemming. Op basis van deze rechten kunnen betrokkenen verzoeken indienen. Als laatste heeft een betrokkene altijd het recht een klacht in te dienen bij de AP als het waterschap niet aan zijn verplichtingen voldoet.

De verzoeken kunnen betrekking hebben op de volgende persoonsgegevens, waarbij elk gegeven direct te herleiden is naar een natuurlijk persoon ofwel naar een persoon te herleiden is:

• -

  Voor- en achternaam

• -

  Adres en woonplaats

• -

  Postcode en huisnummer

• -

  Telefoonnummer (ook zakelijk nummer)

• -

  E-mailadres

• -

  Foto

• -

  Bankrekeningnummer

• -

  Kenteken

• -

  Audio of video opname

Bepaalde persoonsgegevens zijn in kader van de AVG extra beschermd. Het gaat dan om bijzondere persoonsgegevens. Het gebruiken van deze gegevens mag alleen als dat in een wet is geregeld en betreft bijvoorbeeld:

• -

  Godsdienst of levensovertuiging

• -

  Gezondheid

• -

  Seksuele leven

• -

  Ras of etnische afkomst

• -

  Politieke opvattingen

• -

  Lidmaatschap van een vakbond

• -

  Genetische of biometrische gegevens met het oog op unieke identificatie

• -

  Burgerservicenummer (BSN)

Strafrechtelijke gegevens, over strafrechtelijke feiten en veroordelingen, mogen alleen worden geregistreerd als dit op grond van een wettelijke bepaling is toegestaan. Hiervoor is een aparte wet van toepassing, de Wet Politiegegevens (Wpg). De rechten van de betrokkenen zijn hierbij beperkt tot recht op informatie, inzage, rectificatie, vernietiging. Bovendien kan er sprake zijn van beperking van deze rechten (artikel 27 Wpg). De andere rechten uit de AVG (beperking verwerking, verzet/bezwaar, overdraagbaarheid, intrekken toestemming) zijn niet van toepassing bij de Wpg.

Het hoofdproces (te doorlopen stappen) voor de beoordeling van de rechten is voor de AVG en de Wpg echter gelijk.

 

3. Doelstelling

Het waterschap moet ervoor zorgen dat de betrokkene op behoorlijke, begrijpelijke en transparante wijze wordt geïnformeerd wanneer zijn/haar persoonsgegevens worden verwerkt, en wat de doelen van deze verwerking zijn. Betrokkene hoeft niet geïnformeerd te worden wanneer deze al over de betreffende informatie beschikt of indien dit onevenredig veel inspanning zou vergen.

Het doel van deze procedure is het tijdig, binnen één maand, en correct afhandelen van verzoeken van betrokkenen op basis van de AVG. Wanneer bij complexe verzoeken meer tijd nodig is, kan de afhandeling met twee maanden verlengd worden. Dit moet wel binnen de eerste maand aan betrokkene bekend worden gemaakt.

Een betrokkene kan zowel schriftelijk als mondeling een verzoek indienen.

 

4. Reikwijdte

Deze procedure beschrijft de stappen die in de organisatie genomen moeten worden als er een verzoek van een betrokkene binnenkomt. De inhoudelijke beoordeling vindt altijd plaats binnen de processen en daarvoor zijn geen standaard richtlijnen voor op te stellen.

 

5. Procedure eigenaar

De eigenaar van deze procedure is de Privacy Officer. In samenwerking met de FG zorgt deze voor een actuele beschrijving van het te doorlopen proces.

 

6. R isico’s

Bij het niet inhoudelijk of niet tijdig voldoen aan een verzoek, kan een betrokkene een klacht indienen bij de AP. Het risico voor het waterschap is vervolgens:

• -

  Imago schade;

• -

  Dwingende aanwijzing van de AP;

• -

  Boete van de AP.

Op grond van niet nakoming van artikel 12 AVG kan de AP een boete opleggen. De overtreding valt in de hoogste categorie (artikel 83 lid 5). Vervolgens in de deelcategorie II en bedraagt € 120-500.000,-, basisboete € 310.000,- [1].

 

7. Procesbeschrijving 

Hieronder zijn de processtappen voor de behandeling van een verzoek van betrokkene weergegeven.

 

• 1.

  Ontvangen, registreren en doorgeven van het verzoek

Schriftelijke verzoeken

Deze komen meest binnen via het centraal emailadres, e-formulier of post maar kunnen in uitzondering ook rechtstreeks bij een medewerker (via het persoonlijk emailadres) binnenkomen. Deze worden dan doorgestuurd naar info@noorderzijlvest.nl.

Alle verzoeken worden geregistreerd door DIV in het Zaaksysteem JOIN en krijgen een eigen registratiekenmerk (zaaktype ‘Rechten betrokkene AVG’ en zaaknummer). Als behandelaar in het systeem wordt de Privacy Officer vastgelegd. Deze beoordeelt het verzoek en bepaalt welke persoonsregistratie het betreft. Vervolgens kan het verzoek verstrekt worden aan een andere medewerker voor de afdoening of de Privacy Officer zorgt zelf voor de afdoening.

Verzoeken op basis van de Wpg worden vastgelegd binnen het proces V&H en niet in JOIN[2].

 

Mondelinge verzoeken

Een betrokkene kan mondeling een verzoek indienen door op kantoor te komen. De baliemedewerker of een medewerker naar wie wordt gevraagd, maakt een ontvangstnotitie waarbij de soort persoonsregistratie, welke het betreft (bijvoorbeeld een aanvraag om vergunning of ingediend bezwaar) en de naam, geboortedatum en het nummer van het ID-bewijs (zie punt 2) van degene worden genoteerd. Deze verzoeken worden vervolgens afgehandeld als een schriftelijk verzoek.

 

• 2.

  Identificeren van betrokkene

Voordat een verzoek in behandeling wordt genomen is het nodig om te weten met wie we te doen hebben. Uitgangspunt hierbij is dat de identiteit wordt vastgesteld op de minst vergaande manier. Doel is dat de verwerkingsverantwoordelijke geen twijfel heeft over de identiteit van betrokkene.

 

a. Indiener is onbekend

De indiener toont aan wie hij/zij is:

• -

  Door een kopie van een ID op/mee te sturen, die als kopie kenbaar gemaakt mag zijn en waarbij het BSN onleesbaar gemaakt mag zijn. De naam, geboortedatum en het nummer van het ID-bewijs worden vastgelegd in de betreffende zaak. De kopie ID wordt meteen daarna vernietigd.3

• -

  Indien geen kopie van een ID bij de eerste aanvraag is ontvangen, dan wordt door de behandelaar hierom schriftelijk gevraagd. Vermeld wordt hierbij dat zonder ID het verzoek niet in behandeling wordt genomen.

• -

  Door zich persoonlijk aan de balie van het hoofdkantoor te identificeren met een legitimatiebewijs. Daarbij worden naam, geboortedatum en het nummer van het ID-bewijs vastgelegd.

• -

  Indien de verzoeker geen kopie ID wil toezenden, dan kan met de gemeente waarin de verzoeker woont een afspraak worden gemaakt ter identificatie op locatie.

b. Indiener is bekend

Als de indiener bekend is binnen het waterschap en dit is aantoonbaar degene die het verzoek heeft ingediend, kan besloten worden om af te zien van identificeren. Deze actie c.q. beoordeling wordt uitgevoerd door de Privacy Officer eventueel in overleg met de betreffende (deel) procesmanager.

 

(VOETNOTEN: [1] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586_0.pdf [2] Tenzij dit geregeld is in een afgesloten gedeelte waartoe alleen de BOA’s toegang hebben [3] Met behulp van een combinatie van gegevens op andere pasjes of in brieven kan en mag de identiteit ook worden vastgesteld.)

 

• 3.

  Ontvangst bevestigen

De betrokkene ontvangt een ontvangstbevestiging bij de balie (of van de betrokken medewerker) als een verzoek ingediend is door op kantoor te komen (zie 1. mondelinge verzoeken).

De betrokkene die een schriftelijk verzoek heeft ingediend, ontvangt binnen drie werkdagen een ontvangstmelding[3]. Indien nodig wordt een verzoek tot identificeren betrokkene (zie 2.) gedaan.

 

• 4.

  Bepalen wie nodig is voor de behandeling

De Privacy Officer bespreekt/beoordeelt het verzoek in overleg met de betreffende (deel) procesmanager. Als het verzoek niet duidelijk is, bijvoorbeeld welke persoonsregistratie het betreft of op welk recht een beroep wordt gedaan, dan wordt om een verduidelijking gevraagd bij de indiener. Deze actie wordt uitgevoerd door de Privacy Officer.

Samen met de betrokken procesmanager vindt de beoordeling plaats op de volgende punten:

• -

  Is het verzoek duidelijk en welke persoonsregistratie(s) betreft het?

• -

  Waar wordt om gevraagd?

• -

  Wie is nodig om aan het verzoek te kunnen voldoen (intern binnen of buiten het proces[4], een externe verwerker of een externe verwerkersverantwoordelijke).

Heeft het verzoek betrekking op een strafrechtelijke zaak (in kader van de Wpg), dan wordt het verzoek overgedragen aan de administratieve ondersteuner[5] Wpg (bij het team V&H).

Als het verzoek niet aan de eisen voldoet wordt een reactie voorbereid (zie stappen 5/6)

 

Registreren:

• -

  Registreer de voortgang in JOIN bij de betreffende zaak. Dit wordt gedaan door de Privacy Officer

• 5.

  Inhoudelijke behandeling van het verzoek

De eerste stap van de behandeling is het beoordelen of het verzoek aan de daaraan te stellen eisen voldoet (basis hiervoor is de AVG en de Wpg). Deze beoordeling vindt plaats door de (betreffende) Privacy Officer samen met de betrokken medewerker.

 

Beoordeling:

• -

  Voldoet het verzoek aan de voorwaarden van de AVG resp. de Wpg. Zie hiervoor de aandachtspunten genoemd in de Bijlage Beoordeling.

Als het verzoek niet voldoet aan de daaraan te stellen eisen of als er sprake is van een onredelijke inspanning van het waterschap om te kunnen voldoen aan het verzoek, wordt de verzoeker hiervan in kennis gesteld en krijgt de gelegenheid om binnen een redelijke termijn het verzoek (eventueel) aan te passen en opnieuw in te dienen. Als hiervan geen gebruik wordt gemaakt, dan eindigt hiermee het proces en wordt de zaak afgesloten door de Privacy Officer. Dit wordt schriftelijk bevestigd naar de indiener van het verzoek. Een aangepast verzoek wordt opnieuw beoordeeld op de eisen en doorloopt vervolgens de volgende fase.

 

Als het verzoek voldoet aan de daaraan te stellen eisen dan volgt de inhoudelijk beoordeling van het verzoek. De stappen hiervoor zijn:

• -

  Bepaal welke acties nodig zijn;

• -

  Vraag altijd juridisch advies van een juridisch adviseur;

• -

  Kijk met name bij verzoeken tot wissing (verwijderen; recht van vergetelheid) naar de effecten voor het waterschap;

• -

  Voer de acties uit (bijvoorbeeld bij rectificatie, wissing) of laat deze uitvoeren door anderen (bijvoorbeeld de functioneel applicatiebeheerder); de betreffende procesmanager / - medewerker is verantwoordelijk voor de uitvoering van de actie;

• -

  Verzamel bewijs van de uitgevoerde actie of leg minimaal vast op welke wijze de stappen zijn doorlopen;

• -

  Vraag eventueel advies van de AP op de concept-reactie (door de Functionaris Gegevensbescherming)

• -

  Stel een concept-reactie op naar de verzoeker met uitleg over het doorlopen proces en de eventuele bewijsstukken en bespreek de concept-reactie altijd met de Functionaris Gegevensbescherming en de jurist.

Deze stappen worden uitgevoerd door de Privacy Officer samen met de betrokken medewerker en door de Privacy Officer vastgelegd in JOIN (bij de betreffende zaak).

 

(VOETNOTEN: [3] Zie servicenormen waterschap [4] Denk bijv. aan een verzoek tot wissing; dan is ook de I&A afdeling betrokken [5] Voor de eenvoud in het vervolg ook aangeduid als de privacy officer)

 

• 6.

  Versturen reactie

Na instemming van de betreffende procesmanager wordt de schriftelijke reactie met bijlagen verstuurd naar de indiener. De uitgaande brief wordt ondertekend door de procesmanager en daarmee wordt de zaak afgesloten in JOIN.

Let op dat het versturen van de reactie binnen de termijn plaatsvindt of informeer de indiener indien nodig/toegestaan tijdig over de verlenging van de termijn.

De indiener wordt in de brief altijd gewezen op de mogelijkheid van indienen bezwaar bij de AP, ongeacht of voldaan is aan het verzoek of niet.

 

Registreren:

Registreer de uitgaande brief in JOIN (betreffende zaak). De actie wordt uitgevoerd door de Privacy Officer.

 

• 7.

  Sluiting van de PDCA-cirkel

Als laatste wordt door de Privacy Officer bekeken welke algemene lessen uit het verzoek en de doorlopen processtappen zijn te trekken. Dit kan voor zowel het betreffende proces relevant zijn als voor andere processen c.q. aanvragen. Waar nodig wordt het te doorlopen proces bij de beoordeling van verzoeken aangepast.

 

8. Procesbeschrijving periodieke controle

De teamleiders zijn zelf verantwoordelijk voor het toezicht op de uitvoering van de hoofdlijnen en de procesbeschrijving. Dit betreft de zogenaamde eerste lijns controle.

Onderdeel van het toetsing- en auditplan is het periodiek toetsen van de uitvoering door de Privacy Officer c.q. de FG.

 

BIJLAGE BEOORDELING

 

Voorwaarden AVG

Een verzoek moet voldoen aan de voorwaarden van de AVG. De onderstaande aandachtspunten ondersteunen daarbij. Let op:

 

- Of de indiener een verzoek doet met betrekking tot:

 

• *

  de eigen gegevens of;

• *

  de gegevens van iemand die jonger is dan 16 jaar én de indiener het ouderlijk gezag over diegene heeft of;

• *

  de gegevens van iemand zijn die onder curatele staat én de indiener diens curator is.

Dit bepaalt namelijk de inhoudelijke reactie.

 

- Afhankelijk van het verzoek zijn er voorwaarden waaraan moet worden voldaan; de betreffende wetteksten zijn hier samengevat. Bij uitvoering van de procedure wordt de tekst van de AVG ter hand genomen:

 

a. verzoek om inzage en informatie over de verwerking op basis van Art. 15 lid 1 en lid 2 AVG onder de voorwaarde dat er geen afbreuk wordt gedaan aan de rechten en vrijheden van anderen;

b. verzoek om een kopie van de gegevens op basis van Art. 15 lid 3 AVG (indien het verzoek elektronisch is ingediend in een gangbaar elektronisch formaat) onder voorwaarde dat er geen afbreuk wordt gedaan aan de rechten en vrijheden van anderen;

c. verzoek om rectificatie op basis van Art. 16 AVG, onder de voorwaarde dat de opgeslagen persoonsgegevens onjuist of onvolledig zijn;

d. verzoek om gegevenswissing op basis van Art. 17 AVG, onder voorwaarde dat:

 

• *

  de gegevens niet langer nodig zijn voor de doeleinde waarvoor ze zijn verzameld of verwerkt of

• *

  er geen wettelijke plicht is voor het waterschap om de gegevens blijvend te registreren en te bewaren of

• *

  wanneer toestemming van de betrokkene (Art. 6 lid 1 sub a AVG) of diens ouders (Art. 8 lid 1 AVG) de grondslag voor de verwerking is, deze toestemming wordt ingetrokken of

• *

  de betrokkene bezwaar maakt tegen de verwerking conform Art. 21 AVG en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking of

• *

  de persoonsgegevens onrechtmatig zijn verwerkt of

• *

  de persoonsgegevens moeten worden gewist om te voldoen aan EU- of Nederlands recht.

   

e. verzoek om beperking van de verwerking op basis van Art. 18 AVG, onder voorwaarde dat:

 

• *

  de juistheid van gegevens wordt betwist gedurende de periode die nodig is om de juistheid van persoonsgegevens te controleren of

• *

  de verwerking onrechtmatig is en de betrokkene zich verzet tegen wissing daarvan of

• *

  de gegevens niet meer nodig zijn voor de doeleinden van de verantwoordelijke, maar de betrokkene deze nodig heeft voor een rechtsvordering of

• *

  er een bezwaarprocedure loopt en de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene;

   

f. verzoek om overdracht van gegevens op basis van Art. 20 AVG, onder voorwaarde dat:

 

• *

  de verwerking berust op toestemming en

• *

  de gegevens geautomatiseerd worden verwerkt en

• *

  het verzoek geen afbreuk doet aan de rechten en vrijheden van anderen;

   

g. bezwaar op basis van Art. 21 AVG

 

De Privacy Officer AVG stelt, eventueel na overleg met de Functionaris Gegevensbescherming AVG, vast of aan de voorwaarden voor behandeling van de aanvraag is voldaan.

 

Voorwaarden WPG

Een verzoek moet voldoen aan de voorwaarden van de WPG. De onderstaande aandachtspunten ondersteunen daarbij. Let op:

 

- Of de indiener een verzoek doet met betrekking tot :

 

• *

  de eigen gegevens of;

• *

  de gegevens van iemand die jonger is dan 16 jaar én de indiener het ouderlijk gezag over diegene heeft of;

• *

  de gegevens van iemand zijn die onder curatele staat én de indiener diens curator is.

Zie artikel 26.

 

- Afhankelijk van het verzoek zijn er voorwaarden waar moet worden voldaan; de betreffende wetteksten zijn hier samengevat:

 

a. Bij een verzoek recht op inzage (artikel 25): vooraf een deugdelijk vaststelling van de identiteit.

b. Bij een verzoek recht op rectificatie en vernietiging (artikel 28); rekening houdend met het doel van de verwerking, strijdigheid met een wettelijk voorschrift, afscherming in plaats van vernietiging

c. In artikel 27 zijn uitzonderingen genoemd waarbij een verzoek op inzage c.q. rectificatie of vernietiging wordt afgewezen. Deze zijn:

 

• a)

  ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

• b)

  ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

• c)

  ter bescherming van de openbare veiligheid;

• d)

  ter bescherming van de rechten en vrijheden van derden;

• e)

  ter bescherming van de nationale veiligheid;

• f)

  ingeval van een kennelijk ongegrond of buitensporig verzoek.

   

d. Een beslissing op een verzoek geldt als een besluit in de zin van de Algemene wet bestuursrecht.

De Privacy Officer WPG stelt, eventueel na overleg met de Functionaris Gegevensbescherming WPG vast of aan de voorwaarden voor behandeling van de aanvraag is voldaan.