Waterschapsblad van Waterschap Rivierenland
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Waterschap Rivierenland | Waterschapsblad 2022, 7423 | beleidsregel |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Waterschap Rivierenland | Waterschapsblad 2022, 7423 | beleidsregel |
Privacybeleid Waterschap Rivierenland 2022
Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) rechtstreeks van toepassing in alle lidstaten van de Europese Unie. De AVG beschermt enerzijds de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Anderzijds legt de AVG-verplichtingen op aan organisaties die persoonsgegevens verwerken. Eén van die verplichtingen is het vaststellen van privacy beleid.
Het verwerken van persoonsgegevens is geen kernactiviteit van Waterschap Rivierenland, maar een afgeleide van of ondersteunend aan de primaire processen. In dat verband werkt iedere medewerker van het waterschap in meer of mindere mate met persoonsgegevens. De persoonsgegevens hebben betrekking op enerzijds gegevens van burgers en anderzijds op gegevens van collega’s, waaronder ook worden verstaan persoonsgegevens van bedrijven en organisaties waarmee het waterschap samenwerkt.
Met het vaststellen van privacy beleid wil Waterschap Rivierenland in control zijn voor wat betreft het omgaan met persoonsgegevens. Naast een goede beveiliging en verantwoord gebruik van persoonsgegevens, waarbij wordt voldaan aan wet- en regelgeving, worden privacy risico’s geïnventariseerd en worden passende maatregelen genomen. In het privacy beleid geeft waterschap Rivierenland op organisatorisch- en strategisch niveau duidelijkheid over de keuze van de inrichting van privacy om te waarborgen dat de verwerking op een rechtmatige wijze plaatsvindt. Daarmee voldoet het waterschap aan de in de AVG opgenomen verantwoordingsplicht.
Op 18 september 2018 (registratienummer 2018070632) heeft Waterschap Rivierenland het “Privacy beleid Waterschap Rivierenland 2018” vastgesteld. Dit beleid is op 14 november 2018 bekendgemaakt in het Waterschapsblad van Waterschap (Nr. 11239). Het is goed gebruik om beleid na verloop van tijd te evalueren en waar nodig te actualiseren.
Ten aanzien van de privacy hanteert het waterschap de volgende visie:
“Als overheidsorganisatie heeft Waterschap Rivierenland wettelijk taken waarvoor het noodzakelijk is om persoonsgegevens te verwerken. Op ons rust een belangrijke verantwoordelijkheid om zorgvuldig om te gaan met deze persoonsgegevens, zowel van de inwoners van ons werkgebied als van onze collega’s, zowel medewerkers als bestuurders. Daarbij houden we ons vanzelfsprekend aan de wet. Maar naast de wettelijke bepalingen laten we ook ethiek meewegen in onze keuzes. We stellen ons, vooral bij gevoelige verwerkingen, niet alleen de vraag of het mag, maar ook of het deugt. Het vertrouwen van onze ingelanden is een groot goed en mag niet geschaad worden door onrechtmatige, onjuiste of onzorgvuldige verwerking van persoonsgegevens.”
Waterschap Rivierenland verwerkt weinig bijzondere persoonsgegevens. De schaalgrootte van deze verwerkingen mag, in verhouding tot andere overheden zoals bijvoorbeeld gemeenten of belastingsamenwerkingen, als beperkt worden gezien. Weliswaar kennen we een aantal gevoelige processen, denk aan grondzaken, handhaving of de personeelsadministratie, maar er is geen noodzaak om de bescherming integraal tot het hoogste beschermingsniveau op te voeren.
Het devies hierbij is dat het voldoende is indien aan de in de privacywetgeving opgenomen vereisten wordt voldaan. Ongeacht de noodzakelijke zwaarte van de beveiliging moet compliance worden geborgd. De volwassenheid van de processen bepaalt de mate waarin we in-control zijn. Voor het bepalen van de volwassenheid van (persoons-)gegevensbescherming binnen Waterschap Rivierenland gebruiken we het Capability Maturity Model (CMM).
In november 2019 is de opdrachtgeverstafel akkoord gegaan met het Programmaplan Informatieveiligheid en Privacy 2020-2024 (versie 0.8), waarin de ambitie is vastgelegd om de BIO en de AVG in “opzet en bestaan” per 1 januari 2022 aantoonbaar te hebben geïntegreerd in de bedrijfsvoering van de waterschappen (volwassenheidsniveau 3). Tevens is in dit programmaplan de lange termijnambitie opgenomen om “de werking” van de implementatie van de BIO en de AVG in de bedrijfsvoering van de waterschappen per 1 januari 2025 aantoonbaar op volwassenheidsniveau 4 (beheersing) te hebben.
1.4 Doel van het privacy beleid
Zoals uit voorgaande privay visie volgt, heeft Waterschap Rivierenland vanuit zijn wettelijke en dienstverlenende taken te maken met het verwerken van persoonsgegevens van derden, haar eigen medewerkers en bestuurders. In dit verband kan onder andere worden gedacht aan het verlenen van vergunningen, de personeelsadministratie en het behandelen van bezwaren, klachten en aansprakelijkstellingen. Door toenemende samenwerking met (overheids-)partners neemt de ketenverwerking van persoonsgegevens toe. Het is daarom belangrijk inzicht te hebben waar persoonsgegevens (zich in de organisatie) bevinden en wie verantwoordelijk is voor de verwerking ervan.
Beoogd wordt de persoonlijke levenssfeer van de betrokkene zoveel mogelijk te respecteren. De gegevens, die betrekking hebben op een betrokkene dienen beschermd te worden tegen onwettelijk en ongeautoriseerd gebruik en tegen verlies dan wel misbruik op basis van het fundamenteel recht op bescherming van zijn/haar persoonsgegevens. Dit brengt met zich mee dat het verwerken van persoonsgegevens dient te voldoen aan relevante wet- en regelgeving en dat persoonsgegevens veilig zijn bij Waterschap Rivierenland.
Het privacybeleid is dan ook van belang voor alle medewerkers, betrokkenen en organisaties waarmee het waterschap samenwerkt. Het heeft consequenties voor het werk van alle medewerkers die met persoonsgegevens werken. Het privacybeleid heeft betrekking op het verwerken van persoonsgegevens van alle betrokkenen binnen het waterschap, waaronder alle bestuursleden, medewerkers, bezoekers en externe relaties.- Het privacybeleid wordt, bij aanvang van de werkzaamheden voor het waterschap, met hen gedeeld, waarbij ook wordt ingegaan op de vraag wat dit beleid voor deze werkzaamheden betekent.
Het privacybeleid heeft als doel om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren, waarbij een goede balans moet worden gevonden tussen privacy, functionaliteit en veiligheid. Daarnaast geeft het privacybeleid medewerkers en andere betrokkenen inzicht in de wijze waarop is beschreven hoe het waterschap omgaat met privacy. Verder helpt het privacybeleid bij het creëren van bewustwording over het belang en de noodzaak van het verantwoord omgaan met en het beschermen van persoonsgegevens. As gevolg daarvan kunnen betrokkenen er op vertrouwen dat Waterschap Rivierenland op een zorgvuldige en veilige manier omgaat met persoonsgegevens.
Privacy is een breed begrip om het (grond)recht op de persoonlijke levenssfeer van een individu te beschrijven. Daaronder vallen niet alleen persoonsgegevens, maar ook fysieke en sociale aspecten. Dit beleid richt zich in eerste instantie op de informationele privacy, omdat de privacywetgeving zich daar op richt. Informationele privacy betekent bescherming van personen in verband met de informatie die over hen bekend is en ten aanzien van hen wordt toegepast.
Het privacy beleid is van toepassing op de hele organisatie, alle taken en processen, objecten, gegevensverzamelingen en onderliggende informatiesystemen waar het waterschap verantwoordelijk voor is. Bij de implementatie van dit geactualiseerde beleid zullen de proceseigenaren, systeemeigenaren, gegevenseigenaren en medewerkers van het waterschap worden betrokken.
Van het privacybeleid zijn strafrechtelijke- en belastinggegevens uitgesloten. Ten aanzien van strafrechtelijke gegevens geldt namelijk niet de AVG, maar de Europese Richtlijn gegevensbescherming politie en justitie en de Wet politiegegevens (Wpg). Hieronder vallen ook de taken ter bescherming van de openbare veiligheid.
Dit betekent dat medewerkers van het waterschap bij de uitoefening van hun taken als buitengewoon opsporingsambtenaar (BOA) gehouden zijn aan voornoemde richtlijn en wet.
Ten aanzien van belastinggevens gelden de bepalingen van de Algemene wet inzake rijksbelastingen (AWR). Tevens dient bij belastinggevens rekening te worden gehouden met de omstandigheid dat de heffing en de inning door het waterschap slechts is beperkt tot de leges. De overige waterschapsbelastingen worden namelijk op basis van delegatie opgelegd en geind door Belastingsamenwerking Rivierenland (BSR, een gemeenschappelijke regeling met een openbaar lichaam), waarvan Waterschap Rivierenland één van de deelnemers is. Door deze delegatie zijn alle bevoegdheden en verplichtingen aangaande de overgedragen waterschapsbelastingen overgegaan op BSR, zodat BSR zelfstandig verantwoordelijk is voor het naleven van de AVG en de fiscale wetgeving inzake privacy en geheimhouding.
Tot slot ziet dit privacybeleid niet op de informatieveiligheid, aangezien daar een apart beleidsdocument voor is opgesteld.
In dit privacy beleid wordt in hoofdstuk 2 eerst ingegaan het van toepassing zijnde juridisch kader. Vervolgens wordt in hoofdstuk 3 ingegaan op het organisatorische kader. In hoofdstuk 4 wordt ingegaan op de toepassing van het privacy beleid in de praktijk. In hoofdstuk 5 wordt vervolgens ingegaan op de uitgangspunten en de richtlijnen die van toepassing zijn bij de verwerking van persoonsgegevens. De implementatie van het privacy beleid binnen de organisatie van het waterschap komt in hoofdstuk 6 aan de orde. De rechten voor betrokkenen komen in hoofdstuk 7 aan de orde. In hoofdstuk 8 wordt ingegaan op het omgaan met incidenten inzake persoonsgegevens. Tot slot wordt in hoofdstuk 9 ingegaan op de verantwoordingplicht die het waterschap in het kader van de AVG heeft.
2.1 De Algemene verordening gegevensbescherming en de Uitvoeringswet AVG
De bescherming van persoonsgegevens is verankerd in de Grondwet, het Europees Verdrag voor de rechten van de Mens (EVRM) en het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR). De regels over hoe om te gaan met dit grondrecht zijn met ingang van 25 mei 2018 opgenomen in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
De AVG is van toepassing op de gehele of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Op de volgende verwerkingen is de AVG echter niet van toepassing:
verwerking van persoonsgegevens door politie en justitie als zij hun taken voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen uitvoeren. Daarvoor geldt de Europese Richtlijn gegevensbescherming politie en justitie en de Wet Politiegegevens (WPG). Hieronder vallen ook de taken ter bescherming van de openbare veiligheid. Dit betekent dat medewerkers van het waterschap bij de uitoefening van hun taken als buitengewoon opsporingsambtenaar (BOA) gehouden zijn aan voornoemde richtlijn en wet.
In diverse bijzondere wetten, die ook voor het waterschap relevant zijn, zijn ook regels met betrekking tot privacy opgenomen. Zo bevatten bijvoorbeeld de Telecommunicatiewet, de Archiefwet, de Algemene wet inzake rijksbelastingen, het Wetboek van Strafrecht en de Wet basisregistratie personen afwijkende en/of aanvullende eisen ten aanzien van de privacy.
De betreffende bijzondere wetten dienen in onderlinge samenhang met de AVG te worden bezien. Over het algemeen geldt als uitgangspunt dat de AVG van toepassing is als algemene wet, waarvan de bepalingen echter niet van toepassing zijn indien er bijzondere wetgeving geldt.
2.3 Beleidsdocumenten Waterschap Rivierenland
Diverse interne beleidsstukken hebben een relatie met het privacy beleid of zijn hier een nadere uitwerking van. Daar waar in dit privacy beleid wordt verwezen naar een zorgvuldige omgang met persoonsgegevens of de bescherming van privacy wordt verondersteld dat het privacy beleid daaraan ten grondslag ligt. In dit verband wordt onder meer verwezen naar het Protocol personeelsvolgsystemen, de gedragscode integriteit voor medewerkers, de gedragscode gebruik online en offline middelen, de richtlijnen voor gebruik van sociale media, de uitvoeringsregeling integriteitsbeleid en de servicenormen van het waterschap. Tot slot wordt in dit verband verwezen naar het informatiebeveiligingsbeleid van Waterschap Rivierenland.
Naast wet- en regelgeving vormt ook de jurisprudentie een belangrijke bron voor de bescherming van privacy. In jurisprudentie wordt immers nader duiding gegeven aan wet- en regelgeving, hetgeen gevolgen kan hebben voor de wijze waarop de dagelijkse werkzaamheden binnen het waterschap worden verricht.
De feitelijke verwerking van persoonsgegevens vindt plaats in de hele organisatie. Het is daarom van belang om binnen de organisatie duidelijk aan te geven wie waarvoor verantwoordelijkheid draagt. Binnen Waterschap Rivierenland worden verschillende rollen met bijbehorende taken en verantwoordelijkheden onderkend. Uiteindelijk is het zorgvuldig omgaan met persoonsgegevens een verantwoordelijkheid voor iedereen in de organisatie van het waterschap.
Ten einde als waterschap te voldoen aan de AVG zijn ten aanzien van de privacy (informatiebeveiliging valt buiten dit beleid) verschillende rollen met bijbehorende verantwoordelijkheden onderscheiden.
3.2 Het College van dijkgraaf en heemraden
Het College van dijkgraaf en heemraden (CDH) is eindverantwoordelijk voor de rechtmatige, zorgvuldige en transparante verwerking van persoonsgegevens binnen het waterschap. Dit geldt ook voor de verwerkingen van persoonsgegevens die ter beschikking worden gesteld aan derden of worden gedeeld in samenwerkingsverbanden.
Het CDH stelt het beleid, de uitvoeringsmaatregelen en de procedures vast op het gebied van verwerkingen van persoonsgegevens met inachtneming van de aanbevelingen van de Functionaris Gegevensbescherming.
Het CDH bevordert de beschikbaarheid van voldoende middelen om uitvoering van het privacy beleid te waarborgen. Naleving van de privacywetgeving is de uitdrukkelijke verantwoordelijkheid van het College van dijkgraaf en heemraden en niet van de Functionaris Gegevensbescherming.
3.3 Portefeuillehouder privacy
Het CDH wijst uit haar midden een portefeuillehouder Privacy aan die bestuurlijk verantwoordelijk is voor de uitvoering van het privacy beleid en de controle en de naleving daarvan. De portefeuillehouder Privacy is ambassadeur voor het uitdragen van het belang van een goede organisatie van privacy en ziet erop toe dat privacy een vast onderdeel van de bedrijfsvoering wordt.
De teamleiders zijn verantwoordelijk voor de verwerkingen en het beheer van persoonsgegevens die plaatsvinden binnen hun team op de betreffende afdeling. De teamleiders zijn medeverantwoordelijk voor het creëren van bewustwording en de naleving van het privacy beleid binnen de werkprocessen van de eigen afdeling.
3.5 Systeemeigenaar /functioneel beheerder
Iedere systeemeigenaar of functioneel beheerder is verantwoordelijk voor zijn applicatie en bijbehorende ICT-faciliteiten. De systeemeigenaar of functioneel beheerder moet er voor zorgen dat de applicatie blijft beantwoorden aan de eisen van de wet- en regelgeving, waaronder de privacywetgeving.
3.6 Chief Information Security Officer
De Chief Information Security Officer (CISO) is eindverantwoordelijk voor de informatieveiligheid, dat raakvlakken heeft met privacy.
3.7 Information Security Officer
De Information Security Officer (ISO) wordt geconsulteerd bij de implementatie van het privacy beleid, aangezien het zorgvuldig omgaan met persoonsgegevens onderdeel uitmaakt van wet- en regelgeving op het gebied van de informatiebeveiliging.
De communicatieadviseur draagt zorg voor de uitvoering van het awareness programma privacy binnen de organisatie.
Een privacy ambassadeur (PA) is een medewerkers op een afdeling of binnen een team waar veelvuldig met persoonsgegevens wordt gewerkt. De privacy ambassadeur is de eerst aan te spreken persoon voor medewerkers van de betreffende afdelingen/teams. Deze functionaris heeft affiniteit met en kennis van de privacywetgeving en stimuleert de actieve toepassing van het privacy beleid van WSRL in de werkprocessen van de afdeling/het team.
3.10 Medewerker Waterschap Rivierenland
Het succes van het in achtnemen van privacyaspecten in de dagelijkse praktijk is voor het overgrote deel afhankelijk van de medewerkers van Waterschap Rivierenland. Ten einde dit succes zo groot mogelijk te maken, worden de medewerkers regelmatig geïnformeerd en getraind met betrekking tot privacyaspecten.
Waterschap Rivierenland werkt bij de aan haar opgedragen taken veel samen met andere partijen om te komen tot een efficiëntere uitvoering van taken. Een dergelijke samenwerking kan op verschillende manieren invulling worden gegeven. Een samenwerking kan bijvoorbeeld vorm worden gegeven door het sluiten van een samenwerkingsovereenkomst met één of meer andere partijen. Een zwaardere vorm van samenwerking is het laten uitvoeren van taken door zogenaamde 'Verbonden Partijen'. Deze partijen zijn organisaties waaraan Waterschap Rivierenland zich bestuurlijk én financieel verbindt om aan het waterschap opgedragen taken uit te voeren. Bij welke verbonden partijen het waterschap deelneemt, is opgenomen in de “Nota Governance verbonden partijen”, die als bijlage onderdeel uitmaakt van de begroting en de jaarrekening. De verbonden partijen zijn ieder zelf verantwoordelijk voor het voldoen aan de privacywetgeving. In de reguliere overlegstructuren stelt Waterschap Rivierenland het belang om te voldoen aan de privacywetgeving aan de orde.
3.12 Functionaris Gegevensbescherming
Binnen waterschap Rivierenland is een Functionaris Gegevensbescherming (FG) aangesteld en als zodanig aangemeld bij de toezichthouder privacy, de Autoriteit Persoonsgegevens (AP). Als plaatsvervangend FG zijn de privacy officers aangewezen.
De wettelijke taken van de FG zijn het informeren en adviseren van het betrokken personeel, het houden van toezicht op de naleving van de AVG, de advisering m.b.t. gegevensbeschermingseffect-beoordelingen (GEB’s) en samenwerking met en contactpersoon voor de AP.
De FG moet worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens en heeft toegang tot alle persoonsgegevens die in de organisatie in omloop zijn en de diverse verwerkingsactiviteiten die daarmee gepaard gaan. Het waterschap ondersteunt de FG bij de uitvoering van de taken die hem zijn toebedeeld volgens de AVG.
De FG heeft in de eerste plaats de rol van intern toezichthouder. Daarnaast heeft de FG een adviserende en coördinerende rol en fungeert als klankbord voor medewerkers en als contactpersoon en aanspreekpunt in de richting van de Autoriteit Persoonsgegevens.
De FG moet zijn taken onafhankelijk uit kunnen voeren. Dit betekent dat hij geen instructies mag krijgen over de uitvoering van de taken. De FG heeft een toezichthoudende rol en toetst hoe de bescherming van persoonsgegevens binnen het waterschap wordt opgepakt. De FG is niet betrokken bij de operationele uitvoering. De FG heeft een bijzondere rechtspositie: hij geniet ontslagbescherming voor de uitvoering van zijn taken (net zoals de leden van de OR). De FG rapporteert over zijn taken aan het College van dijkgraaf en heemraden. Vanwege zijn onafhankelijke rol is de functie van FG binnen WSRL belegd bij het Team Concerncontrol.
Concreet heeft de FG de volgende taken:
De FG heeft geen formele sanctiebevoegdheden, maar het waterschap ondersteunt de FG met de volgende maatregelen:
Om te voorkomen dat een FG zich te teveel met uitvoerende taken bezighoudt en daarmee in feite mogelijk zijn eigen werkzaamheden controleert, worden deze taken bij Waterschap Rivierenland uitgevoerd door een Privacy Officer (PO). De Privacy Officer rapporteert aan en werkt nauw samen met de FG. De rol van Privacy Officer wordt bij Waterschap Rivierenland uitgevoerd door twee juristen uit het Team Bestuurs- en Juridische Zaken (T-BJZ). De verschillende uitvoerende taken zijn over deze twee personen verdeeld, met dien verstande dat zij elkaars werkzaamheden kunnen uitvoeren.
Naast het adviseren en het bijstaan van de FG en het in behandeling nemen van meldingen van datelekken hebben de privacy officers de volgende taken:
Het privacyteam van Waterschap Rivierenland bestaat uit drie personen, te weten de FG en de twee PO’s. Zij overleggen periodiek over privacyaangelegenheden, in het kader van de privacy te gebruiken documenten en bespreken privacyincidenten (meldingen van (mogelijke) datalekken. Waar nodig vindt bijvoorbeeld ook afstemming plaats met de collega’s die betrokken zijn bij ICT indien het gaat om de beveiliging van persoonsgegevens alsmede met de afdeling OMC indien het gaat om de bewustwording van de privacyaspecten die met de dagelijkse werkzaamheden voor het waterschap zijn verbonden. Het privacyteam is bereikbaar via privacy@wsrl.nl
4. Toepassing privacybeleid in de praktijk
In het privacy beleid worden de kaders voor het omgaan met persoonsgegevens vastgelegd. Sommige onderwerpen zijn nader uitgewerkt in afzonderlijke regelingen, zoals het Protocol personeelsvolgsystemen en de Procedure Meldplicht Datalekken.
Daarnaast wordt in het beleid verwezen naar gedragscodes en richtlijnen die door de Autoriteit Persoonsgegevens zijn vastgesteld en waarin de uitvoering van de AVG nader wordt geconcretiseerd.
Het privacy beleid is te beschouwen als een levend document, dat regelmatig aangevuld en/of gewijzigd kan worden.
In de Privacy Baseline van het Centrum Informatiebeveiliging en privacybescherming (CIP) zijn de eisen van de AVG vertaald naar concrete, hanteerbare normen die duidelijk maken wat er van organisaties wordt verlangd op beleids-, uitvoerings- en control (beheers)niveau om te voldoen aan de wettelijke verplichtingen en daarmee de privacy van burgers te borgen. Door het in acht nemen van de criteria van de Privacy Baseline wordt voldaan aan de specifieke doelen van privacybescherming: afscherming, corrigeerbaarheid en transparantie. Deze begrippen zijn in de Privacy Baseline als volgt omschreven:
Zorgt ervoor dat persoonsgegevens niet op een onrechtmatige manier kunnen worden verwerkt, zoals het gebruiken, doorgeven of koppelen van persoonsgegevens voor andere doelen dan de oorspronkelijke of voor onbekende doeleinden.
Tijdens en na elke verwerking van persoonsgegevens is het mogelijk om de persoonsgegevens en de uitkomsten van de verwerking aan te passen, indien deze niet voldoen aan de doelverbinding of de kwaliteitsvereisten en daardoor de betrokkenen (kunnen) benadelen.
Voor, tijdens en na elke verwerking van persoonsgegevens is er duidelijkheid over de doelverbinding, de wettelijke grondslag en de organisatorische en technische inrichting van de verwerking van persoonsgegevens.
Bij het implementeren van het privacy beleid zijn deze criteria uit de Privacy Baseline van het CIP als uitgangpunt genomen.
Bij de beschreven privacy visie past alleen maar een terughoudende risicobereidheid waar het gaat om de omgang met persoonsgegevens. Betrokkenen hebben geen keuze in hun relatie met het waterschap. Het waterschap handelt op grond van wettelijk toebedeelde taken en bevoegdheden en treedt soms diep binnen in de persoonlijke levenssfeer. Denk aan het verwerven van grond of onroerende zaken bij ingrepen in het landschap. Zorgvuldigheid is hierbij geboden. De risicobereidheid van WSRL als het gaat om de verwerking van persoonsgegevens moet gesteld worden op “terughoudend”.
Naast terughoudendheid dient te worden voorkomen dat de volgende situaties zich (gaan) voordoen:
Ten einde voornoemde situaties te voorkomen verwacht het college van dijkgraaf en heemraden van de proceseigenaren een rechtmatige en een zorgvuldige verwerking van persoonsgegevens. Proceseigenaren kunnen hiervoor rekenen op support van het privacyteam.
Het college voert een voorwaardenscheppend beleid teneinde binnen Waterschap Rivierenland een privacybestendige cultuur te realiseren. Proceseigenaren voorzien in passende organisatorische en technische oplossingen om de rechtmatigheid, proportionaliteit, juistheid, veiligheid van gegevensverwerking te waarborgen (‘privacywaarborgen’) en documenteren die maatregelen in de werkinstructies. Proceseigenaren zijn verantwoordelijk voor de volledigheid en actualiteit van het ‘register van verwerkingen’.
Het college is transparant over de bedrijfsvoering, de gegevensverwerking en de privacybeleidsvoering en faciliteert de uitoefening van rechten door personen over wie het waterschap gegevens verwerkt. Proceseigenaren verlenen hieraan hun medewerking. Het college en proceseigenaren dragen het belang uit van privacybeleidsvoering en geven zelf het goede voorbeeld. Zo maken zij privacy bespreekbaar. En bij dilemma’s gaan zij de dialoog aan met doelgroepen over wie persoonsgegevens worden verwerkt.
Het niet voldoen aan de privacywetgeving kan verregaande gevolgen hebben voor zowel betrokkenen als ook het waterschap.
Verkeerd gebruik, misbruik of verlies van persoonsgegevens kan een behoorlijke impact hebben op iemands zakelijke- en/of privéleven en kan leiden tot aanzienlijke (materiele en/of immateriële) schade. Het kan van invloed zijn op iemands reputatie, leiden tot discriminatie, identiteitsfraude, financiële verliezen, verlies van vertrouwelijkheid van gegevens, verlies van bedrijfsgeheimen en verhindering om rechten en/of vrijheden uit te oefenen.
Voor Waterschap Rivierenland kan het niet voldoen aan de privacywetgeving (of zelfs de schijn daarvan) leiden tot negatieve publiciteit en imagoschade. Daarnaast kan het leiden tot juridische consequenties, zoals:
Met privacy by Design en privacy by Default wordt zo goed mogelijk invulling gegeven aan de bescherming van de privacy van betrokkenen. Bij Privacy by design wordt reeds bij de start van het ontwerpen van een product of dienst rekening gehouden met de privacy van betrokkenen. Het doel is om de bescherming van persoonsgegevens te optimaliseren.
De zeven basisprincipes voor privacy by design zijn:
Privacy by design betekent niet alleen het inbouwen van privacy in systemen, maar ook in werkprocessen, de managementstructuur en in het netwerk. Voorbeelden zijn:
5. Uitgangspunten en richtlijnen bij de verwerking van persoonsgegevens
Als algemeen uitgangspunt bij de verwerking van persoonsgegevens door Waterschap Rivierenland geldt dat persoonsgegevens in overeenstemming met de relevante wet- en regelgeving op behoorlijke en zorgvuldige wijze worden verwerkt. Daarbij dient een goede balans te worden gevonden tussen het belang van het waterschap om persoonsgegevens te verwerken en het belang van betrokkene om eigen keuzes te maken met betrekking tot zijn persoonsgegevens.
Om aan het hiervoor beschreven algemene uitgangspunt invulling te geven, gelden de volgende uitgangspunten:
persoonsgegevens worden alleen verwerkt op een manier die ten aanzien van de betrokkene behoorlijk en transparant is, hetgeen inhoudt dat het voor betrokkenen inzichtelijk moet zijn in hoeverre en op welke manier er persoonsgegevens worden verwerkt. Informatie en communicatie daarover dient eenvoudig toegankelijk en begrijpelijk te zijn (‘behoorlijkheid en transparantie’);
persoonsgegevens worden alleen verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, waarbij het gaat om specifieke en gerechtvaardigde doeleinden, die zijn vastgelegd en omschreven alvorens een aanvang wordt gemaakt met de verwerking van persoonsgegevens. Daarbij geldt dat persoonssgegevens niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (‘doelbinding’);
de verwerking van persoonsgegevens gebeurt op de minst ingrijpende wijze als gevolg waarvan de hoeveelheid en het soort gegevens beperkt blijkft tot de gegevens die noodzakelijk zijn voor het specifieke doeleinde. De gegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn (‘minimale gegevensverwerking’);
Bij de verwerking van persoonsgegevens worden naast voornoemde uitgangspunten de volgende
Indien een externe partij wordt ingeschakeld voor de verwerking van persoonsgegevens, stel dan vast welke rol deze partij heeft (verwerkingsverantwoordelijke of verwerker), zorg indien van toepassing voor een verwerkersovereenkomst of passende contractuele afspraken over de verwerking. Het privacy team kan daarin adviseren en begeleiden;
Bij de (wijziging van de) verwerking van persoonsgegevens dan wel het aanvangen van een nieuwe verwerking van persoonsgegevens is er het bewustzijn dat er mogelijk risico’s zijn voor betrokkenen. Ten einde deze risico’s weg te nemen dan wel zo veel mogelijk te beperken, worden risico’s door middel van een quickscan en waar nodig via Dpia’s in kaart gebracht. Het privacy team kan daarin adviseren en begeleiden Op basis van deze risico-analyse worden afspraken gemaakt over de te nemen maatregelen om de risico’s weg te nemen dan wel zo veel mogelijk te beperken. Er wordt zorgvuldig omgegaan met de persoonsgegevens en indien er onverhoopt iets misgaat, dan wordt dat gemeld overeenkomstig de daarvoor vastgestelde procedure voor datalekken.
6. Implementatie privacybeleid
Na vaststellingvan het privacybeleid dient dit beleid in de organisatie van het wtaerschap te worden geimplementeerd. Om dit te realiseren, vindt afstemming plaats met lde teamleiders, aangezien deze leidinggevenden de verantwoordelijkheid dragen voor een zorgvuldige verwerking van persoonsgegevens binnen hun team. Deze verantwoordelijkheid omvat ook de keuze van de maatregelen alssmede de uitvoering en de handhaving van deze maatregelen. Waterschap Rivierenland heeft daarmee in het kader van het zorgvuldig en veilig omgaan met persoonsgegevens gekozen voor een lijnverantwoordelijkheid.
Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van het verwerken van persoonsgegevens uit te sluiten. Het is noodzakelijk om het bewustzijn bij alle medewerkers voortdurend aan te scherpen, zodat kennis van privacy risico’s wordt vergroot en het zorgvuldig en rechtmatig verwerken van persoonsgegevens wordt aangemoedigd.
Het privacy beleid en relevante privacyproducten worden gecommuniceerd via een vaste pagina/plaats op Stroom (intranet) en internet. Communicatie over het beleid is essentieel voor het creëren van draagvlak en het managen van verwachtingen ten aanzien van de privacy van personen. Het is van belang dat de urgentie van het privacy beleid om correct om te gaan met persoonsgegevens binnen de gehele organisatie blijvend wordt gevoeld. Daartoe worden regelmatig bewustwordingsactiviteiten en trainingen verzorgd. Daarnaast verleent het privacyteam waar nodig of gewenst ondersteuning bij de operationele priacyprocessen.
Het verwerken van persoonsgegevens is een continu proces. Technologische en organisatorische ontwikkelingen maken het noodzakelijk om periodiek te bezien of het privacybeleid al dan niet aanpassing behoeft. De FG houdt toezicht op de naleving van de privacywetgeving en het privacybeleid. Het privacyteam heeft periodiek overleg om actuele ontwikkelingen en gedane constateringen met elkaar te bespreken en te bezien of en zo ja welke vervolgacties nodig zijn.
In de AVG zijn verschillende rechten voor betrokkenen opgenomen die zij tegenover de verantwoordelijke kunnen inroepen. Het gaat dan vooral om inzage en verbeterings- of verwijderingsrechten en het daaruit afgeleide “right to be forgotten”, alsmede verzetsrechten met betrekking tot geautomatiseerde besluitvorming of direct marketing.
Op grond van artikel 12 AVG heeft de verwerkingsverantwoordelijke een algemene zorgplicht om passende maatregelen te nemen zodat de betrokkenen de informatie ontvangen in een begrijpelijke vorm. Als een betrokkene daarom verzoekt, verstrekt de verwerkingsverantwoordelijke kosteloos en zonder enige vertraging en uiterlijk binnen een maand de door hem verzochte informatie. De rechtsgrondslag van de verwerking moet expliciet vermeld worden en dat geldt ook voor de bron van de gegevens, wanneer dit nodig is om tegenover de betrokkene een eerlijke en transparante verwerking te waarborgen.
De rechten van betrokkenen zijn bekend gemaakt in de privacyverklaring op de website van Waterschap Rivierenland (www.wsrl.nl). Daar het aantal verzoeken van betrokkenen vooralsnog gering is, wordt in de praktijk maatwerk geleverd ingeval een betrokkene een verzoek heeft ingediend om gebruik te maken van het uitoefenen van zijn rechten.
7.2 Uitgangspunten uitoefenen rechten voor betrokkenen
Bij het uitoefenen van de rechten door betrokkenen geldt dat:
op een verzoek van een betrokkene wordt zo spoedig mogelijk na indiening schriftelijk gereageerd, maar uiterlijk binnen vier weken. Hierbij zal de betrokkene in ieder geval worden geïnformeerd over het gevolg dat aan het verzoek is gegeven. Indien de termijn van vier weken redelijkerwijs niet haalbaar is, zal betrokkene daarvan binnen deze termijn op de hoogte worden gesteld. In dat geval zal Waterschap Rivierenland binnen twee maanden na het verstrijken van de eerste termijn gevolg geven aan het verzoek van betrokkene.
De betrokkene heeft het recht om door Waterschap Rivierenland te worden geïnformeerd over bepaalde aspecten van de verwerking van zijn persoonsgegevens. Waterschap Rivierenland informeert betrokkene kosteloos over de verwerking van diens persoonsgegevens.
Iedere betrokkene heeft het recht om te informeren of zijn persoonsgegevens worden verwerkt en, indien dat het geval blijkt, het recht op inzage in hem betreffende verwerkte persoonsgegevens. Daarnaast kan betrokkene een kopie van de betreffende persoonsgegevens vragen. Het verstrekken van één kopie van deze gegevens is kosteloos.
7.5 Recht op rectificatie, aanvulling, verwijdering of beperking van de verwerking
Iedere betrokkene kan met betrekking tot over hem opgenomen persoonsgegevens bij het waterschap verzoeken deze gegevens te corrigeren, aan te vullen, te verwijderen of de verwerking ervan te beperken. Bij het recht op beperking worden de persoonsgegevens tijdelijk afgeschermd en niet meer door het waterschap verwerkt. Indien blijkt dat de opgenomen persoonsgegevens van de betrokkene feitelijk onjuist zijn, voor het doel of doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift zijn verwerkt, zal de gegevensbeheerder (dat kan zowel de functioneel beheerder als de verwerker zijn) deze gegevens verbeteren, permanent verwijderen, aanvullen dan wel beperken. De gegevensbeheerder zorgt ervoor dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd. De uitvoering hiervan is kosteloos voor betrokkene.
8 Incidenten met betrekking tot Persoonsgegevens
Iedere klacht of melding met betrekking tot de verwerking van persoonsgegevens door Waterschap Rivierenland is een privacy incident. De bekendste vorm van zo’n incident is een datalek.
Medewerkers (zowel intern als extern) van Waterschap Rivierenland zijn verplicht om een (vermoedelijk) datalek en andere privacy incidenten direct te melden. De melding wordt gedaan via
Stroom-meldingen-melding maken datalek
Van elk incident en de afhandeling daarvan wordt een registratie bijgehouden. Meldingen worden vertrouwelijk behandeld. De melder kan er op vertrouwen dat het doen van een melding geen persoonlijke consequenties heeft voor de melder. Een melder dient zolang het incident nog niet is afgehandeld vertrouwelijk met de melding om te gaan en hierover niet verder te communiceren dan met de leidinggevende, de FG of de privacy officers.
De afhandeling van incidenten heeft als doel het probleem op te lossen, de schade te beperken en de wetgeving na te leven. De behandeling van een melding vindt plaats door het privacyteam (bestaande uit de FG en de twee PO’s). De melder wordt in beginsel telefonisch benaderd om een toelichting te geven op de gedane melding. Zolang de melding openstaat wordt de melder tussentijds geïnformeerd over de voortgang in de afhandeling van de melding.
Per melding wordt beoordeeld of er al dan niet sprake lijkt te zijn van een datalek. Indien de melding een datalek betreft dan wordt beoordeeld of daarvan melding dient te worden gedaan bij de Autoriteit Persoonsgegevens (AP). Een melding aan de AP dient onverwijld binnen 72 uur na constatering plaats te vinden, tenzij het niet waarschijnlijk is dat het datalek (de inbreuk op de privacy) redelijkerwijs een risico voor de betrokkene met zich brengt.
Wanneer het informeren van betrokkenen verplicht is conform de regels van de AP of anderszins gewenst is, wordt de communicatie, in samenspraak met de behandelaar van de melding, vanuit de melder verzorgd.
Het is van belang om te leren van incidenten. Registratie van incidenten en een periodieke rapportage daarover horen thuis bij een professionele manier van verwerken van persoonsgegevens. De rapportage(s) over incidenten met betrekking tot persoonsgegevens maken daarom een vast onderdeel uit van het jaarverslag privacy van de FG.
In het kader van de AVG geldt dat het waterschap een verantwoordingsplicht heeft ten aanzien van de verwerking van persoonsgegevens. Hierna, onder 9.2, wordt schematisch een overzicht opgenomen met daarin opgenomen de verplichting, een toelichting en het proces of product dat daarbij hoort.
9.2 Overzicht verplichtingen met bijbehorend proces of product
In onderstaande tabel is aangegeven welke verplichtingen dat zijn en welke processen en producten daarmee samenhangen.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/wsb-2022-7423.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.