Zoek regelingen op overheid.nl
Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!
Nieuwegein

REGLEMENT Bescherming persoonsgegevens Nieuwegein

Wetstechnische informatie

Gegevens van de regeling
OrganisatieNieuwegein
OrganisatietypeGemeente
Officiële naam regelingREGLEMENT Bescherming persoonsgegevens Nieuwegein
CiteertitelReglement bescherming persoonsgegevens Nieuwegein
Vastgesteld doorcollege van burgemeester en wethouders
Onderwerpbestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Geen.

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Wet bescherming persoonsgegevens

Regelgeving die op deze regeling is gebaseerd (gedelegeerde regelgeving)

Geen.

Overzicht van in de tekst verwerkte wijzigingen

Datum inwerkingtreding

Terugwerkende kracht tot en met

Datum uitwerkingtreding

Betreft

Datum ondertekening

Bron bekendmaking

Kenmerk voorstel

21-10-2014nieuwe regeling

10-09-2014

Gemeenteblad, 20-10-2014

Onbekend.

Tekst van de regeling

Intitulé

Reglement bescherming persoonsgegevens Nieuwegein

Het college van de gemeente Nieuwegein;

Gelet op de Wet bescherming persoonsgegevens

BESLUIT

vast te stellen:

REGLEMENT Bescherming persoonsgegevens Nieuwegein

 

Artikel 1 Begripsbepalingen

In dit reglement wordt verstaan onder:

  • a.

    gemeente: gemeente Nieuwegein;

  • b.

    Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

  • c.

    Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

  • d.

    WBP: Wet bescherming persoonsgegevens;

  • e.

    CBP: College bescherming persoonsgegevens als bedoeld in artikel 51 van de WBP;

  • f.

    Verantwoordelijke: het (bestuurs) orgaan dat alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

  • g.

    Medewerker: degene die in dienst is van de gemeente, dan wel degene die werkzaamheden voor de gemeente verricht, anders dan in een dienstverband:

  • h.

    FG: de Functionaris Gegevensbescherming als bedoeld in artikel 62 van de WBP;

  • i.

    Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

  • j.

    Verwerking van persoonsgegevens: elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

  • k.

    Bewerker: degene, die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag is onderworpen;

  • l.

    Ontvanger: degene aan wie persoonsgegevens worden verstrekt;

  • m.

    Autorisatie: het binnen de toepassingssoftware toekennen van het niveau van gebruiksmogelijkheden aan een persoon of groepen van personen of het binnen de toepassingssoftware toekennen van het niveau van verstrekking van persoonsgegevens aan onderdelen binnen de eigen organisatie (intern) en derden (extern);

  • n.

    Identificatiecode: een door het systeembeheer aan de medewerker toegekende, in combinatie met het wachtwoord te gebruiken, toegangscode tot het digitale gemeentelijke netwerk;

  • o.

    Wachtwoord: een door de medewerker bepaalde unieke, in combinatie met de identificatiecode te gebruiken, toegangscode tot de geautoriseerde directories binnen het digitale gemeentelijke netwerk;

  • p.

    Voorafgaand onderzoek: een onderzoek dat het CBP kan instellen in afwijkende gevallen, als bedoeld in artikel 31 van de WBP;

  • q.

    Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;

  • r.

    Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;

  • s.

    Doelbinding: het doel waarvoor gegevens worden verzameld, als bedoeld in artikel 7 WBP;

  • t.

    Behoorlijke en zorgvuldige gegevensverwerking: de wijze waarop gegevens worden verwerkt, als bedoeld in artikel 6 WBP;

  • u.

    Grondslag: de redenen gegeven in artikel 8 WBP op basis waarvan persoonsgegevens verwerkt mogen worden;

  • v.

    Melding: verwerkingen van persoonsgegevens worden middels een melding aan het CBP bekend gemaakt, als bedoeld in artikel 27 WBP;

  • w.

    Rechten betrokkenen: een betrokkene heeft recht op kennis betreffende de verwerking van zijn persoonsgegevens, als vermeld in artikel 35, 36 en 37 WBP;

  • x.

    Geheimhouding: voor de verwerking van persoonsgegevens geldt een geheimhoudingsplicht, als vermeld in artikel 9, 4e lid en artikel 12, 2e lid WBP;

  • y.

    Doorgifte naar niet EU-landen: aan de doorgifte van persoonsgegevens naar andere landen worden eisen gesteld, als vermeld in artikel 76 WBP e.v..

Artikel 2 Reikwijdte reglement

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de gemeente verantwoordelijk is in de zin van de WBP, met uitzondering van de verwerkingen als bedoeld in artikel 2, tweede en derde lid en artikel 3 van de WBP.

Artikel 3 Functionaris Gegevensbescherming

Binnen de gemeente is een Functionaris Gegevensbescherming (FG) benoemd als bedoeld in artikel 62 van de WBP.

De FG heeft naast het houden van toezicht als bedoeld in artikel 64 van de WBP en de taken genoemd in het ‘Reglement taken en bevoegdheden functionaris gegevensbescherming’ in ieder geval tot taak uitvoering te geven aan dit reglement.

Artikel 4 Verantwoordelijkheid verwerkingen

  • 1.

    Een afdelingshoofd is door het college van Burgemeester en Wethouders gemachtigd eindverantwoordelijk voor de verwerkingen van persoonsgegevens, als genoemd in artikel 1j van deze regeling, voor zover deze verwerkingen binnen de betreffende afdeling worden uitgevoerd.

  • 2.

    Een afdelingshoofd kan binnen zijn afdeling één of meer functionarissen aanwijzen, die de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn afdeling uitvoeren dan wel coördineren.

Artikel 5 Melding van verwerkingen

  • 1.

    Een ieder binnen de organisatie, die persoonsgegevens verzamelt en verwerkt deelt, voordat met de verzameling en verwerking wordt begonnen, dit mee aan het afdelingshoofd of aan de aangewezen vertegenwoordiger(s) van de desbetreffende afdeling. Deze doet of doen voor zover de WBP van toepassing is, hiervan door het college van Burgemeester en Wethouders gemachtigd schriftelijk mededeling aan de FG.

  • 2.

    Voor wijziging van reeds aanwezige verwerkingen geldt de procedure als bedoeld in het voorgaande lid.

  • 3.

    Voor hergebruik van vastgelegde persoonsgegevens door middel van het koppelen van gegevensverzamelingen geldt de procedure als bedoeld in lid 1.

  • 4.

    De meldingen, als bedoeld in artikel 27 van de WBP, worden gedaan bij de FG.

  • 5.

    Verwerkingen als bedoeld in artikel 31 van de WBP worden door de FG gemeld bij het CBP.

  • 6.

    De uitkomst van het voorafgaand onderzoek als bedoeld in het lid 4 worden medegedeeld aan de verantwoordelijke.

Artikel 6 Verwerkingen

  • 1.

    Persoonsgegevens worden in overeenstemming met de WBP en op behoorlijke en zorgvuldige wijze verwerkt.

  • 2.

    Persoonsgegevens mogen slechts worden verwerkt met inachtneming van het bepaalde in artikel 8 van de WBP.

  • 3.

    Gegevensverzamelingen met persoonsgegevens mogen onderling slechts worden gekoppeld met toestemming van het afdelingshoofd dat door het college van Burgemeester en Wethouders is gemachtigd of de aangewezen vertegenwoordiger(s) van de afdelingen die verantwoordelijk zijn voor de verwerkingen in die verzamelingen.

  • 4.

    Voorgenomen koppelingen tussen gegevensverzamelingen met persoonsgegevens moeten aan de FG worden gemeld. Deze koppelingen worden opgenomen in het register.

  • 5.

    Het Burger Service Nummer mag slechts worden gebruikt voor zover dit toegestaan is bij het Besluit Burgerservicenummer.

  • 6.

    Er wordt een (geautomatiseerd) register bijgehouden waarin naast de gemelde bestanden ook de andere bestanden met persoonsgegevens zijn vermeld.

  • 7.

    Het register vermeldt in elk geval de volgende elementen:

    • a.

      de verantwoordelijke;

    • b.

      de FG;

    • c.

      omschrijving van de verwerking;

    • d.

      doel(en) van de verzameling en verwerking;

    • e.

      categorie(ën) betrokkenen;

    • f.

      welke gegevens of categorieën van gegevens worden verwerkt;

    • g.

      welke bijzondere gegevens worden verwerkt;

    • h.

      ontvangers of categorie van ontvangers aan wie gegevens worden verstrekt;

    • i.

      gegevens van de bewerker(s);

    • j.

      doorgifte van gegevens naar landen buiten de EU;

    • k.

      algemene omschrijving van de beveiliging van de gegevens;

    • l.

      de bewaartermijn.

    • m.

      de eventuele koppelingen met andere verwerkingen

  • 8.

    Het register wordt ingericht en onderhouden door de FG.

  • 9.

    De FG draagt zorg voor plaatsing van het register op de gemeentelijke website.

  • 10.

    De FG treft organisatorische maatregelen die er toe leiden dat aan degene, die een verzoek als bedoeld in artikel 30, 3e lid van de WBP, bij de verantwoordelijke indient, binnen vier weken de gegevens als bedoel in artikel 28 onder a tot en met e, worden verstrekt.

  • 11.

    De gegevens als bedoeld in het voorgaande lid worden schriftelijk, in digitale vorm of mondeling verstrekt.

Artikel 7 Register verwerkingen

  • 1.

    Op aanwijzing van de FG stelt de verwerker voor elke onder zijn verantwoordelijkheid plaatsvindende verwerking een omschrijving op voor opname in het in Artikel 6 genoemde register.

  • 2.

    De omschrijving als bedoeld in het eerste lid bevat ten minste de elementen als bedoeld in artikel 7 lid 6 van dit besluit.

Artikel 8 Bewerker

  • 1.

    Indien de verantwoordelijke persoonsgegevens laat verwerken door een bewerker vindt verwerking uitsluitend plaats indien voorafgaand aan die verwerking een daartoe strekkende overeenkomst tussen de verantwoordelijke en de bewerker is gesloten.

  • 2.

    De in het voorgaande lid bedoelde overeenkomst wordt in overleg met het afdelingshoofd of de aangewezen vertegenwoordiger(s) van de betreffende afdeling opgesteld door de FG.

  • 3.

    De overeenkomst wordt aangegaan door de gemeente (met ondertekening door de burgemeester of degene die volmacht heeft om namens hem te ondertekenen) en de derde partij.

  • 4.

    In de overeenkomst als bedoeld in het 1e lid worden de volgende elementen opgenomen:

    • a.

      De bewerker aanvaardt, onverlet de wettelijke aansprakelijkheid, de aansprakelijkheid voor het risico van inbreuk op de persoonlijke levenssfeer in verband met de door hem verwerkte gegevens;

    • b.

      De bewerker verklaart bekend te zijn met de geheimhoudingsplicht als bedoeld in artikel 12 van de WBP;

    • c.

      De bewerker verklaart de nodige technische en organisatorische maatregelen als bedoeld in artikel 13 van de WBP te treffen om de persoonsgegevens te beveiligen tegen onrechtmatige raadpleging, diefstal, verlies of onrechtmatige verwerking;

    • d.

      Door of namens de verantwoordelijke kan de bewerking worden getoetst aan de onder a, b en c gestelde voorwaarden.

    • e.

      De bewerker verklaart de verstrekte gegevens uitsluitend te gebruiken voor het doel waarvoor deze zijn verstrekt.

    • f.

      De bewerker verklaart de verstrekte gegevens na gebruik op deugdelijke wijze te vernietigen.

Artikel 9 Rechten betrokkene

  • 1.

    De FG treft zodanige maatregelen dat:

    • a.

      Een betrokkene die persoonsgegevens heeft verstrekt, zo spoedig mogelijk na verstrekking van de gegevens wordt medegedeeld voor welke doeleinden deze gegevens worden verzameld en verwerkt, tenzij betrokkene hiervan, blijkende uit een vermelding op het aanvraagformulier, brief of mondelinge mededeling, hiervan reeds op de hoogte is;

    • b.

      Aan betrokkene zo spoedig mogelijk na de vastlegging van de persoonsgegevens die hem betreffen wordt medegedeeld voor welke doeleinden de verantwoordelijke de gegevens verzamelt en verwerkt, indien de gegevens niet door opgave van de betrokkene zijn verkregen;

    • c.

      Aan een betrokkene, die een verzoek om inzage in zijn gegevens als bedoeld in artikel 35 van de WBP indient, binnen vier weken na ontvangst van het verzoek schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de WBP wordt medegedeeld of hem betreffende gegevens worden verzameld en verwerkt;

    • d.

      Aan een betrokkene die een verzoek tot verbetering, aanvulling, verwijdering of afscherming van zijn persoonsgegevens als bedoeld in artikel 36 van de WBP indient, binnen vier weken na ontvangst van het verzoek schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de WBP wordt medegedeeld of dan wel in hoeverre de verantwoordelijke aan dit verzoek voldoet. Dit soort beslissingen zijn vatbaar voor bezwaar en beroep, zie artikel 45 van de WBP. Zijn de gegevens voorafgaand aan derden doorgegeven, dan dient ook de wijziging in de verzamelde persoonsgegevens aan deze derden te worden doorgegeven, tenzij dit onmogelijk is of een onevenredig zware inspanning kost;

    • e.

      Aan een betrokkene, die gebruik maakt van het recht van verzet als bedoeld in artikel 40 van de WBP, de verantwoordelijke binnen vier weken na ontvangst van het verzoek, schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de WBP wordt medegedeeld of het verzet gerechtvaardigd is;

    • f.

      De verwerking onmiddellijk wordt beëindigd indien het verzet gerechtvaardigd is.

  • 2.

    Indien een betrokkene een verzoek als bedoeld in lid 1 onder c tot en met f, indient draagt de verantwoordelijke zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

Artikel 10 Bewaartermijn

  • 1.

    De FG ziet toe dat:

    • a.

      bij de vastlegging van persoonsgegevens aantekening wordt gehouden van de aanvang van de bewaartermijn;

    • b.

      na de het verstrijken van de bewaartermijn de gegevens worden vernietigd dan wel worden overgebracht naar het gemeentelijke archief als bedoeld in de Archiefwet 1995;

  • 2.

    de onder lid 1, sub b, bedoelde maatregelen worden getroffen met inachtneming van het bepaalde in artikel 10 van de WBP.

Artikel 11 Beveiliging en beheer

  • 1.

    De FG toetst technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies, diefstal en onrechtmatige verwerking en raadpleging.

  • 2.

    Deze maatregelen dienen te worden getoetst aan de bepalingen, zoals deze zijn opgenomen in het gemeentelijk informatiebeveiligingsplan.

  • 3.

    Van de toetsing als bedoeld in het 2e lid dient een jaarlijks een verslag te worden gemaakt.

  • 4.

    De FG toetst de wijze van verspreiding van de beveiligingsvoorschriften binnen de afdelingen.

  • 5.

    De afdelingshoofden verlenen in overleg met de FG de noodzakelijke autorisaties aan personen die vanuit hun functie de bestanden dienen te kunnen bewerken en raadplegen. Het verlenen van de autorisatie dient met redenen omkleed te zijn.

  • 6.

    Van de onder lid 5 bedoelde autorisaties wordt per bestand schriftelijk mededeling gedaan aan de FG.

  • 7.

    De mededeling als bedoeld onder lid 6 bevat de volgende gegevens van de geautoriseerde:

    • a.

      naam;

    • b.

      organisatieonderdeel;

    • c.

      functie;

    • d.

      geautoriseerd bestand;

    • e.

      ingangsdatum;

    • f.

      periode;

    • g.

      reden dan wel noodzaak;

    • h.

      naam en functie van degenen die goedkeuring verlenen;

  • 8.

    De onder lid 7 bedoelde mededeling wordt tevens gedaan aan de beheerder van het centrale gemeentelijk computersysteem.

  • 9.

    Persoonsgegevens worden bewaard op het centrale gemeentelijke computersysteem en zijn slechts toegankelijk voor degene die hiervoor geautoriseerd zijn.

Artikel 12 Rol van FG

  • 1.

    Indien de FG onrechtmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij hierover verslag uit aan het hoofd van de betreffende afdeling. Hij doet dit verslag vergezeld gaan van een aanbeveling, die strekt tot een verbetering van de bescherming van persoonsgegevens, die door of namens de verantwoordelijke worden verwerkt.

  • 2.

    De FG ziet er op toe dat bestanden met persoonsgegevens efficiënt worden aangelegd en benut; hierbij dient van de mogelijkheden binnen het datadistributiesysteem binnen de gemeente Nieuwegein optimaal gebruik te worden gemaakt.

  • 3.

    Indien de aanbeveling niet of niet voldoende wordt opgevolgd, rapporteert de FG zijn bevindingen aan de verantwoordelijke. Van deze bevindingen wordt de directie op de hoogte gebracht.

Artikel 13 Auditing

  • 1.

    De FG voert namens het college van burgemeester en wethouders jaarlijks een audit uit naar de naleving van de WBP.

  • 2.

    De FG legt de rapportage met zijn commentaar voor aan de verantwoordelijke. Van deze rapportage wordt de directie op de hoogte gebracht.

Artikel 14 Inwerkingtreding

Dit reglement treedt in werking met ingang van de dag na die van de openbare bekendmaking.

Artikel 15 Citeertitel

Dit besluit wordt aangehaald als "Reglement bescherming persoonsgegevens Nieuwegein'.

Aldus vastgesteld in de collegevergadering van 9 september 2014,

De secretaris, De burgemeester,