Organisatie | Zwolle |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Regeling bescherming persoonsgegevens Gemeente Zwolle |
Citeertitel | Regeling berscherming persoonsgegevens Gemeente Zwolle |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Bestuurlijke organisatie |
Regels t.a.v. bescherming persoonsgegevens van de Gemeente Zwolle
Wet bescherming persoonsgegevens
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-10-2005 | 01-06-2017 | Nieuwe regeling | 06-09-2005 De Peperbus 14/09/2005 | cb 2005-09.05 |
Hoofdstuk 1 Algemene bepalingen
In dit reglement wordt verstaan onder:
Verwerking van persoonsgegevens: elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Autorisatie:het binnen de toepassingssoftware toekennen van het niveau van gebruiksmogelijkheden aan een persoon of groepen van personen of het binnen de toepassingssoftware toekennen van het niveau van verstrekking van persoonsgegevens aan onderdelen binnen de eigen organisatie (intern) en derden (extern);
Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de gemeente verantwoordelijk is in de zin van de WBP, met uitzondering van de verwerkingen als bedoeld in artikel 2, 2e en 3e lid en artikel 3 van de WBP.
Hoofdstuk 2 Verwerking van persoonsgegevens
Een ieder binnen de organisatie, die persoonsgegevens verzamelt en verwerkt deelt, voordat met de verzameling en verwerking wordt begonnen, dit mee aan de eenheidsmanager of aan de aangewezen vertegenwoordiger(s) van de desbetreffende eenheid. Deze doet (doen) voor zover de WBP van toepassing is, hiervan schriftelijk mededeling aan de FG.
Hoofdstuk 3 Rechten van betrokkene
De FG treft zodanige maatregelen dat:
Een betrokkene die persoonsgegevens heeft verstrekt, zo spoedig mogelijk na verstrekking van de gegevens wordt medegedeeld voor welke doeleinden deze gegevens worden verzameld en verwerkt, tenzij betrokkene hiervan, blijkende uit een vermelding op het aanvraagformulier, brief of mondelinge mededeling, hiervan reeds op de hoogte is;
Aan een betrokkene, die een verzoek om inzage in zijn gegevens als bedoeld in artikel 35 van de WBP indient, binnen vier weken na van ontvangst van het verzoek schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de WBP wordt medegedeeld of hem betreffende gegevens worden verzameld en verwerkt;
Aan een betrokkene die een verzoek tot verbetering, aanvulling, verwijdering of afscherming van zijn persoonsgegevens als bedoeld in artikel 36 van de WBP indient, binnen vier weken na ontvangst van het verzoek schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de WBP wordt medegedeeld of dan wel in hoeverre de verantwoordelijke aan dit verzoek voldoet. Zijn de gegevens voorafgaand aan derden doorgegeven, dan dient ook de wijziging in de verzamelde persoonsgegevens aan deze derden te worden doorgegeven, tenzij dit onmogelijk is of een onevenredig zware inspanning kost;
Indien de FG onrechtmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij hierover verslag uit aan de eenheidsmanager van de betreffende eenheid. Hij doet dit verslag vergezeld gaan van een aanbeveling, die strekt tot een verbetering van de bescherming van persoonsgegevens, die door of namens de verantwoordelijke worden verwerkt.
Op 1 september 2001 is de Wet bescherming persoonsgegevens (hierna: WBP) in werking getreden, dit met een overgangstermijn van 1 jaar. Dit betekent dat voor 1 september 2002 aan de wettelijke voorwaarden moet zijn voldaan. Aan de verplichte melding en vaststelling van alle verwerkingen binnen de gemeente Zwolle is voldaan bij b en w besluit d.d. 27 augustus 2002.
Het is echter ook wenselijk dat binnen de gemeente Zwolle op een uniforme wijze uitvoering aan de WBP wordt gegeven. Met het oog hierop wordt deze regeling vastgesteld.
De regeling geeft naast de specifieke wettelijke eisen tevens een aantal regels weer welke een bijdrage leveren aan de “stroomlijning” van de verzameling en verwerking van persoonsgegevens. De regeling is niet van toepassing op de gegevens binnen de Gemeentelijke Basisadministratie; hiervoor zijn afzonderlijke reglementen vastgesteld, bovendien vallen deze gegevens niet onder de WBP.
Naast deze regeling is er ook een regeling taken en bevoegdheden voor de Functionaris Gegevensbescherming (hierna: FG) vastgesteld, hierin staan de specifieke taken van deze functionaris.
In dit artikel zijn de begrippen zo helder mogelijk omschreven. Naast de begripsomschrijvingen, zoals deze voorkomen in de WBP, is er ook een aantal dat specifiek is voor de gemeentelijke verwerkingen.
Dit artikel geeft de reikwijdte van deze regeling weer. Als verantwoordelijke geldt het bevoegde bestuursorgaan. Niet onder de werking van de wet vallen de verwerking van persoonsgegevens t.b.v. (uitvoering van) persoonlijk of huishoudelijk gebruik, inlichtingen- en veiligheidsdiensten, politietaak, gemeentelijke basisadministratie, wet justitiële documentatie en verklaringen omtrent het gedrag, de kieswet en de krijgsmacht.
Om het proces omtrent uitvoering van de WBP blijvend te bewaken, is een FG aangesteld. Deze functionaris heeft naast de toezichthoudende taak als bedoeld in artikel 64 een aantal specifieke, op de eigen gemeente afgestemde, taken. Deze taken komen ook voor in de “Regeling taak en bevoegdheden Functionaris Gegevensbescherming gemeente Zwolle”. Een goede taakomschrijving geeft helderheid naar de organisatie.
De ambtelijke verantwoordelijkheid, per eenheid wordt in dit artikel vastgelegd.
Binnen iedere eenheid kan (kunnen) één of meerdere vertegenwoordiger(s) worden aangesteld, dit mede ter ondersteuning van de FG. Dit zullen vaak degenen binnen de eenheid zijn die met de WBP te maken hebben. Een contactpersoon is tevens lid van de werkgroep WBP.
De werkgroep dient ter ondersteuning van en als klankbord voor de FG. Daarnaast heeft ze tot taak algemeen beleid in het kader van de WBP te ontwikkelen. De eenheden die een contactpersoon hebben aangewezen zijn in deze werkgroep vertegenwoordigd.
De aan te maken bestanden en de wijziging van de bestaande bestanden dienen binnen de organisatie centraal gemeld te worden.
Om degenen die vragen hebben omtrent de gegevens die van hem / haar worden verzameld van dienst te kunnen zijn, is het noodzakelijk dat er een centraal meldpunt is. Zonder centraal meldpunt zou de FG bovendien de omschreven taak niet goed uit kunnen voeren. De uniformiteit is zeker gediend met een centrale melding.
Alle verwerkingen van persoonsgegevens dienen beschreven te worden. Alleen op deze wijze wordt inzicht verkregen of de verwerking aan de wettelijke voorwaarden voldoen. Tevens zijn de beschrijvingen noodzakelijk voor de toetsing aan het vrijstellingsbesluit.
De verwerking moet plaatsvinden overeenkomstig de WBP, waarbij met name de aspecten: zorgvuldigheid, doelbinding en rechtmatige grondslag (artikel 6, 7 en 8 WBP) belangrijk zijn. Van de verstrekking van persoonsgegevens aan derden dient i.v.m. de rechten van de betrokkene, zie artikel 10 sub d.
Het gebruik van het sociaal-fiscaalnummer is niet in alle gevallen toegestaan, het gebruik is gebonden aan de bepalingen van het Besluit Sofinummer WBP.
Het is wenselijk dat naast het verplichte openbare register met meldingen ook een register wordt bijgehouden waarin de overige bestanden wordt opgenomen. Zie in deze de relatie met artikel 5.
Verzoeken om informatie dienen binnen 4 weken te worden afgedaan. Deze kunnen schriftelijk, in digitale vorm (e-mail, cd of diskette) dan wel mondeling worden verstrekt.
Ter bescherming van deze gegevens dienen heldere afspraken met de bewerker te worden gemaakt. Hiervoor dient een overeenkomst te worden opgesteld.
De vastlegging van de bewaartermijnen is van belang voor de toetsing van de bestanden aan het Vrijstellingsbesluit. Worden de termijnen, genoemd in het Vrijstellingsbesluit overschreden, dan zal er een melding van het bestand, hoe eenvoudig ook, aan het CBP moeten plaatsvinden. Dit laatste kan worden voorkomen door de juiste bewaartermijnen in acht te nemen.
Een cruciaal onderdeel in de bescherming van de persoonsgegevens is de beveiliging. Het gaat hier om zowel de digitale als de kaartenbak-bestanden. De maatregelen kunnen zowel bestaan uit het zorgvuldig omgaan met het verlenen van autorisaties (digitaal) als om fysieke maatregelen (bijvoorbeeld: afsluiten kasten, toegang gebouwen).
Binnen de gemeente Zwolle wordt er gewerkt met een gemeentelijk Informatie(beveiligings)plan. Hierin komen reeds de nodige beveiligingsmaatregelen voor. De FG dient de aangegeven maatregelen te toetsen aan dit plan.
De FG ziet er op toe dat de verwerking van persoonsgegevens conform de voorwaarden in de WBP plaatsvindt. Onrechtmatigheden worden in eerste instantie gemeld aan de eenheidsmanager van de betrokken eenheid. De FG geeft de nodige aanbevelingen voor verbeteringen.
Worden de aanbevelingen niet opgevolgd, dan vindt rapportage aan de verantwoordelijke (college van b en w, burgemeester) plaats.
In navolging van de Gemeentelijke Basisadministratie zal er naar verwachting voor de WBP ook een audit-model worden ontwikkeld. Het college van burgemeester heeft de bevoegdheid, uiteraard binnen de financiële kaders, een audit uit te laten voeren. De FG rapporteert over de uitkomsten.