Organisatie | Son en Breugel |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Verordening Privacy gemeente Son en Breugel 2016 |
Citeertitel | Verordening Privacy gemeente Son en Breugel 2016 |
Vastgesteld door | gemeenteraad |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-01-2016 | Nieuwe regeling | 17-12-2015 Gemeenteblad 29 december 2015 | 15.13398 |
De raad van de gemeente Son en Breugel;
gezien het voorstel van het college van burgemeester en wethouders van 2 december 2015;
gelet op; de artikelen 147 en 149 van de Gemeentewet en de Wet bescherming persoonsgegevens;
overwegende dat het noodzakelijk is regels vast te stellen om een behoorlijke en zorgvuldige verwerking van persoonsgegevens in overeenstemming met de Wet bescherming persoonsgegevens te waarborgen,
besluit vast te stellen de Verordening Privacy gemeente Son en Breugel 2016.
Hoofdstuk 1 Begripsbepaling en reikwijdte
Artikel 1 begripsomschrijvingen
In aansluiting bij en in aanvulling op de begripsomschrijvingen van de Wet bescherming persoonsgegevens wordt in het bij of krachtens deze verordening bepaalde verstaan onder:
coördinator informatiebeveiliging: de door het college aangewezen natuurlijke persoon belast met de ondersteuning van de privacy beheerder voor zaken betreffende het informatiebeveiligingsbeleid, alsmede techniek en technologie in brede zin. Is op organisatieniveau verantwoordelijk voor het actueel houden van het informatiebeveiligingsbeleid, het adviseren bij projecten en het managen van risico’s evenals het opstellen van rapportages;
controller informatiebeveiliging: de door het college aangewezen natuurlijke persoon belast met de ondersteuning van de privacy beheerder voor zaken betreffende het informatiebeveiligingsbeleid, alsmede techniek en technologie in brede zin. Is op organisatieniveau verantwoordelijk voor de verbijzonderde interne controle op de naleving van het informatiebeveiligingsbeleid, de realisatie van voorgenomen veiligheidsmaatregelen en de escalatie van beveiligingsincidenten.
Hoofdstuk 2 Organisatorisch kader
Tot de taken en verantwoordelijkheden van de afdelingsbeheerder behoren in elk geval:
het bij de privacy beheerder met een of meer door het college vastgesteld(e) formulier(en) melden van een (wijziging of beëindiging van een) verwerking ten behoeve van opname in het centraal register, alsmede het beoordelen hiervan in het licht van de meldingsplicht en andere uit de wet voortvloeiende verplichtingen;
Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevens
Artikel 6 technische en organisatorische maatregelen
De afdelingsbeheerder draagt binnen zijn afdeling zorg voor de inventarisatie van de risico’s die samenhangen met de verwerkingen van persoonsgegevens en de naar aanleiding daarvan vereiste maatregelen en stelt de privacy beheerder, de verantwoordelijke en, indien voor de verwerking niet reeds aangemerkt als de verantwoordelijke, het college hiervan op de hoogte.
Artikel 7 bewerkersovereenkomst
De afdelingsbeheerder draagt er zorg voor dat een verwerking van persoonsgegevens die tot zijn afdeling behoort en die wordt uitgevoerd door een bewerker, wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat in overeenstemming met artikel 14 van de wet.
Hoofdstuk 4 Informatieverstrekking en rechten betrokkenen
Artikel 9 informatieverstrekking raad
Het college stelt de raad op de hoogte van de resultaten van de evaluatie die eens per twee jaar wordt gehouden, als bedoeld in artikel 5 lid 5 sub a van deze verordening.
Hoofdstuk 6 Toezicht en controle
Voor de uitoefening van zijn toezichthoudende functie wordt het college terzijde gestaan door de privacy beheerder. Artikel 3 lid 2 sub b van deze verordening is van overeenkomstige toepassing. De privacy beheerder beschikt voor dit doel over alle bevoegdheden die daarvoor redelijkerwijs noodzakelijk zijn te achten. Ingeval van twijfel of verschil van mening daaromtrent beslist het college.
De privacy beheerder heeft toegang tot alle ruimten, waar een onder deze verordening vallende verwerking van persoonsgegevens plaatsvindt. Hij is bevoegd apparatuur, programmatuur, boeken, bescheiden en andere gegevensdragers te onderzoeken en zich de werking van apparatuur en programmatuur te doen tonen. Uitgezonderd zijn het Reisdocumenten Aanvraag en Afgifte Station en het Nieuw Rijbewijs Document systeem.
Een mededeling aan belanghebbende als bedoeld in lid 3 en lid 4 blijft achterwege indien zodanige mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de persoonsgegevens, dan wel gewichtige belangen van anderen dan de belanghebbende, de verantwoordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het college mededeling van zijn bevindingen achterwege laat, zendt het de belanghebbende zodanig bericht als hem geraden voorkomt.
De verantwoordelijke kan van deze verordening afwijken, voor zover toepassing daarvan voor de betrokkene gevolgen zou hebben die wegens bijzondere omstandigheden onevenredig zijn in verhouding tot de met de verordening te dienen doelen. De Wbp dient hierbij wel in acht te worden genomen.
Artikel 16 onvoorziene omstandigheden
In de gevallen waarin het bij of krachtens deze verordening bepaalde niet voorziet of daaromtrent onduidelijkheid bestaat beslist het college.
De gemeente Son en Breugel verwerkt persoonsgegevens, dat wil zeggen elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacy speelt daarbij een belangrijke rol. Wet- en regelgeving spreken in dat kader veelal van de bescherming van de persoonlijke levenssfeer. Het algemeen juridisch kader voor privacy is neergelegd in de Wet bescherming persoonsgegevens (Wbp). Op grond van deze wet dienen deze gegevens op een behoorlijke en zorgvuldige wijze te worden verwerkt. Kernbegrippen daarbij zijn doeleinden, grondslag en noodzakelijkheid. Deze wet stamt echter nog uit de tijd voor de digitale revolutie en zaken alleen nog ‘op papier’ stonden. Met de op komst zijnde Europese verordening, de Algemene Verordening Gegevensbescherming, komt er een vernieuwd en aangescherpt juridisch kader dat beter aansluit bij de hedendaagse praktijk. Bovendien krijgt het CBP meer mogelijkheden om dit kader te handhaven, onder meer door het opleggen van hoge boetes.
De rol van privacy is lange tijd onderbelicht geweest. Zo werd het belang van privacy vrijwel altijd ondergeschikt geacht aan het belang van veiligheid. De gemiddelde burger leek zich ook niet zo te interesseren in privacy en een veelgehoorde reactie was dan ook “van mij mogen ze alles weten, want ik heb niets te verbergen”. Het delen van allerlei persoonlijke gegevens via sociale media zonder te letten op privacy instellingen was dan ook aan de orde van de dag. Sinds kort lijkt er echter sprake te zijn van een kentering. In Europa is op dit moment volop aandacht voor privacy, zoals ook blijkt uit de Europese verordening. Burgers zijn zich ook steeds meer bewust van welke informatie zij met welke partijen delen. Een zorgverzekeraar die de beschikking krijgt over gezondheidsgegevens kan bijvoorbeeld besluiten dat iemand niet in aanmerking komt voor een bepaalde verzekering. De gedachte om volledig met rust te worden gelaten is in het digitale tijdperk echter een illusie. De huidige invulling van privacy kenmerkt zich dan ook met name door het streven naar een behoorlijke en zorgvuldige omgang met persoonsgegevens en de positie van betrokkenen zodanig te versterken dat zij ‘in control’ komen van hun eigen persoonlijke gegevens.
Twee inhoudelijke opmerkingen vooraf. In de verordening wordt op verschillende plaatsen de zinsnede “procedures en mechanismen” aangehaald. Dit dient breed te worden uitgelegd. Er kan gedacht worden aan stappenplannen en checklists, maar bijvoorbeeld ook aan folders en brochures. Bovendien kan het systeem zodanig worden ingesteld dat bepaalde zaken ingevuld moeten worden voordat het proces kan worden voortgezet. Het afschermen of ontoegankelijk maken van systeemonderdelen behoort eveneens tot de mogelijkheden. Kortom, praktische maatregelen die moeten bijdragen aan een behoorlijke en zorgvuldige omgang met persoonsgegevens. De verantwoordelijkheid voor het treffen van deze maatregelen wordt neergelegd bij de afdelingsbeheerders. Zij hebben het beste zicht op wat er binnen hun afdeling plaatsvindt, op welke wijze te werk wordt gegaan en waar eventuele risico’s liggen.
Daarnaast is van belang voor ogen te houden dat de verordening met de Wbp als vertrekpunt is geschreven. Wanneer in bijzondere wetgeving niets wordt genoemd is de Wbp van toepassing. Bijzondere wetgeving kan echter voor afwijkende en aanvullende eisen zorgen. De Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob) is hiervan een belangrijk voorbeeld. Ten overvloede wordt opgemerkt dat hoewel de bijzondere wetgeving niet expliciet in de verordening wordt genoemd, deze onverkort van toepassing is als een verwerking van persoonsgegevens onder het bereik van die bijzondere wet valt. Door het in kaart brengen van de werkprocessen en bijbehorende verwerkingen van persoonsgegevens kan binnen de afdeling worden beoordeeld welke bijzondere wetgeving een rol speelt en hoe aan de daarin neergelegde eisen tegemoet kan worden gekomen.
Daarnaast is van belang te vermelden dat de Wbp in artikel 2 lid 2 de uitzonderingen opsomt
wanneer bij de verwerking van persoonsgegevens de Wbp niet van toepassing is. Een
voorbeeld hiervan is de verwerking van persoonsgegevens die is geregeld bij of krachtens
de Wet basisregistratie personen. In de Wet basisregistratie personen zijn wel een aantal
artikelen uit de Wbp van toepassing verklaard. Er is een aparte Verordening in de gemeente
Son en Breugel op grond van de Wet basisregistratie personen: de Verordening gegevensverstrekking basisregistratie personen gemeente Son en Breugel.
Hoofdstuk 1 Begripsbepaling en reikwijdte
Dit hoofdstuk bevat de definities die zowel gelden voor de verordening als daarop gebaseerd beleid. Voor de reikwijdte van de verordening is aangesloten bij de Wet bescherming persoonsgegevens. In het kader van deregulering is ervoor gekozen slechts een beperkt aantal bepalingen van deze wet (expliciet) te laten terugkomen in de verordening. Zo worden de wettelijke algemene uitgangspunten, dat wil zeggen de voorwaarden voor een rechtmatige verwerking van persoonsgegevens, bekend verondersteld en niet opnieuw herhaald.
Hoofdstuk 2 Organisatorisch kader
In de hoofdregel zal het college of de burgemeester juridisch worden aangemerkt als de verantwoordelijke in de zin van de wet. Voor de feitelijke verwerking van persoonsgegevens binnen de organisatie is echter van belang dat duidelijk is wie waarvoor verantwoordelijkheid draagt. Dit hoofdstuk legt daarvoor de basis, maar biedt tegelijkertijd het college de mogelijkheid om dit nader in te vullen.
De afdelingshoofden fungeren als afdelingsbeheerder en dragen zorg voor de verwerkingen van persoonsgegevens die plaatsvinden binnen hun afdeling. Belangrijk onderdeel daarvan is het in kaart brengen en blijven monitoren van de werkprocessen en de persoonsgegevens die daarbij worden verwerkt. Interne transparantie en duidelijkheid zijn immers belangrijke voorwaarden voor het slagen van een privacy beleid.
De privacy beheerder heeft een coördinerende, adviserende en toezichthoudende functie en draagt met name zorg voor organisatie brede zaken. Benadrukt dient te worden dat de privacy beheerder geen taken van de afdelingsbeheerder overneemt, noch voor hen verantwoordelijk is. De afdelingsbeheerder draagt zelf de verantwoording voor de afdeling. Er is tevens een coördinator informatiebeveiliging en een controller informatiebeveiliging, beiden werkzaam bij Dienst Dommelvallei. In het kader van automatisering en beveiliging is een grondige kennis van systemen en programmatuur noodzakelijk.
Tot slot bestaat er een werkgroep privacy die bijdraagt aan een organisatie breed privacy bewustzijn. Door medewerkers van de verschillende afdelingen hierin te laten plaatsnemen, wordt de hele organisatie betrokken. Bovendien kan de privacy beheerder zijn taken effectiever uitoefenen doordat hij via de medewerkers beter op de hoogte is van wat er binnen de gemeentelijke organisatie speelt.
Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevens
De afdelingsbeheerder draagt er zorg voor dat duidelijk is welke risico’s er binnen zijn of haar afdeling zijn en welke maatregelen naar aanleiding daarvan genomen moeten worden, een zogeheten risico inventarisatie & evaluatie. Dit wordt teruggekoppeld aan het college en de privacy beheerder zodat, indien nodig, het informatiebeveiligingsbeleid kan worden aangepast. Een belangrijk aspect daarbij is ook dat de afdelingsbeheerder er zorg voor draagt dat met bewerkers in het kader van een verwerking van persoonsgegevens die toebehoort aan zijn of haar afdeling bindende afspraken worden gemaakt. Tot slot is van belang dat persoonsgegevens op de juiste manier worden opgeslagen, bewaard en vernietigd. Daarbij moet onder meer worden gelet op termijnen en bewaarlocaties.
Hoofdstuk 4 Informatieverstrekking en rechten betrokkenen
De raad wordt uit oogpunt van transparantie en controle middels de resultaten van de tweejaarlijkse evaluatie (elke twee jaar) op de hoogte gehouden van de uitvoering van het bij of krachtens de wet en deze verordening bepaalde. De informatieverstrekking aan de betrokkenen op initiatief van de gemeente is een wettelijke plicht en vormt een uitwerking van het transparantiebeginsel. Dit kan onder meer met brochures en folders. Betrokkenen kunnen daarnaast een beroep doen op het recht van inzage, correctie en verzet. Het is wenselijk dat elke afdeling hiervoor procedures en mechanismen opstelt. De privacy beheerder heeft een goedkeurende rol. Op die manier kan hij de afdelingsbeheerder vooraf wijzen op eventuele risico’s en kunnen problemen worden voorkomen.
In dit hoofdstuk wordt aangesloten bij de melding als bedoeld in artikel 27-30 van de wet, alsmede bij de documentatieplicht zoals die komt te luiden in artikel 28 van de Algemene verordening gegevensbescherming (EU). Het centraal register bevat de verwerkingen van persoonsgegevens die onder de reikwijdte van deze gemeentelijke verordening vallen. Dit overzicht is onmisbaar voor een effectief privacy beleid.
Hoofdstuk 6 Toezicht en controle
Er moet voor worden gewaakt dat deze verordening, en in bredere zin het privacy beleid, geen papieren tijger wordt en in een bureaulade verdwijnt. Controle en toezicht op de naleving hiervan zijn daarom vereist. Dit komt tot uiting in de toezichthoudende taak van de privacy beheerder die daarvoor ook de benodigde bevoegdheden heeft. Tevens kan hij ambtshalve een onderzoek instellen. Artikel 14 derde lid van deze verordening is gebaseerd op artikel 60 Wbp.
Privacy, daaronder begrepen de verwerking van persoonsgegevens, is bij uitstek een dynamisch onderwerp dat voortdurend aan verandering onderhevig is. Daarbij spelen maatschappelijke opvattingen een rol. Van grote invloed zijn zeker ook ontwikkelingen op het gebied van techniek en technologie, zoals de toenemende digitalisering. Dit hoofdstuk bevat daarom naast een hardheidsclausule, welke overigens terughoudend moet worden toegepast gelet op precedentwerking, een bepaling voor onvoorziene omstandigheden. Deze twee bepalingen zorgen voor de nodige flexibiliteit indien dat nodig mocht zijn.