Privacyprotocol gemeente Nuth

Artikel 1 Begripsbepalingen.

• 1.

  In dit Privacyprotocol wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens, Stb. 2000, nr. 302, zoals laatstelijk gewijzigd op 4 juni 2015, Stb. 2015, 230 (i.w.tr. 01-01-2016), verstaan onder:

  • a)

    De wet: Wet bescherming persoonsgegevens (Wbp);

  • b)

    Vrijstellingsbesluit Wbp: Besluit van 7 mei 2001, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens, Stb. 2001, 250, zoals laatstelijk gewijzigd op 9 december 2014, Stb. 2014, 520 (i.w.tr. 01-01-2015);

  • c)

    College bescherming persoonsgegevens (Cbp): het toezichthoudend orgaan als bedoeld in hoofdstuk 9, paragraaf 1, van de wet, in het maatschappelijk verkeer aangeduid als ‘Autoriteit Persoonsgegevens’;

  • d)

    Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

  • e)

    Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

  • f)

    Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

  • g)

    Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

  • h)

    Functionaris voor de gegevensbescherming: de binnen de gemeente Nuth benoemde functionaris als bedoeld in artikel 62 van de wet, die er op toeziet dat de verwerking van persoonsgegevens binnen de gemeente in overeenstemming met de wet en het daarop gebaseerde Privacyprotocol plaatsvindt;

  • i)

    Betrokkene: degene op wie een persoonsgegeven betrekking heeft en die uit dien hoofde het recht heeft de eigen gegevens in te zien, deze zo nodig te corrigeren en het recht bezwaar aan te tekenen tegen de verwerking van gegevens;

  • j)

    Derde: ieder, niet zijnde de Betrokkene, de Verantwoordelijke, de Bewerker, of enig persoon die onder rechtstreeks gezag van de Verantwoordelijke of de Bewerker gemachtigd is om persoonsgegevens te verwerken;

  • k)

    Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

  • l)

    Bewerker: degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

  • m)

    Beheerder: degene die onder verantwoordelijkheid van de Verantwoordelijke is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens, voor de juistheid van de ingevoerde gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens;

  • n)

    Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

  • o)

    Gebruiker: degene die onder verantwoordelijkheid van de Beheerder bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen;

  • p)

    Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;

  • q)

    Openbaar register van verwerkingen van persoonsgegevens: register, gehouden door het college van burgemeester en wethouders, voor eenieder desgevraagd kosteloos ter inzage, waarin de verwerkingen van persoonsgegevens binnen de te onderscheiden afdelingen in de gemeente Nuth – conform een vaste vragenlijst beschreven en beoordeeld – zijn opgenomen;

  • r)

    Wbp-meldingenregister: formeel register, gehouden door de functionaris voor de gegevensbescherming conform artikel 30, eerste lid, van de wet, voor eenieder desgevraagd kosteloos ter inzage, ten behoeve van de registratie van meldingsplichtige verwerkingen;

Artikel 2 Overwegingen.

• a)

  Personen die als ambtenaar binnen de gemeente Nuth worden aangesteld leggen bij indiensttreding dan wel zo spoedig mogelijk na indiensttreding de eed of belofte af, waarbij wordt verklaard dat zaken waarvan de betreffende persoon door zijn ambt kennis draagt en die hem als geheim zijn toevertrouwd of waarvan hij het vertrouwelijk karakter moet begrijpen, niet zal openbaren aan anderen, dan aan hen, aan wie hij volgens de wet of ambtshalve tot mededeling verplicht is, leden van adviescommissies, gedetacheerden en stagiair(e)s tekenen bij aanvang van hun werkzaamheden een geheimhoudingsverklaring;

• b)

  Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt;

• c)

  Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld;

• d)

  Persoonsgegevens worden slechts verwerkt indien daarvoor op grond van artikel 8 van de wet een rechtmatige grondslag aanwezig is;

• e)

  Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen;

• f)

  Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt;

• g)

  De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zijn gericht op implementatie van de gegevensbeschermings-principes, teneinde aan de eisen van de wet te kunnen voldoen en de rechten van betrokkenen te beschermen.

Artikel 3 Reikwijdte en doelstelling van het Privacyprotocol.

• 1.

  Dit Privacyprotocol is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens, alsmede de niet geautomatiseerde verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, binnen de te onderscheiden afdelingen in de gemeente Nuth.

• 2.

  Het Privacyprotocol bevordert de zorgvuldige verwerking van persoonsgegevens binnen de gemeente Nuth. Het beschrijft de wijze waarop, op grond van de geldende privacyregelgeving, persoonsgegevens worden verwerkt binnen de te onderscheiden afdelingen in de gemeente Nuth (procedures en maatregelen).

• 3.

  Met het Privacycyprotocol wordt voldaan aan het beginsel van transparantie in de richting van betrokkenen waarvan persoonsgegevens worden verwerkt en naar de buitenwereld, in overeenstemming met de Wet bescherming persoonsgegevens.

Artikel 4 Doel van de verwerking van persoonsgegevens.

• 1.

  De verwerkingen van persoonsgegevens die worden gevoerd binnen de te onderscheiden afdelingen in de gemeente Nuth hebben tot doel:

  • a.

    het vastleggen en beschikbaar stellen of houden van informatie ten behoeve van dienstverlening aan betrokkenen;

  • b.

    het vastleggen en beschikbaar stellen of houden van informatie ten behoeve van een doelmatig beleid en beheer in de gemeente Nuth;

  • c.

    het vastleggen en beschikbaar stellen of houden van informatie ten behoeve van gestructureerde bewaking, toetsing en verbetering van de kwaliteit van de dienstverlening in de gemeente Nuth;

  • d.

    het vastleggen en beschikbaar stellen of houden van informatie ten behoeve van de bestuursorganen van de gemeente Nuth;

  • e.

    het vastleggen en beschikbaar stellen of houden van informatie voor historische, statistische of wetenschappelijke doeleinden; de Verantwoordelijke draagt er hierbij zorg voor dat de nodige voorzieningen zijn getroffen ten einde te verzekeren dat deze verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.

• 2.

  In het Openbaar register van verwerkingen van persoonsgegevens zijn per te onderscheiden gemeentelijke verwerking de betreffende doeleinden expliciet opgenomen.

Artikel 5 Grondslag van de verwerking.

• 1.

  De rechtmatigheidgrondslag om op grond van de Wbp persoonsgegevens te verwerken binnen de te onderscheiden afdelingen in de gemeente Nuth is:

  • a.

    artikel 8, aanhef en onderdeel a, Wbp, betrokkene heeft zijn ondubbelzinnige toestemming verleend voor de verwerking;

  • b.

    artikel 8, aanhef en onderdeel b, Wbp, de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene die noodzakelijk zijn voor het sluiten van een overeenkomst;

  • c.

    artikel 8, aanhef en onderdeel c, Wbp, de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de Verantwoordelijke is onderworpen;

  • d.

    artikel 8, aanhef en onderdeel d, Wbp, de gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene;

  • e.

    artikel 8, aanhef en onderdeel e, Wbp, de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door de Verantwoordelijke dan wel het bestuursorgaan waaraan de gegevens worden verstrekt;

  • f.

    artikel 8, aanhef en onderdeel f, Wbp, de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

• 2.

  In het Openbaar register van verwerkingen van persoonsgegevens is per te onderscheiden verwerking binnen de gemeente Nuth de betreffende grondslag voor verwerking – op grond van artikel 8 Wet bescherming persoonsgegevens – vastgelegd.

• 3.

  De gegevens die in verwerkingen zijn opgenomen binnen de gemeente Nuth ten dienste en uitvoering van haar taken, worden, behoudens wettelijke verplichting, uitsluitend gebruikt in het kader van de doelstellingen zoals omschreven in artikel 4, eerste lid, onder a tot en met e.

Artikel 6 Verantwoordelijke en toezicht.

• 1.

  De Verantwoordelijke in de zin van de Wet bescherming persoonsgegevens is het college van burgemeester en wethouders van de gemeente Nuth dan wel de raad van de gemeente Nuth of de burgemeester van de gemeente Nuth.

• 2.

  De Verantwoordelijke benoemt de manager bedrijfsvoering als beheerder en mandateert deze om namens de Verantwoordelijke de nodige stappen te nemen teneinde te voldoen aan de verplichtingen van de wet.

• 3.

  Het college van burgemeester en wethouders benoemt een functionaris voor de gegevensbescherming die toeziet op de toepassing en de naleving van de wet en het daarop gebaseerde protocol. Tot de taken van de functionaris voor de gegevensbescherming behoren in ieder geval:

  • a.

    het zijn van aanspreekpunt binnen de organisatie voor alle zaken de bescherming van de persoonlijke levenssfeer betreffende;

  • b.

    het zijn van aanspreekpunt voor betrokkenen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van de wet;

  • c.

    het zijn van aanspreekpunt voor het College bescherming persoonsgegevens en het samenwerken met de autoriteit;

  • d.

    het informeren en adviseren van de contactpersonen die worden genoemd in het Openbaar register van verwerkingen van persoonsgegevens omtrent de bescherming van persoonsgegevens en beveiliging;

  • e.

    het organiseren van activiteiten die een voortdurende bewustwording ten aanzien van de gegevensbescherming ten doel hebben (leidinggevenden en medewerkers maken privacy een vast onderdeel van hun werkoverleg);

  • f.

    het beheer van en de verantwoordelijkheid voor het Openbaar register en het Wbp-meldingenregister;

  • g.

    het onderhouden en aanvullen van het Openbaar register van verwerkingen van persoonsgegevens met alle verwerkingen die binnen de te onderscheiden afdelingen zijn geïnventariseerd en het onderhouden en aanvullen van het Wbp-meldingenregister met alle meldingsplichtige verwerkingen;

  • h.

    het beoordelen van nieuwe of aangepaste verwerkingen in het licht van de meldingsplicht en andere verplichtingen en het geven van advies indien sprake is van een gegevensbeschermingseffectbeoordeling en het toezien op de uitvoering ervan in overeenstemming met de wet;

  • i.

    het communiceren met de beheerder en de medewerkers van de te onderscheiden afdelingen over alle ontwikkelingen op het gebied van techniek en wetgeving die relevant zijn voor de gegevensbescherming en beveiliging van die afdeling;

  • j.

    het uitwisselen van ervaring met betrekking tot de wet en andere relevante wet- en regelgeving.

• 4.

  De functionaris voor de gegevensbescherming brengt jaarlijks rechtstreeks verslag uit aan het college van burgemeester en wethouders.

• 5.

  De functionaris voor de gegevensbescherming is met betrekking tot de uitvoering van zijn taken tot geheimhouding verplicht.

• 6.

  De functionaris voor de gegevensbescherming kan andere taken en plichten vervullen binnen de gemeente, de Verantwoordelijke draagt ervoor zorg dat deze taken of plichten niet tot een belangenconflict leiden.

• 7.

  De functionaris voor de gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan de verwerkingen verbonden risico en met de aard, de omvang, de context en de doelen van de verwerking.

Artikel 7 Betrokkenen.

In de verwerkingen van persoonsgegevens binnen de te onderscheiden afdelingen in de gemeente Nuth zijn gegevens opgenomen van de volgende categorieën van betrokkenen:

• 1.

  Burgers;

• 2.

  Personen aangesteld als ambtenaar of op basis van een arbeidsovereenkomst werkzaam binnen de gemeente;

• 3.

  De wettelijk vertegenwoordiger van de in het eerste genoemde personen;

• 4.

  De gemachtigde van de in het eerste lid genoemde personen.

Artikel 8 Gegevenssoorten.

• 1.

  Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

• 2.

  In het Openbaar register van verwerkingen van persoonsgegevens zijn per gemeentelijke verwerking de categorieën van persoonsgegevens van de in artikel 7 onder 1, 2, 3 en 4 genoemde categorieën van betrokkenen, expliciet opgenomen.

Artikel 9 Bijzondere gegevens.

• 1.

  De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in de wet. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

• 2.

  In het Openbaar register van verwerkingen van persoonsgegevens is de verwerking van bijzondere persoonsgegevens – indien van toepassing – per verwerking geregistreerd. De in het betreffende geval van toepassing zijnde, in de wet opgenomen, specifieke of algemene uitzondering op het verbod de gegevens te verwerken is hierbij vastgelegd.

Artikel 10 Geheimhouding.

• 1.

  Eenieder die handelt onder het gezag van de Verantwoordelijke of van een bewerker, alsmede de bewerker zelf, voor zover deze toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

• 2.

  De personen bedoeld in lid 1, voor wie niet reeds uit hoofde van ambt, beroep, wettelijk voorschrift of geheimhoudingsovereenkomst een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing.

Artikel 11 Aanmelden nieuwe gegevensverwerkingen.

• 1.

  Alle gegevensverwerkingen binnen de te onderscheiden afdelingen in de gemeente Nuth zijn opgenomen in het Openbaar register van verwerkingen van persoonsgegevens en, indien niet vrijgesteld van melding conform het Vrijstellingsbesluit Wbp, gemeld bij de functionaris voor de gegevensbescherming en opgenomen in het Wbp-meldingenregister.

• 2.

  Elk voornemen tot het gaan verwerken van persoonsgegevens, anders dan opgenomen in het Openbaar register van verwerkingen van persoonsgegevens, dient te worden aangemeld bij de functionaris voor de gegevensbescherming. Bij veranderingen in diensten en producten, processen en informatiesystemen wordt voldaan aan de principes van gegevensbescherming door ontwerp en door standaardinstellingen in de uitvoeringsfase.

• 3.

  De Verantwoordelijke draagt ervoor zorg dat de functionaris voor de gegevensbescherming naar behoren en tijdig wordt betrokken bij de aangelegenheden die verband houden met de bescherming van persoonsgegevens.

Artikel 12 Beveiliging van gegevens.

• 1.

  De Verantwoordelijke beveiligt de persoonsgegevens van betrokkenen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De Verantwoordelijke treft daarvoor de nodige passende technische en organisatorische maatregelen. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

• 2.

  De gemeente Nuth werkt conform de wettelijke bepalingen voor gegevensbeveiliging en heeft de Baseline Informatiebeveiliging Gemeenten (BIG) geïmplementeerd. De persoonsgegevens worden beveiligd door middel van maatregelen zoals genoemd in het in 2014 vastgestelde ‘Informatiebeveiligingsbeleid gemeente Nuth’, waarvan het Informatiebeveiligingsplan onderdeel uitmaakt. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening.

• 3.

  In het Informatiebeveiligingsbeleid is vastgelegd:

  • a.

    dat het college van burgemeester en wethouders eindverantwoordelijk is voor de gemeentebrede informatiebeveiliging, waaronder de beveiliging van persoonsgegevens;

  • b.

    dat de verantwoordelijkheid voor de informatiebeveiliging bij het (lijn)management ligt;

  • c.

    dat een stuurgroep informatiebeveiliging de eindverantwoordelijke voor de gemeentebrede informatiebeveiliging adviseert;

  • d.

    hoe de informatiebeveiligingsorganisatie verder is ingevuld;

  • e.

    dat het treffen van de nodige passende technische en organisatorische maatregelen zoveel als mogelijk reeds in de ontwerpfase (op het tijdstip van de bepaling van de verwerkingsmiddelen) gebeurt, maar ook bij het feitelijk uitvoeren van de verwerking: waar mogelijk worden systemen ten behoeve van de gegevensverwerking zo ingericht dat de standaardinstelling is dat niet meer gegevens worden verwerkt dan noodzakelijk is;

  • f.

    dat indien een verwerking gelet op de aard, de omvang, de context of de doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen oplevert, vóór de verwerking een beoordeling wordt uitgevoerd van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens;

  • g.

    hoe de planning en control van de gemeentebrede informatiebeveiliging is geregeld;

  • h.

    dat de functionaris voor de gegevensbescherming deel uitmaakt van de stuurgroep die de eindverantwoordelijke voor de gemeentebrede informatiebeveiliging adviseert;

  • i.

    dat de uitvoering van de verwerkingen door de bewerker wordt geregeld in een schriftelijke overeenkomst of krachtens een andere schriftelijke rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de Verantwoordelijke;

  • j.

    dat indien sprake is van gezamenlijke verantwoordelijkheid voor een verwerking van persoonsgegevens de respectievelijke verantwoordelijkheden voor de nakoming van de verplichtingen uit de wet zijn vastgelegd in een samenwerkingsconvenant of krachtens een andere schriftelijke rechtshandeling waardoor een verbintenis ontstaat tussen de betreffende partijen;

  • k.

    de te volgen procedure bij een inbreuk op de beveiliging waarbij in ieder geval wordt voldaan aan hetgeen in lid 5 is bepaald.

• 4.

  In het Openbaar register van verwerkingen van persoonsgegevens is per gemeentelijke verwerking vastgelegd welke fysieke maatregelen voor toegangsbeveiliging – inclusief organisatorische controle – zijn getroffen.

• 5.

  Indien sprake is van een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp, waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking:

  • a.

    stelt de Verantwoordelijke het College bescherming persoonsgegevens onverwijld in kennis van de inbreuk op de beveiliging indien die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens;

  • b.

    stelt de Verantwoordelijke de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (dit geldt niet indien de Verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens);

  • c.

    draagt de Verantwoordelijke er zorg voor dat de kennisgeving aan het College bescherming persoonsgegevens en de betrokkene in ieder geval de aard van de inbreuk en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, bevat, en wordt voorts aangegeven dat meer informatie over de inbreuk bij de functionaris voor de gegevensbescherming , of bij diens afwezigheid de voorzitter van de Stuurgroep, kan worden verkregen;

  • d.

    draagt de Verantwoordelijke er zorg voor dat de kennisgeving aan het College bescherming persoonsgegevens tevens een beschrijving bevat van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de Verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;

  • e.

    draagt de Verantwoordelijke er zorg voor dat de kennisgeving aan de betrokkene op zodanige wijze wordt gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.

• 6.

  De Verantwoordelijke houdt een overzicht bij van iedere inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in lid 5, onder c, en de tekst van de kennisgeving aan de betrokkene.

• 7.

  Binnen de gemeente Nuth is het ‘Protocol Meldplicht Datalekken gemeente Nuth’ geïmplementeerd.

Artikel 13 Bewaren van gegevens.

• 1.

  Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden, zoals genoemd in artikel 4, eerste lid, onder a tot en met e, waarvoor zij worden verzameld of vervolgens worden verwerkt.

• 2.

  In het Openbaar register van verwerkingen van persoonsgegevens is per gemeentelijke verwerking de bewaartermijn of de criteria om deze vast te stellen, vastgelegd.

• 3.

  Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid, voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de Verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.

Artikel 14 Verwijderen van gegevens.

• 1.

  Persoonsgegevens die niet langer voor het doel noodzakelijk zijn, worden zo spoedig mogelijk verwijderd uit de betreffende verwerking.

• 2.

  Verwijdering impliceert vernietiging of een zodanige bewerking dat het niet meer mogelijk is om de persoon te identificeren. De functionaris voor de gegevensbescherming controleert periodiek of aan deze verplichting is voldaan.

Artikel 15 Toegang tot de gegevens.

• 1.

  a. Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog op de dagelijkse zorg voor het goed functioneren van de verwerking, rechtstreekse toegang tot persoonsgegevens.

  b.de schriftelijke autorisatie strekt zich uit tot de bevoegdheid tot raadplegen, invoeren, wijzigen, verwijderen en vernietigen van de gegevens.

• 3.

  De autorisaties zijn vastgelegd in het autorisatieregister dat wordt beheerd door de informatiebeveiligingsfunctionaris.

• 4.

  Voor de personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep, wettelijk voorschrift of geheimhoudingsovereenkomst een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijke voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

• 5.

  Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen.

• 6.

  De beheerder kan incidenteel en uitsluitend ten behoeve van evaluatief onderzoek andere dan de in het eerste lid bedoelde personen schriftelijk autoriseren tot rechtstreekse toegang voor een door haar vooraf te bepalen periode, de resultaten van het onderzoek zullen niet herleidbaar zijn tot individuele personen.

Artikel 16 Verstrekking van gegevens aan ontvangers.

• a.

  Verstrekking van persoonsgegevens vindt plaats aan degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan de in artikel 4, eerste lid, onder a tot en met e, genoemde activiteiten binnen de gemeente Nuth of die daarbij noodzakelijk zijn betrokken.

• b.

  In het Openbaar register van verwerkingen van persoonsgegevens zijn de ontvangers van de gegevens per verwerking geregistreerd.

4.1. Artikel 17 Inschrijving in het Openbaar register.

• 1.

  Het college van burgemeester en wethouders houdt een Openbaar register, bestemd voor de inschrijving van verwerkingen van persoonsgegevens binnen de gemeente, waarop dit protocol van toepassing is.

• 2.

  Bij die inschrijving worden in ieder geval de volgende gegevens vermeld:

  • a.

    de naam van de verwerking en naam en contactgegevens van de Verantwoordelijke (en in voorkomend geval medeverantwoordelijke(n));

  • b.

    het doel of de doeleinden van de verwerking;

  • c.

    de rechtmatigheidgrondslag van de verwerking;

  • d.

    de categorieën van personen van wie persoonsgegevens worden verwerkt (betrokkenen);

  • e.

    de categorieën van persoonsgegevens die bij de verwerking worden gebruikt;

  • f.

    of er sprake is van de verwerking van bijzondere persoonsgegevens en als dat zo is welke uitzondering in de wet verwerking mogelijk maakt;

  • g.

    de ontvangers aan wie de gegevens kunnen worden verstrekt;

  • h.

    de herkomst van de gegevens;

  • i.

    de wijze waarop is voorzien in een passende beveiliging van de persoonsgegevens;

  • j.

    of er sprake is van een bewerker(s) (overeenkomst) en naam en contactgegevens van de bewerker(s);

  • k.

    eventuele verstrekkingen aan andere landen buiten de Europese Unie;

  • l.

    de bewaartermijnen die in acht worden genomen en

  • m.

    eventuele bijzonderheden.

Artikel 18 Toegang tot het Openbaar register.

Het college van burgemeester en wethouders verleent, door tussenkomst van de functionaris voor de gegevensbescherming, die door de Verantwoordelijke is belast met het beheer van en de verantwoordelijkheid voor het Openbaar register van verwerkingen van persoonsgegevens, eenieder die daarom verzoekt toegang tot de informatie opgenomen in het Openbaar register.

Artikel 19 Nadere regels ten aanzien van het Openbaar register.

Het college van burgemeester en wethouders kan nadere regels stellen, waarin is vastgelegd:

• a.

  hoe uitvoering wordt gegeven aan de inschrijving van een verwerking van persoonsgegevens in het register en de doorhaling van een inschrijving, alsmede aan het aanbrengen van wijzigingen in de gegevens die omtrent een verwerking in het register zijn vastgelegd;

• b.

  welke informatie het register over elke ingeschreven verwerking van persoonsgegevens moet bevatten en op wie de verplichting tot het tijdig aanleveren van deze informatie rust en

• c.

  hoe aan de openbaarheid van het register gestalte wordt gegeven.

Artikel 20 Informatieplicht jegens betrokkene.

• 1.

  Op de Verantwoordelijke rust de verplichting de betrokkene op eigen initiatief op de hoogte te stellen van het bestaan van de gegevensverwerking teneinde het gegevensverkeer transparant te maken.

• 2.

  Betrokkenen worden geïnformeerd over de verwerking van hun persoonsgegevens, tenzij in het concrete geval een beroep kan worden gedaan op één van de uitzonderingen op de informatieplicht zoals bedoeld in de wet, voor zover dit noodzakelijk is in het belang van a. de veiligheid van de staat; b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen. De informatieplicht wordt in voornoemde gevallen opgeschort.

• 3.

  Als gegevens worden verwerkt zonder betrokkene(n) hierover vooraf te informeren, worden zij hier altijd zo spoedig mogelijk achteraf over geïnformeerd.

• 4.

  Aan het verwerken van gegevens zonder de betrokkene(n) hier vooraf over te informeren ligt een voor de burger verifieerbaar besluit ten grondslag.

• 5.

  De Verantwoordelijke deelt de betrokkene, indien de gegevens worden verkregen bij de betrokkene zelf, vóór het moment van de verkrijging van hem betreffende gegevens, zijn identiteit en de doeleinden van de verwerking mede.

• 6.

  De Verantwoordelijke deelt de betrokkene, indien de gegevens worden verkregen op een andere wijze dan bij de betrokkene zelf, op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde uiterlijk op het moment van de eerste verstrekking, zijn identiteit en de doeleinden van de verwerking mede.

• 7.

  De Verantwoordelijke verstrekt nadere informatie – anders dan zijn identiteit en de doeleinden van de verwerking – voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

• 8.

  De informatieplicht geldt niet wanneer de betrokkene uit andere hoofde reeds op de hoogte is.

• 9.

  Het zesde lid is niet van toepassing indien mededeling van de informatie aan betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de Verantwoordelijke de herkomst van de gegevens vast.

• 10.

  Het zesde lid is evenmin van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet (hier is niet bedoeld de Wbp) is voorgeschreven. In dat geval dient de Verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekking van de hem betreffende gegevens heeft geleid.

• 11.

  Het Openbaar register vormt een middel om te voldoen aan de informatieplicht (algemene openbare bekendmaking). In het Openbaar register is per verwerking aangegeven hoe betrokkene wordt geïnformeerd.

• 12.

  De betrokkene kan op toegankelijke wijze kennis nemen van onderhavig Privacyprotocol en de bijlage. Het protocol is voor eenieder kosteloos op te vragen en in te zien. Het protocol is gepubliceerd op de website van de gemeente.

Artikel 21 Melding bij de functionaris voor de gegevensbescherming.

• 1.

  De in het Openbaar register van verwerkingen van persoonsgegevens van de gemeente Nuth vermelde verwerkingen zijn, indien niet vrijgesteld conform het Vrijstellingsbesluit Wbp, gemeld bij de functionaris voor de gegevensbescherming.

• 2.

  De functionaris voor de gegevensbescherming heeft de meldingsplichtige verwerkingen geregistreerd in het Wbp-meldingenregister onder de nummers zoals in de te onderscheiden verwerkingen opgenomen.

• 3.

  Periodieke controle of alle onderdelen van de gegevensverwerking nog in overeenstemming zijn met de bij de betreffende melding aan de functionaris voor de gegevensbescherming doorgegeven informatie vindt twee maal per jaar plaats door de beheerder. De beheerder raadpleegt hiertoe de in de te onderscheiden verwerkingen van persoonsgegevens benoemde contactpersonen. De functionaris voor de gegevensbescherming ziet erop toe dat deze termijn in acht wordt genomen.

• 4.

  De functionaris voor de gegevensbescherming verleent eenieder desgevraagd kosteloos inzage in het Wbp-meldingenregister.

Artikel 22 Recht op inzage

• 1.

  De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de Verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De Verantwoordelijke stuurt het verzoek door aan de daartoe ter behandeling aangewezen functionaris voor de gegevensbescherming, deze vergewist zich van de identiteit van de verzoeker. De Verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt. Het verzoek betreffende verwerkingen van persoonsgegevens binnen de gemeente Nuth kan worden gericht aan het college van burgemeester en wethouders van de gemeente Nuth, Postbus 22000, 6360 AA, Nuth.

• 2.

  Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

• 3.

  In geval bijzondere computerprogrammatuur een wijze van verwerking mogelijk maakt die de betrokkene niet reeds duidelijk is uit de mededeling ingevolge het tweede lid, doet de Verantwoordelijke desgevraagd mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

• 4.

  Voordat de Verantwoordelijke een mededeling doet als bedoeld in lid 1, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.

Artikel 23 Recht op verbetering, aanvulling, verwijdering en afscherming.

• 1.

  Degene aan wie overeenkomstig artikel 22 kennis is gegeven van hem betreffende persoonsgegevens, kan de Verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen. De Verantwoordelijke stuurt het verzoek door aan de daartoe ter behandeling aangewezen functionaris voor de gegevensbescherming. De Verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. Het verzoek kan worden gericht aan het college van burgemeester en wethouders van de gemeente Nuth, Postbus 22000, 6360 AA, Nuth.

• 2.

  De Verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

Artikel 24 Wijze van voldoen aan verzoek.

• 1.

  Indien een gewichtig belang van de betrokkene dit eist voldoet de Verantwoordelijke aan een verzoek als bedoeld in artikel 22 en 23 in een andere dan schriftelijke vorm, die aan dat belang is aangepast.

• 2.

  De verzoeken als bedoeld in artikel 22 en 23 worden ten aanzien van minderjarigen die de leeftijd van 16 jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden, gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers.

Artikel 25 Kennisgeving aan derden.

• 1.

  De Verantwoordelijke die naar aanleiding van een verzoek op grond van artikel 23 persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.

• 2.

  De Verantwoordelijke doet aan de verzoeker, bedoeld in artikel 23, desgevraagd opgave van degenen aan wie hij de mededeling heeft gedaan.

Artikel 26 Kostenvergoeding.

• 1.

  De Verantwoordelijke kan voor een bericht als bedoeld in artikel 22 een vergoeding van kosten verlangen voor ten hoogste het bedrag zoals opgenomen in het Besluit kostenvergoeding rechten betrokkene Wet bescherming persoonsgegevens.

• 2.

  De vergoeding wordt teruggegeven in geval de Verantwoordelijke op verzoek van de betrokkene of op bevel van de rechter tot verbetering, aanvulling, verwijdering of afscherming is overgegaan.

Artikel 27 Verzet.

• 1.

  De betrokkene kan bij de Verantwoordelijke te allen tijde verzet aantekenen tegen verwerking van zijn persoonsgegevens op grond van artikel 8, aanhef en onderdeel e en f, Wet bescherming persoonsgegevens, in verband met zijn bijzondere persoonlijke omstandigheden.

• 2.

  De Verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is.

• 3.

  De Verantwoordelijke verlangt voor het in behandeling nemen van een verzet een vergoeding van kosten voor ten hoogste het bedrag zoals opgenomen in het Besluit kostenvergoeding rechten betrokkene Wet bescherming pertsoonsgegevens.

Artikel 28 Vaststelling identiteit en machtiging.

• 1.

  De Verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker aan de hand van een wettelijk en geldig identiteitsbewijs zoals bedoeld in artikel 1 van de Wet op de identificatieplicht.

• 2.

  De betrokkene kan een ander schriftelijk machtigen de in dit hoofdstuk bedoelde verzoeken te doen. De gemachtigde verstrekt de Verantwoordelijke een afschrift van deze machtiging bij het doen van een verzoek.

• 3.

  Een mededeling aan een gemachtigde vindt niet plaats indien aangenomen kan worden dat deze mede een zelfstandig belang heeft bij de mede te delen gegevens of indien tegen die ander ernstige bezwaren bestaan.

Artikel 29 Geen inzage.

• 1.

  De Verantwoordelijke kan inzage weigeren of deels beperken voor zover dit noodzakelijk is in het belang van:

  • a.

    de veiligheid van de staat;

  • b.

    de voorkoming, opsporing en vervolging van strafbare feiten;

  • c.

    gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

  • d.

    het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of

  • e.

    de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

• 2.

  In situaties zoals in het eerste lid, onder a tot en met e, omschreven dient er een afweging te worden gemaakt tussen de belangen van de betrokkene en de belangen van de Verantwoordelijke om te besluiten of de inzage beperkt of geweigerd kan of moet worden. Een mogelijke beperking op basis van deze afweging kan zijn het ter inzage voorleggen van de gegevens aan de persoon die inzage verzoekt. De belangenafweging vindt in het betreffende geval in samenspraak met de functionaris voor de gegevensbescherming plaats.

Artikel 30 Besluit.

Een beslissing op een verzoek als bedoeld in de artikelen 22, 23, 24, tweede lid, alsmede een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel 27 geldt als een besluit in de zin van de Algemene wet bestuursrecht waartegen bezwaar openstaat bij de Verantwoordelijke.

Artikel 31 Bemiddeling.

De belanghebbende kan zich ook binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht tot het College bescherming persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de Verantwoordelijke. In dat geval kan in afwijking van artikel 6:7 van de Algemene wet bestuursrecht het beroep nog worden ingesteld nadat de belanghebbende van het College bescherming persoonsgegevens bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.

Artikel 32 Toezichthouder.

Het College bescherming persoonsgegevens is op grond van de wet als nationale toezichthouder bevoegd toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde.

Artikel 33 Verenigbaar gebruik.

Een verstrekking van persoonsgegevens aan andere dan de per gemeentelijke verwerking in het Openbaar register van verwerkingen van persoonsgegevens opgenomen ontvangers, vindt alleen plaats indien en voor zover de Verantwoordelijke heeft beoordeeld dat deze verstrekking niet onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn verkregen.

Artikel 34 Planning en naleving.

• 1.

  Naleving van de wet en onderhavig Privacyprotocol vormt een onderdeel van het planning en control proces van de gemeente Nuth. Het college informeert de raad binnen de jaarlijkse planning en control cyclus over de risico's en beheersmaatregelen met betrekking tot de privacy;

• 2.

  Adviezen en eventuele aanbevelingen van de functionaris voor de gegevensbescherming die strekken tot een betere bescherming van de gegevens die worden verwerkt, worden opgenomen in de planning en control cyclus, hetgeen leidt tot een procesmatige inbedding van de controle op de beginselen uit de wet;

• 3.

  Privacy is een vast onderdeel van alle (deel)plannen van de gemeente, hetgeen leidt tot beleidsmatige verbeteringen;

• 4.

  De beheerder legt jaarlijks verantwoording af over het in control zijn ten aanzien van naleving van de wet en onderhavig Privacyprotocol;

• 5.

  Als onderdeel van de beveiliging zal tweejaarlijks een audit worden uitgevoerd door een onafhankelijke auditor waarbij onder meer wordt toegezien op autorisaties, naleving informatieplicht, bewaartermijnen en vernietiging van persoonsgegevens.

Artikel 35 Publicatie.

Dit Privacyprotocol is gepubliceerd op de website van de gemeente Nuth. Het protocol is voor eenieder kosteloos op te vragen via gemeente@nuth.nl kosteloos in te zien bij de gemeente Nuth, gevestigd te Nuth aan het Deweverplein 1.

Artikel 36 Onvoorziene gevallen.

In gevallen waarin het bij of krachtens de wet dan wel in dit Privacyprotocol bepaalde niet voorziet beslist de Verantwoordelijke.

Artikel 37 Wijzigingen.

De Verantwoordelijke zal indien zich wijzigingen voordoen, het Privacyprotocol aanpassen.

Artikel 38 Inwerkingtreding.

• 1.

  Dit Privacyprotocol kan worden aangehaald als Privacyprotocol gemeente Nuth.

• 2.

  Dit Privacyprotocol treedt in werking op 1 juni 2016.