Organisatie | Nuth |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacyprotocol gemeente Nuth |
Citeertitel | Privacyprotocol gemeente Nuth |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen.
Onbekend.
Geen.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-07-2016 | 01-01-2021 | nieuwe regeling | 14-06-2016 Elektronisch Gemeenteblad, 30-06-2016 | Z.13153 INT.14847 |
Daar waar in dit protocol de mannelijke persoonsvorm wordt gebruikt, moet tevens de vrouwelijke persoonsvorm worden gelezen.
In dit Privacyprotocol wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens, Stb. 2000, nr. 302, zoals laatstelijk gewijzigd op 4 juni 2015, Stb. 2015, 230 (i.w.tr. 01-01-2016), verstaan onder:
Vrijstellingsbesluit Wbp: Besluit van 7 mei 2001, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens, Stb. 2001, 250, zoals laatstelijk gewijzigd op 9 december 2014, Stb. 2014, 520 (i.w.tr. 01-01-2015);
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Openbaar register van verwerkingen van persoonsgegevens: register, gehouden door het college van burgemeester en wethouders, voor eenieder desgevraagd kosteloos ter inzage, waarin de verwerkingen van persoonsgegevens binnen de te onderscheiden afdelingen in de gemeente Nuth – conform een vaste vragenlijst beschreven en beoordeeld – zijn opgenomen;
Personen die als ambtenaar binnen de gemeente Nuth worden aangesteld leggen bij indiensttreding dan wel zo spoedig mogelijk na indiensttreding de eed of belofte af, waarbij wordt verklaard dat zaken waarvan de betreffende persoon door zijn ambt kennis draagt en die hem als geheim zijn toevertrouwd of waarvan hij het vertrouwelijk karakter moet begrijpen, niet zal openbaren aan anderen, dan aan hen, aan wie hij volgens de wet of ambtshalve tot mededeling verplicht is, leden van adviescommissies, gedetacheerden en stagiair(e)s tekenen bij aanvang van hun werkzaamheden een geheimhoudingsverklaring;
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zijn gericht op implementatie van de gegevensbeschermings-principes, teneinde aan de eisen van de wet te kunnen voldoen en de rechten van betrokkenen te beschermen.
Artikel 3 Reikwijdte en doelstelling van het Privacyprotocol.
Dit Privacyprotocol is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens, alsmede de niet geautomatiseerde verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, binnen de te onderscheiden afdelingen in de gemeente Nuth.
Artikel 4 Doel van de verwerking van persoonsgegevens.
De verwerkingen van persoonsgegevens die worden gevoerd binnen de te onderscheiden afdelingen in de gemeente Nuth hebben tot doel:
het vastleggen en beschikbaar stellen of houden van informatie voor historische, statistische of wetenschappelijke doeleinden; de Verantwoordelijke draagt er hierbij zorg voor dat de nodige voorzieningen zijn getroffen ten einde te verzekeren dat deze verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.
Artikel 5 Grondslag van de verwerking.
De rechtmatigheidgrondslag om op grond van de Wbp persoonsgegevens te verwerken binnen de te onderscheiden afdelingen in de gemeente Nuth is:
artikel 8, aanhef en onderdeel b, Wbp, de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene die noodzakelijk zijn voor het sluiten van een overeenkomst;
artikel 8, aanhef en onderdeel f, Wbp, de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Artikel 6 Verantwoordelijke en toezicht.
2. Verwerking van persoonsgegevens binnen de gemeente.
In de verwerkingen van persoonsgegevens binnen de te onderscheiden afdelingen in de gemeente Nuth zijn gegevens opgenomen van de volgende categorieën van betrokkenen:
Artikel 9 Bijzondere gegevens.
De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in de wet. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
In het Openbaar register van verwerkingen van persoonsgegevens is de verwerking van bijzondere persoonsgegevens – indien van toepassing – per verwerking geregistreerd. De in het betreffende geval van toepassing zijnde, in de wet opgenomen, specifieke of algemene uitzondering op het verbod de gegevens te verwerken is hierbij vastgelegd.
De personen bedoeld in lid 1, voor wie niet reeds uit hoofde van ambt, beroep, wettelijk voorschrift of geheimhoudingsovereenkomst een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing.
Artikel 11 Aanmelden nieuwe gegevensverwerkingen.
Alle gegevensverwerkingen binnen de te onderscheiden afdelingen in de gemeente Nuth zijn opgenomen in het Openbaar register van verwerkingen van persoonsgegevens en, indien niet vrijgesteld van melding conform het Vrijstellingsbesluit Wbp, gemeld bij de functionaris voor de gegevensbescherming en opgenomen in het Wbp-meldingenregister.
Elk voornemen tot het gaan verwerken van persoonsgegevens, anders dan opgenomen in het Openbaar register van verwerkingen van persoonsgegevens, dient te worden aangemeld bij de functionaris voor de gegevensbescherming. Bij veranderingen in diensten en producten, processen en informatiesystemen wordt voldaan aan de principes van gegevensbescherming door ontwerp en door standaardinstellingen in de uitvoeringsfase.
Artikel 12 Beveiliging van gegevens.
De Verantwoordelijke beveiligt de persoonsgegevens van betrokkenen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De Verantwoordelijke treft daarvoor de nodige passende technische en organisatorische maatregelen. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
De gemeente Nuth werkt conform de wettelijke bepalingen voor gegevensbeveiliging en heeft de Baseline Informatiebeveiliging Gemeenten (BIG) geïmplementeerd. De persoonsgegevens worden beveiligd door middel van maatregelen zoals genoemd in het in 2014 vastgestelde ‘Informatiebeveiligingsbeleid gemeente Nuth’, waarvan het Informatiebeveiligingsplan onderdeel uitmaakt. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening.
In het Informatiebeveiligingsbeleid is vastgelegd:
dat het treffen van de nodige passende technische en organisatorische maatregelen zoveel als mogelijk reeds in de ontwerpfase (op het tijdstip van de bepaling van de verwerkingsmiddelen) gebeurt, maar ook bij het feitelijk uitvoeren van de verwerking: waar mogelijk worden systemen ten behoeve van de gegevensverwerking zo ingericht dat de standaardinstelling is dat niet meer gegevens worden verwerkt dan noodzakelijk is;
dat indien een verwerking gelet op de aard, de omvang, de context of de doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen oplevert, vóór de verwerking een beoordeling wordt uitgevoerd van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens;
dat indien sprake is van gezamenlijke verantwoordelijkheid voor een verwerking van persoonsgegevens de respectievelijke verantwoordelijkheden voor de nakoming van de verplichtingen uit de wet zijn vastgelegd in een samenwerkingsconvenant of krachtens een andere schriftelijke rechtshandeling waardoor een verbintenis ontstaat tussen de betreffende partijen;
Indien sprake is van een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp, waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking:
stelt de Verantwoordelijke de betrokkene onverwijld in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (dit geldt niet indien de Verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens);
draagt de Verantwoordelijke er zorg voor dat de kennisgeving aan het College bescherming persoonsgegevens en de betrokkene in ieder geval de aard van de inbreuk en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, bevat, en wordt voorts aangegeven dat meer informatie over de inbreuk bij de functionaris voor de gegevensbescherming , of bij diens afwezigheid de voorzitter van de Stuurgroep, kan worden verkregen;
draagt de Verantwoordelijke er zorg voor dat de kennisgeving aan het College bescherming persoonsgegevens tevens een beschrijving bevat van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de Verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
draagt de Verantwoordelijke er zorg voor dat de kennisgeving aan de betrokkene op zodanige wijze wordt gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.
De Verantwoordelijke houdt een overzicht bij van iedere inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in lid 5, onder c, en de tekst van de kennisgeving aan de betrokkene.
Artikel 13 Bewaren van gegevens.
Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid, voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de Verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.
3. Toegang tot de gegevens en verstrekking van gegevens.
Artikel 15 Toegang tot de gegevens.
a. Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog op de dagelijkse zorg voor het goed functioneren van de verwerking, rechtstreekse toegang tot persoonsgegevens.
b.de schriftelijke autorisatie strekt zich uit tot de bevoegdheid tot raadplegen, invoeren, wijzigen, verwijderen en vernietigen van de gegevens.
Voor de personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep, wettelijk voorschrift of geheimhoudingsovereenkomst een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijke voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
De beheerder kan incidenteel en uitsluitend ten behoeve van evaluatief onderzoek andere dan de in het eerste lid bedoelde personen schriftelijk autoriseren tot rechtstreekse toegang voor een door haar vooraf te bepalen periode, de resultaten van het onderzoek zullen niet herleidbaar zijn tot individuele personen.
4. Openbaar register van verwerkingen van persoonsgegevens.
Artikel 18 Toegang tot het Openbaar register.
Het college van burgemeester en wethouders verleent, door tussenkomst van de functionaris voor de gegevensbescherming, die door de Verantwoordelijke is belast met het beheer van en de verantwoordelijkheid voor het Openbaar register van verwerkingen van persoonsgegevens, eenieder die daarom verzoekt toegang tot de informatie opgenomen in het Openbaar register.
5. Informatieplicht en melding bij de functionaris voor de gegevensbescherming.
Artikel 20 Informatieplicht jegens betrokkene.
Betrokkenen worden geïnformeerd over de verwerking van hun persoonsgegevens, tenzij in het concrete geval een beroep kan worden gedaan op één van de uitzonderingen op de informatieplicht zoals bedoeld in de wet, voor zover dit noodzakelijk is in het belang van a. de veiligheid van de staat; b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen. De informatieplicht wordt in voornoemde gevallen opgeschort.
De Verantwoordelijke deelt de betrokkene, indien de gegevens worden verkregen op een andere wijze dan bij de betrokkene zelf, op het moment van vastlegging van hem betreffende gegevens, of wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde uiterlijk op het moment van de eerste verstrekking, zijn identiteit en de doeleinden van de verwerking mede.
De Verantwoordelijke verstrekt nadere informatie – anders dan zijn identiteit en de doeleinden van de verwerking – voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
Het zesde lid is evenmin van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet (hier is niet bedoeld de Wbp) is voorgeschreven. In dat geval dient de Verantwoordelijke de betrokkene op diens verzoek te informeren over het wettelijk voorschrift dat tot de vastlegging of verstrekking van de hem betreffende gegevens heeft geleid.
Artikel 21 Melding bij de functionaris voor de gegevensbescherming.
Periodieke controle of alle onderdelen van de gegevensverwerking nog in overeenstemming zijn met de bij de betreffende melding aan de functionaris voor de gegevensbescherming doorgegeven informatie vindt twee maal per jaar plaats door de beheerder. De beheerder raadpleegt hiertoe de in de te onderscheiden verwerkingen van persoonsgegevens benoemde contactpersonen. De functionaris voor de gegevensbescherming ziet erop toe dat deze termijn in acht wordt genomen.
De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de Verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De Verantwoordelijke stuurt het verzoek door aan de daartoe ter behandeling aangewezen functionaris voor de gegevensbescherming, deze vergewist zich van de identiteit van de verzoeker. De Verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt. Het verzoek betreffende verwerkingen van persoonsgegevens binnen de gemeente Nuth kan worden gericht aan het college van burgemeester en wethouders van de gemeente Nuth, Postbus 22000, 6360 AA, Nuth.
Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
In geval bijzondere computerprogrammatuur een wijze van verwerking mogelijk maakt die de betrokkene niet reeds duidelijk is uit de mededeling ingevolge het tweede lid, doet de Verantwoordelijke desgevraagd mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.
Voordat de Verantwoordelijke een mededeling doet als bedoeld in lid 1, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
Artikel 23 Recht op verbetering, aanvulling, verwijdering en afscherming.
Degene aan wie overeenkomstig artikel 22 kennis is gegeven van hem betreffende persoonsgegevens, kan de Verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen. De Verantwoordelijke stuurt het verzoek door aan de daartoe ter behandeling aangewezen functionaris voor de gegevensbescherming. De Verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. Het verzoek kan worden gericht aan het college van burgemeester en wethouders van de gemeente Nuth, Postbus 22000, 6360 AA, Nuth.
Artikel 24 Wijze van voldoen aan verzoek.
De verzoeken als bedoeld in artikel 22 en 23 worden ten aanzien van minderjarigen die de leeftijd van 16 jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden, gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers.
Artikel 25 Kennisgeving aan derden.
De Verantwoordelijke die naar aanleiding van een verzoek op grond van artikel 23 persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
In situaties zoals in het eerste lid, onder a tot en met e, omschreven dient er een afweging te worden gemaakt tussen de belangen van de betrokkene en de belangen van de Verantwoordelijke om te besluiten of de inzage beperkt of geweigerd kan of moet worden. Een mogelijke beperking op basis van deze afweging kan zijn het ter inzage voorleggen van de gegevens aan de persoon die inzage verzoekt. De belangenafweging vindt in het betreffende geval in samenspraak met de functionaris voor de gegevensbescherming plaats.
Een beslissing op een verzoek als bedoeld in de artikelen 22, 23, 24, tweede lid, alsmede een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel 27 geldt als een besluit in de zin van de Algemene wet bestuursrecht waartegen bezwaar openstaat bij de Verantwoordelijke.
De belanghebbende kan zich ook binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht tot het College bescherming persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de Verantwoordelijke. In dat geval kan in afwijking van artikel 6:7 van de Algemene wet bestuursrecht het beroep nog worden ingesteld nadat de belanghebbende van het College bescherming persoonsgegevens bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.
Artikel 33 Verenigbaar gebruik.
Een verstrekking van persoonsgegevens aan andere dan de per gemeentelijke verwerking in het Openbaar register van verwerkingen van persoonsgegevens opgenomen ontvangers, vindt alleen plaats indien en voor zover de Verantwoordelijke heeft beoordeeld dat deze verstrekking niet onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn verkregen.
Artikel 34 Planning en naleving.
Adviezen en eventuele aanbevelingen van de functionaris voor de gegevensbescherming die strekken tot een betere bescherming van de gegevens die worden verwerkt, worden opgenomen in de planning en control cyclus, hetgeen leidt tot een procesmatige inbedding van de controle op de beginselen uit de wet;
Nuth, 14 juni 2016
Het college van burgemeester en wethouders van de gemeente Nuth,
De secretaris, de burgemeester,
Drs. H.M.J. van Mierlo D.H. Schmalschläger