Organisatie | Veiligheidsregio Utrecht |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Algemene regeling voor de omgang met persoonsgegevens binnen de Veiligheidsregio Utrecht |
Citeertitel | Algemene privacyregeling VRU |
Vastgesteld door | algemeen bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
De bekendmaking van deze regeling is niet te achterhalen.
De inwerkingtreding is bij benadering ingevuld.
Deze regeling is vervangen door de Regeling bescherming persoonsgegevens Veiligheidsregio Utrecht
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-02-2014 | 01-03-2020 | nieuwe regeling | 13-12-2013 Onbekend | . |
Het algemeen bestuur van de Veiligheidsregio Utrecht;
het bepaalde in artikel 160 Gemeentewet, artikel 8.1 Gemeenschappelijke Regeling Veiligheidsregio Utrecht 2010, alsmede artikel 28 lid 3 Organisatieregeling Veiligheidsregio Utrecht 2010 en op grond van de Wet bescherming persoonsgegevens (Stbl. 2000, 302) en de daarmee samenhangende wet- en regelgeving;
de Veiligheidsregio Utrecht persoonsgegevens van medewerkers alsmede persoonsgegevens van burgers en bedrijven verwerkt in de voorbereiding op rampen en crises en bestrijding van brand;
de Veiligheidsregio Utrecht ten tijde van een ramp of crises of in de uitvoering van haar reguliere hulpverleningstaken persoonsgegevens en slachtoffergegevens verwerkt;
het van belang is dat persoonsgegevens door de Veiligheidsregio Utrecht op transparante wijze worden verwerkt;
de verwerking voldoet aan de wettelijke kaders, alsmede de eisen die de Veiligheidsregio Utrecht daar zelf aan stelt;
het daarom van belang is om een privacyregeling vast te stellen dat duidelijkheid en kaders schept voor de verwerking van persoonsgegevens binnen de Veiligheidsregio Utrecht;
Algemene regeling voor de omgang met persoonsgegevens binnen de Veiligheidsregio Utrecht;
In deze regeling wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder:
verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Deze regeling heeft tot doel een kader te scheppen waarbinnen de verschillende verwerkingen van persoonsgegevens binnen de gehele VRU op eenduidige en rechtmatige wijze plaatsvinden.
Het dagelijks bestuur van de VRU stelt een Uitvoeringsregister vast. Het Uitvoeringsregister vat ten aanzien van de vastgelegde gegevensverwerkingen binnen de VRU, zoals bedoeld onder het voorgaande lid, samen wat de doeleinden zijn, wat de verwerkte gegevens zijn en de overige kenmerken van de verwerking, voor zover dat in deze regeling wordt bepaald.
§ 2 VERWERKING VAN PERSOONSGEGEVENS
Artikel 5 Voorwaarden verwerking van persoonsgegevens in het algemeen
Persoonsgegevens mogen slechts worden verwerkt indien:
de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Artikel 6 De verwerking van bijzondere persoonsgegevens
Indien de verantwoordelijke gegevens persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
Artikel 7 Voorwaarden verwerking van bijzondere persoonsgegevens
Onverminderd artikel 6 van deze regeling is het verbod om persoonsgegevens als bedoeld in artikel 16 van de wet, te verwerken niet van toepassing voor zover:
dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het Cbp ontheffing heeft verleend. Het Cbp kan bij de verlening van ontheffing beperkingen en voorschriften opleggen;
de gegevens worden verwerkt door het Cbp of een Ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Artikel 8 Verstrekking van persoonsgegevens
Op grond van de doelstelling en de rechtmatige grondslag kunnen door of namens de verantwoordelijke persoonsgegevens worden verstrekt aan derden.
Artikel 9 Verdere verwerking persoonsgegevens
De te verwerken persoonsgegevens zullen slechts verder worden verwerkt op een wijze die niet onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Daarbij zal rekening worden gehouden met de verwantschap van de doeleinden, de aard van de gegevens en de waarborgen ter bescherming van de persoonlijke sfeer.
§ 3 BEVOEGDHEDEN EN PLICHTEN VAN VERANTWOORDELIJKE EN BEHEERDER
Persoonsgegevens mogen langer worden bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, wanneer zij geanonimiseerd worden of voor zover ze uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden bewaard.
Artikel 14 Rechtstreeks toegang tot de persoonsgegevens
Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog op de dagelijkse zorg voor en het goed functioneren van de verwerking, rechtstreeks toegang tot de persoonsgegevens. In welke mate toegang wordt verleend, wordt vastgelegd. Deze informatie wordt samengevat in het Uitvoeringsregister.
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de afstand van de techniek en de kosten van de ten uitoverlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
Indien gebruik wordt gemaakt van de diensten van een bewerker, legt de verantwoordelijke de wederzijdse verplichtingen met betrekking tot de omgang met persoonsgegevens schriftelijk in een overeenkomst met die bewerker vast. De bewerker verwerkt de persoonsgegevens overeenkomstig diens overeengekomen verplichtingen.
Artikel 20 Recht op verwijdering of vernietiging van persoonsgegevens
De verantwoordelijke vernietigt de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.
Vastgesteld in de vergadering van het algemeen bestuur VRU op 13 december 2013
A.Wolfsen P.J.L. Bos
Voorzitter Secretaris
Toelichting bij paragraaf 1: Algemene bepalingen
De Wet bescherming persoonsgegevens (Wbp) beschermt de privacy van burgers in Nederland. De Wbp regelt in grote mate hoe wordt omgegaan met persoonsgegevens van burgers en welke rechten zij daarbij hebben. Ook binnen een organisatie als de Veiligheidsregio Utrecht (VRU) worden persoonsgegevens verwerkt, want zonder die verwerking kan de VRU geen goede invulling geven aan haar bedrijfsvoering en aan de taken die zij dient uit te voeren op grond van de wet, primair de Wet veiligheidsregio’s. Bij het verwerken van persoonsgegevens dient de VRU uiteraard rekening te houden met de Wbp.
Om op een juiste wijze rekening te houden met de Wbp moet een organisatie daar wel het een en ander voor regelen. De vereisten uit de wet vergen wat uitleg en acties binnen een organisatie, dus ook voor de VRU.
Door een algemene privacyregeling vast te stellen, draagt de organisatie uit dat zij de verwerking van persoonsgegevens serieus neemt. Daarnaast wordt het voor verwerkers en betrokkenen binnen de VRU duidelijker wat de toepasselijke regels zijn ten aanzien van het verwerken van persoonsgegevens. Dat bevordert een duidelijke werkwijze op dit vlak.
Zodra duidelijke en algemeen geldende regels voor de organisatie zijn vastgelegd, wordt het mogelijk om in de lijn van de organisatie specifieke of gedetailleerde regels of beschrijvingen vast te stellen. Dat is nodig, omdat persoonsgegevens op verschillende manieren worden verwerkt. Dat komt doordat ze in verschillende systemen zitten en daar zitten die gegevens in met een bepaald doel.
Aan de hand van de Algemene privacyregeling worden vervolgens in meerdere, lager vastgestelde regelingen de doelen van de verschillende verwerkingen vastgelegd. Daar worden ook enkele andere zaken in vastgelegd, bijvoorbeeld de bewaartermijn. Op die manier is voor alle betrokkenen per gegevensverwerking inzichtelijk wat is afgesproken over de die verwerkingen.
Een samenvatting van de belangrijkste punten uit alle lagere regelingen wordt vastgesteld in een apart besluit, een register, zoals bepaald in artikel 3 van deze regeling. Dat besluit heet het Uitvoeringsregister.
Om een beeld te krijgen waar we in deze regeling over spreken, is het van belang om te weten wat eigenlijk wordt verstaan onder persoonsgegevens. Zoals ook uit de Wbp valt op te maken, omschrijven we persoonsgegevens als volgt:
Persoonsgegevens geven directe of indirecte informatie over een persoon. Deze persoon moet daarbij wel te identificeren zijn.
Wat houdt dit in? Het gaat om elk gegeven, dus niet alleen tekst, maar ook foto’s of geluid van een persoon. Ook hier kunnen namelijk persoonsgegevens in staan. Denk aan een foto, die geeft in één oogopslag informatie over ras en geslacht.
De gegevens moeten een persoon betreffen. Dat kan direct of indirect zijn. Bij direct moet men denken aan met naam en toenaam:
Vingerafdrukken bevatten weliswaar geen naam, maar het gaat hier toch om gegevens die heel duidelijk horen bij één persoon.
Bij indirecte gegevens gaat het om gegevens die vooral gaan over een zaak, dossier of feiten. Maar die gegevens kunnen wel via een omweg informatie bevatten over een persoon. Denk aan:
Als die gegevens in verband kunnen worden gebracht met persoon en bepalend zijn voor de manier waarop die persoon vervolgens wordt behandeld of beoordeeld, dan spreken we alsnog van persoonsgegevens.
Als je niet weet om welke persoon het gaat, kun je lastig spreken van persoonsgegevens. Bij directe persoonsgegevens is een persoon al geïdentificeerd of in ieder geval met naam en toenaam bekend waardoor identificeren eenvoudig is.
Als je alleen een simpel gegeven hebt, zoals een woonplaats of een leeftijd, dan gaat het er om of je de identiteit van de betrokken persoon zonder al te veel inspanning kunt vast stellen. Daarbij is het van belang in welke mate degene die de gegevens bezit heeft, over mogelijkheden beschikt om die identiteit vast te stellen. Met andere woorden: Hoe meer mensen, middelen, geld en toegang tot andere systemen een organisatie heeft, hoe makkelijker het wordt om iemand te identificeren aan de hand van verschillende losse gegevens.
Bijzondere persoonsgegevens (artikel 16 Wbp)
Naast gewone persoonsgegevens kent de Wbp ook bijzondere persoonsgegevens. Daar gelden strengere regels voor. In principe is de verwerking van dat soort gegevens verboden. De Wbp omschrijft zelf de uitzonderingen op grond waarvan de verwerking van bijzondere persoonsgegevens wel is toegestaan. Onder bijzondere persoonsgegevens verstaat de wet:
Toelichting bij paragraaf 2: Verwerking van persoonsgegevens
Heb je in je werk te maken met het verwerken van persoonsgegevens? Dan is het belangrijk om rekening te houden met enkele kaders en regels.
Denk aan rechtmatigheid van het verwerken, doelmatigheid, proportionaliteit, zorgvuldigheid, beveiliging, bewaartermijnen en dergelijke. Die begrippen worden onderstaand toegelicht.
Als binnen een organisatie uiteindelijk is bepaald dat de verwerking noodzakelijk is, mag volgens de wet de verwerking ook niet verder gaan dan nodig. Het doel van de verwerking moet worden vastgelegd.
Bij het verwerken van persoonsgegevens komt het namelijk nog wel eens voor dat men in verloop van tijd opeens hele andere dingen gaat doen met de persoonsgegevens. Dat was in het begin vaak niet zo bedacht. Door het vastleggen van de doeleinden, kunnen de organisatie en de betrokken persoon zelf controleren of de verwerking nog wel netjes gebeurt in lijn met de oorspronkelijke gedachte.
De wetgever heeft het bovenstaande over de doeleinden vastgelegd in artikel 9 van de Wbp. Dat wordt het doelbindingsprincipe genoemd en daardoor kan en moet een verwerking van persoonsgegevens dus worden beperkt tot een specifiek doel of specifieke doeleinden.
Als men persoonsgegevens gaat verwerken, moeten de doeleinden dus duidelijk worden omschreven. Maar dat is niet alles, dat doel moet wel vallen binnen de wettelijke grondslagen voor rechtmatige verwerking. De grondslagen voor een rechtmatige verwerking zijn opgenomen in artikel 8 van de Wbp en artikel 5 van deze regeling. Als de gegevensverwerking niet valt te rijmen met één van die grondslagen, dan is het niet toegestaan.
wanneer de gegevensverwerking (dan wel gegevensverstrekking aan een derde partij) noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is
oDat betekent: Je gaat ergens werken, je koopt iets, je ondertekent een contract. Dan is het belangrijk om bepaalde persoonsgegevens te verstrekken.
voor de goede invulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan;
oDat betekent: Het gaat hier om net iets anders dan de grondslag van de wettelijke verplichting. Een publieke taak is bijvoorbeeld wat de VRU doet, voorbereiden op rampenbestrijding en crisisbeheersing. Daarbij bestaat geen wettelijke plicht om persoonsgegevens te verwerken, maar toch kan het noodzakelijk zijn om de opleidingsgegevens van hulpverleners te verwerken in overzichten, omdat anders niet kan worden beoordeeld of de hulpverlening de juiste kwaliteit in huis heeft. Dat verstoort de voorbereiding.
of voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt.
Voorbeeld: Je geeft je persoonsgegevens aan een verzekeraar bij het afsluiten van een verzekering. Om schade voor jou af te handelen, zal de verzekeraar jouw gegevens moeten verwerken. Bijvoorbeeld door ze te verstrekken aan een andere verzekeraar. Dat is dus een voorwaarde: Zonder het verstrekken van jouw gegevens kan je verzekeraar niet voor jou optreden als verzekeraar.
Bijzondere persoonsgegevens (artikelen 6 en 7)
Voor de verwerking van bijzondere persoonsgegevens is het van belang om extra waarborgen in te bouwen. Door in de regeling, in lijn met de Wbp, de uitzonderingen op het verbod van verwerken van dit soort gegevens op te nemen, is duidelijk in welke specifieke gevallen bijzondere persoonsgegevens verwerkt mogen worden.
Toelichting bij paragraaf 3: De bevoegdheden en plichten van de verantwoordelijke en de beheerder.
Voor de verwerking van persoonsgegevens in een organisatie ligt de verantwoordelijkheid bij de verantwoordelijke en de beheerder. De Wbp definieert de verantwoordelijke als diegene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dat is in het geval van de algemene privacyregeling VRU het algemeen bestuur.
De beheerder is degene die verantwoordelijk is voor een bepaalde verwerking in de organisatie. Dat is de lagere verantwoordelijke, denk aan een afdelingshoofd, die het algehele beheer over het systeem voert. Die beheerder is ook verantwoordelijk voor het vastleggen van de specifieke doeleinden en andere vereisten voor verwerking in dat systeem.
Onder de beheerder valt nog de gebruiker. Dat zijn medewerkers in de organisatie die gegevens in het systeem zetten of bewerken uit hoofde van hun functie. Denk daarbij onder meer aan het beheren van personeelsdossiers, opleidingsdossiers of roosterprogramma’s.
Geheimhouding (artikelen 10 en 16)
Alle ambtenaren binnen de VRU zijn op grond van de Ambtenarenwet verplicht tot geheimhouding. Overtreding van een geheimhoudingsplicht is strafbaar.
De geheimhoudingsplicht geldt ook voor personen, niet werkzaam bij de VRU, die voor de VRU werkzaamheden uitvoeren waarbij ze persoonsgegevens verwerken. In de Wbp worden die personen bewerkers genoemd. Een bewerker moet een zogenaamde bewerkersovereenkomst tekenen, waarvan de geheimhoudingsplicht onderdeel uit maakt.
Als een organisatie op geautomatiseerde wijze gegevens gaat verwerken, dan moet zij daar melding van doen bij het College Bescherming Persoonsgegevens, het Cbp. Dat is de toezichthouder op het gebied van privacywetgeving.
Maar niet alles hoeft gemeld te worden. Voor veel verwerkingen bestaat een vrijstelling op basis van het Vrijstellingsbesluit Wbp. Daarin worden verwerkingen vrijgesteld, zoals: personeels –en salarisadministratie, opleidingsgegevens, vergunningen en meldingen, netwerk –en computersystemen, toegangssystemen en communicatiebestanden.
Als blijkt dat bepaalde verwerkingen binnen de VRU onder die vrijstelling vallen, dan komt dat in het overzicht in het Uitvoeringsregister bij de regeling terug.
Bewaren en verwijderen (artikelen 12 en 13)
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Dat betekent dat de beheerder van een verwerking in een protocol of een regeling bij die verwerking moet vaststellen hoe lang de gegevens bewaard worden. In het Uitvoeringsregister worden die bewaartermijnen van de verschillende verwerkingen vervolgens overzichtelijk samengevat.
Als op een bepaald moment blijkt dat een verwerking van gegevens in haar geheel verwijderd moeten worden, dan stelt een beheerder van een systeem dat vast. Dat besluit wordt vervolgens echter door of namens de verantwoordelijke genomen. Gegevens worden niet verwijderd als ze op grond van de Archiefwet nog bewaard moeten worden.
Toegang en beveiliging (artikelen 14 en 15)
Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers kunnen persoonsgegevens inzien. Het is de bedoeling dat een organisatie werkt met autorisatieniveaus. Alleen personen die uit hoofde van hun functie met bepaalde persoonsgegevens werken, krijgen toegang. Die toegang wordt beperkt tot het strikt noodzakelijke, dus niet meer inzien dan noodzakelijk. Dat betekent dat de beheerders op een verantwoordelijke manier om moeten gaan met het uitdelen van autorisaties aan hun personeel. De manier waarop dat gebeurt dient te worden beschreven voor een bepaalde gegevensverwerking.
Daarnaast moeten de systemen waarin persoonsgegevens worden verwerkt, op een passende manier beveiligd zijn. Daarmee wordt bedoeld dat de beveiliging een niveau moet hebben dat voldoet aan de eisen die in de dagelijkse praktijk voor soortgelijke systemen en organisaties noodzakelijk en gangbaar is. De beheerder en de verantwoordelijke voor het technisch beheer van dergelijke systemen, dat kan ook een externe leverancier zijn, zorgen er voor dat die beveiliging op orde is.
Toelichting bij paragraaf 4: De rechten van de betrokkene (artikelen 17, 18, 19, 20)
De wet kent aan een betrokkene een aantal rechten toe. De verantwoordelijke informeert de betrokkene over die rechten. Daarbij is de verantwoordelijke ook verplicht om een betrokkene te informeren over het hoe en waarom van een verwerking als hij om de gegevens vraagt aan de betrokkene.
Een betrokkene heeft het recht om zijn gegevens in te zien. In beginsel mag een organisatie daar een vergoeding voor vragen. Maar ook geldt een reactietermijn. Binnen vier weken moeten de inzage in de gegevens worden gegeven.
Als een betrokkene tot de conclusie komt dat zijn gegevens onjuist zijn, kan hij de verantwoordelijke verzoeken om zijn gegevens te verbeteren. De verantwoordelijke moet daar in principe aan meewerken. Hij kan weigeren, maar moet dat dan wel goed uitleggen aan de betrokkene. Hetzelfde geldt voor een verzoek van een betrokkene om zijn gegevens te laten vernietigen.
De organisatie moet vragen over de verwerking van persoonsgegevens kunnen beantwoorden. De beheerder is daarvoor in eerste instantie de aangewezen persoon. Hij is verantwoordelijk voor het systeem en kan de meeste vragen inhoudelijk het best behandelen. Daarnaast kan bij een afdeling Personeel en Organisatie of Juridische Zaken aanvullende informatie over de toepassing van wet /en regelgeving worden gevraagd.
Indien de betrokkene toch van mening is dat de bepalingen van de regeling niet worden nageleefd of andere reden tot klagen heeft over de verwerking van zijn persoonsgegevens, kan hij zich aan de hand van de klachtenregeling VRU wenden tot de verantwoordelijke of tot de toezichthouder, het Cbp.