Organisatie | Zwolle |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Regeling bescherming persoonsgegevens gemeente Zwolle |
Citeertitel | Regeling bescherming persoonsgegevens gemeente Zwolle |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Bestuurlijke organisatie |
Regels t.a.v. bscherming persoonsgegevens gemeente Zwolle
hoofdstuk 2 van de Wet bescherming persoonsgegevens
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-06-2017 | 24-11-2020 | nieuwe regeling | 16-05-2017 | cb 2017-05.16 |
Gemeente Zwolle, bekendmaking Regeling bescherming persoonsgegevens gemeente Zwolle.
Het college van de gemeente Zwolle heeft in de vergadering van 16 mei 2017 de Regeling bescherming persoonsgegevens gemeente Zwolle vastgesteld. Deze regeling treedt 1 juni 2017 in werking en heeft betrekking op de gemeente Zwolle.
Bovendien ligt de Regeling ter inzage bij de informatiebalie in het Stadskantoor en is te raadplegen via www.zwolle.nl/bestuur/verordeningen en beleidsregels.
Regeling bescherming persoonsgegevens gemeente Zwolle
In dit reglement wordt verstaan onder:
Verwerking van persoonsgegevens: elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Autorisatie: het binnen de toepassingssoftware toekennen van het niveau van gebruiksmogelijkheden aan een persoon of groepen van personen of het binnen de toepassingssoftware toekennen van het niveau van verstrekking van persoonsgegevens aan onderdelen binnen de eigen organisatie (intern) en derden (extern);
Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de gemeente verantwoordelijk is in de zin van de Wbp, met uitzondering van de verwerkingen als bedoeld in artikel 2, tweede en derde lid en artikel 3 van de Wbp.
Artikel 3 Functionaris Gegevensbescherming
Artikel 4 Verantwoordelijkheid
Het College van B&W is eindverantwoordelijk voor de uitvoering van het gemeentelijk privacybeleid en voor controle op de naleving van afspraken. Echter ligt de verantwoordelijkheid om op een juiste manier met persoonsgegevens om te gaan bij iedere afdeling en medewerker zelf. De afdelingshoofden zijn daarom verantwoordelijk voor een zorgvuldige verwerking van persoonsgegevens op hun afdeling. Indien een verwerking een afdelingsoverstijgend karakter heeft, ligt de verantwoordelijkheid bij de desbetreffende proceseigenaar.
Een ieder binnen de organisatie die persoonsgegevens verwerkt, deelt dit, voordat met de verwerking wordt begonnen, mee aan het afdelingshoofd of aan de aangewezen vertegenwoordiger(s) van het desbetreffende domein. Deze doen voor zover de Wbp van toepassing is, hiervan schriftelijk mededeling aan de FG.
Artikel 7 Grondslag en Register
Artikel 9 Rechten van betrokkene
De FG treft zodanige maatregelen dat:
Een betrokkene die persoonsgegevens heeft verstrekt, zo spoedig mogelijk na verstrekking van de gegevens, wordt medegedeeld voor welke doeleinden deze gegevens worden verzameld en verwerkt, tenzij betrokkene hiervan, blijkende uit een vermelding op het aanvraagformulier, brief of mondelinge mededeling, hiervan reeds op de hoogte is;
Aan een betrokkene, die een verzoek om inzage in zijn gegevens als bedoeld in artikel 35 van de Wbp indient, binnen vier weken na van ontvangst van het verzoek schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de Wbp wordt medegedeeld of hem betreffende gegevens worden verzameld en verwerkt;
Aan een betrokkene die een verzoek tot verbetering, aanvulling, verwijdering of afscherming van zijn persoonsgegevens als bedoeld in artikel 36 van de Wbp indient, binnen vier weken na ontvangst van het verzoek schriftelijk dan wel op een wijze zoals bedoeld in artikel 37 van de Wbp wordt medegedeeld of dan wel in hoeverre het college aan dit verzoek voldoet. Zijn de gegevens voorafgaand aan derden doorgegeven, dan dient ook de wijziging in de verzamelde persoonsgegevens aan deze derden te worden doorgegeven, tenzij dit onmogelijk is of een onevenredig zware inspanning kost;
Artikel 11 Beveiliging en beheer
Bij de invoering van nieuwe regelgeving, verwerkingen of systemen wordt een Privacy Impact Assessment (hierna: PIA) uitgevoerd zodat de bescherming van de privacy wordt afgewogen. Andere indicatoren voor een PIA zijn bijvoorbeeld een nieuwe gemeentelijke taak, het vormen van een groot databestand, verwerking van bijzondere persoonsgegevens of systematisch gegevensuitwisseling met een externe partij.
Indien de FG onrechtmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij hierover verslag uit aan het betreffende afdelingshoofd. Hij doet dit verslag vergezeld gaan van een aanbeveling, die strekt tot verbetering van de bescherming van persoonsgegevens, die door of namens het college worden verwerkt.
Beveiligingsincidenten en datalekken of een vermoeden daartoe worden zo spoedig mogelijk -doch uiterlijk 24 uur na de eerste ontdekking- gemeld bij het betreffende afdelingshoofd, bij de FG of via datalek@zwolle.nl. Indien er sprake is van een meldplichtig datalek zal de FG daarvan melding doen aan de AP en indien nodig aan de betrokkene(n). Voor de afhandeling van dergelijke incidenten zal het ‘plan management beveiligingsincidenten’ en het ‘calamiteitenplan datalek’ worden gevolgd.
Deze regeling treedt in werking met ingang van 1 juni 2017 en wordt tevens van toepassing verklaard op de voor deze datum reeds aanwezige verwerkingen met persoonsgegevens.
Artikel 16 Titel van de regeling
Deze regeling kan worden aangehaald als “Regeling bescherming persoonsgegevens gemeente Zwolle”.
Toelichting Regeling bescherming persoonsgegevens Gemeente Zwolle
De gemeente Zwolle beschikt ter uitvoering van haar publiekrechtelijke taken over een groot aantal persoonsgegevens. Deze gegevens worden door burgers veelal vrijwillig, maar soms ook onvrijwillig verstrekt. De verwerking van persoonsgegevens moet plaatsvinden met respect voor de persoonlijke levenssfeer van de betrokkenen. Voorkomen moet worden dat er onnodige of te ver gaande inbreuken worden gemaakt. Tegelijkertijd moet de bescherming van de privacy niet in de weg staan aan een goede en tijdige uitvoering van de gemeentelijke taken.
De Wet bescherming persoonsgegevens (hierna: Wbp) biedt het wettelijk kader voor het omgaan met persoonsgegevens. Op 1 oktober 2005 is een eerste versie van deze regeling vastgesteld. Met ingang van 1 januari 2016 heeft de Wbp een aantal belangrijke wijzigingen ondergaan. Deze veranderingen dwingen organisaties om aantoonbaar zorgvuldig om te gaan met persoonsgegevens. Met het oog hierop is deze regeling aangepast en opnieuw vastgesteld.
Als algemene regel geldt dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Persoonsgegevens mogen alleen verwerkt worden voor zover dit toereikend, ter zake dienend en niet bovenmatig is.
Deze regeling geeft naast de specifieke wettelijke eisen tevens een aantal regels weer welke een bijdrage leveren aan een goede uitvoering van de verwerking van en omgang met persoonsgegevens. Deze regeling is niet van toepassing op de gegevens binnen de Basisregistratie personen, hiervoor zijn afzonderlijke regelingen vastgesteld, bovendien vallen deze gegevens niet onder de Wbp.
In dit artikel zijn de begrippen zo helder mogelijk omschreven in aansluiting op de Wbp. Kernbegrippen zijn:
Ieder gegeven dat is te herleiden tot een individuele persoon. Het gaat niet alleen om vertrouwelijke gegevens, maar om ieder gegeven dat te herleiden is tot een bepaalde persoon, zoals naam, adres, geboortedatum, maar ook kenteken en telefoonnummer.
Volgens de Wbp het kernbegrip voor alle handelingen die met persoonsgegevens kunnen worden verricht, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een derde en vernietigen.
Gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Onder bijzondere of gevoelige persoonsgegevens vallen bijvoorbeeld gegevens die iets zeggen over iemands godsdienst, gezondheid, of strafrechtelijk verleden. Ook het burgerservicenummer(BSN) is een bijzonder persoonsgegeven.
Dit artikel geeft de reikwijdte van deze regeling weer. Niet onder de werking van de wet vallen de verwerking van persoonsgegevens ten behoeve van persoonlijk of huishoudelijk gebruik, inlichtingen- en veiligheidsdiensten, politietaak, gemeentelijke basisadministratie, wet justitiële documentatie en verklaringen omtrent het gedrag, de kieswet en de krijgsmacht.
Om het proces omtrent uitvoering van de Wbp blijvend te bewaken, is een FG aangesteld. Deze functionaris heeft naast de toezichthoudende taak als bedoeld in artikel 64 een aantal specifieke taken.
De werkgroep dient ter ondersteuning van en als klankbord voor de FG. De domeinen die een contactpersoon hebben aangewezen zijn in deze werkgroep vertegenwoordigd.
De aan te maken bestanden en de wijziging van de bestaande bestanden dienen binnen de organisatie centraal gemeld te worden. Om degenen die vragen hebben omtrent de gegevens die van hem / haar worden verzameld van dienst te kunnen zijn, is het noodzakelijk dat er een centraal meldpunt is.
De verwerking moet plaatsvinden overeenkomstig de Wbp, waarbij met name de aspecten zorgvuldigheid, doelbinding en rechtmatige grondslag (artikel 6, 7 en 8 Wbp) belangrijk zijn.
Gegevens worden gebruikt voor duidelijk omschreven doelen en kunnen alleen worden gebruikt of gedeeld voor andere doeleinden wanneer de wet dat specifiek toestaat. Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt de inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt (subsidiariteit). De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel (proportionaliteit).
Ingevolgde de Wbp dient er voor elke verwerking van persoonsgegevens, één van de in artikel 8 van de Wbp genoemde grondslagen van toepassing te zijn. De gemeente Zwolle zal persoonsgegevens veelal mogen verwerken op de grondslag dat dit nodig is voor een goede vervulling van een publiekrechtelijke taak. Verdere verwerking van gegevens voor historische, statische of wetenschappelijke doeleinden is niet onverenigbaar met het doel waarvoor ze zijn verkregen indien de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.
In geval van samenwerking met externe partners, waarbij sprake is van verwerking van persoonsgegevens, worden afspraken gemaakt in een verwerkersovereenkomst over de eisen waar gegevensuitwisselingssystemen aan moeten voldoen. Iedereen die handelt onder het gezag van een door het college van burgemeester en wethouders ingeschakelde verwerker, maar ook de verwerker zelf, verwerkt alleen in opdracht van het college persoonsgegevens en heeft hierover geen zelfstandige zeggenschap.
Er wordt op een transparante wijze gecommuniceerd hoe de gemeente privacy zal borgen. De burger wordt in algemene zin geïnformeerd met betrekking tot het privacybeleid en over wat er met zijn of haar gegevens gebeurt en waarom.
Daarnaast zijn er in de WBP vastgelegde rechten van betrokkenen. Ingevolge de Wbp hebben personen van wie de gegevens worden verwerkt de volgende rechten.
Persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de verwerking waarvoor ze zijn verkregen. Uitzondering hierop is een historisch of statistisch doeleinde. De vastlegging van de bewaartermijnen is tevens van belang voor de toetsing van de bestanden aan het Vrijstellingsbesluit.
Een cruciaal onderdeel in de bescherming van de persoonsgegevens is de beveiliging. De maatregelen kunnen zowel bestaan uit het zorgvuldig omgaan met het verlenen van autorisaties (digitaal) als om fysieke maatregelen (bijvoorbeeld: afsluiten kasten, toegang gebouwen).
Binnen de gemeente Zwolle wordt gewerkt met een gemeentelijk Informatie(beveiligings)plan.
De gemeente ziet er op toe, dat daar waar sprake is van verwerking van persoonsgegevens, de werkwijzen worden vastgelegd en uitgevoerd conform functionele en praktische protocollen of procesbeschrijvingen. Door middel van technische en organisatorische maatregelen wordt gewaarborgd dat onbevoegde toegang tot en onbevoegd gebruik van gegevens wordt voorkomen. Gegevens worden in geautomatiseerde systemen opgenomen en zijn alleen toegankelijk voor medewerkers belast met de uitvoering van het doel waarvoor ze vergaard zijn. De gemeente zorgt voor passende beveiliging van de gegevens conform de Baseline Informatiebeveiliging Gemeenten (BIG).
De FG ziet er op toe dat de verwerking van persoonsgegevens conform de voorwaarden in de Wbp plaatsvindt. Onrechtmatigheden worden in eerste instantie gemeld aan het betreffende afdelingshoofd. De FG geeft de nodige aanbevelingen voor verbeteringen.
Worden de aanbevelingen niet opgevolgd, dan vindt rapportage aan de het college plaats.
Het college van burgemeester en wethouders heeft de bevoegdheid audits en PIA’s uit te laten voeren.
Met invoering van de meldplicht datalekken dienen (ernstige) datalekken binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Het is daarom van belang dat vermoedens tot beveiligingsincidenten zo snel mogelijk bij de FG gemeld worden.