| Organisatie | Metropoolregio Rotterdam Den Haag |
|---|---|
| Organisatietype | Regionaal samenwerkingsorgaan |
| Officiële naam regeling | Verordening van het algemeen bestuur van de Gemeenschappelijke Regeling Metropoolregio Rotterdam Den Haag houdende regels omtrent Algemene Verordening Gegevensbescherming MRDH-AVG |
| Citeertitel | MRDH-AVG |
| Vastgesteld door | algemeen bestuur |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 01-01-2019 | artikel 11 | 14-12-2018 | |||
| 04-10-2018 | 01-01-2019 | nieuwe regeling | 10-04-2018 |
Het algemeen bestuur van de Metropoolregio Rotterdam Den Haag,
op artikel 33, eerste lid en artikel 136 van de Wet gemeenschappelijke regelingen en artikel 212 van de Gemeentewet;
gezien het voorstel van het dagelijks bestuur d.d. DATUM;;
vast te stellen de navolgende:
De Uitvoeringsverordening Metropoolregio Rotterdam Den Haag Algemene Verordening Gegevensbescherming’’ (MRDH-AVG), inhoudende regels en uitvoeringsbepalingen voor de uitvoering van de Algemene Verordening Gegevensbescherming (AVG) door de Metropoolregio Rotterdam Den Haag
AVG: de door de Europese Commissie vastgestelde Algemene Verordening Gegevensbescherming die door de rechtstreekse werking van deze verordening met ingang van 25 mei 2018 de wet Bescherming Persoonsgegevens, vervangt.
Uitvoeringsverordening MRDH-AVG: de uitvoeringsverordening voor MRDH waarin de op de MRDH van toepassing zijnde bepalingen uit de AVG concreet zijn gemaakt op welke wijze deze bepalingen in en door MRDH worden uitgevoerd.
Derde partij: een wederpartij van MRDH die persoonsgegevens bewerkt en die door middel van een bewerkingsovereenkomst heeft aangegeven de persoonsgegevens zo op te slaan dat daarmee voldaan wordt aan de AVG en de daarop gebaseerde MRDH-AVG.
Betrokkene: de natuurlijke persoon of diens erfgenaam, waarvan MRDH of een door MRDH ingeschakelde Derde partij persoonsgegevens heeft verwerkt of zal gaan verwerken.
Artikel 2 Verhouding AVG en de MRDH-AVG
De AVG verordening zoals die door de Europese Commissie is aangenomen. is integraal van toepassing op de MRDH.
MRDH heeft de in deze verordening opgenomen verplichtingen die rechtstreeks van toepassing zijn op verwerking van persoonsgegevens door of namens MRDH, verwerkt in deze uitvoeringsverordening MRDH-AVG.
Bij strijd tussen deze uitvoeringsverordening van MRDH en de AVG, geldt of gelden de bepalingen of de bepalingen uit de AVG.
Artikel 3 Beginselen verwerking persoonsgegevens MRDH
MRDH draagt er zorg voor dat de verwerking van persoonsgegevens, zowel als door een door MRDH ingeschakelde derde partij, te allen tijde zal plaatsvinden op basis van de grondslagen benoemd in de AVG.
Verwerking van persoonsgegevens zullen te allen tijde rechtmatig zijn, behoorlijk en transparant zijn, altijd een specifiek doel dienen en alleen persoonsgegevens betreffen die voor dat doel minimaal noodzakelijk zijn.
Aansluitend zullen de persoonsgegevens te allen tijde juist zijn dan wel juist gemaakt kunnen worden, beperkt en beveiligd opgeslagen worden zodat de integriteit en vertrouwelijkheid gewaarborgd is.
Artikel 4 Specifieke persoonsgegevens
MRDH zal geen persoonsgegevens opslaan dan wel door een derde partij laten opslaan waarin ras en/of etnische afkomst en/of politieke opvattingen en/of religieuze of levensbeschouwelijke overtuiging en/of lidmaatschap van een vakbond blijken, tenzij de voorwaarden uit artikel 9 lid 2 uit de AVG op die persoonsgegevens van toepassing zijn.
De voorwaarden voor verwerking van deze specifieke persoonsgegevens door of namens MRDH zijn met name: uitdrukkelijke toestemming, de verwerking is noodzakelijk op basis van het arbeidsrecht of het sociale zekerheidsrecht, ter bescherming van vitale belangen van de betrokkene en deze niet in staat is zelf toestemming te geven, als de gegevens door betrokkene openbaar zijn gemaakt, de verwerking noodzakelijk is bij een rechtsvordering, er een zwaarwegend algemeen belang aan de orde is, het algemeen belang aan de orde is op het gebied van volksgezondheid of de persoonsgegevens noodzakelijk zijn voor de beoordeling van arbeidsgeschiktheid..
Artikel 5 Melding verwerking persoonsgegevens
MRDH, dan wel een door haar ingeschakelde derde partij, zal iedere betrokkene in heldere en begrijpelijke taal schriftelijk duidelijk maken met welk doel persoonsgegevens worden gevraagd en verwerkt en welke rechten een betrokkene heeft ten aanzien van de verwerkte persoonsgegevens.
MRDH zal bovenstaande bepaling ook in acht nemen op het moment dat de persoonsgegevens van een derde verkregen worden.
Artikel 6 Inzicht in verwerkte gegevens
MRDH zal er voor zorgdragen dat iedere betrokkene in staat is een verzoek in te dienen waarin verzocht kan worden om inzicht te verkrijgen over de al dan niet door MRDH of een derde verwerkte persoonsgegevens.
MRDH zal gevolg geven aan een verzoek indien dit verzoek voldoet aan de eisen gesteld in artikel 15 van de AVG. Het vezoek moet betrekking hebben op de verwerkingsdoeleinden, de categorie van persoonsgegevens,
MRDH kan gemotiveerd afwijken van dit verzoek indien het verzoek naar het oordeel van MRDH geen doel dient dat de AVG beoogt te beschermen.
Artikel 7 Rectificatie van verwerkte persoonsgegevens
MRDH zal er voor zorgdragen dat een betrokkene in staat is om blijkbaar onjuist verwerkte persoonsgegevens door MRDH, dan wel een door haar ingeschakelde derde, te laten rectificeren.
Een betrokkene kan een verzoek om rectificatie van een verwerkt persoonsgegeven dan wel verwerkte persoonsgegevens schriftelijk aan MRDH richten, onder vermelding van het onjuist verwerkte persoongegeven of de onjuist verwerkte persoonsgegevens.
Een dergeijk verzoek tot rectificatie moet daarbij ook voorzien zijn van een voorstel op welke wijze het reeds verwerkte persoonsgegeven of de verwerkte persoonsgegevens door MRDH of een door haar ingeschakelde derde, moet worden gewijzigd.
MRDH kan een dergelijk verzoek tot rectificatie gemotiveerd afwijzen indien MRDH gerechtvaardigde redenen heeft aan te nemen dat de voorgestelde rectificatie niet overeenkomst met de daadwerkelijke situaitie van betrokkene.
Artikel 8 Wissen van verwerkte persoonsgegevens
MRDH zal er voor zorgdragen dat een betrokkene in staat is een verzoek in te dienen waarbij een betrokkene kan verzoeken de door MRDH of een door MRDH ingeschakelde derde verwerkte persoonsgegevens die op hem betrekking hebben, te laten wissen.
Een betrokkene kan een schriftelijk verzoek indienen bij MRDH om één of meer verwerkte persoonsgegevens, te wissen. MRDH zal daarvoor een formulieren en voorwaarden beschikbaar stellen.
MRDH kan een dergelijk verzoek tot het wissen van persoonsgegevens gemotiveerd afwijzen indien MRDH van mening is dat de voorgestelde actie tot verwijdering van persoonsgegeens in strijd komt met een wettelijke verplichting van MRDH.
Artikel 9 Overdragen verwerkte persoonsgegevens
Een betrokkene kan een schriftelijk verzoek indienen bij MRDH om zijn door of namens MRDH verwerkte persoonsgegevens zodanig aan hem aan te beiden dat hij deze persoonsgegevens kan overdragen aan een derde.
Een dergelijk verzoek staat nietgelijk aan het door of namens MRDH rectificeren of verwidjeren van persoonsgegevens.
Een betrokkene kan bezwaar indienen bij MRDH over een door of namens MRDH genomen beslissing met betrekking tot verwerking van persoonsgegevens.
Een dergelijk bezwaar moet voldoen aan de eisen die de Algemene Wet Bestuursrecht stelt aan een bezwaarschrift. Het bezwaarschift wordt ondertekend en bevat ten minste:
Artikel 11 Functionaris gegevensbescherming
De secretaris-directeur stelt een functionaris gegevensbescherming voor de MRDH aan, waarbij de onafhankelijkheid van deze functionaris gewaarborgd is.
De secretaris-directeur zal in nauw overleg met deze functionaris afspraken vastleggen waarin geborgd wordt dat deze functionaris ook de AVG compliance van MRDH kan garanderen.
MRDH zal te allen tijde passende technische en organisatorische maatregelen nemen die het mogelijk maken aan te tonen dat de verwerking van persoonsgegevens door of namens MRDH op een wijze plaatsvindt die overeenkomst met de AVG.
MRDH houdt een register bij op welke wijze, waar en door wie persoonsgegevens door of namens MRDH zijn of worden verwerkt.
MRDH zal bij signalering van een inbreuk waarbij mogelijk persoonsgegevens zijn betrokken, direct de toezichthoudende autoriteit informeren.
Indien de inbreuk van persoonsgegevens een hoog risico betekenen voor een betrokkene of betrokkenen, zal MRDH alles in het werk stellen om ook deze persoon of personen direct te informeren.
MRDH zal door middel van een passende privcayverklaring duidelijk maken dat het op welke wijze dan ook aanbieden van persoonsgegevens aan MRDH tot gevolg heeft dat deze persooonsgegevens zullen worden verwerkt overeenkomstig de bepalingen van de AVG en aangegeven wat dienaangaande de rechten van een betrokkene zijn.
De onderstaande privacy verklaring zal op een zodanige wijze worden aangebracht op alle plaatsen waar personen persoonsgegevesn aan MRDH verstrekken dan wel waar MRDH persoonsgegevens vraagt.
Door middel van het actief bevestigen van het gelezen hebben van deze verklaring, worden gpersoonsgege3vens altijd vrijwillig ter beschikking gesteld aan MRDH.
Privacyverklaring Metropoolregio Rotterdam Den Haag Metropoolregio Rotterdam Den Haag (hierna ook: MRDH) of door MRDH ingeschakelde derde partijen, verwerkt uw persoonsgegevens alleen voor werkzaamheden die betrekking hebben op de bedrijfsvoering van MRDH. Opgeslagen persoonsgegevens kunnen daarbij gebrukt worden voor statistische analyses maar door of namens MRDH verwerkte persoonsgegevens zullen nooit zonder toestemming aan derde ter bechikking worden gesteld. De uitzondering op deze regel geldt indien MRDH dat moet doen door een wettelijke grondslag.. Persoonsgegevens kunnen wel gebruikt worden voor het opsporen van (pogingen tot) onrechtmatige en/of strafbare gedragingen gericht tegen MRDH, haar partners en/of medewerkers. Indien u zelf persoonsgegevens verstrekt aan MRDH door middel van één of meer al dan niet geautomatiseerde systemen, geeft u daarbij actief toestemming voor het verwerken van deze gegevens door of namens MRDH. De veiligheid van uw persoonsgegevens MRDH maakt gebruik van de Functionaris Gegevensbescherming van de gemeente Den Haag. MRDH en door haar ingesschakelde derde partijen hebben passende technische en organisatorische maatregelen genomen om uw persoonsgegevens te beveiligen tegen verlies, of tegen enige vorm van onrechtmatige verwerking. Op de website mrdh.nl staat informatie op welke wijze u gebruik kunt maken van uw rechten met betrekking tot de verwerking van uw persoonsgegevens. Indien aan de orde, kunt u door middel van een door MRDH ter beschikking gesteld formulier verzoeken MRDH kenbaar te maken welke persoonsgegeens van u door of namens MRDH verwerkt zijn. Ook kunt u door middel van dit formulier verzoeken persooonsgegeevns te wijzigen dan wel te verwijderen. Een klacht over de wijze waarop MRDH uw persoonsgegevens verwerkt of laat verwerken, dan wel over de wijze waarop MRDH gevolg geeeft aan uw verzoek gericht op de toepsssing van de AVG, kunt u richten aan de Autoriteit Persoonsgegevens. Als u wenst te reageren op ons privacy beleid of als u vindt dat onze site of ons handelen hiermee niet in overeenstemming is, vragen we u eveneens contact met ons op te nemen. Voor bovengenoemde verzoeken, vragen, klachten of reacties kunt u contact opnemen met MRDH, afdeling Communicatie, via info@mrdh.nl. IK HEB DEZE VERKLARING GELEZEN EN GEEF DOOR MIDDEL VAN HET ACTIVEREN VAN ONDERSTAANDE OPTIE AAN DAT DEZE GEGEVENS VERWERKT KUNNNEN WORDEN DOOR OF NAMENS MRDH. |
Bijlage 2 Verzoek AVG aan MRDH
Hieronder de standaard bewerkingsovereenkomst zoals beschikbaargesteld door de Rijksoverheid
STANDAARD VERWERKINGSOVEREENKOMST
voor derden die namens MRDH persoonsgegevens verwerken
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
Artikel 3. Inwerkingtreding en duur
Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer
Artikel 5. Beveiliging van de Verwerking
Artikel 6. Geheimhouding door Personeel van Opdrachtnemer
Artikel 8. Bijstand vanwege rechten van Betrokkene
Artikel 9. Inbreuk in verband met Persoonsgegevens
Artikel 10. Terugbezorgen of wissen Persoonsgegevens
Artikel 11. Informatieverplichting en audit
Bijlage 1. De Verwerking van Persoonsgegevens
Bijlage 2. Passende technische en organisatorische maatregelen
Bijlage 3: Afspraken betreffende Inbreuken in verband met Persoonsgegevens
Verwerkersovereenkomst ARVODI-2016
1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag,
te dezen vertegenwoordigd door de Minister/Staatssecretaris van/voor [naam portefeuille],
[functienaam en naam ondertekenaar]
hierna te noemen: Opdrachtgever,
2. [volledige naam en rechtsvorm contractant],
(statutair) gevestigd te [plaats],
te dezen vertegenwoordigd door
............... (en ..............) [naam ondertekenaar]
hierna te noemen: Opdrachtnemer,
hierna gezamenlijk te noemen: Partijen;
voor zover Opdrachtnemer Persoonsgegevens Verwerkt ten behoeve van Opdrachtgever in het kader van de Overeenkomst, Opdrachtgever krachtens artikel 4, onderdeel 7 en onderdeel 8, van de Verordening kwalificeert als verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en Opdrachtnemer als verwerker;
In deze Verwerkersovereenkomst wordt een aantal begrippen met een beginhoofdletter gebruikt. Aan deze begrippen komt de betekenis toe die hieraan wordt gegeven in artikel 1 van de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van Diensten 2016 (ARVODI-2016). In afwijking daarvan of in aanvulling daarop wordt onder de volgende begrippen in deze Verwerkersovereenkomst verstaan:
Verordening: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
Verwerking: een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
Artikel 3. Inwerkingtreding en duur
Artikel 4. Omvang verwerkingsbevoegdheid Opdrachtnemer
Artikel 5. Beveiliging van de Verwerking
Artikel 6. Geheimhouding door Personeel van Opdrachtnemer
Wanneer Opdrachtnemer, met inachtneming van het bepaalde in artikel 8 van de ARVODI-2016, een andere verwerker inschakelt om ten behoeve van Opdrachtgever verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
Artikel 8. Bijstand vanwege rechten van Betrokkene
Opdrachtnemer verleent Opdrachtgever bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
Artikel 9. Inbreuk in verband met Persoonsgegevens
Artikel 10. Terugbezorgen of wissen Persoonsgegevens
Artikel 11. Informatieverplichting en audit
Aldus op de laatste van de twee hierna genoemde data overeengekomen en in tweevoud ondertekend,
Den Haag, [datum] [Plaats], [datum]
DE MINISTER/STAATSSECRETARIS VAN/VOOR [naam Opdrachtnemer]