Organisatie | Brunssum |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beleidsregel van het college van burgemeester en wethouders van de gemeente Brunssum houdende regels omtrent privacy Privacybeleid gemeente Brunssum |
Citeertitel | Privacybeleid gemeente Brunssum |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
21-02-2019 | nieuwe regeling | 12-02-2019 | 849988 |
Het college van B&W heeft op 12 februari 2019 het ‘Privacybeleid gemeente Brunssum’ vastgesteld. Dit beleid treedt de dag na bekendmaking in werking.
Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG bepaalt dat de gemeente een privacybeleid moet opstellen. Het ‘Privacybeleid gemeente Brunssum’ is dan ook in lijn met de AVG en andere relevante lokale, regionale, nationale en Europese wet- en regelgeving.
Iedereen heeft recht op privacy. Ook de gemeente Brunssum verzamelt en gebruikt veel persoonsgegevens. Deze gegevens zijn nodig voor het uitvoeren van de taken die een gemeente heeft. De gemeente is dan ook verantwoordelijk voor de bescherming van deze persoonsgegevens. Doel van het privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen waarvan de gemeente persoonsgegevens verwerkt.
Binnen de gemeente Brunssum wordt veel gewerkt met persoonsgegevens van burgers en medewerkers. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van wettelijke gemeentelijke taken. De burger moet erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met de persoonsgegevens omgaat.
In deze tijd gaat ook de gemeente mee met nieuwe ontwikkelingen. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van (persoons)gegevens. De gemeente is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, informatiemanagement, dataminimalisatie, transparantie, gebruikerscontrole en opleidingen en creëren van bewustwording voor medewerkers.
Het bestuur, management en medewerkers spelen een cruciale rol bij het waarborgen van privacy.
De gemeente Brunssum geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente. Dit privacybeleid van gemeente Brunssum is in lijn met het algemene beleid van de gemeente en de relevante lokale, regionale, nationale en Europese wet- en regelgeving.
Privacy gaat over persoonsgegevens. Persoonsgegevens dienen beschermd te worden conform wet- en regelgeving. Bescherming van de privacy regelt onder andere onder welke voorwaarden persoonsgegevens verwerkt mogen worden.
Persoonsgegevens zijn hierbij: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd’.
Onder verwerking wordt verstaan: ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geheel of gedeeltelijke geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’.
1.3 Toelichting Informatiebeveiliging
Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten van de informatievoorziening te garanderen.
Onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico’s bij de bedrijfsvoering van de organisatie. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies.
1.4 Vervlechting Privacy, Informatiebeveiliging en Informatiemanagement
Uit voorgaande blijkt dat informatiebeveiliging een belangrijk onderdeel van privacy is. Informatiebeveiliging is noodzakelijk bij het zorgvuldig omgaan met (persoons)gegevens. Beide begrippen staan naast elkaar en zijn van elkaar afhankelijk.
Een ander belangrijk aspect bij privacy en informatiebeveiliging is informatiemanagement. Het betreft de wijze waarop een organisatie met informatie omgaat. De doelstelling van informatiemanagement is het zorgdragen voor de beschikbaarheid van de gevraagde informatie, zodat de organisatie de geplande resultaten kan leveren.
Vraagstukken over gegevensbronnen, locatie, gegevenstypen, vertrouwelijkheid, risico classificatie, bewaartermijnen, etc. worden veelal bepaald in het informatiemanagement proces. Goed informatiemanagement is dus noodzakelijk voor privacybescherming en informatiebeveiliging.
De gemeente Brunssum wil bijdragen aan een betrouwbare overheid. Betrokkenen moeten erop kunnen vertrouwen dat de gemeente zorgvuldig met hun gegevens omgaat. Door alle ontwikkelingen rondom gegevensverwerking wordt dit steeds complexer. Door nieuwe wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens is het overtreden hiervan een serieus risico. Informatiebeveiliging en bescherming van persoonsgegevens is altijd een kosten-baten afweging, waarbij 100% veiligheid een utopie is. In elk proces en in elke ketensamenwerking zit wel een zwakke schakel. De gemeente streeft een adequaat niveau van privacybescherming en informatiebeveiliging na waarbij voor het reduceren van risico’s, voortdurend afwegingen worden gemaakt om de juiste balans te vinden tussen wetgeving, de taakstelling van de organisatie en de persoonlijke levenssfeer van betrokkenen.
De gemeente heeft de ambitie om op rechtmatige, veilige en transparante wijze, gegevens van burgers, medewerkers en organisaties ten behoeve van administraties en diensten te verwerken.
Dit wordt ondersteund door de privacymissie van de gemeente Brunssum :
De gemeente Brunssum hecht veel waarde aan de privacy en beveiliging van gegevens van haar burgers, medewerkers en organisaties bij de verwerking van deze gegevens. De verwerking van persoonsgegevens is in control en transparant teneinde de kwaliteit en veiligheid van deze gegevens op een betrouwbare manier te waarborgen. De gemeente gaat hierbij klantgericht, professioneel en integer te werk.
Doel van dit privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen dat de gemeente Brunssum de privacywetgeving naleeft zodat er sprake is van een behoorlijke en zorgvuldige verwerking van persoonsgegevens in overeenstemming met de geldende wet- en regelgeving.
Het privacybeleid draagt bij aan:
Het privacybeleid binnen de gemeente geldt voor alle bestuurders, medewerkers (incl. stagiaires, vrijwilligers en gedetacheerden e.d.) en externe relaties (inhuur/outsourcing), alsmede voor alle organisatieonderdelen. Onder dit beleid vallen ook alle middelen waarmee geautoriseerde toegang tot het netwerk van de organisatie verkregen kan worden.
De nadruk van het beleid ligt op de, geheel of gedeeltelijk, geautomatiseerde/ systematische verwerking van persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van de gemeente evenals op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen. Het beleid is ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Het privacybeleid omvat de gehele ‘data life cycle’; van het genereren of verzamelen van gegevens, het dagelijkse gebruik ervan en de gegevensopslag tot en met de archivering en vernietiging ervan. Het is van toepassing op de verwerking van statistische en/of geanonimiseerde gegevens, voor zover niet kan worden uitgesloten dat personen kunnen worden geïdentificeerd of geprofileerd. Het beleid is ook van toepassing op beveiligingsproblemen. (‘meldplicht datalekken’).
Van belang hierbij is dat de doelen van de privacywetgeving worden behaald.
3.1 Algemene beleidsuitgangspunten
De belangrijkste beleidsuitgangspunten bij de gemeente zijn:
De verwerking van persoonsgegevens is altijd gebaseerd op één van de wettelijke grondslagen. Hierbij is een goede balans tussen het belang van de gemeente om persoonsgegevens te verwerken en het belang van de betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot zijn persoonsgegevens van belang.
Er wordt van alle medewerkers, (geregistreerde) bezoekers en externe relaties verwacht dat zij zich ‘correct’ gedragen met een eigen verantwoordelijkheid. Het is niet acceptabel dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. De gemeente zal hiervoor een gedragscode formuleren, vaststellen en implementeren.
Privacy is samen met onder andere informatiebeveiliging bij de gemeente een proces van continue verbetering, waarbij tenminste eenmaal per jaar wordt geëvalueerd. Dit vindt plaats in het IB&P forum en wordt ter vaststelling voorgelegd aan het directieteam en het College van B&W. De raad wordt periodiek op de hoogte gesteld van de voortgang.
3.2 Risicobeoordeling en risicoafweging
Informatie heeft een waarde: financieel, economisch maar ook emotioneel. De informatie wordt op basis van waarde door de gemeente geclassificeerd. Deze classificatie is het uitgangspunt voor de te nemen maatregelen. Er is een balans tussen de risico’s van hetgeen we willen beschermen en de benodigde investeringen en maatregelen.
3.3 Privacy verplichtingen uit de Algemene Verordening Gegevensbescherming
De gemeente als uitvoerend orgaan van de wettelijke verplichtingen voor gemeentelijke administraties en diensten ten behoeve van haar burgers, hanteert en toetst de regels uit de Algemene Verordening Gegevensbescherming met betrekking tot de omgang met persoonsgegevens. Als uitgangspunt hiervoor is uitgegaan van de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Hieronder volgen de belangrijkste punten uit de Algemene Verordening Gegevensbescherming.
3.3.1 Doelbepaling en doelbinding
Persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.
Verwerking van persoonsgegevens mag alleen, indien gebaseerd op een van de zes wettelijke grondslagen.
Bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt. De hoeveelheid en het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken en dient in verhouding te staan tot het doel (proportionaliteit). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt. Er dient eerst gekeken worden of een minder ingrijpend middel voor de hand ligt om een doel te kunnen bereiken (subsidiariteit).
Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk voor de dienstverlening of wettelijke verplichting.
3.3.5 Inzagerecht en transparantie
Aan betrokkenen dient op transparante wijze verantwoording afgelegd te worden over het gebruik van hun persoonsgegevens, alsmede over het gevoerde privacybeleid. Daarnaast hebben deze betrokkenen recht op inzage, verbetering, aanvulling, verwijdering, beperking of afscherming van hun persoonsgegevens. Daarnaast kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.
Er moeten maatregelen getroffen worden om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.
De gemeente respecteert het recht van burgers en medewerkers om niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit.
Burgers en medewerkers hebben het recht op dataportabiliteit (de burger of medewerker moet zijn of haar data kunnen meenemen naar een andere dienst) en hebben het recht een kopie te ontvangen van persoonsgegevens die over deze persoon zijn verzameld.
Burgers en medewerkers hebben het recht om ‘vergeten’ te worden. Dat wil zeggen dat ze het recht hebben om zich te laten verwijderen uit bestanden, tenzij wettelijke vereisten dit voorkomen.
Persoonsgegevens moeten adquaat beschermd worden tegen veropenlijking, diefstal, verandering, vernietiging of ontoegankelijkheid. Hiervoor dient een organisatie afdoende maatregelen te treffen.
Organisaties welke persoonsgegevens verwerken moeten een actief beleid voeren en maatregelen treffen waaruit blijkt dat de AVG aantoonbaar wordt nageleefd.
3.3.12 Privacy by Design & by Default
Bij het ontwikkelen of vernieuwen van informatie systemen en diensten dient privacy vanaf het ‘design’ te worden meegenomen. Bij ‘default’ zijn de instelling zodanig dat maximale privacy wordt betracht.
De gemeente zal pro-actief deelnemen bij de ontwikkeling van nieuwe diensten door ketenpartners en gemeenschappelijke regelingen waar de gemeente deel van uitmaakt. Hiermee wordt zekergesteld dat privacy en informatiebeveiliging vanaf het begin worden meegenomen in het design en de maximale privacy van burgers en medewerkers wordt gewaarborgd.
3.3.13 Gegevensbeschermingseffectbeoordeling
Een gegevensbeschermingseffectbeoordeling (GEB) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Onder de AVG kunnen organisaties hiertoe verplicht zijn. Hieropvolgend kunnen maatregelen nodig zijn om de risico’s van de verwerking te verkleinen. Een GEB is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dit dient de gemeente zelf te bepalen.
3.3.14 Verwerkersovereenkomsten
De gemeente zorgt ervoor dat bij verwerkingen waarbij persoonsgegevens verwerkt worden de verantwoordelijkheden en eisen met betrekking tot de verwerking zijn vastgelegd in overeenkomsten met de verwerkers.
De details en eisen die gesteld worden aan de verwerking door verwerkers en medeverantwoordelijke zullen eenduidig worden vastgelegd in een verwerkersovereenkomst. Deze verwerkersovereenkomst wordt afgesloten tussen de gemeente en de verwerkers en of medeverantwoordelijken. Hiermee borgen partijen de rechtvaardigheid van de verwerking.
Er behoort te worden bewerkstelligd dat daar waar verwerkers en of medeverantwoordelijken verwerkingen uitbesteden aan een sub-bewerker er goedkeuring is van de gemeente. Tevens moeten verwerkers en medeverantwoordelijken waarborgen dat deze sub-bewerker aan minimaal dezelfde vereisten voldoet als vastgelegd in de verwerkersovereenkomst tussen de gemeente en verwerker en medeverantwoordelijke. Ook hier geldt dat dit in een verwerkersovereenkomst tussen verwerker/medeverantwoordelijke en de derde partij (sub-bewerker) eenduidig dient te worden vastgelegd.
3.3.15 Register van verwerkingsactiviteiten
Van alle verwerkingsactiviteiten van persoonsgegevens wordt een register bijgehouden. Hierin worden onder andere de doeleinden van de verwerking, categorieën van betrokkenen en persoonsgegevens, derde ontvangers, sub-bewerkers, bewaartermijnen en te nemen maatregelen opgenomen.
3.3.16 Classificatie en Risicoanalyse
Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen ten aanzien van processen en informatiesystemen worden beveiligingsclassificaties gebruikt. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid (BIV).
Privacy en informatiebeveiliging zijn voortdurend in beweging en veranderingen vinden frequent plaats. Regelmatig wordt gecontroleerd of de bestaande maatregelen nog voldoen. Dit geldt voor zowel privacy als informatiebeveiliging, als de aanvullende maatregelen die volgen uit risicoanalyses. Bovendien moet voor al deze maatregelen regelmatig gecontroleerd worden of ze nog goed werken. Het is dan ook een iteratief proces dat een PDCA-cyclus (Plan Do Check Act) doorloopt.
5 ORGANISATIE: TAKEN & VERANTWOORDELIJKHEDEN
Randvoorwaardelijk voor de PDCA-cyclus voor privacy is het organiseren ervan. Uiteindelijk moeten eerst mensen taken, verantwoordelijkheden en bevoegdheden krijgen voordat de stappen uit de PDCA-cyclus gezet kunnen worden.
5.2 Centrale verantwoordelijkheid
Het College van B&W is eindverantwoordelijk voor de naleving van privacywetgeving en voert proactief privacybeleid op basis van afweging van belangen en risico’s bij de verwerking van persoonsgegevens zodat dit evenwichtig plaatsvindt. Dat wil zeggen; behoorlijk, zorgvuldig en in overeenstemming met de wet.
De algemeen directeur/gemeentesecretaris is ambtelijk verantwoordelijk voor de kaderstelling en sturing met betrekking tot het beleid.
Het managementteam voert de regie en houdt toezicht op hun processen op basis van dit privacybeleidskader. Het management is operationeel eindverantwoordelijk voor de uitvoering van de hun toegewezen processen.
Het verantwoordelijke gezag stelt hiervoor beleid op, draagt het uit, wijst taken, verantwoordelijkheden en bevoegdheden toe, en bewaakt de gang van zaken.
5.3.3 De Functionaris voor Gegevensbescherming (FG):
De FG is binnen de gemeente onafhankelijk toezichthouder op de toepassing van de AVG en geeft op basis van zijn deskundigheid advies. De FG levert een belangrijke bijdrage aan juist gebruik van persoonsgegevens door de organisatie. Deze is aangewezen door het College van B&W op grond van zijn professionele kwaliteiten, deskundigheid op het gebied van de wetgeving en de praktijk en wordt betrokken bij al hetgeen verband houdt met de bescherming van persoonsgegevens en is verplicht tot geheimhouding en vertrouwelijkheid.
De FG krijgt de nodige ruimte voor professionele uitvoering van taken.
5.3.4 Informatiebeveiliging en Privacy Forum
Een belangrijk doel van het forum is het elkaar informeren over en afstemmen van ontwikkelingen op het gebied van informatiebeveiliging en privacy. Tevens is voortgang van de implementatie van de maatregelen met betrekking tot informatiebeveiliging en privacy een vast en belangrijk onderwerp.
Het Informatiebeveiliging en Privacy Forum verzorgt de coördinatie omtrent informatiebeveiliging en privacy.
Privacy is een continu proces. De Functionaris voor Gegevensbescherming zal, middels controle, erop moeten toezien dat de organisatie continu in controle is. De FG dient de gehele keten te overzien en rekening te houden met externe partijen die in opdracht persoonsgegevens verwerken.
Over incidenten, status, voortgang en veranderingen met betrekking tot privacy dienen de volgende belanghebbende, middels rapportage, afdoende te worden geïnformeerd:
Voor externe partijen, die gegevens voor de gemeente verwerken geldt dat zij incidenten, status, voortgang en veranderingen aan de gemeente dienen te melden conform de gemaakte afspraken.