Organisatie | Samenwerkingsorgaan Holland Rijnland |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Besluit van het dagelijks bestuur van de gemeenschappelijke regeling Holland Rijnland houdende regels omtrent privacy Privacyreglement Regiotaxi Holland Rijnland |
Citeertitel | Privacyreglement Regiotaxi Holland Rijnland |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling bevat de vroegst mogelijke datum van inwerkingtreding.
Aanpassingswet Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-03-2019 | nieuwe regeling | 24-01-2019 |
In aanvulling op de in de Algemene Verordening Gegevensbescherming ("AVG") gebruikte en gedefinieerde begrippen, wordt in dit reglement verstaan onder:
verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
gebruiker:degene die onder verantwoordelijkheid van de beheerder bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen, zijnde de medewerkers van de deelnemende gemeenten, de Intergemeentelijke Sociale Dienst Bollenstreek (ISD Bollenstreek) en Participe, de uitvoeringsorganisatie Wmo van de gemeente Alphen aan den Rijn, belast met de uitvoering van de Wmo alsmede A-Tax de Vries Personenvervoer BV voor wat betreft de OV-reizigers.
Artikel 3 Categorieën van personen van wie persoonsgegevens worden verstrekt
De registratie bevat uitsluitend persoonsgegevens over:
Artikel 6 Beheer van de persoonsregistratie
De in het eerste lid bedoelde functionaris is als beheerder, onder verantwoordelijkheid van het Dagelijks Bestuur, belast met de feitelijke zorg en verantwoordelijkheid voor het functioneren van de registratie als geheel. Hij treft voor zover het binnen zijn bevoegdheid ligt de nodige maatregelen tot naleving van de AVG en dit reglement;
Artikel 7 Verwijdering van opgenomen persoonsgegevens
De verwijdering en eventuele vernietiging van de gegevens geschiedt binnen maximaal twee jaar zodanig dat geen inbreuk wordt gemaakt op de bevoegdheden van de archivaris op grond van de Archiefwet en andere wettelijke voorschriften en met inachtneming van de door de archivaris ter zake gegeven richtlijnen.
Artikel 8 Verstrekking van gegevens
Onverminderd eventuele wettelijke voorschriften en het bepaalde in de AVG, worden de persoonsgegevens slechts verstrekt aan:
anderen, voor zover het slechts gegevens betreft als bedoeld in artikel 4 van dit reglement. Nadat het voornemen om gegevens te delen met derden aan betrokkene is medegedeeld heeft deze gedurende een redelijke termijn de gelegenheid toestemming aan het delen van de genoemde gegevens te onthouden zoals bedoeld in de AVG.
Artikel 11 Beveiliging en geheimhouding
De vervoerder en Multicard Nederland dragen conform het bepaalde in de AVG, zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens zoals ook vastgelegd in een verwerkersovereenkomst tussen de verwerkersverantwoordelijke en de verwerker.
Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
De gebruikers die de beschikking krijgen over persoonsgegevens waarvan zij het vertrouwelijke karakter kennen of redelijkerwijs kunnen vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding daarvan. Dit geldt niet indien enig wettelijk voorschrift hen tot bekendmaking verplicht of uit hun taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.
In overeenstemming met de AVG informeert het samenwerkingsorgaan Holland Rijnland de betrokkene op diens verzoek over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt, op welke wettelijke grondslag de verwerking is gebaseerd en aan wie de gegevens worden verstrekt.
Artikel 13 Rechten betrokkene(n): inzage, correctie, verwijdering, verzet en dataportabiliteit
Indien de betrokkene bij het samenwerkingsorgaan Holland Rijnland aantoont dat bepaalde opgenomen gegevens onjuist c.q. onvolledig zijn, gezien de doelstelling van het systeem niet ter zake doen, of strijdig zijn met dit reglement, draagt het samenwerkingsorgaan Holland Rijnland binnen vier weken nadat betrokkene de onjuistheid c.q. onvolledigheid heeft aangetoond, zorg voor verbetering, aanvulling of verwijdering. In dat geval worden de eventueel door betrokkene betaalde kosten terugbetaald.
Indien het samenwerkingsorgaan Holland Rijnland twijfelt aan de identiteit van de verzoeker, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.
Onder de AVG hebben betrokkenen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. In de AVG heet dit het 'recht om gegevens over te dragen'. Het houdt in dat betrokkenen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.
Bij het recht op dataportabiliteit zal Holland Rijnland de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Holland Rijnland is daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat te verstrekken.
Indien een betrokkene van mening is dat ofwel de gegevens niet meer nodig zijn voor het doel, dan wel onrechtmatig zijn verkregen, dan wel de bewaartijd is overschreden, heeft betrokkene een recht op vergetelheid. De gegevens worden dan volledig uit de bestanden gewist. Bovendien kan een gegeven toestemming worden ingetrokken. Ook dan is er een recht op vergetelheid voor dat deel waarvoor de toestemming is verleend
Artikel 14 Klacht en/of bezwaar
Indien de betrokkene van mening is dat het samenwerkingsorgaan Holland Rijnland niet handelt in overeenstemming met de bepalingen van dit reglement of met de AVG, kan hij zich tot de laatste wenden en een klacht en/of bezwaar als bedoeld in de Algemene wet bestuursrecht indienen dan wel zich wenden tot de Functionaris voor de Gegevensbescherming (FG) van Holland Rijnland.
Aldus vastgesteld in de vergadering van het Dagelijks Bestuur van Holland Rijnland, d.d. 24-01-2019.
De secretaris,
L.A.M. Bakker
De voorzitter,
H.J.J. Lenferink
PRIVACYREGLEMENT REGIOTAXI HOLLAND RIJNLAND
Het samenwerkingsorgaan Holland Rijnland verwerkt ten behoeve van het Collectief Vraagafhankelijk Vervoer (Regiotaxi) persoonsgegevens.
De Algemene Verordening Gegevensbescherming vereist dat deze gegevens worden verwerkt:
De verwerking van persoonsgegevens wordt vastgelegd in een verwerkingsregister.
Indien het samenwerkingsorgaan gegevens van personen niet behoorlijk en zorgvuldig verwerkt, wordt in strijd met de AVG en algemene beginselen van behoorlijk bestuur gehandeld.
Van belang bij de verwerking van persoonsgegevens is dat:
Het samenwerkingsorgaan hanteert een privacyreglement, te weten het "Privacyreglement Regiotaxi Holland Rijnland". Hierin wordt nader ingegaan op het doel van de gegevensverwerking (artikel 2), de vraag welke persoonsgegevens worden verwerkt (artikel 4) en de verstrekking van en toegang tot persoonsgegevens (artikel 8 en 9). Voorts bevat het reglement richtlijnen ten aanzien van de beveiliging en geheimhouding (artikel 11), de informatievoorziening (artikel 12), de rechten van betrokkenen (artikel 13), alsmede de bewaartermijn (artikel 7) en de mogelijkheid een klacht of bezwaar in te dienen (artikel 14).
Voor welke doelen worden de persoonsgegevens verwerkt? (artikel 2)
De verwerking van persoonsgegevens heeft tot doel het op zorgvuldige wijze afhandelen van aanvragen om CVV en het bewaken van de kwaliteit en veiligheid van het vervoer.
Elke handeling met betrekking tot persoonsgegevens is een verwerking van persoonsgegevens. Hieronder valt onder andere: verzamelen, vastleggen, ordenen, bewaren, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiden/ter beschikking stellen, samenbrengen, afschermen. Het is op grond van de AVG en artikel 2 van het reglement niet toegestaan persoonsgegevens voor andere doelen dan hiervoor vermeld te verwerken. Anders gezegd, er mogen alleen persoonsgegevens worden verwerkt indien dat noodzakelijk is voor de uitvoering van het CVV.
Welke persoonsgegevens worden verwerkt? (artikel 4)
Het samenwerkingsorgaan kan op grond van de AVG en artikel 3 van het reglement alleen persoonsgegevens verwerken van Wmo-clienten, OV-reizigers die geregistreerd staan bij de vervoerder en geïndiceerde ouderen. Slechts die persoonsgegevens mogen worden verwerkt die strikt noodzakelijk zijn voor een goede uitvoering van het CVV.
Door wie worden de persoonsgegevens gebruikt en aan wie verstrekt het samenwerkingsorgaan deze gegevens? (artikel 8)
Toegang tot persoonsgegevens hebben in de eerste plaats de beheerder en gebruikers, daarnaast hebben de medewerkers van de deelnemende gemeenten die belast zijn met de uitvoering van de Wmo ook toegang tot de persoonsgegevens en medewerkers van de vervoerder voor wat betreft de OV-reizigers. De onder lid 1 sub d en e genoemde personen dienen toegang te hebben tot de persoonsgegevens om de hun opgedragen taken op een goede wijze te kunnen vervullen.
Het samenwerkingsorgaan kan alleen persoonsgegevens aan derden verstrekken, indien de persoon wiens persoonsgegevens het betreft hiervoor (i) vrijelijk, goed geïnformeerd en ondubbelzinnig toestemming heeft verleend, (ii) het noodzakelijk is ter vrijwaring van het vitaal belang (b.v. dringende medische noodzaak van de betrokkene, (iii) het samenwerkingsorgaan dit moet doen op grond van een wettelijke verplichting of (iv) de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak.
De gegevens mogen ook worden gebruikt voor een ander doel dan waarvoor ze zijn verzameld. Dat mag niet plaatsvinden op een wijze die onverenigbaar is met het doel waarvoor de gegevens zijn verzameld (AVG). Een bijzondere regeling geldt voor de verdere verwerking voor historische, statistische of wetenschappelijke doeleinden. Een dergelijke verwerking wordt niet als onverenigbaar beschouwd.
In het kader van historisch, statistisch of wetenschappelijk onderzoek is het ook zonder specifieke toestemming van de betrokkenen mogelijk hun persoonsgegevens aan derden te verstrekken. Wel geldt dan dat die gegevens geanonimiseerd en dus niet tot specifieke personen herleidbaar mogen zijn en het samenwerkingsorgaan de nodige voorzieningen heeft getroffen om te kunnen waarborgen dat een verdere verwerking door die derden uitsluitend geschiedt ten behoeve van het desbetreffende onderzoek.
Persoonsgegevens mogen ook aan anderen worden verstrekt in het geval dit noodzakelijk is voor de behartiging van het gerechtvaardigd belang (b.v. een goede bedrijfsvoering) van het samenwerkingsorgaan of een derde aan wie de gegevens worden verstrekt tenzij de belangen of de fundamentele rechten van de betrokkene (bijvoorbeeld bescherming van persoonlijke levenssfeer) prevaleren. Het voornemen daartoe zal aan de betrokkene medegedeeld moeten zijn en de betrokkene dient in de gelegenheid zijn gesteld het recht van verzet uit te oefenen.
Draagt het samenwerkingsorgaan zorg voor beveiliging en geheimhouding? (artikel 11)
Het samenwerkingsorgaan draagt er zorg voor dat hij alle passende adequate technische en organisatorische maatregelen neemt die verlies of onrechtmatige verwerking van persoonsgegevens voorkomen en die een onnodige verzameling en verdere verwerking van persoonsgegevens tegengaan. Elke medewerker van het samenwerkingsorgaan die persoonsgegevens verwerkt dient het vertrouwelijke karakter ervan te onderkennen en is in beginsel verplicht tot geheimhouding daarvan.
Informatieverplichtingen (art. 12)
Indien persoonsgegevens van een derde worden verkregen, dient betrokkene onmiddellijk te worden geïnformeerd. Het informeren van betrokkene hoeft niet plaats te vinden als de gegevens worden vastgelegd of verwerkt op grond van een wettelijke plicht. In dat geval dient de betrokkene op diens verzoek te worden geïnformeerd over het wettelijk voorschrift dat tot de vastlegging of verstrekking van de gegevens heeft geleid.
Heeft een betrokkene recht op inzage in zijn gegevens? (artikel 13)
Op verzoek van een betrokkene informeert het samenwerkingsorgaan hem over (de inhoud van) de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt, op welke wettelijke grondslag de verwerking is gebaseerd en aan wie zijn/haar gegevens worden verstrekt. Een verzoek om inzage moet binnen 4 weken schriftelijk worden beantwoord.
Indien de gegevens feitelijk onjuist zijn, onvolledig of niet ter zake dienend zijn voor het doel waarvoor ze worden verwerkt of op andere wijze in strijd zijn met de AVG of in strijd met het reglement zijn verwerkt, dan kan betrokkene om correctie verzoeken. Correctie houdt in verbeteren, aanvullen, verwijderen, afschermen of op een andere manier er voor zorgen dat de onjuiste gegevens niet langer worden gebruikt. Het samenwerkingsorgaan dient binnen 4 weken schriftelijk aan te geven of, en in hoeverre aan het correctieverzoek zal worden voldaan.
Ingeval van correctie dienen derden aan wie de (onjuiste) gegevens van de betrokkene in een eerder stadium zijn verstrekt, van de wijzigingen op de hoogte te worden gesteld.
Kan een betrokkene klagen, bezwaar aantekenen, dan wel zich verzetten tegen de verwerking van zijn persoonsgegevens? (artikel 14)
Indien een betrokkene van mening is dat het samenwerkingsorgaan niet handelt conform de AVG kan hij zich tot het samenwerkingsorgaan wenden en een klacht en/of bezwaar indienen. Als de afhandeling van de klacht niet leidt tot een voor betrokkenen acceptabel resultaat, kan de betrokkenen zich wenden tot Autoriteit Persoonsgegevens. Tegen een beslissing op bezwaar staat conform de Algemene wet bestuursrecht beroep open.
Een betrokkene heeft ook het recht van verzet als het verwerken van zijn persoonsgegevens plaatsvindt op de grondslag dat de verwerking noodzakelijk is voor de goede vervulling van een publieksrechtelijke taak of noodzakelijk is voor een gerechtvaardigd belang van het samenwerkingsorgaan of een derde. De betrokkene kan tegen een verwerking op basis van deze grondslagen verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Het samenwerkingsorgaan moet binnen vier weken het verzet beoordelen of het terecht is. Is dit het geval dan moet de verwerking onmiddellijk worden beëindigd. Voor het in behandeling nemen van het verzet kan een vergoeding worden gevraagd die niet hoger mag zijn dan een door de regering vast te stellen bedrag. Het samenwerkingsorgaan moet de vergoeding teruggeven als het verzet gegrond is.