Organisatie | Tubbergen |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beleidsregel van de functionaris gegevensbescherming van de gemeente Dinkelland, Tubbergen en de Bedrijfsvoeringsorganisatie Noaberkracht Dinkelland Tubbergen houdende regels omtrent het privacybeleid |
Citeertitel | Privacybeleid |
Vastgesteld door | gemandateerde functionaris |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
24-10-2019 | nieuwe regeling | 30-10-2018 |
Dit is het privacybeleid dat door de gemeente Dinkelland, gemeente Tubbergen en Bedrijfsvoeringsorganisatie Noaberkracht Dinkelland en Tubbergen (hierna ‘de gemeenten en Noaberkracht’, of, ‘de organisaties’ genoemd) is vastgesteld en wordt gehanteerd. Dit privacybeleid stelt kaders en uitgangspunten vast hoe deze de gemeenten en Noaberkracht omgaan met persoonsgegevens. Het beleid is zo opgesteld dat het algemeen is waar mogelijk, en specifiek is waar nodig. Daarnaast is het van belang dat privacy wordt gewaarborgd in de praktijk.
De organisaties spannen zich continu in voor een (verdere) professionalisering van privacy en informatieveiligheid. Onderhoud van het privacybeleid en periodieke toetsen zijn noodzakelijk om het bereikte niveau te handhaven en te verhogen. Bij het opstellen van het beleid is zoveel mogelijk vermeden dat privacywetgeving wordt herhaald of niet concreet wordt.
Naast een intrinsieke motivatie om gegevensbescherming goed te regelen zijn er ook externe aanleidingen om meer werk van gegevensbescherming te maken:
Dit beleid is bedoeld om op organisatieniveau te sturen op gegevensbescherming. Na vaststelling van dit beleid is het, op 29 november 2016 door het bestuur van Noaberkracht vastgestelde, ‘Privacybeleid 2016’ ingetrokken.
Binnen de kaders van de Algemene Verordening Gegevensbescherming (AVG) worden door de gemeenten en Noaberkracht persoonsgegevens verwerkt. Deze wet verplicht de gemeenten en Noaberkracht om persoonsgegevens ‘in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze' te verwerken. Dit privacybeleid is een invulling van artikel 24 lid 2 van de AVG. In dit privacybeleid werken de gemeenten en Noaberkracht uit hoe persoonsgegevens worden verwerkt en op welke wijze wordt gewaarborgd dat de gegevens behoorlijk en zorgvuldig verwerkt worden.
Dit doen we niet alleen voor de wet, maar vooral omdat inwoners er vanuit mogen gaan dat de organisaties zorgvuldig en vertrouwelijk met persoonsgegevens omgaan. Deze persoonsgegevens hebben de gemeenten en Noaberkracht nodig om betrokkenen van diensten en/of producten te kunnen voorzien.
Reikwijdte en doelstelling van het beleid
De doelstelling van dit privacybeleid laat zich vatten als:
Het beleid is bedoeld voor drie doelgroepen. Het is in eerste instantie bedoeld voor allen die verantwoordelijkheid dragen over persoonsgegevens binnen de organisaties. In feite wordt van alle personen die persoonsgegevens verwerken of beleid maken verwacht dat zij behoorlijk en zorgvuldig handelen. Ieder draagt een verantwoordelijkheid die past bij zijn niveau en rol. Zo wordt bijvoorbeeld van een ‘gewone’ medewerker niet verwacht dat deze beveiligingslekken opspoort en dicht. Wel mag van deze medewerker worden verwacht dat hij signalen doorgeeft aan een leidinggevende, CISO of FG.
In tweede instantie is het beleid bedoeld als uitgangspunt voor beleidsmakers en beslissers. Niet alleen gaat het om organisatorische keuzes, ook medewerkers (bijvoorbeeld op het gebied van HRM, IT, Juridische Zaken en Inkoop) moeten in dit beleid kaders en handvatten vinden. Wanneer een team of een afdeling een nieuw product of dienst wil aanschaffen of implementeren, biedt dit beleid handvatten om Privacy by Design toe te passen en vanaf het begin te werken volgens de wet. Privacy by Design houdt in dat de gemeenten Noaberkracht al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacy verhogende maatregelen. Ten tweede worden zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking, verwerkt. Het beleid kan helpen bij het uitvoeren van Privacy Impact Assessments (PIA’s).
Als derde, tot slot, vormt het beleid een vertrekpunt voor audits, periodieke onderzoeken en om aantoonbaar compliant te zijn voor de toezichthouder.
2. Rollen en verantwoordelijkheden
Dit hoofdstuk beschrijft de verantwoordelijkheden en rollen zoals deze voortkomen uit de AVG, toegepast op de deelnemende gemeenten en Noaberkracht.
Verwerkersverantwoordelijke en verwerker
Door de opzet en structuur van de gemeenten en Noaberkracht is er sprake van verschillende verantwoordelijken. Alle organisaties kunnen ‘verwerkingsverantwoordelijke’ in de zin van de AVG zijn wanneer de organisatie diegene is die ‘doel en middelen vaststelt’. De verwerkingsverantwoordelijke heeft ten aanzien van de verwerking van persoonsgegevens dus een bepalende rol en stelt het privacybeleid vast.
Een verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Soms kan er ook sprake zijn van sub-verwerkers wanneer de verwerker andere verwerkers inschakelt. Zo zie je dat veel gemeenten taken omtrent de Participatiewet aan een derde partij hebben uitbesteed. Deze derde partij kan vervolgens onderdelen uit het contract aan een andere partij hebben uitbesteed, bijvoorbeeld een SaaS (Software as a Service) -oplossing in het gebruik van een applicatie. De term sub-verwerker geeft aan dat een ketenverantwoordelijkheid met verschillende partijen kan ontstaan. De AVG spreekt over een ‘andere verwerker’ en stelt hier eisen aan.
Gedeelde en gezamenlijke verantwoordelijkheid
Onder de verantwoordelijkheid van de gemeenten en Noaberkracht kunnen bijvoorbeeld ook of Gemeenschappelijke Regelingen of andere vormen van samenwerking vallen. De algemene bepalingen van dit privacybeleid zijn ook op hen van toepassing. Zij vallen direct onder de verantwoordelijkheid, alleen of in gezamenlijkheid, van de deelnemende partijen.
Ook kan sprake zijn van gezamenlijke verantwoordelijkheden in het geval van een samenwerking of project met een of meerdere organisaties. In die gevallen stellen de gezamenlijke verwerkingsverantwoordelijkheden een overeenkomst op waarin zij:
Personeel wordt aangesteld en valt daarmee onder het ambtenarenreglement. In dit reglement wordt een medewerker gewezen op de geheimhouding van persoonsgegevens, het belang van een vertrouwelijke omgang met deze gegevens en andere verantwoordelijkheden die samenhangen met de verwerking van persoonsgegevens.
Personeel wordt actief herinnerd aan de zorgvuldige verwerking van persoonsgegevens en het gewenste gedrag. Specifieke aandacht aan het onderwerp wordt gegeven na incidenten, bij vragen die breed leven of zodra (intern) onderzoek laat zien dat bijscholing nodig is.
De gemeenten en Noaberkracht werken samen in regionaal verband. Zo kennen de gemeenten en Noaberkracht onder andere samenwerkingen op het gebied van zorg en veiligheid. De gemeenten en Noaberkracht dienen zorg te dragen dat ook deze samenwerkingspartners vallen onder het privacybeleid of dat er separate afspraken worden gemaakt om de privacy te waarborgen.
Wanneer een contractuele overeenkomst wordt aangegaan met externe leveranciers dan gelden de Algemene Inkoopvoorwaarden van de organisaties. Deze zijn vastgesteld door de verantwoordelijke. Wanneer uitvoerende partijen aanpassingen op de inkoopvoorwaarden aanbrengen dan mogen deze niet met de Algemene Inkoopvoorwaarden conflicteren.
Wanneer sprake is van ICT-diensten en -apparatuur dan gelden aanvullende voorwaarden. Wanneer voor de uitvoer van een overeenkomst persoonsgegevens worden verwerkt dan geldt de externe leverancier als verwerker. In deze gevallen worden aanvullende bepalingen opgenomen in een verwerkersovereenkomst. Leveranciers en verwerkers zijn gehouden aan geheimhouding. Door middel van de overeenkomsten wordt gewaarborgd dat een leverancier of verwerker alleen verwerkingen van persoonsgegevens uitvoert binnen de noodzakelijkheid van de daarin overeengekomen doelstellingen.
Verwerkers verwerken persoonsgegevens in opdracht van de gemeenten en Noaberkracht. Alleen verwerkers die afdoende garanties bieden ten aanzien van de bescherming van persoonsgegevens worden ingehuurd. Met alle verwerkers wordt een verwerkersovereenkomst gesloten.
In deze verwerkersovereenkomst maken de gemeenten en Noaberkracht in ieder geval afspraken over:
Er wordt door de gemeenten en Noaberkracht is een standaard verwerkersovereenkomst gebruikt die de gewenste bepalingen bevat. Wanneer een verwerker een eigen voorstel voor een verwerkersovereenkomst heeft, kan besloten worden deze overeenkomst aan te houden. In deze gevallen wordt de overeenkomst getoetst. Afwijken kan alleen in overleg met de Functionaris Gegevensbescherming en eventueel na toestemming van de colleges van beide gemeenten en het bestuur van Noaberkracht.
De gemeenten en Noaberkracht gaan zorgvuldig om met persoonsgegevens van inwoners en derden, zoals bezoekers van de websites, deelnemers aan diensten waarbij persoonsgegevens bij de gemeenten en Noaberkracht terecht komen. Dit is onder andere beschreven in de privacyverklaring op de websites.
Functionaris voor Gegevensbescherming (FG)
Beide gemeenten en Noaberkracht hebben aan de wettelijke verplichting voldaan om een FG aan te stellen. Samenvattend heeft de FG als taak:
De organisaties maken het mogelijk voor de FG om de taken zo goed mogelijk uit te kunnen voeren door:
Binnen Noaberkracht is rol van Privacybeheerder in het leven geroepen. Deze rol is belegd bij medewerkers verantwoordelijk voor juridisch concern control. In tegenstelling tot de FG is deze rol gericht op coördinerende en uitvoerende taken die uit dit privacybeleid volgen. De beheerder voorziet alle lagen van de organisatie gevraagd en ongevraagd van advies met betrekking tot de AVG en de bescherming van de persoonlijke levenssfeer van degenen van wie persoonsgegevens worden verwerkt.
De Privacybeheerder neemt als adviserend lid deel aan programma’s (zoals bijvoorbeeld verbetering dienstverlening) en projecten waarvan het resultaat gevolgen kan hebben voor de wijze van verwerking van persoonsgegevens.
Samenvattend heeft de Privacybeheerder als taak:
De organisaties gaan zorgvuldig om met persoonsgegevens van klanten/cliënten en derden, zoals bezoekers van de websites, deelnemers aan diensten waarbij persoonsgegevens bij de gemeenten Dinkelland en Tubbergen terecht komen. Dit is onder andere beschreven in de privacyverklaring en de cookiebepaling.
Er wordt betreft de beschermende maatregelen geen onderscheid gemaakt tussen klanten en niet-klanten en derden. Het (hoge) niveau van beschermende maatregelen wordt overal toegepast.
3. Beleid voor rechtmatige verwerking en zorgvuldige verwerking persoonsgegevens
De Algemene verordening gegevensbescherming (AVG) biedt het normatieve kader van waaruit de specifieke technische en organisatorische maatregelen voor een organisatie moeten worden afgeleid. Dit normenkader is opgenomen in de thema's van dit hoofdstuk. Het uitgangspunt is dat de verwerkingen door gemeenten en Noaberkracht voldoen aan de volgende beginselen:
Overzicht verwerking persoonsgegevens
De verwerkingen van de organisaties zijn opgenomen in het register van de verwerkingsactiviteiten. Het register wordt geüpdatet wanneer de verwerkingen of veranderingen in de organisatie daar aanleiding toe geven.
Op grond van de AVG is de organisatie verplicht een PIA uit te voeren als een verwerking mogelijk een hoog risico inhoudt voor rechten en vrijheden van de betrokkenen. Lukt het niet om (voldoende) maatregelen te vinden om dit risico te beperken? Dan wordt met de Autoriteit Persoonsgegevens (AP) overlegd voordat de verwerking start.
De organisaties zijn transparant over hoe ze persoonsgegevens verwerkt. Hierdoor weten burgers en personen die benaderd worden wie de organisaties zijn, dat persoonsgegevens worden verwerkt, waarom dit gebeurt en welke maatregelen worden getroffen om zorgvuldig met gegevens om te gaan. Belangrijke manieren om betrokkenen te informeren over de verwerking van persoonsgegevens zijn:
Met doelbinding wordt bedoeld dat gegevens alleen worden verwerkt voor het doel waarvoor ze verzameld zijn. En als gegevens toch voor andere doelen worden gebruikt, wordt beoordeeld of dit niet te ver afstaat van dat doel. Wanneer de wens ontstaat om persoonsgegevens voor andere doelen te verwerken wordt een PIA uitgevoerd, om de vraag te beantwoorden of de verwerking ‘niet onverenigbaar is’ met het oorspronkelijke doel. Dit vereiste volgt uit art. 5 lid 1 sub b AVG.
Een organisatie mag alleen persoonsgegevens verwerken wanneer hier een grondslag voor bestaat. De organisaties verwerken gegevens van inwoners, geïnteresseerden, en medewerkers op basis van een grondslag zoals benoemd in de AVG.
Personen over wie persoonsgegevens worden verzameld hebben een aantal rechten, waaronder het recht op inzage, correctie, verwijdering, afscherming en verzet. Dit is geregeld in art. 15-20 AVG. Betrokkenen worden gewezen op hun rechten in het privacyverklaring dat op de website is geplaatst . Zij kunnen hun rechten uitoefenen waarbij wordt gewaarborgd dat verzoeken correct worden afgehandeld.
Om zorgvuldig met persoonsgegevens om te kunnen gaan moeten passende beschermende maatregelen worden getroffen. Deze maatregelen moeten de geheimhouding en beveiliging borgen. De maatregelen gelden voor allen die onder verantwoordelijkheid van de organisaties werken: interne medewerkers, verwerkers en sub-verwerkers. De maatregelen gelden ook voor diensten en goederen die onderdeel zijn van de beveiliging, zoals beveiliging van het pand, de schoonmaak of leveranciers van hardware. Dit thema is een uitwerking van de artikelen 5 lid 1 sub f en 32 AVG.
De organisaties hebben een gemeente breed informatiebeveiligingsbeleid , waarin op strategisch en tactisch niveau wordt beschreven, welke uitgangspunten ten aanzien van de informatiebeveiliging gelden. Dit document zal samen met de technische beveiligingsmaatregelen en -procedures een adequaat niveau van beveiliging voor de organisatie moeten opleveren waardoor de kwaliteitskenmerken van informatie, te weten: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de informatie, binnen de organisatie zijn gewaarborgd.
Periodiek wordt beoordeeld en vastgesteld welke informatiebehoefte de medewerkers hebben ten aanzien van een basisbewustzijn over de zorgvuldige omgang met persoonsgegevens en specifieke thema’s. Ook wordt aandacht besteed aan consequenties van het niet-naleven van de vereiste regels, voor zowel de organisatie als de betrokkene.
4. Beleidsuitvoering Noaberkracht
De gemeenten Dinkelland en Tubbergen hebben gekozen voor één ambtelijke organisatie. Daartoe hebben de colleges van burgemeester en wethouders van beide gemeenten Bedrijfsvoeringsorganisatie Noaberkracht Dinkelland Tubbergen opgericht. Het bestuur bestaat uit de voltallige colleges van beide gemeenten. De medewerkers zijn formeel in dienst van Noaberkracht maar zijn materieel nog steeds ondergeschikt aan de beide colleges. Noaberkracht voert namens de beide colleges het beleid uit, zoals dat door de beide colleges is vastgesteld en waarvoor elk van beide colleges zich dient te verantwoorden jegens zijn eigen raad en zijn eigen inwoners.
Hieruit volgt dat elk van beide colleges bevoegd is om het privacybeleid voor zijn eigen gemeente vast te stellen en dat het gehouden is daarvoor verantwoording af te leggen aan zijn gemeenteraad. Noaberkracht dient dit beleid uit te voeren. Noaberkracht heeft formeel rechtspersoonlijkheid en is dus bevoegd om extern op eigen naam op te treden. Maar de organisatie is ook een verlengstuk van elk van beide gemeenten, bestuurd door en ondergeschikt aan de beide colleges. Ook voor de uitvoering door Noaberkracht van het gemeentelijk vastgestelde beleid is het college van elk van beide gemeenten verantwoording verschuldigd aan zijn gemeenteraad.
De organisaties hanteren in de uitvoering van het beleid uitgangspunten op het gebied van dienstverlening en bedrijfsvoering, welke hieronder zijn beschreven.
Een inwoner heeft er recht op dat de organisaties zorgvuldig en vertrouwelijk met persoonsgegevens omgaan. Dit moet voor de inwoner echter zo min mogelijk invloed op de dienstverlening hebben, daarom worden de volgende uitgangspunten gehanteerd:
Tenzij de wet anders bepaalt, bepalen inwoners zelf in hoeverre zij hen de betreffende informatie willen vrijgeven. Inwoners beschikken immers over het grondwettelijk recht op privacy, waaronder het recht op informationele privacy, wat inhoudt dat zij bepalen in hoeverre zij hen de betreffende informatie willen vrijgeven.
Goede bedrijfsvoering staat aan de basis van goede dienstverlening. Op basis van bovenstaande uitgangspunten zijn er randvoorwaarden voor het inrichten van de interne organisatie te benoemen:
Bij nieuw uit te voeren processen waarbij de verwerking van persoonsgegevens, waaronder bijzondere persoonsgegevens, qua inhoud en omvang complex is en van substantieel belang is voor de uitvoering van het proces, maakt een PIA deel uit van implementatieproces. Deze assessment heeft als doel bij nieuwe werkzaamheden na te gaan wat dit betekent voor de bescherming van de persoonsgegevens.
5. Privacybeleid in de praktijk
Het opstellen van een privacybeleid en vaststellen van uitgangspunten is meestal een goed begin voor een goede uitvoering. Van groter belang is echter het toezien op die uitvoering en het ervoor zorgdragen dat de organisatie ‘in control’ is waar het gaat de uitvoering van dit beleid. Om dit te bereiken is het nodig om een goede governance structuur te hebben. Ook moet er (blijvend) aandacht zijn voor goede opleiding, trainingen en privacyvraagstukken voor alle medewerkers.
Medewerkers hebben vanuit hun eigen taakgebied en verantwoordelijkheid natuurlijk ook de taak om goed om te gaan met persoonsgegevens conform dit privacybeleid. Dit betekent nog niet dat zij altijd tot op detail op de hoogte kunnen zijn van informatie rond privacyvraagstukken. Het is dan ook van belang dat zij zich bewust zijn van het voorliggende privacybeleid en dat zij regelmatig met elkaar en de Privacybeheerders spreken over dit thema. De volgende acties worden dan ook ondernomen:
Voor de organisatie moet worden vastgelegd welke taken en bevoegdheden bepaalde functionarissen hebben bij de verwerking van persoonsgegevens en aan wie zij verantwoording afleggen. Voor het opstellen van deze governance structuur is aansluiting gezocht bij de inrichting van de Baseline Informatiebeveiliging Gemeenten. Gemiddeld wordt 5 maal per jaar met een groep medewerkers vergaderd om vanuit verschillende vakgebieden naar informatieveiligheid en privacy te kijken. Hier worden verslagen van vastgelegd. Daarnaast wordt jaarlijks over het functioneren en de voortgang van het Governance overleg gerapporteerd. De volgende rollen zijn vertegenwoordigd in dit overleg:
Transparantie is een belangrijk uitgangspunt voor de uitvoering van de AVG. De inwoner wordt (onder andere) via de website van de gemeenten geïnformeerd over:
De gemeenten en Noaberkracht streven er verder naar om contact met inwoners, bedrijven en externen altijd via veilige kanalen te laten lopen. Hiervoor wordt gemaakt van beveiligde koppelingen, verbindingen en portalen, en in mindere mate van email.
Verzoek tot inzage, correctie of verwijdering
Een betrokkene heeft het recht om persoonsgegevens in te zien, te corrigeren of te laten verwijderen. Via verschillende kanalen kan verzoek tot inzage, correctie of verwijdering worden gestuurd naar de gemeenten. Hierbij worden de volgende uitgangpunten gehanteerd:
Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van op privacy gebied. Dit heet ook wel een PIA. Een PIA wordt uitgevoerd wanneer een (nieuwe) gegevensverwerking mogelijk een hoog risico oplevert voor de rechten van betrokkenen. Hierbij worden de volgende uitgangspunten gehanteerd:
Register van verwerkingen en verwerkersovereenkomsten
De Functionaris voor de Gegevensbescherming (FG) controleert namens de verantwoordelijke de verwerkingen van persoonsgegevens het daartoe bestemde register. Hierbij worden de volgende uitgangspunten gehanteerd:
Ook in het gebruik van verwerkersovereenkomsten worden uitgangspunten gehanteerd:
6. Datalekken en beveiligingsincidenten
Wanneer beveiligingsmaatregelen niet afdoende zijn gebleken en persoonsgegevens (mogelijk) zijn gelekt, kan er sprake zijn van een datalek. Binnen de organisaties is het proces meldplicht datalekken opgezet en van kracht. In dit proces is beschreven hoe de organisatie reageert op datalekken. Hieronder is de procedure kort beschreven.
Wanneer er sprake van een beveiligingsincident en zijn (mogelijk) persoonsgegevens gelekt dan meldt een medewerker dit bij de CISO of via het daarvoor bestemde emailadres (meldpuntdatalekken@noaberkracht.nl). Alleen een mailtje naar de ICT-servicedesk is bij een melding van een datalek absoluut onvoldoende. Inwoners en externen kunnen via bovenstaand e-mailadres ook een melding doen. Vervolgens wordt door de CISO in het Zaaksysteem het proces gestart. Medewerkers kunnen zelf een zaak starten in het Zaaksysteem bij het ontdekken van een incident. Incidenten die direct worden gemeld zijn:
Enkele voorbeelden van datalekken:
Nadat een melding is gemaakt overleggen de CISO, de FG en de Privacybeheerders of het een datalek betreft en of de datalekprocedure moet worden gevolgd. Zo ja, dan wordt een datalekteam geactiveerd. In het datalekteam zitten in ieder geval de CISO, adviseur Informatie & Techniek, een Privacybeheerder, adviseur Communicatie, eventueel aangevuld met de manager van de afdeling waar het lek heeft plaatsgevonden. Met dit team wordt het meldingsproces vervolgd en het datalek bestreden. Vervolgens wordt bepaald welke stakeholders worden geïnformeerd. Ook wordt de afweging gemaakt om de betrokkene(n) te benaderen. De FG meldt een meldingswaardig datalek direct aan de Autoriteit Persoonsgegevens.
Als laatste wordt het proces gedocumenteerd voor verantwoording en feedback, en wordt het incident opgenomen in het register met datalekken. Het overzicht wordt gebruikt om gegevensbescherming en Informatieveiligheid verder te professionaliseren.
Wanneer er sprake is van een datalek bij een verwerker van onze gegevens, dan is in de verwerkersovereenkomst opgenomen dat deze de organisaties van wie zij de persoonsgegevens verwerken zo snel mogelijk van het datalek op de hoogte stelt, en op welke manier die dient te gebeuren. Het informeren van getroffen personen wordt door de verantwoordelijke uitgevoerd.