Organisatie | Hoorn |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacybeleid gemeente Hoorn |
Citeertitel | Privacybeleid gemeente Hoorn |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
14-02-2020 | nieuwe regeling | 12-11-2019 | 1720875 |
2.4 Randvoorwaarden en uitgangspunten
3.3 Functionaris gegevensbescherming
4.1 Register van verwerkingsactiviteiten
4.2 Gegegevensbeschermingseffectbeoordeling
4.3 Gegevensbescherming door ontwerp
4.4 Afspraken externe partijen
Dit privacybeleid is richtinggevend en kaderstellend. Het vormt, samen met de documenten op tactisch en operationeel niveau, het fundament onder een betrouwbare verwerking van persoonsgegevens.
Privacy is een grondrecht. Het grondrecht houdt in dat iedere persoon het recht heeft op ‘de eerbiediging van de persoonlijke levenssfeer’. Daaronder vallen het eigen lichaam, huis, gezin, communicatie en persoonsgegevens. Het wordt ook wel het recht ‘om met rust te worden gelaten’ genoemd.
De gemeente hecht veel waarde aan een zorgvuldige verwerking van informatie, zeker als het persoonsgegevens betreft. De komende jaren maken we een volgende stap in het volwassenheidsniveau op het gebied van een zorgvuldige en veilige omgang met persoonsgegevens. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken.
We digitaliseren onze dienstverlening en ons werk, organiseren data gedreven en moderniseren onze informatievoorziening. Door deze digitalisering is de bescherming van persoonsgegevens van steeds groter belang.
We mengen ons niet onnodig in het persoonlijk leven van personen. Waar persoonsgegevens nodig zijn, zorgen we voor een zorgvuldige en veilige omgang met persoonsgegevens. Personen informeren we hier actief over. Ze hebben zeggenschap over hun persoonsgegevens en zo gemakkelijk mogelijk toegang tot hun persoonsgegevens.
Het privacybeleid wordt jaarlijks geëvalueerd en indien nodig geactualiseerd. Over de evaluatie wordt gerapporteerd in het jaarverslag van de functionaris gegevensbescherming (zie partagraaf 4.8).
Het ‘recht op de eerbiediging van de persoonlijke levenssfeer’, waaronder de bescherming van persoonsgegevens is geregeld in:
In de grondwet en verdragen is ook bepaald dat er wetgeving nodig is, die regels stelt voor het verwerken van persoonsgegevens. Binnen de Europese Unie zijn deze regels gesteld in de Algemene Verordening Gegevensbescherming (AVG). Waar de AVG ruimte laat voor nationale keuzes, zijn deze ingevuld in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
In specifieke regelgeving is ook invulling gegeven aan de bescherming van persoonsgegevens, zoals:
Informatiebeveiliging is een randvoorwaarde voor een zorgvuldige en veilige verwerking van persoonsgegevens. In het Informatiebeveiligingsbeleid van gemeente Hoorn zijn maatregelen opgenomen om gegevens te beschermen.
Persoonsgegevens zijn nodig voor onze dienstverlening en het uitvoeren van onze wettelijke taken. Doel van dit privacybeleid is het beschrijven van kaders voor een zorgvuldige en veilige omgang met persoonsgegevens. Dit beleid geeft richting voor verdere invulling op tactisch en operationeel niveau.
Het privacybeleid is van toepassing op alle:
Het heeft betrekking op de burgemeester, gemeenteraad, het college van burgemeester en wethouders (hierna college), alle medewerkers (intern, extern, vast en tijdelijk), inwoners, gasten, bezoekers en externe relaties.
De (Uitvoeringswet) Algemene Verordening Gegevensbescherming geven regels voor de verwerking van persoonsgegevens. Dit privacybeleid heeft daarom alleen betrekking op de verwerking van persoonsgegevens en niet op het ruimere begrip ‘privacy’.
2.4 Randvoorwaarden en uitgangspunten
Iedereen werkzaam binnen en voor de gemeente is verantwoordelijk voor een zorgvuldige en veilige omgang met persoonsgegevens. De AVG noemt dit ‘rechtmatig, behoorlijk en transparant1.
De uitgangspunten hierbij zijn:
In dit hoofdstuk zijn de rollen met taken en verantwoordelijkheden binnen de privacy-organisatie beschreven.
Betrokkenheid van bestuurders is essentieel. Het laat zien dat de gemeente een zorgvuldige en veilige omgang met persoonsgegevens serieus neemt.
Het verantwoordelijke bestuursorgaan (burgemeester, college of gemeenteraad) is ‘verwerkingsverantwoordelijke’2 en daarmee eindverantwoordelijk voor de borging van een zorgvuldige en veilige omgang met persoonsgegevens.
Welk bestuursorgaan verantwoordelijk is, hangt af van de taak of het proces. Bijvoorbeeld openbare orde en veiligheid taken vallen onder de burgemeester, de WMO-taken onder het college en het besluitvormingsproces van de gemeenteraad onder de gemeenteraad. Waar we het in dit beleid hebben over ‘de gemeente’ wordt het verantwoordelijke bestuursorgaan bedoeld.
De bestuursorganen stellen de kaders op basis van wet- en regelgeving en geldende normen. De gemeenteraad heeft een controlerende taak ten opzichte van het college en de burgemeester als verantwoordelijk bestuursorgaan.
De directie is verantwoordelijk voor een zorgvuldige en veilige omgang met persoonsgegevens in de organisatie. De directie:
3.3 Functionaris gegevensbescherming
De gemeente is verplicht een functionaris gegevensbescherming3 aan te wijzen. De functionaris gegevensbescherming:
Een zorgvuldige en veilige omgang met persoonsgegevens binnen een bedrijfsonderdeel valt onder de verantwoordelijkheid van een teammanager. Een teammanager kan deze verantwoordelijkheid niet delegeren, uitvoerende werkzaamheden wel. Hiervoor kan hij een privacymedewerker aanwijzen (zie paragraaf 3.6).
De proceseigenaar is verantwoordelijk voor een zorgvuldige en veilige omgang met persoonsgegevens binnen een proces of informatiesysteem. Alle processen en informatiesystemen hebben een proceseigenaar. Een teammanager kan ook de rol van proceseigenaar hebben.
Naast de privacymedewerkers zijn er diverse functies in de organisatie die bijdragen aan een zorgvuldige en veilige omgang met persoonsgegevens. Denk hierbij aan de functionaris informatiebeveiliging, inkoop-, juridische-, informatieadviseurs, programmamanagers, projectleiders, applicatiebeheerders en archiefmedewerkers.
Elke medewerker heeft een eigen verantwoordelijkheid voor een zorgvuldige en veilige omgang met persoonsgegevens.
De AVG vereist dat persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt en dat dit aantoonbaar is. Daarom past de gemeente in ieder geval de in dit hoofdstuk uitgewerkte wettelijk verplichte privacy-instrumenten toe.
4.1 Register van verwerkingsactiviteiten
De gemeente houdt een register bij met alle verwerkingen van persoonsgegevens. Het register voldoet aan de wettelijke verplichtingen4. Onder andere de doeleinden van de verwerkingen, categorieën van betrokkenen en persoonsgegevens, derden ontvangers, bewaartermijn en beveiligingsmaatregelen zijn hierin opgenomen.
4.2 Gegegevensbeschermingseffectbeoordeling
De gemeente voert gegevensbeschermingseffectbeoordelingen5 uit als de omgang met persoonsgegevens een hoog risico kan opleveren voor de personen van wie de gegevens zijn. Deze beoordeling geeft inzicht in de risico’s en maatregelen die nodig zijn om deze risico’s af te dekken. Het wordt ook wel een Data Protection Impact Assesment (DPIA) genoemd. Elke DPIA wordt voor advies voorgelegd aan de functionaris gegevensbescherming.
4.3 Gegevensbescherming door ontwerp
Gegevensbescherming door ontwerp6 wordt ook wel privacy by design genoemd. De gemeente past privacy by (re)design toe op nieuwe en bestaande verwerkingen van persoonsgegevens en bijbehorende systemen. Dat betekent dat vooraf rekening wordt gehouden met de bescherming van persoonsgegevens en de vereisten uit de AVG. Er wordt gezorgd voor verstandig en minimaal gebruik van gegevens en een passende bescherming.
4.4 Afspraken externe partijen
De gemeente maakt schriftelijk privacy-afspraken met externe partijen waarmee persoonsgegevens worden uitgewisseld. Externe partijen zijn onder te verdelen in 3 categorieen:
De externe partij is een ‘verwerker’9 . De gemeente bepaalt het ‘het doel en de middelen’ van de verwerking van de persoonsgegevens. De externe partij voert de opdracht uit volgens de voorwaarden van de gemeente. Privacyafspraken worden vastgelegd in een verwerkersovereenkomst, volgens het verplichtte model van de VNG.
4.5 Inbreuk in verband met persoonsgegevens
De gemeente heeft een procedure voor het melden van inbreuken in verband met persoonsgegevens10 , ook wel datalekken genoemd. Bij een datalek zijn persoonsgegevens mogelijk gezien of gebruikt door personen die dit niet nodig hebben of deze zijn onterecht (niet) vernietigd of verloren gegaan. Elke medewerker is verantwoordelijk om datalekken direct te melden volgens de procedure.
De functionaris gegevensbescherming, functionaris informatiebeveiliging of privacymedewerker registreert de datalekken in een register en zorgt voor melding bij de landelijk toezichthouder, indien nodig. In de cyclusdocumenten wordt inzicht gegeven in het aantal datalekken.
Voor personen moet inzichtelijk zijn in hoeverre en op welke manier hun persoonsgegevens worden verwerkt. Dit is het ‘transparantiebeginsel’11. De gemeente informeert personen daarom in duidelijke en eenvoudige taal over de omgang met hun persoonsgegevens. Ze worden geïnformeerd over:
Deze informatie is op de website van de gemeente te vinden en waar nodig in aanvullende informatie.
Personen hebben recht op inzage, rectificatie, verwijdering, beperking, overdraagbaarheid van gegevens, bezwaar en om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming12.
Om gebruik te maken van deze rechten kunnen personen een verzoek indienen via de website van de gemeente. Binnen vier weken laat de gemeente weten wat er met het verzoek gaat gebeuren.
Als een persoon niet tevreden is over hoe de gemeente met persoonsgegevens omgaat of hoe het verzoek is afgehandeld, kan de persoon bezwaar maken of een klacht in te dienen bij de gemeente. Ook kan de persoon een klacht indienen bij de Autoriteit Persoonsgegevens.
In de cylcusdocumenten legt het college verantwoording af aan de gemeenteraad over de naleving van de AVG en het privacybeleid.
De functionaris gegevensbescherming brengt jaarlijks verslag uit aan de bestuursorganen over de ontwikkelingen en aandachtspunten bij de omgang met persoonsgegevens. Dit jaarverslag van de functionaris gegevensbescherming is onderdeel van de jaarstukken.