Organisatie | Medemblik |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit van de gemeenteraad van de gemeente Medemblik houdende regels omtrent het verwerken van privacygevoelige informatie (Privacybeleid Raad Medemblik 2020) |
Citeertitel | Privacybeleid Raad Medemblik 2020 |
Vastgesteld door | gemeenteraad |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
artikel 34 van de Uitvoeringswet Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
16-06-2020 | nieuwe regeling | 19-03-2020 | Z-20-095368 |
Binnen gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de inwoners voor het goed uitvoeren van de gemeentelijke (wettelijke) taken. De inwoner moet erop kunnen vertrouwen dat gemeente Medemblik zorgvuldig en veilig met de persoonsgegevens omgaan.
De raad van de gemeente Medemblik (hierna kort: raad Medemblik) hecht er veel waarde aan dat de verwerkingen van persoonsgegevens zorgvuldig, rechtmatig en veilig plaatsvinden. In het privacybeleid heeft de raad Medemblik geformuleerd hoe om te gaan met de verwerkingen van persoonsgegevens.
In dit privacybeleid staan kaders beschreven voor het verwerken van privacygevoelige informatie oftewel persoonsgegevens, de bescherming van deze gegevens en omgang met deze gegevens. De kaders gelden voor de gemeente en derden die zijn of worden ingeschakeld.
De gemeente heeft de wettelijke verplichting om een veilige persoonsgegevensverwerking te borgen. Dit moet zij doen door technische en organisatorische maatregelen te treffen. De gemeente is verplicht de persoonlijke levenssfeer van haar inwoners te beschermen. Dit is geregeld in:
Vanaf 25 mei 2016 (inwerkingtreding 25 mei 2018) geldt de Algemene Verordening Gegevensbescherming. De Algemene Verordening Gegevensbescherming is momenteel de belangrijkste wetgeving die invulling geeft aan de bescherming van de privacy.
Verder is ook in specifieke regelgeving invulling gegeven aan de bescherming van de privacy bij de verwerking van persoonsgegevens, zoals:
Informatiebeveiliging en de bescherming van persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Informatiebeveiliging is een randvoorwaarde voor de borging van privacy bij de verwerking van persoonsgegevens. In het Informatiebeveiligingsbeleid van de gemeente Medemblik zijn maatregelen opgenomen om data te beschermen.
Hoofdstuk 1 Algemene bepalingen
In deze regeling en de daarop berustende bepalingen wordt verstaan onder:
betrokkene: diegene van wie persoonsgegevens worden verwerkt 1 .
Hoofdstuk 2 Organisatorische borging
De raad Medemblik is eindverantwoordelijk voor de waarborging van privacy- en informatiebeveiliging.
Figuur 2 Bovenstaande tabel brengt de verantwoordelijkheden, t.a.v. privacy, in beeld aan de hand van het RASCI-model.
Hoofdstuk 4 Privacy instrumenten
Art. 6 Register van verwerkingsactiviteiten
Gemeente Medemblik heeft een register van verwerkingsactiviteiten dat voldoet aan de daaraan gestelde normen2. In het register van de gemeente Medemblik zijn de verwerkingsactiviteiten van de raad Medemblik opgenomen.
Art. 7 Gegevensbeschermingseffectbeoordelingen
De raad Medemblik voert gegevensbeschermingseffectbeoordelingen (e.v. PIA) uit op die werkprocessen die een risico inhouden op het gebied van gegevensbescherming en op iedere nieuwe en gewijzigde gegevensverwerking3.
Bijlage 1: Artikelsgewijs commentaar
In het privacybeleid wordt aangesloten bij de definities die vanuit de AVG worden gehanteerd.
Waar in dit beleid de term vakafdeling ter sprake komt, wordt ook de griffie bedoeld. Aanvullend maakt de griffie voor het waarborgen van privacy bij de raad veelal gebruik van de capaciteit en opzet van het college. Zodoende wordt in deze regeling zoveel mogelijk aansluiting gezocht bij de beleidsopvattingen van het college.
Het borgen van privacy- en informatiebeveiliging is een aangelegenheid waar alle lagen van de gemeente Medemblik een rol en verantwoordelijkheid bij hebben. Waar de raad eindverantwoordelijke is, ligt de operationele borging bij de griffier en PM.
Art.3 Functionaris gegevensbescherming, privacyofficer en privacymedewerker
De AVG stelt de aanstelling van een FG voor alle overheidsinstanties verplicht. De FG is de interne toezichthouder op het gebied van privacy. Een FG zal dan ook vanuit zijn wettelijke taak gevraagd en ongevraagd adviseren over de mate waarin de raad Medemblik voldoet aan haar verplichtingen uit hoofde van de AVG en verdere (privacy)regelgeving. Naast de verplichting om een FG aan te stellen, verplicht de AVG gemeente Medemblik om nieuwe privacy instrumenten te implementeren4. Ten einde privacy structureel te borgen heeft de raad Medemblik één of meerdere privacy-medewerkers.
De PO adviseert en ondersteunt de gemeente Medemblik en de griffie bij het implementeren en borgen van privacy. Dit uit zich in het begeleiden van PIA’s en het adviseren over organisatiebrede privacy- en informatievraagstukken. Voorts beheert de PO het register van verwerkingsactiviteiten, met inbegrip van de publicatie hiervan. Tevens coördineert de PO het maken van privacyafspraken met externe partijen.
De PM voert PIA’s uit, ondersteunt bij het maken van privacyafspraken met externe partijen en heeft een signaleringsfunctie. Binnen deze signaleringsfunctie valt het herkennen van ontwikkelingen die van invloed kunnen zijn op het register van verwerkingsactiviteiten en externe gegevensverwerkingen. Ook het signaleren van mogelijk onjuist gebruik van persoonsgegevens valt binnen de signaleringsfunctie van de PM.
Het is van belang dat de griffie zich bewust is van de verplichtingen die op de organisatie rusten t.a.v. privacy- en informatiebeveiliging. De FG verzorgt of faciliteert dan ook in trainingen op het gebied van privacy ten einde een adequaat kennisniveau bij de PO en PM te realiseren.
Uit onderstaande schematische weergave blijkt op welke wijze gemeente Medemblik invulling geeft aan de algemene verwerkingsbeginselen5.
Persoonsgegevens worden slechts verwerkt ter uitvoering van een wettelijke verplichting (voorbeeld: Gemeentewet of Algemene wet bestuursrecht), ter behartiging van een algemeen belang of openbaar gezag (bijvoorbeeld camerabewaking) of het uitvoeren van een overeenkomst (bijvoorbeeld een koopovereenkomst). Een betrokkene wordt via de privacyverklaring en het register van verwerkingsactiviteiten op de website (www.medemblik.nl) geïnformeerd over de gegevensverwerkingen van gemeente Medemblik en de raad Medemblik. | |
Slechts die categorieën persoonsgegevens die noodzakelijk zijn om een bepaald verwerkingsdoel te bereiken worden verwerkt. | |
Conform het doelbindingsbeginsel worden slechts die persoonsgegevens gebruikt die noodzakelijk zijn om een bepaald verwerkingsdoel te bereiken. | |
Persoonsgegevens worden bewaard en vernietigd conform de op dat moment geldende “Selectielijst gemeenten en intergemeentelijke organen”. | |
Persoonsgegevens, die gebruikt worden voor publiekrechtelijke taken, worden geverifieerd op basis van de basisregistratie personen. Persoonsgegevens worden beveiligd conform het “Informatiebeveiligingsbeleid gemeente Medemblik”. | |
Periodiek wordt verantwoording afgelegd aan de FG. Op verzoek legt raad Medemblik verantwoording af aan de AP. |
Art. 5 Waarborgen en beveiliging
Ten einde privacy- en informatiebeveiliging structureel te waarborgen is het van belang dat de raadsleden en de medewerkers van de griffie op een zorgvuldige wijze met persoonsgegevens omgaan. Wat dat betreft zal de organisatie voldoende middelen beschikbaar moeten stellen om kennis t.a.v. privacy- en informatiebeveiliging op peil te houden. Voorts is het van belang dat de griffie zich bewust is van de eventuele privacy- en beveiligingsrisico’s en doorlopend werken aan het minimaliseren hiervan.
Het waarborgen van privacy gaat voor gemeente Medemblik verder dan slechts zichtbare maatregelen6. Conform de geldende richtlijnen waarborgt de gemeente Medemblik privacy in de digitale en fysieke sfeer7 8 .
Art. 6 Register van verwerkingsactiviteiten
Conform de eisen van art. 30 AVG heeft gemeente Medemblik een register van verwerkings-activiteiten.
Art. 7 Gegevensbeschermingseffectbeoordelingen
Indien een organisatie risicovolle gegevensverwerkingen uitvoert stelt de wetgever hiervoor een PIA (privacy-onderzoek) verplicht.
Gemeente Medemblik kwalificeert een proces als risicovol indien er sprake is van:
De raad Medemblik kwalificeert in ieder geval de processen als beschreven in bijlage 2 als risicovol. De vakafdelingen zijn verantwoordelijk voor het uitvoeren van PIA’s. Voorafgaand aan het uitvoeren van een PIA neemt de vakafdeling contact op met de FG en PO. De FG adviseert over de kaders en reikwijdte van de PIA’s, de PO onder andere over de (eventueel) te implementeren maatregelen.
Art. 8 Afspraken externe partijen
Het is van belang (en wettelijk verplicht) dat de raad Medemblik afspraken maakt met externe partijen over de veilige omgang met gemeentelijke data/persoonsgegevens. In het geval van een externe gegevensuitwisseling is er sprake van een verwerkersrelatie of van een gezamenlijke/gedeelde verwerkingsverantwoordelijkheid.
Indien de raad Medemblik het doel en de middelen van de externe gegevensverwerking bepaalt is er sprake van een verwerkersrelatie en moet een verwerkersovereenkomst gesloten worden. Gemeente Medemblik gebruikt hiervoor het model van de VNG. De verantwoordelijkheid voor het afsluiten van deze overeenkomsten rust bij de vakafdelingen, die hierbij juridisch worden ondersteund door de PO. In het geval dat de raad Medemblik niet het doel en/of de middelen van een gegevensverwerking bepaalt kan er sprake zijn van een gezamenlijke/gedeelde verwerkingsverantwoordelijkheid. In dit geval dient er een overeenkomst gezamenlijke/gedeelde verwerkingsverantwoordelijkheid te worden gesloten. Gemeente Medemblik gebruikt hiervoor –bij afwezigheid van een VNG-model- het, in West-Friesland vastgestelde format. Het is van belang dat de naleving van de gemaakte afspraken periodiek wordt gecontroleerd en geëvalueerd. Deze controlebevoegdheid is voorbehouden aan de FG.
Art. 9 Omgang beveiligingsincident/datalek
Indien er zich een beveiligingsincident/datalek voordoet is het van belang dat er binnen 72 uur verschillende acties worden uitgevoerd. De FG en CISO zijn gezamenlijk verantwoordelijk voor de coördinatie en afhandeling van een beveiligingsincident/datalek. Hiervoor wordt het op dat moment geldende “Incident Management Responseplan gemeente Medemblik” gevolgd. Bij afwezigheid van de FG of CISO neemt de PM van de griffie deze taak over.
Art. 10 Rechten op inzage/afschrift
Diegene die betrokken is bij een gegevensverwerking kan de raad Medemblik verzoeken om inzage te bieden in de eigen persoonsgegevens. Het recht op inzage is van toepassing op alle gemeentelijke documenten en registraties, met uitzondering van wat in de Wet basisregistratie personen (e.v. Wet BRP) is bepaald. Gemeente Medemblik faciliteert in deze behoefte door een betrokkene inzage op het gemeentehuis aan te bieden of een schriftelijk afschrift van zijn verwerkte persoonsgegevens te verstrekken. Een inzageverzoek wordt behandeld door de PO.
Diegene die betrokken is bij een gegevensverwerking kan de raad Medemblik verzoeken om correctie van de eigen persoonsgegevens. Het recht op correctie op grond van de AVG is van toepassing op alle gemeentelijke documenten en registraties, behoudens de reikwijdte van de Wet BRP. Gemeente Medemblik faciliteert in deze behoefte door de betrokkene een afschrift van de doorgevoerde correctie(s) te verstrekken. Een correctieverzoek wordt behandeld door de PO.
Diegene die betrokken is bij een gegevensverwerking kan de raad Medemblik vragen persoonsgegevens te verwijderen. Het recht op verwijdering op grond van de AVG is van toepassing op alle gemeentelijke documenten en registraties, uitgezonderd van hetgeen bepaald in de Wet BRP. Gemeente Medemblik bewaart persoonsgegevens conform de termijnen opgenomen in de op dat moment geldende “Selectielijst gemeenten en intergemeentelijke organen”. In die hoedanigheid wordt een verwijderingsverzoek te allen tijde getoetst aan de geldende bewaar- en vernietigingstermijnen.
Een verwijderingsverzoek wordt toegewezen indien de betrokkene zijn toestemming intrekt, mits de gegevensverwerking gebaseerd is op deze toestemming9 . Voorts worden persoonsgegevens verwijderd indien deze onrechtmatig blijken te zijn verwerkt. Een verwijderingsverzoek wordt behandeld door de PO.
Het staat diegene die betrokken is bij een gegevensverwerking vrij om bezwaar in te dienen tegen een specifieke verwerking van persoonsgegevens. Een dergelijk bezwaar wordt niet behandeld als een bezwaar in de zin van de Algemene wet bestuursrecht (e.v. Awb), maar conform de AVG. Een bezwaar wordt toegewezen indien een gegevensverwerking onverenigbaar is met het beoogde verwerkingsdoel. Een bezwaar tegen een gegevensverwerking wordt behandeld door de FG.
Art. 14 Weigeringsgronden en rechtsbescherming
Het indienen van een verzoek, als bedoeld in art. 10, art. 11, art. 12 en art. 13, is aan voorwaarden gebonden. Allereerst dient de identiteit van de verzoeker te worden vastgesteld. De raad Medemblik kiest ervoor om de identiteit van de verzoeker op het moment van indiening vast te stellen. Voorts wordt een verzoek (gedeeltelijk) afgewezen indien het betreffende verzoek de privacy van een ander natuurlijke persoon raakt en daar geen toestemming of machtiging aan ten grondslag ligt. Tot slot wordt een verzoek afgewezen indien deze binnen een onredelijke termijn, volgend op een voorgaand verzoek, wordt ingediend. Als een redelijke termijn beschouwt gemeente Medemblik één type verzoek, als bedoeld in art. 10, art. 11, art. 12 en art.13, per maand. Een besluit op een verzoek, als bedoeld in art. 10, art. 11, art. 12 en art. 13, wordt gelijkgesteld aan een besluit in de zin van de Awb 10 .
Art. 15 Bekendmaking en inwerkingtreding
Het privacybeleid heeft zowel interne als externe werking en wordt zodoende gepubliceerd. Het privacybeleid wordt jaarlijks geëvalueerd.