Organisatie | Omgevingsdienst Rivierenland |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Privacybeleid Omgevingsdienst Rivierenland |
Citeertitel | Privacybeleid Omgevingsdienst Rivierenland |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Aanpassingswet Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
21-08-2020 | nieuwe regeling | 29-06-2020 |
Dit privacybeleid beschrijft hoe de Omgevingsdienst Rivierenland (ODR) invulling geeft aan de wettelijke eisen uit de Algemene Verordening Gegevensbescherming (AVG) op het gebied van werken met persoonsgegevens. Dit geldt voor persoonsgegevens van klanten en medewerkers van de ODR. ODR geldt hierbij als verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG).
Het privacybeleid is onlosmakelijk verbonden met het informatieveiligheidsbeleid.
Dit beleid is van toepassing op de gehele organisatie, processen en systemen van de ODR.
De AVG regelt het algemene kader voor de omgang met persoonsgegevens binnen de landen van de Europese unie. De uitgangspunten van de AVG zijn:
Het bestuur, het management en alle medewerkers hebben een cruciale rol bij het waarborgen van privacy. Dit beleid beschrijft de taken, rollen en verantwoordelijkheden van:
Om privacy als integraal aspect te borgen binnen de taakuitvoering en naast de strategische kaders de AVG praktisch en laagdrempelig toe te kunnen passen door medewerkers in de dagelijkse werkzaamheden zijn naast dit beleid spelregels vastgesteld Deze spelregels zijn terug te vinden in het document “Spelregels ODR werken met persoonsgegevens”.
Binnen ODR worden persoonsgegevens verwerkt en gebruikt. Alle gegevens of informatie die naar een persoon te herleiden is, is een persoonsgegeven. Ook gegevens die indirect iets over een persoon zeggen, zijn persoonsgegevens.
Dit beleid geldt voor alle persoonsgegevens van klanten, ketenpartners en medewerkers van de ODR. Het uitgangspunt van het gebruik van persoonsgegevens is dat uitsluitend persoonsgegevens worden verwerkt en gebruikt die noodzakelijk zijn voor de uitvoering van de taken van de ODR. Dit zijn de taken die de ODR uitvoert in mandaat voor de deelnemende gemeenten en de Provincie Gelderland en de taken die de ODR uitvoert als openbaar lichaam in het kader van de Wet gemeenschappelijk regelingen (Wgr) en als werkgever. ODR geldt hierbij als verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG).
Dit beleid is van toepassing op de gehele organisatie, alle organisatieonderdelen, alle processen , informatiesystemen en persoonsgegevens van ODR. Het borgen van de privacy is onlosmakelijk verbonden met informatiebeveiliging. Dit privacybeleid is in lijn met het algemene beleid van de ODR, de relevante nationale en Europese wet- en regelgeving.
1. Doelstellingen van het beleid
Doelstelling van het beleid is dat op een verantwoordelijke wijze en binnen wettelijke kaders met privacygevoelige gegevens wordt omgegaan. Het wettelijk kader voor bescherming van persoonsgegevens wordt - naast vele specifieke wetten - gegeven door de AVG. De eisen die de AVG stelt aan het verwerken van persoonsgegevens zijn dan ook zorgvuldig geïmplementeerd binnen ODR.
De ODR wil hiermee bereiken dat:
Begrippen die voor een goede uitvoering van het privacybeleid van groot belang zijn en worden gehanteerd binnen de AVG zijn:
Functionaris Gegevensbescherming (FG): de FG is de interne toezichthouder op de verwerking van persoonsgegevens. De FG moet in alle onafhankelijkheid zijn werkzaamheden uit kunnen voeren en ontvangt daarbij geen instructies van opdrachtgevers of verwerkers. Hij is aangemeld bij de AP als contactpersoon en aanspreekpunt voor de meldingen van datalekken. Hij functioneert als tussenpersoon tussen verschillende belanghebbenden en is daarmee ook een verlengstuk van de AP. De FG van de ODR is ook FG van de overige Gelderse Omgevingsdiensten.
Governance ; de wijze waarop de daadwerkelijke implementatie van richtlijnen en strategie is gegarandeerd, zodat vereiste processen op de juiste manier worden gevolgd om te kunnen voldoen aan de wet- en regelgeving. Governance bevat het definiëren van rollen en verantwoordelijkheden, meten en rapporteren, nemen van acties om kwesties op te lossen.
Inbreuk op persoonsgegevens (datalek):een inbreuk op de beveiliging die al dan niet per ongeluk op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Persoonsgegevens: alle informatie over een persoon of informatie die naar een persoon te herleiden is. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens. Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens, minder voor de hand liggende gegevens en gevoelige gegevens. Voorbeelden van persoonsgegevens:
° gegevens over inkomen, bezittingen en schulden
° gegevens over ras / etnische afkomst
° gegevens over godsdienst of levensovertuiging
° strafrechtelijke veroordelingen en daarmee verband houdende veiligheidsmaatregelen
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, standaardiseren of combineren, afschermen, wissen of vernietigen van gegevens. Ook het publiceren van informatie op het internet kan zo’n verwerking zijn.
Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die of dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. ODR heeft in de praktijd te maken met meerdere verwerkers waarmee verwerkersovereenkomsten zijn afgesloten.
Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst die of een ander orgaan dat, allen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In de relatie met de deelnemers in de gemeenschappelijke regeling van de ODR moet de ODR worden beschouwd al verwerkingsverantwoordelijke. Dat betekent dat ODR zelf verantwoordelijk is voor de naleving van de AVG en daarop aanspreekbaar is.
2. Juridisch kader – basiseisen uit de AVG
Bij de verwerking van persoonsgegevens staat bescherming van de persoonlijke levenssfeer van de betrokkenen voorop. Er moet immers worden voorkomen dat er op de persoonlijke levenssfeer van betrokkene wordt ingebroken.
De AVG is het algemene kader voor de omgang met persoonsgegevens binnen de Europese Unie. De AVG is de hoogste wetgeving voor privacybescherming en fungeert als een parapluwet die van toepassing is op alle verwerkingen van persoonsgegevens door zowel bedrijven als overheden.
2.1 De uitgangspunten van de AVG
De uitgangspunten van de AVG zijn:
Rechtmatigheid, behoorlijkheid, transparantie
Verwerking op rechtmatige, behoorlijke en transparante wijze (artikel 5 lid 1 sub a AVG).
ODR verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor een voorafgaand bepaald doel. ODR streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
De AVG schrijft voor dat gegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel waar ze voor nodig zijn. Dit doel wordt beschreven in verschillende wetten, waardoor de bewaartermijnen van persoonsgegevens uiteen lopen.
Integriteit, vertrouwelijkheid en communicatie
ODR gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. ODR zorgt voor passende beveiliging van persoonsgegevens Betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. ODR maakt daarom inzichtelijk op welke wijze persoonsgegevens worden verwerkt en beheerd. Dit is vastgelegd in het verwerkingsregister en de privacyverklaring.
Een rechtstreeks gevolg van het uitvoeren van wettelijke taken en regelingen is het verwerken van persoonsgegevens. ODR deelt alleen persoonsgegevens als zij hiervoor een wettelijke grondslag heeft. In andere gevallen vragen wij hiervoor toestemming. Een betrokkene moet weten dat zijn of haar gegevens worden verwerkt worden wanneer een melding of aanvraag wordt gedaan. Het is hierom van belang dat ODR de betrokkene informeert hoe zijn of haar gegevens worden verwerkt.
Als wij informatie laten verwerken door derden dan maken wij hierover afspraken.
Verzoeken van betrokkenen op het gebied van rechten zoals ‘het recht om vergeten te worden’, ‘het recht op inzage’ en ‘ het recht op rectificatie’ kunnen zonder belemmeringen worden gedaan bij ODR. De wijze waarop betrokkenen een beroep kunnen doen op hun rechten, staat beschreven in de privacyverklaring. De privacyverklaring is gepubliceerd op de website van de ODR.
3. Organisatie, taken en verantwoordelijkheden
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot het onderwerp ‘privacy’ op welke plaatsen belegd zijn binnen de organisatie. Het dagelijks bestuur, het managementteam, de coördinatoren en alle medewerkers hebben een cruciale rol bij het waarborgen van privacy. Bewustwording is essentieel voor het borgen van privacy in de organisatie. Het is belangrijk dat iedereen die werkt met privacygevoelige informatie zich bewust is van het belang om hier zorgvuldig mee om te gaan. Op basis hiervan zet het MT dit beleid voor privacy op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het MT geeft een duidelijke richting aan het onderwerp ‘privacy’ en demonstreert dat zij bewust omgaan met privacy en bescherming van persoonsgegevens ondersteunt en zich hierbij betrokken voelt. Zij draagt het belang van ‘privacy’ uit, handhaaft het privacybeleid van en voor de hele ODR.
De tweede lijn (FG, privacycoördinator, organisatiejurist en informatiemanager ondersteunt, adviseert, coördineert en bewaakt of het MT zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne) auditor van een objectief oordeel voorzien met mogelijkheden tot verbetering.
De rollen, taken en verantwoordelijkheden zijn samengevat in bijlage 1, governance gegevensbescherming. De inrichting van de governance op de gebieden van privacy (AVG) en informatieveiligheid overlapt zodanig dat hiervoor één governancedocument is opgesteld.
De governance is ingericht volgens de onderstaande uitgangspunten:
Iedere medewerker, zowel vast als tijdelijk, intern of extern, is verplicht zorgvuldig en bewust met persoonsgegevens en privacy om te gaan. Daarnaast moet iedere medewerker, zowel vast als tijdelijk, intern of extern bekend zijn met de protocollen rondom incidenten en datalekken, ook zijn zij bekend met de spelregels “werken met persoonsgegevens”. Bij vermeende incidenten of inbreuken maken zij hier direct melding van.
Bij privacybewust werken is de mens de zwakste schakel, alle medewerkers hebben onder ander de volgende verantwoordelijkheden:
3.1.5 Functionaris Gegevensbescherming
Voor onafhankelijk advies, toezicht en controle op de kwaliteit van de uitvoering van het privacybeleid hebben de omgevingsdiensten Gelderland een FG aangesteld. De FG heeft een onafhankelijke positie in de organisatie. De werkzaamheden die een FG uitvoert staan genoemd in artikel 39 AVG. De FG van de omgevingsdiensten Gelderland is door de directeuren van de Gelderse omgevingsdiensten aangewezen.
De FG heeft een adviserende en toezichthoudende rol op de uitvoering van de AVG en is de contactpersoon van de Autoriteit Persoonsgegevens (AP).
3.2 Controle en verantwoording
Dit Strategisch Beleid is een verantwoordelijkheid van het dagelijks bestuur van de ODR. Het MT is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over het onderwerp privacy aan respectievelijke portefeuillehouders. Het MT rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.
De controle en verantwoording van informatieveiligheid valt uiteen in twee onderdelen:
Over naleving van de AVG rapporteert de FG jaarlijks aan het dagelijks bestuur. De rapportage bevat elementen waaruit duidelijk wordt op welke onderwerpen aan de AVG wordt voldaan en waar verbetering nodig is. Hieruit volgen aanbevelingen waarbij de prioriteit is weergegeven. Door onderdelen die verbetering vereisen uit te voeren neemt de Omgevingsdienst verantwoordelijkheid om aan de AVG te voldoen.