| Organisatie | Zaanstad |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Beleid Privacy Zaanstad |
| Citeertitel | Beleid Privacy Zaanstad |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 10-11-2020 | Nieuwe regeling | 18-08-2020 | 2020/16288 |
2.1 Waarom hebben we beleid voor Privacy?
2.2 Voor wie is het beleid bedoeld?
2.3 Welke wettelijke kaders zijn van toepassing?
4Samenhang Privacy en Informatieveiligheid
5.3 Processen, procedures en techniek
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. Deze verordening is de opvolger van de Wet bescherming persoonsgegevens. Deze wet was gebaseerd op de voorganger van de AVG, de Europese dataprotectierichtlijn (95/46/EG).
De AVG zorgt samen met de Uitvoeringswet AVG onder andere voor versterking en uitbreiding van de privacyrechten voor betrokkenen met meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken.
De AVG legt de verantwoordelijkheid bij ons als organisatie om aan te tonen dat wij aan de privacyregels voldoen. Door te voldoen aan de verantwoordingsplicht (accountability) leveren wij een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
Het inrichtingsmodel voor de aanpak van Privacy in Zaanstad is gebaseerd op het model zoals in het onderstaande plaatje is weergegeven.
Het Waarom van Privacy wordt behandeld in het visie document voor de gemeente Zaanstad. De visie op Privacy geeft richting aan de manier waarop we met privacy en de bescherming daarvan willen omgaan. De visie ondersteunt gemeente Zaanstad bij het opstellen van beleidskaders. Deze kaders zorgen ervoor dat we de uitvoering in lijn met de visie oppakken. De beleidskaders bieden ondersteuning bij het verrichten van de opdrachten, activiteiten en projecten en bij het toetsen van de uitvoering of conform deze kaders wordt gewerkt. Ook het Governance model, dat onder paragraaf 5.2 wordt behandeld, kent eenzelfde inrichting. Zo sluiten de verschillende lagen van sturen tot en met uitvoeren goed op elkaar aan.
2.1Waarom hebben we beleid voor Privacy?
De visie op Privacy geeft aan welke pijlers wij belangrijk vinden. Door een toekomstgerichte, trendbewuste en veilige gemeente te zijn dragen we bij aan de democratische rechtsstaat. Dit beleid is bedoeld om te laten zien waarop we willen investeren in kennis en kunde. Zo kunnen we actuele vraagstukken rondom gegevensbescherming adequaat aanpakken.
2.2Voor wie is het beleid bedoeld?
Het beleid is van toepassing op de hele organisatie, op alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente Zaanstad. Het college stelt het beleid vast.
2.3Welke wettelijke kaders zijn van toepassing?
Verwerkingen van persoonsgegevens zijn gebonden aan wet- en regelgeving. In deze wet- en regelgeving staan bepalingen die aangeven hoe met de bescherming van persoonsgegevens moet worden omgegaan. De belangrijkste wettelijke kaders staan in:
Naast de wet- en regelgeving van buiten kennen we ook eigen kaders die van invloed zijn op de verwerkingen van persoonsgegevens:
Vanuit de visie op Privacy zijn ambities en uitgangspunten afgeleid. Ze staan beschreven in het Visie document. Een samenvatting is hier opgenomen.
We leggen onze ambities hoog in het digitaliseren en automatiseren van de werkprocessen. Dit biedt voordelen voor onze inwoners, bedrijven en belanghebbenden. Digitaliseren bevordert gemak en kan procedures vergemakkelijken en versnellen. Omdat niet alle inwoners mee kunnen komen in de digitale ontwikkelingen, houden we de papieren processen in stand.
In maatschappelijke ontwikkelingen staat privacy soms onder druk. Er kleven soms privacy dilemma’s, -risico's of ethische vraagstukken aan de inzet van techniek. Wij willen op een veilige, verantwoorde en ethische manier omgaan met onze data.
Inwoners, bedrijven en belanghebbenden moeten erop kunnen vertrouwen dat we zorgvuldig met hun gegevens omgaan1. Wij zijn een betrouwbare overheid, zeker omdat mensen niet altijd de keuze hebben om hun (soms zeer privacygevoelige) gegevens aan ons te geven.;
4Samenhang Privacy en Informatieveiligheid
Privacy en Informatiebeveiliging zijn twee terreinen die met elkaar verbonden zijn. In de bescherming rond persoonsgegevens hebben beide een eigen en een gezamenlijke taak.
Dit blijkt ook uit de AVG (art. 5, lid 1, f) waarin staat dat persoonsgegevens op een veilige manier verwerkt moeten worden door het nemen van de juiste technische en organisatorische maatregelen. Maatregelen die ervoor moeten zorgen dat het verwerken van persoonsgegevens op een passende beveiliging kan rekenen. Op het bijgevoegde plaatje is de overlap aangegeven.
In het onderstaande model is aangegeven hoe beleid, governance, processen, cultuur en gegevens zich tot elkaar verhouden. We gebruiken het als een sturingsmodel binnen het werkgebied van Privacy.
De kaders uit dit privacybeleid vormen de uitgangspunten voor alle documenten die worden ontwikkeld om richting te geven aan de dagelijkse praktijk.
Er zijn ook verschillende landelijke initiatieven voor wetsontwikkeling die het mogelijk maken gegevens tussen verschillende werkvelden uit te wisselen. Deze nieuwe wetten vragen ook om beleidsregels te ontwikkelen die de toepasbaarheid in de gemeente vergemakkelijken. Hierbij valt te denken aan gegevensuitwisseling in het sociaal domein en in de bestrijding van ondermijning.
Beleid wordt jaarlijks getoetst en bijgesteld op basis van een PDCA cyclus.
De Governance rond Privacy wordt uitgevoerd volgens het model "Three Lines of Defense". In de onderstaande figuur is dit weergegeven.
De Governance is verder uitgewerkt waarbij:
Om de communicatie en overleggen in het Governancemodel vorm te geven zijn er 3 overleg structuren.
Het Strategisch Overleg Privacy Informatieveiligheid (SOPI) wordt 4 x per jaar gehouden. Organisator van het overleg zijn FG en CISO. Deelnemers aan het overleg zijn Sectorhoofd bedrijfsvoering, Afdelingsmanager Audit&Control, Afdelingshoofd Juridische Zaken en Afdelingshoofd IBT. De Concern Controller neemt deel afhankelijk van het onderwerp. Tijdstip van het overleg is een week voorafgaand aan de DO voortgangsrapportage.
Het Informerend Overleg wordt 2 x per jaar gehouden. De organisatie van dit overleg ligt in handen van IBPO. Het overleg heeft tot doel de keyspelers van de organisatie te informeren over onderwerpen rond privacy en informatieveiligheid en informatie op te halen uit de organisatie. Deelnemers zijn IBPO, FG, CISO, Integriteit, Facilitair, Strategie, Business Control BV, Business Control MO, Business Control SO, en verder nog te bepalen.
Naast de Governance overleggen vinden er ook andere overleggen plaats. Het gaat om overleggen waarin de privacy officers de accenthouders ondersteunen.
Rollen en verantwoordelijkheden rond Privacy
In de onderstaande tabel zijn de rollen en verantwoordelijkheden met betrekking tot privacy opgenomen.
Domein directeur, Sectorhoofden, Management teams, Afdelingsmanagers, Teammanagers, Proceseigenaren | |
Functionaris Gegevensbescherming (FG) | |
De gemeenteraad is zelf verantwoordelijk voor het borgen van de privacy binnen de griffie en de door hen ingestelde commissies.
Daarnaast kan de gemeenteraad door het college worden geïnformeerd over de staat van Privacy in de gemeente. Jaarlijks brengt de FG een verslag uit waarin die staat wordt toegelicht vanuit het perspectief van de onafhankelijke toezichthouder.
De burgemeester is voor de taakuitoefening een eigen bestuursorgaan en die hoedanigheid verantwoordelijk voor een zorgvuldige verwerking van persoonsgegevens in de eigen processen. De burgemeester neemt maatregelen om te waarborgen en aan te kunnen tonen dat de verwerking van persoonsgegevens in overeenstemming met de AVG wordt uitgevoerd.
De directie (directeur van de organisatie) is voor het bestuur van de gemeente ambtelijk opdrachtnemer en eindverantwoordelijk voor de uitvoering van de taken in de organisatie rond Privacy. De directie stimuleert de kennisvergaring en bewustwording bij de medewerkers.
Sectorhoofden, afdelingsmanagers, teammanagers
De sectorhoofden, afdelingsmanagers en teammanagers zien toe op de feitelijke uitvoering van kennisvergaring en bewustwording. Zij zorgen voor het aanstellen van "Accenthouders" die hen in de 1e lijn ondersteunen in de dagelijkse naleving van de AVG.
Functionaris Gegevensbescherming
Rapportages en verantwoording rond Privacy
Op diverse niveau’s en vele gremia vindt er toezicht en verantwoording plaats over de uitvoerring van het privacybeleid. Deels zijn deze al benoemd, maar hier een overzicht van de verantwoordingen en communicatie met alle verantwoordelijken:
5.3Processen, procedures en techniek
De processen van de gemeente Zaanstad zijn beschreven in het Proceshuis dat is opgetekend in Engage. Aan een proces is een Proceseigenaar gekoppeld. Hiermee is inzichtelijk en controleerbaar onder wiens verantwoordelijkheid het proces wordt uitgevoerd. De Proceseigenaar heeft een verantwoordelijkheid in de naleving van de regels van de AVG binnen het proces.
Daar kunnen procedures voor worden opgesteld en werkinstructies.
Voor de invulling van technische maatregelen wordt verwezen naar het Informatie Beveiligingsbeleid dat wordt opgesteld door de CISO.
Om op een veilige manier met persoonsgegevens om te gaan zijn, al in het implementatieproject AVG, de volgende normen en uitgangspunten opgesteld.
Voor alle verwerkingen van persoonsgegevens beschikt Zaanstad over een wettelijke grondslag. De gemeente heeft inzichtelijk welke persoonsgegevens zij bijhoudt, voor welk doel zij deze bijhoudt, waar ze vandaan komen en met wie ze worden gedeeld. De gemeente houdt een Register van Verwerkingen bij waarin dit beginsel is uitgewerkt.
Bij de verwerking van persoonsgegevens wordt erop toegezien dat een inbreuk op de persoonlijke levenssfeer van de betrokkenen zoveel als mogelijk wordt beperkt. Er wordt altijd nagegaan of het doel ook met minder ingrijpende middelen kan worden bereikt.
De inbreuk op de belangen van betrokkenen mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel.
Rechtmatigheid, behoorlijkheid, transparantie
De gemeente heeft processen ingericht zodat personen, van wie de organisatie (bijzondere) persoonsgegevens verwerkt, hun rechten kunnen uitoefenen. Personen, van wie de gemeente persoonsgegevens verwerkt, worden tijdig en begrijpelijk geïnformeerd over de verwerking.
Transparantie heeft ook beperkingen wanneer er sprake is van legitieme uitzonderingen. Dit kan zijn in situaties die betrekking hebben op de openbare orde en veiligheid. De gemeente kan, met inachtneming van wet- en regelgeving, een voorbehoud maken op het transparantiebeginsel.
Data Privacy Impact Assessments (DPIA)
De gemeente Zaanstad voert risicoanalyses uit (DPIA) op verwerkingen die mogelijk een verhoogd risico opleveren.
Privacy by Design en Privacy by Default
De gemeente Zaanstad houdt bij de start van het ontwerpen of inrichten van projecten, informatiesystemen, datasets rekening met Privacy en Informatiebeveiliging.
De gemeente Zaanstad heeft de inrichting, instellingen van projecten, programma’s, website(s) of diensten dusdanig georganiseerd dat maximale privacy en informatiebeveiliging wordt geborgd.
Bewust worden en bewust blijven moet in het DNA van de organisatie gaan zitten. Hiervoor worden trainingen en bijeenkomsten georganiseerd.
De gemeente zet in op het gebruik van e-Learning als instrument in het bewustmaken van medewerkers in de omgang met informatie. Medewerkers kunnen de modules op eigen tempo volgen.
Met regelmaat worden instaptrainingen georganiseerd om medewerkers kennis te laten maken met e-Learning en hen daarna in staat te stellen de modules zelf af te ronden.
De Privacy Officers organiseren workshops waarin zij dieper ingaan op de beginselen van de AVG en wat dit betekent voor de werkzaamheden in de lijn.
Informatiebijeenkomst Accenthouders
Deze bijeenkomst wordt 2 x per jaar georganiseerd om actualiteiten rond wetgeving en verdiepingsvragen rond Privacy te behandelen. IBPO presenteert hier haar jaarplannen en speerpunten.
De gemeente gaat zorgvuldig om met data en gegevens. De inwoners van de gemeente en ook de medewerkers van de organisatie mogen ervan uitgaan dat de gegeven informatie vertrouwelijk wordt behandeld.
Verwerkersovereenkomsten met derden
De gemeente maakt gebruik van derde partijen in de uitvoering van werkzaamheden waartoe zij zelf geen mogelijkheden bezit. Hierbij valt te denken aan leveranciers van software, netwerkdiensten, dataopslag. De gemeente maakt alleen gebruik van derde partijen als verwerkers van persoonsgegevens (aantoonbaar) voldoende garanties kunnen bieden om de verwerking van (persoons)gegevens te laten voldoen aan de AVG-vereisten. Hiervoor wordt zoveel mogelijk gebruik gemaakt van de modelovereenkomst van VNG-realisatie.
De gemeente verwerkt alleen die persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. Er wordt gestreefd naar minimale gegevensverwerking.
De gemeente bewaart persoonsgegevens niet langer dan nodig is. Het gebruiken en bewaren van persoonsgegevens kan nodig zijn om gemeentelijke taken goed uit te voeren of om wettelijke verplichtingen na te kunnen leven. Voor de bewaartermijnen wordt aangesloten bij de "Selectielijst gemeenten en intergemeentelijke organen 2017".
Daar waar wet- en regelgeving, zoals de selectielijst, geen uitsluitsel geeft over bewaring van persoonsgegevens, dienen die persoonsgegevens volgens de AVG geen dag langer bewaard te worden en terstond te worden vernietigd.
In de uitvoering van werk rond Privacy wordt jaarlijks een Uitvoeringsplan gemaakt. Het Uitvoeringsplan en de onderwerpen die voor het uitvoeringsjaar belangrijk zijn, worden opgenomen in een zogenaamde Roadmap. De Roadmap geeft houvast in de uitvoering, de prioritering van de onderwerpen en het bewaken van de voortgang. Het geeft tevens houvast in de uitvoering, zodat opgaan in de dynamiek van de dag zoveel mogelijk wordt voorkomen.