Organisatie | Zwolle |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacybeleid gemeente Zwolle 2020-2023 |
Citeertitel | Privacybeleid gemeente Zwolle 2020-2023 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Bestuurlijke organisatie |
Externe bijlage | Bijlage 1 bij privacybeleid |
Regels t.a.v. het privacybeleid van de gemeente Zwolle
N.v.t.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
21-01-2021 | wijziging hoofdstuk 2 punt 9 | 12-01-2021 | cb 2021-01.12 | ||
24-11-2020 | 21-01-2021 | nieuwe regeling | 17-11-2020 | cb 2020-11.17 |
Gemeente Zwolle, bekendmaking Privacybeleid gemeente Zwolle 2020-2023
Burgemeester en wethouders van de gemeente Zwolle besluiten 17 november 2020:
1. Het Privacybeleid gemeente Zwolle 2020-2023 vast te stellen.
2. De Regeling bescherming persoonsgegevens gemeente Zwolle in te trekken.
Het Privacybeleid gemeente Zwolle 2020-2023 treedt 1 dag na bekendmaking in werking.
6 DPIA (gegevensbeschermingseffectbeoordeling)
Bijlage 1: Soorten persoonsgegevens, doeleinden en bewaartermijnen
Autoriteit Persoonsgegevens (AP): de AP is de landelijke toezichthouder op het gebied van gegevensbescherming.
AVG (Algemene Verordening Gegevensbescherming): Europese privacywetgeving waarin de belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn geregeld. In sectorale wetgeving zoals de WMO of Participatiewet kunnen nadere regels voor de omgang met persoonsgegevens zijn opgenomen ter uitvoering van de betreffende wet.
Betrokkenen: degene wiens persoonsgegevens worden verwerkt. Dit kunnen bijv. inwoners of medewerkers zijn.
Datalek: bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens.
DPIA (Data Protection Impact Assessment): ook wel bekend als PIA of gegevenseffectbeoordeling. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Functionaris voor de gegevensbescherming (FG): de FG is de onafhankelijk toezichthouder op de omgang met persoonsgegevens binnen de gemeente. De FG controleert en adviseert de gemeente op het gebied van gegevensbescherming.
Grondslag: de juridische basis voor de gegevensverwerking.
Persoonsgegevens: ieder gegeven dat is te herleiden tot een individuele persoon. Het gaat niet alleen om vertrouwelijke gegevens, maar om ieder gegeven dat te herleiden is tot een bepaalde persoon, zoals naam, adres, geboortedatum, maar ook kenteken en telefoonnummer.
Privacy Officer (PO): een privacy-adviseur die de gemeente adviseert op casusniveau bij gegevensbescherming binnen de organisatie.
Privacy by Design (Pbd): concept dat inhoudt dat privacy wordt meegenomen tijdens de ontwerpfase van een informatiesysteem of nieuw product.
Privacy by Default (Pbd): concept dat aangeeft dat instellingen van programma’s, apps, websites, diensten of apparaten standaard zodanig zijn ingesteld dat maximale privacybescherming wordt nagestreefd.
Verwerken: alle handelingen die met persoonsgegevens kunnen worden verricht, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een derde en vernietigen.
Verwerker: een verwerker is een persoon of organisatie die persoonsgegevens verwerkt namens de gemeente Zwolle.
Verwerkingsverantwoordelijke: de eindverantwoordelijke voor de verwerking van persoonsgegevens. In de gemeente Zwolle is het college van burgemeester en wethouders meestal verantwoordelijk voor het verwerken van persoonsgegevens. Dit betekent dat het college bepaalt wat er met de gegevens gebeurt. De burgemeester of gemeenteraad kunnen ook afzonderlijk verwerkingsverantwoordelijke zijn.
Verwerkingsregister: in het verwerkingsregister staat informatie opgesomd van alle processen binnen de gemeente waarbij persoonsgegevens worden verwerkt. Zoals de doeleinden, de soort persoonsgegevens en de bewaartermijnen.
Verwerkersovereenkomst: als een derde partij persoonsgegevens verwerkt voor de gemeente Zwolle dienen hiermee afspraken te worden gemaakt in de vorm van een verwerkersovereenkomst. Hierin staat onder andere opgenomen hoe de bescherming en verwerking van persoonsgegevens is geregeld.
Iedereen heeft recht op privacy. Binnen de gemeente Zwolle wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij inwoners voor het effectief uitvoeren van de gemeentelijke wettelijke taken. De inwoner moet erop kunnen vertrouwen dat de gemeente Zwolle zorgvuldig en veilig met haar persoonsgegevens omgaat. In een tijd van technische ontwikkelingen, innovatieve voorzieningen en een steeds meer digitale (lokale) overheid is bescherming van privacy een in toenemende mate belangrijk onderwerp. Dit geldt ook voor Zwolle, een stad met grote ambities ten aanzien van digitalisering van de samenleving.
De gemeente geeft met dit beleid een duidelijke richting aan gegevensbescherming op haar eigen Zwolse wijze. Zij toont aan dat ze de privacy van haar inwoners, medewerkers en (keten)partners waarborgt, beschermt en handhaaft.
Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente Zwolle. Het beleid wordt jaarlijks geëvalueerd en indien nodig herzien, maar in ieder geval drie jaarlijks opnieuw vastgesteld.
De onderwerpen die in dit document onder andere aan de orde komen zijn het juridisch kader waarbinnen de gemeente Zwolle functioneert, basisregels voor een veilige en rechtmatige verwerking van persoonsgegevens, de governance, het verwerkingsregister, DPIA’s en de wijze waarop Zwolle uitvoering geeft aan de rechten van betrokkenen.
Bij het functioneren als gemeentelijke organisatie is de gemeente Zwolle voor wat betreft privacywetgeving in de eerste plaats gebonden aan de normen voor verwerking van persoonsgegevens die uit de AVG en de UAVG voortvloeien.
Voorts is de gemeente Zwolle als bestuursorgaan gebonden aan de algemene regels van bestuursrecht zoals onder meer vastgelegd in de Awb.
Ook neemt de gemeente Zwolle voor het bewaren en vernietigen van persoonsgegevens de Archiefwet in acht.
In haar hoedanigheid als verwerkingsverantwoordelijke houdt de gemeente zich aan alle relevante wet- en regelgeving waaronder:
De gemeente Zwolle zorgt ervoor dat al haar medewerkers op rechtmatige wijze persoonsgegevens verwerken tijdens de uitvoering van hun taken. In dit hoofdstuk wordt beschreven hoe dit organisatorisch wordt geborgd.
Alle medewerkers binnen de gemeente Zwolle zijn verantwoordelijk voor een rechtmatige omgang met persoonsgegevens. Hiertoe zijn de volgende basisregels opgesteld:
Daar waar toestemming geldt als wettelijke grondslag voor een verwerking wordt er voldoende begrijpbare informatie gegeven aan een inwoner. Toestemming door inwoners wordt te alle tijde in vrije wil gegeven. Gegeven toestemming kan aantoonbaar worden gemaakt middels een toestemmingsformulier of aantekening in een dossier.
Medewerkers maken afspraken met derde partijen als daarmee persoonsgegevens worden uitgewisseld in de vorm van een verwerkersovereenkomst, convenant of soortgelijke overeenkomst. Hiermee wordt eenzelfde niveau van beveiliging gewaarborgd. Eventuele gemaakte afspraken ontslaan de gemeente niet van de noodzaak tot het hebben van een wettelijke grondslag.
Deze basisregels vormen ook het kader bij het vaststellen of aanpassen van de diverse werkprocessen binnen de organisatie.
Een rechtmatige en zorgvuldige omgang met persoonsgegevens dient blijvend onder de aandacht te worden gebracht bij medewerkers van de gemeente Zwolle.
De FG’s en de Privacy Officer van de gemeente Zwolle bevorderen via training, opleiding en op andere wijze dat medewerkers, afdelingshoofden, MTZ en bestuur van de gemeente Zwolle op de hoogte is en blijft van de voor hen geldende uitgangspunten en richtlijnen ten aanzien van het beschermen van persoonsgegevens.
Daarnaast dienen medewerkers en afdelingshoofden regelmatig in teamverband de keuzes die zij maken ten aanzien van het omgaan met persoonsgegevens te bespreken. Dit zorgt ervoor dat best-practices tot een uniforme werkwijze van de gemeente Zwolle leiden.
Binnen de gemeente Zwolle is het college als bestuur eindverantwoordelijk voor het naleven van de AVG. De FG heeft daarin een toezichthoudende en adviserende rol en een onafhankelijke positie rechtstreeks onder het college. Het MTZ is als directie ambtelijk eindverantwoordelijk voor de uitvoering. De afdelingshoofden zijn verantwoordelijk voor de naleving van dit beleid en voor de inrichting van de processen binnen hun afdeling. De privacy officer ondersteunt en adviseert de organisatie hierbij. Tot slot zijn medewerkers ook zelf verantwoordelijk voor een juiste omgang met persoonsgegevens bij hun werkzaamheden. In de volgende hoofdstukken worden de verantwoordelijkheden per onderwerp nader toegelicht.
Het verwerkingsregister is een belangrijk brondocument voor een zorgvuldige omgang van persoonsgegevens en tevens een wettelijke verplichting onder de AVG. In dit document wordt onder andere aangegeven welke gegevensverwerkingen er plaatsvinden binnen de organisatie, voor welke doelen, welke persoonsgegevens daarbij worden gebruikt en welke bewaartermijn van toepassing is. Elke afdeling binnen de gemeente Zwolle beschikt over een eigen verwerkingsregister dat terugkomt in een totaal overzicht. Voor de borging van dit document gelden de volgende uitgangspunten:
6 DPIA (gegevensbeschermingseffectbeoordeling)
Een DPIA is een instrument waarmee vooraf de privacy risico’s van een gegevensverwerking in kaart kunnen worden gebracht. Onder de AVG is de uitvoering van een DPIA verplicht indien een gegevensverwerking een hoog privacy risico met zich meebrengt. Daarnaast zijn er een aantal criteria opgesteld door Europese privacy toezichthouders waaronder een DPIA in bepaalde gevallen dient te worden uitgevoerd. Gegevensverwerkingen waarbij voorafgaand in ieder geval een DPIA dient plaats te vinden zijn onder andere het gebruik van Smart-City-toepassingen, het op grote schaal en systematisch volgen van mensen in een publiek toegankelijk gebied (bijv. met cameratoezicht) of het op grote schaal verwerken van bijzondere of strafrechtelijke persoonsgegevens. Voor de uitvoering van een DPIA door de gemeente Zwolle gelden de volgende uitgangspunten:
Onder de AVG hebben inwoners een aantal nieuwe rechten voor wat betreft het gebruik van hun gegevens. Waaronder een recht op inzage, informatie en overdraagbaarheid.
De gemeente Zwolle heeft hoge digitale ambities en vindt het belangrijk zich open en transparant op te stellen richting haar inwoners. Inwoners dienen daarbij zo veel mogelijk zeggenschap te hebben over hun eigen gegevens. Dit leidt tot de volgende uitgangspunten:
Ditzelfde geldt voor verzoeken om verbetering, aanvulling of verwijdering van persoonsgegevens. Er wordt naar gestreefd betrokkenen zoveel mogelijk zeggenschap te geven over hun gegevens. Betrokkenen kunnen gebruik maken van deze rechten via het aanvraagformulier of door een bericht te sturen naar de FG via het emailadres fg@zwolle.nl;
Controle op de uitvoering van dit beleid en de AVG als geheel valt in de eerste plaats onder de toezichthoudende functie van de FG’s.
Zij toetsen of binnen de afdelingen van de gemeente Zwolle gewerkt wordt conform dit privacybeleid en de AVG. Hierover leggen zij verantwoording af aan het MTZ, het college en de raad.
Indien nodig maken de FG’s gebruik van hun bevoegdheid om in te grijpen binnen de organisatie, als een verwerking van persoonsgegevens niet volgens het beleid plaatsvindt en eerder waarschuwingen daaromtrent in de wind zijn geslagen. De gemeente Zwolle stelt haar FG’s in staat effectief toezicht te houden op de mate van gegevensbescherming binnen de organisatie.
De gemeente Zwolle is te allen tijde in staat verantwoording af te leggen omtrent gegevensbescherming binnen haar organisatie richting de raad en de Autoriteit Persoonsgegevens.