Organisatie | Hoorn |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beleid persoonsgegevens |
Citeertitel | Beleid persoonsgegevens 2022 |
Vastgesteld door | gemeenteraad |
Onderwerp | bestuur en recht |
Eigen onderwerp |
In de regeling staat vermeld dat deze inwerking treedt op 1 januari 2022.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
26-02-2022 | nieuwe regeling | 08-02-2022 | 1914857 |
1.1 Waar gaat dit beleid over?
3 Rollen, verantwoordelijkheden
3.1 Gemeenteraad, college, burgemeester
3.2 Directie (algemeen directeur en concernmanagers)
3.4 Functionaris gegevensbescherming
3.7 Medewerker digitale veiligheid
4.1 Register van verwerkingsactiviteiten
4.2 Gegegevensbeschermingseffectbeoordeling
4.3 Gegevensbescherming door ontwerp en standaardinstellingen
Iedereen heeft ‘recht op de eerbiediging van de persoonlijke levenssfeer’1 . Dit is een grondrecht. Hieronder valt het huis, briefwisseling, communicatie, innerlijke leven, lichamelijke integriteit, niet te worden bespied of afgeluisterd en het recht op zorgvuldige behandeling van persoonsgegevens. Dit beleid heeft alleen betrekking op een zorgvuldige behandeling van persoonsgegevens.
Persoonsgegevens die nodig zijn voor voorkoming en opsporing van strafbare feiten door buitengewoon opsporingsambtenaren, worden politiegegevens genoemd. Waar in dit beleid ‘persoonsgegevens’ staat, worden ook politiegegevens bedoeld.
Waar in dit beleid ‘de gemeente’ staat wordt de verwerkingsverantwoordelijke bedoeld (zie paragraaf 3.1).
Het beleid is van toepassing op:
Persoonsgegevens zijn nodig voor onze dienstverlening en het uitvoeren van onze wettelijke taken. De gemeente hecht veel waarde aan een zorgvuldige verwerking van informatie, zeker als het persoonsgegevens betreft.
De komende jaren maken we een volgende stap in het volwassenheidsniveau op het gebied van een zorgvuldige behandeling van persoonsgegevens.
Doel van dit beleid is het beschrijven van kaders voor een zorgvuldige behandeling van persoonsgegevens. Het geeft inwoners inzicht in hoe de gemeente omgaat met hun persoonsgegevens. Intern geeft het richting voor verdere invulling op tactisch en operationeel niveau.
Het ‘recht op de eerbiediging van de persoonlijke levenssfeer’, waaronder een zorgvuldige behandeling van persoonsgegevens is geregeld in:
In de grondwet en verdragen is ook bepaald dat er wetgeving nodig is, die regels stelt voor het verwerken van persoonsgegevens. Binnen de Europese Unie zijn deze regels gesteld in de Algemene Verordening Gegevensbescherming (AVG). Waar de AVG ruimte laat voor nationale keuzes, zijn deze ingevuld in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
De verwerking van persoonsgegevens voor het voorkomen en opsporen van strafbare feiten, valt onder de Wet politiegegevens (Wpg). Aanvullend op de Wpg zijn voor politiegegevens van toepassing:
In specifieke regelgeving is ook invulling gegeven aan de behandeling van persoonsgegevens, zoals:
Informatiebeveiliging is een randvoorwaarde voor een zorgvuldige behandeling van persoonsgegevens. Voor de gehele overheid is een normenkader voor informatiebeveiliging afgesproken waar elke organisatie aan moet voldoen. Dit is de Baseline Informatiebeveiliging Overheid (BIO). Er is een Informatiebeveiligingsbeleid van gemeente Hoorn waarin de rollen, verantwoordelijkheden en maatregelen zijn opgenomen om gegevens te beschermen.
Waar in dit beleid ‘kaders’ staat, worden deze wet- en regelgeving, normen en dit beleid bedoeld.
Dit beleid wordt jaarlijks geëvalueerd en indien nodig geactualiseerd.
Iedereen werkzaam binnen en voor de gemeente is verantwoordelijk voor een zorgvuldige behandeling van persoonsgegevens, conform alle kaders.
We mengen ons niet onnodig in het persoonlijke leven van personen. Waar persoonsgegevens nodig zijn, zorgen we voor een zorgvuldige behandeling van persoonsgegevens. Personen informeren we hier actief over. Ze hebben zeggenschap over hun persoonsgegevens en zo gemakkelijk mogelijk toegang tot hun persoonsgegevens.
3Rollen, verantwoordelijkheden
In dit hoofdstuk zijn de rollen met taken en verantwoordelijkheden voor een zorgvuldige behandeling van persoonsgegevens beschreven.
3.1Gemeenteraad, college, burgemeester
De gemeenteraad, college en burgemeester:
zijn als verantwoordelijk bestuursorgaan ‘verwerkingsverantwoordelijke’2 en daarmee eindverantwoordelijk voor een zorgvuldige behandeling van persoonsgegevens op grond van de AVG. Voor politiegegevens (Wpg) is de werkgever (het college) van de buitengewoon opsporingsambtenaren verwerkingsverantwoordelijke.
2 Artikel 4.7 AVG, 1f Wpg, 1c Bpgboa
De gemeenteraad heeft een controlerende taak ten opzichte van het college en de burgemeester als verwerkingsverantwoordelijke. Het college en de burgemeester leggen verantwoording af aan de gemeenteraad in de cyclusdocyumenten.
3.2Directie (algemeen directeur en concernmanagers)
De directie is verantwoordelijk voor een zorgvuldige behandeling van persoonsgegevens in de ambtelijke organisatie. De directie:
De ondernemingsraad (OR) heeft instemmingsrecht op ontwikkelingen met risico’s voor werknemers waar het gaat om hun persoonsgegevens3 . Bijvoorbeeld controles op prestatie of gedrag. De OR heeft adviesrecht over voorgenomen besluiten tot invoering of wijziging van een belangrijke technologische voorziening4.
3.4Functionaris gegevensbescherming
De verwerkingsverantwoordelijken zijn verplicht een functionaris gegevensbescherming5 aan te wijzen. Deze functionaris6 :
5 Artikel 37 tm 39 AVG, 36 Wpg
6 De FG volgt de Handreiking positionering en taken van de FG (IBD)
Een zorgvuldige behandeling van persoonsgegevens binnen een bedrijfsonderdeel valt onder de verantwoordelijkheid van een teammanager.
Een adviseur persoonsgegevens wordt ook wel een privacy-officer genoemd. Deze functionaris heeft een operationeel uitvoerende rol:
3.7Medewerker digitale veiligheid
Elk team heeft een medewerker digitale veiligheid. Deze medewerker:
Er zijn diverse functies die bijdragen aan een zorgvuldige behandeling van persoonsgegevens. Denk hierbij aan de functionaris informatiebeveiliging, coördinator informatiebeveiliging, bevoegd functionaris Wpg7 , inkoopadviseurs, juridische adviseurs, informatiemanagers, adviseurs interne beheersing, projectleiders, applicatiebeheerders en archiefmedewerkers.
Elke medewerker heeft een eigen verantwoordelijkheid voor een zorgvuldige behandeling van persoonsgegevens. Ze zorgen dat ze op de hoogte zijn van en houden zich aan de kaders en de afspraken over veilig werken.
De gemeente past in ieder geval de in dit hoofdstuk uitgewerkte wettelijk verplichte instrumenten toe. Hierbij wordt een risico gebaseerde aanpak en prioritering gehanteerd.
4.1Register van verwerkingsactiviteiten
De gemeente houdt een register bij met alle verwerkingen van persoonsgegevens. In dit register kunnen AVG en Wpg-verwerkingen worden uitgesplitst. Het register voldoet aan de wettelijke verplichtingen8. Onder andere de doeleinden van de verwerkingen, categorieën van betrokkenen en persoonsgegevens, derden ontvangers, bewaartermijn en beveiligingsmaatregelen zijn hierin opgenomen.
4.2 Gegevensbeschermingseffectbeoordeling
De gemeente voert gegevensbeschermingseffectbeoordelingen9 uit als de behandeling van persoonsgegevens een hoog risico kan opleveren voor de personen van wie de gegevens zijn. Deze beoordeling geeft inzicht in de risico’s en maatregelen die nodig zijn om deze risico’s af te dekken. Het wordt ook wel een Data Protection Impact Assesment (DPIA) genoemd. Elke DPIA wordt voor advies voorgelegd aan de functionaris gegevensbescherming.
4.3Gegevensbescherming door ontwerp en standaardinstellingen
Gegevensbescherming door ontwerp en standaard instellingen10 worden ook wel privacy by design en privacy by default genoemd. Bij veranderingen en vernieuwingen wordt vanaf de inrichting rekening gehouden met een zorgvuldige behandeling persoonsgegevens volgens de kaders. Denk hierbij aan minimaal gebruik van persoonsgegevens en een passende bescherming. Standaardinstellingen zijn zo gekozen dat de dit maximaal wordt geborgd.
10 Artikel 25 AVG en 4a en b Wpg
De gemeente maakt schriftelijke afspraken over de voorwaarden en beveiliging, met externe partijen waarmee persoonsgegevens worden uitgewisseld.
Externe partijen zijn onder te verdelen in 3 categorieen:
De gemeente heeft een procedure voor het melden van een ‘inbreuk in verband met persoonsgegevens’14, ook wel datalek genoemd. Bij een datalek zijn persoonsgegevens mogelijk gezien of gebruikt door personen die dit niet nodig hebben of ze zijn onterecht (niet) vernietigd of verloren gegaan. Elke medewerker is verantwoordelijk om datalekken direct te melden volgens de procedure.
De functionaris gegevensbescherming, functionaris informatiebeveiliging of adviseur persoonsgegevens registreert de datalekken in een register en zorgt voor melding bij de landelijk toezichthouder, indien nodig.
14 Artikel 33 en 34 AVG en 33a Wpg
Personen hebben rechten gekregen om controle te houden over hun persoonsgegevens. Denk aan het recht op informatie, inzage, aanpassing en verwijdering.
Om gebruik te maken van deze rechten kunnen personen een verzoek indienen. Binnen een maand reageert de gemeente op het verzoek.
Als een persoon niet tevreden is over hoe de gemeente met persoonsgegevens omgaat of hoe het verzoek is afgehandeld, kan de persoon bezwaar maken. Ook kan de persoon een klacht indienen bij de Autoriteit Persoonsgegevens.
Personen hebben recht op informatie. Daar kunnen ze een verzoek voor indienen. De gemeente heeft ook een actieve plicht om personen vooraf in duidelijke en eenvoudige taal te informeren. Dit doen we op websites van de gemeente en waar nodig in aanvullende informatie.
De gemeente voert periodiek audits en controles uit om vast te stellen dat persoonsgegevens volgens de kaders zijn behandeld en beveiligd.
De Wet politiegegevens stelt verplicht dat er jaarlijks een interne audit en één keer in de vier jaar een externe audit wordt uitgevoerd16.
15 Artikel 12 tm 22 AVG en 24a tm 28 Wpg
16 Artikel 33 Wpg en Regeling periodieke audit politiegegevens
In de cylcusdocumenten legt het college verantwoording af aan de gemeenteraad over het naleven van de kaders op het gebied van persoonsgegevens.
De functionaris gegevensbescherming brengt jaarlijks verslag uit aan de verwerkingsverantwoordelijken over de ontwikkelingen en aandachtspunten op het gebied van persoonsgegevens.