Zoek regelingen op overheid.nl
Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!
Zutphen

Privacybeleid gemeente Zutphen 2018

Wetstechnische informatie

Gegevens van de regeling
OrganisatieZutphen
OrganisatietypeGemeente
Officiële naam regelingPrivacybeleid gemeente Zutphen 2018
CiteertitelPrivacybeleid gemeente Zutphen 2018
Vastgesteld doorcollege van burgemeester en wethouders
Onderwerpbestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Geen.

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

titel 4.3 van de Algemene wet bestuursrecht

Regelgeving die op deze regeling is gebaseerd (gedelegeerde regelgeving)

Geen.

Overzicht van in de tekst verwerkte wijzigingen

Datum inwerkingtreding

Terugwerkende kracht tot en met

Datum uitwerkingtreding

Betreft

Datum ondertekening

Bron bekendmaking

Kenmerk voorstel

20-05-2022Nieuwe regeling

22-05-2018

gmb-2022-227675

122031

Tekst van de regeling

Intitulé

Privacybeleid gemeente Zutphen 2018

 

 

Ons kenmerk: 122031

 

Het college van burgemeester en wethouders van de gemeente Zutphen,

 

gelet op titel 4.3 van de Algemene wet bestuursrecht;

 

b e s l u i t :

 

vast te stellen het

 

Privacybeleid gemeente Zutphen 2018

 

 

1. Inleiding

 

 

Het verwerken van persoonsgegevens is een belangrijke taak van gemeenten, zo ook van de gemeente Zutphen (hierna ook: de gemeente). De gemeente verzamelt persoonsgegevens en slaat deze op voor de dienstverlening aan burgers, bedrijven en instellingen. Hierbij kan het gaan om de gegevens in de gemeentelijke basisregistratie, de registratie van bijstandsgerechtigden, het bijhouden van gegevens uit bouwaanvragen en het bijhouden van gegevens van mensen met een Wmo- of jeugdhulpvoorziening. De gemeente Zutphen werkt daarnaast samen met een breed scala aan partners in het maatschappelijke veld en deelt daarin, waar dit nodig is voor de uitoefening van haar taak, ook persoonsgegevens.

Uit onder meer gegevens van de Autoriteit Persoonsgegevens en uit de media blijkt dat het verwerken, en dan vooral het niet adequaat verwerken, van persoonsgegevens een bron van ergernis is bij burgers/ inwoners. Dat kan zelfs leiden tot onacceptabele situaties, waarbij bijvoorbeeld iemands identiteit wordt ‘gestolen’ en vervolgens wordt misbruikt.

Een juiste toepassing van de wettelijke regels acht het college van burgemeester en wethouders van groot belang. De gemeente heeft de taak om er voor te zorgen dat de personen over wie de gemeente gegevens bijhoudt (of laat bijhouden), op een passende manier beschermd worden tegen de risico’s van de informatiemaatschappij. Dit privacybeleid vormt een nadere uitwerking van de wettelijke regelgeving.

Het college streeft een zorgvuldige verwerking van persoonsgegevens na. Het beschermen van persoonsgegevens kan overigens niet geborgd worden zonder adequate informatiebeveiliging. Het privacybeleid hangt daarom ook nauw samen met het informatiebeveiligingsbeleid van de gemeente Zutphen, waarin de gemeente het geheel van technische- en organisatorische maatregelen beschrijft en daarmee invulling geeft aan de beveiliging van informatie en persoonsgegevens.

 

2. Visie en doelstelling bescherming van persoonsgegevens

 

Dit privacybeleid verwoordt de bestuurlijke visie op privacy zoals deze besloten ligt in de Europese en Nederlandse privacywetgeving.

2.1 Visie

De gemeente Zutphen respecteert de privacy van natuurlijke personen, zoals inwoners, ondernemers en medewerkers, en bouwt, door het zorgvuldig omgaan met persoonsgegevens, aan maatschappelijk vertrouwen en draagvlak.

2.2 Doelstelling

Dit privacybeleid, geeft handvatten voor het beantwoorden van vragen op het gebied van privacy. Er wordt onder meer aandacht besteed aan:

  • het verwerken van persoonsgegevens in het algemeen, waaronder het borgen van een zorgvuldige verwerking;

  • datalekken, en;

  • de rechten van burgers/inwoners en medewerkers.

 

Privacybeleid is niet zozeer een extra last; het biedt ook voordelen. Door de bescherming van de persoonsgegevens te borgen in de werkprocessen:

  • beschermt het college zijn inwoners tegen risico’s van de informatiemaatschappij;

  • beheerst het college gemeentelijke afbreuk- en aansprakelijkheidsrisico’s;

  • bevordert het college de kwaliteit, continuïteit, veiligheid en klantgerichtheid van de gemeentelijke administratieve organisatie;

  • bouwt het college aan maatschappelijk vertrouwen en draagvlak;

  • respecteert de gemeente Zutphen de privacy;

  • kan het college met vertrouwen verantwoording afleggen aan de raad en, in voorkomende gevallen, de Autoriteit Persoonsgegevens of de rechter.

2.3 Reikwijdte

Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de gemeente verantwoordelijk is in de zin van de Algemene verordening gegevensbeschermng en aanverwante wet- en regelgeving. Dit beleid is dan ook bedoeld als handvat voor de burger om de gemeente te kunnen volgen en aanspreken op het zorgvuldig omgaan met persoonsgegevens.

 

3. Juridisch kader

 

Dit beleid regelt de nadere uitwerking van de Algemene verordening gegevensbescherming (hierna ook: de AVG). De in de AVG opgenomen definities en overige normen zijn onverkort van toepassing. Gegevensbescherming kan alleen gerealiseerd worden door het borgen van informatieveiligheid. Voor informatieveiligheid streeft de gemeente er naar te voldoen aan de kaders van de Strategische en Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten (de zogeheten BIG). Naast de AVG bevat een groot aantal andere wetten specifieke vereisten voor gegevensverwerking. Denk hierbij onder andere aan:

  • de Wet Basisregistratie Personen (Wet BRP, deze wet vormt de grondslag voor de basisregistratie van persoonsgegevens)

  • de Wet politiegegevens,

  • de Wet justitiële en strafvorderlijke gegevens,

  • de Archiefwet (bewaartermijnen),

  • de Telecommunicatiewet.

 

4. Governance en organisatorische borging gegevensverwerking

4.1 Verantwoordelijke

Het college van burgemeester en wethouders respectievelijk de burgemeester is de verantwoordelijke voor verwerking van persoonsgegevens, zoals bedoeld in de AVG.

4.2 Verantwoordelijkheid voor uitvoering van beleid

De verantwoordelijkheid voor de uitvoering van beleid ligt bij de gemeentesecretaris, de adjunctdirecteuren, de teamleiders en de medewerkers als proceseigenaren binnen de gemeente. Aan deze verantwoordelijkheid geven zij mede invulling door zorg te dragen voor voldoende kennis en bewustzijn van zorgvuldige verwerking van persoonsgegevens bij de in een (werk)proces betrokken medewerkers.

4.3 Functionaris gegevensbescherming (FG)

Het college van burgemeester en wethouders benoemt een Functionaris Gegevensbescherming (hierna ook: FG), zoals bedoeld in de artikelen 37, 38 en 39 AVG. De FG is belast met het toezicht op de uitvoering van het privacybeleid c.a. van de gemeente.

4.4 De Chief Information Security Officer (CISO)

De Chief Information Security Officer (hierna ook: CISO) coördineert de informatiebeveiliging. De CISO ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover aan de directie. De uitvoerende taken zijn zoveel mogelijk belegd bij medewerkers in de ambtelijke organisatie voor informatiebeveiliging. De organisatie van de informatiebeveiliging is uitgewerkt in het Informatiebeveiligingsbeleid van de gemeente Zutphen.

4.5 Verantwoording aan de gemeenteraad

Net zoals het college jaarlijks aan de gemeenteraad verantwoording aflegt over de gemeentelijke uitgaven, legt het college ook jaarlijks aan de raad verantwoording af over de uitvoering en realisatie van beleid.

Naast deze jaarlijkse verantwoording, hebben het college en de burgemeester op grond van de artikelen 169 en 180, tweede lid van de Gemeentewet de algemene informatieplicht om de raad te informeren over bijzonderheden (incidenten) bij gegevensverwerkingen.

 

5. Verwerkingen van persoonsgegevens

 

Er zijn diverse beleidsonderwerpen waar verwerking van persoonsgegevens aan de orde is. Zonder uitputtend te willen zijn worden hier de belangrijkste beleidsvelden vermeld:

  • Dienstverlening aan burgers/ inwoners, bedrijven en instellingen,

  • Sociaal domein, uitvoering Participatiewet en aanverwante uitkeringen, Wet maatschappelijke ondersteuning, Jeugdwet en onderwijswetten (inclusief leerlingenvervoer)

  • Ruimtelijk domein (Wet algemene bepalingen omgevingsrecht, Wet ruimtelijke ordening, Omgevingsloket),

  • Verzoeken om informatie van burgers/ inwoners, bedrijven en instellingen (al dan niet gebaseerd op de Wet openbaarheid van bestuur).

5.1 Voorwaarden voor verwerking: algemene regels

Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Dit noemen we rechtmatigheid.

Daarnaast mogen persoonsgegevens slechts verzameld worden als daarvoor een precieze doelomschrijving wordt gegeven. Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Dit noemen we proportionaliteit.

 

De betrokkene heeft ook recht op informatie als er persoonsgegevens van hem worden verwerkt. Degene die persoonsgegevens vraagt moet hem onder andere laten weten wie hij is en wat voor gegevens hij waarvoor verwerkt. Dit noemen we transparantie.

 

Behalve bovenvermelde algemene regels geldt dat er voor elke verwerking van persoonsgegevens een grondslag aanwezig moet zijn.

 

In het merendeel van de gevallen verstrekt de betrokkene de persoonsgegevens zelf. Veel gebruikte gegevens of al bekende gegevens die zijn opgenomen in basisregistraties of andere authentieke bronnen, worden daaruit opgevraagd. Denk hierbij aan: persoonsgegevens, adresgegevens, bedrijfsgegevens, inkomensgegevens, gezinssamenstelling, uitkeringen, onderwijsgegevens, zorgindicaties, etc. Dit is in overeenstemming met het principe van ‘eenmalige uitvraag en meervoudig gebruik’ dat door de overheid en de gemeente wordt voorgestaan. Als voor het uitvoeren van bepaalde wettelijke taken en/ of wet- en regelgeving persoonsgegevens verwerkt moeten worden, dan worden deze gegevens opgevraagd uit de basisregistratie personen (zie artikel 1.7 Wet BRP).

 

Wat er precies met de verzamelde gegevens gebeurt, is afhankelijk van het doel waarvoor ze verzameld worden. Meestal worden ze in een informatiesysteem opgenomen waar ze alleen toegankelijk zijn voor de medewerkers die belast zijn met het uitvoeren van de taak. Gegevens worden niet zonder wettelijke grondslag gedeeld.

 

Bijzondere gegevens worden niet verwerkt, tenzij dit nodig is voor het uitvoeren van een wettelijke taak en/ of wet- en regelgeving. Zo kunnen op grond van de Wet maatschappelijke ondersteuning en/ of Jeugdwet medische- en gezondheidsgegevens worden gebruikt bij de behandeling van een ondersteuningsverzoek of een hulpvraag.

5.2 Uitgangspunten

Het wettelijk kader, zoals hiervoor beschreven, is bepalend bij het formuleren van de uitgangspunten van beleid. Het privacybeleid is gestoeld op de volgende beleidsuitgangspunten:

  • De gemeente verwerkt alleen gegevens van en over inwoners/burgers die strikt noodzakelijk zijn voor het uitvoeren van gemeentelijke taken;

  • De gemeente informeert inwoners/burgers over de verwerking van persoonsgegevens;

  • De gemeente bewaart gegevens volgens de wettelijk geldende termijnen of anders altijd zo kort mogelijk en vernietigt deze daarna;

  • De gemeente gaat terughoudend om met informatie van en over inwoners/burgers. Medewerkers worden daarover geïnstrueerd;

  • De gemeente gaat bij handhaving terughoudend om met informatie van en over inwoners/burgers;

  • De gemeente deelt persoonsgegevens intern en extern alleen voor zover dat strikt noodzakelijk is voor de taakuitvoering;

  • De gemeente zorgt ervoor dat persoonsgegevens niet voorkomen in openbare verslagen;

  • Als de gemeente gegevens openbaart als gevolg van een WOB-verzoek, stelt de gemeente alles in het werk om gegevens van inwoners te anonimiseren;

  • Als de gemeente zelf wettelijk gegevens openbaar moet maken, dan wordt aan betrokken inwoners/burgers eerst om toestemming voor openbaarmaking gevraagd en wordt gegevensverstrekking tot een minimum beperkt;

  • Als de gemeente gegevens ter inzage legt, dan wordt van betrokken inwoners/burgers de gegevensverstrekking tot een minimum beperkt;

  • De gemeente draagt zorg voor het goed uitvoeren van het privacybeleid door medewerkers en samenwerkende instanties;

  • De gemeente voert toezicht uit op het privacybeleid en de uitvoering ervan;

  • Hoe met privacy wordt omgegaan en hoe de privacy te allen tijde wordt geborgd, wordt op een transparante manier duidelijk gemaakt;

  • Daar waar sprake is van verwerking van persoonsgegevens worden werkwijzen vastgelegd en op professionele wijze uitgevoerd conform protocollen of procesbeschrijvingen;

  • Afhandeling van klachten en bezwaren van inwoners/burgers, bedrijven en instellingen over privacy aspecten vindt op een toegankelijke, laagdrempelige wijze plaats;

  • Bij samenwerking met externe partners, waar sprake is van verwerking van persoonsgegevens, worden er afspraken gemaakt over de voorwaarden voor een zorgvuldige verwerking en de controle daarop.

5.3 Privacy Impact assessment (PIA)

Voordat een beslissing wordt genomen over nieuwe of wijzigingen van bestaande verwerkingen van persoonsgegevens, wordt, wanneer de gevoeligheid van de verwerking daarom vraagt, door middel van een PIA aangetoond dat de privacy voldoende is gewaarborgd en worden de al dan niet te nemen maatregelen gemotiveerd. Over de inhoud van de PIA worden de FG en de CISO om advies gevraagd.

5.4 Hoe gaat de gemeente om met datalekken

Als een medewerker een datalek constateert, meldt de medewerker dit direct - via het zogeheten Servicemeldpunt, de teamleider, of aan de FG.

De FG handelt conform de procedure Datalekken, in samenspraak met de CISO en de verantwoordelijke teamleider of proceseigenaar, het datalek af. De FG meldt een meldenswaardig datalek binnen de wettelijke termijn (op dit moment 72 uur) aan de Autoriteit Persoonsgegevens. De teamleider of proceseigenaar draagt zorg voor de eventuele melding van het datalek aan betrokkenen van wie gegevens (mogelijk) zijn gelekt.

De procedure Datalekken beschrijft hoe te handelen, als er sprake is van een datalek of wanneer een datalek vermoed wordt. De meldplicht is eveneens van toepassing, als het datalek bij een derde is ontstaan, bijvoorbeeld een bewerker van persoonsgegevens.

Per gemeld datalek behoudt de verwerkingsverantwoordelijke (het college van burgemeester en wethouders of de burgemeester) de vrijheid te beoordelen of de procedure gevolgd moet worden, of dat afwijking van de procedure Datalekken gerechtvaardigd is.

 

6. Functionaris Gegevensbescherming

6.1 Toezicht

Voor de uitoefening van zijn toezichthoudende functie beschikt de FG over alle bevoegdheden die daarvoor redelijkerwijs noodzakelijk zijn.

De verantwoordelijke en de personen die bij een verwerking van persoonsgegevens zijn betrokken verstrekken de FG desgevraagd alle inlichtingen en verlenen de FG alle overige medewerking die hij voor de uitoefening van zijn taak behoeft.

De FG heeft toegang tot alle ruimten, waar een verwerking van persoonsgegevens plaatsvindt. De FG is bevoegd apparatuur, programmatuur, gegevensbestanden, boeken en bescheiden te onderzoeken en zich de werking van apparatuur en programmatuur te doen tonen.

De FG rapporteert over zijn bevindingen aan het college van burgemeester en wethouders. Hij geeft aanbevelingen over te nemen maatregelen, die een goede werking van de verwerking van persoonsgegevens moeten helpen waarborgen.

De FG kan niet ontslagen worden of een sanctie krijgen als gevolg van de uitoefening van zijn FGtaken, zoals deze blijken uit artikel 38 AVG.

6.2 Onderzoek

De FG kan een onderzoek instellen naar de wijze waarop in verband met de verwerking van persoonsgegevens, in een bepaald geval dan wel in het algemeen belang, de persoonlijke levenssfeer wordt beschermd.

De FG kan voor zijn onderzoek gebruik maken van de diensten van derden.

De FG deelt zijn bevindingen aan de Verantwoordelijke mee en doet zo nodig aanbevelingen.

6.3 Register van verwerkingen

De FG houdt een register bij waarin verwerkingen van persoonsgegevens zijn vermeld. Het register vermeldt ten minste de volgende elementen:

  • de Verantwoordelijke;

  • de FG;

  • omschrijving van de verwerking;

  • doel(en) van de verwerking;

  • grondslag(en) van de verwerking;

  • welke gegevens of categorieën van gegevens worden verwerkt;

  • ontvangers of categorieën van ontvangers aan wie gegevens worden verstrekt;

  • doorgifte van gegevens naar landen buiten de EU;

  • de bewaartermijn.

Het register wordt ingericht en onderhouden door de FG. Waar nodig, schrijft de FG namens de Verantwoordelijke de verwerkingen van persoonsgegevens, waarvoor meld- of registratieplicht geldt, bij in het daartoe bestemde register.

6.4 Logboek datalekken

De FG houdt namens de Verantwoordelijke een logboek bij waarin datalekken zijn opgenomen.

 

7. Rechten van betrokkene

 

Namens de Verantwoordelijke voeren de teamleiders of proceseigenaren de taken uit met betrekking tot de rechten van betrokkene, zoals omschreven in de AVG.

Het gaat hierbij om de volgende rechten:

 

 

 

Aldus besloten op 22 mei 2018.

Het college van burgemeester en wethouders,

De burgemeester, de secretaris