Gemeente Rhenen – Privacybeleid

Voor de structuur van dit beleid worden de puzzelstukken van het privacyraamwerk van de VNG gehanteerd. Het eerste puzzelstuk dat in dit raamwerk aan de orde komt is ‘Governance’. Om de governance te kunnen bepalen is het belangrijk om eerst de kaders voor privacy in kaart te krijgen. Dit leidt er toe dat het thema Beleid logischerwijs het eerste hoofdstuk vormt alvorens het hoofdstuk Governance / Verantwoordelijkheden aan de orde komt. In het hoofdstuk Beleid wordt aangegeven aan welke wet- en regelgeving voldaan moet worden, welke maatregelen de gemeente treft om hieraan te voldoen, welke principes de gemeente hanteert en hoe de gemeente met persoonsgegevens omgaat.

1.1. Begrippen en definities

In dit beleid wordt gebruik gemaakt van begrippen die ook in de AVG gehanteerd worden. Om de inhoud van dit beleid goed te kunnen begrijpen, worden hieronder een aantal veelgenoemde begrippen toegelicht. In bijlage 1 wordt tevens een overzicht weergegeven van de gehanteerde afkortingen en aanvullende begrippen.

Persoonsgegeven

Een persoonsgegeven is een gegeven dat iets zegt over een persoon. De informatie gaat direct over een persoon of is te herleiden tot een persoon.

Verwerken

Het verwerken van een persoonsgegeven houdt iedere handeling met een persoonsgegeven in. Dit kan bijvoorbeeld zijn het verzamelen, vastleggen, raadplegen, gebruiken en verstrekken van een persoonsgegeven.

Functionaris Gegevensbescherming (FG)

De FG is een onafhankelijk toezichthouder. De FG ziet er op toe dat de gemeente de privacywet en -regelgeving correct toepast.

Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens is de landelijke toezichthouder op het gebied van privacy.

Verwerkingsverantwoordelijke

In de gemeente Rhenen is het college van Burgemeester en Wethouders verantwoordelijk voor het verwerken van persoonsgegevens. Dit betekent dat het college bepaalt wat er met de gegevens gebeurt. Als het gaat om openbare orde is de burgemeester verantwoordelijk.

Verwerker

Een verwerker is een persoon of organisatie die persoonsgegevens verwerkt namens de gemeente Rhenen.

Betrokkene

De betrokkene is degene wiens gegevens worden verwerkt.

1.2. Aanleiding

De gemeente Rhenen heeft persoonsgegevens nodig om haar taken uit te kunnen voeren. Zonder de verwerking van persoonsgegevens is het onmogelijk om bijvoorbeeld aan een inwoner een nieuw paspoort te verstrekken of een vergunning te verlenen.

Het verwerken van persoonsgegevens dient met uiterste zorgvuldigheid te gebeuren, omdat onjuiste omgang met persoonsgegevens schade tot gevolg kan hebben. Door publicaties van de Autoriteit Persoonsgegevens (AP) blijkt ook regelmatig dat er met persoonsgegevens niet voorzichtig genoeg omgegaan kan worden. Het op een juiste manier verwerken van persoonsgegevens is de verantwoordelijkheid van het college van Burgemeester en Wethouders, maar de uitvoering begint bij de individuele medewerker. De AVG stelt hiervoor algemene kaders om persoonsgegevens correct te verwerken, maar de AVG laat ook ruimte voor een eigen invulling. Met dit beleidsdocument vult gemeente Rhenen deze kaders nader in en neemt hiermee tevens haar verantwoordelijkheid om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren.

Met dit document wordt de vertaalslag gemaakt van geldende wet- en regelgeving naar de dagelijkse praktijk voor gemeente Rhenen. Hierbij is nadrukkelijk gebruik gemaakt van opgedane kennis en eerder uitgevoerde projecten en trainingen binnen de verschillende teams.

1.3. Uitgangspunten van de AVG

Algemeen uitgangspunt is dat persoonsgegevens in overeenstemming met de relevante wet- en regelgeving verwerkt worden. Voor een rechtmatige verwerking van persoonsgegevens dient aan de zes uitgangspunten van de AVG te zijn voldaan.

• •

  Rechtmatigheid, behoorlijkheid en transparantie: persoonsgegevens mogen alleen verwerkt worden wanneer hier een grondslag voor is. Voor de gemeente geldt in de meeste gevallen dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang c.q. een taak in het kader van de uitoefening van het openbaar gezag. Ook kan het gaan om het nakomen van een wettelijke verplichting. Daarnaast dient de betrokkene te worden geïnformeerd over de verwerking van zijn persoonsgegevens.

• •

  Doelbinding: Gegevens mogen slechts verwerkt worden voor de doeleinden waarvoor zij verzameld zijn.

• •

  Dataminimalisatie: Er mogen nooit meer gegevens worden verwerkt dan noodzakelijk voor dat doel.

• •

  Juistheid: De gegevens moeten actueel en correct zijn.

• •

  Bewaartermijn: De persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.

• •

  Integriteit en vertrouwelijkheid: De persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.

1.4. Criteria uit de AVG

Om aan te kunnen tonen dat de gemeente aan de geldende wet- en regelgeving voldoet, heeft de AVG een aantal criteria opgesteld. Dit heet de verantwoordingsplicht, ook wel accountability genoemd. De belangrijkste criteria zijn hieronder opgesomd. In de paragraaf of hoofdstuk die bij ieder criterium genoemd is, wordt toegelicht op welke wijze de gemeente Rhenen invulling geeft aan dit onderwerp.

1.5. Doelen van de gemeente Rhenen

Dit privacybeleid is opgesteld om te bepalen hoe de gemeente Rhenen om wil gaan met persoonsgegevens. De gemeente Rhenen stelt met dit privacybeleid de kaders en formuleert uitgangspunten over het zorgvuldig omgaan met persoonsgegevens binnen de kaders van de verschillende wetten. Voldoen aan de AVG betekent dat op verschillende terreinen binnen de gemeentelijke organisatie aandacht moet zijn voor privacy. Om die reden zullen de governance, werkprocessen, triages, bewustwording en het beheer en de opslag van gegevens in dit beleidsplan onder de loep genomen worden.

1.6. Doelgroep

Het privacybeleid wordt toegepast door het bestuur en de medewerkers van de gemeente Rhenen, inclusief alle extern ingehuurde medewerkers. De verantwoordelijkheden, taken en bevoegdheden die een medewerker heeft met betrekking tot de bescherming van persoonsgegevens, zijn nader uitgewerkt in dit privacybeleid en de daaronder hangende richtlijnen, reglementen en gedragscodes. Het beleid is opgeteld in het kader van de transparantie over de verwerking van persoonsgegevens.

1.7. Reikwijdte

Een gegeven wordt een persoonsgegeven genoemd wanneer dit informatie bevat over een persoon (de betrokkene) en/of tot een individu te herleiden is. Dit beleid is van toepassing op alle verwerkingen van persoonsgegevens van alle betrokkenen die geheel of gedeeltelijk geautomatiseerd worden uitgevoerd. Daarnaast is dit beleid van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente. De betrokkenen kunnen onder andere inwoners van de gemeente zijn, maar ook de medewerkers van de gemeente en externe relaties.

1.8. Privacy van de inwoners van de gemeente Rhenen

De gemeente Rhenen heeft gegevens nodig om haar wettelijke verplichtingen en gemeentelijke taken uit te kunnen voeren (Artikel 6, lid 1, onder c en e AVG) . De gemeente kan bijvoorbeeld geen paspoort verstrekken of een maatwerkvoorziening leveren zonder gegevens over de desbetreffende persoon te verwerken.

Betrokkenen moeten erop kunnen vertrouwen dat de gemeente zorgvuldig met persoonsgegevens omgaat, en dat de gemeente voorkomt dat er een onnodige of te vergaande inbreuk wordt gemaakt op de persoonlijke levenssfeer.

1.9. Privacy van de medewerkers van de gemeente Rhenen

Naast het feit dat de gemeente Rhenen persoonsgegevens van haar inwoners verzamelt, worden er ook gegevens van personeel verwerkt door de personeelsadministratie. Dit is noodzakelijk om onder andere iedere maand salaris te kunnen betalen aan de medewerker. Het kan ook voorkomen dat er privacygevoelige informatie van medewerkers verwerkt wordt. Ook het personeel moet erop kunnen vertrouwen dat er zorgvuldig met gegevens omgegaan wordt. Wat betreft de gegevens van het personeel gelden dan ook dezelfde waarborgen als voor de gegevens van inwoners.

Bij de inrichting en ontwikkeling van privacy is het van belang om de rollen en verantwoordelijkheden te bepalen rondom de zorgvuldige omgang met persoonsgegevens. Binnen de organisatie moet in kaart worden gebracht wie waarvoor verantwoordelijk is.

2.1.1. Het college van burgemeester en wethouders

De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking vaststelt. In de meeste gevallen zal dat het college van burgemeester en wethouders zijn, vooropgesteld dat het college doel en middelen van de verwerking vaststelt. Maar ook de burgemeester of de Raad kunnen verwerkingsverantwoordelijke zijn. Privacy valt onder de verantwoordelijkheid van het college. Binnen het college is een portefeuillehouder privacy aangewezen.

2.1.2. Portefeuillehouder

De burgemeester van de gemeente Rhenen is portefeuillehouder privacy en daarmee verantwoordelijk voor de uitvoering van het gemeentelijk privacybeleid en voor controle op de naleving van afspraken. Hij is het eerste aanspreekpunt binnen het college voor het onderwerp privacy.

2.1.3. De Raad

De Raad wordt voor een aantal taken als gemeentelijk overheidsorgaan door de AVG als verwerkingsverantwoordelijke aangemerkt. Daarnaast heeft de Raad een controlerende functie ten opzichte van het college voor de naleving van de AVG en stellen zij budget beschikbaar.

2.1.4. Managers

Het creëren van bewustwording en de naleving van het beleid is onderdeel van de integrale bedrijfsvoering. Iedere manager heeft de taak om er voor te zorgen dat medewerkers op de hoogte zijn van het beleid en dit wordt nageleefd. Daarnaast dient iedere manager het onderwerp privacy onder de aandacht te brengen. De teammanagers zijn hierbij verantwoordelijk voor de verwerkingen die uitgevoerd worden in het betreffende team. Welke verwerkingen dit zijn is te zien in het register van verwerkingen. Als een manager twijfelt of het beleid goed uitgevoerd wordt of kan worden dan zal dit vraagstuk met de burgemeester besproken worden, aangezien de burgemeester als portefeuillehouder verantwoordelijk is voor de uitvoering van het gemeentelijk privacybeleid.

2.1.5. Teams

De feitelijke verwerking van persoonsgegevens vinden plaats binnen de verschillende teams. Bij de uitvoering van taken dienen medewerkers zich bewust van het feit dat privacy een rol kan spelen bij deze taken. Dit betekent dat medewerkers handelen naar het privacybeleid en de interne procedures ten aanzien van beheer en beveiliging. Medewerkers dienen in staat te zijn situaties te herkennen waarin expertise nodig is van de FG, CISO of privacy Officer (PO). Als een medewerker twijfelt of het beleid goed uitgevoerd wordt of kan worden dan zal dit vraagstuk met de manager besproken worden, aangezien de manager verantwoordelijk is voor de verwerkingen van het betreffende team.

2.1.6. Functionaris Gegevensbescherming (FG)

De FG heeft de taak om toe te zien op de naleving van de wettelijke verplichtingen bij het verwerken van persoonsgegevens door de gemeente Rhenen. De FG toetst onder andere de naleving van de wettelijke eisen, de gemeentelijke richtlijnen op het gebied van privacy en het privacybeleid. Daarnaast geeft hij of zij desgevraagd advies over bijvoorbeeld het doen van een privacy impact assessment (PIA) en ziet hij of zij toe op de uitvoering van zijn advies. Tevens is de FG het contactpunt voor de AP.

2.1.7. CISO

De Chief Information Security Officer (CISO) coördineert de informatiebeveiliging. De CISO is belast met het toezicht op de betrouwbaarheid van de informatievoorziening ter waarborging van de vertrouwelijkheid, integriteit beschikbaarheid van informatie binnen de organisatie. Daarnaast neemt de CISO een belangrijke rol in bij het proces rondom datalekken. Hierbij is hij of zij het eerste aanspreekpunt wanneer een datalek plaatsvindt en verantwoordelijk voor de verdere afhandeling van de melding De CISO werkt nauw samen met de functionaris gegevensbescherming.

2.1.8. Privacy Officer

Naast een FG is ook een PO aangewezen. De uitvoerende taken op het gebied van privacy zijn bij de PO belegd zodat de FG zijn adviserende en toezichthoudende rol vervult. De PO voert werkzaamheden uit zoals het actueel houden van het privacybeleid, de feitelijke implementatie van het beleid, het bijhouden van het register van verwerkingen en het coördineren van verzoeken van betrokkenen.

Om privacy te kunnen borgen zijn er verschillende werkprocessen ingericht. Deze processen zijn er op gericht om rechtmatig en gestructureerd persoonsgegevens te kunnen verwerken. Deze werkprocessen die voortvloeien uit de AVG worden in paragraaf 3.1. toegelicht. Daarnaast worden in de reguliere werkprocessen van de gemeente persoonsgegevens verwerkt. De wijze waarop privacy een rol speelt in deze werkprocessen en welke aandachtspunten hierbij gelden wordt toegelicht in paragraaf 3.2.

3.1. Werkprocessen uit de AVG 3.1.1. Basisregistratie Personen

Iedere gemeente beheert persoonsgegevens die in de Basisregistratie Personen (BRP) staan. De BRP is een centrale database waarin de basis gegevens van inwoners zijn opgenomen. De gemeente Rhenen zal deze gegevens in sommige gevallen ook aan andere overheidsorganisaties verstrekken. De Belastingdienst bijvoorbeeld gebruikt persoonsgegevens om belastingen te heffen en het UWV om uitkeringen te verstrekken. De gemeente verstrekt de gegevens uit de BRP niet aan commerciële instellingen of aan particulieren.

3.1.2. Rechten van betrokkenen

Betrokkenen hebben in het kader van transparantie het recht om helder geïnformeerd te worden over de rechten die zij hebben en de wijze waarop hun persoonsgegevens verwerkt en beheerd worden door de gemeente. Indien betrokkenen hun rechten willen uitoefenen, neemt de gemeente Rhenen deze verzoeken in behandeling. Er is een procedure opgesteld en een werkproces ingericht om verzoeken gestructureerd te kunnen behandelen. Op Rhenen.nl wordt toegelicht welke rechten inwoners hebben als het gaat om privacy en op welke wijze zij deze rechten kunnen uitoefenen.

Hieronder wordt kort toegelicht wat de rechten van betrokkenen inhouden. Ten opzichte van deze rechten gelden een aantal algemene uitgangspunten die hieronder toegelicht worden.

Algemeen geldende uitgangspunten rechten van betrokkenen:

• •

  Indienen verzoek

  Een verzoek kan worden ingediend met behulp van een e-formulier of aan de hand van een beschikbaar gesteld standaard formulier. Het standaard formulier kan worden afgegeven aan de balie.

• •

  Termijn

  Binnen vier weken beoordeelt de gemeente of het verzoek gerechtvaardigd is. De gemeente laat binnen die termijn weten wat er met het verzoek gaat gebeuren. De behandeling van het verzoek kan indien nodig met twee maanden worden verlengd. De gemeente behandelt het verzoek volgens de daarvoor geldende procedure.

• •

  Identiteit betrokkene

  Aan de balie wordt de betrokkene verzocht zich te identificeren. Bij het e-formulier wordt de identiteit vastgesteld aan de hand van DigiD.

Rechten van betrokkenen zoals in artikel 15 t/m 21 AVG

• •

  Inzage

  Een betrokkene heeft het recht om van de verwerkingsverantwoordelijke antwoord te krijgen op de vraag of er hem betreffende persoonsgegevens verwerkt worden en zo ja, inzicht te krijgen in welke gegevens dit zijn.

• •

  Rectificatie

  Een betrokkene moet het recht hebben om zijn of haar persoonsgegevens te laten rectificeren. Dit houdt in dat fouten hersteld moeten worden. Het kan bijvoorbeeld gaan om persoonsgegevens die in eerste instantie verkeerd zijn opgenomen: denk aan een naam die verkeerd is ingevoerd.

• •

  Gegevenswissing

  Een betrokkene heeft recht een verzoek te doen tot wissing van de persoonsgegevens. Denk hierbij aan een onrechtmatige gegevensverwerking of het intrekken van toestemming voor de gegevensverwerking waarbij er geen andere rechtsgrond meer overblijft.

• •

  Beperking

  Een betrokkene heeft het recht om een verzoek te doen tot beperking van de verwerking. Dit houdt in dat de verantwoordelijke de gegevens nog wel mag bewaren, maar dat hij de gegevens niet meer mag verwerken/gebruiken. Hiermee is dit recht minder verstrekkend dan het recht op het wissen van persoonsgegevens.

• •

  Bezwaar

  Een betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens. Als een betrokkene bezwaar maakt moet de verwerkingsverantwoordelijke de verwerking staken, tenzij dwingende gerechtvaardigde gronden anders bepalen.

• •

  Dataportabiliteit

  Betrokkenen hebben het recht om persoonsgegevens over te laten dragen. Dit heet het recht op dataportabiliteit. Dit houdt in dat de betrokkene het recht heeft om de persoonsgegevens te ontvangen die de gemeente heeft. Zo kunnen gegevens bijvoorbeeld makkelijk rechtstreeks overgedragen worden aan een andere organisatie.

3.1.3. Meldplicht datalekken

De gemeente gaat zorgvuldig om met persoonsgegevens. Toch kan het voorkomen dat onbevoegde personen toegang krijgen tot persoonsgegevens of dat persoonsgegevens kwijtraken. In dat geval spreken we van een datalek. Het kan bijvoorbeeld gaan om een diefstal van een laptop, een in de trein vergeten usb-stick of een e-mail die naar de verkeerde persoon is verstuurd. Datalekken moeten worden gemeld bij de AP binnen 72 uur na ontdekking daarvan en in sommige gevallen ook bij de betrokkene.

De medewerker die een (mogelijk) beveiligingslek en/of datalek constateert, meldt dit aan zijn of haar manager en de CISO. Indien een datalek of beveiligingsrisico geconstateerd wordt, dient deze gemeld te worden zodat deze conform de geldende procedure voor het melden van beveiligingslekken en datalekken kan worden afgehandeld.

Het melden van eventuele beveiligingsrisico’s of datalekken wordt aangemoedigd door de gemeente Rhenen. Meldingen van beveiliginsrisico’s worden gezien als een kans om het proces, de werkwijze en de dienstverlening van de gemeente Rhenen te verbeteren.

3.1.4. Data Protection Impact assessment (DPIA)

Wanneer er sprake is van een verhoogd risico bij het gebruik van persoonsgegevens, worden de privacy risico’s in kaart gebracht door een Data Protection Impact Assessment (DPIA) uit te voeren. Door middel van een DPIA wordt het proces omtrent de verwerking van persoonsgegevens omschreven, wordt aangetoond in hoeverre de privacy van betrokkenen gewaarborgd is en worden de al dan niet te nemen maatregelen gemotiveerd.

Een DPIA wordt bij voorkeur in een zo vroeg mogelijk stadium van het ontwerpproces uitgevoerd, zodat uitkomsten van de DPIA meegenomen kunnen worden in het ontwerp en invulling gegeven kan worden aan ‘privacy by design’. Een DPIA kan ook in een later stadium uitgevoerd worden, omdat processen zich verder ontwikkelen en privacyrisico’s in een later stadium beperkt kunnen worden.

Bij het uitvoeren van de DPIA wordt de FG advies gevraagd, maar zal de DPIA niet zelf uitvoeren. Dat advies en wat met dat advies wordt gedaan, dient in de DPIA te worden gedocumenteerd. Met de uitkomsten van een PIA wordt bepaald of de verwerking van persoonsgegevens zal aanvangen of dat er eventueel aanpassingen in het proces of systeem vereist zijn. Dit betekent dat gemotiveerd wordt welke keuzes worden gemaakt ten aanzien van de verwerking van persoonsgegevens.

Het is niet noodzakelijk om voor alle processen waarbij persoonsgegevens worden verwerkt een DPIA uit te voeren. Er zullen enkel DPIA’s worden uitgevoerd in geval van nieuwe verwerkingen van persoonsgegevens en verwerkingen waarbij sprake is van een grote verzameling van persoonsgegevens of een verzameling met bijzondere categorieën van persoonsgegevens. De AP heeft een checklist opgesteld om te bepalen of een DPIA uitgevoerd moet worden (zie bijlage 3). Pas nadat de DPIA is uitgevoerd en de maatregelen zijn getroffen die nodig zijn om de risico’s te beperken, verwerkt de gemeente de persoonsgegevens. Wanneer uit de DPIA blijkt dat de beoogde verwerking een hoog risico oplevert, maar het niet gelukt is om maatregelen te treffen, dan wordt de AP geraadpleegd. Dit wordt voorafgaande raadpleging genoemd. Bij een voorafgaande raadpleging geeft de AP advies met betrekking tot hoe de risico's van de voorgenomen verwerking beperkt kunnen worden. Als deze maatregelen uitgevoerd worden, mag de verwerking aanvangen. Het kan ook dat de AP adviseert om helemaal van de verwerking af te zien.

3.1.5. Register van verwerkingsactiviteiten

In het register van verwerkingsactiviteiten wordt bijgehouden welke verwerkingen van persoonsgegevens de gemeente heeft. Een register dient te voldoen aan bepaalde eisen. De PO beheert het actuele register van verwerkingsactiviteiten van de gemeente Rhenen. Daarnaast hebben de teams bij het verwerken van persoonsgegevens de verantwoordelijkheid om in beeld te brengen welke verwerkingen er plaats vinden en nieuwe verwerkingen te melden bij de PO.

3.1.6. Verwerkersovereenkomst

Wanneer de gemeente een dienst uitbesteedt, dan blijft de gemeente de verwerkingsverantwoordelijke en daarmee verantwoordelijk voor de gegevensverwerking. De partij waar de dienst aan wordt uitbesteed, wordt de verwerker genoemd. De gemeente als verwerkingsverantwoordelijke stelt in die situatie het doel en de middelen vast voor de verwerking van persoonsgegevens. De verwerker heeft geen zeggenschap over de wijze van verwerken, en werkt volgens de instructies en in opdracht van de gemeente. Een verwerker neemt tevens geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens etc.

Indien er sprake is van bovenstaande situatie, is de gemeente verplicht een verwerkersovereenkomst af te sluiten. Dit is een overeenkomst waarin afspraken ten aanzien van de verwerking worden vastgelegd om daarmee de rechten van de inwoners te beschermen. Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke en de verwerker. De gemeente Rhenen maakt gebruik de standaard verwerkersovereenkomst Gemeenten van de VNG. Het template is opgenomen in bijlage 2.

3.1.7. Gebruik van toestemming

De verwerking van persoonsgegevens dient zoals in paragraaf 1.3. aangegeven, gebaseerd te zijn op een grondslag. Als de verwerking van gegevens niet op een van de grondslagen is gebaseerd, is de verwerking per definitie onrechtmatig. Voor de gemeente zal in de meeste gevallen de grondslag ‘vervulling van een taak van algemeen belang of uitoefening van openbaar gezag’ en ‘uitvoeren wettelijke taak’ van toepassing zijn. Er zijn echter situaties denkbaar waarbij deze grondslag niet van toepassing zijn, maar gegevens verwerken wel noodzakelijk is om de inwoner van dienst te kunnen zijn. In die situaties kunnen gegevens verwerkt worden indien de betrokkene hiervoor toestemming (Artikel 6,lid 1, onder a, AVG) heeft gegeven. Hierbij moet wel de kanttekening worden geplaatst dat de gemeente Rhenen zo min mogelijk gebruik maakt van deze grondslag. Dit heeft te maken met het feit dat tussen de gemeente en haar inwoners een afhankelijkheidsrelatie bestaat. Dit houdt in dat de betrokkene niet altijd vrijelijk kan kiezen. In enkele gevallen zal het verwerken op basis van toestemming onoverkomelijk zijn. Wanneer dit zo is, wordt op een duidelijke en begrijpelijke wijze uitgelegd waar het toestemmingsverzoek over gaat. Ook deze gegevens worden alleen voor dat doel gebruikt waarvoor ze oorspronkelijk bedoeld waren. Indien het toch nodig blijkt dat de gegevens ook voor andere doeleinden gebruikt worden, dient de betrokkene daarover geïnformeerd te worden en dient hiervoor opnieuw toestemming gevraagd te worden. De betrokkene is te allen tijde vrij om de toestemming te geven of te weigeren. Indien de betrokkene toestemming geeft, mag deze op ieder moment weer ingetrokken worden.

3.2. Privacy binnen werkprocessen

Gemeentebreed worden allerlei werkprocessen uitgevoerd. Bij veel processen worden ook persoonsgegevens verwerkt. Het is daarom van belang dat er binnen de gemeentelijke werkprocessen zowel voorafgaand als tijdens het proces aandacht besteed wordt aan privacy. De gemeente dient op een zorgvuldige, transparante en veilige manier met de persoonsgegevens van de inwoners en de medewerkers om te gaan. Om bij de uitvoering van bestaande processen en bij de invoering van nieuwe processen de privacy van de betrokkene te kunnen waarborgen, zijn de volgende aandachtspunten van belang:

• •

  Nieuwe processen waarbij persoonsgegevens betrokken zijn, worden vooraf getoetst aan de eisen die de AVG stelt.

• •

  Persoonsgegevens mogen alleen worden verwerkt indien hier een grondslag voor is zoals genoemd in paragraaf 1.3.

• •

  Binnen een werkproces worden persoonsgegevens alleen verwerkt voor het realiseren van het doel waarvoor de persoonsgegevens zijn verzameld.

• •

  Binnen een werkproces worden geen persoonsgegevens verwerkt die niet noodzakelijk zijn.

• •

  Wanneer een nieuw werkproces ingericht wordt, dient voor aanvang vermelding te komen in het register van verwerkingsactiviteiten.

• •

  Indien bij een nieuw werkproces een andere partij betrokken is, dient beoordeeld te worden of tussen de gemeente en deze partij een verwerkersovereenkomst opgesteld moet worden.

Privacy is een onderwerp dat betrekking heeft op de hele organisatie en is meer dan alleen het nemen van technische maatregelen. Bewustwording is belangrijk voor het slagen van privacybescherming. Het gaat om bewustwording bij iedere medewerker. De meeste inbreuken worden namelijk veroorzaakt door menselijke fouten. Van belang is dat medewerkers van de gemeente zich bewust zijn van het belang van privacy zodat zij ook de knelpunten kunnen signaleren. Bewustwording vereist onderhoud. Dit houdt in dat privacy met regelmaat onder de aandacht dient te worden gebracht in onder andere werkoverleggen en bijvoorbeeld tijdens kennissessies of trainingen.

De gemeente Rhenen creëert bewustwording op verschillende manieren. Om de bewustwording te vergroten worden periodiek bewustwordingsacties georganiseerd. De gemeente Rhenen wil hiermee onder andere het risico op datalekken en veiligheidsincidenten beperken. Dit wordt gedaan door bijvoorbeeld maandelijkse attenties op de bureaus van medewerkers te leggen. Daarnaast wordt informatieveiligheid en privacy periodiek onder de aandacht gebracht tijdens werkoverleggen en wordt belangrijke informatie over deze onderwerpen op het intranet geplaatst.

5. Beheer & Opslag van gegevens

Bij het beheren van persoonsgegevens speelt informatievoorziening en ICT een belangrijke rol. Persoonsgegevens worden binnen de gemeente Rhenen (vrijwel) altijd digitaal opgeslagen. De wijze waarop hiermee omgegaan wordt, wordt weergegeven in het Informatiebeleidsplan. Deze bevat de visie en strategie op informatievoorziening.

Opslag gebeurt op de volgende manieren:

• •

  Het heeft sterk de voorkeur om gegevens op te slaan in centrale databases die door verschillende gebruikers te benaderen en te bewerken zijn.

• •

  Binnen decentrale databases en spreadsheets die middels algemene kantoorautomatiseringssoftware te benaderen zijn. Dit betreft kleinschalige registraties met een zeer specifiek doel.

• •

  Op ongestructureerde basis: in documenten, afbeeldingen en dergelijke. Dit betreft geen registraties maar specifieke persoonsgegevens over een of enkele personen.

Voor de opslag van persoonsgegevens gelden de volgende uitgangspunten:

• •

  Opslag in centrale databases heeft sterk de voorkeur boven decentrale opslag. Centrale databases kennen een hogere beschikbaarheid, daarnaast is de integriteit en de vertrouwelijkheid van de data veel beter te waarborgen.

• •

  Indien de applicatie geïnstalleerd is binnen het netwerk van de gemeente Rhenen dan dient de opslag van persoonsgegevens te geschieden op een goed beveiligd netwerk.

• •

  Lokale opslag zoals smartphones en laptops worden afdoende versleuteld.

• •

  De gemeente Rhenen kent diverse voorzieningen om de beschikbaarheid van de persoonsgegevens te waarborgen.

• •

  Vitale ICT-systemen en componenten zijn dubbel uitgevoerd, en alle gegevens op het interne netwerk worden dagelijks geback-upt. Ook deze maatregelen zijn in lijn met de gemeentelijke beveiligingsnormen.

• •

  Bij het aanschaffen van nieuwe software of het vervangen van software wordt bij voorkeur Software as a Service (SAAS) ingezet.

Hoe lang blijven gegevens bewaard

• •

  De AVG geeft geen concrete bewaartermijnen voor persoonsgegevens.

• •

  Uitgangspunt van de gemeente Rhenen is dat persoonsgegevens niet langer bewaard worden dan noodzakelijk is.

• •

  De gemeente Rhenen heeft een selectielijst opgesteld. Dit is een lijst van werkprocessen met de bijbehorende bewaartermijnen.

• •

  De bewaartermijnen in de gemeentelijke selectielijst zijn veelal afgeleid van andere wetten waarin een bewaarplicht voor gegevens staat.

• •

  In het register van verwerkingen worden de bewaartermijnen van persoonsgegevens weergegeven. Deze bewaartermijnen zijn gebaseerd op de bewaartermijnen uit selectielijsten.

Archivering

• •

  Het bewaren van persoonsgegevens is alleen toegestaan zolang ze van belang zijn voor het doel waarvoor ze zijn verzameld.

• •

  Voor sommige verwerkingen van persoonsgegevens geldt dat persoonsgegevens op grond van de Archiefwet of andere materiële wetten gedurende een minimale termijn bewaard moeten blijven.

• •

  De Archiefwet houdt daarbij rekening met de privacy door zo nodig van persoonsgegevens de openbaarheid te beperken.

Toegang tot persoonsgegevens

• •

  De gemeente draagt zorg voor een goede beveiliging van persoonsgegevens, door het nemen van passende technische en/of organisatorische maatregelen.

• •

  De gemeente voorkomt hierbij ongeoorloofde toegang tot het gebruik van persoonsgegevens.

5.1. Informatiebeveiligingsbeleid

Informatiebeveiliging en de bescherming van persoonsgegevens, oftewel: privacy, zijn onderwerpen die elkaar overlappen, maar daarbuiten hebben zij ook een eigen gebied. Een informatiebeveiligingsbeleid is een voorwaarde voor de privacyregelgeving. Informatiebeveiliging heeft echter een veel bredere toepassing dan persoonsgegevens. Het gaat om de bescherming van alle data die de gemeente beheert.

BIG - BIO

Sinds 2013 hebben de Nederlandse gemeenten gewerkt aan informatiebeveiliging op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Deze geldt tot 1 januari 2020 en zal daarna vervangen worden door de Baseline Informatiebeveiliging Overheid (BIO). De BIO is in tegenstelling tot de BIG verplicht voor gemeenten. De aanpak van informatiebeveiliging in de BIO verschilt niet fundamenteel van die in de BIG. Het werk dat de gemeente Rhenen de afgelopen jaren in de implementatie van de BIG heeft gestoken vormt dan ook de basis om de BIO te gaan implementeren.

ENSIA

ENSIA (Eenduidige Normatiek Single Information Audit) heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en de gemeente hier ook beter op sturen. 2019 is het laatste jaar dat er verantwoording over de BIG wordt afgelegd. In 2020 zal dat gebeuren op basis van de BIO.

6. Functionaris Gegevensbescherming (FG)

Krachtens de AVG is het aanstellen van een FG verplicht voor gemeenten. De gemeente Rhenen heeft in samenwerking met de gemeente Ede een FG aangesteld. De AVG regelt welke taken de FG dient te vervullen. Deze taken bestaan onder andere uit het informeren en het adviseren van alle betrokken partijen bij het verwerken van persoonsgegevens. De FG verricht onderzoek naar de wijze waarop persoonsgegevens worden verwerkt en beveiligd, zodat de verwerking van persoonsgegevens overeenkomstig de AVG wordt uitgevoerd. Wanneer de FG advies geeft over de verwerking van gegevens, geeft hij of zij geen bindend advies, maar dit oordeel is wel zwaarwegend. De wijze waarop de FG in de praktijk invulling geeft aan zijn toezichthoudende taak op basis van zijn bevoegdheden, hangt sterk af van de aard van de organisatie en de gegevens die worden verwerkt. De FG van Rhenen heeft hiervoor een FG-meting ontwikkeld. Het rapport dat hier uit voort vloeit wordt aangeboden aan de verwerkingsverantwoordelijke.

Het onderdeel betreffende de behandeling van vragen en klachten is iets dat niet geregeld is in de AVG, maar kan desondanks wel tot het takenpakket behoren. Om vragen en klachten in behandeling te kunnen nemen, is het van belang dat de FG duidelijk herkenbaar en bereikbaar is. De contactgegevens voor de FG van de gemeente Rhenen staan in dit beleid in de samenvatting vermeld. Daarnaast worden de contactgegevens ook vermeld op de website van de gemeente en op het intranet.

Vastgesteld door College van Burgemeester en wethouders van 10 maart 2020.

De gemeentesecretaris de burgemeester

P. Bonthuis J.A. van der Pas

Artikel 1 Definities

1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt,

hebben dezelfde betekenis.

1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die deel uitmaken van deze

Verwerkersovereenkomst.

Artikel 2 Ingangsdatum en duur

2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is

gekomen, tenzij Partijen anders overeenkomen.

2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van

Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd.

Artikel 3 Onderwerp van deze Verwerkersovereenkomst

3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde

Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de

uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies

van Verwerkingsverantwoordelijke. Afwijking hiervan kan alleen als wettelijke verplichtingen of

bindende uitspraken van de toezichthoudende autoriteit of een bevoegde rechter anders

bepalen, of een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke

wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker

Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan in kennis stellen,

tenzij deze kennisgeving om gewichtige redenen van algemeen belang is verboden.

3.2 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.

22

Artikel 4 Inhoudelijke afspraken

4.1 Beveiligingsmaatregelen

Verwerker zorgt voor passende technische en organisatorische maatregelen om de

Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop

Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage

2.

4.2 Audits

Verwerker verleent alle benodigde medewerking aan audits over de nakoming van de

afspraken binnen deze Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel

van certificering heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten

van deze controle worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten

als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet

ondergeschikte aard van Verwerker constateert die ten nadele zijn van

Verwerkingsverantwoordelijke.

4.3 Verwerking buiten de EER

Verwerker mag Persoonsgegevens alleen buiten de Europese Economische Ruimte

verwerken als hij daarvoor uitdrukkelijk schriftelijk toestemming heeft gekregen van

Verwerkingsverantwoordelijke.

4.4 Geheimhouding

Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens

waarmee zij werken geheimhouden. De personen die werken voor Verwerker en

subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een

andere manier schriftelijk gebonden aan de geheimhouding.

4.5 Subverwerkers

De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers

vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij

algemene toestemming voor de inschakeling van subverwerkers. Verwerker houdt na de start

van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde

inschakeling van nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven artikel

28.2 en 28.4 AVG onverkort van kracht.

4.6 Rechten van betrokkenen

Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG,

helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een

beslissing te nemen.

4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een

gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als

bedoeld in artikel 35 en 36 AVG.

Artikel 5 Inbreuk in verband met Persoonsgegevens

5.1 Verwerker zal Verwerkingsverantwoordelijke zo snel mogelijk, maar uiterlijk binnen 24 uur,

informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met

Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van

de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het

aantal betrokkenen.

5.2 In geval van een Inbreuk neemt Verwerker zo snel mogelijk alle maatregelen om de Inbreuk te

herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.

5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op

Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom

vraagt.

5.4 Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de

toezichthoudende autoriteit en/of Betrokkene.

Artikel 6 Aansprakelijkheid

6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van aansprakelijkheid

hebben ook betrekking op de Verwerkersovereenkomst.

23

Artikel 7 Beëindigen verwerkersovereenkomst

7.1 Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de

Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van

Persoonsgegevens.

7.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.

Artikel 8 Overige bepalingen

8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één

Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde

bevoegde rechter als genoemd in de Hoofdovereenkomst.

Ondertekening

Aldus overeengekomen en in tweevoud ondertekend,

Ingangsdatum: <……………>

Gemeente <naam gemeente> <Naam organisatie>

namens deze: <naam, functie> namens deze: <naam, functie>

plaats: <……………..> plaats: <………………………>

datum: <………………….> datum: <…………………….>

Bijlage 1: Overzicht van te verwerken persoonsgegevens

1. Naam verwerking, doeleinden categorieën van betrokkenen, soort persoonsgegevens en

eventuele doorgifte naar derde landen.

2. Contactgegevens

NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.

3. Ingeschakelde subverwerkers

Bijlage 2: Aantonen passend niveau van beveiliging

• •

  Normenstelsel

  • •

    De informatiebeveiliging vindt plaats volgens algemeen erkende normen, namelijk:

    ……………………………………………………………………………………………………………

    …….. (vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS).

  • •

    De informatiebeveiliging vindt plaats volgens een algemeen erkende overheidsnorm zoals

    de BIG (of de BIR, BIO) of vergelijkbaar, namelijk:

    ……………………………………………………………………………………………………..

  • •

    Anders, nl. ……………………………………………………………………………………..

• •

  De toereikendheid van de informatiebeveiliging blijkt uit de volgende certificering en verklaring van toepasselijkheid:

  • •

    Periodieke externe controles zoals audits, pentesten of TPM’s (bijv. ISAE3xxx SOC type II). ;

  • •

    Een Assurance rapport van een auditor die is aangesloten bij NOREA;

  • •

    Eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder

    beschreven:

    ……………………………………………………………………………………………

NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen

blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in bijlage 1.