Privacybeleid De Ronde Venen 2022

Bijlage addendum  

Het college van burgemeester en wethouders en de burgemeester van de gemeente De Ronde Venen, ieder voor zover het zijn eigen bevoegdheden betreft;

Gelet op de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG), de Wet politiegegevens (Wpg) en het Privacybeleid De Ronde Venen 2022;

Overwegende dat de gemeente middels dit addendum op het Privacybeleid richting geeft aan de privacy uitgangspunten en laat zien dat zij de privacy van burgers, medewerkers en (keten)partners waarborgt, beschermt en handhaaft;

Overwegende dat de verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (BOA's) niet alleen onder de AVG maar ook onder de Wet politiegegevens (Wpg) valt;

besluit:

vast te stellen het volgende addendum:

Addendum Privacybeleid De Ronde Venen 2022 vanwege de Wet politiegegevens

1.Inleiding

Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). De Ronde Venen heeft in haar Privacybeleid Gemeente De Ronde Venen 2022 en Informatiebeveiligingsbeleid 2018-2021 vastgelegd hoe zij omgaat met de bescherming van persoonsgegevens. De verwerking van persoonsgegevens moet zorgvuldig, rechtmatig en veilig plaatsvinden.

De verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (BOA's) valt niet alleen onder de AVG maar ook onder de Wet politiegegevens (Wpg). BOA’s kunnen als taak hebben bepaalde categorieën strafbare feiten op te sporen. In zo’n geval geldt de Wpg. De toezichtstaken van de BOA vallen onder de AVG. Daarnaast is een aantal andere regelingen van toepassing op de verwerking van politiegegevens. Zoals het Besluit politiegegevens (Bpg), het Besluit politiegegevens buitengewoon opsporingsambtenaren en de Regeling periodieke audit politiegegevens. De Ronde Venen heeft een aantal BOA’s in dienst, en is als werkgever 'verwerkingsverantwoordelijke' in het kader van de Wpg en AVG.

Dit addendum beschrijft het Privacybeleid op het gebied van de Wpg en is een uitwerking van de korte vermelding in het Privacybeleid Gemeente De Ronde Venen 2022.

2.De BOA's bij gemeente De Ronde Venen

De BOA's in dienst bij gemeente De Ronde Venen vallen onder het zogenoemde domein I: Openbare Ruimte. Zij zijn bevoegd processen-verbaal uit te schrijven en, namens de burgemeester en het college van burgemeester en wethouders van De Ronde Venen, bestuurlijke strafbeschikkingen aan te kondigen.

De BOA's van De Ronde Venen verwerken politiegegevens ten behoeve van de uitvoering van de politietaak als bedoeld in de artikelen 8, 9 en 13 van de Wpg. Afhankelijk van de grondslag gelden er andere voorwaarden, bijvoorbeeld voor de verwerkingstermijn en toegankelijkheid voor andere opsporingsambtenaren. Het overgrote deel van de verwerkingen van een BOA valt overigens onder artikel 8 van de Wpg.

De Ronde Venen neemt geen besluiten die uitsluitend zijn gebaseerd op geautomatiseerde verwerking, als bedoeld in de Wpg. Ook vergelijkt De Ronde Venen politiegegevens niet geautomatiseerd met andere politiegegevens.

3.Doelstellingen van het privacybeleid

Het privacybeleid van De Ronde Venen beschrijft hoe de gemeente verantwoordelijk en binnen wettelijke kaders met persoonsgegevens omgaat. Voor de reikwijdte van dit addendum bestaat het wettelijk kader voor bescherming van persoonsgegevens uit de Wpg en de in de inleiding genoemde regelingen. De Ronde Venen implementeert de verplichtingen uit die wet- en regelgeving op zorgvuldige wijze. De BOA's van De Ronde Venen zijn zich ervan bewust dat zij zorgvuldig moeten omgaan met politiegegevens. Zij worden daarin getraind en er gelden interne werkinstructies hoe om te gaan met politiegegevens. Het geautomatiseerde systeem waarmee zij politiegegevens verwerken dwingt af dat de verwerking op rechtmatige wijze plaatsvindt.

De Ronde Venen wil met dit addendum op het privacybeleid onder andere bereiken dat de BOA's:

• –

  zich ten volle bewust zijn van de noodzaak om zorgvuldig en op rechtmatige wijze om te gaan met politiegegevens;

• –

  de rechten van betrokkenen respecteren en werken volgens de vastgestelde procedures;

• –

  het vertrouwen van betrokkenen in de overheid niet beschamen;

• –

  gedrag vertonen dat past bij goed werknemerschap;

• –

  de kans op financiële en imagoschade minimaliseren.

4.Juridisch kader

Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkenen voorop. Onnodige of te verregaande inbreuken moeten worden voorkomen. De AVG regelt het algemene kader voor de omgang met persoonsgegevens binnen de landen van de Europese unie. De uitgangspunten van de AVG staan beschreven in het Privacybeleid Gemeente De Ronde Venen 2022.

Het normenkader van de Wpg is grotendeels gelijkluidend aan dat van de AVG. Op hoofdlijnen geldt aanvullend nog het volgende:

• –

  de BOA's van De Ronde Venen kunnen naast hun opsporingstaken ook bestuursrechtelijke toezichts- en handhavingstaken hebben. Zij krijgen dan bij het verwerken van persoonsgegevens te maken zowel met de AVG als met de Wpg. In de verwerking van gegevens moet duidelijk zijn welke gegevens er worden verwerkt onder de AVG en welke onder de Wpg. De BOA's van De Ronde Venen doen dit door gebruik te maken van het zaaksysteem en een registratiesysteem. Hierbuiten worden geen politiegegevens verwerkt;

• –

  de Wpg stelt andere eisen aan de verwerking van persoonsgegevens dan de AVG. Zo geldt onder andere de plicht tot delen met ieder andere opsporingsambtenaar die deze gegevens nodig heeft voor zijn werk (zowel alle BOA's als algemene opsporingsambtenaren werkzaam bij de politie).

De hierna genoemde verplichtingen uit de Wpg zijn veelal geborgd binnen het registratiesysteem:

• –

  er moet een scheiding worden aangebracht tussen gegevens die op feiten zijn gebaseerd en gegevens die op een persoonlijk oordeel zijn gebaseerd;

• –

  er moet onderscheid worden gemaakt tussen betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden;

• –

  documentatie is vereist van de doelen van onderzoeken, verstrekking of doorgifte, afwijzing van verzoeken om inzage, inbreuk op de beveiliging, doorgifte buiten de EU met datum en tijd, ontvanger, redenen en doorgegeven gegevens en melding van gemeenschappelijke verwerkingen aan de Autoriteit Persoonsgegevens (AP);

• –

  er vindt logging plaats in geautomatiseerde systemen van de invoer van gegevens in systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens;

• –

  er worden specifieke eisen gesteld aan de informatiebeveiliging uit het Bpg;

• –

  er gelden specifieke termijnen voor het bewaren, verwijderen en vernietigen van politiegegevens;

• –

  er geldt met ingang van 2021 een verplichting tot het uitvoeren van externe privacy audits. De rapportage die hieruit voortvloeit moet worden verstrekt aan de AP. Als er tekortkomingen zijn geconstateerd moet 3 maanden na het uitvoeren van de audit een verbeterrapport worden opgesteld, waarop binnen een jaar een hercontrole plaatsvindt. De hercontrole geldt alleen voor die onderdelen van de wet waar de tekortkomingen geconstateerd worden. De resultaten van de hercontrole worden vastgelegd in een rapportage en eveneens verstrekt aan de AP, uiterlijk 1 jaar na het uitvoeren van de externe audit.

Tot slot kan nog worden gewezen op de volgende verplichtingen:

• –

  inrichting van processen en systemen moet plaatsvinden volgens de principes van gegevensbescherming door beveiliging en ontwerp, gegevensbescherming door standaardinstellingen;

• –

  er gelden deels specifieke eisen voor de uitvoering van gegevensbeschermings-effectbeoordelingen;

• –

  er geldt een plicht om een register van verwerkingen bij te houden, met daarin, aanvullend op de in de AVG gevraagde informatie, het bestaan van profilering, de categorieën van gegevens die worden doorgegeven buiten de EU, de grondslag, de toekenning van autorisaties;

• –

  het melden van datalekken, voorafgaande raadpleging van de AP en het benoemen van een Functionaris Gegevensbescherming voor dit domein.

5.Register van verwerkingen

Net als de AVG verplicht de Wpg tot het bijhouden van een register van verwerkingen. Wel zijn er enkele verschillen die hierna met een (*) zijn aangeduid. Het register van verwerkingen in het kader van de Wpg moet het volgende bevatten:

• –

  de naam en de contactgegevens van de verwerkingsverantwoordelijke, de gezamenlijk verwerkingsverantwoordelijken en de functionaris voor gegevensbescherming;

• –

  de doelen van de verwerking;

• –

  de categorieën van ontvangers aan wie politiegegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties;

• –

  een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

• –

  in voorkomend geval: het gebruik van profilering (*);

• –

  in voorkomend geval: de categorieën van doorgiften van politiegegevens aan een derde land of een internationale organisatie;

• –

  een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de politiegegevens bedoeld zijn. (*);

• –

  zo mogelijk: de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd;

• –

  zo mogelijk: een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging;

• –

  de toekenning van de autorisaties. (*)

6.Verwerkersovereenkomsten

Een verwerker is een derde partij die in opdracht van de verwerkersverantwoordelijke persoonsgegevens verwerkt. Bij veel processen van gemeente De Ronde Venen worden gegevens verwerkt door derden. Hiervoor zijn verwerkersovereenkomsten afgesloten.

In deze verwerkersovereenkomsten wordt ten minste het volgende opgenomen (artikel 6:1b van het Bpg):

• –

  het onderwerp en de duur van de verwerking;

• –

  de aard en het doel van de verwerking;

• –

  het soort gegevens waarop de wet van toepassing is;

• –

  de categorieën van betrokkenen en de verplichtingen en de rechten van de verwerkingsverantwoordelijke.

Met name moet in de verwerkersovereenkomst zijn opgenomen dat de verwerker:

• –

  uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;

• –

  er zorg voor draagt dat de tot het verwerken van politiegegevens gemachtigde personen zich ertoe hebben verplicht vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting daaraan gebonden zijn;

• –

  de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;

• –

  na afloop van de gegevensverwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle gegevens wist of hem deze ter beschikking stelt, en bestaande kopieën verwijdert, tenzij opslag van die gegevens verplicht is;

• –

  de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om nakoming van in dit artikel gestelde voorschriften aan te tonen en aan de in dit artikel gestelde voorschriften voldoet bij de inschakeling van een andere verwerker en bij die inschakeling overeenkomstig artikel 6c, vierde lid, van de Wpg, handelt.

7.Informatiebeveiligingsbeleid

Het College van Burgemeester en Wethouders stelde op 5 december 2018 het Informatiebeveiligingsbeleid 2018 - 2021 vast. De basis voor dit beleid is de NEN-ISO/IEC 27001:2017 en de daarvan afgeleide Baseline Informatiebeveiliging Overheid, de BIO. Het is een richtinggevend en kader stellend beleidsdocument. De Ronde Venen vult het aan met beleid voor informatiebeveiliging op tactisch en operationeel niveau met specifieke (beleids-) documenten.

Het informatiebeveiligingsbeleid geldt voor alle activiteiten van De Ronde Venen. Ook voor de activiteiten die vallen onder de Wpg geldt dat passende technische en organisatorische maatregelen moeten zijn genomen en geïmplementeerd, op basis van een risicoanalyse waaruit het risiconiveau blijkt met betrekking tot ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging. Deze maatregelen moeten bovendien periodiek worden geëvalueerd en zo nodig geactualiseerd. Het volgende is dan van belang:

• –

  De Ronde Venen verwerkt in principe geen politiegegevens in de eigen systemen. Alleen het registratiesysteem bevat politiegegevens van de BOA's van De Ronde Venen. Met de externe verwerker is een verwerkersovereenkomst afgesloten op basis van het landelijk geldende model;

• –

  In de Wpg zijn verplichtingen opgenomen met betrekking tot het uitvoeren van interne en externe audits. De Ronde Venen moet als verwerkingsverantwoordelijke jaarlijks een interne audit uitvoeren en om de vier jaar een externe audit;

• –

  De externe audit op het registratiesysteem maakt onder andere duidelijk of/dat in de applicatie alleen politiegegevens kunnen worden verwerkt als dat nodig is voor de in de wet genoemde doeleinden, of/dat er in beginsel geen gegevens kunnen worden verwerkt waarvoor geen doelbinding bestaat en of/dat gegevens in de applicatie niet op een met die doeleinden onverenigbare wijze kunnen worden verwerkt;

• –

  Er is een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid. Dit houdt in dat De Ronde Venen alleen die personen heeft geautoriseerd die vanuit hun functie en de wet toegang mogen hebben tot bepaalde politiegegevens voor alleen die gegevens. Er is een proces voor het toewijzen, wijzigen en intrekken van autorisaties ten behoeve van de toegang tot politiegegevens. De teamleider Integrale Veiligheid is hiervoor verantwoordelijk. Er zijn maatregelen vastgesteld en geïmplementeerd met als doel dat periodiek de identiteit en de toegangsrechten van een gebruiker worden gecontroleerd. Daarmee borgt De Ronde Venen de rechtmatige toegang tot de gegevens.

8.Functionaris Gegevensbescherming, Privacy Adviseur en Bevoegd Functionaris

De Functionaris Gegevensbescherming (FG)

Net als de AVG verplicht artikel 36 van de Wpg tot het aanstellen van de FG. De FG wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens. De FG is tenminste belast met de volgende taken:

• –

  het toezien op de naleving van de Wpg en op het beleid van De Ronde Venen als verwerkingsverantwoordelijke, inclusief de toewijzing van autorisaties, bewustmaking en opleiding van de BOA's en de audits, bedoeld in artikel 33 van de Wpg;

• –

  het informeren en adviseren van De Ronde Venen als verwerkingsverantwoordelijke en de BOA's over hun verplichtingen op grond van de Wpg en andere wetgeving over de bescherming van persoonsgegevens;

• –

  het geven van advies over DPIA's en het toezien op de uitvoering ervan;

• –

  het samenwerken met en optreden als contactpunt voor de AP;

• –

  het opstellen van een jaarverslag over zijn bevindingen.

De contactgegevens van de FG zijn openbaar en staan vermeld op de website van De Ronde Venen. De FG is aangemeld bij de AP.

De Privacy Adviseur (PA)

Een organisatie met BOA's hoeft naast de FG niet ook een Privacy Adviseur aan te wijzen als bedoeld in artikel 34 van de Wpg. Idee daarachter is dat veel organisaties met BOA's daarvoor vaak te klein zijn. Het zou een onevenredige belasting geven.

Binnen De Ronde Venen, als BOA-organisatie, zou dit betekenen dat de FG dit takenpakket van de Privacy Adviseur erbij zou moeten nemen. Dit is niet wenselijk. De Ronde Venen heeft er daarom voor gekozen dat de beschreven taken van Privacy Adviseur worden uitgevoerd in goede samenwerking tussen de AVG Privacy Adviseur, de Bevoegd Functionaris en de Wpg-FG.

Gezamenlijke taken:

• –

  geeft de verwerkingsverantwoordelijke en de personen die voor de verwerkings-verantwoordelijke werkzaam zijn advies over privacyvraagstukken en ziet toe op de rechtmatige verwerking van politiegegevens;

• –

  houdt een overzicht bij van de schriftelijke vastlegging van de gegevens, als bedoeld in artikel 32, eerste lid, van de Wpg. Dat gaat over de doelen van de onderzoeken, bedoeld in artikel 9, tweede lid, van de Wpg, de verstrekking of doorgifte van politiegegevens, de feitelijke of juridische redenen die ten grondslag liggen aan een afwijzing, bedoeld in artikel 27 eerste lid van de Wpg en een inbreuk op de beveiliging van persoonsgegevens, inclusief de feiten over, van, voor de inbreuk, de gevolgen ervan en de maatregelen die zijn getroffen ter correctie;

• –

  de Privacy Adviseur stelt ook jaarlijks een verslag op van zijn bevindingen.

De Bevoegd Functionaris (BF)

Dit is de ‘hoeder’ van de gegevens die onder artikel 9 Wpg worden verwerkt. Deze functionaris is beschreven in artikel 2:10, eerste lid, van het Besluit politiegegevens (Bpg). Het moet een persoon zijn met voldoende kennis en vaardigheden over dit type gegevens. Deze functionaris beslist bijvoorbeeld wie er toegang mag hebben tot deze gegevens en of ze verstrekt kunnen worden aan een samenwerkingspartner. Voor de taken zie Privacy Adviseur.

9.Rechten van betrokkenen

De rechten van betrokkenen onder de AVG staan beschreven in het Privacybeleid Gemeente De Ronde Venen 2022 van De Ronde Venen. Op hoofdlijnen zijn deze rechten op grond van de Wpg gelijkluidend.

Specifiek voor de Wpg geldt nog het volgende:

• –

  de verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit beknopt, toegankelijk en duidelijk, zodat de betrokkene zijn rechten kan uitoefenen. De informatievoorziening voldoet aan de eisen uit artikel 24b van de Wpg;

• –

  bij uitstel, beperking of achterwege laten van de verstrekking van informatie bedoeld in artikel 24b van de Wpg is het uitstel, de beperking of het achterwege laten alsmede de duur van deze maatregel onderbouwd;

• –

  een verzoek om inzage, rectificatie of vernietiging wordt afgewezen voor zover dit noodzakelijk en evenredig is ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures, ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, ter bescherming van de openbare veiligheid, ter bescherming van de rechten en vrijheden van derden, ter bescherming van de nationale veiligheid en ingeval van een kennelijk ongegrond of buitensporig verzoek. Een gehele of gedeeltelijke afwijzing van een verzoek is schriftelijk en bevat de redenen voor de afwijzing.

De Ronde Venen geeft hieraan uitvoering door op de eigen website te melden wat de rechten van betrokkenen zijn en hoe men daarvan gebruik kan maken. De verwerkte politiegegevens, met uitzondering van de gegevens over de BOA’s, vallen onder de uitsluitingsgronden van de Wpg.

10.Het bewaren van politiegegevens

De AVG zorgt ervoor dat gegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel waar ze voor nodig zijn. Dit doel wordt beschreven in verschillende wetten, daarom lopen de bewaartermijnen van persoonsgegevens uiteen. Daarnaast geldt de Archiefwet voor het bewaren van papieren en elektronische documenten. De bewaartermijnen staan vermeld in het register van verwerkingen.

Politiegegevens worden niet langer bewaard dan de minimale tijd die nodig is, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt. De Ronde Venen dient als verwerkingsverantwoordelijke te voorzien in voldoende waarborgen om te bewerkstelligen dat de gegevens conform de wet worden gecontroleerd, verwijderd en vernietigd. Politiegegevens dienen na verwijdering nog maximaal vijf jaar worden bewaard en worden dan vernietigd. Indien van cultureel of historisch belang, kan er worden afgezien van vernietiging van de gegevens. Er wordt dan aan de bewaareisen als genoemd in de Archiefwet voldaan.

Binnen het registratiesysteem worden alle politiegegevens gelabeld als Wpg artikel 8, 9 en 13 informatie. Voor elk label is de bewaartermijn conform de wettelijke bepaling geconfigureerd, zodat geborgd wordt dat deze politiegegevens niet langer worden bewaard dan de minimale tijd die nodig is, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt.

11.Het ter beschikking stellen en verstrekken van politiegegevens

De Wpg maakt een onderscheid tussen het ter beschikking stellen van politiegegevens en het verstrekken ervan. Het ter beschikking stellen van politiegegevens houdt in dat deze in principe worden gedeeld met eenieder die de gegevens nodig heeft voor de uitoefening van zijn taak. Bij dit ‘need to know’- principe dient altijd een noodzakelijkheids-, proportionaliteits- en subsidiariteitsafweging te worden gemaakt. Het ter beschikking stellen voltrekt zich dus binnen het Wpg-domein.

Bij het verstrekken van politiegegevens gaat het om het delen van gegevens buiten het Wpg-domein. In dat geval moet zijn geborgd dat politiegegevens alleen worden verstrekt aan personen of instanties buiten het politiedomein, voor zover dit noodzakelijk is voor de doeleinden zoals deze in de Wpg en het Bpg zijn genoemd. Geborgd moet ook zijn dat wanneer gegevens verstrekt worden, er wordt voldaan aan de documentatieplicht en dat de verstrekking alleen plaatsvindt in overeenstemming met het bevoegd gezag indien dit vereist is in de wet. Het gaat dan bijvoorbeeld om verstrekkingen aan de burgemeester, een toezichthouder, een advocaat of een functionaris in het kader van de Wet Bibob. Uitgangspunt is overigens dat De Ronde Venen geen politiegegevens verstrekt aan anderen dan medewerkers van politie, Koninklijke marechaussee en/of het OM, voordat er vooraf met de Bevoegd Functionaris is getoetst of deze verstrekking voldoet aan de wetgeving. De Ronde Venen verstrekt geen politiegegevens aan ontvangers in derde landen of internationale organisaties.

De Ronde Venen dient ook inzicht te hebben in de samenwerkingsverbanden waarbij politiegegevens worden verstrekt. In de beslissing voor het verstrekken van politiegegevens ten behoeve van een samenwerkingsverband wordt vastgelegd:

• –

  ten behoeve van welk zwaarwegend algemeen belang de verstrekking noodzakelijk is;

• –

  ten behoeve van welk samenwerkingsverband de politiegegevens worden verstrekt;

• –

  het doel waartoe dit is opgericht;

• –

  welke gegevens worden verstrekt;

• –

  de voorwaarden onder welke de gegevens worden verstrekt;

• –

  aan welke personen of instanties de gegevens worden verstrekt.

De daadwerkelijke verstrekking van gegevens dient ook te worden vastgelegd.

Er zijn vanuit De Ronde Venen op dit moment een drietal samenwerkingsverbanden waarbij politiegegevens worden verstrekt, namelijk PGA, RIEC en Veiligheidshuis (TopX).

Het registratiesysteem voorziet in een functionaliteit waarmee verstrekkingen kunnen worden geregistreerd en gedocumenteerd. Daarnaast kan De Ronde Venen gebruik maken van de Verstrekkingenwijzer voor BOA's en is binnen De Ronde Venen de teamleider Integrale Veiligheid aangewezen als Bevoegd Functionaris bij het doen van verstrekkingen. Tot slot beschikt het registratiesysteem over functionaliteiten om gegevens op een veilige manier, door middel van tweefactor authenticatie en beveiligde verbinding, te verstrekken aan personen.

12.Het melden van datalekken

Artikel 33a van de Wpg bepaalt dat een datalek ('inbreuk op de beveiliging') onverwijld en uiterlijk binnen 72 uur nadat ervan kennis is genomen moet worden gemeld aan de AP, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. Als de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.

De Ronde Venen moet het datalek ook aan de betrokkenen mededelen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt.

Op deze mededelingsplicht zijn enkele uitzonderingen van toepassing, onder andere als de mededeling achterwege moet blijven ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

Indien sprake is van een datalek bij een externe verwerker gelden dezelfde regels. In de verwerkersovereenkomst met de leverancier zijn hierover nadere afspraken vastgelegd.

13.Bewustwording binnen De Ronde Venen

Het zorgvuldig omgaan met persoonsgegevens is enerzijds een kwestie van het organiseren van een goede informatieveiligheid en het zorgvuldig inrichten van werkprocessen, anderzijds is het een zaak van bewustwording bij de BOA's van De Ronde Venen. Het bewustzijn wordt voortdurend aangescherpt, zodat kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd.

De BOA's van De Ronde Venen verwerken de politiegegevens in principe alleen in het daarvoor bestemde registratiesysteem. Dit betreft de processenverbaal en de bestuurlijke strafbeschikkingen op het gebied van openbare ruimte. Daartoe volgen zij regelmatig trainingen en opleidingen en gelden interne werkinstructies en afspraken.

14.Open communicatie

Betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. De Ronde Venen creëert dat vertrouwen door inzichtelijk te maken, door middel van verschillende communicatiekanalen, op welke wijze zij persoonsgegevens verwerkt en beheert. Dit staat in de privacyverklaring van De Ronde Venen die op de website is te vinden: www.derondevenen.nl. Ook informatie over de rechten van betrokkenen is daar te vinden.

Ondertekening

Aldus vastgesteld op 13 september 2022 te Mijdrecht.

Burgemeester en wethouders van De Ronde Venen,

de gemeentesecretaris, Ruud Kleijnen

de burgemeester, Maarten Divendal

de burgemeester van De Ronde Venen, Maarten Divendal