Privacyreglement Gemeente Tholen

1.Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens (zowel inwoners, ondernemers als medewerkers) door alle bestuursorganen van de gemeente (commissies, burgemeester, college van burgemeester en wethouders en gemeenteraad). Oftewel: voor alle verwerkingen die binnen de gemeentelijke organisatie plaatsvinden.

2.Verantwoordelijke

De bestuursorganen van de gemeente zijn onder andere de onafhankelijke commissies, burgemeester, het college van burgemeesters en wethouders (college van B&W) en de Raad. Ieder van deze onderdelen is verantwoordelijk voor een deel van de gegevensverwerkingen binnen de gemeentelijke organisatie. In het register van verwerkingen staat per proces, waar persoonsgegevens verwerkt worden, aangegeven welk orgaan de verwerkingsverantwoordelijke is.

3.Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking:

• •

  Verzamelen, vastleggen en ordenen

• •

  Bewaren, bijwerken en wijzigen

• •

  Opvragen, raadplegen, gebruiken

• •

  Verstrekken door middel van doorzending

• •

  Verspreiding of enige andere vorm van ter beschikkingstellen

• •

  Samenbrengen, met elkaar in verband brengen

• •

  Afschermen, uitwissen of vernietigen van gegevens

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

Doeleinden (Artikel 5, AVG)

Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Jeugdwet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden. Gemeente Tholen legt de doelen van gegevensverwerkingen vast in het register van verwerkingen.

Rechtmatige grondslag (Artikel 6, AVG)

Voor elke verwerking van persoonsgegevens moet een rechtmatige grondslag uit de wet van toepassing zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

• •

  Om een verplichting na te komen die in de wet staat

• •

  Voor de uitvoering van een overeenkomst waar de betrokkene partij is

• •

  Om vitale belangen te beschermen

• •

  Voor de goede vervulling van de gemeentelijke taak

• •

  Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking

• •

  Wanneer sprake is van een gerechtvaardigd belang.

De gemeente Tholen legt in het register van verwerkingen per proces, waar persoonsgegevens worden verwerkt, vast met welke rechtmatige grondslag deze verwerking plaatsvindt.

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf.

De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere, minder privacy-ingrijpende, manier kan worden bereikt. In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

De gemeente zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Personen die deze gegevens verwerken zijn gebonden aan een geheimhoudingsplicht.

Daarnaast beveiligt de gemeente alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe de gemeente dit doet staat in het informatiebeveiligingsbeleid van de gemeente en in een eventueel aanvullend beveiligingsplan specifiek opgesteld voor een proces of registratie.

Doorgifte (Artikel 44 t/m 50, AVG)

De gemeente geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

4.Transparantie en communicatie

Wet Open Overheid (WOO)

Sinds 1 mei 2022 is de Wet Open Overheid (WOO) van toepassing. De WOO regelt het recht op informatie over alles wat de gemeente doet. Door middel van de WOO kan er informatie worden opgevraagd. Wanneer er informatie wordt opgevraagd kijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Informatieplicht (Artikel 13 en 14 AVG)

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven, worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens om zal gaan. Dit is te vinden op de website van de gemeente in het ‘Openbaar register van verwerkingen’. Daarnaast is hier het privacybeleid van de gemeente gepubliceerd.

Verwijdering

De gemeente bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van gemeentelijke taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

• •

  Recht op informatie: Betrokkenen hebben het recht om aan de gemeente te vragen of zijn/haar persoonsgegevens worden verwerkt.

• •

  Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.

• •

  Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de gemeente om dit te corrigeren.

• •

  Recht van verzet: Betrokkenen hebben het recht aan de gemeente te vragen om hun persoonsgegevens niet meer te gebruiken.

• •

  Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

• •

  Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. De gemeente zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan via de website met behulp van DigiD worden ingediend. Daarnaast kan er via een afspraak op het gemeentehuis een verzoek ingediend worden met het formulier dat op de website staat.

De gemeente heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de gemeente laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Naar aanleiding van een verzoek kan de gemeente aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

5.Inzet van camera’s

Binnen de gemeente wordt onder bepaalde omstandigheden gebruik gemaakt van cameratoezicht, zoals vastgelegd in de Gemeentewet. Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen worden er eisen gesteld aan de inzet van camera’s. Voor de inzet van camera’s heeft de gemeente Tholen een intern cameraprotocol opgesteld.

6.Cookies

Een cookie is een klein tekstbestand dat bij het eerste bezoek aan de website van de gemeente wordt opgeslagen. Websites moeten bezoekers toestemming vragen voor plaatsing van cookies. De cookiewet maakt een uitzondering voor cookies die niet privacygevoelig zijn. Bijvoorbeeld voor cookies die bezoekersaantallen bijhouden. Gemeente Tholen gebruikt alleen technische en functionele cookies. De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van de website.

7.Plichten van de gemeente

De gemeente heeft een aantal verplichtingen o.g.v. de AVG, de belangrijkste worden hieronder weergegeven.

Register van verwerkingen (Artikel 30, AVG)

De gemeente is verantwoordelijk voor het aanleggen en onderhouden van een register van alle verwerkingen waarvan de gemeente de verwerkingsverantwoordelijke is. Elke verwerking bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

• •

  De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;

• •

  De doelen van de verwerking;

• •

  Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

• •

  Een beschrijving van de ontvangers van de persoonsgegevens;

• •

  Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

• •

  De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;

• •

  Een algemene beschrijving van de beveiligingsmaatregelen.

Gegevensbeschermingseffectbeoordeling (Artikel 35, AVG)

Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. De gemeente voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

Het uitvoeren van een DPIA is niet altijd verplicht. In geval van hogere risico’s (bijvoorbeeld bij de verwerking van bijzondere persoonsgegevens, grootschalige verwerkingen, verwerkingen van bijzondere kwetsbare doelgroepen zoals jongeren, etc.) is een DPIA verplicht. Per DPIA wordt advies aan de FG gevraagd. Als uit een DPIA blijkt dat er sprake is van risicovolle verwerkingen zonder dat het mogelijk is hier maatregelen tegen te nemen wordt de Autoriteit Persoonsgegevens op de hoogte gesteld. De Autoriteit Persoonsgegevens maakt het overzicht met risicovolle verwerkingen openbaar.

De Privacy Officer heeft een uitvoerende functie bij het opstellen van een DPIA maar de proceseigenaren zijn verantwoordelijk voor het opstellen van de DPIA. De gemeente heeft een procedure opgesteld omtrent de DPIA’s.

Verwerkersovereenkomsten

Wanneer de gemeente externe partijen in de hand neemt om persoonsgegevens te verwerken wordt er een overeenkomst opgesteld tussen beide partijen omtrent de bescherming van persoonsgegevens. Deze overeenkomsten heten verwerkersovereenkomsten. In de overeenkomst worden afspraken gemaakt over:

• -

  De doeleinden waarvoor de gegevens mogen worden verwerkt,

• -

  Hoe de verwerker met de persoonsgegevens moet omgaan,

• -

  Welke beveiligingsmaatregelen moeten worden genomen,

• -

  Welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen,

• -

  De geheimhoudingsplicht,

• -

  Inschakeling van derden en onderaannemers,

• -

  Locatie van de data,

• -

  Aansprakelijkheid in geval van schade door het niet naleven van regelgeving

• -

  Het vernietigen van persoonsgegevens na beëindiging van de overeenkomst

Privacy by design/ Privacy by default

Privacy by Design houdt in dat vanaf het ontwerpen van een nieuw of aangepast proces, product, dienst of informatiesysteem wordt nagedacht over het rechtmatig, behoorlijk en transparant verwerken van persoonsgegevens en de maatregelen die hiervoor nodig zijn. Privacy by Default betekent dat de standaardinstellingen in systemen zijn ingesteld om maximale privacy bescherming te borgen. De AVG noemt dit ‘Gegevensbescherming door ontwerp en standaardinstellingen’. Bij het toepassen van Privacy by Design/Default wordt advies aan de FG gevraagd. De Privacy Officer kan ondersteunen bij het toepassen. De gemeente heeft een procedure opgesteld in het kader van Privacy by design/ privacy by default

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)

De gemeente heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de AP. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy. Voor vragen over privacy kunt u contact opnemen met de functionaris voor gegevensbescherming van gemeente Tholen via functionaris.gegevensbescherming@tholen.nl.

Datalekken (Artikel 33,34, AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben, onbedoeld gewijzigd worden of onbedoeld niet langer beschikbaar zijn. Wanneer er een datalek heeft plaatsgevonden, die een risico kunnen vormen voor de vrijheden van betrokkenen meldt de gemeente dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de gemeente dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

Niet alle datalekken hoeven te worden gemeld aan de AP en/of de betrokkene. Datalekken worden intern gemeld en onderzocht door de Privacy Officer.

De gemeente Tholen heeft voor haar medewerkers een werkinstructie opgesteld omtrent het melden van datalekken. In deze instructie staat tevens aangegeven wanneer een datalek gemeld moet worden.

8.Rollen, taken en verantwoordelijkheden

In dit hoofdstuk zal er verder worden ingegaan op de rollen, taken en verantwoordelijkheden die horen bij het onderwerp privacy binnen de gemeente Tholen. De organisatie is in het kader van privacy ingedeeld in drie domeinen:

• -

  College van B&W/ Directie

• -

  Team informatievoorziening

• -

  De organisatie

College van B&W

Het college van B&W van de gemeente Tholen is eindverantwoordelijk om te waarborgen dat persoonsgegevens worden beschermd in overeenstemming met wet- en regelgeving. Het college stelt tevens kaders voor de bescherming van de privacy op basis van wet- en regelgeving.

Directie

De directie van de Gemeente Tholen:

• -

  Is verantwoordelijk voor kaderstelling en sturing,

• -

  Stuurt op gestelde kaders,

• -

  Controleert of de getroffen maatregelen voldoende bescherming bieden om de privacy van betrokkenen te beschermen,

• -

  Beoordeelt periodiek het privacybeleid op basis van de evaluatie en aanpassingen van het privacybeleid

• -

  Draagt, conform artikel 38 lid 2 van de AVG, er zorg voor dat de FG over voldoende middelen (waaronder tijd) ter beschikking wordt gesteld voor het vervullen van zijn taken en het in stand houden van zijn deskundigheid.

Team Informatievoorziening

Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming, FG, is binnen de organisatie een onafhankelijk toezichthouder op de toepassing van de AVG en krijgt geen instructies over de uitvoering van taken. Tevens krijgt de FG vanuit de directie voldoende middelen ter beschikking voor het vervullen van zijn taken. De FG mag naast zijn werkzaamheden eventueel andere functies vervullen maar er mag geen sprake zijn van belangenverstrengeling.. De FG krijgt voorafgaand aan een verwerking van persoonsgegevens een melding van de proceseigenaar/manager.

De FG heeft minimaal de volgende taken:

• -

  Informeert en adviseert de organisatie met betrekking tot het beschermen van persoonsgegevens

• -

  Toezien op de naleving van wet- en regelgeving en het vastgestelde beleid met betrekking tot bescherming van persoonsgegevens

• -

  Toezien op het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van de organisatie op het gebied van de bescherming van persoonsgegevens

• -

  Adviseert voor welke verwerkingen een Data Protection Impact Assessment (DPIA) moet worden uitgevoerd en toetst de uitgevoerde DPIA’s

• -

  Werkt samen met en treedt op als contactpersoon voor de Autoriteit Persoonsgegevens

• -

  Evalueren van het privacybeleid (jaarlijks) en doet voorstellen tot implementatie en aanpassingen van het privacybeleid

• -

  Rapporteert rechtstreekst aan het college van B&W

Privacy Officer

Naast de Functionaris voor de Gegevensbescherming is er een Privacy Officer aangesteld. Ten opzichte van de FG is de functie van de PO praktischer van aard. Hij/zij heeft een operationeel uitvoerende rol en is het dagelijkse aanspreekpunt voor medewerkers wat betreft gegevensbescherming. De Privacy Officer ondersteunt en adviseert de organisatie bij het opstellen van procedures, het afsluiten van verwerkersovereenkomsten, het vullen en bijhouden van het register van verwerkingen en het afhandelen van informatiebeveiligingsincidenten. De Privacy Officer heeft tevens een uitvoerende rol bij het opstellen van Data Protection Impact Assessments (DPIA’s)

CISO

De Chief Information Security Officer, CISO, van de gemeente Tholen heeft ten aanzien van de privacybescherming een adviserende rol bij de DPIA’s als het gaat om informatiebeveiliging. Ook adviseert de CISO bij informatiebeveiligingsincidenten in het kader van de meldplicht datalekken.

Organisatie

Alle medewerkers

Alle medewerkers (inclusief inhuur/externen) zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen. Dat betekent dat iedereen zorgt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens, gelet op de uitgangspunten subsidiariteit en proportionaliteit.

Teamleiders/proceseigenaren

De teamleiders/proceseigenaren zijn verantwoordelijk voor:

• -

  Het uitvoeren van DPIA’s voor verwerkingen met een hoog risico

• -

  Het zorgen voor de naleving van wet- en regelgeving

• -

  Zorgen voor de naleving van rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens

• -

  Verantwoordelijk voor het zorgen voor bewustwording binnen de teams

• -

  Past privacy by design/ privacy by default toe

• -

  Verantwoordelijk voor de registratie van verwerkingsactiviteiten

• -

  Verantwoordelijk voor het melden van informatiebeveiligingsincidenten en datalekken binnen de organisatie

• -

  Verantwoordelijk voor het opstellen van verwerkersovereenkomsten

• -

  Zorgt dat de FG wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens

Om de taken, rollen en verantwoordelijkheden op het gebied van de bescherming van persoonsgegevens inzichtelijk te maken is een RASCI-Matrix opgesteld. RASCI staat voor:

• -

  Responsible (feitelijk verantwoordelijk)

• -

  Accountable (eindverantwoordelijk)

• -

  Supporting (uitvoerend)

• -

  Consulted (adviserend, controlerend)

• -

  Informed (geïnformeerd)

RASCI Matrix:

9.Afsluiting

Als de gemeente een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van de gemeente worden behandeld. In gevallen waar het reglement niets over zegt, beslist het verantwoordelijke bestuursorgaan van de gemeente. Ook heeft de betrokkene het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. De betrokkene kan deze klacht indienen rechtstreeks bij de AP