| Organisatie | Bergen (L) |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Privacybeleid |
| Citeertitel | Privacybeleid |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | openbare orde en veiligheid |
| Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 22-11-2022 | nieuwe regeling | 16-04-2019 |
Gemeente Bergen is zich ervan bewust dat privacy een belangrijke rol speelt in de relatie tussen de burger en de overheid. Privacy staat daarom hoog op onze bestuurlijke agenda. Gemeente Bergen heeft de verantwoordelijkheid over persoonsgegevens die zij verwerkt en uitwisselt met derde partijen. Gemeente Bergen ziet het als haar verplichting om zorgvuldig, veilig, proportioneel en vertrouwelijk om te gaan met persoonsgegevens die zij verwerkt. Het beschermen van persoonsgegevens is complex en wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om binnen gemeente Bergen duidelijk beleid te hebben over de omgang met persoonsgegevens en privacy.
In dit privacybeleid staat uiteengezet hoe gemeente Bergen omgaat met persoonsgegevens die worden verwerkt en hoe gemeente Bergen voldoet aan de Algemene verordening gegevensbescherming (AVG). Per onderwerp wordt aangegeven hoe aan de AVG wordt voldaan.
Naast dit privacybeleid is gemeente Bergen in het bezit van een privacyreglement voor medewerkers. Het privacyreglement is opgesteld voor alle medewerkers en personen die werkzaamheden verrichten voor of namens gemeente Bergen. Dat reglement bevat regels over de omgang met persoonsgegevens. Medewerkers van gemeente Bergen dienen zich tijdens hun dagelijkse werkzaamheden te houden aan de regels die daarin staan. Het privacyreglement is overzichtelijk en praktisch gehouden, zodat het voor alle medewerkers duidelijk is wat van hen wordt verwacht.
Inwoners van gemeente Bergen dienen erop te kunnen vertrouwen dat dat de gemeente hun privacy respecteren en zorgvuldig omgaan met hun persoonsgegevens. Het doel van het privacybeleid is om aan te tonen op welke manier persoonsgegevens worden beschermd door gemeente Bergen en dat gemeente Bergen voldoet aan de vereisten uit de AVG. Door het bestaan van dit privacybeleid is goed in beeld gebracht hoe gemeente Bergen met persoonsgegevens omgaat en welke maatregelen er zijn getroffen om de persoonsgegevens te beschermen. Daarnaast wordt uit dit privacybeleid duidelijk welke processen en procedures er bij gemeente Bergen bestaan met betrekking tot de AVG en de verwerking van persoonsgegevens.
4. Geheimhouding en zorgvuldige omgang met persoonsgegevens
Voor de uitvoering van haar publieke en private taken verwerkt gemeente Bergen persoonsgegevens. Deze persoonsgegevens worden door gemeente Bergen verwerkt op een zorgvuldige, vertrouwelijke en integere wijze. Medewerkers van gemeente Bergen en personen die werkzaamheden verrichten voor of namens gemeente Bergen zijn op de hoogte van een geheimhoudingsplicht ten aanzien van informatie waarvan zij kennisnemen tijdens hun dagelijkse werkzaamheden. Iedereen die werkzaamheden verricht voor of namens gemeente Bergen heeft een geheimhoudingsverklaring ondertekend, waarmee zij zich verbinden aan de geheimhoudingsplicht.
Daarnaast heeft gemeente Bergen een privacyreglement voor medewerkers opgesteld. In dat reglement staan onder andere de 10 gouden regels van gemeente Bergen voor de omgang met persoonsgegevens. Dit zijn privacyregels die binnen gemeente Bergen gelden. Alle medewerkers zijn op de hoogte van de inhoud van het privacyreglement en voeren hun werkzaamheden uit in lijn met het privacyreglement.
Gemeente Bergen is verantwoordelijk voor een adequaat kennisniveau van haar medewerkers met betrekking tot de geldende privacywetgeving en de omgang met persoonsgegevens. Gemeente Bergen zorgt er dan ook voor dat er structureel informatie, presentaties, workshops en e-learning worden aangeboden aan haar medewerkers. Gemeente Bergen kan aantoonbaar laten zien dat AVG presentaties en workshops structureel worden aangeboden aan medewerkers. Per kalenderjaar worden de AVG bijeenkomst en presentaties ingepland. Gemeente Bergen stelt deze bijeenkomsten/ presentaties verplicht aan haar medewerkers.
Tijdens deze presentaties en bijeenkomsten worden onder andere de procedures en protocollen behandeld die binnen gemeente Bergen gelden met betrekking tot de AVG. Hierdoor zijn alle medewerkers op de hoogte van de geldende protocollen en procedures binnen gemeente Bergen. Deze procedures en protocollen zijn daarnaast altijd beschikbaar en op elk moment terug te lezen op het intranet van gemeente Bergen waar alle medewerkers toegang tot hebben. Alle informatie, procedures, reglementen en protocollen die van toepassing zijn op medewerkers staan op het intranet in de AVG-groep, waar alle medewerkers toegang tot hebben.
6. Beveiliging persoonsgegevens
Bij gemeente Bergen houdt de adviseur informatiebeveiliging (CISO) toezicht op de informatiebeveiliging en rapporteert hierover. De CISO bewaakt de voortgang van aanbevelingen uit audits en andere onderzoeken en adviseert hierover. De CISO draagt op basis van de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) zorg voor een samenhangend pakket van maatregelen ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen gemeente Bergen.
Gemeente Bergen informeert op transparante en ondubbelzinnige wijze op welke manier zij gegevens verwerkt, aan wie zij deze verstrekt en hoe lang de persoonsgegevens worden bewaard. De gemeente informeert betrokkenen vóórdat er persoonsgegevens worden verwerkt. Aan de informatieplicht wordt voldaan middels een privacyverklaring op de website www.bergen.nl en/of actieve verstrekking aan betrokkenen. De privacyverklaring voldoet aan alle vereisten van de AVG.
Datalekken worden binnen gemeente Bergen altijd gemeld aan de Functionaris gegevensbescherming. Gemeente Bergen heeft een procedure opgesteld voor het aanpakken en afhandelen van datalekken. De procedure is gedocumenteerd in het Protocol datalekken. Daarin staat de specifieke afhandeling van datalekken binnen gemeente Bergen. Deze procedure is naar alle medewerkers toe gecommuniceerd. Alle medewerkers zijn op de hoogte van de procedure. Wanneer medewerkers de procedure willen nalezen, dan kunnen zij de procedure gemakkelijk terugvinden op het intranet. De datalekkenprocedure is altijd beschikbaar voor medewerkers.
Alle medewerkers van gemeente Bergen hebben een presentatie gekregen over datalekken. Daarin hebben zij geleerd hoe zij incidenten en datalekken kunnen herkennen en wat zij dienen te doen wanneer zij een incident of datalek vermoeden.
Binnen gemeente Bergen is er een Datalek Team opgericht dat datalekken beoordeelt en afhandelt.
Gemeente Bergen voert een bemoedigingsbeleid voor het melden van incidenten en datalekken. Elk incident en datalek wordt geregistreerd in het datalekkenregister van gemeente Bergen. Datalekken worden altijd geëvalueerd en indien dat noodzakelijk is, treft gemeente Bergen maatregelen aan de hand van de evaluatie.
Onder de AVG hebben betrokkenen een aantal rechten om grip op hun persoonsgegevens te houden. Gemeente Bergen heeft deze rechten in haar privacyverklaring gezet. De privacyverklaring is terug te vinden op de website www.bergen.nl. Daarin staat hoe betrokkenen een verzoek kunnen indienen. Een verzoek wordt ingediend via het formulier: “AVG-verzoek”. Gemeente Bergen heeft betrokkenen zowel de mogelijkheid gegeven om dit formulier via de e-mail in te dienen als op papier in te leveren bij het Klant Contact Centrum van de gemeente. Wanneer gemeente Bergen een verzoek ontvangt van een betrokkene dan handelt zij dit verzoek binnen één maand af. Hoe een verzoek wordt behandeld en afgehandeld staat beschreven in de “Procedure verzoeken betrokkenen” van gemeente Bergen.
Voor de uitoefening van haar taken en verantwoordelijkheden werkt Gemeente Bergen samen met partners buiten de organisatie van gemeente Bergen. Dat kunnen andere overheidsinstanties zijn, maar het zijn soms ook private partijen. Partijen die als verwerker worden aangemerkt, zullen uitsluitend in opdracht en ten behoeve van gemeente Bergen optreden. Gemeente Bergen draagt er zorg voor dat met deze partijen duidelijke afspraken worden gemaakt. Deze afspraken zijn afgestemd op de geldende wet- en regelgeving. Gemeente Bergen is in het bezit van een eigen verwerkersovereenkomst. Daarbuiten verstrekt gemeente Bergen persoonsgegevens alleen aan derden voor zover dit noodzakelijk is voor een goede uitvoering van onze taken en verantwoordelijkheden en voor zover dit verplicht is op grond van de wet.
13. Functionaris gegevensbescherming
Gemeente Bergen heeft een Functionaris gegevensbescherming aangesteld. Deze persoon is aangemeld bij de Autoriteit Persoonsgegevens. De functionaris houdt toezicht op de verwerking van persoonsgegevens en houdt toezicht op de naleving van de AVG door gemeente Bergen. Naast een functionaris heeft gemeente Bergen ook een Privacy Officer. Deze persoon heeft naast de functionaris gegevensbescherming ook taken op het gebied van privacy en de omgang met persoonsgegevens binnen de organisatie. Gemeente Bergen heeft duidelijke functieomschrijvingen gedocumenteerd voor beide functies. Hierdoor is het duidelijk wie verantwoordelijk is voor welke taken.
14. Data Protection Impact Assessment (DPIA)
Gemeente Bergen voert DPIA’s uit waar nodig is. Hiervoor heeft gemeente Bergen een protocol opgesteld: “Protocol Data Protection Impact Assessment”. Daarin staat wat een DPIA is, wanneer een DPIA verplicht is en wat de procedure is bij gemeente Bergen omtrent de DPIA. Op basis van uitkomsten van de DPIA onderneemt gemeente Bergen gerichte acties om de bestaande risico’s zo veel mogelijk te verminderen.
Indien gemeente Bergen toestemming als grondslag aanvoert voor haar verwerkingen, dan is de toestemmingsvraag omschreven in begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Toestemming wordt altijd vrijelijk en uitdrukkelijk verkregen. Gemeente Bergen heeft op dit moment drie toestemmingsformulieren waarmee toestemming wordt gevraagd aan betrokkenen voor de verwerking van hun persoonsgegevens.
Gemeente Bergen draagt er zorg voor dat persoonsgegevens niet voor een ander doel worden verwerkt dan voor de doeleinden die staan beschreven in het register van verwerkingsactiviteiten. Het privacybeleid, het privacyreglement en het verwerkingsregister zullen dan ook periodiek worden geëvalueerd en zo nodig worden geüpdatet. Daarnaast zal gemeente Bergen er periodiek op controleren dat medewerkers van gemeente Bergen zich houden aan de regels en protocollen die gelden binnen gemeente Bergen. Daarnaast zullen medewerkers van gemeente Bergen periodiek informatie, presentaties en workshops ontvangen over de AVG en de omgang met persoonsgegevens, zodat de kennis van medewerkers up-to-date blijft.
Dit privacybeleid is opgesteld met het oog op het hebben van een duidelijk beleid ten aanzien van de omgang met persoonsgegevens binnen gemeente Bergen. Hopelijk heeft dit privacybeleid een duidelijk beeld kunnen geven van de wijze waarop gemeente Bergen omgaat met persoonsgegevens. Gemeente Bergen werkt er constant aan om persoonsgegevens te beschermen op een manier dat passend is voor de situatie. Gemeente Bergen zal haar processen en protocollen dan ook periodiek evalueren en aan de hand daarvan updaten.