Organisatie | Meierijstad |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit Privacy protocol: Bestuurlijke aanpak ondermijning gemeente Meierijstad |
Citeertitel | Privacy Protocol Bestuurlijke Aanpak Ondermijning gemeente Meierijstad |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Privacy protocol bestuurlijke aanpak ondermijning |
Geen
Uitvoeringswet Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
16-12-2022 | Nieuwe regeling | 11-10-2022 |
Het college van burgemeester en wethouders van Meierijstad en de burgemeester van Meierijstad, ieder voor zover het zijn bevoegdheden betreft;
Gelet op het bepaalde in de Algemene verordening gegevensbescherming (hierna: AVG) en de
Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG);
Overwegende dat van gemeenten meer verwacht wordt in de aanpak van georganiseerde
ondermijnende criminaliteit regionaal, in het kader van de TF-RIEC-samenwerking alsmede lokaal in het kader van de eigen taakuitvoering (niet-faciliteren van criminaliteit), is dit protocol
ondersteunend in de aanpak van de georganiseerde ondermijnende criminaliteit. Voor een effectieve aanpak van deze ondermijnende activiteiten (en mogelijk georganiseerde criminaliteit) is een geïntegreerde bestuurlijke aanpak binnen de gemeente een noodzakelijk vereiste ;
Overwegende dat de bestuurlijke aanpak van ondermijning met inachtneming van Grondwettelijke en Europeesrechtelijke wet- en regelgeving op het gebied van privacy en
(persoons)gegevensbescherming dient plaats te vinden (de AVG, de UAVG, art. 10 GW, art. 8 EVRM, art. 7-8 EU-Handvest en het Gemoderniseerd Verdrag 108+).
Hierbij ook rekening houdend met wat de gemeente Meierijstad in het algemeen privacy
beleid en privacyreglement heeft opgenomen: “De gemeente gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van haar klanten. In de uitoefening van haar publiekrechtelijke taak houdt zij zich aan de wet en zoekt waar mogelijk de ruimte om de privacybelangen van zowel de burger als de doelstellingen van de gemeente naar beste inzicht te behartigen. Het “Informatiebeleidsplan 2018-2022” beschrijft dan ook als een van de uitgangspunten: “Betrouwbaarheid in dienstverlening en privacy is essentieel. Daarbij werken we vanuit de ‘bedoeling van de wet’. We organiseren maximale transparantie bij het verzamelen, gebruiken en verwijderen van gegevens van burgers, bedrijven en instellingen.” De gemeente houdt zich hierbij aan de beginselen uit de AVG, reden waarom dit protocol de benodigde waarborgen bevat om dit te realiseren;
Besluit Privacy protocol: Bestuurlijke aanpak ondermijning gemeente Meierijstad
Als bedoeld in artikel 4 aanhef en onder 1 van de AVG:
Een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Staat voor Data Protection Impact Assessment. De Nederlandse vertaling van Data Protection Impact Assessment is gegevensbeschermingseffectbeoordeling. Dit is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico's te verkleinen. AVG stelt een DPIA voor sommige organisaties verplicht. Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert;
Functionaris voor Gegevensbescherming, als bedoeld in de artikelen 37 tot en met 39 van de AVG, en artikel 39 van de UAVG: In artikel 38 AVG wordt bepaald dat de verwerkingsverantwoordelijke en de verwerker ervoor dienen te zorgen dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De FG is de sleutelfiguur in de organisatie als het op privacy compliance neerkomt;
Een gelegenheid en/of een opeenstapeling van gelegenheden die zich voordoet in de bestuurlijke, maatschappelijke en zakelijke omgeving die faciliterend werkt voor het plegen van bestuursrechtelijk of strafrechtelijk of civielrechtelijk te sanctioneren gedragingen en waarin personen samenwerken die deze gedragingen faciliteren;
Het Veiligheids Informatie Knooppunt is één gemeentelijk punt waarbinnen gemeentelijke gegevensbronnen (gemeentelijke basisadministraties) binnen de wettelijke kaders slim gekoppeld zijn en worden ontsloten voor zover relevant voor het bevorderen van de leefbaarheid. Tevens is het de basis voor weerbaar bestuur en succesvolle interventies en hulpmiddel bij het voorkomen van misbruik van overheidsmiddelen- en voorzieningen. Voor het VIK is volgens privacy vereisten een DPIA uitgevoerd en bij de afdeling OOV beschikbaar;
Het Lokaal Informatie Overleg (LIO) betreft het gemeentelijk casusoverleg (bestaande uit een afvaardiging van gemeentelijke afdelingen op teamleider niveau betrokken bij de bestuurlijke aanpak van ondermijning, aangevuld met een voorzitter, een analist en de coördinator BIM) die regie voert op de bestuurlijke aanpak van ondermijning waarvoor specifieke opdrachten worden geformuleerd;
Misdaadverschijnselen met een maatschappij ondermijnend karakter, die tot stand zijn gekomen in samenwerking tussen personen en worden gepleegd met het oog op het gezamenlijk behalen van financieel of materieel gewin en waarbij de ondermijning ook dreigt door te werken naar de overheid (corruptie, aantasting van integriteit). Ondermijnende criminaliteit is vooral een economisch gedreven maatschappelijk fenomeen waarbij de verwevenheid van de onderwereld met en de ontwrichting van de bovenwereld een belangrijk kenmerk is;
Als bedoeld in artikel 4 aanhef en onder 9 van de AVG:
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. (Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lid-statelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn);
Aanwijzing(-en) van één of meerdere professionals en/of burgers dat bepaalde handelingen, gedragingen en/of situaties mogelijk verband kunnen houden met (verschijningsvormen van) ondermijnende activiteiten. Met een signaal wordt ook bedoeld: (een cluster van) signalen of een (cluster van) melding(-en) die zien op eenzelfde ondermijnende activiteit;
Artikel 2. Doel bestuurlijke aanpak ondermijnende criminaliteit: duurzaam terugdringen
Onze missie binnen het grondgebied van de gemeente Meierijstad is om onze inwoners en organisaties en hun integriteit te beschermen tegen ondermijnende invloeden en ondermijnende criminaliteit op deze manier duurzaam terug te dringen. Dat we zicht hebben op ondermijnende invloeden, zodat we in kunnen zetten daar waar de ondermijnende keten het beste verstoord kan worden. Het doel van deze aanpak is om binnen het grondgebied van de gemeente Meierijstad door middel van samenwerking:
Het gaat bij deze aanpak om personen/netwerken die binnen Meierijstad actief zijn in illegale en of onrechtmatige activiteiten waarbij:
Ondermijnende criminaliteit te signaleren en te analyseren waardoor een goede gemeentelijke informatiepolitie ontstaat welke bijdraagt aan de voorfase van de TF- RIEC samenwerking en tevens bijdraagt aan een weerbare overheid. Daarmee te minimaliseren dat we als gemeente (on)bewust ondermijnende criminaliteit faciliteren.
De bestuurlijke aanpak ondermijnende criminaliteit dient met inachtneming van wet- en regelgeving op het gebied van privacy en gegevensbescherming plaats te vinden. Dit protocol beoogt de benodigde waarborgen daarvoor te bieden en verantwoording daarover af te leggen (conform het advies van de Raad van State d.d. 20 maart 2019 ). Zodoende is dit protocol in een vijftal fases ingericht, zodat de gegevensverwerking beperkt wordt tot hetgeen noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt. Dit protocol biedt een betrokkene inzicht in de wijze waarop de gemeente Meierijstad bij deze aanpak persoonsgegevens verwerkt en met welk doel dat gebeurt.
Artikel 4. Verwerkingsverantwoordelijke
Het college van burgemeester en wethouders en de burgemeester van de gemeente Meierijstad zijn ieder voor zich verwerkingsverantwoordelijke voor verwerking van de persoonsgegevens die plaatsvindt binnen de gemeente en waarvoor zij als verwerkingsverantwoordelijke zijn aangemerkt in het Register van verwerkingsactiviteiten Meierijstad.
Artikel 5. Grondslag voor de verwerking
De grondslag voor de verwerking is dat de gegevensverwerking noodzakelijk is voor de goede vervulling van de wettelijke- en publiekrechtelijke taak van de gemeente (doelbinding, art. 5 AVG ), dan wel van de ontvangers zoals bedoeld in artikel 7 van dit protocol, waaraan de persoonsgegevens worden verstrekt.
De gemeente Meierijstad verwerkt persoonsgegevens voor zo ver dit noodzakelijk is om te voldoen aan een wettelijke verplichting op grond van artikel 6, eerste lid, onder c AVG, of voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan haar is opgedragen op grond van artikel 6, eerste lid, onder e AVG. Het document “Wettelijke grondslagen binnengemeentelijke gegevensdeling gemeente Meierijstad”, bevat een nadere uitwerking van de grondslag(en) voor de verwerking.
Artikel 7. Categorieën van ontvangers
Voor zover noodzakelijk voor de in dit protocol genoemde doelen, kunnen gegevens (signaal en aanvullingen uit open bronnen) worden:
De medewerker veiligheid betrokken bij ondermijning vanuit het werkatelier OOV van de gemeente Meierijstad is beheerder van de verwerking ten behoeve van dit protocol. Deze draagt zorg voor het dagelijks beheer van de verwerking, waaronder de beveiliging van de persoonsgegevens, de informatieverstrekking aan betrokkene en de afhandeling van de door betrokkene uitgeoefende rechten.
Het feitelijk beheer van de verwerking van persoonsgegevens en feitelijke naleving van de informatieplicht is opgedragen aan door de beheerder daartoe aangewezen informatie analist behorende tot zijn organisatie. Slechts de informatie analist en diens (horizontale) vervanger hebben toegang tot het geautomatiseerde bestand waarin gegevens over een ondermijningssignaal zijn opgenomen.
Artikel 9. Beveiliging van persoonsgegevens
De beheerder draagt zorg voor passende technische en organisatorische maatregelen om Persoonsgegevens die in het kader van dit protocol worden verwerkt, te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Hiertoe behoren in ieder geval:
Voor de voor het doel van dit protocol gebruikte gegevens kan niet één geldende bewaartermijn worden bepaald. Per fase in de bestuurlijke aanpak ondermijning wordt -afhankelijk van het soort informatie en het doel waarvoor deze informatie verzameld, bewerkt en gebruikt wordt bepaald wat de bewaartermijn van de betreffende informatie is alvorens deze informatie vernietigd wordt. De uitwerking hiervan volgt in hiernavolgende artikelen. De Selectielijst gemeenten en intergemeentelijke organen 2020 vormt de grondslag voor deze vernietiging (Archiefbesluit 1995, artikel 8).
Indien alle vijf fasen doorlopen zijn, wordt de totale gegevensset opgeslagen in het zaaksysteem, alwaar het geautomatiseerd beheerd wordt. Dat wil zeggen dat de totale gegevensset een bewaartermijn meekrijgt van 5 jaar (identiek aan de bewaartermijn van Bibob-onderzoek en, in dit geval, Landelijke Selectielijst cat. 12.1 “Toezicht”) en daarna automatisch wordt vernietigd.
Persoonsgegevens worden vernietigd na afloop van de bewaartermijn (conform de Archiefwet). De vernietiging wordt gedocumenteerd zodat de gemeente Meierijstad zich hierover kan verantwoorden. De recordmanager van de gemeente Meierijstad legt daarom schriftelijk vast wanneer, op welke wijze en op welke grond gegevens zijn vernietigd.
Artikel 11. Rechten van betrokkenen
Betrokkenen hebben rechten zoals opgenomen in afdeling 2 en 3 AVG. Deze informatie/inzageverzoeken worden opgepakt binnen de gebruikelijke AVG procedure zoals geldend is binnen de gemeente Meierijstad.
Artikel 12. Evaluatie en wijziging protocol
Na één jaar zal dit protocol geëvalueerd worden, daarna zal het elke drie jaar worden geëvalueerd. Bij deze evaluatie worden de FG en en Privacy Officer betrokken.
Indien werkprocessen en/of wet- en regelgeving worden aangepast (n.a.v. evaluatie en/of DPIA review ) en/of sprake is van nieuwe verschijningsvormen van ondermijning, kan dit van invloed zijn op de rechtmatigheid van de verwerkingen van persoonsgegevens en dit kan leiden tot (voortijdige) aanpassing van het protocol.
Fase 1 van het protocol (intake signaal)
Fase 1 betreft de intake en eerste en tweede beoordeling en weging van de door burgers en professionals gemelde signalen van bepaalde handelingen, gedragingen en/of situaties die kunnen duiden op verschijningsvormen van ondermijnende criminaliteit. Indien na de eerste weging in deze fase komt vast te staan dat er geen sprake is van ondermijnende activiteiten maar wel mogelijke overtreding van wet- of regelgeving, dan verwerkt het desbetreffende gemeentelijke onderdeel (of onderdelen) de gegevens op basis van de van toepassing zijnde wet- en regelgeving conform de bijbehorende wettelijke kaders en wordt het signaal versleuteld. Indien bij de tweede weging het signaal niet een gemeentelijke taak of bevoegdheid betreft of het geen betrekking heeft op het gemeentelijk grondgebied vindt versleuteling plaats en wordt het signaal doorgezet naar een andere partner of gemeente.
Artikel 13. Het doel van de verwerking van persoonsgegevens in fase 1
De verwerking in deze fase is ten behoeve van:
Analyseren van signalen van burgers en gemeentelijke ambtenaren10 van de gemeente van onrechtmatigheden en maatschappelijke bedreigingen die op ondermijnende activiteiten duiden, beoordelen of het signaal betrekking heeft op een gemeentelijke bevoegdheid/ verantwoordelijkheid en of het gemeentelijk grondgebied betreft.
Aan de hand van de in bijlage A en bijlage 3 van dit protocol onder fase 1 genoemde bronnen vaststellen of een signaal aanleiding geeft tot een verdere aanpak van ondermijning. Indien geen sprake is van ondermijnende activiteit en/of een gemeentelijke bevoegdheid/ verantwoordelijkheid en/of gemeentelijk grondgebied dan: doorsturen naar een gemeentelijk onderdeel (onderdelen), partner of andere gemeente, om op basis van de eigen wettelijke kaders het signaal op te pakken of het signaal vernietigen bij niet in behandeling nemen van het signaal.
Artikel 14. Weging signaal en vervolgstap in fase 1
Artikel 15. Informeren betrokkene in fase 1
Indien een signaal, zoals in hierboven genoemd artikel 14, lid 2, sub b, mono- of interdisciplinair door een onderdeel (onderdelen) van de gemeente is afgerond, dan informeert het desbetreffende onderdeel (onderdelen) betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.
Indien een signaal, zoals in hierboven genoemd artikel 14, lid 4, sub b, mono- of multidisciplinair door een andere (niet gemeentelijke) partner wordt opgepakt, dan informeert de desbetreffende partner betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.
Indien een signaal, zoals in hierboven genoemd artikel 14, lid 6, sub b, mono- of interdisciplinair door de gemeente op wiens grondgebied het signaal betrekking heeft wordt opgepakt, dan informeert de desbetreffende gemeente betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.
Fase 2 van het protocol (weging zwaarte signaal)
Fase 2 volgt op de wegingen van het signaal in fase 1. In fase 2 volgt een derde weging van het signaal, waarbij eventueel aanvullende open bronnen kunnen worden geraadpleegd. Tijdens het signaaloverleg wordt beoordeelt of het signaal zwaar genoeg is om door te kunnen naar de volgende fase, de onderzoeksfase. Tijdens het signaaloverleg wordt hierbij zoveel mogelijk objectieve criteria gehanteerd. Indien na deze weging de conclusie is dat het signaal niet zwaar genoeg is, vindt versleuteling plaats en wordt het signaal alsnog naar een ander gemeentelijk onderdeel gezonden. Indien het oordeel is dat het signaal zwaar genoeg is, vindt overgang naar fase 3 plaats.
Artikel 16. Het doel van de verwerking van persoonsgegevens in fase 2
Het doel van de verwerking in deze fase is het duurzaam terugdringen van ondermijnende criminaliteit door:
Artikel 18. Informeren betrokkene in fase 2
Indien een signaal, zoals in hierboven genoemd artikel 17, lid 2, sub a, mono- of interdisciplinair door een onderdeel (onderdelen) van de gemeente of TF-RIEC is afgerond, dan informeert het desbetreffende onderdeel (onderdelen) of TF-RIEC(partner) betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.
Fase 3 van het protocol (onderzoek gemeentelijke bronnen)
Fase 3 volgt op de weging van het signaal uit fase 2. Indien in fase 2 de weging van het signaal leidt tot de uitkomst dat het signaal voldoende zwaar is, treedt fase 3 van dit protocol in werking.
Artikel 19. Het doel van de verwerking van persoonsgegevens in fase 3 ‘
Het duurzaam terugdringen van ondermijnende criminaliteit in Meierijstad door:
Artikel 21. Informeren betrokkene in fase 3
Indien een signaal, zoals in hierboven genoemd artikel 20, lid 4, sub a, mono- of interdisciplinair door een onderdeel (onderdelen) van de gemeente of TF-RIEC wordt opgepakt, dan informeert het desbetreffende onderdeel (onderdelen) of TF-RIEC betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.
Fase 4 van het protocol (regie LIO en uitvoering BIM)
Fase 4 volgt nadat in fase 3 het signaal bevestigd is door informatie uit gemeentelijke bronnen en in het Lokaal Informatie Overleg is vastgesteld dat het signaal zich in ieder geval leent voor een bestuurlijke aanpak. In deze fase vinden opnieuw een tweetal privacychecks plaats, wordt een afweging over het wel of niet informeren van de betrokkene gemaakt en wordt, onder regie van de medewerker veiligheid belast met aanpak ondermijning, een plan van aanpak bestuurlijke interventies opgesteld en uitgevoerd.
Artikel 22. Het doel van de verwerking van persoonsgegevens in fase 4
Het duurzaam terugdringen van ondermijnende criminaliteit in Meierijstad door:
Artikel 23. Privacy checks, regie en uitvoering fase 4
Privacy check 2a: De informatie analist voert met de medewerker veiligheid in deze fase een privacy check uit ten aanzien van de vraag of en zo ja, welke (van de in fase 1 t/m 3 verzamelde) gegevens met welke gemeentelijke onderdelen mogen worden gedeeld ten behoeve van het vaststellen van de opdracht bestuurlijke interventies (gebaseerd op de grondslagen in artikel 6.1.(c) en 6.1.(e) AVG).
Privacy check 2b: De informatie analist voert in overleg met de medewerker veiligheid (en indien nodig de privacy officer) in deze fase een tweede privacy check uit en wel ten aanzien van de vraag welke gegevens met welke gemeentelijke onderdelen mogen worden gedeeld ten behoeve van de uitvoering van de opdracht bestuurlijke interventies (doelbinding, art. 5 AVG ).
Het LIO is verantwoordelijk voor de regie op de uitvoering van de bestuurlijke interventies bij de aanpak van ondermijning in Meierijstad. In het BIM geven de betrokken gemeentelijke onderdelen vervolgens vorm aan de uitvoering middels uitvoeren van de opdracht van het LIO. Het LIO monitort tevens de voortgang hiervan, overeenkomstig dit protocol.
Artikel 24. Informeren betrokkene in fase 4
In het kader van privacy check 2a beoordeelt de privacy officer of de betrokkene (ten spoedigste) kan worden geïnformeerd over de gegevensverwerking.
Fase 5 van het protocol (afsluiten, archiveren en vernietigen)
Na uitvoering van het plan van aanpak bestuurlijke interventies wordt een casus afgesloten. Mogelijk kan informatie uit een casus leiden tot een nieuw signaal en wordt het protocol opnieuw gevolgd.
Artikel 26. Informeren betrokkene in fase 5
Aan de persoon of personen op wie de opdracht(formulering) bestuurlijke interventies als bedoeld in artikel 23, fase 4, betrekking heeft ("subject(en)"), wordt door de verwerkingsverantwoordelijke de informatie als bedoeld in artikel 14 van de AVG verstrekt. Indien tot interventie wordt besloten, vindt de mededeling/verstrekking plaats tegelijk met de feitelijke uitvoering van de interventie.
Aldus vastgesteld in de vergadering van 11 oktober 2022.
Het college voornoemd,
De secretaris,
Drs. M.G.C. Wilms –Wils RA
De burgemeester,
ir. C.H.C. van Rooij
Bijlage A. Categorieën van verwerkte gegevens
Van de subjecten over wie wordt gemeld, kunnen onderstaande gegevens, afhankelijk van de inhoud van de melding/signaal worden verwerkt. In fase 1 (intake signaal) van het Privacy Protocol zijn dit de volgende gegevens:
In fase 2 (weging zwaarte signaal) kunnen in aanvulling op gegevens uit fase 1 onderstaande gegevens worden verwerkt, afhankelijk van de melding en/of relevante casusinformatie:
In fase 3 (onderzoek gemeentelijke bronnen) van het Privacy Protocol kunnen in aanvulling op gegevens uit fase 1 en 2 onderstaande gegevens worden verwerkt, afhankelijk van de melding en of relevante casusinformatie: