Besluit Privacy protocol: Bestuurlijke aanpak ondermijning gemeente Meierijstad

Artikel 1. Begripsbepalingen

• a.

  AVG

  De Algemene Verordening -Gegevensbescherming;

• b.

  AVO

  Gremium op ambtelijk niveau waar alle RIEC partners (politie, Openbaar Ministerie, Belastingdienst en gemeente) voor Basisteam Meierijstad zorgdragen voor uitvoering van interventies ten aanzien van RIEC casuïstiek;

• c.

  Bestand

  Als bedoeld in artikel 4 aanhef en onder 6 van de AVG: Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

• d.

  Betrokkene

  Als bedoeld in artikel 4 aanhef en onder 1 van de AVG:

  Een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

• e.

  Bijzondere persoonsgegevens

  Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.

• f.

  BIM

  Bestuurlijk Interventie Meierijstad is het gemeentelijk team dat verantwoordelijk is voor de uitvoering van de bestuurlijke interventies: bestaande uit een coördinator, informatieanalist en deelnemers van de verschillende betrokken afdelingen;

• g.

  DPIA

  Staat voor Data Protection Impact Assessment. De Nederlandse vertaling van Data Protection Impact Assessment is gegevensbeschermingseffectbeoordeling. Dit is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico's te verkleinen. AVG stelt een DPIA voor sommige organisaties verplicht. Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert;

• h.

  FG

  Functionaris voor Gegevensbescherming, als bedoeld in de artikelen 37 tot en met 39 van de AVG, en artikel 39 van de UAVG: In artikel 38 AVG wordt bepaald dat de verwerkingsverantwoordelijke en de verwerker ervoor dienen te zorgen dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De FG is de sleutelfiguur in de organisatie als het op privacy compliance neerkomt;

• i.

  Gelegenheidsstructuren

  Een gelegenheid en/of een opeenstapeling van gelegenheden die zich voordoet in de bestuurlijke, maatschappelijke en zakelijke omgeving die faciliterend werkt voor het plegen van bestuursrechtelijk of strafrechtelijk of civielrechtelijk te sanctioneren gedragingen en waarin personen samenwerken die deze gedragingen faciliteren;

• j.

  VIK

  Het Veiligheids Informatie Knooppunt is één gemeentelijk punt waarbinnen gemeentelijke gegevensbronnen (gemeentelijke basisadministraties) binnen de wettelijke kaders slim gekoppeld zijn en worden ontsloten voor zover relevant voor het bevorderen van de leefbaarheid. Tevens is het de basis voor weerbaar bestuur en succesvolle interventies en hulpmiddel bij het voorkomen van misbruik van overheidsmiddelen- en voorzieningen. Voor het VIK is volgens privacy vereisten een DPIA uitgevoerd en bij de afdeling OOV beschikbaar;

• k.

  Hit

  Als van een persoon signaal-relevante gegevens in een bronbestand van een gemeentelijk onderdeel voorkomen, is sprake van een ‘hit’: de betrokken persoon/bepaalde info is bekend binnen het betreffende gemeentelijke domein;

• l.

  LIO

  Het Lokaal Informatie Overleg (LIO) betreft het gemeentelijk casusoverleg (bestaande uit een afvaardiging van gemeentelijke afdelingen op teamleider niveau betrokken bij de bestuurlijke aanpak van ondermijning, aangevuld met een voorzitter, een analist en de coördinator BIM) die regie voert op de bestuurlijke aanpak van ondermijning waarvoor specifieke opdrachten worden geformuleerd;

• m.

  Object

  Betreft het gebouw(en)/pand(en)/loka(a)l(en);

• n.

  Ondermijning

  Ondermijning heeft betrekking op de mate waarin georganiseerde misdaad invloed heeft op de legale en beoogde werking van het samenlevingssysteem (NSOB, 2016). Ondermijning gaat over de effecten van georganiseerde misdaad op de samenleving (P. Tops, 2022).

• o.

  Ondermijnende criminaliteit

  Misdaadverschijnselen met een maatschappij ondermijnend karakter, die tot stand zijn gekomen in samenwerking tussen personen en worden gepleegd met het oog op het gezamenlijk behalen van financieel of materieel gewin en waarbij de ondermijning ook dreigt door te werken naar de overheid (corruptie, aantasting van integriteit). Ondermijnende criminaliteit is vooral een economisch gedreven maatschappelijk fenomeen waarbij de verwevenheid van de onderwereld met en de ontwrichting van de bovenwereld een belangrijk kenmerk is;

• p.

  Ontvanger

  Als bedoeld in artikel 4 aanhef en onder 9 van de AVG:

  Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. (Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lid-statelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn);

• q.

  Persoonsgegevens

  Als bedoeld in artikel 4 aanhef en onder 1 van de AVG:

  Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;

• r.

  Privacy protocol RIEC

  Het Privacy protocol behorende tot en deel uitmakende van het RIEC-convenant;

• s.

  RIEC-convenant

  Het Convenant ten behoeve van de Bestuurlijke en geïntegreerde aanpak georganiseerde criminaliteit, bestrijding handhavingsknelpunten en bevordering integriteitsbeoordelingen5 van het Regionaal Informatie en Expertise Centrum;

• t.

  Signaal

  Aanwijzing(-en) van één of meerdere professionals en/of burgers dat bepaalde handelingen, gedragingen en/of situaties mogelijk verband kunnen houden met (verschijningsvormen van) ondermijnende activiteiten. Met een signaal wordt ook bedoeld: (een cluster van) signalen of een (cluster van) melding(-en) die zien op eenzelfde ondermijnende activiteit;

• u.

  Signaaloverleg

  Het signaaloverleg voert (in de 2e fase zoals bedoeld in artikel 16 t/m 18 van dit protocol) de weging voor de zwaarte van het signaal uit. Dit overleg bestaat uit:

• •

  de medewerker veiligheid belast met ondermijning van het werkatelier Integrale Veiligheid

• •

  de juridisch beleidsmedewerker ondermijning team VTH

• •

  de informatie analist

• •

  indien nodig de privacy officier

• v.

  Subject

  Betreft de persoon of personen;

• w.

  TF-RIEC Partners

  Taskforce-Regionaal Informatie en Expertise Centrum Brabant-Zeeland en de daarbij conform RIEC-convenant en Privacy protocol RIEC aangesloten overheidspartners;

• x.

  UAVG

  De Uitvoeringswet Algemene verordening gegevensbescherming;

• y.

  Vernietigen

  Vernietigen van informatie is het blijvend ontoegankelijk maken van die informatie, waardoor deze niet meer vindbaar, beschikbaar, leesbaar, interpreteerbaar en betrouwbaar is;

• z.

  Verwerkingsverantwoordelijke

  De verwerkingsverantwoordelijke als bedoeld in artikel 4, aanhef en lid 7, AVG:

  De natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Artikel 2. Doel bestuurlijke aanpak ondermijnende criminaliteit: duurzaam terugdringen

Onze missie binnen het grondgebied van de gemeente Meierijstad is om onze inwoners en organisaties en hun integriteit te beschermen tegen ondermijnende invloeden en ondermijnende criminaliteit op deze manier duurzaam terug te dringen. Dat we zicht hebben op ondermijnende invloeden, zodat we in kunnen zetten daar waar de ondermijnende keten het beste verstoord kan worden. Het doel van deze aanpak is om binnen het grondgebied van de gemeente Meierijstad door middel van samenwerking:

• •

  Ondermijnende activiteiten te signaleren en te analyseren;

• •

  Voorkomen dat de overheid ondermijnende activiteiten (onbewust) faciliteert;

• •

  Vroegtijdig kunnen signaleren en interveniëren middels een bestuurlijke aanpak;

• •

  Voorkomen van onrechtmatigheden en maatschappelijke bedreigingen veroorzaakt door criminele activiteiten.

Het gaat bij deze aanpak om personen/netwerken die binnen Meierijstad actief zijn in illegale en of onrechtmatige activiteiten waarbij:

• a.

  Het zo impactrijk mogelijk aanpakken van ondermijnende criminaliteit en ondermijnende invloeden. Deze aanpak draagt bij aan de leefbaarheid en veiligheid en is gericht op het bereiken van maatschappelijk effect.

• b.

  Ondermijnende criminaliteit te signaleren en te analyseren waardoor een goede gemeentelijke informatiepolitie ontstaat welke bijdraagt aan de voorfase van de TF- RIEC samenwerking en tevens bijdraagt aan een weerbare overheid. Daarmee te minimaliseren dat we als gemeente (on)bewust ondermijnende criminaliteit faciliteren.

Artikel 3. Doel van protocol

De bestuurlijke aanpak ondermijnende criminaliteit dient met inachtneming van wet- en regelgeving op het gebied van privacy en gegevensbescherming plaats te vinden. Dit protocol beoogt de benodigde waarborgen daarvoor te bieden en verantwoording daarover af te leggen (conform het advies van de Raad van State d.d. 20 maart 2019 ). Zodoende is dit protocol in een vijftal fases ingericht, zodat de gegevensverwerking beperkt wordt tot hetgeen noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt. Dit protocol biedt een betrokkene inzicht in de wijze waarop de gemeente Meierijstad bij deze aanpak persoonsgegevens verwerkt en met welk doel dat gebeurt.

Artikel 4. Verwerkingsverantwoordelijke

Het college van burgemeester en wethouders en de burgemeester van de gemeente Meierijstad zijn ieder voor zich verwerkingsverantwoordelijke voor verwerking van de persoonsgegevens die plaatsvindt binnen de gemeente en waarvoor zij als verwerkingsverantwoordelijke zijn aangemerkt in het Register van verwerkingsactiviteiten Meierijstad.

Artikel 5. Grondslag voor de verwerking

De grondslag voor de verwerking is dat de gegevensverwerking noodzakelijk is voor de goede vervulling van de wettelijke- en publiekrechtelijke taak van de gemeente (doelbinding, art. 5 AVG ), dan wel van de ontvangers zoals bedoeld in artikel 7 van dit protocol, waaraan de persoonsgegevens worden verstrekt.

De gemeente Meierijstad verwerkt persoonsgegevens voor zo ver dit noodzakelijk is om te voldoen aan een wettelijke verplichting op grond van artikel 6, eerste lid, onder c AVG, of voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan haar is opgedragen op grond van artikel 6, eerste lid, onder e AVG. Het document “Wettelijke grondslagen binnengemeentelijke gegevensdeling gemeente Meierijstad”, bevat een nadere uitwerking van de grondslag(en) voor de verwerking.

Artikel 6. De verwerkte persoonsgegevens

• 1.

  Van de melders van een signaal worden uitsluitend de in het signaal opgenomen persoonsgegevens verwerkt ten behoeve van communicatie met de melder.

• 2.

  Van de personen over wie wordt gemeld, worden gegevens verwerkt zoals benoemd in Bijlage A ‘categorieën van verwerkte gegevens’ behorend bij dit protocol.

• 3.

  De in het tweede lid bedoelde persoonsgegevens worden gebruikt voor:

  • a.

    Afhandeling van het signaal;

  • b.

    Het (mono- of interdisciplinair) oppakken van het signaal binnen de eigen kaders door de gemeentelijke onderdelen, of;

  • c.

    De verdere aanpak van ondermijning onder regie van het LIO en BIM of;

  • d.

    Het verstrekken van het signaal binnen het TF-RIEC samenwerkingsverband.

• 4.

  Bijzondere persoonsgegevens worden ten behoeve van dit protocol niet geregistreerd. Komen deze wel voor dan worden ze geanonimiseerd.

Artikel 7. Categorieën van ontvangers

Voor zover noodzakelijk voor de in dit protocol genoemde doelen, kunnen gegevens (signaal en aanvullingen uit open bronnen) worden:

• a.

  Verstrekt aan gemeentelijke onderdelen ten behoeve van een ‘opdrachtformulering’, voor zover zij die behoeven voor de uitvoering van hun wettelijke taak, of;

• b.

  Verstrekt aan de TF-RIEC partners.

Artikel 8. Beheer

• 1.

  De medewerker veiligheid betrokken bij ondermijning vanuit het werkatelier OOV van de gemeente Meierijstad is beheerder van de verwerking ten behoeve van dit protocol. Deze draagt zorg voor het dagelijks beheer van de verwerking, waaronder de beveiliging van de persoonsgegevens, de informatieverstrekking aan betrokkene en de afhandeling van de door betrokkene uitgeoefende rechten.

• 2.

  Het feitelijk beheer van de verwerking van persoonsgegevens en feitelijke naleving van de informatieplicht is opgedragen aan door de beheerder daartoe aangewezen informatie analist behorende tot zijn organisatie. Slechts de informatie analist en diens (horizontale) vervanger hebben toegang tot het geautomatiseerde bestand waarin gegevens over een ondermijningssignaal zijn opgenomen.

Artikel 9. Beveiliging van persoonsgegevens

De beheerder draagt zorg voor passende technische en organisatorische maatregelen om Persoonsgegevens die in het kader van dit protocol worden verwerkt, te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Hiertoe behoren in ieder geval:

• •

  vastgesteld beveiligingsbeleid7 dat ook is geïmplementeerd en;

• •

  fysieke maatregelen8 voor toegangsbeveiliging inclusief organisatorische controle en;

• •

  toegangscontrole (alle werkplekken zijn voorzien van toegang met tweefactorauthenticatie);

• •

  de meldplicht bij datalekken van de gemeente Meierijstad ;

• •

  een Data Protection Impact Assessment (DPIA) voor dit protocol (bijlage bij dit protocol).

Artikel 10. Bewaartermijnen

• 1.

  Voor de voor het doel van dit protocol gebruikte gegevens kan niet één geldende bewaartermijn worden bepaald. Per fase in de bestuurlijke aanpak ondermijning wordt -afhankelijk van het soort informatie en het doel waarvoor deze informatie verzameld, bewerkt en gebruikt wordt bepaald wat de bewaartermijn van de betreffende informatie is alvorens deze informatie vernietigd wordt. De uitwerking hiervan volgt in hiernavolgende artikelen. De Selectielijst gemeenten en intergemeentelijke organen 2020 vormt de grondslag voor deze vernietiging (Archiefbesluit 1995, artikel 8).

• 2.

   

  • a.

    Hergebruik van persoonsgegevens vindt niet plaats als een eerder signaal niet heeft geleid tot nader onderzoek in gemeentelijke bronnen. Persoonsgegevens ten behoeve van een signaal dat na fase 1 en 2 ongegrond blijkt, worden direct vernietigd;

  • b.

    Indien een eerder signaal geleid heeft tot nader onderzoek in de gemeentelijke bronnen (bijv. n.a.v. een ‘hit’) mogen persoonsgegevens bewaard worden gedurende een jaar voor eventueel hergebruik ten behoeve van een nieuw signaal.

  • c.

    Indien alle vijf fasen doorlopen zijn, wordt de totale gegevensset opgeslagen in het zaaksysteem, alwaar het geautomatiseerd beheerd wordt. Dat wil zeggen dat de totale gegevensset een bewaartermijn meekrijgt van 5 jaar (identiek aan de bewaartermijn van Bibob-onderzoek en, in dit geval, Landelijke Selectielijst cat. 12.1 “Toezicht”) en daarna automatisch wordt vernietigd.

• 3.

  Persoonsgegevens worden vernietigd na afloop van de bewaartermijn (conform de Archiefwet). De vernietiging wordt gedocumenteerd zodat de gemeente Meierijstad zich hierover kan verantwoorden. De recordmanager van de gemeente Meierijstad legt daarom schriftelijk vast wanneer, op welke wijze en op welke grond gegevens zijn vernietigd.

• 4.

  In het kader van wetenschappelijke, historische of statistische onderzoeksdoeleinden kunnen gegevens (na elke fase van dit protocol), in niet tot individuele personen herleidbare vorm, bewaard blijven (conform de Archiefwet).

Artikel 11. Rechten van betrokkenen

Betrokkenen hebben rechten zoals opgenomen in afdeling 2 en 3 AVG. Deze informatie/inzageverzoeken worden opgepakt binnen de gebruikelijke AVG procedure zoals geldend is binnen de gemeente Meierijstad.

Artikel 12. Evaluatie en wijziging protocol

• 1.

  Na één jaar zal dit protocol geëvalueerd worden, daarna zal het elke drie jaar worden geëvalueerd. Bij deze evaluatie worden de FG en en Privacy Officer betrokken.

  • a.

    In deze drie jaarlijkse termijn zal worden aangesloten bij het drie jaarlijkse review moment van de DPIA.

  • b.

    Indien werkprocessen en/of wet- en regelgeving worden aangepast (n.a.v. evaluatie en/of DPIA review ) en/of sprake is van nieuwe verschijningsvormen van ondermijning, kan dit van invloed zijn op de rechtmatigheid van de verwerkingen van persoonsgegevens en dit kan leiden tot (voortijdige) aanpassing van het protocol.

Fase 1 van het protocol (intake signaal)

Fase 1 betreft de intake en eerste en tweede beoordeling en weging van de door burgers en professionals gemelde signalen van bepaalde handelingen, gedragingen en/of situaties die kunnen duiden op verschijningsvormen van ondermijnende criminaliteit. Indien na de eerste weging in deze fase komt vast te staan dat er geen sprake is van ondermijnende activiteiten maar wel mogelijke overtreding van wet- of regelgeving, dan verwerkt het desbetreffende gemeentelijke onderdeel (of onderdelen) de gegevens op basis van de van toepassing zijnde wet- en regelgeving conform de bijbehorende wettelijke kaders en wordt het signaal versleuteld. Indien bij de tweede weging het signaal niet een gemeentelijke taak of bevoegdheid betreft of het geen betrekking heeft op het gemeentelijk grondgebied vindt versleuteling plaats en wordt het signaal doorgezet naar een andere partner of gemeente.

Artikel 13. Het doel van de verwerking van persoonsgegevens in fase 1

• 1.

  De verwerking in deze fase is ten behoeve van:

  • a.

    Analyseren van signalen van burgers en gemeentelijke ambtenaren10 van de gemeente van onrechtmatigheden en maatschappelijke bedreigingen die op ondermijnende activiteiten duiden, beoordelen of het signaal betrekking heeft op een gemeentelijke bevoegdheid/ verantwoordelijkheid en of het gemeentelijk grondgebied betreft.

  • b.

    Aan de hand van de in bijlage A en bijlage 3 van dit protocol onder fase 1 genoemde bronnen vaststellen of een signaal aanleiding geeft tot een verdere aanpak van ondermijning. Indien geen sprake is van ondermijnende activiteit en/of een gemeentelijke bevoegdheid/ verantwoordelijkheid en/of gemeentelijk grondgebied dan: doorsturen naar een gemeentelijk onderdeel (onderdelen), partner of andere gemeente, om op basis van de eigen wettelijke kaders het signaal op te pakken of het signaal vernietigen bij niet in behandeling nemen van het signaal.

• 2.

  Indien sprake is van ondermijnende activiteiten (het signaal geeft aanleiding tot verdere aanpak van ondermijning) en het een gemeentelijke bevoegdheid/verantwoordelijkheid betreft en gemeentelijk grondgebied dan treedt fase 2 in werking.

Artikel 14. Weging signaal en vervolgstap in fase 1

• 1.

  De informatie analist beoordeelt het signaal aan de hand van de in bijlage A van dit protocol onder fase 1 genoemde bronnen en de in bijlage A en bijlage 3 genoemde (objectieve) indicatoren.

• 2.

  Indien na deze objectieve weging geen sprake is van ondermijnende of criminele activiteiten wordt het signaal:

  • a.

    Niet bewaard, indien het signaal persoonsgegevens bevat dan wel voor het bewaren niet langer een gegronde reden is of;

  • b.

    Doorgezet naar een gemeentelijk onderdeel (onderdelen) dat verantwoordelijk is voor de verdere behandeling van het signaal.

• 3.

  De informatie analist beoordeelt o.b.v. de in artikel 14, lid 1, genoemde objectieve bronnen en indicatoren of het signaal een gemeentelijke taak en/of bevoegdheid betreft.

• 4.

  Indien na deze weging geen sprake van een gemeentelijke taak en/of bevoegdheid is dan wordt het signaal:

  • a.

    niet bewaard, indien het signaal persoonsgegevens bevat dan wel voor het bewaren niet langer een gegronde reden is, of;

  • b.

    doorgezet naar een andere (niet gemeentelijke) partner die verantwoordelijk is voor de verdere behandeling van het signaal.

• 5.

  De informatie analist beoordeelt o.b.v. de in artikel 14 lid 1 genoemde objectieve bronnen en indicatoren of het signaal (object/subject) betrekking heeft op het grondgebied van de gemeente Meierijstad.

• 6.

  Indien de uitkomst van deze weging is dat het signaal (object/subject) geen betrekking heeft op het grondgebied van de gemeente Meierijstad wordt het signaal:

  • a.

    Niet bewaard, indien het signaal persoonsgegevens bevat dan wel voor het bewaren niet langer een gegronde reden is, of;

  • b.

    Doorgezet naar de gemeente op wiens grondgebied het signaal betrekking heeft.

• 7.

  Indien na deze wegingen wel sprake is van vermoeden van ondermijnende of criminele activiteiten, sprake is van een gemeentelijke taak en/of bevoegdheid en het signaal betrekking heeft op het grondgebied van de gemeente Meierijstad, dan treedt fase 2 in werking.

Artikel 15. Informeren betrokkene in fase 1

• 1.

  Indien een signaal, zoals in hierboven genoemd artikel 14, lid 2, sub b, mono- of interdisciplinair door een onderdeel (onderdelen) van de gemeente is afgerond, dan informeert het desbetreffende onderdeel (onderdelen) betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.

• 2.

  Indien een signaal, zoals in hierboven genoemd artikel 14, lid 4, sub b, mono- of multidisciplinair door een andere (niet gemeentelijke) partner wordt opgepakt, dan informeert de desbetreffende partner betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.

• 3.

  Indien een signaal, zoals in hierboven genoemd artikel 14, lid 6, sub b, mono- of interdisciplinair door de gemeente op wiens grondgebied het signaal betrekking heeft wordt opgepakt, dan informeert de desbetreffende gemeente betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.

• 4.

  Indien het signaal, zoals in de hierboven genoemde artikel 14, lid 4, sub b naar het TF-RIEC samenwerkingsverband wordt doorgezet, dan geldt de procedure zoals deze is neergelegd in het Privacy protocol TF-RIEC.

Fase 2 van het protocol (weging zwaarte signaal)

Fase 2 volgt op de wegingen van het signaal in fase 1. In fase 2 volgt een derde weging van het signaal, waarbij eventueel aanvullende open bronnen kunnen worden geraadpleegd. Tijdens het signaaloverleg wordt beoordeelt of het signaal zwaar genoeg is om door te kunnen naar de volgende fase, de onderzoeksfase. Tijdens het signaaloverleg wordt hierbij zoveel mogelijk objectieve criteria gehanteerd. Indien na deze weging de conclusie is dat het signaal niet zwaar genoeg is, vindt versleuteling plaats en wordt het signaal alsnog naar een ander gemeentelijk onderdeel gezonden. Indien het oordeel is dat het signaal zwaar genoeg is, vindt overgang naar fase 3 plaats.

Artikel 16. Het doel van de verwerking van persoonsgegevens in fase 2

Het doel van de verwerking in deze fase is het duurzaam terugdringen van ondermijnende criminaliteit door:

• 1.

  Het uitvoeren van een derde weging van de meldingen en signalen van burgers en professionals op onrechtmatigheden en maatschappelijke bedreigingen van ondermijnende activiteiten door middel van een zwaarteweging;

• 2.

  Aan de hand van geldende objectiveerbare criteria en een vaste set vragen aangevuld met de in bijlage A (van dit protocol) onder fase 1 en 2 genoemde bronnen vaststellen of een signaal voldoende zwaar is voor verdere aanpak ondermijning.

Artikel 17. Weging signaal en vervolgstappen fase 2

• 1.

  Tijdens het signaaloverleg wordt het signaal gewogen aan de hand van geldende objectieve criteria en een vaste set vragen (zie bijlage 2) aangevuld met de in bijlage A (van dit protocol) onder fase 1 en 2 genoemde bronnen.

• 2.

  Indien het signaal onvoldoende zwaar is dan wordt het signaal:

  • a.

    Doorgestuurd naar een ander gemeentelijk onderdeel (onderdelen) of TFRIEC(partner) die de regie voert, of;

  • b.

    Niet in behandeling genomen en vernietigd conform artikel 10 van dit protocol.

• 3.

  Indien na deze weging sprake is van een signaal met voldoende zwaarte dan treedt fase 3 met de vervolganalyse in werking.

Artikel 18. Informeren betrokkene in fase 2

Indien een signaal, zoals in hierboven genoemd artikel 17, lid 2, sub a, mono- of interdisciplinair door een onderdeel (onderdelen) van de gemeente of TF-RIEC is afgerond, dan informeert het desbetreffende onderdeel (onderdelen) of TF-RIEC(partner) betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.

Fase 3 van het protocol (onderzoek gemeentelijke bronnen)

Fase 3 volgt op de weging van het signaal uit fase 2. Indien in fase 2 de weging van het signaal leidt tot de uitkomst dat het signaal voldoende zwaar is, treedt fase 3 van dit protocol in werking.

Artikel 19. Het doel van de verwerking van persoonsgegevens in fase 3 ‘

Het duurzaam terugdringen van ondermijnende criminaliteit in Meierijstad door:

• a.

  Vervolganalyse van de meldingen en signalen van burgers en professionals op onrechtmatigheden en maatschappelijke bedreigingen van ondermijnende activiteiten door middel van ‘hit’ check bij de relevante gemeentelijke bronnen;

• b.

  Vaststellen of sprake is van ondermijnende activiteiten;

• c.

  Vaststellen van de verdere routing van het signaal.

Artikel 20. Privacy checks, weging ‘hits’ en vervolgstappen fase 3

• 1.

  Privacy check 1a: Tijdens het signaal overleg met de medewerker veiligheid, de informatie analist, de juridische medewerker VTH en indien nodig de privacy officer wordt beoordeelt of gemeentelijke bronnen mogen worden geraadpleegd en zo ja, welke.

• 2.

  De hit/no hit vraag n.a.v. raadpleging van de betrokken gemeentelijke bronnen wordt uitgevoerd.

  • a.

    Bij geen ‘hit’ wordt geen actie ondernomen, na afloop van de bewaartermijn zullen de persoonsgegevens worden vernietigd;

  • b.

    Bij een ‘hit’ volgt privacy check 1b en een weging.

• 3.

  Privacy check 1b: De informatie analist stelt in overleg met de medewerker veiligheid (en indien nodig de privacy officer) vast welke (persoons)gegevens uit de onder lid 1 van dit artikel bepaalde gemeentelijke bronnen relevant zijn voor het signaal.

• 4.

  De informatie analist weegt in overleg met de medewerker veiligheid (en indien nodig de privacy officer) af of het signaal in voldoende mate door de ‘hit(s)’ wordt bevestigd.

  • a.

    Bij onvoldoende bevestiging van het signaal:

    • i.

      Regie en uitvoering (mono- of interdisciplinaire aanpak) door desbetreffende gemeentelijke onderdeel/onderdelen op grond van de daarvoor bedoelde wettelijke bevoegdheid(heden), er is geen sprake van ondermijning.

    • ii.

      Doorgeleiding naar het TF-RIEC-samenwerkingsverband, omdat sprake is van georganiseerde criminaliteitsverband waarvoor de overheidspartners binnen TFRIEC benodigd zijn.

  • b.

    Bij voldoende bevestiging van het signaal:

    • i.

      Regie door het LIO met betrokken afgevaardigden van de desbetreffende gemeentelijke onderdelen waar sprake is van een relevante hit.

Artikel 21. Informeren betrokkene in fase 3

Indien een signaal, zoals in hierboven genoemd artikel 20, lid 4, sub a, mono- of interdisciplinair door een onderdeel (onderdelen) van de gemeente of TF-RIEC wordt opgepakt, dan informeert het desbetreffende onderdeel (onderdelen) of TF-RIEC betrokkene conform wet- en regelgeving die van toepassing is op basis van de bij die taak behorende wet- en regelgeving.

Fase 4 van het protocol (regie LIO en uitvoering BIM)

Fase 4 volgt nadat in fase 3 het signaal bevestigd is door informatie uit gemeentelijke bronnen en in het Lokaal Informatie Overleg is vastgesteld dat het signaal zich in ieder geval leent voor een bestuurlijke aanpak. In deze fase vinden opnieuw een tweetal privacychecks plaats, wordt een afweging over het wel of niet informeren van de betrokkene gemaakt en wordt, onder regie van de medewerker veiligheid belast met aanpak ondermijning, een plan van aanpak bestuurlijke interventies opgesteld en uitgevoerd.

Artikel 22. Het doel van de verwerking van persoonsgegevens in fase 4

Het duurzaam terugdringen van ondermijnende criminaliteit in Meierijstad door:

• a.

  Het ontwikkelen en vaststellen van een opdracht bestuurlijke interventies ten behoeve van een casus/ signaal en;

• b.

  Het uitvoeren en monitoren van de bestuurlijke aanpak van de casus/ signaal.

Artikel 23. Privacy checks, regie en uitvoering fase 4

• 1.

  Privacy check 2a: De informatie analist voert met de medewerker veiligheid in deze fase een privacy check uit ten aanzien van de vraag of en zo ja, welke (van de in fase 1 t/m 3 verzamelde) gegevens met welke gemeentelijke onderdelen mogen worden gedeeld ten behoeve van het vaststellen van de opdracht bestuurlijke interventies (gebaseerd op de grondslagen in artikel 6.1.(c) en 6.1.(e) AVG).

• 2.

  De in lid 1 bepaalde gemeentelijke onderdelen stellen in het LIO gezamenlijk een opdracht bestuurlijke interventies op, op basis van het informatiebeeld zoals opgebouwd is door de medewerker veiligheid en informatie analist.

• 3.

  Privacy check 2b: De informatie analist voert in overleg met de medewerker veiligheid (en indien nodig de privacy officer) in deze fase een tweede privacy check uit en wel ten aanzien van de vraag welke gegevens met welke gemeentelijke onderdelen mogen worden gedeeld ten behoeve van de uitvoering van de opdracht bestuurlijke interventies (doelbinding, art. 5 AVG ).

• 4.

  Het LIO is verantwoordelijk voor de regie op de uitvoering van de bestuurlijke interventies bij de aanpak van ondermijning in Meierijstad. In het BIM geven de betrokken gemeentelijke onderdelen vervolgens vorm aan de uitvoering middels uitvoeren van de opdracht van het LIO. Het LIO monitort tevens de voortgang hiervan, overeenkomstig dit protocol.

• 5.

  Sluitstuk van het LIO is de evaluatie van de gepleegde bestuurlijke interventies door het BIM. Mogelijke rest-informatie die het BIM ophaalt na de bestuurlijke interventie zal vervolgens bij fase 1 (conform dit protocol) worden ingebracht.

Artikel 24. Informeren betrokkene in fase 4

In het kader van privacy check 2a beoordeelt de privacy officer of de betrokkene (ten spoedigste) kan worden geïnformeerd over de gegevensverwerking.

Fase 5 van het protocol (afsluiten, archiveren en vernietigen)

Na uitvoering van het plan van aanpak bestuurlijke interventies wordt een casus afgesloten. Mogelijk kan informatie uit een casus leiden tot een nieuw signaal en wordt het protocol opnieuw gevolgd.

Artikel 25. Afsluiten casus, archiveren, bewaartermijn en vernietiging fase 5

• 1.

  Na uitvoering van de opdracht bestuurlijke interventies wordt de casus door de medewerker veiligheid gesloten.

• 2.

  Indien alle vijf fasen doorlopen zijn, wordt de totale gegevensset opgeslagen conform artikel 10 lid 2 onder c.

• 3.

  Na fase 5 is artikel 10 lid 4 van overeenkomstige toepassing.

Artikel 26. Informeren betrokkene in fase 5

• 1.

  Aan de persoon of personen op wie de opdracht(formulering) bestuurlijke interventies als bedoeld in artikel 23, fase 4, betrekking heeft ("subject(en)"), wordt door de verwerkingsverantwoordelijke de informatie als bedoeld in artikel 14 van de AVG verstrekt. Indien tot interventie wordt besloten, vindt de mededeling/verstrekking plaats tegelijk met de feitelijke uitvoering van de interventie.

• 2.

  De verwerkingsverantwoordelijke laat op grond van artikel 23 AVG de informatieverstrekking achterwege voor zover dit noodzakelijk is in het belang van:

  • a.

    De nationale veiligheid;

  • b.

    Landsverdediging;

  • c.

    De openbare veiligheid;

  • d.

    De voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

  • e.

    Andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

  • f.

    De bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;

  • g.

    De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;

  • h.

    Een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) En punt g) bedoelde gevallen;

  • i.

    De bescherming van de betrokkene of van de rechten en vrijheden van anderen;

  • j.

    De inning van civielrechtelijke vorderingen.

• 3.

  Deze afweging wordt door de privacy officer namens de verwerkingsverantwoordelijke gemaakt in het kader van de privacy check zoals omschreven in artikel 23, lid 1, fase 4.

• 4.

  Zodra de belangen als genoemd in het tweede lid informatieverstrekking niet langer in de weg staan, draagt de verwerkingsverantwoordelijke zorg dat de vereiste informatie alsnog (ten spoedigste) aan betrokkene wordt verstrekt.

Artikel 27. Bijlagen

De bij dit protocol gevoegde bijlagen maken deel uit van dit protocol.

Artikel 28. Datum inwerkingtreding

Dit protocol treedt in werking op de dag na bekendmaking ervan.

Artikel 29. Citeertitel

Dit protocol kan worden aangehaald als: “Privacy Protocol Bestuurlijke Aanpak Ondermijning gemeente Meierijstad”.