gezien het advies van de cliëntenraad van WerkSaam Westfriesland van 29 maart 2021;
gezien de instemming van de ondernemingsraad van WerkSaam Westfriesland van 18 oktober 2022;
b e s l u i t :
het Privacybeleid WerkSaam te wijzigen. De tekst na wijziging is als volgt:
1. Inleiding
Aanleiding
Binnen WerkSaam wordt veel gewerkt met persoonsgegevens van cliënten, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de cliënten om op een goede manier de (wettelijke) taken uit te kunnen voeren. De cliënten moeten erop kunnen vertrouwen dat WerkSaam zorgvuldig en veilig met de persoonsgegevens omgaat.
Het bestuur en de medewerkers van WerkSaam hechten er veel waarde aan dat de verwerkingen van persoonsgegevens zorgvuldig, rechtmatig en veilig plaatsvinden. Het dagelijks bestuur van WerkSaam heeft daarom besloten met dit privacybeleid te formuleren hoe om te gaan met de verwerkingen van persoonsgegevens.
In dit privacybeleid staan kaders beschreven voor het verwerken van privacygevoelige informatie oftewel persoonsgegevens, de bescherming van deze gegevens en omgang met deze gegevens. De kaders gelden voor WerkSaam en derden die zijn of worden ingeschakeld. Dit beleid dient als kapstok te worden beschouwd waaraan voor een specifiek vakgebied een aanvullend privacy protocol of werkinstructie gehangen kan worden.
Strategische borging privacy
1.2 Reikwijdte en afbakening
Het privacybeleid is van toepassing op:
•
de werkprocessen van WerkSaam waarbinnen persoonsgegevens worden verwerkt,
•
informatiesystemen (zowel digitaal als fysiek) waarin persoonsgegevens worden verwerkt, waarvoor WerkSaam (intern en extern) verantwoordelijk en verwerker is,
•
alle ruimten en devices die door medewerkers van WerkSaam intern en extern worden gebruikt waar(op)persoonsgegevens worden verwerkt,
•
alle geldende normen en regels op het gebied van privacy.
Dit privacybeleid is niet van toepassing op de verwerking van persoonlijke gegevens van medewerkers met een arbeidsovereenkomst met WerkSaam Westfriesland. De omgang met persoonlijke gegevens van de medewerkers wordt geregeld in een apart privacy protocol.
1.3 (Juridisch) Kader
WerkSaam heeft de wettelijke verplichting om een veilige persoonsgegevensverwerking te borgen. Dit moet zij doen door technische en organisatorische maatregelen te treffen. WerkSaam is verplicht de persoonlijke levenssfeer van haar inwoners te beschermen. Dit is geregeld in:
1.
Grondwet (artikel 10),
2.
Handvest van de grondrechten van de Europese Unie (EHRM),
3.
Europees Verdrag voor de Rechten van de Mensen (EVRM),
4.
Internationaal Kinderrechtenverdrag (IVRK).
Vanaf 25 mei 2016 (inwerkingtreding 25 mei 2018) geldt de Algemene Verordening Gegevensbescherming. De Algemene Verordening Gegevensbescherming is momenteel de belangrijkste wetgeving die invulling geeft aan de bescherming van de privacy.
Verder is ook in specifieke regelgeving invulling gegeven aan de bescherming van de privacy bij de verwerking van persoonsgegevens, zoals:
•
Participatiewet;
•
Besluit bijstandverlening zelfstandigen 2014;
•
Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers;
•
Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen;
•
Wet educatie voor volwassenen.
Informatiebeveiliging en de bescherming van persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Informatiebeveiliging is een randvoorwaarde voor de borging van privacy bij de verwerking van persoonsgegevens. In het Informatiebeveiligingsbeleid van WerkSaam zijn maatregelen opgenomen om data te beschermen.
Privacybeleid WerkSaam Westfriesland
Hoofdstuk1. Algemene bepalingen
Artikel1. Definities
1.
In deze beleidsregel en de daarop berustende bepalingen wordt verstaan onder:
a.
betrokkene: diegene van wie persoonsgegevens worden verwerkt, zoals een cliënt en externe klanten;
b.
persoonsgegeven: elk gegeven dat herleidbaar is tot een natuurlijk persoon;
c.
verwerken van persoonsgegevens: alle handelingen die betrekking hebben op persoonsgegevens.
d.
WerkSaam: verwerkingsverantwoordelijke zijnde het dagelijks bestuur;
e.
functionaris gegevensbescherming: de interne toezichthouder op het gebied van privacy en informatiebeveiliging;
f.
privacyofficer: diegene die binnen de WerkSaam de uitvoering van de AVG coördineert;
g.
Privacy ambassadeur: diegene die de AVG – voor bepaalde taken – op afdelingsniveau uitvoert;
2.
Verdere definities met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in de Algemene Verordening Gegevensbescherming (e.v. AVG).
Hoofdstuk2. Organisatorische borging
Artikel2. Verantwoordelijkheid
Het dagelijks bestuur van WerkSaam is eindverantwoordelijk voor de waarborging van privacy- en informatiebeveiliging.
Verantwoordelijk
Rol
R
Responsible/ Feitelijk verantwoordelijk
Dagelijks bestuur
Afdelingshoofd
Alle medewerkers (inclusief inhuur/externen)
A
Accountable/ Eindverantwoordelijk
Algemeen bestuur
S
Supporting/ Uitvoerend
Privacyofficer
C
Consulted/ Adviserend
Privacyofficer
Functionaris gegevensbescherming (FG)
Chief information security officer (CISO)
I
Informerend/ Geïnformeerd
Functionaris gegevensbescherming
Betrokkene(n) (cliënten)
Cliëntenraad
Bovenstaande tabel brengt de verantwoordelijkheden, t.a.v. privacy, in beeld aan de hand van het RASCI-model.
Artikel3. Functionaris gegevensbescherming, privacyofficer en privacy medewerker
1.
WerkSaam heeft een functionaris gegevensbescherming (e.v. FG). De FG vervult de taken als beschreven in art. 39 AVG.
2.
WerkSaam publiceert de zakelijke gegevens van haar FG. Onder zakelijke gegevens wordt verstaan:
a.
Naam.
b.
Zakelijk telefoonnummer.
c.
E-mailadres (fg@werksaamwf.nl).
3.
WerkSaam wijst één of meerdere privacyofficer(s) (e.v. PO) aan. De PO:
a.
adviseert de organisatie gevraagd, en ongevraagd, over het implementeren en borgen van
privacy.
b.
beheert het register van verwerkingsactiviteiten.
c.
bereidt afspraken met externe partijen, als bedoeld in art. 8, voor.
d.
het toetsen van de werkprocessen naar de geldende privacy normen.
e.
draagt zorg voor de periodieke interne verantwoording richting de FG.
f.
behandelt verzoeken van betrokkenen.
4.
WerkSaam wijst per afdeling één of meerdere privacy ambassadeur(s) (e.v. ambassadeur) aan. Een ambassadeur draagt zorg voor:
a.
het actueel houden van het register van verwerkingsactiviteiten.
b.
het signaleren en melden van onjuist gebruik van persoonsgegevens bij de PO.
c.
het signaleren van organisatorische ontwikkelingen die verband houden met privacy- en
informatiebeveiliging.
d.
het ondersteunen van de PO en FG.
5.
De FG draagt zorgt voor een voldoende kennisniveau, met betrekking tot privacy- en informatiebeveiliging, van de PO & ambassadeur .
6.
Bij afwezigheid van de FG ziet de PO toe op de naleving van de AVG. Hierbij zal de PO:
a.
Ondersteunen bij beveiligingsincidenten en datalekken conform art. 9 van dit Privacybeleid.
b.
Adviseren over spoedeisende vraagstukken.
Hoofdstuk3. Uitgangspunten
Artikel4. Beginselen
1.
WerkSaam verwerkt persoonsgegevens in beginsel slechts:
a.
ter uitvoering van een wettelijke verplichting,
b.
ter uitvoering van een overeenkomst.
2.
WerkSaam informeert de betrokkene via een privacyverklaring op de website. WerkSaam verwijst in al haar officiële correspondentie naar deze (meertalige) privacyverklaring. In overeenstemming met art. 6 lid 2 van dit Privacybeleid publiceert WerkSaam haar register van verwerkingsactiviteiten.
3.
WerkSaam gebruikt voor haar gegevensverwerkingen slechts de categorieën persoonsgegevens die noodzakelijk zijn om een verwerkingsdoel te bereiken, of voor doelen die verenigbaar zijn met de oorspronkelijke reden van verzamelen.
4.
In afwijking van lid 3 kunnen persoonsgegevens met toestemming van de betrokkene voor afwijkende verwerkingsdoeleinden worden gebruikt.
5.
WerkSaam bewaart en vernietigt persoonsgegevens conform de op dat moment geldende selectielijst gemeenten en intergemeentelijke organen.
Artikel5. Waarborgen en beveiliging
1.
WerkSaam zorgt voor een veilige gegevensverwerking. Hiervoor worden in ieder geval de volgende maatregelen genomen:
a.
WerkSaam inventariseert en minimaliseert doorlopend potentiële privacy risico’s middels de instrumenten als bedoeld in hoofdstuk 4 van dit beleid.
b.
persoonsgegevens worden, zonder wettelijke grondslag, niet intern of extern gedeeld.
2.
WerkSaam stelt rechten en bevoegdheden tot de digitale informatiesystemen vast. Digitale informatiesystemen zijn zo ingericht dat onbevoegden geen toegang hebben tot persoonsgegevens.
3.
WerkSaam stelt rechten en bevoegdheden vast met betrekking tot de beveiliging van haar panden.
Hoofdstuk 4. Privacy instrumenten
Artikel 6. Register van verwerkingsactiviteiten
1.
WerkSaam heeft een register van verwerkingsactiviteiten dat voldoet aan de daaraan gestelde regels (Art. 30 AVG).
2.
WerkSaam publiceert de volgende delen van haar register van verwerkingsactiviteiten op haar website:
a.
naam en contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijke.
b.
de naam van de gegevensverwerking en specifieke verwerkingsdoeleinden.
c.
een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens.
d.
de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden vernietigd en verwijderd.
e.
de categorieën van partijen aan wie de persoonsgegevens zijn of zullen worden verstrekt.
f.
de rechtmatigheidsgrondslag.
g.
de herkomst van de persoonsgegevens.
Artikel7. Gegevensbeschermingseffectbeoordelingen
1.
WerkSaam voert gegevensbeschermingseffectbeoordelingen (e.v. PIA) uit op die werkprocessen die een risico inhouden op het gebied van bescherming van de privacy en op iedere nieuwe en gewijzigde gegevensverwerking (Art. 35 AVG).
2.
WerkSaam beschouwt in ieder geval de werkprocessen als beschreven in bijlage 1 als risicovol op het gebied van gegevensbescherming.
3.
De PO is bevoegd om in overleg met de FG bijlage 1 te actualiseren.
Artikel8. Afspraken externe partijen
1.
WerkSaam houdt een overzicht bij van alle externe partijen met wie zij persoonsgegevens uitwisselt.
2.
WerkSaam maakt met alle partijen met wie zij persoonsgegevens uitwisselt afspraken over de veilige omgang met persoonsgegevens.
3.
In het geval dat WerkSaam het doel en de middelen van de externe gegevensverwerking bepaalt wordt een verwerkersovereenkomst gesloten.
4.
In de gevallen waar WerkSaam niet het doel en de middelen van een gegevensverwerking bepaald worden afspraken gemaakt over gedeelde en/of gezamenlijke verwerkingsverantwoordelijkheid.
5.
WerkSaam maakt gebruik van het model verwerkersovereenkomst van de VNG.
6.
De naleving van de gemaakte afspraken wordt periodiek gecontroleerd door de FG.
Artikel 9. Omgang beveiligingsincident/datalek
1.
In het geval van een beveiligingsincident en/of datalek geldt het op dat moment geldende procedure datalekken.
2.
De FG is gezamenlijk met de informatiebeveiliger verantwoordelijk voor de behandeling van datalekken.
Hoofdstuk 5. Rechten van betrokkenen
Artikel10. Rechten op inzage/afschrift
1.
Het staat een betrokkene vrij om inzage in de betreffende persoonsgegevens te vragen en om een afschrift van deze persoonsgegevens te verzoeken.
2.
Het verzoek beschrijft specifiek wat de betrokkene van WerkSaam aan inzage, of afschrift, verlangt.
3.
Een verzoek, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het (DigiD) formulier op de website van WerkSaam of door het aanleveren van het betreffende formulier.
4.
Een verzoek, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. WerkSaam behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen.
Artikel11. Recht op correctie
1.
Het staat een betrokkene vrij om correctie van de eigen persoonsgegevens te vragen.
2.
Het verzoek beschrijft de foutieve persoonsgegevens en de juiste persoonsgegevens.
3.
Een verzoek, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het (DigiD) formulier op de website van WerkSaam of door het aanleveren van het betreffende formulier.
4.
Een verzoek, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. WerkSaam
behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen.
Artikel12. Recht op verwijdering
1.
Het staat een betrokkene vrij om een verwijderingsverzoek persoonsgegevens in te dienen.
2.
Een verwijderingsverzoek persoonsgegevens wordt toegewezen indien:
a.
de bewaar- en vernietigingstermijn zijn verstreken.
b.
de betrokkene zijn expliciet gegeven toestemming herroept.
c.
de persoonsgegevens onrechtmatig zijn verwerkt.
3.
Een verzoek, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het (DigiD) formulier op de website van WerkSaam of door het aanleveren van het betreffende formulier.
4.
Een verzoek, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. WerkSaam behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen.
Artikel13. Recht op bezwaar
1.
Het staat een betrokkene vrij om bezwaar in te dienen tegen een verwerking van persoonsgegevens.
2.
De betrokkene beargumenteert waarom een bepaalde gegevensverwerking onverenigbaar is met het
beoogde verwerkingsdoel.
3.
Een bezwaar, als bedoeld in lid 1, kan door een betrokkene, of zijn gemachtigde, na identificatie worden ingediend via het (DigiD) formulier op de website van WerkSaam of door het aanleveren van het betreffende formulier.
4.
Een bezwaar, als bedoeld in lid 1, wordt in beginsel binnen één maand afgehandeld. WerkSaam
behoudt zich het recht voor genoemde termijn éénmalig met twee maanden te verlengen
Artikel14. Weigeringsgronden
WerkSaam weigert een verzoek, als bedoeld in de artikelen 10 t/m 13, in ieder geval indien:
a.
de identiteit van de verzoeker niet kan worden vastgesteld.
b.
het verzoek inbreuk maakt op de rechten en vrijheden van anderen.
c.
het verzoek, gelet op de daaraan voorafgaande verzoeken met onredelijke tussenpozen – meer dan één verzoek per maand - wordt ingediend.
Hoofdstuk 6. Overgangs- en slotbepalingen
Artikel 15. Bekendmaking en inwerkingtreding
1.
Het gewijzigde privacybeleid treedt in werking op 1 januari 2023.
2.
Jaarlijks wordt het privacybeleid geëvalueerd door de PO i.s.m. FG.
3.
Dit gewijzigde beleid wordt aangehaald als: Privacybeleid WerkSaam.
Aldus vastgesteld in de vergadering van het dagelijks bestuur van 10 november 2022,