| Organisatie | Zundert |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Privacybeleid gemeente Zundert 2023-2026 |
| Citeertitel | Privacybeleid gemeente Zundert 2023-2026 |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Deze regeling is tevens vastgesteld door de gemeenteraad en de burgemeester.
Deze regeling vervangt het Privacybeleid gemeente Zundert d.d. 22 mei 2018.
Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 15-02-2023 | nieuwe regeling | 10-01-2023 | Z21-001317 |
Hoofdstuk 1 Inhoudelijke bepalingen
De gemeente Zundert behandelt mensen met respect. Privacy staat bij ons hoog in het vaandel. In dit privacybeleid wordt beschreven hoe de gemeente op hoofdlijnen invulling geeft aan de privacy- uitgangspunten en de verplichtingen die de Algemene verordening gegevensbescherming (hierna: Avg) met zich meebrengt. De uitwerking van het privacybeleid vindt plaats in het Privacyreglement dat met dit beleid één geheel vormt.
Het huidige privacybeleid stamt uit mei 2018, rond de inwerkingtreding van de Avg. Destijds is het landelijke VNG-modelbeleid toegepast. Met deze actualisering in 2022 is gekozen voor een ander, meer eigentijdser model. Dit model ontvangen van L2P (een landelijk opererend adviesbureau op het gebied van privacy) heeft als basis gediend voor het Zunderts privacybeleid 2023-2026.
Dit beleid, en de levende ambities voor de komende beleidsperiode, worden verder uitgewerkt in operationeel beleid, het Privacyreglement. Beleid en reglement vormen één richtinggevend geheel en samen met de privacygovernance, procedurebeschrijvingen en werkinstructies één kader voor de omgang met persoonsgegevens in de organisatie.
In het vervolg wordt geschreven over “de gemeente”, “ons” of “wij”. Dit heeft altijd betrekking op de gemeente Zundert.
Met dit privacybeleid, inclusief de uitwerking in de onderliggende documenten, beschrijven wij hoe wij aantoonbaar op een goede manier omgaan met persoonsgegevens en hoe wij duidelijk communiceren over hoe wij persoonsgegevens gebruiken.
De Avg is daarbij het centrale kader. Dit biedt ons een belangrijk houvast voor de manier waarop wij omgaan met persoonsgegevens. Het beleid is geschreven voor alle burgers, partners en onze medewerkers. Het beleid gaat over de gemeente Zundert als overheidsorgaan en als werkgever. Dit document beschrijft de context van het beleid, de doelen en de uitgangspunten voor ons handelen. Daarmee maken we inhoudelijke keuzes binnen de kaders van de Avg en verwante wet- en regelgeving.
Het beleid heeft zowel betrekking op persoonsgegevens als op politiegegevens die door de gemeente Zundert verwerkt worden.
Dit privacybeleid houdt zoveel mogelijk rekening met bestaande wet- en regelgeving. Het is niet uit te sluiten dat tijdens de looptijd van dit beleid (2023-2026) nieuwe wet- en regelgeving ontstaat dat gevolgen heeft voor het privacybeleid en de uitwerkingen daarvan. Zo wordt er momenteel gewerkt aan de Europese ePrivacy-verordening en komen er regels vanuit de rijksoverheid voor het online monitoren van burgers (bijvoorbeeld op sociale media) in het kader van de openbare orde en veiligheid (2022). Zodra bekend is wat de gevolgen zijn voor het privacybeleid zal ook bekeken worden of en hoe daarop geanticipeerd moet worden. Het noodzakelijk vaststellen van aanpassingen van het privacybeleid volgt dezelfde route voor bestuurlijke besluitvorming.
Digitalisering en de toepassing van nieuwe technologieën leiden tot veranderingen in de samenleving. Zo kunnen bijvoorbeeld datagedreven werken en kunstmatige intelligentie (AI) ingezet worden voor een verbetering van de dienstverlening aan inwoners. Hierdoor veranderen ook de verwachtingen die inwoners hebben van de gemeentelijke dienstverlening. Persoonsgegevens moeten goed beschermd worden door de juiste informatiebeschermende maatregelen te treffen. In de Baseline Informatiebeveiliging Overheid (BIO), staan normen voor informatieveiligheid. Deze normen zijn uitgewerkt in het Strategisch Informatie-beveiligingsbeleid.
Artikel 2 Kernwaarden en ambities
De gemeente Zundert ziet het beschermen van de persoonsgegevens van burgers als een belangrijke opdracht. Wij gebruiken de volgende vijf kernwaarden.
De uitvoering van onze wettelijke taken, optimale dienstverlening en privacybescherming betekenen dat wij steeds zoeken naar een goed evenwicht. Er wordt zorgvuldig gekeken naar het belang van het individu tegenover het algemeen belang, het wettelijke kader, een correcte risicoafweging en ons moreel kompas. Wij geloven dat een goede privacybescherming, dienstverlening en werkbaarheid samengaan.
Bij digitaal werken is digitale veiligheid en bescherming van persoonsgegevens belangrijk. Burgers moeten er op kunnen vertrouwen dat hun persoonsgegevens veilig zijn bij ons. Het privacybeleid steunt dan ook op de 3 algemene uitgangspunten: rechtmatigheid, behoorlijkheid en transparantie.
Ondanks dat er voornamelijk digitaal gewerkt wordt, geldt veiligheid en bescherming ook voor analoge persoonsgegevens, fysiek op papier.
Eenmalige vastlegging, meervoudig gebruik
Wij willen niet steeds opnieuw persoonsgegevens vragen die bij ons al bekend zijn. Wij vragen gegevens alleen met een wettelijke grondslag. Bij onze rol als overheid en werkgever horen de grondslagen ‘wettelijke verplichting’ en ‘taak van algemeen belang en/of openbaar gezag’. Omdat er tussen burger/werknemer en overheid/werkgever een afhankelijkheidsrelatie ervaren kan worden, verwerken wij bij voorkeur geen persoonsgegevens op basis van de grondslag Toestemming. Een burger of werknemer hoeft zich in de relatie met de overheid/werkgever niet ‘vrij te voelen’ om toestemming te geven. Vrijelijk gegeven is één van de voorwaarden waaraan toestemming moet voldoen. Als we persoonsgegevens verwerken op basis van de grondslag Toestemming dan leggen we dat zodanig vast dat een burger/medewerker te allen tijde en met evenveel moeite de toestemming ook weer kan intrekken.
Wij vinden het waardevol dat onze burgers vertrouwen hebben in ons als gemeente. Daarbij speelt openheid een belangrijke rol. Dit betekent dat wij burgers op passende manieren informeren over hun privacyrechten. Hiervoor gebruiken wij verschillende methoden. Daarnaast informeren wij burgers door een algemene privacyverklaring openbaar te maken.
Sinds mei 2018 (de inwerkingtreding van de Avg) is gewerkt aan het ‘op orde brengen van de basis’ en heeft de gemeente Zundert veel stappen gezet om te voldoen aan de privacywet- en regelgeving. Eén keer per jaar wordt door de Functionaris voor de gegevensbescherming (FG) aan de hand van een VNG-model de mate waarin de gemeente de Avg geïmplementeerd heeft getoetst en beoordeeld. Het resultaat wordt uitgedrukt in een privacyvolwassenheidsniveau.
De doelstelling is om de komende jaren door te groeien in privacyvolwassenheidsniveau op alle privacythema’s en in de hele organisatie. Concreet kan hierbij gedacht worden aan bijvoorbeeld de ontwikkeling van domeinspecifiek privacybeleid, het opzetten van een controleprogramma Avg, het verder introduceren van ‘privacy by design’, het verder uitrollen van een bewustwordingsprogramma. Dit privacybeleid vormt de basis voor de gemeente Zundert om deze ambitie waar te maken.
Artikel 3 Scope van dit beleid
Het privacybeleid is generiek (algemeen) strategisch beleid op hoofdlijnen. Dat betekent dat de uitwerking van het privacybeleid plaatsvindt in onderliggende documenten zoals het privacyreglement, de privacygovernance, de privacyverklaring (belofte), procedurebeschrijvingen, protocollen en werkinstructies.
Het privacybeleid bestrijkt de gehele datastroom van persoonsgegevens binnen de gemeente. Van het vastleggen, ontvangen of verzamelen van persoonsgegevens, het dagelijks gebruik ervan en de gegevensopslag tot en met de archivering en vernietiging van persoonsgegevens. Om aan de Wet Politiegegevens (Wpg) te voldoen gaat dit privacybeleid ook over de verwerking van politiegegevens. Dit privacybeleid is niet alleen bindend voor de gehele organisatie van de gemeente Zundert maar ook voor de externe partijen die in opdracht van de gemeente persoonsgegevens verwerken.
Het is de bedoeling om tijdens de looptijd van dit generieke privacybeleid ook domeinspecifiek privacybeleid te ontwikkelen. Te beginnen met privacybeleid op het gebied van openbare orde en veiligheid. Hierin wordt het beleid voor politiegegevens verder uitgewerkt. Het domeinspecifiek privacybeleid moet onder andere ondersteunend worden bij het bewaken van de integriteit van de verwerkingen van persoons- en politiegegevens en behulpzaam zijn bij de audits. Over de verwerking van politiegegevens voert de gemeente jaarlijks een interne Wpg-audit uit en eens in de vier jaar een externe Wpg-audit.
Het privacybeleid voor het sociaal domein wordt zo snel mogelijk herzien. Verder zijn er plannen om op niet al te lange termijn te bezien of specifiek privacybeleid voor de domeinen HRM en Burgerzaken meerwaarde heeft en haalbaar is.
Wanneer er sprake is van verwerkers of van samenwerkingsverbanden gelden dezelfde uitgangspunten. De uitgangspunten worden meegenomen bij de keuze van leveranciers en verwerkers. Hiervoor maken wij contractuele afspraken die we ook toetsen bij de uitvoering van de werkzaamheden. Het privacybeleid is ook van toepassing bij uitwisseling van informatie met andere gemeenten en organisaties en bij de uitbesteding van publieke taken aan externe partijen.
Het beleid strekt zich ook uit over verwerkingen van persoonsgegevens op grond van de wet Basisregistratie Personen (BRP) en op verwerkingen waarop de Archiefwet van toepassing is. Vanzelfsprekend voor zover deze specifieke wet- en regelgeving geen afwijkende eisen stellen.
Op het gebied van informatiemanagement staat privacybeleid niet alleen. Zo heeft de gemeente Zundert bijvoorbeeld ook informatiebeleid, informatiebeveiligingsbeleid, logbeleid en testbeleid.
Het wettelijk kader voor dit privacybeleid bestaat voor persoonsgegevens voornamelijk uit de Europese verordening en de landelijk uitvoeringswet, de Avg en de Uavg. Het wettelijk kader voor dit privacybeleid voor politiegegevens is de Wpg.
Daarnaast is er veel andere wetgeving van belang bij de bescherming van persoonsgegevens. Daarbij kan gedacht worden aan bijvoorbeeld de Wet basisregistratie personen, de Wet maatschappelijke ondersteuning, de Archiefwet, de Wet algemene bepalingen burgerservicenummer.
Alle relevante en van toepassing zijnde wettelijke regelingen betrekken wij per casus bij de belangenafweging, het hanteren van de privacy-uitgangspunten en de beoordeling van de impact op dit privacybeleid en de Avg/Uavg.
Bij de verwerking van persoonsgegevens zijn vaak diverse belangen gemoeid. Dat vraagt om een zorgvuldige afweging. Naast het belang van de individuele burger, is er het publieke (algemeen) belang en zijn er belangen van burgers ten opzichte van elkaar.
Belang van de burger: een burger mag ervan uitgaan dat zijn persoonsgegevens door de gemeente veilig en betrouwbaar worden verwerkt. Daarnaast moeten wij transparant zijn over wat wij met die gegevens doen. De wensen kunnen verschillend van karakter zijn. Aan de ene kant heeft de burger er belang bij dat zo min mogelijk gegevens worden opgeslagen en niet langer worden bewaard dan noodzakelijk. Aan de andere kant verwacht de inwoner efficiënte dienstverlening. Wij vragen niet naar gegevens die bij ons bekend zijn maar wij gebruiken gegevens alleen voor een vooraf bepaald doel.
Voordat persoonsgegevens worden verwerkt vindt er een belangenafweging plaats. Daarbij worden de privacy-uitgangspunten zoals beschreven in artikel 6 meegewogen. De gemeente maakt een analyse zodat de risico’s van de verwerking vooraf inzichtelijk zijn. Na een onderbouwde belangenafweging wordt besloten of de gegevensverwerking kan plaatsvinden. Daarbij worden risico’s zoveel mogelijk verkleind met de juiste maatregelen.
Artikel 6 Privacy-uitgangspunten
De Avg omschrijft een aantal uitgangspunten die centraal staan in dit beleid. De gemeente Zundert hanteert de centrale uitgangspunten Rechtmatigheid, Behoorlijkheid en Transparantie om invulling te geven aan alle uitgangspunten die de Avg stelt.
Rechtmatigheid: wij hanteren de Avg als basis en verwerken persoonsgegevens volgens de geldende wet- en regelgeving.
Behoorlijkheid: wij verwerken zo min mogelijk persoonsgegevens en zo kort mogelijk en wij gaan vertrouwelijk met persoonsgegevens om.
Transparantie: wij communiceren open en eerlijk over hoe wij met persoonsgegevens omgaan.
In het privacyreglement worden deze privacy-uitgangspunten verder uitgewerkt.
Het Avg borgingsdocument is ons privacy control framework. Dit is het beoordelingskader voor het waarborgen van privacy compliance binnen de gemeente. Het Avg borgingsdocument geeft invulling aan het normenkader voor het duiden van privacyrisico’s en de daarbij behorende beheersmaatregelen. Op basis van het borgingsdocument stellen wij kerncontrolepunten en bijbehorende werkprogramma’s vast.
Het beheren van privacyprocessen is een stukje risicobeheersing. Bij het niet voldoen aan de relevante wet- en regelgeving is het College van B&W wettelijk aansprakelijk. Anderzijds kan het niet voldoen nadelige gevolgen krijgen voor de persoonlijke levenssfeer van de betrokkenen. Dit privacybeleid, in combinatie met het informatiebeveiligingsbeleid, heeft als doel deze risico’s te verkleinen.
Artikel 8 Algemene Verordening Gegevensbescherming
De Avg legt diverse verplichtingen op aan gemeenten. Dat betekent dat de gemeente Zundert:
Hoe de gemeente deze wettelijke verplichtingen concreet uitvoert staat uitgebreid beschreven in het Privacyreglement.
Artikel 9 Ambitie en bewegingsvrijheid
Een eerder genoemde ambitie is om de komende jaren door te groeien naar een hoger privacyvolwassenheidsniveau. Dit wordt gemeten aan de hand van het Avg-borgingsdocument.
Binnen de kaders van de wetgeving en de benoemde uitgangspunten bestaat er voor de gemeente ruimte om te bewegen. Bijvoorbeeld om gebruik te maken van nieuwe technologieën.
De wereld staat niet stil. Nieuwe mogelijkheden dienen zich steeds weer aan. De gemeente beschikt over veel data waaronder veel persoonsgegevens. Het is de ambitie van de gemeente om deze data in te zetten ten dienste van de gemeenschap. Daarbij zullen wij ons niet alleen houden aan de geldende wet- en regelgeving, de kernwaarden en de privacy-uitgangspunten maar ook aan ethische uitgangspunten en ons moreel kompas.
Van de externe partijen en de (keten)partners, waar de gemeente mee samenwerkt, vragen wij hetzelfde. Daartoe maken wij zo nodig schriftelijke privacyafspraken.
Digitale data-ethiek gaat zeker niet over persoonsgegevens alleen. Ethisch databeleid kan dan ook niet geïntegreerd worden in dit privacybeleid. Zeker daar waar de wet- en regelgeving ruimte over laat zal de gemeente ethische afwegingen onderdeel laten zijn van de onder artikel 5 genoemde belangenafweging.
Een politiegegeven is een persoonsgegeven dat verwerkt wordt in het kader van de opsporingstaak van de buitengewoon opsporingsambtenaar (BOA). Voor de verwerking van politiegegevens geldt een ander regime: de Wet politiegegevens (Wpg). Wij verwerken politiegegevens in overeenstemming met de Wpg. Hoe daar concreet uitvoering aan gegeven wordt, is uitgewerkt in het Privacyreglement.
Artikel 12 Taken en verantwoordelijken
Het College is verantwoordelijk voor het naleven van de privacy wet- en regelgeving en de kaders voor het verantwoord omgaan met persoonsgegevens. De gemeente heeft de verantwoordingsplicht om te kunnen aantonen dat deze uitgangspunten en kaders worden nageleefd. Elke medewerker binnen onze organisatie is medeverantwoordelijk voor een juiste naleving en implementatie van dit privacybeleid. De concrete interne taakverdeling om dit te borgen is vastgelegd in de Privacy Governance.
Een hoge mate van privacybewustzijn bij alle medewerkers is van essentieel belang om dit beleid goed uit te voeren. Elke medewerker heeft een adequaat niveau van bewustzijn als het gaat om privacy en informatiebeveiliging. Er zijn binnen de gemeentelijke leeromgeving trainingen, e-learnings, instructies e.d. beschikbaar om de bewustwording van medewerkers te vergroten.
Nieuwe medewerkers volgen een verplichte cursus informatiebeveiliging en privacy. Daarnaast is er een continu programma van bewustwordingsacties. Op het collectieve bewustzijn wordt de kwaliteitscirkel plan-do-check-act toegepast. Met een zekere regelmaat wordt het bewustzijnsniveau gemeten waarop het bewustwordingsprogramma wordt aangepast. De directie en het bestuur hebben ten aanzien van bewustwording een stimulerende en faciliterende rol.
Artikel 14 Uitwerking en evaluatie
Het beleid wordt vastgesteld volgens een cyclisch proces dat zoveel mogelijk gelijk loopt met de zittingstermijn van het College. Dat cyclisch proces voldoet aan een gestandaardiseerd patroon van voorbereiden, ontwikkelen, goedkeuren, communiceren, uitvoeren, implementeren en evalueren. De privacy officer heeft het privacybeleid opnieuw opgesteld. In het kader van integraliteit en draagvlak is het conceptbeleid breed ter consultatie in de organisatie en daarbuiten uitgezet. De ontvangen input is in dit beleidsdocument verwerkt.
Het kader voor de omgang met persoonsgegevens in de organisatie bestaat uit:
In 2026 zal dit proces wederom worden herhaald mocht eerdere herziening niet noodzakelijk zijn.
Artikel 15 Intrekking oude regeling
Met het vaststellen van de beleidsregel “Privacybeleid gemeente Zundert 2023-2026” wordt gelijktijdig ingetrokken de beleidsregel “Privacybeleid gemeente Zundert d.d. 22-5-2018”.