Privacy Protocol Toegang Sociaal Domein De Ronde Venen 2023

Artikel 1 Begripsbepalingen

• 1.1

  In dit Privacy Protocol wordt aangesloten bij de begripsbepalingen/definities zoals opgenomen in de AVG.

• 1.2

  Daarbij geldt tevens dat onder dit protocol wordt verstaan onder:

  • a.

    Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben: dit kan zijn een inwoner, of een andere persoon die betrokken is bij de ondersteuning van de inwoner.

  • b.

    Client: inwoner die toegang tot het sociaal domein verlangt/nodig heeft.

  • c.

    Datalek: toegang tot of vernietiging, wijziging, verlies of vrijkomen van persoonsgegevens, zonder dat dit de bedoeling was. Bijvoorbeeld: het verkeerd adresseren van een brief of e-mail of kwijtraken van een dossier met persoonsgegevens zijn datalekken.

  • d.

    Partners: Maatschappelijke organisaties werkzaam binnen het sociaal domein, zoals thuiszorgorganisaties, MEE, maatschappelijk werk, Vluchtelingenwerk, geestelijke gezondheidszorg, zorgaanbieders en medisch specialisten.

  • e.

    Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan een mens als individu kan worden herkend. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum).

    • –

      Let op! Bijzondere persoonsgegevens: Bijzondere persoonsgegevens zijn gegevens als ras, godsdienst, politieke of religieuze overtuiging, lidmaatschap vakvereniging, gezondheid, seksuele gerichtheid, genetische gegevens of biometrische gegevens. Deze gegevens mogen in beginsel niet verwerkt worden, dit mag alleen bij uitzondering.

    • –

      Strafrechtelijke persoonsgegevens worden alleen verwerkt worden onder specifieke eisen.

  • f.

    Privacybeleid: het algemene ‘Privacybeleid De Ronde Venen 2022’, van toepassing op alle verwerkingen binnen de gemeente.

  • g.

    Privacy Protocol: dit Privacy Protocol Toegang Sociaal Domein gemeente De Ronde Venen 2023

  • h.

    Privacyreglement: het algemene ‘Privacyreglement De Ronde Venen 2022’, van toepassing op alle verwerkingen binnen de gemeente.

  • i.

    Toegang: De Toegang zorgt voor toegang tot ondersteuning en zorg binnen het Sociaal Domein van de gemeente en is belast met de uitvoering van de gemeentelijke uitvoeringstaken.

  • j.

    ServicePunt: ServicePunten zijn van Tympaan de Baat. ServicePunt is het eerste aanspreekpunt en de ingang voor de inwoner bij vragen voor het Sociaal Domein. Het ServicePunt heeft alle informatie over het voorliggende veld.

  • k.

    Verwerking: een handeling of geheel van handelingen met betrekking tot persoonsgegevens. Hieronder vallen in ieder geval: het gebruiken, raadplegen, bijwerken, wijzigen, bewaren, opvragen, verzamelen, vastleggen, ordenen, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, maar ook het afschermen, uitwissen of vernietigen van persoonsgegevens.

Artikel 2 Doel, Reikwijdte en verhouding algemeen Privacybeleid en Privacyreglement

• 2.1

  Dit Privacy Protocol is van toepassing op alle vormen van verwerkingen van persoonsgegevens binnen het Sociaal Domein, specifiek bij de uitvoering van taken binnen de Toegang.

• 2.2

  Het Privacy Protocol biedt handvatten over verwerking van persoonsgegevens binnen het Sociaal Domein, in aanvulling op het Privacybeleid en Privacyreglement van de Gemeente.

• 2.3

  Betrokkenen krijgen door middel van het Privacy Protocol meer inzicht in de manier waarop hun persoonsgegevens verwerkt worden binnen het Sociaal Domein.

• 2.4

  Het Privacy Protocol is bedoeld als specifieke uitwerking van het algemene Privacybeleid en Privacyreglement voor de verwerkingen binnen de Toegang van het Sociaal Domein.

Artikel 3 Verwerking van persoonsgegevens

• 3.1

  Persoonsgegevens worden alleen verwerkt als er:

  • 1.

    een welbepaald, uitdrukkelijk omschreven, gerechtvaardigd doel is; én

  • 2.

    een juridische grondslag is (artikel 6 lid 1 AVG).

• 3.2

  Doel: Naar de betrokkene wordt gecommuniceerd welke persoonsgegevens en voor welk doel de persoonsgegevens verwerkt worden, waarbij de hulpvraag leidend zal zijn. Algemene voorbeelden van doelen zijn: het bieden van jeugdhulp, het vaststellen welke hulp betrokkene nodig heeft op grond van de Wmo of het ondersteunen van betrokkene in inkomen en bij het vinden van mogelijkheden voor werk op grond van de Participatiewet.

• 3.3

  De juridische grondslagen zijn – in versimpelde weergave-:

  • a.

    Toestemming van betrokkene

  • b.

    Noodzakelijk voor de uitvoering van een overeenkomst

  • c.

    Noodzakelijk om te voldoen aan een wettelijke plicht

  • d.

    Noodzakelijk ter bescherming van de vitale belangen van betrokkene of andere natuurlijke persoon

  • e.

    Noodzakelijk voor de vervulling van een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag (publieke taak).

  • f.

    Noodzakelijk voor de behandeling van gerechtvaardigde belangen. Deze grondslag wordt niet gebruikt als grondslag voor de uitvoering van een publieke taak.

• 3.4

  De meeste verwerkingen van persoonsgegevens binnen het Sociaal Domein hebben als grondslag dat:

  • a.

    deze noodzakelijk zijn voor de vervulling (uitvoering) van een (publieke) taak in het kader van de uitoefening van het openbaar gezag. Dit betekent in praktijk dat in de Jeugdwet, Wmo of Participatiewet (of overige relevante wetgeving) terug te vinden moet zijn dat de Gemeente deze publieke taak kan uitvoeren;

  • b.

    Noodzakelijk om te voldoen aan een wettelijk plicht;

  • c.

    Noodzakelijk ter bescherming van de vitale belangen of veiligheid van betrokkene of anderen. Bijvoorbeeld bij acuut gevaar waarbij betrokkene niet aanspreekbaar is of mentaal niet in staat is toestemming te verlenen.

• 3.5

  De grondslag toestemming dient terughoudend ingezet te worden binnen het Sociaal Domein. Er mag bij de grondslag toestemming géén sprake zijn van een afhankelijkheidsrelatie tussen Gemeente en betrokkenen. Bij de toeleiding naar hulp, bij een nieuwe hulpvraag, is toestemming daarom in beginsel geen correcte grondslag, gezien de op dat moment aanwezige afhankelijkheidsrelatie tussen Gemeente en betrokkene.

  In artikel 4 en artikel 5 lid 5 en 7 van dit Privacy Protocol wordt verder ingegaan hoe omgegaan dient te worden met toestemming indien de persoonsgegevens van betrokkene al bekend zijn bij de Gemeente.

• 3.6

  In het geval dat toestemming rechtmatig als grondslag ingezet kan worden geldt dat toestemming vrij en ondubbelzinnig gegeven moet worden door betrokkene. De betrokkene moet voorafgaand aan het verlenen van toestemming duidelijke en voor hem begrijpelijke informatie ontvangen over het verwerken van de betreffende persoonsgegevens en de consequenties daarvan ontvangen. Toestemming moet schriftelijk door betrokkene gegeven worden, waarbij duidelijk wordt vastgelegd voor welke persoonsgegevens en welke doelen de toestemming gegeven wordt. Eenmaal gegeven toestemming mag altijd weer ingetrokken worden door de betrokkene. Het intrekken van toestemming leidt niet tot een onrechtmatige verwerking van de persoonsgegevens van voor de intrekking van de toestemming.

• 3.7

  De hulpvraag is leidend bij het bepalen welke persoonsgegevens noodzakelijk zijn om te verwerken. Bij de verwerking van persoonsgegevens worden de beginselen van proportionaliteit en subsidiariteit in acht genomen. De verwerking van persoonsgegevens moet noodzakelijk zijn voor het omschreven doel. Minimale gegevensverwerking is het uitgangspunt, waarbij het belang van de privacy van de betrokkene zwaar dient te wegen. Bijvoorbeeld: kan het in behandeling nemen van een hulpvraag met minder persoonsgegevens, dan moet het met minder persoonsgegevens.

• 3.8

  Bijzondere persoonsgegevens worden alleen verwerkt als voldaan wordt aan de eisen van lid 1 van dit artikel én er een wettelijke uitzondering is. Deze zijn terug te vinden in artikel 9 AVG en nader uitgewerkt in artikelen 22 tot 24 UAVG. Voor de Toegang van het Sociaal Domein betekent dit in praktijk dat er in ieder geval bijzondere persoonsgegevens worden verwerkt indien dit blijkt uit Jeugdwet, Wmo of Participatiewet (of overige relevante wetgeving) of op grond van uitdrukkelijke toestemming van betrokkene.

• 3.9

  Het Burgerservicenummer (BSN) is geen persoonsgegeven, maar dient wel zeer terughoudend verwerkt te worden. De Gemeente is bevoegd het BSN te verwerken op grond van het bepaalde in artikel 87 AVG, artikel 46 UAVG en artikel 10 Wet algemene bepalingen Burgerservicenummer. Verwerking van het BSN moet altijd proportioneel zijn, anders wordt het BSN niet verwerkt.

  • a.

    Het BSN wordt verwerkt bij het domein Participatie op grond van artikel 68 Participatiewet;

  • b.

    Het BSN wordt verwerkt bij het domein Wmo op grond van artikel 5.2.9 e.v. Wmo;

  • c.

    Het BSN wordt verwerkt bij het domein Jeugdwet op grond van artikel 7.2.1. e.v. Jeugdwet.

• 3.10

  Medewerkers dienen zich tot wat redelijkerwijs mogelijk is in te spannen dat de te verwerken persoonsgegevens juist en volledig zijn.

• 3.11

  Verwerkingen worden vastgelegd in het verwerkingsregister. Nieuwe verwerkingen, wijzigingen op bestaande verwerkingen of het eindigen van verwerkingen moeten gemeld aan de privacy ambassadeur van het Sociaal Domein of de privacy adviseur van de Gemeente. Zij zullen zorgdragen voor opname, wijziging of verwijdering van de verwerking in het verwerkingsregister.

Artikel 4 Aanvullende bepalingen verwerking persoonsgegevens Wmo

• 4.1

  Artikel 5.1.1. Wmo geeft de ruimte om, voor zover betrokkene hiervoor zijn ondubbelzinnige toestemming heeft verleend, eerder verkregen persoonsgegevens (bijvoorbeeld ter uitvoering van taken onder de Jeugdwet of Participatiewet) van betrokkenen te verwerken die noodzakelijk zijn voor de beoordeling van de behoefte aan ondersteuning op grond van de Wmo. Hieronder vallen ook persoonsgegevens die zien op de gezondheid van betrokkene. Dit alles onder nadere voorwaarden van artikel 5.1.1. Wmo.

Artikel 5 Geheimhouding, vertrouwelijkheid en gegevensuitwisseling binnen de domeinen in het Sociaal Domein

• 5.1

  Een ieder die persoonsgegevens verwerkt binnen de reikwijdte van dit protocol is verplicht tot het vertrouwelijk omgaan met persoonsgegevens en met de geheimhouding daarvan, tenzij anders bepaald bij wet- of regelgeving.

• 5.2

  Persoonsgegevens worden in beginsel niet gedeeld binnen de verschillende domeinen in het Sociaal Domein, tenzij anders bepaald bij wet- of regelgeving.

• 5.3

  Indien voor het domein overschrijdend delen van persoonsgegevens geen nadere wet- of regelgeving is, maar er wel sprake is van multi problematiek en/of de hulpvraag de domeinen overstijgt kan toestemming uitkomst bieden.

• 5.4

  In aanvulling van het bepaalde in lid 3 van dit artikel wordt het delen van de persoonsgegevens uitdrukkelijk beperkt tot enkel het delen van persoonsgegevens uit het dossier die noodzakelijk zijn voor uitvoering van de (nieuwe) hulpvraag en waarbij het beoogde doel niet op een minder ingrijpende manier bereikt kan worden.

• 5.5

  Uitgangspunt in praktijk is dat de hulpvraag leidend is voor het bepalen van de noodzaak tot verwerking van gegevens. Alleen die gedeelten en persoonsgegevens uit een dossier die noodzakelijk zijn voor de hulpvraag worden domein overschrijdend gedeeld. Dit kan betekenen dat enkel het delen van informatie ‘dat’ er een bepaalde voorziening is voor betrokkene vanuit andere wetgeving al voldoende is. In artikel 6 van dit Privacy Protocol zal verder ingegaan worden op basis gegevenssets in een dossier.

• 5.6

  Betrokkene wordt vooraf geïnformeerd over het delen van zijn persoonsgegevens tussen de verschillende domeinen en betrokkene verleent hiervoor zijn ondubbelzinnige toestemming middels het toestemmingsformulier wat op te vragen is bij de privacy ambassadeur. Indien het toestemmingsformulier in uitzonderlijke situaties niet toereikend is, wordt samen met de privacy ambassadeur bepaald hoe de toestemming vastgelegd kan worden.

• 5.7

  In het dossier van betrokkene wordt het ingevulde toestemmingsformulier vastgelegd. Indien toestemming niet wordt verstrekt of ingetrokken wordt hiervan een aantekening gemaakt in het dossier.

• 5.8

  Het niet geven van toestemming door betrokkene voor domein overschrijdend delen van zijn persoonsgegevens mag géén gevolgen hebben voor de behandeling van de hulpvraag. Betrokkene heeft echter wel nu zelf de verantwoordelijkheid dat hij alle persoonsgegevens en relevante informatie (opnieuw) correct verstrekt. Betrokkene zal zelf het initiatief moeten nemen voor nieuwe (hulp)aanvragen.

• 5.9

  Het delen van persoonsgegevens binnen het Sociaal Domein zal in beginsel plaatsvinden doormiddel van autorisatiebeheer. Autorisaties worden versterkt op basis van ‘need-to-know’. . Autorisaties kunnen verstrekt of ingetrokken worden, de autorisatiematrix legt vast wie bij welke gegevens mag komen.

• 5.10

  Bij meerdere hulpvragen van betrokkene die vallen binnen één domein van het Sociaal Domein, mogen de persoonsgegevens wel gedeeld worden binnen hetzelfde domein op grond van noodzakelijkheid voor een goede uitvoering van de publieke taak van de gemeente (artikel 6 lid 1 sub e AVG) en zónder dat hiervoor toestemming gevraagd hoeft te worden aan betrokkene. Het doel en de context waarbinnen de persoonsgegevens verzameld zijn zullen in dit geval voldoende verenigbaar zijn en de betrokkene mag verwachten dat hij voor een hulpvraag binnen hetzelfde domein niet telkens opnieuw zijn gegevens hoeft door te geven voordat zijn hulpvraag opgepakt wordt.

Artikel 6 Dossiers en gegevenssets

• 6.1

  In een dossier worden enkel en alleen de persoonsgegevens opgenomen die noodzakelijk zijn voor een goede uitvoering van de hulpverlening aan betrokkene en om de continuïteit hiervan te kunnen waarborgen.

• 6.2

  Persoonlijke (werk-)aantekeningen die niet noodzakelijk zijn maken géén deel uit van het dossier en worden derhalve onverwijld vernietigd.

• 6.3

  Uitgangspunt voor alle nieuw aan te maken dossiers is dat deze digitaal worden aangemaakt in de door de Gemeente daarvoor aangewezen systemen. Dossiers van verschillende betrokkenen worden altijd gescheiden, tenzij dit een probleem oplevert voor de uitvoering van een goede hulpverlening aan betrokkenen.

• 6.4

  In bijlage 1 van dit privacyprotocol is terug te vinden welke set aan persoonsgegevens minimaal verwerkt zullen worden. Aangezien iedere hulpvraag en situatie anders kan zijn, is de set aan persoonsgegevens in bijlage 1 niet limitatief.

Artikel 7 Bewaartermijnen

• 7.1

  De Gemeente sluit aan bij de Archiefwet en bij de bewaartermijnen zoals deze te vinden zijn in de VNG selectielijst van de Vereniging van Nederlandse Gemeenten (VNG).

• 7.2

  Persoonsgegevens in het Sociaal Domein worden bewaard zolang dat nodig is voor het doel waarvoor ze worden gebruikt en voor zover dat van een goed hulpverlener wordt verlangd.

• 7.3

  In beginsel geldt voor de Participatiewet een bewaartermijn van 10 jaar, Wmo een bewaartermijn van 15 jaar en de Jeugdwet een bewaartermijn van 20 jaar, na afhandeling van de zaak, of zoveel langer als dit redelijkerwijs uit de zorgvuldige uitvoering van de taken op grond van de wet noodzakelijk is.

• 7.4

  Een ingetrokken, geweigerde of afgewezen aanvraag heeft een bewaartermijn van 5 jaar. Een afgebroken aanvraag heeft in principe een bewaartermijn van 6 weken, behalve als deze persoonsgegevens langer noodzakelijk zijn voor de uitvoering van de gemeentelijke taken.

Artikel 8 Rechten betrokkenen

• 8.1

  Betrokkenen hebben de volgende rechten op grond van de AVG:

  • –

    Recht op informatie;

  • –

    Recht op dataportabiliteit: het recht om persoonsgegevens over te dragen.

  • –

    Recht op vergetelheid: het recht om ‘vergeten’ te worden (aangevuld met de mogelijkheid om te eisen dat een organisatie de verwijdering doorgeeft aan alle andere organisaties die de gegevens ontvangen hebben).

  • –

    Recht op inzage: dat is het recht van mensen om de persoonsgegevens die van hen worden verwerkt in te zien. Bij een inzageverzoek op grond van de AVG gaat het dus niet om de daadwerkelijke inzage in het dossier, maar om het recht van betrokkenen om uitsluitsel te verkrijgen over het verwerken van persoonsgegevens van betrokkene en om inzage te verkrijgen hiervan. Daarbij wordt aan betrokkene een overzicht verstrekt waarin bijvoorbeeld genoemd wordt:

    • a.

      de verwerkingsdoeleinden;

    • b.

      de betrokken categorieën van persoonsgegevens;

    • c.

      de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

    • d.

      indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen (de bewaartermijn), of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

    • e.

      wat de rechten van de betrokkene zijn en dat het betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens;

    • f.

      wanneer de persoonsgegevens niet bij de betrokkene zijn/worden verzameld, alle beschikbare informatie over de bron van de gegevens; en

    • g.

      of de verwerkingsverantwoordelijke aan geautomatiseerde besluitvorming doet (met in begrip van profilering). Daarbij moet de verwerkingsverantwoordelijke ook uitleggen waarom zij dit doet, op basis van welke logica, en welke gevolgen dit voor de betrokkene kan hebben.

  • –

    Recht op rectificatie en aanvulling: het recht om de persoonsgegevens die worden verwerkt te wijzigen en/of aan te vullen (dan wel een eigen toelichting toe te voegen aan het dossier).

  • –

    Het recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken.

  • –

    Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.

  • –

    Het recht om bezwaar te maken tegen de gegevensverwerking.

• 8.2

  Indien een betrokkene/inwoner gebruik wil maken van zijn rechten en een verzoek op grond van de AVG wil doen, dan wordt verwezen naar de gemeentelijke website. Daar staat in de privacyverklaring en onder ‘Gebruik maken van uw privacyrechten’ vermeld hoe de gemeente omgaat met persoonsgegevens en hoe een verzoek (digitaal) ingediend kan worden.

• 8.3

  Bij binnenkomst van een verzoek van betrokkene/inwoner op een andere manier dan digitaal, dient onverwijld de teammanager, privacy ambassadeur en privacy adviseur (middels privacy@derondevenen.nl) ingelicht te worden. Indien mogelijk wordt meteen de ID check gedaan. Pas daarna kan het verzoek verder afgehandeld worden onder instructie van de privacy ambassadeur en privacy adviseur van de Gemeente. De privacy adviseur bewaakt de termijnen en communiceert verder met de verzoeker.

• 8.4

  Nadat de betrokkene zich geïdentificeerd heeft gaat de reactietermijn van één maand in. Deze termijn kan binnen deze maand met twee maanden verlengd worden.

• 8.5

  Om de privacy bij een verzoek te waarborgen zullen alle te verstrekken gegevens en documenten gecontroleerd moeten worden en waar nodig geanonimiseerd onder begeleiding van de privacy ambassadeur.

Artikel 9 Dossierinzage

• 9.1

  Iedere betrokkene heeft in beginsel recht op volledige inzage in het eigen dossier, binnen de reikwijdte van de betreffende wet- en regelgeving. Een verzoek om eigen dossierinzage (op grond van bijvoorbeeld Jeugdwet, Wmo of Participatie) is dus een ander verzoek dan het inzage verzoek op grond van de AVG zoals omschreven in artikel 8 van dit Privacy Protocol.

• 9.2

  Bij een dossierinzage verzoek wordt altijd de juridische kwaliteitsadviseur Sociaal Domein betrokken, voordat het verzoek wordt afgehandeld.

• 9.3

  Geen inzage wordt verleend in het dossier, of gedeelten hiervan, indien:

  • 1.

    de privacy van anderen in het geding komt, waarbij het belang van de bescherming van de persoonlijke levenssfeer van een ander zwaarder weegt dan het belang van degene die het inzageverzoek doet voor het betreffende dossier, of gedeelte daarvan;

  • 2.

    de inzage in, of verstrekking van, niet verenigbaar is met de zorg van een goed hulpverlener. Dit houdt in (maar is niet beperkt tot) dat de veiligheid van de betrokkene beschermd moet worden. Als inzage in het dossier, of gedeelten hiervan, de veiligheid van betrokkene kan schaden, dan wordt inzage niet verleend.

Artikel 10 Informatieveiligheid

• 10.1

  Persoonsgegevens worden enkel en alleen verwerkt in de daartoe door Gemeente aangewezen systemen. Hetzelfde geldt voor het opslaan van dossiers.

• 10.2

  Enkel en alleen de noodzakelijke personen krijgen toegang tot persoonsgegevens. Dit gebeurt middels het geven van autorisaties, deze worden uitgedeeld op basis van ‘Need-to-know’. De autorisaties worden intern vastgelegd in een autorisatiematrix die regelmatig wordt gecontroleerd door de proceseigenaar. Het correct toewijzen van toegangsrechten draagt bij aan het veilig omgaan met de gegevens van inwoners en daardoor aan een betere dienstverlening voor onze inwoners.

• 10.3

  De werkomgeving van de Gemeente en de systemen waarin persoonsgegevens en dossiers verwerkt dan wel opgeslagen worden dienen te voldoen aan passende technische en organisatorische (beveiligings-)maatregelen op grond van artikel 5 en 32 AVG. Daarvoor wordt aangesloten bij de eisen uit de Baseline Informatiebeveiliging Overheid (BIO). Dit is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen.

• 10.4

  Medewerkers binnen de Toegang van het Sociaal Domein spannen zich mede in om de informatieveiligheid van persoonsgegevens te waarborgen. In praktijk houdt dit in dat door hen ten minste de volgende maatregelen worden getroffen:

  • –

    Documenten worden zo snel mogelijk gearchiveerd en/of op de door Gemeente aangewezen plaatsen opgeslagen. Daarbij wordt ook gezorgd voor opschoning van e-mail en de (eigen) netwerkschijf, zodat gegevens niet onnodig op meerdere plaatsen staan.

  • –

    Bij het niet gebruiken van de computer wordt het scherm vergrendeld en wordt de werkplek opgeruimd. Kasten worden gesloten en sleutels opgeborgen.

  • –

    Fysieke documenten worden niet onbeheerd achtergelaten.

  • –

    Fysieke documenten met persoonsgegevens of vertrouwelijke documenten worden vernietigd op de daartoe speciaal aangewezen plaatsen.

  • –

    De meest recente werkinstructies vanuit de Gemeente omtrent hybride / thuiswerken worden opgevolgd. Iedere (vaste) medewerker wordt voorzien van laptop en overige voorzieningen die noodzakelijk zijn voor hybride werken. Op het gemeentelijk intranet zijn nadere instructies voor de medewerkers terug te vinden die opgevolgd dienen te worden.

  • –

    Zowel bij het werken op de werkplek in het gemeentehuis als bij thuiswerken of werken op locatie moet de medewerker zich ervan bewust zijn dat iemand kan meekijken of meeluisteren. Dit dient voorkomen te worden.

  • –

    Op de eigen (thuis)computer / laptop of op eigen USB-sticks en andere opslagmediums worden géén dossiers of persoonsgegevens opgeslagen. Persoonsgegevens en dossiers worden niet verstuurd naar eigen privé mailadres.

  • –

    Vertrouwelijke documenten en dossiers worden in beginsel niet meegenomen buiten de werkomgeving, dit is alleen toegestaan na overleg met de kwaliteitsadviseur .

  • –

    Voor werkbezoeken geldt dat uitgangspunt is om digitaal te werken op de door de Gemeente verstrekte laptop/I-pad. Het gebruik van fysieke documenten dient waar mogelijk beperkt te worden.

  • –

    Alleen beveiligde USB-sticks (verkrijgbaar bij de Gemeente) worden gebruikt door de medewerkers. Deze worden bij niet meer gebruiken ook weer ingeleverd bij Gemeente.

  • –

    Alleen noodzakelijke (persoons-)gegevens worden uitgewisseld. Vooraf wordt nagegaan of de gegevens wel bij de juiste persoon of organisatie terecht komen.

  • –

    Bij digitale uitwisseling moet dit tenminste plaatsvinden via een beveiligde vorm van berichtenverkeer en/of e-mail. Hiervoor worden altijd de meest recente werkinstructies van de Gemeente opgevolgd, zodat aangesloten kan worden bij de meest passende beveiligingsmaatregelen.

  • –

    Een document of bestand met persoonsgegevens wordt niet verstuurd zonder dat deze beveiligd is.

  • –

    Digitale uitwisseling van (persoons-)gegevens of dossiers vindt in ieder geval niet plaats via WhatsApp, SMS.

  • –

    Bij het vermoeden van phishing, spam e-mails, virussen of datalekken wordt onverwijld de teammanager en privacy adviseur of CISO op de hoogte gesteld.

  • –

    Er wordt voorzichtig omgegaan met e-mails (van onbekende afzenders). Er wordt niet op linkjes geklikt en er worden geen bestanden geopend als het niet zeker is dat ze betrouwbaar zijn.

  • –

    Bij het verlies van gemeentelijke eigendommen (laptop, telefoon, USB-stick etc) wordt onverwijld de teammanager op de hoogte gesteld en wordt dit gemeld bij team I&A, telefoonnummer Servicedesk.

Artikel 11 Datalekken en incidenten

• 11.1

  Een datalek, of een vermoeden van een datalek, wordt onverwijld gemeld bij de teammanager én bij de privacy adviseur of CISO. Bij twijfel wordt altijd gemeld.

• 11.2

  Een (beveiligings-)incident wordt tevens onverwijld gemeld bij de teammanager en privacy adviseur of CISO. Bij een incident kunnen persoonsgegevens veilig blijven, maar is er schade toegebracht aan de digitale en fysieke omgeving, of is er dreiging van schade. Bijvoorbeeld bij phishing, virus besmetting of het verlies van een laptop.

• 11.3

  Een datalek wordt binnen 72 uur na ontdekking van het lek gemeld aan de Autoriteit Persoonsgegevens (AP). Het melden van een datalek wordt gecoördineerd door de privacy adviseur.

• 11.4

  Bij een datalek of incident wordt bewijsmateriaal bewaard, tot nadere instructie van de privacy adviseur en CISO.

• 11.5

  Datalekken en incidenten worden door de privacy adviseur gedocumenteerd en geregistreerd.

• 11.6

  Onderstaand schema wordt intern aangehouden om datalekken zo snel mogelijk op te pakken en daarmee verdere inbreuk op de privacy van betrokkenen en nadere schade te beperken.

   

Artikel 12 Uitwisseling persoonsgegevens met organisaties en derden

• 12.1

  Wanneer persoonsgegevens via een andere weg dan rechtstreeks van betrokkene verkregen worden, wordt de betrokkene geïnformeerd op het moment dat de persoonsgegevens voor de eerste keer worden verwerkt, tenzij er rechtmatige redenen zijn om betrokkene niet direct te informeren (artikel 41 UAVG).

• 12.2

  De Gemeente verwacht van haar partners en medewerkers van haar partners dat deze op eenzelfde zorgvuldige manier als de Gemeente en conform de AVG en overige relevante privacy wet- en regelgeving omgaan met persoonsgegevens.

• 12.3

  Indien de Gemeente een maatschappelijke organisatie en/of derde partij inschakelt om voor haar persoonsgegevens te verwerken, dan zal tussen Gemeente en de wederpartij (zijnde verwerker) een Verwerkersovereenkomst gesloten worden waarin nadere afspraken worden vastgelegd over de verwerking van persoonsgegevens. De Gemeente hanteert de standaard Verwerkersovereenkomst van de VNG.

• 12.4

  Het sluiten van een Verwerkersovereenkomst of overige overeenkomsten inzake privacy voor het Sociaal Domein gebeurt altijd pas ná advies van de privacy adviseur van de Gemeente.

Artikel 13 Klachtenprocedure

• 13.1

  Als een betrokkene van mening is dat een ambtenaar onzorgvuldig is omgegaan met zijn/haar gegevens, staat het betrokkene vrij om een klacht in te dienen.

• 13.2

  Klachten worden afgehandeld middels de standaard gemeentelijke klachtenprocedure.

• 13.3

  Op grond van artikel 77 AVG is een betrokkene tevens bevoegd een klacht in te dienen bij de Autoriteit Persoonsgegevens als betrokkene van mening is dat de persoonsgegevens in strijd met de privacywetgeving zijn verwerkt.

Artikel 14 Slotbepalingen

• 14.1

  Dit Privacy Protocol treedt in werking op de dag na die van bekendmaking.

• 14.2

  Dit Privacy Protocol kan worden aangehaald als ‘Privacy Protocol Toegang Sociaal Domein De Ronde Venen 2023’.