Organisatie | Regionale Dienst Werk en Inkomen Kromme Rijn Heuvelrug |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Privacybeleid 2022-2024 v1.1 |
Citeertitel | Privaybeleid 2022-2024 |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling vervangt het Privacybeleid 2022-2024.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
05-05-2023 | nieuwe regeling | 16-03-2023 |
De Regionale Dienst Werk en Inkomen (RDWI) is ingesteld door de gemeenten De Bilt, Bunnik, Utrechtse Heuvelrug, Wijk bij Duurstede en Zeist om de werkzaamheden op de terreinen van werk, inkomen, sociale werkvoorziening, re-integratie, schuldhulpverlening, inburgering en andere daarmee verband houdende onderwerpen gezamenlijk uit te voeren. In de communicatie naar buiten gebruikt de RDWI tevens de naam Regionale Sociale Dienst (RSD).
De RSD biedt een vangnet voor inwoners van de deelnemende gemeenten die tijdelijk niet of onvoldoende in hun inkomen kunnen voorzien. Dit vangnet bestaat uit begeleiding en hulp bij het vinden van werk, bij het aanvragen van een uitkering, begeleiding bij het oplossen van schulden en andere vormen van inkomensondersteuning. Om dit vangnet te kunnen bieden, verwerkt de RSD verschillende soorten persoonsgegevens. De verwerking van deze persoonsgegevens valt onder de bescherming van de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de Wet politiegegevens (Wpg). Dit beleid is een uitwerking van de uitgangspunten, regels en verplichtingen die afkomstig zijn uit deze wetgeving.
Het doel van dit beleid is het stellen van kaders voor een verantwoorde omgang met persoonsgegevens en het waarborgen van de rechten die betrokkenen hebben bij de verwerking van hun persoonsgegevens door de RSD. De uitgangspunten die in dit beleid zijn beschreven zijn verder uitgewerkt en geborgd in verschillende procedures en richtlijnen. Dit beleid is van toepassing op alle verwerkingen van persoonsgegevens door de RSD en op alle voorzieningen, ruimten en apparaten waarbinnen of waarmee de verwerking van persoonsgegevens plaatsvindt en hangt nauw samen met het strategisch informatieveiligheidsbeleid1 van de RSD.
2 Juridisch kader en uitgangspunten
Inwoners die zich als klant aanmelden bij de RSD moeten erop kunnen vertrouwen dat de RSD zorgvuldig met hun persoonsgegevens omgaat. Uitgangspunt hierbij is dat de RSD zich bij de uitoefening van haar taken houdt aan alle relevante wet- en regelgeving. Het juridische kader voor het verwerken van persoonsgegevens en de uitgangspunten die hieruit voortvloeien zijn in dit hoofdstuk verder uitgewerkt.
Allereerst is de RSD bij het verwerken van persoonsgegevens gebonden aan de AVG, de UAVG en de Wpg. Daarnaast is de RSD als bestuursorgaan gebonden aan de algemene regels van het bestuursrecht, zoals onder meer vastgelegd in de Algemene wet bestuursrecht (Awb), de Wet openbaarheid van bestuur (Wob) en per 1 mei 2022 de Wet open overheid (Woo). Ook is de RSD gebonden aan onder andere de Archiefwet, met het oog op het bewaren en vernietigen van gegevens.
Tot slot zijn er nog verschillende specifieke wet- en regelgeving die van toepassing zijn op de verwerking van persoonsgegevens door de RSD, waaronder onder meer de:
Vanuit bovengenoemde wet- en regelgeving vloeien een aantal verplichtingen voort voor het verwerken van persoonsgegevens, die hieronder zijn vertaald in uitgangspunten. Deze uitgangspunten waarborgen een zorgvuldige omgang met persoonsgegevens en de privacyrechten van betrokkenen. De invulling die is gegeven aan onderstaande uitgangspunten zijn verder uitgewerkt in de rest van het beleid en onderliggende procedures en richtlijnen.
Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. De RSD is transparant over de verwerkingen van persoonsgegevens die plaatsvinden binnen de RSD, op basis van welke grondslag deze gegevens worden verwerkt en op welke manier deze gegevens zijn beveiligd.
Onder het verwerken van persoonsgegevens valt ook het bewaren van deze persoonsgegevens. Het bewaren van persoonsgegevens is nodig om onze taken goed te kunnen uitoefenen en om wettelijke verplichtingen te kunnen naleven. De RSD bewaart persoonsgegevens niet langer dan strikt noodzakelijk is, waarbij onder andere uitgegaan wordt van de wettelijke termijnen zoals deze zijn vastgelegd in de Archiefwet en de Selectielijst gemeenten en intergemeentelijke organen 2020.
Integriteit en vertrouwelijkheid
De RSD gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Al onze medewerkers tekenen een geheimhoudingsverklaring. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de RSD voor een passende beveiliging van persoonsgegevens. Meer informatie over de beveiliging van onze gegevens is vastgelegd in het informatiebeveiligingsbeleid.
In het geval van samenwerking met externe partijen, waarbij sprake is van de verwerking van persoonsgegevens, maakt de RSD afspraken over de eisen waar deze gegevensuitwisseling aan moet voldoen. Deze afspraken worden overeenkomstig relevante wet- en regelgeving uitgewerkt en vastgelegd in een verwerkersovereenkomst.
Subsidiariteit (noodzaak) en proportionaliteit (evenredigheid)
Het verwerken van persoonsgegevens is per definitie een inbreuk op de persoonlijke levenssfeer van de betrokken inwoner. Daarom wordt voorafgaand aan de verwerking zorgvuldig afgewogen of en welke persoonsgegevens noodzakelijk zijn voor het doel van de verwerking en wordt gekeken of de inbreuk op de belangen van de betrokkene niet onevenredig is in verhouding tot en met de verwerking.
Privacy by design houdt in dat er voor de start van een verwerking of de aanschaf van een nieuw systeem is nagedacht over privacy. Door hier bij de inrichting al over na te denken, worden de verplichtingen uit de AVG en indien van toepassing de Wpg zo goed mogelijk geborgd in het nieuwe proces of systeem. Dit principe komt onder andere terug in het uitvoeren van DPIA’s.
Samenhangend met privacy by design is privacy by default. Dit principe houdt in dat de standaardinstellingen voor een gebruiker zo privacy-vriendelijk mogelijk zijn ingesteld. Heeft de medewerker het BSN-nummer niet nodig voor de verwerking, maar staat deze wel in het systeem? Dan wordt het systeem zo ingericht dat de medewerkers die deze gegevens niet nodig hebben, deze ook niet kunnen zien.
Alle verwerkingen die plaatsvinden bij de RSD vloeien voort uit haar wettelijke taken en zijn opgenomen in het register van verwerkingen. In dit register is inzichtelijk gemaakt welke verwerkingsactiviteiten er onder de verantwoordelijkheid van de RSD plaatsvinden. In het register is (ten minste) de volgende informatie opgenomen:
Het register van verwerkingen wordt beheerd door de privacy officer, onder toezicht van de functionaris gegevensbescherming. Meer informatie over de verwerkingen van de RSD is te vinden in het register, waarvan een publieke versie op de website van de RSD wordt geplaatst.
3.1 Aard en omvang persoonsgegevens
De RSD verwerkt tijdens de uitvoering van haar wettelijke taken alle mogelijke categorieën van persoonsgegevens, waaronder naam, adres, woonplaats, telefoonnummer, geboortedatum, e-mailadressen, financiële persoonsgegevens, bankrekeningnummers, paspoortkopieën, foto’s, bijzondere persoonsgegevens zoals medische gegevens, strafrechtelijke persoonsgegevens en bij wet voorgeschreven identificatienummers (BSN). De RSD verwerkt alleen gegevens die noodzakelijk zijn voor het uitvoeren van haar wettelijke taken, zoals bijvoorbeeld het verlenen van (bijzondere) bijstand, financiële ondersteuning bij kinderopvang en re-integratie.
Persoonsgegevens worden alleen verwerkt als daar een rechtvaardige grondslag voor is. In de verschillende wetten die ten grondslag liggen aan de taakuitvoering van de RSD zijn bepalingen opgenomen welke persoonsgegevens voor welke taken mogen worden verwerkt. In de gevallen waar bijzondere categorieën persoonsgegevens worden verwerkt2 is er sprake van een uitzonderingsgrond3 en is in de uitvoering voorzien in zodanig waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. In het register van verwerkingen zijn de specifieke grondslagen per verwerking uitgewerkt.
Daarnaast worden persoonsgegevens alleen verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Gegevens die door de RSD worden verwerkt hebben als doel het in behandeling nemen, beoordelen en afhandelen van de verschillende onderdelen van één van de (wettelijke) taken. Denk hierbij aan het verzamelen van financiële informatie om te bepalen of een inwoner recht heeft op schulddienstverlening of het uitvoeren van een fraudeonderzoek met betrekking tot een bijstandsuitkering. In het register van verwerkingen wordt per verwerking aangegeven met welk doel de persoonsgegevens worden verzameld en verwerkt.
3.3 Bewaartermijnen persoonsgegevens
Op grond van de Archiefwet moet de RSD bewaartermijnen hanteren voor specifieke gegevens. Hieronder is een overzicht weergegeven van de bewaartermijnen van de meest voorkomende processen.
3.4 Doorgifte4
De RSD maakt voor het verwerken van persoonsgegevens in applicaties en systemen afspraken5 met leveranciers over deze verwerking(en) en eventuele doorgifte van persoonsgegevens aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie. Als er sprake is van doorgifte aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie, dan gebeurt dit alleen op grond van goedgekeurde afspraken door de Europese Commissie.
We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de RSD dit zonder onredelijke vertraging, uiterlijk binnen 72 uur nadat kennis van de inbreuk is vernomen, aan de Autoriteit Persoonsgegevens. Als de melding niet binnen 72 uur wordt gedaan, wordt een motivering voor de vertraging bijgevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dat geval meldt de RSD dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken periodiek geëvalueerd.
Iedere medewerker van de RSD is zelf verantwoordelijk voor het juist verwerken van persoonsgegevens. De omgang met en beveiliging van persoonsgegevens wordt gevraagd en ongevraagd gecontroleerd door de functionaris gegevensbescherming.
De RSD hanteert onderstaande basisregels voor de omgang met en beveiliging van alle persoonsgegevens die worden verwerkt door en in opdracht van de RSD6.
4.2 Verantwoordelijkheidsniveaus
Binnen de RSD worden vier verantwoordelijkheidsniveaus met betrekking tot privacy en informatieveiligheid onderscheiden. Deze niveaus zijn hieronder beschreven.
Het dagelijks bestuur, als eigenaar van de verwerkingen en (informatie)systemen van de RSD, draagt de bestuurlijke verantwoordelijkheid voor een passend niveau van informatieveiligheid en privacy. Zij stelt – onder andere middels het privacybeleid - de kaders ten aanzien van informatieveiligheid en privacy op basis van relevante wet- en regelgeving en normenkaders. Zij is verantwoordelijk voor een duidelijk te volgen informatieveiligheidsbeleid en privacybeleid en stimuleert de directeur en het managementteam deze beleidsstukken na te leven.
De directeur en het managementteam
Gemandateerde verantwoordelijkheid voor informatieveiligheid en privacy ligt bij de directeur. Deze stelt met het managementteam het gewenste niveau van informatieveiligheid en privacy vast. De directeur is verantwoordelijk voor een correcte omgang met en juiste beveiliging van persoonsgegevens, bedrijfsprocessen en in- en externe informatiesystemen. De directeur wijst voor ieder (informatie)systeem een proceseigenaar aan7. De ambtelijke eindverantwoordelijkheid ligt bij de directeur.
De unitmanagers zijn verantwoordelijk voor de persoonsgegevens en integrale beveiliging van de processen en systemen die draaien onder hun verantwoordelijkheid. De unitmanagers zijn verantwoordelijk voor een juiste en veilige omgang met persoonsgegevens en de implementatie en het uitdragen van de maatregelen die voortvloeien uit het informatieveiligheidsbeleid en het privacybeleid.
Iedere medewerker is verantwoordelijk voor een juiste omgang met en beveiliging van persoonsgegevens die worden verwerkt binnen de eigen functie en taken. Medewerkers zijn zich bewust van de eisen ten aanzien van de omgang met persoonsgegevens en de vertrouwelijkheid, integriteit en beschikbaarheid van de informatieprocessen binnen de eigen functie en taken. Door de Unitmanager worden ze geïnformeerd over procedures en werkwijzen en passen de regels en uitgangspunten hieruit toe in de uitvoering van de werkzaamheden.
Binnen de RSD zijn de rollen en functies met betrekking tot privacy en informatieveiligheid geclusterd in het team informatieveiligheid en privacy, het IV&P-team. Iedere rol en/of functie komt met eigen verantwoordelijkheden en taken afkomstig uit wettelijke bepalingen, welke zijn afgestemd op de dagelijkse praktijk.
Functionaris gegevensbescherming
De functionaris gegevensbescherming is verantwoordelijk voor het toezicht op de naleving van de AVG, de UAVG, de Wpg en andere relevante privacywetgeving relevante privacywetten en -regels. De functionaris gegevensbescherming informeert de verwerkingsverantwoordelijke en haar medewerkers over hun verplichtingen die voortvloeien uit deze wet- en regelgeving en geeft gevraagd en ongevraagd advies in de gehele organisatie. De functionaris gegevensbescherming legt verslag af over de stand van zaken ten aanzien van privacy bij de organisatie (zie paragraaf 4.4). Eindverantwoordelijkheid voor een veilige omgang met en beveiliging van persoonsgegevens ligt nimmer bij de functionaris gegevensbescherming, maar ligt altijd in de lijn (integrale verantwoordelijkheid).
De privacy officer is verantwoordelijk voor het vormgeven en bewaken van het privacybeleid en onderliggende plannen, procedures en richtlijnen en draagt zorg voor het waarborgen van de privacy binnen de organisatie. De privacy officer is het aanspreekpunt van de organisatie op het gebied van privacy en ondersteunt onder andere bij het uitwerken van afdelingsspecifieke werkinstructies, het behandelen en melden van datalekken, het inrichten van werkprocessen, het uitvoeren van DPIA’s, het afhandelen van verzoeken van rechten van betrokkenen.
Chief information security officer
De chief information security officer is verantwoordelijk voor het vormgeven, bewaken, implementeren en naleven van het informatieveiligheidsbeleid en onderliggende plannen, procedures en richtlijnen. De chief information security officer is het aanspreekpunt in de organisatie op het gebied van informatiebeveiliging en ondersteunt onder andere bij de aanschaf van nieuwe (informatie)systemen, het in kaart brengen van risico’s bij (nieuwe) verwerkingen en de implementatie van maatregelen die dergelijke risico’s beperken.
In elke unit zijn twee informatieambassadeurs aangewezen. De informatieambassadeur fungeert als eerste aanspreekpunt binnen diens unit als het gaat om informatieveiligheid- en privacyvraagstukken en is de schakel tussen de unit en de functionaris gegevensbescherming/privacy officer. De informatieambassadeur signaleert incidenten, datalekken en wijzigingen in processen en geeft dit door aan de functionaris gegevensbescherming, de privacy officer en/of de chief information security officer.
De functionaris gegevensbescherming is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de richtlijnen op het gebied van privacy. Er zijn verschillende momenten waarop de functionaris gegevensbescherming rapporteert over de werkzaamheden en resultaten van de organisatie rondom privacy en informatiebeveiliging.
In het privacybeleid worden de uitgangspunten en verantwoordelijkheden rondom privacy en informatiebeveiliging uiteengezet. In het jaarplan worden de acties en doelen voor een specifiek jaar uitgewerkt. Dit plan is afgestemd op het jaarverslag van de functionaris gegevensbescherming en relevante ontwikkelingen en dreigingen in het werkveld.
Periodiek worden rapportages voorgelegd aan de directeur en het managementteam met betrekking tot de implementatie van privacy in de organisatie. Door te rapporteren via de bestaande P&C-cyclus wordt het managementteam op de hoogte gehouden van de ontwikkelingen op gebied van privacy en informatiebeveiliging.
Met behulp van bovenstaande controlemomenten wordt gestuurd op het zorgvuldig en rechtmatig omgaan met persoonsgegevens. Vanuit het IV&P team wordt dit gecontroleerd, onder toezicht van de functionaris gegevensbescherming.
Betrokkenen hebben op grond van de AVG en de Wpg verschillende rechten. Met deze rechten kunnen zij controle uitoefenen op de verwerking van hun persoonsgegevens door de RSD. De werkwijze voor het afhandelen van een verzoek is vastgelegd in de procedure ‘Rechten van betrokkenen’. Hieronder zijn de uitgangspunten aangaande deze rechten beschreven.
5.1 De rechten van betrokkenen AVG8
Betrokkenen hebben onder de AVG de volgende rechten:
Naast deze rechten hebben betrokkenen recht op duidelijke informatie over de verwerking van hun persoonsgegevens, mogen zij eerder gegeven toestemming voor het verwerken van bepaalde persoonsgegevens intrekken en hebben ze het recht op het indienen van een klacht bij de Autoriteit Persoonsgegevens als de verwerking een inbreuk maakt op de AVG.
Een verzoek in het kader van de rechten van betrokkenen kan op verschillende manieren worden ingediend. De werkwijze met betrekking tot het indienen van een verzoek is toegelicht op de website. Uitgangspunt bij het indienen van een verzoek is dat deze schriftelijk wordt ingediend.
De eerste manier voor het indienen van een verzoek is via een DigiD-formulier op de website. Betrokkene kan hier de gegevens betreffende het verzoek invullen en kan door middel van DigiD direct ondertekenen. In het geval van deze stap kan de stap tot het identificeren van de betrokkene worden overgeslagen.
5.4 Inhoudelijke beoordeling verzoek
Na ontvangst van het verzoek vindt een inhoudelijke beoordeling van het verzoek plaats. Allereerst wordt gekeken of de RSD aan het verzoek van betrokkene kan voldoen, of dat het verzoek op grond van de AVG of andere relevante wet- en regelgeving afgewezen moet worden. Dit laatste is het geval wanneer het verzoek in strijd is met de wettelijke plicht om gegevens te verwerken, bijvoorbeeld het bewaren van persoonsgegevens op basis van de Archiefwet. Bij een verzoek op basis van de Wpg kan een verzoek tot inzage bijvoorbeeld worden afgewezen als dit nadelige gevolgen heeft voor de openbare veiligheid.
De RSD reageert binnen een maand na binnenkomst op het verzoek van de betrokkenen. In uitzonderlijke gevallen zal de RSD binnen drie maanden reageren op het verzoek. Indien dit het geval is, wordt de betrokkene in ieder geval binnen een maand van deze keuze schriftelijk op de hoogte gebracht. Er zijn verschillende routes voor het afhandelen van een verzoek mogelijk:
Er wordt voldaan aan het verzoek tot inzage
Als de functionaris gegevensbescherming tot het oordeel komt dat een verzoek om inzage moet worden toegewezen, wordt een kopie gemaakt van de persoonsgegevens die worden verwerkt en wordt de informatie op een veilige manier verstrekt aan de betrokkene10. Voor het verzamelen van de juiste informatie schakelt de functionaris gegevensbescherming de betreffende units/medewerkers in die toegang hebben tot de benodigde informatie. De unitmanager is verantwoordelijk voor het beschikbaar stellen van de informatie door de medewerkers en de tijd die met de verzameling van deze informatie gemoeid gaat.
Er wordt voldaan aan overige verzoeken
Indien wordt voldaan aan het verzoek gegevenswissing, dataportabiliteit, wijziging of aanvulling van gegevens, beperking van de verwerking of bezwaar zijn specifieke handelingen en medewerkers nodig per proces. Per verzoek wordt bepaald hoe aan dergelijke verzoeken kan worden voldaan.
De RSD reageert uiterlijk binnen vier weken op rectificatie-/vernietigingsverzoek. Dergelijke verzoeken worden toegekend onder de voorwaarde dat de gegevens onjuist of onvolledig zijn, onrechtmatig worden verwerkt, er geen uitzonderingen van toepassing zijn en het verzoek niet ongegrond of buitensporig is.
Bijlage 1 Verwerking van politiegegevens
In aanvulling op het algemene beleid, vraagt de omgang met politiegegevens extra zorgvuldigheid van ons als organisatie. Politiegegevens zijn persoonsgegevens die worden verwerkt door de daarvoor aangewezen Buitengewoon opsporingsambtenaar (Boa) in het kader van een strafrechtelijk onderzoek. Om ervoor te zorgen dat we zo zorgvuldig mogelijk omgaan met deze politiegegevens en deze zo goed mogelijk beschermen, leggen we onderstaande uitgangspunten vast ter aanvulling op het huidige privacybeleid.