Beleidsregel van het college van burgemeester en wethouders van Bergen op Zoom inhoudende Privacybeleid gemeente Bergen op Zoom

De kernwaarden die voor de gemeente leidend zijn bij de sturing van de organisatie zijn uitgewerkt in de Sturingsfilosofie 2022. Ten aanzien van houding en gedrag zijn de volgende kernwaarden vastgesteld:

1. Dienstbaar (de waarde voor klanten voorop)

2. Integraal werkend (verbinden van domeinen en vraagstukken)

3. Betrouwbaar (je weet wat je aan ons hebt)

4. Betrokken (we leveren toegevoegde waarde)

5. Vooruit (we willen presteren en bij de beste gemeenten horen)

6. Voor elkaar (samenwerken, effectief, efficiënt en wendbaar)

Vertaald naar de omgang met persoonsgegevens betekent dit onder meer het volgende:

De gemeente verwerkt bij de uitvoering van haar publiekrechtelijke taken veel persoonsgegevens. De persoonsgegevens worden door betrokkenen vaak vrijwillig maar soms ook verplicht afgestaan. De gemeente is daarbij wettelijk verplicht zorgvuldig en veilig met deze persoonsgegevens om te gaan. Het zorgvuldig en veilig omgaan met de persoonsgegevens is tegelijkertijd een belangrijke waarde voor de organisatie. De burger moet er immers op kunnen vertrouwen dat gegevens bij de gemeente in veilige handen zijn en zorgvuldig en vertrouwelijk worden behandeld.

Daarbij moeten processen werkbaar worden gehouden en optimale dienstverlening worden geboden aan inwoners, bedrijven en andere betrokkenen. Vooral het professioneel, integer en transparant handelen van medewerkers vormt de basis om steeds een passende mate van gegevensbescherming te bieden zonder dat dit in de weg staat aan een goede en tijdige uitvoering van taken. Met name op bijvoorbeeld het gebied van zorg, openbare orde en veiligheid mag de uitvoering niet dusdanig ingewikkeld of rigide zijn dat het in weg staat aan effectief optreden van de gemeente.

Professioneel, integer en transparant handelen is vastgelegd in integriteitsbeleid. Alle medewerkers zijn op grond hiervan gehouden zorgvuldig en vertrouwelijk met persoonsgegevens om te gaan en steeds open te zijn over hun handelwijze. Daarbij neemt iedereen zijn verantwoordelijkheid voor zijn handelen. Dit kan door tijdig en adequaat te reageren op verzoeken van betrokkenen en deze waar nodig integraal op te pakken maar ook door proactief te handelen als de situatie daarom vraagt. Bijvoorbeeld door bij een datalek snel te handelen om gevolgen te beperken en herhaling te voorkomen of door actie te ondernemen waar regelgeving tekort schiet maar wel zaken geregeld moeten worden. Daarbij wordt erkend als zaken niet goed zijn gelopen zodat er kan worden geleerd van fouten en aan verbeteringen kan worden gewerkt.

De verwerking van persoonsgegevens bij de gemeente moet plaatsvinden in overeenstemming met de privacy beginselen uit de AVG en Wpg¹. Dit betekent dat de gemeente zich steeds houdt aan de volgende belangrijke uitgangspunten die direct uit de AVG en Wpg voortvloeien:

a.Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden alleen verwerkt als daarvoor een grondslag is in de wet. Bijvoorbeeld omdat de verwerking noodzakelijk is voor de uitvoering van een wettelijke taak. Daarbij worden betrokkenen zoveel mogelijk vooraf in duidelijke en eenvoudige taal geïnformeerd over de verwerking van persoonsgegevens. In het algemeen via bijvoorbeeld de algemene privacyverklaring op de website maar ook specifiek per verwerking via bijvoorbeeld aanvraagformulieren, brieven, folders en in gesprek.

b.Doelbinding

Persoonsgegevens worden alleen verwerkt voor vooraf bepaalde doelen en in de regel niet gebruikt voor een ander doel dan waarvoor ze zijn verkregen. Het gebruik van persoonsgegevens voor een ander doel kan alleen als dit verenigbaar is met het oorspronkelijke doel. Het doel geeft antwoord op de vraag ‘waarom’ persoonsgegevens worden verwerkt. Door de gemeente wordt het doel per verwerking vooraf en zo specifiek mogelijk geformuleerd en vastgelegd in het register van verwerkingen. Bij de uitvoering van publiekrechtelijke taken, bijvoorbeeld bij de uitvoering van de Wet basisregistraties personen of de Wet maatschappelijke ondersteuning, zijn voor de gemeente de doelen voor het verwerken in de regel al in de wet vastgelegd, evenals de persoonsgegevens die daarbij verwerkt mogen worden.

c.Dataminimalisatie

Er worden alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het vooraf bepaalde doel. Wanneer met minder of geen persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

d.Juistheid

Persoonsgegevens die worden verwerkt moeten juist zijn en zo nodig worden geactualiseerd.

e.Opslagbeperking

Persoonsgegevens worden niet langer bewaard dan nodig voor het doel of wettelijk verplicht. Wanneer er persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het doel en waarvoor geen wettelijke bewaartermijn is vastgesteld, worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren. Voor elke verwerking van persoonsgegevens worden bewaartermijnen vastgesteld en vastgelegd in het register van verwerkingen. Uitgangspunt bij het vaststellen van bewaartermijnen is de selectielijst op grond van de Archiefwet.²

f.Integriteit en vertrouwelijkheid

Persoonsgegevens worden veilig en vertrouwelijk behandeld. Persoonsgegevens worden bijvoorbeeld alleen verwerkt door personen die zijn gebonden aan geheimhouding. De geheimhoudingsplicht geldt voor ambtenaren op grond van de Ambtenarenwet en het Integriteitsbeleid. Door de gemeente ingehuurde derden verklaren schriftelijk en voorafgaand aan hun inzet zich te houden aan dezelfde regels. De wijze waarop persoonsgegevens worden beveiligd is verder vastgelegd in het Informatiebeveiligingsbeleid van de gemeente.

Een belangrijk uitgangspunt is dat persoonsgegevens rechtmatig worden verwerkt. Dat betekent dat er voor de verwerking van persoonsgegevens altijd een grondslag uit de wet van toepassing moet zijn.³ De AVG kent zes grondslagen op basis waarvan persoonsgegevens mogen worden verwerkt:

a. de betrokkene heeft toestemminggegeven voor de verwerking van zijn persoonsgegevens;

Voorbeeld: Een betrokkene gaat akkoord met de verwerking van zijn e-mailadres voor het ontvangen van een nieuwsbrief.

b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;

Voorbeeld: Bij de verkoop van een dienst of product worden gegevens verwerkt voor de levering en/of betaling.

c. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;

Voorbeeld: Een werkgever is op grond van belastingwetgeving verplicht een kopie identiteitsbewijs van een werknemer te bewaren.

d. de verwerking is noodzakelijk om de vitale belangenvan de betrokkene of een ander te beschermen;

Voorbeeld: Wanneer er acuut gevaar dreigt en iemand fysiek of mentaal niet in staat is om toestemming te geven voor hulp.

e. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag (uitvoering publieke taak);

Voorbeeld: De gemeente verwerkt gegevens voor het uitvoeren van wettelijke taken zoals bij het aanvragen van een vergunning of uitkering.

f. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de gemeente of van een derde.

Voorbeeld: Het verwerken van gegevens om medewerkers, gebouwen of computersystemen te beveiligen.

Behalve voor ‘toestemming’ moet er voor alle grondslagen ook een ‘noodzaak’ zijn om persoonsgegevens te verwerken. En die noodzaak moet worden gemotiveerd. Het is dus niet voldoende dat kan worden verwezen naar het bestaan van een ‘overeenkomst’ of een ‘publieke taak’. Er zal ook altijd moeten kunnen worden aangetoond dat het verwerken van persoonsgegevens ‘noodzakelijk’ is voor de uitvoering van de overeenkomst of publieke taak.

Voor taken die bij wet aan de gemeente zijn opgedragen vormt in de regel “de uitvoering van een publieke taak” de wettelijke grondslag voor de verwerking van persoonsgegevens. Bij de gemeente is dit bij verreweg de meeste verwerkingen het geval.

Voor zover persoonsgegevens worden verwerkt voor niet-wettelijke taken moet een andere grondslag kunnen worden aangewezen. Toestemming van de betrokkene is daarbij soms, maar niet altijd een alternatief voor de gemeente. Tussen de gemeente en de burger bestaat namelijk een bepaalde afhankelijkheidsrelatie, zodat niet altijd aan de eis kan worden voldaan dat toestemming ‘vrijelijk’ moet zijn gegeven. De grondslag gerechtvaardigd belang kan ook een alternatief zijn, maar mag alleen worden gebruikt voor zover dat gaat om typische bedrijfsmatige handelingen (waarbij de overheid zich niet onderscheidt van een private partij), bijvoorbeeld voor het instellen van cameratoezicht voor het beschermen van personeel en eigendom.

Voor zover persoonsgegevens door boa’s worden verwerkt in het kader van de Wpg is sprake van strafrechtelijke handhaving. De grondslag volgt dan niet uit de AVG maar uit de Wpg. De grondslag is dan in de regel artikel 8 van de Wpg (uitvoering van dagelijkse politietaak).⁴

De verantwoordelijkheid voor de zorgvuldige omgang met persoonsgegevens ligt bij de afdelingen die werken met persoonsgegevens. Dit betekent dat intern de afdelingsmanagers worden aangesproken op het naleven van het privacybeleid. Privacy is immers niet een op zichzelf staand iets, maar onlosmakelijk verbonden met de gemeentelijke dienstverlening binnen de afdelingen.

In onderstaande paragrafen worden de verschillende rollen met bijbehorende verantwoordelijkheden binnen de organisatie benoemd. In bijlage 1 zijn de verantwoordelijkheden van de verschillende rollen bij een aantal belangrijke taken op het gebied van gegevensbescherming in onderling verband vastgelegd in een matrix.

3.1.1Bestuur

De bestuursorganen van de gemeente zijn wettelijk eindverantwoordelijk voor de verwerkingen van persoonsgegevens die door of namens de gemeente worden uitgevoerd. De bestuursorganen van de gemeente zijn de burgemeester, het college van burgemeester en wethouders en de gemeenteraad. De burgemeester is verantwoordelijk voor de verwerkingen die te maken hebben met zijn veiligheidstaken. De gemeenteraad is verantwoordelijk voor de verwerkingen binnen de griffie en door de raad ingestelde commissies. Het college van burgemeester en wethouders is verantwoordelijk voor alle overige gegevensverwerkingen binnen de gemeente en daarmee voor het leeuwendeel van de gemeentelijke verwerkingen. Wanneer wordt gesproken over de ‘verwerkingsverantwoordelijke’ in de zin van de AVG, wordt bij de gemeente in de regel dan ook het college van burgemeester en wethouders bedoeld. In bijna alle gevallen speelt het college ook een rol bij de verwerkingen omdat de burgemeester en de gemeenteraad ook gebruik maken van de ambtelijke organisatie. In die zin zijn de verantwoordelijkheden op het gebied van gegevensbescherming moeilijk strikt te scheiden en met elkaar verbonden. Het college is dan ook verantwoordelijk voor het vaststellen van het privacybeleid voor de gemeentelijke organisatie en het stimuleren van het management om dit te volgen en waar nodig maatregelen te treffen om de persoonsgegevens van betrokkenen te beschermen. Het college heeft de verantwoordelijkheid voor de uitvoering van beleid opgedragen aan de gemeentesecretaris (algemeen directeur).

3.1.2Gemeentesecretaris (algemeen directeur) en de griffie

De gemeentesecretaris is de hoogste ambtenaar binnen de organisatie en de eerste adviseur van het college. Hij vormt met het directieteam de schakel tussen het bestuur en de medewerkers. Hij is met het directieteam verantwoordelijk voor de juiste en volledige implementatie van de wet- en regelgeving op het gebied van privacy binnen de afdelingen. Daarvoor worden afdelingsmanagers als proceseigenaren aangewezen en gestimuleerd het privacybeleid te volgen.

Binnen de gemeentelijke organisatie neemt de griffie hierbij een aparte plaats in. De griffie verricht werkzaamheden voor de gemeenteraad en de griffier en de medewerkers van de griffie worden door de gemeenteraad benoemd. Er is dan ook geen gezagsverhouding met het college en de gemeentesecretaris in zijn rol van algemeen directeur van de gemeente. In de praktijk maakt de griffie wel gebruik van de ambtelijke organisatie. In de privacy organisatie wordt de griffie dan ook gelijkgesteld met een afdeling (als organisatieonderdeel waar verwerkingen van persoonsgegevens plaatsvinden) en de griffier met de gemeentesecretaris dan wel de afdelingsmanager (als proceseigenaar verantwoordelijk voor de bescherming van persoonsgegevens).

3.1.3Proceseigenaar (lijnmanagement)

De verwerkingen van persoonsgegevens vinden operationeel plaats binnen de afdelingen van de organisatie. De afdelingsmanager is hierbij de proceseigenaar en daarmee verantwoordelijk voor de bescherming van de persoonsgegevens die door de afdeling worden verwerkt.⁵ De afdelingsmanagers zijn daarmee verantwoordelijk voor het sturen op en monitoren van de uitvoering van het privacybeleid en het werken aan het privacy bewustzijn van de medewerkers. Zij zorgen ook voor het aanstellen van de contactpersonen privacy die hen op de afdeling ondersteunen in de dagelijkse naleving van de AVG.

Belangrijke verantwoordelijkheden proceseigenaar:

• Nieuwe verwerkingen of wijzigingen in bestaande verwerkingen van persoonsgegevens in vroeg stadium aanmelden bij de FG/PO voor toetsing aan beleid en opname in het register van verwerkingen;

• Het in behandeling nemen van verzoeken voor de uitoefening van privacyrechten (bijvoorbeeld verzoek om inzage, correctie of verwijdering) ten aanzien van persoonsgegevens die door de afdeling worden verwerkt;

• Het uitvoeren van DPIA’s en het zo nodig uitvoeren van de maatregelen naar aanleiding van een DPIA;ec

• Het afsluiten, beheren en actualiseren van verwerkers- en andere privacyovereenkomsten;

• Het aanwijzen van een contactpersoon informatieveiligheid en privacy voor de afdeling;

• Het intern melden en afhandelen van datalekken binnen de afdeling, waaronder de uitvoering van adviezen van het datalekteam;

• Waar nodig het privacybeleid verder uitwerken in domein-, afdelings- of processecifieke richtlijnen of instructies.

• Het belang van informatieveiligheid en privacy periodiek onder de aandacht brengen van de afdeling.

3.1.4CISO

De verwerking van persoonsgegevens is onlosmakelijk verbonden met de beveiliging daarvan. Beveiliging van persoonsgegevens is een verantwoordelijkheid van iedere medewerker. Maar om er voor te zorgen dat er een samenhangend pakket aan maatregelen in de gemeente beschikbaar is ter waarborging van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie binnen een gemeente is er de CISO; Chief Information Security Officer. De CISO houdt in samenwerking met de FG en de Privacy Officer (PO) toezicht op en adviseert over de beveiliging van persoonsgegevens binnen de organisatie. De verantwoordelijkheden van de CISO zijn vastgelegd bij het Informatiebeveiligingsbeleid, laatstelijk vastgesteld in 2021 (IB-beleid 2021-2024).

Belangrijke verantwoordelijkheden CISO:

• Opstellen, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortvloeiende plannen;

• Het inrichten van de informatiebeveiligingsorganisatie;

• Het coördineren en adviseren bij afhandelen van beveiligingsincidenten;

• Afstemming van informatiebeveiliging met andere beveiligingsdomeinen;

• Het toezien op naleving van de eisen voor informatiebeveiliging;

• Het bevorderen van het informatiebeveiligingsbewustzijn voor de hele organisatie;

• De voorbereiding op toekomstige informatiebeveiligingsrisico’s en ICT-beveiligingsrisico’s;

• Het adviseren bij en begeleiden van informatierisicoanalyses;

• Het uitvoeren van informatiebeveiligingsassessments;

• Het ondersteunen van de afdelingsmanagers bij het beheersen van risico’s en het treffen/borgen van maatregelen.

3.1.5Functionaris Gegevensbescherming FG

De AVG en de Wpg stellen een Functionaris Gegevensbescherming (FG) verplicht voor overheidsinstanties.⁶ De FG heeft tot taak om onafhankelijk toezicht te houden op de naleving van privacywetgeving. Daarnaast zijn de taken van de FG het informeren en adviseren van de organisatie over de toepassing van privacywetgeving en optreden als contactpersoon van de Autoriteit Persoonsgegevens en burgers met vragen over privacy. De wet en het beleid zien op alle verwerkingen van persoonsgegevens en daarmee dus ook op de verwerking van de gegevens van de medewerkers van de gemeente. De FG houdt dus ook toezicht op die verwerkingen en medewerkers kunnen voor vragen hierover ook direct bij de FG terecht. Voor het uitoefenen van toezicht heeft de FG controlebevoegdheden. De FG neemt geen taken op het gebied van gegevensbescherming over van de afdelingen. De afdelingen hebben hierin hun eigen verantwoordelijkheid. Een nieuw proces of een wijziging van een bestaand proces waarbij persoonsgegevens worden verwerkt moeten door de afdelingen wel altijd vooraf bij de FG worden gemeld. De FG kan zo zijn verantwoordelijkheid nemen om deze te toetsen aan de wettelijke eisen en het gemeentelijk beleid op het gebied van privacy en de afdeling hierover adviseren. De FG rapporteert rechtstreeks aan de gemeentesecretaris/directie en het college van B&W.

Belangrijke verantwoordelijkheden FG:

• Informeren en adviseren van de gemeente en verwerkers voor de gemeente over hun verplichtingen volgens de AVG en de Wpg en andere wet- en regelgeving omtrent gegevensbescherming;

• Toezien op naleving van de AVG en de Wpg en andere wet- en regelgeving omtrent gegevensbescherming;

• Toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

• Ontwikkelen en onderhouden van het algemeen gemeentelijk privacybeleid en adviseren en ondersteunen bij het opstellen van interne regelingen op het gebied van privacy;

• Beheer van het register van verwerkingen voor de gemeente;

• Advisering bij beveiligingsincidenten en het beheer van het werkproces voor het melden van datalekken waarbij persoonsgegevens betrokken zijn alsmede het beheer van het register van

• Adviseren met betrekking tot DPIA’s en het toezien of de uitvoering daarvan in overeenstemming is met de AVG en de Wpg;

• Toezien op en adviseren over de afhandeling van vragen en klachten over het gebruik van persoonsgegevens;

• Samenwerken met en als contactpunt optreden voor de Autoriteit Persoonsgegevens en tevens fungeren als contactpersoon voor betrokkenen over aangelegenheden die verband houden met de verwerking van hun gegevens.

3.1.6Privacy Officer (PO)

De gemeente heeft naast de FG een Privacy Officer (PO) aangewezen. Deze vormt een belangrijk onderdeel van de privacyorganisatie binnen de gemeente. De PO beschikt over kennis voor wat het betreft het toepassen van privacywetgeving in de praktijk en kan de organisatie ondersteunen bij de toepassing op casusniveau en de inrichting van processen en systemen. De PO richt zich dus op de uitvoering en is bijvoorbeeld betrokken bij het opstellen van verwerkersovereenkomsten en DPIA’s en bij de behandeling van dataleken en verzoeken van betrokkenen in het kader van de AVG en de Wpg. Door deze uitvoerende taken bij de PO te beleggen wordt de FG primair in staat gesteld zijn adviserende en toezichthoudende rol te vervullen.

Belangrijke verantwoordelijkheden van de PO:

• Het adviseren en ondersteunen van de organisatie bij de toepassing en naleving van het privacybeleid;

• De inhoudelijke advisering en ondersteuning van de organisatie bij het aangaan van verwerkers- en andere privacyovereenkomsten;

• Het adviseren bij en coördineren van de afhandeling van datalekken;

• De behandeling van AVG- en Wpg-verzoeken (om bijvoorbeeld inzage, correctie of verwijdering) en/of de coördinatie hiervan in de organisatie;

• Het initiëren en begeleiden van de uitvoering van DPIA’s;

• Het adviseren van de organisatie bij de inrichting of wijziging van de bedrijfsvoering en processen (bijvoorbeeld bij de implementatie van maatregelen in het kader van een DPIA of Privacy by Design en Privacy by Default);

• Het beheer van het register van verwerkingen en het register van datalekken in samenspraak met de FG;

• Bijdragen aan het vergroten van het privacybewustzijn binnen de organisatie.

3.1.7Contactpersonen informatiebeveiliging en privacy

Het uitgangspunt is dat er een contactpersoon informatiebeveiliging en privacy wordt aangewezen per afdeling of vakgroep en in ieder geval door iedere afdelingsmanager minimaal één contactpersoon wordt aangewezen. De contactpersoon kan de afdelingsmanager ondersteunen bij de naleving van het privacybeleid. De afdelingsmanager blijft als proceseigenaar verantwoordelijk voor zorgvuldige en veilige verwerking van persoonsgegevens binnen de afdeling. De contactpersoon privacy wordt geacht inhoudelijk bekend te zijn met het privacybeleid en is binnen het team aanspreekpunt voor advies over de verwerking van persoonsgegevens en de uitleg van de AVG en de Wpg. De contactpersoon privacy is voor de afdeling ook de eerste schakel naar de FG, de PO en de CISO, onder meer voor het aanmelden van nieuwe of gewijzigde processen waarin persoonsgegevens worden verwerkt en de behandeling van verzoeken van burgers voor de uitoefening van privacyrechten. De contactpersoon privacy wordt tevens geacht met onder meer de FG, PO en CISO een netwerk te vormen om de aanwezigheid van kennis over informatiebeveiliging en privacy uit te wisselen en de naleving van de AVG en de Wpg in de organisatie te borgen. Uitgangspunt van zowel informatiebeveiligings-beleid als privacybeleid hierbij is de contactpersonen in de afdelingen zoveel mogelijk te laten optreden als contactpersonen voor zowel informatiebeveiliging als privacy (security en privacy specialisten binnen de afdelingen).

Belangrijke verantwoordelijkheden van de contactpersoon privacy:

• Binnen de afdeling adviseren over de naleving van de AVG en de Wpg;

• Het in behandeling nemen van verzoeken voor de uitoefening van privacyrechten (bijvoorbeeld verzoek om inzage, correctie of verwijdering) ten aanzien van persoonsgegevens die door de afdeling worden verwerkt;

• Nieuwe verwerkingen of wijzigingen in bestaande verwerkingen van persoonsgegevens namens de afdelingsmanager aanmelden bij de FG/PO voor toetsing aan beleid en opname in het register van verwerkingen;

• Jaarlijks de verwerkingen van de afdeling in het register van verwerkingen controleren op volledigheid en actualiteit;

• Deelnemen in het netwerk voor privacy en informatiebeveiliging van de organisatie.

In de basis betreft het zijn van contactpersoon privacy een coördinerende rol die naar verwachting 12 tot 24 uur inzet per jaar vergt, mede afhankelijk van het aantal en soort verwerkingen binnen de afdeling.

De governance rond privacy wordt conform de Sturingsfilosofie 2022 uitgevoerd volgens het three lines-model.⁷ In onderstaande figuur is dit weergegeven:

Forum IB & Privacy

Uitgangspunt is dat elke twee maanden een overleg wordt georganiseerd door CISO en FG met medewerkers uit de eerste en tweede lijn (met name de contactpersonen IB&P) om ontwikkelingen op het gebied van informatiebeveiliging en privacy te bespreken en informatie op te halen uit de organisatie.

Portefeuillehoudersoverleg en overleg gemeentesecretaris IB & Privacy

Uitgangspunt is dat er één keer per maand overleg met de gemeentesecretaris en de concerncontroller is en één keer per kwartaal met de portefeuillehouder uit het college waarbij CISO en FG relevante ontwikkelingen op het gebied van informatiebeveiliging en privacy bespreken.

Overleg specialisten IB & Privacy

De CISO, FG en PO werken dagelijks samen en bespreken doorlopend de actuele ontwikkelingen op het gebied van informatiebeveiliging en privacy.

Rapportage

Bij de begroting en jaarrekening worden speerpunten toegelicht en indien nodig financiële middelen gevraagd voor informatiebeveiliging en privacy. De FG doet daarnaast jaarlijks formeel verslag over privacy in de organisatie middels een jaarrapportage gegevensbescherming. Voor het toezicht wordt door de FG gebruik gemaakt van het borgingsproduct van de VNG als beoordelingskader voor het waarborgen van privacy compliance binnen de gemeente.

De kaders in dit privacybeleid vormen de uitgangspunten voor de ontwikkeling van nadere beleidsdocumenten en instructies om verder richting te geven aan de dagelijkse praktijk.

Het gaat om bijvoorbeeld:

- De privacyverklaring van de gemeente Bergen op Zoom op de website;

- Een handreiking informatiebeveiliging en privacy met afspraken voor veilig (thuis)werken;

- Een procedure voor het melden en behandelen van datalekken;

- Een procedure voor de uitoefening van de rechten van betrokkenen;

- Een procedure en formats voor privacyovereenkomsten, zoals verwerkersovereenkomsten;

- Een procedure en formats voor de uitvoering van DPIA’s.

Daarnaast kan meer domein-, afdeling of processpecifiek of door nieuwe wetgeving een nadere uitwerking van privacybeleid benodigd zijn. Bijvoorbeeld op het gebied van het sociaal domein, veiligheid en handhaving, publieksdiensten of personeelszaken. Dergelijke gerichte uitwerkingen worden door de betreffende afdelingen opgesteld. De uitwerkingen worden altijd aan de CISO, FG en PO voorgelegd voor advies en toetsing aan wet en beleid.

Het privacybeleid en de nadere taak- en domeinspecifieke uitwerkingen daarvan worden overzichtelijk aan de medewerkers gepresenteerd via een communicatiesite privacy als onderdeel van het intranet van de gemeente (BoZnet).

De toegenomen afhankelijkheid van internet in het zakelijk verkeer, de voortschrijdende digitalisering van de dienstverlening, het toegenomen gebruik van sociale netwerken en de opslag van informatie in de cloud creëren beveiligingsrisico’s voor persoonsgegevens. De gemeente ziet in dat de mens hierbij een belangrijke schakel vormt en dat de mate waarin medewerkers bewust zijn van de risico’s en veilig gedrag vertonen de sterkte en zwakte van deze schakel bepaalt. De meeste datalekken worden ook veroorzaakt door onbewust verkeerd handelen. Om het risico op onbewust verkeerd handelen te bestrijden en in het algemeen een zorgvuldige omgang met persoonsgegevens te waarborgen geeft de gemeente structureel aandacht aan het verhogen van het beveiligingsbewustzijn van medewerkers. Bewust worden en blijven wordt gerealiseerd door een introductiebijeenkomst informatiebeveiliging en privacy te verzorgen voor nieuwe medewerkers en jaarlijks een training (e-learning of andere activiteit of evenement) aan te bieden voor alle medewerkers en/of specifieke doelgroepen. Daarnaast wordt voortdurend gewerkt aan het vergroten van kennis en bewustzijn door het actueel houden van beleid en procedures, voorlichting door experts zoals de CISO, FG en PO en de publicatie van artikelen en nieuws middels hiervoor intern ingerichte digtale communicatiekanalen. Op deze manier worden managers en medewerkers in staat gesteld te handelen in overeenstemming met de toepasselijke regelgeving en in het algemeen verantwoordelijkheid te nemen voor een zorgvuldige omgang met persoonsgegevens.

De gemeente is verantwoordelijk voor het bijhouden van een register van alle werkprocessen waarbij persoonsgegevens worden verwerkt.¹⁰ Het register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

• De naam en contactgegevens van de gemeente als verwerkingsverantwoordelijke en van de FG;

• De doelen en de grondslag van de verwerking;

• Een beschrijving van de soort persoonsgegevens (categorieën van persoonsgegevens) en de daarbij horende betrokkenen (categorieën van betrokkenen);

• Een beschrijving van met wie de persoonsgegevens worden gedeeld (ontvangers);

• De bewaartermijnen van de persoonsgegevens;

• Een algemene beschrijving van de beveiligingsmaatregelen.

De gemeente zorgt voor een actueel en volledig register van verwerkingen. De FG speelt een leidende rol bij het opzetten en bewaken van de daarvoor benodigde structuur. De afdelingen zijn verantwoordelijk voor het bijhouden van het register en het melden van nieuwe verwerkingen of wijzingen in bestaande verwerkingen bij de FG en/of PO voordat met deze verwerkingen wordt begonnen. De FG of PO registreert wijzingen in het register. Met het register kan de gemeente laten zien hoe aan de AVG en Wpg wordt voldaan. Op verzoek van de AP dient het register overhandigd te kunnen worden ter controle.

Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden.¹¹ Bijvoorbeeld bij verlies of diefstal van apparaten of documenten, het verkeerd adresseren van een brief of e-mail, toegang zonder autorisatie of inbraak door een hacker. De gemeente is verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) als het datalek “een risico” inhoudt voor de personen van wie de gegevens zijn gelekt. De getroffen personen moeten ook door de gemeente worden geïnformeerd als het datalek voor hen een “hoog risico” inhoudt. De melding bij de AP moet binnen 72 uur na ontdekking plaatsvinden. Het niet melden van een datalek vormt een overtreding van de AVG of de Wpg. De AP kan voor een overtreding van de AVG of de Wpg zoals het niet of te laat melden van een datalek een boete opleggen. Elke medewerker van de gemeente moet dan ook alert zijn op een datalek en is verplicht elk datalek of vermoeden ervan direct intern te melden volgens een daarvoor vastgestelde procedure. Voor de meldingsprocedure is een aparte webpagina ingericht en toegankelijk gemaakt via het hoofdmenu op intranet (BoZnet). De melding wordt zo snel mogelijk besproken in een datalekteam (in de basis: CISO, FG, PO en concernjurist). Het datalekteam adviseert de verantwoordelijk afdelingsmanager over de te treffen maatregelen en het melden van het datalek bij de AP en de getroffen personen. De afdelingsmanager is verantwoordelijk voor de uitvoering van de maatregelen en de melding bij de AP en betrokkenen. De gemeente houdt verder een register bij van alle incidenten met persoonsgegevens. Het register wordt periodiek geëvalueerd om op basis van de hierdoor verkregen inzichten maatregelen te treffen en te controleren om herhaling van datalekken te voorkomen en de kans op nieuwe te verkleinen.

De gemeente neemt verder onderstaande maatregelen om risico’s bij de verwerking van persoonsgegevens in kaart te brengen en zo veel mogelijk te verminderen.

5.4.1DPIA

Privacy begint aan de voorkant. Voorafgaand aan risicovolle verwerkingen van persoonsgegevens voert de gemeente dan ook een privacyrisicoanalyse uit, ook wel een DPIA genoemd. Op basis van een DPIA wordt nagegaan of bij een verwerking van persoonsgegevens de privacy van betrokkenen geborgd is. Het uitvoeren van een DPIA is op grond van de AVG en de Wpg verplicht als een verwerking een hoog privacyrisico oplevert voor betrokkenen.¹² Een hoog risico wordt bijvoorbeeld aangenomen bij grootschalige verwerkingen of bij verwerkingen van gevoelige persoonsgegevens. Met een DPIA wordt dan inzicht verkregen in de risico’s van de verwerking en welke maatregelen kunnen worden toegepast om de risico’s te beperken. De afdelingsmanager is als proceseigenaar verantwoordelijk voor het uitvoeren van een DPIA. Bij het uitvoeren van de DPIA wordt de FG om advies gevraagd. Een DPIA moet worden uitgevoerd voordat met de verwerking van de persoonsgegevens wordt gestart. De uitkomsten van de DPIA moeten namelijk gemotiveerd worden betrokken bij de beslissing om de verwerking van de persoonsgegevens al dan niet te starten.

Om te bepalen of het uitvoeren van een volledige DPIA noodzakelijk is wordt gebruik gemaakt van de laatste versie van de Pre-scan DPIA van het Centrum Informatiebeveiliging en Privacybescherming (CIP) of de Pre-DPIA in de integrale risico- en privacy-analyse (IRPA-)tool van de Informatiebeveiligingsdienst (IBD). Als de uitkomst hiervan is dat de beoogde verwerking resulteert in een hoog privacy risico voor de betrokkenen, wordt een volledige DPIA uitgevoerd. Een volledige DPIA wordt uitgevoerd met het Model DPIA Rijksdienst of de DPIA in de IRPA-tool van de IBD. De PO ondersteunt de proceseigenaar bij de uitvoering van een DPIA. Nadere instructies en actuele versies van genoemde modellen en tools worden door de FG en PO beschikbaar gesteld, in de regel via de communicatiesite privacy als onderdeel van het intranet van de gemeente (BoZnet).

5.4.2Privacy by design en by default

Bij het verwerken van persoonsgegevens zijn op grond van de AVG en de Wpg de beginselen van gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default) van toepassing.¹³

Privacy by design houdt in dat de gemeente al bij het ontwerpen of inrichten van een nieuw systeem of proces ervoor zorgt dat persoonsgegevens goed worden beschermd en betrokkenen hun rechten goed kunnen uitoefenen. Bijvoorbeeld door onder andere de toegangsbeveiliging tot de persoonsgegevens goed te regelen en ervoor te zorgen dat persoonsgegevens wanneer nodig (automatisch) worden versleuteld of verwijderd. Door het borgen van privacyaspecten aan het begin van een proces wordt ervoor gezorgd dat risico’s zo veel mogelijk worden beperkt.

Privacy by default houdt in dat de gemeente technische en organisatorische maatregelen neemt om ervoor te zorgen dat, als standaard, alléén die persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel. Dus dat de standaardinstellingen van een programma, app, website, dienst of apparaat zodanig zijn ingesteld dat steeds maximale privacy wordt nagestreefd. Bijvoorbeeld door bij de aanmelding voor een nieuwsbrief niet meer gegevens te vragen dan nodig of bij een app niet de locatie van gebruikers te laten registreren als dat niet nodig is (dataminimalisatie).

Privacy by design en privacy by default worden bij de aanbesteding en/of aanschaf van nieuwe systemen en/of diensten steeds in aanmerking genomen. Bijvoorbeeld door privacy eisen bij inkoop standaard op te nemen in het Programma van Eisen. De specifieke inhoudelijke eisen dienen daarbij steeds door de verantwoordelijke vakafdeling te worden gesteld.

5.4.3Verwerkers- en andere privacyovereenkomsten

Wanneer de gemeente bij de uitvoering van haar taken samenwerkt met andere organisaties en daarbij persoonsgegevens worden verwerkt, worden door de gemeente steeds schriftelijke afspraken gemaakt over de beveiliging van de persoonsgegevens, de behandeling van datalekken en de rechten van betrokkenen.

Wanneer de gemeente een andere organisatie inschakelt om voor de gemeente persoonsgegevens te verwerken, wordt deze andere organisatie in de regel beschouwd als een verwerker voor de gemeente. Bijvoorbeeld een leverancier van software, netwerkdiensten of dataopslag. De gemeente schakelt alleen verwerkers in die voldoende garanties kunnen bieden om de verwerking van persoonsgegevens te laten voldoen aan de eisen uit de AVG en/of de Wpg. De afspraken met een verwerker worden schriftelijk vastgelegd in een zogenaamde verwerkersovereenkomst voordat de dienstverlening aanvangt. De gemeente maakt hierbij verplicht gebruik van de meest recente versie van de standaard verwerkersovereenkomst voor gemeenten van de IBD. De eisen die in dit model worden gesteld worden al in aanmerking genomen bij de aanbesteding van nieuwe systemen en/of diensten.

Verder werkt de gemeente ook samen met organisaties die geen verwerker voor de gemeente zijn maar waarmee wel persoonsgegevens worden uitgewisseld. Bijvoorbeeld met zorgaanbieders of in samenwerkingsverbanden op het gebied van zorg en veiligheid. Ook dan maakt de gemeente schriftelijke afspraken met die andere organisaties. Er wordt dan bijvoorbeeld een gegevensuitwisselingsovereenkomst of privacy-convenant afgesloten.

Actuele versies van modelovereenkomsten worden beschikbaar gesteld door de FG en PO, in de regel via de communicatiesite privacy als onderdeel van het intranet van de gemeente (BoZnet). De afdelingsmanager is als proceseigenaar verantwoordelijk voor het afsluiten van de benodigde privacyovereenkomst. De betrokken afdeling controleert voorts periodiek de naleving van de gemaakte afspraken om de veilige verwerking van persoonsgegevens te borgen en hierbij regie te behouden.

5.4.4Privacy audits Wpg

In het kader van de Wpg bestaat een verplichting om met ingang 2021 elke 4 jaar een externe privacy audit te laten uitvoeren naar de naleving van de Wpg en hierover aan de AP te rapporteren.¹⁴ Daarnaast dient er op dit gebied ieder jaar een interne audit te worden uitgevoerd. Aan de hand hiervan kan steeds worden vastgesteld of de gemeente bij de verwerkingen onder de Wpg voldoet aan de wettelijke eisen en kan waar nodig worden bijgestuurd. De afdelingsmanagers van de organisatieonderdelen waar de boa’s werkzaam zijn, zijn verantwoordelijk voor de uitvoering van de audits.

Wanneer een verwerking van persoonsgegevens plaatsvindt, moet voor betrokkenen duidelijk zijn dat dit zo is en wat het doel van de verwerking is. In het algemeen worden betrokkenen hierover door de gemeente geïnformeerd via de privacyverklaring op de website van de gemeente. Meer specifiek moet per verwerking deze informatie beschikbaar zijn op het moment dat er een verwerking gaat plaatsvinden en/of klantcontact is, onafhankelijk of dit in persoon is of digitaal. Deze informatie kan bijvoorbeeld via een aanvraagformulier, brief of folder of mondeling worden verstrekt. Elke afdeling heeft hierin een eigen verantwoordelijkheid. De betrokkene wordt niet nogmaals geïnformeerd als hij of zij al weet dat de gemeente persoonsgegevens van hem of haar verwerkt, en weet waarom en voor welk doel dat gebeurt.

Op grond van de AVG en de Wpg heeft iedereen verder de volgende rechten om controle en invloed uit te oefenen over zijn of haar persoonsgegevens:

• Recht op inzage: Betrokkenen hebben de mogelijkheid om de persoonsgegevens die van hun worden verwerkt in te zien en hiervan een kopie te krijgen. De betrokkene hoeft hiervoor geen reden op te geven maar hij mag niet onredelijk grote of overdreven veel verzoeken in korte tijd indienen.

• Recht op rectificatie (correctie van gegevens): Als duidelijk is dat de gegevens niet kloppen, kunnen betrokkenen een verzoek indienen bij de gemeente om gegevens te corrigeren.

• Recht om vergeten te worden (wissen van gegevens): Behoudens wettelijke beperkingen hebben betrokkenen het recht om persoonsgegevens te laten wissen, bijvoorbeeld wanneer de toestemming hiervoor is ingetrokken en er geen andere rechtsgrond bestaat voor de verwerking. Op gegevens die worden verwerkt voor de uitvoering van een publieke taak is dit recht niet van toepassing.

• Recht op beperking van de verwerking. Betrokkenen kunnen vragen om beperking van een verwerking, bijvoorbeeld om bepaalde gegevens tijdelijk niet te gebruiken of af te schermen als gegevens mogelijk onjuist zijn of mogelijk onrechtmatig worden verwerkt.

• Recht op dataportibaliteit (overdraagbaarheid van gegevens). Betrokkenen kunnen vragen om hun persoonsgegevens te ontvangen of door te sturen, bijvoorbeeld bij een verhuizing. Dit recht geldt alleen voor verwerkingen onder de AVG (niet onder de Wpg) en is niet van toepassing op gegevens die worden verwerkt voor de uitvoering van een publieke taak.

• Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens. De gemeente moet aan bezwaren tegemoetkomen, tenzij er gerechtvaardigde gronden zijn voor de verwerking en/of de wet voorschrijft dat de gemeente de gegevens verwerkt. Dit recht geldt alleen voor verwerkingen onder de AVG (niet onder de Wpg).

• Recht niet te worden onderworpen aan geautomatiseerde besluitvorming, waaronder profilering. Betrokkenen hebben recht op een menselijke blik bij besluiten.

In een aparte handreiking worden de verschillende rechten nader toegelicht en wordt aangegeven hoe de gemeente hiermee omgaat. Die handreiking is voor alle medewerkers beschikbaar via de communicatiesite privacy als onderdeel van het intranet van de gemeente (BoZnet).

Om gebruik te maken van de hiervoor genoemde rechten kunnen betrokkenen een verzoek indienen bij de gemeente. Dit verzoek kan zowel schriftelijk als elektronisch (via e-mail of formulier op de gemeentelijke website) ingediend worden. De gemeente heeft één maand de tijd om het verzoek te beoordelen. Deze termijn kan bij complexe verzoeken met twee maanden worden verlengd. De gemeente moet altijd binnen de wettelijke termijn laten weten wat er met het verzoek gaat gebeuren. De beslissing op een verzoek geldt als een besluit in de zin van de Algemene wet bestuursrecht. Als het verzoek niet wordt opgevolgd is er dan ook de mogelijkheid hiertegen bezwaar en beroep in te stellen. Als betrokkene vermoedt dat persoonsgegevens worden verwerkt in strijd met de wet kan ook een klacht worden ingediend bij de Autoriteit Persoonsgegevens (AP).