Organisatie | Groningen |
---|---|
Organisatietype | Provincie |
Officiële naam regeling | Privacybeleid provincie Groningen inzake de Wet politiegegevens |
Citeertitel | Privacybeleid WPG Provincie Groningen |
Vastgesteld door | gedeputeerde staten |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
12-10-2023 | nieuwe regeling | 03-10-2023 | K21339 |
Gedeputeerde Staten van Groningen maken bekend dat zij op 3 oktober 2023, nr. A.9, team Kwaliteit en control, dossiernummer K21339 het volgende besluit hebben genomen:
Gedeputeerde Staten van de provincie Groningen:
Overwegende dat het op grond van de Wet Politiegegevens verplicht is om betrokkenen te informeren hoe de provincie Groningen omgaat met het verwerken van politiegegevens
Vast te stellen hetgeen volgt:
Privacybeleid provincie Groningen inzake de Wet politiegegevens
Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). De provincie Groningen (provincie) heeft in haar privacyverklaring op de website aangegeven hoe zij omgaat met persoonsgegevens.
De verwerking van gegevens door de buitengewoon opsporingsambtenaren (boa's) van de provincie in het kader van de strafrechtelijke handhaving valt niet onder de AVG, maar onder de Wet politiegegevens (Wpg). Daarnaast is een aantal andere regelingen van toepassing op de verwerking van politiegegevens, zoals het Besluit politiegegevens (Bpg), het Besluit politiegegevens buitengewoon opsporingsambtenaren en de Regeling periodieke audit politiegegevens. Deze boa’s zijn werkzaam bij het basisteam Vergunningverlening, Toezicht en Handhaving (VTH). De provincie is als werkgever 'verwerkingsverantwoordelijke' in het kader van de Wpg.
Dit beleid beschrijft hoe de provincie binnen de wettelijke kaders van de Wpg en onderliggende regelgeving met persoonsgegevens om gaat. De boa's van de provincie zijn zich ervan bewust dat zij zorgvuldig moeten omgaan met politiegegevens. Zij worden daarin getraind en volgen interne werkinstructies. Het geautomatiseerde systeem waarmee zij politiegegevens verwerken dwingt af dat de verwerking op rechtmatige wijze plaatsvindt.
De provincie wil met dit privacybeleid onder andere bereiken dat de boa's:
2. De boa's bij de provincie Groningen
Het basisteam Vergunningverlening, Toezicht en Handhaving van de provincie is verantwoordelijk voor de handhaving en het toezicht op de naleving van geldende regels en afgegeven vergunningen gebaseerd op diverse regelgeving onder ander op het gebied van de Ontgrondingenwet, Regeling burgerluchthavens, het Vuurwerkbesluit, de Wet hygiëne veiligheid badinrichtingen en zwemgelegenheden, de Wet bodembescherming, de Wet milieubeheer, de Wet natuurbescherming en de Scheepvaartverkeerswet. Hiertoe heeft de provincie personen in dienst die allen zijn aangewezen als toezichthouder in het kader van de Algemene wet bestuursrecht.
Daarnaast kan de provincie op basis van de genoemde wet- en regelgeving met inachtneming van de Beleidsregel Buitengewoon Opsporingsambtenaar van het ministerie van Justitie en Veiligheid, ook opsporingsbevoegdheden aanvragen voor haar medewerkers. Hiertoe zijn een aantal provinciemedewerkers opgeleid en beëdigd als buitengewoon opsporingsambtenaar in Domein II en hebben als zodanig opsporingsbevoegdheid voor de genoemde wet- en regelgeving.
De buitengewone opsporingsambtenaren in dienst bij de provincie zijn bevoegd voor de strafrechtelijk opsporing van strafbare feiten genoemd in domein II: Milieu, welzijn en infrastructuur. Zij zijn bevoegd opsporingsonderzoek te verrichten en hiervan processen-verbaal op te maken zoals bedoeld in domein II van de Regeling domeinlijsten buitengewoon opsporingsambtenaar.
De boa's van de provincie verwerken politiegegevens ten behoeve van de uitvoering van de politietaak als bedoeld in de Wpg.
Op basis van deze grondslag gelden er voorwaarden in het kader van de verwerkingstermijn en toegankelijkheid voor andere opsporingsambtenaren.
De provincie neemt geen besluiten die uitsluitend zijn gebaseerd op geautomatiseerd verwerking van gegevens en er vindt geen geautomatiseerde vergelijking plaats met politiegegevens zoals bedoeld in artikel 11 Wpg. De door de boa’s van de provincie verwerkte politiegegevens worden niet aangewend voor ondersteunende taken (via bijvoorbeeld een landelijke database) zoals bedoeld in artikel 13 Wpg.
De boa’s maken voor opsporingstaken enerzijds en bestuursrechtelijke toezichts- en handhavingstaken anderzijds gebruik van twee gescheiden systemen.
Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkenen voorop. Onnodige of te verregaande inbreuken moeten worden voorkomen. De AVG regelt het algemene kader voor de omgang met persoonsgegevens binnen de landen van de Europese unie. De uitgangspunten van de AVG zijn als volgt:
Het normenkader van de Wpg is grotendeels gelijkluidend aan dat van de AVG. Op hoofdlijnen geldt aanvullend nog het volgende:
De hiervoor genoemde verplichtingen uit de Wpg zijn geborgd binnen het BOA Registratie Systeem (BRS) waarin de boa’s politiegegevens verwerken. Tot slot zijn er nog de volgende verplichtingen:
Er geldt een verplichting tot het uitvoeren van een externe privacy audit. De rapportage die hieruit voortvloeit moet worden verstrekt aan de AP. Als er tekortkomingen zijn moet drie maanden na het uitvoeren van de audit een verbeterrapport worden opgesteld, waarop binnen een jaar een hercontrole plaatsvindt.
Net als de AVG verplicht de Wpg tot het bijhouden van een register van verwerkingen. Wel zijn er enkele verschillen die hierna met een (*) zijn aangeduid. Het register van verwerkingen in het kader van de Wpg moet het volgende bevatten:
De provincie Groningen heeft voornoemde gegevens in het verwerkingsregister opgenomen.
Specifiek voor de taakuitvoering van de boa's heeft de provincie een verwerkersovereenkomst gesloten met de leverancier van het BOA Registratie Systeem (BRS). In de verwerkersovereenkomst is onder meer conform artikel 6:1 Bpg het volgende geregeld:
6. Functionaris Gegevensbescherming (FG)
Conform artikel 36 Wpg heeft de provincie een FG aangesteld. De FG wordt door provincie tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.
De FG is belast met de volgende taken:
De contactgegevens van de FG staan vermeld op de website van de provincie. De FG is aangemeld bij de AP.
De rechten van betrokkenen onder de AVG staan beschreven in de privacyverklaring van de provincie. Op hoofdlijnen zijn deze rechten op grond van de Wpg gelijkluidend.
Specifiek voor de Wpg geldt nog het volgende:
De provincie geeft hieraan uitvoering door op de eigen website te melden wat de rechten van betrokkenen zijn en hoe men daarvan gebruik kan maken.
8. Het bewaren van politiegegevens
Politiegegevens mogen niet langer bewaard worden dan noodzakelijk is. De provincie dient als verwerkingsverantwoordelijke te voorzien in voldoende waarborgen om te bewerkstelligen dat de gegevens conform de wet worden gecontroleerd, verwijderd en vernietigd. Politiegegevens mogen na verwijdering nog maximaal vijf jaar worden bewaard.
Binnen het registratiesysteem worden alle politiegegevens gelabeld. Op basis van het label wordt voor elk gegeven de bewaartermijn conform de wettelijke bepaling geconfigureerd, zodat geborgd wordt dat deze politiegegevens niet langer worden bewaard dan noodzakelijk is. Hiermee wordt voldaan aan de eisen gesteld in de Wpg.
9. Het ter beschikking stellen en verstrekken van politiegegevens
De Wpg maakt een onderscheid tussen het ter beschikking stellen van politiegegevens en het verstrekken ervan. Het ter beschikking stellen van politiegegevens houdt in dat deze in principe worden gedeeld met eenieder die de gegevens nodig heeft voor de uitoefening van zijn taak. Voordat de provincie politiegegevens deelt maakt de provincie een noodzakelijkheids-, proportionaliteits- en subsidiariteitsafweging. Het ter beschikking stellen voltrekt zich binnen het Wpg-domein.
Bij het verstrekken van politiegegevens gaat het om het delen van gegevens buiten het Wpg-domein. In dat geval moet zijn geborgd dat politiegegevens alleen worden verstrekt aan personen of instanties buiten het politiedomein, voor zover dit noodzakelijk is voor de doeleinden zoals deze in de Wpg en het Bpg zijn genoemd. Geborgd moet ook zijn dat wanneer gegevens verstrekt worden, er wordt voldaan aan de documentatieplicht en dat de verstrekking alleen plaatsvindt in overeenstemming met het bevoegd gezag indien dit vereist is in de wet. Het gaat dan bijvoorbeeld om verstrekkingen aan een toezichthouder, een advocaat of de belastingdienst. Bij dergelijke verstrekkingen wordt altijd vooraf door de teamleider en de coördinator handhaving getoetst of de verstrekking voldoet aan de wetgeving. De provincie verstrekt geen politiegegevens aan ontvangers in derde landen of internationale organisaties. De provincie neemt ook niet deel aan samenwerkingsverbanden waarin politiegegevens worden gedeeld. Op het moment dat zij daartoe overgaat, handelt zij conform de geldende regels.
Het registratiesysteem registreert en documenteert eventuele verstrekkingen. Daarnaast maakt de provincie gebruik van de landelijke verstrekkingenwijzer voor boa's. Bij de provincie is de Bevoegd Functionaris aangewezen als coördinator bij het doen van verstrekkingen. De coördinator en andere medewerkers, niet zijnde boa, die uit hoofde van taak toegang nodig hebben tot politiegegevens zijn daarvoor geautoriseerd.
Artikel 33a van de Wpg bepaalt dat een datalek ('inbreuk op de beveiliging') onverwijld en uiterlijk binnen 72 uur nadat ervan kennis is genomen moet worden gemeld aan de AP, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. Als de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging. De provincie moet het datalek ook aan de betrokkenen mededelen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt.
Op deze mededelingsplicht zijn enkele uitzonderingen van toepassing, onder andere als de mededeling achterwege moet blijven ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.
Indien sprake is van een datalek bij een externe verwerker gelden dezelfde regels.
De provincie heeft een procedure opgesteld waarmee gewaarborgd wordt dat datalekken tijdig en conform de wettelijke regelgeving worden afgehandeld.
11. Bewustwording binnen de provincie
Het zorgvuldig omgaan met persoonsgegevens is enerzijds een kwestie van het organiseren van een goede informatieveiligheid en het zorgvuldig inrichten van werkprocessen, anderzijds is het een zaak van bewustwording bij de boa's van de provincie. Door tijdens werkoverleggen het onderwerp structureel te agenderen wordt het bewustzijn voortdurend aangescherpt. Hierdoor wordt de kennis van de risico’s verhoogd en veilig en verantwoord gedrag aangemoedigd.
De boa's van de provincie verwerken de politiegegevens alleen in het daarvoor bestemde BOA-registratiesysteem. Het gaat hierbij om opgemaakte proces-verbalen en waarschuwingen op het gebied van de voor de provincie relevante wet- en regelgeving. De boa’s nemen deel aan het verplichte traject van permanente her- en bijscholing en worden getraind in het gebruik van het registratiesysteem. Daarnaast gelden er interne werkinstructies en afspraken.