Zoek regelingen op overheid.nl
Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!
Groningen

Privacybeleid provincie Groningen inzake de Wet politiegegevens

Wetstechnische informatie

Gegevens van de regeling
OrganisatieGroningen
OrganisatietypeProvincie
Officiële naam regelingPrivacybeleid provincie Groningen inzake de Wet politiegegevens
CiteertitelPrivacybeleid WPG Provincie Groningen
Vastgesteld doorgedeputeerde staten
Onderwerpbestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Geen

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Onbekend

Overzicht van in de tekst verwerkte wijzigingen

Datum inwerkingtreding

Terugwerkende kracht tot en met

Datum uitwerkingtreding

Betreft

Datum ondertekening

Bron bekendmaking

Kenmerk voorstel

12-10-2023nieuwe regeling

03-10-2023

prb-2023-11917

K21339

Tekst van de regeling

Intitulé

Privacybeleid provincie Groningen inzake de Wet politiegegevens

Gedeputeerde Staten van Groningen maken bekend dat zij op 3 oktober 2023, nr. A.9, team Kwaliteit en control, dossiernummer K21339 het volgende besluit hebben genomen:

 

 

Gedeputeerde Staten van de provincie Groningen:

 

Gelet op:

 

Overwegende dat het op grond van de Wet Politiegegevens verplicht is om betrokkenen te informeren hoe de provincie Groningen omgaat met het verwerken van politiegegevens

 

 

Besluiten

 

Vast te stellen hetgeen volgt:

 

Privacybeleid provincie Groningen inzake de Wet politiegegevens

1. Inleiding

Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). De provincie Groningen (provincie) heeft in haar privacyverklaring op de website aangegeven hoe zij omgaat met persoonsgegevens.

 

De verwerking van gegevens door de buitengewoon opsporingsambtenaren (boa's) van de provincie in het kader van de strafrechtelijke handhaving valt niet onder de AVG, maar onder de Wet politiegegevens (Wpg). Daarnaast is een aantal andere regelingen van toepassing op de verwerking van politiegegevens, zoals het Besluit politiegegevens (Bpg), het Besluit politiegegevens buitengewoon opsporingsambtenaren en de Regeling periodieke audit politiegegevens. Deze boa’s zijn werkzaam bij het basisteam Vergunningverlening, Toezicht en Handhaving (VTH). De provincie is als werkgever 'verwerkingsverantwoordelijke' in het kader van de Wpg.

 

Dit beleid beschrijft hoe de provincie binnen de wettelijke kaders van de Wpg en onderliggende regelgeving met persoonsgegevens om gaat. De boa's van de provincie zijn zich ervan bewust dat zij zorgvuldig moeten omgaan met politiegegevens. Zij worden daarin getraind en volgen interne werkinstructies. Het geautomatiseerde systeem waarmee zij politiegegevens verwerken dwingt af dat de verwerking op rechtmatige wijze plaatsvindt.

 

De provincie wil met dit privacybeleid onder andere bereiken dat de boa's:

  • Zich ten volle bewust zijn van de noodzaak om zorgvuldig en op rechtmatige wijze om te gaan met politiegegevens.

  • De rechten van betrokkenen respecteren en werken volgens de vastgestelde procedures.

  • Het vertrouwen van betrokkenen in de overheid niet beschamen.

  • Gedrag vertonen dat past bij goed werknemerschap.

  • De kans op financiële en imagoschade minimaliseren.

2. De boa's bij de provincie Groningen

Het basisteam Vergunningverlening, Toezicht en Handhaving van de provincie is verantwoordelijk voor de handhaving en het toezicht op de naleving van geldende regels en afgegeven vergunningen gebaseerd op diverse regelgeving onder ander op het gebied van de Ontgrondingenwet, Regeling burgerluchthavens, het Vuurwerkbesluit, de Wet hygiëne veiligheid badinrichtingen en zwemgelegenheden, de Wet bodembescherming, de Wet milieubeheer, de Wet natuurbescherming en de Scheepvaartverkeerswet. Hiertoe heeft de provincie personen in dienst die allen zijn aangewezen als toezichthouder in het kader van de Algemene wet bestuursrecht.

 

Daarnaast kan de provincie op basis van de genoemde wet- en regelgeving met inachtneming van de Beleidsregel Buitengewoon Opsporingsambtenaar van het ministerie van Justitie en Veiligheid, ook opsporingsbevoegdheden aanvragen voor haar medewerkers. Hiertoe zijn een aantal provinciemedewerkers opgeleid en beëdigd als buitengewoon opsporingsambtenaar in Domein II en hebben als zodanig opsporingsbevoegdheid voor de genoemde wet- en regelgeving.

 

De buitengewone opsporingsambtenaren in dienst bij de provincie zijn bevoegd voor de strafrechtelijk opsporing van strafbare feiten genoemd in domein II: Milieu, welzijn en infrastructuur. Zij zijn bevoegd opsporingsonderzoek te verrichten en hiervan processen-verbaal op te maken zoals bedoeld in domein II van de Regeling domeinlijsten buitengewoon opsporingsambtenaar.

 

De boa's van de provincie verwerken politiegegevens ten behoeve van de uitvoering van de politietaak als bedoeld in de Wpg.

 

Op basis van deze grondslag gelden er voorwaarden in het kader van de verwerkingstermijn en toegankelijkheid voor andere opsporingsambtenaren.

 

De provincie neemt geen besluiten die uitsluitend zijn gebaseerd op geautomatiseerd verwerking van gegevens en er vindt geen geautomatiseerde vergelijking plaats met politiegegevens zoals bedoeld in artikel 11 Wpg. De door de boa’s van de provincie verwerkte politiegegevens worden niet aangewend voor ondersteunende taken (via bijvoorbeeld een landelijke database) zoals bedoeld in artikel 13 Wpg.

 

De boa’s maken voor opsporingstaken enerzijds en bestuursrechtelijke toezichts- en handhavingstaken anderzijds gebruik van twee gescheiden systemen.

 

3. Juridisch kader

Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkenen voorop. Onnodige of te verregaande inbreuken moeten worden voorkomen. De AVG regelt het algemene kader voor de omgang met persoonsgegevens binnen de landen van de Europese unie. De uitgangspunten van de AVG zijn als volgt:

  • Verwerking van persoonsgegevens vindt plaats op rechtmatige, behoorlijke en transparante wijze.

  • Verwerking van persoonsgegevens mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

  • Verwerking van persoonsgegevens mag alleen op een van de in de AVG opgenomen grondslagen.

  • Alleen de persoonsgegevens die voor het beoogde doel noodzakelijk zijn mogen worden verwerkt.

  • Persoonsgegevens moeten juist zijn en blijven.

  • Persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.

  • Persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.

  • Provincie Groningen moet als verwerkingsverantwoordelijke kunnen aantonen aan deze regels te voldoen.

Het normenkader van de Wpg is grotendeels gelijkluidend aan dat van de AVG. Op hoofdlijnen geldt aanvullend nog het volgende:

 

  • Er moet een scheiding worden aangebracht tussen gegevens die op feiten zijn gebaseerd en gegevens die op een persoonlijk oordeel zijn gebaseerd.

  • Er moet onderscheid worden gemaakt tussen verschillende categorieën betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden.

  • Er vindt logging plaats in geautomatiseerde systemen van de invoer van gegevens

  • Er gelden specifieke termijnen voor het bewaren, verwijderen en vernietigen van politiegegevens.

De hiervoor genoemde verplichtingen uit de Wpg zijn geborgd binnen het BOA Registratie Systeem (BRS) waarin de boa’s politiegegevens verwerken. Tot slot zijn er nog de volgende verplichtingen:

  • Inrichting van processen en systemen moet plaatsvinden volgens de principes van gegevensbescherming door beveiliging en ontwerp en gegevensbescherming door standaardinstellingen.

  • Er gelden specifieke eisen voor de uitvoering van gegevensbeschermingseffectbeoordelingen (DPIA’s).

  • Er geldt een plicht om een register van verwerkingen bij te houden.

  • Het melden van datalekken, voorafgaande raadpleging van de Autoriteit Persoonsgegevens (AP) en het benoemen van een Functionaris Gegevensbescherming.

  • Documentatie is vereist van de doelen van onderzoeken, verstrekking of doorgifte, afwijzing van verzoeken om inzage, inbreuk op de beveiliging, doorgifte buiten de EU met datum en tijd, ontvanger, redenen en doorgegeven gegevens en melding van gemeenschappelijke verwerkingen aan de AP.

  • Er geldt een verplichting tot het uitvoeren van een externe privacy audit. De rapportage die hieruit voortvloeit moet worden verstrekt aan de AP. Als er tekortkomingen zijn moet drie maanden na het uitvoeren van de audit een verbeterrapport worden opgesteld, waarop binnen een jaar een hercontrole plaatsvindt.

4. Register van verwerkingen

Net als de AVG verplicht de Wpg tot het bijhouden van een register van verwerkingen. Wel zijn er enkele verschillen die hierna met een (*) zijn aangeduid. Het register van verwerkingen in het kader van de Wpg moet het volgende bevatten:

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke, de gezamenlijk verwerkingsverantwoordelijken en de functionaris voor gegevensbescherming.

  • De doelen van de verwerking.

  • De categorieën van ontvangers aan wie politiegegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties.

  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens.

  • In voorkomend geval: het gebruik van profilering. (*)

  • In voorkomend geval: de categorieën van doorgiften van politiegegevens aan een derde land of een internationale organisatie.

  • Een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de politiegegevens bedoeld zijn. (*)

  • Zo mogelijk: de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd.

  • Zo mogelijk: een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging.

  • De toekenning van de autorisaties. (*)

De provincie Groningen heeft voornoemde gegevens in het verwerkingsregister opgenomen.

5. Verwerkersovereenkomsten

Specifiek voor de taakuitvoering van de boa's heeft de provincie een verwerkersovereenkomst gesloten met de leverancier van het BOA Registratie Systeem (BRS). In de verwerkersovereenkomst is onder meer conform artikel 6:1 Bpg het volgende geregeld:

 

  • Het onderwerp en de duur van de verwerking.

  • De aard en het doel van de verwerking.

  • Het soort gegevens waarop de wet van toepassing is.

  • De categorieën van betrokkenen en de verplichtingen en de rechten van de provincie.

  • Dat de verwerker uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt.

6. Functionaris Gegevensbescherming (FG)

Conform artikel 36 Wpg heeft de provincie een FG aangesteld. De FG wordt door provincie tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.

 

De FG is belast met de volgende taken:

  • Het toezien op de naleving van de Wpg en op het beleid van de provincie als verwerkingsverantwoordelijke, inclusief de toewijzing van autorisaties, bewustmaking en opleiding van de boa's.

  • Het informeren en adviseren van de provincie als verwerkingsverantwoordelijke en de boa's over hun verplichtingen op grond van de Wpg en andere wetgeving over de bescherming van persoonsgegevens.

  • Het geven van advies over DPIA's en het toezien op de uitvoering ervan.

  • Het samenwerken met en optreden als contactpunt voor de AP.

  • Het opstellen van een jaarverslag over zijn bevindingen.

De contactgegevens van de FG staan vermeld op de website van de provincie. De FG is aangemeld bij de AP.

7. Rechten van betrokkenen

De rechten van betrokkenen onder de AVG staan beschreven in de privacyverklaring van de provincie. Op hoofdlijnen zijn deze rechten op grond van de Wpg gelijkluidend.

 

Specifiek voor de Wpg geldt nog het volgende:

  • De verwerkingsverantwoordelijke biedt de betrokkene informatie over de verwerking van persoonsgegevens en doet dit beknopt, toegankelijk en duidelijk, zodat de betrokkene zijn rechten kan uitoefenen. De informatievoorziening voldoet aan de eisen uit artikel 24b van de Wpg.

  • Bij uitstel, beperking of achterwege laten van de verstrekking van informatie bedoeld in 24b van de Wpg is het uitstel, de beperking of het achterwege laten alsmede de duur van deze maatregel onderbouwd.

  • Een verzoek om inzage, rectificatie of vernietiging kan in een aantal omstandigheden, zoals genoemd in artikel 27 Wpg worden afgewezen. Een gehele of gedeeltelijke afwijzing van een verzoek gebeurt schriftelijk en bevat de redenen voor de afwijzing.

De provincie geeft hieraan uitvoering door op de eigen website te melden wat de rechten van betrokkenen zijn en hoe men daarvan gebruik kan maken.

8. Het bewaren van politiegegevens

Politiegegevens mogen niet langer bewaard worden dan noodzakelijk is. De provincie dient als verwerkingsverantwoordelijke te voorzien in voldoende waarborgen om te bewerkstelligen dat de gegevens conform de wet worden gecontroleerd, verwijderd en vernietigd. Politiegegevens mogen na verwijdering nog maximaal vijf jaar worden bewaard.

 

Binnen het registratiesysteem worden alle politiegegevens gelabeld. Op basis van het label wordt voor elk gegeven de bewaartermijn conform de wettelijke bepaling geconfigureerd, zodat geborgd wordt dat deze politiegegevens niet langer worden bewaard dan noodzakelijk is. Hiermee wordt voldaan aan de eisen gesteld in de Wpg.

9. Het ter beschikking stellen en verstrekken van politiegegevens

De Wpg maakt een onderscheid tussen het ter beschikking stellen van politiegegevens en het verstrekken ervan. Het ter beschikking stellen van politiegegevens houdt in dat deze in principe worden gedeeld met eenieder die de gegevens nodig heeft voor de uitoefening van zijn taak. Voordat de provincie politiegegevens deelt maakt de provincie een noodzakelijkheids-, proportionaliteits- en subsidiariteitsafweging. Het ter beschikking stellen voltrekt zich binnen het Wpg-domein.

 

Bij het verstrekken van politiegegevens gaat het om het delen van gegevens buiten het Wpg-domein. In dat geval moet zijn geborgd dat politiegegevens alleen worden verstrekt aan personen of instanties buiten het politiedomein, voor zover dit noodzakelijk is voor de doeleinden zoals deze in de Wpg en het Bpg zijn genoemd. Geborgd moet ook zijn dat wanneer gegevens verstrekt worden, er wordt voldaan aan de documentatieplicht en dat de verstrekking alleen plaatsvindt in overeenstemming met het bevoegd gezag indien dit vereist is in de wet. Het gaat dan bijvoorbeeld om verstrekkingen aan een toezichthouder, een advocaat of de belastingdienst. Bij dergelijke verstrekkingen wordt altijd vooraf door de teamleider en de coördinator handhaving getoetst of de verstrekking voldoet aan de wetgeving. De provincie verstrekt geen politiegegevens aan ontvangers in derde landen of internationale organisaties. De provincie neemt ook niet deel aan samenwerkingsverbanden waarin politiegegevens worden gedeeld. Op het moment dat zij daartoe overgaat, handelt zij conform de geldende regels.

 

Het registratiesysteem registreert en documenteert eventuele verstrekkingen. Daarnaast maakt de provincie gebruik van de landelijke verstrekkingenwijzer voor boa's. Bij de provincie is de Bevoegd Functionaris aangewezen als coördinator bij het doen van verstrekkingen. De coördinator en andere medewerkers, niet zijnde boa, die uit hoofde van taak toegang nodig hebben tot politiegegevens zijn daarvoor geautoriseerd.

10. Het melden van datalekken

Artikel 33a van de Wpg bepaalt dat een datalek ('inbreuk op de beveiliging') onverwijld en uiterlijk binnen 72 uur nadat ervan kennis is genomen moet worden gemeld aan de AP, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. Als de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging. De provincie moet het datalek ook aan de betrokkenen mededelen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt.

 

Op deze mededelingsplicht zijn enkele uitzonderingen van toepassing, onder andere als de mededeling achterwege moet blijven ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

Indien sprake is van een datalek bij een externe verwerker gelden dezelfde regels.

 

De provincie heeft een procedure opgesteld waarmee gewaarborgd wordt dat datalekken tijdig en conform de wettelijke regelgeving worden afgehandeld.

11. Bewustwording binnen de provincie

Het zorgvuldig omgaan met persoonsgegevens is enerzijds een kwestie van het organiseren van een goede informatieveiligheid en het zorgvuldig inrichten van werkprocessen, anderzijds is het een zaak van bewustwording bij de boa's van de provincie. Door tijdens werkoverleggen het onderwerp structureel te agenderen wordt het bewustzijn voortdurend aangescherpt. Hierdoor wordt de kennis van de risico’s verhoogd en veilig en verantwoord gedrag aangemoedigd.

 

De boa's van de provincie verwerken de politiegegevens alleen in het daarvoor bestemde BOA-registratiesysteem. Het gaat hierbij om opgemaakte proces-verbalen en waarschuwingen op het gebied van de voor de provincie relevante wet- en regelgeving. De boa’s nemen deel aan het verplichte traject van permanente her- en bijscholing en worden getraind in het gebruik van het registratiesysteem. Daarnaast gelden er interne werkinstructies en afspraken.

12. Inwerkingtreding

Dit beleid treedt in werking met ingang van de dag na de datum van uitgifte van het provinciaal blad waarin zij is geplaatst.

13. Citeertitel

Dit beleid wordt aangehaald als: Privacybeleid WPG Provincie Groningen

Groningen, 3 oktober 2023

Gedeputeerde Staten voornoemd:

F.J. Paas,

voorzitter.

J. Schrikkema,

secretaris.