| Organisatie | Bergeijk |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Privacyprotocol Meld Misdaad Anoniem gemeente Bergeijk 2023 |
| Citeertitel | Privacyprotocol Meld Misdaad Anoniem gemeente Bergeijk 2023 |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
Uitvoeringswet Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 21-10-2023 | Nieuw protocol | 03-10-2023 |
Binnen het basisteam De Kempen werken de gemeenten Best, Bladel, Bergeijk, Eersel, Reusel- de Mierden, Oirschot, Waalre en Veldhoven gezamenlijk aan de aanpak van ondermijnende criminaliteit. Informatie die ons hierbij behulpzaam kan zijn, zijn de meldingen die inwoners doen bij het meldpunt Meld Misdaad Anoniem (MMA). Deze organisatie beheert de meldingen en garandeert en de anonimiteit van de melder. De gemeente Bergeijk gaat een overeenkomst aan met de stichting M. Op grond van deze overeenkomst zal de stichting M. anonieme meldingen, die bij haar binnenkomen en die betrekking hebben op mogelijke misdaden op het grondgebied van de gemeente Bergeijk, bij de gemeente melden. Het is vervolgens aan de gemeente om te beoordelen of zij iets met de melding doet. Een complete lijst van onderwerpen waarover de gemeente een melding kan krijgen, is hieronder opgenomen.
Een MMA-melding van de stichting M. bevat persoonsgegevens van de persoon, die volgens de melder een mogelijke overtreding of misdrijf zou hebben begaan. Het kan ook gaan om vermoedens of verdachte situaties. De persoonsgegevens kunnen bestaan uit: naam, adres, telefoonnummer, plaats van handeling, tijdstip, kenteken, e.d., maar kunnen ook bestaan uit bijzondere persoonsgegevens als bedoeld in artikel 9 Algemene verordening gegevensbescherming (AVG). Van de gemeente wordt verwacht dat we de AVG op een goede, zorgvuldige manier toepassen binnen onze werkzaamheden. Dit protocol bevat daarom handvatten voor de medewerkers van de gemeente Bergeijk om de AVG op een goede manier na te leven. De werkwijze omtrent de MMA-meldingen en de omgang met persoonsgegevens is vastgelegd in dit protocol.
De melding bevat uiteraard geen persoonsgegevens van de melder, aangezien deze de melding anoniem doet. Mocht de melding toch gegevens bevatten, waardoor de melding tot een bepaalde persoon is te herleiden, dan zorgt de stichting M. ervoor dat deze gegevens worden verwijderd. De gemeente ontvangt in geen enkel geval gegevens waardoor de melder voor haar identificeerbaar is. Na de melding aan de gemeente, vernietigt stichting M.de melding uit haar systemen. De gemeente zal periodiek wel statische informatie moeten verschaffen aan stichting M. met het oog op de verbetering van de dienstverlening van stichting M.
Is de melding bedoeld voor de gemeente, dan wordt deze geplaatst in de applicatie Meldnet van stichting M.. Hierbij gaat het enkel om ondermijningsactiviteiten dan wel activiteiten waartegen de gemeente bestuursrechtelijke actie kan ondernemen. Het gaat om de volgende onderwerpen:
Indien een melding betrekking heeft op een bepaald onderwerp, dan zal deze niet altijd aan de gemeente Bergeijk beschikbaar worden gesteld. Indien deze ook gegevens bevat voor de politie, dan zal deze niet aan de gemeente worden bekendgemaakt.
Op de verwerking van de persoonsgegevens van degene, op wie de melding betrekking heeft, zijn de AVG en de Uitvoeringswet algemene verordening gegevensbescherming van toepassing. Dit betekent onder meer dat er voor de verwerking van persoonsgegevens, die van stichting M. afkomstig zijn, een grondslag als bedoeld in artikel 6 AVG moet zijn en dat – als er een grondslag is aan te wijzen – de verwerking van de persoonsgegevens moet voldoen aan artikel 5, eerste lid AVG (o.a. doelbinding, minimale gegevensverwerking en juistheid).
Volgens artikel 6 AVG is de verwerking van persoonsgegevens alleen rechtmatig als daarvoor één of meer van de volgende grondslagen is aan te wijzen:
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Bij de verwerking van persoonsgegevens, die van de stichting M. worden verkregen, kan de onder c) genoemde grondslag in de meeste gevallen als grondslag van verwerking worden aangewezen. Weliswaar behoort het bestrijden van criminaliteit niet primair tot de taak van de gemeente, maar criminaliteit kan gevolgen hebben voor de openbare orde. En daarmee is de gemeente (de burgemeester) op grond van artikel 172 Gemeentewet wel belast. Van een verstoring van de openbare orde is sprake bij verstoring van enige betekenis van de normale gang van zaken in of aan de desbetreffende openbare ruimte (Hoge Raad 30 januari 2007, ECLI:NL:HR:2007:AZ2104, r.o. 3.4.1).
Daarnaast zijn er andere wettelijke bepalingen aan te wijzen (artikel 13b Opiumwet, artikel 274 en 274a Gemeentewet) die de burgemeester bevoegdheden geven op het gebied van de openbare orde. Zie in dit verband de annotatie onder AB 2021/334.
Ook valt te wijzen op de bevoegdheden die de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob) aan de bestuursorganen van de gemeente toekent met als doel het voorkomen dat met vergunningen, subsidies, overheidsopdrachten, vastgoedtransacties strafbare feiten worden begaan.
Als het gaat om een melding over mogelijke sociale fraude is de Participatiewet de wettelijke grondslag voor de verwerking van persoonsgegevens.
Als er geen wettelijke taak is die kan dienen als grondslag voor de verwerking van persoonsgegevens, zal de onder e) genoemde grondslag over het algemeen als grondslag kunnen dienen. Volgens overweging 45 van de AVG schrijft de AVG niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag.
Als geen grondslag voor de verwerking van persoonsgegevens valt aan te wijzen, is de verwerking van persoonsgegevens niet toegestaan en zal de melding niet in behandeling kunnen worden genomen. De melding dient dan terstond uit de systemen van de gemeente te worden verwijderd.
Indien een grondslag voor de verwerking valt aan te wijzen, is de verwerking van persoonsgegevens toegestaan. Dit betekent echter niet dat er carte blanche bestaat om maar van alles met de persoonsgegevens te doen. Artikel 5 AVG stelt namelijk de volgende eisen aan de verwerking:
ad a: de persoonsgegevens worden verwerkt met als doel na te gaan of de melding juist is en of sprake is van een mogelijke misdaad. Onder “misdaad” worden hier misdrijven verstaan. Bij wet in formele zin (bijvoorbeeld Tweede boek Wetboek van Strafrecht, artikel 2 Wet op de economische delicten, artikel 13 Opiumwet) wordt bepaald welke delicten als misdrijf en welke als overtreding worden aangemerkt.
De persoonsgegevens mogen niet voor andere doeleinden worden ingezet. Indien blijkt dat de melding gegrond is, kunnen zij wel worden doorgegeven aan de politie. Op dat moment dienen de persoonsgegevens uit het gemeentelijke meldingssysteem te worden verwijderd (zie ad e).
ad b: De persoonsgegevens, die worden verwerkt na een melding van de stichting M., zijn niet van betrokkene zelf verkregen. Voor dat geval is de hoofdregel van artikel 14 AVG dat de verwerkingsverantwoordelijke de betrokkene de informatie, genoemd in het eerste en tweede lid en binnen de voorwaarden van het derde lid, verstrekt.
Het vijfde lid noemt een aantal uitzonderingsgevallen op deze hoofdregel. Eén van deze uitzonderingen is “voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen”. Deze uitzondering is hier aan de orde. Het bekend worden van betrokkene met de melding zou immers een eventueel opsporingsonderzoek in gevaar kunnen brengen, aangezien betrokkene zijn gedrag op de melding af zou kunnen stemmen. In dit geval kan niet (volledig) aan de eis van transparantie worden voldaan. Wel dient uiteraard voldaan te worden aan de eis dat de verwerking behoorlijk en rechtmatig moet zijn.
ad c: Het gaat er om dat er een juist beeld ontstaan van degene op wie de melding betrekking heeft. Het kan handig zijn (nice to know) om van alles te weten van die persoon, maar er mogen alleen gegevens worden opgenomen die noodzakelijk zijn (need to know) om met de melding aan de slag te kunnen. Anderzijds mogen ook niet te weinig gegevens worden vastgelegd, want hierdoor kan een onjuist beeld ontstaan. Zo moeten ontlastende gegevens wel in het systeem worden vastgelegd.
ad d: Het vereiste dat persoonsgegevens juist moeten zijn, hangt samen met hetgeen hierboven onder ad c is vermeld. Met onjuiste persoonsgegevens kan een verkeerd beeld ontstaan van de persoon in kwestie. Als persoonsgegevens (bijvoorbeeld het adres) gedurende het onderzoek naar de melding wijzigen, moet deze wijziging in het systeem worden verwerkt.
ad e: De persoonsgegevens moeten uit de gemeentelijke systemen worden verwijderd op het moment dat de melding is afgedaan, hetzij omdat de conclusie is dat met de melding verder niets wordt gedaan, hetzij op het moment dat de melding aan een andere instantie, bijvoorbeeld de politie, wordt doorgezet.
ad f: Er moeten technische maatregelen worden genomen om te voorkomen dat gegevens worden gehackt. De gebruikte software mag geen beveiligingslekken bevatten. Daarnaast moeten organisatorische maatregelen (autorisaties) worden getroffen om te voorkomen dat personen, die niet betrokken zijn bij het onderzoek van de meldingen, toegang krijgen tot het systeem. Artikel 32 AVG stelt de eis dat de beveiligingsmaatregelen “passend zijn”. Bij de vraag wat passend is, d.w.z. bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.