| Organisatie | Hengelo |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Beleid Wet politiegegevens 2023 – Gemeente Hengelo |
| Citeertitel | Beleid Wet politiegegevens 2023 – Gemeente Hengelo |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | openbare orde en veiligheid |
| Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 08-12-2023 | nieuwe regeling | 28-11-2023 |
Binnen de gemeente Hengelo wordt veel gewerkt met persoonsgegevens. Een deel van de medewerkers van de gemeente Hengelo werkt daarnaast ook met een aparte categorie persoonsgegevens: te weten gegevens die onder de Wet politiegegevens vallen. Naast de andere door de gemeente Hengelo geautoriseerde medewerkers, werken met name de buitengewone opsporingsambtenaren (boa’s) Openbare ruimte (domein 1), Onderwijs (domein 3) en Werk, Inkomen en zorg (domein 5) van de gemeente Hengelo met dergelijke politiegegevens. De gemeente Hengelo heeft geen boa’s die werkzaam zijn in andere domeinen.
Boa’s hebben meerdere taken en combineren toezichtstaken vaak met opsporing. Daarbij verwerken zij vaak verschillende soorten gegevens. Daarop kunnen twee wettelijke regimes van toepassing zijn:
1. Algemene verordening gegevensbescherming (AVG)1: De AVG is van toepassing op de gegevens die een boa bij zijn toezichtstaken of in het kader van incidentenbestrijding verwerkt.
2. Wet politiegegevens (Wpg)2: De gegevens die een boa verwerkt in het kader van zijn opsporingstaak vallen onder de Wpg.
Let op: soms verwerkt een boa gegevens eerst voor toezicht, waarna deze ook worden gebruikt voor zijn opsporingstaak. In dat geval verandert dat persoonsgegeven in een politiegegeven waarop de Wpg van toepassing is.
In grote lijnen zijn de regels van de AVG en de Wpg vergelijkbaar, maar er zijn ook enkele belangrijke verschillen. Zo gelden er voor politiegegevens –in het kader van een opsporingstaak- onder de Wpg specifieke bewaartermijnen. Ook stelt de Wpg andere eisen bij het delen van politiegegevens met derde partijen.
Om te voorkomen dat er schade wordt berokkend aan de (privacy)belangen van degene wiens gegevens worden verwerkt en om hun vertrouwen in de gemeente Hengelo te waarborgen, is het van belang dat binnen de gemeente Hengelo de gegevens in overeenstemming met de wet- en regelgeving worden verwerkt.
In het onderhavige beleid Wet politiegegevens is aangegeven hoe de gemeente Hengelo omgaat met politiegegevens die onder de Wpg vallen. In dit beleid wordt verduidelijkt waarmee rekening moet worden gehouden bij de verwerking van gegevens in het kader van de opsporingstaak van de boa’s.
Doelstelling van dit beleid Wet politiegegevens is onder meer:
het bewerkstelligen dat boa’s en andere medewerkers3:
Voor een goed begrip van dit beleid worden eerst enkele belangrijke begrippen toegelicht.
Elk gegeven betreffende een identificeerbaar of geïdentificeerd individu (de “betrokkene”). Oftewel, alles dat in verband kan worden gebracht met een individu, is een persoonsgegeven. Voorbeelden zijn o.a. naam, adres, geboortedatum en -plaats, foto, telefoonnummer, personeelsnummer, maar ook een bankrekeningnummer, gps-positie of kenteken. Belangrijk is dat de persoon nog niet geïdentificeerd hoeft te zijn: het is al een persoonsgegeven als het tot identificatie kán leiden.
De door een boa verwerkte gegevens in het kader van zijn toezichttaak of incidentenbestrijding zijn persoonsgegevens die onder de AVG vallen.
Een persoonsgegeven dat door een boa verwerkt wordt in het kader van zijn opsporingstaak. Hiervoor geldt de Wet politiegegevens. Een politiegegeven is een specifieke versie van een persoonsgegeven.
Persoonsgegeven waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt. Ook genetische en biometrische gegevens en gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid zijn bijzondere persoonsgegevens.
Het is verboden bijzondere persoonsgegevens te verwerken, tenzij dit onvermijdelijk is voor het doel van de verwerking en in aanvulling op de verwerking van andere politiegegevens. Ook beeld- en geluid materiaal kunnen een bijzonder persoonsgegeven zijn. Een foto, audio- en video opnames van een persoon bevatten bijvoorbeeld mogelijk informatie over zijn ras. Verder zijn er daaruit mogelijk andere bijzondere persoonsgegevens af te leiden, zoals religie op basis van de gedragen kleding.
Strafrechtelijke persoonsgegevens
Persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatrelgen.
Figuur 1: Visueel overzicht verhouding van verschillende soorten gegevens.
Elke handeling met een persoons- of politiegegeven. Het opschrijven, registreren, vastleggen, filmen, opnemen, raadplegen, vergelijken, wijzigen, tonen, verstrekken en zelfs wissen van persoonsgegevens zijn allemaal voorbeelden van verwerkingen.
Alle personen en instanties die politiegegevens verwerken volgens het regime van de Wpg. Dit zijn de politie, de marechaussee, de rijksrecherche, de bijzondere opsporingsdiensten (BOD’en) en de boa voor zover hij opsporingsgegevens verwerkt.
Data Protection Impact Assessment (DPIA)
De DPIA is een instrument om te beoordelen wat de effecten op en risico’s voor de privacy van betrokkenen zijn van nieuwe of bestaande gegevensverwerkingen. Op basis van de uitkomsten van een DPIA kan de gemeente Hengelo vervolgens maatregelen treffen om deze effecten op en risico’s voor de privacy van betrokkenen te beperken.
2. Rollen en verantwoordelijkheden met betrekking tot gegevensverwerkingen
De gemeente Hengelo onderkent een aantal rollen die aan functionarissen binnen de organisatie worden toegewezen, zodat de verwerking van politiegegevens gestructureerd en gecoördineerd wordt uitgevoerd.
2.1. Het college van burgemeester en wethouders
Het college van burgemeester en wethouders van de gemeente Hengelo (hierna: ‘het college’) is eindverantwoordelijk voor de rechtmatige en zorgvuldige verwerking van politiegegevens binnen de gemeente Hengelo4. Het college stelt dit beleid Wet politiegegevens, de maatregelen en de procedures op het gebied van gegevensverwerkingen vast.
2.2. Chief Information Security Officer (CISO)
De Chief Information Security Officer (CISO) van de gemeente Hengelo zorgt voor het opstellen van het informatiebeveiligingsbeleid alsmede de implementatie, coördinatie en aanpassing daarvan. De CISO houdt tevens toezicht op de naleving daarvan. Verder draagt de CISO zorg voor bewustwording binnen de organisatie op het gebied van informatiebeveiliging en het signaleren van risico's op dit vlak. De gemeente Hengelo heeft een informatiebeveiligingsbeleid vastgesteld.
De privacy officer is binnen de gemeente Hengelo werkzaam met de toepassing en naleving van de toepasselijke privacywet- en regelgeving. De privacy officer ondersteunt (medewerkers van) de gemeente Hengelo bij alle voorkomende aangelegenheden met betrekking tot privacy en het verwerken van persoonsgegevens en politiegegevens. De privacy officer verricht onder meer de in dit beleid toegewezen taken. Daarnaast is de privacy officer het algemene aanspreekpunt voor vragen of opmerkingen over dit beleid en over de verwerking van politiegegevens door de gemeente Hengelo.
Het zorgvuldig omgaan met persoonsgegevens en politiegegevens is ieders verantwoordelijkheid, ook dat van de boa’s en andere medewerkers van de gemeente Hengelo. Van hen wordt verwacht dat zij zich integer gedragen en bij iedere verwerking de doelmatigheid en noodzakelijkheid toetsen. Zij dienen er alles aan te doen om te voorkomen dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies van de betrokkenen of de gemeente Hengelo. Dan wel dat er in strijd met de toepasselijke wet- en regelgeving wordt gehandeld (zoals de AVG en/of de Wpg). Boa’s en medewerkers dienen, in het kader van de AVG en Wpg, er voor te zorgen persoonsgegevens vast te leggen die strikt noodzakelijk zijn voor de uitvoering van de taak.
3. Beginselen en uitgangspunten van verwerking van politiegegevens
Politiegegevens moeten op een behoorlijke, rechtmatige en zorgvuldige wijze worden verwerkt. Hierbij dient steeds rekening gehouden te worden met enerzijds het belang van de gemeente Hengelo om de politiegegevens te verwerken en anderzijds het privacybelang van de betrokkenen.
Om aan het bovenstaand beleidsuitgangspunt te voldoen, neemt de gemeente Hengelo bij het verwerken van politiegegevens de beginselen genoemd in artikel 3.1 in acht.
De politiegegevens worden slechts verwerkt voor de doeleinden en de grondslagen zoals genoemd in de Wpg. Dat betekent dat de boa de politiegegevens uitsluitend verwerkt ten behoeve van:
ondersteunende werkzaamheden, waarbij gegevens die oorspronkelijk zijn verwerkt op basis van voornoemde grondslagen ex artikel 8 of 9 – vaak landelijk – verder worden verwerkt (art. 13 Wpg). Vooralsnog zijn er geen artikel 13-verwerkingen voor boa’s bekend. Dit komt bij de gemeente Hengelo niet of nauwelijks voor. Deze grondslag wordt in dit beleid daarom verder buiten beschouwing gelaten.
De boa verwerkt geen politiegegevens, indien dat niet noodzakelijk is voor de uitvoering van de aan hem of haar opgedragen opsporingstaak.
3.2. Verwerkings- en bewaartermijnen
De gemeente Hengelo verwerkt en bewaart de politiegegevens conform de verwerkings- en bewaartermijnen uit hoofde van de Wpg. De Wpg regelt tot welk moment boa’s en andere geautoriseerde medewerkers een ruime toegang hebben tot de verwerkte politiegegevens alsmede wanneer die gegevens moeten worden verwijderd en worden vernietigd.
Bij het verwerken van politiegegevens mogen niet meer gegevens worden gebruikt dan nodig is om het doel waarvoor ze zullen worden gebruikt te behalen. Uitgangspunt hierbij is dat alleen de noodzakelijke gegevens worden verwerkt, die toereikend, ter zake dienend en niet bovenmatig zijn. Als dat niet mogelijk is, dan zal de gemeente Hengelo er in ieder geval voor zorgen dat alle overbodige gegevens direct worden verwijderd.
3.5. Bijzondere categorieën politiegegevens
Naast de normale politiegegevens onderscheidt de Wpg enkele bijzondere categorieën politiegegevens (hierna ook te noemen: ‘bijzondere persoonsgegevens’). Deze categorieën van gegevens zijn gevoeliger van aard, waardoor deze onder een strengere wettelijk regime zijn gebracht.
Onder bijzondere categorieën politiegegevens/ bijzondere persoonsgegevens wordt onder meer verstaan:
Het verwerken van bijzondere persoonsgegevens is alleen toegestaan als dit onvermijdelijk is voor het doel van de verwerking, in aanvulling op de verwerking van andere politiegegevens over de betrokken persoon.
Daarnaast dienen bijzondere persoonsgegevens afdoende te zijn beveiligd. Indien bijzondere persoonsgegevens op straat komen, dan kunnen de gevolgen voor betrokkenen namelijk aanzienlijk zijn. Ter beveiliging van dergelijke persoonsgegevens heeft de gemeente Hengelo een informatiebeveiligingsbeleid vastgesteld.
3.6. Vertrouwelijkheid van politiegegevens
Voor een effectieve bescherming van politiegegevens bij de gemeente Hengelo, is het essentieel dat alle boa’s en andere medewerkers die mogelijk in aanraking kunnen komen met de verwerkte politiegegevens te allen tijde daarmee vertrouwelijk omgaan. Deze boa’s en andere medewerkers zijn dan ook verplicht tot geheimhouding van de politiegegevens, behoudens rechtmatige terbeschikkingstellingen en verstrekkingen van deze gegevens zoals bedoeld in hoofdstuk 4 van dit beleid.
3.7. Juistheid en nauwkeurigheid van politiegegevens
Van belang is dat de boa’s en andere geautoriseerde medewerkers de politiegegevens op een juiste en nauwkeurige wijze verzamelen, vastleggen en verwerken. Voorkomen moet worden dat er onjuiste gegevens worden verwerkt en vastgelegd. De boa’s en andere geautoriseerde medewerkers dienen derhalve extra zorgvuldigheid in acht te nemen bij het verwerken – waaronder het vastleggen in systemen – van politiegegevens.
Indien onverhoopt blijkt dat de politiegegevens, gelet op het doel waarvoor deze worden verwerkt, onjuist zijn verwerkt, vastgelegd, geregistreerd, etc., dan dient de boa of de andere medewerker dit zo spoedig mogelijk te melden bij de verantwoordelijke lijnmanager. Deze lijnmanager beoordeelt vervolgens – zo nodig in samenspraak met de privacy officer – of de betreffende politiegegevens moeten worden gerectificeerd of vernietigd.
Indien de politiegegevens gerectificeerd en/of vernietigd moeten worden, dan draagt deze lijnmanager er zorg voor dat dit zo spoedig mogelijk geschiedt. Daarnaast draagt deze lijnmanager er zorg voor dat bij verstrekkingen van politiegegevens de ontvangers daarvan onverwijld in kennis worden gesteld.
De gemeente Hengelo is op grond van de Wpg verplicht om een verwerkingsregister bij te houden. Het verwerkingsregister bevat informatie over de verwerking van politiegegevens die binnen de gemeente Hengelo plaatsvindt. Het verwerkingsregister bevat onder meer informatie over het bestuursorgaan dat verantwoordelijk is voor de verwerking, de doelen en grondslagen van de verwerkingen, de categorieën politiegegevens die verwerkt worden, de categorieën betrokkenen van wie politiegegevens verwerkt worden, de categorieën ontvangers aan wie de politiegegevens verstrekt kunnen worden en of gegevens buiten de EU gedeeld kunnen worden, de bewaartermijnen van de politiegegevens, een beschrijving van de beveiliging van de gegevens en de toekenning van autorisaties.
Het verwerkingsregister vormt het overzicht van verwerkingen van politiegegevens binnen de gemeente Hengelo en is een belangrijke basis voor het onderzoek naar privacyrisico’s, het verbeteren van de bescherming van politiegegevens en het uitvoeren van de verzoeken tot het uitoefenen van rechten van betrokkenen.
Het verwerkingsregister behoeft actualisatie bij wijzigingen. De vakafdelingen zijn verantwoordelijk voor het doorgeven van wijzigingen. De privacy officer heeft hierover periodiek contact met de vakafdeling.
4. Ter beschikking stellen en verstrekken politiegegevens
De boa of andere geautoriseerde medewerker heeft op grond van de Wpg verschillende mogelijkheden om samen te werken en politiegegevens uit te wisselen binnen het veiligheidsdomein. Het gebruiken van politiegegevens voor toezichthoudende taken (hetgeen onder de AVG valt) en het ter beschikking stellen c.q. verstrekken van politiegegevens aan derde partijen – zowel binnen als buiten het Wpg-domein – is aan voorwaarden verbonden.
De boa’s en andere medewerkers van de gemeente Hengelo stellen de politiegegevens uitsluitend ter beschikking en/of verstrekken die uitsluitend aan derde partijen, indien dat is toegestaan op grond van de Wpg en conform de voorwaarden die de Wpg daaraan stelt. De gemeente Hengelo heeft in dat kader voor de boa’s en andere medewerkers werkinstructies c.q. een toelichting opgesteld, aan de hand waarvan zij in voorkomende gevallen kunnen beoordelen of de terbeschikkingstelling c.q. verstrekking op grond van de Wpg is toegestaan.
Betrokkenen kunnen ten aanzien van de politiegegevens die van hun worden verwerkt bepaalde rechten uitoefenen. De gemeente Hengelo verleent op eerste verzoek van de betrokkene haar medewerking aan de uitoefening van die rechten. De diverse rechten die de Wpg de betrokkenen geeft zijn neergelegd in de artikelen 24a tot en met 28 van de Wpg.
Op grond van de Wpg hebben betrokkenen:
Uitsluitend boa’s en andere geautoriseerde medewerkers van de gemeente Hengelo die uit hoofde van hun taakuitoefening belast zijn met de uitvoering van politietaken in de zin van de Politiewet en daarvoor toegang nodig hebben tot de verwerkte politiegegevens, hebben toegang tot de bij de gemeente Hengelo verwerkte politiegegevens.
De verantwoordelijke lijnmanager bepaalt welke medewerkers geautoriseerd worden om toegang te krijgen tot het systeem waarin de politiegegevens worden verwerkt. Voor autorisatie is schriftelijke toestemming van deze lijnmanager vereist.
De autorisatie bevat een duidelijke omschrijving van de verwerkingen waartoe de betreffende medewerker wordt geautoriseerd en de onderdelen van de politietaak ter uitvoering waarvan de verwerkingen worden gedaan.
7. Data Protection Impact Assessment
In bepaalde gevallen is het voor de gemeente Hengelo vereist om een zogeheten ‘Data Protection Impact Assessment’ (hierna: ‘DPIA’) uit te voeren.
Op grond van de Wpg dient een DPIA uitgevoerd te worden als een (voorgenomen) verwerking waarschijnlijk een hoog privacyrisico inhoudt. De verantwoordelijke lijnmanager stelt in overleg met de privacy officer vast voor welke gegevensverwerkingen een DPIA uitgevoerd dient te worden.
8. Beveiliging en beveiligingsinbreuken
De gemeente Hengelo treft diverse passende technische en organisatorische maatregelen voor de beveiliging van politiegegevens. In dat kader heeft de gemeente Hengelo een informatiebeveiligingsbeleid vastgesteld.
Niettemin kunnen er zich onverhoopt beveiligingsincidenten voordoen. Iedere vraag, klacht of melding met betrekking tot de verwerking van politiegegevens is een ‘incident’. De bekendste vorm van zo’n incident is een datalek.
Incidenten kunnen worden gemeld bij de privacy officer van de gemeente Hengelo via www.hengelo.nl/privacy. Zodra een medewerker van de gemeente Hengelo een incident ontdekt, dan dient hij/zij dit direct – in ieder geval binnen 24 uur – te melden bij de privacy officer. Een incident kan overigens ook door een betrokkene, verwerker of een derde worden gemeld.
De privacy officer zal vervolgens aan de hand van de Wpg en de beleidsregels datalekken van de Autoriteit Persoonsgegevens beoordelen of het incident kwalificeert als een datalek dat gemeld dient te worden aan de Autoriteit Persoonsgegevens en eventueel de betrokkenen. Als het datalek gemeld dient te worden aan de Autoriteit Persoonsgegevens, dan zal de privacy officer dit binnen 72 uur na ontdekking van het incident melden.
De gemeente Hengelo heeft een datalekprocedure opgesteld die van toepassing is op de AVG en Wpg. Conform deze datalekprocedure betrekt de privacy officer de FG, lijnmanager en/of CISO bij de afhandeling van de melding over een incident c.q. datalek.
De gemeente Hengelo vindt het belangrijk om te leren van incidenten. Registratie van incidenten en een periodieke evaluatie daarover horen thuis bij een professionele omgang met politiegegevens. De privacy officer houdt daarom een register bij van alle incidenten, inclusief de afhandeling daarvan, die zich hebben voorgedaan bij de gemeente Hengelo.
De privacy officer zal daarnaast, mede aan de hand van voornoemde registratie, periodiek evalueren of er maatregelen getroffen moeten worden om incidenten in de toekomst te voorkomen.
De gemeente Hengelo draagt zorg voor de logging van de verwerking van politiegegevens. Deze logging wordt uitsluitend door de gemeente gebruikt ter controle van de rechtmatigheid van de verwerking van politiegegevens, voor het uitvoeren van interne controles, ter waarborging van de integriteit en de beveiliging van politiegegevens en voor strafrechtelijke procedures.
9. Doorgifte politiegegevens naar het buitenland
Het doorgeven van politiegegevens aan derden (zoals een verwerker) gevestigd in landen buiten de Europese Economische Ruimte (hierna: ‘EER’) is niet zomaar toegestaan. Hiervoor gelden aanvullende regels.
Landen buiten de EER worden geacht een lager niveau van privacybescherming te hebben. Politiegegevens mogen daarom alleen aan derden die gevestigd zijn in landen buiten de EER, indien het land waarin deze derde is gevestigd in zijn geheel of ten aanzien van die specifieke derde een passend beschermingsniveau van de privacy, zoals bedoeld in de Wpg, waarborgt. Dat zal de gemeente Hengelo per geval op grond van de criteria vanuit de Wpg beoordelen.
De doorgifte van politiegegevens aan partijen in landen buiten de EER worden door de verantwoordelijke medewerker in samenspraak met de verantwoordelijke lijnmanager van de gemeente Hengelo schriftelijk vastgelegd en gedocumenteerd. Deze vastlegging omvat de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden van doorgifte en de doorgegeven gegevens zelf.
Dit beleid wordt periodiek, in beginsel jaarlijks, geëvalueerd. Aanpassingen van dit beleid worden aangekondigd via het digitaal gemeenteblad en de meest recente versie is gepubliceerd op https://lokaleregelgeving.overheid.nl.
De privacy officer van de gemeente Hengelo is het algemene aanspreekpunt voor vragen of opmerkingen over dit beleid of over het verwerken van politiegegevens.
Naast de AVG zijn er ook diverse uitvoeringsregels met betrekking tot de verwerking van persoonsgegevens vastgelegd in andere, lagere wet- en regelgeving. Bijvoorbeeld de Nederlandse Uitvoeringswet AVG. Waar in dit beleid in het algemeen wordt verwezen naar de AVG, dan wordt daarmee ook gedoeld op deze lagere wet- en regelgeving.
Ook bij de Wpg is er diverse lagere wet- en regelgeving van toepassing op de verwerking van politiegegevens. Bijvoorbeeld het Besluit politiegegevens (Bpg) en het Besluit politiegegevens buitengewoon opsporingsambtenaren. Algemene verwijzingen in dit beleid naar de Wpg gelden ook als verwijzingen naar dergelijke lagere wet- en regelgeving.
In uitgangspunt zijn het vooral de boa’s die binnen de gemeente Hengelo politiegegevens verwerken. Daarnaast kunnen op grond van de Wpg ook andere medewerkers worden geautoriseerd om toegang te krijgen tot politiegegevens en om deze te verwerken. Dit Beleid Wet politiegegevens is ook van toepassing op die andere medewerkers. In dit beleid wordt vaak gerefereerd aan boa’s, waarbij omwille de leesbaarheid niet consistent ook wordt verwezen naar andere medewerkers. Dat neemt niet weg dat waar wordt verwezen naar de boa, ook – indien van toepassing – de andere (geautoriseerde) medewerker dient te worden gelezen.