| Organisatie | 's-Hertogenbosch |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Algemeen Privacyreglement Wpg |
| Citeertitel | Algemeen Privacyreglement Wpg |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
N.v.t.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 20-02-2024 | Nieuwe regeling | 20-02-2024 |
Het college van Burgemeester en Wethouders,
In zijn vergadering van 20 februari 2024,
Gezien het voorstel met reg.nr. 15967067,
overwegende dat het Algemeen Privacyreglement Wet politiegegevens een uitwerking vormt van de Wet politiegegevens (Wpg);
de regels en uitgangspunten geeft voor de eerlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens wanneer de Wpg van toepassing is,
In dit reglement laat de gemeente ’s-Hertogenbosch zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy wanneer politiegegevens worden gebruikt. Hierbij is ook de nadruk met het oog op wat er wettelijk wel en niet verantwoord is. Privacy speelt een belangrijke rol in de relatie tussen de inwoner en de overheid en staat daarmee hoog op de bestuurlijke agenda. Als gemeente zijn we verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met de persoonsgegevens van inwoners. Dat geldt dus ook voor taken waarin politiegegevens worden gebruikt waarop de Wet politiegegevens (Wpg) van toepassing is. Het beschermen van privacy wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en door nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens en privacy omgaan.
De Gemeente ‘s-Hertogenbosch respecteert en beschermt de privacy en persoonsgegevens van haar inwoners. In de uitoefening van haar publiekrechtelijke taak houdt zij zich aan de wet en zoekt waar mogelijk de ruimte om de privacybelangen van zowel de inwoner als de doelstellingen van de gemeente naar beste inzicht te behartigen. Het is daarom belangrijk dat onze medewerkers privacy bewust zijn. De gemeente wil hiermee aantonen dat wij beschikken over medewerkers die bewust zijn van de risico’s bij het werken met persoonsgegevens en politiegegevens. Om privacy bewust te worden zorgt de gemeente voor kennissessies en workshops op het gebied van privacy en het omgaan met persoonsgegevens. Ook volgt iedere medewerker periodiek een e-learning waarmee naast kennisoverdracht ook de aanwezige privacy kennis wordt gemeten. Ook stelt de gemeente diverse handleidingen, factsheets en overige materialen ter beschikking om de medewerker handvatten te bieden bij het verwerken van de persoonsgegevens en politiegegevens waarmee zij werken.
In dit reglement wordt verstaan onder:
Verwerken van politiegegevens: elke handeling of elk geheel van handelingen met betrekking tot politiegegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, vergelijken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van politiegegevens;
Artikel 3: Het aanwijzen van de buitengewoon opsporingsambtenaar
De gemeente 's-Hertogenbosch wijst de buitengewoon opsporingsambtenaar aan, indien de buitengewoon opsporingsambtenaar in het bezit is van een:
De buitengewoon opsporingsambtenaar voldoet aan de her- en bijscholingsplicht. De gemeente 's-Hertogenbosch organiseert ten aanzien van politiegegevens bewustwordingsactiviteiten dan wel cursussen over de omgang met politiegegevens, die door de buitengewoon opsporingsambtenaar jaarlijks verplicht worden bijgewoond.
Artikel 4: Het verlenen, wijzigen en beëindigen van de toegang tot politiegegevens
De gemeente stelt ten aanzien van het verlenen, wijzigen- en beëindigen van toegang tot politiegegevens een autorisatiebeleid vast. De gemeente verleent aan de buitengewoon opsporingsambtenaar conform het vastgestelde autorisatiebeleid een autorisatie tot politiegegevens, indien de toegang tot politiegegevens noodzakelijk is voor het uitvoeren van de aan de buitengewoon opsporingsambtenaar opgedragen opsporingstaak.
Buitengewoon opsporingsambtenaren worden aangewezen ten aanzien van politiegegevens op de plicht tot geheimhouding en de consequenties bij de schending van deze plicht. Als de buitengewoon opsporingsambtenaar van functie verandert dan wel uit dienst gaat, wordt de autorisatie conform het autorisatiebeleid gewijzigd of beëindigd.
Artikel 5: De plicht tot loggen
De gemeente controleert en evalueert periodiek de toegekende autorisaties van de buitengewoon opsporingsambtenaar met als doel om de integriteit en de rechtmatigheid van de toegang tot politiegegevens te waarborgen. De logginggegevens worden uitsluitend gebruikt voor de controle van de rechtmatigheid van de gegevensverwerking, ter ondersteuning van de verplichte audits en ter waarborging van de integriteit en de rechtmatigheid van de toegang tot politiegegevens.
Het resultaat van de periodieke controle wordt vastgelegd in een verslag van bevindingen, welke wordt gearchiveerd binnen het daartoe bestemde en beveiligde zaaksysteem. De logginggegevens alsmede het resultaat van de periodieke controle voor een periode van vijf jaar.
Een verwerker heeft ten aanzien van de periodieke controle de plicht om de toegang tot politiegegevens te loggen. Ook verstrekt de verwerker op verzoek van de gemeente de logginggegevens zodat deze conform het autorisatiebeleid periodiek gecontroleerd kunnen worden.
Artikel 6: Het verwerken van politiegegevens
De gemeente voorziet in werkinstructies per boa-domein, die de buitengewoon opsporingsambtenaar bij de uitvoering van de opsporingstaak in acht neemt. De buitengewoon opsporingsambtenaar verwerkt politiegegevens ten behoeve van de uitvoering van de politietaak als bedoeld in artikel 8 van de Wet politiegegevens.
De buitengewoon opsporingsambtenaar verwerkt geen politiegegevens, indien het gegevens betreft die niet noodzakelijk zijn voor de uitvoering van de aan hem of haar opgedragen opsporingstaak. De buitengewoon opsporingsambtenaar maakt bij het verwerken van politiegegevens onderscheid tussen:
de verschillende categorieën van betrokkenen zoals genoemd in artikel 6b van de Wet politiegegevens;
gegevens die gebaseerd zijn op feiten en een persoonlijk oordeel zoals genoemd in artikel 4 van de Wet politiegegevens.
De buitengewoon opsporingsambtenaar neemt geen besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking zoals bedoeld in artikel 7a van de Wet politiegegevens, met inbegrip van profilering, dat voor de betrokkene nadelige rechtsgevolgen heeft of hem of haar in aanmerkelijke mate treft.
De verwerker dient ervoor te zorgen dat het onderscheid a en b in de applicatie, waartoe de buitengewoon opsporingsambtenaar toegang heeft, mogelijk wordt gemaakt.
Artikel 7: De termijnen van politiegegevens
De gemeente voorziet in voldoende waarborgen om te bewerkstelligen dat de politiegegevens conform de wet niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de buitengewoon opsporingsambtenaar opgedragen opsporingstaak. De politiegegevens voor de uitvoering van de opsporingstaak zoals bedoeld in artikel 8 van de Wet politiegegevens:
De verwerker zorgt ervoor dat de bewaartermijn conform de wet en dit artikel geconfigureerd zijn, zodat gewaarborgd is dat de politiegegevens niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de opsporingstaak.
Artikel 8: Het ter beschikking stellen en verstrekken van politiegegevens
De gemeente stelt de politiegegevens conform de wet ter beschikking op basis van het ‘Free flow of information’ principe, indien het ter beschikking stellen van politiegegevens noodzakelijk is voor de uitoefening van de taken binnen het Wpg-domein. De politiegegevens mogen verstrekt worden zoals beschreven in de verstrekkingenwijzer aan partijen buiten het Wpg-domein. Daarbij wijst de gemeente 's-Hertogenbosch de ontvangende partij op de plicht tot geheimhouding die op de verstrekte gegevens van toepassing is. De gemeente 's-Hertogenbosch legt de verstrekking vast.
De gemeente en de verwerker zorgen voor de technische mogelijkheden om de politiegegevens via een beveiligde wijze te verstrekken aan de ontvangende partij. De verwerker heeft de plicht om binnen de gebruikte applicaties, technische mogelijkheden te creëren, waarmee verstrekkingen kunnen worden vastgelegd. Ook zorgt de verwerker ervoor dat de geautomatiseerde verstrekkingen, zoals bijvoorbeeld aan het Centraal Justitieel Incassobureau, conform de wet plaatsvinden en worden gedocumenteerd.
De gemeente verstrekt geen politiegegevens aan ontvangers in derde landen of internationale organisaties.
Artikel 9: De rechten van de betrokkenen
De gemeente draagt zorg voor het informeren van de betrokkenen over de verwerking van politiegegevens. Dit vindt plaats conform paragraaf 4 van de Wet politiegegevens. Daarbij heeft de gemeente 's-Hertogenbosch de plicht tot:
De gemeente heeft een procedure voor de behandeling van verzoeken van betrokkenen, bestaande uit:
Artikel 10: Het behandelen van datalekken
De gemeente heeft een procedure voor het melden van een (vermoedelijke) inbreuk op de beveiliging op politiegegevens, waaronder voor het melden van datalekken. Deze worden bijgehouden in een register van gemelde datalekken.
Artikel 11: Het register van verwerkingen
De gemeente houdt een register van verwerkingen bij, waarin per verwerking minimaal de volgende informatie voorkomt:
De gemeente actualiseert jaarlijks het register van verwerkingen.
Artikel 12. Het uitvoeren van een audit
De gemeente laat conform de wet, eenmaal in de vier jaren een externe audit uitvoeren. Ter voorbereiding hierop wordt jaarlijks een interne audit uitgevoerd via een auditplan. Indien uit de resultaten van de externe audit blijkt dat de verwerking van de politiegegevens op onderdelen niet voldoet aan de wettelijke normen, dient de gemeente 's-Hertogenbosch binnen een jaar zorg te dragen voor deze tekortkomingen, met als doel dat deze worden verholpen. Daarnaast voert de gemeente 's-Hertogenbosch binnen één jaar een hercontrole uit, binnen de onderdelen waarvan het resultaat onvoldoende bleek te zijn. De gemeente 's-Hertogenbosch zendt een afschrift van de controleresultaten van de audit aan de Autoriteit Persoonsgegevens.
De betrokken verwerkers dienen ten behoeve van de audit een Third Party Memorandum verklaring te overleggen die conform de ‘Nederlandse Orde van EDP Auditors handreiking’ wordt uitgevoerd, zodat deze verklaring betrokken kan worden bij de beoordeling van de audit. Als blijkt dat de beheersmaatregelen ten aanzien van de gebruikte applicatie(s) niet voldoen aan de wettelijke normen, dan draagt de verwerker verantwoordelijkheid voor het verhelpen van de tekortkomingen binnen een periode van één jaar.
Artikel 13. De functionaris voor de gegevensbescherming
De gemeente heeft een Functionaris voor de Gegevensbescherming (FG) aangesteld ten behoeve van de controle en het toezicht op het verwerken van politiegegevens conform de wet en het beleid van de gemeente 's-Hertogenbosch. De FG is dus de privacyfunctionaris zoals bedoeld in de Wpg. De FG voert daarbij periodiek controles uit op het naleven van de wettelijke verplichtingen, waaronder de controle op:
De FG stelt periodiek rapportages op en rapporteert zo nodig rechtstreeks aan de gemeente 's-Hertogenbosch.
Artikel 14: De verplichtingen van de gemeente 's-Hertogenbosch
De gemeente draagt zorg dat de procesinrichting voor de verwerking van politiegegevens in opzet, bestaan en dat de werking voldoet zoals genoemd in de wet, zodat hierop door de auditor en de functionaris gegevensbescherming toezicht kan worden gehouden. De gemeente treft daarbij conform de wet passende technische- en organisatorische maatregelen om ongeoorloofde of onrechtmatige verwerkingen, verlies, vernietiging of beschadiging van politiegegevens tegen te gaan, met als doel om de rechtmatigheid en beveiliging van politiegegevens te waarborgen.
Als er sprake is van een hoog risico op de rechten en vrijheden van betrokkenen, dan voert de gemeente 's-Hertogenbosch conform artikel 4c van de Wet politiegegevens een risicoanalyse, zoals een Data protection impact assessment (DPIA), uit. Ook moet de gemeente voldoen aan de documentatieplicht zoals genoemd in de wet.
De gemeente 's-Hertogenbosch maakt uitsluitend gebruik van een verwerker, indien de verwerker afdoende garandeert dat de passende technische- en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat voldaan wordt aan het bij of krachtens de wet bepaalde (Artikel 6c, 4a en 4b van de Wet politiegegevens). De verwerker verstrekt op verzoek van de gemeente 's-Hertogenbosch alle informatie die nodig is om de nakoming van de verplichtingen uit artikel 6, 32 en 32a van de Wet politiegegevens aan te tonen. De gemeente 's-Hertogenbosch legt de verplichtingen vast in een schriftelijke overeenkomst, welke door beide partijen wordt ondertekend.
Artikel 15: Wijziging en aanvullingen
Wijzigingen van of aanvullingen op het Algemeen Privacyreglement Wpg Gemeente ’s-Hertogenbosch worden ter goedkeuring en vaststelling voorgelegd aan het College van Burgemeester en Wethouders.
De verschillende sectoren van de Gemeente ‘s-Hertogenbosch kunnen aanvullende Wpg reglementen of overige regelingen dan wel uitvoeringsregels opstellen, waarmee invulling wordt gegeven aan het algemeen beleid en de kaders zoals vastgelegd door de Gemeente ’s-Hertogenbosch. De goedkeuring en vaststelling van sectorale aanvullingen geschiedt door het Algemeen Management Team.