Verordening van de gemeenteraad van de gemeente Harderwijk houdende regels omtrent privacy Privacy verordening Harderwijk 2018

1. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

2. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

3. Persoonsgegevens worden slechts verwerkt indien daarvoor op grond van artikel 6 van de wet een rechtmatige grondslag aanwezig is.

4. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

5. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

6. Persoonsgegevens worden slechts verwerkt voor zover zij toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

7. De verwerking van persoonsgegevens waaruit ras of etnische afkomst , politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden behoudens het bepaalde in de wet. Hetzelfde geldt voor strafrechtelijke gegevens of daarmee verband houdende veiligheidsmaatregelen.

1. De verantwoordelijke zorgt voor een passende beveiliging van persoonsgegevens door middel van het hebben, onderhouden en naleven van een gemeentebreed informatiebeveiligingsbeleid conform de BIG. Deze maatregelen garanderen een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich mee brengen. De verantwoordelijke ziet toe op de naleving van die maatregelen.

2. In het informatiebeveiligingsbeleid is vastgelegd:

• a.

  wie bestuurlijk en op directieniveau eindverantwoordelijk is voor gemeentebrede informatiebeveiliging, waaronder de beveiliging van persoonsgegevens;

• b.

  dat een functioneel overleg (zoals opgenomen in paragraaf 2.3 Informatiebeveiligingsbeleid gemeente Harderwijk) verantwoordelijk is voor advisering over gemeentebrede informatiebeveiliging;

• c.

  hoe de informatiebeveiligingsorganisatie verder is ingevuld;

• d.

  hoe de planning en control van de gemeentebrede informatiebeveiliging is geregeld.

3. De FG maakt onderdeel uit van de onder lid 2b. genoemde functioneel overleg.

4. De verwerking door een verwerker wordt geregeld in een schriftelijke overeenkomst of een andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt.

1. Het college van burgemeester en wethouders benoemt een FG die belast is met het toezicht op het privacy- en informatiebeveiligingsbeleid van de gemeente. Tot de taken van de FG behoren op grond van artikel 39 AVG:

• a.

  de verantwoordelijke informeren en adviseren over hun verplichtingen uit hoofde van de wet;

• b.

  toezien op de naleving van privacywetgeving en van het privacybeleid;

• c.

  desgevraagd adviseren over de PIA en toezien op de uitvoering daarvan;

• d.

  Samenwerken met de AP

• e.

  optreden als contactpunt voor de AP

2. Aanvullende taken van de FG in het kader van deze verordening:

• a.

  aanspreekpunt voor alle zaken de bescherming van de persoonlijke levenssfeer betreffende;

• b.

  toezien op het onderhouden en aanvullen van het register met alle verwerkingen die binnen de te onderscheiden domeinen zijn geïnventariseerd.

1. Elk domein heeft een contactpersoon die belast is met de coördinatie en uitvoering van het privacy- en informatiebeveiligingsbeleid van het betreffende organisatieonderdeel.

2. Tot de taken van de contactpersoon behoren in ieder geval:

• a.

  Het onderhouden en aanvullen van de lijst met alle verwerkingen die binnen het organisatieonderdeel zijn geïnventariseerd.

• b.

  Het beoordelen van nieuwe of aangepaste verwerkingen in het licht van een PIA en andere verplichtingen.

• c.

  Het opstellen van en het houden van toezicht op het gebruik van privacyprotocollen voor verwerkingen die onder verantwoordelijkheid van het domein plaatsvinden.

• d.

  De informatiebeveiliging van het organisatieonderdeel.

  Hieronder vallen in ieder geval:

  • i.

    Informatiebeveiligingsbeleid opnemen en doorvoeren in contracten met bewerkers en leveranciers;

  • ii.

    In overleg met de CISO verrichten van handelingen aangaande de meldplicht datalekken die het organisatieonderdeel aangaan.

1. De verantwoordelijke houdt een register van verwerkingen van persoonsgegevens bij, waarop deze verordening van toepassing is.

2. Bij die inschrijving worden in ieder geval de volgende gegevens vermeld:

• a.

  de naam en contactgegevens van de verwerkingsverantwoordelijke en indien van toepassing, de gezamenlijke verwerkingsverantwoordelijke;

• b.

  de doelen van de verwerking;

• c.

  een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

• d.

  een beschrijving van de ontvangers van de persoonsgegevens;

• e.

  een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

• f.

  de termijnen waarin de verschillende persoonsgegevens moeten worden gewist;

• g.

  een algemene beschrijving van de beveiligingsmaatregelen.

3. Het college van burgemeester en wethouders besluit tot doorhaling van een verwerking in het register van verwerkingen indien de verwerking wordt opgeheven.

1. Voordat een beslissing wordt genomen over nieuwe of wijzigingen van bestaande verwerkingen als bedoeld in artikel 35 van de AVG, wordt door middel van een Gegevensbeschermingseffectbeoordeling (of Privacy Impact Assessment, hierna PIA) aangetoond dat de privacy voldoende is gewaarborgd en worden de al dan niet te nemen maatregelen gemotiveerd.

2. De FG geeft over de PIA een advies aan de verantwoordelijke.

1. De gemeente kan hergebruik van gegevens, zoals bedoeld in de Wet hergebruik van overheidsgegevens, aanbieden met inachtneming van de AVG en deze verordening.

2. Een openbare dataset bevat geen gegevens die herleidbaar zijn naar een persoon.

3. Van open datasets wordt de status (beschikbaar, in onderzoek, niet beschikbaar, gepland) van de dataset voor de afnemer weergegeven op de site waarop de open datasets zijn te verkrijgen.

1. Gegevens in big data mogen alleen worden verzameld, opgeslagen en gedeeld, als ze niet herleidbaar zijn tot een persoon en worden alleen verzameld voor onderzoek dat door of namens gemeente wordt uitgevoerd.

2. Voor big data wordt uitsluitend gebruik gemaakt van brongegevens die door daartoe geautoriseerde personen zijn verzameld.

3. Brongegevens die gebruikt worden voor big data toepassingen worden omgezet tot een dataset die geen persoonsgegevens bevat en dus geanonimiseerd is.

4. Indien het noodzakelijk is om van lid 3 af te wijken wordt vooraf toestemming aangevraagd bij de functionaris gegevensbescherming die de aanvraag zal beoordelen in het kader van de wet en doelmatigheid. Alleen bij een goedgekeurde aanvraag mogen de gegevens gepseudonimiseerd in plaats van geanonimiseerd worden.

5. Onderzoek aan de hand van de dataset als bedoeld in lid 3, mag alleen door anderen dan de in lid 2 bedoelde geautoriseerde personen worden uitgevoerd.

6. Tracking wordt door de gemeente niet toegepast.

1. Cameratoezicht in de openbare ruimte of waarbij de openbare ruimte geheel of gedeeltelijk in beeld wordt gebracht ten behoeve van de openbare orde of veiligheid vindt alleen door of namens de gemeente plaats, na een daartoe strekkend besluit van de burgemeester.

2. Bij inzet van camera’s voor andere gemeentelijke doeleinden adviseert de FG voorafgaand aan deze inzet.

1. Geconstateerde datalekken worden terstond gemeld bij de CISO.

2. De domeindirecteur is verantwoordelijk voor het dichten van het datalek in samenwerking met de CISO.

3. De domeindirecteur beoordeelt of het datalek meldingswaardig is, als bedoeld in de Wet en laat zich daarbij adviseren door de FG.

4. De FG meldt een meldingswaardig datalek direct aan de Autoriteit Persoonsgegevens.

5. De domeindirecteur is verantwoordelijk voor de onverwijlde melding naar betrokkene(n) wiens persoonsgegevens zijn gelekt.

1. De CISO houdt namens de verantwoordelijke een logboek bij waarin beveiligingsincidenten zijn opgenomen.

2. Indien het beveiligingsincident persoonsgegevens betreft wordt in ieder geval in het logboek vermeld:

• a.

  Het onderwerp van het datalek.

• b.

  De datum van het datalek;

• c.

  De duur van het datalek;

• d.

  De aard van de inbreuk;

• e.

  Waar meer informatie over de inbreuk kan worden verkregen;

• f.

  De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk gevolgen te beperken.

• g.

  Een beschrijving van de gevolgen voor de verwerkte persoonsgegevens;

• h.

  De maatregelen die de gemeente heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen en in de toekomst te voorkomen;

• i.

  De kennisgeving aan betrokkenen.

1. Voor de uitoefening van zijn toezichthoudende functie beschikt de FG over alle bevoegdheden die daarvoor redelijkerwijs noodzakelijk zijn.

2. De personen die bij een verwerking van persoonsgegevens zijn betrokken verstrekken desgevraagd de FG alle inlichtingen en verlenen alle overige medewerking die hij voor de uitoefening van zijn taak behoeft.

3. De FG heeft toegang tot alle ruimten, waar een verwerking van persoonsgegevens plaatsvindt. De FG is bevoegd apparatuur, programmatuur, gegevensbestanden, boeken en bescheiden te onderzoeken en zich de werking van apparatuur en programmatuur te doen tonen.

4. De FG rapporteert over zijn bevindingen aan het college van burgemeester en wethouders. Hij geeft aanbevelingen over te nemen maatregelen, die een goede werking van de verwerking van persoonsgegevens moeten helpen waarborgen.