Besluit van het college van burgemeester en wethouders van de gemeente Helmond houdende regels omtrent privacy

1.1 Belang

Binnen de gemeente Helmond werken we veel met persoonsgegevens van inwoners, medewerkers en zakelijke partners. Voor het uitvoeren van de gemeentelijke wettelijke taken, verzamelen we persoonsgegevens van inwoners. Bij onze medewerkers verzamelen we de gegevens die we nodig hebben als werkgever. Tot slot gebruiken we de persoonsgegevens van contactpersonen van onze zakelijke relaties. Alle betrokkenen moeten erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met zijn of haar persoonsgegevens omgaat.

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy.

Deze beleidsnota stelt het kader en de algemene uitgangspunten voor de verwerking van persoonsgegevens bij gemeente Helmond. Daarnaast geeft de gemeente aan hoe zij concreet voorziet in passende organisatorische en technische maatregelen voor de bescherming van persoonsgegevens.

1.2 Doel

Het doel van de nota is om te waarborgen dat de gemeente de privacywetgeving naleeft zodat we persoonsgegevens in overeenstemming met de wet, behoorlijke en zorgvuldig verwerken. Bovendien is het doel om aantoonbaar `in control` te zijn op privacy gebied. Dit is een vereiste van de Algemene Verordening Gegevensbescherming (AVG).

1.3 De relatie met de gemeentelijke Missie

Mensen maken de stad en het is de taak van de gemeente om hen daarbij te faciliteren. De gemeente bedenkt niet langer van binnenuit wat goed is voor onze samenleving maar laat de samenleving aan zet en daarbij bieden we daar waar nodig ondersteuning. De klant is daarbij leidend en we benaderen vraagstukken integraal. Dit doen we door een betrouwbare partner te zijn en onze inwoners op een open en respectvolle wijze te benaderen.

Medewerkers werken in een organisatiecultuur die zich kenmerkt door samenwerking, verantwoordelijkheid, prestatiegerichtheid, innovatie en zorgvuldigheid. De werkgever geeft daarin het goede voorbeeld.

Goede bescherming van persoonsgegevens is cruciaal. Onze inwoners, medewerkers en zakelijke partners mogen er daarom op vertrouwen dat wij persoonsgegevens rechtmatig, behoorlijk en op een transparante wijze verwerken. Het college stuurt actief op privacy en beschermt de persoonsgegevens conform de AVG. Bij dilemma's gaan we het gesprek met de betrokkene(n) aan.

Jaarlijks legt het college verantwoording af over de privacy bestendigheid van de gemeentelijke bedrijfsvoering.

2.1. Inleiding

De gemeente Helmond is zich bewust van haar maatschappelijke verantwoordelijkheid die gepaard gaat met de verwerking van persoonsgegevens. Om deze reden voert gemeente Helmond actief privacy beleid en bewaakt de goede nakoming van wet- en regelgeving op het gebied van

Privacybescherming. Het privacybeleid is opgesteld in lijn met de vigerende privacy wet- en regelgeving, op dit moment de Algemene Verordening Gegevensbescherming (AVG)

2.2 De uitgangspunten

Alle medewerkers van de gemeente Helmond zijn verantwoordelijk voor het correct omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen.

De algemene uitgangspunten worden door het college vastgesteld in het gemeentelijke privacy beleid. (zie bijlage1). Voor de inwoner is het privacy beleid te raadplegen op internet. Voor alle andere partijen bevat het bindende uitgangspunten voor samenwerking. Het gemeentelijke privacybeleid is uitgewerkt in een privacy reglement. Het reglement bevat een verdieping van het beleid en laat zien hoe de gemeente met privacy en wet, omgaat. Voor de diverse werkterreinen kan het college specifiek uitvoeringsbeleid of specifieke privacy reglementen vaststellen. Denk bijvoorbeeld aan het Sociaal Domein en Veiligheid en Naleving.

De gemeente Helmond zet geheimhoudingsverklaringen en privacy protocollen in om met medewerkers afspraken te maken over hoe zij omgaan met de privacy en bewustwording te creëren.

Wij besteden aandacht aan privacy in afspraken die we maken met partijen. Gemaakte afspraken leggen we vast in samenwerkingsconvenanten en verwerkersovereenkomsten.

Zie de documentenmatrix in bijlage 2 voor een nadere toelichting op de diverse documenten.

2.3 Raakvlakken en overlap met andere beleidsthema’s

Het privacybeleid heeft raakvlakken met andere beleidsthema’s zoals architectuur, integriteit, Inkoop en aanbesteding, arbeid, organisatie en gezondheid en communicatie. Het privacybeleid loopt verder samen met het informatieveiligheidsbeleid. Waar privacybeleid vooral gaat over hoe veilig om te gaan met persoonsgegevens, stelt het informatieveiligheidsbeleid het kader voor passende technische en organisatorische maatregelen om gemeentelijke informatie te beschermen en te waarborgen.

De manier waarop we het privacybeleid binnen de gemeente verankeren, vormt het fundament van de privacy borging. Elke medewerker die omgaat met persoonsgegevens draagt namens gemeente Helmond de verantwoordelijkheid over de verwerking van die gegevens conform de beginselen vanuit de AVG. Onderstaande tabel brengt de verantwoordelijkheden in beeld aan de hand van het RASCI-model (zie onderstaande tabel). Dit beschrijft de rollen en taken van de genoemde functies. Deze paragraaf geeft aan hoe we de taken, verantwoordelijkheden en borging van het privacybeleid binnen de gemeente organiseren.

3.1 Het college van B&W en de gemeenteraad

Het college van B&W

• •

  is eindverantwoordelijk voor de naleving van privacywetgeving en voert proactief privacybeleid op basis van afweging van belangen en risico’s bij de verwerking van persoonsgegevens. In evenwicht dus: behoorlijk, zorgvuldig en in overeenstemming met de wet.

• •

  legt over de privacybeleidsvoering verantwoording af aan de raad en betracht beleidstransparantie met behulp van publieksvoorlichting.

• •

  stelt beleid vast voor de bescherming van de privacy op basis van wet- en regelgeving;

• •

  draagt zorg voor de documentatie van beleid en maatregelen zodat het op ieder moment maatschappelijk en juridisch uitleg kan geven over de deugdelijkheid van de aanpak.

• •

  houdt een register van de gegevensverwerkingen bij die onder hun verantwoordelijkheid plaatsvinden zoals bedoeld in artikel 30 AVG.

• •

  heeft de Functionaris Gegevensbescherming (FG) als toezichthouder conform hoofdstuk IV van de AVG aangewezen.

Privacy (en informatiebeveiliging) valt onder de bestuurlijke verantwoordelijkheid van de portefeuillehouder Informatiebeleid.

De Gemeenteraad

• •

  heeft een toezichthoudende rol op basis van de controlerende taak die de Gemeentewet aan hen toekent.

3.2. De directie

• a.

  De directie is ambtelijk verantwoordelijk voor kaderstelling en sturing.

• b.

  zorgt dat de privacy officer naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens;

• c.

  controleert of de getroffen maatregelen voldoende bescherming bieden om de privacy van betrokkenen te beschermen (o.a. door audits).

3.3 Management

De afdelingsmanagers en de gemeentsecretaris/algemeen directeur zijn verantwoordelijk voor de bedrijfsprocessen. De teammanagers zijn verantwoordelijk op deelprocesniveau. Tot hun verantwoordelijkheid behoort dat zij het proces zodanig inrichten dat de gemeentelijke taken uitgevoerd worden binnen de grenzen van de privacywetgeving en het beleidskader. De proceseigenaar is operationeel eindverantwoordelijke. Hij is ook verantwoordelijk voor het opstellen van specifiek uitvoeringsbeleid of specifieke privacy reglementen op hun werkterrein. Aan elk proces is één of meerdere Decentrale Security en Privacy Officers (DSPO) toegewezen. De DSPO’s ondersteunen de proceseigenaren bij het uitvoeren van de gemeentelijke taken binnen de grenzen van de privacywetgeving en het beleidskader.

3.4. Samenwerkingsvormen

In alle afspraken die we maken met andere organisaties maken we afspraken over privacy. De manager is hiervoor verantwoordelijk.

3.4.1. Verwerkers

Met organisaties die ten behoeve van ons persoonsgegevens verwerken, waarbij de gemeente Helmond het doel en de middelen van de verwerking vaststelt (zoals een software leverancier), leggen we afspraken vast in een verwerkingsovereenkomst. De gemeente Helmond maakt afspraken door al in de uitvraag bij opdrachten en aanbestedingen aan te geven aan welke randvoorwaarden de verwerking van persoonsgegevens moet voldoen. Dit doet de gemeente door afspraken te maken conform de meest recente versie van de standaardverwerkersovereenkomst van de IBD. De Service manager stuurt hier op.

Ook met partijen, die in mandaat taken namens ons uitvoeren (uitvoeringspartners), leggen wij afspraken vast in een dienstverlenings- c.q. samenwerkingsovereenkomst. Daarnaast worden afspraken over de verwerking van gegevens voor de uitvoering van onze taken vastgelegd in een verwerkersovereenkomst conform de standaardverwerkersovereenkomst van de IBD. De Service manager stuurt hier op.

Verwerkersovereenkomsten worden vastgelegd.

3.4.2. Ketenpartners

Daarnaast maken we afspraken met ketenpartners via convenanten/privacyprotocollen. Of en hoe we dat doen is afhankelijk van de positie in de informatieketen en de aard van de samenwerking. In ieder geval wordt aangegeven:

• -

  de betrokken organisaties, verantwoordelijken en relevante doelstellingen;

• -

  of er bijzondere persoonsgegevens worden verwerkt;

• -

  de wijze waarop betrokken inwoners worden geïnformeerd over het gebruik van hun persoonsgegevens;

• -

  de belangrijkste verwerkingen die binnen de samenwerking plaatsvinden;

• -

  de wijze waarop betrokkenen gebruik kunnen maken van hun rechten .

3.4.3. Openbare ruimte

In toenemende mate worden er data ingewonnen in de openbare ruimte. Dit heeft mogelijk veel invloed op de maatschappij en data-eigendom wordt steeds belangrijker. Hoewel de exacte rol van de overheid zich nog moet uitkristalliseren, mogen burgers en ondernemers verwachten dat wij duidelijkheid verschaffen over de normen en waarden die hierbij worden gehanteerd en dat daarbij de privacy wordt geborgd. Onze inwoners mogen er op vertrouwen dat we bij de ontwikkeling van onze stad naar een slimme, digitaal-dynamische samenleving steeds rekening houden met vastgestelde principes die ook recht doen aan de privacy van onze burgers.

3.5 De Functionaris Gegevensbescherming (FG)

De FG is de onafhankelijk toezichthouder op de naleving van de privacywetgeving van de gemeente Helmond conform de AVG en de Guidelines on Data Protection Officers 1 (Guidelines).

De FG voldoet aan de wettelijke kwalificaties en oefent onafhankelijk zijn taken uit. Hij is verplicht tot geheimhouding en vertrouwelijkheid.

3.5.1. De taken

De FG heeft zowel een toezichthoudende als adviserende taak. Door te adviseren en mee te denken over oplossingen bevordert de FG dat de organisatie haar verantwoordelijkheid neemt om rechtmatig persoonsgegevens te verwerken en deze gegevens te beschermen. De FG geeft zelf geen invulling aan de maatregelen in het kader van de privacywetgeving, aangezien dit haar onafhankelijkheid in gevaar zou brengen. Daarnaast bewaakt de FG de naleving van de privacyregels door onafhankelijk onderzoek te doen.

3.5.2. Ondersteuning

De organisatie ondersteunt de FG, hij krijgt voldoende middelen voor het vervullen van de taken en heeft toegang tot persoonsgegevens en verwerkingen. Management en college betrekken de FG dan ook tijdig bij verwerkingen van persoonsgegevens. Bovendien heeft de FG de bevoegdheid om ruimten te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen, conform artikel 5.2. van de Algemene Wet Bestuursrecht (AWB).

3.5.3. Onafhankelijkheid

De FG kan vrij en onafhankelijk zijn advies uitbrengen. De FG heeft een autonome rol en ontvangt geen instructies over de behandeling van een zaak, of wordt op andere wijze beïnvloed. De FG geeft geen bindend advies, maar zijn advies is wel zwaarwegend. Hem wordt de gelegenheid geboden om een (eventuele) afwijkende mening duidelijk te maken aan het college en er wordt vastgelegd waarom een advies niet wordt opgevolgd. De FG kan rechtstreeks aan het college rapporteren. Bovendien krijgt de FG geen andere taken of plichten opgelegd die kunnen leiden tot een belangenconflict.

De FG doet jaarlijks verslag van zijn werkzaamheden. De raad wordt via de planning en control cyclus geïnformeerd.

3.5.4. Toegang

We zorgen er voor dat betrokkenen (zowel binnen als buiten de organisatie) en de AP gemakkelijk, direct en vertrouwelijk contact op kunnen nemen met de FG. Daarom worden de contactgegevens van de FG bekend gemaakt.

3.6 Decentrale Security & Privacy Officer (DSPO)

De DSPO ondersteunt de afdelingsmanager bij het beheer, de coördinatie en het advies ten aanzien van de informatieveiligheid en privacy voor zijn/ haar bedrijfsproces. De DSPO is het eerste aanspreekpunt voor de afdelingsmanager, de CISO en de FG en ambassadeur voor informatieveiligheid en privacy binnen dit bedrijfsproces.

De DSPO’s zijn binnen de gemeente degenen die kaders stellen op het gebied van domein specifieke informatiebeveiliging en beveiligingsbewustzijn. De DSPO bevordert draagvlak bij het management en medewerkers. Tevens monitort de DSPO of de informatiebeveiliging conform de kaders uitgevoerd wordt. Hij is direct betrokken bij de implementatie hiervan in de lijn en kent de processen en relevante wetgeving. Hij zorgt daarmee dat de organisatie specifieke informatiebeveiliging doorvoert in haar processen, conform wet- en regelgeving.

Verder richt de DSPO zich op de uitvoer en naleving van de (domein specifieke) privacywetgeving. De DSPO stelt - wanneer nodig - een data protection impact assessment (DPIA) op en adviseert bij het gebruik van persoonsgegevens. De DSPO toetst bij gegevensaanvragen op doelbinding, rechtmatigheid, proportionaliteit en andere aspecten vanuit de AVG en aanvullende privacywetgeving. De DSPO rapporteert periodiek over de informatieveiligheid/privacy aan de afdelingsmanager, CISO en FG.

4.1 Doelstelling

Met de maatregelen beschreven in dit hoofdstuk kunnen de doelstellingen van het privacybeleid worden gehaald en de risico’s worden beperkt.

4.2 Maatregelen

Onderstaande maatregelen zijn getroffen om persoonsgegevens rechtmatig, behoorlijk en transparant te kunnen verwerken, volgens geldende wet- en regelgeving.

4.2.1 Transparantie

Betrokkene(n) krijgen vooraf duidelijke informatie via de dienstverlening (telefonisch, schriftelijk, email) over de verwerking van hun persoonsgegevens en het doel van de verwerking.

In de privacyverklaring op de website van de gemeente Helmond wordt aangegeven hoe de gemeente Helmond omgaat met de verwerking van persoonsgegevens.

4.2.2 Naleving van het informatiebeveiligingsbeleid

Naast een FG beschikt de gemeente Helmond over een gekwalificeerde coördinerende informatiebeveiliger (CISO). Zij hebben samen een strategisch informatieveiligheidsbeleid 2020-2024, een tactisch informatiebeveiligingsbeleid en een privacy- en informatiebeveiligingsplan opgesteld. Op beleidsstukken en plannen zijn maatregelen getroffen om de bescherming en veilige verwerking van persoonsgegevens te waarborgen.

4.2.3 Bewustwording en communicatie

Bewustwording is essentieel voor het borgen van privacy in de organisatie. Het is belangrijk dat iedereen die werkt met privacygevoelige informatie zich bewust is van het belang om hier zorgvuldig mee om te gaan. Doorlopend wordt er aandacht geschonken aan de bewustwording, via intranet, presentaties en opleidingsaanbod in de Helmond Academie. Daarbij is ook aandacht voor privacy-incidenten, incident management en crisiscommunicatie. Dit beleidsdocument licht in lijn met en sluit aan bij het (nog vast te stellen) communicatieplan bewustwording informatiebeveiliging en privacy Gemeente Helmond 2020-2021.

4.2.4 Verwerkingenregister

Een register houdt alle verwerkingsactiviteiten van persoonsgegevens per proces bij. Hierin worden onder andere de doeleinden van de verwerking, categorieën van betrokkene(n) en persoonsgegevens, derden ontvangers, bewaartermijn en technische en organisatorische (beveiligings)maatregelen opgenomen.

4.2.5 Het melden van datalekken

Er is een procedure voor het melden van incidenten informatieveiligheid. Deze procedure ziet ook toe op het melden van datalekken. Er wordt een register bijgehouden van gemelde incidenten.

4.2.6 Risicomanagement

Voor (nieuwe en veranderende) processen, diensten en producten en informatiesystemen wordt een risicoanalyse (RIA) uitgevoerd. Hiervoor is een handreiking risicomanagement opgesteld. Het vaststellen van risico’s leidt tot processen waarbij de informatieveiligheid is geborgd. In het geval persoonsgegevens worden verwerkt bij processen, diensten, producten en informatiesystemen, wordt naast een RIA ook een DPIA uitgevoerd. Binnen een DPIA wordt expliciet aandacht besteed aan het veilig verwerken van persoonsgegevens en de te nemen maatregelen (privacy by design).

4.2.7 Toezicht en rapportage

Vragen, klachten en het incident management toetsen steekproefsgewijs het privacybeleid. Het is belangrijk om periodiek te controleren of beleid en de dagelijkse praktijk overeenkomen.

Samen met de FG bepaalt concern control periodiek of een privacy audit wordt uitgevoerd in aanvulling op het toezicht door de FG. Dit laat onverlet dat concern control hier ook een eigen bevoegdheid heeft.

Jaarlijks legt het college verantwoording af aan de raad waar het gaat over de risico’s en beheersmaatregelen met betrekking tot het privacy-beleid.

Na vaststelling van dit beleid door het college wordt dit beleid gepubliceerd en via het lijnmanagement gecommuniceerd met medewerkers en relevante externe partijen. Verdere communicatie momenten zijn uitgewerkt in het informatiebeveiligings en privacyplan.

Het privacybeleid geldt voor een periode van 5 jaar en wordt met een frequentie van 5 jaar geëvalueerd of eerder bij belangrijke wijzigingen. De geldigheid van het privacybeleid loopt synchroon met het strategisch informatiebeveiligingsbeleid 2020 – 2024.