Privacybeleid Provincie Limburg 2018

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Hoewel de inhoudelijke wijzigingen ten opzichte van zijn voorganger (de Wet bescherming persoonsgegevens) op één hand te tellen zijn, staat de AVG te boek als een aanscherping van de privacywetgeving. Deze aanscherping zit hem met name in alles wat de gegevensverwerkende organisatie moet doen om ervoor te zorgen dat zij het naleven van de AVG structureel waarborgt, en daarover ook rekenschap kan afleggen.

Anders dan vaak wordt gedacht, bevat de AVG niet voor elk privacyvraagstuk een pasklaar antwoord. De wet bevat normen, die samen een afwegingskader geven. Aan de hand van dat wettelijke afwegingskader moet de Provincie Limburg beoordelen of een bepaalde verwerking van persoonsgegevens is toegestaan, en zo ja, onder welke voorwaarden. Daarnaast gaat het bij bescherming van persoonsgegevens (en informatiebeveiliging) altijd om een kosten-baten afweging en zit in elk proces en in elke ketensamenwerking wel een zwakke schakel. 100% Veiligheid is dan ook een utopie. De Provincie Limburg streeft een adequaat niveau van privacy- en informatiebeveiliging na waarbij, voor het reduceren van risico’s, afwegingen worden gemaakt om de juiste balans te vinden tussen kostenefficiëntie en –effectiviteit, wetgeving, de taakstelling van de organisatie, een praktische manier van werken en de persoonlijke levenssfeer van betrokkenen. De implementatie van de AVG zien wij als een zoektocht naar de juiste balans tussen deze belangen.

Ook binnen de Provincie Limburg wordt met persoonsgegevens gewerkt (bijvoorbeeld van burgers en medewerkers). Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van wettelijke provinciale taken, autonome taken of vanwege een andere legitieme noodzaak die verband houdt met de kwaliteit en continuïteit van de Provinciale bedrijfsvoering. Tegelijkertijd gaat ook de Provincie Limburg mee met nieuwe ontwikkelingen. Nieuwe technologieën, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. We zijn ons hier bewust van en streven ernaar dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie en transparantie. De burger moet erop kunnen vertrouwen dat de Provincie Limburg zorgvuldig en veilig met persoonsgegevens omgaat.

De Provincie Limburg geeft via dit beleid een duidelijke richting aan privacy en laat zien hoe zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de Provincie Limburg.

Iedereen heeft recht op bescherming van zijn persoonlijke levenssfeer. Dit recht is geborgd in de Grondwet en is een groot goed. Het juridische kader voor de omgang met persoonsgegevens in Nederland staat in de Algemene Verordening Gegevensbescherming (AVG), de Uitvoeringswet AVG en diverse andere wetten (bijvoorbeeld de Wet politiegegevens, de Kieswet en de Archiefwet). Bij de omgang met persoonsgegevens hanteert en toetst de Provincie Limburg met name de regels uit de AVG. Sectorspecifieke privacywetgeving die van toepassing is op de verwerking van persoonsgegevens door de Provincie Limburg wordt in een separaat register opgenomen.

De volgende begrippen worden in de AVG (Artikel 4, AVG) gebruikt en zijn van belang voor een goed begrip van deze Europese verordening en onderhavig beleid:

• -

  Persoonsgegevens: Alle gegevens die gaan over natuurlijke personen en waaraan je een persoon als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaalde persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast “gewone” persoonsgegevens kent de AVG ook “bijzondere” persoonsgegevens. Dit zijn gegevens die door hun aard bijzonder gevoelig zijn, zoals etnische achtergrond, gezondheid, politieke voorkeuren of genetische en biometrische gegevens.

• -

  Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander en vernietigen.

• -

  Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

• -

  Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.

• -

  Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

• -

  Gegevensbeschermingseffectbeoordeling/DPIA: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit wordt ook wel data protection impact assessment (DPIA) genoemd.

3.1 Centrale verantwoordelijkheid

Het college van Gedeputeerde Staten (Gedeputeerde Staten) is eindverantwoordelijk voor de naleving van privacywetgeving. Gedeputeerde Staten leggen over de uitvoering van het privacybeleid verantwoording af aan Provinciale Staten en betrachten beleidstransparantie met behulp van publieksvoorlichting. Als verantwoordelijk gezag stelt het college privacybeleid op, draagt het dit uit en wijst het taken, verantwoordelijkheden en bevoegdheden toe.

3.2 Rollen (functies) rondom privacy en informatiebeveiliging

3.2.1. De secretaris/algemeen directeur

De secretaris/algemeen directeur is verantwoordelijk voor de kaderstelling en sturing op de uitvoering van het privacybeleid. Minimaal één keer per jaar evalueert hij/zij, samen met de Functionaris voor gegevensbescherming (FG) de naleving van privacyregelgeving en onderhavig beleid. Daarnaast zorgt hij/zij ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

3.2.2. Het management

De clustermanagers zijn op uitvoeringsniveau verantwoordelijk voor een privacybestendige bedrijfsvoering en gegevensuitwisseling met derden. Uiteraard voor zover passend binnen hun mandaat en de door Gedeputeerde Staten vastgestelde beleidskaders. Zij leggen hierover via de directie verantwoording af aan Gedeputeerde Staten. Daarnaast kan het voorkomen dat ook een directeur of programma-/projectmanager op uitvoeringsniveau verantwoordelijk is voor een proces waarin persoonsgegevens worden verwerkt.

3.2.3. Het privacy- en informatiebeveiligingsteam (PIT)

Privacybescherming vergt kennis op het gebied van gegevensmanagement en IT, juridische kennis van wet- en regelgeving, auditexpertise voor de DPIA’s, kennis van informatiebeveiliging en van werkprocessen en systemen. Binnen de Provincie Limburg is een team actief waarin deze expertise voorhanden is. Dit team heet ‘het privacy- en informatiebeveiligingsteam’, kortweg: PIT. Het PIT ondersteunt de clusterambassadeurs privacy, de clustermanagers, de directie en Gedeputeerde Staten bij de uitvoering van het privacybeleid. Dit team bestaat tenminste uit de Privacy coördinator (jurist van het cluster Juridische Zaken en Inkoop (JZI)), de Information Security Officer (sr. Adviseur Organisatie en Informatie van het cluster Organisatie en Informatie) en de FG (als adviseur). Dit team adviseert de directie eveneens bij datalekken.

Concreet heeft het team de volgende taken:

• -

  advisering over uitvoering en actualisatie provinciaal privacybeleid;

• -

  signaleren van privacyrisico’s;

• -

  ondersteuning management en bestuur bij privacyvraagstukken;

• -

  implementeren (nieuwe) privacywetgeving;

• -

  doen van aanbevelingen op het gebied van privacy en informatiebeveiliging;

• -

  vertaling adviezen en bevindingen FG in concrete actiepunten.

3.2.4. De clusterambassadeurs privacy

Elke clustermanager wijst een medewerker aan die binnen zijn cluster fungeert als privacy-ambassadeur. Deze ambassadeur is eerste aanspreekpunt voor het PIT bij de implementatie van (nieuwe) maatregelen op het terrein van privacy en heeft verder de volgende taken en verantwoordelijkheden:

• -

  het leveren van een bijdrage aan het bewustwordingsproces rondom privacy en informatiebeveiliging binnen zijn cluster;

• -

  het doorgeven van nieuwe verwerkingen en wijzigingen in verwerkingen van persoonsgegevens aan de Privacy coördinator (binnen het cluster Juridische Zaken en Inkoop) voor opname in respectievelijk wijziging van het register van verwerkingsactiviteiten.

Het PIT geeft de clusterambassadeurs privacy periodiek voorlichting over nieuwe ontwikkelingen op het gebied van privacy en informatiebeveiliging.

3.2.5. De Functionaris voor gegevensbescherming (FG)

De Provincie Limburg heeft een FG aangesteld. Deze functionaris is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en het provinciale beleid op het gebied van privacy.

Concreet heeft de FG de volgende taken:

• -

  informeren en adviseren van de verwerkingsverantwoordelijken en hun medewerkers over hun verplichtingen uit de AVG en andere relevante privacywetgeving;

• -

  toezien op de naleving van de AVG, andere relevante privacywetgeving en het provinciale privacybeleid, waaronder bewustmaking en voorlichting van betrokken medewerkers;

• -

  adviseren over DPIA’s en toezien op de uitvoering daarvan;

• -

  samenwerken met toezichthoudende autoriteiten (zoals de Autoriteit Persoonsgegevens) en optreden als provinciaal contactpunt voor toezichthoudende autoriteiten;

• -

  helpen privacyklachten tot een goed einde te brengen (ombudsfunctie);

• -

  bij privacyincidenten adviseren over ernst en omvang;

• -

  toezien op het register van verwerkingsactiviteiten;

• -

  advieslid van het provinciale team privacy en informatiebeveiliging (PIT).

De FG krijgt de nodige ruimte voor professionele uitvoering van zijn taken. Conform artikel 38 AVG:

• -

  zorgen Gedeputeerde Staten en clustermanagers en project-/programmamanagers ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens;

• -

  wordt de FG bij de vervulling van zijn taken ondersteund door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken;

• -

  wordt de FG niet geïnstrueerd over invulling van taken of gestraft of ontslagen voor de uitvoering van zijn taken;

• -

  is de zienswijze van de FG zwaarwegend bij de naleving van privacywetgeving door de Provincie Limburg.

Periodiek (minimaal halfjaarlijks) brengt de FG verslag uit van zijn/haar werkzaamheden aan de secretaris/Algemeen directeur.

Schematische weergave taken en verantwoordelijkheden op terrein van privacy

4.1 Algemeen

In dit hoofdstuk staan de uitgangspunten en maatregelen centraal die de Provincie Limburg hanteert bij de verwerking van persoonsgegevens. Zoals eerder aangegeven wordt bij het bepalen van een passende maatregel o.a. rekening gehouden met de soort verwerking (de aard, omvang, context, het doel) en de risico’s voor betrokkenen (hoe groot is de kans dat die zich ook daadwerkelijk een schending van de privacy van betrokkene(n) voordoet en als dat onverhoopt mocht gebeuren, hoeveel hinder en schade heeft dit dan voor hem/haar).

De Provincie Limburg hanteert voor het op de juiste manier waarborgen van privacy de Privacy Baseline van het Centrum Informatiebeveiliging en Privacybescherming. In deze Privacy Baseline zijn de eisen van de AVG vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten doen om in overeenstemming met de wet de privacy van de betrokkenen te waarborgen.

4.2 Doeleinden

Volgens de AVG mogen persoonsgegevens alleen verwerkt worden als daarvoor een doel is vastgesteld. Het doel moet per individuele verwerking uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden, tenzij er sprake is van een verenigbaar doel. Voor de uitvoering van diverse provinciale taken zijn de doelen voor het verwerken in een wet vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden. Op het moment dat een verwerking wordt opgenomen in het register zoals genoemd onder punt 4.10, wordt het doel van de verwerking in het register vermeld.

4.3 Grondslag

Verwerking van persoonsgegevens mag alleen, indien dit gebaseerd is op een van de zes grondslagen uit de AVG (artikel 6), te weten:

• -

  om een verplichting na te komen die in de wet staat;

• -

  voor de uitvoering van een overeenkomst waar de betrokkene onderdeel van is;

• -

  om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;

• -

  voor de goede vervulling van de provinciale/publieke taak;

• -

  wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens;

• -

  de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen (geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken).

De grondslag dient te worden vastgelegd in het register van verwerkingsactiviteiten.

4.4 Dataminimalisatie

Bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt (artikel 5 onder c AVG): er worden zo min mogelijk persoonsgegevens verwerkt, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt.

4.5 Bewaartermijnen

Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk voor de dienstverlening of wettelijke verplichting.

Er is op grond van de AVG geen concrete bewaartermijn voor persoonsgegevens. Persoonsgegevens mogen echter alleen bewaard worden als identificeerbare gegevens, voor zolang het nodig is voor de doeleinden waarvoor ze verzameld zijn. Bij de bepaling van de bewaartermijn is het dus zaak om na te gaan hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld in de archiefwet en de belastingwetgeving.

4.6 Data-integriteit

De AVG eist dat maatregelen worden getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn. Indien nodig worden persoonsgegevens geactualiseerd. De AVG geeft in dit kader aan dat alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

4.7 Beveiliging

Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. Slechte beveiliging kan bijvoorbeeld leiden tot een datalek, verandering van en ontoegankelijkheid van persoonsgegevens.

Op grond van de AVG moeten bedrijven en overheden dan ook passende technische en organisatorische maatregelen nemen. Er moet dus niet alleen naar de techniek worden gekeken, maar ook naar hoe de Provincie Limburg als organisatie met persoonsgegevens omgaat. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

4.8 Transparantie

4.8.1. Informatieplicht

In de AVG is expliciet opgenomen dat persoonsgegevens verwerkt moeten worden op een manier die transparant is voor de betrokkene. Voor een natuurlijke persoon moet transparant zijn of en in hoeverre zijn persoonsgegevens (zullen) worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt: het transparantiebeginsel (artikel 5, eerste lid onder a AVG). Dit betekent dat een betrokkene onder andere op de hoogte moet worden gesteld van verwerking van zijn persoonsgegevens en de doeleinden hiervan. Deze actieve informatieplicht is vastgelegd in artikel 13, eerste lid en 14, eerste lid AVG. Communicatie met betrokkene dient bovendien plaats te vinden in begrijpelijke, beknopte en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (artikel 12, eerste lid AVG).

De Provincie Limburg informeert betrokkene actief over het verwerken van zijn/haar persoonsgegevens. Wanneer betrokkenen gegevens aan de Provincie Limburg verstrekken, worden zij op dat moment (bijvoorbeeld via het aanvraagformulier) op de hoogte gesteld van de manier waarop de Provincie Limburg met hun persoonsgegevens om zal gaan. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de Provincie Limburg persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene binnen een redelijke termijn geïnformeerd: altijd direct de eerste keer dat met hem wordt gecommuniceerd en uiterlijk binnen een maand. Deze plicht is niet van toepassing als betrokkene die informatie al heeft, het onmogelijk of ondoenlijk is om de informatie te verstrekken, de verwerking wettelijk verplicht is of daarmee de doeleinden van de verwerking ernstig in het gedrang komen.

4.8.2. Rechten van betrokkenen

De AVG bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel ‘de rechten van betrokkenen’ genoemd, en bestaan uit:

• -

  Recht op informatie: Betrokkenen hebben het recht om aan de Provincie Limburg te vragen of zijn/haar persoonsgegevens worden verwerkt.

• -

  Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.

• -

  Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de Provincie Limburg om dit te corrigeren.

• -

  Recht van verzet: Betrokkenen hebben het recht aan de Provincie Limburg te vragen om hun persoonsgegevens niet meer te gebruiken.

• -

  Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

• -

  Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens.

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via een webformulier ingediend worden. De Provincie Limburg heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de Provincie Limburg laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd kan betrokkene bezwaar (ex artikel 7.1 Awb) maken bij de Provincie Limburg, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

4.9 Geautomatiseerde verwerkingen

4.9.1. Profilering

Wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen, spreken we van profilering. Voorbeelden van persoonlijke aspecten kunnen zijn: financiële situatie, interesses, gedrag of locatie.

4.9.2. Inzet van camera’s

Ter vergroting van de veiligheid (bescherming medewerkers en bezoekers, tegengaan van diefstal en beschadiging eigendommen) wordt in en rondom het Provinciehuis gebruik gemaakt van cameratoezicht. De camerabeelden worden alleen voor dat doeleinde gebruikt. Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd wordt. Om de privacy zo goed mogelijk te waarborgen zal de Provincie Limburg op duidelijke wijze (o.a. in het reglement voor bezoekers en via bebording) kenbaar maken dat er sprake is van cameratoezicht.

4.10 Register van verwerkingsactiviteiten

De Provincie Limburg is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de Provincie Limburg de verwerkingsverantwoordelijke of verwerker is, het zogenaamde register van verwerkingsactiviteiten. Dit register bevat:

• -

  de naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;

• -

  de doelen van de verwerking;

• -

  een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

• -

  een beschrijving van de ontvangers van de persoonsgegevens;

• -

  een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

• -

  de bewaartermijnen;

• -

  een algemene beschrijving van de beveiligingsmaatregelen.

De Privacy coördinator binnen het cluster Juridische Zaken en Inkoop beheert het register. De clusters, programma’s en projecten dienen nieuwe verwerkingen - voor opname in het register - en wijzigingen in bestaande verwerkingen tijdig aan te leveren bij voornoemd cluster. Hierbij kunnen ze gebruik maken van het protocol ‘nieuwe verwerking persoonsgegevens’. Eén keer per jaar richt het cluster JZI zich actief tot alle clusters, projecten en programma’s met het verzoek om het register te controleren op actualiteit.

4.11 De verwerkersovereenkomst

De Provincie Limburg besteedt de verwerking van persoonsgegevens ook uit aan derden. Als verantwoordelijke mag de Provincie Limburg niet zomaar met een verwerker in zee gaan. Zij moet vaststellen of de verwerker voldoet aan de AVG. Meer concreet: de verwerker moet passende technische en organisatorische maatregelen treffen zodat deze voldoet aan de AVG en de bescherming van de rechten van de betrokkene gewaarborgd is.

Alle maatregelen die de verwerker hiervoor dient te nemen, komen vast te liggen in een zogenaamde verwerkersovereenkomst tussen de Provincie Limburg en de verwerker. Binnen de Provincie Limburg wordt gewerkt met een standaard verwerkersovereenkomst. De vraag of een verwerkersovereenkomst noodzakelijk is, maakt bovendien onderdeel uit van de interne inkoop-/aanbestedingsprocedure. De manager die de opdracht aan een derde verstrekt voor de verwerking van persoonsgegevens is tevens verantwoordelijk voor het afsluiten van de verwerkersovereenkomst.

De Provincie Limburg houdt een register bij van verwerkersovereenkomsten.

4.12 Gegevensbeschermingseffectbeoordeling/DPIA

Een gegevensbeschermingseffectbeoordeling - ook wel data protection impact assessment (DPIA) genoemd - is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

De Provincie Limburg moet dus zelf bepalen of er sprake is van een risicovolle verwerking. Bij de volgende categorieën verwerkingen moet de Provincie Limburg in ieder geval op grond van de AVG een DPIA uitvoeren:

• -

  systematische, uitgebreide en geautomatiseerde beoordeling van persoonlijke aspecten van de betrokkenen (bijvoorbeeld: profilering);

• -

  grootschalige verwerking van bijzondere of strafrechtelijke gegevens;

• -

  stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Verder zal de Provincie Limburg een DPIA uitvoeren indien er sprake is van hoge risico’s voor de ‘rechten en vrijheden’ van betrokkenen.

Het besluit om een DPIA uit te voeren wordt genomen door de verantwoordelijke manager, na advies van de FG.

4.13 Datalekken

We spreken van een datalek wanneer persoonsgegevens (mogelijk) in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de Provincie Limburg dit zonder onredelijke vertraging, doch uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan het AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de Provincie Limburg dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd. Daarnaast wordt elk datalek geregistreerd.

Sinds januari 2017 heeft de Provincie Limburg een Protocol meldplicht datalekken. Bij de beslissing of een incident dat zich heeft voorgedaan moet worden gemeld bij de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene(n), moeten een aantal afwegingen worden gemaakt. Het protocol helpt de provinciale medewerkers bij het maken van deze afwegingen.

4.14 Privacy by design en privacy by default

Privacybescherming bestaat niet alleen uit toetsing en controle achteraf. Ook aan de voorkant, bij het ontwerpen en inrichten van processen en systemen dient privacybescherming een belangrijk uitgangspunt te zijn. De adviseurs binnen het cluster Organisatie en Informatie hebben hierbij een ondersteunende en adviserende rol.

Voor de AVG zijn privacy by design en privacy by default belangrijke onderdelen van de verantwoordingsplicht van de Provincie Limburg.

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Bij de inrichting van het proces en/of bouw van het systeem wordt bijvoorbeeld gekeken naar de benodigde technische en organisatorische maatregelen om deze gegevens te beschermen. Dataminimalisatie is een ander voorbeeld van één van de uitgangspunten die gehanteerd worden: zo min mogelijk persoonsgegevens verzamelen, alleen datgene wat strikt noodzakelijk is voor het bereiken van het doel.

Privacy by default betekent dat de standaardinstellingen van bijvoorbeeld diensten of invulformulieren altijd zoveel mogelijk de privacy moeten garanderen. Bijvoorbeeld door een app die de Provincie Limburg aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is of door iemand die zich op een nieuwsbrief wil abonneren alleen te vragen naar zijn emailadres.

In gevallen waar deze regeling niets over zegt, beslist het verantwoordelijke bestuursorgaan van de Provincie Limburg.

Dit Privacybeleid wordt minimaal 1 keer per 2 jaar geëvalueerd.