Privacyreglement gemeente Roosendaal

Inleiding

In dit reglement laat de gemeente Roosendaal zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy en wat wettelijk wel en niet verantwoord is.

Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de bestuurlijke agenda. Gemeenten hebben de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar ze actief zijn. Gemeenten zijn verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verwerken van persoonsgegevens van burgers. Dat geldt o.a. voor taken op het gebied van basisadministraties, openbare orde en veiligheid en het sociaal domein maar ook voor andere domeinen. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van gemeenten. Het beschermen van de persoonsgegevens en daarmee de privacy is complex en wordt steeds complexer door technologische ontwikkelingen, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vindt de gemeente Roosendaal het belangrijk om transparant te zijn over de manier waarop met persoonsgegevens wordt omgegaan en de privacy wordt gewaarborgd.

1. Wetgeving en definities

Op dit moment heeft elke lidstaat van de Europese Unie een eigen wet inzake bescherming persoonsgegevens, gebaseerd op de Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelt het juridische kader voor de omgang met persoonsgegevens in Nederland. Op 25 mei 2018 vervalt de Wbp en treedt de Europese Verordening, de Algemene Verordening Gegevensbescherming (AVG), in werking, samen met de uitvoeringswet AVG. De AVG zorgt onder andere voor versterking en uitbreiding van de privacyrechten voor betrokkenen en burgers met meer verantwoordelijkheden voor organisaties die persoonsgegevens verwerken.

De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):

• •

  Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

• •

  Verwerkingsverantwoordelijke: Een natuurlijke persoon of rechtspersoon die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

• •

  Verwerker: De natuurlijke persoon of rechtspersoon die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.

• •

  Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals iemands gezondheidsgegevens, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN).

• •

  Gegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Data Protection Impact Assessment (DPIA).

• •

  Verwerking: Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

2. Reikwijdte

Het reglement is van toepassing op de verwerkingen van persoonsgegevens uitgevoerd door ieder bestuursorgaan van de gemeente. Oftewel: voor alle verwerkingen die binnen de gemeente plaatsvinden.

3. Verwerkingsverantwoordelijke

De bestuursorganen van de gemeente zijn, voor ieder voor zover het zijn/haar bevoegdheden betreft, verwerkingsverantwoordelijken voor de verwerkingen die door of namens het betreffende bestuursorgaan in de gemeente worden uitgevoerd. De bestuursorganen van de gemeente zijn onder andere de burgemeester, het college van burgemeesters en wethouders en de gemeenteraad.

4. Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. De AVG verstaat onder een verwerking:

• •

  verzamelen, vastleggen en ordenen;

• •

  bewaren, bijwerken en wijzigen;

• •

  opvragen, raadplegen, gebruiken;

• •

  verstrekken door middel van doorzending;

• •

  verspreiding of enige andere vorm van ter beschikkingstellen;

• •

  samenbrengen, met elkaar in verband brengen of

• •

  afschermen, uitwissen of vernietigen van gegevens.

Doeleinden (Artikel 5, AVG)

Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor doeleinden zijn vastgesteld. Ieder doeleind moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doeleinden worden verwerkt. Voor de uitvoering van sommige sectorale wetten zijn de doeleinden voor het verwerken in die wet al vastgelegd evenals de set aan persoonsgegevens die mogen worden verwerkt.

Rechtmatige grondslag (Artikel 6, AVG)

De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag aanwezig moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

• •

  om een verplichting na te komen die in de wet staat;

• •

  voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;

• •

  om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;

• •

  voor de goede vervulling van de gemeentelijke taak of

• •

  wanneer de betrokkene toestemming heeft gegeven voor de verwerking van één of meer specifieke doeleinden.

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige en aantoonbare wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. Verwerking is alleen toegestaan wanneer het doel niet op een andere manier kan worden bereikt (subsidiariteit). Persoonsgegevens mogen alleen worden verwerkt als dit in verhouding staat tot het doel waarvoor de gegevens worden verzameld. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden (proportionaliteit).

De gemeente zorgt ervoor dat de persoonsgegevens juist, actueel en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door daartoe aangewezen personen. Daarnaast beveiligt de gemeente alle gegevens, waaronder persoonsgegevens. Dit moet voorkomen dat de gegevens kunnen worden verwerkt door iemand die daar geen recht toe heeft. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens conform het daartoe vastgestelde informatiebeveiligingsbeleid.

Doorgifte (Artikel 44 t/m 50, AVG)

De gemeente geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie (onder andere Privacy Shield).

5. Transparantie en communicatie

Wet openbaarheid van bestuur (Wob)

Op grond van de Wob1 kan een verzoek om informatie worden ingediend bij de gemeente. Bij het verzoek beoordeelt de gemeente of inwilliging van het verzoek geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen.

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie2 regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek beoordeelt de gemeente of inwilliging van het verzoek geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen.

Informatieplicht (Artikel 13,14, AVG)

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens, afhankelijk van de aard van de verwerking en het doel en de grondslag kan dit op verschillende wijzen plaatsvinden, zoals via een brochure, extra toelichting bij een document, pop-up op website. De informatie aan betrokkenen omvat onder andere:

• •

  Welke gegevens vraag je op van de betrokkene?

• •

  Welke gegevens haal je uit andere bronnen?

• •

  Welke bronnen zijn dit?

• •

  Waar ga je de gegevens voor gebruiken?

• •

  Wat is de grondslag voor deze verwerking?

• •

  Aan wie ga je de gegevens eventueel verstrekken?

• •

  Wat zijn de gevolgen als een betrokkene bepaalde gegevens weigert te verstrekken?

De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt. Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene daarover geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

Verwijdering

De gemeente bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van gemeentelijke taken, of zoals vastgelegd in de Archiefwet en andere sectorale wetgeving. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel, worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren (anonimiseren).

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

Naast de informatieplicht van de verwerkingsverantwoordelijke hebben betrokkenen het recht om na te gaan wat er met hun persoonsgegevens gebeurt en hier als dit nodig is invloed op uit te oefenen. Het betreft dan de volgende rechten:

• •

  Recht van inzage: Betrokkenen hebben het recht om aan de gemeente te vragen of zijn/haar persoonsgegevens worden verwerkt, op welke manier zijn/haar gegevens worden verwerkt en om de gegevens te controleren.

• •

  Recht op rectificatie: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de gemeente om dit te corrigeren.

• •

  Recht op vergetelheid (gegevenswissing): In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

• •

  Recht op beperking van de verwerking: Waar de aard van de verwerking dat mogelijk maakt, heeft de betrokkene het recht om zijn/haar persoonsgegevens de verwerking voor een beperkte tijd op te schorten.

• •

  Recht op dataportabiliteit (overdraagbaarheid gegevens): De betrokkene heeft het recht de hem/haar betreffende persoonsgegevens, die hij/zij aan de verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare in machine leesbare vorm te verkrijgen voor zover er sprake is van verwerking die berust op toestemming van betrokkene.

• •

  Recht van bezwaar tegen verwerking: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. De gemeente zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan via een daartoe ingesteld portaal op de gemeentelijke website of persoonlijk bij een balie van Publiekszaken ingediend worden. Identificatie is verplicht, hetzij door inloggen met DigiD of tonen van identificatie aan de balie. De gemeente heeft één maand de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen één maand zal de gemeente laten weten wat er met het verzoek gaat gebeuren. De wet staat verdaging met eenmaal twee maanden toe. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

6. Geautomatiseerde verwerkingen

Profilering (Artikel 22, AVG)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn: financiële situatie, interesses, gedrag of locatie.

Om profilering wat duidelijker te maken gebruiken we het volgende voorbeeld: Wanneer een bezoeker op de gemeentelijke website naar een bepaalde dienst kijkt, mag de gemeente geen actie ondernemen om de dienst aan te bieden. Gemeenten mogen wel bekijken hoe vaak een bepaalde dienst bekeken is maar dus niet specifiek gericht adverteren. Daarnaast geeft de wet aan dat er geen besluit mag worden genomen op basis van profilering.

De gemeente Roosendaal maakt gebruik van profilering. Dit doen wij onder de volgende voorwaarden:

• •

  voor het tijdig een vangnet te hebben voor een burger in de situatie dat de Wet Maatschappelijke Ondersteuning uitkomst kan bieden of

• •

  in de situatie dat schulphulpverlening uitkomst kan bieden.

Big data en tracking

Door middel van Big data onderzoek en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door of namens de gemeente wordt uitgevoerd. De verzamelde gegevens door Big data onderzoek en tracking zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden nagestreefd. Dit betekent dat alleen de data die echt nodig zijn voor het behalen van het doel gebruikt zullen worden.

Inzet van camera’s

Binnen de gemeente wordt onder bepaalde omstandigheden gebruik gemaakt van cameratoezicht, zoals vastgelegd in de Gemeentewet Cameratoezicht3 wordt onder andere gebruikt voor het vergroten van de veiligheid op straat. Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd wordt. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken en worden er eisen gesteld aan de inzet van camera’s.

De gemeente Roosendaal maakt gebruik van cameratoezicht onder de volgende omstandigheden:

• •

  op grond van artikel 151c van de Gemeentewet in het belang van handhaving van de openbare orde op openbare plaatsen op momenten dat dit noodzakelijk wordt geacht en

• •

  op basis van bijzondere voorschriften van de Wegenverkeerswet 1994.

7. Plichten van de gemeente

Register van verwerkingen (Artikel 30, AVG)

De gemeente is verantwoordelijk voor het aanleggen van een register van alle verwerkingen, waarvan de gemeente de verwerkingsverantwoordelijke is. Het register bevat per verwerking een beschrijving van de verwerkingsactiviteit en welke gegevens daarvoor worden gebruikt, namelijk:

• •

  de naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke en de functionaris gegevensbescherming;

• •

  de doelen van de verwerking;

• •

  een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

• •

  een beschrijving van de ontvangers van de persoonsgegevens;

• •

  een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

• •

  de termijnen waarin de verschillende persoonsgegevens moeten worden gewist en

• •

  een algemene beschrijving van de beveiligingsmaatregelen.

Gegevensbeschermingseffectbeoordeling (Artikel 35, AVG)

Met een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment) worden de effecten en risico’s van nieuwe verwerkingen beoordeeld op de bescherming van de privacy. De gemeente voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)

De gemeente heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden, die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van het AP. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de teams en/of groepen overneemt. De teams en/of groepen en alle individuele medewerkers hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy.

Het algemeen mailadres is fg@roosendaal.nl

Datalekken (Artikel 33,34, AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Elk mogelijk datalek dient onverwijld te worden gemeld bij de functionaris gegevensbescherming. De FG stelt van elk gemeld datalek een onderzoek en beoordeelt op basis van de beleidsregel datalekken van de AP of deze datalek wordt gemeld bij de AP. Van elk datalek wordt een proces verbaal opgesteld en vastgelegd in een register.

Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de gemeente dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

Melden van incidenten aan FG

Medewerkers binnen de gemeente worden gestimuleerd ieder incident te melden, waarvan de medewerker niet zelfstandig kan vaststellen of er sprake is van een datalek maar waarbij persoonsgegevens onbedoeld mogelijk zijn blootgesteld aan openbaring, waar dat niet is toegestaan. De medewerker meldt het incident onverwijld via het algemeen mailadres is datalek@roosendaal.nl

Verwerkersovereenkomsten

De gemeente maakt alleen gebruik van verwerkers die voldoende garanties bieden met betrekking tot het toepassen van technische en organisatorische maatregelen om de verwerking te laten voldoen aan de AVG-vereisten. Hiervoor zal zoveel mogelijk gebruik worden gemaakt van de model verwerkersovereenkomst van de IBD.

Selectie op basis van gegevensbescherming door ontwerp en door standaardinstellingen

De gemeente past een strikt aankoopbeleid toe voor software en technische IT-componenten door enkel producenten te selecteren die maatregelen hebben voorzien opdat de gemeente kan waarborgen en aantonen dat haar verwerkingen overeenkomstig de AVG worden uitgevoerd.

Afsluiting

Als de gemeente een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal conform de klachtenprocedure van de AP worden behandeld.

Dit reglement is te vinden op de website van de gemeente Roosendaal (www.roosendaal.nl/privacy)

Inwerkingtreding

Deze regeling treedt in werking op de derde dag na bekendmaking in het Gemeenteblad en werkt terug tot en met 22 mei 2018.