Privacybeleid gemeente Wierden

De gemeente is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

• Europese Verordening: de Algemene Verordening Gegevensbescherming (AVG) ;

• Uitvoeringswet Algemene Verordening Gegevensbescherming .

De AVG verplicht de gemeente Wierden om persoonsgegevens ‘in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze' te verwerken. Dit privacybeleid is een invulling van artikel 24 lid 2 van de AVG. De gemeente gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. De gemeente houdt zich hierbij aan de volgende beginselen:

2.1 Grondslag en doelbinding

De gemeente zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

2.2 Dataminimalisatie

De gemeente verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

2.3 Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

2.4 Integriteit en vertrouwelijkheid

De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.

2.5 Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

2.6 Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

2.7 Rechten van betrokkenen

De gemeente honoreert alle rechten van betrokkenen.

Dit beleid gaat uit van de drie belangrijkste uitgangspunten voor de verwerking van persoonsgegevens op grond van de AVG: transparant, rechtmatig en behoorlijk en het afleggen van rekenschap. Deze beginselen zijn opgenomen in artikel 5 en 6 van de AVG en nader uitgewerkt in artikel 12 e.v. van de AVG. Onderstaand volgt een uiteenzetting op welke wijze de gemeente aan de uitgangspunten invulling geeft.

3.1 Transparant

3.1.1 Informatievoorziening voorafgaand aan verwerking

Voor elke verwerking van de gemeente is vooraf in begrijpelijke taal informatie beschikbaar over het doel van de verwerking, welke gegevens er worden vastgelegd en voor hoe lang en op welke wijze rechten kunnen worden uitgeoefend. Deze informatie is beschikbaar op het moment dat er klantcontact is, onafhankelijk of dit in persoon is of digitaal.

3.1.2 Register van verwerkingen

De gemeente beschikt, overeenkomstig de verplichting uit artikel 30 AVG, over een register van verwerkingen. In dit actuele en volledige register wordt onder meer vastgelegd welke gegevensverwerkingen er onder verantwoordelijkheid van de gemeente plaatsvinden en per verwerking wordt daarbij aangegeven voor welk doel, over welke categorieën van personen, welke categorieën van persoonsgegevens en wie ontvangers zijn van die gegevens. Het register van verwerkingen wordt door de gemeente actief openbaar gemaakt via de website.

3.1.3 Rechten van betrokkenen

Een ieder van wie persoonsgegevens worden verwerkt, heeft rechten welke in de AVG in hoofdstuk 3 zijn geregeld. Hierover is op de website van de gemeente informatie beschikbaar. Ook zal betrokkene actief worden gewezen op de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens, indien het verzoek niet naar tevredenheid is afgehandeld.

3.2 Rechtmatig en behoorlijk

Met de digitalisering van dienstverlening en de uitbreiding van taken neemt het aantal persoonsgegevens dat door de gemeente wordt verwerkt toe. Het verwerken van (bijzondere) persoonsgegevens vraagt in alle gevallen een zorgvuldige afweging of de verwerking noodzakelijk is en of de gemeente het op grond van de AVG ook mag.

3.2.1 Gegevensbeschermingseffectbeoordeling

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wordt, overeenkomstig artikel 35 AVG, vóór de verwerking een gegevensbeschermingseffectbeoordeling gemaakt, ook wel een Privacy Impact Assesment genoemd (PIA).

Bij het opstellen van de PIA wordt de privacy officer betrokken, de FG wordt betrokken bij de uitkomsten van de PIA welke worden gemotiveerd bij de beslissing voor het al dan niet aanvangen van de verwerking. Dat betekent dat altijd gemotiveerd wordt beargumenteerd welke keuzes worden gemaakt ten aanzien van de verwerking van persoonsgegevens. De keuzes zijn daarmee transparant en zijn onder andere voor de FG, de raad of de toezichthouder beschikbaar voor het uitoefenen van hun (controlerende) taken.

3.2.2 Beveiliging; pas toe of leg uit

De persoonsgegevens waarover de gemeente beschikt worden passend beveiligd. Als uitgangspunt hiervoor hanteert de gemeente de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG). In de BIG staan verschillende technische en organisatorische maatregelen genoemd om persoonsgegevens te beveiligen tegen uiteenlopende risico’s zoals ongeautoriseerde toegang tot data, verlies van data of gijzeling van data (ransomware). Wat passend is, wordt mede bepaald door het soort persoonsgegeven, bijvoorbeeld een bijzonder persoonsgegeven, de mate van beschikbaarheid en toepasbaarheid van de beveiligingsmaatregel, de kosten die verbonden zijn aan de maatregel in relatie tot de kans op het risico en de gevolgen voor betrokkenen indien de persoonsgegevens openbaar worden of juist vernietigd zijn. Persoonsgegevens worden, waar dit kan, versleuteld verzonden bijvoorbeeld door gebruik te maken van beveiligde diensten waarmee informatie kan worden verzonden. Ten aanzien van informatiebeveiliging hanteert de gemeente het “pas toe of leg uit” principe. In principe wordt de BIG integraal toegepast tenzij op grond van bovenstaande criteria gemotiveerd tot een andere keuze wordt gekomen.

3.2.3 Privacy by design and default

Bij het verwerken van persoonsgegevens is privacy by design en by default het uitgangspunt (artikel 25 lid 1 en 2 AVG). Dat wil zeggen dat altijd wordt beoordeeld of het doel van de verwerking ook kan worden bereikt met het verwerken van minder persoonsgegevens of voor een kortere periode. Bij het ontwerp van een systeem of werkwijze wordt aandacht besteed aan de wijze waarop waarborgen voor de naleving van de AVG kunnen worden ingebouwd, zoals de toegang tot de persoonsgegevens en automatische archivering en verwijdering en vernietiging.

3.2.4 Samenwerking en uitbesteding

De gemeente werkt veel samen met andere partijen in de regio, om burgers klantgericht, efficiënt en effectief van dienst te zijn. Daarbij kan het noodzakelijk zijn om gegevensverwerkingen uit te besteden binnen samenwerkingsverbanden of aan organisaties die gespecialiseerd zijn in een bepaalde vorm van dienstverlening.

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de gemeente afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. De gemeente controleert deze afspraken jaarlijks.

3.3 Afleggen van rekenschap

Het afleggen van rekenschap over de wijze waarop is omgegaan met de verwerking van persoonsgegevens past in een democratische samenleving waarin de gemeente verantwoording aflegt over het gevoerde beleid. Via de FG legt de gemeente op verschillende wijzen verantwoording af aan de gemeenteraad over de wijze waarop zij omgaat persoonsgegevens.

3.3.1 Functionaris voor de Gegevensbescherming

Op grond van de AVG is het voor de gemeente verplicht om een intern toezichthouder en adviseur aan te stellen; de Functionaris voor de Gegevensbescherming (FG). De FG is een onafhankelijke toezichthouder die binnen de organisatie toezicht houdt op de naleving van de AVG en bovendien medewerkers, management en bestuur kan adviseren over vragen die zien op de naleving van de AVG. De gemeente is aan het toezicht van de FG onderwerpen en legt daarmee verantwoording af over de wijze waarop ze omgaan met de persoonsgegevens van de inwoners. Op de website van de gemeente worden de contactgegevens van de Functionaris voor de Gegevensbescherming gepubliceerd.

3.3.2 Motivering bij besluitvorming

Indien voor een verwerking van persoonsgegevens een PIA is voorgeschreven, dan wordt bij het besluit over de verwerking gemotiveerd ingegaan op de uitkomsten van de PIA. De besluiten zijn openbaar en daarmee raadpleegbaar voor een ieder.

3.3.3 Meldplicht datalekken

De gemeente meldt overeenkomstig de bepalingen uit de AVG datalekken bij de AP en, indien van toepassing, aan de betrokkenen die het betreft. De gemeente houdt, overeenkomstig artikel 33 lid 5 AVG een register bij van alle inbreuken (gemeld en niet gemeld bij de AP). Een overzicht van het aantal meldingen en klachten gerelateerd aan de AVG worden meegenomen in het jaarverslag.

3.3.4 Jaarlijkse verantwoording

Elk jaar stelt de ambtelijke organisatie een verantwoording op over het uitgevoerde beleid en haar uitgaven. In dit jaarverslag wordt met ingang van het verantwoordingsjaar 2018 ook verantwoording afgelegd over de wijze waarop de gemeente uitvoering heeft gegeven aan de AVG en haar privacybeleid en de wijze waarop zij rekenschap heeft afgelegd.

4.1 Rol en taak FG

De FG heeft als taak toezicht te houden op de verwerking van persoonsgegevens door de gemeente dan wel de door de gemeente ingeschakelde verwerkers. De FG geeft gevraagd en ongevraagd advies aan bestuur, management en medewerkers over onderwerpen die de verwerking van persoonsgegevens betreffen. De FG is de contactpersoon voor de Autoriteit Persoonsgegevens, in de uitvoering van taken onafhankelijk en ontvangt geen instructies voor de uitvoering van zijn taken.

4.2 Rol en taak privacy officer

De privacy officer kent werkzaamheden binnen de afdelingen waar het verwerken van persoonsgegevens een belangrijk onderdeel vormt voor het kunnen uitvoeren van de taken. De taak van de privacy officer is adviseur, initiatiefnemer en uitvoerder. De privacy officer is het aanspreekpunt als het gaat om advies over de verwerking van persoonsgegevens en de uitleg van de AVG. De privacy officer heeft kennis van het gemeentelijke privacybeleid en de AVG, maar ook van het primaire proces binnen de afdeling. De privacy officer adviseert over de uitvoering van een PIA, bij de uitvoering van taken of de ontwikkeling van beleid. Als initiatiefnemer signaleert de privacy officer ontwikkelingen binnen of buiten de afdeling die relevant zijn en brengt deze actief onder de aandacht bij medewerkers en management van de afdeling. De privacy officer is het aanspreekpunt van de FG en behandelt verzoeken van burgers die betrekking hebben op de uitoefening van hun rechten.

4.3 Rol en taak college

Het college van burgemeester en wethouders, de burgemeester of de gemeenteraad zijn, ieder voor zover het een gegevensverwerking betreft in het kader van hun taak, eindverantwoordelijk voor het naleven van de AVG en het privacybeleid van de gemeente.

4.4 Rol CISO

De verwerking van persoonsgegevens is onlosmakelijk verbonden met de beveiliging daarvan. Beveiliging van persoonsgegevens is een verantwoordelijkheid van iedere medewerker. Maar om er voor te zorgen dat er een samenhangend pakket aan maatregelen in de gemeente beschikbaar is ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen een gemeente is er de CISO: Chief Information Security Officer. De CISO zal in samenwerking met de FG en de privacy officer toezichthouden op en adviseren over de beveiliging van persoonsgegevens binnen de organisatie.

4.5 Rol en taak management en medewerkers

Management en medewerkers zijn verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens. Bij de uitvoering van hun taken zijn zij zich bewust van de mogelijke inbreuk die dit kan maken op de persoonlijke levenssfeer van inwoners en handelen daarnaar. Dit betekent dat zij handelen naar het privacybeleid van de gemeente en de AVG naleven.

5. Evaluatie

De AVG is van kracht op 25 mei 2018 en brengt een aantal nieuwe waarborgen, verplichtingen en eisen met zich mee waaraan de gemeente met dit beleidskader recht aan wil doen. Bij de implementatie van nieuwe regelgeving hoort ook dat op sommige onderdelen van wetgeving in de loop der tijd meer duidelijkheid ontstaat over de exacte uitleg van de wet en ook de wijze waarop het beleid zoals de gemeente dat heeft geformuleerd in de praktijk uitpakt. Om die reden wordt dit beleidskader 1 jaar na inwerkingtreding geëvalueerd. Hierbij zal worden gekeken of de afspraken in dit beleidskader zijn nageleefd en waar mogelijke aanpassingen in dit beleid noodzakelijk zijn in verband met de uitvoerbaarheid daarvan of gewijzigde (juridische) inzichten.

6. Bekendmaking en inwerkingtreding

Dit beleid treedt in werking na vaststelling door het college van burgemeester en wethouders. Het beleid wordt jaarlijks geëvalueerd en, indien nodig, herzien. Minimaal één keer per drie jaar, of als er belangrijke wijzigingen zijn, wordt het privacybeleid bijgesteld. Aanpassingen van dit beleid worden aangekondigd via de gemeentelijke website. De meest actuele versie van het beleid is te vinden op de website van de gemeente.