Privacybeleid gemeente Beuningen 2020-2022

Privacybeleid gemeente Beuningen

In dit reglement laat de gemeente Beuningen zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is. Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de bestuurlijke agenda. Gemeenten hebben de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar ze actief zijn.

Gemeenten zijn verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van burgers. Dat geldt onder andere voor taken op het gebied van basisadministraties, openbare orde en veiligheid, en het sociaal domein. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van gemeenten. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom is het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.

1.Samenhang privacy en informatiebeveiliging

Er is een nauwe samenhang tussen privacy en informatiebeveiliging. Het zijn twee verschillende begrippen, maar wel met een gemeenschappelijk raakvlak. Privacy gaat over het vertrouwelijk omgaan met persoonlijke gegevens en deze dus ook voldoende beschermen. Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van alle (gevoelige) informatie. Zowel informatiebeveiliging als privacy vragen om een risico-gedreven aanpak.

De afbeelding hieronder geeft de samenhang weer.

Het privacybeleid kan door deze samenhang niet los worden gezien van het informatiebeveiligingsbeleid. Het informatiebeveiligingsbeleid van de gemeente Beuningen voldoet aan de landelijk gestelde beveiligingsnormen voor de overheid.

2. Wettelijke kaders en definities

Sinds 25 mei 2018 is een nieuwe Europese Verordening van kracht. In Nederland is deze verordening vertaalt in de Algemene verordening gegevensbescherming (AVG), en bestaat er daarnaast ook een uitvoeringswet. Verder staan in specifieke wetten aanvullende of meer specifieke eisen en kaders voor een bepaalde sector of domein. Zoals de Wet maatschappelijke ondersteuning (Wmo), de Jeugdwet of de wet Basisregistraties Personen (wet BRP).

Het privacybeleid wordt verder uitgewerkt in specifieke procedures en richtlijnen voor medewerkers. Zoals werkprocessen of richtlijnen voor telewerken. Deze specifieke procedures en richtlijnen sluiten altijd aan bij de kaders en uitgangspunten in dit beleid

De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degenevan wie de gegevens worden verwerkt.

Data Protection Impact Assessment (DPIA): Met een DPIA worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy.

Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN).

Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.

Verwerkingsregister: Het register dat wordt bijgehouden door de verwerkingsverantwoordelijke, waarin de categorieën van verwerkingen van persoonsgegevens organisatie worden bijgehouden. De Functionaris Gegevensbescherming is intern verantwoordelijk voor het bijhouden van het verwerkingsregister.

Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

3. Reikwijdte

Het beleid is van toepassing op alle verwerkingen van persoonsgegevens door alle

bestuursorganen van de gemeente. Oftewel: voor alle verwerkingen die binnen de gemeente plaatsvinden.

4. Rollen en verantwoordelijkheden

De bestuursorganen van de gemeente zijn allemaal verantwoordelijken voor de verwerkingen die door of namens de gemeente worden uitgevoerd. De bestuursorganen van de gemeente zijn onder andere de burgemeester, het college van Burgemeester en Wethouders (het college van B&W) en de Raad.

Binnen de gemeente Beuningen zijn verschillende rollen en verantwoordelijkheden belegd om uitvoering te geven aan dit privacybeleid:

• -

  Gemeenteraad

De gemeenteraad stelt de gemeente brede kaders uitgangspunten rondom privacy vast. De gemeenteraad controleert het college van B&W bij de uitvoering van deze kaders.

• -

  College van B&W

Het college van B&W is verantwoordelijk voor het verwerken van persoonsgegevens binnen de gestelde kaders. Het college stelt hiervoor de beleidskaders en specifieke regelingen en procedures vast. Jaarlijks legt ze verantwoording af aan de gemeenteraad over privacy en de toepassing van het privacybeleid, via de paragraaf bedrijfsvoering in de jaarstukken.

• -

  Het managementteam (MT) en de afdelingsmanagers

Het MT en de afdelingsmanagers zijn naar de medewerkers verantwoordelijk voor het sturen op en monitoren van de uitvoering van het beleid. Ze stimuleren bewustwording over privacy bij medewerkers. Het vaststellen van doelen en middelen om persoonsgegevens te verwerken is aan de afdelingsmanagers gemandateerd. De afdelingsmanagers zijn ook verantwoordelijk voor het afhandelen en melden van datalekken binnen hun afdeling.

• -

  Functionaris Gegevensbescherming (FG)

Het college van B&W stelt een Functionaris Gegevensbescherming (FG) aan. De FG houdt vanuit een onafhankelijke positie intern toezicht op de omgang met privacy en naleving van de wetgeving door de gemeente Beuningen. Hij of zij adviseert en ondersteunt de organisatie rondom privacy. Ook zorgt de FG voor een periodieke rapportage over de naleving van de wetgeving. De FG is ook contactpersoon voor de Autoriteit Persoonsgegevens.

• -

  Chief Information Security Officer (CISO)

De CISO ondersteunt, coördineert en adviseert vanuit een onafhankelijke positie over de te nemen maatregelen voor informatiebeveiliging. Hij of zij rapporteert hierover aan het bestuur, de directie en afdelingsmanagers.

• -

  Privacybeheerders

Binnen de verschillende domeinen zijn privacybeheerders aangewezen. Zij zijn binnen hun domein het eerste aanspreekpunt voor privacy gerelateerde vragen.

• -

  Registerverantwoordelijke

Binnen de gemeente Beuningen wordt er een register bijgehouden waar alle werkprocessen waarbij persoonsgegevens worden verwerkt in staan. Voor het efficiënt up-to-date houden van het verwerkingsregister van de gemeente is er per team een registerverantwoordelijke aangesteld. Deze persoon draagt de verantwoordelijkheid binnen het team voor het bijhouden en doorgeven van nieuwe verwerkingen en wijzigingen in bestaande verwerkingen waarbij persoonsgegevens worden gebruikt. Deze geeft hij door aan de Functionaris Gegevensbescherming, die het verwerkingsregister beheert.

• -

  Medewerkers (inclusief inhuur/extern)

Alle medewerkers (inclusief inhuur/externen) zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen. Dat betekent dat iedereen zorgt, binnen de kaders van zijn rol/functie, voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens.

• -

  Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens is de toezichthoudende instantie

5. Het verwerken van persoonsgegevens

Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking:

• -

  Verzamelen, vastleggen en ordenen

• -

  Bewaren, bijwerken en wijzigen

• -

  Opvragen, raadplegen, gebruiken

• -

  Verstrekken door middel van doorzending

• -

  Verspreiding of enige andere vorm van ter beschikkingstellen

• -

  Samenbrengen, met elkaar in verband brengen

• -

  Afschermen, uitwissen of vernietigen van gegevens

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

Doeleinden (Artikel 5, AVG)

Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Jeugdwet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden.

Rechtmatige grondslag (Artikel 6, AVG)

De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

• -

  Om een verplichting na te komen die in de wet staat

• -

  Voor de uitvoering van een overeenkomst waar de betrokkene onderdeel was

• -

  Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden

• -

  Voor de goede vervulling van de gemeentelijke taak

• -

  Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.

In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

De gemeente zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht.

Daarnaast beveiligt de gemeente alle persoonsgegevens. Dit moet voorkomen dat de

persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft.

Hoe de gemeente dit doet staat in het informatiebeveiligingsbeleid van de gemeente en in een eventueel aanvullend beveiligingsplan specifiek opgesteld voor een proces of registratie.

Doorgifte (Artikel 44 t/m 50, AVG)

De gemeente geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

6. Uitgangspunten

De gemeente Beuningen verwerkt persoonsgegevens voornamelijk voor de uitvoering van wettelijke taken en regelingen in het algemeen belang. En altijd binnen de hierboven genoemde wettelijke kaders. Hieruit volgen meerdere uitgangspunten voor hoe de gemeente omgaat met privacy.

• -

  Grondslag en doelbinding

De gemeente verwerkt alleen persoonsgegevens voor een doel waar een grondslag voor is. De AVG kent zes grondslagen die de verwerking van persoonsgegevens rechtvaardigen. Persoonsgegevens worden gebruikt voor het doel waarvoor ze zijn verzameld en eventuele verenigbare doelen. De gemeente Beuningen hergebruikt deze persoonsgegevens niet voor andere doelen.

• -

  Subsidiariteit en proportionaliteit

Het verwerken van persoonsgegevens is een inbreuk in de privacy van de betrokkene. Deze inbreuk houden we zo klein mogelijk en staat in verhouding tot het bereiken van het doel waarvoor de persoonsgegevens verwerkt worden. Dit noemen we subsidiariteit en proportionaliteit.

Soms is per wet bepaald welke gegevens noodzakelijk zijn om het doel te bereiken. In andere gevallen maakt de gemeente Beuningen deze afweging. Hierbij worden alleen de gegevens verwerkt die nodig zijn om het doel te bereiken. Waar mogelijk wordt gewerkt met anonieme gegevens.

• -

  Behoorlijk en zorgvuldig

De gemeente Beuningen gaat zorgvuldig om met de persoonsgegevens die zij verwerkt. Dit noemen we rechtmatigheid. Dit wordt ook vertaald in specifieke werkprocessen en procedures. Zonder dat dit in het geding komt van de werkbaarheid.

Behoorlijk en zorgvuldig omgaan met persoonsgegevens, betekent ook dat we niet meer gegevens verwerken dan nodig. Dit noemen we dataminimalisatie. Dit sluit ook aan bij de principes van subsidiariteit en proportionaliteit.

• -

  Privacy by design

De gemeente Beuningen richt haar werkprocessen zo in dat ze voldoen aan de in dit beleid gestelde kaders en uitgangspunten. Dit noemen we privacy by design. Door vooraf na te denken over mogelijke privacyvraagstukken en dit mee te nemen in de inrichting van de processen en systemen, verkleinen we eventuele privacyrisico’s.

• -

  Privacyrechten

De AVG kent betrokkenen verschillende privacyrechten toe. De gemeente Beuningen maakt het voor betrokkenen eenvoudig om gebruik te maken van deze rechten. Hoe dit kan, is verder uitgewerkt in de gemeentelijke procedure voor privacyrechten.

• -

  Informeren van betrokkenen

De gemeente Beuningen informeert betrokkenen over de persoonsgegevens die zij van hen verwerkt en de reden hiervoor. Dit noemen we transparantie. Vaak gebeurt dit al doordat de betrokkene zijn/haar gegevens zelf doorgeeft op een aanvraagformulier. Hierop staat vaak al vermeld welke persoonsgegevens nodig zijn en voor welk doel. Als de gemeente persoonsgegevens verwerkt die ze niet van de betrokkene krijgt, stelt ze de betrokkene op de hoogte.

• -

  Delen met derden

Wanneer de gemeente haar taken laat uitvoeren door een andere organisatie of in samenwerking met partners, worden er afspraken vastgelegd over het verwerken van persoonsgegevens. Deze passen altijd binnen de kaders en uitgangspunten zoals gesteld in dit beleid. Wanneer de gemeente taken uitbesteed, sluit ze een verwerkersovereenkomst af met de betrokken partij. Hiervoor gebruikt de gemeente Beuningen het door de VNG vastgestelde model.

Sommige doelen worden bereikt door samenwerking tussen meerdere (maatschappelijke) organisaties. Hiervoor kan het nodig zijn om persoonsgegevens met elkaar te delen. Wanneer er persoonsgegevens met andere organisaties gedeeld worden, gebeurt dat altijd binnen de hierboven genoemde kaders en uitgangspunten.

• -

  Bewaartermijn

Hoe lang de gemeente Beuningen persoonsgegevens bewaart, loopt uiteen. De Archiefwet en diverse andere wetten, verplichten de gemeente om gegevens voor een minimale of maximale termijn te bewaren. Tijdens deze bewaartermijn, zorgt de gemeente voor een zorgvuldige en veilige opslag. Na verloop van de verplichte bewaartermijn, worden de gegevens vernietigd.

7. Transparantie en communicatie

Wet openbaarheid van bestuur (Wob)

Via de Wob (en straks wellicht de Wet Open Overheid) kun je een verzoek om informatie indienen bij de gemeente. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Informatieplicht (Artikel 13,14, AVG)

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven, worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens om zal gaan. Dit kan bijvoorbeeld via een formulier gebeuren. Vaak staat op de aanvraagformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor

welk doel dat gebeurt.

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

Verwijdering

De gemeente bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van gemeentelijke taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

• -

  Recht op informatie

• -

  Recht op inzage

• -

  Recht op correctie

• -

  Recht om vergeten te worden

• -

  Recht op bezwaar

• -

  Recht op beperking van de verwerking

• -

  Recht op overdraagbaarheid van gegevens (dataportabiliteit)

• -

  Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling

Recht op informatie

De gemeente verzamelt gegevens om haar taken te kunnen uitvoeren. Indien dit persoonsgegevens betreffen, heeft de gemeente de plicht om betrokkenen, voor zover deze daar niet reeds van op de hoogte zijn, te informeren over verwerkingen van hun persoonsgegevens. De gemeente verstrekt dan aan betrokkenen informatie over de verwerking, zoals het doel daarvan, welke persoonsgegevens worden verwerkt en of de gegevens aan anderen worden verstrekt Dit met inachtneming van de beperkingen zoals die neergelegd zijn in wet- en regelgeving.

Recht op inzage

Betrokkenen hebben de mogelijkheid om te controleren of en op welke manier hun gegevens worden verzameld en verwerkt. Dit met inachtneming van de beperkingen zoals neergelegd in wet- en regelgeving.

Recht op correctie

Als de gemeente persoonsgegevens van betrokkenen verwerkt die naar hun oordeel onjuist zijn, kunnen zij een verzoek indienen bij de gemeente om dit te verbeteren. Dit met inachtneming van de beperkingen zoals neergelegd in wet- en regelgeving.

Recht om vergeten te worden

Betrokkenen hebben het recht persoonsgegevens te laten verwijderen indien de gemeente niet langer een goede grond heeft voor het gebruik hiervan, bijvoorbeeld indien betrokkenen een gegeven toestemming intrekken, indien de gegevens onjuist zijn of de gegevens niet langer nodig zijn.

Recht op bezwaar

Betrokkenen hebben het recht aan de gemeente te vragen hun persoonsgegevens niet meer te gebruiken en bezwaar te maken tegen de verwerking van hun persoonsgegevens. De gemeente moet hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Recht op beperking van de verwerking

Het recht op beperking houdt in dat de gemeente de persoonsgegevens (tijdelijk en onder voorwaarden) niet mag verwerken en niet mag wijzigen, bijvoorbeeld wanneer betrokkenen de juistheid van de gegevens ter discussie stellen.

Recht op overdraagbaarheid van gegevens (dataportabiliteit)

De gemeente is vanuit de AVG niet verplicht invulling te geven aan overdraagbaarheid van gegevens voor zover het werkzaamheden betreft in het kader van algemeen belang, de uitoefening van een openbaar gezag, wanneer deze zijn openbare taken uitoefent of aan een wettelijke verplichting voldoet. Desondanks zal de gemeente in voorkomende gevallen voorzieningen treffen in het kader van dataportabiliteit.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling

Uitgangspunt in de AVG is dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene (degene wiens persoonsgegevens het betreft) zijn verbonden of het besluit hem in aanmerkelijke mate treft. Daarbij kan gedacht worden aan bijvoorbeeld de kredietwaardigheid van een persoon. Een ander voorbeeld is het verwerken van sollicitaties via internet zonder menselijke tussenkomst.

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan schriftelijk ingediend worden. De gemeente heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de gemeente laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan de gemeente aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

8. Geautomatiseerde verwerkingen

Profilering (Artikel 22, AVG)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag of locatie.

Om profilering wat duidelijker te maken gebruiken we het volgende voorbeeld: Wanneer een bezoeker op de gemeentelijke website naar een bepaalde dienst kijkt, mag de gemeente geen actie ondernemen om de dienst aan te bieden. Gemeenten mogen wel bekijken hoe vaak een bepaalde dienst bekeken is, maar dus niet specifiek gericht adverteren. Daarnaast geeft de wet aan dat er geen besluit mag worden genomen op basis van profilering.

De gemeente Beuningen maakt alleen gebruik van profilering als dat past binnen de kaders van de AVG.

Big data en tracking

Door middel van Big data onderzoek en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door, of namens, de gemeente wordt uitgevoerd.

De verzamelde gegevens door Big data onderzoek en tracking zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden toegepast. Dit betekent dat alleen de data die echt nodig zijn voor het behalen van het doel gebruikt zullen worden. Daarnaast kunnen persoonsgegevens gepseudonimiseerd worden zodat zij niet herleidbaar zijn tot een persoon.

Gemeente Beuningen maakt geen gebruik van tracking. Het gebruik van Big Data wordt op dit moment niet toegepast maar wij onderzoeken wel welke voordelen het gebruik van Big Data kan hebben voor onze dienstverlening. Daarbij wordt wel rekening gehouden met wat uiteengezet wordt in dit beleid.

Inzet van camera’s

Binnen de gemeente kan onder bepaalde omstandigheden gebruik worden gemaakt van

cameratoezicht, zoals vastgelegd in de Gemeentewet. Cameratoezicht kan onder andere worden gebruikt voor het vergroten van de veiligheid op straat. Camera’s kunnen een grote inbreuk maken op de privacy van diegenen die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van camera’s.

9. Specifieke beleidsterreinen

Sociaal domein

De nieuwe taken die de gemeente in het sociaal domein sinds 1 januari 2015 in uitvoering heeft genomen gaan gepaard met de verwerking van, veelal bijzondere, persoonsgegevens van nieuwe klantgroepen.

Overleg over cliënten

Efficiency, effectiviteit en kwaliteit van de dienstverlening zijn er mee gebaat dat daar waar nodig en mogelijk, zowel intern als extern afstemming over een cliënt plaatsvindt tussen de verschillende onderdelen van het sociaal domein. Ondanks dat dit ook een van doelstellingen is van de wetgever, heeft de wetgever de informatie-uitwisseling in het kader van de afstemming niet geregeld. Participatiewet, Jeugdwet en WMO 2015 kennen daarvoor ieder hun eigen regels. In die gevallen dat het gewenst is om gegevens uit te wisselen, geldt de wet waarop een verzoek is gebaseerd als uitgangspunt van handelen. Dat betekent in het geval van de WMO 2015 dat de WMO-consulent toestemming van de betrokkene nodig heeft om de reeds bij de gemeente beschikbare gegevens over een uitkering of schuld op te vragen bij de bijstandsconsulent respectievelijk de medewerker schuldhulpverlening (artikel 5.1.1. lid 4 WMO 2015). Bij de inrichting van het overleg dient dit als uitgangspunt te gelden. De gemeente Beuningen ziet erop toe dat dergelijke uitgangspunten ook worden doorgevoerd bij haar uitvoeringspartners.

De verbinding tussen openbare orde en veiligheid en sociaal domein

De afgelopen jaren is de gemeente Beuningen meer persoonsgegevens gaan verwerken van personen die een bedreiging (kunnen) vormen voor de openbare orde en veiligheid. Het oplossen van problemen met (potentiële) overlastgevers is steeds vaker een bestuurlijke in plaats van een politionele aangelegenheid en gegevens van politie en justitie worden meegenomen in casusoverleggen in het sociaal domein. De uitwisseling van dergelijke gegevens vindt plaats binnen de wettelijke mogelijkheden van verwerking van persoonsgegevens.

Openbaarheid van Bestuur

Publicatie van persoonsgegevens op internet wordt tot het uiterste beperkt. In de eerste plaats dient te worden afgewogen of aan publicatie van persoonsgegevens (spontaan zowel als op verzoek) niet valt te ontkomen. Als publicatie onontkoombaar is, dan wordt afgewogen of het publicatiemiddel internet het kanaal is waarlangs gepubliceerd wordt. De gemeente Beuningen hanteert daarbij als uitgangspunt de Richtsnoeren voor actieve openbaarmaking en de Richtsnoeren inzake de publicatie van persoonsgegevens op internet. Mocht publicatie van persoonsgegevens op internet noodzakelijk zijn, dan zullen die gegevens worden afgeschermd voor zoekmachines.

10. Plichten van de gemeente

Register van verwerkingen (Artikel 30, AVG)

De gemeente is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de gemeente de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

• -

  De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de

• -

  gezamenlijke verwerkingsverantwoordelijke;

• -

  De doelen van de verwerking;

• -

  Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;

• -

  Een beschrijving van de ontvangers van de persoonsgegevens;

• -

  Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

• -

  De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;

• -

  Een algemene beschrijving van de beveiligingsmaatregelen.

Het verwerkingsregister van de gemeente Beuningen is een levend document, deze wordt doorlopend up to date gehouden met de nieuwste verwerkingen van persoonsgegevens. Het verwerkingsregister wordt online gepubliceerd. De laatste versie van het verwerkingsregister van de gemeente Beuningen is te vinden op de gemeentelijke website.

Data Protection Impact Assessment (DPIA): (Artikel 35, AVG)

Met een Data Protection Impact Assessment (DPIA) worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. De gemeente voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)

De gemeente heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de AP. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy.

Datalekken (Artikel 33,34, AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de gemeente dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de gemeente dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

Klachten

Als de gemeente een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van de gemeente worden behandeld. In gevallen waar het reglement niets over zegt, beslist het verantwoordelijke bestuursorgaan van de gemeente. Naast de reguliere klachtenprocedure is er ook de mogelijkheid om de Functionaris Gegevensbescherming direct te benaderen met een klacht. De FG treedt hierbij op als onafhankelijk persoon.

De betrokkene kan zijn of haar klacht of een verzoek tot bemiddeling ook indienen bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ 's Gravenhage.