Privacybeleid 2020-2024 gemeente Molenlanden

Geldend van 24-03-2020 t/m heden

Intitulé

Privacybeleid 2020-2024 gemeente Molenlanden

Het college van Molenlanden besluit het Privacybeleid en het Privacyreglement vast te stellen

Inhoud

  • 1.1 Totstandkoming 3

  • 1.2 Algemene oriëntatie, reikwijdte en positionering 3

  • 1.3 Opbouw privacyregels 4

  • 1.4 Wettelijke kaders de burgemeester, drs. T.C. Segers MBAvoor de omgang met gegevens 4

  • 2.1 Doel 5

  • 2.1 Uitgangspunten 5

  • 3.1 Taken en verantwoordelijkheden 7

  • Bijlage 1 Begrippenlijst 11

Binnen gemeente Molenlanden wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij inwoners voor het goed uitvoeren van de gemeentelijke wettelijke taken. De inwoner moet erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met persoonsgegevens omgaat. Iedereen heeft het recht op correcte, veilige en betrouwbare informatieverwerking.

Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen hoge eisen aan de bescherming van gegevens en privacy. De gemeente is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen te nemen op het gebied van bewustwording, transparantie, informatiebeveiliging, dataminimalisatie en gebruikerscontrole

Het bestuur en de directie spelen een cruciale rol bij het waarborgen van privacy. Gemeente Molenlanden geeft met dit beleid duidelijk aan dat en hoe privacy wordt gewaarborgd, beschermd en gehandhaafd.

1.1 Totstandkoming

De basis voor het privacybeleid van gemeente Molenlanden is te vinden in de Algemene Verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening Gegevensbescherming (UAVG). De AVG is Europese regelgeving en lidstaten hebben zeer beperkte vrijheid om aanvullende regelgeving vast te stellen. Nederland heeft zijn aanvullende regelgeving vastgelegd in de UAVG. Ook tools die beschikbaar gesteld zijn door de VNG en de IBD zijn meegenomen bij het creëren van dit privacybeleid.

1.2 Algemene oriëntatie, reikwijdte en positionering

Het naleven van de AVG vraagt een behoorlijke inzet van alle medewerkers van gemeente Molenlanden. Privacy is van toepassing op alle taken, processen, objecten en gegevensverzamelingen waar de gemeente verantwoordelijk voor is. Het heeft betrekking op persoonsgegevens van personen van wie gemeente Molenlanden gegevens verwerkt (of laat verwerken). Onder persoonsgegevens verstaan we alle informatie die direct of indirect herleidbaar is tot een identificeerbaar natuurlijk persoon.

Er is al snel sprake van het verwerken van persoonsgegevens. Het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorsturen, verspreiden, combineren, afschermen, wissen of vernietigen van gegevens valt allemaal onder het verwerken van persoonsgegevens. Verdere definities met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in de Algemene Verordening Gegevensbescherming

Als specifiek wordt gekeken naar de positionering van privacy in de organisatie gaat deze hand in hand met informatiebeveiliging en zijn ze onlosmakelijk met elkaar verbonden. Zonder een gedegen informatiebeveiligingsniveau in de organisatie, is het creëren van privacy van betrokkene niet mogelijk. Informatiebeveiliging is een randvoorwaarde voor de borging van privacy bij de verwerking van persoonsgegevens. Daarom is zowel het strategisch- als tactisch informatiebeveiligingsbeleid meegenomen bij het schrijven van dit privacybeleid om voldoende samenhang te creëren. In afbeelding 1 is te zien hoe het informatiebeveiligingsbeleid en het privacybeleid zich tot elkaar verhouden.

Afbeelding 1

afbeelding binnen de regeling

1.3 Opbouw privacyregels

Het privacybeleid geldt als algemeen beleid. Hierin zijn kaders beschreven, waarin wordt aangegeven aan welke principes gemeente Molenlanden zich houdt om te voldoen aan wet- en regelgeving. Gemeente Molenlanden heeft daarnaast een privacy reglement opgesteld. Dit reglement is een verdieping van het beleid. Hierin wordt aangegeven hoe de gemeente specifiek omgaat met privacy. Naast het privacy reglement zijn ook gedragsregels en verschillende procedures opgesteld zoals de procedure beveiligingsincidenten en datalekken om juist om te kunnen gaan met privacy kwesties in de organisatie.

1.4 Wettelijke kaders voor de omgang met gegevens

De juridische grondslag voor privacy is terug te vinden in wet- en regelgeving. De bescherming van privacy bij de verwerking van persoonsgegevens is een grondrecht. Dit is geregeld in:

  • Grondwet (art. 10)

  • Handvest van de grondrechten van de Europese Unie (EHRM)

  • Europees Verdrag voor de Rechten van de Mens (EVRM)

  • Internationaal Kinderrechtenverdrag (IVRK)

De belangrijkste Europese wet die op dit moment invulling geeft aan de bescherming van privacy van personen bij verwerking van persoonsgegevens is General Data Protection Regulations (GDPR). De GDPR ofwel AVG is rechtstreeks van toepassing in Nederland.

Verder is ook in specifieke regelgeving invulling gegeven aan de bescherming van privacy bij de verwerking van persoonsgegevens, zoals:

  • Wet maatschappelijke ondersteuning (Wmo)

  • Jeugdwet

  • Basisregistratie Personen (BRP)

Privacybeleid

2.1 Doel

Het doel van dit privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van privacyrechten van personen waarvan de gemeente Molenlanden persoonsgegevens verwerkt.

2.1 Uitgangspunten

De gemeente gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Iedereen werkzaam binnen de organisatie is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen. De gemeente houdt zich hierbij aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Degene van wie de persoonsgegevens zijn, is daarbij vooraf in duidelijke en eenvoudige taal geïnformeerd dat zijn of haar persoonsgegevens worden verwerkt en met welk doel. De gemeente gebruikt alleen correcte gegevens.

Grondslag en doelbinding

De gemeente zorgt ervoor dat persoonsgegevens alleen voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt door medewerkers, mits zij daarvoor gemandateerd zijn en het noodzakelijk is voor:

  • uitoefening van publieke taken;

  • nakoming van wettelijke plichten;

  • vrijwaring van vitale belangen voor de betrokkene(n);

  • totstandkoming of uitvoering van een overeenkomst waarbij een betrokkene partij is;

  • behartiging van een gerechtvaardigd belang van gemeente Molenlanden of een derde aan wie gegevens worden verstrekt, tenzij het recht op de bescherming van persoonsgegevens prevaleert;

  • toestemming van betrokkene.

Dataminimalisatie

De gemeente verwerkt alleen persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale persoonsgegevensverwerking. Waar mogelijk worden dus minder of geen persoonsgegevens verwerkt.

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

Integriteit en vertrouwelijkheid

De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de gemeente voor een passend beveiligingsniveau. Passende technische en organisatorische maatregelen die worden genomen zijn vastgelegd in het tactisch informatiebeveiligingsbeleid.

Delen met derden

In het geval van samenwerking met of uitbesteding van taken aan externe partijen, waarbij sprake is van verwerking van persoonsgegevens door externe partijen die afkomstig zijn van gemeente Molenlanden, dienen afspraken te worden gemaakt. In deze afspraken spreken gemeente en externe partijen af dat beide partijen voldoen aan de eisen die de wetgever stelt omtrent de verwerking en omgang van persoonsgegevens. Als sprake is van een relatie ‘verwerkingsverantwoordelijke’ ‘verwerker’ kunnen deze afspraken via een verwerkersovereenkomst worden gemaakt. De gemeente controleert deze afspraken.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken inwoner zoveel mogelijk beperkt. Als het doel bereikt kan worden op een andere manier zonder de privacy van de betrokkene te schaden, moet voor deze optie gekozen worden.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel. Er dient een redelijke verhouding aanwezig te zijn tussen het gekozen middel en het gewenste effect.

Rechten van betrokkenen

De gemeente honoreert alle rechten van betrokkenen. De rechten van betrokkenen met betrekking tot hun persoonsgegevens zijn:

  • Het recht om persoonsgegevens over te dragen;

  • Het recht om 'vergeten' te worden;

  • Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die de gemeente van hen verwerkt in te zien;

  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die de gemeente verwerkt te corrigeren;

  • Recht op beperking van verwerking. Het recht om minder gegevens te laten verwerken;

  • Het recht op een menselijke beschouwing in processen van geautomatiseerde; besluitvorming en profilering. Oftewel het recht op een menselijke blik bij besluiten;

  • Recht om bezwaar te maken tegen de gegevensverwerking.

Evenredigheid grondrechten

De verwerking van persoonsgegevens staat ten dienste van de mens. Het recht op bescherming van persoonsgegevens moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. De AVG eerbiedigt alle grondrechten als ook het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht (overweging nr. 4 in de AVG).

Organisatie van privacy

3.1 Taken en verantwoordelijkheden

Het college van B&W is eindverantwoordelijk, maar iedereen binnen de organisatie is verantwoordelijk voor de bescherming van privacy van betrokkenen. In onderstaande tabel zijn verantwoordelijkheden in beeld gebracht aan de hand van het RASCI-model:

Verantwoordelijkheid

Rol

R

Responsible/feitelijk verantwoordelijk

Gemeentesecretaris

Proceseigenaar/projectleider

Alle medewerkers (inclusief inhuur en externen)

A

Accountable/eindverantwoordelijk

Het college van B&W

S

Supporting/uitvoerend

Proceseigenaar/projectleider

Alle medewerkers (inclusief inhuur en externen)

C

Consulted/adviserend, controlerend

Functionaris van de Gegegevensbescherming

Privacy Officer

I

Informed/geïnformeerd

Gemeenteraad (privacy is een bestuurlijke toezichtstaak)

Belanghebbenden

College van burgemeester en wethouders

Het college van burgemeester en wethouders:

  • Is eindverantwoordelijk voor het waarborgen dat persoonsgegevens worden beschermd in overeenstemming met wet- en regelgeving en op een behoorlijke en zorgvuldige wijze. Er is een directe relatie met de beginselen van behoorlijk bestuur;

  • Stelt kaders voor de bescherming van privacy op basis van wet- en regelgeving;

  • Voert een proactief privacybeleid op basis van afweging van belangen en risico's bij de verwerking van persoonsgegevens, zodat dit evenwichtig plaatsvindt. Dat wil zeggen; behoorlijk, zorgvuldig en in overeenstemming met de wet;

  • Legt verantwoording af aan de gemeenteraad over privacy beleidsvoering;

  • Draagt zorg voor de documentatie van beleid en maatregelen zodat het op ieder moment maatschappelijk en juridisch uitleg kan geven over de juistheid van de aanpak.

Functionaris voor de Gegevensbescherming (FG)

De FG wordt aangewezen op grond van: (a) zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van wetgeving en privacy (b) zijn vermogen om de onderstaande taken te vervullen en (c) zijn onafhankelijkheid – met name de afwezigheid van belangenconflict. Hij oefent zijn rol uit in samenwerking met de PO.

De FG:

  • Houdt toezicht op de nakoming van het privacybeleid en achterliggende wettelijke verplichtingen.

  • Helpt privacyklachten tot een goed einde te brengen (privacy-ombudsman).

  • Adviseert bij privacyincidenten over ernst en omvang.

  • Ziet toe op het beheer van register van verwerkingen conform artikel 30 AVG.

  • Controleert de naleving van afspraken door gemeente Molenlanden en ketenpartners, eventueel ook in samenwerking met auditors.

  • Helpt het privacybeleid uit te dragen bij interne en externe doelgroepen.

  • Is het contactpunt voor landelijke privacytoezichthouders.

  • Heeft toegang tot alle persoonsgegevens in de organisatie en de verwerkingsactiviteiten daarvan.

  • Wordt betrokken bij alles wat verband houdt met de bescherming van persoonsgegevens.

  • Is verplicht tot geheimhouding en vertrouwelijkheid.

  • Ziet toe op het toewijzen van verantwoordelijkheden, bewustwording en opleiding van de organisatie op het gebied van de bescherming van persoonsgegevens.

  • Geeft advies over Privacy Impact Analyses (PIA).

  • In samenspraak met de Privacy Officer evalueren van het privacybeleid, opstellen van voorstellen tot implementatie en aanpassingen van het privacybeleid.

De FG krijgt de nodige ruimte voor professionele uitvoering van taken:

  • Het college en proceseigenaren zorgen ervoor dat de FG naar behoren en tijdig wordt betrokken bij de verwerking van persoonsgegevens.

  • De FG wordt volledig geïnformeerd over aspecten van de bedrijfsvoering waarbij persoonsgegevens worden verwerkt of wanneer daartoe voornemens bestaan.

  • Het college en proceseigenaren ondersteunen de FG door hem op zijn verzoek toegang te geven tot de verwerking van persoonsgegevens en hem de middelen te bieden voor professioneel onderzoek.

  • De FG kan vrij en onafhankelijk advies geven.

De zienswijze van de FG is zwaarwegend. Hij doet jaarlijks verslag van zijn werkzaamheden aan het college van B&W. De raad wordt via de planning en control cyclus (onderdeel van jaarrekening) geïnformeerd.

De FG maakt jaarlijks een werkprogramma privacy, mede op basis van zijn jaarrapportage van het jaar ervoor en de aanbevelingen die hierin gedaan worden. Het werkprogramma wordt samengesteld in overleg met de Privacy Officer. Het is gericht op het realiseren en in stand houden van een privacy bestendige bedrijfscultuur binnen gemeente Molenlanden.

Privacy Officer

  • Bevordert, en adviseert de organisatie gevraagd en ongevraagd, over de bescherming van persoonsgegevens.

  • Controleert en evalueert de naleving van wet- en regelgeving en het door het college vastgestelde beleid met betrekking tot de bescherming van persoonsgegevens.

  • Evalueert, in samenspraak met de FG, het privacybeleid, doet voorstellen tot implementatie en aanpassingen van het privacybeleid.

  • Rapporteert rechtstreeks aan de FG.

  • Heeft regelmatig overleg met de FG over de status op privacygebied

  • Informeert en adviseert het college, proceseigenaren en de directie over de werking van het privacybeleid en nakoming van achterliggende wettelijke verplichtingen in samenwerking met de FG (heeft de lead in interpretatie van privacywetgeving).

  • Beheert het Privacy Beleid.

Directie

  • Directie zorgt voor de randvoorwaarden waarin FG en PO hun rol kunnen uitoefenen in termen van capaciteit en instrumenten.

  • Zorgt dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

Organisatie

Alle medewerkers (inclusief inhuur/externen) zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen. Dat betekent dat iedereen zorg draagt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens.

Proceseigenaren

De gemeentesecretaris is verantwoordelijk voor de uitoefening van gemeentelijke taken binnen de grenzen van het privacybeleid en -reglement.

  • De gemeentesecretaris is 'hoofdproceseigenaar'.

  • De hoofdproceseigenaar mandateert in de praktijk verantwoordelijkheden aan verschillende medewerkers. Dit zijn 'subproceseigenaren'.

  • Het college blijft eindverantwoordelijk voor de privacybestendigheid van gemeentelijke processen als de 'verantwoordelijke' in de zin van de Algemene verordening gegevensbescherming (AVG).

Subproceseigenaren (hierna proceseigenaren) voeren regie over hun proces(sen) op basis van procesplannen die voldoende overzicht bieden van de procesvoering voor effectieve sturing. Een procesplan dient te passen binnen dit privacybeleid en is steeds in overeenstemming met de feitelijke situatie.

Een proceseigenaar houdt proactief toezicht op de privacybestendigheid van zijn proces en documenteert keuzes en oplossingen als bijlagen van het procesplan. Hij stelt, indien nodig, ook voor het betreffende organisatieonderdeel, een specifiek privacybeleid op en legt het aan het college voor ter vaststelling.

De proceseigenaar zorgt voor naleving van wet- en regelgeving en het privacybeleid (rechtmatige, behoorlijke en transparante verwerking, bewustwording, gebruikt en evalueert PIA's, past 'Privacy by design/default' toe en zorgt voor registratie van verwerkingsactiviteiten etc.). Rapporteert hierover aan de directie en zorgt dat de FG tijdig en naar behoren wordt betrokken.

Verantwoording en evaluatie

Het privacybeleid wordt jaarlijks geëvalueerd. Hierover wordt gerapporteerd door de FG aan het college van B&W in een jaarrapportage. Het college ziet er daarnaast op toe dat de informatieveiligheid van de gemeenten in lijn met de geldende normen wordt georganiseerd. Daarnaast rapporteert het college van B&W aan de gemeenteraad in de jaarrekening.

Dit privacybeleid treedt in werking na vaststelling door het college van burgemeester en wethouders. Het beleid wordt in ieder geval iedere drie jaar geëvalueerd en voor zover nodig eerder, en indien nodig herzien. De geldende versie van dit beleid is te vinden op www.overheid.nl.

Ondertekening

Vastgesteld tijdens de collegevergadering van de gemeente Molenlanden,

gehouden op 25 februari 2020.

de secretaris,

drs. F. Jonker

de burgemeester,

drs. T.C. Segers MBA

Begrippenlijst

Dataminimalisatie:

Het alleen verwerken van persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel

FG:

Functionaris voor de Gegevensbescherming

IBD:

Informatiebeveiligingsdienst

PIA:

Privacy Impact Assessment; een instrument om vooraf privacy risico’s van een gegevensstroom in kaart te brengen

PO:

Privacy Officer

Privacy by design:

In een vroeg stadium moet zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens worden afgedwongen, vaak bij de ontwikkeling van producten en diensten.

Privacy by default:

Standaardinstellingen staat altijd zo privacy- vriendelijk mogelijk ingesteld.

RASCI-model:

Het RASCI-model is een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden van de personen die bij een project of werkzaamheden betrokken zijn weer te geven.

VNG:

Vereniging van Nederlandse Gemeenten