CVDR406015_1Verordening Privacy Gemeente Geldrop-Mierlo 2016nlregelingGeldrop-Mierlo2017-10-24Geldrop-MierloGemeenteblad, 23 mei 2016 nr. 64765Verordening Privacy Gemeente Geldrop-Mierlo 2016Gemeentewet, artikelen 147 en 149Wet bescherming persoonsgegevensgemeenteraadbestuur en recht2015-12-14De tekst in dit document is vrij van auteursrecht en
databankrecht2016-01-01Nieuwe regelingRV GM2015.0558PrivacyGeenGeenVerordening Privacy Gemeente Geldrop-Mierlo 2016Verordening Privacy Gemeente Geldrop-Mierlo 2016De raad van de gemeente Geldrop-Mierlo;gelezen het raadsvoorstel RV GM2015.0558 van burgemeester en wethouders
d.d. 3 november 2015;gelet op de artikelen 147 en 149 van de Gemeentewet en de Wet
bescherming persoonsgegevens;overwegende dat het noodzakelijk is regels vast te stellen om een
behoorlijke en zorgvuldige verwerking van persoonsgegevens in
overeenstemming met de Wet bescherming persoonsgegevens te
waarborgen,Besluit:Vast te stellen de Verordening Privacy Gemeente Geldrop-Mierlo
20161Begripsbepaling en reikwijdte1begripsomschrijvingenIn aansluiting bij en in aanvulling op de begripsomschrijvingen van de
Wet bescherming persoonsgegevens wordt in het bij of krachtens deze
verordening bepaalde verstaan onder:
afdelingen: de organisatorische eenheden van de ambtelijke
organisatie van de gemeente;
afdelingsbeheerder: degene die namens de verantwoordelijke is
belast met de dagelijkse zorg voor het onderhoud en het gebruik
van de verwerking van persoonsgegevens binnen diens afdeling in
overeenstemming met het bij of krachtens de wet en deze
verordening bepaalde;
belanghebbende: degene wiens belang rechtstreeks bij een
bepaalde verwerking van persoonsgegevens is betrokken;
burgemeester: de burgemeester van de gemeente
Geldrop-Mierlo;
college: het college van burgemeester en wethouders van de
gemeente Geldrop-Mierlo;
CBP: het College Bescherming Persoonsgegevens als bedoeld in
artikel 51 van de wet;
centraal register: het register als bedoeld in artikel 12 van
deze verordening;
coördinator informatiebeveiliging: de door het bestuur van
Dienst Dommelvallei en het college aangewezen natuurlijke
persoon belast met de ondersteuning van de privacy beheerder
voor zaken betreffende het informatiebeveiligingsbeleid, alsmede
techniek en technologie in brede zin. Is op organisatieniveau
verantwoordelijk voor het actueel houden van het
informatiebeveiligingsbeleid, het adviseren bij projecten en het
managen van risico’s evenals het opstellen van rapportages;
controller informatiebeveiliging: de door het bestuur van Dienst
Dommelvallei en het college aangewezen natuurlijke persoon
belast met de ondersteuning van de privacy beheerder voor zaken
betreffende het informatiebeveiligingsbeleid, alsmede techniek
en technologie in brede zin. Is op organisatieniveau
verantwoordelijk voor de verbijzonderde interne controle op de
naleving van het informatiebeveiligingsbeleid, de realisatie van
voorgenomen veiligheidsmaatregelen en de escalatie van
beveiligingsincidenten.
privacy beheerder: de door het college aangewezen natuurlijke
persoon belast met de coördinatie van de gegevensbescherming
binnen de gemeente overeenkomstig het bij of krachtens de wet en
deze verordening bepaalde;
de wet: de Wet bescherming persoonsgegevens;
Dienst Dommelvallei: het openbaar lichaam ingesteld krachtens de
gemeenschappelijke regeling Dienst Dommelvallei;
gemeente: de gemeente Geldrop-Mierlo;
informatiebeveiligingsbeleid: het door Dienst Dommelvallei
opgestelde en daar in beheer zijnde informatiebeveiligingsbeleid
van de Dommelvallei organisaties, zijnde de gemeenten
Geldrop-Mierlo, Nuenen en Son & Breugel en Dienst
Dommelvallei;
medewerker: de natuurlijke persoon die in dienst is van de
gemeente, dan wel de natuurlijke persoon die anderszins in een
hiërarchische relatie tot de gemeente staat;
raad: de gemeenteraad van de gemeente Geldrop-Mierlo;
verantwoordelijke: de natuurlijke persoon, rechtspersoon of
ieder ander die of het bestuursorgaan dat, alleen of tezamen met
anderen, het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt;
werkgroep privacy: een gemeentebrede overlegstructuur in het
kader van de uitvoering en ter waarborging van het bij of
krachtens de wet en deze verordening bepaalde;
2reikwijdteDeze verordening is van toepassing op alle verwerkingen van
persoonsgegevens die plaatsvinden binnen de afdelingen en
bestuursorganen van de gemeente en die vallen onder de werkingssfeer van
de wet.2Organisatorisch kader3privacy beheerder1.Het college benoemt een privacy beheerder.2.Tot de taken en verantwoordelijkheden van de privacy beheerder
behoren in elk geval:
de coördinatie van en het toezicht houden op het bij of
krachtens de wet en deze verordening bepaalde;
het informeren en adviseren van de medewerkers en het
college over ontwikkelingen die relevant zijn voor een
behoorlijke en zorgvuldige verwerking van
persoonsgegevens;
het beheer van het centraal register, als bedoeld in artikel
12 van deze verordening;
het functioneren als contactpersoon voor zaken betreffende
de verwerking van persoonsgegevens;
het doen van meldingen bij het CBP als bedoeld in artikel 27
van de wet.
3.Het college kan nadere regels stellen omtrent de in lid 2 genoemde
taken en verantwoordelijkheden.4Afdelingsbeheerder1.Het college benoemt de hoofden van de afdelingen tot
afdelingsbeheerder ieder voor wat betreft de verwerkingen van
persoonsgegevens die plaatsvinden binnen zijn of haar afdeling.2.De afdelingsbeheerder neemt namens de verantwoordelijke en, indien
voor de verwerking niet reeds aangemerkt als de verantwoordelijke,
het college de nodige stappen teneinde te voldoen aan het bij of
krachtens de wet en deze verordening bepaalde.3.Tot de taken en verantwoordelijkheden van de afdelingsbeheerder
behoren in elk geval:
het inzichtelijk maken van de werkprocessen en bijbehorende
verwerkingen van persoonsgegevens;
het bij de privacy beheerder met een of meer door het
college vastgesteld(e) formulier(en) melden van een
(wijziging of beëindiging van een) verwerking ten behoeve
van opname in het centraal register, alsmede het beoordelen
hiervan in het licht van de meldingsplicht en andere uit de
wet voortvloeiende verplichtingen;
het informeren en adviseren van de werkgroep privacy over
ontwikkelingen die relevant zijn voor een behoorlijke en
zorgvuldige verwerking van persoonsgegevens.
4.Het college kan nadere regels stellen omtrent de in lid 3 genoemde
taken en verantwoordelijkheden.5werkgroep privacy1.Binnen de gemeente bestaat een werkgroep privacy onder het
voorzitterschap van de privacy beheerder.2.De gemeentesecretaris wijst, na overleg met de privacy beheerder,
medewerkers aan die met wederzijdse instemming deelnemen aan de
werkgroep privacy.3.De werkgroep bestaat uit de privacy beheerder, de coördinator
informatiebeveiliging, de controller informatiebeveiliging en de in
lid 2 genoemde medewerkers.4.De werkgroep privacy komt bijeen:
zo vaak als nodig, doch tenminste tweemaal per jaar;
onverwijld, indien de omstandigheden daartoe noodzaken;
wanneer de privacy beheerder dit nodig acht.
5.Tot de taken en verantwoordelijkheden van de werkgroep privacy
behoren in elk geval:
het verzorgen van een tweejaarlijkse evaluatie van de
uitvoering van het bij of krachtens de wet en deze
verordening bepaalde;
het stimuleren van een voortdurende ontwikkeling en
actualisering van procedures en mechanismen betreffende de
verwerking van persoonsgegevens;
het functioneren als klankbord voor medewerkers en
(individuele) leden van de werkgroep;
het organiseren van activiteiten die een voortdurende
bewustwording ten aanzien van privacy en gegevensbescherming
ten doel hebben.
6.Het college kan nadere regels stellen omtrent de in lid 5 genoemde
taken en verantwoordelijkheden.3Beveiliging en bewaren van persoonsgegevens6technische en organisatorische maatregelen1.Het college waarborgt een passend beveiligingsniveau van
persoonsgegevens door middel van het hebben, onderhouden en naleven
van technische en organisatorische maatregelen, neergelegd in een
informatiebeveiligingsbeleid.2.De afdelingsbeheerder draagt binnen zijn afdeling zorg voor de
inventarisatie van de risico’s die samenhangen met de verwerkingen
van persoonsgegevens en de naar aanleiding daarvan vereiste
maatregelen en stelt de privacy beheerder, de verantwoordelijke en,
indien voor de verwerking niet reeds aangemerkt als de
verantwoordelijke, het college hiervan op de hoogte.3.Het college zal, naar aanleiding van de in lid 2 geïnventariseerde
risico’s, indien noodzakelijk, in overleg treden met het bestuur van
de Dienst Dommelvallei over te treffen noodzakelijke maatregelen en
aanpassing van het informatiebeveiligingsbeleid.7bewerkersovereenkomst1.De afdelingsbeheerder draagt er zorg voor dat een verwerking van
persoonsgegevens die tot zijn afdeling behoort en die wordt
uitgevoerd door een bewerker, wordt geregeld in een overeenkomst of
krachtens een andere rechtshandeling waardoor een verbintenis
ontstaat in overeenstemming met artikel 14 van de wet. 2.Het college kan nadere regels stellen omtrent de wijze van sluiten
en inhoud van de in lid 1 genoemde overeenkomst of andere
rechtshandeling.8bewaren persoonsgegevens1.De afdelingsbeheerder stelt voor zijn afdeling procedures en
mechanismen vast die waarborgen dat:
persoonsgegevens worden opgeslagen, bewaard en vernietigd
conform de eisen in de wet en het
informatiebeveiligingsbeleid;
persoonsgegevens niet langer worden bewaard in een vorm die
het mogelijk maakt de betrokkene te identificeren, dan
noodzakelijk is voor de verwezenlijking van de doeleinden
waarvoor zij worden verzameld of vervolgens worden
verwerkt.
2.Het college kan nadere regels stellen omtrent het bewaren en
vernietigen van persoonsgegevens als bedoeld in lid 1. 4Informatieverstrekking en rechten betrokkenen9informatieverstrekking raadHet college stelt de raad op de hoogte van de resultaten van de
tweejaarlijkse evaluatie als bedoeld in artikel 5 lid 5 sub a van deze
verordening.10informatieverstrekking en rechten betrokkenen1.De afdelingsbeheerder stelt voor zijn afdeling procedures en
mechanismen vast ten behoeve van:
de informatieverstrekking aan betrokken als bedoeld in
hoofdstuk 5 van de wet;
de rechten van betrokkenen als bedoeld in hoofdstuk 6 van de
wet.
2.De procedures en mechanismen worden ter goedkeuring voorgelegd aan
de privacy beheerder en ten minste eenmaal per jaar
geëvalueerd.3.Het college kan nadere regels stellen omtrent de in lid 1 genoemde
procedures en mechanismen.5Centraal register11centraal register1.De privacy beheerder stelt, namens het college, een centraal
register in dat is bestemd voor de inschrijving van verwerkingen van
persoonsgegevens waarop deze verordening van toepassing is. 2.De privacy beheerder is, namens het college, belast met het beheer
van het centraal register, waaronder de zorg voor de juistheid en
volledigheid ervan. De privacy beheerder mag daarbij in beginsel
vertrouwen op hetgeen hem door de afdelingsbeheerder wordt
medegedeeld. 3.Bij de inschrijving worden de volgende gegevens vermeld:
de verantwoordelijke;
de naam van de verwerking;
de betreffende afdeling en cluster;
de doeleinden van de verwerking;
de gronden van de verwerking;
de herkomst/verkrijgingswijze van de persoonsgegevens;
de personen van wie persoonsgegevens worden verwerkt
(betrokkenen);
de persoonsgegevens die worden verwerkt;
de ontvangers aan wie de gegevens kunnen worden
verstrekt;
de bewaartermijn van de gegevens;
een algemene omschrijving van de
beveiligingsmaatregelen;
indien van toepassing, doorgifte aan landen buiten de
EU;
indien van toepassing, de bewerker;
het meldingsnummer bij het CPB dan wel de
vrijstellingsgrond;
eventuele bijzonderheden.
4.Bij wijziging van een of meer van de onder lid 3 genoemde gegevens
wordt de verwerking in het centraal register aangepast. 5.Bij beëindiging van een verwerking wordt de verwerking in het
centraal register doorgehaald.6.Het college kan nadere regels stellen omtrent het beheer van het
centraal register. 6Toezicht en controle12toezicht1.Op de verwerking van persoonsgegevens en de naleving van het bij of
krachtens de wet en deze verordening bepaalde wordt toezicht
uitgeoefend door het college.2.Voor de uitoefening van zijn toezichthoudende functie wordt het
college terzijde gestaan door de privacy beheerder. Artikel 3 lid 2
sub b van deze verordening is van overeenkomstige toepassing. De
privacy beheerder beschikt voor dit doel over alle bevoegdheden die
daarvoor redelijkerwijs noodzakelijk zijn te achten. Ingeval van
twijfel of verschil van mening daaromtrent beslist het college.3.De personen die bij een onder deze verordening vallende verwerking
van persoonsgegevens zijn betrokken, verstrekken desgevraagd de
privacy beheerder alle inlichtingen en verlenen hem alle overige
medewerking die hij voor de uitoefening van zijn taak behoeft.4.De privacy beheerder heeft toegang tot alle ruimten, waar een onder
deze verordening vallende verwerking van persoonsgegevens
plaatsvindt. Hij is bevoegd apparatuur, programmatuur, boeken,
bescheiden en andere gegevensdragers te onderzoeken en zich de
werking van apparatuur en programmatuur te doen tonen. Uitgezonderd
zijn het Reisdocumenten Aanvraag en Afgifte Station en het Nieuw
Rijbewijs Document systeem. 5.De privacy beheerder rapporteert over zijn bevindingen aan het
college en aan de afdelingsbeheerder onder wie de verwerking
ressorteert en adviseert hen over eventueel te nemen maatregelen.
6.Het college kan nadere regels stellen omtrent de in dit artikel
genoemde taken en bevoegdheden van de privacy beheerder. 13onderzoek1.De privacy beheerder kan ambtshalve een onderzoek instellen naar de
wijze waarop ten aanzien van de verwerking van persoonsgegevens
toepassing wordt gegeven aan het bij of krachtens de wet en deze
verordening bepaalde.2.Het in artikel 12 lid 3 en lid 4 van deze verordening bepaalde is
van overeenkomstige toepassing.3.De privacy beheerder doet mededeling van zijn voorlopige bevindingen
aan het college en de belanghebbenden die bij het onderzoek zijn
betrokken en stelt hen in de gelegenheid hun zienswijze daarop te
geven.4.De privacy beheerder doet mededeling van zijn conclusies en
aanbevelingen aan het college en de belanghebbenden die bij het
onderzoek zijn betrokken.5.Een mededeling aan belanghebbende als bedoeld in lid 3 en lid 4
blijft achterwege indien zodanige mededeling onverenigbaar is met
het doel van de gegevensverwerking of de aard van de
persoonsgegevens, dan wel gewichtige belangen van anderen dan de
belanghebbende, de verantwoordelijke daaronder begrepen, daardoor
onevenredig zouden worden geschaad. Indien het college mededeling
van zijn bevindingen achterwege laat, zendt het de belanghebbende
zodanig bericht als hem geraden voorkomt.6.Het college kan nadere regels stellen omtrent de op in dit artikel
genoemde taken en bevoegdheden van de privacy beheerder.7Slotbepalingen15hardheidsclausuleDe verantwoordelijke kan van deze verordening afwijken, voor zover
toepassing daarvan voor de betrokkene gevolgen zou hebben die wegens
bijzondere omstandigheden onevenredig zijn in verhouding tot de met de
verordening te dienen doelen. De Wbp dient hierbij wel in acht te worden
genomen. 16onvoorziene omstandighedenIn de gevallen waarin het bij of krachtens deze verordening bepaalde
niet voorziet of daaromtrent onduidelijkheid bestaat beslist het
college.17inwerkingtreding en citeertitel
Deze verordening treedt in werking op 1 januari 2016
Deze verordening kan worden aangehaald onder de titel
Verordening Privacy Gemeente Geldrop-Mierlo 2016.
Aldus vastgesteld in de openbare raadsvergadering van 14 december
2015De raad voornoemd,G.A.A. van Luijn B.H.M. Linkgriffier voorzitterToelichting verordeningAlgemeenDe gemeente Geldrop-Mierlo verwerkt persoonsgegevens, dat wil zeggen elk gegeven
betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Privacy speelt daarbij een belangrijke rol. Wet- en regelgeving spreken in dat
kader veelal van de bescherming van de persoonlijke levenssfeer. Het algemeen
juridisch kader voor privacy is neergelegd in de Wet bescherming
persoonsgegevens (Wbp). Op grond van deze wet dienen deze gegevens op een
behoorlijke en zorgvuldige wijze te worden verwerkt. Kernbegrippen daarbij zijn
doeleinden, grondslag en noodzakelijkheid. Deze wet stamt echter nog uit de tijd
voor de digitale revolutie en zaken alleen nog ‘op papier’ stonden. Met de op
komst zijnde Europese verordening, de Algemene Verordening Gegevensbescherming,
komt er een vernieuwd en aangescherpt juridisch kader dat beter aansluit bij de
hedendaagse praktijk. Bovendien krijgt het CBP meer mogelijkheden om dit kader
te handhaven, onder meer door het opleggen van hoge boetes.De rol van privacy is lange tijd onderbelicht geweest. Zo werd het belang van
privacy vrijwel altijd ondergeschikt geacht aan het belang van veiligheid. De
gemiddelde burger leek zich ook niet zo te interesseren in privacy en een
veelgehoorde reactie was dan ook “van mij mogen ze alles weten, want ik heb
niets te verbergen”. Het delen van allerlei persoonlijke gegevens via sociale
media zonder te letten op privacy instellingen was dan ook aan de orde van de
dag. Sinds kort lijkt er echter sprake te zijn van een kentering. In Europa is
op dit moment volop aandacht voor privacy, zoals ook blijkt uit de Europese
verordening. Burgers zijn zich ook steeds meer bewust van welke informatie zij
met welke partijen delen. Een zorgverzekeraar die de beschikking krijgt over
gezondheidsgegevens kan bijvoorbeeld besluiten dat iemand niet in aanmerking
komt voor een bepaalde verzekering. De gedachte om volledig met rust te worden
gelaten is in het digitale tijdperk echter een illusie. De huidige invulling van
privacy kenmerkt zich dan ook met name door het streven naar een behoorlijke en
zorgvuldige omgang met persoonsgegevens en de positie van betrokkenen zodanig te
versterken dat zij ‘in control’ komen van hun eigen persoonlijke gegevens. Twee inhoudelijke opmerkingen vooraf. In de verordening wordt op verschillende
plaatsen de zinsnede “procedures en mechanismen” aangehaald. Dit dient breed te
worden uitgelegd. Er kan gedacht worden aan stappenplannen en checklisten, maar
bijvoorbeeld ook aan folders en brochures. Bovendien kan het systeem zodanig
worden ingesteld dat bepaalde zaken ingevuld moeten worden voordat het proces
kan worden voortgezet. Het afschermen of ontoegankelijk maken van
systeemonderdelen behoort eveneens tot de mogelijkheden. Kortom, praktische
maatregelen die moeten bijdragen aan een behoorlijke en zorgvuldige omgang met
persoonsgegevens. De verantwoordelijkheid voor het treffen van deze maatregelen
wordt neergelegd bij de afdelingsbeheerders. Zij hebben het beste zicht op wat
er binnen hun afdeling plaatsvindt, op welke wijze te werk wordt gegaan en waar
eventuele risico’s liggen. Daarnaast is van belang voor ogen te houden dat de verordening met de Wbp als
vertrekpunt is geschreven. Wanneer in bijzondere wetgeving niets wordt genoemd
is de Wbp van toepassing. Bijzondere wetgeving kan echter voor afwijkende en
aanvullende eisen zorgen. De Wet bevordering integriteitsbeoordelingen door het
openbaar bestuur (Wet Bibob) is hiervan een belangrijk voorbeeld. Ten overvloede
wordt opgemerkt dat hoewel de bijzondere wetgeving niet expliciet in de
verordening wordt genoemd, deze onverkort van toepassing is als een verwerking
van persoonsgegevens onder het bereik van die bijzondere wet valt. Door het in
kaart brengen van de werkprocessen en bijbehorende verwerkingen van
persoonsgegevens kan binnen de afdeling worden beoordeeld welke bijzondere
wetgeving een rol speelt en hoe aan de daarin neergelegde eisen tegemoet kan
worden gekomen.Daarnaast is van belang te vermelden dat er verwerkingen van persoonsgegevens
zijn waarop de Wbp in zijn geheel niet van toepassing is. Deze verwerkingen
kennen hun eigen wet- en regelgeving. Een voorbeeld hiervan is de Wet
basisregistratie personen. Het kader voor de verwerkingen van persoonsgegevens
waarop de Wet basisregistratie personen van toepassing is de Verordening
gemeentelijke basisregistratie personen Geldrop-Mierlo. Hoofdstuk 1 Begripsbepaling en reikwijdteDit hoofdstuk bevat de definities die zowel gelden voor de verordening als
daarop gebaseerd beleid. Voor de reikwijdte van de verordening is aangesloten
bij de Wet bescherming persoonsgegevens. In het kader van deregulering is ervoor
gekozen slechts een beperkt aantal bepalingen van deze wet (expliciet) te laten
terugkomen in de verordening. Zo worden de wettelijke algemene uitgangspunten,
dat wil zeggen de voorwaarden voor een rechtmatige verwerking van
persoonsgegevens, bekend verondersteld en niet opnieuw herhaald. Hoofdstuk 2 Organisatorisch kaderIn de hoofdregel zal het college of de burgemeester juridisch worden aangemerkt
als de verantwoordelijke in de zin van de wet. Voor de feitelijke verwerking van
persoonsgegevens binnen de organisatie is echter van belang dat duidelijk is wie
waarvoor verantwoordelijkheid draagt. Dit hoofdstuk legt daarvoor de basis, maar
biedt tegelijkertijd het college de mogelijkheid om dit nader in te vullen. De afdelingshoofden fungeren als afdelingsbeheerder en dragen zorg voor de
verwerkingen van persoonsgegevens die plaatsvinden binnen hun afdeling.
Belangrijk onderdeel daarvan is het in kaart brengen en blijven monitoren van de
werkprocessen en de persoonsgegevens die daarbij worden verwerkt. Interne
transparantie en duidelijkheid zijn immers belangrijke voorwaarden voor het
slagen van een privacybeleid. De privacy beheerder heeft een coördinerende, adviserende en toezichthoudende
functie en draagt met name zorg voor organisatiebrede zaken. Benadrukt dient te
worden dat de privacy beheerder geen taken van de afdelingsbeheerder overneemt,
noch voor hen verantwoordelijk is. De afdelingsbeheerder draagt zelf de
verantwoording voor de afdeling. Er is tevens een coördinator
informatiebeveiliging en een controller informatiebeveiliging, beiden werkzaam
bij Dienst Dommelvallei. In het kader van automatisering en beveiliging is een
grondige kennis van systemen en programmatuur noodzakelijk.Tot slot bestaat er een werkgroep privacy die bijdraagt aan een organisatiebreed
privacybewustzijn. Door medewerkers van de verschillende afdelingen hierin te
laten plaatsnemen, wordt de hele organisatie betrokken. Bovendien kan de privacy
beheerder zijn taken effectiever uitoefenen doordat hij via de medewerkers beter
op de hoogte is van wat er binnen de gemeentelijke organisatie speelt.Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevensDe afdelingsbeheerder draagt er zorg voor dat duidelijk is welke risico’s er
binnen zijn of haar afdeling zijn en welke maatregelen naar aanleiding daarvan
genomen moeten worden, een zogeheten risico inventarisatie & evaluatie. Dit
wordt teruggekoppeld aan het college en de privacy beheerder zodat, indien
nodig, het informatiebeveiligingsbeleid kan worden aangepast. Een belangrijk
aspect daarbij is ook dat de afdelingsbeheerder er zorg voor draagt dat met
bewerkers in het kader van een verwerking van persoonsgegevens die toebehoort
aan zijn of haar afdeling bindende afspraken worden gemaakt. Tot slot is van
belang dat persoonsgegevens op de juiste manier worden opgeslagen, bewaard en
vernietigd. Daarbij moet onder meer worden gelet op termijnen en
bewaarlocaties.Hoofdstuk 4 Informatieverstrekking en rechten betrokkenenDe raad wordt uit oogpunt van transparantie en controle middels de resultaten
van de tweejaarlijkse evaluatie (elke twee jaar) op de hoogte gehouden van de
uitvoering van het bij of krachtens de wet en deze verordening bepaalde. De
informatieverstrekking aan de betrokkenen op initiatief van de gemeente is een
wettelijke plicht en vormt een uitwerking van het transparantiebeginsel. Dit kan
onder meer met brochures en folders. Betrokkenen kunnen daarnaast een beroep
doen op het recht van inzage, correctie en verzet. Het is wenselijk dat elke
afdeling hiervoor procedures en mechanismen opstelt. De privacy beheerder heeft
een goedkeurende rol. Op die manier kan hij de afdelingsbeheerder vooraf wijzen
op eventuele risico’s en kunnen problemen worden voorkomen.Hoofdstuk 5 Centraal registerIn dit hoofdstuk wordt aangesloten bij de melding als bedoeld in artikel 27-30
van de wet, alsmede bij de documentatieplicht zoals die komt te luiden in
artikel 28 van de Algemene verordening gegevensbescherming (EU). Het centraal
register bevat de verwerkingen van persoonsgegevens die onder de reikwijdte van
deze gemeentelijke verordening vallen. Dit overzicht is onmisbaar voor een
effectief privacybeleid.Hoofdstuk 6 Toezicht en controleEr moet voor worden gewaakt dat deze verordening, en in bredere zin het
privacybeleid, geen papieren tijger wordt en in een bureaulade verdwijnt.
Controle en toezicht op de naleving hiervan zijn daarom vereist. Dit komt tot
uiting in de toezichthoudende taak van de privacy beheerder die daarvoor ook de
benodigde bevoegdheden heeft. Tevens kan hij ambtshalve een onderzoek instellen.
Artikel 14 derde lid van deze verordening is gebaseerd op artikel 60 Wbp. Hoofdstuk 7 SlotbepalingenPrivacy, daaronder begrepen de verwerking van persoonsgegevens, is bij uitstek
een dynamisch onderwerp dat voortdurend aan verandering onderhevig is. Daarbij
spelen maatschappelijke opvattingen een rol. Van grote invloed zijn zeker ook
ontwikkelingen op het gebied van techniek en technologie, zoals de toenemende
digitalisering. Dit hoofdstuk bevat daarom naast een hardheidsclausule, welke
overigens terughoudend moet worden toegepast gelet op precedentwerking, een
bepaling voor onvoorziene omstandigheden. Deze twee bepalingen zorgen voor de
nodige flexibiliteit indien dat nodig mocht zijn.