Besluit van het dagelijks bestuur van het openbaar lichaam Regionale Belasting Groep houdende regels omtrent het omgaan met vertrouwelijke persoonsgegevens

Binnen de Regionale Belasting Groep wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de wettelijke taken. De klant moet erop kunnen vertrouwen dat de Regionale Belasting Groep zorgvuldig en veilig met de persoonsgegevens omgaat. In deze tijd gaat ook de Regionale Belasting Groep mee met nieuwe ontwikkelingen. Nieuwe technologieën, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. De Regionale Belasting Groep is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Het bestuur en het management spelen een cruciale rol bij het waarborgen van privacy.

De Regionale Belasting Groep geeft middels deze privacyregels een duidelijke richting aan de privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen (van zowel klanten als medewerkers). Deze privacyregels zijn in lijn met het algemene beleid van de Regionale Belasting Groep en de relevante lokale, regionale, nationale en Europese wet- en regelgeving. Deze privacyregels zijn niet van toepassing op gegevens over rechtspersonen. Voor gegevens van rechtspersonen geldt de geheimhoudingsplicht volgens art. 67 van de AWR en art. 67 van de Invorderingswet 1990.

Wettelijke kaders voor de omgang met gegevens

De Regionale Belasting Groep is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

• •

  de Algemene Verordening Gegevensbescherming;

• •

  de Uitvoeringswet Algemene Verordening Gegevensbescherming.

Uitgangspunten

De Regionale Belasting Groep gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. De Regionale Belasting Groep houdt zich hierbij aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding

De Regionale Belasting Groep zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt. De Regionale Belasting Groep verwerkt de persoonsgegevens (voornamelijk) op basis van een wettelijke grondslag (AVG art 6 lid c) en algemeen belang (AVG art 6 lid e). Het doel is het heffen en innen van (lokale) belastingen. Voor sommige persoonsgegevens is geen wettelijke grondslag aanwezig en zal de Regionale Belasting Groep de gegevens slechts opslaan en gebruiken na uitdrukkelijke toestemming van betrokkene.

Dataminimalisatie

De Regionale Belasting Groep verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De Regionale Belasting Groep streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de wettelijke taken goed uit te kunnen voeren of om wettelijke verplichtingen te kunnen naleven (bijvoorbeeld de archiefwet). Per verwerkingsdoel legt de Regionale Belasting Groep vast hoelang de gegevens worden bewaard. De bewaartermijnen van persoonsgegevens liggen vast in de Privacytool.

Integriteit en vertrouwelijkheid

De Regionale Belasting Groep gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de Regionale Belasting Groep voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid Regionale Belasting Groep. Elke vaste medewerker heeft de belofte of de eed afgelegd, is op de hoogte van het integriteit protocol, het informatiebeveiligingsbeleid en de privacyregels. Tijdelijke medewerkers tekenen bij aanvang van de werkzaamheden een geheimhoudingsver-klaring. Per functie is bepaald welke gegevens een medewerker mag inzien (need to know).

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de Regionale Belasting Groep afspraken over de eisen waar beveiliging van gegevensuitwisseling en verwerking aan moet voldoen. Deze afspraken worden vastgelegd in een verwerkersovereenkomst en voldoen aan de wet. De Regionale Belasting Groep controleert deze afspraken minimaal eens per jaar.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken klant zoveel mogelijk beperkt. We zien af van de verwerking van persoonsgegevens indien hetzelfde doel ook langs andere weg en met minder ingrijpende middelen kan worden gerealiseerd.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel. We verwerken niet meer gegevens dan noodzakelijk voor het doel waarvoor de gegevens nodig zijn.

Rechten van betrokkenen

De Regionale Belasting Groep honoreert alle rechten van betrokkenen.

Verwerkingsregister

De Regionale Belasting Groep legt een verwerkingsregister aan waarin wordt vastgelegd voor welke processen welke gegevens worden gebruikt en aan wie deze verstrekt worden ter verdere verwerking.

Deze privacyregels treden in werking op de dag na die van de bekendmaking. De privacyregels worden minimaal eens per drie jaar geëvalueerd en indien nodig herzien. Aanpassingen van de privacyregels worden bestuurlijk vastgesteld. De meest actuele versie van de privacyregels wordt beschikbaar gesteld aan de organisatie door publicatie op de gemeenschappelijke netwerkschijven.