Besluit van Gedeputeerde Staten van de provincie Noord-Holland houdende Algemeen privacyreglement persoonsgegevens van personeelsleden Algemeen privacyreglement persoonsgegevens van personeelsleden Noord-Holland 2018

1. Dit reglement is van toepassing op de Verwerking van Persoonsgegevens betreffende personeelsleden die door of namens PNH op geheel of gedeeltelijk geautomatiseerde wijze worden verwerkt.

2. Gedeputeerde Staten kunnen privacyprotocollen vaststellen inzake de Verwerking van Persoonsgegevens.

3. Dit reglement heeft tot doel:

• a.

  de persoonlijke levenssfeer te beschermen;

• b.

  te voorkomen dat Persoonsgegevens onrechtmatig worden verwerkt of worden verwerkt voor andere doeleinden dan het doel waarvoor ze zijn verkregen;

• c.

  rechten van personeelsleden te waarborgen.

1. PNH benoemt conform de wet een FG.

2. De FG is verantwoordelijk voor het toezicht op privacy en de borging ervan en kan gevraagd en ongevraagd advies geven over privacy-aangelegenheden.

3. De FG heeft ten minste de volgende taken:

• a.

  PNH informeren en adviseren over de verplichtingen uit hoofde van de Wet;

• b.

  toezien op naleving van de Wet;

• c.

  toezien op naleving van het beleid van PNH, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en audits;

• d.

  adviseren met betrekking tot een gegevensbeschermingseffectbeoordeling;

• e.

  optreden als contactpunt voor de AP.

4. De FG voert de taken onafhankelijk uit en is hierbij tot geheimhouding en vertrouwelijkheid verplicht.

1. PNH draagt zorg dat Persoonsgegevens in overeenstemming met de Wet en op behoorlijke en zorgvuldige wijze worden verwerkt.

2. Persoonsgegevens worden enkel verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een aanstellingsbesluit tot geheimhouding verplicht zijn.

3. PNH onderhoudt een register van verwerkingen waarin alle informatiemiddelen en -verwerkingen zijn vastgelegd, die onder haar verantwoordelijkheid plaatsvinden. Het register van verwerkingen bevat ten minste de volgende gegevens:

• a.

  de naam en de contactgegevens van de Verwerkingsverantwoordelijke;

• b.

  de Eigenaar van de verwerking;

• c.

  de verwerkingsdoeleinden; 


• d.

  een beschrijving van de categorieën van Betrokkenen en van de categorieën van Persoonsgegevens; 


• e.

  de categorieën van ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt;

• f.

  indien van toepassing, doorgiften van Persoonsgegevens aan een derde land;

• g.

  indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van Persoonsgegevens moeten worden verwijderd;

• h.

  indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

4. De Eigenaar van de verwerking is verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie in het register van verwerkingen.

5. Persoonsgegevens worden verwerkt voor de in artikel 5 beschreven categorieën doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen.

6. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doelen beschreven in artikel 5, toereikend, ter zake dienend en niet bovenmatig zijn.

7. Persoonsgegevens worden enkel verwerkt indien de verwerking is gerechtvaardigd is door één of meer van de volgende grondslagen:

• a.

  de Betrokkene heeft toestemming gegeven voor de Verwerking van zijn Persoonsgegevens voor één of meer specifieke doeleinden;

• b.

  de Verwerking van Persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is;

• c.

  de Verwerking van Persoonsgegevens is noodzakelijk om te voldoen aan een wettelijke verplichting die op de Verwerkingsverantwoordelijke rust;

• d.

  de Verwerking is noodzakelijk om de vitale belangen van de Betrokkene of van een andere natuurlijke persoon te beschermen;

• e.

  de Verwerking van Persoonsgegevens is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de Verwerkingsverantwoordelijke is opgedragen, of;

• f.

  de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de Verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de Betrokkene die tot bescherming van Persoonsgegevens nopen, zwaarder wegen dan die belangen.

1. PNH zal enkel Persoonsgegevens verwerken voor duidelijk omschreven doeleinden. De Verwerking van de Persoonsgegevens van Personeelsleden geschiedt voor de volgende categorieën van Verwerkingen: 


• a.

  werving en selectie;

• b.

  personeelsadministratie;

• c.

  salarisadministratie;

• d.

  facilitaire dienstverlening;

• e.

  ICT-middelen en gebruik.

2. Iedere Verwerking van Persoonsgegevens, alsmede de specifieke doeleinden voor de Verwerking zijn vastgelegd in het register van verwerkingen.

1. Toegang tot Persoonsgegevens wordt enkel verkregen indien dat noodzakelijk is de taakuitoefening.

2. Toegangsverlening geschiedt conform het informatiebeveiligingszakboekje ‘IRR’. Eigenaren houden conform het informatiebeveiligingszakboekje ‘Eigendom Informatiemiddelen en -verwerking’ een autorisatiematrix bij voor toegang tot en het gebruik van informatiemiddelen en verwerking.

3. In het register van verwerkingen is vastgelegd wie Eigenaar is van welke Verwerking van Persoonsgegevens. Bij de Eigenaar van de betreffende verwerking kan inzicht verkregen worden in de personen die toegang hebben en waarom.

1. PNH geeft geen Persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER), tenzij adequate maatregelen zijn getroffen zoals benoemd in de AVG.

2. Indien Persoonsgegevens worden doorgegeven aan een land buiten de EER staat dit opgenomen in het register van verwerkingen.

1. Personeelsleden hebben onder voorwaarden, zoals gesteld in de Wet, het recht op informatie, het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid van gegevens en het recht van bezwaar.

2. De wijze waarop deze rechten uitgeoefend kunnen worden is in de Wet en de volgende artikelen beschreven.

1. PNH informeert de Personeelsleden over het verwerken van Persoonsgegevens, voorafgaand aan de verzameling van Persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan het moment van vastlegging. 


2. De Verwerkingsverantwoordelijke informeert Personeelsleden middels onderhavig reglement of door middel van een andere uiting.

1. Personeelsleden kunnen hierboven genoemde verzoeken indienen bij de Eigenaar van het informatiemiddelen en -verwerking.

2. Eigenaar kan om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit.

3. Aan het indienen van het verzoek zijn in principe geen kosten verbonden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege de hoeveelheid verzoeken van de betreffende Betrokkene, kan de Verwerkingsverantwoordelijke een redelijke vergoeding vragen of weigeren te voldoen aan het verzoek.

1. PNH draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige Verwerking van Persoonsgegevens. Het beleid voor informatiebeveiliging heeft PNH vastgelegd in het ‘Informatiebeveiligingsbeleid versie 1.1.28 juni 2012’.

2. De Eigenaar stelt, conform het informatiebeveiligingszakboekje ‘Eigendom Informatiemiddelen en -verwerking’, de maatregelen en zekerheden dat die maatregelen ook effectief zijn vast en worden opgenomen in het register van verwerkingen.

3. Deze maatregelen hebben tot doel, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te bieden, gelet op de risico’s die de Verwerking en de aard van de Persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen. 


1. PNH zal conform de Meldplicht datalekken de AP onverwijld in kennis stellen van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens.

2. PNH zal conform de Wet de Betrokkenen onverwijld in kennis stellen van de inbreuk als bedoeld in voorgaand lid, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer.

3. Er is een interne procedure aanwezig voor het afhandelen van dergelijke incidenten. Personeelsleden kunnen een beveiligingsincident of datalek melden bij de CISO of FG op de wijze zoals die staat toegelicht in het protocol melding en afhandeling beveiligings- en datalek.

1. Met inachtneming van wettelijke voorschriften en de toepassing van de archiveringsregels, zoals vastgesteld in ‘Besluit informatiebeheer van 2 juli 2016’, stelt Eigenaar de bewaartermijn van de persoonsgegevens vast. Waar mogelijk zijn de bewaartermijnen opgenomen in het register van verwerkingen.

2. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden en het naleven van wettelijke verplichtingen.

3. Wanneer de bewaartermijn verstrijkt worden de Persoonsgegevens verwijderd.

1. Indien Betrokkene van mening is dat de bepalingen uit de Wet, zoals nader uitgewerkt in dit reglement, niet door PNH worden nageleefd, kan men zich wenden tot de FG.

2. Indien de ingediende klacht voor de Betrokkene niet leidt tot een acceptabel resultaat, kan men zich wenden tot de AP.

1. Dit reglement wordt aangehaald als: Algemeen privacyreglement persoonsgegevens van personeelsleden Noord-Holland 2018.


2. Dit reglement treedt in werking met ingang van de dag na de datum van uitgifte van het provinciaal blad waarin het wordt geplaatst.