Besluit van Gedeputeerde Staten van Utrecht van 6 mei 2014, nr.80F9A5B6, houdende vaststelling van een privacyprotocol voor de provincie Utrecht

Ondertekening

TOELICHTING PRIVACYPROTOCOL

ALGEMENE TOELICHTING

De provincie Utrecht maakt gebruik van diverse bedrijfsmiddelen waarmee persoonsgegevens worden verwerkt van personen die voor haar werkzaam zijn. Met bedrijfsmiddelen worden zowel apparaten als (digitale) systemen bedoeld. Te denken is bijvoorbeeld aan internetvoorzieningen, software- applicaties, e-mail, telefonie, cameratoezicht, locker en toegangspas. De Wet bescherming persoonsgegevens (hierna Wbp) bevat het kader voor de omgang met deze persoonsgegevens. In het Privacyprotocol Provincie Utrecht (hierna Privacyprotocol) wordt de Wbp op een aantal punten nader uitgewerkt. Bij tegenstrijdigheid tussen het Privacyprotocol en de Wbp heeft de Wbp altijd voorrang. In situaties waar het Privacyprotocol niet in voorziet, geldt de wettelijke regeling volgens de Wbp.

Met het Privacyprotocol wordt beoogd een algemeen kader te scheppen voor de provincie hoe om te gaan met persoonsgegevens die worden verwerkt met en in bedrijfsmiddelen. Daarmee kunnen provinciemedewerkers weten waar zij aan toe zijn, en heeft het management houvast als zich vragen in dit opzicht voordoen.

De aanleiding om over te gaan tot vaststelling van het Privacyprotocol is de constatering dat regelmatig bedrijfsmiddelen worden ingevoerd, waarmee persoonsgegevens kunnen worden verwerkt. Voor ieder bedrijfsmiddel dient te worden vastgesteld hoe omgegaan wordt met deze persoonsgegevens. Het is gewenst ruim voorafgaand aan de invoering van een bedrijfsmiddel, of wijziging daarvan, na te gaan of en op welke wijze voldaan wordt aan de bescherming van persoonsgegevens. Het Privacyprotocol beoogt dit te faciliteren met een kader waarin de basisregels ten aanzien van de omgang met persoonsgegevens zijn vastgesteld. Hiermee wordt voorkomen dat dit ten aanzien van nieuwe bedrijfsmiddelen telkens opnieuw moet worden bepaald.

Op basis van het Privacyprotocol dient voor ieder bedrijfsmiddel een aantal zaken te worden bepaald. Hiervoor is een checklist opgesteld, die als bijlage bij dit protocol is gevoegd.

De Wbp in het kort

De Wbp is de basis van het Privacyprotocol. De wet geeft in algemene bewoordingen aan wat er wel en niet mag met persoonsgegevens.

Een in de zin van de Wbp is elk gegeven dat informatie kan geven over een individueel persoon. Dit betekent dat de informatie individualiseerbaar moet zijn. Of gegevens individualiseerbaar zijn, wordt bepaald door de grenzen van wat redelijkerwijs binnen de mogelijkheden van de organisatie ligt of wat met behulp van aanvullende informatie achterhaald kan worden. Zodra gegevens tot één of meer betrokken medewerkers te herleiden zijn, zal al snel sprake zijn van persoonsgegevens. De omvang van een bepaalde afdeling kan er dus toe doen. Een personeelsnummer in een bedrijf is tot een persoon te herleiden. Ook met behulp van een login-naam is een medewerker te traceren. Als sprake is van een persoonsgegeven, gelden daarvoor de beschermende regels van de Wbp.

Er zijn ook . Dit zijn gevoelige gegevens die betrekking hebben op iemands geloof, ras, politieke overtuiging, gezondheid e.a. In deze categorie valt bijvoorbeeld ook een foto, omdat daaruit het ras van de desbetreffende persoon is op te maken. Voor dit type persoonsgegevens stelt de Wbp extra zorgvuldigheidseisen.

Algemene uitgangspunten

De Wbp geeft voor het omgaan met persoonsgegevens een aantal algemene uitgangspunten. Dit zijn:

1. Persoonsgegevens mogen slechts voor vooraf omschreven en gerechtvaardigde doeleinden worden verzameld, en niet worden verwerkt voor doeleinden die daarmee onverenigbaar zijn. Het is belangrijk vooraf te bepalen of verwerking van persoonsgegevens (dat is elke handeling die met persoonsgegevens verricht kan worden) noodzakelijk is, en voor welke doelen dat gebeurt.

2. De verwerking van persoonsgegevens moet berusten op een grondslag die in de Wbp is benoemd. Die grondslag is er als de betrokkene toestemming heeft gegeven (niet impliciet), of als het verwerken van persoonsgegevens noodzakelijk is voor: - de uitvoering van een overeenkomst met betrokkene, - de nakoming van een wettelijke verplichting, - ter vrijwaring van een vitaal belang van de betrokkene, - een goede vervulling van een publiekrechtelijke taak, en - de behartiging van een gerechtvaardigd belang van de organisatie (provincie), terwijl de persoonlijke levenssfeer van de betrokkenen niet prevaleert. Bij het omgaan met persoonsgegevens moeten we vooraf vaststellen of we er een grondslag uit de Wbp voor hebben.

3. Wat wordt verwerkt, moet kloppend en nodig zijn. In de Wbp is dit zo verwoord dat de persoonsgegevens zoveel mogelijk juist, nauwkeurig, toereikend, ter zake dienend en niet bovenmatig moeten zijn.

4. De betrokkene (dat is de persoon wiens persoonsgegevens worden verwerkt) moet kunnen overzien door wie en voor welk doel zijn gegevens worden verwerkt

5. De betrokkenen hebben het recht om kennis te nemen van hun gegevens en om te verzoeken deze te laten verbeteren of te laten verwijderen. Tevens hebben zij er recht op om bezwaar te maken tegen het verwerken van persoonsgegevens.

6. Passende maatregelen van technische en organisatorische aard vormen het noodzakelijke sluitstuk van een rechtmatige verwerking.

7. Als de verwerking wordt uitbesteed aan een externe bewerker, moet worden verzekerd dat deze zich houdt aan de aanwijzingen van de verantwoordelijke.

8. De verwerking van persoonsgegevens moet vooraf worden gemeld bij het College bescherming persoonsgegevens in Den Haag, tenzij de verwerking daarvan op basis van een wettelijke regeling is vrijgesteld.

Meer informatie

Meer informatie over de Wbp staat op de website van het College bescherming persoonsgegevens: http://www.cbpweb.nl.

Relatie Wbp en Privacyprotocol

De uitgangspunten van de Wbp zijn in het Privacyprotocol vertaald. In het protocol is dit, waar het in algemene zin mogelijk was, voor de provincie Utrecht nader ingevuld. Een voorbeeld is de benoeming (en daarmee ook beperking) van de doelen waarvoor we persoonsgegevens uit bedrijfsmiddelen mogen destilleren. Verwezen wordt naar artikel 7 van het protocol.

De verdere concretisering per bedrijfsmiddel is in de bijlage bij het protocol vastgelegd. Hier zijn specifieke richtlijnen op het concrete uitvoeringsniveau terug te vinden.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1

Het Privacyprotocol hanteert het begrippenkader conform de Wbp. Kernbegrippen van de Wbp, zoals “persoonsgegeven” en “verwerken”, zijn voor een goed begrip hieruit overgenomen. Zouden we dit niet doen, dan kan dat tot misverstand leiden over wat in het protocol is bepaald.

Bij “bedrijfsmiddel” (sub a) is te denken aan internetvoorzieningen, software- applicaties, e-mail, telefonie, cameratoezicht, locker, toegangspas e.a. Onder ‘medewerker’ (sub e) worden, naast medewerkers met een aanstelling in dienst van de provincie Utrecht, ook verstaan zij die op een andere basis werkzaamheden verrichten voor de provincie Utrecht. Dit betekent dat ook ingehuurde arbeidskrachten en externe opdrachtnemers enerzijds gehouden zijn aan het protocol en er anderzijds een beroep op kunnen doen. Onder het begrip ‘persoonsgegeven’ (sub f) vallen ook persoonlijke data, die worden verwerkt in of met bedrijfsmiddelen. Voor het overige wordt verwezen naar de uitleg in de algemene toelichting op p. 7. Het begrip “verwerken” omvat èlke handeling die met persoonsgegevens verricht kan worden. Dit maakt de reikwijdte van de Wbp en het protocol zeer ruim.

Artikel 2

Het Privacyprotocol is van toepassing op bedrijfsmiddelen. De opsomming in lid 1 betreft voorbeelden van bedrijfsmiddelen, geen limitatieve opsomming van bedrijfsmiddelen. Het protocol heeft betrekking op bedrijfsmiddelen die door medewerkers worden gebruikt, deze middelen kunnen zowel eigendom van de provincie, als van de medewerker zelf zijn. Bepalend voor het van toepassing zijn van het protocol, is dat er werkzaamheden mee worden verricht voor de provincie en dat er persoonsgegevens mee worden verwerkt. Daarnaast is het protocol van toepassing op bedrijfsmiddelen die de provincie aan anderen dan medewerkers beschikbaar stelt. De persoonsgegevens met betrekking tot personele zaken vallen niet onder de werking van het protocol. Op deze gegevens zijn de Wbp en andere wettelijke regeling direct van toepassing. Dit is bovendien uitgewerkt in de documenten met betrekking tot het hiervoor gebruikte bedrijfsmiddel (P-Portaal).

Artikel 3

Doel van het Privacyprotocol is een algemeen kader te scheppen voor de provincie hoe om te gaan met persoonsgegevens die worden verwerkt met en in bedrijfsmiddelen. Dit betreft in de eerste plaats het vaststellen van de ruimte ten aanzien van het gebruik van persoonsgegevens en de verplichtingen ten aanzien van de beveiliging van bedrijfsmiddelen waarmee persoonsgegevens verwerkt worden. Op basis van dit kader is het gemakkelijker invulling te geven aan de privacybescherming voor afzonderlijke bedrijfsmiddelen. Daarnaast biedt het protocol handvatten aan functionarissen die betrokken zijn bij de invoering, het beheer en aanpassingen in bedrijfsmiddelen ten aanzien van de maatregelen die zij moeten en mogen nemen ter bescherming van de persoonsgegevens. Dit geeft hen meer houvast bij de uitvoering van hun functie. Tot slot geeft het protocol waarborgen aan medewerkers tegen onjuist gebruik van persoonsgegevens. Juist in een tijd van toenemende digitale mogelijkheden is het belangrijk dat duidelijk is wat wel en niet mag.

Artikel 4

Gedeputeerde staten zijn de “verantwoordelijke” voor de verwerking van persoonsgegevens binnen onze organisatie. Het begrip “verantwoordelijke” komt uit de Wbp. Het is van toepassing op degene die doel en middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijkheid van gedeputeerde staten is op grond van de mandaatregeling van de provincie Utrecht gemandateerd aan één of meer functionarissen in de ambtelijke organisatie.

Artikel 5

De ICT beheerders die toegang hebben tot persoonsgegevens (zie artikel 10), worden geregistreerd. Daarmee is vastgelegd wie dit zijn.

Artikel 6

Ten aanzien van ieder afzonderlijk bedrijfsmiddel moeten de onderdelen a t/m g onder lid 1 worden bepaald en vastgelegd. Deze zaken dienen voor alle bedrijfsmiddelen toegankelijk te worden gemaakt voor iedere medewerker.

Artikel 7

Dit artikel bevat een limitatieve opsomming van doelen waarvoor persoonsgegevens verwerkt mogen worden. Per bedrijfsmiddel wordt bepaald voor welke van genoemde doelen gegevens worden verwerkt, dit wordt op basis van artikel 6 vastgelegd in de daar bedoelde bijlage. Er dient een verband te bestaan tussen het bedrijfsmiddel en het doel waarvoor gegevens verwerkt worden. Dit heeft tevens gevolgen voor de wijze waarop gegevens worden verwerkt en de termijn voor het bewaren van de gegevens.

Artikel 8

Ten aanzien van het verwerken van persoonsgegevens dient er steeds een aantoonbaar verband te bestaan tussen het doel van de verwerking van de persoonsgegevens en het soort gegevens dat wordt verwerkt. Dit mag niet meer zijn dan noodzakelijk voor de aan het bedrijfsmiddel gekoppelde doelen. De in lid 2 genoemde soorten gegevens betreffen voorbeelden, de opsomming is niet limitatief.Artikel 9

Dit artikel biedt een medewerker de mogelijkheid invloed uit te oefenen op de verwerkte persoonsgegevens die betrekking hebben op hem of haar. De rechten die in dit artikel zijn beschreven, zijn ontleend aan de Wbp. In dit artikel staat dat een betrokkene (degene op wie persoonsgegevens van toepassing zijn) inzagerecht heeft, en om correctie, aanvulling . verwijdering of afscherming ervan kan vragen. Het verzoek moet gebaseerd zijn op één van de in sub b genoemde gronden. In de Wbp (hoofdstuk 6) is geregeld welke procedure bij de beslissing op het verzoek moet worden gevolgd.

Artikel 10

In dit artikel is bepaald wie, wanneer, met welk doel en op welke wijze toegang mag worden gegeven tot persoonsgegevens. In lid 4 is een voorziening getroffen voor situaties waarin de medewerker niet in staat is toestemming te geven voor de toegang tot hem of haar betreffende persoonsgegevens. In alle gevallen waarin toegang wordt verschaft tot persoonsgegevens dient een afweging te worden gemaakt tussen het doel van de toegang (bedrijfsbelang) en het te beschermen privacybelang van betrokkene. Dat privacybelang kan naast persoonlijk ook functioneel zijn ingegeven. Als toegang nodig is tot een bedrijfsmiddel van een functionaris die met vertrouwelijke gegevens werkt (bedrijfsmaatschappelijk adviseur, vertrouwenspersoon e.a.), zal dit in de weging van het bedrijfsbelang ten opzichte van het privacybelang moeten worden meegenomen.

Artikel 11

Gegevens moeten voldoende beschermd zijn tegen onbevoegd gebruik of andere vormen van onrechtmatige verwerkingen. Het college is hiervoor eindverantwoordelijk. Het noodzakelijke niveau van beveiliging wordt bepaald aan de hand van een risicoanalyse. Hierbij zijn onder meer de aard van de gegevens en de kring van de gebruikers van belang. Voor meer informatie wordt verwezen naar de CBP Richtsnoeren Beveiliging persoonsgegevens die op 1 maart 2013 in werking zijn getreden (zie www.cbpweb.nl).

Artikel 12

Dit artikel regelt de geheimhoudingsplicht voor ICT beheerders en andere provinciemedewerkers. Schending ervan is in juridische zin aan te merken als plichtsverzuim, dat aanleiding kan zijn voor een disciplinaire straf(Collectieve arbeidsvoorwaardenregeling Provincies). Ook een strafrechtelijk traject kan mogelijk zijn, afhankelijk van de zwaarte van de situatie.

 Artikel 13

Gegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij werden verzameld. Hoe lang gegevens bewaard mogen worden, kan per situatie verschillen; er is dus niet een algemene bezwaartermijn te stellen. In de bijlage bij dit protocol wordt dit per bedrijfsmiddel vastgelegd.

In een uitzonderlijke situatie kan het voorkomen dat verwijdering om technische reden niet mogelijk is. Voor die situatie geeft lid 3 als uiterste alternatief dat kan worden volstaan met niet gebruiken van de desbetreffende gegevens. Hiermee sluiten we aan bij het Privacyreglement personeel 2009 van de VNG.

Artikel 14

Als een externe instantie in opdracht van de provincie taken uitvoert en daarbij te maken heeft met persoonsgegevens, kan deze instantie een “bewerker” in de zin van de Wbp zijn. Dat is het geval als de instantie niet onder het gezag van de provincie valt (geen hiërarchische relatie; denk bijvoorbeeld aan een samenwerkingsrelatie met een andere provincie), terwijl het college wèl verantwoordelijk blijft voor de persoonsgegevens die extern worden verwerkt. Conform de eisen die de Wbp aan de relatie tussen bewerker en verantwoordelijke stelt, geeft artikel 14 hiervoor een voorziening. Kern is dat gerichte afspraken nodig zijn over de wijze waarop met de persoonsgegevens wordt omgegaan. Deze afspraken moeten in een bewerkersovereenkomst of andere regeling worden vastgelegd.

Artikel 15

Voor bepaalde soorten gegevens, de “bijzondere persoonsgegevens”, geldt een extra beschermingsniveau. Het zijn gegevens die in het maatschappelijk verkeer als gevoelig worden ervaren. Het gaat om gegevens betreffende iemands: - godsdienst of levensovertuiging, - ras, - politieke gezindheid, - gezondheid, - seksuele leven, - en gegevens betreffende het lidmaatschap van een vakvereniging. Verder zijn bijzondere gegevens: - strafrechtelijke persoonsgegevens, - en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

Uitgangspunt van de Wbp is dat bijzondere persoonsgegevens niet mogen worden verwerkt. De verwerking van deze gegevens is verboden tenzij de Wbp een uitzondering geeft op dit verbod (nee, tenzij). Dat geldt bijvoorbeeld voor gebruikmaking van een foto, zijnde een gegeven waaruit iemands ras kan worden opgemaakt.

De Wbp geeft een aantal algemene uitzonderingen: bijvoorbeeld wanneer de betrokkene daarvoor uitdrukkelijk toestemming heeft verleend of het gegeven zelf al duidelijk openbaar heeft gemaakt. Daarnaast geeft de Wbp een aantal specifieke uitzonderingen (per type bijzonder gegeven).

Mocht verwerking van bijzondere gegevens aan de orde zijn, wordt aangeraden de tekst van de Wbp over de bijzondere gegevens (zie artikelen 16 t/m 24) te raadplegen.

Artikel 16

Beheerders van bedrijfsmiddelen dienen regelmatig controles uit te voeren ten aanzien van de werking van het middel. Op basis van dit artikel is dat alleen toegestaan aan de hand van getotaliseerde en geanonimiseerde gegevens. Pas als de beheerder onregelmatigheden aantreft tijdens de uitgevoerde controles, kan specifieker worden gekeken naar gebruikers of groepen gebruikers. Het kan hierbij zowel om het vermoeden van onrechtmatig gebruik of misbruik gaan, als om zaken die leiden tot problemen rond het bedrijfsmiddel, zoals continuïteit of optimale werking ervan.

Artikel 17

Dit artikel biedt de mogelijkheid, om bij vermoeden van misbruik of onrechtmatig gebruik van een bedrijfsmiddel door een bepaalde medewerker, specifiek onderzoek te doen naar de persoonsgegevens met betrekking tot de betreffende medeweker. Verschil met artikel 16 is dat daarin onderzoek mogelijk wordt gemaakt indien uit controles onregelmatigheden naar voren komen.

Artikel 18

De Wbp is het wettelijk kader dat bepalend is voor de wijze waarop we met persoonsgegevens moeten omgaan.

Artikel 19

Dit protocol heeft als citeertitel Privacyprotocol Provincie Utrecht.