Gemeenteblad van Heemstede
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Heemstede | Gemeenteblad 2020, 250444 | Beleidsregels |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Heemstede | Gemeenteblad 2020, 250444 | Beleidsregels |
Privacybeleid Gemeente Heemstede (gemeenteraad)
Binnen de gemeente Heemstede wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de gemeentelijke wettelijke taken. De burger moet erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met zijn persoonsgegevens omgaat.
Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. Het dataverkeer neemt toe en er worden meer gegevens verzameld en gedeeld. De hoeveelheid gevoelige informatie van personen neemt toe (bijvoorbeeld jeugdzorg, maatschappelijke ondersteuning en de zorg voor chronisch zieken, ouderen en gehandicapten), net als de risico’s van bijvoorbeeld cybercrime. De samenleving wordt steeds kritischer en de burgers hebben een grotere behoefte aan rechten om inzicht te krijgen in de verwerking van hun persoonsgegevens.
Op 25 mei 2018 is de Algemene verordening gegevensbescherming in werking getreden. Het doel van de verordening is met name een nog betere bescherming van persoonsgegevens te verzekeren en het vrije verkeer van persoonsgegevens binnen de Europese Unie te waarborgen.
In dit beleid wordt uitgewerkt hoe de gemeente Heemstede met privacy omgaat. Achtereenvolgens komen aan de orde een nadere definiëring van het beleid, privacymanagement, beleid voor rechtmatige en zorgvuldige verwerking van persoonsgegevens, privacyrechten, informatiebeveiliging, convenanten en verwerkersovereenkomsten, bewustwording, communicatie en evaluatie.
1.1 Wat houdt het verwerken van persoonsgegevens in?
Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de ‘betrokkene’). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Er is al snel sprake van verwerken van persoonsgegevens. Onder andere verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van gegevens valt allemaal onder het verwerken van persoonsgegevens.
1.2 Wie verwerken persoonsgegevens?
In de gehele gemeentelijke organisatie worden persoonsgegevens verwerkt. Dit varieert van het gebruik van een beperkte gegevensset door bijvoorbeeld de afdeling Uitvoering openbare ruimte tot grote gegevenssets zoals bij de afdeling Publiekszaken (basisregistratie personen (BRP)) en de Intergemeentelijke afdeling Sociale Zaken (IASZ). Deze laatste afdeling verwerkt ook veel gevoelige gegevens zoals gegevens over de gezondheid van aanvragers van een voorziening op grond van de Wet maatschappelijke ondersteuning (Wmo).
De gegevens worden deels in eigen administratiesystemen verwerkt, maar voor een groot deel ook direct of indirect via het centrale gegevensmagazijn. In het centrale gegevensmagazijn zitten gegevens die afkomstig zijn uit de BRP.
Het bestuur en de medewerkers van de gemeente Heemstede hechten veel waarde aan het zorgvuldig, rechtmatig en veilig verwerken van persoonsgegevens. Het bestuur en het management spelen daarbij een cruciale rol bij het waarborgen van de privacy. Het college van de gemeente Heemstede heeft daarom besloten een algemeen privacybeleid te formuleren over hoe om te gaan met de verwerking van persoonsgegevens. De gemeente Heemstede geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft.
Dit beleid is van toepassing op de hele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente. Het is in lijn met het algemene beleid van de gemeente en de relevante lokale, nationale en Europese wet- en regelgeving.
In dit algemene privacybeleid staan kaders beschreven voor het verwerken van persoonsgegevens, de bescherming van deze gegevens en de omgang met deze gegevens. De kaders gelden voor de gemeente, samenwerkingsverbanden die zijn of worden aangegaan en derden die zijn of worden ingeschakeld. Dit beleid dient als kapstok waaraan voor een specifiek vakgebied een afdelingsspecifiek privacybeleid gehangen kan worden. Verder worden er naar aanleiding van dit beleid werkprocessen opgesteld, die als handvat fungeren om het beleid in de dagelijkse praktijk toe te passen.
Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkene(n) voorop. De Algemene verordening gegevensbescherming (AVG) biedt hiervoor het wettelijk kader, samen met de Uitvoeringswet algemene verordening gegevensbescherming.
Als algemene regel geldt dat persoonsgegevens op behoorlijke en zorgvuldige wijze moeten worden verwerkt. De verantwoordelijke van de gegevensverwerking moet daarbij transparant zijn. De AVG bepaalt verder dat persoonsgegevens alleen voor een specifiek omschreven doel mogen worden verwerkt en niet voor andere doelen mogen worden gebruikt dan waarvoor zij verzameld zijn. Daarbij bepaalt de AVG dat deze gegevens alleen mogen worden verwerkt als dat noodzakelijk is om het specifiek beschreven doel te bereiken, en dat zo min mogelijk gegevens worden verwerkt. Dat houdt ook in dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk.
In aanvulling daarop bevat andere wetgeving meer specifieke vereisten voor gegevensverwerking. Voor het sociaal domein zijn dat de verschillende materiële wetten (zoals de Jeugdwet, Wmo en Participatiewet). Zowel in de Wmo als in de Participatiewet zijn bepalingen opgenomen over het verwerken van persoonsgegevens. Voor BIG-geregistreerden speelt de Wet geneeskundige behandelingsovereenkomst een rol, met daarin het medisch beroepsgeheim. Andere relevante wetten waarin privacybepalingen zijn opgenomen zijn onder andere:
De bepalingen in deze specifieke (sectorale) wetgeving over de verwerking van persoonsgegevens gaan voor op de bepalingen van de AVG.
1.5 Raakvlakken en overlap met andere beleidsthema’s
Het privacybeleid van de gemeente Heemstede heeft raakvlakken met andere beleidsthema’s of vertoont hiermee overlap.
Privacybeleidsvoering is wettelijk gekoppeld aan de beginselen van behoorlijk bestuur en is daarmee ondersteunend aan het gemeentelijk integriteitsbeleid.
Privacybeleid richt zich in belangrijke mate op het waarborgen van een kwalitatief goede administratieve organisatie. Een kwalitatief goede administratie is randvoorwaardelijk voor een klantgerichte en klantvriendelijke gemeentelijke taakuitoefening en goed werkgeverschap (‘de mens centraal’).
Continuïteits- en risicomanagement
Privacybeleid gaat afbreuk- en aansprakelijkheidsrisico’s tegen en voorkomt dat werkprocessen spaak lopen als de bijbehorende gegevensverwerking een schending van het recht op privacy inhoudt (onrechtmatige daad).
Het beschermen van persoonsgegevens kan niet geborgd worden zonder adequate informatiebeveiliging. Het privacybeleid hangt daarom samen met het Informatiebeveiligingsbeleid.
2.1 Visie op gegevensbescherming
De gemeente Heemstede wil dicht bij de burger staan. Zij wil de burger begrijpen en waar mogelijk zorgen voor maatwerk. Er is sprake van wederzijds begrip en vertrouwen. Ze creëert ruimte voor initiatieven vanuit de burgers en is omgevingsbewust.
Om de burger te kunnen helpen, is het verwerken van gegevens nodig. Bij het verwerken van persoonsgegevens gaat de gemeente op een veilige manier met deze gegevens om en respecteert zij de privacy van de betrokkenen. Daarbij zorgt ze ervoor dat de burgers hun privacyrechten kunnen uitoefenen.
2.2 Doel en reikwijdte privacybeleid
Het verwerken van persoonsgegevens moet in overeenstemming met de wet en op behoorlijke wijze gebeuren. Dit privacybeleid geeft daar de richtlijnen voor. Het privacybeleid heeft betrekking op de persoonsgegevens van personen van wie de gemeente Heemstede gegevens verwerkt of laat verwerken en is van toepassing op alle taken en processen waar de gemeente verantwoordelijk voor is. Hieronder valt ook de uitwisseling van persoonsgegevens door de gemeente. Daarnaast maakt de gemeente op een aantal terreinen aparte samenwerkingsafspraken met haar partners.
Door dit privacybeleid uit te voeren:
De gemeente Heemstede houdt zich bij het verwerken van persoonsgegevens aan de volgende uitgangspunten:
Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. De gemeente zorgt ervoor dat burgers inzicht kunnen hebben in de gegevens die de gemeente verwerkt.
De gemeente zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtmatige grondslag verwerkt. De rechtmatige grondslagen zijn:
De gemeente verwerkt alleen de persoonsgegevens die noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen voeren of om wettelijke verplichtingen te kunnen naleven.
Integriteit en vertrouwelijkheid
De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze zijn verzameld. Daarbij zorgt de gemeente voor een passende beveiliging van de persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.
In het geval van samenwerking met externe partijen waarbij sprake is van verwerking van persoonsgegevens maakt de gemeente afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. De gemeente controleert deze afspraken jaarlijks.
Als het in het belang van de burger is, wordt individueel bekeken of delen van de gegevens met anderen (binnen en buiten de organisatie) nodig is. Hierdoor is integraal werken mogelijk. De burger wiens gegevens het betreft, wordt van deze gegevensdeling en van de achterliggende motivatie voor de gegevensdeling op de hoogte gebracht.
Vóór het verwerken van de gegevens bepaalt de gemeente of het doel van de verwerking niet op een andere manier bereikt kan worden dan met het verwerken van de persoonsgegevens. Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot, en met het doel van, de verwerking.
De gemeente honoreert alle rechten van betrokkenen.
Deze aandachtspunten worden verder uitgewerkt in de volgende hoofdstukken.
Voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens in overeenstemming met de wet is goed privacymanagement van de gemeente noodzakelijk. Het gaat hierbij om vragen als ‘Hoe is privacy ingebed in de organisatiestructuur?’ en ‘Bij wie ligt het proceseigenaarschap en wie houdt toezicht op de naleving?’.
Waar het bij privacymanagement uiteindelijk om gaat is dat er een bedrijfsvoering ontstaat waarbij privacy op een natuurlijke manier bij de organisatie is gaan behoren (‘privacy by design). Daarbij is het uitgangspunt dat de standaard zo privacybestendig mogelijk is (‘privacy by default’).
3.1 Taken en verantwoordelijkheden
Het college van burgemeester en wethouders is eindverantwoordelijk voor de naleving van privacywetgeving met de burgemeester als portefeuillehouder. Het hoogste management en het lijnmanagement hebben de ambtelijke verantwoordelijkheid om een proactief privacybeleid te voeren op basis van afweging van belangen en risico’s bij de verwerking van persoonsgegevens, zodat dit behoorlijk, zorgvuldig en in overeenstemming met de wet plaatsvindt.
Het college legt over de privacybeleidsuitvoering verantwoording af aan de gemeenteraad. Het college zorgt ook voor een zodanige documentatie van beleid en maatregelen dat het op ieder moment maatschappelijk en juridisch uitleg kan geven over de deugdelijkheid van de aanpak.
De domeinmanager is er verantwoordelijk voor dat de gemeentelijke taakuitoefening binnen de grenzen van dit privacybeleid plaatsvindt en rapporteert hierover aan het hoogste management, dat op zijn beurt rapporteert aan het college. Het college legt verantwoording af aan de gemeenteraad.
De domeinmanager is proceseigenaar. Proceseigenaren voeren regie over hun proces(sen). Bij teamoverstijgende processen kan een coördinerend domeinmanager of een andere functionaris worden aangewezen.
De proceseigenaar kan verantwoordelijkheden beleggen bij medewerkers.
Het college van burgemeester en wethouders is in de meeste gevallen ‘verwerkingsverantwoordelijke’ in de zin van de AVG en blijft dus eindverantwoordelijk voor de privacybestendigheid van de gemeentelijke processen.
3.3 Uitwerking van de privacy governance
In bijlage 1 is de privacy governance van de gemeente Heemstede uitgewerkt. De hiervoor genoemde verantwoordelijkheden zijn hierin geïmplementeerd. De proceseigenaar is verantwoordelijk voor het voldoen aan de vereisten vanuit de AVG en wordt daarbij ondersteund door de Privacybeheerder en in sommige gevallen door de CISO. De Functionaris gegevensbescherming controleert of er conform de AVG wordt gewerkt.
4. Beleid voor rechtmatige en zorgvuldige verwerking van persoonsgegevens
Uit de AVG vloeit een aantal verplichtingen voort voor de gemeente als verwerkingsverantwoordelijke. Deze uitgangspunten werden in paragraaf 2.3 al kort gemeld en de voornaamste verplichtingen worden nader beschreven in dit hoofdstuk.
Artikel 30 van de AVG vereist dat de gemeente een register opstelt en bijhoudt van alle verwerkingsactiviteiten die onder verantwoordelijkheid van de gemeente plaatsvinden. Hierdoor hebben burgers inzicht in welke gegevens de gemeente verwerkt. De gemeente Heemstede heeft dit register opgesteld en op de website gepubliceerd en houdt dit actueel. De volgende gegevens zijn in het register van verwerkingen opgenomen:
De gemeente Heemstede is transparant over hoe ze persoonsgegevens verwerkt. Hierdoor weten burgers en personen die benaderd worden wie de gemeente Heemstede is, dat de gemeente Heemstede persoonsgegevens verwerkt, waarom dit gebeurt en welke maatregelen de gemeente Heemstede neemt om zorgvuldig met de gegevens om te gaan.
De belangrijkste manieren om betrokkenen te informeren over de verwerking van persoonsgegevens zijn:
Betrokkenen worden in ieder geval geïnformeerd over:
Als de gegevens niet van de betrokkene zelf zijn verkregen, wordt ook informatie gegeven over de categorieën van persoonsgegevens die worden verwerkt.
De betrokkene wordt geïnformeerd voordat deze zijn gegevens verstrekt. Als de gegevens niet van de betrokkene zelf zijn verkregen, dan wordt de betrokkene hierover geïnformeerd op het moment dat de gemeente Heemstede deze gegevens vastlegt.
Met doelbinding wordt bedoeld dat gegevens alleen worden verwerkt voor het doel waarvoor ze zijn verzameld. En als gegevens toch voor andere doelen worden gebruikt, wordt beoordeeld of dit nieuwe doel niet te ver afstaat van het oorspronkelijke doel van verzamelen van de gegevens.
De gemeente Heemstede verwerkt alleen gegevens voor de doelen waarvoor ze van de burgers verkregen zijn. In paragraaf 4.2 Transparantie is aangegeven hoe en wanneer personen op de hoogte worden gesteld van de verwerking van persoonsgegevens. De organisatie zorgt ervoor dat de persoonsgegevens alleen voor deze doelen worden verwerkt. Wanneer de wens ontstaat om persoonsgegevens voor andere doelen te verwerken, wordt daar waar nodig een ‘Data Protection impact analysis’ (DPIA) uitgevoerd om de vraag te beantwoorden of de verwerking ‘niet onverenigbaar’ is met het oorspronkelijke doel.
De gemeente Heemstede mag alleen persoonsgegevens verwerken wanneer hier een grondslag voor bestaat. De gemeente Heemstede verwerkt gegevens van haar burgers, medewerkers, (keten)partners en bezoekers van haar websites veelal op basis van wettelijke taken, in het kader van de vervulling van taken van algemeen belang en in het kader van de uitoefening van openbaar gezag. In sommige gevallen verwerkt zij gegevens ter uitvoering van een overeenkomst of op basis van toestemming.
Zodra een persoon is ingeschreven in de gemeente worden de gegevens verwerkt conform de wettelijke bepalingen vanuit de Basisregistratie personen (BRP). Ook voor andere publiekrechtelijke taken is de gemeente verplicht de gegevens uit de BRP te gebruiken. Ten aanzien van de onlineactiviteiten verwerkt de gemeente Heemstede persoonsgegevens ter uitvoering van wettelijke verplichtingen (informatievoorziening aan het publiek), of op basis van een gerechtvaardigd belang. In sommige gevallen gebeurt dit op basis van toestemming (bijvoorbeeld voor het plaatsen van toestemmingsplichtige cookies).
De gemeente Heemstede verwerkt vanuit haar wettelijke taken ook bijzondere persoonsgegevens, zoals gegevens over de gezondheid voor de aanvraag van een hulpmiddel in het kader van de Wmo. Dit is opgenomen in het register van verwerkingsactiviteiten. De gemeente is ook wettelijk verplicht om het Burgerservicenummer (BSN) te verwerken, onder meer uit hoofde van de Wet algemene bepalingen burgerservicenummer (Wabb) en de Wet basisregistratie personen (Wet BRP). Dit is in overeenstemming met het bepaalde in artikel 87 AVG en artikel 46 van de Uitvoeringswet AVG. Verwerking van het BSN moet altijd proportioneel zijn.
De gemeente Heemstede zorgt er vóór de start van een gegevensverwerking voor dat zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens afgedwongen wordt. Dit is ‘privacy by design’. Hierbij wordt onder andere gekeken of de gegevens nodig zijn voor het te behalen doel en naar de benodigde beveiliging van de persoonsgegevens. Een onderdeel van privacy by design is ‘privacy by default’: hiermee wordt ervoor gezorgd dat de standaard instellingen zo privacyvriendelijk mogelijk zijn.
4.6 De hoeveelheid te verwerken gegevens
De gemeente Heemstede streeft naar minimale gegevensverwerking. Ook dit is een onderdeel van privacy by design en houdt in dat alleen die gegevens verwerkt worden die noodzakelijk zijn voor het doel waarvoor ze verzameld zijn. Voordat begonnen wordt met de verzameling van de gegevens wordt beoordeeld of het doel van de verwerking niet op een andere manier bereikt kan worden dan met het verwerken van persoonsgegevens (subsidiariteit). Ook wordt beoordeeld of de inbreuk op de privacy van de burgers/cliënten wel in verhouding staat tot het doel van de verwerking (proportionaliteit).
Als burgers zelf meer gegevens aanbieden dan nodig is voor het doel, dan worden de overbodige gegevens vernietigd.
De gemeente Heemstede treft maatregelen om de kwaliteit van gegevens te borgen. Onder kwaliteit wordt verstaan dat de gegevens juist, nauwkeurig en actueel zijn. Voordat gegevens worden verwerkt vinden (geautomatiseerde) controles plaats om te voorkomen dat personen niet goed benaderd worden (denk aan het versturen van brieven naar een oud adres, het versturen van brieven met een verkeerde tenaamstelling of het versturen van een brief naar een overledene).
In ieder geval zijn de volgende maatregelen getroffen:
Als de gemeente Heemstede de gegevens niet meer nodig heeft, dan vernietigt zij de gegevens, tenzij er een wettelijke verplichting is om de gegevens langer te bewaren. Soms worden bewaartermijnen genoemd in specifieke wetten waarvoor de gegevensverwerking nodig is; in andere gevallen bepaalt de Archiefwet de bewaartermijnen. De gemeente Heemstede vernietigt in die gevallen -indien technisch mogelijk- de gegevens zodra de wettelijke bewaartermijn en/of de termijn uit de selectielijst van de VNG is afgelopen.
4.9 Gegevensbeschermingseffectbeoordeling
Vanuit de AVG is de gemeente verplicht om in een aantal gevallen vóór de verwerking van de gegevens een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren. Het uitvoeren van een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de gemeente Heemstede gegevens verwerkt. Bij de beoordeling hiervan maakt de gemeente Heemstede gebruik van de beoordelingscriteria die hiervoor zijn opgesteld door de Europese Privacytoezichthouders.
Naast het uitvoeren van een DPIA voor de aanvang van een gegevensverwerking voert de gemeente Heemstede elke drie jaar een beknopte DPIA uit op de bestaande gegevensverwerkingen. Hierin wordt gecontroleerd of nog steeds aan alle voorwaarden wordt voldaan of dat er extra beveiligingsmaatregelen genomen moeten worden (als de gegevensverwerking grotere privacyrisico’s heeft, wordt de beknopte DPIA uitgebreid). Indien nodig wordt er in dergelijke gevallen een volledige DPIA uitgevoerd. Daarnaast wordt een DPIA over bestaande gegevensverwerkingen uitgevoerd als bijvoorbeeld de gegevens voor een ander doel gebruikt gaan worden of als men nieuwe technologie gaat gebruiken.
De gemeente Heemstede werkt samen in regionaal verband. Zo kent de gemeente Heemstede onder andere samenwerkingen op het gebied van zorg en van veiligheid, zoals het Veiligheidshuis. De gemeente Heemstede zorgt ervoor dat zij afdoende afspraken maakt met deze samenwerkingspartners om de privacy te waarborgen. Vóór de deelname in een samenwerkingsverband voert de gemeente Heemstede een DPIA uit om de risico’s van deelname aan het samenwerkingsverband te analyseren en hierop maatregelen te nemen.
De AVG bepaalt niet alleen de plichten van degenen die persoonsgegevens verwerken, maar ook de rechten van personen van wie de gegevens worden verwerkt.
5.1 Recht op inzage en correctie van persoonsgegevens
Iedere betrokkene kan de gemeente met redelijke tussenpozen vragen welke persoonsgegevens van hem/haar worden verwerkt. Als de gegevens niet juist of onvolledig zijn, kan de betrokkene de gemeente verzoeken zijn of haar gegevens te verbeteren, te verwijderen of aan te vullen. Dit verzoek kan mondeling en schriftelijk worden ingediend. De gemeente voldoet binnen één maand na ontvangst aan het inzageverzoek. Als het inzageverzoek erg complex is of als er tegelijkertijd veel verzoeken binnenkomen, wordt deze termijn -indien nodig- met twee maanden verlengd.
Als er persoonsgegevens worden verwerkt, dan worden de volgende gegevens vermeld:
Bij de verstrekking van gegevens houdt het recht van privacy op waar dat van een ander begint. In sommige gevallen is het recht van inzage beperkt door rechten van anderen. Denk hierbij bijvoorbeeld aan een inzageverzoek dat tot onevenredige administratieve lasten leidt voor de verwerkingsverantwoordelijke. Of aan gegevens waarin ook gegevens van andere personen zijn opgenomen. In dat geval worden de gegevens van de andere personen geanonimiseerd.
Bij een verzoek tot correctie deelt de gemeente binnen vier weken na ontvangst van het verzoek aan de betrokkene mee of zijn/haar verzoek gegrond is. De gemeente verbetert de gegevens als deze onjuist, niet volledig of niet ter zake dienend waren. Bovendien worden derden aan wie de persoonsgegevens voor de correctie zijn verstrekt van deze correctie op de hoogte gebracht. De verzoeker mag opgave verzoeken van degene(n) aan wie de gemeente deze mededeling heeft gedaan.
5.2 Recht van bezwaar en op het indienen van een klacht
Iedere betrokkene heeft het recht om bezwaar te maken tegen de verwerking van gegevens. Dit kan als de verwerking gebeurt op grond van een taak van algemeen belang of een gerechtvaardigd belang.
Als een betrokkene bezwaar maakt tegen het verwerken van de gegevens en het betreft een van de genoemde belangen, dan stopt de gemeente met het verwerken van deze gegevens. Als de gemeente dwingende gerechtvaardigde redenen voor de verwerking heeft die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of als er sprake is van een rechtsvordering, dan stopt de gemeente de verwerking niet. Zo lang niet duidelijk is of de gronden van de gemeente zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene wordt de verwerking beperkt.
De gemeente informeert de betrokkene over het recht op bezwaar. Dit gebeurt uiterlijk op het moment van het eerste contact met de betrokkene. Deze informatie wordt duidelijk en gescheiden van andere informatie aangeboden.
Als iemand een klacht heeft over de verwerking omdat hij vindt dat de gemeente Heemstede niet zorgvuldig omgaat met zijn gegevens, dan kan hij een klacht indienen bij het college van burgemeester en wethouders. Deze klacht wordt serieus behandeld. Als de klacht terecht is, dan wordt de manier van omgaan met de persoonsgegevens aangepast en de betrokkene hierover geïnformeerd.
5.3 Recht op beperking van de verwerking
De betrokkene heeft in de volgende gevallen recht op beperking van de verwerking van de gegevens:
Betrokkene maakt bezwaar: als de betrokkene bezwaar heeft gemaakt tegen de verwerking, dan stopt de gemeente met het verwerken van deze gegevens, tenzij de gemeente gerechtvaardigde gronden voor de verwerking heeft die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zolang niet duidelijk is of de gronden van de gemeente zwaarder wegen, verwerkt de gemeente deze gegevens niet.
Als de gemeente de gegevens ook aan andere partijen heeft verstrekt, dan laat de gemeente weten dat ze het gebruik van de gegevens beperkt heeft en verzoekt deze organisatie de verwerking van de gegevens ook te beperken. Als de betrokkene hierom vraagt, geeft de gemeente aan welke organisaties hierover zijn geïnformeerd.
In de volgende gevallen wist de gemeente de gegevens als de betrokkene erom vraagt en er geen sprake is van een uitzondering (zie onder):
In de volgende gevallen wist de gemeente de gegevens niet:
5.5 Recht op dataportabiliteit
In het voorkomende geval dat de gemeente persoonsgegevens verwerkt op grond van toestemming van de betrokkene of voor de uitvoering van een overeenkomst en de betrokkene wil de gegevens overdragen aan een andere organisatie, dan verstrekt de gemeente de gegevens aan de betrokkene. Het gaat hierbij alleen om digitale gegevens.
5.6 Algemene uitzonderingen privacyrechten
De gemeente geeft geen gehoor aan verzoeken van de betrokkene als dat noodzakelijk is voor het waarborgen van:
Voorwaarde hiervoor is wel dat het niet gehoor geven aan het verzoek geen effect heeft op de wezenlijke inhoud van de grondrechten en fundamentele vrijheden van de betrokkene.
Om zorgvuldig met persoonsgegevens om te kunnen gaan moeten passende beschermende maatregelen worden getroffen. Deze maatregelen moeten de geheimhouding en beveiliging van de gegevens borgen. De maatregelen gelden voor allen die onder verantwoordelijkheid van het college van burgemeester en wethouders van de gemeente Heemstede werken: interne medewerkers, verwerkers en subverwerkers. De maatregelen gelden ook voor diensten en goederen die onderdeel zijn van de beveiliging, zoals de beveiliging van het pand, de schoonmaak of de leveranciers van de hardware.
Uit hoofde van de meldplicht datalekken (artikel 33 AVG) meldt het college van burgemeester en wethouders van de gemeente Heemstede een beveiligingsincident bij de Autoriteit Persoonsgegevens, tenzij het niet aannemelijk is dat de inbreuk op de beveiliging een privacyrisico inhoudt. De procedure rond de meldplicht van datalekken is uitgewerkt in een handleiding voor de medewerkers van de gemeente Heemstede. In dit hoofdstuk wordt verder ingegaan op de onderwerpen:
Alle personen die onder het gezag van het college van burgemeester en wethouders werken zijn geheimhouding verplicht. Dit zijn niet alleen medewerkers van de interne organisatie, maar ook verwerkers en inhuurkrachten.
Elke werknemer in vaste dienst legt een eed of belofte af bij indiensttreding als onderdeel van de arbeidsovereenkomst. Daarnaast wordt bij de ondertekening van de arbeidsovereenkomst een geheimhoudingsverklaring getekend. Inhuurkrachten tekenen in ieder geval bij de ondertekening van de inhuurovereenkomst een geheimhoudingsverklaring. Afhankelijk van de duur en de aard van de inhuur wordt ook de eed/belofte afgelegd.
Daarnaast worden de medewerkers in een apart document gewezen op de geheimhoudingsplicht en op het belang van een zorgvuldige omgang met de gegevens. Voor een aantal aparte functies worden medewerkers specifiek op hun geheimhoudingsplicht gewezen, zoals bij het gebruik van Suwinet en van de Basisregistratie personen.
Verwerkers en externen worden door middel van verwerkersovereenkomsten en contracten verplicht tot geheimhouding. Dit is opgenomen in de model verwerkersovereenkomst. In alle contracten met leveranciers, verwerkers en overige externen die toegang krijgen tot het pand of tot de systemen is een bepaling over de geheimhouding opgenomen.
7. Convenanten en verwerkersovereenkomsten
Voor het realiseren van bepaalde (beleids)doelstellingen kan de gemeente Heemstede samenwerken met externe partijen. Met deze partijen wordt een convenant afgesloten. Ook kan de gemeente Heemstede verwerkers inschakelen om bepaalde gemeentelijke taken uit te voeren. Hiervoor sluit de gemeente een verwerkersovereenkomst af.
De gemeente kan met externe partijen samenwerken om beleidsdoelen te realiseren. Dit gebeurt bijvoorbeeld op het gebied van veiligheid. Voor deze samenwerking worden afspraken opgesteld over onder andere de verdeling van de taken, de verantwoordelijkheden en de werkwijze. Als het voor het bereiken van de beleidsdoeleinden nodig is om persoonsgegevens te verwerken, dan worden hierover uitdrukkelijk afspraken opgenomen in het convenant. Het gaat hier in ieder geval om afspraken over:
Jaarlijks wordt gecontroleerd of de convenanten nog actueel zijn en waar nodig aangepast.
Verwerkers verwerken persoonsgegevens in opdracht van de gemeente Heemstede. Alleen verwerkers die afdoende garanties bieden ten aanzien van de bescherming van persoonsgegevens worden ingehuurd. Met alle verwerkers wordt een verwerkersovereenkomst gesloten.
In de verwerkersovereenkomst maakt de gemeente Heemstede in ieder geval afspraken over:
Het afsluiten van de verwerkersovereenkomst wordt -indien mogelijk- meegenomen bij het afsluiten van de hoofdovereenkomst en is daarmee een integraal onderdeel van de hoofdovereenkomst. Als de verwerkersovereenkomst later wordt gesloten, dan wordt gebruik gemaakt van de Heemsteedse modelovereenkomst. Deze wordt voorgelegd aan de verwerker; mocht deze onderdelen van de overeenkomst aangepast willen zien, dan wordt dat in goed onderling overleg bepaald, waarbij de vereisten vanuit de AVG niet uit het oog verloren worden. Vanaf 1 januari 2020 wordt de modelverwerkersovereenkomst van de Vereniging Nederlandse Gemeenten (VNG) verplicht voor de nieuw af te sluiten verwerkersovereenkomsten.
Jaarlijks wordt gecontroleerd of de bestaande verwerkersovereenkomsten nog actueel zijn en waar nodig aangepast.
8. Bewustwording, communicatie en evaluatie
Privacybeleid moet niet beperkt blijven tot het formuleren van uitgangspunten en door het college na te streven doelen. Alle medewerkers van de gemeente Heemstede dragen in de praktijk zorg voor de eerbiediging van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens. Privacy is daarmee voor een belangrijk deel een zaak van bewustwording, cultuur en communicatie. Bestuur en personeel moeten zich bij de uitoefening van hun werk voortdurend bewust zijn van het belang van het waarborgen van de rechten van de burgers.
Naast het inrichten van het privacybeleid en werkprocessen is het belangrijk dat personen die daadwerkelijk werken met deze gegevens weten wat hun verantwoordelijkheid is en hoe ze zorgvuldig om moeten gaan met persoonsgegevens. Daarom is het belangrijk dat de professionals in het veld en binnen de gemeente zich bewust zijn van de regels en gedragsnormen rondom privacy. De gemeente Heemstede ondersteunt dit proces door het ontwikkelen van bijvoorbeeld privacyprotocollen en afwegingskaders. Richting de burger is communicatie over de privacy van belang. De burger heeft het recht te weten wat er met zijn of haar gegevens gebeurt.
Om ervoor te zorgen dat de professionals zich bewust zijn van het belang van privacy en weten hoe zij persoonsgegevens op een zorgvuldige manier moeten verwerken, wordt jaarlijks een awarenessplan opgesteld. Hierin worden verschillende aandachtspunten voor de bewustwording en -blijving van de personen die met de persoonsgegevens werken opgenomen. Omdat het veilig omgaan met persoonsgegevens een direct verband houdt met informatiebeveiliging wordt het oppakken van awareness op het gebied van privacy gecombineerd met de bewustwording op het gebied van informatiebeveiliging. Binnen het awarenessprogramma wordt aandacht besteed aan bijvoorbeeld trainingen en opschoondagen.
De gemeente Heemstede streeft een cultuur na waarin professionals elkaar in alle openheid aanspreken op het eigen gedrag rondom privacy en daarmee van elkaar leren. Communicatie, openheid en toetsing zijn belangrijk randvoorwaarden voor het realiseren van een optimaal privacybeleid.
Aan het einde van elk jaar wordt geëvalueerd wat de opbrengst was van het awarenessprogramma, zodat bij het opstellen van het awarenessprogramma voor het volgende jaar hiermee rekening gehouden kan worden.
Daarnaast evalueert de functionaris gegevensbescherming jaarlijks hoe de privacy was gewaarborgd in het afgelopen jaar en rapporteert hierover aan het college van burgemeester en wethouders.
Dit privacybeleid treedt in werking na vaststelling door het college van burgemeester en wethouders. Het beleid wordt iedere vier jaar geëvalueerd en indien nodig herzien. Aanpassingen van dit beleid worden aangekondigd via de website van de gemeente.
Bijlage 1: Privacy governance van de gemeente Heemstede
Op de volgende pagina’s is de privacy governance van de gemeente Heemstede voor de processen op het gebied van privacy opgenomen.
1. Beheer van het register van verwerkingen
2. Registratie, beheer en actualisatie van verwerkersovereenkomsten
3. Deelname aan overleg over privacy
4. Afhandeling veiligheidsincidenten
5. Advies en voorlichting aan de organisatie
6. Uitvoering data protection impact assessment (DPIA)
7. Afhandeling verzoek rechten van betrokkenen met betrekking tot persoonsgegevens
8. Ontwikkelen en beheer van procedures, formats en beleid
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2020-250444.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.