Privacybeleid
Inleiding
Optimale dienstverlening
De gemeente werkt met (persoons)gegevens van burgers, ondernemers, medewerkers en (keten)partners. Deze gegevens verzamelt de gemeente om de gemeentelijke wettelijke taken goed uit te kunnen voeren. Denk hierbij aan taken in het sociaal domein, openbare orde en veiligheidsdomein of voor burgerzaken. Voor optimale uitvoering van haar dienstverlening is het noodzakelijk dat de gemeente persoonsgegevens verwerkt, waarbij de burger er tegelijkertijd op moet kunnen vertrouwen dat de gemeente zorgvuldig en veilig met persoonsgegevens omgaat.
Algemene Verordening Gegevensbescherming als basis
Nieuwe technologische ontwikkelingen, (zoals Artifficial Intelligence), innovatieve voorzieningen, globalisering en een steeds digitaler wordende overheid maakt het zorgvuldig omgaan met persoonsgegevens steeds complexer en noodzakelijker. De gemeente Rijssen – Holten is zich hiervan bewust en wil met dit beleid aangeven hoe zij de bescherming van persoonsgegevens van haar inwoners waarborgt. Als vanzelfsprekend zijn nationale en Europese wet- en regelgeving op het gebied van privacy, waaronder de Algemene Verordening Gegevensbescherming daarbij een belangrijk uitgangspunt.
Geldigheidsduur
Dit beleid is vastgesteld op door het college van B&W en wordt eens per drie jaar opnieuw beoordeeld en zo nodig aangepast. Dit is conform het normenkader van het IBD/VNG model dat het volwassenheidsniveau van het privacy beleid in kaart brengt. Door de periodieke beoordeling blijft privacy een belangrijk onderdeel op de agenda van de gemeente Rijssen – Holten. Indien daar aanleiding toe is (bijvoorbeeld bij grote organisatorische veranderingen, wetswijzigingen, uitkomsten van DPIA’s) kan het college natuurlijk altijd besluiten tot een tussentijdse herziening.
Begripsbepalingen
Voor de leesbaarheid van deze beleidsregels zijn een aantal definities opgenomen. Deze zijn conform de begripsbepalingen zoals die zijn beschreven in art. 4 AVG.
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon, (betrokkene). Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, metname aan de hand van een (online) identificator zoals een naam, identificatienummer, locatiegegevens, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Verwerking
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, 4 gebruiken, verstrekken, verspreiden, of op een andere manier ter beschikking stellen, combineren, afschermen, wissen, verwijderen, vernietigen van persoonsgegevens.
Verwerkingsverantwoordelijke
Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat alleen, of samen met anderen, het doel van de verwerking van persoonsgegevens vaststelt.
Verwerker
Een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die persoonsgegevens voor de verwerkingsverantwoordelijke verwerkt.
Visie, missie & ambitie
Visie
De gemeente Rijssen – Holten streeft continue naar het optimaliseren van haar dienstverlening waarbij zij tegelijkertijd de privacyrechten van haar inwoners maximaal gewaarborgd wil zien. Voor het goed functioneren van de gemeente en als stevige basis voor het beschermen van rechten van burgers en bedrijven, is een helder en gedegen privacybeleid van essentieel belang. Hierbij houden we ons aan de ambities en kernwaarden van onze organisatie.
Ambitie en kernwaarden
Bij de uitvoering van ons privacybeleid spelen de organisatiekoers, ambities en kernwaarden een belangrijke rol. Zo is voor de gemeente Rijssen – Holten het leveren van meerwaarde voor haar inwoners de belangrijkste drijfveer. Dit doen we door inwoners te betrekken bij onze plannen en in openheid te informeren en te communiceren over onze werkwijze. Om onze ambities waar te maken 5 blijven we niet in onze eigen bubbel, maar zoeken we samen continue naar de best mogelijk, passende integrale werkwijze. Bij het uitvoeren van het privacybeleid werken we op basis van verantwoordelijkheid, vertrouwen en veiligheid waarbij privacy-welzijn van onze inwoners het uitgangspunt is.
Technologische ontwikkelingen
Enorme (technologische) ontwikkelingen op het vlak van informatievoorziening (zoals AI) zullen vragen om extra deskundigheid, flexibiliteit en weerbaarheid binnen onze organisatie. Dit betreft zowel onze systemen, kennis als gedrag. De organisatie zal een duidelijk standpunt moeten innemen ‘hoe om te gaan met de nieuwe technologieën’. Alleen dan kunnen we ervoor zorgen dat medewerkers goed voorbereid worden en dat medewerkers weten wat er van hen verwacht wordt.
Missie
Gezien onze visie, ambitie en de technologische ontwikkelingen is en blijft verdere professionalisering van (de uitvoering van) het privacybeleid noodzakelijk. Dit bereiken we door het verhogen van de privacy kennis en bewustwording van medewerkers, het nemen van (nieuwe) maatregelen en het inzetten van (innovatieve) instrumenten waarmee de verwerking van persoonsgegevens, nu en in de toekomst, uiterst zorgvuldig blijft plaatsvinden.
Doel van het privacybeleid
Het waarborgen van maximale privacy enerzijds en het verlenen van optimale dienstverlening anderzijds kan in sommige gevallen een spanningsveld opleveren. Zeker in een organisatie waar men medewerkers in grote mate zelf verantwoordelijkheid laat nemen, zoals bij de gemeente Rijssen – Holten het geval is.
Dit privacybeleid beoogt handvatten te geven voor het omgaan met dit spanningsveld. Daarnaast geeft het inzicht in hoe de gemeente haar privacy organisatie heeft ingericht, taken en verantwoordelijkheden heeft afgebakend, de AVG-verplichtingen heeft verwerkt in haar diensten en processen en hoe zij continue werkt aan privacy-bewustwording van haar medewerkers.
Doelstelling
De Jaarrapportage Gegevensbescherming gemeente Rijssen – Holten geeft een overzicht van de activiteiten, bevindingen en aandachtspunten voor het veilig en zorgvuldig verwerken van persoonsgegevens. De Functionaris Gegevensbescherming (FG) heeft het jaar 2022 beoordeeld op basis van de standaard monitor van het IBD/ borgingsproduct van de VNG*, dat specifiek ontwikkeld is voor gemeentes. De totale score komt in 2022 uit op 56% wat gelijk staat aan een volwassenheidsniveau van 2/3 (op een schaal van 1 – 4). De voorlopige beoordeling voor 2023 komt uit op 63% hetgeen overeenkomt met het volwassenheidsniveau 3/4. 6 Doelstelling voor 2024-2027 is te werken naar een volwassenheidsniveau van 3/4 en 4. Het vaststellen en uitvoeren van dit privacybeleid moet daar een bijdrage aan leveren.
Naast dit door het college vastgestelde privacybeleid is een informatiebeveiligingsbeleid vastgesteld. Hierin zijn maatregelen opgenomen om o.a. de beschikbaarheid, integriteit en vertrouwelijkheid van (persoons)gegevens te garanderen.
Reikwijdte
Juridisch kader
Deze beleidsregels zijn van toepassing op alle processen en taken waarvoor de gemeente persoonsgegeven verwerkt. De Algemene Verordening Gegevensbescherming geldt daarbij als uitgangspunt. In specifieke wet- en regelgeving kan worden afgeweken, zoals bijvoorbeeld uitzonderingsgevallen bepaald in de Wet maatschappelijke ondersteuning, de Jeugdwet, de Wet basis registratie personen, en de Wet aanpak meervoudige problematiek sociaal domein (Wams) die vermoedelijk per 1 juli 2024 gaat gelden.
Wet aanpak meervoudige problematiek sociaal domein (Wams)
Mogelijk biedt de Wet aanpak meervoudige problematiek sociaal domein (Wams), die vermoedelijk per 1 juli 2024 in werking treedt, meer en ruimere mogelijkheden voor gegevensuitwisseling binnen het sociaal domein. Met deze wet wordt de gecoördineerde aanpak van meervoudige problematiek een expliciete taak van het college van B&W. De Wams zal aanpassingen aanbrengen in de Wet maatschappelijke ondersteuning, Participatiewet, Jeugdwet, en de wet op de Gemeentelijke Schuldhulpverlening waardoor de regisseursfunctie/integrale aanpak binnen het sociaal domein meer tot zijn recht komt. Deze aanpassing zal dan worden doorgevoerd in het privacybeleid binnen het sociaal domein. 7 Het privacybeleid is overkoepelend en geschreven op hoofdlijnen. Verdere uitwerking van dit beleid is vastgelegd in operationele documenten binnen de gemeente, zoals procedures, concrete werkinstructies, werkafspraken voor bepaalde onderwerpen en protocollen voor specifieke domeinen.
Scope
De gemeente verzamelt en gebruikt persoonsgegevens van inwoners, leveranciers en medewerkers en andere natuurlijke personen. Dit privacybeleid is dan ook van toepassing op alle verwerkingen van persoonsgegevens door of namens het College van Burgemeester en Wethouders, waaronder: 1. De verwerking van persoonsgegevens binnen de bedrijfsprocessen van de gemeente; 2. De verwerking van persoonsgegevens die is uitbesteed, of op een andere manier is georganiseerd, zoals deelname van de gemeente aan een rechtspersoon die voor de gemeente bepaalde diensten verricht; 3. De gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden of leveranciers.
Principes voor de verwerking van persoonsgegevens
De Algemene Verordening Gegevensbescherming is gebaseerd op een aantal principes. De gemeente Rijssen – Holten onderschrijft deze principes en stelt zich ten doel persoonsgegevens slechts te verwerken in overeenstemming met deze principes.
Noodzakelijk, proportioneel en subsidiair
Een belangrijk uitgangspunt bij het verwerken van persoonsgegevens is dat dit alleen mogelijk is indien het:
- noodzakelijk is voor het bereiken van het doel,
- proportioneel is ten opzichte van het te bereiken doel,
- én het doel niet op andere wijze, met minder inbreuk op de privacy van betrokkenen, bereikt kan worden, (subsidiair).
Rechtmatige grondslag
Verwerking van persoonsgegevens vindt binnen de gemeente alleen plaats op behoorlijke, rechtmatige en transparante wijze. De grondslag voor een verwerking van de gemeente vloeit veelal voort uit een wet (wettelijke verplichting) of een publiekrechtelijke taak.
Duidelijk doel
Persoonsgegevens mogen alleen voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verwerkt. (Alleen in uitzonderlijke gevallen kunnen gegevens ook voor een ander doel verwerkt worden. Het moet dan wel gaan om een verenigbaar doel en er mogen geen extra nadelige effecten voor de betrokkenen ontstaan. De afweging of er sprake is van een verenigbaar doel wordt gemaakt op basis van het:
- verband tussen de doeleinden
- kader waarin de gegevens zijn verzameld en de verhouding tussen de betrokkene en de verwerkingsverantwoordelijke,
- de aard van de persoonsgegevens d. mogelijke gevolgen voor de betrokkene
- bestaan van passende waarborgen, waaronder eventueel pseudonimisering.
Minimale gegevensverwerking
De persoonsgegevens die de gemeente verwerkt moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor het bereiken van het doel waarvoor zij worden verwerkt.
Juiste en actuele gegevens
De gemeente zorgt ervoor dat alleen persoonsgegevens worden verwerkt die juist en actueel zijn. Hierbij neemt de gemeente redelijke maatregelen om persoonsgegevens juist en actueel te houden, onjuiste persoonsgegevens te actualiseren, te rectificeren en/of te wissen.
Gegevens worden op tijd vernietigd
De bewaartermijn van persoonsgegevens stelt de gemeente vast aan de hand van wettelijke bepalingen, (meestal bepaalt de Archiefwet). Alleen als de bewaartermijn niet door de wet bepaald is, dan stelt de gemeente deze vast op basis van noodzakelijkheid.
Integriteit en vertrouwelijkheid
De gemeente neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen misbruik, onrechtmatige of ongeautoriseerde verwerking. De gemeente handelt hierbij in overeenstemming met het informatiebeveiligingsbeleid.
Belangrijke maatregelen (die naleving AVG aantonen)
Bij de verwerking van persoonsgegevens is de gemeente verplicht zich te houden aan de bepalingen van de Algemene Verordening Gegevensbescherming. De AVG eist daarbij ook dat naleving aantoonbaar dient te zijn. De gemeente treft daarvoor passende technische en organisatorische maatregelen die waarborgen én aantonen dat persoonsgegevens worden verwerkt in overeenstemming met de AVG.
Conform de AVG beschikt de gemeente Rijssen Holten over een verwerkingsregister, is er een protocol voor datalekken, zijn applicaties en werkprocedures met privacy waarborgen ingericht, sluiten we verwerkingsovereenkomsten met verwerkers, worden er Data Privacy Impact Assessments (DPIA) uitgevoerd voor nieuwe (risicovolle) persoonsgegevensverwerkingen, is er een Functionaris Gegevensbescherming benoemd en besteedt de gemeente veel aandacht aan het privacy-bewust- werken van haar medewerkers. Naast de verplichtende aard van deze maatregelen vormen ze natuurlijk een heel belangrijk onderdeel van dit privacybeleid en de uitvoering daarvan.
Verwerkingsregister
De gemeente beschikt over een verwerkingsregister, waarin alle verwerkingen van persoonsgegevens gedocumenteerd en inzichtelijk worden geregistreerd.
Risico inventarisatie door DPIA
Als het ontwikkelen of aanbieden van een nieuw product, dienst of applicatie mogelijk een hoog risico, met betrekking tot persoonsgegevensverwerkingen, kan opleveren dan voert de gemeente een DPIA uit (Data Processing Impact Assessment). Blijkt uit deze inventarisatie dat er inderdaad risico’s zijn verbonden aan de verwerking, dan neemt de gemeente maatregelen om deze risico’s te verminderen.
Datalek procedure
Bij toegang tot, verlies of wijziging van persoonsgegevens bij de gemeente, zonder dat dit de bedoeling is, is er sprake van een datalek. Afhankelijk van het risico, wordt een datalek binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens en soms bij de getroffen betrokkene(n). De gemeente registreert datalekken, zet de bevindingen om in verbeterpunten en ziet toe op de opvolging hiervan. Meer regels ten aanzien van het vaststellen, melden en afhandelen van datalekken zijn opgenomen in de.
Privacy by Default en Privacy by Design
De gemeente houdt bij ontwerp en ontwikkeling van nieuwe diensten, systemen of processen rekening met het waarborgen van privacy en gegevensbescherming, (Privacy by Design). Als uitgangspunt geldt dat standaardinstellingen altijd zo privacy-vriendelijk als mogelijk worden ingesteld. (Privacy by Default).
Tools voor extra veilig werken
De gemeente Rijssen – Holten verwerkt veel en vaak ook gevoelige persoonsgegevens. In sommige gevallen is het nodig deze informatie te per mail te versturen. Uitgangspunt van het privacybeleid is dat deze gegevens altijd op een beveiligde wijze, zoals bijvoorbeeld met cryptshare of zivver, verzonden worden. Zo houden we het risico op datalekken zo laag mogelijk.
Functionaris Gegevensbescherming (FG)
De gemeente is een overheidsinstantie die structureel en op grote schaal persoonsgegevens verwerkt. Daarom verplicht de AVG de gemeente om een FG aan te stellen. De FG is de onafhankelijke intern toezichthouder en heeft een adviserende, informerende en toezichthoudende taak. De FG brengt jaarlijks een verslag uit aan de gemeenteraad en het College van B&W van zijn werkzaamheden, bevindingen en aanbevelingen.
Verwerkingsovereenkomsten
De gemeente schakelt soms derden in om persoonsgegevens in opdracht van haar te verwerken. Deze derden worden verwerkers genoemd. Ook een verwerker moet zich houden aan de privacyregelgeving en aan het privacybeleid van de gemeente. De AVG verplicht gemeenten tot het maken van contractuele afspraken met verwerkers, zogenaamde verwerkersovereenkomsten. De gemeente houdt deze verwerkingsovereenkomsten bij in een contractenregister.
Samenwerkingsverbanden
Het kan voorkomen dat de gemeente samenwerkt met andere (overheids)organisaties om een taak van algemeen belang uit te voeren, waarbij persoonsgeven worden gedeeld. De gemeente maakt dan met deze organisaties afspraken over de wijze waarop persoonsgegevens worden verwerkt. Deze afspraken mogen nooit in strijd zijn met de bepalingen van dit beleid. Op deze wijze wordt geborgd dat het beschermingsniveau van persoonsgegevens gelijk is aan dat van de gemeente.
Bewustwording
Beleid en maatregelen zijn niet voldoende om risico’s bij het verwerken van persoonsgegevens uit te sluiten. De gemeente Rijssen – Holten vindt het noodzakelijk om het privacy-bewust-werken van medewerkers voortdurend aandacht te blijven geven. Op deze manier verhogen we kennis van risico’s en stimuleren we (verantwoord) gedrag om persoonsgegevens veilig en zorgvuldig te verwerken.
Zo is privacy bewust werken onderdeel van het onboardig programma voor nieuwe medewerkers. Daarna blijven medewerkers (aantoonbaar) geïnformeerd over het zorgvuldig omgaan met persoonsgegevens, bijvoorbeeld via online-trainingen, instructies, voorlichting en informatiesessies. Deelname aan deze activiteiten is onderdeel van dit privacybeleid en is (ook) door directie verplicht gesteld. Het teammanagement krijgt tools om te sturen op een deelname-score van 100%.
Plan – Do – Check – Act Cyclus
De gemeente streeft ernaar om rondom de verwerking van persoonsgegevens in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn ten aanzien van de verwerking van persoonsgegevens, dat er een planning is van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus. Voor privacy wordt jaarlijks een plan van aanpak opgesteld dat aan het einde van dat jaar geëvalueerd wordt.
Audit
De Algemene Verordening Gegevensbescherming bepaalt dat naleving aantoonbaar gemaakt moet kunnen worden. Naast de genoemde maatregelen in dit hoofdstuk is het (laten) uitvoeren van een privacy audit hier een belangrijk instrument voor. Tijdens een privacy audit toetsen we of de (basis) principes voor een rechtmatige en zorgvuldige verwerking van persoonsgegevens worden nageleefd.
Rechten van betrokkenen
De bescherming van persoonsgegevens draait natuurlijk eigenlijk om de bescherming van de privacyrechten van de persoon van/over wie gegevens worden verwerkt, ( de betrokkene). Daarom heeft iedereen het recht om te vernemen welke persoonsgegevens de gemeente over hem/haar heeft verzameld en waarvoor deze worden gebruikt. Ook heeft de betrokkene het recht om controle uit te oefenen op zijn persoonsgegevens.
Transparante Informatie
De gemeente informeert de betrokkenen tijdig, op een zo eenvoudig mogelijke, begrijpelijke en toegankelijke manier over het feit dat zij persoonsgegevens verwerkt, op welke wijze en voor welke doeleinden. Daarbij informeren we de betrokkene op heldere en laagdrempelige wijze over zijn rechten en hoe hij deze kan uitoefenen. Alleen indien de wet anders bepaalt, wijkt de gemeente van deze informatieplicht af.
De gemeente geeft de betrokkene de mogelijkheid om zijn (AVG) rechten uit te oefenen:
- het recht van inzage,
- recht op rectificatie,
- recht op verwijdering,
- recht op bezwaar,
- recht op beperking,
- recht op overdraagbaarheid.
Meer specifieke regels en procedure ten aanzien van de rechten van betrokkenen en de bijbehorende procedure zijn opgenomen in de.
Klachten
Indien de betrokkene van mening is dat de gemeente niet op een juiste wijze met zijn persoonsgegevens is omgegaan, kan hij een klacht indienen via de Klachtenregeling zoals opgenomen op de website . De betrokkene heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Bezwaar
De reactie van de gemeente op een verzoek tot inzage, correctie, stopzetting is een beslissing in de zin van de Algemene wet bestuursrecht. Hiertegen kan bezwaar gemaakt worden. Aan de Privacy Officer of FG kan advies worden gevraagd bij de behandeling van een bezwaarschrift.
Recht op schadevergoeding
Iedereen die materiele of immateriële schade heeft geleden ten gevolge van een inbreuk op dit beleid, heeft het recht om van de verwerkingsverantwoordelijke of verwerker schadevergoeding te ontvangen voor de geleden schade. Een verwerker is slechts aansprakelijk voor de schade die door de verwerking is veroorzaakt, als bij de verwerking niet voldaan is aan de specifiek tot verwerkers gerichte verplichtingen of als in strijd is gehandeld met de rechtmatige instructie van de verwerkingsverantwoordelijke.
Rolverdeling en verantwoordelijkheid
Binnen de gemeente, onder de verantwoordelijkheid van zowel het college van B&W als de gemeenteraad, vindt een groot aantal verwerkingen van persoonsgegevens plaats. Daarop wordt extern en intern toezicht op gehouden. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacyregels in Nederland. Daarnaast beschikt de gemeente over een interne toezichthouder: de Functionaris Gegevensbescherming (FG). De FG ziet erop toe dat de AVG intern wordt nageleefd. De gemeente stelt voldoende middelen ter beschikking aan de FG om het toezicht adequaat uit te kunnen voeren.
Onderstaand (RACI) overzicht maakt duidelijk hoe de gemeente de bescherming van persoonsgegevens effectief binnen de organisatie heeft belegd. Daarbij bevat het een beschrijving van de rollen en verantwoordelijkheden van de Gemeenteraad, het College van B&W, het managementteam en medewerkers, de Functionaris voor de Gegevensbescherming (FG), de Privacy Officer en de IBF.
| RACI-rol | Verantwoordelijke(n) |
|---|---|
| R – Responsible (Feitelijk verantwoordelijk) | Teammanagers en directie. Medewerkers (inclusief inhuur/externen) die persoonsgegevens verwerken |
| A – Accountable (Eindverantwoordelijk) | Het college van B&W |
| C – Consulted (Adviserend) | Privacy Officer. IBF. Functionaris Gegevensbescherming |
| I – Informed (Geïnformeerd) | Gemeenteraad (heeft geen privacyrechtelijke controletaak, maar wel bestuurlijk toezicht op basis van wetgeving). Functionaris Gegevensbescherming. Belanghebbende(n)/Betrokkene(n) |
Onderstaand (RACI) overzicht maakt duidelijk hoe de gemeente de bescherming van persoonsgegevens effectief binnen de organisatie heeft belegd. Daarbij bevat het een beschrijving van de rollen en verantwoordelijkheden van de Gemeenteraad, het College van B&W, het managementteam en medewerkers, de Functionaris voor de Gegevensbescherming (FG), de Privacy Officer en de IBF.
College van B&W
Het College van Burgemeester & Wethouders is eindverantwoordelijk voor de naleving van de privacywetgeving binnen de gemeente:
- Stelt het privacybeleid vast;
- Geeft sturing aan privacybeleidsvoering, legt rekenschap af over privacy beleidsvoering aan FG;
- Evalueert de toepassing en werking van het privacybeleid op basis van de rapportage van de FG;
- Bevordert duurzame privacycultuur.
Privacy op de directie agenda
De gemeente heeft binnen haar directie als ook bij de dagelijkse uitvoering van haar bestuurstaken (college B&W) een portefeuillehouder privacy benoemd. Met deze vaststelling hebben privacy en persoonsgegevensbescherming inmiddels een, belangrijke, vaste plek op de gemeentelijke agenda.
Functionaris Gegevensbescherming & Privacy Officer
Conform de AVG heeft de gemeente een Functionaris Gegevensbescherming (FG) benoemd en tevens is er een Privacy Officer (PO) aangesteld. De PO houdt zich bezig met de coördinatie, ondersteuning en uitvoering van privacy activiteiten en de FG heeft een adviseren en toezichthoudende rol. De PO heeft periodiek overleg met zowel de portefeuillehouder in directie als met de betreffende wethouder van het College.
Functionaris Gegevensbescherming (FG)
De FG houdt toezicht op de naleving van de privacywet en -regelgeving en heeft de taak om te signaleren, controleren en rapporteren binnen de gehele organisatie van de gemeente. De FG houdt bij de uitvoering van zijn taken rekening met het aan verwerkingen verbonden risico, en met de aard, omvang, context en de verwerkingsdoeleinden op basis van de Algemene Verordening Gegevensbescherming (AVG). De FG heeft een onafhankelijke positie binnen de organisatie en kan rechtstreeks rapporteren aan directie en B&W.
De functionaris voor gegevensbescherming vervult o.a. de volgende taken: de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van de privacy wetgeving;
- toezien op naleving van de privacy wetgeving en van het beleid van de verwerkingsverantwoordelijke (gemeente)
- desgevraagd advies verstrekken met betrekking tot de Data Protection Impact Assessment (DPIA) en toezien op de uitvoering van de maatregelen
- het opstellen van de paragraaf over privacy voor het Sociaal Jaarverslag;
- betrokken worden bij het afhandelen van klachten en bezwaarschriften met betrekking tot persoonsbescherming;
- betrokken worden bij de behandeling van verzoeken van inwoners bij de uitvoering van hun rechten op het gebied van de privacy wetgeving (inzage, stopzetting, correctie)
- adviseren over technologie en beveiliging (privacy by design);
Privacy Officer (PO)
De PO is adviseur op het gebied van privacyvraagstukken, die spelen binnen de organisatie. De PO heeft een coördinerende, ondersteunende en operationele rol;
- (mede) ontwikkelen van privacy beleid en de uitvoering daarvan
- Het ondersteunen van de organisatie met de wettelijke verantwoordelijkheden om aan de privacyregelgeving te voldoen;
- Coördinatie van de datalekken procedure en melden bij de toezichthouder;
- Ondersteuning bij het inventariseren van gegevensverwerkingen
- Ondersteuning en advies bij het opstellen en bijhouden van verwerkingsovereenkomsten
- Ondersteuning bij het uitvoeren van de DPIA;
- Coördineren van verzoeken “rechten van betrokkenen’
- Zorgdragen voor bewustwording met betrekking tot Privacy
Decentrale uitvoering
in het team Voor de uitvoering van een professioneel privacybeleid is het van belang dat privacy door de hele organisatie (en dus decentraal) belegd is. Een belangrijke rol daarbij is weggelegd voor het teammanagement. Teammanagers kunnen ervoor zorgen dat privacy zaken en taken veel meer ‘vast’ onderdeel zijn van de dagelijkse werkzaamheden binnen het team, bijvoorbeeld door er standaard aandacht aan te schenken tijden het werkoverleg. De teammanager is tevens contactpersoon/aanspreekpunt voor de PO. Tegelijkertijd vertegenwoordigt de teammanager het team, waarbij algemene vragen/behoefte vanuit het team direct bij de PO belegd kunnen worden.
Teammanager
Binnen bepaalde domeinen, of in sommige teams, verwerkt men veel (bijzondere/gevoelige) persoonsgegevens. Hier kan het wenselijk zijn om de teammanager een uitgebreide(re) rol met betrekking tot privacy gerelateerde zaken te kunnen laten oppakken. Ook kan de teammanager ervoor kiezen, naast hem of haar, een ‘vaste uitvoerende medewerker’ als contactpersoon voor de meer operationele privacy gerelateerde zaken aan te stellen. Deze persoon kent de praktijksituatie en kan knelpunten vaak beter en sneller signaleren. Op deze manier gaat privacy meer leven binnen het team, worden vragen van de teams sneller inzichtelijk en kunnen privacy uitdagingen en plannen beter worden doorgevoerd, hetgeen ook de algehele privacy bewustwording positief zal beïnvloeden. Om dit te faciliteren kan ondersteuning worden geboden met de applicatie Pepperflow, waarin privacy-gerelateerde taken aan de teams kunnen worden toegewezen.
Periodiek privacy overleg (BCAC)
Eens per kwartaal overleggen alle teammanagers gezamenlijk in het BCAC overleg met de Privacy Officer, de Functionaris Gegevensbescherming en de Informatiebeveiligingsfunctionaris (IBF). Dit overleg is een belangrijk instrument om privacy binnen de teams onder de aandacht te brengen en te houden.
Overzicht aanvullende rollen en verantwoordelijkheden
| Afdeling/Functionaris | Betrokkenheid |
|---|---|
| Informatiebeveiligingsfunctionaris (IBF) | Toepassing en implementatie van technische en organisatorische maatregelen m.b.t. bescherming van persoonsgegevens. Adviseren van de organisatie bij datalekken (volgens de meldprocedure). Tijdig melden van informatiebeveiligingsincidenten bij PO/FG als er mogelijk persoonsgegevens betrokken zijn. |
| Communicatie | Wordt betrokken bij alle situaties waarin communicatie (intern of extern) een rol speelt. Adviseert de organisatie over communicatie bij datalekken (volgens de meldprocedure). |
| Audit / Concern Control | Toetst het functioneren van de gehele interne organisatie. |
| Informatiemanagement | Richt de informatievoorziening in. Beoordeelt welke functionaliteit en data op welke wijze/in welk systeem verwerkt kunnen of moeten worden. |
| Teammanager | Aanspreekpunt binnen het team voor algemene privacyzaken. Heeft een monitorende rol in het naleven en uitvoeren van het privacybeleid. Kan een vaste contactpersoon voor operationele privacyzaken aanstellen. |