Verordening Privacy gemeente Nuenen c.a. 2016

Geldend van 01-01-2016 t/m heden

Intitulé

Verordening Privacy gemeente Nuenen c.a. 2016

De raad van de gemeente Nuenen c.a.;

gelezen het voorstel van burgemeester en wethouders van 3 november 2015;

gelet op de artikelen 147 en 149 van de Gemeentewet en de Wet bescherming persoonsgegevens;

overwegende dat het noodzakelijk is regels vast te stellen om een behoorlijke en zorgvuldige verwerking van persoonsgegevens in overeenstemming met de Wet bescherming persoonsgegevens te waarborgen,

Besluit:

  • -

    vast te stellen de Verordening Privacy gemeente Nuenen c.a. 2016

  • -

    in te trekken de Verordening verwerking persoonsgegevens gemeente Nuenen, Gerwen en Nederwetten 2009

Hoofdstuk 1 Begripsbepaling en reikwijdte

Artikel 1 begripsomschrijvingen

In aansluiting bij en in aanvulling op de begripsomschrijvingen van de Wet bescherming persoonsgegevens wordt in het bij of krachtens deze verordening bepaalde verstaan onder:

  • a.

    afdelingen: de organisatorische eenheden van de ambtelijke organisatie van de gemeente;

  • b.

    afdelingsbeheerder: degene die namens de verantwoordelijke is belast met de dagelijkse zorg voor het onderhoud en het gebruik van de verwerking van persoonsgegevens binnen diens afdeling in overeenstemming met het bij of krachtens de wet en deze verordening bepaalde;

  • c.

    belanghebbende: degene wiens belang rechtstreeks bij een bepaalde verwerking van persoonsgegevens is betrokken;

  • d.

    burgemeester: de burgemeester van de gemeente Nuenen c.a.;

  • e.

    college: het college van burgemeester en wethouders van de gemeente Nuenen c.a.;

  • f.

    CBP: het College Bescherming Persoonsgegevens als bedoeld in artikel 51 van de wet;

  • g.

    centraal register: het register als bedoeld in artikel 11 van deze verordening;

  • h.

    coördinator informatiebeveiliging: de door het bestuur van Dienst Dommelvallei en het college aangewezen natuurlijke persoon belast met de ondersteuning van de privacy beheerder voor zaken betreffende het informatiebeveiligingsbeleid, alsmede techniek en technologie in brede zin;

  • i.

    privacy beheerder: de door het college aangewezen natuurlijke persoon belast met de coördinatie van de gegevensbescherming binnen de gemeente overeenkomstig het bij of krachtens de wet en deze verordening bepaalde;

  • j.

    de wet: de Wet bescherming persoonsgegevens;

  • k.

    Dienst Dommelvallei: het openbaar lichaam ingesteld krachtens de gemeenschappelijke regeling Dienst Dommelvallei;

  • l.

    gemeente: de gemeente Nuenen c.a.;

  • m.

    informatiebeveiligingsbeleid: het door de Dienst Dommelvallei opgestelde en daar in beheer zijnde informatiebeveiligingsbeleid van de Dommelvallei organisaties, zijnde de gemeenten Son & Breugel, Nuenen c.a., Geldrop-Mierlo en de Dienst Dommelvallei;

  • n.

    medewerker: de natuurlijke persoon die in dienst is van de gemeente, dan wel de natuurlijke persoon die anderszins in een hiërarchische relatie tot de gemeente staat;

  • o.

    raad: de gemeenteraad van de gemeente Nuenen;

  • p.

    verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

  • q.

    werkgroep privacy: een gemeente brede overlegstructuur in het kader van de uitvoering en ter waarborging van het bij of krachtens de wet en deze verordening bepaalde;

Artikel 2 reikwijdte

Deze verordening is van toepassing op alle verwerkingen van persoonsgegevens die plaatsvinden binnen de afdelingen en bestuursorganen van de gemeente en die vallen onder de werkingssfeer van de wet.

Hoofdstuk 2 Organisatorisch kader

Artikel 3 privacy beheerder

  • 1. Het college benoemt een privacy beheerder.

  • 2. Tot de taken en verantwoordelijkheden van de privacy beheerder behoren in elk geval:

    • a.

      de coördinatie van en het toezicht houden op het bij of krachtens de wet en deze verordening bepaalde;

    • b.

      het informeren en adviseren van de medewerkers en het college over ontwikkelingen die relevant zijn voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens;

    • c.

      het beheer van het centraal register, als bedoeld in artikel 12 van deze verordening;

    • d.

      het functioneren als contactpersoon voor zaken betreffende de verwerking van persoonsgegevens;

    • e.

      het doen van meldingen bij het CBP als bedoeld in artikel 27 van de wet.

  • 3. Het college kan nadere regels stellen omtrent de in lid 2 genoemde taken en verantwoordelijkheden.

Artikel 4 Afdelingsbeheerder

  • 1. Het college benoemt de hoofden van de afdelingen tot afdelingsbeheerder ieder voor wat betreft de verwerkingen van persoonsgegevens die plaatsvinden binnen zijn of haar afdeling.

  • 2. De afdelingsbeheerder neemt namens de verantwoordelijke en, indien voor de verwerking niet reeds aangemerkt als de verantwoordelijke, het college de nodige stappen teneinde te voldoen aan het bij of krachtens de wet en deze verordening bepaalde.

  • 3. Tot de taken en verantwoordelijkheden van de afdelingsbeheerder behoren in elk geval:

    • a.

      het inzichtelijk maken van de werkprocessen en bijbehorende verwerkingen van persoonsgegevens;

    • b.

      het bij de privacy beheerder met een of meer door het college vastgesteld(e) formulier(en) melden van een (wijziging of beëindiging van een) verwerking ten behoeve van opname in het centraal register, alsmede het beoordelen hiervan in het licht van de meldingsplicht en andere uit de wet voortvloeiende verplichtingen;

    • c.

      het informeren en adviseren van de werkgroep privacy over ontwikkelingen die relevant zijn voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens.

  • 4. Het college kan nadere regels stellen omtrent de in lid 3 genoemde taken en verantwoordelijkheden.

Artikel 5 werkgroep privacy

  • 1. Binnen de gemeente bestaat een werkgroep privacy onder het voorzitterschap van de privacy beheerder.

  • 2. De gemeentesecretaris wijst, na overleg met de privacy beheerder, medewerkers aan die met wederzijdse instemming deelnemen aan de werkgroep privacy.

  • 3. De werkgroep bestaat uit de privacy beheerder, de coördinator informatiebeveiliging en de in lid 2 genoemde medewerkers.

  • 4. De werkgroep privacy komt bijeen:

    • a.

      zo vaak als nodig, doch tenminste tweemaal per jaar;

    • b.

      onverwijld, indien de omstandigheden daartoe noodzaken;

    • c.

      wanneer de privacy beheerder dit nodig acht.

  • 5. Tot de taken en verantwoordelijkheden van de werkgroep privacy behoren in elk geval:

    • a.

      het verzorgen van een tweejaarlijkse evaluatie van de uitvoering van het bij of krachtens de wet en deze verordening bepaalde;

    • b.

      het stimuleren van een voortdurende ontwikkeling en actualisering van procedures en mechanismen betreffende de verwerking van persoonsgegevens;

    • c.

      het functioneren als klankbord voor medewerkers en (individuele) leden van de werkgroep;

    • d.

      het organiseren van activiteiten die een voortdurende bewustwording ten aanzien van privacy en gegevensbescherming ten doel hebben.

  • 6. Het college kan nadere regels stellen omtrent de in lid 5 genoemde taken en verantwoordelijkheden.

Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevens

Artikel 6 technische en organisatorische maatregelen

  • 1. Het college waarborgt een passend beveiligingsniveau van persoonsgegevens door middel van het hebben, onderhouden en naleven van technische en organisatorische maatregelen, neergelegd in een informatiebeveiligingsbeleid.

  • 2. De afdelingsbeheerder draagt binnen zijn afdeling zorg voor de inventarisatie van de risico’s die samenhangen met de verwerkingen van persoonsgegevens en de naar aanleiding daarvan vereiste maatregelen en stelt de privacy beheerder, de verantwoordelijke en, indien voor de verwerking niet reeds aangemerkt als de verantwoordelijke, het college hiervan op de hoogte.

  • 3. Het college zal, naar aanleiding van de in lid 2 geïnventariseerde risico’s, indien noodzakelijk, in overleg treden met het bestuur van de Dienst Dommelvallei over te treffen noodzakelijke maatregelen en aanpassing van het informatiebeveiligingsbeleid.

Artikel 7 bewerkersovereenkomst

  • 1. De afdelingsbeheerder draagt er zorg voor dat een verwerking van persoonsgegevens die tot zijn afdeling behoort en die wordt uitgevoerd door een bewerker, wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat in overeenstemming met artikel 14 van de wet.

  • 2. Het college kan nadere regels stellen omtrent de wijze van sluiten en inhoud van de in lid 1 genoemde overeenkomst of andere rechtshandeling.

Artikel 8 bewaren persoonsgegevens

  • 1. De afdelingsbeheerder stelt voor zijn afdeling procedures en mechanismen vast die waarborgen dat:

    • a.

      persoonsgegevens worden opgeslagen, bewaard en vernietigd conform de eisen in de wet en het informatiebeveiligingsbeleid;

    • b.

      persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

  • 2. Het college kan nadere regels stellen omtrent het bewaren en vernietigen van persoonsgegevens als bedoeld in lid 1.

Hoofdstuk 4 Informatieverstrekking en rechten betrokkenen

Artikel 9 informatieverstrekking raad

Het college stelt de raad tweejaarlijks op de hoogte van de resultaten van de tweejaarlijkse evaluatie als bedoeld in artikel 5 lid 5 sub a van deze verordening.

Artikel 10 informatieverstrekking en rechten betrokkenen

  • 1. De afdelingsbeheerder stelt voor zijn afdeling procedures en mechanismen vast ten behoeve van:

    • a.

      de informatieverstrekking aan betrokken als bedoeld in hoofdstuk 5 van de wet;

    • b.

      de rechten van betrokkenen als bedoeld in hoofdstuk 6 van de wet.

  • 2. De procedures en mechanismen worden ter goedkeuring voorgelegd aan de privacy beheerder en ten minste eenmaal per jaar geëvalueerd.

  • 3. Het college kan nadere regels stellen omtrent de in lid 1 genoemde procedures en mechanismen.

Hoofdstuk 5 Centraal register

Artikel 11 centraal register

  • 1. De privacy beheerder stelt, namens het college, een centraal register in dat is bestemd voor de inschrijving van verwerkingen van persoonsgegevens waarop deze verordening van toepassing is.

  • 2. De privacy beheerder is, namens het college, belast met het beheer van het centraal register, waaronder de zorg voor de juistheid en volledigheid ervan. De privacy beheerder mag daarbij in beginsel vertrouwen op hetgeen hem door de afdelingsbeheerder wordt medegedeeld.

  • 3. Bij de inschrijving worden de volgende gegevens vermeld:

    • a.

      de verantwoordelijke;

    • b.

      de naam van de verwerking;

    • c.

      de betreffende afdeling en cluster;

    • d.

      de doeleinden van de verwerking;

    • e.

      de gronden van de verwerking;

    • f.

      de herkomst/verkrijgingswijze van de persoonsgegevens;

    • g.

      de personen van wie persoonsgegevens worden verwerkt (betrokkenen);

    • h.

      de persoonsgegevens die worden verwerkt;

    • i.

      de ontvangers aan wie de gegevens kunnen worden verstrekt;

    • j.

      de bewaartermijn van de gegevens;

    • k.

      een algemene omschrijving van de beveiligingsmaatregelen;

    • l.

      indien van toepassing, doorgifte aan landen buiten de EU;

    • m.

      indien van toepassing, de bewerker;

    • n.

      het meldingsnummer bij het CPB dan wel de vrijstellingsgrond;

    • o.

      eventuele bijzonderheden.

  • 4. Bij wijziging van een of meer van de onder lid 3 genoemde gegevens wordt de verwerking in het centraal register aangepast.

  • 5. Bij beëindiging van een verwerking wordt de verwerking in het centraal register doorgehaald.

  • 6. Het college kan nadere regels stellen omtrent het beheer van het centraal register.

Hoofdstuk 6 Toezicht en controle

Artikel 12 toezicht

  • 1. Op de verwerking van persoonsgegevens en de naleving van het bij of krachtens de wet en deze verordening bepaalde wordt toezicht uitgeoefend door het college.

  • 2. Voor de uitoefening van zijn toezichthoudende functie wordt het college terzijde gestaan door de privacy beheerder. Artikel 3 lid 2 sub b is van overeenkomstige toepassing. De privacy beheerder beschikt voor dit doel over alle bevoegdheden die daarvoor redelijkerwijs noodzakelijk zijn te achten. Ingeval van twijfel of verschil van mening daaromtrent beslist het college.

  • 3. De personen die bij een onder deze verordening vallende verwerking van persoonsgegevens zijn betrokken, verstrekken desgevraagd de privacy beheerder alle inlichtingen en verlenen hem alle overige medewerking die hij voor de uitoefening van zijn taak behoeft.

  • 4. De privacy beheerder heeft toegang tot alle ruimten, waar een onder deze verordening vallende verwerking van persoonsgegevens plaatsvindt. Hij is bevoegd apparatuur, programmatuur, boeken, bescheiden en andere gegevensdragers te onderzoeken en zich de werking van apparatuur en programmatuur te doen tonen. Uitgezonderd zijn het Reisdocumenten Aanvraag en Afgifte Station en het Nieuw Rijbewijs Document systeem.

  • 5. De privacy beheerder rapporteert over zijn bevindingen aan het college en aan de afdelingsbeheerder onder wie de verwerking ressorteert en adviseert hen over eventueel te nemen maatregelen.

  • 6. Het college kan nadere regels stellen omtrent de in dit artikel genoemde taken en bevoegdheden van de privacy beheerder.

Artikel 13 onderzoek

  • 1. De privacy beheerder kan ambtshalve een onderzoek instellen naar de wijze waarop ten aanzien van de verwerking van persoonsgegevens toepassing wordt gegeven aan het bij of krachtens de wet en deze verordening bepaalde.

  • 2. Het in artikel 12 lid 3 en lid 4 bepaalde is van overeenkomstige toepassing.

  • 3. De privacy beheerder doet mededeling van zijn voorlopige bevindingen aan het college en de belanghebbenden die bij het onderzoek zijn betrokken en stelt hen in de gelegenheid hun zienswijze daarop te geven.

  • 4. De privacy beheerder doet mededeling van zijn conclusies en aanbevelingen aan het college en de belanghebbenden die bij het onderzoek zijn betrokken.

  • 5. Een mededeling aan belanghebbende als bedoeld in lid 3 en lid 4 blijft achterwege indien zodanige mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de persoonsgegevens, dan wel gewichtige belangen van anderen dan de belanghebbende, de verantwoordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het college mededeling van zijn bevindingen achterwege laat, zendt het de belanghebbende zodanig bericht als hem geraden voorkomt.

  • 6. Het college kan nadere regels stellen omtrent de op in dit artikel genoemde taken en bevoegdheden van de privacy beheerder.

Hoofdstuk 7 Slotbepalingen

Artikel 15 hardheidsclausule

De verantwoordelijke kan van deze verordening afwijken, voor zover toepassing daarvan voor de betrokkene gevolgen zou hebben die wegens bijzondere omstandigheden onevenredig zijn in verhouding tot de met de verordening te dienen doelen. De Wbp dient hierbij wel in acht te worden genomen.

Artikel 16 onvoorziene omstandigheden

In de gevallen waarin het bij of krachtens deze verordening bepaalde niet voorziet of daaromtrent onduidelijkheid bestaat beslist het college.

Artikel 17 inwerkingtreding en citeertitel

  • 1.

    Deze verordening treedt in werking op 1 januari 2016.

  • 2.

    Deze verordening kan worden aangehaald onder de titel Verordening Privacy gemeente Nuenen c.a. 2016.

  • 3.

    Met inwerkingtreding van deze verordening wordt de Verordening verwerking persoonsgegevens gemeente Nuenen, Gerwen en Nederwetten 2009 ingetrokken.

Ondertekening

Aldus vastgesteld in de openbare raadsvergadering van 17 december 2015
De raad voornoemd,
De voorzitter, M.J. Houben MBA
De griffier, M.C.P. Laurenssen-van Dal MSc

Toelichting verordening

Algemeen

De gemeente Nuenen verwerkt persoonsgegevens, dat wil zeggen elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacy speelt daarbij een belangrijke rol. Wet- en regelgeving spreken in dat kader veelal van de bescherming van de persoonlijke levenssfeer. Het algemeen juridisch kader voor privacy is neergelegd in de Wet bescherming persoonsgegevens (Wbp). Op grond van deze wet dienen deze gegevens op een behoorlijke en zorgvuldige wijze te worden verwerkt. Kernbegrippen daarbij zijn doeleinden, grondslag en noodzakelijkheid. Deze wet stamt echter nog uit de tijd voor de digitale revolutie en zaken alleen nog ‘op papier’ stonden. Met de op komst zijnde Europese verordening, de Algemene Verordening Gegevensbescherming, komt er een vernieuwd en aangescherpt juridisch kader dat beter aansluit bij de hedendaagse praktijk. Bovendien krijgt het CBP meer mogelijkheden om dit kader te handhaven, onder meer door het opleggen van hoge boetes.

De rol van privacy is lange tijd onderbelicht geweest. Zo werd het belang van privacy vrijwel altijd ondergeschikt geacht aan het belang van veiligheid. De gemiddelde burger leek zich ook niet zo te interesseren in privacy en een veelgehoorde reactie was dan ook “van mij mogen ze alles weten, want ik heb niets te verbergen”. Het delen van allerlei persoonlijke gegevens via sociale media zonder te letten op privacy instellingen was dan ook aan de orde van de dag. Sinds kort lijkt er echter sprake te zijn van een kentering. In Europa is op dit moment volop aandacht voor privacy, zoals ook blijkt uit de Europese verordening. Burgers zijn zich ook steeds meer bewust van welke informatie zij met welke partijen delen. Een zorgverzekeraar die de beschikking krijgt over gezondheidsgegevens kan bijvoorbeeld besluiten dat iemand niet in aanmerking komt voor een bepaalde verzekering. De gedachte om volledig met rust te worden gelaten is in het digitale tijdperk echter een illusie. De huidige invulling van privacy kenmerkt zich dan ook met name door het streven naar een behoorlijke en zorgvuldige omgang met persoonsgegevens en de positie van betrokkenen zodanig te versterken dat zij ‘in control’ komen van hun eigen persoonlijke gegevens.

Twee inhoudelijke opmerkingen vooraf. In de verordening wordt op verschillende plaatsen de zinsnede “procedures en mechanismen” aangehaald. Dit dient breed te worden uitgelegd. Er kan gedacht worden aan stappenplannen en checklists, maar bijvoorbeeld ook aan folders en brochures. Bovendien kan het systeem zodanig worden ingesteld dat bepaalde zaken ingevuld moeten worden voordat het proces kan worden voortgezet. Het afschermen of ontoegankelijk maken van systeemonderdelen behoort eveneens tot de mogelijkheden. Kortom, praktische maatregelen die moeten bijdragen aan een behoorlijke en zorgvuldige omgang met persoonsgegevens. De verantwoordelijkheid voor het treffen van deze maatregelen wordt neergelegd bij de afdelingsbeheerders. Zij hebben het beste zicht op wat er binnen hun afdeling plaatsvindt, op welke wijze te werk wordt gegaan en waar eventuele risico’s liggen.

Daarnaast is van belang voor ogen te houden dat de verordening met de Wbp als vertrekpunt is geschreven. Wanneer in bijzondere wetgeving niets wordt genoemd is de Wbp van toepassing. Bijzondere wetgeving kan echter voor afwijkende en aanvullende eisen zorgen. De Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob) is hiervan een belangrijk voorbeeld. Ten overvloede wordt opgemerkt dat hoewel de bijzondere wetgeving niet expliciet in de verordening wordt genoemd, deze onverkort van toepassing is als een verwerking van persoonsgegevens onder het bereik van die bijzondere wet valt. Door het in kaart brengen van de werkprocessen en bijbehorende verwerkingen van persoonsgegevens kan binnen de afdeling worden beoordeeld welke bijzondere wetgeving een rol speelt en hoe aan de daarin neergelegde eisen tegemoet kan worden gekomen.

Daarnaast is van belang te vermelden dat de Wbp in artikel 2 lid 2 de uitzonderingen opsomt wanneer bij de verwerking van persoonsgegevens de Wbp niet van toepassing is. Een voorbeeld hiervan is de verwerking van persoonsgegevens die is geregeld bij of krachtens de Wet basisregistratie personen. In de Wet basisregistratie personen zijn wel een aantal artikelen uit de Wbp van toepassing verklaard. Er is een aparte Verordening in de gemeente Nuenen op grond van de Wet basisregistratie personen: de Verordening basisregistratie personen gemeente Nuenen, Gerwen en Nederwetten.

Hoofdstuk 1 Begripsbepaling en reikwijdte

Dit hoofdstuk bevat de definities die zowel gelden voor de verordening als daarop gebaseerd beleid. Voor de reikwijdte van de verordening is aangesloten bij de Wet bescherming persoonsgegevens. In het kader van deregulering is ervoor gekozen slechts een beperkt aantal bepalingen van deze wet (expliciet) te laten terugkomen in de verordening. Zo worden de wettelijke algemene uitgangspunten, dat wil zeggen de voorwaarden voor een rechtmatige verwerking van persoonsgegevens, bekend verondersteld en niet opnieuw herhaald.

Hoofdstuk 2 Organisatorisch kader

In de hoofdregel zal het college of de burgemeester juridisch worden aangemerkt als de verantwoordelijke in de zin van de wet. Voor de feitelijke verwerking van persoonsgegevens binnen de organisatie is echter van belang dat duidelijk is wie waarvoor verantwoordelijkheid draagt. Dit hoofdstuk legt daarvoor de basis, maar biedt tegelijkertijd het college de mogelijkheid om dit nader in te vullen.

  • -

    De afdelingshoofden fungeren als afdelingsbeheerder en dragen zorg voor de verwerkingen van persoonsgegevens die plaatsvinden binnen hun afdeling. Belangrijk onderdeel daarvan is het in kaart brengen en blijven monitoren van de werkprocessen en de persoonsgegevens die daarbij worden verwerkt. Interne transparantie en duidelijkheid zijn immers belangrijke voorwaarden voor het slagen van een privacy beleid.

  • -

    De privacy beheerder heeft een coördinerende, adviserende en toezichthoudende functie en draagt met name zorg voor organisatie brede zaken. Benadrukt dient te worden dat de privacy beheerder geen taken van de afdelingsbeheerder overneemt, noch voor hen verantwoordelijk is. De afdelingsbeheerder draagt zelf de verantwoording voor de afdeling. Er is tevens een coördinator informatiebeveiliging, werkzaam bij Dienst Dommelvallei. In het kader van automatisering en beveiliging is een grondige kennis van systemen en programmatuur noodzakelijk.

  • -

    Tot slot bestaat er een werkgroep privacy die bijdraagt aan een organisatie breed privacy bewustzijn. Door medewerkers van de verschillende afdelingen hierin te laten plaatsnemen, wordt de hele organisatie betrokken. Bovendien kan de privacy beheerder zijn taken effectiever uitoefenen doordat hij via de medewerkers beter op de hoogte is van wat er binnen de gemeentelijke organisatie speelt.

Hoofdstuk 3 Beveiliging en bewaren van persoonsgegevens

De afdelingsbeheerder draagt er zorg voor dat duidelijk is welke risico’s er binnen zijn of haar afdeling zijn en welke maatregelen naar aanleiding daarvan genomen moeten worden, een zogeheten risico inventarisatie & evaluatie. Dit wordt teruggekoppeld aan het college en de privacy beheerder zodat, indien nodig, het informatiebeveiligingsbeleid kan worden aangepast. Een belangrijk aspect daarbij is ook dat de afdelingsbeheerder er zorg voor draagt dat met bewerkers in het kader van een verwerking van persoonsgegevens die toebehoort aan zijn of haar afdeling bindende afspraken worden gemaakt. Tot slot is van belang dat persoonsgegevens op de juiste manier worden opgeslagen, bewaard en vernietigd. Daarbij moet onder meer worden gelet op termijnen en bewaarlocaties.

Hoofdstuk 4 Informatieverstrekking en rechten betrokkenen

De raad wordt uit oogpunt van transparantie en controle middels de resultaten van de tweejaarlijkse evaluatie (elke twee jaar) op de hoogte gehouden van de uitvoering van het bij of krachtens de wet en deze verordening bepaalde. De informatieverstrekking aan de betrokkenen op initiatief van de gemeente is een wettelijke plicht en vormt een uitwerking van het transparantiebeginsel. Dit kan onder meer met brochures en folders. Betrokkenen kunnen daarnaast een beroep doen op het recht van inzage, correctie en verzet. Het is wenselijk dat elke afdeling hiervoor procedures en mechanismen opstelt. De privacy beheerder heeft een goedkeurende rol. Op die manier kan hij de afdelingsbeheerder vooraf wijzen op eventuele risico’s en kunnen problemen worden voorkomen.

Hoofdstuk 5 Centraal register

In dit hoofdstuk wordt aangesloten bij de melding als bedoeld in artikel 27-30 van de wet, alsmede bij de documentatieplicht zoals die komt te luiden in artikel 28 van de Algemene verordening gegevensbescherming (EU). Het centraal register bevat de verwerkingen van persoonsgegevens die onder de reikwijdte van deze gemeentelijke verordening vallen. Dit overzicht is onmisbaar voor een effectief privacy beleid.

Hoofdstuk 6 Toezicht en controle

Er moet voor worden gewaakt dat deze verordening, en in bredere zin het privacy beleid, geen papieren tijger wordt en in een bureaulade verdwijnt. Controle en toezicht op de naleving hiervan zijn daarom vereist. Dit komt tot uiting in de toezichthoudende taak van de privacy beheerder die daarvoor ook de benodigde bevoegdheden heeft. Tevens kan hij ambtshalve een onderzoek instellen. Artikel 14 derde lid is gebaseerd op artikel 60 Wbp.

Hoofdstuk 7 Slotbepalingen

Privacy, daaronder begrepen de verwerking van persoonsgegevens, is bij uitstek een dynamisch onderwerp dat voortdurend aan verandering onderhevig is. Daarbij spelen maatschappelijke opvattingen een rol. Van grote invloed zijn zeker ook ontwikkelingen op het gebied van techniek en technologie, zoals de toenemende digitalisering. Dit hoofdstuk bevat daarom naast een hardheidsclausule, welke overigens terughoudend moet worden toegepast gelet op precedentwerking, een bepaling voor onvoorziene omstandigheden. Deze twee bepalingen zorgen voor de nodige flexibiliteit indien dat nodig mocht zijn.