Algemeen Privacybeleid 2018-2021

Inleiding

De bescherming van persoonsgegevens speelt een steeds grotere rol. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen en steeds meer digitale diensten stellen andere eisen aan de bescherming van persoonsgegevens.

Binnen de gemeente Kampen wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Deze gegevens zijn nodig voor het goed uitvoeren van de (gemeentelijke) wettelijke taken. Burgers, medewerkers en (keten)partners moeten erop kunnen vertrouwen dat de gemeente hier zorgvuldig en veilig mee omgaat.

Met dit algemene privacybeleid wordt richting gegeven aan hoe de gemeente de privacy waarborgt, beschermt en handhaaft. In dit beleid staan de kaders beschreven voor het verwerken van privacygevoelige informatie, de bescherming van deze gegevens en de omgang met deze gegevens. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente. Informatiebeveiliging en de bescherming van persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Informatiebeveiliging is een randvoorwaarde voor de borging van privacy bij de verwerking van persoonsgegevens. Het beleid is de kapstok waaraan voor de specifieke vakgebieden een privacy protocol, reglement, uitvoering BIG1 maatregelen of werkinstructies opgehangen kunnen worden.

1 BIG: Baseline Informatieveiligheid Nederlandse Gemeenten

Doelstelling

Doel van dit privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen waarvan de gemeente Kampen persoonsgegevens verwerkt. Het beleggen van de bescherming van de privacy bij de verantwoordelijke personen binnen de organisatie.

Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.

Het privacybeleid draagt bij aan:

• ●

  het beschermen van de privacy van personen van wie de gemeente gegevens verwerkt of laat verwerken,

• ●

  maatschappelijk vertrouwen en draagvlak,

• ●

  beheersen van gemeentelijke afbreuk- en aansprakelijkheidsrisico’s,

• ●

  het met vertrouwen verantwoording af kunnen leggen aan de raad, waar nodig de Autoriteit Persoonsgegevens of de rechter,

• ●

  het in kunnen spelen op wettelijke en technologische ontwikkelingen.

Wettelijke kaders

Als algemene regel geldt dat respect voor de persoonlijke levenssfeer van de betrokkene(n) voorop staat. De juridische grondslag voor privacy is terug te vinden in wet- en regelgeving.

De bescherming van de privacy bij de verwerking van persoonsgegevens is een grondrecht. Dit is geregeld in:

• -

  Grondwet (artikel 10)

• -

  Handvest van de grondrechten van de Europese Unie (EHRM)

• -

  Europees Verdrag voor de Rechten van de Mens (EVRM)

• -

  Internationaal Kinderrechtenverdrag (IVRK)

Op 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG heeft als doel om de privacy van alle Europese burgers te beschermen. Ook is de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) in werking getreden.

Verder is ook in specifieke regelgeving invulling gegeven aan de bescherming van de privacy bij de verwerking van persoonsgegevens zoals:

• -

  Wet maatschappelijke ondersteuning (WMO)

• -

  Jeugdwet

• -

  Basisregistratie Personen (BRP)

Risico’s

Op basis van de AVG is bij schending van privacy het college van burgemeester en wethouders wettelijk aansprakelijk. Het verwijtbaar onvoldoende beschermen van persoonsgegevens kan leiden tot dwangmaatregelen en bestuurlijke boetes die de Autoriteit Persoonsgegevens (AP), de landelijke toezichthouder kan opleggen. Een boete kan oplopen tot maximaal €20 miljoen. Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy.

De risico’s van schending van de privacy voor personen variëren van ongemak, substantiële benadeling, ernstige sociale beschadiging of gevaren voor de gezondheid en de persoonlijke veiligheid. Om de risico’s te beperken zijn maatregelen getroffen die zijn vastgelegd in het privacyreglement.

Uitgangspunten

Iedereen (zowel interne als externe bewerkers/verwerkers) werkzaam binnen, of in opdracht van, de gemeentelijke organisatie is verantwoordelijk voor het verantwoord omgaan met en de bescherming van deze persoonsgegevens en het waarborgen van de privacyrechten van personen. Het is belangrijk om persoonsgegevens rechtmatig, behoorlijk en transparant te verwerken. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding

De gemeente zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie

De gemeente verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

Integriteit en vertrouwelijkheid

De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid.

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de gemeente afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. De gemeente controleert deze afspraken jaarlijks.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen

De gemeente streeft ernaar om in beginsel alle rechten van de betrokkenen te honoreren.

Dit privacybeleid treedt in werking na vaststelling door het college van burgemeester en wethouders. Het beleid wordt ieder jaar geëvalueerd en indien nodig herzien. Het beleid wordt gepubliceerd op www.overheid .nl. Daarnaast wordt er in de privacyverklaring op de gemeentelijke website doorverwezen naar het privacybeleid.

Verantwoordelijkheden

Het college van burgemeester en wethouders en de burgemeester zijn eindverantwoordelijk voor gegevensverwerking en informatiebeveiliging, maar iedereen binnen de organisatie is verantwoordelijk voor de bescherming van de privacy van betrokkenen. Onderstaande tabel brengt de verantwoordelijkheden in beeld. Invulling van de rollen zijn beschreven in het privacyreglement.

Het besluit treedt op de dag na publicatie van het besluit in werking.