Privacybeleid Werkorganisatie BUCH 2020 – 2023

Geldend van 10-11-2020 t/m heden

Intitulé

Privacybeleid Werkorganisatie BUCH 2020 – 2023

Verspreiding

Functie

Actie

V 0.1

V 0.2

V 1.0

V1.1

Privacy officer

Concept privacybeleid opstellen

07-04-2020

Teammanager Informatisering

Functionaris Gegevensbescherming

CISO

Opmerkingen

Opmerkingen

Afstemmen t.a.v. informatieveiligheid

08-04-2020

08-04-2020

27-05-2020

Privacy officer

Juridische Zaken

Privacy officer

Concept privacybeleid

Opmerkingen

Concept privacybeleid

28-05-2020

02-06-2020

04-06-2020

Domeinmanager Bedrijfsvoering

Instemmen

10-06-2020

Portefeuillehouder Bestuur BUCH

Algemeen Directeur BUCH

Afstemmen voor het de besluitvormingsroute ingaat

10-06-2020

MT Bedrijfsvoering

Besluiten voorleggen aan MT BUCH

10-06-2020

Juridische Zaken

Juridische afstemming, intrekken oude documenten en publicatie

27-05-2020

Concerncontroller

Instemmen

MT BUCH

Kennisname en voorleggen aan bestuur BUCH

22-06-2020

Bestuur BUCH

Vaststellen voor de BUCH

Colleges B&W

Vaststellen voor de gemeente en besluiten de raden te informeren

Gemeenteraad

Kennisnemen

Goedkeuring

Versie

Datum

Opmerkingen

Akkoord (naam, datum, paraaf)

1.1

10-06-2020

Concept

1. Inleiding

In de gemeente Bergen (NH), Uitgeest, Castricum en Heiloo en de Werkorganisatie BUCH werken wij met persoonsgegevens van inwoners, medewerkers en (keten)partners. Wij verwerken voornamelijk gegevens van onze inwoners voor het goed uitvoeren van de gemeentelijke wettelijke taken die wij hebben om producten en diensten te kunnen leveren aan inwoners en ondernemers. Onze inwoners moeten erop kunnen vertrouwen dat wij zorgvuldig en veilig met de persoonsgegevens omgaan. In deze tijd gaan wij mee met nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering. De digitale overheid stelt andere eisen aan de bescherming van persoonsgegevens en privacy. Wij zijn ons hiervan bewust en zorgen dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

2. Doel

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy. Wij geven met dit privacybeleid een duidelijke richting aan de bescherming van gegevens en laten zien dat wij de privacy waarborgen, beschermen en handhaven. Dit privacybeleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en verwerking van gegevens. Dit privacybeleid is in lijn met het algemene beleid van de gemeente en relevante wet- en regelgeving.

3. Wettelijke kaders en regelgeving voor de omgang met gegevens

De organisatie is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

  • de Algemene Verordening Gegevensbescherming (Europees);

  • de Uitvoeringswet Algemene Verordening Gegevensbescherming (nationaal);

  • Baseline Informatiebeveiliging Overheid (nationaal);

  • Privacy Baseline (nationaal);

  • Informatiebeveiligingsbeleid (gemeentelijk);

  • Gedragscode medewerkers (gemeentelijk);

  • Gedragscode publiceren gegevens op raadsinformatiesysteem (gemeentelijk).

4. Uitgangspunten

Wij gaan op een veilige manier met persoonsgegevens om en respecteren de privacy van betrokkenen. Wij houden ons hierbij aan de onderstaande uitgangspunten.

Rechtmatigheid, behoorlijkheid, transparantie

Wij verwerken de persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze. Wij verwerken gegevens die voor personen transparant zijn. Wij informeren onze inwoners duidelijk over wat wij met hun persoonsgegevens doen. Dat leggen wij vast in een privacyverklaring.

Grondslag en doelbinding

Wij zorgen ervoor dat wij persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen verzamelen en verwerken. Wij verwerken persoonsgegevens alleen met een rechtvaardige grondslag en leggen dit vast in een register van verwerkingen.

Dataminimalisatie

Wij verwerken uitsluitend de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Wij streven naar minimale gegevensverwerking. Waar mogelijk verwerken wij minder of geen persoonsgegevens.

Juistheid

Wij verwerken persoonsgegevens die juist zijn en zo nodig actualiseren wij deze, waarbij wij alle redelijke maatregelen nemen om de persoonsgegevens die, gelet op het doel waarvoor zij verwerkt worden, onjuist zijn direct verwijderen of corrigeren.

Bewaartermijn

Wij bewaren persoonsgegevens niet langer dan nodig en hanteren vastgestelde bewaartermijnen. Het bewaren van persoonsgegevens kan nodig zijn om de taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven. Wij bewaren dossiers in het archief die na de bewaartermijn vernietigd worden.

Integriteit en vertrouwelijkheid

Wij gaan zorgvuldig om met persoonsgegevens en behandelen deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgen wij voor passende organisatorische en technische maatregelen om beveiliging van persoonsgegevens te waarborgen en te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen verlies, vernietiging of beschadiging. Hierbij is speciaal aandacht voor de bescherming van gegevens van kwetsbare personen en kinderen.

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maken wij afspraken over de eisen waar gegevensuitwisseling aan moet voldoen en leggen deze afspraken vast in een verwerkersovereenkomst of privacy convenant. Wij controleren deze afspraken jaarlijks.

Proportionaliteit

Wij beoordelen of het doel van de verwerking van gegevens in verhouding staat tot de impact die de verwerking heeft op de persoonlijke levenssfeer van betrokken personen.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, beperken wij de impact op de persoonlijke levenssfeer van de betrokken persoon zoveel mogelijk. Wij beoordelen of de verwerking op een minder ingrijpende wijze kan plaatsvinden.

Privacy by Default en Privacy by Design

Wij optimaliseren de bescherming van persoonsgegevens door het gebruik van een aantal standaardinstellingen van een programma, website, dienst of apparaat (Privacy by Default) of door in het ontwerp hiervan rekening mee te houden (Privacy by Design).

Privacy Impact Assessment

Wij voeren een beoordeling uit van het effect op een verwerking van persoonsgegevens wanneer de verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De beoordeling bevat tenminste maatregelen om de risico’s te verkleinen, waaronder veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens zo veel mogelijk te waarborgen. Uit de beoordelingen kunnen passende organisatorische en technische maatregelen volgen.

Inbreuk in verband met persoonsgegevens

Wij melden een inbreuk in verband met persoonsgegevens aan de Autoriteit Persoonsgegevens en aan betrokkenen als deze inbreuk waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

5. Reikwijdte

De reikwijdte van het privacybeleid is van toepassing op:

  • alle onderdelen van de bedrijfsvoering van de 4 gemeenten en de Werkorganisatie BUCH waar gewerkt wordt met persoonsgegevens;

  • zowel de bedrijfsprocessen als de onderliggende voorzieningen voor informatieverwerking en gegevensopslag. Er wordt hierbij geen onderscheid gemaakt tussen analoge of digitale informatieverwerking;

  • gegevensverwerkingsprocessen die zijn uitbesteed, ingekocht of op een andere manier zijn georganiseerd, zoals deelname in een rechtspersoon die voor de gemeenten of de BUCH (informatie)diensten verricht;

  • gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden;

  • de gehele data-levenscyclus: van het genereren of verzamelen van gegevens, het dagelijkse gebruik ervan en de gegevensopslag (zowel digitaal als analoog) tot en met de (eventueel) archivering en vernietiging ervan;

  • de verwerking van statistische en/of gepseudonimiseerde gegevens.

6. Rechten betrokkenen

De rechten van betrokkenen ten aanzien van de verwerkingsverantwoordelijke zijn onder de AVG aanzienlijk versterkt. De betrokkene heeft recht op informatie, inzage, rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar tegen een verwerking, niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profilering.

De gemeenten en de Werkorganisatie BUCH zijn verwerkingsverantwoordelijken en borgen dat betrokkenen zich te allen tijde kosteloos kunnen beroepen op deze rechten. Wij reageren binnen de wettelijke termijn van 4 weken op verzoeken van betrokkenen. Een verlenging met maximaal twee maanden is mogelijk, mits wij deze verlenging binnen één maand melden aan betrokkene, met een goede onderbouwing waarom de extra behandeltijd nodig is.

7. Verantwoordelijken

Het college van burgemeester en wethouders is bestuurlijk eindverantwoordelijk voor de informatieveiligheid en privacy.

Het bestuur van de Werkorganisatie BUCH is verantwoordelijk voor de aansturing van de operationele taken van het lijnmanagement.

Het lijnmanagement is ambtelijk verantwoordelijk voor risicomanagement, implementatie en naleving van het privacybeleid.

8. Functionaris gegevensbescherming

De functionaris gegevensbescherming genoemd, houdt toezicht op de toepassing en naleving van de AVG binnen de organisatie via de gestelde kaders in dit privacybeleid. Het aanstellen van een functionaris gegevensbescherming is verplicht voor overheidsorganisaties.

9. Verantwoordingsplicht

De functionaris gegevensbescherming maakt jaarlijks een verklaring voor de verantwoording over de opzet, bestaan en werking van de maatregelen voor de bescherming van persoonsgegevens.

Het beleid herzien wij iedere 3 jaar of eerder zodra zich belangrijke wijzigingen voordoen. Dan evalueren en beoordelen wij de wijzigingen en, indien nodig, stellen wij het geactualiseerde beleid vast.

10. Inwerkingtreding

De beleidsregels Informatieveiligheid & Privacy, zoals vastgesteld op 19 september 2017, wordt ingetrokken.

Het Privacybeleid 2020 - 2023 treedt in werking met ingang van de dag na bekendmaking.

11. Citeertitel

De beleidsregels worden aangehaald als: Privacybeleid Werkorganisatie BUCH 2020 – 2023.

Ondertekening

Aldus vastgesteld door het Bestuur van de Werkorganisatie BUCH op 9 september 2020,

De heer D.J. van Huizen

secretaris

De heer T.J. Romeyn

voorzitter