Permanente link
Naar de actuele versie van de regeling
http://lokaleregelgeving.overheid.nl/CVDR659548
Naar de door u bekeken versie
http://lokaleregelgeving.overheid.nl/CVDR659548/1
Besluit van gedeputeerde staten van Zeeland houdende de vaststelling van het Privacybeleid Provincie Zeeland
Geldend van 02-07-2021 t/m heden
Intitulé
Besluit van gedeputeerde staten van Zeeland houdende de vaststelling van het Privacybeleid Provincie ZeelandBesluit van gedeputeerde staten van Zeeland van 29 juni 2021, kenmerk 67323, houdende de vaststelling van een nieuw Privacybeleid Provincie Zeeland.
Gedeputeerde staten van Zeeland,
- •
Overwegende dat actualisering van het in 2019 vastgestelde Privacybeleid wenselijk is,
- •
Gelet op de Algemene Verordening Gegevensbescherming,
Besluiten:
vast te stellen het navolgende Privacybeleid Provincie Zeeland:
1. Inleiding
Op grond van de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht om aan te tonen dat hun verwerkingen van persoonsgegevens in overeenstemming zijn met de privacyregels. Nu de Provincie Zeeland bij de uitvoering van zijn taken ook veel persoonsgegevens verwerkt, zijn ook wij als provincie gehouden aan deze verantwoordingsplicht te voldoen.
De Provincie Zeeland hecht er veel waarde aan dat binnen haar organisatie zorgvuldig, veilig, proportioneel en vertrouwelijk wordt omgegaan met persoonsgegevens. Binnen de provincie wordt veel gewerkt met persoonsgegevens, omdat zij nauw samenwerkt met overheden, burgers en andere instellingen. Persoonsgegevens worden voornamelijk verzameld voor het goed kunnen uitvoeren van de wettelijke- en bestuurlijke taken die bij de provincie zijn belegd en wettelijke verplichtingen waaraan de provincie moet voldoen. Tegelijkertijd gaat ook de Provincie Zeeland mee met nieuwe ontwikkelingen. Nieuwe technologieën, innovatieve voorzieningen en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. We zijn ons hier bewust van en streven ernaar dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie en transparantie. Burgers en organisaties moeten erop kunnen vertrouwen dat de Provincie Zeeland zorgvuldig en veilig met de persoonsgegevens omgaat. Provincie Zeeland vindt het belangrijk om transparant te zijn over de manier waarop zij met persoonsgegevens omgaat, en de privacy waarborgt.
De Provincie Zeeland stelt middels dit beleid een algemeen normenkader vast waarbinnen de provincie de bescherming van de persoonsgegevens regelt en laat op die manier zien dat zij de privacy waarborgt, beschermt en handhaaft.
2. Doel en reikwijdte
Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de Provincie Zeeland. Met dit privacybeleid verduidelijkt de provincie aan welke principes de provincie zich houdt bij de omgang met persoonsgegevens en wijst het de taken, verantwoordelijkheden en bevoegdheden toe met betrekking tot privacy in de organisatie.
Naast het privacybeleid, dat een algemeen normenkader biedt, heeft de provincie een intern algemeen privacyreglement opgesteld. Het intern algemeen privacyreglement vormt een nadere uitwerking van de wettelijke regelgeving en het vastgestelde privacybeleid en dient als praktische handleiding voor de organisatie. Daarnaast is voor medewerkers een afzonderlijk intern privacyreglement opgesteld dat ingaat op welke manier de provincie omgaat met persoonsgegevens en privacy met betrekking tot medewerkers in dienst van of werkzaam voor de Provincie Zeeland.
Het privacybeleid en de interne privacyreglementen maken onderdeel uit van het Informatiebeleid van Provincie Zeeland en maakt deel uit van het pakket aan maatregelen en documenten waarmee Provincie Zeeland kan laten zien dat zij voldoet aan haar verantwoordingsplicht.
3. Wettelijk kader voor de omgang met persoonsgegevens
In de AVG en de Uitvoeringswet AVG zijn de belangrijkste regels voor de omgang van persoonsgegevens vastgelegd. De Autoriteit Persoonsgegevens is toezichthouder op deze verordening en wet.
4. Uitgangspunten verwerking persoonsgegevens
De Provincie Zeeland gaat op een zorgvuldige en veilige manier om met persoonsgegevens. Om ervoor te zorgen dat op een verantwoordelijke wijze en binnen de wettelijke kaders met persoonsgegevens wordt omgegaan, houdt de provincie zich aan de volgende uitgangspunten:
Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Grondslag en doelbinding
De provincie zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.
Dataminimalisatie
De provincie verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De provincie streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Integriteit en vertrouwelijkheid
De provincie gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de provincie voor passende beveiliging van persoonsgegevens volgens de geldende beveiligingsnormen Dit is vastgelegd in het Informatiebeveiligingsbeleid van de provincie.
Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de provincie afspraken over de verantwoordelijkheden en een zorgvuldige omgang van deze gegevens conform de vereisten van de AVG.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de provinciale taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.
Subsidiariteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt de inbreuk op de persoonlijke levenssfeer van de betrokkene zoveel mogelijk beperkt.
Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.
Rechten van betrokkenen
De provincie honoreert in beginsel alle rechten van betrokkenen.
5. Organisatie van privacy
Taken, verantwoordelijkheden en bevoegdheden
Privacy is op vier niveaus ingericht en geborgd, waarbij elk niveau een eigen verantwoordelijkheid heeft. Uiteindelijk zijn de bestuursorganen van de provincie allemaal verwerkingsverantwoordelijken voor de persoonsgegevens die door of namens de provincie worden verwerkt: het college van Gedeputeerde Staten, de commissaris van de Koning en Provinciale Staten. Zij zijn eindverantwoordelijk voor het nakomen van de verplichtingen die voortvloeien uit de AVG. Dat principe ontslaat de organisatie echter niet van de gezamenlijke verantwoordelijkheid om op een juiste wijze met privacy en persoonsgegevens om te gaan. Iedereen heeft daarin een rol én verantwoording. Hieronder wordt dit nader omschreven.
Niveau |
Verantwoordelijkheid (globaal) |
Verantwoordelijke rol |
Besturend |
Bepalen van de ambitie en het beleid Invullen randvoorwaarden voor invoering van het beleid |
Gedeputeerde staten Ambtelijke organisatie: secretaris-algemeen directeur |
Coördinerend |
Overzicht houden op voortgang invoering en ontwikkeling van beleid en richtlijnen |
Chief Information Officer |
Handhavend |
Handhaving van beleid en richtlijnen Herkennen en bewaken van de risico’s |
Functionaris Gegevensbescherming |
Uitvoerend |
Uitvoering van beleid en richtlijnen |
Lijnmanagement |
Het college van gedeputeerde staten (GS)
GS is het hoogste besluitvormend gremium voor privacy en is op bestuurlijk niveau eindverantwoordelijk voor privacy van de organisatie. Dit betekent dat zij de ambitie en het beleid bepaalt rondom privacy. De provincie kent een collectieve bestuurlijke verantwoordelijkheid. GS stelt het algemene beleid rondom privacy vast alsmede de nadere uitwerkingen van het algemeen privacybeleid in de vorm van interne privacyreglementen, interne protocollen- en procedures. GS is verder verantwoordelijk voor het actueel houden van het privacybeleid. Het privacybeleid wordt minimaal één keer per twee jaar geëvalueerd en indien nodig herzien. GS maakt in het kader van de Planning- en Control-cyclus afspraken met de aan hen rapporterende managers over de uitvoering van het algemeen privacybeleid en het toezicht hierop en stelt de noodzakelijke middelen beschikbaar.
Secretaris-algemeen directeur
De secretaris-algemeen directeur is strategisch eindverantwoordelijk voor privacy van de organisatie. De secretaris-algemeen directeur legt de verbinding met het bestuur bij calamiteiten. Hij is verantwoordelijk voor het actueel houden van de interne privacyreglementen (intern algemeen privacyreglement en intern privacyreglement medewerkers) en stelt deze actualisaties vast. Ook is hij verantwoordelijk voor het actueel houden van interne protocollen, zoals het intern protocol inzake meldplicht datalekken en stelt deze actualisaties ook vast. In het geval het gaat om eventuele actualisaties van de betreffende reglementen of interne protocollen waarbij de ondernemingsraad een instemmingsplicht of adviesplicht heeft, wordt de betreffende actualisatie vastgesteld door GS.
Chief Information Officer (CIO)
De rol van CIO is belegd bij de afdelingsmanager IA. De CIO is verantwoordelijk voor het strategische niveau (visie en beleidsvorming) van de informatievoorziening en de vertaling naar het tactisch beleidsniveau. Ten aanzien van privacy is de CIO verantwoordelijk voor het actueel houden van de interne procedures, zoals de procedurebeschrijving rondom de uitoefening van rechten van betrokkenen en die van de uitvoering van Data Protection Impact Assessment en stelt deze actualisaties ook vast. Daarnaast stelt de CIO werkinstructies vast op het gebied van privacy en de privacy- en cookieverklaring van de provincie inclusief eventuele actualisaties daarvan. Ook hierbij geldt dat voor zover het gaat om documenten waarbij de ondernemingsraad een instemmingsplicht of adviesplicht heeft, het betreffende document vastgesteld wordt door GS. De CIO wordt ondersteund door het CIO office.
Functionaris Gegevensbescherming (FG)
De FG houdt binnen de provincie onafhankelijk toezicht op de toepassing en naleving van de AVG. De FG coördineert, bewaakt en adviseert over de uitvoering van het provinciale beleid op het gebied van privacy. Daarnaast is de FG de contactpersoon ten aanzien van vragen en klachten van burgers en organisaties over de wijze waarop de provincie omgaat met het verwerken van persoonsgegevens. Ook ten aanzien van de interne medewerkers is hij het eerste aanspreekpunt ten aanzien van klachten. De FG is tevens verantwoordelijk voor de afhandeling hiervan. Jaarlijks stelt de FG een jaarrapportage op om de huidige stand van zaken in beeld te brengen en te kunnen beoordelen in hoeverre de provincie voldoet aan de AVG. Deze jaarrapportage richt de FG rechtstreeks aan de secretaris-algemeen directeur. De secretaris-algemeen directeur informeert GS over de bevindingen uit de jaarrapportage van de FG. Verder zorgen GS, de secretaris-algemeen directeur, de CIO en het lijnmanagement ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
Lijnmanagement
Elke manager is eindverantwoordelijk voor privacy binnen zijn/haar organisatieonderdeel (afdeling, team/unit, opgave, project of programma) en dient het belang van privacy ten aanzien van de werkzaamheden binnen zijn/haar organisatieonderdeel onder de aandacht van zijn/haar medewerkers te brengen. De belangrijkste taak is om in de dagelijkse praktijk toe te zien op de naleving van het beleid en de gemaakte afspraken rond privacy door de medewerkers. Daarnaast houdt het management in het oog welke risico’s bestaan en ontstaan en hoe daar praktische maatregelen voor te treffen.
De overige rollen en verantwoordelijkheden binnen de ambtelijke organisatie zijn vastgelegd in het intern algemeen privacyreglement.
6. Ten slotte
6.1 Intrekking
Het Privacybeleid Provincie Zeeland d.d. 4 juni 2019 met kenmerk 19015912 wordt met ingang van de inwerkingtreding van dit besluit ingetrokken.
6.2 Inwerkingtreding
Dit privacybeleid treedt in werking met ingang van de eerste dag na de datum van uitgifte van het Provinciaal Blad waarin het wordt geplaatst.
6.3 Citeertitel
Dit besluit wordt aangehaald als: Privacybeleid Provincie Zeeland.
Ondertekening
Drs. J.M.M. Polman, voorzitter
A.W. Smit, secretaris
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl