Besluit van gedeputeerde staten van Zeeland houdende de vaststelling van het Privacybeleid Provincie Zeeland

Geldend van 02-07-2021 t/m heden

Intitulé

Besluit van gedeputeerde staten van Zeeland houdende de vaststelling van het Privacybeleid Provincie Zeeland

Besluit van gedeputeerde staten van Zeeland van 29 juni 2021, kenmerk 67323, houdende de vaststelling van een nieuw Privacybeleid Provincie Zeeland.

Gedeputeerde staten van Zeeland,

  • Overwegende dat actualisering van het in 2019 vastgestelde Privacybeleid wenselijk is,

  • Gelet op de Algemene Verordening Gegevensbescherming,

Besluiten:

vast te stellen het navolgende Privacybeleid Provincie Zeeland:

1. Inleiding

Op grond van de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht om aan te tonen dat hun verwerkingen van persoonsgegevens in overeenstemming zijn met de privacyregels. Nu de Provincie Zeeland bij de uitvoering van zijn taken ook veel persoonsgegevens verwerkt, zijn ook wij als provincie gehouden aan deze verantwoordingsplicht te voldoen.

De Provincie Zeeland hecht er veel waarde aan dat binnen haar organisatie zorgvuldig, veilig, proportioneel en vertrouwelijk wordt omgegaan met persoonsgegevens. Binnen de provincie wordt veel gewerkt met persoonsgegevens, omdat zij nauw samenwerkt met overheden, burgers en andere instellingen. Persoonsgegevens worden voornamelijk verzameld voor het goed kunnen uitvoeren van de wettelijke- en bestuurlijke taken die bij de provincie zijn belegd en wettelijke verplichtingen waaraan de provincie moet voldoen. Tegelijkertijd gaat ook de Provincie Zeeland mee met nieuwe ontwikkelingen. Nieuwe technologieën, innovatieve voorzieningen en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. We zijn ons hier bewust van en streven ernaar dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie en transparantie. Burgers en organisaties moeten erop kunnen vertrouwen dat de Provincie Zeeland zorgvuldig en veilig met de persoonsgegevens omgaat. Provincie Zeeland vindt het belangrijk om transparant te zijn over de manier waarop zij met persoonsgegevens omgaat, en de privacy waarborgt.

De Provincie Zeeland stelt middels dit beleid een algemeen normenkader vast waarbinnen de provincie de bescherming van de persoonsgegevens regelt en laat op die manier zien dat zij de privacy waarborgt, beschermt en handhaaft.

2. Doel en reikwijdte

Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de Provincie Zeeland. Met dit privacybeleid verduidelijkt de provincie aan welke principes de provincie zich houdt bij de omgang met persoonsgegevens en wijst het de taken, verantwoordelijkheden en bevoegdheden toe met betrekking tot privacy in de organisatie.

Naast het privacybeleid, dat een algemeen normenkader biedt, heeft de provincie een intern algemeen privacyreglement opgesteld. Het intern algemeen privacyreglement vormt een nadere uitwerking van de wettelijke regelgeving en het vastgestelde privacybeleid en dient als praktische handleiding voor de organisatie. Daarnaast is voor medewerkers een afzonderlijk intern privacyreglement opgesteld dat ingaat op welke manier de provincie omgaat met persoonsgegevens en privacy met betrekking tot medewerkers in dienst van of werkzaam voor de Provincie Zeeland.

Het privacybeleid en de interne privacyreglementen maken onderdeel uit van het Informatiebeleid van Provincie Zeeland en maakt deel uit van het pakket aan maatregelen en documenten waarmee Provincie Zeeland kan laten zien dat zij voldoet aan haar verantwoordingsplicht.

3. Wettelijk kader voor de omgang met persoonsgegevens

In de AVG en de Uitvoeringswet AVG zijn de belangrijkste regels voor de omgang van persoonsgegevens vastgelegd. De Autoriteit Persoonsgegevens is toezichthouder op deze verordening en wet.

4. Uitgangspunten verwerking persoonsgegevens

De Provincie Zeeland gaat op een zorgvuldige en veilige manier om met persoonsgegevens. Om ervoor te zorgen dat op een verantwoordelijke wijze en binnen de wettelijke kaders met persoonsgegevens wordt omgegaan, houdt de provincie zich aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid en transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding

De provincie zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie

De provincie verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De provincie streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Integriteit en vertrouwelijkheid

De provincie gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de provincie voor passende beveiliging van persoonsgegevens volgens de geldende beveiligingsnormen Dit is vastgelegd in het Informatiebeveiligingsbeleid van de provincie.

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de provincie afspraken over de verantwoordelijkheden en een zorgvuldige omgang van deze gegevens conform de vereisten van de AVG.

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de provinciale taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt de inbreuk op de persoonlijke levenssfeer van de betrokkene zoveel mogelijk beperkt.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen

De provincie honoreert in beginsel alle rechten van betrokkenen.

5. Organisatie van privacy

Taken, verantwoordelijkheden en bevoegdheden

Privacy is op vier niveaus ingericht en geborgd, waarbij elk niveau een eigen verantwoordelijkheid heeft. Uiteindelijk zijn de bestuursorganen van de provincie allemaal verwerkingsverantwoordelijken voor de persoonsgegevens die door of namens de provincie worden verwerkt: het college van Gedeputeerde Staten, de commissaris van de Koning en Provinciale Staten. Zij zijn eindverantwoordelijk voor het nakomen van de verplichtingen die voortvloeien uit de AVG. Dat principe ontslaat de organisatie echter niet van de gezamenlijke verantwoordelijkheid om op een juiste wijze met privacy en persoonsgegevens om te gaan. Iedereen heeft daarin een rol én verantwoording. Hieronder wordt dit nader omschreven.

Niveau

Verantwoordelijkheid (globaal)

Verantwoordelijke rol

Besturend

Bepalen van de ambitie en het beleid

Invullen randvoorwaarden voor invoering van het beleid

Gedeputeerde staten

Ambtelijke organisatie: secretaris-algemeen directeur

Coördinerend

Overzicht houden op voortgang invoering

en ontwikkeling van beleid en richtlijnen

Chief Information Officer

Handhavend

Handhaving van beleid en richtlijnen

Herkennen en bewaken van de risico’s

Functionaris Gegevensbescherming

Uitvoerend

Uitvoering van beleid en richtlijnen

Lijnmanagement

Het college van gedeputeerde staten (GS)

GS is het hoogste besluitvormend gremium voor privacy en is op bestuurlijk niveau eindverantwoordelijk voor privacy van de organisatie. Dit betekent dat zij de ambitie en het beleid bepaalt rondom privacy. De provincie kent een collectieve bestuurlijke verantwoordelijkheid. GS stelt het algemene beleid rondom privacy vast alsmede de nadere uitwerkingen van het algemeen privacybeleid in de vorm van interne privacyreglementen, interne protocollen- en procedures. GS is verder verantwoordelijk voor het actueel houden van het privacybeleid. Het privacybeleid wordt minimaal één keer per twee jaar geëvalueerd en indien nodig herzien. GS maakt in het kader van de Planning- en Control-cyclus afspraken met de aan hen rapporterende managers over de uitvoering van het algemeen privacybeleid en het toezicht hierop en stelt de noodzakelijke middelen beschikbaar.

Secretaris-algemeen directeur

De secretaris-algemeen directeur is strategisch eindverantwoordelijk voor privacy van de organisatie. De secretaris-algemeen directeur legt de verbinding met het bestuur bij calamiteiten. Hij is verantwoordelijk voor het actueel houden van de interne privacyreglementen (intern algemeen privacyreglement en intern privacyreglement medewerkers) en stelt deze actualisaties vast. Ook is hij verantwoordelijk voor het actueel houden van interne protocollen, zoals het intern protocol inzake meldplicht datalekken en stelt deze actualisaties ook vast. In het geval het gaat om eventuele actualisaties van de betreffende reglementen of interne protocollen waarbij de ondernemingsraad een instemmingsplicht of adviesplicht heeft, wordt de betreffende actualisatie vastgesteld door GS.

Chief Information Officer (CIO)

De rol van CIO is belegd bij de afdelingsmanager IA. De CIO is verantwoordelijk voor het strategische niveau (visie en beleidsvorming) van de informatievoorziening en de vertaling naar het tactisch beleidsniveau. Ten aanzien van privacy is de CIO verantwoordelijk voor het actueel houden van de interne procedures, zoals de procedurebeschrijving rondom de uitoefening van rechten van betrokkenen en die van de uitvoering van Data Protection Impact Assessment en stelt deze actualisaties ook vast. Daarnaast stelt de CIO werkinstructies vast op het gebied van privacy en de privacy- en cookieverklaring van de provincie inclusief eventuele actualisaties daarvan. Ook hierbij geldt dat voor zover het gaat om documenten waarbij de ondernemingsraad een instemmingsplicht of adviesplicht heeft, het betreffende document vastgesteld wordt door GS. De CIO wordt ondersteund door het CIO office.

Functionaris Gegevensbescherming (FG)

De FG houdt binnen de provincie onafhankelijk toezicht op de toepassing en naleving van de AVG. De FG coördineert, bewaakt en adviseert over de uitvoering van het provinciale beleid op het gebied van privacy. Daarnaast is de FG de contactpersoon ten aanzien van vragen en klachten van burgers en organisaties over de wijze waarop de provincie omgaat met het verwerken van persoonsgegevens. Ook ten aanzien van de interne medewerkers is hij het eerste aanspreekpunt ten aanzien van klachten. De FG is tevens verantwoordelijk voor de afhandeling hiervan. Jaarlijks stelt de FG een jaarrapportage op om de huidige stand van zaken in beeld te brengen en te kunnen beoordelen in hoeverre de provincie voldoet aan de AVG. Deze jaarrapportage richt de FG rechtstreeks aan de secretaris-algemeen directeur. De secretaris-algemeen directeur informeert GS over de bevindingen uit de jaarrapportage van de FG. Verder zorgen GS, de secretaris-algemeen directeur, de CIO en het lijnmanagement ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

Lijnmanagement

Elke manager is eindverantwoordelijk voor privacy binnen zijn/haar organisatieonderdeel (afdeling, team/unit, opgave, project of programma) en dient het belang van privacy ten aanzien van de werkzaamheden binnen zijn/haar organisatieonderdeel onder de aandacht van zijn/haar medewerkers te brengen. De belangrijkste taak is om in de dagelijkse praktijk toe te zien op de naleving van het beleid en de gemaakte afspraken rond privacy door de medewerkers. Daarnaast houdt het management in het oog welke risico’s bestaan en ontstaan en hoe daar praktische maatregelen voor te treffen.

De overige rollen en verantwoordelijkheden binnen de ambtelijke organisatie zijn vastgelegd in het intern algemeen privacyreglement.

6. Ten slotte

6.1 Intrekking

Het Privacybeleid Provincie Zeeland d.d. 4 juni 2019 met kenmerk 19015912 wordt met ingang van de inwerkingtreding van dit besluit ingetrokken.

6.2 Inwerkingtreding

Dit privacybeleid treedt in werking met ingang van de eerste dag na de datum van uitgifte van het Provinciaal Blad waarin het wordt geplaatst.

6.3 Citeertitel

Dit besluit wordt aangehaald als: Privacybeleid Provincie Zeeland.

Ondertekening

Aldus vastgesteld door gedeputeerde staten van Zeeland in de vergadering van 29 juni 2021.

Drs. J.M.M. Polman, voorzitter

A.W. Smit, secretaris