Algemeen Privacyreglement persoonsgegevens van medewerkers Provincie Limburg 2023

Geldend van 18-03-2023 t/m heden

Intitulé

Algemeen Privacyreglement persoonsgegevens van medewerkers Provincie Limburg 2023

Gedeputeerde Staten van Limburg,

Gelet op dat het in het kader van de Algemene verordening gegevensbescherming (hierna: AVG) in verband met de verwerking van persoonsgegevens wenselijk is om een Algemeen Privacyreglement in te voeren dat toeziet op de verwerking van persoonsgegevens van medewerkers van de Provincie Limburg die door of namens de Provincie Limburg worden verwerkt;

Gezien het besluit van 21 december 2022 van de Ondernemingsraad;

Besluiten vast te stellen:

Algemeen privacyreglement persoonsgegevens van medewerkers Provincie Limburg 2023

HOOFDSTUK 1 ALGEMENE BEPALINGEN

Artikel 1.1 Begripsomschrijvingen

In dit reglement wordt verstaan onder:

  • a.

    Autoriteit Persoonsgegevens (AP): de toezichthoudende autoriteit.

  • b.

    betrokkene: degene op wie een persoonsgegeven betrekking heeft, in dit geval medewerkers en andere natuurlijke personen.

  • c.

    eigenaar: persoon die namens de Provincie Limburg verantwoordelijk is voor informatiemiddelen en verwerkingen en als zodanig in het verwerkingsregister wordt aangewezen.

  • d.

    Functionaris Gegevensbescherming (FG): degene die binnen de organisatie is aangewezen om toezicht te houden op de toepassing en naleving van de AVG en het vigerende Privacybeleid Provincie Limburg.

  • e.

    incident: (het vermoeden van) gepleegde of te plegen strafbare feiten, dan wel handelingen die in strijd zijn met de afgelegde eed of belofte, met de provinciale gedragscode of met de integriteitsverklaring voor externen.

  • f.

    leidinggevende: de formeel leidinggevende van de betrokken medewerker.

  • g.

    medewerker: de natuurlijke persoon die een arbeidscontract heeft met of werkzaam is geweest voor de Provincie Limburg en/of een account heeft of had bij de Provincie Limburg.

  • h.

    metadata: gegevens die de karakteristieken van informatieobjecten beschrijven.

  • i.

    persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”): als identificeerbaar wordt beschouwd een natuurlijk persoon die die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatornummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van de natuurlijke persoon.

  • j.

    privacy officer: adviseur op het gebied van privacywet- en regelgeving.

  • k.

    Provincie: de Provincie Limburg, zijnde de verwerkingsverantwoordelijke in de zin van de wet.

  • l.

    Provisa: interprovinciale selectielijst voor archiefbescheiden waarin de vernietigings- en bewaartermijnen zijn opgenomen ten behoeve van het informatie- en archiefbeheer van de provinciale organen.

  • m.

    reglement: het Algemeen privacyreglement persoonsgegevens van medewerkers Provincie Limburg 2023.

  • n.

    verwerken van persoonsgegevens: elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.

  • o.

    verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst die of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in dit geval de Provincie Limburg.

  • p.

    wet: algemene verordening gegevensbescherming (AVG) en/of de Uitvoeringswet Algemene verordening gegevensbescherming.

Artikel 1.2 Reikwijdte en doel van het reglement

  • 1. Dit reglement is van toepassing op de verwerking van persoonsgegevens betreffende betrokkenen die door of namens de verwerkingsverantwoordelijke op geheel of gedeeltelijk geautomatiseerde wijze worden verwerkt.

  • 2. Het reglement kan worden gewijzigd door de verwerkingsverantwoordelijke na instemming van de Ondernemingsraad (OR) conform artikel 27, eerste lid, onderdeel k van de Wet op de ondernemingsraden.

  • 3. De Directie kan privacyprotocollen vaststellen en wijzigen voor specifieke verwerkingen van persoonsgegevens. Indien noodzakelijk na instemming of advies van de OR.

  • 4. Dit reglement heeft tot doel:

    • a.

      de persoonlijke levenssfeer te beschermen;

    • b.

      te voorkomen dat persoonsgegevens onrechtmatig worden verwerkt en/of worden verwerkt voor andere doeleinden dan het doel waarvoor ze zijn verkregen;

    • c.

      rechten van medewerkers te waarborgen.

Artikel 1.3 Functionaris Gegevensbescherming (FG)

  • 1. De Provincie benoemt conform de wet een FG.

  • 2. De FG is verantwoordelijk voor het toezicht op privacy en de borging ervan en kan gevraagd en ongevraagd advies geven over privacy-aangelegenheden.

  • 3. De FG heeft ten minste de volgende taken:

    • a.

      de Provincie informeren en adviseren over de verplichtingen uit hoofde van de wet;

    • b.

      toezien op naleving van de wet;

    • c.

      toezien op naleving van het beleid van de Provincie met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en audits;

    • d.

      adviseren met betrekking tot een gegevensbeschermingseffectbeoordeling;

    • e.

      optreden als aanspreekpunt voor de AP.

  • 4. De FG voert de taken onafhankelijk uit en is hierbij tot geheimhouding en vertrouwelijkheid verplicht.

HOOFDSTUK 2 VERWERKING VAN PERSOONSGEGEVENS

Artikel 2.1 Voorwaarden voor rechtmatige verwerking

  • 1. De verwerkingsverantwoordelijke draagt er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.

  • 2. Persoonsgegevens worden enkel verwerkt door personen die uit hoofde van hun functie, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding verplicht zijn.

  • 3. De verwerkingsverantwoordelijke onderhoudt een register van verwerkingen waarin alle informatiemiddelen en verwerkingen zijn vastgelegd, die onder haar verantwoordelijkheid plaatsvinden. Het register van verwerkingen bevat ten minste de volgende gegevens:

    • a.

      de naam en de contactgegevens van de verwerkingsverantwoordelijke;

    • b.

      de eigenaar van de verwerking;

    • c.

      de verwerkingsdoeleinden;

    • d.

      een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

    • e.

      de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;

    • f.

      indien van toepassing, doorgifte van persoonsgegevens aan een derde land;

    • g.

      indien mogelijk, de (beoogde) termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden verwijderd;

    • h.

      indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

  • 4. De eigenaar van de verwerking is verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie in het register van verwerkingen.

  • 5. Persoonsgegevens worden verwerkt voor de in artikel 2.2 beschreven doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen.

  • 6. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doelen beschreven in artikel 2.2, toereikend, ter zake dienend en niet bovenmatig zijn.

  • 7. Persoonsgegevens worden enkel verwerkt indien de verwerking gerechtvaardigd is door één of meer van de volgende grondslagen:

    • a.

      de betrokkene heeft toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens voor één of meer specifieke doeleinden;

    • b.

      de verwerking van persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;

    • c.

      de verwerking van persoonsgegevens is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

    • d.

      de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

    • e.

      de verwerking van persoonsgegevens is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, of

    • f.

      de verwerking van persoonsgegevens is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen.

Artikel 2.2. Doeleinden van de gegevensverwerking

  • 1. De verwerkingsverantwoordelijke zal enkel persoonsgegevens verwerken voor duidelijk omschreven doeleinden.

  • 2. Iedere verwerking van persoonsgegevens, alsmede de specifieke doeleinden voor de verwerking zijn vastgelegd in het register van verwerkingen.

Artikel 2.3 Toegang tot persoonsgegevens

  • 1. Toegang tot persoonsgegevens wordt enkel verkregen indien dat noodzakelijk is voor de taakuitoefening.

  • 2. In het register van verwerkingen is vastgelegd wie eigenaar is van welke verwerking van persoonsgegevens. Bij de eigenaar van de betreffende verwerking kan inzicht verkregen worden in de personen die toegang hebben en waarom. In het register van verwerkingen zijn tevens de beveiligingsmaatregelen per verwerking opgenomen.

  • 3. Medewerkers kunnen inzage krijgen in het register van verwerkingen via de privacy officer.

Artikel 2.4 Verstrekking gegevens

  • 1. Persoonsgegevens kunnen worden verstrekt aan instituten ten behoeve van wetenschappelijke of statistische doelen, mits de uitkomsten waarvoor deze gegevens worden gebruikt, niet meer tot individuele natuurlijke personen herleidbaar zijn.

  • 2. Persoonsgegevens kunnen ook worden verstrekt aan derden of instanties die betrokken zijn bij of belast zijn met strafrechtelijke of civielrechtelijke procedures, indien de Provincie daartoe verplicht is op basis van wet- en regelgeving dan wel een rechterlijke uitspraak of indien de betrokkene schriftelijk toestemming heeft verleend tot verwerking. Deze toestemming dient vrijelijk te zijn gegeven door de betrokkene. Alvorens de persoonsgegevens worden verstrekt, is advies van de FG vereist.

Artikel 2.5 Incident

Indien er sprake is van een incident kan de Provinciesecretaris/Algemeen directeur dit (laten) onderzoeken. Dit dient te geschieden conform een daartoe (eventueel) vast te stellen procedure.

Artikel 2.6 Doorgifte van persoonsgegevens naar landen buiten de Europese Ruimte

  • 1. De verwerkingsverantwoordelijke geeft geen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER), tenzij adequate maatregelen zijn getroffen zoals benoemd in de AVG.

  • 2. Indien persoonsgegevens worden doorgegeven aan een land buiten de EER staat dit opgenomen in het register van verwerkingen.

HOOFDSTUK 3 RECHTEN VAN BETROKKENEN

Artikel 3.1 Rechten van betrokkenen

  • 1. Betrokkenen hebben onder voorwaarden, zoals gesteld in de wet, het recht op informatie, het recht van op inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid van gegevens en het recht van bezwaar.

  • 2. Aan de medewerker die daarom aan de verwerkingsverantwoordelijke verzoekt, wordt een overzicht verschaft van de hem betreffende persoonsgegevens die worden verwerkt.

  • 3. De verwerkingsverantwoordelijke bericht de verzoeker binnen één maand na ontvangst van het in het tweede lid genoemde verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet. Een weigering is met redenen omkleed. Een beslissing op een verzoek geldt als een besluit in de zin van artikel 1:3, Algemene wet bestuursrecht.

  • 4. De verwerkingsverantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

  • 5. De wijze waarop deze rechten uitgeoefend kunnen worden is beschreven in de wet en in de vigerende `Handleiding AVG; rechten van betrokkenen`.

Artikel 3.2 Indienen verzoek

  • 1. Betrokkenen kunnen hierboven genoemde verzoeken indienen bij de eigenaar van de informatiemiddelen en -verwerking.

  • 2. De eigenaar kan om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit.

  • 3. Aan het indienen van het verzoek zijn in principe geen kosten verbonden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege de hoeveelheid verzoeken van de betreffende betrokkene, kan de verwerkingsverantwoordelijke een redelijke vergoeding vragen of weigeren te voldoen aan het verzoek.

Artikel 3.3 Beoordeling van het verzoek en termijn

De eigenaar laat uiterlijk binnen één maand na ontvangst van het verzoek weten welk gevolg aan dit verzoek wordt gegeven. Deze termijn kan met twee maanden verlengd worden. Is dit het geval, dan wordt betrokkene hiervan op de hoogte gesteld.

HOOFDSTUK 4 ORGANISATORISCHE VERPLICHTINGEN

Artikel 4.1 Beveiliging

  • 1. De verwerkingsverantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens.

  • 2. Gedeputeerde Staten hebben een informatiebeveiligingsbeleid vastgesteld. Dit is toegankelijk via intranet.

  • 3. Uitgangspunt voor de informatiebeveiliging is de ISO 27001 normering in combinatie met de Baseline Informatiebeveiliging Overheid (BIO). De maatregelen opgenomen in de BIO hebben tot doel, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te bieden, gelet op de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

  • 4. Op de processen rond de bescherming van persoonsgegevens wordt toegezien door de FG.

Artikel 4.2 Afhandelen datalekken

  • 1. De verwerkingsverantwoordelijke zal conform het vigerende `Protocol melding datalekken` de AP onverwijld in kennis stellen van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

  • 2. De verwerkingsverantwoordelijke zal conform de wet de betrokkenen onverwijld in kennis stellen van de inbreuk als bedoeld in voorgaand lid, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer.

  • 3. Er is een interne procedure aanwezig voor het afhandelen van dergelijke inbreuken op de beveiliging van persoonsgegeven. Personeelsleden kunnen een beveiligingsinbreuk of datalek melden bij de Helpdesk op de wijze zoals die staat toegelicht in het vigerende `Protocol melding datalekken`.

Artikel 4.3 Bewaartermijnen

  • 1. Met inachtneming van (archief)wettelijke voorschriften, de selectielijst PROVISA, en de toepassing van het vigerende besluit informatiebeheer, stelt de eigenaar de bewaartermijn van de persoonsgegevens vast. Waar mogelijk zijn de bewaartermijnen opgenomen in het register van verwerkingen.

  • 2. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden en het naleven van wettelijke verplichtingen.

  • 3. Wanneer de bewaartermijn van documenten verstrijkt, dienen deze conform de (archief)wettelijke termijnen te worden vernietigd, inclusief de persoonsgegevens opgenomen als metadata (die onlosmakelijk is verbonden aan de documenten).

HOOFDSTUK 5 KLACHTEN

Artikel 5.1 Klachten

  • 1. Indien betrokkene van mening is dat de bepalingen uit de wet, zoals nader uitgewerkt in dit reglement, door de verwerkingsverantwoordelijke niet worden nageleefd, kan men zich wenden tot de FG.

  • 2. Indien de ingediende klacht voor de betrokkene niet leidt tot een acceptabel resultaat, kan men zich wenden tot de AP.

HOOFDSTUK 6 SLOTBEPALINGEN

Artikel 6.1 Inwerkingtreding, citeertitel en intrekking

  • 1. Dit reglement wordt aangehaald als Algemeen privacyreglement persoonsgegevens van medewerkers Provincie Limburg 2023.

  • 2. Dit reglement treedt in werking op de dag na de dag van publicatie in het Provinciaal Blad.

  • 3. Bij het in werking treden van dit reglement wordt het Privacy reglement provincie Limburg 2011 ingetrokken.

Ondertekening

Maastricht, d.d. 31 januari 2023

Gedeputeerde Staten voornoemd

de voorzitter,

E.G.M. Roemer

secretaris,

T. Schulpen