Privacybeleid Gemeente Koggenland

De gemeente Koggenland verwerkt persoonsgegevens van inwoners, leveranciers, medewerkers en andere natuurlijke personen om de wettelijke taken effectief uit te voeren. Dit omvat onder andere verantwoordelijkheden binnen het sociaal domein, het openbare orde en veiligheidsdomein en burgerzaken.

Zorgvuldig en veilig omgaan met persoonsgegevens is een kernprincipe voor de gemeente Koggenland. De gemeente Koggenland spant zich in om het vertrouwen en de privacy van haar burgers, ondernemers, medewerkers en partners te waarborgen en te beschermen. Het college van burgemeester en wethouders van gemeente Koggenland heeft daarom besloten privacybeleid te formuleren met daarin de kaders voor het verwerken van privacygevoelige informatie.

In dit privacybeleid zijn duidelijke richtlijnen en procedures gedefinieerd voor het verwerken van persoonsgegevens binnen de gemeente. Het privacybeleid is in lijn met nationale en Europese privacywetgeving, inclusief de Algemene Verordening Gegevensbescherming (hierna: AVG), en benadrukt de inzet van de gemeente voor een transparante en veilige omgang met persoonsgegevens.

Dit privacybeleid is van toepassing op de gemeente Koggenland, evenals op de verwerking van persoonsgegevens die de gemeente deelt of verwerkt met samenwerkingsverbanden en ingeschakelde derden. Dit privacybeleid biedt als kapstok waaraan voor een specifiek vakgebied een beheerplan of privacyprotocol gehangen kan worden, zoals uitgedrukt in onderstaand figuur.

Figuur 1: Strategische borging privacy

Geldigheidsduur

Dit privacybeleid is vastgesteld op 21 november 2023 door het college van burgemeester en wethouders van de gemeente Koggenland (hierna: het college) Het privacybeleid wordt tenminste een keer per drie jaar na de vaststellingsdatum beoordeeld en zo nodig herzien. Mocht er tussentijds een aanleiding zijn, dan kan de gemeente besluiten tot een eerdere herziening.

In dit privacybeleid en de daarop berustende bepalingen wordt verstaan onder:

• a)

  betrokkene: diegene van wie persoonsgegevens worden verwerkt.

• b)

  gemeente Koggenland: verwerkingsverantwoordelijke zijnde het college van burgemeester en wethouders van de gemeente Koggenland, diegene die het doel en middelen van een gegevensverwerking bepaalt.

• c)

  functionaris gegevensbescherming (FG): de interne toezichthouder privacy.

• d)

  persoonsgegeven: elk gegeven dat herleidbaar is tot een natuurlijk persoon.

• e)

  verwerken van persoonsgegevens: alle handelingen die betrekking hebben op een persoonsgegeven.

• f)

  verwerkingsverantwoordelijke: een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt

• g)

  verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt

Verdere definities met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in de AVG.

De komende jaren zet de gemeente Koggenland in op het verhogen van de privacy bewustwording en verdere professionalisering van de privacy organisatie in de gemeente. Een goede privacy organisatie is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van Inwoners . Dit vereist een integrale aanpak, goed eigenaarschap en risicobewustzijn. Ieder organisatieonderdeel van de gemeente Koggenland is hierbij betrokken.

Daarbij is verantwoord en bewust gedrag van medewerkers van de gemeente Koggenland essentieel voor privacy binnen de gemeente. Iedereen die werkzaam is binnen de gemeente Koggenland, is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens.

De gemeente Koggenland zal haar visie op het gebied van de privacybewustwording en de verdere professionalisering concreet maken door jaarlijks een jaarplan op te stellen. Dit jaarplan zal zijn gebaseerd op de bevindingen en aanbevelingen uit het jaarlijkse rapport van de Functionaris Gegevensbescherming (hierna FG). Het jaarplan zal concrete doelstellingen, acties en meetbare indicatoren bevatten, die aansluiten bij onze langetermijnvisie voor het verhogen van het privacybewustzijn en de verdere professionalisering van de privacyorganisatie binnen de gemeente. De voortgang van dit jaarplan zal twee keer per jaar worden geëvalueerd met de Functionaris Gegevensbescherming en teamleider Staf en wordt waar nodig bijgesteld, om te zorgen dat we onze visie daadwerkelijk omzetten in gerichte acties en meetbare resultaten. Een verslag van de evaluatie wordt gedeeld met de portefeuillehouder.

Met dit privacybeleid geeft de gemeente Koggenland een kader voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de persoonlijke levenssfeer van de personen waarvan de gemeente Koggenland persoonsgegevens verwerkt (of laat verwerken). Daarnaast stelt dit privacybeleid taken en verantwoordelijkheden binnen de gemeente Koggenland vast op het gebied van de bescherming van persoonsgegevens.

De succesvolle implementatie van dit privacybeleid is afhankelijk van de volgende randvoorwaarden:

• 1.

  Dat alle medewerkers en alle personen die werkzaam zijn voor de gemeente Koggenland de voorschriften van dit privacybeleid opvolgen en actief uitdragen.

• 2.

  Naast dit door de gemeente Koggenland vastgestelde privacybeleid is een informatiebeveiligingsbeleid vastgesteld. Hierin zijn maatregelen opgenomen om de beschikbaarheid, integriteit en vertrouwelijkheid van (persoons)gegevens te garanderen. Informatiebeveiliging is een randvoorwaarde voor de bescherming van persoonsgegevens. Het gemeentelijke privacybeleid kan daarom niet los worden gezien van het gemeentelijke informatiebeveiligingsbeleid.

De gemeente Koggenland verzamelt en gebruikt persoonsgegevens van inwoners, leveranciers en medewerkers en andere natuurlijke personen (hierna te noemen: betrokkenen).

Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens door of namens de gemeente Koggenland, waaronder:

• 1.

  De verwerking van persoonsgegevens binnen de bedrijfsprocessen van de gemeente;

• 2.

  De verwerking van persoonsgegevens die is uitbesteed, of op een andere manier is georganiseerd, zoals deelname van de gemeente aan een rechtspersoon die voor de gemeente bepaalde diensten verricht;

• 3.

  De gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden of leveranciers.

Op de verwerking van persoonsgegevens die vallen onder de Wet politiegegevens (hierna: Wpg) is het Wpg beleid van gemeente Koggenland1 van toepassing.

Op de verwerking van personeelsgegevens is het reglement omgang personeelsgegevens van gemeente Koggenland van toepassing.

De AVG is gebaseerd op een aantal principes voor de verwerking van persoonsgegevens. De gemeente Koggenland onderschrijft deze principes en stelt zich ten doel persoonsgegevens slechts te verwerken in overeenstemming met deze principes.

Rechtmatige grondslag

Persoonsgegevens worden door de gemeente Koggenland slechts in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze verwerkt. Dit betekent onder meer dat verwerkingen slechts plaatsvinden indien hiervoor een rechtmatige verwerkingsgrondslag bestaat.

De gemeente verwerkt persoonsgegevens:

• –

  ter uitvoering van een wettelijke verplichting (bijvoorbeeld: Gemeentewet of Algemene wet bestuursrecht),

• –

  ter behartiging van een algemeen belang of openbaar gezag (bijvoorbeeld cameratoezicht),

• –

  voor het uitvoeren van een overeenkomst (bijvoorbeeld een koopovereenkomst of arbeidsovereenkomst), of

• –

  ter behartiging van gerechtvaardigd belang (bijvoorbeeld meten tevredenheid bij dienstverlening).

Welbepaalde doeleinden

De gemeente Koggenland verwerkt persoonsgegevens voor zeer uiteenlopende doeleinden. Zonder doel mogen persoonsgegevens niet worden verwerkt. De verwerking van persoonsgegevens vindt plaats op een wijze die noodzakelijk is om de doeleinden te bereiken waarvoor de persoonsgegevens zijn verkregen. Dit betekent dat de gemeente alleen die persoonsgegevens verwerkt die noodzakelijk zijn om het doel te bereiken (ter zake dienend). De gemeente ziet af van de verwerking als het doel op een andere – minder ingrijpende – wijze kan worden bereikt, bijvoorbeeld door minder of geen persoonsgegevens te verwerken. De gemeente ziet ook af van de verwerking indien hetzelfde doel op een andere – minder ingrijpende – wijze kan worden bereikt, bijvoorbeeld door het anonimiseren of aggregeren van gegevens.

Verdere verwerking

Persoonsgegevens kunnen in bepaalde gevallen worden verwerkt voor andere doelen dan waarvoor deze persoonsgegevens in eerste instantie zijn verzameld. Daarbij geldt onder andere dat de twee doelen aan elkaar verwant moeten zijn, er zich geen nadelige effecten voor de betrokkenen voordoen, dan wel dat hiervoor extra waarborgen zijn getroffen. De gemeente Koggenland voert, voordat de verwerking start, een toets uit om te bepalen of de persoonsgegevens voor andere doelen mogen worden gebruikt op grond van de wet- en regelgeving.

Minimale gegevensverwerking

Persoonsgegevens mogen alleen worden verwerkt als dit in verhouding staat tot het doel. Als het doel waarvoor persoonsgegevens worden verwerkt, zonder of met minder persoonsgegevens kan worden bereikt, dan kiest de gemeente Koggenland bij voorkeur voor die mogelijkheid. Ook als het doel waarvoor persoonsgegevens worden verwerkt op een voor de betrokkene minder inbreukmakende wijze kan worden verwezenlijkt dan kiest de gemeente Koggenland bij voorkeur voor die mogelijkheid.

Juiste en actuele persoonsgegevens

De gemeente Koggenland zorgt ervoor dat alleen persoonsgegevens worden verwerkt die accuraat, toereikend, ter zake dienend en niet bovenmatig zijn gelet op het doel waarvoor zij verzamelt zijn of vervolgens worden verwerkt. De gemeente Koggenland neemt redelijke maatregelen om persoonsgegevens juist en actueel te houden, onjuiste persoonsgegevens te actualiseren, te rectificeren en/of te wissen.

Persoonsgegevens worden op tijd vernietigd

De gemeente Koggenland bewaart en vernietigt de door haar verwerkte persoonsgegevens conform de “Selectielijst gemeente en intergemeentelijke organen 2020”. De gemeente Koggenland bewaart persoonsgegevens alleen langer als deze geanonimiseerd worden, zodat directe of indirecte identificatie van een persoon niet meer mogelijk is.

Integriteit en vertrouwelijkheid

De gemeente Koggenland neemt passende technische en organisatorische maatregelen om de persoonsgegevens, met name bijzondere persoonsgegevens, te beschermen tegen misbruik en onrechtmatige of ongeautoriseerde verwerking. De gemeente Koggenland handelt hierbij in overeenstemming met het informatiebeveiligingsbeleid Beleid Privacy en informatiebeveiliging | Koggenland. Het informatiebeveiligingsbeleid verplicht de gemeente Koggenland om informatie te beveiligen tegen ongeautoriseerd gebruik, vernietiging (per ongeluk of onrechtmatig), verlies of vervalsing, onbevoegde bekendmaking of toegang en alle andere onrechtmatige manieren van verwerking.

Verantwoording

Onder de verantwoordelijkheid van de gemeente Koggenland vindt een groot aantal verwerkingen van persoonsgegevens plaats. De gemeente Koggenland is verantwoordelijk dat hierbij de AVG wordt nageleefd en moet dit kunnen aantonen. Hier vindt extern en intern toezicht op plaats. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacyregels in Nederland. Daarnaast beschikt de gemeente Koggenland over een interne toezichthouder: de Functionaris Gegevensbescherming.

De Functionaris Gegevensbescherming ziet erop toe dat de AVG intern wordt nageleefd. De gemeente Koggenland stelt voldoende middelen ter beschikking aan de Functionaris Gegevensbescherming om het toezicht adequaat uit te kunnen voeren.

Privacy by Default en Privacy by Design

De gemeente Koggenland houdt bij de ontwikkeling van nieuwe diensten, systemen of processen rekening met aspecten van privacy en gegevensbescherming om zo te komen tot een zo optimaal mogelijke bescherming van Persoonsgegevens. Dit uitgangspunt wordt privacy by design (PbD) genoemd. De gemeente Koggenland draagt er zorg voor dat concrete maatregelen zoveel mogelijk doorgevoerd worden in het ontwerp. Daarbij neemt de gemeente Privacy by Default als uitgangspunt: de standaardinstellingen zijn altijd zo privacy-vriendelijk mogelijk.

Toegang tot persoonsgegevens

Uitsluitend geautoriseerde gebruikers zijn bevoegd tot onder meer het invoeren, rechtstreeks raadplegen, wijzigen en verwijderen van persoonsgegevens voor zover aan hen hiervoor bevoegdheden zijn toegekend. Deze bevoegdheden worden verleend op grond van het binnen de gemeente Koggenland geldend beleid voor toegang tot persoonsgegevens, waaronder het informatiebeveiligingsbeleid. Het beheer van bevoegdheden wordt periodiek gecontroleerd. De gemeente Koggenland hanteert daarnaast specifieke oplossingen en toepassingen, waaronder het bijhouden van loggegevens, om ongeautoriseerde toegang tot en niet toegestane verwerkingen van persoonsgegevens zo veel mogelijk te voorkomen en aan te pakken.

Inbreuk in verband met persoonsgegevens

Bij toegang tot, verlies of wijziging van persoonsgegevens bij de gemeente Koggenland, zonder dat dit de bedoeling is, is er sprake van een datalek. Dat moet, afhankelijk van het risico, worden gemeld bij de toezichthouder (de Autoriteit Persoonsgegevens) en soms bij de getroffen betrokkenen. De gemeente Koggenland registreert datalekken, zet de bevindingen om in verbeterpunten en ziet toe op de opvolging hiervan. Nadere regels ten aanzien van het vaststellen, melden en afhandelen van datalekken zijn opgenomen in de “Procesbeschrijving behandelen datalek”.

Samenwerking

De gemeente Koggenland schakelt soms derden in om persoonsgegevens in opdracht van haar te verwerken. Deze derden worden verwerkers genoemd. Ook een verwerker moet zich houden aan de privacyregelgeving. De AVG verplicht gemeenten tot het maken van contractuele afspraken met verwerkers, zogenaamde verwerkersovereenkomsten. Gemeente Koggenland werkt met een vastgesteld format verwerkersovereenkomst. Gemaakte afspraken met verwerkers worden periodiek gecontroleerd.

Verder kan het voorkomen dat de gemeente Koggenland samenwerkt met andere (overheids)organisaties om een taak van algemeen belang uit te voeren. In die gevallen kan sprake zijn van meerdere verwerkingsverantwoordelijken (gezamenlijk of individueel). De gemeente Koggenland maakt met deze organisaties afspraken over de wijze waarop persoonsgegevens worden verwerkt. Derden waarborgen een beschermingsniveau dat gelijk is aan dat van de gemeente Koggenland.

De verwerkersovereenkomst en de afspraken over gedeelde en/of gezamenlijke verwerkingsverantwoordelijkheid worden conform het mandaatbesluit gemeente Koggenland ondertekend.

De gemeente Koggenland heeft inzichtelijk met welke partijen zij persoonsgegevens uitwisselt.

Opslag data

Persoonsgegevens die de gemeente Koggenland verwerkt, worden bij voorkeur opgeslagen binnen Nederland.

Doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER) of een internationale organisatie, geschiedt alleen in overeenstemming met de relevante bepalingen in toepasselijke wet- en regelgeving en dit privacybeleid.

Transparantie

De gemeente Koggenland informeert de betrokkenen tijdig, op een zo eenvoudig mogelijke, begrijpelijke en toegankelijke wijze over het feit dat zij persoonsgegevens verwerkt, op welke wijze en voor welke doeleinden. Dit doet de gemeente Koggenland via de privacyverklaring op haar website www.koggenland.nl. In de privacyverklaring wordt per soort gegevensverwerking een toelichting gegevens op het doel van de verwerking en de betrokken persoonsgegevens.

Daarnaast informeert de gemeente Koggenland de betrokkenen actief over de omgang met persoonsgegevens, voor de processen waarbij bijzondere persoonsgegevens worden verwerkt, zoals de aanvraag WMO. De informatie kan bijvoorbeeld bestaan uit een flyer.

De betrokkenen worden op heldere en laagdrempelige wijze geïnformeerd over zijn rechten en de wijze waarop hij deze kan uitoefenen.

Rechten van betrokkenen

Iedereen heeft het recht om te vernemen welke persoonsgegevens de gemeente Koggenland over hem/haar heeft verzameld en waarvoor deze worden gebruikt. Betrokkenen hebben de mogelijkheid om hun rechten uit hoofdstuk III van de AVG uit te oefenen, te weten het recht van inzage, recht op rectificatie, recht op verwijdering, recht op bezwaar, recht op beperking en recht op overdraagbaarheid. Nadere regels ten aanzien van de rechten van betrokkenen zijn opgenomen in de procedure voor de rechten van betrokkenen.

Geschillenbeslechting

Indien de betrokkene van mening is dat de gemeente Koggenland niet op een juiste wijze met zijn persoonsgegevens is omgegaan, kan hij een klacht indienen middels de klachtenprocedure op basis van de Algemene wet bestuursrecht (Awb). De betrokkene heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, met betrekking tot de naleving van wet- en regelgeving op het gebied van de bescherming van persoonsgegevens.

Verwerkingenregister

De gemeente Koggenland beschikt over een verwerkingenregister, waarin alle verwerkingen van persoonsgegevens gedocumenteerd zijn en inzichtelijk zijn gemaakt.

Gegevensbeschermingseffectbeoordeling (GEB)

Als een verwerking mogelijk een hoog risico inhoudt voor de betrokkene zoals beschreven in AVG artikel 35, dan moet de gemeente Koggenland een beoordeling uitvoeren van het effect van een verwerking van persoonsgegevens. De gemeente Koggenland voert in dat geval een gegevensbeschermingseffectbeoordeling (ook wel Data Processing Impact Assessment of DPIA genoemd). Als uit de GEB blijkt dat er inderdaad hoge risico’s zijn verbonden aan de verwerking, moet de gemeente Koggenland voldoende maatregelen nemen om de risico’s te verminderen.

Als het niet lukt om (voldoende) maatregelen te nemen om dit risico te beperken, dan moet de gemeente Koggenland met de AP overleggen, voordat zij met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.

Geautomatiseerde besluitvorming

Wanneer persoonsgegevens worden gebruikt om tot een bepaalde beslissing te komen en deze beslissing

uitsluitend is gebaseerd op geautomatiseerde verwerking van persoonsgegevens, dan is er sprake van geautomatiseerde individuele besluitvorming.

Bij gemeente Koggenland wordt geautomatiseerde individuele besluitvorming niet toegepast.

Functionaris gegevensbescherming (FG)

De gemeente Koggenland is een overheidsinstantie die structureel en op grote schaal persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens. De gemeente Koggenland is daarom verplicht een FG aan te stellen. De FG is de onafhankelijke intern toezichthouder en heeft een adviserende, informerende en toezichthoudende taak. Dit betekent dat de FG toeziet op de wijze waarop de gemeente Koggenland persoonsgegevens verwerkt. De FG brengt jaarlijks een verslag uit aan de raad en het college van de gemeente Koggenland van zijn bevindingen en aanbevelingen.

Gemeente Koggenland publiceert de zakelijke gegevens van haar FG. Onder zakelijke gegevens wordt verstaan:

• a.

  Naam.

• b.

  Zakelijk telefoonnummer.

• c.

  E-mailadres (privacy@koggenland.nl).

PDCA Cyclus

De gemeente Koggenland streeft ernaar om rondom de verwerking van persoonsgegevens in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente Koggenland weet welke maatregelen genomen zijn ten aanzien van de verwerking van persoonsgegevens, dat er een planning is van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus.

Bewustwording

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van het verwerken van persoonsgegevens uit te sluiten. Het is noodzakelijk om het bewustzijn in de gemeentelijke organisatie voortdurend aan te scherpen, zodat kennis van risico’s wordt verhoogd en (veilig en verantwoord) gedrag om persoonsgegevens zorgvuldig te verwerken wordt aangemoedigd. Om dit te bewerkstelligen zal gemeente Koggenland iedere medewerker aantoonbaar informeren over het zorgvuldig omgaan met persoonsgegevens, bijvoorbeeld via instructies. Dit gebeurt passend binnen de context van en bij het domein waarbinnen de persoonsgegevens worden verwerkt.

Het governancemodel van de gemeente Koggenland biedt een overkoepelende visie en strategie hoe de bescherming van persoonsgegevens effectief belegd wordt binnen de organisatie. Daartoe bevat het een beschrijving van de taken en verantwoordelijkheden van het college, het managementteam en medewerkers, de Functionaris Gegevensbescherming, de Privacy Officer en de Chief Information Security Officer (CISO).

Het college

Het college is eindverantwoordelijk voor de naleving van de privacywetgeving binnen de gemeente Koggenland. Het college heeft de volgende rollen en verantwoordelijkheden:

• •

  Eindverantwoordelijk voor de naleving van de privacywetgeving binnen de gemeente;

• •

  Stelt het privacybeleid vast;

• •

  Geeft sturing aan privacy beleidsvoering en legt rekenschap af over privacy beleidsvoering aan de Functionaris Gegevensbescherming;

• •

  Evalueert de toepassing en werking van het privacybeleid op basis van de rapportage van de Functionaris Gegevensbescherming;

• •

  Bevordert duurzame privacycultuur.

MT-leden

De afdelingshoofden en teamleiders zijn eindverantwoordelijk voor de naleving van de privacywetgeving binnen de afdeling, alsmede voor de uitvoering van het privacybeleid.

De afdelingshoofden en teamleiders hebben de volgende rollen en verantwoordelijkheden:

• •

  Eindverantwoordelijk voor de naleving van de privacywetgeving binnen de eigen afdeling/team;

• •

  Verantwoordelijk voor implementatie en uitvoering van het privacybeleid binnen de eigen afdeling/team;

• •

  Informeert de Functionaris Gegevensbescherming op welke manier de eigen afdeling/team compliant is aan de privacywetgeving;

• •

  Verantwoordelijk voor (laten) volgen van trainingen door werknemers binnen de eigen afdeling/team;

• •

  Verantwoordelijk voor registreren van de gegevensverwerkingen in het verwerkingenregister voor zover dit betrekking heeft op de eigen afdeling/team;

• •

  Verantwoordelijk voor autorisatie en intrekken van de autorisatie van medewerkers die persoonsgegevens verwerken;

• •

  Verantwoordelijk voor het uitvoeren van Data Protection Impact Assessments (DPIA’s) voor gegevensverwerkingen met een hoog risico.

• •

  Verantwoordelijk voor het afsluiten van verwerkersovereenkomsten en overeenkomsten met afspraken over gedeelde en/of gezamenlijke verwerkingsverantwoordelijkheid.

• •

  Bevordert duurzame privacycultuur;

• •

  Betrekt Privacy Officer en/of Functionaris Gegevensbescherming in een vroeg stadium bij nieuwe of gewijzigde verwerkingen van persoonsgegevens.

Functionaris voor Gegevensbescherming (FG)

Op basis van de AVG is het aanstellen van een FG verplicht voor de gemeente Koggenland. De FG is verantwoordelijk voor het toezicht op de naleving van de AVG. De FG heeft een onafhankelijke adviserende en toezichthoudende positie in de organisatie. De FG heeft de volgende rollen en verantwoordelijkheden in de gehele organisatie van de gemeente Koggenland:

• •

  Houdt toezicht op de naleving van de AVG door de gemeente Koggenland en de door haar ingeschakelde verwerkers.

• •

  Monitort veranderingen in wetgeving en stelt de impact van deze wijzigingen vast en adviseert de organisatie bij de implementatie hiervan;

• •

  Neemt de leiding bij het interpreteren van (nieuwe) wetgeving op het gebied van privacy en gegevensbescherming;

• •

  Draagt privacybeleid actief uit binnen de gehele gemeente en bevordert een cultuur van duurzame gegevensbescherming;

• •

  Adviseert bij privacyklachten en verzoeken van betrokkenen (ombudsfunctie);

• •

  Adviseert ten aanzien van het mitigeren van privacy risico’s, bijvoorbeeld bij het uitvoeren van DPIA’s en hoog-risico dossiers;

• •

  Adviseert bij datalekken (volgens de meldprocedure);

• •

  Beschikt over controle- en monitoringbevoegdheden (het recht om interne onderzoeken te laten uitvoeren met toegang tot informatie);

• •

  Rapporteert aan het college.

Privacy Officer

De Privacy Officer is het eerste aanspreekpunt voor de gemeente Koggenland rondom privacygerelateerde vraagstukken, en heeft een monitorende en ondersteunende functie rondom het naleven en uitvoeren van het privacybeleid. De Privacy Officer heeft de volgende rollen en verantwoordelijkheden:

• •

  Adviseert en faciliteert ten aanzien van het naleven en de uitvoering van het privacybeleid;

• •

  Stelt privacybeleid, modellen, formats en standaard-overeenkomsten op, waaronder o.a. de verwerkersovereenkomst en de overeenkomst voor uitwisseling van persoonsgegevens;

• •

  Monitort en ondersteunt bij toepassing, opvolging en uitvoering van het privacybeleid;

• •

  Monitort en ondersteunt het (laten) registreren van verwerkingen in het verwerkingenregister door MT-leden en het (laten) registreren van relevante wijzigingen;

• •

  Adviseert bij het uitvoeren van Data Protection Impact Assessments (DPIA’s) en de daaruit voortvloeiende risico’s alsmede de organisatorische en technische maatregelen om deze te mitigeren;

• •

  Adviseert over de bepalingen in verwerkersovereenkomsten en faciliteert bij het opstellen, aanpassen en uitonderhandelen daarvan;

• •

  Adviseert over mechanismen voor internationale uitwisseling van persoonsgegevens naar landen buiten de EU/EER;

• •

  Adviseert over privacy-gerelateerde bepalingen in overeenkomsten met derden waarbij persoonsgegevens worden uitgewisseld;

• •

  Adviseert over de verwerkingsgrondslag (en adviseert, indien van toepassing, over de informed consent);

• •

  Ontwikkelt de bewustmakingsprogramma’s- en privacytrainingen voor medewerkers, organiseert deze en voert deze trainingen uit;

• •

  Adviseert over privacy-by-design bij ontwikkeling van nieuwe systemen in samenwerking met de CISO en ondersteunt en faciliteert bij het opstellen en uitwerken daarvan;

• •

  Ondersteunt en faciliteert bij het afhandelen van datalekken (volgens de meldprocedure).

• •

  Handelt verzoeken van betrokkenen af (volgens procedure rechten van betrokkenen).

• •

  Bij afwezigheid van de Functionaris Gegevensbescherming: toezien op naleving van de AVG. Hierbij zal de privacy officer adviseren bij zware datalekken en over spoedeisende vraagstukken die zijn voorgelegd aan de Functionaris Gegevensbescherming.

Andere rollen en verantwoordelijkheden