Privacybeleid 2024 Gemeente Almelo

Omschrijving

Gegevens worden alleen verwerkt met een wettelijke grondslag

Reden

Alle verwerkingen van gegevens zonder grondslag zijn onrechtmatig

Toelichting

Indien wij gegevens verwerken in de rol van Verwerker, dient de Verwerkingsverantwoordelijke een wettelijke grondslag te hebben

Omschrijving

Alle verwerkingen van gegevens zijn opgenomen in een verwerkingsregister

Reden

Wettelijk vereiste

Toelichting

Dit uitgangspunt betekent dat er een verwerkingsregister is opgesteld en up-to-date wordt gehouden.

Omschrijving

Alle medewerkers, zowel intern als extern, hebben een schriftelijk vastgelegde geheimhoudingsplicht

Reden

De aard van de gegevens en het belang van privacy voor de inwoners veronderstelt een hoge mate van integriteit

Toelichting

Omschrijving

Gegevens zijn beschermd tegen onbevoegden

Reden

Om de privacy van de betrokkenen te waarborgen en de risico’s voor de gemeente Almelo in geval van verlies, diefstal en ongewenste wijzigingen te mitigeren, is bescherming noodzakelijk

Toelichting

De eisen rondom de beveiliging van gegevens zijn nader uitgewerkt in het informatiebeveiligingsbeleid en onderliggende of aanverwante stukken

Omschrijving

Gegevens worden enkel verwerkt indien dit noodzakelijk en rechtmatig is en zolang de verwerking plaatsvindt in lijn met het doel

Reden

Wettelijk vereiste

Toelichting

-

Omschrijving

Gegevens worden niet langer bewaard dan wettelijk vastgelegd of noodzakelijk

Reden

Wettelijk vereiste

Toelichting

Politiegegevens hebben specifieke, bij wet vastgelegde bewaartermijnen. Overige persoonsgegevens mogen bij wet niet langer dan noodzakelijk worden bewaard

Omschrijving

Gegevens worden gedeeld met medewerkers of derden die dit nodig hebben

Reden

Noodzakelijk voor een juiste uitvoering van werkzaamheden

Toelichting

Gegevens worden gedeeld met medewerkers die deze gegevens nodig hebben voor hun werkzaamheden (need to know principe). Ook mogen politiegegevens worden gedeeld met instanties die binnen de Wpg vallen (free flow principe).

Omschrijving

Voor het waarborgen van gegevensbescherming is een managementcyclus ingericht

Reden

Gegevensbescherming is een on-going proces dat geborgd dient te zijn in een PDCA-cyclus

Toelichting

Voor dit uitgangspunt moeten de volgende zaken zijn ingericht:

PDCA-cyclus van dit Beleid en overige privacygerelateerde documenten (zoals privacyverklaring, procedures) over een periode van 4 jaar

Periodiek rapportage over alle hoge risico’s op het gebied van gegevensbescherming aan de directie

Omschrijving

Kwetsbaarheden, bedreigingen en incidenten worden gemeld en gerapporteerd

Reden

Kwetsbaarheden, bedreigingen en incidenten moeten zo snel mogelijk opgelost op gemitigeerd worden, en naar de toekomst worden voorkomen

Toelichting

Voor dit uitgangspunt moeten de volgende zaken zijn ingericht:

Registratieproces en-systeem voor datalekken en overige bijzonderheden

Periodieke rapportage aan de directie over kwetsbaarheden, incidenten en bedreigingen

Gedetailleerde terugkoppeling aan leiding over ontstaan en opvolging van belangrijke incidenten

Omschrijving

Vereiste verwerkersovereenkomsten worden afgesloten

Reden

Afspraken over de verwerking van gegevens moeten vastgelegd worden waarbij de zeggenschap over de gegevens bij de Verwerkingsverantwoordelijke blijft liggen

Toelichting

-

Omschrijving

Op dienstverleners die namens gemeente Almelo gegevens verwerken wordt toegezien

Reden

Goed opdrachtgeverschap

Risicobeheerder binnen uitbestede en ingehuurde diensten

Toelichting

Voor dit uitgangspunt moet zijn ingericht:

Proces audit/beoordeling dienstverleners

Omschrijving

Ontwikkelingen in privacywet- en regelgeving zijn inzichtelijk

Reden

Voorkomen non-compliance

Voorbereiden op opkomende risico’s

Toelichting

Zowel de AVG als de Wpg zijn relatief nieuwe wetten met een aantal open normen. Jurisprudentie en bijvoorbeeld standpunten van toezichthouders moeten uit gaan wijzen hoe eventuele onduidelijkheden in de wet nader geïnterpreteerd moeten worden

Omschrijving

Op verwerkingen van persoonsgegevens wordt toegezien op het gebied van relevante wettelijke uitgangspunten

Reden

Wettelijke vereiste

Toelichting

Audit vindt plaats door externe- en interne privacy audits. De audit ziet op wettelijke verplichtingen van de AVG en de Wpg.

Omschrijving

Een Functionaris Gegevensbescherming is aangesteld

Reden

Wettelijk vereiste

Toelichting

De Functionaris Gegevensbescherming (FG) houdt toezicht op en adviseert over de naleving van zowel de AVG als de Wpg binnen gemeente Almelo

Omschrijving

Taken en verantwoordelijkheden rondom gegevensbescherming zijn belegd

Reden

Aanbrengen van organisatorische rol- en functiescheiding

Aanwezig hebben van noodzakelijke specialismen rondom risicomanagement, gegevensbescherming en informatiebeveiliging

Wettelijk vereiste

Toelichting

De volgende rollen zijn minimaal vereist:

FG;

Bevoegd functionaris i.h.k.v. de Wpg

Privacy Officer

(C)ISO;

Risicomanager(s)

Omschrijving

Toegang tot informatie wordt beperkt tot noodzakelijke informatie

Reden

Voorkomen van ongewenste functievermenging

Voorkomen van ongeoorloofde toegang tot systemen en gegevens

Toelichting

De eisen rondom logische toegang en autorisatie zijn uitgewerkt in aanvullende documentatie.

Omschrijving

Een proces is ingericht voor de juiste afhandeling van datalekken

Reden

Processen geven richting aan een beheerste bedrijfsvoering en zijn noodzakelijk bij de beheersing van de risico’s op het gebied van gegevensbescherming. Schendingen van wetgeving en contractuele verplichtingen worden voorkomen.

Toelichting

De Verwerkingsverantwoordelijke moet datalekken binnen 72 uur bij de externe toezichthouder melden. Een snelle en juiste afhandeling is daarom noodzakelijk.

Omschrijving

Een proces is ingericht voor de juiste afhandeling van rechtenverzoeken

Reden

Processen geven richting aan een beheerste bedrijfsvoering en zijn noodzakelijk bij de beheersing van de risico’s op het gebied van gegevensbescherming. Schending van wetgeving wordt voorkomen.

Toelichting

Rechten van betrokkenen zijn wettelijk vastgelegd. Een tijdige en juiste afhandeling is daarom van belang.

Omschrijving

Systemen en processen zijn zodanig ingericht dat ze niet meer gegevens verwerken dan noodzakelijk

Reden

Wettelijk vereiste

Toelichting

Al direct bij systeem- en procesontwerp en vormen van redesign moet aantoonbaar rekening worden gehouden met optimale bescherming van persoonsgegevens (privacy by design).

Omschrijving

Mogelijk hoge risico’s m.b.t. gegevensbescherming worden geïdentificeerd, beoordeeld en aantoonbaar gemitigeerd

Reden

Wettelijk vereiste

Toelichting

Risico’s moeten in kaart worden gebracht (bijvoorbeeld middels DPIA’s/GEB’s. Hoge risico’s moeten worden gemitigeerd.

Omschrijving

Binnen een week wordt het doel van de verwerking van de politiegegevens vastgelegd ten behoeve van het onderzoek

Reden

Wettelijk vereiste

Toelichting

Omschrijving

Websites en andere kanalen voor externe bezoekers hebben een privacyverklaring

Reden

Voldoen aan wettelijke informatieplicht

Toelichting

Websites zijn vaak het eerste en zichtbaarste communicatiekanaal met externen. Hier moet dan ook direct aan de informatieplicht worden voldaan.

Omschrijving

Communicatie over privacy is begrijpelijk, transparant en relevant

Reden

Voldoen aan wettelijke informatieplicht

Toelichting

Dit uitgangspunt impliceert dat er verschillende inhoud en wordt gebruikt bij verschillende kanalen, afgestemd op de doelgroep (inwoners, leveranciers, medewerkers, sollicitanten, etc.).

Omschrijving

Medewerkers worden getraind op de omgang met gegevens

Reden

Verkleinen van het kans op incidenten

Toelichting

Bij het waarborgen van privacy en het beschermen van gegevens, is de grootste afhankelijkheid het menselijk handelen. Een groot bewustzijn bij medewerkers over hoe om te gaan met persoonsgegevens is daarom van essentieel belang.

Binnen bepaalde domeinen moet er specifieke aandacht worden besteed aan de Wpg.