Privacybeleid Gemeente Lansingerland

1.3.1 Voor wie?

Dit beleid is van toepassing op alle bestuurders, de gemeenteraad, en medewerkers van de gemeente Lansingerland, zowel intern als externe medewerkers en zowel in vaste als tijdelijke dienst.

1.3.2 Voor wat?

Het privacybeleid is van toepassing op alle processen en verwerkingen die plaatsvinden onder verantwoordelijkheid van de gemeente binnen de geldende wet- en regelgeving op het gebied van gegevensbescherming.

Onder dit privacybeleid vallen in ieder geval:

• •

  Alle dienstverlening die de gemeente in het kader van haar publieke taak uitvoert waarbij persoonsgegevens worden verwerkt.

• •

  Alle bedrijfsvoering van gemeente Lansingerland voor zover hierbij gewerkt wordt met persoonsgegevens.

• •

  Processen die de gemeente uitbesteedt, inkoopt of op een andere manier organiseert. Voorbeeld van een proces is het aanvragen van leerlingenvervoer.

• •

  Gegevensuitwisseling met derden zoals de Belastingdienst, de Raad voor de Kinderbescherming, de politie en zorgaanbieders waar de gemeente verwerkersverantwoordelijke voor is.

• •

  De samenwerkingsverbanden die de gemeente aangaat met externe partijen waarbinnen persoonsgegevens worden uitgewisseld.

• •

  Het opslaan en archiveren van gegevens. Hier valt zowel papier als digitale opslag van gegevens onder.

• •

  De gehele ‘data life cycle’: van het genereren of verzamelen van persoonsgegevens en politiegegevens, het dagelijkse gebruik ervan en de gegevensopslag tot en met de archivering en vernietiging ervan.

• •

  De verwerking van statistische en/of geanonimiseerde gegevens, voor zover niet kan worden uitgesloten dat personen kunnen worden geïdentificeerd of geprofileerd.

1.3.3 Wettelijke context

Voor dit privacybeleid is de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Wet Politiegegevens (Wpg) de voornaamste relevante wetgeving. Er is daarnaast andere relevante privacy- en materiewetgeving die de gemeente dient na te leven. Denk bijvoorbeeld aan de Wet basisregistratie personen, de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI) en de Archiefwet. In deze wettelijke context wordt de meest bepalende wetgeving toegelicht: de AVG en de Wpg.

De AVG is een Europese verordening die het Europese grondrecht op de bescherming van persoonsgegevens uitwerkt. Regels voor de verzameling, verwerking en opslag van persoonsgegevens zijn hierin vastgelegd. Evenals de rechten van individuen met betrekking tot hun gegevens. De gemeente moet ervoor zorgen dat uitvoering wordt gedaan aan deze regelgeving.

De Wet Politiegegevens (hierna: Wpg) is een Nederlandse wet die specifiek van toepassing is op de verwerking van politiegegevens door politie, bijzondere opsporingsdiensten en buitengewoon opsporingsambtenaren (boa’s). Politiegegevens zijn persoonsgegevens die verwerkt worden in het kader van een opsporingstaak. De Wpg stelt regels vast voor de verzameling, verwerking en uitwisseling van politiegegevens.

2.3.1 Rollen

Het College van B&W, de gemeenteraad en de burgemeester zijn ieder verwerkingsverantwoordelijke voor hun ‘eigen’ verwerkingen. Alle drie zijn wettelijk eindverantwoordelijk. In de dagelijkse werkzaamheden ligt deze verantwoordelijkheid bij de directie, met als hoogste uitvoeringsverantwoordelijke de gemeentesecretaris. Ten aanzien van de gemeenteraad is de griffier de uitvoeringsverantwoordelijke. De directie delegeert op hun beurt de verantwoordelijkheid aan de teammanagers, die de teams aansturen. Als privacy binnen de teams in de gemeente onvoldoende wordt geborgd, zal de betreffende directeur in actie moeten komen en de capaciteit inzetten op basis van het hoogste privacy risico. Elke medewerker van de gemeente is medeverantwoordelijk voor een geslaagde uitvoering van het privacybeleid. Medewerkers worden daartoe opgeleid en ook op managementniveau is hier structureel aandacht voor. Het College van B&W, de gemeenteraad en de burgemeester blijven eindverantwoordelijk voor de verwerkingen van gegevens van zowel burgers, medewerkers als derden, en voor de vereiste privacyborging op organisatieniveau. De rollen en verantwoordelijkheden worden hieronder weergegeven:

2.3.2 Proceseigenaren

De proceseigenaar is degene die verantwoordelijk is voor een bedrijfsproces en vanuit deze rol regisseur is. De proceseigenaar zorgt ervoor dat een proces van begin tot einde optimaal uitgevoerd wordt. Dit geldt ook als een proces team- of domein overstijgend is. Op het vlak van privacy stelt de proceseigenaar eisen waar het proces en onderliggende systemen aan dienen te voldoen. De proceseigenaar is verantwoordelijk voor het toezicht op de naleving van dit privacybeleid. De griffie verwerkt persoonsgegevens. Het privacybeleid is daarom ook van toepassing op de griffie. De griffier is in dit kader te beschouwen als proceseigenaar.

De uitvoering van het privacybeleid, zowel voor de AVG als de Wpg, is een verantwoordelijkheid van het lijnmanagement. Alle verwerkingen binnen de gemeente hebben een eigenaar die het proces bewaakt en fungeert als aanspreekpunt, dit is de proceseigenaar. Het kan voorkomen dat een proceseigenaar het proceseigenaarschap mandateert aan een sub proceseigenaar binnen de gemeente. Bij mandatering blijft de mandaatgever verantwoordelijk voor de privacy bestendigheid van de verwerking.

Bij de privacy governance van de gemeente is de teammanager de proceseigenaar van de verwerkingen binnen een team. De teammanager is verantwoordelijk voor de verwerkingen die plaatsvinden binnen het team. Bij een nieuwe of veranderende verwerking van persoonsgegevens binnen het team is de teammanager verantwoordelijk voor het contact leggen met de tweede lijn. Op basis van de risico gebaseerde werkwijze van de gemeente wordt er samen met de tweede lijn een inschatting gemaakt van het potentiële risico dat de gemeente Lansingerland en de betrokkenen lopen. Hiervoor wordt een risico analyse (in de vorm van een DPIA) uitgevoerd. De teammanager kan de rol van proceseigenaar onderverdelen binnen het team, maar blijft feitelijk verantwoordelijk en aanspreekpunt in relatie tot de tweede lijn. Als een verwerking wordt uitbesteed aan een externe leverancier, of er wordt samengewerkt met een externe leverancier, blijft de teammanager van het team waar de verwerking binnen valt verantwoordelijk.

De proceseigenaar heeft een actieve rol in het contact met externe partijen. In het geval van uitwisselingsverbanden, samenwerken in samenwerkingsverbanden of het uitbesteden van processen, maakt de proceseigenaar afspraken met de externe partij. De proceseigenaar is verantwoordelijk om de naleving van deze afspraken te controleren. Dit gebeurt in samenwerking met de tweede lijn.

2.3.3 College van B&W, gemeenteraad en burgemeester

Alle bestuursorganen van de gemeente Lansingerland zijn zelf ‘verwerkingsverantwoordelijke’ in de zin van de AVG. Het College van B&W, de gemeenteraad en de burgemeester zijn verwerkingsverantwoordelijke voor de gemeente. Het College van B&W stelt vanuit de rol als portefeuillehouder privacy, middels de vaststelling van het privacybeleid, uitgangspunten, richtlijnen en protocollen met betrekking tot privacy vast. Deze kaders worden gesteld aan de hand van landelijke en Europese wet- en regelgeving, jurisprudentie en normenkaders. Het College van B&W stimuleert het management van de organisatieonderdelen om voldoende technische en organisatorische maatregelen te nemen om persoons- en politiegegevens te beschermen.

De lijn tussen het College van B&W en de FG moet kort zijn. Het is hier van belang dat het College van B&W ervoor zorgt dat de FG naar behoren en tijdig wordt betrokken bij de verwerking van persoonsgegevens. Ook moet de FG volledig worden geïnformeerd over aspecten van de bedrijfsvoering binnen de gemeente waarbij persoons- en politiegegevens worden verwerkt of wanneer daartoe voornemens bestaan.

2.3.4 De tweedelijns privacy rollen

In de tweede lijn privacy is er een onderverdeling in drie rollen gemaakt. Zij stellen de kaders waarbinnen de eerste lijn werkt. Als tweede lijn hebben zij de verantwoordelijkheid om de eerste lijn te ondersteunen en adviseren in hun werkzaamheden. Hier hoort adviseren bij privacy incidenten bij, maar ook het ondersteunen van de klachten coördinator bij privacy gerelateerde klachten. Ook hebben de tweedelijns privacy rollen een controlerende en monitorende rol door te ondersteunen in het formuleren van de beheersmaatregelen. Ten slotte is de tweede lijn verantwoordelijk voor een overzicht waar privacy staat binnen de gemeente (bijvoorbeeld aan de hand van een privacy jaarverslag). Hoe de tweedelijns privacy rollen en verantwoordelijkheden worden uitgevoerd in taken, wordt toegelicht in het uitvoeringskader.

2.3.4.1 Senior jurist privacy

De senior jurist privacy is op juridisch gebied verantwoordelijk voor de privacy compliance van de gemeente. De senior privacy jurist houdt hierbij vooral de grote lijnen in zicht: het opstellen en implementeren van het privacybeleid en het opstellen van het jaarverslag en de uitvoering hiervan.

2.3.4.2 Privacy officer

De privacy officer is verantwoordelijk voor de uitvoering van de privacy taken. Dit zijn taken als het adviseren bij verwerkersovereenkomsten, begeleiden van DPIA’s, behandelen van verzoeken tot uitvoering van rechten van betrokkenen en het behandelen van datalekken. Samen met de chief information security officer (CISO), information security officer (ISO) en de FG neemt de privacy officer en de senior jurist privacy plaats in het periodieke Privacy en Informatiebeveiliging Team (PIT).

2.3.4.3 Medewerker privacy

De medewerker privacy heeft een ondersteunende rol: het helpen bij de uitvoering van de taken die bij de senior jurist privacy en de privacy officer horen. Daarnaast is deze medewerker verantwoordelijk voor het bijhouden van de actielijst en voor de overige administratieve taken.

2.3.5 Functionaris Gegevensbescherming

De Functionaris voor Gegevensbescherming is de interne toezichthouder van gemeente Lansingerland op de naleving van de AVG en de Wpg binnen de gemeente. De FG is geregistreerd bij de Autoriteit Persoonsgegevens en is het contactpunt voor betrokkenen, toezichthoudende autoriteiten en andere belanghebbenden met betrekking tot gegevensbescherming.

Binnen de gemeente Lansingerland is de FG het advies en informatiepunt in relatie tot de naleving van de AVG. De FG heeft een directe lijn met het College en informeert en adviseert het College, de eerste en tweede lijn gevraagd en ongevraagd met betrekking tot gegevensbescherming. De zienswijze van de FG is zwaarwegend en geldt als de manier waarop de gemeente Lansingerland de AVG naleeft.

In het uitvoeringskader worden de taken van de FG verder uitgelicht, hieronder is een overzicht van de taken van de FG opgenomen. De FG:

• •

  informeert en adviseert het college, proceseigenaren en het Privacy en Informatiebeveiliging Team (PIT) over de werking van het privacybeleid van gemeente en nakoming van achterliggende wettelijke verplichtingen (heeft de lead in interpretatie van privacywetgeving);

• •

  houdt toezicht op het beleid van de gemeente met betrekking tot de bescherming van persoonsgegevens;

• •

  helpt met privacy klachten tot een goed einde te brengen (ombudsfunctie);

• •

  adviseert bij privacy incidenten over ernst en omvang;

• •

  ziet toe op het register van verwerkingen conform artikel 30 AVG;

• •

  controleert de naleving van afspraken door gemeente Lansingerland en ketenpartners, eventueel ook in samenwerking met auditors;

• •

  helpt het privacybeleid uit te dragen bij interne en externe doelgroepen;

• •

  is het contactpunt voor privacytoezichthouders zoals de Autoriteit Persoonsgegevens;

• •

  doet jaarlijks verslag van de werkzaamheden aan het College van B&W;

• •

  houdt in het kader van de Wpg toezicht op:

  • o

    het naleven van de Wpg;

  • o

    het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens;

  • o

    de toewijzing van de autorisaties;

  • o

    de bewustmaking en opleiding van de boa’s en andere functionarissen die betrokken zijn bij de verwerking van politiegegevens;

  • o

    de audits;

  • o

    de uitvoering van DPIA’s;

  • o

    jaarlijkse rapportage aan de verwerkingsverantwoordelijke over de bevindingen m.b.t. de Wpg. Bijvoorbeeld in het FG jaarverslag.

3.1.1 Privacy framework en de beheersmaatregelen

De gemeente geeft invulling aan privacy management door het implementeren van een gestructureerd privacy framework dat richtlijnen en procedures biedt voor de omgang met persoonsgegevens. Dit framework omvat duidelijke normen en richtlijnen die van toepassing zijn op alle aspecten van gegevensverwerking binnen de gemeente. Binnen dit framework worden beheersmaatregelen vastgesteld om risico's te minimaliseren en de bescherming van persoonsgegevens te waarborgen. Deze beheersmaatregelen omvatten technische, organisatorische en procedurele aspecten, zoals het versleutelen van gevoelige gegevens, het instellen van toegangsbeperkingen en het regelmatig evalueren, en indien nodig, bijwerken van privacybeleid.

Gemeente Lansingerland hanteert een privacy framework dat is gebaseerd op relevante normen op het gebied van privacy en informatiebeveiliging: het Privacy en Informatieveiligheid (PIV) framework. Dit framework is een verzameling van alle relevante wet- en regelgeving op het gebied van privacy en informatiebeveiliging zoals de privacy baseline van het Centrum Informatiebeveiliging en Privacy (CIP), de Wpg, de VNG Criteria borging AVG 2.0 én de ISO27701. De privacy baseline van het CIP is een vertaling van de AVG voor overheidsorganisaties. De beheersmaatregelen die zijn opgenomen zijn vertalingen van normen als de privacy baseline, de Wpg, de VNG criteria borging AVG 2.0 én de ISO27701.

De beheersmaatregelen (genaamd SMART-controls in Recourse) worden continu gemonitord door periodiek in de organisatie op te halen of de gemeente voldoet aan de beheersmaatregelen. Als blijkt dat de organisatie of organisatieonderdelen de beheersmaatregelen niet uitvoeren, dan moet actie worden ondernomen. Niet compliant zijn met beheersmaatregelen betekent niet compliant met relevante wet- en regelgeving en dit vormt een risico voor de gemeente Lansingerland. De eerste en tweede lijn moeten in actie komen om het risico te mitigeren. In onderstaand kader het volgende voorbeeld:

Een belangrijk onderdeel van dit privacy managementproces is het inventariseren van de risico’s en beheersmaatregelen die specifiek zijn voor de verwerkingen van de gemeente. Binnen de privacy organisatie wordt op privacy risico’s gestuurd door middel van het uitvoeren van Data Protection Impact Assessments (DPIA) en pre-DPIA’s door de eerste en tweede lijn. Deze assessments worden ingezet bij nieuwe en bestaande projecten, systemen of diensten die mogelijk een impact hebben op de privacy van inwoners. Door DPIA's uit te voeren, kan de gemeente proactief privacy risico’s identificeren en beoordelen voordat een initiatief wordt geïmplementeerd. Dit stelt de gemeente in staat om passende beheersmaatregelen te plannen en uit te voeren om potentiële risico's te minimaliseren.

De risico’s worden vervolgens vergeleken met de beheersmaatregelen die al aanwezig zijn. Als de beheersmaatregelen het risico niet benoemen, wordt er een beheersmaatregel toegevoegd of uitgebreid door de eerste en tweede lijn. Deze werkwijze is in lijn met de PDCA-cyclus en het ‘continue verbeteren’ uitgangspunt van de gemeente Lansingerland.

De combinatie van een robuust privacy framework, continue monitoring van beheersmaatregelen en de uitvoering van DPIA's vormt een integrale benadering van privacy management die de gemeente in staat stelt om zowel effectieve dienstverlening als privacybescherming te waarborgen.

3.1.2 Het privacy management proces

Het privacy management proces omvat verschillende stappen om privacy risico's te identificeren, beoordelen, beheersen en op lange termijn te monitoren en evalueren. De kernstappen van dit proces zijn:

• 1.

  Identificatie van privacy risico’s: In deze fase worden door het uitvoeren van DPIA’s potentiële privacy risico’s geïdentificeerd die kunnen ontstaan bij de verwerking van persoonsgegevens. Dit omvat het in kaart brengen van de verschillende activiteiten, processen en systemen waarbij persoonlijke informatie wordt betrokken. Als aan beheersmaatregelen niet of deels wordt voldaan, bevinden zich hier mogelijke privacy risico’s.

• 2.

  Beoordeling van privacy risico’s: Bij deze stap worden de geïdentificeerde privacy risico’s beoordeeld. Dit gebeurt op basis van criteria zoals impact op individuen, gevoeligheid van gegevens en de kans op een incident middels het uitvoeren van DPIA’s. Dit helpt bij het prioriteren van risico's en het bepalen van de benodigde beheersmaatregelen.

• 3.

  Ontwikkeling van beheersmaatregelen: Na het beoordelen van de risico's worden passende beheersmaatregelen ontwikkeld om deze risico's te verminderen of te elimineren. Dit omvat technische, organisatorische en procedurele maatregelen die gericht zijn op het waarborgen van de privacy en beveiliging van persoonsgegevens. De DPIA geeft aanbevelingen hoe de risico’s gemitigeerd kunnen worden. De eerste lijn is verantwoordelijk om deze op te pakken en (zie ook volgende stap) deze te implementeren.

• 4.

  Implementatie van beheersmaatregelen: De vastgestelde beheersmaatregelen worden geïmplementeerd in de organisatie. Dit omvat het integreren van de maatregelen in de dagelijkse werkwijzen, systemen en processen om ervoor te zorgen dat privacy risico’s effectief worden aangepakt. De eerste lijn is verantwoordelijk voor de implementatie van de beheersmaatregelen. De tweede lijn ondersteunt hierbij.

• 5.

  Monitoring en evaluatie: Na de implementatie wordt het privacy management proces voortgezet met monitoring. Hierbij wordt gecontroleerd of de genomen beheersmaatregelen daadwerkelijk de gewenste effecten hebben en of nieuwe risico's zich voordoen. De monitoring door beheersmaatregelen vindt plaats door een check op de effectiviteit van de beheersmaatregelen door de tweede lijn.

• 6.

  Rapportage en communicatie: De bevindingen van de monitoring worden gerapporteerd aan het management en andere relevante belanghebbenden. Dit zorgt voor transparantie en zorgt ervoor dat passende beslissingen kunnen worden genomen op basis van de risico-evaluatie. De derde lijn, in dit geval de FG, informeert de organisatie middels het FG jaarverslag. De tweede lijn informeert de organisatie eveneens middels het privacy jaarverslag.

• 7.

  Evaluatie en bijsturing: Periodiek wordt het gehele proces geëvalueerd om te beoordelen of het privacy management effectief is en of er verbeteringen mogelijk zijn. Indien nodig worden beheersmaatregelen aangepast om de evoluerende risico's aan te pakken. Middels de jaarverslagen van de FG en het privacy jaarverslag, geeft de directie aan waar de prioriteit ligt en waarop gestuurd moet worden.

Het privacy risicomanagement proces is een cyclisch proces dat continu wordt herhaald om ervoor te zorgen dat privacy risico’s adequaat worden aangepakt en dat de bescherming van persoonsgegevens wordt gehandhaafd in overeenstemming met de geldende privacywetgeving en -normen.

3.2.1 Introductie

De belangrijkste beheersmaatregelen uit het privacymanagement framework worden verder uitgewerkt in operationeel beleid om ervoor te zorgen dat abstracte richtlijnen en principes worden vertaald naar concrete en praktisch toepasbare stappen die binnen de dagelijkse activiteiten van de gemeente kunnen worden geïntegreerd. Implementatie van beheersmaatregelen in operationeel beleid is van essentieel belang om de bescherming van persoonsgegevens te waarborgen en te voldoen aan privacyregelgeving. Om de beheersmaatregelen een herkenbare structuur te geven zijn ze ingedeeld in een aantal thema’s. Per thema is er een uitvoeringskader beschikbaar. Het uitvoeringskader is een verdere uitwerking van de privacy thema’s op operationeel niveau. De thema’s worden hieronder geïntroduceerd en kort uitgelegd.

3.2.2 Privacy management

3.2.3 Privacy risico beheersing

3.2.4 Privacy by design

3.2.5 Rechten van betrokkenen

3.2.6 Uitwisselingsrelaties

3.2.7 Inzicht in verwerkingen

3.2.8 Informatiebeveiliging