Privacybeleid 2024

Per 25 mei 2016 trad de AVG samen met de uitvoeringswet in werking. Vanaf 25 mei 2018 wordt de AVG gehandhaafd. De AVG gaat uit van de rechten van de betrokkene. Dit brengt meer verantwoordelijkheden voor organisaties met zich mee

Daarnaast is de Wpg aangepast per 1 januari 2019. Deze wet regelt de omgang met persoonsgegevens in de strafrechtelijke keten, ook wel politiegegevens genoemd.

De definities van art. 4 AVG hebben in dit beleidsdocument dezelfde betekenis.

De definities van art.1 Wpg hebben in dit beleidsdocument dezelfde betekenis.

Privacy speelt een belangrijke rol in de relatie van de overheid en de burger. Het staat daarmee hoog op de bestuurlijke agenda. Gemeente Bronckhorst draagt de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar zij actief is. Gemeente Bronckhorst is verplicht zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, beheren, bewaren en vernietigen van persoonsgegevens. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van gemeente Bronckhorst.

Het beschermen van de privacy is complex en wordt steeds complexer door o.a. technologische ontwikkelingen, digitalisering, grote uitdagingen op het terrein van veiligheid en nieuwe (Europese) wetgeving. Daarom vindt gemeente Bronckhorst het belangrijk om transparant te zijn over de manier waarop zij met persoonsgegevens omgaat en de privacy waarborgt.

De komende jaren zet de gemeente Bronckhorst daarnaast in op het verhogen van de privacy bewustwording en verdere professionalisering van de privacy functie in de organisatie. Een goede privacy boekhouding is noodzakelijk voor het goed functioneren van de gemeente Bronckhorst en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed eigenaarschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Daarbij is verantwoord en bewust gedrag van alle medewerkers essentieel voor privacy binnen de gemeente Bronckhorst.

AVG

Met dit privacybeleid geeft de gemeente Bronckhorst een kader voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de persoonlijke levenssfeer van de personen waarvan de gemeente Bronckhorst persoonsgegevens verwerkt (of laat verwerken). Daarnaast bakert dit privacybeleid taken en verantwoordelijkheden op het gebied van de bescherming van persoonsgegevens af.

Wpg

Met dit privacybeleid geeft de gemeente Bronckhorst ook het kader over hoe we verantwoordelijk en binnen wettelijke kaders van de Wpg met politiegegevens omgaan. De gemeente Bronckhorst wil met dit privacybeleid onder andere bereiken dat de boa's zich ten volle bewust zijn van de noodzaak om zorgvuldig en op rechtmatige wijze om te gaan met politiegegevens en het vertrouwen van betrokkenen in de overheid niet beschamen.

De verdere uitwerking van dit beleid is - waar relevant - vastgelegd in de operationele documenten binnen de gemeente Bronckhorst, zoals handreikingen, concrete werkprocedures of werkafspraken voor algemene onderwerpen zoals datalekken.

Verantwoordelijkheid van iedere werknemer

Iedereen werkzaam binnen de gemeente Bronckhorst is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens. De gemeente Bronckhorst verlangt van al haar medewerkers en alle personen die werkzaam zijn voor de gemeente Bronckhorst dat zij voorschriften van dit privacybeleid opvolgen en actief uitdragen.

Informatiebeveiliging vs Privacybeleid

Naast dit door het college vastgestelde privacybeleid is een intern Gemeente breed Informatiebeveiligingsbeleid 2022-2026 vastgesteld. Dit beleid geldt voor alle activiteiten van de gemeente Bronckhorst. Dus ook de Wpg verwerkingen. Deze maatregelen garanderen de beschikbaarheid, integriteit en vertrouwelijkheid van (persoons)gegevens. Informatiebeveiliging is een randvoorwaarde voor de bescherming van persoonsgegevens.

De gemeente Bronckhorst verzamelt en gebruikt persoonsgegevens van inwoners, leveranciers en medewerkers en andere natuurlijke personen (hierna te noemen: betrokkenen). We spreken van persoonsgegevens wanneer gegevens mogelijk leiden tot het identificeren van een persoon.

Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens door of namens de gemeente Bronckhorst, waaronder:

• -

  De verwerking van persoonsgegevens binnen de bedrijfsprocessen van de gemeente Bronckhorst;

• -

  De verwerking van persoonsgegevens die is uitbesteed, of op een andere manier is georganiseerd, zoals deelname van de gemeente aan een rechtspersoon die voor de gemeente Bronckhorst bepaalde diensten verricht;

• -

  De gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden of leveranciers.

De eindverantwoordelijkheid voor de verwerking van persoonsgegevens, zoals bedoeld in de AVG & Wpg, is het college van burgemeester en wethouders, respectievelijk de burgemeester. Voor de mandatering van verantwoordelijkheid, zie 15. rollen en verantwoordelijken.

Een verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking:

• -

  Verzamelen, vastleggen en ordenen

• -

  Bewaren, bijwerken en wijzigen

• -

  Opvragen, raadplegen, gebruiken

• -

  Verstrekken door middel van doorzending

• -

  Verspreiding of enige andere vorm van ter beschikking stellen

• -

  Samenbrengen, met elkaar in verband brengen

• -

  Afschermen, uitwissen of vernietigen van gegevens

Hieruit blijkt dat alles wat met persoonsgegevens gedaan wordt onder het begrip verwerking valt.

De AVG is gebaseerd op een aantal principes voor de verwerking van persoonsgegevens. De gemeente Bronckhorst onderschrijft deze principes en stelt zich ten doel persoonsgegevens slechts te verwerken in overeenstemming met deze principes.

Rechtmatige grondslag AVG

Gemeente Bronckhorst verwerkt persoonsgegevens slechts in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze. Dit betekent onder meer dat verwerking alleen plaatsvindt als hiervoor een rechtmatige verwerkingsgrondslag bestaat. Veelal vloeit de grondslag voor een verwerking bij een gemeente Bronckhorst voort uit een wet (wettelijke verplichting) of een publiekrechtelijke taak. De rechtmatige grondslagen zijn te vinden art. 6 AVG, en luiden als volgt:

• -

  Om een verplichting na te komen die in de wet staat;

• -

  Voor de uitvoering van een overeenkomst waar de betrokkene partij is;

• -

  Om een ernstige bedreiging van de gezondheid van de betrokkene te bestrijden, vitaal belang;

• -

  Voor de goede vervulling van de gemeentelijke taak, p ublieke taak/algemeen belang;

• -

  Wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven voor de specifieke verwerking.

Welbepaalde doeleinden

De gemeente verwerkt persoonsgegevens voor zeer uiteenlopende doeleinden. Zonder doel mogen persoonsgegevens niet worden verwerkt. De verwerking van persoonsgegevens vindt plaats op een wijze die noodzakelijk is om de doelen te bereiken waarvoor de gegevens zijn verkregen. Dit betekent dat de gemeente dus alleen die persoonsgegevens verwerkt die noodzakelijk zijn om het doel te bereiken (ter zake dienend) en daarbij uitgaat van het proportionaliteits- en subsidiariteitsbeginsel. De gemeente ziet af van de verwerking als het doel op een andere – minder ingrijpende – wijze kan worden bereikt, bijvoorbeeld door minder of geen persoonsgegevens te verwerken.

Verdere verwerking

Persoonsgegevens worden in bepaalde gevallen verwerkt voor andere doelen dan waarvoor ze in eerste instantie zijn verzameld. Daarbij geldt onder andere dat de twee doelen aan elkaar verwant moeten zijn, er zich geen nadelige effecten voor de betrokkenen voordoen, dan wel dat hiervoor extra waarborgen zijn getroffen. De gemeente Bronckhorst voert, voordat de verwerking start, een toets uit om te bepalen of de gegevens voor andere doelen mogen worden gebruikt op grond van de wet- en regelgeving.

Minimale gegevensverwerking

Gegevens mogen alleen worden verwerkt als dit in verhouding staat tot het doel. Als het doel zonder of met minder persoonsgegevens kan worden bereikt, dan kiest de gemeente Bronckhorst bij voorkeur voor die mogelijkheid. Ook als het doel waarvoor persoonsgegevens worden verwerkt op een wijze kan worden verwezenlijkt die minder inbreuk maakt op de privacy van de betrokkene, dan kiest de gemeente Bronckhorst bij voorkeur voor die mogelijkheid.

Juiste en actuele gegevens

De gemeente Bronckhorst zorgt ervoor dat alleen persoonsgegevens worden verwerkt die juist en actueel zijn gelet op het doel waarvoor zij verzamelt zijn of vervolgens worden verwerkt. De gemeente Bronckhorst neemt redelijke maatregelen om persoonsgegevens juist en actueel te houden, onjuiste persoonsgegevens te actualiseren, te rectificeren en/of te wissen.

AVG bewaartermijnen

De gemeente Bronckhorst stelt de bewaartermijn van een verwerking vast aan de hand van wettelijke bepalingen en de selectielijsten. Gemeenten hebben op grond van de Archiefwet 1995 onder andere de plicht om zogenaamde selectielijsten op te stellen. Deze selectielijsten bepalen voor een selectie van documenten hoelang deze moeten worden bewaard.

Alleen als de bewaartermijn niet op basis van wettelijke bepalingen of de selectielijsten kan worden vastgesteld, stelt de gemeente Bronckhorst de bewaartermijn vast op basis van noodzakelijkheid. Persoonsgegevens mogen dan niet langer worden bewaard dan noodzakelijk. De gemeente Bronckhorst bewaart gegevens alleen langer als deze geanonimiseerd worden, zodat directe of indirecte identificatie van een persoon niet meer mogelijk is.

Wpg bewaartermijnen

Politiegegevens worden niet langer bewaard dan de minimale tijd die nodig is, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt. Politiegegevens dienen na verwijdering nog maximaal vijf jaar worden bewaard. Daarna, of binnen deze periode van vijf jaar (afhankelijk van welke bewaartermijn geldt) dient definitieve vernietiging plaats te vinden. Alle politiegegevens worden gelabeld in artikel 8, 9 en 13 informatie. Voor elk label is de bewaartermijn volgens de wettelijke bepaling geconfigureerd. Zo is geborgd dat deze politiegegevens niet langer worden bewaard dan de minimale tijd die nodig is, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt.

Integriteit en vertrouwelijkheid

De gemeente Bronckhorst neemt passende technische en organisatorische maatregelen om de persoonsgegevens, met name bijzondere persoonsgegevens, te beschermen tegen misbruik en onrechtmatige of ongeautoriseerde verwerking. De gemeente Bronckhorst handelt hierbij in overeenstemming met het informatiebeveiligingsbeleid. Het informatiebeveiligingsbeleid verplicht de gemeente Bronckhorst om informatie te beveiligen tegen ongeautoriseerd gebruik, vernietiging (per ongeluk of onrechtmatig), verlies of vervalsing, onbevoegde bekendmaking of toegang en alle andere onrechtmatige manieren van verwerking.

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen is toegestaan in overeenstemming met de wet en op zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt. In de wet wordt ook gesproken over proportionaliteit: persoonsgegevens mogen alleen verwerkt worden als dit in verhouding staat tot het doel. Wanneer zonder, of met minder (belastende), persoonsgegevens hetzelfde doel kan worden bereikt moet daarvoor gekozen worden.

De gemeente Bronckhorst zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voor ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht. In de Algemene wet bestuursrecht (Awb) is opgenomen dat voor iedereen die betrokken is bij uitvoering van de taak van een bestuursorgaan en daarbij de beschikking krijgt over gegevens met een vertrouwelijk karakter verplicht is tot geheimhouding van deze gegevens. Daarnaast beveiligt de gemeente Bronckhorst alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens worden ingezien, gewijzigd of verwijderd door iemand die daar geen recht toe heeft. Hoe de gemeente Bronckhorst dit doet staat in het informatiebeveiligingsbeleid en eventueel in een aanvullend beveiligingsplan specifiek opgesteld voor een proces of registratie.

Verwerkersovereenkomst

Gemeente Bronckhorst sluit verwerkersovereenkomsten af wanneer:

• -

  zij persoonsgegevens laat verwerken door een verwerker;

• -

  of de verwerking plaatsvindt met systemen die niet in eigen beheer zijn,

• -

  of een software wordt gebruikt waarmee medewerkers van de leveranciers toegang hebben tot de gegevens,

In deze verwerkersovereenkomsten wordt vastgelegd hoe de verwerker met persoonsgegevens moet omgaan.

Wanneer de gemeente Bronckhorst samenwerkt met ketenpartners, zoals de politie, en er (gezamenlijk) verwerking van persoonsgegevens plaatsvindt worden er convenanten afgesloten. Hierin wordt in ieder geval aangegeven:

• -

  De betrokken organisaties, verantwoordelijke en relevante doelstellingen

• -

  De verwerking van bijzondere persoonsgegevens

• -

  De wijze waarop betrokkenen geïnformeerd worden over het gebruik van hun gegevens

• -

  De wijze waarop betrokkenen gebruik kunnen maken van hun rechten

• -

  De wijze waarop invulling wordt gegeven aan informatiebeveiliging en geheimhouding

Doorgifte (Artikel 44 t/m 50 AVG)

De gemeente Bronckhorst geeft geen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie.

Privacy by Default en Privacy by Design

De gemeente Bronckhorst houdt bij de ontwikkeling van nieuwe diensten, systemen of processen rekening met aspecten van privacy en gegevensbescherming om zo te komen tot een zo optimaal mogelijke bescherming van Persoonsgegevens. Dit uitgangspunt wordt Privacy by Design (PbD) genoemd. De gemeente Bronckhorst draagt er zorg voor dat concrete maatregelen zoveel mogelijk doorgevoerd worden in het ontwerp. Daarbij streeft gemeente Bronckhorst naar Privacy by Default als uitgangspunt: zo privacy-vriendelijk mogelijke standaardinstellingen.

Toegang tot gegevens

Uitsluitend geautoriseerde gebruikers zijn bevoegd tot onder meer het invoeren, rechtstreeks raadplegen, wijzigen en verwijderen van persoonsgegevens voor zover aan hen hiervoor bevoegdheden zijn toegekend. Deze bevoegdheden worden verleend op grond van het binnen de gemeente Bronckhorst geldend beleid voor toegang tot gegevens, waaronder het informatiebeveiligingsbeleid. Het beheer van bevoegdheden wordt periodiek gecontroleerd. De gemeente Bronckhorst hanteert daarnaast specifieke oplossingen en toepassingen, waaronder het bijhouden van loggegevens, om ongeautoriseerde toegang tot en niet toegestane verwerkingen van persoonsgegevens zo veel mogelijk te voorkomen en aan te pakken.

Het ter beschikking stellen en verstrekken van politiegegevens

De Wpg maakt een onderscheid tussen het ter beschikking stellen van politiegegevens en het verstrekken ervan. Het ter beschikking stellen van politiegegevens houdt in dat deze worden gedeeld met eenieder die de gegevens nodig heeft voor de uitoefening van zijn taak. Bij dit ‘need to know’-principe wordt altijd een noodzakelijkheids-, proportionaliteits- en subsidiariteitsafweging gemaakt. Het ter beschikking stellen voltrekt zich dus binnen het Wpg-domein.

Bij het verstrekken van politiegegevens gaat het om het delen van gegevens buiten het Wpg-domein. In dat geval is geborgd dat politiegegevens alleen worden verstrekt aan personen of instanties buiten het politiedomein, voor zover dit noodzakelijk is voor de doeleinden zoals deze in de Wpg en het Bpg zijn genoemd. Geborgd moet ook zijn dat wanneer gegevens verstrekt worden, er wordt voldaan aan de documentatieplicht en dat de verstrekking alleen plaatsvindt in overeenstemming met het bevoegd gezag als dit vereist is in de wet. Het gaat dan bijvoorbeeld om verstrekkingen aan de burgemeester, een toezichthouder, een advocaat of een functionaris in het kader van de Wet Bibob.

De gemeente Bronckhorst informeert de betrokkenen tijdig, op een zo eenvoudig mogelijke, begrijpelijke en toegankelijke wijze over het feit dat zij persoonsgegevens verwerkt, op welke wijze en voor welke doeleinden. De betrokkene wordt op heldere en laagdrempelige wijze geïnformeerd over zijn rechten en de wijze waarop hij deze kan uitoefenen via de privacyverklaring op de website. Alleen als de wet anders bepaalt, wijkt de gemeente Bronckhorst van deze informatieplicht af.

Wet openbaarheid van bestuur (Woo)

Via de Woo (Wet Open Overheid) kun je een verzoek om informatie indienen bij de gemeente Bronckhorst. Bij het verzoek bekijkt de gemeente Bronckhorst altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. Er wordt in principe geen persoonsgegeven verstrekt.

Wet hergebruik overheidsinformatie

De Wet hergebruik overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt de gemeente Bronckhorst altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. Er wordt in principe geen persoonsgegeven verstrekt.

Informatieplicht (Artikel 13,14 AVG)

De gemeente Bronckhorst informeert betrokkenen over het verwerken van persoonsgegevens, en op welke manier zij omgaat met persoonsgegevens. Dit kan bijvoorbeeld via een formulier. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente Bronckhorst persoonsgegevens van hem/haar verwerkt en weet waarom en voor welk doel dat gebeurt.

De wet bepaalt niet alleen de plichten van degenen die persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Dit heet: ’’de rechten van de betrokkenen’’, en bestaan uit de volgende rechten:

• -

  Recht op informatie: Betrokkenen hebben het recht om aan de gemeente Bronckhorst te vragen of zijn/haar persoonsgegevens worden verwerkt

• -

  Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke wijze, zijn/haar gegevens worden verwerkt

• -

  Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de gemeente Bronckhorst om dit te corrigeren

• -

  Recht van beperking van de verwerking: Betrokkenen hebben het recht aan de gemeente Bronckhorst te vragen om hun persoonsgegevens niet meer te gebruiken

• -

  Recht om vergeten te worden. Wanneer de betrokkene verzoekt om vernietiging vanwege de volgende redenen, moeten de persoonsgegevens worden verwijderd:

  • ○

    Niet meer nodig: de persoonsgegevens zijn niet meer nodig voor het doel waarvoor ze zijn verzameld of verwerkt worden. Let op, dit geldt niet wanneer een wettelijke bewaartermijn de gemeente Bronckhorst verplicht de persoonsgegevens langer de bewaren.

  • ○

    Een betrokkene heeft eerder toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in. - Een betrokkene maakt bezwaar tegen het gebruik van zijn gegevens.

  • ○

    De persoonsgegevens van de betrokkene worden onrechtmatig verwerkt. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.

  • ○

    De wettelijk bepaalde bewaartermijn is verlopen.

  • ○

    De persoonsgegevens van een betrokkene van jonger dan 16 jaar zijn verzameld via een app of website.

• -

  Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens. De gemeente Bronckhorst zal op verzoek de verwerking stoppen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen, dit kan zowel schriftelijk als via mail/website. De gemeente Bronckhorst beslist, na ontvangst van het verzoek, binnen vier weken of het verzoek gerechtvaardigd is. Binnen vier weken laat de gemeente Bronckhorst weten wat er met het verzoek wordt gedaan. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de gemeente Bronckhorst. Er is ook altijd de mogelijkheid een klacht in te dienen bij de AP.

Identificatie

Wanneer er wordt getwijfeld aan de identiteit van de betrokkene, wordt er om extra informatie gevraagd aan de burger. Gelet op de gevoeligheid van de gegevens waarover de gemeente Bronckhorst beschikt, wordt er standaard om identificatie van de verzoeker gevraagd. Identificatie vindt plaats op de volgende manieren:

• -

  Elektronisch door middel van DigiD, omdat dit een algemeen erkend middel is die de overheid gebruikt om gebruikers te identificeren.

• -

  Lijfelijk door middel van het tonen van een geldig legitimatiebewijs.

• -

  Het meezenden van een kopie van het legitimatiebewijs bij een verzoek is geen identificatiemethode. De gemeente Bronckhorst vraagt daarom nooit om toezending hiervan.

Iemand kan namens een ander een verzoek indienen wanneer deze persoon gemachtigd is door de betrokkene. De meest eenvoudige manier is om via DigiD een verzoek in te dienen. In dat geval kan gemachtigde samen met volmachtgever het contactformulier invullen.

Als het verzoek door de gemachtigde in persoon wordt gedaan (e-mail, balie of telefonisch), is er een schriftelijke machtiging vereist. Bij twijfel wordt er om identificatie van zowel gemachtigde als van volmachtgever gevraagd. In dit geval kan voor de identificatie van de volmachtgever wel worden volstaan met het verstrekken van een kopie van het identiteitsbewijs omdat ook een schriftelijke machtiging met handtekening aanwezig moet zijn.

Profilering (Artikel 22 AVG)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te voorspellen. Voorbeelden van persoonlijke aspecten zijn: financiële situatie, interesses, gedrag of locatie. Wanneer gemeente Bronckhorst dergelijke analyses toepast zal dit niet zijn om individuen in kaart te brengen. Maatregelen zullen worden genomen om herleidbaarheid naar een persoon te voorkomen.

Big Data en tracking

Door middel van Big data onderzoek en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door, of namens, de gemeente Bronckhorst wordt uitgevoerd. De verzamelde gegevens door Big data onderzoek en tracking zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens zijn omgezet, wordt dataminimalisatie toegepast. Alleen de data die echt nodig is, wordt gebruikt om het doel te behalen. Daarnaast kunnen gegevens gepseudonimiseerd worden zodat zij niet herleidbaar zijn tot een persoon.

De gemeente Bronckhorst maakt nog geen gebruik van Big data en tracking. Toepassing hiervan wordt onderzocht. Hierbij wordt openbare externe data gecombineerd met (verschillende) gemeentelijke data. Doel is te analyseren of de goede dingen gedaan worden en toekomstige inzet van bijvoorbeeld zorg en prioritaire thema’s in beeld te brengen.

Algoritmen

Het gebruik van algoritmen door overheden ligt behoorlijk onder een vergrootglas. De gemeente Bronckhorst wil uiterst zorgvuldig zijn bij het toepassen van algoritmen met een mogelijke impact op de persoonlijke levenssfeer van inwoners. Er zal weinig weerstand bestaan tegen de inzet van algoritmen om het wegenonderhoud te optimaliseren, maar dat wordt anders als het gaat over toekenning van voorzieningen bijvoorbeeld.

Binnenkort wordt wetgeving van kracht die overheden verplicht om een algoritmeregister bij te houden en ook aanvullende Europese regelgeving is in de maak.

Vooruitlopend op die wetgeving, hebben we als gemeente Bronckhorst onze datawaarden opgesteld, die een ethisch en moreel kompas bieden voor het werken met data en algoritmen. Nieuwe ontwikkelingen volgen we op de voet.

Cameratoezicht wordt onder andere gebruikt voor het vergroten van de veiligheid en het beveiligen van (gemeentelijke) eigendommen. Camera’s maken een grote inbreuk op de privacy van degene die gefilmd wordt. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken en worden er eisen gesteld aan de inzet van camera’s. Daarom heeft gemeente Bronckhorst dit vastgelegd in een intern protocol. Wanneer er bij gemeentelijke eigendommen wijziging van het cameratoezicht plaatsvindt dan wordt er voorafgaand een DPIA opgesteld.

De gemeente Bronckhorst maakt gebruik van cameratoezicht bij het gemeentehuis.

Daarnaast kan de burgemeester, onder bepaalde voorwaarden, besluiten tot een inzetten van een tijdelijke camera ten behoeve van de openbare orde en veiligheid. Bijvoorbeeld door camera’s in de openbare ruimte te plaatsen daar waar de inzet van het middel in verhouding staat de inbreuk op de privacy (noodzaak).

De gemeente Bronckhorst is actief op Social Media, maar doet ook veel aan marketing. Dit soort journalistieke activiteiten zijn toegestaan als zij tot doel hebben om het publiek te informeren ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen zelfs een winstoogmerk hebben.

Het plaatsen van nieuwsberichten met foto’s is geen publieke taak, maar dient het gerechtvaardigd belang van de gemeente Bronckhorst. Dit wordt in toenemende mate van de overheid verwacht, actieve nieuwsverspreiding door gebruik van Social Media.

De uitzondering dat de overheid zich niet op de grondslag van gerechtvaardigd belang mag baseren in het kader van de uitvoering van haar publieke taken gaat niet op. De verspreiding van nieuwsberichten is immers niet te kwalificeren als een publieke taak van de overheid maar wordt gezien als reguliere bedrijfsvoering zoals bij ieder ander bedrijf. Door de aanwezigheid van deze grondslag is het vragen van toestemming op grond van de AVG niet vereist.

Wanneer beeldmateriaal op portretniveau wordt vervaardigd, vraagt de gemeente Bronckhorst, waar mogelijk, of betrokkene bezwaar heeft tegen het gebruik van dit beeldmateriaal voor journalistieke doeleinden. Als betrokkene bezwaar heeft dan wordt dit gerespecteerd. Deze vraag moet niet verward worden met de toestemming als bedoeld in de AVG.

Register van verwerkingen (Artikel 30 AVG)

De gemeente Bronckhorst heeft een register waarin alle verwerkingen, waarvan zij verwerkingsverantwoordelijke is, staan. Het register bevat de volgende gegevens:

• -

  De naam en de contactgegevens van de verwerkingsverantwoordelijke en mogelijke gezamenlijke verwerkingsverantwoordelijken en die van de functionaris gegevensbescherming;

• -

  De doelen van de verwerking;

• -

  Een beschrijving van het soort persoonsgegevens en de betrokkenen;

• -

  Een beschrijving van de ontvangers van de persoonsgegevens;

• -

  Indien van toepassing, een beschrijving van het delen van persoonsgegevens met een derde land of internationale organisatie;

• -

  Indien mogelijk, de beoogde termijnen waarbinnen de gegevens gewist moeten worden;

• -

  Een algemene beschrijving van de beveiligingsmaatregelen.

Register van verwerkingen (Artikel 31d Wpg)

Net als de AVG verplicht de Wpg tot het bijhouden van een register van verwerkingen. Wel zijn er enkele verschillen die hierna met een (*) zijn aangeduid. Het register van verwerkingen in het kader van de Wpg moet het volgende bevatten:

• -

  De naam en de contactgegevens van de verwerkingsverantwoordelijke, de gezamenlijk verwerkingsverantwoordelijken en de functionaris voor gegevensbescherming;

• -

  De doelen van de verwerking;

• -

  De categorieën van ontvangers aan wie politiegegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties;

• -

  Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

• -

  In voorkomend geval: het gebruik van profilering; (*)

• -

  In voorkomend geval: de categorieën van doorgiften van politiegegevens aan een derde land of een internationale organisatie;

• -

  Een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de politiegegevens bedoeld zijn; (*)

• -

  Zo mogelijk: de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd;

• -

  Zo mogelijk: een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging;

• -

  De toekenning van de autorisaties. (*)

DPIA (Artikel 35 AVG & Artikel 4c Wpg)

Met een Data Protection Impact Assessment worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van persoonsgegevens. Voorafgaand aan de DPIA wordt een zogenoemde Pre-DPIA uitgevoerd om te beoordelen of het noodzakelijk is een gehele DPIA uit te voeren.

De AVG schetst in ieder geval drie situaties waarin een DPIA verplicht is:

• -

  een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

• -

  grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of

• -

  stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten".

De actualiteit van de uitgevoerde DPIA’s wordt bijgehouden in het verwerkingsregister.

Aanstellen van een Functionaris Gegevensbescherming (Artikel 37 t/m 39 AVG & Artikel 36 Wpg)

De gemeente Bronckhorst heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon voor de Autoriteit Persoonsgegevens (AP).

Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat deze begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en gemeentelijke richtlijnen op het gebied van privacy. De FG stelt jaarlijks een verslag op van zijn bevindingen en stelt het ter beschikking aan de verwerkingsverantwoordelijke.

Voor vragen over privacy of over deze toelichting kan er contact worden opgenomen met de functionaris voor gegevensbescherming van de gemeente Bronckhorst via de website van de gemeente Bronckhorst.

De bevoegd functionaris (BF)

De BF is de ‘hoeder’ van de gegevens die onder artikel 9 Wpg worden verwerkt. Deze functionaris is beschreven in artikel 2:10, eerste lid, van het Besluit politiegegevens (Bpg). Deze functionaris beslist bijvoorbeeld wie er toegang heeft tot deze gegevens en of ze verstrekt worden aan een samenwerkingspartner. Iedere artikel 9-verwerking dient een bevoegd functionaris (BF) te hebben. De bevoegd functionaris heeft onder andere de volgende taken:

• -

  het doel van de artikel 9-verwerking omschrijven en vastleggen;

• -

  het autoriseren van personen voor de betreffende verwerking;

• -

  bepalen of gegevens voor andere doeleinden mogen worden gebruikt;

• -

  zorgen dat voor alle gegevens de herkomst en wijze van verkrijgen wordt vastgelegd;

• -

  bewaken dat gegevensrechtmatig worden verkregen en verwerkt.

De gemeente Bronckhorst heeft op dit moment geen BF aangesteld omdat er geen art.9 verwerkingen plaats vinden.

Datalekken (Artikel 33, 34 AVG & Artikel 33a Wpg)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot de gegevens mogen hebben, maar ook wanneer persoonsgegevens per ongeluk worden vernietigd. We spreken van een beveiligingsincident wanneer er geen persoonsgegevens betrokken zijn bij het incident.

De Functionaris Gegevensbescherming (FG) beslist of een beveiligingsincident is aan te merken als een datalek en of deze vervolgens gemeld dient te worden aan de AP. Vermoedelijke inbreuken worden onverwijld gemeld aan de FG.

Niet alle datalekken die gemeld zijn bij de AP moeten ook worden gemeld aan de betrokkene(n); alleen als de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkene(n) moet het datalek aan de betrokkene worden gemeld.

Inbreuken die niet aan de AP en betrokkene worden gemeld, worden alsnog altijd geregistreerd in het datalekregister.

Op hoofdlijnen zijn deze rechten op grond van de Wpg gelijkluidend. Specifiek voor de Wpg geldt nog het volgende:

Op deze mededelingsplicht zijn enkele uitzonderingen van toepassing, onder andere als de mededeling achterwege moet blijven ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

PDCA Cyclus

De gemeente Bronckhorst streeft ernaar om rondom de verwerking van persoonsgegevens in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente Bronckhorst weet welke maatregelen genomen zijn ten aanzien van de verwerking van persoonsgegevens, dat er een planning is van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus.

De gemeente Bronckhorst gebruikt het borgingsproduct van de VNG als het beoordelingskader voor het waarborgen van privacy compliance binnen de gemeente Bronckhorst. Het borgingsproduct is een normenkader wat gebruikt wordt voor het duiden van privacy risico’s en de daarbij behorende beheersmaatregelen binnen de gemeente Bronckhorst.

Als de gemeente Bronckhorst een wettelijke plicht niet nakomt kan de betrokkene een klacht indienen. Dit wordt overeenkomstig hoofdstuk 9 van de Algemene wet bestuursrecht behandelt. In gevallen waar het reglement niets over zegt, beslist het verantwoordelijke bestuursorgaan van de gemeente Bronckhorst.

Onderstaand tabel bevat een beschrijving van de taken en verantwoordelijkheden van het College van B&W, het managementteam en medewerkers, de Functionaris voor de Gegevensbescherming (FG), de Privacy Officer en de CISO.