Regeling Functionaris Gegevensbescherming (FG) Gemeente Eindhoven

Geldend van 01-11-2024 t/m heden

Intitulé

Regeling Functionaris Gegevensbescherming (FG) Gemeente Eindhoven

In de Algemene Verordening Gegevensbescherming (AVG) en Wet politiegegevens (Wpg) is voor gemeenten de verplichting opgenomen een Functionaris Gegevensbescherming (FG) aan te stellen.

Een FG houdt onafhankelijk toezicht op de bescherming van persoonsgegevens. Daarnaast geeft een FG informatie en zwaarwegend advies aan het verwerkingsverantwoordelijke management en bestuur van de gemeente.

De gemeente Eindhoven heeft overeenkomstig deze verplichting een FG aangesteld.

Voor het goed kunnen functioneren als FG zijn een aantal zaken (aanwijzing, positie en taken) in de wet vastgelegd. Bijzondere aandacht daarbij verdient de onafhankelijke rol en daarmee de autonomie van de

FG. Die autonome positie in functioneren kan kwetsbaar zijn. Dit vereist dat hierover in de organisatie geen misverstanden kunnen ontstaan. Van belang is dan ook om het inrichtingsvraagstuk omtrent taken en rol van FG als organisatie transparant vast te leggen. Deze regeling geeft hieraan de noodzakelijke nadere uitwerking.

Deze uitwerking betreft de invulling van de verplichting zoals opgenomen in artikel 38 lid 1 AVG en artikel 36 lid 1 Wpg om de FG “tijdig en naar behoren te betrekken bij alle aangelegenheden die persoonsgegevens raken”.

Ingevolge de regelgeving houdt het “tijdig en naar behoren betrekken” met name in, dat de FG:

  • voorafgaand aan besluitvorming moet worden betrokken bij onderwerpen die raken aan het verwerken van persoonsgegevens;

  • betrokken moet worden bij structurele en incidentele (strategische) overleggen binnen de organisatie;

  • specifiek moet worden betrokken bij onderwerpen gerelateerd aan datalekken en DPIA’s.

Deze verplichting van de gemeente wordt in deze regeling geconcretiseerd. Daarbij is aansluiting gezocht bij het stuurmodel van de gemeente Eindhoven. Van belang is daarbij op te merken dat ook buiten het stuurmodel om, de vrijheid en aandacht moet bestaan om advies te vragen aan de FG.

Artikel 1 Duiding van de regeling FG.

De AVG en de Wpg vereisen dat de FG autonoom kan handelen bij de uitoefening van haar taken. Deze verplichting rust op de gemeente als verwerkingsverantwoordelijke. De gemeente dient er in die lijn ook voor te zorgen dat de FG tijdig en naar behoren wordt betrokken.

Het inkaderen van het begrip “tijdig en naar behoren betrekken van een FG” in een regeling, kan op gespannen voet staan met de autonome / onafhankelijke rol van de FG.

Deze regeling moet daarom worden gezien als een hulpmiddel. Het betreft geen volledige weergave van de praktijk. Het blijft dus van belang dat de organisatie ook buiten de situaties die zijn opgenomen in deze regeling, blijft beoordelen of de FG dient te worden betrokken.

Voorop staat dat de verwerkingsverantwoordelijke (College van burgemeester en wethouders en management) verantwoordelijk zijn voor naleving van de wet- en regelgeving op gebied van bescherming van persoonsgegevens en dat de FG daarover kan adviseren.

Artikel 2 Afwijken van een advies van de FG.

Een advies van de FG is niet dwingend maar zwaarwegend. Een FG advies kan niet zomaar terzijde worden gelegd. Als de gemeente afwijkt van het advies van de FG, is zij hierover transparant naar de FG en wordt de afwijking schriftelijk gemotiveerd.

Het navolgende proces is van toepassing:

De FG heeft geadviseerd.

De FG wordt door de verantwoordelijk manager uitgenodigd voor een overleg. Doel van dit overleg is het beantwoorden van eventuele verhelderingsvragen, voorkomen van interpretatieverschillen over het advies en vaststellen of de verantwoordelijk manager voornemens is het advies van de FG (deels) niet op te volgen. In dit laatste geval wordt gekomen tot een vergelijk om te identificeren waar specifiek de verschillen van inzicht in zitten.

De verantwoordelijk manager stelt op basis van dit overleg een advies op voor het overleg waarin de besluitvorming over het voorstel plaatsvindt. Het advies kan zijn het advies van de FG te volgen, om gemotiveerd daarvan af te wijken of om een externe derde partij te vragen te adviseren over de geïdentificeerde verschillen van inzicht.

Indien in het besluitvormend overleg wordt overwogen een externe derde partij om advies te vragen, dan wordt de adviesvraag in samenspraak met de FG geformuleerd. De adviesvraag betreft een inhoudelijk vraagstuk en niet het advies van de FG.

Als de verantwoordelijk manager na de voorgaande stappen voornemens is het advies van de FG (deels) niet op te volgen, dan wordt de FG hierover altijd vooraf geïnformeerd. Dit informeren kan bijvoorbeeld plaatsvinden door het gelijktijdig aanleveren van de documenten aan het overlegorgaan waar de besluitvorming plaatsvindt en aan de FG.

Als de verantwoordelijk manager en/of de FG dit wenst, kan de verantwoordelijk manager en de FG bij de bespreking van het onderwerp in het overlegorgaan aanwezig zijn.

Er vindt besluitvorming plaats door het overlegorgaan. De FG wordt hierover geïnformeerd.

Artikel 3 Informeel delen van inzichten door de FG.

Naar behoren en tijdig betrekken kan ook inhouden dat de FG in een vroegtijdig stadium informeel inzichten deelt. Deze wijze van adviseren kan positief bijdragen aan het procesverloop, omdat vroegtijdig aandachtspunten vanuit de FG kunnen worden benoemd en meegenomen. Het vroegtijdig betrekken brengt met zich mee dat niet altijd alle relevante feiten en omstandigheden bekend zijn. Een belangrijk uitgangspunt is daarom dat een formeel advies van de FG altijd schriftelijk wordt gegeven

Artikel 4 Management / ambtelijke overleggen.

  • 1.

    Om te kunnen borgen dat de FG naar behoren en tijdig wordt betrokken bij privacy gerelateerde onderwerpen, wordt waar mogelijk aansluiting gezocht bij het Stuurmodel van de gemeente Eindhoven uitgaande van de processen, producten en structuur die daarin zijn opgenomen. Hieruit volgen de navolgende overleggen:

  • a.

    Overleg met gemeentesecretaris

  • Het stuurmodel van de gemeente Eindhoven gaat uit van een bestuursakkoord en een vertaling daarvan naar een concernplan1. Dit concernplan geeft op hoofdlijnen aan welke programma’s of projecten worden gestart. Daarmee vormt het een goede basis voor de FG en de gemeentesecretaris om in overleg te komen tot onderwerpen of projecten/programma’s waar de FG bij betrokken wordt en de wijze waarop dit plaatsvindt. Hierbij wordt de kanttekening gemaakt dat het concernplan momenteel nog in ontwikkeling is. In afwachting van een concernplan ligt daarom vooralsnog het accent op sector- en afdelingsplannen. Van belang is dat sectoren actief inzicht geven in onderwerpen of projecten/programma’s waar de FG bij betrokken wordt en de wijze waarop dit plaatsvindt.’

  • De onderwerpen uit het verbeterplan AVG van de gemeente Eindhoven zijn thema’s zijn waarbij de FG actief wordt betrokken.

  • In dit overleg met de gemeentesecretaris wordt ook stilgestaan bij het volwassenheidsniveau van de organisatie. Afhankelijk hiervan kan de FG in overleg met de gemeentesecretaris besluiten om in meer of mindere mate toezicht te houden vanuit de derde lijn.

  • b.

    Directieraad

  • Het periodieke overleg van de directieraad vormt voor de FG een belangrijk overleg om met een vaste frequentie bij aanwezig te zijn. Daarbij wordt enerzijds de verantwoording over de naleving van privacywetgeving besproken. Anderzijds wordt de FG vroegtijdig betrokken worden bij nieuwe initiatieven en plannen die raken aan het verwerken van persoonsgegevens.

  • c.

    Sectoroverleggen

  • De FG wordt tevens met een vaste frequentie uitgenodigd bij de sector overleggen. Nu de naleving van privacywetgeving nog niet op het niveau is dat de gemeente ambieert, kan de aanwezigheid van de FG in sector overleggen bijdragen aan het breed binnen de organisatie onderkennen van het belang van het onderwerp. Daarnaast kan de FG het sectormanagement adviseren over privacyvraagstukken en naleving van de AVG. De FG krijgt daarbij ook goed zicht op de vraagstukken die er spelen binnen de sectoren en waar extra aandacht nodig is. De aanwezigheid van de FG in de sector overleggen is mede ingegeven door het huidige privacy-volwassenheidsniveau van de organisatie en het verscherpte toezicht door de Autoriteit Persoonsgegevens. De aanwezigheid van de FG in de sector overleggen wordt jaarlijks geëvalueerd in het overleg tussen de gemeentesecretaris en de FG.

  • d.

    Directeur dienstverlening / CIO.

  • Met de directeur dienstverlening en CIO vindt een periodiek overleg (zeswekelijks) plaats. Daarin kan naast actuele ontwikkelingen ook de naleving van privacywetgeving vanuit de systeemverantwoordelijkheid worden afgestemd.

  • e.

    Privacy officers.

  • Er vindt twee keer per jaar een overleg van de FG plaats met de privacy officers binnen de sectoren en CIO-office privacy. Dit draagt bij aan een wederzijds begrip van de relevante onderwerpen en initiatieven.

  • 2.

    Voor formele overleggen van management (directieraad en / of MT-overleg binnen de sectoren) hanteert de gemeente in het algemeen een standaard format voor agendering en besluitvorming van voorstellen of bespreekpunten. In deze formats wordt door het management standaard de vraag opgenomen of het voorstel (beleidsmatig) raakt aan het verwerken van persoonsgegevens

  • en / of de FG in dat kader heeft geadviseerd.

Artikel 5 Bestuurlijke overleggen.

  • 1.

    Wat betreft het naar behoren en tijdig betrekken op bestuurlijk niveau zijn met name de ambtelijke voorstellen aan het college relevant. De verdeling van de portefeuilles onder wethouders en de burgemeester maakt dat overleg met een vaste frequentie met vakinhoudelijke wethouders beperkt bijdraagt aan het tijdig en naar behoren betrekken, omdat op voorhand niet goed is te bepalen of en wanneer privacy gerelateerde onderwerpen aan een portefeuillehouder worden aangeboden. Met de borging van de betrokkenheid van de FG in de ambtelijke processen wordt daarom volstaan met een incidentele betrokkenheid. Daarbij geldt wel dat een overleg is aangewezen tussen de FG en de portefeuillehouder als het ambtelijk advies afwijkt van het advies van de FG.

  • 2.

    Wat betreft de coördinerend wethouder uitvoering AVG is een overleg met een vaste frequentie aangewezen. In dit overleg wordt het toezichtplan en het jaarbericht van de FG besproken, evenals de voortgang van de activiteiten binnen de organisatie gericht op het verder borgen van de naleving van de AVG en Wpg.

  • 3.

    Daarnaast worden actuele en inhoudelijke onderwerpen besproken. Deze onderwerpen worden door de coördinerend wethouder uitvoering AVG ingebracht in het college, waarbij tijdens de bespreking ook de FG aanwezig is.

  • 4.

    Naast het structurele overleg zijn er incidentele overleggen met de coördinerend wethouder uitvoering AVG als een incident of actualiteit daartoe aanleiding geeft. Ook wordt de coördinerend wethouder uitvoering AVG benaderd als escalatiemogelijkheid bij een verschil van inzicht met de burgemeester als vakinhoudelijk verantwoordelijke. Omgekeerd geldt de burgemeester als escalatiemogelijkheid bij een verschil van inzicht tussen de FG en de coördinerend wethouder uitvoering AVG. Dit overleg is per definitie incidenteel van aard.

  • 5.

    In het kader van de controlerende rol van de gemeenteraad zijn het toezichtsplan van de FG en het jaarbericht van de FG relevant. Beide documenten worden door het College van burgemeester en wethouders aangeboden aan de Gemeenteraad. Beide documenten worden ter bespreking aangeboden aan de auditcommissie van de gemeenteraad. Indien een dergelijke bespreking plaatsvindt, is de FG aanwezig. Verder vindt halfjaarlijks een overleg plaats met de griffier zodat de FG op de hoogte blijft van relevante ontwikkelingen die mogelijk aanleiding zijn voor betrokkenheid van de FG.

  • 6.

    Voor formele overleggen van het bestuur hanteert de gemeente in het algemeen een standaard format voor agendering en besluitvorming van voorstellen of bespreekpunten. In deze formats wordt door het management standaard de vraag opgenomen of het voorstel (beleidsmatig) raakt aan het verwerken van persoonsgegevens en / of de FG in dat kader heeft geadviseerd.

Artikel 6 Afhandeling datalekken.

  • 1.

    Wat betreft incidenten is het beperkt mogelijk hier op voorhand kaders voor te geven. Een vaak voorkomend incident betreft datalekken. Uit regelgeving blijkt dat de organisatie de FG hierbij dient te betrekken. De mate waarin de FG wordt betrokken kan bestaan uit het actief of passief informeren ter kennisname of het verzoek om advies over de wijze van afdoening. Gelet op de frequentie waarmee datalekken voorkomen zijn nadere regels hierover wenselijk, zowel voor de organisatie als de FG. Deze regels luiden als volgt:

Nummer

Soort datalek

Betrokkenheid FG

Toelichting

  • A.

Meer dan 25 betrokkenen

FG wordt actief geïnformeerd door de verantwoordelijk manager

In deze situaties wordt de FG actief geïnformeerd, voordat een beslissing wordt genomen over het melden bij de Autoriteit Persoonsgegevens.

De verantwoordelijk manager vraagt geen advies, maar het staat de FG vrij dat te geven als de FG daar aanleiding toe ziet.

  • B.

Gevoelige of bijzondere persoonsgegevens betrokken

FG wordt actief geïnformeerd door de verantwoordelijk manager

Als gevoelige of bijzondere persoonsgegevens betrokken zijn bij het datalek, ongeacht het aantal betrokkenen, wordt de FG actief geïnformeerd voordat een beslissing wordt genomen over het melden bij de Autoriteit Persoonsgegevens.

De verantwoordelijk manager vraagt geen advies, maar het staat de FG vrij dat te doen als de FG daar aanleiding toe ziet.

  • C.

Datalek is in de publiciteit, of gaat naar verwachting in de publiciteit komen. Overwogen wordt om betrokkenen te informeren /betrokkenen worden geïnformeerd.

FG wordt actief om advies gevraagd over het datalek

Als het datalek in de publiciteit is of naar verwachting komt, wordt door de verantwoordelijk manager de FG actief om advies gevraagd over de eventuele melding bij de Autoriteit Persoonsgegevens en het eventueel informeren van betrokkenen.

Als wordt overwogen om betrokkenen te informeren, wordt de FG actief om advies gevraagd.

  • D.

Datalek is gemeld bij de Autoriteit Persoonsgegevens, maar buiten de daarvoor geldende termijn.

FG wordt actief geïnformeerd door de verantwoordelijk manager

Als het datalek wel bij de Autoriteit Persoonsgegevens is gemeld, maar buiten de daarbij geldende termijn van 72 uur, wordt de FG daarover actief

geïnformeerd. De FG wordt niet actief om advies gevraagd, maar het geeft de FG wel een actueel inzicht in de omgang met datalekken. Opgemerkt wordt dat het informeren van de FG vanwege te laat melden bij de Autoriteit Persoonsgegevens geheel losstaat van eerdere betrokkenheid van de FG bij het datalek.

  • E.

Datalekken die niet voldoen aan de bovengenoemde criteria

FG wordt passief geïnformeerd door toegang tot het datalekkenregister (Leesrechten; wel opmerkingen)

Voor datalekken die niet vallen onder de bovengenoemde criteria wordt de FG niet actief geïnformeerd.

De FG heeft toegang tot het datalekkenregister in het systeem Solvinx van de organisatie, zodat er voor de FG de mogelijkheid is om zelfstandig datalekken te beoordelen.

De FG heeft tevens de mogelijkheid om opmerkingen te plaatsen in Solvinx.

Een beslissing om een datalek niet te melden aan de Autoriteit Persoonsgegevens en/of betrokkenen wordt onderbouwd.

Als de FG daartoe aanleiding ziet, kan de FG over daarin opgenomen of ontbrekende datalekken adviseren.

  • 2.

    Naast de situaties genoemd in dit schema staat het de organisatie te allen tijde vrij om de FG om advies te vragen over de afhandeling van datalekken. Voor de afhandeling van andere beveiligingsincidenten dan datalekken blijft van belang dat de

  • organisatie de FG hier tijdig bij betrekt. Het formeel inregelen hiervan past echter niet bij dit incidentele karakter.

Artikel 7 De advisering van de FG over uitgevoerde DPIA’s.

Het uitvoeren van Data Protection Impact Assessments (DPIA’s) is een verplichting die volgt uit de AVG en Wpg. Onderdeel daarvan is dat de FG om advies wordt gevraagd bij de opgestelde concept-DPIA. Voor deze FG advisering bij DPIA’s geldt op hoofdlijnen het navolgende proces:

  • a.

    Als door de verantwoordelijk manager voor een verwerking wordt bepaald dat een DPIA niet verplicht is, wordt de FG daarover geïnformeerd. Als de FG daartoe aanleiding ziet, kan de FG binnen één week hierover adviseren.

  • b.

    Voor verwerkingen waarvoor een concept-DPIA gereed is, wordt die beschikbaar gesteld aan de FG. De FG geeft in een overleg hierover een eerste informeel advies.

  • c.

    Op basis van het overleg met de FG wordt de DPIA al dan niet aangepast of aangevuld en aan de FG toegezonden voor een formeel schriftelijk advies.

  • d.

    De FG adviseert over de DPIA. Als de FG geen aanvullende adviezen heeft, wordt het reguliere proces voor afronding van de DPIA en uitvoering van de eventuele maatregelen in gang gezet.

  • e.

    Als de verantwoordelijk manager voornemens is het advies van de FG (deels) niet op te volgen of als er verhelderingsvragen zijn, wordt het proces gevolgd zoals beschreven onder artikel 2 van deze regeling.

Artikel 8 De borging van de rol van de FG in overige processen.

Behalve de processen uitvoeren DPIA en meldplicht datalekken is voorstelbaar dat er ook andere processen in de organisatie zijn waarbij de verwerking van persoonsgegevens een rol kan spelen. Hierbij kan met name worden gedacht aan inkoop- en projectmanagementprocessen. Met name deze procesbeschrijvingen dienen structureel door de verwerkingsverantwoordelijke te worden geanalyseerd en beoordeeld of daarin de betrokkenheid van de FG waar nodig is geborgd. Hierbij kan met name worden gedacht aan de beoordeling of een DPIA verplicht is, aanbestedingseisen in het kader van privacy by design and default, en of en op welk moment de FG betrokken is bij een project of programma.

Artikel 9 Inwerkingtreding en citeertitel.

  • 1.

    Deze regeling treedt in werking op 1 november 2024.

  • 2.

    Deze regeling wordt aangehaald als “Regeling FG gemeente Eindhoven”.

Ondertekening

Aldus vastgesteld door het college van burgemeester in de vergadering van 29 oktober 2024.

De secretaris,

Mevrouw A. Zwierstra

De burgemeester,

De heer J. Dijsselbloem

Bijlage 1: schematisch overzicht betrokkenheid FG bij management / ambtelijke overleggen.

Nr.

Overleg

Frequentie aanwezigheid FG

Onderwerp

1

Gemeente-secretaris

Structureel (1x per 6 weken)

Overleg bedoeld om de voortgang van het concernplan2, toezichtsplan FG, lopende projecten (zoals het verbeterplan AVG) en incidenten te bespreken.

Structureel

(2 x per jaar)

Vooruitkijkend door bespreking van het concernplan en het toezichtplan FG en terugkijkend door de halfjaarlijkse concern-managementrapportage en het jaarbericht FG. Onderdeel hiervan is ook de bespreking van het verbeterplan AVG.

Daarnaast is ook het volwassenheidsniveau van de organisatie en de betekenis daarvan voor de aanwezigheid van de FG bij de sectoroverleggen onderdeel van dit overleg.

Daarnaast kan worden bepaald welke aanstaande projecten / programma’s worden opgestart waarbij de FG betrokken wil worden of wil blijven en op welke wijze (zoals het verbeterplan AVG).

2

Directieraad

Incidenteel

Als een specifiek onderwerp over het verwerken van persoonsgegevens daartoe aanleiding geeft. Dit is in ieder geval als de FG zich niet kan vinden in het voorstel aan de directieraad.

Structureel (3x per jaar)

Bespreking van het concernplan, concernverantwoordingsrapportages, toezichtplan FG, jaarbericht FG.

3

Sector- overleggen

Incidenteel

Als daar specifiek aanleiding voor is, bijvoorbeeld de voortgang van projecten gerelateerd aan het verwerken van persoonsgegevens.

Structureel (1 x per kwartaal)

Bespreking sectorplannen en het identificeren van onderwerpen waarbij de FG betrokken wil worden, en voortgangsrapportages.

4

Directeur dienst-verlening en CIO

Structureel (1 x per 6 weken)

Bespreken beleidsmatige onderwerpen gerelateerd aan het verwerken van persoonsgegevens (bijvoorbeeld afhandeling datalekken, uitvoering DPIA’s, rechten van betrokkenen, implementatie privacy gerelateerde wetgeving), bespreking casuïstiek en incidenten, bespreking voortgang naleving AVG.

5

Privacy officers / CIO office privacy

Structureel (2 x per jaar)

Inhoudelijke afstemming met alle privacy officers over onderwerpen zoals afhandeling van datalekken, uitvoering DPIA’s en rechten van betrokkenen.

6

CISO

Structureel (1 x per 5 weken)

Overleg over onder andere de beveiliging van persoonsgegevens en de naleving van de BIO.

Bijlage 2: schematisch overzicht betrokkenheid FG bij bestuurlijke overleggen.

Nr.

Overleg

Frequentie aanwezigheid FG

Onderwerp

1

Audit-commissie gemeenteraad

Structureel (1x per jaar)

Bespreking van het FG-jaarbericht en het FG-toezichtsplan en daaraan gerelateerde onderwerpen.

2

Griffier

Structureel (2 x per jaar)

Bespreking stand van naleving AVG binnen de gemeenteraad en de griffie en actuele onderwerpen als daar aanleiding toe is. Tevens betreft dit een overleg over relevante ontwikkelingen die mogelijk aanleiding zijn voor betrokkenheid van de FG.

3

College van B&W

Structureel (2x per jaar)

Bespreking van het FG-jaarbericht en het FG-toezichtsplan en daaraan gerelateerde onderwerpen.

4

Coördinerend wethouder uitvoering AVG

Structureel (2x per jaar)

Bespreking van het FG-jaarbericht en het FG-toezichtsplan en daaraan gerelateerde onderwerpen.

Incidenteel

Bespreking actuele onderwerpen of incidenten als dit een bestuurlijke reactie vraagt vanuit een coördinerende verantwoordelijkheid voor de uitvoering van de AVG of verschillen van inzicht tussen de FG en een vakinhoudelijk wethouder of burgemeester.

Als escalatiemogelijkheid als de FG of de burgemeester als vakinhoudelijk verantwoordelijke daartoe aanleiding ziet bij een verschil van inzicht.

5

Vakinhoudelijk verantwoordelijk wethouder of burgemeester

Incidenteel

Als een specifiek onderwerp of voorstel daartoe aanleiding geeft. Bijvoorbeeld als de FG zich niet kan vinden in het voorstel aan het college.

6

Burgemeester

Incidenteel

Als escalatiemogelijkheid als de FG of de coördinerend wethouder uitvoering AVG daartoe aanleiding ziet.


Noot
1

Volgens het organisatiehandboek “zo werkt Eindhoven” van voorjaar 2024, bevat het concernplan de optelsom van werkzaamheden uit de vier bronnen van werk. Uit het concernplan zijn sectorplannen, afdelingsplannen, programmaplannen, werkplannen, programmaplannen en gebiedsplannen te destilleren. Omgekeerd vormt het concernplan de optelsom van activiteiten uit deze plannen.

Noot
2

Hierbij wordt de kanttekening gemaakt dat het concernplan momenteel nog in ontwikkeling is. In afwachting van een concernplan ligt daarom vooralsnog het accent op sector- en afdelingsplannen. Van belang is dat sectoren actief inzicht geven in onderwerpen of projecten/programma’s waar de FG bij betrokken wordt en de wijze waarop dit plaatsvindt.