Privacy beleid Gemeente Son en Breugel

Geldend van 29-11-2024 t/m heden

Intitulé

Privacy beleid Gemeente Son en Breugel

19-08-24

Voorwoord

Het college van Burgemeester en Wethouders van de gemeente Son en Breugel beschrijft in dit privacy beleid hoe de gemeente aan de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en andere toepasselijke wet- en regelgeving wil voldoen.

Het beleid geeft aan wat de verantwoordelijkheid is van elke medewerker bij het verwerken van persoonsgegevens namens de gemeente.

Detaillering en uitwerkingen worden uitgeschreven in andere documenten zoals procedures, handleidingen en werkinstructies om dit beleid compact te houden, maar ook omdat deze documenten mogelijk tussentijds gewijzigd kunnen worden.

Evaluatie en controle

Het college van Burgemeester en Wethouders van de gemeente Son en Breugel is eindverantwoordelijke voor de gemeentelijke gegevensverwerking en dus verantwoordelijk voor de vaststelling van dit document.

Het privacy beleid wordt minimaal eens in de 2 jaar geëvalueerd en zo nodig tussentijds herzien door de privacy officer, bijvoorbeeld n.a.v. organisatorische veranderingen of wetswijzigingen.

Daarbij worden de volgende aspecten in ieder geval bekeken: inhoud, uitvoerbaarheid, invoering en werking.

De functionaris gegevensbescherming (FG) wordt geïnformeerd over deze evaluatie.

Gerelateerde documenten

Veel documenten zijn op een of andere manier gerelateerd aan dit privacy beleid. De meest voor de hand liggende hebben wij hier genoemd.

Algemene verordening gegevensbescherming (AVG)

Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)

Wet politiegegevens (Wpg)

Besluit politiegegevens (Bpg)

Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg BOA)

Regeling periodieke audit politiegegevens

1. Inleiding

Dit document bevat het privacy beleid voor de gemeente Son en Breugel (hierna: gemeente).

De gemeente verwerkt1 persoonsgegevens2 van inwoners, ondernemers, (inhuur)medewerkers en (keten)partners. Vanaf nu noemen we deze: betrokkenen3. Deze persoonsgegevens verzamelt de gemeente om haar wettelijke taken goed uit te kunnen voeren. Denk hierbij aan taken in het sociaal domein, openbare orde en veiligheidsdomein of voor burgerzaken. Om deze taken goed te volbrengen is het noodzakelijk dat de gemeente persoonsgegevens verwerkt. De betrokkenen moeten erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met hun persoonsgegevens omgaan.

Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en toenemende digitalisering – ook bij de overheid - maakt het zorgvuldig omgaan met persoonsgegevens steeds complexer, maar ook belangrijker.

De gemeente is zich hiervan bewust. Dit beleid geeft de gemeente richting en toont aan dat zij de privacy waarborgt, beschermt en handhaaft. Dit privacy beleid is in lijn met de meest relevante lokale, nationale en Europese wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (hierna: AVG).

De verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (BOA's) valt niet alleen onder de AVG maar ook onder de Wet politiegegevens (Wpg). Daarnaast is een aantal andere regelingen van toepassing op de verwerking van politiegegevens zoals het Besluit politiegegevens (Bpg), het Besluit politiegegevens buitengewoon opsporingsambtenaren en de Regeling periodieke audit politiegegevens.

De AVG en de Wpg kennen op enkele gebieden onderlinge verschillen. De Wpg heeft bijvoorbeeld specifieke bewaartermijnen voor de opslag van politiegegevens, terwijl de AVG geen concrete bewaartermijnen voorschrijft. Ook stelt de Wpg andere eisen bij het delen van politiegegevens tussen verschillende partijen, is er een verplichting tot logging4, en zijn er in de Wpg aanvullende beperkingen en uitzonderingen op de in de AVG geldende privacy rechten van betrokkenen.

Andere verplichtingen zijn vergelijkbaar, maar kennen verschillen in de concrete uitwerking. Zoals de verplichting voor de verwerkingsverantwoordelijke voor het treffen van passende technische en organisatorische maatregelen ter bescherming en beveiliging van de persoonsgegevens. In het kader van de Wpg is bijvoorbeeld ook eens per 4 jaar een externe audit verplicht, en elk jaar een interne controle.

De gemeente is verantwoordelijk voor het opstellen, uitvoeren, controleren en handhaven van een privacy beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

  • Algemene verordening gegevensbescherming (AVG)

  • Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)

  • Wet politiegegevens (Wpg)

  • Besluit politiegegevens (Bpg)

  • Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg BOA)

  • Regeling periodieke audit politiegegevens

1.1. Leeswijzer

Hoofdstuk 1: beschrijft het doel van dit document, wie hiervan kennis moeten hebben en de reikwijdte.

Hoofdstuk 2: beschrijft de visie, de ambitie en uitgangspunten van de gemeente.

Hoofdstuk 3: gaat in op de privacy organisatie, rollen en verantwoordelijken.

Hoofdstuk 4: beschrijft de privacy principes.

Hoofdstuk 5: maakt de vertaling hoe privacy in de gemeente ingebed is.

1.2. Definities en afkortingen

De begrippen zoals gedefinieerd in artikel 4 van de Algemene Verordening Gegevensbescherming (AVG) en artikel 1 van de Wet politiegegevens (Wpg) hebben in dit privacy beleid dezelfde betekenis. Daarnaast gebruikt de gemeente veel afkortingen en eigen begrippen. Die zijn opgenomen in het document “Definities en afkortingen AVG WPG”.

1.3. Hardheidsclausule

De gemeente kan in uitzonderlijke gevallen afwijken van dit privacy beleid, als de toepassing ervan voor de betrokkene buitensporige gevolgen zou hebben en in het geval van bijzondere omstandigheden, die niet in verhouding staan tot de doelen die met dit privacy beleid worden nagestreefd.

1.4. Doel

Het doel van dit privacy beleid is om richting te geven aan de gemeente ten aanzien van de privacy visie (paragraaf 2.1.), het privacy ambitieniveau (paragraaf 2.2.) en de uitgangspunten (paragraaf 2.3).

De richting is vastgelegd in richtlijnen die tot doel hebben een verantwoorde omgang met persoonsgegevens te waarborgen en de persoonlijke levenssfeer van de personen van wie de gemeente persoonsgegevens verwerkt (of laat verwerken) te beschermen.

Daarnaast heeft het privacy beleid als doel duidelijk omschreven taken en verantwoordelijkheden met betrekking tot de bescherming van persoonsgegevens en politiegegevens vast te leggen.

De concrete uitwerking van dit privacy beleid is - indien van toepassing - beschreven in andere documenten binnen de gemeente. In inrichtingsdocumenten zoals handreikingen en procedures zoals bijvoorbeeld de procedure voor het melden van datalekken of afspraken ten aanzien van gegevensdeling in het kader van wetsuitvoering en in documenten die de verrichtingen beschrijven zoals procesbeschrijvingen en werkinstructies.

Raakvlakken met andere beleidsthema’s zijn beschreven in paragraaf 2.6.

1.5. Voor wie?

Iedereen die werkzaam is binnen de gemeente is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens. De gemeente verlangt van al haar medewerkers en alle personen die werkzaam zijn voor de gemeente dat de voorschriften van dit privacy beleid worden opgevolgd en actief worden uitgedragen.

Voor betrokkenen5, zoals onze inwoners, geeft dit privacy beleid informatie over hoe de gemeente hun persoonsgegevens verwerkt.

1.6. Reikwijdte

De gemeente verzamelt en gebruikt persoonsgegevens van onder andere inwoners, leveranciers, medewerkers en andere natuurlijke personen (hierna te noemen: betrokkenen).

Dit privacy beleid is van toepassing op alle verwerkingen van persoonsgegevens en van politiegegevens door of namens de bestuursorganen van de gemeente, waaronder:

  • 1.

    De verwerking van persoonsgegevens binnen de bedrijfsprocessen van de gemeente;

  • 2.

    De verwerking van persoonsgegevens die is uitbesteed, of op een andere manier is georganiseerd, zoals deelname van de gemeente aan een rechtspersoon die voor de gemeente bepaalde diensten verricht;

  • 3.

    De gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden of leveranciers;

  • 4.

    De verwerking van politiegegevens in het kader van de uitvoering van de dagelijkse politietaak door de daarvoor aangewezen buitengewoon opsporingsambtenaren (BOA’s) en hun ondersteuners (niet-BOA’s).

2. Privacy visie, privacy ambitie, en uitgangspunten

Voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten en vrijheden van betrokkenen, is een goede privacy borging noodzakelijk. Dit vereist een integrale aanpak, goed eigenaarschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Verantwoord en bewust gedrag van alle medewerkers is essentieel voor privacy binnen de gemeente.

Dit hoofdstuk beschrijft de privacy visie, privacy ambitie en uitgangspunten van de gemeente.

2.1. Privacy visie

Het privacy kompas is ingesteld op het voldoen aan de intentie van de AVG en de Wpg, en daarbij de rechten van inwoners en bedrijven te beschermen. De gemeente hanteert waar mogelijk de principes van privacy by design en privacy by default (zie paragraaf 5.5.).

De privacy visie (toekomstbeeld) is van de gemeente is:

De gemeente zorgt voor haar inwoners en ondernemers door (persoons)gegevens te beschermen en op een privacy vriendelijke manier te werken.

2.2. Privacy ambitie

De gemeente hanteert het volwassenheidsmodel CIP6 dat identiek is aan het volwassenheidsmodel van de Informatie beveiliging dienst (IBD).

afbeelding binnen de regeling

De privacy ambitie7 van de gemeente is:

De gemeente streeft naar een gestandaardiseerde vastgestelde werkwijze (niveau 3).

2.3. Uitgangspunten

De gemeente hanteert in haar werkwijze de volgende uitgangspunten:

  • Onze visie en ambitie;

  • Lijnmanagement is verantwoordelijk voor de borging van de gegevensbescherming in processen;

  • Privacy is de verantwoordelijkheid van iedere medewerker;

  • Persoonsgegevens worden verwerkt volgens de privacy principes;

  • Persoons- en politiegegevens worden adequaat beveiligd;

  • Persoons- en politiegegevens worden bewaard conform wetgeving (o.a. archiefwet, Wpg);

  • We hanteren een risico gestuurde aanpak, en registreren de impact voor betrokkenen bij geaccepteerde risico’s;

  • De privacy risicoclassificatie van het DocumentStructuurPlan8 wordt gehanteerd, tenzij ...;

  • Politiegegevens worden verwerkt in systemen die de Wpg-vereisten faciliteren, tenzij ...;

  • De standaardinstellingen zijn altijd zo privacy-vriendelijk mogelijk (privacy by design / by default).

2.4. Wet politie gegevens (Wpg) vereisten

Het normenkader van de Wpg is grotendeels gelijk aan dat van de AVG. Op hoofdlijnen geldt voor de Wpg aanvullend nog het volgende:

  • De BOA's van de gemeente kunnen naast hun opsporingstaken ook bestuursrechtelijke toezichts- en handhavingstaken hebben. Zij krijgen dan bij het verwerken van persoonsgegevens zowel met de AVG te maken als met de Wpg;

  • In de verwerking van gegevens moet duidelijk zijn welke gegevens er worden verwerkt onder de AVG en welke onder de Wpg;

  • De Wpg stelt andere eisen aan de verwerking van persoonsgegevens dan de AVG, waaronder de plicht tot delen met ieder andere opsporingsambtenaar die deze gegevens nodig heeft voor zijn werk;

  • Het uitvoeren van interne en externe Wpg privacy audits.

De Wpg vereisten die in onze applicaties moeten zijn geborgd:

  • Er moet een scheiding worden aangebracht tussen informatie die op feiten is gebaseerd en informatie die op een persoonlijk oordeel is gebaseerd;

  • Er moet onderscheid worden gemaakt tussen betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden;

  • Documentatie is vereist van de doelen van onderzoeken, verstrekking of doorgifte, afwijzing van verzoeken om inzage, inbreuk op de beveiliging, doorgifte buiten de EU met datum en tijd, ontvanger, redenen en doorgegeven gegevens en melding van gemeenschappelijke verwerkingen aan de Autoriteit Persoonsgegevens (AP);

  • Er vindt logging plaats in geautomatiseerde systemen van de invoer van gegevens in die systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens;

  • Er worden specifieke eisen gesteld aan de informatiebeveiliging (Bpg, artikel 6:1A9).

2.5. Diverse soorten persoonsgegevens

Persoons-, politie- en strafrechtelijke gegevens onderscheiden zich van elkaar door de taak waarvoor ze verwerkt worden.

Bijzondere persoonsgegevens door de gevoeligheid van de informatie. Het betreft dan informatie over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op unieke identificatie, gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid.

2.6. Raakvlakken met andere beleidsthema’s

Het privacy beleid heeft raakvlakken met andere beleidsthema’s, vertoont hiermee overlap, of is hiervan afhankelijk.

2.6.1.Domeinspecifieke wetgevingen gaan vóór de AVG

De gemeente voert taken uit voor diverse wetgevingen, zoals de Wet Basisregistratie Persoonsgegevens (BRP), Jeugdwet, de Wet Maatschappelijke Ondersteuning (WMO). De in die wetgeving beschreven gegevensbeschermingsmaatregelen gaan vóór de AVG-bepalingen. Daar waar niets in de specifieke wet vermeld staat over gegevensbescherming, geldt de AVG.

Zodra vanuit de BRP gegevens verstrekt worden, is de AVG van toepassing. Daarnaast is er ook nog het Europees Verdrag voor de Rechten van de Mens10 waarin de universele rechten van de Mens en fundamentele vrijheden zijn vastgelegd.

2.6.2.Richtinggevend en kader stellend

Informatiebeveiliging is een randvoorwaarde voor de bescherming van persoonsgegevens en politiegegevens. Het informatiebeveiligingsbeleid is richtinggevend en kader stellend ten aanzien van de maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van (persoons)gegevens te garanderen.

Zorgvuldig omgaan met persoonsgegevens vereist een integere houding. In het kader van integriteit leggen nieuwe medewerkers de eed of belofte af en hebben zij een geheimhoudingsplicht. Het archiefbeleid is vastgelegd in de Archiefverordening en Beheerregeling Informatiebeheer, en gebaseerd op de Archiefwet. Beleidsuitwerking privacy en archiefbeleid worden in onderlinge samenhang bekeken.

2.6.3.Ethiek en Algoritmen en andere nieuwe thema’s

Ethiek speelt een belangrijke rol op het (negatief) effect voor betrokkenen of de samenleving. Het gaat over het juist handelen en het evalueren ervan, op ethische principes,11 zoals respect voor autonomie (vrijheid, eigen regie), weldoen, niet schaden en rechtvaardigheid.

De methodiek Impact Assessment Mensenrechten en Algoritmen (IAMA12) wordt binnen de overheid veelal gebruikt om de ethische risico’s in kaart te brengen, met name voor vragen met betrekking tot gegevensdeling en inzet van algoritmes. We gaan bekijken of deze methodiek overlap heeft of is samen te voegen met de Data Protection Impact Assessment (DPIA).

Algoritmes13 hebben impact op (geautomatiseerde) besluitvorming t.a.v. betrokkenen. Daarom is het belangrijk om te begrijpen wat algoritmes doen en hierover transparant te zijn. De gemeente is aangesloten op het landelijke Algoritmeregister Nederlandse Overheid.

3. Organisatie, rollen en verantwoordelijken

De bestuursorganen van de organisaties zijn verantwoordelijk voor de naleving van de AVG en het privacy beleid, ieder voor zover het hun bestuurlijke taken betreft. Zij zijn verantwoordelijk voor het verwerken van persoonsgegevens door de eigen gemeente en bij externe organisaties belegde taken.

Hieronder worden de rollen en verantwoordelijkheden kort aangestipt. Deze worden in detail beschreven in het document ‘Privacy organisatie’, inclusief de aanwezige overlegstructuren.

3.1. Gemeenteraad (Informed)

De gemeenteraad wordt geïnformeerd over de privacy binnen de gemeente, omdat zij een bestuurlijke toezichttaak heeft op basis van de Gemeentewet en decentralisatiewetgeving.

3.2. College van B&W resp. Burgemeester (Accountable)

Het college is eindverantwoordelijk (verwerkingsverantwoordelijke) voor de naleving van de privacywetgeving binnen de gemeente en het aantoonbaar maken hiervan, óók voor het gedeelte dat via mandaat bij de Dienst Dommelvallei is belegd.

De burgemeester is verantwoordelijk voor (het aantoonbaar naleven van) de Wpg.

Het college en de burgemeester zijn daarmee verantwoordelijk voor het vaststellen van het privacy beleid, het aansturen van de uitvoering ervan, en de verantwoording aan de partijen benoemd bij “Informed”.

3.3. Gemeentesecretaris en afdelingsmanagers (Responsible)

De afdelingsmanagers zijn feitelijk verantwoordelijk voor de uitvoering van het privacy beleid en de naleving van de privacywetgeving binnen de afdelingen en de clusters.

Het dagelijks bestuur Dienst Dommelvallei is verantwoordelijk dat de aan de Gemeenschappelijke Regeling (GR) gemandateerde taken worden uitgevoerd conform dit privacy beleid en de naleving van de privacywetgeving.

De gemeentesecretaris is eindverantwoordelijk voor de uitvoering van het privacy beleid en de naleving van de privacywetgeving van gemeentebrede of afdeling/clusteroverstijgende zaken. Deze verantwoordelijkheid kan, indien gewenst, per onderdeel toegewezen worden aan een van de afdelingsmanagers of aan de directeur Dienst Dommelvallei. Zij zorgen voor de verantwoording, voor voldoende middelen, voor de uitvoering van (verbeter)activiteiten en voor de bewaking en beveiliging van de persoonsgegevens en politiegegevens.

3.4. Alle medewerkers (Responsible)

Iedereen werkzaam binnen de gemeente is betrokken bij de verwerking van persoonsgegevens en dient verantwoord om te gaan met persoonsgegevens bij het uitoefenen van zijn/haar taak. De gemeente verlangt daarom van al haar medewerkers en alle personen die werkzaam zijn voor de gemeente, dat zij de voorschriften van dit privacy beleid op volgen en actief uitdragen. Daarnaast dienen interne en externe medewerkers een geheimhoudingsverklaring te tekenen.

Privacy is de verantwoordelijkheid van iedere medewerker!

3.5. BOA’s (Responsible)

De functionaris die zorgt draagt voor de opsporing van strafbare feiten en de voorbereiding van eventuele vervolging van deze feiten. De gecertificeerde en aangestelde buitengewoon opsporingsambtenaren (BOA’s) verwerken politiegegevens, en zijn verantwoordelijk voor de juiste verwerking van deze politiegegevens conform de Wpg.

3.6. Bevoegd functionaris Wpg (Responsible)

De teammanager14 van de BOA is aangewezen als bevoegd functionaris (BF). De BF is de ‘hoeder’ van de politiegegevens en beoordeelt wie er toegang mag hebben tot deze gegevens. Daarnaast bepaald de BF of deze politiegegevens voor onderzoek verder verwerkt mogen worden (Wpg artikel 9 lid 3, artikel 11 lid 1 en 4, artikel 13 lid 3) en of ze kunnen worden verstrekt aan een samenwerkingspartner.

3.7. Privacy Officer (Consulted)

De Privacy Officer (PO) is het interne aanspreekpunt voor de gemeente rondom (praktische invulling van) privacy gerelateerde vraagstukken, heeft een monitorende en ondersteunende functie rondom het naleven en uitvoeren van het privacy beleid, en is belast met de coördinatie en uitvoering van het privacy- en gegevensbeschermingsbeleid van de gemeente. Daarnaast ondersteunt (support) de Privacy Officer de lijn bij de uitwerking van privacy vraagstukken.

3.8. Chief Information Security Officer (Consulted)

De Chief Information Security Officer (CISO) stelt kaders op het gebied van informatiebeveiliging, die voor de gehele organisatie gelden, zorgt voor afstemming tussen informatiebeveiliging met andere beveiligingsdomeinen, waaronder privacy bescherming, adviseert over de beveiligingmaatregelen bij datalekken (volgens de procedure Datalekken) en is coördinator van de Eenduidige Normatiek Single Information Audit (ENSIA).

3.9. Functionaris Gegevensbescherming (Consulted en Informed)

De Functionaris Gegevensbescherming (FG) is als onafhankelijk interne toezichthouder aangewezen, en ziet toe op de naleving van de AVG en Wpg (art. 36) bij de gemeente. De FG kan ambtshalve een onderzoek instellen naar de wijze waarop wordt voldaan aan de AVG en Wpg en aan dit privacy beleid.

De FG stelt jaarlijks een AVG jaarrapportage en Wpg jaarrapportage op en stuurt deze aan het college van B&W. De FG stemt af met portefeuillehouder en gemeentesecretaris hoe de gemeenteraad hierover wordt geïnformeerd. De FG is de contactpersoon voor de Autoriteit Persoonsgegevens (AP) en voor de inwoners m.b.t. privacy zaken, bijv. vragen of klachten over het gebruik van persoonsgegevens, en adviseert bij datalekken (volgens de procedure Datalekken). De FG wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

3.10. Belanghebbenden/betrokkenen (Informed)

Alle personen, van wie de gemeente persoonsgegevens verwerkt, worden tijdig geïnformeerd over de inhoud van dit privacy beleid en hoe zij hun rechten kunnen uitoefenen, bijvoorbeeld via flyers, gesprekken of de website (zie paragraaf 5.7 Rechten van betrokkenen). Betrokkenen zijn onder andere (onze) inwoners en medewerkers.

3.11. Autoriteit Persoonsgegevens (Informed)

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke landelijke toezichthouder en houdt toezicht op de naleving van de privacyregels in Nederland.

4. Privacy principes

Het privacy beleid is gebaseerd op een aantal principes voor de verwerking van persoonsgegevens. De gemeente onderschrijft deze principes en stelt zich ten doel persoonsgegevens slechts te verwerken in overeenstemming met deze principes.

We gaan zorgvuldig om met persoonsgegevens en respecteren de privacy van betrokkenen.

4.1. Rechtmatigheid, behoorlijkheid en transparantie

Verwerkt de gemeente persoonsgegevens alleen in overeenstemming met de wet, dan is de verwerking rechtmatig. Veelal verwerkt de gemeente gegevens op basis van een wet (wettelijke verplichting) of een publiekrechtelijke taak. Soms vindt de verwerking plaats op basis van toestemming. In uitzonderingsgevallen kan een verwerking plaats vinden in het kader van algemeen belang, maar dat is voor een overheidsinstelling in principe niet mogelijk.

De gemeente vindt het belangrijk dat betrokkenen erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. Daarom informeert de gemeente de betrokkenen op welke wijze hun persoonsgegevens verwerkt worden. Dit gebeurd op een begrijpelijke en toegankelijke manier via diverse communicatiekanalen, waaronder de privacyverklaring van de gemeente. De betrokkene wordt daarbij ook geïnformeerd over zijn rechten en de wijze waarop hij deze kan uitoefenen. Alleen als de wet anders bepaalt, wijkt de gemeente van de informatieplicht af.

4.2. Doel

De gemeente verwerkt persoonsgegevens alleen met een gerechtvaardigd en gespecificeerd doel. De persoonsgegevens worden niet voor andere doelen gebruikt. Tenzij geldt dat de twee doelen aan elkaar verwant zijn, er geen nadelige effecten voor de betrokkenen zijn of hiervoor extra waarborgen worden getroffen.

De gemeente voert voordat de verwerking start, een toets uit om te bepalen of de gegevens (voor andere doelen) mogen worden gebruikt op grond van de wet- en regelgeving.

4.3. Noodzaak en dataminimalisatie

De gemeente verwerkt alleen persoonsgegevens die noodzakelijk zijn - in verhouding zijn - om het doel te bereiken (proportionaliteit). Als het doel op een andere wijze - zonder of met minder persoonsgegevens15 - kan worden bereikt, of op een wijze die minder inbreuk maakt op de privacy van betrokkene16, dan kiest de gemeente bij voorkeur voor die mogelijkheid. We verwerken wij zo min mogelijk gegevens.

4.4. Bewaartermijn

De gemeente stelt de bewaartermijn van de verwerking vast op basis van wettelijke bepalingen of de Archiefwet 1995 selectielijsten. Als hierop geen bewaartermijn kan worden vastgesteld, dan stelt de gemeente zelf de bewaartermijn vast, waarbij de persoonsgegevens niet langer worden bewaard dan noodzakelijk. Wil de gemeente gegevens toch langer bewaren, dan worden deze geanonimiseerd, zodat directe of indirecte identificatie van een persoon niet meer mogelijk is.

4.4.1.Bewaartermijn van politiegegevens

Alle politiegegevens worden gelabeld conform de Wpg-artikelen 8, 9 en 13 en hiervoor wordt de bewaartermijn ingericht. De gemeente regelt hiermee dat politiegegevens niet langer worden bewaard dan de minimale tijd die nodig is, conform de toepasselijke wet- en regelgeving of voor de doeleinden waarvoor deze zijn verwerkt.

Politiegegevens worden na verwijdering (niet vernietiging) nog maximaal vijf jaar bewaard en worden daarna vernietigd, of eerder als een andere bewaartermijn geldt. In geval van cultureel of historisch belang kan worden afgezien van vernietiging van de gegevens, echter dan voldoen we aan bewaareisen van de Archiefwet.

4.5. Juistheid/betrouwbaarheid, integriteit en vertrouwelijkheid (BIV)

De gemeente verwerkt alleen persoonsgegevens die juist en actueel zijn, oftewel betrouwbaar, gelet op het doel waarvoor zij zijn verzameld. De gemeente neemt redelijke maatregelen om persoonsgegevens juist en actueel te houden, onjuiste persoonsgegevens te actualiseren, te rectificeren en/of te wissen.

Betrokkenen kunnen aan de gemeente vragen hun persoonsgegevens aan te passen als die niet kloppen (zie paragraaf 5.7 Rechten van betrokkenen).

Daarnaast neemt de gemeente passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat persoonsgegevens (met name bijzondere) misbruikt, onrechtmatig of ongeautoriseerd verwerkt of bekend gemaakt worden. Deze maatregelen zijn vastgelegd in het informatiebeveiligingsbeleid en bijbehorende documenten.

Persoonsgegevens worden alleen verwerkt door medewerkers/personen die voor geheimhouding hebben getekend, en aan wie voor de betreffende verwerkingen bevoegdheden zijn toegekend op grond van het geldend toegangsbeleid.

Periodiek wordt gecontroleerd (onder andere m.b.v. logging en monitoring) op ongeautoriseerde toegang tot en niet toegestane verwerkingen van persoonsgegevens, om deze zo mogelijk te voorkomen.

De gemeente schakelt soms andere organisaties in om taken uit te voeren. Daarbij zorgt de gemeente voor de juiste privacy afspraken (zie paragraaf 5.4) en legt die vast bij het contract (conform contractmanagement).

5. Privacy inbedding in de organisatie

Beleid en principes zijn onvoldoende om de risico’s van het verwerken van persoonsgegevens uit te sluiten. De gemeente zet onderstaande middelen in, om de privacy van betrokkenen te waarborgen.

5.1. Bewustwording

Het zorgvuldig omgaan met persoonsgegevens is een kwestie van een adequate informatiebeveiliging, van correcte werkprocessen, en van bewustwording van de medewerkers.

Het bewustzijn van medewerkers wordt voortdurend aangescherpt, zodat kennis van risico’s wordt verhoogd en verantwoord gedrag wordt aangemoedigd.

Iedere medewerker wordt aantoonbaar geïnformeerd over het zorgvuldig omgaan met persoonsgegevens, bijvoorbeeld via instructies.

Elke BOA doorloopt verplicht een Wpg training.

5.2. Meldplicht datalekken (Inbreuk i.v.m. persoonsgegevens)

Er is sprake van een datalek als toegang tot, verlies of wijziging van persoonsgegevens heeft plaatsgevonden zonder dat dit de bedoeling was.

De gemeente behandelt en registreert deze datalekken conform de procedure ‘datalekken’. Als een datalek meldplichtig is, dan wordt dit gemeld bij de toezichthouder (de Autoriteit Persoonsgegevens). Afhankelijk van het risico voor de betrokkenen worden ook zij geïnformeerd.

Een mededeling aan betrokkenen blijft achterwege indien daarvoor een Wpg-uitzondering van toepassing is. Bijvoorbeeld ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures en ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

De gemeente zet de bevindingen om in verbeterpunten en bewaakt de opvolging hiervan.

5.3. DPIA

Als de verwerking gelet op de aard en omvang, de context en de doeleinden mogelijk een hoog risico17 inhoudt voor de rechten en vrijheden van natuurlijke personen, dan voert de gemeente een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Dat wordt een data processing impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling (GEB) genoemd.

Als uit de DPIA blijkt dat er hoge risico’s zijn verbonden aan de verwerking, neemt de gemeente maatregelen om deze risico’s in voldoende mate te verminderen.

De FG geeft over elke DPIA een zwaarwegend advies aan de verwerkingsverantwoordelijke.

Als het niet lukt om met maatregelen de risico’s tot een acceptabel niveau te verlagen, dan motiveert de gemeente dit en overlegt de gemeente met de AP, voordat wordt gestart met de verwerking (voorafgaande raadpleging18.

5.4. Delen van gegevens, convenanten, verwerkersovereenkomsten en geheimhoudingsverklaring

De gemeente werkt veel samen met externe partners. De gemeente zorgt voor bescherming van de privacy en gegevensverwerking door afspraken te borgen in contracten via het inkoopproces. Deze afspraken voldoen aan wettelijke eisen en aan de modelovereenkomsten van de Vereniging Nederlandse Gemeenten of de Informatiebeveiligingsdienst.

De met de externe partners af te sluiten overeenkomst voor de bescherming van persoonsgegevens is afhankelijk van de rol, verwerker of (mede)verwerkingsverantwoordelijke, die de externe partner heeft in het verwerkingsproces.

Voor meer informatie over de AVG-rollen, zie Voorbeeldlijst: wie is hier de verwerker en wie de verantwoordelijke? Van de AP.

5.4.1.Verwerkers

Indien de externe organisatie in opdracht van de gemeente persoonsgegevens verwerkt, dan is dit een verwerker. Bijvoorbeeld een leverancier van een cloudapplicatie, waarin persoonsgegevens worden opgeslagen. Ook een verwerker moet zich houden aan de privacy regelgeving. Daarom legt de gemeente afspraken met verwerkers vast in verwerkersovereenkomsten.

5.4.2.Samenwerkingsverbanden

Als de gemeente samenwerkt met andere (overheid)organisaties om een taak van algemeen belang uit te voeren, kan er sprake zijn van meerdere verwerkersverantwoordelijken (gezamenlijk of individueel). Ook dan maakt de gemeente afspraken over de wijze waarop persoonsgegevens worden verwerkt en beschermd, bijvoorbeeld in een privacy convenant of overeenkomst gezamenlijke verwerkingsverantwoordelijken.

5.4.3.Doorgifte buiten de EER

Doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER) of aan een internationale organisatie, gebeurt alleen in overeenstemming met de relevante bepalingen in toepasselijke wet- en regelgeving en dit privacy beleid.

5.4.4.Ter beschikking stellen en verstrekken van politiegegevens

Conform de Wpg hanteert de gemeente het ‘need to know’-principe, waarbij altijd een afweging wordt gemaakt t.a.v. de noodzakelijkheid, de proportionaliteit en de subsidiariteit. Dit houdt in dat de gemeente politiegegevens deelt met personen of instanties binnen het politiedomein die de politiegegevens nodig hebben voor de uitvoering van hun politietaak. Dit wordt ‘ter beschikking stellen’ genoemd.

Gegevensdeling buiten het politiedomein wordt ‘verstrekken’ genoemd. De gemeente verstrekt alleen politiegegevens voor zover dit noodzakelijk is voor de doeleinden, zoals deze in de Wpg en het Bpg zijn genoemd, en zorgt daarbij dat zij voldoet dan aan de documentatieplicht. Indien dat vereist is, zorgt de gemeente dat de verstrekking plaatsvindt in overeenstemming met het bevoegd gezag. Bijvoorbeeld bij verstrekkingen aan de burgemeester, een toezichthouder, een advocaat of een functionaris in het kader van de Wet bibob.

5.5. Privacy by Design en Privacy by Default

De maatschappij staat niet stil en ook de gemeente verandert. Bijvoorbeeld ontwikkelt en levert zij nieuwe diensten of producten, krijgt nieuwe of wijzigt bestaande processen of systemen, of gaat nieuwe samenwerkingsverbanden aan.

Door bij het ontwerp van nieuwe ontwikkelingen rekening te houden met privacy en adequate bescherming van persoonsgegevens, beperkt de gemeente het risico op onrechtmatige verwerkingen en datalekken. Dit wordt ‘Privacy by Design’ genoemd.

Daarbij richt de gemeente de standaardinstellingen zo privacy vriendelijk mogelijk in. Dit wordt ‘Privacy by Default’ genoemd.

5.6. Verwerkingsregister

De gemeente beschikt over een verwerkingsregister, waarin alle verwerkingen van persoonsgegevens en politiegegevens gedocumenteerd zijn en inzichtelijk gemaakt.

Het verwerkingsregister voldoet aan de eisen, die daaraan zijn gesteld op grond van art. 30 AVG (zie voor meer informatie de privacyverklaring op de website van de gemeente).

5.7. Rechten van Betrokkenen

In de maatschappij en ook binnen de gemeente, worden op steeds grotere schaal gegevens van betrokkenen vastgelegd. En de tendens is dat die informatie steeds vaker aan elkaar gekoppeld wordt.

De gemeente zal zorgvuldig omgaan met ieders persoonsgegevens, en zorgt dat betrokkenen voor zichzelf op kunnen komen door controle te houden over de verwerking van hun persoonsgegevens.

Betrokkenen hebben de mogelijkheid om hun rechten uit hoofdstuk III van de AVG (art. 13 t/m 22) en de Wpg (paragraaf 4) uit te oefenen, te weten het recht van inzage, recht op rectificatie, recht op verwijdering, recht op bezwaar, recht op beperking van de verwerking en het recht op overdraagbaarheid (dataportabiliteit).

De rechten van betrokkenen worden gerespecteerd en verankerd in de procedures van de gemeente.

5.7.1.AVG rechten vs andere verzoeken

De gemeente kan ook verzoeken ontvangen die onder andere wetgevingen vallen en vanuit die wetgeving beoordeeld worden, bijvoorbeeld BRP geheimhouding, jeugddossier inzage, Wet maatschappelijke ondersteuning dossier inzage, Wet open overheid (WOO), Wet hergebruik van overheidsinformatie (WHO). Bij beoordeling van het verzoek bekijkt de gemeente telkens of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen.

5.8. Klachten- en geschillenbeslechting

Als de betrokkene van mening is dat de gemeente niet tijdig heeft gereageerd of niet op een juiste wijze met zijn persoonsgegevens is omgegaan, kan de FG worden benaderd, zoals beschreven in de privacyverklaring op de website van de gemeente.

Mocht de betrokkene niet tevreden zijn met de reactie van de FG, dan kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens (zie www.autoriteitpersoonsgegevens.nl) of kan de betrokkene de gemeente in gebreke stellen wegens niet tijdig beslissen (zie de website van de gemeente).

Voelt de betrokkene zich onheus bejegend over de wijze waarop de het bestuursorgaan of medewerker van de gemeente zich jegens hem heeft gedragen, dan kan de betrokkene een klacht indienen middels de van toepassing zijnde klachtenprocedure, zoals die is opgenomen op de website van de gemeente of www.overheid.nl (dit gebeurd dan op grond van de Algemene wet bestuursrecht Awb). Indien de klachtenprocedure in relatie staat tot de verwerking van persoonsgegevens zal de behandelend ambtenaar van de klachtadviescommissie afstemming zoeken met de FG.

5.9. Audio- en beeldmateriaal

De gemeente zet op verschillende plekken audio- en beeldopnames in, bijvoorbeeld tijdens de in beginsel openbare raads- en commissievergaderingen en voor veiligheid.

De gemeentelijke website vermeld waar deze zijn ingezet en waarvoor, en daar kunnen betrokkenen ook lezen hoe ze hun audio/beelden kunnen inzien. De inzet van audio- en beeldopnames gebeurt conform de wetgeving, de beleidsregels van de Autoriteit Persoonsgegevens en het ‘audio en beeldmateriaal beleid’.

5.10. PDCA Cyclus

De gemeente streeft ernaar om bij de verwerking van persoonsgegevens ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen.

‘In control’ betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn ten aanzien van de verwerking van persoonsgegevens19, dat er een planning is van de maatregelen die nog genomen moeten worden en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus.

5.11. Privacy plan

Het privacy plan wordt jaarlijks geactualiseerd. Onder andere naar aanleiding van jaarverslagen van de FG, de AP, de IBD en toekomstige verwachtingen, organisatorische en maatschappelijke ontwikkelingen, privacy volwassenheidsniveau, datalekken, risico’s en verbetermaatregelen.

5.12. Toezicht en controle (auditplan)

Onder de verantwoordelijkheid van zowel het college van B&W als de gemeenteraad vindt een groot aantal verwerkingen van persoonsgegevens plaats. Daar is extern en intern toezicht op.

5.12.1.ENSIA

In de Eenduidige Normatiek Single Information Audit, het verantwoordingstraject informatiebeveiliging dat jaarlijks wordt uitgevoerd, wordt de AVG (gedeeltelijk) meegenomen.

5.12.2.Wpg interne controle & externe audit

De gemeente laat overeenkomstig de Regeling periodieke audit politiegegevens één keer in de vier jaar een externe audit uitvoeren op naleving van de Wpg voor het verwerken van politiegegevens. Indien er tekortkomingen zijn, wordt binnen 3 maanden een verbeterrapport opgesteld en volgt binnen 1 jaar een externe hercontrole op die onderdelen waar tekortkomingen geconstateerd zijn. De resultaten van de Wpg privacy audit en eventuele hercontrole worden aan de AP verstrekt. Daarnaast voert de gemeente jaarlijks een interne controle uit op de naleving van een aantal onderdelen van de Wpg voor het verwerken van politiegegevens. Dit gebeurd door een auditor die Wpg-getraind is. Voor 2023 tot en met 2025 is dit belegd bij een extern bureau.

5.12.3.Informatieverstrekking, toezicht en onderzoek door de FG

De FG is de interne toezichthouder. Zie paragraaf 3.9.

Ondertekening

Overzicht definities en afkortingen

Voorwoord

Het college van Burgemeester en Wethouders van de gemeente Son en Breugel (hierna: gemeente) beschrijft in dit Overzicht definities en afkortingen welke definities en afkortingen de gemeente in algemene zin hanteert met betrekking tot privacy en gegevensbescherming.

Het bevat naast eigen begrippen ook definities en afkortingen die in de AVG en de Wpg gebruikt worden. Ook worden hyperlinks gebruikt naar verordeningen en wetten met soms met een praktische vertaling of voorbeeld erbij.

In documenten, zoals beleidstukken, procedures, handleidingen, instructies en dergelijke kan worden afgeweken van deze definities en afkortingen.

Evaluatie en controle

De privacy officer verantwoordelijk voor het beheer en onderhoud van dit document.

Het Overzicht definities en afkortingen wordt minimaal eens in de 5 jaar geëvalueerd en zo nodig tussentijds herzien door de privacy officer, bijvoorbeeld n.a.v. organisatorische veranderingen of wetswijzigingen. Daarbij worden de volgende aspecten in ieder geval bekeken: inhoud, uitvoerbaarheid, invoering en werking.

De functionaris gegevensbescherming (FG) wordt geïnformeerd over deze evaluatie.

Gerelateerde documenten

Veel documenten zijn op een of andere manier gerelateerd aan dit Overzicht definities en afkortingen. De meest voor de hand liggende hebben wij hier genoemd.

  • Algemene verordening gegevensbescherming (AVG)

  • Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)

  • Wet politiegegevens (Wpg)

  • Besluit politiegegevens (Bpg)

  • Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg BOA)

  • Regeling periodieke audit politiegegevens

Aanpassingswet Algemene verordening gegevensbescherming

Aanpassingswet Algemene verordening gegevensbescherming https://wetten.overheid.nl/BWBR0041233/2019-07-01/0

AB

Het Algemeen Bestuur van Dienst Dommelvallei.

Afdelingen

De organisatorische eenheden van de ambtelijke organisatie van de gemeente.

Afdelingsmanager/Clustercoördinator

Degene die namens de verwerkingsverantwoordelijke is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens binnen diens afdeling, clusters, teams of programma’s in overeenstemming met het bij of krachtens de wetgeving en het privacy beleid bepaalde.

Artificial Intelligence (AI) of kunstmatige intelligentie

Technologie waarbij digitale systemen reageren op data, bijvoorbeeld afkomstig uit sensoren, en op basis daarvan zelfstandig acties ondernemen. Streven naar lerend vermogen. (uit Cyberwoordenboek kunstmatige intelligentie).

Aanvulling: Er zijn 2 categorieën van AI: menselijk of rationeel denken (machines die in staat zijn om beslissingen te nemen, problemen op te lossen en te leren) en menselijk of rationeel handelen (machines kunnen activiteiten uitvoeren die intelligentie vereisen).

Algoritme

Een proces, stappenplan of een serie regels die een computer moet volgen om een probleem of rekensom op te lossen. Het lijkt op een soort recept.(uit Cyberwoordenboek).

Aanvulling: Deze algoritmes kunnen autonoom of met menselijke betrokkenheid geautomatiseerd beslissingen nemen. Bijv. anonimiseringssoftware.

AP

Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland voor de bescherming van persoonsgegevens o.b.v. toepasselijke wet- en regelgeving, zoals de AVG, UAVG en Wpg.

Art.

artikel

AVG

Algemene Verordening Gegevensbescherming https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&qid=1685451198313

betrokkene

Een geïdentificeerde of identificeerbare natuurlijke persoon. Degene van wie persoonsgegevens worden verwerkt. (artikel 4 AVG).

BF

Bevoegde Functionaris Wpg. Dit is de hoeder van politiegegevens. Degene die beslist wie er toegang mag hebben tot deze politiegegevens en of ze verstrekt kunnen worden aan een samenwerkingspartner.

Bijzondere persoonsgegevens

Gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op unieke identificatie, gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid. (artikel 9 AVG).

Deze gegevens vormen een groter risico voor de privacy dan “gewone” persoonsgegevens. Voor de AVG geldt: verwerking van dit soort gegevens is verboden, tenzij sprake is van een uitzondering die is genoemd in de wet.

Voor politiegegevens geldt: verwerken mag alleen als dit onvermijdelijk is voor het doel van de verwerking, in aanvulling op de verwerking van andere politiegegevens. En de gegevens moeten afdoende beveiligd zijn. Bijvoorbeeld is toegestaan: vastleggen van een verklaring van een verdachte die betoogt dat hij niet in overtreding is omdat hij bepaalde handelingen in het kader van zijn Hindoeïstische geloofsovertuiging verricht.

BOA

Buitengewoon opsporingsambtenaar.

Bpg

Besluit politiegegevens https://wetten.overheid.nl/BWBR0023086/2023-01-01.

Bpg BOA

Besluit politiegegevens buitengewoon opsporingsambtenaren https://wetten.overheid.nl/BWBR0041971/2021-10-01/0.

BRP

Basisregistratie Personen.

BSN

Burgerservicenummer.

Burgemeester

De burgemeester van de gemeente.

CISO

Chief Information Security Officer. De adviseur en interne controleur ten aanzien van informatiebeveiliging van de Dienst Dommelvallei organisaties.

College

Het college van burgemeester en wethouders van de gemeente.

Crisis

Een abnormale of buitengewone gebeurtenis of situatie die een organisatie of gemeenschap bedreigt en een strategische, adaptieve en tijdige reactie vereist om de levensvatbaarheid en integriteit te behouden (uit Cyberwoordenboek 2021, crisismanagement).

Datalek

Inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige manier leidt tot inzage, verlies, vernietiging, wijziging of ongeoorloofde verstrekking van persoonsgegevens (artikel 4 AVG).

Derde (derde partij)

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken) (artikel 4 AVG).

DB

Het Dagelijks bestuur van Dienst Dommelvallei.

Dienst Dommelvallei

Het openbaar lichaam, ingesteld krachtens de gemeenschappelijke regeling Dienst Dommelvallei.

Dreiging

Potentiële of hypothetische situatie die kan leiden tot een inbreuk op de informatiebeveiligingsmaatregelen.

DPIA

Data Protection Impact Assessment. Een analyse van de gevolgen voor de privacy van de betrokkenen die wordt uitgevoerd als een project, beleid, dienst, product of ander initiatief wordt gestart, ingevoerd of gewijzigd, waarbij persoonsgegevens worden verwerkt. Ook wordt beschreven welke risico beperkende maatregelen worden genomen om een negatieve impact op voorhand te voorkomen dan wel te verkleinen. (zie artikel 35 AVG).

Een DPIA wordt ook wel gegevensbeschermingseffectbeoordeling (GEB) genoemd.

EDPB

European Data Protection Board. Een EU-orgaan bestaande uit alle voorzitters van de privacy toezichthouders van de Europese Unie, welke belast is met het uitbrengen van richtlijnen om een uniforme toepassing van de AVG principes in alle lidstaten te bevorderen.

EER

Europese Economische Ruimte. Dit zijn de landen in de EU, inclusief Liechtenstein, Noorwegen en IJsland.

FG

Functionaris Gegevensbescherming. De interne toezichthouder van de Dienst Dommelvallei organisaties op zowel naleving van de AVG als de Wpg en het aanspreekpunt voor de AP.

GEB

Gegevensbeschermingseffectbeoordeling. Zie DPIA.

Inbreuk

Een daadwerkelijke inbreuk op de beveiliging van persoonsgegevens, die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Het zijn incidenten die de beschikbaarheid, de integriteit en/of de vertrouwelijkheid van de gegevens aantasten (BIV).

Informant

Een persoon die heimelijk informatie verstrekt over het vermoeden van strafbare feiten of mogelijke ernstige schendingen van openbare orde (door anderen), die gevaar voor deze persoon of derden oplevert.

Informatiebeveiligingsbeleid

Het door het college vastgestelde informatiebeveiligingsbeleid.

Medewerkers

De natuurlijke personen die in dienst zijn van de gemeente organisaties, of de natuurlijke personen die anderszins in een hiërarchische relatie staan tot de gemeente (bijv. inhuurkrachten, stagiaires, externe medewerkers, etc.).

MvT

Memorie van Toelichting.

Ontvanger

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht, gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn (artikel 4 AVG).

Overleggroep privacy

De privacy overlegstructuur binnen de Dienst Dommelvallei organisaties, die bestaat uit de privacy officers en de functionarissen gegevensbescherming van de Dienst Dommelvallei organisaties.

Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (artikel 4 AVG).

Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Het gaat dus om alles dat in verband kan worden gebracht met een persoon: naam, foto, telefoonnummer of personeelsnummer, maar ook een bankrekeningnummer of kenteken.

Belangrijk is dat de persoon nog niet geïdentificeerd hoeft te zijn: het is al een persoonsgegeven als het tot identificatie kán leiden.

Poho-overleg Informatiebeveiliging en privacy

Overleg met de portefeuillehouder over onderwerpen betreffende de status van en ontwikkelingen over de bescherming van persoonsgegevens en het bij of krachtens de wet uitvoeren van het privacy beleid.

Politiegegevens

Persoonsgegevens die worden verwerkt in het kader van de uitvoering van de politietaak (van de Politiewet 2012), waaronder bescherming van openbare veiligheid, en de Wet administratiefrechtelijke handhaving verkeersvoorschriften, of voor de in de Vreemdelingenwet 2000 opgedragen taken (artikel 1, eerste lid, onderdeel i, onder 1 en artikel 4, eerste lid, onderdeel f van de Politiewet 2012).

Het gaat over persoonsgegevens die in het strafrecht door de BOA’s verwerkt worden in het kader van opsporingstaak.

Privacy officer

De persoon die is belast met de coördinatie van de gegevensbescherming binnen de gemeente, overeenkomstig het bij of krachtens de wet en het privacy beleid bepaalde.

(De privacy officer wordt ook wel privacy beheerder genoemd.)

Profilering

Elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen (artikel 4 AVG).

Proportioneel/proportionaliteit

Een verwerking is proportioneel als het doel van de verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen.

Je dient altijd te controleren of je aan het beginsel van de proportionaliteit voldoet.

Raad

De gemeenteraad van de gemeente.

Regeling Periodiek audit politiegegevens

Deze regeling beschrijft het doel, inhoud en vereisten van de Wpg privacy audit (https://wetten.overheid.nl/BWBR0025038/2019-06-26).

Register van verwerkingen/verwerkingsregister

Het register van verwerkingsactiviteiten, waarin de verwerking zijn vastgelegd die onder de verantwoordelijkheid van de organisatie plaatsvinden (artikel 30 AVG).

Hierin staat informatie over de persoonsgegevens die worden verwerkt, o.a. contactgegevens FG, doeleinden, betrokkenen, bewaartermijn, ontvangers, beveiliging, eventuele andere organisaties met gezamenlijke verantwoordelijkheid en eventuele internationale organisaties waarmee persoonsgegevens gedeeld worden.

Strafrechtelijke persoonsgegevens

Persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen (artikel 10 AVG).

Deze vallen onder het regime van de Wet justitiële en strafvorderlijke gegevens (Wjsg).

Subsidiair/subsidiariteit

Een verwerking is subsidiair als het doel wordt verwezenlijkt op de minst ingrijpende manier voor de betrokkene.

Je dient altijd te controleren of je aan het beginsel van de subsidiariteit voldoet.

Systematische of stelselmatige verwerking

Een verwerking van persoonsgegevens die is opgenomen in de systemen of in het beleid van de organisatie (en niet ad hoc of incidenteel plaatsvindt). Voor EDPB kan "stelselmatig" een of meer van de volgende betekenissen hebben:

  • Plaatsvindend volgens een systeem. Vooraf geregeld, georganiseerd of methodisch.

  • Plaatsvindend in het kader van een algemeen plan voor gegevensverzameling.

  • Uitgevoerd als onderdeel van een strategie.

Ter beschikking stellen van politiegegevens

Het verstrekken van politiegegevens BINNEN het Wpg-domein, dus aan personen die overeenkomstig de Wpg geautoriseerd zijn voor het verwerken van politiegegevens voor zover zij deze nodig hebben voor uitvoering van hun taak.

(In tegenstelling tot het verstrekken van politiegegevens.)

UAVG

De Uitvoeringswet Algemene verordening gegevensbescherming.

Verstrekken van politiegegevens

Het verstrekken van politiegegevens BUITEN het Wpg-domein. Het bekend maken van politiegegevens aan derden, Minister van Veiligheid en Justitie of samenwerkingsverbanden, voor zwaarwegend algemeen belang met een van de volgende doeleinden:

  • Voorkomen en opsporen van strafbare feiten.

  • Het handhaven van openbare orde.

  • Het verlenen van hulp aan hen die deze behoeven.

  • Het uitoefenen van toezicht op het naleven van regelgeving.

(In tegenstelling tot ter beschikking stellen van politiegegevens.)

Verwerken van persoonsgegevens (verwerking)

Een verwerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (artikel 4 AVG).

NB: Het inzien van persoonsgegevens is dus al een verwerking.

Verwerken van politiegegevens

Het verwerken van persoonsgegevens voor de uitoefening van de politietaak om inzicht te krijgen in betrokkenheid van personen bij het beramen of plegen van misdrijven (of de samenhang met andere misdrijven in het georganiseerd verband), of die mogelijk een ernstige inbreuk op de rechtsorde kunnen opleveren.

Verwerker

Iedere niet-ondergeschikte partij, die namens of in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (artikel 4 AVG).

AP (Verantwoordelijke en verwerker | Autoriteit Persoonsgegevens): U bent verwerker als u persoonsgegevens verwerkt in opdracht van een andere organisatie. U gebruikt deze persoonsgegevens niet voor eigen doeleinden.

Als u een verwerker bent, moet u zich volledig houden aan de instructies van de organisatie die u de opdracht heeft gegeven om persoonsgegevens te verwerken. Maar dat is niet hetzelfde als rechtstreeks onderworpen zijn aan het gezag van de verwerkingsverantwoordelijke.

Subverwerker: Iedere niet-ondergeschikte partij die namens of in opdracht van een verwerker persoonsgegevens verwerkt.

Verwerkersovereenkomst

Een overeenkomst tussen een verwerkingsverantwoordelijke en een verwerker, zoals bedoeld in artikel 28 lid 3 AVG, waarin de verwerking van persoonsgegevens door de verwerker wordt geregeld, zoals het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke en de verwerker.

Verwerkingsverantwoordelijke

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Privacy wetgeving

De toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens.

UAVG

Uitvoeringswet Algemene verordening gegevensbescherming.

Wgs

Wet gemeentelijke schuldhulpverlening.

Wmo

Wet maatschappelijke ondersteuning 2015.

Wpg

Wet politiegegevens https://wetten.overheid.nl/BWBR0022463/2022-10-01.

Wpg artikel 8

Dagelijkse politietaak (conform de wet politiegegevens).

Wpg artikel 9

Onderzoek in verband met handhaving van rechtsorde in een bepaald geval (conform de wet politiegegevens).

Wpg artikel 11

Geautomatiseerd vergelijken en in combinatie zoeken (conform de wet politiegegevens).

Wpg artikel 13

Ondersteunende taken (conform de wet politiegegevens).

Noot
1

Zie artikel 4 sub 2 AVG: verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Noot
2

Zie artikel 4 lid 1 Algemene Verordening Gegevensbescherming: persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, voornamelijk aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Noot
3

Zie artikel 4 lid 1 AVG: een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”).

Noot
4

Logging: het bijhouden en vastleggen van alle gebeurtenissen in een bepaald proces. Bijvoorbeeld wie er in een dossier heeft gekeken, of welke wijzigingen daarin zijn aangebracht.

Noot
5

Zie artikel 4 lid 1 AVG: een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”).

Noot
6

https://www.cip-overheid.nl/media/uasdokan/20171102-privacy-volwassenheidsmodel-v3_0_9.pdf

Noot
7

Bepaald in het DOD-overleg 30-08-2023

Noot
8

Informatiebeheer heeft een DocumentStructuurPlan (DSP) waarmee de gemeente aan de archiefwet voldoet

Noot
9

Besluit politiegegevens: https://wetten.overheid.nl/BWBR0023086/2023-01-01

Noot
10

Europees Verdrag voor de Rechten van de Mens

Noot
11

4 ethische principes van de Amerikaanse bio-ethici Tom Beachamp en James Childress

Noot
12

Ontwikkelt iom University Utrecht

Noot
13

Een proces, stappenplan of een serie regels die een computer moet volgen om een probleem of rekensom op te lossen.

Noot
14

Verbeterplan Wpg audit vastgesteld door MT op dd 19-april-2023 (artikel 2:10 lid 2 Besluit politiegegevens)

Noot
15

Proportionaliteit: inbreuk op de belangen van de betrokkene mag niet onevenredig. Alleen de noodzakelijke gegevens worden verwerkt voor het bereiken van het vastgestelde doel.

Noot
16

Susidiariteit: er wordt gecontroleerd bij een verwerking, of er een minder verregaande manier is om de taak uit te voeren. Bijv. geen geboortedatum maar de maand/geboortejaar.

Noot
17

Ons basis/startpunt is de privacy risicoclassificatie van het DocumentStructuurPlan

Noot
18

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/voorafgaande-raadpleging

Noot
19

Het borgingsproduct van de VNG kan worden gebruikt voor de privacy compliance en risico’s in beeld te brengen, en daarbij behorende beheersmaatregelen.