Beleid Wet politiegegevens (Wpg) gemeente Tytsjerksteradiel

1. De gemeente Tytsjerksteradiel wijst de boa aan, indien de boa in het bezit is van een:

• a.

  Akte van opsporingsbevoegdheid en

• b.

  Verklaring omtrent het gedrag.

2. De boa voldoet aan de her- en bijscholingsplicht.

3. De gemeente Tytsjerksteradiel organiseert ten aanzien van politiegegevens bewustwordingsactiviteiten dan wel cursussen over de omgang met politiegegevens, die door de boa’s jaarlijks verplicht worden bijgewoond.

1. De gemeente Tytsjerksteradiel stelt voor het verlenen, wijzigen en beëindigen van de toegang tot politiegegevens een intern autorisatieproces vast.

2. De gemeente Tytsjerksteradiel verleent aan de boa conform het vastgestelde autorisatieproces toegang tot politiegegevens, indien de toegang tot politiegegevens noodzakelijk is voor het uitvoeren van de aan de boa opgedragen opsporingstaak.

3. De gemeente Tytsjerksteradiel wijst de boa ten aanzien van politiegegevens op de plicht tot geheimhouding en de consequentie bij de schending van deze plicht.

4. Indien de boa van functie verandert, dan wel uit dienst gaat, wordt de autorisatie conform het autorisatieproces gewijzigd of beëindigd.

1. De gemeente Tytsjerksteradiel controleert en evalueert periodiek de toegekende autorisaties van de boa met als doel om de integriteit en de rechtmatigheid van de toegang tot politiegegevens te waarborgen.

2. De verwerker heeft ten aanzien van de periodieke controle de plicht om de toegang tot politiegegevens te loggen.

3. De verwerker verstrekt op verzoek van de gemeente Tytsjerksteradiel de logginggegevens van de invoer van gegevens in systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken, combineren of vernietigen van politiegegevens zodat deze conform het autorisatieproces periodiek gecontroleerd kunnen worden.

4. De gemeente Tytsjerksteradiel gebruikt de logginggegevens uitsluitend voor de controle van de rechtmatigheid van de gegevensverwerking, ter ondersteuning van de verplichte audits en ter waarborging van de integriteit en de rechtmatigheid van de toegang tot politiegegevens.

5. De gemeente Tytsjerksteradiel legt het resultaat van de periodieke controle vast in een verslag van bevindingen, welke wordt gearchiveerd binnen het daartoe bestemde en beveiligde zaaksysteem.

6. De gemeente Tytsjerksteradiel bewaart de logginggegevens alsmede het resultaat van de periodieke controle voor een periode van vijf jaar.

1. De gemeente Tytsjerksteradiel voorziet in werkinstructies per boa- domein die de boa bij de uitvoering van de opsporingstaak in acht neemt.

2. De boa verwerkt politiegegevens ten behoeve van de uitvoering van de politietaak als bedoeld in artikel 8 van de Wpg.

3. De boa verwerkt geen politiegegevens, indien het gegevens betreft die niet noodzakelijk zijn voor de uitvoering van de aan hem of haar opgedragen opsporingstaak.

4. De boa maakt bij het verwerken van politiegegevens onderscheid tussen;

• a.

  De verschillende categorieën van betrokkenen zoals verdachten, slachtoffers, derden en veroordeelden (artikel 6c van de Wpg)

• b.

  Gegevens die gebaseerd zijn op feiten en een persoonlijk oordeel genoemd in artikel 4 Wpg

5. De verwerker dient ervoor te zorgen dat het onderscheid zoals genoemd in het vierde lid onder a van dit artikel in de applicatie, waartoe de boa toegang heeft, mogelijk wordt gemaakt.

6. De boa neemt geen besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking zoals bedoeld in artikel 7a Wpg, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen heeft of hem of haar in aanmerkelijke mate treft.

1. De gemeente Tytsjerksteradiel voorziet in voldoende waarborgen om te bewerkstelligen dat de politiegegevens conform de wet niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de boa opgedragen opsporingstaak.

2. De gemeente Tytsjerksteradiel zorgt ervoor dat de politiegegevens voor de uitvoering van de opsporingstaak zoals bedoeld in artikel 8 Wpg:

• a.

  Gedurende een jaar beschikbaar zijn in het kader van de uitvoering van de opsporingstaak;

• b.

  Na een jaar slechts beschikbaar zijn voor het gericht zoeken;

• c.

  Na vijf jaar worden verwijderd;

• d.

  Na 10 jaar worden vernietigd.

3. De verwerker zorgt ervoor dat de bewaartermijn conform de wet en het tweede lid van dit artikel geconfigureerd zijn, zodat gewaarborgd is dat de politiegegevens niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de opsporingstaak.

4. De boa neemt de termijnen conform de wet en het tweede lid van dit artikel in acht.

1. De gemeente Tytsjerksteradiel stelt de politiegegevens conform de wet ter beschikking op basis van het ‘free flow of information’ principe, indien het ter beschikking stellen van politiegegevens noodzakelijk is voor de uitoefening van de taken binnen het Wpg- domein.

2. De gemeente Tytsjerksteradiel mag de politiegegevens verstrekken zoals beschreven in de verstrekkingenwijzer aan partijen buiten het Wpg- domein. Daarbij wijst de gemeente Tytsjerksteradiel de ontvangende partij op de plicht tot geheimhouding die op de verstrekte gegevens van toepassing is.

3. De gemeente Tytsjerksteradiel legt de verstrekking zoals genoemd in het tweede lid van dit artikel vast (artikel 32 lid 1 onder b Wpg).

4. De verwerker heeft ten aanzien van het tweede lid van dit artikel de plicht om binnen de gebruikte applicaties, technische mogelijkheden te creëren, waarmee verstrekkingen kunnen worden vastgelegd (artikel 32 lid 1 onder b Wpg).

5. De verwerker dient ervoor te zorgen dat de geautomatiseerde verstrekkingen, zoals bijvoorbeeld aan het Centraal Justitieel Incassobureau, conform de wet plaatsvinden en worden gedocumenteerd.

6. De gemeente Tytsjerksteradiel alsmede de verwerker voorzien in de technische mogelijkheden om ervoor te zorgen dat de politiegegevens door middel van een beveiligde wijze worden verstrekt aan de ontvangende partij.

7. De gemeente Tytsjerksteradiel verstrekt geen politiegegevens aan ontvangers in derde landen of internationale organisaties.

1. De gemeente Tytsjerksteradiel draagt zorg voor het informeren van de betrokkenen over de verwerking van politiegegevens. Dit vindt plaats conform paragraaf 4 Wpg. Daarbij heeft de gemeente Tytsjerksteradiel de plicht tot:

• a.

  Passieve informatieverstrekking; waarbij de informatie op verzoek wordt verstrekt, tenzij het verzoek conform artikel 27 Wpg geheel of gedeeltelijk kan worden afgewezen, bijvoorbeeld als de informatieverstrekking de opsporing en vervolging belemmert.

2. De gemeente Tytsjerksteradiel stelt conform de wet een procedure vast over de behandeling van verzoeken van betrokkenen, bestaande uit:

• a.

  Recht op informatie; betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. Betrokkenen worden door de gemeente geïnformeerd op het moment dat zijn/ haar persoonsgegevens worden verwerkt.

• b.

  Recht op inzage; betrokkenen hebben de mogelijkheid om in te zien of, en op welke manier, zijn/ haar politiegegevens worden verwerkt.

• c.

  Recht op rectificatie; als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene op een verzoek indienen bij de gemeente om dit te corrigeren.

• d.

  Recht op vernietiging; betrokkenen hebben het recht om politiegegevens te laten verwijderen. De gemeente stelt eventuele partners van de gemeente als deze de gegevens ook hebben, op de hoogte dat de betrokkene een verwijderingsverzoek heeft ingediend.

• e.

  Recht op bezwaar.

1. De gemeente Tytsjerksteradiel stelt conform de wet een procedure vast voor het melden van een (vermoedelijke) inbreuk op de beveiliging op politiegegevens, waaronder voor het melden van datalekken.

2. De gemeente Tytsjerksteradiel houdt een register bij van gemelde datalekken.

1. Net als de AVG verplicht de Wpg tot het bijhouden van een register van verwerkingen. De gemeente Tytsjerksteradiel houdt een register van hun verwerkingsactiviteiten bij waarin een overzicht wordt gegeven van de verschillende processen die bij de gemeente worden uitgevoerd en welke soorten politiegegevens worden verwerkt. Per verwerking komt minimaal de volgende informatie voor;

• a.

  De naam en contactgegevens van de verwerkingsverantwoordelijke (gemeente Tytsjerksteradiel);

• b.

  De verwerkingsdoeleinden

• c.

  Een beschrijving van de categorieën persoonsgegevens die worden verwerkt;

• d.

  Een beschrijving van de categorieën betrokkenen;

• e.

  Een beschrijving van de categorieën van ontvangers aan wie de politiegegevens ter beschikking worden gesteld of worden verstrekt.

2. De gemeente Tytsjerksteradiel actualiseert jaarlijks het register van verwerkingen om de juistheid en volledigheid te waarborgen.

1. De gemeente Tytsjerksteradiel laat conform de wet, eenmaal in de vier jaren een externe audit uitvoeren.

2. De gemeente Tytsjerksteradiel voert ter voorbereiding op de verplichting in het eerste lid van dit artikel, jaarlijks een interne audit uit.

3. De gemeente Tytsjerksteradiel stelt ten behoeve van het tweede lid van dit artikel een auditplan vast.

4. De betrokken verwerkers dienen ten behoeve van de audit een Third Party Memorandum verklaring te overleggen die conform de ‘Nederlandse Orde van EDP Auditors handreiking’ wordt uitgevoerd, zodat deze verklaring betrokken kan worden bij de beoordeling van de audit.

5. Indien uit de resultaten van de audit, zoals bedoeld in het eerste lid van dit artikel, blijkt dat de verwerking van de politiegegevens op onderdelen niet voldoet aan de wettelijke normen, dient de gemeente Tytsjerksteradiel binnen een jaar zorg te dragen voor deze tekortkomingen, met als doel dat deze worden verholpen. Daarnaast voert de gemeente Tytsjerksteradiel binnen één jaar een hercontrole uit, binnen de onderdelen waarvan het resultaat onvoldoende bleek te zijn.

6. Indien blijkt dat de beheersmaatregelen ten aanzien van de gebruikte applicatie (s) niet voldoen aan de wettelijke normen, dan draagt de verwerker verantwoordelijkheid voor het verhelpen van de tekortkomingen binnen een periode van één jaar.

7. De gemeente Tytsjerksteradiel zendt een afschrift van de controleresultaten van de audit zoals bedoeld in het eerste lid van dit artikel aan de Autoriteit Persoonsgegevens.

1. De gemeente Tytsjerksteradiel stelt een functionaris gegevensbescherming (FG) aan ten behoeve van de controle en het toezicht op het verwerken van politiegegevens conform de wet en het beleid van de gemeente Tytsjerksteradiel.

2. De FG voert daarbij periodiek controles uit op het naleven van de wettelijke verplichtingen, waaronder de controle op;

• a.

  De bewustwordingsverplichting conform het derde lid van artikel 1 van dit beleid;

• b.

  Het autorisatieproces conform artikel 2 van dit beleid;

• c.

  De kwaliteit en waarborging van de juistheid van de nauwkeurigheid van politiegegevens;

• d.

  Het verwerken van politiegegevens conform artikel 6 van dit beleid;

• e.

  De bewaartermijnen conform artikel 7 van dit beleid;

• f.

  Het ter beschikking stellen en verstrekken van politiegegevens zoals bedoeld in artikel 8 van dit beleid.

3. De FG stelt periodiek rapportages op en rapporteert zo nodig rechtstreeks aan de gemeentesecretaris van de gemeente Tytsjerksteradiel.

1. De gemeente Tytsjerksteradiel stelt een bevoegd functionaris (BF) aan wanneer er een artikel 9 Wpg verwerking plaatsvindt. Dit is de ‘hoeder’ van de gegevens die onder artikel 9 Wpg worden verwerkt. Deze functionaris is beschreven in artikel 2:10 lid 1 Bpg.

2. De BF moet een persoon zijn met voldoende kennis en vaardigheden over dit type gegevens. Deze BF heeft onder andere de volgende taken:

• a.

  Beslist wie er toegang mag hebben tot de gegevens;

• b.

  Beslist of de gegevens verstrekt worden aan een samenwerkingspartner;

• c.

  Omschrijft het doel van de artikel 9 verwerking en legt dit vast;

• d.

  Autoriseert personen voor de betreffende verwerking;

• e.

  Bepaalt of gegevens voor andere doeleinden mogen worden gebruikt;

• f.

  Zorgt dat voor alle gegevens de herkomst en wijze van verkrijgen worden vastgelegd;

• g.

  Bewaakt dat gegevens rechtmatig worden verkregen en verwerkt.

1. De gemeente Tytsjerksteradiel draagt zorg dat de procesinrichting voor de verwerking van politiegegevens in opzet, bestaan en werking voldoet zoals genoemd in de wet, zodat hierop door de auditor en de functionaris gegevensbescherming toezicht kan worden gehouden.

2. De gemeente Tytsjerksteradiel treft daarbij conform de wet passende technische- en organisatorische maatregelen om geoorloofde of onrechtmatige verwerkingen, verlies, vernietiging of beschadiging van politiegegevens tegen te gaan, met als doel om de rechtmatigheid en beveiliging van politiegegevens te waarborgen (artikel 4a en 4b Wpg).

3. Indien er sprake is van een hoog risico op de rechten en vrijheden van betrokkenen, dan voert de gemeente Tytsjerksteradiel conform artikel 4c Wpg een risicoanalyse, zoals een Data protection impact assessment (DPIA), uit. Een DPIA houdt in dat voorafgaand aan een gegevensverwerking de privacyrisico’s in kaart worden gebracht. Op basis van een DPIA kunnen maatregelen worden getroffen om risico’s te minimaliseren of uit te sluiten.

4. De gemeente Tytsjerksteradiel maakt uitsluitend gebruik van een verwerker, indien de verwerker afdoende garandeert dat de passende technische- en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat voldaan wordt aan het bij of krachtens de wet bepaalde (artikel 6c, 4a en 4b Wpg).

5. De verwerker verstrekt op verzoek van de gemeente Tytsjerksteradiel alle informatie die nodig is om de nakoming van de verplichtingen uit artikel 6, 32 en 32a Wpg aan te tonen.

6. De gemeente Tytsjerksteradiel legt de verplichtingen zoals genoemd in het vijfde lid van dit artikel, vast in een schriftelijke overeenkomst, welke door beide partijen wordt ondertekend (artikel 6c tweede lid Wpg).

7. De gemeente Tytsjerksteradiel voldoet aan de documentatieplicht zoals genoemd in de wet (artikel 32 lid 1 Wpg).

1. Het strategisch informatiebeveiligings- en privacybeleid is vastgesteld in een richtinggevend en kaderstellend beleidsdocument, welke eens per 4 jaar wordt vastgesteld door het college. De gemeente Tytsjerksteradiel vult het aan met beleid voor informatiebeveiliging op tactisch en operationeel niveau met specifieke (beleids) documenten

2. Het informatiebeveiligingsbeleid geldt voor alle activiteiten van de gemeente. Ook voor de activiteiten die vallen onder de Wpg geldt dat passende technische en organisatorische maatregelen moeten zijn genomen en geïmplementeerd, op basis van een risico analyse waaruit het risico niveau blijkt met betrekking tot ongeoorloofde en onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging. Deze maatregelen moeten bovendien periodiek worden geëvalueerd en zo nodig geactualiseerd.

1. Deze beleidsregel treedt direct inwerking op de eerste dag na de datum van bekendmaking.

2. Deze beleidsregel wordt aangehaald als ‘’Beleid Wet politiegegevens (Wpg) gemeente Tytsjerksteradiel’’.