Privacybeleid gemeente Beekdaelen

Binnen de gemeente Beekdaelen wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Deze gegevens worden voornamelijk verzameld om de gemeentelijke taken op een correcte manier uit te voeren. Het is belangrijk dat burgers erop kunnen vertrouwen dat wij zorgvuldig en veilig met hun persoonsgegevens omgaan. Met de opkomst van nieuwe technologische ontwikkelingen, globalisering en een steeds digitaler wordende overheid, veranderen de eisen voor gegevensbescherming en privacy. Wij zijn ons hiervan bewust en nemen maatregelen om de persoonlijke levenssfeer van onze burgers te waarborgen. Dit doen we onder andere door aandacht te besteden aan informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Het bestuur en management hebben een essentiële rol in het waarborgen van gegevensbescherming. Door middel van dit beleid geven wij duidelijke richtlijnen voor gegevensbescherming en tonen wij onze inzet voor het beschermen van de persoonlijke levenssfeer.

In dit privacybeleid wordt uiteengezet hoe de gemeente invulling geeft aan de centrale privacyprincipes en de verplichtingen die de AVG met zich meebrengt. In dit document verwijzen de termen “de gemeente”, “ons” of “wij” altijd naar de gemeente Beekdaelen.

1.1 Relevante wetten en verdragen

De volgende wetten en verdragen geven kaders op het gebied van gegevensbescherming:

• •

  het Handvest van de grondrechten van de Europese Unie (EHRM);

• •

  het Europees Verdrag voor de Rechten van de Mens (EVRM);

• •

  het Internationaal Kinderrechtenverdrag (IVRK);

• •

  de Nederlandse Grondwet.

Per 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht geworden, die strengere regels voor gegevensbescherming introduceert. Samen met de Uitvoeringswet AVG vervangt de AVG de Wet bescherming persoonsgegevens (Wbp).

Ons beleid is in overeenstemming met deze internationale en nationale wettelijke kaders en verdragsregels.

1.2 Reikwijdte

Dit gegevensbeschermingsbeleid is van toepassing op alle taken en processen waarbij persoonsgegevens door de gemeente Beekdaelen worden verwerkt, inclusief alle uitbestede en ingekochte diensten. Dit omvat taken die worden uitgevoerd door gemeenschappelijke regelingen of deelname aan landelijke gegevensverwerkingssystemen zoals de BAG (Basisregistraties Adressen en Gebouwen).

Het beleid bestrijkt de volledige "data levenscyclus", wat inhoudt dat het van toepassing is vanaf het verzamelen en genereren van persoonsgegevens, via het dagelijkse gebruik en de opslag tot de archivering en uiteindelijke vernietiging van deze gegevens.

Daarnaast is dit gegevensbeschermingsbeleid nauw verweven met andere beleidsgebieden binnen de gemeente, zoals informatiebeveiliging, integriteit, kwaliteitszorg, personeel en organisatie en communicatie. Dit zorgt ervoor dat gegevensbescherming in alle relevante aspecten van onze organisatie wordt geïntegreerd en consistent wordt toegepast.

1.3 Kernwaarden

De gemeente Beekdaelen beschouwt de bescherming van de gegevens van de burgers inwoners als een belangrijke prioriteit. Daarom gaan we op een veilige manier om met persoonsgegevens, waarbij de privacy van de betrokkenen wordt gerespecteerd.

• -

  Resultaatgericht

• -

  Transparant

• -

  Samenwerken

Resultaatgerichtheid

In het kader van privacybescherming betekent resultaatgerichtheid vooral het vergroten van bewustzijn bij elke medewerker. Dit bewustzijn houdt in dat het waarborgen van de privacy van betrokkenen nauw samenhangt met het nastreven van kwaliteit en resultaten. Dit kan onder andere door tijdig te reageren op verzoeken van betrokkenen en proactief te handelen wanneer de situatie dat vereist. Het betekent ook verantwoordelijkheid nemen en actie ondernemen als de regelgeving tekortschiet, om ervoor te zorgen dat privacykwesties alsnog correct worden afgehandeld.

Transparant

De gemeente Beekdaelen hecht veel waarde aan openheid en transparantie als kernwaarde. Wij vinden het belangrijk dat onze inwoners vertrouwen hebben in ons als gemeente. Transparantie speelt hierbij een cruciale rol, vooral als het gaat om de bescherming van persoonsgegevens. We informeren onze inwoners op passende manieren, via diverse (niet)digitale kanalen, over hun privacy rechten en de verwerking van hun gegevens. Dit doen we onder andere door middel van een algemene privacyverklaring. Daarnaast staan we open voor de mening van anderen en voor feedback, wat ons helpt om voortdurend te verbeteren en transparant te blijven in onze communicatie en handelen.

Samenwerken

Samenwerking binnen onze gemeente en met externe organisaties is cruciaal voor het leveren van optimale dienstverlening. Bij deze samenwerking is het essentieel om aandacht te besteden aan privacy en de bescherming van persoonsgegevens. Dit houdt in dat we burgers duidelijk en begrijpelijk informeren over de rechtmatige en gerechtvaardigde doeleinden waarvoor hun persoonsgegevens worden geregistreerd en uitgewisseld, indien van toepassing.

1.4 Definities

In het privacybeleid worden de volgende definities gehanteerd:

• •

  Algemene Verordening Gegevensbescherming (AVG)

  Algemene Verordening Gegevensbescherming (EU 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens)

• •

  Autoriteit Persoonsgegevens (AP)

  Een onafhankelijke toezichthouder in Nederland die verantwoordelijk is voor de handhaving van de privacywetgeving.

• •

  Betrokkene(n)

  De betrokkene is de persoon wiens persoonsgegevens worden verwerkt. Dit kan een inwoner, ondernemer, ambtenaar of contactpersoon van een (keten)partner zijn.

• •

  Chief Information Security Officer (CISO)

  Functionaris met een adviserende, coördinerende en toezichthoudende rol op het gebied van informatiebeveiliging. De CISO zorgt ervoor dat de informatiebeveiliging binnen de gemeentelijke organisaties voldoet aan de geldende normen en richtlijnen.

• •

  Datalek

  Een datalek is een beveiligingsinbreuk die op ongeautoriseerde of onopzettelijke wijze resulteert in de vernietiging, verlies, wijziging of ongeoorloofde toegang tot of verstrekking van gegevens.

• •

  Data Protection Impact Assessment (DPIA)

  Een instrument waarmee de privacyrisico’s van een gegevensverwerking in een vroeg stadium gestructureerd en helder in kaart gebracht worden. Het doel van een DPIA is om de mogelijke impact op de bescherming van persoonsgegevens te beoordelen en om maatregelen te identificeren die nodig zijn om de risico’s te verminderen. Een DPIA is verplicht wanneer een nieuwe verwerking wordt opgezet of als een bestaande verwerking significant verandert en daarmee waarschijnlijk een hoog privacyrisico voor de betrokkenen met zich meebrengt. De beoordeling omvat een inschatting van de risico’s en de benodigde beheersmaatregelen om eventuele tekortkomingen te verhelpen.

• •

  Functionaris Gegevensbescherming (FG)

  Een onafhankelijke deskundige binnen een organisatie die verantwoordelijk is voor het toezicht op en de naleving van de wetgeving op het gebied van gegevensbescherming. De FG biedt deskundig advies en ziet toe op de correcte toepassing van alle relevante privacyregelgeving binnen de organisatie waaronder de AVG.

• •

  Persoonsgegevens

  Persoonsgegevens zijn alle informatie die direct of indirect betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit omvat gegevens die specifiek over iemand gaan, zoals naam, adres en geboortedatum, of gegevens die naar een persoon te herleiden zijn. Gegevens over overleden personen of over organisaties vallen niet onder persoonsgegevens volgens de AVG. Naast reguliere persoonsgegevens zijn er bijzondere persoonsgegevens, die betrekking hebben op gevoelige onderwerpen zoals etnische achtergrond, politieke voorkeur of gezondheid.

• •

  Privacy Officer (PO)

  De Privacy Officer ontwikkelt en implementeert het privacybeleid, ondersteunt en adviseert de gemeente en de clustermanager, en fungeert als eerste aanspreekpunt voor privacy gerelateerde kwesties. Jaarlijks voert hij of zij een review uit op beleidsstukken, registers en overeenkomsten, waarbij wordt gewaarborgd dat de documentatie en gemaakte afspraken actueel zijn en voldoen aan de geldende wet- en regelgeving.

• •

  Verwerking

  Alle handelingen die je met persoonsgegevens kunt uitvoeren, zoals het verzamelen, registreren, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorsturen, verspreiden, beschikbaar stellen, combineren, koppelen, afschermen, verwijderen en vernietigen van gegevens.

• •

  Verwerkingsverantwoordelijke

  de persoon of organisatie, die beslist waarom persoonsgegevens worden verwerkt en bepaalt op welke manier dit gebeurt.

Bij de verwerking van persoonsgegevens spelen vaak verschillende belangen een rol, wat om een zorgvuldige afweging vraagt. Naast het belang van de individuele burger moeten ook het publieke belang en de onderlinge belangen van burgers tegen elkaar worden afgewogen.

• •

  Belang van de burger: Burgers willen dat hun persoonsgegevens veilig en betrouwbaar worden verwerkt, en dat duidelijk is wat de gemeente met die informatie doet. Enerzijds hechten zij belang aan het minimaliseren van opgeslagen gegevens en het beperken van de bewaartermijn tot wat noodzakelijk is. Anderzijds verwachten burgers efficiënte dienstverlening, waarbij de gemeente niet om reeds bekende informatie vraagt en gegevens slecht één keer worden vastgelegd voor meervoudig gebruik.

• •

  Publiek belang: de gemeente voert wettelijke en bestuurlijke taken uit op verschillende terreinen, zoals sociaal domein, openbare orde en veiligheid en burgerzaken. Voor een effectieve uitvoering van deze taken is het noodzakelijk om persoonsgegevens te verwerken.

• •

  Belangen van burgers ten opzichte van elkaar: de bescherming van de rechten van de ene burger kan ingrijpende gevolgen hebben voor de belangen en de rechten van de ander.

Voordat persoonsgegevens worden verwerkt, wordt er een belangenafweging gemaakt waarbij de privacy-uitgangspunten worden meegenomen. De gemeente voert een risicoanalyse uit om de potentiële risico’s van de verwerking vooraf inzichtelijk te maken. Na deze onderbouwde belangenafweging wordt besloten of de gegevensverwerking kan doorgaan en hoe de risico’s optimaal kunnen worden beheerst met de juiste maatregelen.

De gemeente Beekdaelen hecht groot belang aan de uitgangspunten van rechtmatigheid, behoorlijkheid en transparantie zoals vastgelegd in de AVG. Deze principes staan centraal in ons beleid en zijn essentieel voor de bescherming van de privacy van onze inwoners. Hieronder leggen we uit hoe gemeente Beekdaelen deze uitgangspunten binnen de organisatie concreet zal toepassen en waarborgen.

3.1 Rechtmatigheid

• •

  De gemeente baseert zich op de geldende wet- en regelgeving voor gegevensverwerkingen en de AVG. Voor het verwerken van persoonsgegevens is altijd een wettelijke grondslag vereist. Indien de gemeente persoonsgegevens voor bredere doeleinden wil gebruiken, kan dit uitsluitend met de toestemming van de betrokkenen.

• •

  Het kan voorkomen dat de gemeente persoonsgegevens vaker moet gebruiken. Dit is alleen toegestaan als het nieuwe gebruik in overeenstemming is met de oorspronkelijke doeleinden waarvoor de gegevens zijn verzameld. Als blijkt dat het nieuwe gebruik niet verenigbaar is, zullen wij zoeken naar een rechtmatige grondslag. Dit wordt beoordeeld door ons Privacy Team.

• •

  De gemeente legt uitsluitend persoonsgegevens vast wanneer dit noodzakelijk is voor het beoogde doel van de verwerking, bijvoorbeeld om te voldoen aan wettelijke verplichtingen of om de belangen van betrokkenen te beschermen.

• •

  Bij gegevensverwerking binnen de gemeente worden de beginselen van proportionaliteit en subsidiariteit nageleefd. Proportionaliteit betekent dat alleen die persoonsgegevens worden verzameld die in redelijke verhouding staan tot het doel van de verwerking. Subsidiariteit houdt in dat als het doel met een minder ingrijpend middel kan worden bereikt, de gemeente die de voorkeur geeft. Wij vragen enkel de informatie die noodzakelijk is voor het beoogde doel en kiezen altijd voor de minst ingrijpende methode voor de betrokkene.

3.2 Behoorlijkheid

• •

  De gemeente streeft naar minimale gegevensverwerking. Dit houdt in dat we alleen de gegevens verzamelen die strikt noodzakelijk zijn voor het vastgelegde doel en voorkomen dat informatie onnodig herhaaldelijk wordt gevraagd. We handhaven dit principe ook door middel van werkinstructies en periodieke data opschoonacties.

• •

  De gemeente hanteert het beginsel van eenmalige vastlegging, meervoudig gebruik. Gegevens die bekend zijn, worden niet onnodig opnieuw gevraagd. We maken zoveel mogelijk gebruik van brongegevens, zoals die in de basisregistraties zijn opgenomen, mits hiervoor een wettelijke grondslag en een verenigbaar doel bestaan. Deze grondslagen en vereisten worden niet door individuele werknemers bepaald, maar zijn vastgelegd op teamniveau via werkinstructies en autorisaties, die heldere kaders scheppen voor onze medewerkers.

• •

  De gemeente bewaart persoonsgegevens niet langer dan noodzakelijk, waarbij de bewaartermijn altijd wordt afgestemd op het doel waarvoor de gegevens zijn verzameld. Dit gebeurt doorgaans op basis van wettelijke bewaartermijnen; als de wet hierin niet voorziet, worden de bewaartermijnen vastgelegd in ons verwerkingsregister.

• •

  Alleen functionarissen (ambtenaren, externen, leveranciers en convenantpartners) hebben toegang tot de persoonsgegevens indien dit noodzakelijk is voor hun directe taakuitoefening. Deze gegevens worden vertrouwelijk behandeld en er is een strikt autorisatiebeleid van kracht, zodat alleen medewerkers toegang hebben tot de gegevens die relevant zijn voor hun rol.

• •

  Er worden geheimhoudingsverklaringen gebruikt voor externen en leveranciers. Daarnaast worden met externe (keten)partners verwerkingsovereenkomsten of convenanten afgesloten.

• •

  Persoonsgegevens worden zorgvuldig beveiligd opgeslagen om ze te beschermen tegen misbruik, verlies, onbevoegde toegang en wijziging. De gemeente hanteert het principe van ‘privacy by design’, wat inhoudt dat er al tijdens de ontwikkeling van producten en diensten, zoals informatiesystemen, aandacht wordt besteed aan privacy verhogende maatregelen. Hierdoor worden privacy risico’s vanaf het begin proactief aangepakt.

• •

  Het is van groot belang voor zowel de gemeente als de burgers dat persoonsgegevens actueel en juist zijn. Daarom worden er regelmatig projecten en processen uitgevoerd om de basisregistratie personen te onderhouden en te actualiseren. Dit valt ook onder onze wettelijke verantwoordelijkheden.

• •

  De gemeente zal nooit persoonsgegevens voor commerciële doeleinden gebruiken.

3.3 Transparantie

• •

  Iedereen heeft het recht om te weten welke persoonsgegevens de gemeente Beekdaelen over hem/haar heeft verzameld en hoe deze worden gebruikt. Dit staat onder andere beschreven in onze privacyverklaring op de website. Daarnaast wordt per team gekeken naar de beste manier om betrokkenen te informeren. Deze werkwijze is vastgelegd in instructies om te voldoen aan de informatieplicht volgens de AVG.

• •

  Wanneer er een probleem optreedt met persoonsgegevens, wordt het datalek gemeld bij de Autoriteit Persoonsgegevens. De gemeente Beekdaelen zal ook open en transparant zijn over de frequentie en aard van de incidenten.

• •

  Burgers hebben recht om te weten welke persoonsgegevens de gemeente over hen heeft verzameld en voor welke doeleinden deze worden gebruikt. Als een burger verzoekt om inzage in deze gegevens, verstrekt de gemeente de gevraagde informatie, tenzij wettelijke belangen dit verhinderen. Burgers kunnen ook verzoeken om correctie, aanvulling of verwijdering van hun persoonsgegevens. Deze verzoeken worden ingewilligd, tenzij wettelijke belangen, zoals die voor opsporing, dit verhinderen.

• •

  De gemeente is transparant over het type persoonsgegevens dat zij met derden deelt voor specifieke doeleinden. Uitzonderingen kunnen bestaan wanneer wettelijke belangen zich hiertegen verzetten. Het type persoonsgegevens wordt geregistreerd in ons verwerkingsregister en wordt op de website gepubliceerd.

De AVG vereist dat wij kunnen aantonen dat we voldoen aan de wettelijke eisen voor gegevensbescherming, wat bekend staat als “accountability”. De gemeente Beekdaelen heeft een sluitend stelsel van afspraken gerealiseerd om aan deze eis te voldoen. Dit privacybeleid is opgesteld volgens de PDCA-methodiek (Plan-Do-Check-Act), wat betekent dat het beleid is ontwikkeld door een cyclisch proces van planning, uitvoering, controle en bijstelling.

Het beleid is door de Privacy Officer herzien en uitgebreid, met aandacht voor de huidige bedrijfsvoering en het informatiebeveiligingsbeleid. Na herziening is het beleid voor advies voorgelegd aan de Functionaris Gegevensbescherming (FG) en vervolgens vastgesteld door het College. Het is vervolgens door de gehele organisatie gecommuniceerd via diverse kanalen. Het lijnmanagement is verantwoordelijk voor de uitwerking van het beleid in specifiek uitvoeringsbeleid, richtlijnen en werkinstructies, met ondersteuning van het Privacy Team. Dit privacybeleid en de uitwerking ervan worden elke drie jaar geëvalueerd, of eerder indien nodig. Jaarlijks evalueert het lijnmanagement het uitvoeringsbeleid en rapporteert hierover aan de FG.

Door deze systematische benadering en continue evaluatie van gegevensbescherming op zowel bestuurlijk als operationeel niveau zorgt de gemeente Beekdaelen ervoor dat de kwaliteit van gegevensbescherming geoptimaliseerd en geborgd wordt en voldoet aan de eisen van de AVG.