Beleid Wet politiegegevens

Artikel 1. Begripsbepalingen

In dit beleid wordt verstaan onder:

• a.

  gemeente Dronten: het college van de burgemeester en wethouders van de gemeente Dronten als verwerkingsverantwoordelijke van de politiegegevens;

• b.

  buitengewoon opsporingsambtenaar: de buitengewoon opsporingsambtenaar (boa) als bedoeld in het Besluit buitengewoon opsporingsambtenaar;

• c.

  opsporingstaak: de opsporing van de strafbare feiten als bedoeld in artikel 142. tweede lid. van het Wetboek van Strafvordering;

• d.

  akte van opsporingsbevoegdheid: de akte van opsporingsbevoegdheid als bedoeld in artikel 142. eerste lid. onder a. van het Wetboek van Strafvordering;

• e.

  wet: de Wet politiegegevens, het Besluit politiegegevens, het Besluit politiegegevens voor buitengewoon opsporingsambtenaar en de Regeling periodieke audit politiegegevens;

• f.

  Wpg-domein: domein bestaande uit de politie, marechaussee, rijksrecherche, Bijzondere Opsporingsdiensten en de buitengewoon opsporingsambtenaren;

• g.

  AVG: de Algemene verordening gegevensbescherming;

• h.

  politiegegevens: elk persoonsgegeven dat door het college van burgemeester en wethouders van de gemeente Dronten in het kader van de uitoefening van de politietaak wordt verwerkt, zoals omschreven in artikel 8 van de Wet politiegegevens;

• i.

  verwerken van politiegegevens: elke handeling of elk geheel van handelingen met betrekking tot politiegegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, vergelijken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van politiegegevens;

• j.

  autorisatieproces: het autorisatieproces voor het toewijzen, wijzigen en intrekken van autorisaties t.b.v. de toegang tot politiegegevens;

• k.

  verwerker van politiegegevens: degene die, niet werkzaam binnen de gemeentelijke organisatie, het geheel of een gedeelte van het geautomatiseerde systeem onder zich heeft waarmee de politiegegevens worden verwerkt;

• l.

  register: het register van verwerkingen ten behoeve van de verwerking van politiegegevens op grond van artikel 31d van de Wet politiegegevens.

• m.

  datalek: een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging, de bekendmaking of de ter beschikkingstelling van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte politiegegevens tot gevolg.

Artikel 2. Het aanwijzen van de buitengewoon opsporingsambtenaar

In de gemeente Dronten geschiedt de aanwijzing en benoeming van buitengewoon opsporingsambtenaren conform strikte criteria. Essentieel hierbij is dat aspiranten over een geldige akte van opsporingsbevoegdheid beschikken en een recente Verklaring Omtrent het Gedrag, oftewel de VOG, kunnen overleggen.

Gezien de uiteenlopende en complexe verantwoordelijkheden van buitengewoon opsporingsambtenaren, die variëren van taken op het gebied van strafrechtelijke opsporing tot bestuursrechtelijke toezichtstaken, is het essentieel dat zij beschikken over diepgaande kennis om effectief te kunnen opereren binnen de diverse domeinen van wet- en regelgeving. Als gevolg van deze wettelijke vereisten zijn buitengewoon opsporingsambtenaren gehouden aan een permanente plicht tot her- en bijscholing, bedoeld om hun kennis voortdurend te actualiseren. De gemeente Dronten voorziet daarbij in her- en bijscholingsmogelijkheden, zodat de buitengewoon opsporingsambtenaren voortdurend hun kennis en vaardigheden kunnen actualiseren en verdiepen.

Ter verdere ondersteuning voor buitengewoon opsporingsambtenaren, ten aanzien van de omgang met politiegegevens, biedt de gemeente Dronten specifieke werkinstructies aan. Deze werkinstructies, vastgesteld in overeenstemming met de wet, verschaffen uitvoerige informatie voor een juiste benadering van politiegegevens.

Tenslotte organiseert de gemeente Dronten op jaarlijkse basis, ten behoeve van de buitengewoon opsporingsambtenaren alsook andere medewerkers die in hun functie met politiegegevens in aanraking komen, een bewustwordingsprogramma. Deze bewustwordingsprogramma's zijn erop gericht om het bewustzijnsniveau en de kennis omtrent de zorgvuldige omgang met politiegegevens te actualiseren.

Artikel 3. Het verlenen van de toegang tot politiegegevens

De gemeente Dronten heeft, in overeenstemming met artikel 6 van de wet, een autorisatieproces ontwikkeld dat gedetailleerde stappen bevat voor het verlenen en intrekken van autorisaties. De toegang tot politiegegevens wordt strikt beheerd op basis van dit autorisatieproces. Dit betekent dat de toegang tot politiegegevens uitsluitend is voorbehouden aan buitengewoon opsporingsambtenaren, indien deze toegang noodzakelijk is voor de uitvoering van hun specifiek toegewezen opsporingstaken. In uitzonderlijke gevallen kunnen ook andere ambtenaren, die niet direct belast zijn met opsporingstaken maar wel specifieke onderdelen van de politietaak uitvoeren, toegang krijgen tot politiegegevens mits zij voldoen aan de gestelde autorisatiecriteria.

Voorafgaand aan het verlenen van de autorisatie worden de buitengewoon opsporingsambtenaren en andere medewerkers nadrukkelijk geïnformeerd over hun geheimhoudingsplicht en de gevolgen die de schending daarvan met zich meebrengt.

Om de integriteit en rechtmatigheid van de toegang tot politiegegevens te handhaven, voert de gemeente Dronten verschillende controles uit. Het gaat daarbij om controle op de actualiteit van de verleende autorisaties. Daarnaast draagt de gemeente Dronten zorg voor het 'loggen' van de autorisaties conform artikel 32a van de wet, waarbij de gelegde gegevens uitsluitend worden ingezet voor de controle van de rechtmatigheid van de verwerking van de politiegegevens. De bevindingen van deze periodieke controles op grond van dit artikel worden ter ondersteuning van de jaarlijks verplichte audits voor een periode van vijf jaar bewaard.

Artikel 4. Het verwerken van politiegegevens

De buitengewoon opsporingsambtenaren binnen de gemeente Dronten verwerken politiegegevens uitsluitend ten behoeve van de uitvoering van de dagelijkse politietaak. De verwerking ten behoeve van de uitvoering van de dagelijkse politietaak vindt plaats conform artikel 8 van de wet. Om de verwerking van politiegegevens in overeenstemming met artikel 3 van de wet te waarborgen, implementeert de gemeente Dronten daarbij passende beheersmaatregelen, zodat politiegegevens enkel worden verwerkt wanneer dit strikt noodzakelijk is voor het vervullen van opsporingstaken.

Daarnaast treft de gemeente Dronten conform artikel 4 van de wet maatregelen om te waarborgen dat politiegegevens te allen tijde juist en volledig zijn. Indien blijkt dat politiegegevens niet meer juist of volledig zijn, zorgt de gemeente Dronten voor onmiddellijke correctie of aanvulling daarvan en voert daarbij periodieke controles uit om de juistheid van de politiegegevens te waarborgen.

De gemeente Dronten implementeert maatregelen om ervoor te zorgen dat de politiegegevens voorzien zijn van noodzakelijke waarborgen. Zo is specifiek gewaarborgd dat buitengewoon opsporingsambtenaren in overeenstemming met artikel 4, derde lid, van de wet, duidelijk onderscheid maken tussen feitelijke informatie en een persoonlijk oordeel. Eveneens is gewaarborgd dat buitengewoon opsporingsambtenaren conform de eisen gesteld in artikel 6b van de wet, een helder onderscheid maken tussen verschillende categorieën betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden.

Tenslotte draagt de gemeente Dronten zorg voor het feit dat de beslissingen die buitengewoon opsporingsambtenaren nemen, niet uitsluitend worden gebaseerd op een geautomatiseerde verwerking, inclusief profilering, die voor de betrokkene nadelige rechtsgevolgen heeft of hem of haar in aanmerkelijke mate treft, zoals beschreven in artikel 7a van de wet.

Artikel 5. De termijnen van politiegegevens

De gemeente Dronten is bij het verwerken van politiegegevens gebonden aan de wettelijke bewaartermijnen die zij in acht neemt. De gemeente Dronten treft in dat kader, conform artikel 14 van de wet, waarborgen om ervoor te zorgen dat politiegegevens niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de specifiek aan buitengewoon opsporingsambtenaren toegewezen opsporingstaken. Daartoe implementeert de gemeente Dronten een geïntegreerde aanpak met duidelijke procedures om te waarborgen dat het systeem en de applicaties op actieve wijze de bewaartermijnen vanaf het moment van registratie correct classificeren en toepassen.

Artikel 6. Het ter beschikking stellen en verstrekken van politiegegevens

In het kader van de uitvoering van de opsporingstaken die buitengewoon opsporingsambtenaren wettelijk uitvoeren, kan het in voorkomende gevallen noodzakelijk zijn dat de gemeente Dronten, als verwerkingsverantwoordelijke, politiegegevens met anderen deelt. Het delen van informatie kent twee vormen. Enerzijds betreft het hierbij het ter beschikking stellen van politiegegevens, en anderzijds het verstrekken van politiegegevens, waarbij elke vorm van het delen van politiegegevens conform de wet een eigen regime en voorwaarden kent.

Bij het ter beschikking stellen van politiegegevens, in overeenstemming met artikel 15 van de wet, hanteert de gemeente Dronten het principe van 'Free flow of information'. Dit principe faciliteert de uitwisseling van politiegegevens binnen het politiedomein, waardoor buitengewoon opsporingsambtenaren in voorkomende gevallen met de politie of andere relevante partijen binnen het domein, politiegegevens ter beschikking kunnen stellen indien dit noodzakelijk is voor de uitoefening van hun taken.

Bij de verstrekking van politiegegevens aan externe partijen buiten het politiedomein, zoals bepaald conform paragraaf 3 van de wet, garandeert de gemeente Dronten dat de verstrekking voldoet aan de wettelijk gestelde voorwaarden. Hierbij wordt het 'need to know'-principe gehanteerd, wat zorgt dat uitsluitend essentiële informatie wordt verstrekking, overeenkomstig de wettelijke vereisten en enkel met wettelijk geautoriseerde entiteiten. Bij deze gegevensverstrekking controleert de gemeente Dronten zorgvuldig de kwaliteit van de gegevens en voegt, waar mogelijk, aanvullende informatie toe. Dit stelt de ontvanger in staat om de juistheid, volledigheid, betrouwbaarheid en actualiteit van de ontvangen gegevens te evalueren. Bovendien wordt aan de ontvangende partijen de mogelijkheid geboden om contact op te nemen met de gemeente Dronten om onjuistheden in de gegevens te rapporteren en verzoeken tot actualisering in te dienen, wat bijdraagt aan de nauwkeurigheid en betrouwbaarheid van de informatiedeling. Elke vorm van verstrekking van politiegegevens wordt door de buitengewoon opsporingsambtenaar of door een daartoe aangewezen medewerker binnen de gemeente Dronten conform artikel 32, eerste lid, aanhef en onder b, van de wet zorgvuldig gedocumenteerd.

Bij elke vorm van delen, zowel het ter beschikking stellen als het verstrekken van politiegegevens, zorgt de gemeente Dronten ervoor dat de geheimhoudingsplicht, die op de ontvangende partij rust, wordt nageleefd. De gemeente informeert de ontvangende partij nadrukkelijk over deze strikte geheimhoudingsverplichting, tenzij de wet uitdrukkelijk een uitzondering maakt.

De gemeente Dronten zorgt er tenslotte voor dat politiegegevens niet ter beschikking worden gesteld of worden verstrekt aan ontvangers in derde landen.

Artikel 7. De beveiliging en bescherming van politiegegevens

De gemeente Dronten neemt passende beheersmaatregelen om te garanderen dat de procesinrichting voor de verwerking van politiegegevens, zowel in ontwerp als in uitvoering, overeenstemt met de wet. Hierdoor neemt de gemeente Dronten, in overeenstemming met de artikelen 4a, 4b, en 4c van de wet, passende technische en organisatorische maatregelen om een passend beveiligingsniveau te garanderen, afgestemd op de risico's die verbonden zijn aan de verwerking van (bijzondere categorieën van) politiegegevens.

In dit kader hanteert de gemeente Dronten de principes van 'privacy by design' en 'privacy by default' bij de verwerking van politiegegevens. Dat betekent dat bij de ontwikkeling en het ontwerp van de applicaties en systemen die voor de verwerking van politiegegevens worden gebruikt, gegevensbeschermingsmaatregelen worden geïntegreerd om de privacy van de betrokkenen optimaal te beschermen. Bij de selectie, inrichting en het gebruik van applicaties en systemen, evenals bij het ontwerpen van verwerkingsprocessen, zorgt de gemeente Dronten ervoor dat de standaardinstellingen zodanig zijn geconfigureerd dat enkel de noodzakelijke gegevens verwerkt kunnen worden voor het beoogde doel.

De gemeente Dronten voert, in overeenstemming met artikel 4c van de wet, een beoordeling uit op de impact van de gegevensbescherming op verwerkingen die potentieel een hoog risico vormen voor de rechten en vrijheden van personen. Deze beoordeling is gericht op het identificeren en mitigeren van deze risico's door effectieve beveiligingsmaatregelen te implementeren.

Artikel 8. Samenwerking met serviceorganisaties

De gemeente Dronten maakt voor de verwerking van politiegegevens gebruik van applicaties, oftewel IT­ systemen, die beheerd en onderhouden worden door een derde partij, bekend als de serviceorganisatie. De serviceorganisatie wordt aangemerkt als verwerker. De selectie van de serviceorganisatie geschiedt met de hoogste mate van zorgvuldigheid, waarbij enkel serviceorganisaties in aanmerking komen die aantoonbaar voldoen aan de vereiste technische en organisatorische maatregelen. De gemeente Dronten legt de samenwerking met de serviceorganisatie, in lijn met artikel 6c, tweede lid, van de wet, vast in een schriftelijke verwerkersovereenkomst, waarbij het actuele model van de standaardovereenkomst van de Vereniging Nederlandse Gemeenten (VNG) wordt gebruikt.

De gemeente Dronten verlangt van alle serviceorganisaties die onder de reikwijdte van de wet vallen een Third Party Memorandum verklaring, oftewel een TPM-verklaring, om te bevestigen dat de vereiste beveiligingsmaatregelen en de juiste inrichting van de processen voor gegevensverwerking worden nageleefd.

De gemeente Dronten vereist daarnaast dat alle serviceorganisaties de benodigde informatie verstrekken om aan verplichtingen, zoals genoemd in de artikelen 6, 32 en 32a van de wet, te kunnen nakomen.

Artikel 9. De rechten van de betrokkenen

De gemeente Dronten hecht grote waarde aan het nauwkeurig informeren van de betrokkenen over de wijze waarop politiegegevens worden verwerkt. Op de website van de gemeente Dronten wordt een algemene uitleg gegeven over de wijze waarop de gemeente Dronten persoons- en politiegegevens verwerkt.

Daarnaast stelt de gemeente Dronten betrokken personen in staat om, naast de rechten van betrokkenen op grond van de AVG, ook rechten met betrekking tot de verwerking van hun politiegegevens uit te oefenen conform paragraaf 4 van de wet. Hiervoor heeft de gemeente Dronten een geïntegreerde procedure ontwikkeld die zowel betrekking heeft op de AVG als op de wet. Deze procedure beschrijft op welke wijze verzoeken worden afgehandeld, wie daarbij welke verantwoordelijkheid heeft, en hoe de gemeente Dronten de betrokkenen van informatie voorziet.

In deze procedure is tevens opgenomen onder welke omstandigheden de gemeente Dronten niet kan voldoen aan een specifiek verzoek, met name wanneer het verstrekken van informatie het onderzoek naar of de vervolging van een strafbaar feit zou kunnen belemmeren. De gronden voor het afwijzen van een verzoek, waaronder deze uitzonderingen, zijn strikt wettelijk gedefinieerd en nader gespecificeerd binnen de geïntegreerde procesbeschrijving voor de rechten van de betrokkenen van de gemeente Dronten.

Artikel 10. Het behandelen van datalekken

Hoewel de gemeente Dronten haar uiterste best doet om beveiligingsincidenten, waaronder datalekken, te voorkomen, erkent de gemeente Dronten dat in de complexe wereld van gegevensbeheer en -beveiliging dergelijke situaties toch kunnen voorkomen. De gemeente Dronten is hierop voorbereid en heeft naast de procedure voor data lekken op grond van de AVG, op grond van artikel 33a van de wet, een aanvullende procedure ontwikkeld om zowel data lekken als beveiligingsincidenten die plaatsvinden zo spoedig mogelijk op te pakken en de mogelijke risico's voor de betrokkenen te minimaliseren. In deze procedure is beschreven op welke wijze datalekken worden afgehandeld, wie daarbij welke verantwoordelijkheid heeft en op welke wijze de gemeente Dronten voorziet in corrigerende maatregelen om de risico's ten gevolge van het datalek te mitigeren.

In het geval dat een datalek zich voordoet en er risico's voor de rechten en vrijheden van betrokkenen zijn verbonden aan het incident, dan meldt de gemeente Dronten dit onverwijld bij de Autoriteit Persoonsgegevens en, indien noodzakelijk, aan de betrokkenen zelf. In sommige gevallen kan de mededeling aan de betrokkene worden uitgesteld, beperkt of zelfs achterwege worden gelaten. Deze situaties zijn duidelijk omschreven in de wet, specifiek in artikel 27, tweede lid, van de wet. Daarnaast zijn deze situaties nader toegelicht in het datalekkenproces van de gemeente Dronten.

De gemeente Dronten onderhoudt daarnaast een zorgvuldig bijgehouden register van datalekken die zowel op grond van de AVG als op grond van de wet plaatsvinden. Dit register dient niet alleen als een instrument voor verantwoording en transparantie naar de betrokkenen en toezichthouders, maar dient tevens als bron voor het analyseren van de oorzaken van zowel datalekken als beveiligingsincidenten. Op basis van deze analyses implementeert de gemeente Dronten gerichte verbeteringen om de kans op herhaling van datalekken te verminderen.

Artikel 11. Het register van verwerkingen

De gemeente Dronten heeft op grond van artikel 31d van de wet een specifiek register van verwerkingen ten behoeve van de verwerking van politiegegevens. Dit register documenteert de details van de verwerkingsactiviteit, inclusief:

• •

  De naam en contactgegevens van de gemeente Dronten, optredend als verantwoordelijke voor de verwerking van de gegevens.

• •

  De specifieke doeleinden waarvoor politiegegevens worden verwerkt, om duidelijkheid te verschaffen over de redenen voor het verzamelen en gebruiken van deze informatie.

• •

  Een beschrijving van de categorieën persoonsgegevens die worden verwerkt, om inzicht te bieden in de aard van de verwerkte informatie.

• •

  Een overzicht van de categorieën betrokkenen, om te verduidelijken van wie politiegegevens worden verwerkt.

• •

  Een lijst van de categorieën ontvangers aan wie politiegegevens ter beschikking kunnen worden gesteld of verstrekt, om een duidelijk beeld te geven van de wijze waarop en met wie informatie wordt gedeeld.

Daarnaast zorgt de gemeente Dronten ervoor dat het register jaarlijks wordt geactualiseerd. Deze jaarlijkse update waarborgt dat alle informatie in het register actueel en correct is, en stelt de gemeente Dronten daarmee in staat om de verwerkingsactiviteiten voortdurend te evalueren en waar nodig, te verbeteren.

Artikel 12. Het uitvoeren van een privacy-audit

De gemeente Dronten voert in lijn met artikel 33 van de wet controles uit in de vorm van privacy-audits op processen waarin politiegegevens worden verwerkt om te beoordelen of de gemeente Dronten de wettelijke normen op een correcte wijze heeft geïmplementeerd. Het evalueren van de processen waarin politiegegevens worden verwerkt, en daarmee het bevorderen van professionele dienstverlening, weerspiegelt de toewijding en is een essentieel onderdeel van de organisatieontwikkeling 'Dronten op Koers'.

De privacy-audits vinden jaarlijks plaats in de vorm van interne audits. Daarnaast wordt er iedere vier jaar een externe audit uitgevoerd waarvoor de gemeente Dronten een meerjarig auditplan ontwikkelt, dat de reikwijdte, planning en methodiek van de audits omvat. Mocht uit de resultaten van de privacy-audits blijken dat bepaalde onderdelen in het proces niet voldoen aan de wettelijke normen, dan neemt de gemeente Dronten direct maatregelen om deze tekortkomingen te adresseren en te verhelpen.

Artikel 13. De functionaris gegevensbescherming

Naast het zorgvuldig uitvoeren van audits zoals beschreven in dit beleid, heeft de gemeente Dronten een Functionaris Gegevensbescherming aangesteld, een onafhankelijke toezichthouder wiens kerntaak het is om conform de wet, toezicht te houden op het verwerken van politiegegevens.

De verantwoordelijkheden van de Functionaris Gegevensbescherming zijn uitgebreid en divers. De Functionaris Gegevensbescherming voert conform artikel 36 van de wet periodiek controles uit om te bezien of de gemeente Dronten voldoet aan de wettelijke normen met betrekking tot de verwerking van politiegegevens. Deze controles omvatten, maar zijn niet beperkt tot, het monitoren van:

• •

  de bewustwording over en naleving van de verplichtingen omtrent het verwerken van politiegegevens;

• •

  het autorisatie proces voor toegang tot politiegegevens;

• •

  de kwaliteit en nauwkeurigheid van de politiegegevens;

• •

  de naleving van de vastgestelde bewaartermijnen;

• •

  de correcte verstrekking van politiegegevens;

Daarbij stelt de Functionaris Gegevensbescherming periodiek rapportages op, inclusief aanbevelingen voor verbeteringen of wijzigingen in de processen. De rapportages van de Functionaris Gegevensbescherming zijn openbaar en kunnen indien nodig opgevraagd worden door anderen.

Artikel 14. De herziening en evaluatie van het beleid

Dit beleid wordt ten minste elke drie jaar geëvalueerd en, indien nodig, herzien om de actualiteit, effectiviteit en naleving ervan te waarborgen. Mochten er wijzigingen in de wet- en regelgeving plaatsvinden, dan kan dit leiden tot een tussentijdse herziening van het beleid.