Privacybeleid

1. Inleiding

De gemeente Noord-Beveland werkt met (persoons)gegevens van burgers, ondernemers, medewerkers en (keten)partners. Deze gegevens verzamelt de gemeente Noord- Beveland om de gemeentelijke wettelijke taken goed uit te kunnen voeren van. Denk hierbij aan taken in het sociaal domein, openbare orde en veiligheidsdomein of voor burgerzaken. Om deze taken goed te volbrengen is het noodzakelijk dat de gemeente Noord-Beveland persoonsgegevens verwerkt. De burger moet erop kunnen vertrouwen dat de gemeente Noord-Beveland zorgvuldig en veilig met deze persoonsgegevens omgaat.

Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds digitaler wordende overheid maakt het zorgvuldig omgaan met persoonsgegevens steeds complexer en noodzakelijker. De gemeente Noord-Beveland is zich hiervan bewust en wil daarom met dit beleid aangeven hoe zij in algemene zin invulling geeft aan nationale en Europese wet- en regelgeving op het gebied van privacy, waaronder de Algemene Verordening Gegevensbescherming (hierna te noemen: AVG).

Geldigheidsduur

Dit beleid is vastgesteld op 18 februari 2025 door het college van burgemeester en wethouders als eindverantwoordelijke voor de gemeentelijke gegevensverwerking. Dit beleid zal tenminste eens per drie jaar worden beoordeeld en zo nodig worden herzien. Indien daar aanleiding toe is (bijvoorbeeld bij grote organisatorische veranderingen, wetswijzigingen, uitkomsten van Data Impact Protection Assessments) kan het college besluiten tot een tussentijdse herziening.

2. Wetgeving en begripsbepalingen

Op dit moment zijn zowel de Algemene Verordening Gegevens bescherming (AVG) als de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) van kracht. De UAVG is de Nederlandse aanvulling op de AVG.

De definities van art. 4 AVG hebben in dit beleidsdocument dezelfde betekenis.

3. Visie

De komende jaren zet de gemeente Noord-Beveland in op het verhogen van de privacy bewustwording en verdere professionalisering van de privacy functie in de organisatie. Een goede privacy boekhouding is noodzakelijk voor het goed functioneren van de gemeente Noord-Beveland en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed eigenaarschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Daarbij is verantwoord en bewust gedrag van alle medewerkers essentieel voor privacy binnen de gemeente Noord-Beveland.

4. Doel

Met dit privacybeleid geeft de gemeente Noord-Beveland een kader voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de persoonlijke levenssfeer van de personen waarvan de gemeente Noord-Beveland persoonsgegevens verwerkt (of laat verwerken). Daarnaast beoogt dit privacybeleid taken en verantwoordelijkheden op het gebied van de bescherming van persoonsgegevens helder af te bakenen.

De verdere uitwerking van dit beleid is - waar relevant - vastgelegd in de operationele documenten binnen de gemeente Noord-Beveland, zoals handreikingen, concrete werkprocedures of werkafspraken voor algemene onderwerpen zoals datalekken, maar ook domeinspecifieke onderwerpen als gegevensdeling voor de uitvoering van de Jeugdwet of de Wet Maatschappelijke Ondersteuning.

Naast dit door het college vastgestelde privacybeleid is het Strategisch Informatiebeveiligingsbeleid 2021-2025 vastgesteld. Hierin zijn maatregelen opgenomen om de beschikbaarheid, integriteit en vertrouwelijkheid van (persoons)gegevens te garanderen. Informatiebeveiliging is een randvoorwaarde voor de bescherming van persoonsgegevens. Het gemeentelijke privacybeleid kan daarom niet los worden gezien van het gemeentelijke Strategisch Informatiebeveiligingsbeleid 2021-2025.

Verantwoordelijkheid van iedere werknemer

Iedereen werkzaam binnen de gemeente Noord-Beveland is verantwoordelijk voor het verantwoord omgaan met persoonsgegevens. De gemeente Noord-Beveland verlangt van al haar medewerkers en alle personen die werkzaam zijn voor de gemeente Noord-Beveland dat de voorschriften van dit privacybeleid worden opgevolgd en actief worden uitgedragen.

5. Reikwijdte

De gemeente Noord-Beveland verzamelt en gebruikt persoonsgegevens van inwoners, leveranciers en medewerkers en andere natuurlijke personen (hierna te noemen: betrokkenen).

Dit privacybeleid is van toepassing op alle verwerkingen van persoonsgegevens door of namens de gemeente Noord-Beveland, waaronder:

• 1.

  De verwerking van persoonsgegevens binnen de bedrijfsprocessen van de gemeente Noord-Beveland;

• 2.

  De verwerking van persoonsgegevens die is uitbesteed, of op een andere manier is georganiseerd, zoals deelname van de gemeente Noord-Beveland aan een rechtspersoon die voor de gemeente Noord-Beveland bepaalde diensten verricht;

• 3.

  De gegevensuitwisseling met derde partijen zoals bij samenwerkingsverbanden of leveranciers.

6. Soorten persoonsgegevens

De gemeente Noord-Beveland verwerkt verschillende soorten persoonsgegevens voor verschillende doeleinden. Dit kunnen zowel normale als bijzondere persoonsgegevens zijn en verschilt per geval. De te verwerken persoonsgegevens lopen daarom zeer uiteen.

7. Principes voor de verwerking van persoonsgegevens

De AVG is gebaseerd op een aantal principes voor de verwerking van persoonsgegevens. De gemeente Noord-Beveland onderschrijft deze principes en stelt zich ten doel persoonsgegevens slechts te verwerken in overeenstemming met deze principes.

Rechtmatige grondslag

Persoonsgegevens worden door de gemeente Noord-Beveland slechts verwerkt in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze. Dit betekent onder meer dat verwerkingen alleen plaatsvinden indien hiervoor een rechtmatige verwerkingsgrondslag bestaat. De AVG kent de volgende zes grondslagen:

• 1.

  Er is toestemming van de betrokkenen.

• 2.

  Het is noodzakelijk om persoonsgegevens te verwerken voor het uitvoeren van een overeenkomst.

• 3.

  Het is noodzakelijk om persoonsgegevens te verwerken vanwege een wettelijke verplichting.

• 4.

  Het is noodzakelijk om persoonsgegevens te verwerken om vitale belangen te beschermen.

• 5.

  Het is noodzakelijk om persoonsgegevens te verwerken voor het uitvoeren van een taak van algemeen belang of openbaar gezag.

• 6.

  Het is noodzakelijk om persoonsgegevens te verwerken voor de behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke.

Veelal vloeit de grondslag voor een verwerking bij een gemeente voort uit een wet (wettelijke verplichting) of een publiekrechtelijke taak.

Mocht de gemeente Noord-Beveland bijzondere persoonsgegevens verwerken, gebeurt dit altijd op grond van de uitzonderingen zoals bepaald in de AVG en de UAVG.

Welbepaalde doeleinden

De gemeente Noord-Beveland verwerkt persoonsgegevens voor zeer uiteenlopende doeleinden. Zonder doel mogen persoonsgegevens niet worden verwerkt. De verwerking van persoonsgegevens vindt plaats op een wijze die noodzakelijk is om de doeleinden te bereiken waarvoor de gegevens zijn verkregen. Dit betekent dat de gemeente Noord-Beveland alleen die persoonsgegevens verwerkt die noodzakelijk zijn om het doel te bereiken (ter zake dienend). De gemeente Noord-Beveland ziet af van de verwerking als het doel op een andere – minder ingrijpende – wijze kan worden bereikt, bijvoorbeeld door minder of geen persoonsgegevens te verwerken.

Verdere verwerking

Persoonsgegevens kunnen in bepaalde gevallen worden verwerkt voor andere doelen dan waarvoor ze in eerste instantie zijn verzameld. Daarbij geldt onder andere dat de twee doelen aan elkaar verwant moeten zijn, er zich geen nadelige effecten voor de betrokkenen voordoen, dan wel dat hiervoor extra waarborgen zijn getroffen. De gemeente Noord-Beveland voert, voordat de verwerking start, een toets uit om te bepalen of de gegevens voor andere doelen mogen worden gebruikt op grond van de wet- en regelgeving.

Minimale gegevensverwerking

Gegevens mogen alleen worden verwerkt als dit in verhouding staat tot het doel. Als het doel waarvoor persoonsgegevens worden verwerkt, zonder of met minder persoonsgegevens kan worden bereikt, dan kiest de gemeente Noord-Beveland bij voorkeur voor die mogelijkheid. Ook als het doel waarvoor persoonsgegevens worden verwerkt op een wijze kan worden verwezenlijkt die minder inbreuk maakt op de privacy van de betrokkene, dan kiest de gemeente Noord-Beveland bij voorkeur voor die mogelijkheid.

Juiste en actuele gegevens

De gemeente Noord-Beveland zorgt ervoor dat alleen persoonsgegevens worden verwerkt die juist en actueel zijn gelet op het doel waarvoor zij verzamelt zijn of vervolgens worden verwerkt. De gemeente Noord-Beveland neemt redelijke maatregelen om persoonsgegevens juist en actueel te houden, onjuiste persoonsgegevens te actualiseren, te rectificeren en/of te wissen.

Gegevens worden op tijd vernietigd

De gemeente Noord-Beveland stelt de bewaartermijn van een verwerking vast aan de hand van wettelijke bepalingen en de selectielijsten. Gemeenten hebben op grond van de Archiefwet 1995 onder andere de plicht om zogenaamde selectielijsten op te stellen. Deze selectielijsten bepalen voor een selectie van documenten hoelang deze moeten worden bewaard.

Alleen als de bewaartermijn niet op basis van wettelijke bepalingen of de selectielijsten kan worden vastgesteld, stelt de gemeente Noord-Beveland de bewaartermijn vast op basis van noodzakelijkheid. Persoonsgegevens mogen dan niet langer worden bewaard dan noodzakelijk. De gemeente Noord-Beveland bewaart gegevens alleen langer als deze geanonimiseerd worden, zodat directe of indirecte identificatie van een persoon niet meer mogelijk is.

Integriteit en vertrouwelijkheid

De gemeente Noord-Beveland neemt passende technische en organisatorische maatregelen om de persoonsgegevens, met name bijzondere persoonsgegevens, te beschermen tegen misbruik en onrechtmatige of ongeautoriseerde verwerking. De gemeente Noord-Beveland handelt hierbij in overeenstemming met het Strategisch Informatiebeveiligingsbeleid 2021-2025. Het Strategisch Informatiebeveiligingsbeleid 2021-2025 verplicht de gemeente Noord-Beveland om informatie te beveiligen tegen ongeautoriseerd gebruik, vernietiging (per ongeluk of onrechtmatig), verlies of vervalsing, onbevoegde bekendmaking of toegang en alle andere onrechtmatige manieren van verwerking.

Privacy by Default en Privacy by Design

De gemeente Noord-Beveland houdt bij de ontwikkeling van nieuwe diensten, systemen of processen rekening met aspecten van privacy en gegevensbescherming om zo te komen tot een zo optimaal mogelijke bescherming van Persoonsgegevens. Dit uitgangspunt wordt Privacy by Design (PbD) genoemd. De gemeente draagt er zorg voor dat concrete maatregelen zoveel mogelijk doorgevoerd worden in het ontwerp. Daarbij neemt de gemeente Privacy by Default als uitgangspunt: de standaardinstellingen zijn altijd zo privacy-vriendelijk mogelijk.

Toegang tot gegevens

Uitsluitend geautoriseerde gebruikers zijn bevoegd tot onder meer het invoeren, rechtstreeks raadplegen, wijzigen en verwijderen van persoonsgegevens voor zover aan hen hiervoor bevoegdheden zijn toegekend. Deze bevoegdheden worden verleend op grond van het binnen de gemeente Noord-Beveland geldend beleid voor toegang tot gegevens, waaronder het Strategisch Informatiebeveiligingsbeleid 2021-2025. Het beheer van bevoegdheden wordt periodiek gecontroleerd. De gemeente Noord-Beveland hanteert daarnaast specifieke oplossingen en toepassingen, waaronder het bijhouden van loggegevens, om ongeautoriseerde toegang tot en niet toegestane verwerkingen van persoonsgegevens zo veel mogelijk te voorkomen en aan te pakken.

Inbreuk in verband met persoonsgegevens

Bij toegang tot, verlies of wijziging van persoonsgegevens bij de gemeente Noord-Beveland, zonder dat dit de bedoeling is, is er sprake van een datalek. Dat moet, afhankelijk van het risico, worden gemeld bij de toezichthouder (de Autoriteit Persoonsgegevens) en soms bij de getroffen betrokkenen. De gemeente Noord-Beveland registreert datalekken, zet de bevindingen om in verbeterpunten en ziet toe op de opvolging hiervan. Nadere regels ten aanzien van het vaststellen, melden en afhandelen van datalekken zijn opgenomen in een procedure meldplicht datalekken.

Samenwerking

De gemeente Noord-Beveland schakelt soms derden in om persoonsgegevens in opdracht van haar te verwerken. Deze derden worden verwerkers genoemd. Ook een verwerker moet zich houden aan de privacyregelgeving en aan het privacybeleid van de gemeente Noord-Beveland. De AVG verplicht gemeenten tot het maken van contractuele afspraken met verwerkers, zogenaamde verwerkersovereenkomsten.

Samenwerkingsverbanden

Verder kan het voorkomen dat de gemeente Noord-Beveland samenwerkt met andere (overheids)organisaties om een taak van algemeen belang uit te voeren. In die gevallen kan sprake zijn van meerdere verwerkersverantwoordelijken (gezamenlijk of individueel). De gemeente Noord-Beveland maakt met deze organisaties afspraken over de wijze waarop persoonsgegevens worden verwerkt. Derden waarborgen een beschermingsniveau dat gelijk is aan dat van de gemeente Noord-Beveland.

Doorgifte buiten de EER

Doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER) of een internationale organisatie, geschiedt alleen in overeenstemming met de relevante bepalingen in toepasselijke wet- en regelgeving en dit privacybeleid.

Transparantie

De gemeente Noord-Beveland informeert de betrokkenen tijdig, op een zo eenvoudig mogelijke, begrijpelijke en toegankelijke wijze over het feit dat zij persoonsgegevens verwerkt, op welke wijze en voor welke doeleinden. De betrokkene wordt op heldere en laagdrempelige wijze geïnformeerd over zijn rechten en de wijze waarop hij deze kan uitoefenen. Alleen indien de wet anders bepaalt, wijkt de gemeente Noord-Beveland van deze informatieplicht af.

Rechten van betrokkenen

Iedereen heeft het recht om te vernemen welke persoonsgegevens de gemeente Noord-Beveland over hem/haar heeft verzameld en waarvoor deze worden gebruikt. Betrokkenen hebben de mogelijkheid om hun rechten uit hoofdstuk III van de AVG uit te oefenen, te weten het recht van inzage, recht op rectificatie, recht op verwijdering, recht op bezwaar, recht op beperking en recht op overdraagbaarheid.

Om gebruik te maken van de rechten dient de betrokkene een verzoek in via de website van de gemeente Noord-Beveland. Hierop bevindt zich een webformulier voor het indienen van een AVG-verzoek. De gemeente Noord-Beveland streeft er conform de AVG naar het verzoek binnen één maand van ontvangst af te handelen. Deze termijn kan met maximaal twee maanden worden verlengd. Een verzoek wordt uitsluitend per brief beantwoord. Om het bezoek in behandeling te kunnen nemen is het noodzakelijk dat betrokkene zich identificeert en het verzoek specifiek genoeg omschrijft. Als dit niet gebeurt, kan het verzoek afgewezen worden. Het besluit op het verzoek van betrokkene kwalificeert als een besluit in de zin van de Awb, waartegen bezwaar of beroep openstaat. Daarnaast kan een klacht worden ingediend bij de Autoriteit Persoonsgegevens.

Geschillenbeslechting

Indien de betrokkene van mening is dat de gemeente Noord-Beveland niet op een juiste wijze met zijn persoonsgegevens is omgegaan, kan hij een klacht indienen middels de van toepassing zijnde klachtenprocedure zoals opgenomen op de website van de gemeente Noord-Beveland. De betrokkene heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, met betrekking tot de naleving van wet- en regelgeving op het gebied van de bescherming van persoonsgegevens.

Verantwoording

Onder de verantwoordelijkheid van zowel het college van burgemeester en wethouders als de gemeenteraad vindt een groot aantal verwerkingen van persoonsgegevens plaats. Daar vindt extern en intern toezicht op plaats. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacyregels in Nederland. Daarnaast beschikt de gemeente Noord-Beveland over een interne toezichthouder: de Functionaris Gegevensbescherming (FG). De FG ziet erop toe dat de AVG intern wordt nageleefd. De gemeente stelt voldoende middelen ter beschikking aan de FG om het toezicht adequaat uit te kunnen voeren.

Verwerkingsregister

De gemeente Noord-Beveland beschikt over een verwerkingsregister, waarin alle verwerkingen van persoonsgegevens gedocumenteerd zijn en inzichtelijk zijn gemaakt. Het verwerkingsregister wordt jaarlijks gecontroleerd en bijgehouden.

Algoritmeregister

De gemeente Noord-Beveland maakt gebruik van algoritmes, daarom is de gemeente Noord-Beveland aangesloten bij het algoritmeregister van de Nederlandse overheid. In dit register kunnen betrokkenen raadplegen welke algoritmes de gemeente Noord-Beveland gebruikt.

Data Protection Impact Assessment (DPIA)

Als een verwerking mogelijk een hoog risico inhoudt voor de betrokkene, moet de gemeente Noord-Beveland een beoordeling uitvoeren van het effect van een verwerking van persoonsgegevens. De gemeente Noord-Beveland voert in dat geval een Data Protection impact assessment (DPIA) (ook wel gegevenseffectbeoordeling of GEB genoemd). Als uit de DPIA blijkt dat er inderdaad hoge risico’s zijn verbonden aan de verwerking, moet de gemeente Noord-Beveland voldoende maatregelen nemen om de risico’s te verminderen. Als het niet lukt om (voldoende) maatregelen te nemen om dit risico te beperken, dan moet de gemeente Noord-Beveland met de AP overleggen, voordat zij met de verwerking start. Dit wordt een voorafgaande raadpleging1 genoemd.

Functionaris gegevensbescherming (FG)

De gemeente Noord-Beveland is een overheidsinstantie die structureel en op grote schaal persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens. De gemeente Noord-Beveland is daarom verplicht een FG aan te stellen. De FG is de onafhankelijke intern toezichthouder en heeft een adviserende, informerende en toezichthoudende taak. Dit betekent dat de FG toeziet op alle verwerkingen van persoonsgegevens. De FG brengt jaarlijks een verslag uit aan het college van burgemeester en wethouders van zijn werkzaamheden, bevindingen en aanbevelingen.

PDCA Cyclus

De gemeente Noord-Beveland streeft ernaar om rondom de verwerking van persoonsgegevens in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente Noord-Beveland weet welke maatregelen genomen zijn ten aanzien van de verwerking van persoonsgegevens, dat er een planning is van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in een Plan-Do-Check-Act-cyclus.

Bewustwording

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van het verwerken van persoonsgegevens uit te sluiten. Het is noodzakelijk om het bewustzijn in de gemeentelijke organisatie voortdurend aan te scherpen, zodat kennis van risico’s wordt verhoogd en (veilig en verantwoord) gedrag om persoonsgegevens zorgvuldig te verwerken wordt aangemoedigd. Iedere medewerker wordt aantoonbaar geïnformeerd over het zorgvuldig omgaan met persoonsgegevens, bijvoorbeeld via instructies. Dit gebeurt passend binnen de context van en bij het domein waarbinnen die worden verwerkt.

8. Rollen en Verantwoordelijken

Het governancemodel van de gemeente Noord-Beveland biedt een overkoepelende visie en strategie hoe de bescherming van persoonsgegevens effectief belegd wordt binnen de organisatie. Daartoe bevat het een beschrijving van de taken en verantwoordelijkheden van het college van burgemeester en wethouders, het managementteam en medewerkers, de Functionaris voor de Gegevensbescherming (FG), de Privacy Officer en de CISO.

Rollen en verantwoordelijkheden

College van burgemeester en wethouders

Het college is eindverantwoordelijk voor de naleving van de privacywetgeving binnen de gemeente Noord-Beveland. Het college heeft de volgende rollen en verantwoordelijkheden:

• –

  Eindverantwoordelijk voor de naleving van de de privacywetgeving binnen de gemeente Noord-Beveland;

• –

  Stelt het privacybeleid vast;

• –

  Geeft sturing aan privacy beleidsvoering en legt rekenschap af over privacy beleidsvoering aan de FG;

• –

  Evalueert de toepassing en werking van het privacybeleid op basis van de rapportage van de FG;

• –

  Bevordert duurzame privacycultuur.

Afdelingshoofden en directeuren

De afdelingshoofden en directeuren zijn eindverantwoordelijk voor de naleving van de privacywetgeving binnen de afdeling, alsmede voor de uitvoering van het privacybeleid.

De afdelingshoofden en directeuren hebben de volgende rollen en verantwoordelijkheden:

• –

  Eindverantwoordelijk voor de naleving van de privacywetgeving binnen de eigen afdeling;

• –

  Verantwoordelijk voor implementatie en uitvoering van het privacybeleid binnen de eigen afdeling;

• –

  Informeert de FG op welke manier de eigen afdeling compliant is aan de privacywetgeving;

• –

  Verantwoordelijk voor (laten) volgen van trainingen door werknemers binnen de eigen afdeling;

• –

  Verantwoordelijk voor registreren van de gegevensverwerkingen in het verwerkingenregister voor zover dit betrekking heeft op de eigen afdeling;

• –

  Verantwoordelijk voor autorisatie en intrekken van de autorisatie van medewerkers die persoonsgegevens verwerken;

• –

  Aansturen van de Privacy Officers, voor zover benoemd binnen de eigen afdeling;

• –

  Bevordert duurzame privacycultuur;

• –

  Betrekt PO en/of FG in een vroeg stadium bij nieuwe of gewijzigde verwerkingen van persoonsgegevens.

Functionaris Gegevensbescherming (FG)

Op basis van de AVG is het aanstellen van een FG verplicht voor de gemeente Noord-Beveland. De FG is verantwoordelijk voor het toezicht op de naleving van de AVG. De FG heeft een onafhankelijke adviserende en toezichthoudende positie in de organisatie. De FG heeft de volgende rollen en verantwoordelijkheden in de gehele organisatie van de gemeente Noord-Beveland:

• –

  Interne toezichthouder op de naleving van de AVG namens de Autoriteit Persoonsgegevens;

• –

  Monitort veranderingen in wetgeving en stelt de impact van deze wijzigingen vast en adviseert de organisatie bij de implementatie hiervan;

• –

  Neemt de leiding bij het interpreteren van (nieuwe) wetgeving op het gebied van privacy en gegevensbescherming;

• –

  Draagt privacybeleid actief uit binnen de gehele gemeente Noord-Beveland en bevordert een cultuur van duurzame gegevensbescherming;

• –

  Adviseert verwerkingsverantwoordelijken bij privacyklachten en verzoeken van betrokkenen (ombudsfunctie);

• –

  Adviseert verwerkingsverantwoordelijken ten aanzien van het mitigeren van privacy risico’s, bijvoorbeeld bij het uitvoeren van DPIA’s en hoog-risico dossiers;

• –

  Adviseert de verwerkingsverantwoordelijke bij datalekken (volgens de meldprocedure);

• –

  Beheert het centrale verwerkingenregister;

• –

  Beschikt over controle- en monitoringbevoegdheden (het recht om interne onderzoeken te laten uitvoeren met toegang tot informatie);

• –

  Rapporteert aan het college van burgemeester en wethouders.

Privacy Officer

De Privacy Officer is het eerste aanspreekpunt voor de gemeente Noord-Beveland rondom privacygerelateerde vraagstukken, en heeft een monitorende en ondersteunende functie rondom het naleven en uitvoeren van het privacybeleid. De Privacy Officer heeft de volgende rollen en verantwoordelijkheden:

• –

  Adviseert en faciliteert de verwerkingsverantwoordelijken ten aanzien van het naleven en de uitvoering van het privacybeleid;

• –

  Opstellen privacybeleid en modellen, formats en standaard-overeenkomsten, waaronder o.a. de verwerkersovereenkomst en de overeenkomst voor uitwisseling van persoonsgegevens;

• –

  Monitort en ondersteunt verwerkingsverantwoordelijken bij toepassing, opvolging en uitvoering van het privacybeleid;

• –

  Monitort en ondersteunt het (laten) registreren van verwerkingen in het verwerkingsregister door de verwerkingsverantwoordelijke en het (laten) registreren van relevante wijzigingen;

• –

  Adviseert de verwerkingsverantwoordelijke bij het uitvoeren van gegevenseffectbeoordeling DPIA en de daaruit voortvloeiende risico’s alsmede de organisatorische en technische maatregelen om deze te mitigeren;

• –

  Adviseert over de bepalingen in verwerkersovereenkomsten en faciliteert bij het opstellen, aanpassen en uitonderhandelen daarvan;

• –

  Adviseert over mechanismen voor internationale uitwisseling van persoonsgegevens naar landen buiten de EU/EER;

• –

  Adviseert over privacy-gerelateerde bepalingen in overeenkomsten met derden waarbij persoonsgegevens worden uitgewisseld;

• –

  Adviseert over de verwerkingsgrondslag (en adviseert, indien van toepassing, over de informed consent);

• –

  Ontwikkelt de bewustmakingsprogramma’s- en privacytrainingen voor medewerkers, organiseert deze en voert deze trainingen uit;

• –

  Adviseert de verwerkingsverantwoordelijke over Privacy by Design & Default bij ontwikkeling van nieuwe systemen in samenwerking met de CISO en ondersteunt en faciliteert bij het opstellen en uitwerken daarvan;

• –

  Ondersteunt en faciliteert verwerkingsverantwoordelijke bij het afhandelen van datalekken (volgens de meldprocedure).

Andere rollen en verantwoordelijkheden