Privacyreglement Waterschap Hunze en Aa’s 2025

Geldend van 19-04-2025 t/m heden

Intitulé

Privacyreglement Waterschap Hunze en Aa’s 2025

Inleiding

In dit reglement leggen wij uit hoe wij omgaan met persoonsgegevens en privacy. We vertellen wat wettelijk wel en niet mag.

Privacy is belangrijk in de relatie tussen burger en overheid, en daarom staat het hoog op onze agenda. Wij zijn verantwoordelijk voor persoonsgegevens en gegevensuitwisseling in al onze taken, waaronder waterbeheer, zorg voor het watersysteem en zuivering van afvalwater. Wij gaan dagelijks zorgvuldig en veilig om met persoonsgegevens.

Privacy beschermen is complex en wordt steeds moeilijker door technologische ontwikkelingen, decentralisaties, veiligheidsuitdagingen en nieuwe Europese wetgeving.

Daarom zijn wij transparant over hoe wij met persoonsgegevens omgaan, privacy waarborgen en de rechten en plichten benoemen.

Artikel 1 Wetgeving en definities

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) en de uitvoeringswet (UAVG). De definities staan in de AVG uitgeschreven. Hieronder de belangrijke begrippen uit de AVG uitgelegd:

  • Betrokkene: De persoon van wie de gegevens worden verwerkt.

  • Verwerkingsverantwoordelijke: Degene die het doel en de middelen voor de verwerking bepaalt.

  • Verwerker: Degene die de gegevens verwerkt in opdracht van een ander.

  • Verwerking: Alles wat we met persoonsgegevens doet, zoals vastleggen, bewaren, verzamelen, verstrekken en vernietigen.

  • Persoonsgegevens: Gegevens over mensen waarmee we iemand individueel kunnen herkennen, zoals naam, adres, geboortedatum en foto. Bijzondere persoonsgegevens zijn gevoelige gegevens zoals etnische achtergrond, politieke voorkeur of het Burgerservicenummer (BSN).

  • Gegevensbeschermingseffectbeoordeling (DPIA): Beoordeling van de effecten en risico’s van verwerkingen op privacy.

  • Functionaris Gegevensbescherming (FG): Interne toezichthouder op rechtmatige verwerking van persoonsgegevens.

Artikel 2 Reikwijdte

Dit reglement geldt voor alle verwerkingen van persoonsgegevens door alle bestuursorganen van ons waterschap.

Artikel 3 Verantwoordelijke

De bestuursorganen van ons waterschap zijn verantwoordelijk voor de verwerkingen. Dit zijn:

  • Het algemeen bestuur

  • Het dagelijks bestuur

  • De dijkgraaf

Artikel 4 Verwerkingen en doeleinden

Verwerkingen

Elke handeling met persoonsgegevens, zoals:

  • Verzamelen, vastleggen, ordenen;

  • bewaren, bijwerken, wijzigen;

  • opvragen, raadplegen, gebruiken;

  • verstrekken, verspreiden;

  • samenbrengen, afschermen, vernietigen.

Doeleinden

Persoonsgegevens mogen alleen verzameld worden met een duidelijk en gerechtvaardigd doel. Ze mogen niet voor andere doelen gebruikt worden. Wij passen de principes van de AVG toe op alle rechtsgebieden waar wij bij betrokken zijn.

Rechtmatige grondslag

Voor elke verwerking moet een wettelijke basis zijn, dat zijn:

  • Toestemming van de betrokkene.

  • Uitvoering van een overeenkomst.

  • Wettelijke verplichting.

  • Bescherming van vitale belangen.

  • Vervulling van een wettelijke taak.

  • Gerechtvaardigd belang.

Wijze van verwerking

  • Verwerking moet zorgvuldig en volgens de wet plaatsvinden.

  • Persoonsgegevens verzamelen we zoveel mogelijk rechtstreeks bij de betrokkene.

  • De wet hanteert het principe van subsidiariteit: verwerking is alleen toegestaan als het doel niet op een andere manier kan worden bereikt.

  • Gegevens bewaren we zo kort mogelijk en alleen zolang als nodig is.

  • Verwerking moet proportioneel zijn: alleen als het in verhouding staat tot het doel.

  • We zorgen dat de gegevens juist zijn en goed beveiligd worden.

Doorgifte

Wij geven persoonsgegevens alleen door aan landen buiten de Europese Economische Ruimte (EER) of internationale organisaties als er passende waarborgen zijn.

Artikel 5 Transparantie en communicatie

Rechten van betrokkenen

De wet geeft niet alleen plichten aan degenen die persoonsgegevens verwerken, maar ook rechten aan de personen van wie de gegevens zijn. Deze rechten zijn:

• Recht op informatie

Betrokkenen kunnen aan het waterschap vragen of hun gegevens worden verwerkt, hoe dat gebeurt, en of de gegevens aan anderen worden doorgegeven.

Voorbeeld: Een betrokkene vraagt of het waterschap zijn/haar adres opslaat en doorgeeft. We geven deze informatie.

• Recht op inzage

Betrokkenen mogen een kopie ontvangen van hun persoonsgegevens die wij bewaren.

Voorbeeld: Een betrokkene vraagt ons om een kopie van zijn/haar opgeslagen gegevens. We verstrekken deze kopie.

• Recht op rectificatie

Als wij foutieve gegevens hebben, corrigeren wij deze en geven de wijziging door aan derden.

Voorbeeld: Een betrokkene meldt een verkeerd telefoonnummer. We passen het aan en informeren de betrokken partijen.

• Recht op beperking van verwerking

Betrokkenen kunnen ons vragen om tijdelijk of gedeeltelijk te stoppen met het verwerken van hun gegevens.

Voorbeeld: Een betrokkene vraagt om een pauze in de gegevensverwerking totdat we duidelijkheid hebben over de juistheid.

• Recht om vergeten te worden

Betrokkenen kunnen ons vragen om hun gegevens te verwijderen als ze niet meer nodig zijn of onrechtmatig worden verwerkt.

Voorbeeld: Een betrokkene vraagt om verwijdering van gegevens die niet meer nodig zijn. We verwijderen deze gegevens.

• Recht op bezwaar

Betrokkenen kunnen bezwaar maken tegen het gebruik van hun gegevens.

Voorbeeld: Een betrokkene maakt bezwaar tegen het gebruik van zijn/haar gegevens voor advertenties. We stoppen met deze verwerking, tenzij we goede redenen hebben om door te gaan.

• Recht op dataportabiliteit

Betrokkenen kunnen hun gegevens ontvangen in een digitaal formaat dat gemakkelijk kan worden overgedragen.

Voorbeeld: Een betrokkene vraagt om zijn/haar gegevens in een bestand om naar een andere organisatie over te dragen. We verstrekken het bestand.

• Recht op menselijke beoordeling

Als wij een automatische beslissing hebben genomen, kan een betrokkene vragen om een beslissing door een medewerker.

Voorbeeld: Een betrokkene vraagt om een herbeoordeling van een automatische beslissing door een medewerker. We voeren deze herbeoordeling uit.

Indienen van verzoek

Iedereen kan een verzoek indienen om gebruik te maken van de rechten. Dit kan schriftelijk of via e-mail. Wij hebben vier weken de tijd om te beoordelen of jouw verzoek gerechtvaardigd is en om hieraan te voldoen. Binnen één maand krijg sturen we een reactie. Bij complexe verzoeken of veel verzoeken kan dit drie maanden duren.

Als wij het verzoek niet kunnen uitvoeren, kan men bezwaar maken bij het waterschap of een klacht indienen bij de Autoriteit Persoonsgegevens (AP). Wij kunnen aanvullende informatie vragen om de identiteit te bevestigen. Bij een verzoek informeren wij over:

  • Waarom wij de gegevens verwerken;

  • welke soorten gegevens wij verwerken;

  • aan welke organisaties wij gegevens doorgeven (indien van toepassing);

  • hoe lang wij de gegevens bewaren;

  • welke privacy rechten er zijn,

  • hoe men een klacht kan indienen bij de AP;

  • Van welke organisatie wij gegevens hebben ontvangen (indien van toepassing);

  • Op basis van welke logica een geautomatiseerd besluit is genomen (indien van toepassing).

Artikel 6 Plichten van het waterschap

Register van verwerkingen

Wij houden een register bij van alle verwerkingen waarbij ons waterschap betrokken is. Dit register maakt onderscheid tussen verwerkingen waar wij verwerkingsverantwoordelijke zijn en waar wij verwerker zijn. Als wij verwerkersverantwoordelijke zijn omvat het register:

  • Naam en contactgegevens van ons waterschap en, indien van toepassing, gegevens van (internationale) organisaties waarmee wij de verantwoordelijkheid delen en de gegevens van de Functionaris Gegevensbescherming.

  • Beschrijving van de verwerking.

  • Doeleinden van de verwerking.

  • Beschrijving van categorieën van persoonsgegevens en betrokkenen.

  • Beschrijving van categorieën van ontvangers van de persoonsgegevens

  • Of gegevens worden gedeeld met een derde land of internationale organisatie buiten de EU.

  • Termijnen waarin de persoonsgegevens moeten worden gewist.

  • Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.

Wanneer het waterschap als verwerker optreedt, noteren we in ons register:

  • De naam en contactgegevens van het waterschap en de Functionaris Gegevensbescherming.

  • Welke soorten verwerkingen wij uitvoeren voor de verwerkingsverantwoordelijke.

  • Of we gegevens delen met een organisatie in een ander EU-land.

  • Of we gegevens delen met een organisatie buiten de EU.

  • Een algemene uitleg over de beveiligingsmaatregelen die we treffen.

Gegevensbeschermingseffectbeoordeling (DPIA)

Wij beoordelen de effecten en risico’s van nieuwe of bestaande verwerkingen op privacy. Dit doen wij bij geautomatiseerde of grootschalige verwerkingen, vooral bij nieuwe technologieën. Voor bestaande verwerkingen bepalen wij of een DPIA nodig is en voeren deze uit als dat zo is.

Aanstellen van een Functionaris voor Gegevensbescherming (FG)

Wij hebben een FG aangesteld die toezicht houdt op de bescherming van persoonsgegevens. De FG informeert en adviseert over onze wettelijke verplichtingen, ziet toe op de naleving van beleid en wetgeving, adviseert over verantwoordelijkheden, traint medewerkers en is contactpersoon voor de AP. De taken van de FG zijn:

  • Informeren

  • Adviseren

  • Toezicht houden op naleving van wet- en regelgeving

  • Toezicht houden op naleving van beleid

  • Toezicht houden op uitvoering van DPIA’s

  • Bewustwording creëren

  • Samenwerken met en optreden als contactpersoon van de AP

Contactgegevens van de FG

Eenje van Wijngaarden, e-mailadres: fg@hunzeenaas.nl en telefoonnummer 0598 – 693899.

Verantwoordelijkheid van afdelingen

De afdelingen zelf zijn verantwoordelijk voor het goed omgaan met privacygevoelige gegevens. Voordat wij nieuwe persoonsgegevens verwerken, beoordelen wij eerst of een DPIA nodig is.

Hiervoor kunnen wij de Functionaris Gegevensbescherming (FG) raadplegen. Als een DPIA nodig is, voeren wij deze uit voordat we beginnen met de verwerking. De FG controleert structureel of wij voldoen aan de wettelijke eisen en richtlijnen van de AVG.

Datalekken

Er is een datalek wanneer persoonsgegevens beschikbaar zijn voor derden die geen toegang mogen hebben. Als er een datalek is, melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens (AP). Als de melding later dan 72 uur is, voegen wij een uitleg toe voor de vertraging.

Als het datalek een hoog risico vormt voor de rechten en vrijheden van betrokkenen, melden wij dit in eenvoudige en duidelijke taal aan de betrokkenen. Om toekomstige datalekken te voorkomen, evalueren wij bestaande datalekken.

Wij registreren datalekken in Topdesk. Dit is een systeem waarmee wij meldingen en problemen op een gestructureerde manier kunnen vastleggen en opvolgen. Vervolgens monitoren we de klacht via JOIN. Dit is een zaaksysteem dat helpt bij het beheren en monitoren van documenten en processen binnen onze organisatie. Voor datalekken is een apart proces ingericht.

Artikel 7 Klachten

Als wij een wettelijke verplichting niet nakomen, kan men een klacht indienen. Deze klacht behandelen wij volgens onze klachtenregeling (Verordening behandeling bezwaarschriften en klachten waterschap Hunze en Aa’s 2021). Ook kan men de klacht direct indienen bij de Autoriteit Persoonsgegevens via hun website.

Artikel 8 Inwerkingtreding en citeertitel

  • 1. Dit privacyreglement treedt in werking op de eerste dag na de bekendmaking. Tegelijkertijd vervalt het privacyreglement waterschap Hunze en Aa’s 2022.

  • 2. Dit reglement heet Privacyreglement Waterschap Hunze en Aa’s 2025.

Ondertekening

Vastgesteld in de vergadering van het dagelijks bestuur op 12 februari 2025

Jelmer Kooistra Geert-Jan ten Brink

secretaris-directeur dijkgraaf