Permalink
PrintenPermanente link
Naar de actuele versie van de regeling
http://lokaleregelgeving.overheid.nl/CVDR742785
Naar de door u bekeken versie
http://lokaleregelgeving.overheid.nl/CVDR742785/1
WPG beleid gemeente Vlissingen
Geldend van 27-07-2025 t/m heden
Intitulé
WPG beleid gemeente VlissingenEen beschrijving van algemeen beleid ter waarborging van de wet politiegegevens voor het domein openbare ruimte
1 Over dit beleidsdocument
1.1 Doel, toepassingsgebied en gebruikers
Dit beleid is gericht op het definiëren van de regels en richtlijnen omtrent het waarborgen dat aan de eisen vanuit de Wet Politiegegevens (WPG) wordt voldaan.
Het toepassingsgebied van dit beleid betreft de richtlijnen omtrent het verwerken van politiegegevens binnen het volgende domein:
Domein I: Openbare Ruimte
Gebruikers van dit document zijn alle medewerkers van gemeente Vlissingen die belast zijn met een taak omtrent het verwerken, beheersen, gebruiken, uitwisselen en beveiligen van politiegegevens binnen het domein openbare ruimte.
1.2 Gerefereerde documenten
• Handboek WPG gemeente Vlissingen Domein I: Openbare ruimte
1.3 Verantwoordelijkheden ten aanzien van dit beleid (RACI)
|
Naam |
R |
A |
C |
I |
|
|
AVG specialist / privacy officer |
Teamleider |
FG |
Het bestuur / het college |
R= Responsible, A = Accountable, C = Consulted, I = Informed
1.4 Goedkeuring van dit het beleid
Hierbij bevestigt de Teamleider VTH de geldigheid van dit beleid.
Marcel Schouw
15 juli, Vlissingen
2 Begripsbepaling
2.1 Terminologie WPG Domein I: Openbare orde
In dit beleid wordt verstaan onder:
• Akte van opsporingsbevoegdheid: de akte van opsporingsbevoegdheid als bedoeld in artikel 142, eerste lid, onder a, van het Wetboek van Strafvordering;
• Buitengewoon opsporingsambtenaar: de buitengewoon opsporingsambtenaar (boa) als bedoeld in het Besluit buitengewoon opsporingsambtenaar;
• Functionaris: Persoon belast met het verwerken van politiegegevens
• Gemeente Vlissingen: het college van de burgemeester en wethouders als verwerkingsverantwoordelijke van de politiegegevens;
• Opsporingstaak: de opsporing van de strafbare feiten als bedoeld in artikel 142, tweede lid, van het Wetboek van Strafvordering;
• Politiegegevens: persoonsgegevens die in het kader van de uitoefening van de politietaak worden verwerkt;
• Verwerken van politiegegevens: elke handeling of elk geheel van handelingen met betrekking tot politiegegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, vergelijken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van politiegegevens;
• Verwerker van politiegegevens: degene die, niet werkzaam binnen de gemeentelijke organisatie, het geheel of een gedeelte van het geautomatiseerde systeem onder zich heeft waarmee de politiegegevens worden verwerkt.
• WPG: de Wet politiegegevens (Wpg), het Besluit politiegegevens, het Besluit politiegegevens voor buitengewoon opsporingsambtenaar en de Regeling periodieke audit politiegegevens;
• Wpg-domein: domein bestaande uit de politie, marechaussee, rijksrecherche, Bijzondere Opsporingsdiensten en de buitengewoon opsporingsambtenaren;
3 Betrokkenheid van het management bij dit beleid
3.1 Ondersteuning en uitvoering
Het management van de gemeente Vlissingen verklaart hierbij dat alle activiteiten omtrent het opstellen, evalueren, onderhouden en naleven van dit beleid wordt ondersteund met adequate middelen om alle doelen en doelstellingen van dit beleid te realiseren, als ook aan alle geïdentificeerde eisen te voldoen.
Het management ziet het als taak te waarborgen dat iedereen die werkzaam is voor de gemeente Vlissingen met taken omtrent de WPG en de verwerking en beveiliging van politiegegevens dit beleid kent, begrijpt en terug kan vinden. Daarom zal het management zorgen dat dit beleid gepubliceerd wordt naar alle medewerkers en relevante externe partijen en beschikbaar is voor inzage.
Het management van de gemeente Vlissingen heeft de verantwoordelijkheid om zorg te dragen dat medewerkers bewust worden van het belang van informatiebeveiliging en de verantwoordelijkheden van de medewerker ten opzichte van informatiebeveiliging.
De Teamleider VTH zal de opvolging en effectiviteit van dit beleid evalueren en rapporteren aan de directie.
4 Reikwijdte
• De WPG is vanuit art 2. Van toepassing op de gemeente Vlissingen bij het verwerken van politiegegevens zoals bedoel in art. 1 lid a 1. Van de wet politiegegevens.
• De WPG is niet van toepassing op de verwerking van politiegegevens ten behoeve van de interne bedrijfsvoering of ten opzichte van activiteiten met uitsluitend persoonlijke doeleinden.
• De gemeente Vlissingen heeft een procedures opgesteld voor het identificeren en documenteren van de verwerkingen van politiegegevens, zie “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte, hoofdstuk 4”.
• De verwerkingen worden bijgehouden in een verwerkingsregister (zie hoofdstuk 22 van dit document). Dit register is opgeslagen in de applicatie BlueDolphin.
• De gemeente Vlissingen verwerkt gegevens zoals bedoeld in art. 1 lid a. WPG. De procedure bedoeld in punt 3 behelst de volgende verwerkingen:
o Verwerkingen onder art. 8 WPG;
o Verwerkingen onder art. 9 WPG (wanneer deze van toepassing zijn);
o Verdere verwerking van gegevens onder art. 11 of art. 13 WPG (wanneer deze van toepassing zijn).
5 Doelbinding
De gemeente Vlissingen heeft op basis van de WPG het volgende bepaald ten opzichte van de waarborging van doelbinding bij de verwerking van politiegegevens:
• Gegevens mogen alleen verzameld worden wanneer hiervoor het juiste verwerkingsdoel bestaat zoals bedoeld in hoofdstuk 4 van dit document.
• In het “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 5 staan de procedures uitgeschreven voor het waarborgen van doelbinding bij het verzamelen van politiegegevens. Deze procedures worden gebruikt bij het bepalen van de doelbinding voor een verwerking die uitgevoerd wordt door een functionaris.
6 Noodzakelijkheid, rechtmatigheid en doelbinding
Politiegegevens mogen alleen verwerkt worden wanneer dit nodig is voor de politietaak. De noodzakelijkheid van een verwerking verwijst hier naar de begrippen proportionaliteit (is het belang van de verwerking in verhouding met de mogelijke gevolgen van de verwerker voor een betrokkene) en subsidiariteit (zijn er andere, minder ingrijpende middelen die dit doel kunnen bereiken?).
Rechtmatigheid verwijst naar de mate waarin bij de verwerking de relevante wet- en regelgeving wordt nageleefd.
Ten aanzien de invulling van art. 3 WPG is het volgende vastgelegd:
• Politiegegevens mogen alleen verzameld, verwerkt, overgedragen of gebruikt worden wanneer voldaan wordt aan de voorwaarden art.3 WPG;
• Toegang tot politiegegevens mag alleen verleend worden wanneer dit noodzakelijk is;
• Gegevens die verkregen zijn onder een bepaald doel, kunnen voor een ander doel verwerkt worden voor zover dit andere doel wanneer de verwerking noodzakelijk, rechtmatig is en in verhouding staat tot het doel van de verwerking;
• Gegevens die verkregen zijn onder een ander doel zoals bedoeld in bovenstaande regel kunnen met het oog op zwaarwegend algemeen belang worden verwerkt door andere personen of instanties dan de gemeente Vlissingen die vanuit de WPG of bovenliggende EU-wetgeving aangewezen zijn;
• Bij de verwerking van gegevens wordt de herkomst van deze gegevens vastgelegd. (zie hoofdstuk 7 van dit document);
• De gemeente Vlissingen heeft procedures opgesteld die waarborgt dat doelbinding in acht genomen wordt, verwerkingen noodzakelijk en rechtmatig zijn en dat de herkomst van WPG verwerkingen wordt vermeld, deze procedures zijn te vinden in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 6;
• De gemeente Vlissingen heeft een plan opgesteld waarmee de FG toezicht houdt op noodzakelijkheid, rechtmatigheid, proportionaliteit, doelbinding en de vermelding van herkomst.
Domein I Openbare Ruimte
Voor het verzamelen en verwerken van politiegegevens door BOA’s in het domein openbare ruimte wordt er gebruik gemaakt van de applicatie CityControl, welke geleverd wordt door SIGMAX. Binnen deze applicatie kunnen tekstvakken ingevuld worden ten behoeve van het verzamelen en verwerken van gegevens. Hierbij wordt er enkel gevraagd naar de noodzakelijke gegevens die van toepassing zijn voor de desbetreffende verwerking van gegevens.
7 Juistheid en volledigheid politiegegevens
De gemeente Vlissingen heeft vanuit art. 4 WPG de verantwoordelijkheid om de nodige maatregelen te treffen om te waarborgen dat:
• Verwerkte gegevens juist en nauwkeurig zijn.
• Gegevens worden vernietigd of gerectificeerd waar deze onvolledig of onjuist zijn.
• Wanneer blijkt dat onjuiste gegevens zijn verstrekt of gegevens op onrechtmatige wijze zijn verstrekt dient de ontvanger hiervan zo snel mogelijk op de hoogte gesteld te worden. (zie hoofdstuk “verstrekking en doorgifte van politiegegevens” van dit document.
• De herkomst van de verzamelde gegevens wordt gedocumenteerd.
De gemeente Vlissingen heeft ten aanzien van het waarborgen van de juistheid en volledigheid van verzamelde politiegegevens een procesbeschrijving opgesteld. Deze is te vinden in “Handboek WPG gemeente Vlissingen domein I: Openbare Ruimte” hoofdstuk 7”.
Ten aanzien van het vernietigen en rectificeren van onjuist of onvolledig verwerkte gegevens, of gegevens waarvan de bewaartermijn is verstreken wordt de procedure in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 20.
8 Onderscheid feiten en oordeel
Vanuit art. 4 WPG hebben BOA’s die gegevens verzamelen en verwerken voor de gemeente Vlissingen een verplichting om politiegegevens die zijn gebaseerd op feiten te onderscheiden van gegevens die gebaseerd zijn op een persoonlijk oordeel.
Om te waarborgen dat bij gegevensverzameling en -verwerking altijd onderscheid gemaakt wordt tussen gegevens verzameld op feit en oordeel een werkinstructie opgezet. Deze werkinstructies zijn beschikbaar in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 8. Deze instructie beschrijft:
• Op welke wijze onderscheid gemaakt dient te worden in verwerkingen gebaseerd op feiten of op het persoonlijk oordeel van de BOA
• Of en op welk moment er een controle door een tweede verbalisant (BOA) uitgevoerd dient te worden.
9 Gegevensbescherming
9.1 Gegevensbescherming door beveiliging en ontwerp
Vanuit art. 25 lid 1 WPG heeft de gemeente Vlissingen de verantwoordelijkheid om gegevens te beschermen door passende technische en organisatorische maatregelen te treffen. Onder deze maatregelen vallen elk middel en elke methode die wordt toegepast om gegevens te beschermen bij verwerkingen. Het woord “passend” houdt hier in dat de maatregelen of waarborgen geschikt moeten zijn voor het beoogde doel, namelijk het voldoen aan gegevensbeschermingsbeginselen.
De gemeente Vlissingen beheert geen eigen informatiesystemen. De beveiliging van gegevens die opgeslagen worden op informatiesystemen is de verantwoordelijkheid van de desbetreffende leveranciers die diensten en applicaties verzorgen voor de gemeente Vlissingen. Om te waarborgen dat leveranciers voor een passend niveau van bescherming zorgen heeft de gemeente Vlissingen het volgende vastgelegd:
• Alleen leveranciers met geldig ISO 27001 certificaat mogen informatiesystemen voor de gemeente Vlissingen verzorgen en beheren.
• Leveranciers houden zich aan de principes voor veilige softwareontwikkeling zoals zero-trust, de OWASP top-10 en de richtlijnen van het NCSC.
• Met iedere leverancier is een geldige SLA en verwerkersovereenkomst afgesloten.
• SaaS leveranciers bezitten ISAE 3000 TYPE II
• De gemeente Vlissingen houdt zich het recht voor om leveranciers te (laten) auditen. Voor de audits dient een operationele planning gevolgd te worden of basis van de frequentie voor audits vanuit ISO 27001. Hierbij worden er jaarlijks interne audits verzorgd en een externe audit eens in de drie jaar.
• De leveranciers voeren regelmatig penetratietesten uit op de informatiesystemen met gegevens van de gemeente Vlissingen.
9.2 Gegevensbescherming door standaardinstellingen
De gemeente Vlissingen effectueert de bescherming van gegevens door standaardinstellingen af te dwingen. Deze bescherming gebeurt op grond van ‘privacy by design’ en ‘privacy by default’.
Hierbij houdt privacy by design in dat maatregelen zijn ingericht om gegevens te beschermen door veilige informatiesystemen te ontwerpen.
Privacy by Default houdt in dat bij het verzamelen en verwerken van persoonsgegevens alleen de minimale hoeveelheid gegevens verzameld en bewaard worden om te voldoen aan de doelbinding van de verwerking (zie hoofdstuk 5 van dit document). De gemeente Vlissingen en de dienstverleners die informatiesystemen beheren hebben maatregelen vastgesteld om te waarborgen dat:
• Politiegegevens alleen verwerkt worden voor het daarvoor beoogde doel
• Zo weinig mogelijk gegevens verwerkt worden om het beoogde doel van de verwerking te bereiken.
• Politiegegevens niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt zonder tussenkomst van een (bevoegde) natuurlijke persoon.
De toegepaste maatregelen voor privacy door standaardinstellingen betreffen in ieder geval:
• De hoeveelheid verzamelde gegevens
• De wijze waarop deze gegevens verwerkt worden
• De opslagperiode (zie hoofdstuk 19 van dit document: ‘bewaartermijnen, verwijderen en vernietigen’.
9.3 Gegevensbeschermingseffectbeoordeling (DPIA)
Om de mogelijke impact van gegevensbescherming te bepalen is het de taak van de verwerkingsverantwoordelijke om gegevensbeschermingseffectbeoordelingen (hierna DPIA) uit te voeren. De eis voor het uitvoeren van DPIA’s komt voort vanuit art. 4c van de WPG. De volgende bepalingen zijn vastgelegd ten aanzien van het uitvoeren van DPIA's:
• Een DPIA dient uitgevoerd te worden wanneer een nieuwe soort verwerking (zeker wanneer hier nieuwe technologie mee gemoeid is) waarschijnlijk een hoog risico betekent voor de rechten en vrijheden van betrokkenen.
• De DPIA dient voorafgaand aan het aanvangen van de nieuwe verwerking uitgevoerd te worden.
• Het bepalen van de noodzaak voor het uitvoeren van een DPIA is de verantwoordelijkheid van de privacy officer, de privacy officer draagt ook de verantwoordelijkheid om uitgevoerde DPIA's te beoordelen.
• Het uitvoeren van DPIA’s is de verantwoordelijkheid van de eigenaar van de verwerking waarop een DPIA uitgevoerd wordt.
In het “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 9 staan de procedures beschreven voor het bepalen van de noodzaak van een DPIA en de werkwijze voor het uitvoeren van een DPIA.
10 Bijzondere categorieën van politiegegevens
Bij het verwerken van politiegegevens dient er onderscheid gemaakt te worden tussen de verschillende categorieën van politiegegevens en bijzondere persoonsgegevens. Bijzondere politiegegevens vallen in categorieën zoals ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond, genetische en biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon. Ten opzichte van bijzondere categorieën van politiegegevens is het volgende vastgelegd:
• Gegevens die vallen in een bijzondere categorie van politiegegevens mogen alleen verwerkt worden wanneer dit absoluut noodzakelijk is, namelijk wanneer dit onvermijdelijk is voor het doel van de verwerking.
• De gemeente Vlissingen heeft ten behoeve van het verwerken van bijzondere categorieën van politiegegevens een BOA verwerkingsregister opgesteld (zie hoofdstuk 22, register).
11 Autorisatiebeleid
Het college van de burgemeester en wethouders van de gemeente Vlissingen (hierna: de gemeente Vlissingen) heeft buitengewoon opsporingsambtenaren in dienst die onder domein I ‘Openbare ruimte’ en domein II ‘Milieu, Welzijn en Infrastructuur’ werkzaam zijn. De buitengewoon opsporingsambtenaren van domein I verrichten naast de toezichtstaken ook opsporingstaken; ze zijn belast met de opsporing van strafbare feiten. De buitengewoon opsporingsambtenaren van domein II hebben tot heden geen opsporingstaken verricht; ze zijn wanneer nodig belast met de opsporing van strafbare feiten. Persoonsgegevens die door buitengewoon opsporingsambtenaren in het kader van de opsporing van strafbare feiten worden verwerkt, vallen onder de reikwijdte van de Wet politiegegevens (hierna: Wpg). Deze persoonsgegevens worden politiegegevens genoemd.
Bij het verwerken van politiegegevens maken zij gebruik van informatiesystemen. Het betreft de applicatie CityControl voor domein I. De buitengewoon opsporingsambtenaren krijgen uitsluitend toegang tot de hiervoor genoemde applicaties voor zover dit strikt noodzakelijk is voor het uitvoeren van de aan hen opgedragen werkzaamheden. De toegang tot politiegegevens wordt verleend op basis van het “need-to-know” principe.
Ten aanzien van autorisaties voor functionarissen en de hierbij horende toegangsrechten zijn de onderstaande bepalingen opgesteld:
• Toegang tot politiegegevens wordt verleend op basis van de autorisaties vanuit het functiehuis in YouForce, deze applicatie wordt beheerd door P&O.
• Alleen daarvoor bevoegde functionarissen krijgen toegang tot politiegegevens;
• Autorisaties worden alleen verleend op basis van een functionele behoefte. Deze staan omschreven in de taak- en functiebeschrijvingen uit het functiehuis in YouForce. De gemeente Vlissingen;
• Toegang tot politiegegevens wordt alleen verleend op basis van het ‘need-to-know’ principe;
• De gemeente Vlissingen wijst de buitengewoon opsporingsambtenaar ten aanzien van politiegegevens op de plicht tot geheimhouding en de consequenties bij de schending van deze plicht.
11.1 Functiescheiding
Binnen de gemeente Vlissingen is er ten aanzien van de autorisaties sprake van een functiescheiding, die als volgt is toegepast:
De aanvrager
De procesverantwoordelijke teamleider van de buitengewoon opsporingsambtenaar (hierna: de aanvrager) is belast met het aanvragen, wijzigen en beëindigen van de autorisaties. De aanvrager is daarnaast verantwoordelijk voor het periodiek controleren van de toegekende autorisaties.
De applicatiebeheerder (verwerker)
De applicatiebeheerder (verwerker) draagt er zorg voor dat de autorisatie tot de applicatie wordt afgegeven en dat autorisatiewijzigingen worden uitgevoerd. De applicatiebeheerder is verantwoordelijk voor:
het bijhouden van een actueel overzicht van de buitengewoon opsporingsambtenaren die zijn geautoriseerd om politiegegevens te verwerken; en het loggen van de verwerkingen door de buitengewoon opsporingsambtenaar.
De eigenaar van de autorisatiematrix
De FG is als eigenaar van de autorisatiematrix verantwoordelijk voor het beheer en onderhoud van de autorisatiematrix. De eigenaar van de autorisatiematrix voert ten behoeve van het beheer en onderhoud periodiek controles uit op de autorisatiematrix.
De functionaris gegevensbescherming
De functionaris gegevensbescherming (hierna: FG) houdt toezicht en voert controles uit op de toegekende autorisaties. Daarnaast voert de FG twee keer per jaar controles uit op de rechtmatigheid van de bevragingen van politiegegevens.
11.2 Procedures voor toegangsbeheer
Om te waarborgen dat alleen bevoegde personen toegang krijgen tot systemen, applicaties en netwerken waarbinnen politiegegevens verwerkt of bewaard worden zijn er procedures voor toegangsbeheer uitgewerkt. De procedures voor het beheren van toegang tot politiegegevens staan beschreven in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 11.
11.3 Autorisaties: Aanwijzen functionarissen
• De gemeente Vlissingen wijst de buitengewoon opsporingsambtenaar aan, indien de buitengewoon opsporingsambtenaar in het bezit is van een:
1. akte van opsporingsbevoegdheid;
2. verklaring omtrent het gedrag (of VOG-P in geval van BOA beëdigingen);
3. bewijs voor bekwaamheid
• De buitengewoon opsporingsambtenaar voldoet aan de her- en bijscholingsplicht.
• De gemeente Vlissingen heeft ten aanzien van het aanwijzen van bevoegde functionarissen procedures opgesteld. Deze procedures zijn te vinden in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 10.
• De gemeente Vlissingen organiseert ten aanzien van politiegegevens bewustwordingsactiviteiten dan wel cursussen over de omgang met politiegegevens, die door de buitengewoon opsporingsambtenaar jaarlijks worden bijgewoond.
11.4 Instemming voor verwerkingen door bevoegde functionaris
De WPG geeft in de artikels 9, eerste lid en 11, eerste en vierde lid aan dat politiegegevens voor (geautomatiseerde) verdere verwerking of vergelijking ter beschikking kunnen worden gesteld na instemming van de daartoe bevoegde functionaris wanneer dit noodzakelijk is voor een ander onderzoek zoals bedoeld in art. 9 lid 1 van de WPG voor het vaststellen van verbanden tussen de desbetreffende gegevens.
Gegevens kunnen onder art. 13 eerste lid ook verwerkt worden wanneer deze relevant zijn voor:
• het vaststellen van eerdere verwerkingen ten aanzien van eenzelfde persoon of zaak, onder meer ter bepaling van eerdere betrokkenheid bij strafbare feiten;
• het ophelderen van strafbare feiten die nog niet herleid konden worden tot een verdachte;
• identificatie van personen of zaken;
• het onder de aandacht brengen van personen of zaken met het oog op het uitvoeren van een gevraagde handeling dan wel met het oog op een juiste bejegening van personen;
• het uitvoeren van taken ten dienste van de justitie.
11.5 Taak- en functiebeschrijvingen bevoegde functionarissen
De gemeente Vlissingen heeft per functie voor ieder soort functionaris een taak- en functiebeschrijving opgezet. Deze beschrijvingen zijn te vinden in het functiehuis van de gemeente Vlissingen.
11.6 Autorisatiematrix
• De gemeente Vlissingen legt gebruikers met toegang tot politiegegevens vast in een autorisatiematrix. Dit geldt voor zowel BOA’s en personen zonder BOA taak die wel in aanraking komen met politiegegevens
• De CISO heeft de verantwoordelijkheid om zorg te dragen dat de autorisatiematrix per afdeling wordt beoordeeld. De autorisatiematrix wordt jaarlijks beoordeeld.
• De autorisatiematrix staat opgeslagen in BlueDolphin.
• Ten aanzien van de toegang tot CityControl wordt er in de applicatie een overzicht bijgehouden van de personen die toegang hebben tot politiegegevens binnen CityControl. Binnen CityControl zijn rollen toe te kennen, een BOA krijgt handmatig de rechten om politiegegevens in te zien.
12 Onderscheid tussen categorieën van betrokkenen
Om zorg te dragen dat politie- en persoonsgegevens altijd met de juiste zorg verwerkt worden maakt de gemeente Vlissingen onderscheid in verschillende categorieën van betrokkenen. In het domein openbare ruimte zijn de volgende categorieën van betrokkenen van toepassing:
Categorieën van betrokkenen Domein I
A Personen bij wie het vermoeden bestaat dat zij een strafbaar feit hebben gepleegd
B Slachtoffers van een strafbaar feit
C Derden, zoals getuigen of personen die informatie kunnen verstrekken over strafbare feiten.
D Personen die voor een strafbaar feit zijn veroordeeld.
De wijze waarop functionarissen omgaan met verschillende categorieën van betrokkenen staat beschreven in het document “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 12 samen met de wijze hoe functionarissen omgaan met de wijziging van een categorie van een betrokkene.
13 Verwerker en verwerkersovereenkomst
Met alle partijen die gegevens verwerken voor gemeente Vlissingen dient een sluitende verwerkersovereenkomst afgesloten te worden. Deze overeenkomst omvat tenminste:
• dat de verwerker inbreuken op de beveiliging moet melden aan de verwerkingsverantwoordelijke;
• dat door de verwerker afdoende garanties worden verstrekt over de toereikende van de geïmplementeerde technische en organisatorische maatregelen;
• dat een andere partij alleen wordt ingeschakeld bij de uitvoering van de verwerking met toestemming van de verwerkingsverantwoordelijke;
• dat indien dit het geval is de afspraken back-to-back worden doorgeleid;
• dat de verwerker de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat aan de verplichtingen in de verwerkersovereenkomst worden nageleefd.
• Het toezicht op de naleving van de verwerkersovereenkomst wordt getoetst door de eigenaar van de verwerking(en) waarover een overeenkomst is gesloten.
Wanneer er een nieuwe verwerkersovereenkomst afgesloten wordt dient de procedure “aangaan nieuwe verwerkersovereenkomst” gevolgd te worden in 13.1 van het document “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”.
14 Geheimhoudingsplicht
BOA’s en andere personen aan wie politiegegevens ter beschikking zijn gesteld dienen zijn verplicht tot geheimhouding vanuit de geheimhoudingsplicht zoals bedoeld in art. 7 van de WPG. De geheimhoudingsplicht is onderdeel van de ambtseed/belofte en het personeelshandboek.
Om de naleving van de geheimhoudingsplicht te waarborgen heeft de gemeente Vlissingen een aanstellingsprocedure opgezet en vastgesteld. Deze aanstellingsprocedure is te vinden in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 10. Aanstellingsprocedure omvat de volgende zaken:
• Het afleggen van de eed;
• Het screeningsproces voor nieuw personeel en personeel dat wijzigt van functie of rol;
• De eisen voor niet-politieambtenaren en tijdelijke functionarissen aan wie politiegegevens ter beschikking zijn gesteld;
• De verplichting tot het volgen van een bewustwordingscursus voor nieuwe medewerkers en medewerkers die een veranderen naar een functie welke is gericht op het verwerken, gebruiken en beschermen van politiegegevens.
14.1 Disciplinaire procedure
De gemeente Vlissingen behoudt zich middels een disciplinaire procedure het recht voor om een disciplinaire bestraffing toe te passen wegens niet-nakomen van verplichtingen of plichtsverzuim. De disciplinaire procedure staat weergegeven in het integriteitsprotocol van de gemeente Vlissingen.
15 Geautomatiseerde, individuele besluitvorming
Vanuit art. 7.a van de WPG bestaat er een verbod op het maken van besluiten gebaseerd op geautomatiseerde, individuele besluitvorming, wanneer een dergelijk besluit nadelige rechtsgevolgen heeft voor de betrokkene, of de betrokkene op andere aanmerkelijke wijze kan raken, tenzij hiervoor voorafgaand tussenkomst van een mens heeft plaatsgevonden en de betrokkene op de hoogte is gesteld van deze besluitvorming.
Met geautomatiseerde, individuele besluitvorming wordt er gedoeld op een besluit over een betrokkene zonder tussenkomst van mensen die volledig wordt uitgevoerd door geautomatiseerde systemen. De gemeente Vlissingen voert geen geautomatiseerde, individuele besluitvorming uit tenzij aan de voorwaarden uit art. 7a van de WPG is voldaan.
De gemeente Vlissingen maakt geen gebruik van geautomatiseerde, individuele besluitvorming. Geautomatiseerde besluitvorming is strijdig met de mandaatregeling van de gemeente Vlissingen.
16 Uitvoering van de dagelijkse politietaak
Politiegegevens kunnen voor een periode van één jaar na de eerste verwerking in aanmerking komen voor verdere verwerking met het oog op de uitvoering van de dagelijkse politietaak.
Gegevens kunnen voor zover dat noodzakelijk is geautomatiseerd of in combinatie met elkaar vergeleken worden om te achterhalen welke verbanden er bestaan. Indien er sprake is van dergelijke verbanden kunnen de gegevens verder verwerkt worden met het oog op de uitvoering van de politietaak.
De gemeente Vlissingen heeft een procesbeschrijving opgesteld voor het uitvoeren van de dagelijkse politietaak, zie “handboek WPG gemeente Vlissingen Domein I Openbare Ruimte hoofdstuk 14. Deze procesbeschrijving omvat:
• De plek en wijze van opslag van gegevens
• Het hanteren van bewaartermijnen (zie hoofdstuk 19, bewaartermijnen, verwijderen en vernietigen van dit document voor meer informatie).
• Het waarborgen dat gegevens zoals bedoeld in art. 8 van de WPG één jaar na de datum van de eerste verwerking alleen beschikbaar zijn voor verdere verwerking op basis van de vergelijking van gegevens (hit/no hit)
17 Geautomatiseerd vergelijken en in combinatie zoeken binnen het WPG-domein
De buitengewoon opsporingsambtenaar neemt geen besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking zoals bedoeld in artikel 7a van de Wet politiegegevens, met inbegrip van profilering, dat voor de betrokkene nadelige rechtsgevolgen heeft of hem of haar in aanmerkelijke mate treft.
Let op: Geautomatiseerde besluitvorming geldt als een zeer vergaande vorm van verwerking van persoonsgegevens. Geautomatiseerde besluitvorming zonder de waarborgen uit het eerste lid (artikel 7a Wet politiegegevens) is verboden. De waarborgen betreffen ten minste specifieke voorlichting van de betrokkene en menselijke tussenkomst, met name om zijn standpunt kenbaar te maken (voorafgaand aan het nemen van een besluit), om uitleg over het na een degelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit.
Voor zover noodzakelijk is voor een onderzoek, kunnen politiegegevens die voor onderzoek zijn verwerkt, geautomatiseerd worden vergeleken met andere politiegegevens die worden verwerkt op grond van artikel 8 en 9 Wet politiegegevens teneinde vast te stellen of verbanden bestaan tussen de betreffende gegevens. De gerelateerde gegevens kunnen, na instemming van een daartoe bevoegde functionaris, voor dat onderzoek verder worden verwerkt.
Ten behoeve van een doel omschreven in art. 10 lid 1 mag door geautomatiseerde vergelijking gezocht worden in gegevens die worden verwerkt voor de dagelijkse politietaak, als bedoeld in art. 8, in gegevens die worden verwerkt voor onderzoeken, als bedoeld in art. 9, en in gegevens die worden verwerkt voor andere doelen als bedoeld in art. 10 lid 1. Gegevens die op grond van deze wet of op grond van het Wetboek van Strafvordering hadden moeten zijn verwijderd of vernietigd mogen niet bij de vergelijking worden betrokken (Kamerstukken II 2005/06, 30 327, nr. 3, p. 52).
18 Ondersteunende taken
De groep fiscale zaken voeren ondersteunende taken uit op het gebied van de WPG. Zij hebben toegang tot CityControl bij het uitvoeren van hun werkzaamheden. De personen uit deze groep zijn niet aangemerkt als BOA. De procedure voor het aanwijzen van functionarissen zonder BOA-taak staat weergegeven in hoofdstuk 10.2 van het handboeg WPG gemeente Vlissingen, domein I Openbare Ruimte.
19 Bewaartermijnen, verwijderen en vernietigen
19.1 Bewaartermijnen, verwijdering en vernietiging
1. De gemeente Vlissingen voorziet in voldoende waarborgen om te bewerkstelligen dat de politiegegevens conform de wet niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de buitengewoon opsporingsambtenaar opgedragen opsporingstaak.
2. De gemeente Vlissingen zorgt ervoor dat de politiegegevens voor de uitvoering van de opsporingstaak zoals bedoeld in artikel 8 van de Wet politiegegevens:
a. gedurende een jaar beschikbaar zijn in het kader van de uitvoering van de opsporingstaak;
b. na een jaar slechts beschikbaar zijn voor het gericht zoeken;
c. na vijf jaar worden verwijderd;
d. na tien jaar worden vernietigd.
3. De verwerker zorgt ervoor dat de bewaartermijn conform de wet en het tweede lid van dit artikel geconfigureerd zijn, zodat gewaarborgd is dat de politiegegevens niet langer worden bewaard dan strikt noodzakelijk is voor de uitvoering van de opsporingstaak.
4. De buitengewoon opsporingsambtenaar neemt de termijnen conform de wet en het tweede lid van dit artikel in acht.
De functioneel- en applicatiebeheerder van de applicatie CityControl binnen de gemeente Vlissingen zien toe op deze bewaartermijnen en de mogelijke vernietiging of archivering aan het einde van de bewaartermijnen van de verwerking van politiegegevens. Bewaartermijnen moeten ook kenbaar worden gemaakt aan het boateam, zodat eenieder op de hoogte is van de regels van deze bewaartermijnen.
19.2 Opslag van gegevens
De gemeente Vlissingen bewaart Politiegegevens alleen op de daarvoor bestemde systemen. Politiegegevens mogen niet bewaard of verwerkt worden op applicaties en systemen die hier niet voor bestemd zijn, denk bijvoorbeeld aan Whatsapp, Wetransfer of Dropbox. De opslag van gegevens en de daarbij gebruikte systemen staan uiteengezet in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 14.
20 Ter beschikking stellen, verstrekken en doorgeven van politiegegevens
20.1 Ter beschikking stellen van politiegegevens binnen het WPG domein
Vanuit art. 15 van de WPG kan de gemeente Vlissingen politiegegevens ter beschikking stellen aan andere partijen binnen het WPG domein, binnen het WPG domein vallen:
• Politie en Koninklijke marechaussee;
• Rijksrecherche;
• Bijzondere opsporingsdienst (BOD);
• Andere BOA’s binnen de gemeente Vlissingen.
Dit zijn personen en instanties die geautoriseerd zijn voor de verwerking van politiegegevens door de verwerkingsverantwoordelijke, of door een andere ambtenaar belast met de verwerking van politiegegevens.
Ook kan de gemeente Vlissingen, in het kader van een goede uitvoering van de politietaak zoals bedoeld in art 1, onderdeel a van de WPG, een terbeschikkingstelling van gegevens weigeren. Deze weigering vindt plaats op basis van het weigeringsgronden en de procedures voor verstrekking, zie “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte” hoofdstuk 16.
De gemeente Vlissingen stelt in de regel geen gegevens beschikbaar aan derde partijen binnen het WPG domein. Wanneer hier bijvoorbeeld op wettelijke grondslag toch voor gekozen wordt dient er een DPIA uitgevoerd te worden om de mogelijke impact van de terbeschikkingstelling te bepalen.
Gebruik hiervoor de DPIA checklist, zie 8.3 van dit document en de procedure in hoofdstuk 9 van “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”.
20.2 Verstrekking van politiegegevens aan anderen dan politie en Koninklijke Marechaussee
De gemeente Vlissingen stelt in de regel geen gegevens beschikbaar aan derde partijen binnen het WPG-domein. Wanneer hier bijvoorbeeld op wettelijke grondslag (onder art. 16 WPG) toch voor gekozen wordt dient er een DPIA uitgevoerd te worden om de mogelijke impact van de terbeschikkingstelling te bepalen. Gebruik hiervoor de DPIA checklist (zie 9.3 van dit document). Vervolgens dient te procedure voor verstrekking toegepast te worden, zie 16.1 van het “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”.
20.3 Doorgifte aan derde landen
De gemeente Vlissingen verstrekt geen informatie of gegevens aan derde landen, tenzij hier onder art. 17a een voorziening voor bestaat. Doorgifte van gegevens aan derde landen is toegestaan onder de volgende criteria:
• Gegevens mogen alleen verstrekt worden onder WPG art 1, onderdeel a.
• Gegevens kunnen worden bij het ontbreken van een besluit van de commissie van de Europese Unie verstrekt of doorgegeven indien een juridisch bindend instrument passende bescherming van persoonsgegevens is geboden of wanneer na onderzoek is geconcludeerd dat passende waarborgen bestaan voor de bescherming van persoonsgegevens.
• Wanneer er geen passende bescherming van gegevens geconstateerd kan worden is doorgifte van gegevens alleen toegestaan wanneer de doorgifte nodig is voor:
o Het beschermen van een vitaal belang van de betrokkene
o Om een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat (van de EU) of derde land te voorkomen.
o In afzonderlijke gevallen met het oog op de uitvoering van de politietaak (ook zoals bedoeld in art1 onderdeel a van de WPG.
20.4 Verstrekking aan derden structureel voor samenwerkingsverbanden en incidentele verstrekking
Onder art. 18 van de WPG kunnen gegevens worden verstrekt bij of krachtens algemene maatregel van bestuur aan personen en instanties bij de uitvoering van een algemene maatregel van bestuur. Ook kunnen gegevens worden verstrekt onder art. 20 aan bevoegde personen en instanties voor:
• Het voorkomen en opsporen van strafbare feiten
• Het handhaven van de openbare orde
• Het verlenen van hulp aan hen die dit nodig hebben
• Het uitoefenen van toezicht op het naleven van regelgeving
In uitzonderlijke gevallen kan de Minister van V&J onder art. 18 WPG toestemming of opdracht geven om gegevens te verstrekken wanneer dit noodzakelijks is, met het oog op een zwaarwegend algemeen belang. Hierbij dient mededeling van deze beschikking gedaan te worden bij de Autoriteit Persoonsgegevens.
Incidenteel (dit houdt in zonder structureel samenwerkingsverband) mogen gegevens verstrekt worden voor de doeleinden zoals beschreven in dit hoofdstuk, onder art. 18 van de WPG.
Er is sprake van een samenwerking tussen de gemeentes Vlissingen, Middelburg en Veere. Deze gemeentes hebben samen CityControl aangeschaft. Als het nodig is kunnen de gemeentes bij elkaars gegevens, hiervoor moet wel een optie aangezet worden. Er is ook een convenant waarin staat dat BOA's van alle Zeeuwse gemeentes in heel Zeeland als BOA kunnen optreden.
20.5 Rechtstreekse verstrekking
De gemeente Vlissingen kan onder art. 23 WPG verstrekking van gegevens rechtstreeks laten plaatsvinden aan leden van het Openbaar Ministerie, burgemeesters zoals bedoeld in art. 16, lid 1 onderdeel a van de WPG. Deze verstrekking vindt plaats met het oog op:
• Strafvorderlijke beslissingen omtrent opsporing, vervolging en de hulp aan slachtoffers van strafbare feiten.
• Bij algemene maatregel van bestuur aan te wijzen beslissingen.
Rechtstreekse verstrekking van gegevens vindt alleen plaats bij personen of instanties met een publiekrechtelijke taak.
Gegevens kunnen worden verstrekt aan de Korpschef Politie en de Minister van Defensie voor zover noodzakelijk voor het uitvoeren van bij algemene maatregel van bestuur aangewezen wettelijke taken.
20.6 Nazorg bij verstrekking onjuiste gegevens of onrechtmatige verstrekking
De verwerkingsverantwoordelijke dient een ontvanger waaraan onjuiste politiegegevens zijn verstrekt of waaraan onrechtmatig verkregen politiegegevens zijn verstrekt daarvan in kennis te stellen als dit wordt vastgesteld. De ontvanger is vervolgens verplicht tot correctie, vernietiging of afscherming van de verstrekte gegevens. Gebruik hiervoor de procedure voor verzoeken in hoofdstuk 20 van “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”.
21 Informatie aan de betrokkene, recht op inzage, rectificatie en verwijdering
1. De gemeente Vlissingen draagt zorg voor het informeren van de betrokkenen over de verwerking van politiegegevens. Dit vindt plaats conform paragraaf 4 van de Wet politiegegevens. Daarbij heeft de gemeente Vlissingen de plicht tot:
a. actieve informatieverstrekking waarbij de informatievoorziening op de website conform de wet plaatsvindt;
b. passieve informatieverstrekking; waarbij de informatie op verzoek wordt verstrekt, tenzij het verzoek conform artikel 27 van de Wet politiegegevens geheel of gedeeltelijk kan worden afgewezen, bijvoorbeeld als de informatieverstrekking de opsporing en vervolging belemmert.
2. De gemeente Vlissingen stelt conform de wet een procedure vast de behandeling van verzoeken van betrokkenen, bestaande uit:
a. recht op informatie;
b. inzagerecht;
c. recht op rectificatie en vernietiging
d. recht van verzet;
e. recht op bezwaar.
De gemeente Vlissingen kan besluiten om de verstrekking van informatie uit te stellen of achterwege te laten in specifieke gevallen. Hierbij dient het besluit tot uitstel of achterwege laten van de verstrekking onderbouwd te worden.
Gebruik voor het voldoen aan verzoeken op het gebied van inzage, rectificatie of verwijderen de procedure in hoofdstuk 20 van “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”.
22 Register
Vanuit art. 31d. van de WPG heeft de gemeente Vlissingen als verwerkingsverantwoordelijke de taak om een correct en volledig register van de verwerking van politiegegevens bij te houden. Hiervoor gelden de volgende richtlijnen:
1. De gemeente Vlissingen houdt een register van verwerkingen bij, waarin per verwerking minimaal de volgende informatie voorkomt:
a. de naam en contactgegevens van de gemeente Vlissingen;
b. de verwerkingsdoeleinden;
c. een beschrijving van de categorieën persoonsgegevens die worden verwerkt;
d. een beschrijving van de categorieën betrokkenen;
e. een beschrijving van de categorieën van ontvangers aan wie de politiegegevens ter beschikking worden gesteld of worden verstrekt;
2. De gemeente Vlissingen actualiseert jaarlijks het register van verwerkingen, wanneer er nieuwe verwerkingen uitgevoerd worden of wanneer er aanwijzingen zijn dat het register onjuist en/of onvolledig is. Het beoordelen van het verwerkingsregister is de verantwoordelijkheid van de FG.
3. Het actualiseren van het verwerkingsregister is de verantwoordelijkheid van eigenaars van de verwerking die uitgevoerd wordt. De verwerkingen worden geïdentificeerd op basis van de procedure uit hoofdstuk 4 van “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”. Vervolgens wordt door de eigenaar van de verwerking het register bijgewerkt in BlueDolphin.
23 Documentatie
Onder art 32 van de WPG heeft de gemeente Vlissingen de opdracht om zorg te dragen voor de schriftelijke vastlegging van:
• De doelen van onderzoek in verband met handhaving van de rechtsorde (art. 9, lid 2 WPG);
• De verstrekking of doorgifte van gegevens op basis van paragraaf 3 WPG, met uitzondering van de verstrekking, bedoeld in artikel 17 en artikel 24, eerste en tweede lid, indien dit zich niet verdraagt met het belang van de veiligheid van de staat;
• De redenen die ten grondslag liggen aan een afwijzing bedoeld in art. 27, lid 1 WPG.
• De datum en tijd van doorgifte, informatie over de bevoegde autoriteit in een derde land die de gegevens ontvangt met daarbij de reden van doorgifte en een beschrijving van de doorgegeven gegevens.
• Een schriftelijke melding van een gemeenschappelijke verwerking van politiegegevens aan de Autoriteit Persoonsgegevens.
Politiegegevens worden tenminste bewaard tot de datum waarop de laatste controle op gegevens (onder art. 33 WPG) is uitgevoerd. Verdere regels omtrent de documentatie van verwerkingen en verstrekking kunnen bij algemene maatregel van bestuur worden vastgesteld.
24 Logging
• De gemeente Vlissingen controleert en evalueert periodiek de toegekende autorisaties van de buitengewoon opsporingsambtenaar met als doel om de integriteit en de rechtmatigheid van de toegang tot politiegegevens te waarborgen.
• De verwerker heeft ten aanzien van de periodieke controle de plicht om de toegang tot politiegegevens te loggen.
• De verwerker verstrekt op verzoek van de gemeente Vlissingen de loggingsgegevens zodat deze conform het autorisatiebeleid periodiek gecontroleerd kunnen worden.
• De gemeente Vlissingen gebruikt de loggingsgegevens uitsluitend voor de controle van de rechtmatigheid van de gegevensverwerking, ter ondersteuning van de verplichte audits en ter waarborging van de integriteit en de rechtmatigheid van de toegang tot politiegegevens.
• De gemeente Vlissingen legt het resultaat van de periodieke controle vast in een verslag van bevindingen, welke wordt gearchiveerd binnen het daartoe bestemde en beveiligde zaaksysteem onder aanvoering van de FG
• De gemeente Vlissingen bewaart de loggingsgegevens alsmede het resultaat van de periodieke controle voor een periode van vijf jaar.
• De logging dient minimaal het verzamelen, wijzigen, raadplegen, verstrekken (onder meer in de vorm doorgiften), combineren of vernietigen van politiegegevens te bevatten
• Logbestanden behoren conform het beleid bewaartermijnen beschikbaar te zijn (zie hoofdstuk 24 van dit document).
25 Audits
25.1 Het uitvoeren van audits
• De gemeente Vlissingen laat conform de wet, eenmaal in de vier jaren een externe audit uitvoeren.
• De gemeente Vlissingen voert ter voorbereiding op de verplichting in het eerste lid van dit hoofdstuk, jaarlijks een interne audit uit.
• De gemeente Vlissingen stelt ten behoeve van het tweede lid van dit hoofdstuk een auditplan vast.
• De betrokken verwerkers dienen ten behoeve van de audit een Third Party Memorandum verklaring te overleggen die conform de ‘Nederlandse Orde van EDP Auditors handreiking’ wordt uitgevoerd, zodat deze verklaring betrokken kan worden bij de beoordeling van de audit.
• Indien uit de resultaten van de audit, zoals bedoeld in het eerste lid van dit artikel, blijkt dat de verwerking van de politiegegevens op onderdelen niet voldoet aan de wettelijke normen, dient de gemeente Vlissingen binnen een jaar zorg te dragen voor deze tekortkomingen, met als doel dat deze worden verholpen. Daarnaast voert de gemeente Vlissingen binnen één jaar een hercontrole uit, binnen de onderdelen waarvan het resultaat onvoldoende bleek te zijn.
• Indien blijkt dat de beheersmaatregelen ten aanzien van de gebruikte applicatie(s) niet voldoen aan de wettelijke normen, dan draagt de verwerker verantwoordelijkheid voor het verhelpen van de tekortkomingen binnen een periode van één jaar.
• De gemeente Vlissingen zendt een afschrift van de controleresultaten van de audit zoals bedoeld in het eerste lid van dit artikel aan de Autoriteit Persoonsgegevens.
25.2 Bekwaamheidseisen van de auditor
Bekwaamheidseisen externe auditor
• De externe auditor is ingeschreven als Register EDP-auditor bij de Nederlandse Orde van Register EDP-Auditors, dan wel bij een internationaal of Europees equivalent daarvan.
• De externe auditor beschikt over gedegen en aantoonbare kennis en vaardigheden op het gebied van:
o de politieorganisatie (in deze: de boa-organisatie);
o de informatievoorziening en processen van verwerking van politiegegevens;
o de vigerende wet- en regelgeving, in het bijzonder de Wet politiegegevens (in deze ook: het Besluit politiegegevens buitengewoon opsporingsambtenaar), het Besluit politiegegevens en de Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming.
• De externe auditor is onafhankelijk ten opzichte van de auditee.
• De externe auditor is verplicht tot volledige geheimhouding van de informatie die hij in de loop van zijn auditactiviteiten verkrijgt, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht. Hij legt daartoe een geheimhoudingsverklaring af.
• De functie van auditor kan worden voorgedragen voor aanwijzing als vertrouwensfunctie ingevolge artikel 3 van de Wet veiligheidsonderzoeken.
Bekwaamheidseisen interne auditor
• De interne auditor beschikt over voldoende kennis en vaardigheden op het gebied van:
o geautomatiseerde informatiesystemen en methoden en technieken rond IT-auditing;
o de boa-organisatie;
o de informatievoorziening en processen van verwerking van politiegegevens;
o de vigerende wet- en regelgeving, in het bijzonder de Wet politiegegevens, het Besluit politiegegevens en de Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming.
• De interne auditor stelt zich onafhankelijk op ten opzichte van de auditee.
• De interne auditor is verplicht tot volledige geheimhouding van de informatie die hij in de loop van zijn auditactiviteiten verkrijgt, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht. Hij legt daartoe een geheimhoudingsverklaring af.
26 Melding datalekken
• De gemeente Vlissingen stelt conform de wet procedures vast voor het melden van een (vermoedelijke) inbreuk op de beveiliging op politiegegevens, waaronder voor het melden van datalekken. Deze procedures staan beschreven in “Handboek WPG gemeente Vlissingen Domein I: Openbare Ruimte” hoofdstuk 22.
• De gemeente Vlissingen houdt een register bij van gemelde datalekken.
26.1 Verplichtingen vanuit de WPG
De volgende bepalingen omtrent het melden van inbreuken op de beveiliging van persoons- en politiegegevens zijn van toepassing vanuit de WPG:
• De verwerkingsverantwoordelijke meldt inbreuken op de beveiliging binnen 72 uur na kennisneming bij de Autoriteit Persoonsgegeven.
• De melding bevat de volgende gegevens:
o Een beschrijving van de aard en omvang van de inbreuk, met de categorieën van betrokkenen die zijn getroffen, het soort gegevensbestanden dat is getroffen en wanneer mogelijk het aantal getroffen betrokkenen en gegevensbestanden;
o De contactgegevens van de Functionaris Gegevensbescherming of een ander contactpunt;
o Een beschrijving van de mogelijke gevolgen van het lek;
o Een beschrijving van de maatregelen zie zijn ingericht of zullen worden ingericht ter beperking van mogelijke gevolgen.
• Wanneer alle nodige gegevens of informatie niet in één keer overgedragen kan worden kan deze informatie in stappen verwerkt worden.
• Wanneer het datalek een inbreuk op de beveiliging van politiegegevens die zijn doorgezonden naar een ander (EU) lidstaat dient de verwerkingsverantwoordelijke van deze lidstaat zonder onnodige vertraging op de hoogte gebracht worden van de inbreuk.
• Betrokkenen dienen op de hoogte gebracht te worden van een inbreuk op de beveiliging van persoons- of politiegegevens, wanneer de inbreuk op deze gegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van die bewuste betrokkenen. De melding aan betrokkenen bevat tenminste de inhoud zoals hierboven beschreven.
• Een mededeling aan betrokkenen is niet nodig wanneer:
o Passende technische en organisatorische maatregelen getroffen zijn door de verwerkingsverantwoordelijke om het risico op gevolgen voor betrokkenen te beperken of te verhelpen.
o Deze een onevenredige inspanning vergt, wanneer een openbare mededeling hierin volstaat.
o De mededeling op grond van art. 27 lid 2 kan worden uitgesteld, beperkt of achterwege gelaten.
27 Functionaris voor Gegevensbescherming
• De gemeente Vlissingen heeft een functionaris gegevensbescherming aangesteld ten behoeve van de controle en het toezicht op het verwerken en beschermen van politiegegevens conform de wet en het beleid van de gemeente Vlissingen.
• De functionaris gegevensbescherming voert daarbij periodiek controles uit op het naleven van de wettelijke verplichtingen, waaronder de controle op:
o de bewustwordingsverplichting conform paragraaf 10.2 van dit beleid;
o het autorisatieproces conform hoofdstuk 11 van het “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”;
o de kwaliteit en waarborging van de juistheid van de nauwkeurigheid van politiegegevens;
o het verwerken van politiegegevens conform dit beleid en de daarbij behorende procedures zoals uiteengezet in “Handboek WPG gemeente Vlissingen Domein I Openbare Ruimte”.
o de bewaartermijnen conform hoofdstuk 19 van dit beleid;
o het ter beschikking stellen en verstrekken van politiegegevens zoals bedoeld in hoofdstuk 18 van dit beleid;
o de controle op de informatiebeveiliging en de controle op het uitvoeren van een risicoanalyse zoals genoemd hoofdstuk 8 van dit beleid;
o het register voor verwerkingen conform hoofdstuk 22 van dit beleid;
o de verplichtingen ten aanzien van de audit conform hoofdstuk 25 van dit beleid;
o het uitvoeren van DPIA’s (9.3 van dit document)
• De functionaris gegevensbescherming stelt periodiek rapportages op en rapporteert zo nodig rechtstreeks aan de gemeente Vlissingen.
Ondertekening
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl