Privacybeleid 2025-2028 Samenwerking Kempengemeenten

1 Inleiding

Binnen de Samenwerking Kempengemeenten werken we veel met persoonsgegevens van inwoners, medewerkers en (samenwerkings)partners. We verzamelen vooral gegevens van inwoners om onze wettelijke taken goed uit te voeren. Dit doen we bijvoorbeeld voor sociale hulp en veiligheid. Om deze taken goed te doen, is het nodig dat we persoonsgegevens verwerken. Inwoners moeten erop kunnen vertrouwen dat wij zorgvuldig en veilig met hun gegevens omgaan.

De Samenwerking Kempengemeenten blijft zich ontwikkelen. Nieuwe technologieën, digitalisering en wereldwijde veranderingen zorgen ervoor dat we steeds beter moeten letten op de bescherming van gegevens en privacy. Wij zijn ons hiervan bewust en nemen maatregelen om privacy te beschermen. Dit doen we onder andere door informatie goed te beveiligen, alleen de nodige gegevens te verzamelen, transparant te zijn en inwoners controle te geven over hun gegevens.

Het bestuur en management spelen een belangrijke rol bij het beschermen van privacy. Met dit beleid laat de Samenwerking Kempengemeenten zien hoe wij privacy beschermen, naleven en controleren. Dit beleid wordt, als dat nodig is, aangepast en in ieder geval elke drie jaar opnieuw beoordeeld.

2 Reikwijdte

De Samenwerking Kempengemeenten verzamelt en gebruikt persoonsgegevens van inwoners, leveranciers, medewerkers en andere personen (hierna: betrokkenen).

Dit privacybeleid geldt voor alle manieren waarop door en voor de Samenwerking Kempengemeenten persoonsgegevens worden verwerkt, zoals:

• •

  Binnen de eigen werkprocessen van de Samenwerking Kempengemeenten.

• •

  Wanneer de Samenwerking Kempengemeenten een andere organisatie inschakelt om taken uit te voeren. Dit kan bijvoorbeeld een bedrijf of samenwerkingsverband zijn.

• •

  Bij het delen van gegevens met andere partijen, zoals samenwerkingspartners of leveranciers.

3 Privacy beginselen

De AVG heeft 6 basisregels (ook wel 'beginselen' genoemd) voor het verwerken van persoonsgegevens. Iedereen die met persoonsgegevens werkt, moet zich hieraan houden en kunnen laten zien dat ze dit doen. Dit bewijzen heet het zevende, algemene beginsel van de AVG.

In deze paragraaf leggen we stap voor stap uit wat deze beginselen betekenen.

3.1 Eerlijk, wettig en duidelijk omgaan met persoonsgegevens

De Samenwerking Kempengemeenten verwerkt persoonsgegevens alleen als dit volgens de wet mag en binnen de privacyregels past.

Duidelijkheid en transparantie:

Op de website van de Samenwerking Kempengemeenten staat een privacyverklaring. https://www.kempengemeenten.nl/privacyverklaring

Hierin leggen we uit:

• •

  Wie wij zijn.

• •

  Hoe betrokkenen kunnen vragen welke persoonsgegevens wij van hen verwerken.

• •

  Welke rechten zij hebben en hoe zij een verzoek kunnen indienen.

Persoonsgegevens delen met andere landen:

De Samenwerking Kempengemeenten deelt persoonsgegevens alleen met landen buiten de Europese Economische Ruimte (EER) of met internationale organisaties als dit echt nodig is én als die landen of organisaties goed zorgen voor de bescherming van gegevens. De Europese Commissie bepaalt welke landen en organisaties hieraan voldoen.

3.2 Doelen

De Samenwerking Kempengemeenten gebruikt persoonsgegevens alleen voor duidelijke en gerechtvaardigde doelen.

Gegevens die voor een bepaald doel zijn verzameld, worden niet voor iets anders gebruikt. Dit mag alleen als het nieuwe doel past bij het oorspronkelijke doel waarvoor de gegevens zijn verzameld.

3.3 Zo min mogelijk gegevens verwerken

De Samenwerking Kempengemeenten verwerkt alleen de persoonsgegevens die echt nodig zijn. We verzamelen en gebruiken niet meer gegevens dan noodzakelijk.

3.4 Juiste en actuele gegevens

De Samenwerking Kempengemeenten zorgt ervoor dat persoonsgegevens correct, volledig en relevant zijn voor het doel waarvoor ze worden gebruikt. We nemen maatregelen om gegevens up-to-date te houden. Als gegevens niet kloppen, passen we ze aan of verwijderen we ze.

3.5 Veilige en vertrouwelijke verwerking

De Samenwerking Kempengemeenten zorgt voor technische en organisatorische maatregelen om persoonsgegevens goed te beschermen. Dit geldt vooral voor gevoelige gegevens. We voorkomen misbruik en ongeoorloofde toegang tot persoonsgegevens.

We volgen hierbij ons informatiebeveiligingsbeleid. Als er een probleem ontstaat met persoonsgegevens, melden we dit direct via privacy@kempengemeenten.nl. Hoe we omgaan met datalekken staat beschreven in de procedure meldplicht datalekken.

3.6 Gegevens niet langer bewaren dan nodig

De Samenwerking Kempengemeenten bepaalt hoe lang persoonsgegevens worden bewaard op basis van de Archiefwet.

Als er geen wettelijke bewaartermijn is, houden we ons aan de wettelijke regels. Dit betekent dat gegevens niet langer worden bewaard dan nodig is. Alleen als de gegevens buiten de regels van de AVG, UAVG of Wpg vallen, kunnen ze langer worden bewaard.

4 Verantwoording en toezicht

Het dagelijks bestuur is verantwoordelijk voor het verwerken van veel persoonsgegevens binnen de Samenwerking Kempengemeenten. De eindverantwoordelijke kan voor verschillende verwerkingen ook de voorzitter zijn.

De verwerking van persoonsgegevens kan gemandateerd of gedelegeerd zijn aan externe partners.

Hierop wordt zowel intern als extern toezicht gehouden.

• •

  Extern toezicht: De Autoriteit Persoonsgegevens (AP) controleert of de Samenwerking Kempengemeenten zich aan de privacyregels in Nederland houdt.

• •

  Intern toezicht: De Samenwerking Kempengemeenten heeft een eigen toezichthouder, de Functionaris Gegevensbescherming (FG). De FG controleert of de Samenwerking Kempengemeenten zich aan de AVG, UAVG en Wpg houdt.

De Samenwerking Kempengemeenten zorgt ervoor dat de FG genoeg middelen heeft om goed toezicht te houden.

Nieuwe manieren om gegevens te verwerken in processen, diensten of systemen worden pas ingevoerd als ze voldoen aan de privacyregels (privacy by design).

5 Bewustwording

Het is belangrijk dat medewerkers van de Samenwerking Kempengemeenten goed en veilig omgaan met persoonsgegevens. Daarom blijft dit onderwerp voortdurend onder de aandacht.

Om dit te bereiken, is er een speciaal programma over privacy en gegevensbescherming.

De Functionaris Gegevensbescherming (FG) en de Privacy officer (PO) zorgen ervoor dat medewerkers, leidinggevenden en bestuurders op de hoogte blijven van de regels. Dit doen zij door middel van trainingen, opleidingen en andere middelen.

6 Organisatie en verantwoordelijkheden

Binnen de Samenwerking Kempengemeenten is vaak het dagelijks bestuur eindverantwoordelijk voor het naleven van de AVG, UAVG en Wpg. De eindverantwoordelijke kan voor verschillende verwerkingen ook de voorzitter zijn. Onderstaande tabel brengt de verantwoordelijkheden in beeld:

Alle Kempengemeenten (Bergeijk, Bladel, Eersel, Oirschot en Reusel-De Mierden), de Gemeenschappelijke Regeling Samenwerking Kempengemeenten (GRSK) en Participatiebedrijf KempenPlus (KempenPlus) hebben samen één functionaris gegevensbescherming. Deze functie is ondergebracht bij de Samenwerking Kempengemeenten.

De privacy officers van deze organisaties overleggen en werken samen.

In de volgende hoofdstukken worden de verantwoordelijkheden per onderwerp verder uitgelegd.

7 Verwerkingsregister

Het verwerkingsregister is een verplicht document volgens de AVG en Wpg. Dit register helpt de Samenwerking Kempengemeenten om persoonsgegevens op een zorgvuldige manier te verwerken.

In het verwerkingsregister staat onder andere:

• •

  Welke gegevens de Samenwerking Kempengemeenten verwerkt.

• •

  Waarom deze gegevens worden verwerkt.

• •

  Welke persoonsgegevens het betreft.

• •

  Hoe lang de gegevens worden bewaard.

Toegang en verantwoordelijkheid:

Elke afdeling binnen de Samenwerking Kempengemeenten heeft toegang tot het verwerkingsregister. Om ervoor te zorgen dat het register volledig en up-to-date blijft, gelden de volgende afspraken:

• •

  Directie: Is eindverantwoordelijk en zorgt ervoor dat het register actueel blijft.

• •

  Proceseigenaren: Moeten de gegevensverwerkingen binnen hun afdeling bijhouden en actueel houden.

• •

  Privacy officer (PO): Beheert het verwerkingsregister.

• •

  Functionaris Gegevensbescherming (FG): Controleert of het register voldoet aan de AVG-, UAVG- en Wpg-regels.

Iedereen kan het verwerkingsregister bekijken. Het register is openbaar.

8 (Pre-)DPIA proces

Een (pre-) Data Protection Impact Assessment (DPIA) is een hulpmiddel om te bepalen of een gegevensverwerking een hoog privacy risico heeft. Hierbij worden ook de nodige gegevens verzameld voor het verwerkingsregister.

Een DPIA is een verplicht onderzoek volgens de AVG en Wpg. Hiermee brengt de Samenwerking Kempengemeenten vooraf de privacy risico’s van een gegevensverwerking in kaart. Dit is verplicht als een verwerking een hoog privacy risico met zich meebrengt.

Het (Pre-)DPIA-proces is verder uitgewerkt in een procesbeschrijving. Binnen de Samenwerking Kempengemeenten gelden de volgende afspraken:

• •

  Directie: Is eindverantwoordelijk en zorgt ervoor dat een DPIA wordt uitgevoerd.

• •

  Proceseigenaar:

  • o

    Voert de DPIA uit en krijgt hierbij ondersteuning van de Privacy officer (PO).

  • o

    Betrekt de Privacy officer (PO), Functionaris Gegevensbescherming (FG) en/of Chief Information Security Officer (CISO) op tijd, zodat zij verplicht advies kunnen geven.

  • o

    Zorgt voor de juiste documentatie en archivering van de (pre)DPIA.

De maatregelen die uit de DPIA voortkomen, worden uitgevoerd. Alleen als er een goede reden is, kan hiervan worden afgeweken door management en/of bestuur.

Als een DPIA laat zien dat de verwerking alsnog hoge privacy risico’s met zich meebrengt, moet de proceseigenaar de DPIA eerst voorleggen aan de Autoriteit Persoonsgegevens (AP) voordat de verwerking mag beginnen.

9 Rechten van betrokkenen

Volgens de AVG en Wpg hebben inwoners rechten over het gebruik van hun persoonsgegevens. Zij hebben onder andere recht op inzage, informatie en overdraagbaarheid van hun gegevens.

De Samenwerking Kempengemeenten vindt het belangrijk om open en duidelijk te zijn over hoe persoonsgegevens worden gebruikt. Inwoners moeten zoveel mogelijk controle hebben over hun eigen gegevens. Daarom gelden de volgende afspraken:

• •

  Inzage in gegevens: Inwoners mogen vragen welke persoonsgegevens de Samenwerking Kempengemeenten over hen heeft en waarvoor deze worden gebruikt. Dit geldt, tenzij er een wettelijke reden is om deze gegevens niet te delen.

• •

  Gegevens aanpassen of verwijderen: Inwoners kunnen vragen om hun gegevens te verbeteren, aan te vullen of te verwijderen. De Samenwerking Kempengemeenten probeert hen zoveel mogelijk controle over hun gegevens te geven. Dit kan nadat hiervoor een afspraak is gemaakt.

• •

  Gegevens beperken of overdragen: Inwoners hebben het recht om hun persoonsgegevens te laten beperken of overdragen. Dit betekent dat zij kunnen aangeven dat hun gegevens tijdelijk niet mogen worden gebruikt of dat zij hun gegevens willen meenemen naar een andere organisatie. Dit kan nadat hiervoor een afspraak is gemaakt.

• •

  Bezwaar maken of toestemming intrekken: Inwoners hebben het recht om bezwaar te maken tegen het gebruik van hun persoonsgegevens of om eerder gegeven toestemming in te trekken. Dit kan nadat hiervoor een afspraak is gemaakt.

• •

  Verantwoordelijkheid: De afdelingen binnen de Samenwerking Kempengemeenten zorgen ervoor dat de verzoeken volgens de AVG en Wpg wet worden behandeld.

• •

  Vragen over persoonsgegevens: Inwoners kunnen contact opnemen met de Privacy officer (PO) van de Samenwerking Kempengemeenten via privacy@kempengemeenten.nl.

• •

  Procesbeschrijving: Er is een duidelijke handleiding over hoe de Samenwerking Kempengemeenten AVG- en Wpg-verzoeken afhandelt.

10 Andere belangrijke onderwerpen voor privacywetgeving

Om privacy goed te beschermen, werkt de Samenwerking Kempengemeenten samen met verschillende vakgebieden. In dit hoofdstuk leggen we uit hoe privacy samenhangt met andere belangrijke onderwerpen.

10.1 Informatiebeveiliging

Naast het privacybeleid heeft de Samenwerking Kempengemeenten ook een informatiebeveiligingsbeleid. Hierin staan maatregelen om ervoor te zorgen dat (persoons)gegevens:

• •

  Beschikbaar blijven wanneer ze nodig zijn.

• •

  Juist en volledig worden verwerkt.

• •

  Veilig en vertrouwelijk worden opgeslagen en gebruikt.

Goede informatiebeveiliging is noodzakelijk om persoonsgegevens goed te beschermen. Daarom horen het privacybeleid en het informatiebeveiligingsbeleid bij elkaar en kunnen ze niet los van elkaar worden gezien.

10.2 Samenwerking en inkoop

Bij sommige gemeentelijke processen werkt de Samenwerking Kempengemeenten samen met andere organisaties. Hierbij gelden duidelijke afspraken over privacy.

• •

  Verwerkersovereenkomst: Als een andere organisatie persoonsgegevens verwerkt namens de Samenwerking Kempengemeenten, is een verwerkersovereenkomst verplicht. Wij controleren de verwerkersovereenkomsten volgens de standaard van de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG). Zo zorgen we ervoor dat we de nieuwste ontwikkelingen volgen.

• •

  Gezamenlijke verantwoordelijkheid: Soms is de Samenwerking Kempengemeenten niet de enige verantwoordelijke voor de gegevensverwerking. In dat geval worden goede afspraken gemaakt om de privacy van inwoners te beschermen.

• •

  Verantwoordelijkheid van de Samenwerking Kempengemeenten: de Samenwerking Kempengemeenten is altijd verantwoordelijk voor:

  • o

    De eigen persoonsgegevens.

  • o

    Gegevens die aan een andere partij worden gegeven.

  • o

    Gegevens die worden verwerkt namens een andere partij.

Hierdoor zorgt de Samenwerking Kempengemeenten ervoor dat persoonsgegevens veilig en volgens de wet worden verwerkt.

10.3 Archiefbeheer

De Archiefwet bepaalt hoe lang de Samenwerking Kempengemeenten documenten moet bewaren. Deze bewaartermijnen gelden als aanvulling op de regels uit de AVG, UAVG en Wpg, waar staat dat gegevens alleen zolang mogen worden bewaard als nodig is voor het doel.

Als de Samenwerking Kempengemeenten archieven overbrengt naar een archiefbewaarplaats, wordt beoordeeld of sommige documenten niet meteen openbaar mogen worden. Dit gebeurt volgens de Archiefwet. Een reden om de openbaarheid uit te stellen, is bijvoorbeeld als er persoonsgegevens in de dossiers staan die nog bescherming nodig hebben.

10.4 Digitale ethiek

Privacy en digitale ethiek zijn allebei belangrijk bij het omgaan met persoonsgegevens en digitale technologieën. Ze hebben veel met elkaar te maken, maar zijn niet hetzelfde.

• •

  Privacy gaat over het beschermen van persoonsgegevens volgens de wet, zodat deze niet worden misbruikt.

• •

  Digitale ethiek gaat over de morele vragen rond digitale technologie, zoals big data, sensoren en kunstmatige intelligentie. Hierbij kijken we niet alleen naar wat wettelijk mag, maar ook naar wat wenselijk is.

Privacy is een belangrijk onderdeel van digitale ethiek, maar er zijn ook andere ethische waarden, zoals:

• •

  Transparantie: Open en duidelijk zijn over hoe gegevens worden gebruikt.

• •

  Verantwoordelijkheid: Zorgen dat technologie op een eerlijke manier wordt ingezet.

• •

  Veiligheid: Beschermen van persoonsgegevens en digitale systemen.

• •

  Inclusie: Iedereen moet mee kunnen doen in de digitale samenleving.

• •

  Duurzaamheid: Digitale ontwikkelingen moeten ook op lange termijn goed zijn voor mens en milieu.

In de Samenwerking Kempengemeenten werken professionals samen om van elkaar te leren en zo steeds beter om te gaan met digitale technologie en ethiek.

10.5 Gebruik van algoritmes

De Samenwerking Kempengemeenten gebruikt soms algoritmes, zoals ChatGPT, om de dienstverlening te verbeteren. Een algoritme is een soort rekenprogramma dat informatie verwerkt en adviezen geeft.

Wij vinden het belangrijk dat uw privacy goed beschermd blijft. Daarom:

• •

  Gebruiken we algoritmes alleen als het echt nodig is.

• •

  Controleert een medewerker altijd automatische adviezen. Een algoritme neemt nooit zelf beslissingen.

• •

  Houden we ons aan de privacywetgeving en regels.

De Samenwerking Kempengemeenten moet open zijn over het gebruik van algoritmes. Daarom is er een landelijk algoritmeregister. Hierin staat welke algoritmes we gebruiken, waarom we ze gebruiken en hoe we zorgen dat uw gegevens veilig blijven. Bekijk het register hier: https://algoritmes.overheid.nl/nl.

10.6 Wet Open Overheid (Woo)

De Wet open overheid (Woo) zorgt ervoor dat inwoners informatie en documenten van de kunnen opvragen. Dit heet een Woo-verzoek.

Als de Samenwerking Kempengemeenten documenten openbaar maakt, worden persoonsgegevens hierin onleesbaar gemaakt (geanonimiseerd). Dit gebeurt zowel bij:

• •

  Woo-verzoeken, waarbij inwoners om informatie vragen.

• •

  Actieve openbaarmaking, waarbij de Samenwerking Kempengemeenten zelf documenten openbaar maakt.

Het zorgvuldig anonimiseren van persoonsgegevens is erg belangrijk.

10.7 Hergebruik van overheidsgegevens

De Samenwerking Kempengemeenten stelt sommige documenten en gegevens beschikbaar volgens de Wet hergebruik van overheidsinformatie (Who). Dit betekent dat informatie die openbaar is, door anderen mag worden gebruikt.

Persoonsgegevens vallen hier niet onder. De Samenwerking Kempengemeenten zorgt ervoor dat persoonsgegevens veilig zijn. De Samenwerking Kempengemeenten gebruikt deze gegevens alleen opnieuw als de wet dat verplicht, volgens de regels van de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat:

• •

  Persoonsgegevens niet zomaar mogen worden gedeeld of hergebruikt.

• •

  De Samenwerking Kempengemeenten alleen gegevens deelt als daar een wettelijke reden voor is.

• •

  Openbare documenten waarin persoonsgegevens staan, worden aangepast of geanonimiseerd voordat ze beschikbaar worden gesteld.

11 Rol van de Functionaris Gegevensbescherming (FG)

De Functionaris Gegevensbescherming (FG) controleert binnen de Samenwerking Kempengemeenten of de privacyregels goed worden nageleefd. Dit geldt zowel voor de wetgeving als voor het interne privacybeleid.

De FG heeft daarnaast een adviserende rol en is ook het contactpunt voor inwoners en de Autoriteit Persoonsgegevens (AP).

Om het werk goed te kunnen doen:

• •

  Werkt de FG onafhankelijk en mag geen instructies krijgen van het bestuur, de directeur of het management.

• •

  Heeft de FG ontslagbescherming, zodat hij of zij zonder invloed van anderen kan werken.

De eindverantwoordelijkheid voor de bescherming van persoonsgegevens ligt altijd bij het dagelijks bestuur of bij de voorzitter hiervan, niet bij de FG.

12 Slotbepalingen

Als de Samenwerking Kempengemeenten zich niet aan de privacywet en -regelgeving houdt, kan een inwoner een klacht indienen. De klacht wordt behandeld volgens de klachtenregeling van de Samenwerking Kempengemeenten.

Voor het sociaal domein is speciaal beleid gemaakt over hoe persoonsgegevens worden uitgewisseld bij taken die zijn gedelegeerd aan de Samenwerking Kempengemeenten en KempenPlus. In de volgende documenten staat beschreven hoe privacygevoelige informatie wordt behandeld binnen deze taken:

De gemeenten Eersel, Oirschot en Reusel-De Mierden voeren sommige (deel)processen binnen het sociaal domein zelf uit. Uitgangspunt is dat dit gemeentelijke privacybeleid de gegevensdeling in het sociaal domein niet hindert zolang dit binnen de wettelijke kaders gebeurt.

Dit reglement wordt aangehaald als ‘Privacybeleid 2025-2028 Samenwerking Kempengemeenten.

Dit reglement treedt in werking op 24-06-2025.

Het ‘Algemeen Privacybeleid voor Gemeenschappelijke Regeling Samenwerking Kempengemeenten 2022-2025’ , en ‘Privacyreglement GRSK 2022-2025’ wordt ingetrokken met ingang van 24-06-2025.