Privacybeleid ISD BOL 2026-2028

De intergemeentelijke sociale dienst ISD BOL verwerkt veel persoonsinformatie. Wij verwerken persoonsgegevens van zowel burgers, medewerkers als bedrijven. Deze gegevens zijn nodig voor het goed uitvoeren van de kerntaken. Alle betrokkenen moeten er op kunnen vertrouwen dat wij op een zorgvuldige en veilige wijze omgaan met deze beschikbare gegevens. Middels dit privacybeleid geeft ISD BOL derhalve aan hoe de privacy wordt gewaarborgd, beschermd en gehandhaafd. Dit beleidsdocument moet worden gezien als een overkoepelend document, waarbij in een uitvoeringsplan, procesbeschrijvingen en instructies nadere afspraken worden gemaakt c.q. een gedetailleerde uitwerking plaatsvindt.

1.1 Voor wie?

Het privacybeleid van ISD BOL bevat afspraken tussen het Dagelijks Bestuur en de organisatie. Daarnaast vormt dit beleid een kader waarbinnen medewerkers van ISD BOL dienen te opereren. Ten slotte kunnen betrokkenen op basis van dit document inzicht verkrijgen in de wijze waarop ISD BOL persoonsgegevens verwerkt.

1.2 Doel

Doelstelling van dit privacybeleid is kaders vast te stellen waarmee gewaarborgd wordt dat ISD BOL op een zorgvuldige en veilige wijze persoonsgegevens verwerkt conform de geldende wet- en regelgeving. Tevens is dit beleid bedoeld om de belangen van betrokkenen centraal te stellen. Ten slotte is bewustwording onder medewerkers een belangrijke doelstelling hetgeen een continu proces is. Hiermee willen we het volgende bereiken:

• •

  De basis voor een goed geïmplementeerd privacybeleid garanderen en dat alle werknemers zich ten volle bewust zijn van de noodzaak om zorgvuldig om te gaan met persoonsgegevens. Dit vormt de basis voor toepassing van de wettelijke eisen en voor een respectvolle omgang met de persoonsgegevens van betrokkenen.

• •

  De rechten van betrokkenen respecteren en in procedures verankeren.

• •

  Het vertrouwen van betrokkenen in de overheid niet beschamen.

• •

  Draagvlak verkrijgen voor de bescherming van persoonsgegevens binnen alle lagen van ISD BOL als onderdeel van de uitvoering van de wettelijke taken, goed werkgeverschap, opdrachtnemerschap en opdrachtgeverschap.

• •

  De kans op financiële schade door het oplopen van boetes en reputatieschade minimaliseren.

1.3 Visie

Het privacybeleid dient afgestemd te zijn op de (interne en externe) omgeving waarin het beleid wordt gebruikt, op de toekomst en op het beleid en de visie van de organisatie. In deze paragraaf wordt ingegaan op de visie van ISD BOL.

Volgens het Meerjarenbeleidsplan ISD BOL 2023-2026 gaat ISD BOL als uitvoeringsorganisatie onder andere voor een optimale dienstverlening aan de burgers en het participeren in de lokale aanpak van de deelnemende gemeenten hetgeen leidt tot een integrale werkwijze. Onderdeel van een goede dienstverlening aan burgers is het continueren van de in de afgelopen jaren ingezette koers van automatisering en digitalisering vanuit het gedachtegoed dat dit leidt tot administratieve lastenverlichting bij zowel de burger als ISD BOL.

Het hebben van een privacybeleid dat aan de geldende wet- en regelgeving voldoet plus naleving hiervan, is nodig om bovenstaande visie te kunnen realiseren. Een goede dienstverlening is namelijk inherent verbonden aan het op een correcte wijze omgaan met persoonsgegevens.

Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de agenda van ISD BOL. Wij dragen de verantwoordelijkheid voor persoonsgegevens en de uitwisseling hiervan daar waar dat noodzakelijk is voor onze taakuitoefening. Derhalve zijn wij verplicht om zorgvuldig, veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens. Immers is privacy een grondrecht en vormt het een vereiste voor het kunnen uitoefenen van andere vrijheden. ISD BOL ondersteunt dit door het uitdragen van het belang van privacy en het zijn van een betrouwbare overheid door in haar handelen de persoonlijke levenssfeer van betrokkenen te eerbiedigen en transparant te zijn over de manier waarop wij dit doen.

1.4 Scope

Dit privacybeleid is van toepassing op:

• •

  De gehele organisatie ISD BOL;

• •

  Alle processen waarin persoonsgegevens worden verwerkt, waaronder processen die ISD BOL uitbesteedt of op een andere manier organiseert voor zover ISD BOL ten aanzien van de verwerking van persoonsgegevens als verwerkingsverantwoordelijke kan worden gekwalificeerd;

• •

  Informatiesystemen waarin persoonsgegevens worden verwerkt waarvoor ISD BOL verantwoordelijk is;

• •

  Alle ruimten en apparaten die door medewerkers van ISD BOL intern en extern worden gebruikt bij de uitoefening van hun taak waarbij persoonsgegevens worden verwerkt;

• •

  Alle onderdelen, objecten en gegevensverzamelingen van ISD BOL waarbij persoonsgegevens worden verwerkt.

1.5 Raakvlakken en overlap andere beleidsthema’s

Privacybeleid staat niet op zichzelf en heeft nadrukkelijk raakvlakken of overlap met andere beleidsthema’s. In dit kader moet gedacht worden aan:

Informatiebeveiliging

Informatieveiligheid valt uiteen in informatiebeveiliging en privacy. Zowel informatiebeveiliging als privacy gaan over het beschermen, beheren en beheersen van

informatie. Waarbij privacy specifiek aandacht vraagt voor zorgvuldig omgaan met persoonsgegevens, gaat het bij informatiebeveiliging juist om de bescherming van álle relevante informatie in de organisatie. De onderwerpen zijn nauw met elkaar verbonden.

In figuur 1 is de relatie tussen deze onderwerpen weergegeven.

Figuur 1: Overlap privacy en informatiebeveiliging

Om veilig met informatie om te gaan is dus aandacht nodig voor de beveiliging van informatie én voor het zorgvuldig omgaan met persoonsgegevens. De kaders en uitgangspunten binnen ISD BOL inzake informatiebeveiliging zijn vastgelegd in het “Informatiebeveiligingsbeleid ISD BOL 2023-2025”. 1

Archiefbeleid

Het is noodzakelijk om privacybeleid en archiefbeleid in onderlinge samenhang te bekijken. Op basis van het archiefbeleid zijn namelijk onder andere bepalingen opgenomen omtrent gegevensvernietiging. De kaders en uitgangspunten binnen ISD BOL inzake archiefbeleid zijn vastgelegd in de “Archiefverordening ISD BOL 2023”. 2

Integriteit

Het privacybeleid heeft ook een raakvlak met integriteit. Integriteit is weliswaar niet voldoende om te voldoen aan de eisen in de Algemene Verordening Gegevensbescherming (AVG), maar zorgvuldig omgaan met persoonsgegevens vergt wel een integere basishouding. In dit kader leggen alle medewerkers van ISD BOL (ook in het geval van een tijdelijk contract, een stage of externe inhuur) de ambtseed of belofte af.

2.1 Managementstructuur

Binnen ISD BOL zijn diverse verantwoordelijkheidsniveaus met betrekking tot privacy te onderscheiden:

Algemeen bestuur: stelt financiële middelen beschikbaar voor privacy en heeft een controlerende functie ten aanzien van het privacybeleid en de uitvoering daarvan.

Dagelijks bestuur: is in de sturende rol eindverantwoordelijkheid op het gebied van privacy:

• •

  Het privacybeleid vast te stellen;

• •

  Beoordeelt risico’s en neemt besluiten op het gebied van privacy;

• •

  Toezicht houden op de uitvoering van het privacybeleid;

• •

  Voorstellen doen aan het Algemeen Bestuur om voldoende financiële middelen ter beschikking te stellen om op adequate wijze de privacywetgeving na te leven;

Het Dagelijks Bestuur heeft haar taken gemandateerd aan de directeur van ISD BOL.

Management: is verantwoordelijk voor het realiseren van de doelstelling van het privacybeleid, voor de kaders en de invulling van het privacybeleid.

2.2 Proceseigenaarschap

Proceseigenaren zijn verantwoordelijk voor de zorgvuldige verwerking van persoonsgegevens die binnen hun proces plaatsvinden en dienen dit waar nodig bij te sturen. Zij hebben een signaalfunctie en informeren hierover gevraagd en ongevraagd de Functionaris Gegevensbescherming (zie tevens hoofdstuk 6).

Naast het feit dat ISD BOL verantwoordelijk is voor de naleving van de AVG dient dit ook zichtbaar te zijn, de zogenaamde verantwoordingsplicht.3 Dit kan doordat de proceseigenaren de Functionaris Gegevensbescherming informeren over de realisatie van afgesproken privacy-waarborgen.

Leidinggevenden en medewerkers nemen privacy als onderdeel van werkoverleggen op. Onze organisatie werkt op deze manier actief aan privacy bewustzijn, het opbouwen van kennis en aan verantwoorde procesuitvoering.

Voor de ondersteuning van het management is er een Functionaris Gegevensbescherming ingezet op het gebied van gegevensverwerking en informatiebeveiliging (zie verder paragraaf 2.3).

2.3 Toezicht

ISD BOL heeft een Functionaris Gegevensbescherming aangesteld die verantwoordelijk is voor het toezicht houden op de naleving van privacywetten- en regels.

De Functionaris Gegevensbescherming heeft een onafhankelijke positie in onze organisatie en is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren en optreden als contactpersoon van de Autoriteit Persoonsgegevens.

In het geval van datalekken, zorgt de Functionaris Gegevensbescherming dat deze, indien nodig4 , tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Ook is er de verantwoordelijkheid voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de richtlijnen op het gebied van privacy.

3.1 Juridisch kader

ISD BOL heeft de verplichting om een privacybeleid op te stellen en dit tevens na te leven en te handhaven. Hierop zijn diverse wettelijke kaders van toepassing. Allereerst is ISD BOL gebonden aan de generieke wetgeving op privacy gebied, te weten de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Daarnaast is ISD BOL in de hoedanigheid van bestuursorgaan uiteraard ook gebonden aan de algemene regels van het bestuursrecht, zoals onder andere vastgelegd in de Algemene wet bestuursrecht (Awb) en de Wet open overheid (Woo). Zoals eerder aangegeven in paragraaf 1.5 is met het oog op het bewaren en vernietigen van gegevens eveneens de Archiefwet van toepassing. Ten slotte is er met het oog op de taakuitoefening van ISD BOL nog diverse specifieke wet- en regelgeving van toepassing op de verwerking van persoonsgegevens:

• •

  Participatiewet (Pw);

• •

  Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers (IOAW);

• •

  Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen (IOAZ);

• •

  Wet inburgering 2021;

• •

  Wet gemeentelijke schuldhulpverlening (Wgs);

• •

  Wet politiegegevens (Wpg);

• •

  Baseline Informatiebeveiliging Overheid (BIO).

3.2 Uitgangspunten

Op basis van het hierboven benoemde juridisch kader, houdt ISD BOL zich bij de verwerking van persoonsgegevens aan de volgende uitgangspunten:

Rechtmatigheid en behoorlijkheid

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Transparantie

Het is van belang dat betrokkenen erop kunnen vertrouwen dat persoonsgegevens zorgvuldig worden verwerkt. Transparantie levert een belangrijke bijdrage aan dit vertrouwen. Derhalve maakt ISD BOL middels een privacyverklaring op de website inzichtelijk hoe er met persoonsgegevens wordt omgegaan en hoe de privacy van betrokkenen wordt gewaarborgd. 5

Grondslag en doelbinding

ISD BOL verzamelt en verwerkt persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. We verwerken persoonsgegevens alleen met een rechtvaardige grondslag. Dit is opgenomen in het verwerkingsregister klantprocessen6 en wordt momenteel ook verwerkt in het verwerkingsregister bedrijfsprocessen.

Dataminimalisatie

ISD BOL verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Er wordt gestreefd naar minimale gegevensverwerking. Waar mogelijk verwerken we minder of geen persoonsgegevens. Dit is verder uitgewerkt in de Procedure dataminimalisatie AVG en Wpg7 .

Bewaartermijn

Het bewaren van persoonsgegevens kan nodig zijn om de taken van ISD BOL goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven. Persoonsgegevens worden echter niet langer bewaard dan nodig is. De AVG schrijft namelijk voor dat persoonsgegevens mogen worden bewaard zolang dit het vooraf bepaalde doel dient. In ons geval is dat de wettelijke taak voor de uitvoering van de Participatiewet en aanverwante wetgeving zoals benoemd in paragraaf 3.1. We nemen de richtlijnen van de Archiefwet in acht en hebben in onze processen vastgelegd wat per categorie de bewaartermijn is. Voor de bewaartermijnen hanteren wij de selectielijst 2020 van de Vereniging Nederlandse Gemeenten (VNG). Voor de Wpg is dit verder uitgewerkt in de Procedure beheren bewaartermijnen Wpg 8 .

Integriteit en vertrouwelijkheid

ISD BOL gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo verwerken alleen personen met een geheimhoudingsplicht persoonsgegevens en verwerken zij de persoonsgegevens alleen voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de ISD BOL voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid en het informatiebeveiligingsplan. 9

Delen met derden

ln het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt ISD BOL afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet en dienen periodiek te worden gecontroleerd. Voor de Wpg is dit verder uitgewerkt in de Procedure gegevensverstrekking Wpg 10 .

Subsidiariteit

Voor het bereiken van het doel waarvoor ISD BOL de persoonsgegevens verwerkt, wordt de inbreuk op de persoonlijke levenssfeer van de betrokkenen zoveel als mogelijk beperkt.

Proportionaliteit

De inbreuk op de belangen van betrokkenen mag niet onevenredig zijn in verhouding tot en met het met de verwerking gediende doel.

Privacy by design

Reeds bij de ontwikkeling van producten of diensten wordt rekening gehouden met de privacyaspecten. Op deze manier wordt er een zorgvuldige omgang met persoonsgegevens afgedwongen.

Privacy by default

Privacy by default kan gezien worden als een onderdeel van privacy by design. Privacy by default vereist namelijk dat de standaardinstellingen van een product of dienst altijd zo privacy-vriendelijk mogelijk zijn.

3.3 Noodzakelijke gegevensverwerking

Proceseigenaren verwerken persoonsgegevens voor zover dit noodzakelijk is voor het realiseren van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen, de nakoming van wettelijke of contractuele verplichtingen of ter bescherming van de veiligheid, gezondheid en/of het welzijn van betrokkenen. Bij het verwerken van persoonsgegevens worden de in paragraaf 3.2 benoemde uitgangspunten in acht genomen.

3.4 Kapstokregeling

Dit privacybeleid heeft een algemeen karakter en een raamwerkfunctie. In die zin is er sprake van een kapstokregeling. Dit document gaat niet nader in op regels die kunnen gelden voor specifieke taken. Voor zover dit van toepassing is, geven proceseigenaren in procesbeschrijvingen een nadere invulling aan het privacybeleid. Dit laatste dient uiteraard te gebeuren in samenspraak met de Functionaris Gegevensbescherming en de Privacy Officer.

4.1 DPIA

Het goed borgen van privacy binnen de organisatie is grotendeels een vorm van risicomanagement. De aard van de verwerking in combinatie met de risico’s voor betrokkenen bepalen welke maatregelen passend zijn om te kunnen waarborgen en aantonen dat verwerking van persoonsgegevens conform wet- en regelgeving wordt uitgevoerd. Er wordt advies ingewonnen bij de PO en FG alvorens wordt aangevangen met een nieuwe of verdere verwerking van persoonsgegevens. Bij nieuwe of gewijzigde verwerkingen wordt indien nodig een pré-DPIA uitgevoerd. DPIA staat voor data protection impact assessment. In een pré-DPIA wordt beoordeeld of een volledige DPIA benodigd is. Het is een snelle manier om inzicht te krijgen in de potentiële privacyrisico's.

De risico’s worden in een DPIA nader uitgewerkt. Een DPIA beoordeelt de effecten en risico’s op het gebied van privacy voor processen waarbij persoonsgegevens worden verwerkt. De effecten van een verwerking, zowel risico’s als positieve aspecten, worden door middel van een DPIA in kaart gebracht en afgewogen. Met een risicoanalyse wordt de mate van risico weergegeven:

Figuur 2: Risicoanalyse DPIA

Een DPIA dient het vertrekpunt te vormen voor beleidskeuzes die invloed hebben op de verwerking van persoonsgegevens. De Autoriteit Persoonsgegevens heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is voordat gestart wordt met de verwerking. 11 Het is aan te bevelen om ook bij reeds bestaande processen periodiek een DPIA uit te voeren, in ieder geval zodra de verwerking wijzigt of er nieuwe privacy risico’s ontstaan.

De kwaliteit van de handelswijze inzake privacy gerelateerde vraagstukken wordt verhoogd door binnen onze organisatie telkens de PDCA-cyclus te doorlopen. Dit draagt bij aan een evenwichtig beheerssysteem.

Het management van ISD BOL is verantwoordelijk om keuzes te maken op het gebied van privacyrisico's, zoals het treffen van mitigerende maatregelen en het accepteren van restrisico's. Het management wordt bij het uitvoeren van privacyrisicomanagement ondersteund door de PO en FG middels de aangeleverde DPIA rapportage waarin de (rest)risico’s en mogelijke maatregelen zijn beschreven.

4.2 Bewustwording en training

Om te kunnen waarborgen dat het privacybeleid (zoveel mogelijk) wordt nageleefd, is verantwoord en bewust gedrag van alle medewerkers die persoonsgegevens verwerken cruciaal. De mens is namelijk een belangrijke schakel in het grote geheel van zowel privacy als informatiebeveiliging. De mate waarin medewerkers zich bewust zijn van risico’s en de mate waarin ze veilig gedrag vertonen, bepaalt de sterkte en tevens ook de zwakte van deze schakel. Derhalve wordt er binnen ISD BOL voortdurend aandacht besteed aan het vergroten van bewustzijn en het verankeren van privacy binnen de organisatiecultuur.

In dit kader worden de volgende acties uitgevoerd:

• •

  Het programma i-Bewustzijn waardoor alle medewerkers hebben deelgenomen aan de trainingen ‘Informatiebeveiliging’ en ‘Privacy’.

Voor alle medewerkers is het volgen van e-learnings in het kader van de 2 hiervoor genoemde thema’s een verplicht onderdeel van het inwerkprogramma.

• •

  Op intranet bestaat de themapagina ‘Informatiebeveiliging en Privacy’. Deze pagina bevat een grote hoeveelheid informatie voor medewerkers op een groot aantal onderdelen, variërend van bijvoorbeeld beleidsdocumenten, werkinstructies, algemene informatie tot contactgegevens.

• •

  Met regelmaat worden er op de homepagina van intranet berichten geplaatst over het thema informatiebeveiliging en privacy.

• •

  In de jaarrapportage brengt de Functionaris Gegevensbescherming verslag uit van zijn werkzaamheden, bevindingen en aanbevelingen. Deze rapportage beschrijft welke acties en maatregelen zijn genomen om de doelstellingen en beginselen op grond van de AVG te realiseren, maar bevat tevens aandachtspunten en actiepunten. Deze jaarrapportage vormt dan ook een belangrijke schakel binnen het proces van bewustwording binnen onze organisatie.

4.3 Register van verwerkingen

ISD BOL is verplicht om een register bij te houden van alle verwerkingsactiviteiten die onder onze verantwoordelijkheid plaatsvinden. 12

In het register van verwerkingen voor de klantprocessen worden onderstaande onderdelen vastgelegd:

• •

  Naam en contactgegevens van de verwerkingsverantwoordelijke;

• •

  Soort verwerking;

• •

  Onderliggende processen;

• •

  Doeleinden;

• •

  Categorieën van betrokkenen;

• •

  Categorieën persoonsgegevens;

• •

  Opsomming van normale persoonsgegevens die worden verwerkt;

• •

  Opsomming van bijzondere persoonsgegevens die worden verwerkt;

• •

  Opsomming van gevoelige persoonsgegevens die worden verwerkt;

• •

  Categorieën van ontvangers;

• •

  Internationale doorgifte;

• •

  Bewaartermijn;

• •

  Technische /organisatorische maatregelen;

• •

  Leverancier/applicatie.

Wat betreft de Wpg processen, zijn de volgende onderdelen vastgelegd in het verwerkingsregister:

• •

  Naam en contactgegevens van de verwerkingsverantwoordelijke;

• •

  Team;

• •

  Naam verwerking;

• •

  Doel verwerking;

• •

  Verantwoordelijke;

• •

  Categorieën betrokkenen;

• •

  • Categorieën gegevens Bijzondere persoonsgegevens;

• •

  Ter beschikking stellen aan (ontvangers);

• •

  Verstrekken (ontvangers);

• •

  Categorieën van doorgifte;

• •

  Wettelijke grondslag;

• •

  Profilering;

• •

  Verwerkingstermijn;

• •

  Bewaartermijn;

• •

  Applicatie;

• •

  Verwerker;

• •

  Verwerkersovereenkomst;

• •

  Herkomst gegevens;

• •

  Doorgifte buiten de EU;

• •

  Beveiliging verwerking;

• •

  Autorisaties;

• •

  DPIA.

Het register van verwerkingen voor de bedrijfsprocessen wordt momenteel nog opgesteld.

4.4 Meldplicht datalekken

Ondanks het nemen van allerlei maatregelen, is het onmogelijk om datalekken geheel uit te sluiten. Derhalve is het noodzakelijk om bij (het vermoeden van) een datalek snel en adequaat te handelen. In dit kader zijn er diverse documenten opgesteld, te weten:

• •

  Protocol verwerken datalekken ISD BOL, welke te raadplegen is via de eerder genoemde themapagina; 13

• •

  Het datalekformulier bedoeld voor interne meldingen van datalekken aan de Privacy Officer dat als e-formulier beschikbaar is op intranet; 14

4.5 Convenanten en verwerkersovereenkomsten

ISD BOL werkt op meerdere terreinen, in verschillende bedrijfsfuncties, in diverse rollen en hoedanigheden samen met overheden en private partijen. In veelvoorkomende gevallen vindt er verwerking van persoonsgegevens plaats. Om te voldoen aan de wettelijke eisen dienen er in deze gevallen afspraken te worden gemaakt in de vorm van bijvoorbeeld een convenant of verwerkersovereenkomst. Het verlenen van opdrachten aan verwerkers brengt namelijk risico’s met zich mee op het gebied van privacy. ISD BOL blijft ondanks de opdrachtverstrekking aan een derde wel verantwoordelijk voor de gegevensverwerking. Het afsluiten van een convenant of verwerkersovereenkomst geeft de mogelijkheid om toe te zien op het feit dat ook verwerkers op een zorgvuldige wijze omgaan met persoonsgegevens en dat er passende beschermingsmaatregelen worden getroffen.

Op het gebied van het sluiten van verwerkersovereenkomsten vindt momenteel een inhaalslag plaats.

Om het opstellen of aanpassen van een verwerkersovereenkomst makkelijker te maken, beschikt ISD BOL over een verwerkersportaal. 15 Iedereen die in relatie tot ISD BOL optreedt als verwerker kan in dit portaal terecht waarbij gebruik gemaakt wordt van een standaard verwerkersovereenkomst.

4.6 Archiefbeleid

Zoals aangegeven in paragraaf 1.5 hebben privacy en het archiefbeleid raakvlakken met elkaar. Een zorgvuldige omgang met persoonsgegevens vergt namelijk dat deze gegevens niet langer dan noodzakelijk worden bewaard. Derhalve dienen er op grond van het archiefbeleid bewaartermijnen te worden vastgelegd.

4.7 Informatiebeveiliging

Zoals aangegeven in paragraaf 1.5 zijn privacy en informatiebeveiliging nauw met elkaar verbonden. Om veilig met informatie om te gaan is namelijk aandacht nodig voor de beveiliging van informatie én voor het zorgvuldig omgaan met persoonsgegevens. Informatiebeveiliging is reeds sterk verankerd in het beleid van ISD BOL.

De kaders en uitgangspunten binnen ISD BOL inzake informatiebeveiliging zijn vastgelegd in het “Informatiebeveiligingsbeleid ISD BOL 2023-2025” hetgeen verder is uitgewerkt in het “Informatiebeveiligingsplan ISD BOL 2023-2025”. 16 Momenteel vindt binnen onze organisatie de implementatie van eerder genoemd beleid plaats.

5.1 Rechten betrokkenen

Betrokkenen hebben op grond van de AVG verschillende rechten. Hiermee is het mogelijk om controle uit te oefenen op de verwerking van persoonsgegevens door ISD BOL. Hierdoor zal binnen onze organisatie op uniforme wijze met verzoeken worden omgegaan.

De volgende rechten kunnen worden ingeroepen:

• •

  Informatieplicht (artikelen 12, 13 en 14 AVG):

  Betrokkene dient op behoorlijke, begrijpelijke en transparante wijze te worden geïnformeerd over wanneer zijn persoonsgegevens worden verwerkt en wat de doelen van deze verwerking zijn. Dit kan bijvoorbeeld via een vermelding op een aanvraagformulier gebeuren of op andere algemeen gangbare wijze (informatiefolder, privacyverklaring website, e.d.). De betrokkene wordt niet nogmaals geïnformeerd als hij al weet dat ISD BOL persoonsgegevens van hem verzamelt plus verwerkt en tevens weet waarom en voor welk doel dat gebeurt.

• •

  Recht op inzage (artikel 15 AVG):

  Betrokkene heeft het recht om aan ons te vragen of zijn persoonsgegevens worden verwerkt. In het geval zijn persoonsgegevens worden verwerkt, kan de betrokkene om inzage verzoeken.

• •

  Recht op rectificatie (artikel 16 AVG):

  Indien duidelijk wordt dat de persoonsgegevens niet kloppen, kan betrokkene een verzoek indienen om dit te corrigeren en aan te vullen. Indien de incorrecte persoonsgegevens ook aan een derde zijn verstrekt, dienen wij de aangevulde en/of gerectificeerde persoonsgegevens ook aan deze derde partij toe te sturen.

• •

  Recht op vergetelheid (artikel 17 AVG):

  In gevallen waarin betrokkene toestemming heeft gegeven om zijn persoonsgegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen. Aangezien wij over het algemeen alleen persoonsgegevens verwerken op basis van een wettelijke grondslag, kan dit recht in veel gevallen niet worden ingeroepen.

• •

  Recht op beperking van de verwerking (artikel 18 AVG):

  Onder bepaalde omstandigheden kan betrokkene zijn recht op beperking inroepen om het gebruik van persoonsgegevens te beperken. In de wet worden 4 mogelijkheden benoemd:

  • 1.

    De betrokkene betwist de juistheid van de persoonsgegevens;

  • 2.

    De verwerking is onrechtmatig;

  • 3.

    De verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig, maar de betrokkene wel voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

  • 4.

    De betrokkene heeft bezwaar gemaakt tegen de verwerking.

• •

  Recht op overdraagbaarheid van persoonsgegevens ( dataportabiliteit ) (artikel 20 AVG):

  Betrokkene heeft het recht te vragen om zijn persoonsgegevens te laten overdragen aan een andere organisatie naar keuze of om de persoonsgegevens in een gangbaar digitaal formaat beschikbaar te laten stellen aan de betrokkene zelf. Aangezien wij gegevens verwerken op basis van een wettelijke grondslag, kan dit recht niet worden toegekend.

• •

  Recht van bezwaar (artikel 21 AVG):

  Betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. Wij zullen hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

• •

  Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (artikel 22 AVG):

  Betrokkene heeft het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan rechtsgevolgen zijn verbonden of dat betrokkene anderszins in aanmerkelijke mate treft. Een uitzondering hierop vormen de in artikel 22 AVG genoemde gevallen.

5.2 Uitoefenen rechten betrokkenen

Om gebruik te kunnen maken van de hierboven benoemde rechten, kan betrokkene een verzoek indienen. Dit kan middels het sturen van een brief aan ISD BOL of door een mail te sturen naar fg@isdbol.nl Ook staat er op onze website een privacyverklaring met uitleg over de rechten 17 en een pagina met algemene informatie en formulieren die betrokkenen de mogelijkheid bieden om op een laagdrempelige wijze hun rechten uit te oefenen en een verzoek in te dienen. 18 Naar aanleiding van dit verzoek is het mogelijk dat er aanvullende informatie wordt opgevraagd om de identiteit van betrokkene vast te kunnen stellen.

Binnen 1 maand na ontvangst van het verzoek beoordelen wij of dit verzoek gerechtvaardigd is. In uitzonderlijke gevallen, bijvoorbeeld indien het een complex verzoek betreft, kunnen wij de reactietermijn met 2 maanden verlengen. Wij zullen betrokkene in dit geval altijd hierover informeren en wel uiterlijk binnen 1 maand na ontvangst van het verzoek. Uiteraard proberen wij altijd zo spoedig mogelijk te reageren op een verzoek.

5.3 Klachten

Het is altijd mogelijk dat er in het contact met betrokkenen iets misgaat of dat zij zich onjuist behandeld voelen. In dergelijke gevallen is het goed om te weten dat iedereen het recht heeft om een klacht in te dienen. 19 ISD BOL heeft een klachtenprocedure vastgesteld welke te raadplegen is op onze website.20 Voor wat betreft zaken die specifiek betrekking hebben op naleving van privacywetgeving, is het tevens mogelijk om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

In onderstaand schema is samengevat hoe de verantwoordelijkheden en de borging van het privacybeleid binnen ISD BOL zijn georganiseerd:

7.1 Inwerkingtreding

Dit beleid treedt in werking per 1 januari 2026 en wordt aangehaald als “Privacybeleid ISD BOL 2026-2028”.