Logo van Gemeente Gemert-Bakel dat doorverwijst naar de homepage van Gemeente Gemert-Bakel
Logo van Gemeente Gemert-Bakel dat doorverwijst naar de homepage van Gemeente Gemert-Bakel

Privacy beleid 2025 – 2028 - gemeente Gemert-Bakel

1. Privacy algemeen

1.1 Algemeen

Iedereen heeft recht op privacy. Het is geregeld in de Grondwet en gaat over de rechten en persoonlijke vrijheden van iedereen. Lichamelijke integriteit, het huisrecht, het briefgeheim en informationele privacy vallen allemaal onder dat begrip. De kern van privacy is dat informatie over ons doen en laten binnen de oorspronkelijke context blijft én dat organisaties transparant zijn over hoe zij omgaan met persoonsgegevens.

Dit privacy beleid richt zich op de informationele privacy en beschrijft de manier waarop gemeente Gemert-Bakel omgaat met persoonsgegevens en hoe zij in dat verband het recht van burgers om zelf te beschikken over de eigen persoonsgegevens beschermd. Medewerkers, burgers, leveranciers en andere externe partijen van de gemeente weten op deze manier welke uitgangspunten gelden en wat er van hen verwacht wordt voor privacy en het verwerken van (bijzondere) persoonsgegevens. Daarnaast vormt dit privacy beleid een kapstok waaraan processen, procedures en/of werkafspraken worden opgehangen die gelden voor specifieke activiteiten en werkzaamheden waarin persoonsgegevens worden verwerkt.

De gemeente hecht waarde aan een goede manier van dienstverlening en samenwerking met een daarop ingerichte efficiënte verwerking van persoonsgegevens. Daarnaast is het ook belangrijk dat de privacy van burgers wordt gerespecteerd. De burgers moeten erop kunnen vertrouwen dat de gemeente en haar partners zich houden aan de privacywetgeving en zorgvuldig omgaan met persoonsgegevens zodat de privacybescherming beschermd is.

Vanaf 25 mei 2018 beschermen alle landen in de Europese Unie de persoonsgegevens volgens dezelfde algemene regels van de Algemene Verordening Gegevensbescherming (AVG). Het doel van de AVG is:

  • Het beschermen van natuurlijke personen in verband met de verwerking van hun gegevens.
  • Het vrije verkeer van persoonsgegevens binnen de Europese Unie te waarborgen.
  • Ook versterkt de AVG de grondrechten van de burgers in het toenemende digitale tijdperk. Dit privacy beleid gaat in op de verplichtingen die de AVG stelt aan gemeente Gemert-Bakel.

Dit privacy beleid is vier jaar geldig (van 2025 tot en met 2028). Het beleid wordt om de vier jaar opnieuw bekeken en eventueel bijgewerkt in het geval van een wetswijziging of groei van de organisatie en/of ambitie.

1.2 Reikwijdte privacy

Het gemeentelijk privacy beleid is van toepassing op alle taken en processen waar de gemeente voor verantwoordelijk is.

Het privacy beleid heeft betrekking op de persoonsgegevens van personen van wie de gemeente Gemert-Bakel gegevens verwerkt of laat verwerken.

Er is al snel sprake van ‘verwerken’ van persoonsgegevens. Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van persoonsgegevens valt allemaal onder het verwerken van persoonsgegevens.

1.3 Juridisch kader

De Europese Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) gelden als wettelijke kaders voor hoe we omgaan met persoonsgegevens.  Naast de AVG moet elke EU-lidstaat op een aantal punten onder de AVG nog wetgeving maken. In Nederland is dit voor een belangrijk deel gebeurd in de Uitvoeringswet algemene verordening gegevensbescherming. Wanneer persoonsgegevens worden verwerkt in het kader van de uitvoering van een politietaak, zijn dit politiegegevens. Ook deze gegevens worden door de gemeente verwerkt. Het wettelijke kader voor de omgang met politiegegevens is de Wet politiegegevens (Wpg) en het Besluit politiegegevens Boa’s (Bpg Boa).

Gemeente Gemert-Bakel voert publiekrechtelijke taken uit. Deze taken komen voort uit vele sectorwetten. Denk hierbij onder andere aan de wet Maatschappelijke Ondersteuning 2015, de Jeugdwet en de wet Basisregistratie Persoonsgegevens. In de sectorwet kan beschreven staan hoe met persoonsgegevens moet worden omgegaan. Dit is een aanvulling op de normen die in de AVG staan beschreven. Gemeente Gemert-Bakel voert ook privaatrechtelijke taken uit. Hiervoor geldt naast de AVG ook de algemene wet- en regelgeving. Voor de Buitengewoon Opsporingsambtenaren (boa's) gelden twee verschillende privacy regimes: de AVG en de Wet politiegegevens (Wpg). Boa’s hebben vaak meerdere taken en verwerken verschillende soorten persoonsgegevens. De persoonsgegevens die een boa verwerkt in zijn rol als toezichthouder vallen onder de AVG. Persoonsgegevens die de boa verwerkt in zijn rol als opsporingsambtenaar vallen onder de Wpg. Voor persoonsgegevens die onder de Wpg worden verwerkt, gelden o.a. andere verwerkingstermijnen en andere regels voor het delen van gegevens in vergelijking met de AVG. De gegevenshuishouding, systemen en werkprocessen moeten anders worden ingericht dan bij de verwerkingen die in het kader van toezicht (AVG) worden gedaan. Ook kent de Wpg een auditplicht. Eén keer per jaar moet er een interne audit plaats te vinden en één keer in de vier jaar een externe audit. Het externe auditrapport moet gedeeld worden met de Autoriteit Persoonsgegevens; de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.

Gemeente Gemert-Bakel heeft boa’s in dienst die verwerkingen uitvoeren welke onder het regime van de Wpg vallen. Daarom moet gemeente Gemert-Bakel ervoor zorgen dat de gegevenshuishouding, systemen en werkprocessen die van toepassing zijn op de werkzaamheden van boa’s voldoen aan de normen van de Wpg.

1.4 Privacy missie en ambitie

Zorgvuldig omgaan met persoonsgegevens is de regel voor alle medewerkers van gemeente Gemert-Bakel. Wie voor de gemeente werkt, begrijpt dit en laat zich hierdoor leiden in zijn of haar dagelijkse werkzaamheden. De gemeente heeft de volgende missie en ambitie op het gebied van privacy: Missie: Gemeente Gemert-Bakel ziet de bescherming van persoonsgegevens als een zaak van behoorlijk bestuur. Inwoners en medewerkers moeten erop kunnen vertrouwen dat persoonsgegevens rechtmatig, zorgvuldig en veilig worden verwerkt. Wij werken daarom conform de regels van de AVG.

Hoe doen we dat?

Visie & ambitie: Gemeente Gemert-Bakel zoekt bij de uitvoering van taken waarbij persoonsgegevens worden verwerkt altijd naar balans tussen de werkbaarheid voor de medewerkers en haar samenwerkende partijen en de risico’s voor de inwoners van de gemeente. Gemeente Gemert-Bakel streeft ernaar om eind 2028 op alle privacy-thema’s genoemd in het AVG-borgingsproduct 3.0 van de Vereniging Nederlandse Gemeenten (VNG) te voldoen.

Dit privacy beleidskader draagt bij aan de missie, visie en ambitie van gemeente Gemert-Bakel door het bieden van de noodzakelijke randvoorwaarden voor een privacy bestendige gemeentelijke bedrijfsvoering. Het college van burgemeester en wethouders (hierna: college) stelt de voorwaarden voor een privacy bewuste organisatiecultuur. We zijn transparant over onze gegevensverwerking en de manier waarop wij persoonsgegevens beschermen. Bij meningsverschillen gaan wij het gesprek met betrokkenen (onze inwoners) aan en zoeken we naar oplossingen.

Door de toenemende digitalisering is het zorgvuldig omgaan met de informatie en gegevens van burgers en organisaties ook voor gemeenten steeds belangrijker. Uitval van computers, het zoekraken van gegevensbestanden of het door onbevoegden kennisnemen dan wel manipuleren van bepaalde gegevens kan ernstige gevolgen hebben voor de voortgang van de dienstverlening. Ook kan er imagoschade uit voortkomen.

Een betrouwbare, beschikbare en eenduidige informatiehuishouding is dan ook essentieel voor de privacy van onze inwoners én de dienstverlening van de gemeente.

2. Privacy beleidskader

2.1 Doelstelling

Het doel van dit privacy beleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het beschermen van de privacy rechten van personen waarvan gemeente Gemert-Bakel persoonsgegevens verwerkt en waar de gemeente eind 2028 wil staan op het gebied van de naleving van de (U)AVG.

Een betrouwbare, beschikbare en eenduidige informatiehuishouding is essentieel voor de dienstverlening van de gemeente en de privacy van onze inwoners. Dit privacy beleidskader draagt hieraan bij door het bieden van de noodzakelijke randvoorwaarden voor een privacy bestendige gemeentelijke bedrijfsvoering.

2.2 Beginselen

Op grond van artikel 5 AVG is gemeente Gemert-Bakel verplicht om zich te houden aan de AVG-beginselen bij het verwerken van persoonsgegevens. Hieronder worden deze beginselen  beschreven:

a. Rechtmatigheid, behoorlijkheid, transparantie

Een verwerking is alleen rechtmatig wanneer en voor zover aan de voorwaarden is voldaan zoals opgenomen in de AVG, te weten: • Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking; • Voor de uitvoering van een overeenkomst waar de betrokkene onderdeel was; • Om een verplichting na te komen die in de wet staat; • Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden; • Voor de goede invulling van de gemeentelijke taak; • Indien een zorgvuldige belangenafweging dit uitwijst. Gemeente Gemert-Bakel verwerkt persoonsgegevens zoveel als mogelijk vanuit de publieke taak die zij heeft op grond van aan haar opgelegde taken. Gemeente Gemert-Bakel verwerkt ook persoonsgegevens wanneer de wet haar daartoe verplicht.

b. Grondslag en doelbinding

De gemeente zorgt ervoor dat persoonsgegevens alleen voor specifiek en uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Wanneer gegevens later voor een ander doel worden gebruikt, dan moet dit nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel. Persoonsgegevens worden alleen met een rechtvaardige grondslag en in overeenstemming met wet- en regelgeving verwerkt.

c. Dataminimalisatie

De gemeente verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt. In bepaalde wet- en regelgeving is vastgelegd welke persoonsgegevens noodzakelijk zijn om het doel te bereiken. Wanneer dit niet het geval is, maakt gemeente Gemert-Bakel zelf deze afweging in overleg met de Privacy Officer en Functionaris Gegevensbescherming.

d. Bewaartermijnen & opslagbeperking

Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen nakomen. Er moet worden gezorgd dat de bewaartermijn van persoonsgegevens tot een strikt minimum wordt beperkt. Wanneer er persoonsgegevens opgeslagen zijn die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld, moeten deze zo snel mogelijk worden vernietigd. Dit houdt in dat deze persoonsgegevens worden verwijderd óf zo worden aangepast dat de gegevens niet langer herleidbaar zijn naar een natuurlijke persoon. Hoe lang de gemeente persoonsgegevens bewaart verschilt. De Archiefwet, de Selectielijst van de Vereniging Nederlandse Gemeenten (VNG) en verschillende andere wetten bepalen dat de gemeente persoonsgegevens voor een minimale of maximale termijn mogen of moeten bewaren. In het Register van verwerkingsactiviteiten staat de gehanteerde bewaartermijn.

e. Integriteit en vertrouwelijkheid

De gemeente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Daarbij zorgt de gemeente voor passende beveiliging van persoonsgegevens. In de Baseline Informatiebeveiliging Overheid (BIO) staan de verplichte voorwaarden voor gemeenten om te voldoen aan passende beveiliging. In het Informatiebeveiligingsbeleid van de gemeente Gemert-Bakel gaan we hier dieper op in.

3. Privacy management

Privacy management bevat alle maatregelen die ervoor zorgen dat de gemeente zich houdt aan de AVG-wetgeving en daarover verantwoording aflegt. Hiermee voldoet gemeente Gemert-Bakel aan de verantwoordingsplicht vanuit de AVG. De essentie van de verantwoordingsplicht is dat het verantwoordelijke bestuursorgaan, de ‘verwerkingsverantwoordelijke’, verantwoordelijk is voor het naleven van de AVG en dit ook kan aantonen.

In dit hoofdstuk wordt uitgelegd wie in de organisatie welke verantwoordelijkheden en taken heeft bij de naleving van de AVG.

3.1 Rollen en verantwoordelijkheden

Alle bestuursorganen van de gemeente zijn verantwoordelijk voor de naleving van de privacywet- en regelgeving, zoals de AVG en het privacy beleid, ieder voor zover het haar bestuurlijke taken betreft. De bestuursorganen van de gemeente zijn de gemeenteraad, het college en de burgemeester. Het college is eindverantwoordelijk voor de naleving van privacywetgeving met de burgemeester als portefeuillehouder. De gemeentesecretaris en het lijnmanagement hebben de ambtelijke verantwoordelijkheid om een proactief privacy beleid te voeren op basis van afweging van belangen en risico’s bij de verwerking van persoonsgegevens, zodat dit in evenwicht plaatsvindt. Dat wil zeggen; behoorlijk, zorgvuldig en in overeenstemming met de wet.

Het college legt over de uitvoering van het privacy beleid verantwoording af aan de gemeenteraad. Het college zorgt ook voor een documentatie van beleid en maatregelen dat het op ieder moment maatschappelijk en juridisch uitleg kan geven over de deugdelijkheid van de aanpak. De tabel hieronder brengt de verantwoordelijkheden in beeld aan de hand van het RASCI-model.

Om daadwerkelijk te kunnen beloven dat privacybescherming opgenomen wordt in de organisatie, is het noodzakelijk dat alle medewerkers van de organisatie (inclusief inhuur en externen), ieder vanuit hun rol worden bezien. Hieronder worden deze verschillende rollen en verantwoordelijkheden om uitvoering te geven aan dit privacy beleid kort uiteengezet. Om rollen en verantwoordelijkheden van de personen bij lijnwerkzaamheden duidelijk te maken, gebruikt gemeente Gemert-Bakel de RASCI-methode. Onderstaand is het RASCI-model privacy rollen opgenomen.

Verantwoordelijkheid

Rol

Functies

ResponsibleAmbtelijk verantwoordelijk

1e lijn

-     Directie (gemeentesecretaris)

-     Directie Management (DM)

-     Afdelingsmanager

-     Alle medewerkers (inclusief inhuurkrachten/externen)

AccountableEindverantwoordelijk

1e lijn

-     College van B&W (Bestuurlijk)

-     Gemeentesecretaris (Ambtelijk)

SupportingOndersteunend

2e lijn

-     Privacy Officer (privacy adviseur)

-     Chief Information Security Officer

-     Informatieadviseurs

-     Juristen

ConsultedControlerend

3e lijn

-     Functionaris Gegevensbescherming

-     IT-auditor

-     Controller

-     Accountant

InformedGeïnformeerd

Belanghebbenden

-     Gemeenteraad (bestuurlijke toezichttaak)

-     Betrokkene(n)

-     Autoriteit Persoonsgegevens

3.2 Managementstructuur

De gemeenteraad

  • Heeft een toezichthoudende rol op basis van de controlerende taak die de Gemeentewet aan hen geeft, en controleert in die staat de uitvoering van het privacy beleid door het college.
  • Zorgt ervoor dat budget wordt vrijgemaakt om aan de naleving van de AVG te kunnen voldoen.

Het college van burgemeester en wethouders

  • Is bestuurlijk eindverantwoordelijk voor de naleving van de privacywetgeving.
  • Stelt beleid vast voor de bescherming van de privacy op basis van wet- en regelgeving.
  • Legt over de privacy beleidsuitvoering verantwoording af aan de gemeenteraad.
  • Wijst de Functionaris Gegevensbescherming als interne toezichthouder aan.

De burgemeester

  • Is portefeuillehouder voor de uitvoering van de privacywetgeving binnen de gemeente.

De gemeentesecretaris

  • Is ambtelijk eindverantwoordelijk voor privacy.
  • Is verantwoordelijk voor het juiste gebruik van privacy in de bedrijfsprocessen en (informatie)systemen.
  • Is operationeel verantwoordelijk voor het juiste gebruik en de naleving van privacy in processen, (informatie)systemen en projecten. Hij / zij wijst voor ieder (informatie)systeem een procesverantwoordelijke of systeemeigenaar aan.
  • Zorgt ervoor dat het privacy bewustzijn binnen de organisatie wordt verbeterd.
  • Stuurt op organisatie- en privacy risico’s.
  • Bekijkt op vaste momenten het privacy beleid en stelt eventueel bij.

De medewerkers

Elke medewerker, inclusief externe krachten, is verantwoordelijk voor de bescherming van de privacy van betrokkene(n). Dat betekent dat iedereen onder andere zorgt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens op operationeel vlak.

Medewerkers zorgen ervoor dat:

  • Ze bewust bezig zijn met het onderwerp privacy binnen het dagelijks werk.
  • Ze op de hoogte zijn waar ze terecht kunnen met vragen over privacy.
  • Ze datalekken tijdig melden.
  • Ze de communicatiekanalen en -middelen gebruiken die door gemeente Gemert-Bakel worden voorgeschreven.
  • Ze werken vanuit het zaaksysteem en andere daarvoor ingerichte systemen die de afdeling ICT beschikbaar heeft gesteld. Opslag van officiële documenten of documenten met persoonsgegevens op andere plaatsen is niet toegestaan.

3.3 Proceseigenaarschap

Het management is er verantwoordelijk voor dat de gemeentelijke taakuitoefening binnen de grenzen van dit privacy beleidskader plaatsvindt en rapporteert hierover aan de directie die op haar beurt rapporteert aan het college. Het college legt verantwoording af aan de gemeenteraad.

Een manager is een proceseigenaar, d.w.z. dat proceseigenaren regie voeren over de proces(sen) op basis van procesplannen die voldoende overzicht bieden van de procesvoering voor effectieve sturing binnen het desbetreffende team. Een procesplan moet passen binnen dit privacy beleidskader en is steeds in overeenstemming met de feitelijke situatie.

Bij afdeling overstijgende processen kan een coördinerend manager of een andere functionaris worden aangewezen.

De ‘verwerkingsverantwoordelijke’ in de zin van de AVG, in de meeste gevallen het college, is en blijft eindverantwoordelijk voor de privacy bestendigheid van de gemeentelijke processen.

3.4 Organisatie  

Privacy Officer

De Privacy Officer (PO) geeft uitvoering aan het privacy beleid van de gemeente. Door het aanstellen van de PO wordt er in de organisatie mede voor gezorgd dat de wettelijke privacy taken worden opgepakt uitgevoerd. De PO is het eerste aanspreekpunt bij vragen over privacy voor alle collega’s. De PO moet bij alle processen waar persoonsgegevens worden verwerkt betrokken worden door de organisatie.

Taken

De taken van de PO zijn:

  • Adviseur binnen de gemeente met betrekking tot privacy gerelateerde vragen.
  • Het eerste aanspreekpunt op het gebied van privacy voor medewerkers.
  • Stelt beleidsdocumenten op, zoals het privacy beleid, de privacyverklaring(en), verwerkingsregister, procedures rondom bijvoorbeeld datalekken en Data Protection Impact Assessement (DPIA’s).
  • Zorgt ervoor dat deze documenten periodiek worden geactualiseerd.
  • Ondersteunt en voert acties uit die bijdragen aan privacy bewustwording binnen de gemeente.
  • Reageert op datalekken en zet deze door naar de Functionaris Gegevensbescherming.
  • Coördineert en ondersteunt bij de uitvoer van DPIA’s.
  • Rapporteert rechtstreeks aan het management en het college
  • Is het centrale aanspreekpunt voor de implementatie van de Wpg.

Door de functies advies (PO) en controle (FG) te scheiden voorkomen we dat de FG haar eigen werk controleert. Dit bevordert de kwaliteit en integriteit.

De Chief Information Security Officer

De Chief Information Security Officer (CISO) ondersteunt, coördineert en adviseert de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening. Dit doet hij vanuit een onafhankelijke positie. De CISO rapporteert rechtstreeks aan de gemeentesecretaris.

Taken

De taken van de CISO zijn:

  • Het opstellen, implementeren, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortkomende plannen.
  • Het optreden als informatiebeveiligingsadviseur voor de proceseigenaar op managementniveau.
  • Het inrichten van de informatiebeveiligingsorganisatie.
  • Het coördineren en adviseren bij afhandelen van beveiligingsincidentenexterne-link-icoon.
  • De afstemming van informatiebeveiliging met andere beveiligingsdomeinen.
  • Het toezien op naleving van de eisen voor informatiebeveiliging.
  • Het verbeteren van het informatiebeveiligingsbewustzijn over de gemeente.
  • De voorbereiding op toekomstige informatiebeveiligingsrisico’s en ICT-beveiligingsrisico’s.
  • Het adviseren bij en begeleiden van risicoanalyses.
  • Het meten van en rapporteren over informatiebeveiligingexterne-link-icoon, door het initiëren of laten uitvoeren van (periodieke) beveiligingsaudits en evaluaties.

De Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming (FG) heeft een onafhankelijke rol binnen de organisatie. De FG is in ieder geval verantwoordelijk voor het houden van toezicht op en adviseren van de organisatie over de juiste omgang met persoonsgegevens. Dit betekent dat de FG bij alle processen waar persoonsgegevens worden verwerkt betrokken moet worden door de organisatie.

Taken

De FG heeft de volgende taken:

  • Informeren en adviseren over privacywetgeving. Voor afdelingsspecifieke zaken kan rechtstreeks het betreffende MT lid benaderd worden.
  • Toezien op de naleving van de AVG en het privacy beleid van de organisatie; Rapporteert rechtstreeks aan de algemeen directeur/gemeentesecretaris: In geval van crisis of ernstige gebreken mag de FG direct aan de portefeuillehouder privacy en het college rapporteren.
  • Zorgen voor bewustwording op bestuurlijk niveau.
  • Adviseren over DPIA’s en toezien op de uitvoering daarvan.
  • Samenwerken met en optreden als contactpunt voor de Autoriteit Persoonsgegevens.
  • Zorgen voor de waarborging van privacy van de medewerkers
  • De FG werkt nauw samen met de PO en de CISO.

Onafhankelijkheid

De FG kan vrij en onafhankelijk advies uitbrengen. Zij mag geen instructies ontvangen over de behandeling van een zaak of op een andere manier worden beïnvloed. De FG kan geen bindend advies geven, maar haar advies is wel zwaarwegend. De FG wordt de gelegenheid geboden om een (eventuele) afwijkende mening duidelijk te maken aan het college en er wordt vastgelegd waarom een advies niet wordt opgevolgd. De FG kan rechtstreeks aan het college rapporteren. Bovendien krijgt de FG geen andere taken of plichten opgelegd die kunnen leiden tot een belangenconflict. Ook behoud de FG het recht om rechtstreeks contact op te nemen met de AP wanneer haar advies herhaaldelijk niet wordt gehoord/ opgevolgd binnen de organisatie.

De FG doet jaarlijks verslag van haar bevindingen over de naleving van de AVG met daarbij adviezen om dit te verbeteren. De gemeenteraad wordt via de planning en control cyclus geïnformeerd.

4. Inbedding in de organisatie

De volgende maatregelen zijn intern getroffen om de privacy in te bedden in de organisatie en daarmee de privacy te kunnen waarborgen:

Informatieplicht

Betrokkenen krijgen vooraf duidelijke informatie via de privacyverklaring op de website van gemeente Gemert-Bakel en de dienstverlening die zij mogen verwachten (telefonisch, schriftelijk) over de verwerking van hun persoonsgegevens en het doel van de verwerking.

Bewustwording

Bewustwording op het gebied van privacy is essentieel voor het beschermen van privacy in de organisatie. Er wordt doorlopend aandacht gegeven aan de bewustwording van privacy in de gemeente, o.a. door structurele trainingen in te (gaan) plannen.

Register van verwerkingsactiviteiten

Het register van verwerkingsactiviteiten bevat alle verwerkingsactiviteiten van persoonsgegevens die voor de gemeente wordt bijgehouden.

Data Protection Impact Assessment

Bij de invoering van nieuw beleid of regelgeving of bij het gebruik van nieuwe technologieën houdt de gemeente rekening met de bescherming van persoonsgegeven door een DPIA uit te voeren.

De DPIA wordt opgesteld met als doel de privacy risico’s op hoog risicoverwerkingen te verlagen tot een minimum.

Datalekken melden

Er is een procedure binnen de gemeenten voor het melden van incidenten en datalekken. Deze meldingen verlopen via het ticketsysteem. Er wordt een register bijgehouden van de gemelde beveiligingsincidenten/datalekken.

Toezichtrapportage en evaluatie

Periodiek wordt gecontroleerd of het beleid en de dagelijkse praktijk overeenkomen. Samen met de Privacy Officer wordt bepaald of een privacy-audit wordt uitgevoerd in aanvulling op het toezicht door de FG.

Jaarlijks legt het college verantwoording af aan de raad waar het gaat over risico’s en beheersmaatregelen met betrekking tot het privacy beleid. Het privacy beleid wordt na vier jaar geëvalueerd of, wanneer nodig, bij een interne wijziging of veranderende wet- en regelgeving.  

4.1 Uitwisseling met derden

Bij de uitvoering van haar gemeentelijke taken werkt gemeente Gemert-Bakel veel samen met externe partijen zoals andere gemeenten, overheden, gemeenschappelijke regelingen, softwareleveranciers en adviesbureaus ’s. Met het oog op de bescherming van de persoonsgegevens, maakt de gemeente afspraken met deze externe partijen over hoe we omgaan met privacy.

Voor zover de samenwerkingspartners worden aangemerkt als verwerkende partij, sluit de gemeente met deze partij een verwerkersovereenkomst. In de verwerkersovereenkomst worden afspraken gemaakt over het waarborgen van privacy verplichtingen en beveiliging van persoonsgegevens. Wanneer samenwerkingspartners worden aangemerkt als verwerkingsverantwoordelijke worden de afspraken over de omgang met persoonsgegevens vastgelegd in een overeenkomst inzake persoonsgegevens, algemene inkoopvoorwaarden, bestaande samenwerkingsovereenkomsten, convenanten, gemeenschappelijke regelingen, enz. De Privacy Officer ziet toe op de naleving van de gemaakte afspraken.

4.2 Privacy by design & Privacy by default

Gemeente Gemert-Bakel streeft er zoveel mogelijk naar om de principes ‘privacy by design’ en ‘privacy by default’ bij haar verwerkingen toe te passen. ‘Privacy by design’ houdt in dat de bescherming van persoonsgegevens bij de ontwikkeling van producten, procedures en diensten waarbij persoonsgegevens worden verwerkt, wordt meegenomen en ingebouwd.

‘Privacy by default’ houdt in dat de standaardinstellingen bij de inrichting van systemen zodanig zijn gekozen dat de bescherming van persoonsgegevens wordt gewaarborgd. Dit houdt in dat waar dit mogelijk is niet méér persoonsgegevens worden gedeeld/getoond dan noodzakelijk voor de uitoefening van de taak.

Borging van deze principes dient onder andere plaats te vinden in het inkoopproces en het wijzigingsbeheer van systemen. Hier is een gemeenschappelijke aanpak voor nodig tussen de afdelingen, informatievoorziening en Informatiebeveiliging en Privacy. Op deze manier worden eventuele (privacy-) risico’s tijdig gemitigeerd.

5. Privacy rechten van betrokkenen

5.1 Rechten

De AVG bepaalt niet alleen de plichten van degenen die persoonsgegevens verwerken, maar ook de rechten van personen van wie de gegevens worden verwerkt. Deze betrokkenen hebben de volgende rechten:

  • Recht op informatie: betrokkenen hebben het recht om te weten wat er met hun persoonsgegevens gebeurt en waarom.
  • Inzagerecht: betrokkenen hebben het recht om de persoonsgegevens die van hen verzameld zijn in te zien en daarmee te controleren op welke manier die gegevens verwerkt worden.
  • Correctierecht: betrokkenen hebben het recht om foutieve persoonsgegevens te laten corrigeren als blijkt dat deze niet kloppen.
  • Recht van verzet: betrokkenen kunnen in bepaalde gevallen de gemeente vragen (tijdelijk) te stoppen met het verwerken of wijzigen van hun persoonsgegevens.
  • Recht om vergeten te worden: in gevallen dat toestemming is gegeven om gegevens te verwerken, kan verzocht worden om die gegevens te laten verwijderen.
  • Recht op bezwaar: het recht om bezwaar te maken tegen de verwerking van hun gegevens. De gemeente voldoet hieraan, tenzij er gerechtvaardigde gronden zijn voor de verwerking.
  • Recht om gegevens over te dragen (dataportabiliteit): het recht om persoonsgegevens in bepaalde gevallen over te dragen.
  • Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming: het recht op een menselijke blik bij besluiten.

Om gebruik te maken van zijn/haar rechten kan de betrokkene schriftelijk, via een e-mail of via de website van de gemeente een verzoek indienen. Identificatie van de betrokkene vindt plaats bij het indienen van een verzoek via DigiD of aan de balie van het gemeentehuis in persoon. De gemeente beoordeelt binnen een maand of het verzoek gerechtvaardigd is. Wanneer dat het geval is, dient de gemeente in diezelfde maand het verzoek goed te keuren.

5.2 Verzoeken en bezwaren

Verzoeken met betrekking tot bovenstaande rechten en bezwaren kunnen schriftelijk en digitaal worden ingediend bij de FG via het e-mailadres fg@gemert-bakel.nl. Deze verzoeken worden geregistreerd en de afhandeling ervan wordt verantwoord.