Privacyreglement Borsele

Het beschermen van de privacy is complex en wordt voortdurend complexer door technologische ontwikkelingen, grote uitdagingen op het terrein van (digitale) veiligheid en de nieuwe Europese wetgeving rondom privacy, de Algemene Verordening Gegevensbescherming (AVG).

1. Wetgeving en definities

Op dit moment geldt in Nederland de Europese verordening met betrekking tot privacy, de Algemene Verordening Gegevensbescherming (AVG). In de Nederlandse situatie wordt deze aangevuld door de Uitvoeringswet Algemene Verordening. Als er in dit reglement gesproken wordt over de AVG, dan heeft dat betrekking op de Europese verordening alsmede de aanvullingen vanuit de Nederlandse uitvoeringswet.

De volgende kernbegrippen worden in de AVG gehanteerd (artikel 4, AVG):

• Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld: naam, adres, geboortedatum, etc.). Naast gewone persoonsgegevens onderscheidt de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, medische informatie, seksualiteit of politieke voorkeur. Onder de AVG valt het Burgerservicenummer (BSN) onder het regime van bijzondere persoonsgegevens; daarvoor gelden dezelfde uitgangspunten en maatregelen.
• Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
• Verwerkinsgverantwoordelijke: Een persoon of instantie die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
• Gegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande gegevensverwerkingen beoordeeld op de bescherming van de privacy van de betrokkene. Dit heet ook wel een Privacy Impact Assessment (PIA).

2. Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van de gemeente. Oftewel: voor alle verwerkingen die binnen de gemeentelijke organisatie plaatsvinden.

3. Verantwoordelijken

De bestuursorganen van de gemeente zijn allemaal verantwoordelijken voor de verwerkingen die door of namens de gemeente worden uitgevoerd. De bestuursorganen van de gemeente zijn, onder andere, de burgemeester, het college van burgemeesters en wethouders en de gemeenteraad.

4. Verwerkingen

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. Onder de AVG wordt staan onder een verwerking:

• Verzamelen, vastleggen of ordenen;
• Bewaren, bijwerken of wijzigen;
• Opvragen, raadplegen of gebruiken; • Verstrekken door middel van doorzending;
• Verspreiding of enige andere vorm van terbeschikkingstellen;
• Samenbrengen of met elkaar in verband brengen;
• Afschermen, uitwissen of vernietigen van gegevens.

De AVG stelt een tweetal concrete eisen aan het verwerken van persoonsgegevens, welke ook gehanteerd worden binnen de gemeente Borsele.

Doelbinding (artikel 5, AVG)

Persoonsgegevens mogen alleen verzameld worden als daarvoor een expliciet en specifiek doel, vooraf, is vastgesteld. De gegevens mogen niet voor andere doeleinden verwerkt worden. Voor de uitvoering van een aantal wettelijke taken zijn de doelen voor het werken in de wet vastgelegd, net als de categorieën van persoonsgegevens die gevraagd en verwerkt mogen worden.

Rechtmatige grondslag (artikel 6, AVG)

Voor iedere verwerking van persoonsgegevens moet er een rechtmatige grondslag zijn. De verwerking is alleen rechtmatig wanneer er voldaan wordt aan ten minste één van de volgende voorwaarden:

• Er is sprake van ondubbelzinnige toestemming van de betrokkene
• De gegevensverwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting
• De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst
• De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen
• De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of de uitoefening van openbaar gezag
• De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke

5. Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet (de AVG) en dat het op een zorgvuldige wijze gebeurt. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf, tenzij deze reeds bekend zijn bij de gemeente. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden. Daarnaast wordt er rekening gehouden met proportionaliteit. Dit betekent dat wij alleen persoonsgegevens verwerken als dit in verhouding staat tot het doel. Als dit niet in verhouding staat tot het te bereiken doel, dan kan de verwerking onrechtmatig zijn.

De gemeente Borsele doet er alles aan om ervoor te zorgen dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen voor wie een geheimhoudingsplicht geldt. Daarnaast beveiligt de gemeente de opslag van persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden verwerkt door iemand die daar niet toe bevoegd is. Hoe de gemeente dit doet is vastgelegd in het informatiebeveiligingsbeleid.

Transparantie

De gemeente Borsele is waar mogelijk transparant over welke persoonsgegevens er verwerkt worden en de manier waarop dat gebeurt. Betrokkenen worden zoveel mogelijk geïnformeerd over deze verwerkingen, zie ook de informatieplicht zoals beschreven in dit reglement. Op grond van de Wet Openbaarheid van Bestuur (WOB) kan er een verzoek om informatie met betrekking tot bestuurlijke besluitvorming worden ingediend bij de gemeente. Bij het verzoek bekijkt de gemeente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. Zodoende worden er bij een WOB-verzoek in principe geen persoonsgegevens verstrekt. Indien deze in een relevant document voorkomen, zal het document geanonimiseerd worden.

Informatieplicht (artikel 13, 14, AVG)

De gemeente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de gemeente geven ter verwerking worden zij op de hoogte gesteld van de manier waarop de gemeente met persoonsgegevens omgaat. Dit kan onder andere bij een formulier gebeuren. Op een aanvraagformulier kan bijvoorbeeld worden vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de gemeente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en met welk doel dat gebeurt. Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd, indien mogelijk voorafgaand aan de verwerking. In sommige gevallen, bijvoorbeeld in het kader van strafrechtelijk onderzoek of bij vermoeden van fraude, is dit niet of minder goed mogelijk.

Bewaartermijnen

De gemeente bewaart persoonsgegevens niet langer dan nodig is voor de uitvoering van wettelijke taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens (permanent) vernietigd worden, of zo worden aangepast dat de informatie niet langer herleidbaar is tot een persoon.

Rechten van betrokkenen (artikel 13 t/m 20, AVG)

Naast de plichten voor de verwerker van persoonsgegevens, heeft de betrokkene van wie de persoonsgegevens verwerkt worden ook een aantal rechten. Het gaat hierbij om de volgende rechten:

• Recht op informatie: het recht op duidelijke informatie over wat de gemeente Borsele met zijn of haar persoonsgegevens doet.
• Inzagerecht: het recht op inzage van de persoonsgegevens van betrokkene die verwerkt worden.
• Correctierecht: het recht om aantoonbaar verkeerde gegevens te laten corrigeren. De betrokkene kan hiertoe een verzoek indienen bij de gemeente.
• Recht op vergetelheid: het recht om vergeten te worden
• Recht op dataportabiliteit: het recht om persoonsgegevens over te dragen
• Recht met betrekking tot geautomatiseerde besluitvorming en profilering: het recht op een menselijke blik bij besluitvorming
• Recht op beperking van de verwerking: het recht om minder gegevens te laten verwerken. Dit kan gevolgen hebben voor de dienstverlening aan betrokkene.

Indienen van verzoek

Om gebruik te maken van zijn of haar rechten kan de betrokkene een verzoek indienen bij de gemeente Borsele. Dit verzoek kan zowel schriftelijk als via de website van de gemeente ingediend worden. De gemeente heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de gemeente laten weten wat er met het verzoek gaat gebeuren. Het kan ook zijn dat de gemeente aanvullende informatie opvraagt bij de betrokkene om het verzoek goed te kunnen afhandelen. Identificatie door de betrokkene is noodzakelijk wanneer het verzoek betrekking heeft op de persoonsgegevens zelf. Als het verzoek niet of onvoldoende wordt opgevolgd naar de mening van betrokkene, heeft deze het recht om bezwaar te maken bij de gemeente.

Profilering en Big Data

Bij profilering en big data worden persoonsgegevens al dan niet geautomatiseerd verwerkt om een persoon te categoriseren en te analyseren om voorspellingen te kunnen doen. De AVG legt een aantal beperkingen op het inzetten van dergelijke middelen. De gemeente Borsele maakt geen gebruik van profilering of big data.

Cameratoezicht

Binnen de gemeente wordt onder bepaalde omstandigheden gebruik gemaakt van cameratoezicht. Cameratoezicht wordt onder andere gebruikt voor het vergroten van de veiligheid op straat en in en rond het gemeentehuis. Ca era’s ku e ee grote i reuk ake op de pri a y a diege e die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen orde a era’s allee i gezet wanneer er geen andere manieren, die minder impact hebben op de privacy, mogelijk zijn om het doel te bereiken. Het ge ruik a a era’s door parti uliere op de ope are eg is allee ogelijk et toestemming van het college. Daarvoor wordt er een convenant afgesloten tussen de desbetreffende particulieren en het bestuursorgaan waar onder meer de grondslag, het doel, de maatregelen tegen verlies en de bewaartermijn in opgenomen worden. De gemeente Borsele maakt gebruik van cameratoezicht onder de volgende voorwaarden: •

• Er is op duidelijke wijze kenbaar gemaakt wanneer iemand zich in het cameragebied bevindt;
• De burgemeester heeft hiertoe op grond van de Algemene Plaatselijke Verordening een aanwijzingsbesluit voor genomen.

6. Plichten van de gemeente

Register van verwerkingen (artikel 30, AVG)

De gemeente is verantwoordelijk voor het bijhouden van een register van alle verwerkingen van persoonsgegevens waarvan de gemeente de verwerkingsverantwoordelijke is. Het verwerkingsregister bevat per verwerking de volgende informatie:

• De naam en contactgegevens van de (interne) verwerkingsverantwoordelijke en, indien mogelijk, de gezamenlijke verwerkingsverantwoordelijke;
• De doelen van de verwerking;
• De categorieën van persoonsgegevens en de daarbij horende betrokkenen;
• Een beschrijving van de ontvangers van de persoonsgegevens;
• Een beschrijving van het delen van persoonsgegevens aan derden;
• De bewaartermijn van de verschillende persoonsgegevens;
• Een algemene beschrijving van de beveiligingsmaatregelen.

Gegevensbeschermingseffectbeoordeling (artikel 35, AVG)

Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s of bestaande gegevensverwerkingen beoordeeld op de bescherming van de privacy. De gemeente voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking of wanneer er grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerking waarbij gebruik gemaakt wordt van nieuwe technologieën.

Functionaris Gegevensbescherming (artikel 37 t/m 39, AVG)

De gemeente heeft een Functionaris Gegevensbescherming (FG) aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de FG zijn informeren, adviseren, toezicht houden, bewustwording creëren en optreden als contactpersoon van de Autoriteit Persoonsgegevens. De verantwoordelijkheid voor het zorgvuldig omgaan met privacygevoelige gegevens ligt bij de gemeente. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy. De functie is zodoende voornamelijk van toezichthoudende aard. Voor vragen over privacy of over deze toelichting kunt u contact opnemen met de Functionaris Gegevensbescherming van de gemeente Borsele. Hij/zij is bereikbaar via het algemene telefoonnummer van de gemeente 04 0113. Ook kunt u hem/haar mailen op: privacy@borsele.nl.

Datalekken (artikel 33, 34, AVG)

Er is sprake van een datalek wanneer persoonsgegevens onrechtmatig verwerkt worden, bijvoorbeeld omdat deze in handen (dreigen te) vallen van derden die niet bevoegd zijn om de gegevens te verwerken. Hieronder valt ook het onbevoegd raadplegen van persoonsgegevens. Alle (mogelijke) datalekken worden geregistreerd en volgens een vaste procedure behandeld. Afhankelijk van de ernst van het datalek worden de betrokkenen zonder onredelijke vertraging geïnformeerd en wordt binnen 72 uur eventueel melding gedaan bij de Autoriteit Persoonsgegevens. Afgehandelde datalekken worden geëvalueerd ter lering van de organisatie en het verbeteren van de beveiligingsmaatregelen en/of -procedures.

Afsluiting

Wanneer de gemeente een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van de gemeente worden behandeld. In gevallen waar het reglement niets over zegt, beslist het verantwoordelijke bestuursorgaan van de gemeente. Aldus vastgesteld door het college van burgemeester en wethouders van de gemeente Borsele op 24 september 2019.