Privacybeleid

1 Inleiding

1.1 Aanleiding en doel van het Privacybeleid

Het hoogheemraadschap van Schieland en de Krimpenerwaard (HHSK) is een organisatie met toezichts- en uitvoeringstaken die in samenwerking met externe organisaties werkt aan droge voeten, voldoende en schoon water. Om deze taken te kunnen uitvoeren heeft de organisatie de beschikking over een grote hoeveelheid persoonsgegevens van burgers en medewerkers. Deze persoonsgegevens zijn gewone persoonsgegevens en bijzondere persoonsgegevens die bij diefstal of verlies een grote impact kunnen hebben voor de betrokken persoon. Het beschikken over en het gebruik van persoonsgegevens zorgt ervoor dat HHSK moet voldoen aan de huidige maar ook aan toekomstige wet- en regelgeving. Hoe HHSK dat doet is beschreven in deze nota Privacybeleid.

Deze beleidsnota is bedoeld voor iedereen binnen het Hoogheemraadschap van Schieland en de Krimpenerwaard (HHSK) die werkt met persoonsgegevens. Bijna iedereen binnen HHSK krijgt in het dagelijks werk te maken met (de verwerking van) persoonsgegevens. Omdat HHSK persoonsgegevens verwerkt, is HHSK verplicht om een gegevensbeschermingsbeleid te hebben. Daarnaast moet HHSK sinds 25 mei 2018 voldoen aan de Algemene Verordening Gegevensbescherming (AVG); de Europese wetgeving op het gebied van privacy. Om aan te tonen dat HHSK aan de verplichtingen uit de AVG voldoet, heeft HHSK dit Privacybeleid opgesteld. Verder draagt dit Privacybeleid er aan bij dat besluiten op grond van de AVG binnen HHSK op een transparante manier worden genomen en dat de te volgen procedures eenduidig zijn. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van HHSK.

Het Privacybeleid is pragmatisch opgesteld. Dit houdt in dat het beleid een verkorte weergave is van de wetgeving, aangevuld met interpretaties die de medewerkers van HHSK als leidraad kunnen gebruiken. Hierin is gekozen voor een aanpak gebaseerd op principes. Dit betekent dat het beleid overwegingen, uitgangspunten en principes bevat die toegepast dienen te worden in de lijn van de missie en visie van HHSK en dienen bij te dragen aan de naleving en het doel van de wetgeving.

1.2 Relatie informatiebeveiligingsbeleid - Privacybeleid

Informatiebeveiligingsbeleid en privacybeleid zijn termen die soms door elkaar worden gebruikt. Informatiebeveiliging en privacybescherming vallen echter niet één op één samen. Ze hebben een gemeenschappelijk raakvlak en beide ook een eigen domein daarbuiten.

Informatiebeveiliging heeft een bredere scope dan alleen persoonsgegevens. Het gaat om de bescherming van alle data tegen aantasting van integriteit, vertrouwelijkheid en beschikbaarheid. Privacybescherming gaat niet alleen over de beveiliging van persoonsgegevens tegen inbreuken, maar ook om het beperken van het verzamelen en gebruiken van persoonsgegevens tot het minimaal noodzakelijke.

Adequaat informatiebeveiligingsbeleid is een voorwaarde voor de privacyregelgeving en als zodanig benoemd in de AVG. Het gaat dan met name om de wijze van verwerking van persoonsgegevens.

Het Informatiebeveiligingsplan Hoogheemraadschap Rijnland (HHR) en HHSK en de Bestuurlijke visie op privacy binnen HHSK 2021 vormen samen een tweeluik over informatiebeveiliging & privacybescherming.

1.3 Evaluatie en verbetering van het beleid

De AVG verplicht HHSK om steeds te kijken of het beleid nog voldoet en of het aangepast moet worden. Technologische en maatschappelijke ontwikkelingen volgen elkaar snel op. Dit kan reden zijn om het beleid aan te passen. Daarnaast betreft het wetgeving die volop in beweging is, en waaraan door de rechtspraak en de toezichthouder nog nader invulling zal worden gegeven. Daarom moet deze beleidsnota worden beschouwd als een levend document dat regelmatig aangevuld en/of gewijzigd kan worden.

Het Privacybeleid maakt onderdeel van het toetsingsprogramma van de planning & control cyclus van het proces planning & control. Dit betekent dat het beleid periodiek wordt ge-audit en geëvalueerd. Er wordt gerapporteerd in de verantwoordingsproducten van de planning & control cyclus. De aandachtspunten zullen de input zijn voor het jaarplan. Tevens zal voor dit beleid een versie- en wijzigingsbeheer worden bijgehouden, zodat kan worden aangetoond wanneer het beleid is geüpdatet en waarom.

1.4 Leeswijzer

In hoofdstuk 2 wordt beschreven wat persoonsgegevens zijn en welke maatregelen getroffen dienen te worden om te kunnen voldoen aan de verantwoordingsplicht van HHSK. Hoofdstuk 3 behandelt de taken, bevoegdheden, en verantwoordlijkheden van de verschillende rollen binnen HHSK die belast zijn met het Privacybeleid. Denk hierbij aan de taken van de Functionaris Gegevensbescherming (FG) en de Privacydesk. In de daarop volgende hoofdstukken wordt uitgelegd aan de hand van welke principes HHSK persoonsgegevens verwerkt en welke rechten burgers en medewerkers hebben. In hoofdstuk 6 wordt de meldplicht datalekken behandeld.

2 Randvoorwaarden en uitgangspunten voor het Privacybeleid

2.1 Randvoorwaarden

De randvoorwaarden voor het privacybeleid worden gevormd door de volgende wet- en regelgeving.

Grondwet

In de Grondwet is bepaald dat een ieder recht heeft op eerbieding van zijn of haar persoonlijke levenssfeer (art 10 Grondwet). Per 25 mei 2018 is de Europese Privacy Verordening, de AVG in werking getreden. In Nederland is daarnaast de Uitvoeringswet AVG in werking getreden.

Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming is per 25 mei 2018 van toepassing (VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in Verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming). De verordening is rechtstreeks van toepassing op alle EU-lidstaten en vervangt alle nationale wetten waaronder ook de Wbp.

Uitvoeringswet AVG

Op enkele plaatsen in de AVG is ruimte gelaten voor nationale wetgeving. In de Uitvoeringswet AVG geeft de Nederlandse wetgever aan of en hoe zij hier invulling aan gaat geven.

Stelsel van Basisregistraties

De persoonsgegevens die worden vastgelegd in basisregistraties worden door middel van een stelsel van basisregistraties binnen de overheid met elkaar gedeeld, om als overheid efficiënter te kunnen opereren. Het Stelsel van Basisregistraties vormt het fundament voor (Digitale overheid, 2016):

• Een overheid die niet naar de bekende weg vraagt;
• Een overheid die klantgericht is;
• Een overheid die zich niet voor de gek laat houden;
• Een overheid die weet waarover ze het heeft;
• Een overheid die haar zaken op orde heeft en niet meer kost dan nodig.

Wet basisregistratie personen

De Wet basisregistratie personen (Wet BRP) is de opvolger van de gemeentelijke basisadministratie persoonsgegevens (GBA). De Wet BRP is op 3 juli 2013 in werking getreden (BRP, 2013) In de basisregistratie personen (BRP) zijn de persoonsgegevens van alle inwoners van Nederland vastgelegd. De Wet BRP regelt het juiste gebruik zoals het correct opnemen, wijzigen en verstrekken van persoonsgegevens.

De Wet BRP kent een eigen stelsel van regels. Op de verwerking van persoonsgegevens die in de BRP staan, is de AVG niet van toepassing. In het ‘autorisatiebesluit HHSK, Rijksdienst voor Identiteitsgegevens’ staat aangegeven over welke gegevens HHSK mag beschikken en voor welke doeleinden. Daarnaast geeft het besluit aan of dit gaat om een geautomatiseerde verstrekking aan HHSK, of dat de gegevens opgevraagd dienen te worden.

Stelsel van Basisregistraties

Het Stelsel van basisregistraties bestaat uit 12 basisregistraties. Een basisregistratie is een door de overheid officieel aangewezen registratie met daarin gegevens van hoogwaardige kwaliteit, die door alle overheidsinstellingen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken (Digitale overheid, 2016).

• BRP - Basisregistratie personen (bestaat uit ingezetenen en niet-ingezetenen);
• HR – Handelsregister;
• BAG - Basisregistraties Adressen en Gebouwen (bestaat uit twee basisregistraties);
• BRT - Basisregistratie Topografie;
• BRK - Basisregistratie Kadaster;
• BRV - Basisregistratie Voertuigen (kentekenregister);
• BLAU - Basisregistratie voor Lonen, Arbeidsverhoudingen en Uitkeringen;
• BRI - Basisregistratie Inkomen;
• WOZ - Basisregistratie Waarde Onroerende Zaken;
• BGT - Basisregistratie Grootschalige Topografie (voorheen GBKN);
• BRO - Basisregistratie Ondergrond (voorheen ook wel DINO).

Wet op ondernemingsraden

Iedere organisatie die meer dan 50 werknemers in dienst heeft moet een ondernemingsraad (OR) instellen. De wet geeft aan hoe de OR wordt gekozen en samengesteld moet worden. Daarnaast beschrijft de wet de manier van overleg tussen de bestuurder en de OR. Ook worden de taken en bevoegdheden van de OR erin beschreven. Tot slot wordt in deze wet ook de rechten en de rechtsbescherming van leden van de OR geregeld. De OR heeft op grond van artikel 27 lid 1 sub het instemmingsrecht voor ‘een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen’. Dit geldt bv ook als het gaat om het gebruik personeelsvolgsystemen zoals het gebruik van camera’s, verzuimregistratie, toegangscontrole enz.

2.2 Uitgangspunten

HHSK is een moderne, functionele overheid met oog voor wat de samenleving van ons vraagt. Hierbij is het waarborgen van privacy een belangrijke voorwaarde, zoals vastgelegd in de Bestuurlijke visie op privacy binnen HHSK. Hierbij gelden onderstaande uitgangspunten:

• HHSK is integer en betrouwbaar;
• ieder mens heeft recht op privacy en de bijpassende bescherming van zijn of haar persoonsgegevens om gevolgen in de persoonlijke sfeer te voorkomen dan wel te beperken;
• een risicogerichte aanpak, er wordt continu een afweging gemaakt tussen de verwerking en het risico die de verwerking met zich meebrengt;
• binnen HHSK wordt “Privacy by design” toegepast bij het ontwikkelen van een nieuw informatiesysteem waardoor er al in de beginfase rekening wordt gehouden met het privacyvraagstuk. De aandacht voor privacy blijft tijdens de gehele levensduur van het systeem bestaan. Dit om de beveiliging van persoonsgegevens te optimaliseren.

HHSK spant zich in om de privacybescherming voor medewerkers en burgers te verbeteren. Daarnaast wil HHSK transparant zijn richting haar burgers en medewerkers en deze adequaat informeren. Omgevingsgerichtheid staat hierbij centraal. De burger moet er op kunnen vertrouwen dat HHSK zorgvuldig en veilig met zijn persoonsgegevens omgaat. Het is van belang dat de burger op eenvoudige wijze toegang heeft tot het gevoerde Privacybeleid, aangezien van deze zelfde burger persoonsgegevens worden verwerkt.

3 Belangrijkste definities en maatregelen uit de Verordening

3.1 Wat zijn persoonsgegevens?

Een persoonsgegeven is een cruciaal begrip in de AVG. Onder een persoonsgegeven wordt verstaan: ‘elk gegeven over een geïdentificeerd of identificeerbaar natuurlijk persoon’. Dit betekent dat de informatie direct over een persoon gaat of indirect naar een bepaald persoon te herleiden is. Gegevens van overleden personen of organisaties zijn geen persoonsgegevens, maar er moet natuurlijk wel met gepast respect voor de overledene en diens nabestaanden mee worden omgegaan.

In Tabel 1 worden verschillende soorten persoonsgegevens met een aantal voorbeelden weergegeven.

Ook al wordt het onder de AVG geen bijzonder persoonsgegeven genoemd, voor het Burgerservicenummer (BSN) blijft gelden dat het enkel gebruikt mag worden wanneer het door de wet is voorgeschreven, en enkel voor de doeleinden gebruikt mag worden die die wet bepaalt.

3.2 Wanneer worden persoonsgegevens “verwerkt”?

Het verwerken van persoonsgegevens is binnen de AVG ruim omschreven en omvat elke handeling vanaf het raadplegen en verzamelen tot aan het vernietigen van persoonsgegevens. Het maakt daarbij niet uit of deze persoonsgegevens in een computersysteem zijn opgeslagen, op papier zijn afgedrukt, op een USB-stick staan of via e-mail worden verzonden. Het bekijken van een persoonsgegeven valt al onder het begrip “verwerken”.

Definitie „verwerking”:

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; Artikel 4 Algemene Verordening Gegevensbescherming

Om persoonsgegevens te mogen verwerken moet worden voldaan aan de in de AVG genoemde eisen. Deze eisen zijn terug te brengen tot een aantal principes. Deze moeten in acht genomen worden bij het verwerken van persoonsgegevens. De principes worden in paragraaf 2.3 verder uitgewerkt.

Er is voor het verwerken van persoonsgegevens een leidraad beschikbaar in Bijlage C: Checklist voor het werken met persoonsgegevens. Deze kan in geval van twijfel bij iedere (intentie tot) verwerking worden geraadpleegd.

3.3 Privacy-principes

De AVG gaat uit van een aantal beginselen waar elke verwerking van persoonsgegevens aan moet voldoen, de zogenaamde “privacy-principes”. Deze principes vormen het normatieve hart van de AVG en de verwerkingsverantwoordelijke (zie verder paragraaf 2.5) is verantwoordelijk voor de naleving hiervan.

De principes luiden als volgt:

1. De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn
   Persoonsgegevens mogen alleen verwerkt worden als de verwerking noodzakelijk is met het oog op het bereiken van een specifiek, in de AVG genoemde grondslag. De verwerking moet netjes en verantwoord gebeuren. De grondslagen worden verder uitgewerkt in paragraaf 2.4. Tenslotte moet duidelijk zijn voor welke doelen de persoonsgegevens worden verwerkt en hoe dat gebeurt. Het opstellen van een geheimhoudingsverklaring is niet voldoende om persoonsgegevens op grond van de AVG te kunnen verwerken.
2. De verwerking moet gebonden zijn aan specifieke verzameldoelen (doelbinding)
   Persoonsgegevens mogen alleen worden verzameld en verwerkt voor vooraf bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.
3. De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn (minimale gegevensverwerking)
   Wanneer persoonsgegevens worden verwerkt dan moeten zij voor het doel toereikend en slechts daaraan dienend zijn. Verder mogen er niet méér persoonsgegevens worden verwerkt dan strikt noodzakelijk voor het bepaalde doel. Met andere woorden: ‘handig’ is niet goed genoeg.
4. De gegevens moeten juist zijn
   De verwerkingsverantwoordelijke moet alle redelijke maatregelen nemen om ervoor te zorgen dat de gegevens correct en actueel zijn. Gegevens die dat niet (meer) zijn, moeten worden gewist of gecorrigeerd.
5. De gegevens mogen niet langer worden bewaard dan noodzakelijk
   Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel van de verwerking. Wanneer de bewaartermijn verstreken is, moeten persoonsgegevens dan ook worden vernietigd of gewist.
   De bewaartermijn is geheel afhankelijk van het doel waarvoor gegevens verzameld zijn. Het is aan de eigenaar van de gegevens om aan te geven hoe lang het noodzakelijk is de persoonsgegevens te bewaren. De selectielijst Waterschappen 2012 geldt hierbij als uitgangspunt. Er dient hierbij ook rekening te worden gehouden met wettelijke bewaarplichten zoals de Archiefwet en de Belastingwet.
   Bij het inventariseren van de verwerkingen wordt de bewaartermijn per verwerking vastgesteld en in elke aparte werkinstructie opgenomen. Deze bewaartermijnen worden afgestemd met wat in het informatiebeveiligingsbeleid staat vermeld. Bij twijfel wordt advies gevraagd aan de Privacydesk. Ook de verantwoordelijkheid voor en de wijze van vernietiging van gegevens na verstrijken van de bewaartermijn wordt in de werkinstructie geregeld en in het verwerkingsregister opgenomen.
6. De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven
   Persoonsgegevens moeten worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Voor de inrichting van informatiebeveiliging steunt HHSK op de Baseline Informatiebeveiliging Overheid (BIO) en het informatiebeveiligingsbeleid HHSK en HHR.
7. Voldoen aan de eisen van proportionaliteit en subsidiariteit
   De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de het doel van de verwerking. Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

Voor HHSK is het belangrijk dat het Privacybeleid helder is voor zowel de burgers als voor werknemers. HHSK moet transparant zijn over de verwerking van persoonsgegevens. Het moet voor betrokkenen (zie verder paragraaf 2.9) duidelijk zijn in hoeverre en op welke manier er persoonsgegevens worden verwerkt door HHSK. Alle communicatie richting betrokkenen moet begrijpelijk zijn, ook met betrekking tot de rechten van betrokkenen. De gedachte hierachter is dat de betrokkene beter in staat is om in te schatten wat er met zijn gegevens gebeurt en eventueel actie kan ondernemen. Een voorbeeld van transparantie is dat HHSK op de website een privacyverklaring heeft gepubliceerd.

Persoonsgegevens mogen in principe alleen binnen de Europese Economische Ruimte (EER) verwerkt worden, aangezien de verordening van toepassing is in de hele EER. Het verwerken van persoonsgegevens buiten de EER mag alleen bij wijze van hoge uitzondering, namelijk wanneer dit is gemotiveerd in een Data Privacy Impact Assesment (DPIA) en na akkoord van de Privacydesk en de FG Dit geldt ook als een verwerker een derde (subverwerker) wenst in te schakelen om persoonsgegevens verder te verwerken.

3.4 Voorwaarden (grondslagen) voor verwerken

Persoonsgegevens mogen enkel worden verwerkt als er voldaan is aan minimaal één van de volgende wettelijke grondslagen uit de AVG:

• De verwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. Op grond van de AVG kan aan deze voorwaarde alleen voldaan worden als het gaat om een publiekrechtelijke taak die op grond van de wet aan de verantwoordelijke is toegewezen;.
• De verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
• De verwerking is noodzakelijk om een wettelijke verplichting na te komen;
• De verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkenen (bijvoorbeeld in geval van medische noodzaak als de betrokkene niet in staat is zelf toestemming te verlenen);
• De betrokkene heeft voor de verwerking expliciet toestemming verleend (deze toestemming wordt te allen tijde geregistreerd). Deze grondslag moet zo min mogelijk gebruikt worden. Een betrokkene kan zijn/haar toestemming namelijk te allen tijde intrekken en dat kan nadelig zijn voor het bedrijfsproces
• De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang. Deze grondslag geldt onder de AVG niet voor verwerkingen door overheidsinstanties in het kader van de uitoefening van hun publiekrechtelijke taken. Die vallen namelijk onder de vorige bullet. Deze grondslag kan voor overheden echter wel van toepassing zijn in het kader van hun bedrijfsvoering (privaatrechtelijk). Denk bijvoorbeeld aan de verwerking van persoonsgegevens op intranet of ten behoeve van het personeelsbeleid; dit is geen verwerking in het kader van de publiekrechtelijke taak, maar een verwerking ten behoeve van de bedrijfsvoering.

Als er niet voldaan kan worden aan tenminste één van de genoemde voorwaarden (grondslagen) dan mogen de persoonsgegevens niet verwerkt worden.

Enkele voorbeelden van situaties waarin verwerking niet toegestaan is:

• Kan het vastgestelde doel op een andere manier worden bereikt? Dan is het niet noodzakelijk persoonsgegevens te verwerken en dus niet toegestaan.
• Als er te weinig persoonsgegevens worden verwerkt om het doel te kunnen bereiken dan is die verwerking geen geschikt middel om het doel te bereiken en daarom niet toegestaan.
• Er mag niet begonnen worden met het verzamelen van gegevens voordat het doel daarvan is vastgesteld.
• Als het doel van de verwerking tussentijds verandert, dan moet de verwerking stoppen. Nadat een DPIA is uitgevoerd, zou de verwerking opnieuw gestart worden.

De Privacydesk zet het proces (wanneer het om een lopend project gaat) dan voor minimaal 24 uur – met een uitloop van 72 uur – on hold. De tijdsduur dat het proces on hold wordt gezet is afhankelijk van de complexiteit van het traject. In de periode van 24-72 uur treedt de Privacydesk in overleg met de Proceseigenaar, Afdelingshoofd en FG en doet zij onderzoek gedaan naar de gevolgen van het ontbreken van de juiste grondslag voor dit proces.

De Ondernemingsraad

In het geval dat er persoonsgegevens verwerkt worden van personeelsleden van HHSK door HHSK moet er op grond van artikel 27 Wet op Ondernemingsraden instemming worden gevraagd aan de Ondernemingsraad (hierna: OR). De OR vertegenwoordigt het personeel.

De Ondernemingsraad (OR) heeft in een aantal gevallen instemmingsrecht. Dit houdt in dat de directie van HHSK instemming aan de OR moet vragen als de directie een regeling wil vaststellen. Op grond van de Wet op ondernemingsraden heeft de OR instemmingsrecht bij regelingen op het gebied van:

• Verzuimregistratie;
• Personeelsdossiers;
• Personeelsinformatiesysteem;
• Salarisadministratie;
• Managementinformatiesystemen als deze informatie op persoonsniveau bezitten;
• (Heimelijk) Cameratoezicht;
• Telefooncentrales;
• Black box, board computers of GPS-systeem;
• Filter software voor de controle op email- en internetgebruik;
• Prikklok of andere systemen van toegangscontrole;
• Badges of chipcards die erop gericht zijn om toegang aanwezigheid, verplaatsingen en of betalingen te volgen;
• Beleid rondom privacy en personeelsvolgsystemen.

Veel van deze onderwerpen raken de persoonsgegevens van medewerkers. Het is dan ook van belang om goede afstemming met de OR na te streven. In het geval bovengenoemde onderwerpen aan de orde zijn waarbij het tevens gaat om de verwerking van persoonsgegevens dient de OR te worden geraadpleegd, omdat zij instemming dienen te geven.

3.5 De verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke stelt vast welke persoonsgegevens verwerkt (mogen) worden, wat het doel is van die verwerking en welke middelen er worden gebruikt bij die verwerking. De Verwerkingsverantwoordelijke neemt het initiatief voor de verzameling van persoonsgegevens en is daar ook verantwoordelijk voor. De Verwerkingsverantwoordelijke is daarnaast verantwoordelijk voor het afhandelen en, indien nodig, melden van datalekken en verzoeken van betrokkenen, zoals een verzoek tot inzage of gegevenswissing.

HHSK is in beginsel de verantwoordelijke voor de verwerking van persoonsgegevens. Binnen HHSK zijn diverse taken en bevoegdheden gemandateerd in de organisatie. Het Dagelijks Bestuur is echter eindverantwoordelijk en als zodanig de Verwerkingsverantwoordelijke in de zin van de AVG.

3.6 De verwerker

De Verwerker is de partij (of persoon) die persoonsgegevens verwerkt in opdracht van de Verantwoordelijke (vaak dus HHSK). De Verwerker valt echter niet onder de aansturing van de Verantwoordelijke.

3.7 De verwerkersovereenkomst

Tussen een Verwerkersverantwoordelijke en Verwerker dient een Verwerkersovereenkomst te worden gesloten. In de Verwerkersovereenkomst wordt vastgelegd dat de Verwerker een beveiligingsniveau voor de bescherming van persoonsgegevens hanteert conform de Baseline Informatiebeveiliging Waterschappen (BIO) en het Privacybeleid. In de Verwerkersovereenkomst worden ook andere afspraken gemaakt, zoals het melden van datalekken door de Verwerker aan de Verantwoordelijke en de aansprakelijkheid van partijen, maar ook een overzicht van de te verwerken persoonsgegevens, de grondslag en doel van de verwerkingen en een beschrijving van de type verwerkingen.

Een Verwerkersovereenkomst bestaat altijd naast een contract voor een product en/of dienstverlening. HHSK gebruikt hiervoor het “Model Verwerkersovereenkomst” die door het CPW (Contactpersonen Privacy Waterschappen) is opgesteld. De Privacydesk heeft het ‘’Model Verwerkersovereenkomst’’ aangepast naar de organisatie van HHSK. Deze wordt jaarlijks geëvalueerd en aangepast waar nodig op basis van eventuele nieuwe wetgeving en/of jurisprudentie en in de praktijk opgedane ervaringen. De Privacydesk draagt zorg voor een correcte inhoud van het model. Tevens kan de Privacydesk ondersteuning bieden aan de procesmanager en/of contracteigenaar bij het opstellen van en onderhandelen over de inhoud van de verwerkersovereenkomst. Voor invulling van de technische en organisatorische beveiligingsmaatregelen zal een IT-medewerker om advies worden gevraagd. Het ‘’Model Verwerkersovereenkomst’’ kan worden opgevraagd bij de afdeling Inkoop. Van het ‘’Model Verwerkersovereenkomst’’ mag alleen worden afgeweken met toestemming van de Privacydesk.

De verwerkersovereenkomst wordt altijd samen met de hoofdovereenkomst of de opdracht(brief) geregistreerd in het documentbeheersysteem Corsa. In het Verwerkingenregister zal bij de betreffende verwerking rechtstreeks gelinkt worden naar de afgesloten Verwerkersovereenkomst. Zie hiervoor de ‘Handreiking Verwerkersovereenkomst’

3.8 Het verwerkingenregister

De interne en externe verwerkingen worden per werkproces geregistreerd en bijgehouden in een verwerkingenregister. HHSK is verplicht verantwoording af te leggen over alle verwerkingen van persoonsgegevens wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Om te kunnen voldoen aan deze verantwoordingsplicht vereist de AVG dat HHSK een register bijhoudt van alle verwerkingen van persoonsgegevens binnen de organisatie. Hier moet ook in staan welk doel en grondslag voor de verwerkingen worden gebruikt en wie verantwoordelijk is voor het proces waarbinnen de verwerking plaatsvindt. Daarnaast dient het register te vermelden hoe lang de persoonsgegevens worden bewaard. Dit register moet te allen tijde up-to-date zijn en wordt per afdeling bijgehouden. Jaarlijks wordt dit register door de FG steekproefsgewijs gecontroleerd.

3.9 De betrokkene

De betrokkene is de persoon tot wie het persoonsgegeven (in)direct te herleiden is of over wie het persoonsgegeven gaat dat verwerkt wordt. Bijvoorbeeld een burger van wie er bij HHSK betalingsgegevens bekend zijn voor de inning van huur, een aanvrager van een vergunning of een medewerker van HHSK wiens persoonsgegevens worden verwerkt in het kader van het personeelsbeleid. Onder de AVG heeft de betrokkene een aantal rechten, waaronder het recht op inzage, rectificatie en vergetelheid. Deze rechten worden in hoofdstuk 5 verder toegelicht. HHSK faciliteert de betrokkene in de uitoefening van zijn rechten. Via de website van HHSK wordt de betrokkene door middel van een privacyverklaring in heldere taal geïnformeerd over zijn rechten en de manier waarop hij deze rechten kan inroepen.

3.10 Privacy door ontwerp (privacy by design)

Privacy door ontwerp wil zeggen dat bij de ontwikkeling van producten al wordt nagedacht hoe de privacy van gebruikers zo optimaal mogelijk kan worden beschermd.

Privacy by design kent de volgende zeven basisprincipes. Deze moeten in acht worden genomen bij de ontwikkeling van een nieuw product of applicatie:

• Voorkomen is beter dan genezen: Privacy by design zorgt ervoor dat privacy risico’s zo klein mogelijk blijven, door vooraf al over deze risico’s na te denken en maatregelen te treffen. Het voorkomen van privacy inbreuken staat centraal;
• Privacy is de standaard: Producten en diensten moeten standaard ingesteld zijn om de hoogste mate van privacy te bieden. In dat geval is privacy als het ware ingebouwd in de systemen (dit principe wordt privacy by default genoemd, zie verder hieronder);
• Integreren van gegevensbescherming en beveiliging in het ontwerp: Privacy by design zorgt ervoor dat privacy een kerncomponent wordt van je producten of diensten. Tijdens de ontwikkeling wordt privacy een integraal onderdeel van het product of dienst, zonder afbreuk te doen aan de functionaliteit daarvan;
• Volledige functionaliteit: Het is van groot belang dat privacy niet ten kosten gaat van bijvoorbeeld beveiliging. Door privacy in de ontwikkelingsfase in te bouwen in de systemen hoef je geen afweging te maken tussen beveiliging en privacy of tussen privacy en andere functionaliteiten;
• End-to-end beveiliging - Bescherming gedurende de hele levenscyclus: Privacy by design houdt rekening met privacy gedurende de gehele levenscyclus van de persoonsgegevens. Dit betekent dat alle persoonsgegevens veilig opgeslagen worden en ook op een juiste manier worden vernietigd;
• Zichtbaarheid en transparantie: Privacy by design staat voor openheid en transparantie. Deze transparantie creëert vertrouwen bij alle betrokken partijen. Klanten en leveranciers kunnen zien dat je privacy serieus neemt en je geeft openheid over hoe er met persoonsgegevens wordt omgegaan in de organisatie;
• Respect voor privacy van de betrokkene – de betrokkene staat centraal: Wellicht het belangrijkste aspect van privacy by design is dat de gebruiker of klant centraal staat. De belangen van de betrokkenen staan altijd op de eerste plek door het aanbieden van sterke standaard instellingen, transparantie, duidelijke communicatie en gebruiksvriendelijke mogelijkheden.

De principes van Privacy by design zijn formeel vastgesteld door de I-Raad in het document ‘’Gezamenlijke Architectuurprincipes HHSK, HHD, HHR’’.

Praktijkvoorbeelden privacy by design

Denk bijvoorbeeld aan het implementeren van versleuteling van gegevens. Mocht de server worden gehackt, dan kan de hacker niets met die gegevens zonder daar een “sleutel” voor te hebben. Een voorbeeld van versleuteling is pseudonimiseren. De persoonsgegevens worden dan vervangen door een pseudoniem. In het product kan een bepaald algoritme worden geïmplementeerd, die berekent door welk pseudoniem de gegevens moeten worden vervangen. Het blijft mogelijk om door middel van hetzelfde algoritme de persoonsgegevens weer op te halen.

Een ander voorbeeld is het geven van machtigingen aan werknemers om bepaalde applicaties of werknemersschijven te kunnen gebruiken.

Andere voorbeelden van ‘privacy door ontwerp’ zijn: anonimiseren, firewalls en twee-staps authenticatie. Anonimiseren wil zeggen dat alle persoonlijke kenmerken uit gegevens worden verwijderd, waardoor het niet alleen voor ongewenste personen niet mogelijk is om de gegevens te herleiden naar een persoon, maar ook niet meer voor de verwerker zelf. In de praktijk is het erg lastig om 100% te anonimiseren. Bij twijfel kan de Privacydesk worden geraadpleegd om te controleren of de gegevens echt anoniem zijn.
Een firewall is een soort filter die het inkomende en uitgaande internetverkeer controleert. Indien ongewenst verkeer wordt herkend, kan de firewall dit tegenhouden.
Twee-staps authenticatie tot slot betekent dat er niet alleen een wachtwoord ingevoerd moet worden om in te kunnen loggen, maar daarnaast nog een extra handeling moet worden verricht. Denk bijvoorbeeld aan het intypen van een code die per sms wordt verstuurd, of het accepteren van een pop-up op de telefoon. Binnen HHSK wordt hier mee gewerkt. Bijvoorbeeld wanneer je wilt inloggen op Citrix. Naast een wachtwoord dien je ook via authenticatie app op je telefoon een code in te voeren.

3.11 Privacy door standaard instellingen (privacy by default)

Privacy door standaardinstellingen houdt in dat maatregelen worden genomen om standaard alleen persoonsgegevens te verwerken die noodzakelijk zijn voor het doel van de verwerking en te kiezen voor de meest privacy vriendelijke instellingen van een systeem. Dit gebeurt bij HHSK bijvoorbeeld door webformulieren zo aan te passen dat de burger zelf mag kiezen welke persoonsgegevens hij invult en wij slechts de strikt noodzakelijke gegevens verplicht stellen om in te vullen. Daarnaast dient de burger zelf actief toestemming te verlenen voor ontvangen van een terugkoppeling op een melding of een nieuwsbrief.

4 Taken en bevoegdheden

4.1 Gelaagde structuur privacy-organisatie

Privacy is binnen HHSK ingericht in vijf lagen. Elke laag heeft andere taken en bevoegdheden. Dit houdt in dat privacy-gerelateerde taken op vijf verschillende niveaus binnen en buiten de organisatie belegd zijn.

De organisatie bestaat uit de volgende vijf lagen:

• Toepassende laag
• Uitvoerende laag
• Ondersteunende laag
• Intern toezichthoudende laag
• Extern toezichthoudende laag

4.1.1 Toepassende laag: De medewerkers

De toepassende laag vormt de belangrijke basis voor de borging van privacy binnen de hele organisatie. Alle medewerkers verwerken binnen hun taak persoonsgegevens van burgers. Denk bijvoorbeeld aan het registreren en beantwoorden van brieven en vragen van burgers. Daarnaast worden de persoonsgegevens van werknemers bewerkt door HHSK in het kader van bijvoorbeeld het personeelsbeleid of voor intranet. De AVG, het Privacybeleid en de constante voorlichting binnen HHSK zorgen voor een veranderende manier van werken en het creëren van bewustwording, zodat medewerkers al voor de aanvang van een verwerking nadenken over de risico’s en maatregelen ter beveiliging en bescherming..

De toepassende laag is verantwoordelijk voor de daadwerkelijke toepassing van de privacyregels binnen hun taakgebied en het gebruik van de door de Privacydesk gevormde producten, modellen en registers

4.1.2 Uitvoerende laag: Teamleider en Spoc

Het uitgangspunt van deze structuur is dat iedere teamleider binnen zijn team verantwoordelijk is voor de bescherming van persoonsgegevens in het teamproces. Zij worden hierbij ondersteund en begeleid door de Spoc. Vanuit elke afdeling is minimaal één Spoc beschikbaar. De Spoc is de Single Point Of Contact binnen elk team en is daarmee de contactpersoon van de Privacydesk.

De teamleider en de Spoc zijn verantwoordelijk voor onder andere het correct toepassen van de privacy-principes in het proces en zijn bekend met het bijbehorende beleid en protocollen zoals bijvoorbeeld het Incident Response Plan. Ook zijn de teamleider en de Spoc verantwoordelijk voor het correct en volledig invullen en bijhouden van de verwerkingen in het verwerkingenregister. Daardoor is te allen tijde een actueel beeld van alle verwerkingen van persoonsgegevens beschikbaar voor HHSK en voor de toezichthouder.

Daarnaast zorgen de teamleiders en Spoc’s ervoor dat de werkprocessen binnen de afdeling altijd actueel en up-to-date zijn conform de op dat moment geldende regelgeving en protocollen. Dit doen zij aan de hand van de PDCA-cyclus.

4.1.3 Ondersteunende laag: Privacydesk

De ondersteunende laag helpt bij het inrichten en beheren van privacy. De Privacydesk ondersteunt de teamleiders en Spoc’s door het beantwoorden van vragen, het geven van advies, en het opzetten en monitoren van kaders zoals beleid en protocollen. De Privacydesk heeft naast een adviesfunctie ook uitvoerende taken op het gebied van de meldplicht datalekken. Deze zijn vermeld in het Incident Response Plan. In het geval van datalekken vormt de Privacydesk het Incident Response Team (zie verder onder 6. Incident Response Plan).

De Privacydesk is er voor ondersteuning en geeft gevraagd en ongevraagd advies binnen de organisatie op het gebied van privacy. Indien de Privacydesk advies uitbrengt aan een afdeling over een bepaald proces / applicatie dan is dit advies dwingend en kan er alleen bij hoge uitzondering en gemotiveerd van worden afgeweken.

4.1.4 Intern toezichthoudende laag: Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming (verder FG genoemd) is een functie die niet betrokken is met de operationele uitvoering, maar juist toezicht houdt en toetst hoe de bescherming van persoonsgegevens binnen HHSK opgepakt wordt.

Er wordt door de FG getoetst of het samenspel tussen de uitvoerende laag en beherende laag naar behoren functioneert en de beoogde doelstellingen behaald worden. Daar wordt een objectief en onafhankelijk oordeel over uitgebracht met bevindingen en mogelijkheden tot verbetering. De borging van opvolging van deze bevindingen en verbeteringen wordt belegd binnen het proces planning & control.

De FG is volledig onafhankelijk van de uitvoering op gebied van privacy en heeft direct contact met de portefeuillehouder, de secretaris-directeur en het dagelijks bestuur.

De FG is het HHSK-aanspreekpunt voor de Autoriteit Persoonsgegevens (AP). Communicatie tussen de AP en HHSK geschiedt altijd met medeweten van de FG. Burgers kunnen contact opnemen via de reeds bestaande kanalen (deze staan op de website). In geval van de afhandeling van een datalek worden de kanalen situationeel vastgesteld en naar de betrokken doelgroepen gecommuniceerd.

De hoofdtaak van de FG is het toezien op de naleving van de AVG en de overige regelgeving op het gebied van privacy en persoonsgegevens. Uit deze hoofdtaak vloeien concreet de volgende voort:

• Informeren en adviseren van de organisatie en verwerkers over hun verplichtingen die zij hebben op grond van de AVG en overige regelgeving op het gebied van privacy en persoonsgegevens;
• Toezien op naleving van het Privacybeleid binnen HHSK;
• Jaarlijks rapporteren aan het Dagelijks Bestuur over de bevindingen;
• Toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van medewerkers;
• Advisering met betrekking tot DPIA’s, zowel in voorfase als bij oplevering, alsmede toezien op naleving van de DPIA-plicht;
• Toezien op het bijhouden register verwerkingsactiviteiten door de afdelingen (steekproefgewijs);
• Ontwikkelen van professionele kwaliteit en deskundigheid;
• Ondersteunen Privacydesk bij en toezien op behandeling verzoeken van betrokkenen;
• Toezien op afhandeling van beveiligingsincidenten (datalekken) en naleving technische/organisatorische maatregelen ter voorkoming van incidenten;
• Contactpersoon HHSK met de AP (in geval van controles en datalekken).

4.1.5 Extern toezichthoudende laag: Autoriteit Persoonsgegevens

De toezichthoudende laag wordt gevormd door de landelijke toezichthouder: de Autoriteit Persoonsgegevens (AP). Alle informatie over de AP is te vinden op de website www.autoriteitpersoonsgegevens.nl. Deze toezichthouder is belast met het toezicht op de toepassing van de wet en treedt volledig onafhankelijk op bij de uitvoering van haar taken en bevoegdheden.

4.1.6 Scheiding uitvoerende laag en intern toezichthoudende laag

De onafhankelijkheid van de FG is essentieel voor een zuivere werking van de privacy binnen de organisatie. Zodoende zullen de toezichthoudende taken van de FG niet vermengd worden met uitvoerende taken van de Privacydesk. De Privacydesk heeft namelijk een beperkte mate van onafhankelijkheid in verband met het inrichten van privacy en de adviezen die gegeven worden aan de organisatie. De scheiding van de taken en verantwoordelijkheden is vastgelegd in het RASCI-model (Bijlage E).

4.1.7 Chief Information Security Officer

De Chief Information Security Officer (CISO) is verantwoordelijk voor de ondersteuning van informatiebeveiliging en de uitvoering van het informatiebeveiligingsbeleid. Deze centrale informatiebeveiligingsfunctionaris heeft tot taak:

• bevorderen van het bewustzijn op het gebied van informatiebeveiliging;
• verantwoordelijkheid voor informatiebeveiligingsbeleid uitdragen naar het management;
• risico’s signaleren op het gebied van informatiebeveiliging;
• bij incidenten te zorgen voor de juiste maatregelen, ook in acute situaties;
• monitoren van en rapporteren over risico’s, uitvoeren van beleid en incidenten;
• adviseren over beleid en beleidsvoorbereiding bij nieuwe ontwikkelingen;
• het behartigen van het specifieke belang van informatiebeveiliging in de afstemming met gegevens- en systeemeigenaren;
• centraal aanspreekpunt zijn voor vraagstukken met betrekking tot informatiebeveiliging.

Gezien de overlap tussen beide werkvelden informatiebeveiliging en privacybescherming is een goede samenwerking tussen FG en CISO onontbeerlijk. Samen rapporteren zij via de managementrapportages (1x per kwartaal) over (beveiligings)incidenten aan het Dagelijks Bestuur. Tevens informeert de CISO de SD over de stand van zaken binnen HHSK op het gebied van informatiebeveiliging.

4.2 Rollen directie, portefeuillehouder en dagelijks bestuur

De eindverantwoordelijkheid voor het uitvoeren van het Privacybeleid (maatregelen) en het hieruit voortvloeiende beheer ligt in ambtelijke zin bij de directie van HHSK. De toezichthoudende taak is voor de FG en wel zo dat deze niet alleen formeel onafhankelijk is, maar zich ook vrij voelt om onafhankelijk te opereren en te adviseren. Deze onafhankelijkheid vraagt van de directie om terughoudendheid als het gaat om de hieruit voorvloeiende eindverantwoordelijkheid.

Portefeuillehouder voor de bescherming van persoonsgegevens is de dijkgraaf. Als lid van het college van dijkgraaf en hoogheemraden zijn hij en het college bestuurlijk verantwoordelijk voor de privacybescherming. Dat komt in het bijzonder tot uiting in de vaststelling van dit Privacybeleid en is tevens vastgelegd in het RASCI-model.

Deze rolverdeling is ook relevant als het gaat om een datalek. De toezichthoudende rol van de FG (evt. melden bij AP) in combinatie met de taken van het Incident Response Team (onderzoek, acties), de directie (informeren, algemene maatregelen) en de portefeuillehouder (informeren) komen dan tot hun recht.

5 Data Privacy Impact Assessment (risicoanalyse)

Een Data Privacy Impact Assessment (risicoanalyse), hierna te noemen “DPIA” is een methode om in een vroeg stadium van een gewenste verwerking op een gestructureerde manier privacyrisico’s in beeld te brengen. Een DPIA wordt soms ook wel een Gegevensbeschermingseffectbeoordeling (GEB) genoemd.

Er wordt in geval van nieuwe informatiesystemen, applicaties of risicovolle projecten waar veel en/of gevoelige persoonsgegevens worden verwerkt altijd een DPIA gedaan; de diepgang hiervan is echter afhankelijk van de specifieke situatie. Een DPIA moet daarnaast ook worden uitgevoerd als er sprake is van de wijziging van het doel en de grondslag voor de verwerking van de gegevens of als het werkproces wijzigt waarbinnen de persoonsgegevens worden verzameld. De proceseigenaar neemt het initiatief voor een DPIA en schakelt de Privacydesk in voor advies. De Privacydesk ondersteunt bij de organisatie en de uitvoering van een DPIA. De FG adviseert vooraf en achteraf.

Raadpleeg ook de werkinstructie BIA. Hiermee wordt aan de hand van vragen (rondom mogelijke dreigingen die een risico kunnen gaan vormen) het belang van het betreffende object voor het waterschap vastgesteld.

De specifieke werkinstructie inhoudende een handleiding voor het model en een beschrijving in welke concrete gevallen een DPIA moet worden doorlopen, is op dit moment in ontwikkeling.

5.1 DPIA bij verwerkingen

Een DPIA is altijd verplicht als de verwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dat is in ieder geval aan de orde bij:

• het systematisch en uitvoerig evalueren van persoonlijke aspecten, waaronder profilering (profiling - bij profiling wordt er data verzameld met als doel een profiel op te bouwen rondom een medewerker of een burger, bijvoorbeeld om vast te stellen of iemand structureel wanbetaler is of regelmatig bij grote projecten klachten indient);
• het op grote schaal verwerken van bijzondere persoonsgegevens; en / of
• het op grote schaal systematisch volgen van mensen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht bij een gemaal of in de openbare ruimtes van HHSK).

Of er sprake is van een hoog privacyrisico wordt bepaald door de FG. Zij adviseert of er een DPIA moet worden uitgevoerd.

5.2 DPIA bij veranderingen

Voor grootschalige wijzigingen in IT systemen is vooraf advies nodig van de FG, Privacydesk en de CISO (en mogelijk de OR). Daarin vervult ook de I-Raad een rol. De I-Raad is een overlegstructuur tussen HHSK en HHR. Deze medewerkers de wijziging analyseren om vervolgens vast te stellen of het hier gaat om een wijziging in de verwerking van persoonsgegevens. Vervolgens zullen zij adviseren of nader juridisch advies nodig is of dat er een DPIA moet worden uitgevoerd om de risico’s beter in kaart te brengen.

6 Rechten van betrokkenen

6.1 De verschillende rechten van betrokkenen

Alle betrokkenen (de burgers en de werknemers) hebben op grond van de AVG diverse rechten met betrekking tot hun persoonsgegevens. Deze rechten kunnen zij inroepen door middel van een verzoek bij HHSK. Dat zijn de volgende rechten:

• Informatie:
  Recht om te weten wat er met de persoonsgegevens gebeurt en waarom;
• Inzage:
  Recht om inzage te krijgen in de persoonsgegevens die HHSK verzamelt en gebruikt;
• Rectificatie:
  HHSK dient te zorgen dat de gegevens accuraat zijn en blijven. De betrokkene heeft het recht om correctie van persoonsgegevens te vragen. Ook heeft hij het recht om gegevens aan te laten vullen wanneer deze incompleet zijn;
• Verwijdering en recht om vergeten te worden:
  Betrokkene heeft het recht op verwijdering van persoonsgegevens als verwerking van deze persoonsgegevens onrechtmatig is. Daarnaast heeft hij het recht om een eenmaal gegeven toestemming voor het verwerken van de gegevens in te trekken. Ook bestaat in sommige gevallen het recht om vergeten te worden. Dit is bijvoorbeeld het geval als de wettelijk bepaalde bewaartermijn is verstreken;
• Beperking:
  In bepaalde gevallen bestaat het recht dat HHSK de gegevens tijdelijk niet gebruikt. Dit recht bestaat in de volgende situaties:
  - in afwachting van een beoordeling van een verbetering van uw persoonsgegevens;
  - in afwachting van de beoordeling van een bezwaar;
  - indien uw gegevens eigenlijk verwijderd zouden moeten worden, maar u dit niet wenst;
  - indien het hoogheemraadschap de gegevens niet langer nodig heeft maar u nog wel, bijvoorbeeld voor een rechtszaak;
• Bezwaar:
  Recht om HHSK te vragen om persoonsgegevens niet meer te gebruiken. Dit is echter niet mogelijk als HHSK persoonsgegevens heeft verzameld om te voldoen aan een wettelijke verplichting of voor de bescherming van vitale belangen;
• Overdraagbaarheid van gegevens:
  Recht om de gegevens die aan HHSK zijn verstrekt, (terug) te ontvangen in een gangbaar bestandsformaat. Deze gegevens kunnen vervolgens worden overgedragen aan een andere organisatie;
• Niet onderworpen te worden aan geautomatiseerde besluiten:
  Recht om niet onderworpen te worden aan een volledig geautomatiseerde verwerking, zonder menselijke tussenkomst, als dit:
  - Rechtsgevolgen voor de betrokkene heeft, bijvoorbeeld de weigering of toekenning van huur- of kinderbijslag;
  - Het besluit de betrokkene in aanzienlijke mate treft, bijvoorbeeld het wel of niet verstrekt krijgen van een krediet;
• Klachtrecht:
  Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) over hoe HHSK omgaat met persoonsgegevens.

6.2 Privacy-verzoeken van betrokkenen

Als verzoeken in relatie tot bovenstaande rechten binnenkomen worden deze doorgezet naar de Privacydesk via privacy@hhsk.nl. De Privacydesk zal samen met de verwerkingsverantwoordelijke en medewerkers van de afdelingen de aanpak bepalen en uitvoeren. Ook wordt bij het bepalen van de aanpak altijd geanalyseerd of het noodzakelijk is om zelf de vraag te beantwoorden of dat dit bij een andere bronhouder (bijvoorbeeld een gemeente) dient plaats te vinden. Daarvoor is een werkinstructie opgesteld.

De rechten van betrokkenen zijn ook beschreven in de privacyverklaring die op de website van HHSK staat.

6.3 Rechtsbescherming

De besluiten die HHSK neemt in het kader van een ingeroepen recht van een betrokkene, worden conform artikel 34 van de Uitvoeringswet AVG aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht (Awb) en is daarom vatbaar voor bezwaar en beroep. Hiervoor worden de bestaande procedures voor de afhandeling van bezwaar en beroep gebruikt.

7 Incident Response Plan en Incident Response Team

7.1 Wat is een datalek?

Een inbreuk in verband met persoonsgegevens, beter bekend als een datalek, is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Voor de kwalificatie als “datalek” is het niet relevant dat er boos opzet in het spel is. Hoewel een hack van de systemen waarbij persoonsgegevens worden buitgemaakt een schoolvoorbeeld is van een datalek, kunnen ook gegevens die op een verloren laptop staan, een verkeerde verstuurde mail of een afgesloten website met persoonsgegevens die per ongeluk open staat ook kwalificeren als een datalek.

Een goed voorbeeld is bijvoorbeeld bewonersdossiers die niet op een afgesloten webpagina staan, maar openbaar kunnen worden geraadpleegd.

7.2 Meldplicht en Incident Response Team

HHSK heeft bij een datalek een mogelijke meldplicht naar de AP. Deze meldplicht houdt in dat HHSK binnen 72 uur een melding moet doen bij de AP zodra zij een datalek constateert. Als het datalek een hoog risico heeft of kan hebben voor de betrokkene (bijvoorbeeld financiële fraude of identiteitsfraude) meldt HHSK het datalek ook “onverwijld” aan de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt).

HHSK heeft een Incident Response Plan (hierna: ‘IRP’) voor de afhandeling van datalekken. In het IRP staan de stappen, taken en verantwoordelijkheden beschreven bij het melden van een datalek. Een speciaal Incident Response Team (IRT) komt bij het bekend worden van een datalek onmiddellijk bijeen en bepaalt de strategie aan de hand van het IRP. De FG zit het IRT voor.

In de gevallen dat de FG verhinderd is het IRT voor te zitten, dan worden alle besluiten die het IRT neemt, begrepen als besluiten van de FG zelf. Het IRT heeft in dat geval een tijdelijk mandaat en is daarmee niet verantwoordelijk voor de gevolgen van het besluit. De eindverantwoordelijke is altijd de FG.

Voor meldingen met betrekking tot informatiebeveiliging en privacy is er een eenduidig loket via Topdesk Selfservicedesk dat openstaat voor alle interne meldingen. Voor externe meldingen is er op de website van HHSK een aparte meldknop beschikbaar.

De uiteindelijke beslissing en verantwoordelijkheid voor het al dan niet doen van een datalekmelding bij de Autoriteit Persoonsgegevens ligt bij de FG. Van ieder lek wordt tevens in de hier vermelde volgorde melding gemaakt aan de SD, de portefeuillehouder en het Dagelijks Bestuur.

Betrokken Partijen

Stakeholders

Het uitvoeren van het Privacybeleid heeft invloed op de verschillende stakeholders van HHSK. Voor HHSK zijn er twee grote groepen betrokken, namelijk de burgers en de werknemers. Als het gaat om de bescherming van de persoonsgegevens zal er altijd rekening gehouden worden met de belangen van betrokkenen en in het bijzonder ook de risico’s waar de betrokkenen aan blootgesteld kunnen worden wanneer hun persoonsgegevens onvoldoende beschermd worden.

Burgers

De groep burgers bevat burgers die belastingplichtig zijn aan HHSK en / of eigendommen hebben in het gebied van HHSK. HHSK is verantwoordelijk om de persoonsgegevens van deze groep te beschermen tegen misbruik. Daarbij is het belangrijk om de privacy uitgangspunten en de beveiligingsmaatregelen goed en zorgvuldig toe te passen.

Binnen de BRP kunnen burgers bij de gemeente een verzoek indienen om geen gegevens aan derden te verstrekken (geheimhouding). Indien geheimhouding van gegevens is aangevraagd, wordt er een geheimhoudingsindicatie in de BRP geplaatst. Die indicatie is in het beginsel bedoeld voor de verstrekking van gegevens uit de BRP en werkt alleen voor het eventueel tegenhouden van verstrekkingen aan derden. Afnemers met een publiekrechtelijke taak, zoals HHSK, krijgen de gegevens wel omdat zij in de uitvoering van hun publiekrechtelijke taken de gegevens uit de BRP nodig hebben. De geheimhoudingsindicatie wordt dan wel als signaal meegezonden naar HHSK. Zodat er nog extra op wordt gewezen dat wij zorgvuldig met deze gegevens om moeten gaan in onze administratie en de uitvoering van onze taken.

Werknemers van HHSK

Het beschermen van persoonsgegevens van medewerkers bestaat uit meerdere facetten. HHSK mag persoonsgegevens van haar werknemers beschikbaar stellen aan de burger mits deze direct betrokken zijn bij de uitvoering van taken die burgers raken. Dit doet HHSK om zich zo klantgericht op te stellen en de burgers de best mogelijk service te leveren. Hierbij gaat het slechts om de basisgegevens die op dat moment noodzakelijk zijn voor de burger om met de medewerker contact op te nemen (naam, zakelijk e-mailadres en/of telefoonnummer).

Hiervan wordt afgeweken als werknemers hier hinder van kunnen ondervinden en/of als hun veiligheid niet gewaarborgd kan worden door HHSK.

HHSK mag personeelsgegevens verstrekken aan zowel personen binnen de organisatie als aan bepaalde personen of instanties buiten de organisatie. Dit zal uiteraard ook volgens dezelfde privacy-principes en met geldige grondslag en specifiek doel dienen te gebeuren.

Daarnaast is cameratoezicht en toezicht via computersystemen onder bepaalde voorwaarden toegestaan, bijvoorbeeld bij diefstal of fraudebestrijding. Deze vorm van controle is toegestaan als dit af en toe gebeurt en HHSK voldoet aan de voorwaarden uit de privacywetgeving. Hiervoor is de thematische beleidsregel cameratoezicht van de Autoriteit Persoonsgegevens (28 januari 2016) van toepassing. De gegevens van werknemers van HHSK worden voor 10 jaar bewaard na einde dienstverband en gedetacheerd personeel 7 jaar na einde overeenkomst.