Algemene Verordening Gegevensbescherming (AVG)
De gemeente Almelo is verplicht te voldoen aan de Europese privacyregels op grond van de AVG.
Hierin staan de belangrijkste regels voor de omgang met persoonsgegevens. De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Onder persoonsgegevens verstaan we alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is.
Het een illusie is dat een gemeente als ‘AVG-proof’ kan worden betiteld. Er zal namelijk continue aandacht gevraagd moeten worden voor het bewust omgaan met privacygegevens van klanten en eigen personeelsleden. Door het treffen van onderstaande maatregelen kunnen de risico’s worden beperkt.
Maatregelen AVG
In de AVG staat een aantal verplichte maatregelen genoemd om aan de verantwoordingsplicht (accountability) te voldoen. Dit principe vereist dat organisaties passende technische en organisatorische maatregelen nemen om te voldoen aan de beginselen en verplichtingen uit de AVG, en dit ook kunnen aantonen.
- Het bijhouden van een ‘Register van Verwerkingsactiviteiten’;
- Het uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit is een gegevensbeschermings- effectbeoordeling bij verwerkingen met een hoog privacyrisico;
- Het bijhouden van een register van datalekken;
- Het aantonen dat betrokkene daadwerkelijk toestemming heeft gegeven;
- Werken volgens Privacy by Design;
- Waarborgen van rechten van betrokkenen (cliënten, inwoners en medewerkers).
Daarnaast heeft de AP op haar website voorbeelden staan van extra (vrijwillige) maatregelen:
7. Het creëren van privacybewustwording;
8. Het implementeren van privacybeleid;
9. Het afleggen van verantwoording via P&C-cyclus.
Beleid gemeente Almelo
Als eindverantwoordelijke voor de AVG heeft het college van B&W heeft op 15 mei 2018 het 'Privacybeleid gemeente Almelo 2018 - 2021' vastgesteld en geldt als algemeen beleid. Hierin zijn de kaders met de risico’s en maatregelen beschreven, om te voldoen aan de AVG. Het privacybeleid is van toepassing op alle taken en processen waar de gemeente voor verantwoordelijk is en heeft betrekking op de persoonsgegevens van personen van wie de gemeente Almelo gegevens verwerkt (of laat verwerken). Dat houdt in: verzamelen, raadplegen, wijzigen enzovoorts van persoonsgegevens. Het (lijn)-management is primair verantwoordelijk.
Doel van het privacybeleid is het beschrijven van kaders voor het verantwoord omgaan met persoonsgegevens en het waarborgen van de privacyrechten van personen waarvan de gemeente Almelo persoonsgegevens verwerkt.
Voor bepaalde domeinen kan het nodig zijn om aanvullend een specifiek privacybeleid vast te stellen. Denk hierbij aan het sociaal domein, publiekszaken, leerlingzaken, schuldsanering, belastingen. Daarnaast wordt er ten behoeve van de medewerkers van de gemeente Almelo gewerkt aan duidelijke procesbeschrijvingen en werkinstructies.
Het privacybeleid is d.m.v. een link in de privacyverklaring op de website van de gemeente Almelo gepubliceerd. Het beleid wordt uiterlijk in 2021 geëvalueerd of eerder als er belangrijke wijzigingen zijn, bijgesteld. In het ‘Privacybeleid gemeente Almelo 2021 – 2024’ wordt ook de visie op privacy meegenomen. Hierover wordt gerapporteerd in de P&C-cyclus.
Kosten
De structurele personele kosten voor de Functionaris gegevensbescherming bedragen circa 40.000 euro per jaar en de structurele personele kosten voor de Privacy Officer bedragen ongeveer 25.000 euro.