Privacybeleid - begrijpelijke taal

Privacybeleid

Onze kijk op privacy

De komende jaren wil Holland Rijnland nog meer bewust bezig zijn met privacy en dit ook professioneler doen. Dit betekent goed bijhouden welke gegevens wij in huis hebben. Dat is de basis om de privacy en rechten van mensen en bedrijven goed te beschermen. Hier is een complete aanpak voor nodig, moeten mensen hiervoor verantwoordelijk zijn en zich bewust zijn van de risico’s. Het is belangrijk dat de medewerkers hier bewust en verstandig mee omgaan. We houden ons aan de wetgeving over privacy en zorgen er hierbij voor dat onze diensten goed blijven werken.

Doel

Het privacybeleid beschrijft hoe we verantwoordelijk met persoonsgegevens om moeten gaan en de privacy beschermen van mensen waarvan we gegevens gebruiken. Hier zijn speciale plannen en instructies voor geschreven. Hierin staat wat er gedaan moet worden en wie daarvoor verantwoordelijk is. Holland Rijnland doet mee met de aanpak van Leiden voor beveiliging van informatie. Hierin staat beschreven hoe (persoons)gegevens altijd beschikbaar zijn en met vertrouwen en vertrouwelijk behandeld worden. Leiden beheert hiervoor ook onze computersystemen. Een goede beveiliging hiervan is belangrijk om persoonsgegevens goed te beschermen.

Iedere werknemer van Holland Rijnland is zelf verantwoordelijk om veilig met persoonsgegevens om te gaan. Zij moeten hiervoor dit privacybeleid goed kennen en doen wat er staat.

Holland Rijnland verzamelt en gebruikt persoonsgegevens van inwoners, van medewerkers en andere personen die met Holland Rijnland te maken hebben. Dit privacybeleid gaat over het werken met deze gegevens door Holland Rijnland of door iemand die dit voor Holland Rijnland doet. Dit privacybeleid geldt niet voor organisaties die voor Holland Rijnland met persoonsgegevens werken.

Regels voor het gebruiken van persoonsgegevens

Bij het gebruiken van persoonsgegevens houdt Holland Rijnland zich aan de regels van de “Algemene Verordening Gegevensbescherming” (AVG) en de Wet politiegegevens (WPG).

We houden ons aan de wet

Holland Rijnland moet persoonsgegevens netjes en zorgvuldig gebruiken. Dit betekent dat dit alleen mag als hier volgens de privacywet een reden voor is.

Het doel is duidelijk omschreven

Persoonsgegevens worden voor verschillende zaken gebruikt. Maar dit mag niet als er geen duidelijk doel voor is. Het moet noodzakelijk zijn om een bepaalde dienst te kunnen leveren. Holland Rijnland mag dus alleen persoonsgegevens gebruiken als dat nodig is om die dienst, of een ander doel, te kunnen bieden. Als dit ook kan zonder of met minder persoonsgegevens dan moet Holland Rijnland het op die manier doen.

Een ander doel

Persoonsgegevens worden met een bepaald doel verzameld. Maar soms kunnen ze ook worden gebruikt voor andere zaken dan het oorspronkelijke doel. In dat geval moeten de twee doelen voldoende op elkaar lijken en mogen personen hier geen nadeel door hebben. Voordat dit gebeurt moet Holland Rijnland eerst kijken of de gegevens ook voor het andere doel mogen worden gebruikt.

Zo min mogelijk gegevens

Holland Rijnland mag alleen gegevens gebruiken als hier een duidelijk doel voor is. Als we dit doel kunnen halen zonder persoonsgegevens (of minder) dan kiezen we hier voor. Als er wel gegevens worden gebruikt, dan kijken we hoe dit kan met zo min mogelijk inbreuk op de privacy van mensen.

De juiste en nieuwste gegevens

Holland Rijnland zorgt ervoor dat de persoonsgegevens die zij gebruikt altijd juist zijn en dat het de meest nieuwe gegevens zijn. Holland Rijnland moet ook, voor zover dat kan, de gegevens juist en het meest nieuw houden. Onjuiste gegevens moeten worden bijgewerkt, gewijzigd of weggegooid.

Op tijd gegevens weggooien

In de wet staat hoe lang Holland Rijnland gegevens moet bewaren. Dit wordt voor ieder document in een lijst bijgehouden.

Als er gegevens zijn waar de wet niets over zegt en ze ook nergens op een lijst staan, dan bepaalt het Dagelijks Bestuur van Holland Rijnland hoe lang ze bewaard mogen worden. Dit mag dan nooit langer dan noodzakelijk. Holland Rijnland bewaart gegevens alleen langer als deze anoniem zijn gemaakt.

Vertrouwd en vertrouwelijk

Holland Rijnland zorgt er zowel technisch als binnen de organisatie voor dat persoonsgegevens niet misbruikt kunnen worden of niet volgens de wet worden gebruikt. De beveiliging van informatie zorgt ervoor dat de informatie niet ongeldig wordt gebruikt of weggegooid (dat wil zeggen per ongeluk of niet volgens de wet). Ook verlies, vervalsing, bekendmaking of toegang die niet is toegestaan en alle andere niet-toegestane manieren van gebruik vallen hieronder. Dit is ook zo beschreven in het BIO-normenkader (zie: Website van het BIO-normenkader).

Privacy by Design | Privacy by Default

Wanneer er nieuwe diensten, systemen of processen gemaakt worden, houdt Holland Rijnland gelijk rekening met privacy en met gegevensbescherming. Zo komen we tot de beste bescherming van persoonsgegevens. Dit wordt Privacy by Design genoemd.

Daarbij zorgt Holland Rijnland ervoor dat de maatregelen al in het ontwerp zoveel mogelijk worden doorgevoerd. Hierbij zijn de standaardinstellingen altijd zo privacyvriendelijk mogelijk. Dit wordt Privacy by Default genoemd. .

Toegang

Alleen gebruikers met toestemming kunnen persoonsgegevens invoeren, raadplegen, wijzigen of verwijderen. Zij moeten deze toestemming vooraf gekregen hebben. Hierbij geldt dat zij zich moeten houden aan de regels die hier op dat moment voor gelden, zoals die voor beveiliging van informatie en regels die door managers van de afdeling zijn gegeven. De leidinggevende controleert regelmatig de toestemming die aan medewerkers is gegeven.

Daarnaast zijn er maatregelen om toegang of gebruik die niet is toegestaan zoveel mogelijk aan te pakken. Hier zijn speciale oplossingen en programma’s voor ingericht, bijvoorbeeld het bijhouden van zogenaamde loggegevens (de geschiedenis van wat op een apparaat is gedaan).

Overtreding (inbreuk)

Als er toegang is gegeven tot persoonsgegevens, als deze zijn verloren of veranderd zonder dat dit de bedoeling is, is er sprake van een datalek. Een datalek moet soms worden gemeld bij de Autoriteit Persoonsgegeven en soms ook bij de mensen om wiens gegevens het gaat. Dat hangt af van het risico van het lek.

Holland Rijnland houdt datalekken bij, kijkt vervolgens hoe dit verbetert kan worden en zorgt ervoor dat dit ook gebeurt. De regels over het ontdekken, melden en nemen van maatregelen staan opgeschreven in de ‘procedure meldplicht datalekken’.

Samenwerking

Soms worden andere organisaties of personen gevraagd om voor Holland Rijnland persoonsgegevens te gebruiken. Zij worden ‘verwerkers’ genoemd. Ook zij moeten zich houden aan de regels van dit privacybeleid.

Deze afspraken staan in de contracten die de verwerkers moeten tekenen. Deze contracten heten verwerkersovereenkomsten.

Samenwerkingsverbanden

Het kan voorkomen dat Holland Rijnland samenwerkt met andere (overheids-)organisaties aan een afgesproken taak. In dat geval kunnen er ook meerdere verwerkers zijn (samen of persoonlijk). Er worden dan afspraken met elkaar gemaakt hoe persoonsgegevens worden gebruikt. Deze afspraken hebben in ieder geval hetzelfde niveau van bescherming als het niveau van Holland Rijnland.

Doorgeven van gegevens buiten de Europese Economische Ruimte (EER)

Bij het werk van Holland Rijnland worden geen persoonsgegevens aan landen buiten de EER of een internationale organisatie doorgegeven. Wordt hierom gevraagd, dan wordt gekeken naar de wetten en regels die hiervoor gelden, net als naar dit privacybeleid.

Transparantie

Holland Rijnland meldt aan de mensen van wie de persoonsgegevens zijn op tijd en zo eenvoudig mogelijk dat deze gegevens worden gebruikt, hoe en waarvoor. Deze mensen krijgen ook duidelijk uitgelegd wat hun rechten zijn en hoe ze hiervan gebruik kunnen maken. Alleen als de wet iets anders zegt, zal Holland Rijnland dit anders doen.

Rechten van betrokkenen

Iedereen heeft het recht om te weten welke gegevens Holland Rijnland over hem of haar heeft verzameld en waarvoor. Dit zijn de ‘Rechten van betrokkenen’. Iedereen mag gebruik maken van deze rechten: hierbij kunnen mensen hun gegevens inzien, wijzigen en/of verwijderen. Ook kunnen mensen bezwaar maken tegen het gebruik van hun gegevens. Mensen kunnen vragen om het gebruik van de gegevens tijdelijk te stoppen. En mensen kunnen hun gegevens opvragen om voor een andere dienst te gebruiken.

Verschil van mening

Als iemand vindt dat Holland Rijnland niet goed met zijn persoonsgegevens omgaat, kan hij een klacht indienen bij het Dagelijks Bestuur. Wij doen er alles aan om uw privacy te beschermen.

Heeft u een vraag of klacht over hoe Holland Rijnland met uw gegevens omgaat? Neem dan contact op met onze Functionaris Gegevensbescherming. Als het gaat om de wetten en regels over bescherming van uw privacy, dan kunt u ook een klacht indienen bij de Autoriteit Persoonsgegevens: Website van de Autoriteit Persoonsgegevens.

Wie zorgt waarvoor

Binnen Holland Rijnland wordt veel met persoonsgegevens gewerkt. Het Algemeen Bestuur is hier verantwoordelijk voor. Zowel binnen als buiten Holland Rijnland is hier controle op. De Autoriteit Persoonsgegevens doet dit voor heel Nederland. Binnen Holland Rijnland is hier een speciale medewerker voor: de ‘Functionaris Gegevensbescherming’ (FG). De FG zorgt ervoor dat iedereen binnen Holland Rijnland zich aan de privacyregels houdt. Holland Rijnland zorgt ervoor dat de FG alles heeft om dit goed te kunnen doen.

Verwerkingsregister

In het verwerkingsregister wordt bijgehouden wat er met de persoonsgegevens wordt gedaan en wie de gegevens mag lezen. Holland Rijnland zorgt dat dit overzicht altijd de nieuwste versie is.

Beoordeling van de effecten

Als er een groot risico voor iemand is wanneer er iets met de gegevens wordt gedaan, moet Holland Rijnland een beoordeling maken van deze effecten. Dit wordt een ‘gegevenseffectbeoordeling’ of ‘DPIA’ genoemd. (DPIA is de afkorting van de Engelse term hiervoor: Data Processing Impact Assessment). Als deze beoordeling laat zien dat er inderdaad hoge risico’s bestaan bij het gebruik van deze gegevens, dan moet Holland Rijnland zoveel mogelijk doen om die risico’s te verminderen. Als dat niet lukt, dan moet Holland Rijnland eerst overleggen met de Autoriteit Persoonsgegevens. Dit wordt ook wel een ‘voorafgaande raadpleging’ genoemd.

Plannen uitvoeren

Holland Rijnland werkt veel en vast met persoonsgegevens. Ook met bijzondere persoonsgegevens.

De Manager Bedrijfsvoering geeft leiding aan het verbeteren van de privacy binnen Holland Rijnland. Daarbij heeft Holland Rijnland een vaste medewerker voor bescherming van gegevens: de Functionaris Gegevensbescherming’ (FG). De FG doet zijn werk zonder invloed van anderen. Hij geeft advies en informatie en controleert alles over de privacy en wat hiermee gedaan wordt. Eén keer per jaar schrijft hij een verslag over zijn werk, wat hij heeft gezien en wat beter kan. Dit verslag wordt aan het Dagelijks Bestuur en het Algemeen Bestuur van Holland Rijnland gestuurd.

Wie doet precies wat

Hieronder wordt precies beschreven wie wat doet en wie waarvoor verantwoordelijk is om persoonsgegevens binnen Holland Rijnland te beschermen. Omdat Holland Rijnland een kleine organisatie is, wordt er ook van buiten de organisatie advies ingehuurd voor gegevensbescherming en voor personeelszaken.

Verantwoordelijk voor de uitvoering

  • De Secretaris – Directeur
  • Het Dagelijks Bestuur van Holland Rijnland
  • De Manager Bedrijfsvoering, de Manager Regionale Uitvoering en de Manager Strategische Eenheid
  • Alle medewerkers (ook inhuur en van buiten Holland Rijnland) die met persoonsgegevens werken.

Verantwoordelijk vor het hele project

  • Het Algemeen Bestuur van Holland Rijnland

Verantwoordelijk vor adviseren

  • De Privacy Officer (PO)
  • De Functionaris Gegevensbescherming (FG)
  • De Chief Information Security Officer (CISO)

Verantwoordelijk om informatie te geven of te krijgen

  • Het Algemeen Bestuur van Holland Rijnland
  • Het Dagelijks Bestuur van Holland Rijnland
  • De Functionaris Gegevensbescherming
  • Mensen die iets willen doen met hun persoonsgegevens;
  • Mensen van wie persoonsgegevens worden gebruikt.

Het Algemeen Bestuur van Holland Rijnland is er uiteindelijk verantwoordelijk voor dat de privacywetten goed worden gebruikt binnen Holland Rijnland. Zij doen dit door:

  • Ervoor te zorgen dat Holland Rijnland zich aan de privacywetten houdt en maken besluiten over het privacybeleid.

Het Dagelijks Bestuur van Holland Rijnland:

  • Zorgt dat het privacybeleid wordt gedaan zoals het moet en geeft hierover uitleg aan de Functionaris Gegevensbescherming;
  • Onderzoekt of het privacybeleid goed wordt gebruikt en ook werkt. Zij gebruiken hiervoor het verslag van de Functionaris Gegevensbescherming;
  • Verbetert de kwaliteit van de privacy binnen de organisatie;
  • Bepaalt hoe lang gegevens bewaard moeten worden als de wet zelf hier niets over zegt.

De Secretaris-Directeur en de Manager Bedrijfsvoering, de Manager Regionale Uitvoering en de Manager Strategische Eenheid zorgen ervoor dat de privacywetten binnen hun afdeling goed worden gebruikt en ook dat dit privacybeleid wordt gebruikt.

De managers

  • Zijn verantwoordelijk dat hun eigen afdeling zich aan de privacywetten houdt;
  • Zijn verantwoordelijk dat het privacybeleid binnen hun eigen afdeling bekend is en gebruikt wordt;
  • Laten de Functionaris Gegevensbescherming weten hoe hun eigen afdeling zich aan de privacywetten houdt;
  • Zijn verantwoordelijk dat hun eigen afdeling trainingen volgt over privacy;
  • Zijn verantwoordelijk om alles dat binnen hun afdeling met persoonsgegevens wordt gedaan bij te houden;
  • Zijn verantwoordelijk om medewerkers toestemming te geven met persoonsgegevens te werken. Of kunnen deze toestemming juist intrekken;
  • De Manager Bedrijfsvoering geeft leiding aan de Privacy Officer;
  • Verbeteren de gedachten binnen de organisatie over privacy
  • Betrekken de Privacy Officer en/of de Functionaris Gegevensbescherming als er gewerkt wordt met nieuwe persoonsgegevens of als er op een andere manier wordt gewerkt.

Functionaris Gegevensbescherming (FG)

De FG zorgt ervoor dat iedereen zich houdt aan de privacywetten. De FG doet zijn werk zonder invloed van anderen. Hij geeft advies en informatie en controleert alles over de privacy en wat hiermee gedaan wordt.
Zijn taken zijn:

  • Namens de Autoriteit Persoonsgegevens ervoor zorgen dat Holland Rijnland zich aan de privacywetten houdt;
  • In de gaten houden of de wet veranderd en wat hiervan de gevolgen zijn voor Holland Rijnland;
  • Als er nieuwe wetten zijn over privacy of gegevensbescherming neemt hij de leiding om deze in te voeren;
  • Zorgt dat het privacybeleid bekend is binnen Holland Rijnland en dat iedereen zich verantwoordelijk voelt hiervoor;
  • Advies geven aan medewerkers als er een klacht over privacy is of iemand dient een verzoek in over zijn of haar gegevens;
  • Advies geven aan medewerkers over het beperken van risico’s’;
  • Advies geven als er een datalek is;
  • Het beheren van het verwerkingsregister;
  • Heeft het recht om binnen Holland Rijnland onderzoek te doen naar gegevens en wie hier toegang toe heeft;
  • Verslag uitbrengen aan de Secretaris-Directeur, het Dagelijks Bestuur van Holland Rijnland en het Algemeen Bestuur van Holland Rijnland.

Privacy Officer

De Privacy Officer is de eerste contactpersoon bij vragen over privacy. Hij controleert en ondersteunt bij het gebruiken van het Privacybeleid.
Zijn taken zijn:

  • Advies geven en helpen bij het gebruik van het privacybeleid;
  • Het privacybeleid opstellen met daarbij ook voorbeelden van contracten en afspraken, zoals de ‘verwerkersovereenkomst’ en de afspraken over het uitwisselen van persoonsgegevens;
  • Controleren en hulp geven aan medewerkers bij het gebruiken van het privacybeleid;
  • Controleren en hulp geven bij het bijhouden van het verwerkingsregister en het bijhouden van belangrijke veranderingen;
  • Advies geven aan medewerkers over het beoordelen van het effect als er iets gewijzigd wordt in iemands gegevens, welke risico’s er zijn en hoe deze zo klein mogelijk kunnen blijven;
  • Advies geven bij het maken, wijzigen en bespreken van verwerkersovereenkomsten;
  • Advies geven wanneer er persoonsgegevens worden gedeeld buiten de organisatie;
  • Advies geven over de wettelijk basis (en wanneer er vrijwillig toestemming is gegeven voor het gebruik van iemands persoonsgegevens);
  • Zorgen voor programma’s en trainingen over privacy voor alle medewerkers van Holland Rijnland;
  • Advies geven over privacy als er nieuwe diensten, systemen of processen zijn (Privacy by Design). En advies geven om nieuwe maatregelen al zo vroeg mogelijk in het ontwerp te gebruiken (Privacy by Default). Hij doet dit samen met de Chief Information Security Officer (CISO);
  • Helpt en ondersteunt medewerkers wanneer er een datalek is.

CISO

De CISO is verantwoordelijk voor:

  • Het invoeren en controleren van de beveiliging van informatie;
  • Advies geven over het beschermen van persoonsgegevens binnen de organisatie en wanneer er aanvallen van buiten de organisatie komen;
  • Het controleren van de kwaliteit van hulp bij vragen over informatie- en communicatietechnologie;
  • Het in de gaten houden of er verbeteringen aan de techniek of aan de afspraken binnen de organisatie mogelijk zijn.

Uw persoonsgegevens inzien

U heeft het recht om te weten waarom Holland Rijnland uw persoonsgegevens nodig heeft, wat ermee gebeurt en hoe lang ze worden bewaard. Holland Rijnland gaat vertrouwelijk om met uw gegevens en volgt de privacywet (AVG) en de Wet Politie Gegevens. Als u uw persoonsgegevens wilt bekijken of wijzigen, kunt u dit aanvragen. Ook kunt u vragen om ‘vergeten’ te worden als er geen noodzaak meer is dat Holland Rijnland dat uw gegevens heeft. U kunt vragen om uw gegevens aan een andere organisatie te geven, ze niet meer zichtbaar te laten zijn of bezwaar maken om er nog langer mee te werken. U kunt uw verzoek doen met het Formulier verzoek rechten persoonsgegevens
78 kb.

Stuur het ingevulde formulier op naar:

  • Functionaris Gegevensbescherming, Samenwerkingsorgaan Holland Rijnland, Postbus 558, 2300 AN Leiden
  • Of per e-mail aan: fg@hollandrijland.nl

Als wij uw verzoek hebben ontvangen, nemen wij contact met u op. Wij vragen u dan om een bewijs dat u dit verzoek mocht doen. Dit doen wij om zeker te weten dat niemand anders dan uzelf uw gegevens kan zien, verwijderen of veranderen. Wij behandelen uw verzoek zo snel mogelijk en in ieder geval binnen de tijd die de wet hiervoor aangeeft.

Privacybeleid