Privacy
De gemeente Hulst heeft in de afgelopen jaren stappen gezet om te voldoen aan de AVG. Binnen de kaders en de beschikbare mogelijkheden zijn er veel verplichte onderdelen verder opgepakt, zoals het uitvoeren van diverse Data Protection Impact Assessments (DPIA’s) en rechtmatigheidstoetsen.
De AVG versterkt de positie van de betrokkenen, de mensen van wie gegevens worden verwerkt. Hierdoor hebben organisaties die persoonsgegevens verwerken, zoals gemeente Hulst, meer verplichtingen gekregen. De nadruk ligt op de verantwoordelijkheid om te kunnen aantonen dat zij zich aan de wet houden. De gemeente Hulst heeft in 2022 de volgende stappen gezet:
Bewustwording
Interne communicatie over privacy is een onderdeel van de reguliere bedrijfsvoering bij de gemeente Hulst om privacy bewustwording te blijven garanderen. De gemeente Hulst heeft in 2022 diverse acties ondernomen om privacy bewustwording binnen de organisatie en op bestuurlijk vlak te vergroten. Denk aan het houden van presentaties, informatie op intranet en op de schermen en het publiceren van nieuwsbrieven. Ook het periodiek in overleg treden met vakafdelingen maakt dat de aandacht voor privacy sterk toeneemt, met name daar waar het nieuwe werkzaamheden of overeenkomsten met derden betreft. Zoals eerder beschreven is in 2022 een bewustwordingscampagne voorbereid om extra aandacht te schenken aan de bewustwording van informatiebeveiliging & privacy.
Rechten van betrokkenen
In het privacy Statement op de gemeentelijke website wordt de burger op zijn/haar rechten gewezen. In 2022 zijn er bij de gemeente Hulst geen verzoeken ingediend.
Overzicht verwerkingen
De gemeente Hulst heeft in 2022 het verwerkingsregister aangevuld met de minimale verplichte onderdelen die op grond van de AVG zijn vereist. Het complementeren van het register is een continu proces, dus ook in 2022 is het register geactualiseerd en zijn er onderdelen toegevoegd, waaronder de processen die vallen onder de Wet politiegegevens. In 2022 is gemeente Hulst gestart met het omzetten van het huidige overzicht verwerkingen naar een eenduidige vorm waar processen aan ten grondslag liggen die in de gehele organisatie hetzelfde zijn. Hier wordt in 2023 een vervolg aan gegeven.
Data protection impact assessment (DPIA)
Indien sprake is van een risicovolle verwerking dient een DPIA, Data Protection Impact Assessment, te worden uitgevoerd. Ook voor nieuwe of gewijzigde processen wordt het uitvoeren van een DPIA aangeraden. Door de gemeente Hulst zijn in 2022 DPIA’s uitgevoerd dan wel opgestart ten aanzien van het cameratoezicht in het Museum, de aanschaf van het nieuwe zaaksysteem en beschermd wonen CZW bureau.
Ook zijn er een aantal voorlopige DPIA’s – Pre-checks – uitgevoerd, waarbij is beoordeeld of een DPIA moet worden uitgevoerd. Dit betreft de gebouwbeheersystemen, applicatie NOX en SimpledCard.
Verantwoording
De AVG verlangt van een organisatie dat zij kan verantwoorden op welke wijze de organisatie voldoet aan de (verplichtingen onder de) AVG. Het opstellen dan wel aanpassen van documentatie en beleidsstukken zorgt ervoor dat de gemeente Hulst processen, beleidskeuzes en daarmee samenhangende AVG-aspecten ook gedocumenteerd heeft (i.v.m. aantoonbaarheid). De volgende documenten zijn vastgesteld (of herzien):
• Privacy protocol ondermijning
• Cameraprotocol
• Procedure waarborgen kwaliteit verwerkingsregister;
• Procedure Rechten van Betrokkenen;
• Kwartaalrapportage beveiligingsincidenten en datalekken;
• Rapportage cyberoefening.
Functionaris voor de gegevensbescherming
De gemeente Hulst heeft samen met de gemeente Terneuzen, gemeente Sluis en de gemeenschappelijke regeling SABEWA een Functionaris Gegevensbescherming (FG) aangesteld. Er is gekozen voor een externe FG van het bureau Privacy Company zodat deze een onafhankelijke rol kan vervullen.
Naast de FG heeft de gemeente Hulst een Privacy Officer (PO) aangesteld. Waar de FG toeziet op de naleving van de AVG, heeft de PO een adviserende en coördinerende rol binnen de gemeente Hulst op het gebied van de implementatie (en naleving) van de AVG. Ook in 2022 is er nauwe samenwerking geweest tussen de PO’s van de verschillende gemeenten, Sabewa en de FG, waarbij het samen optrekken om de AVG verder te implementeren voorop stond. Met ingang van 1 mei 2023 is de functie van PO vacant. Er is direct gestart met een werving- en selectietraject om een geschikte Privacy Officer te werven.
Meldplicht datalekken
In 2022 zijn er bij de gemeente Hulst tien datalekken gemeld en opgenomen in het datalekkenregister. Voor het bijhouden van beveiligingsincidenten en mogelijke datalekken is een meldingsregister (datalekkenregister) opgesteld. Hiermee voldoet de gemeente Hulst aan een belangrijke verplichting onder de AVG, namelijk het registreren van beveiligingsincidenten. Van alle meldingen is in twee gevallen melding gedaan bij de Autoriteit Persoonsgegevens, hetgeen uiteindelijk voor de gemeente Hulst geen verdere gevolgen heeft gehad.
Verwerkersovereenkomsten
De gemeente Hulst maakt gebruik van de standaard verwerkersovereenkomst van de IBD. Ook in 2022 heeft de gemeente Hulst een aantal verwerkersovereenkomsten afgesloten met de verwerkers waarmee de gemeente een verwerkersrelatie heeft in de zin van art. 28 AVG. Het is éénmaal voorgekomen dat de leverancier geen gebruik wilde maken van deze standaard verwerkersovereenkomst. De leverancier in kwestie gaf aan zelf te moeten voldoen aan strenge financiële wet- en regelgeving en dat daar ook een strikte controle op plaats vindt. Zodoende wilde ze alleen hun eigen verwerkersovereenkomst tekenen. De afwijkende verwerkersovereenkomst is getoetst door de Functionaris Gegevensbescherming. Op advies van de FG is het college van B&W akkoord gegaan met de ondertekening van de afwijkende verwerkersovereenkomst.