Privacy
De gemeente Hulst heeft in de afgelopen jaren stappen gezet om te voldoen aan de AVG. Binnen de kaders en de beschikbare mogelijkheden zijn er veel verplichte onderdelen verder opgepakt, zoals het uitvoeren van diverse Data Protection Impact Assessments (DPIA’s) en rechtmatigheidstoetsen.
De AVG versterkt de positie van de betrokkenen, de mensen van wie gegevens worden verwerkt. Hierdoor hebben organisaties die persoonsgegevens verwerken, zoals gemeente Hulst, meer verplichtingen gekregen. De nadruk ligt op de verantwoordelijkheid om te kunnen aantonen dat zij zich aan de wet houden. De gemeente Hulst heeft in 2021 de volgende stappen gezet:
Bewustwording
Interne communicatie over privacy is een onderdeel van de reguliere bedrijfsvoering bij de gemeente Hulst om privacy bewustwording te blijven garanderen. De gemeente Hulst heeft in 2021 de diverse acties ondernomen om privacy bewustwording binnen de organisatie en bestuurlijk te vergroten zoals presentaties, informatie op intranet en op de schermen en nieuwsbrieven. Ook het periodiek in overleg treden met vakafdelingen maakt dat de aandacht voor privacy sterk toeneemt, met name daar waar het nieuwe werkzaamheden of overeenkomsten met derden betreft.
Rechten van betrokkenen
In het privacy Statement op de gemeentelijke website wordt de burger op zijn/haar rechten gewezen. In 2021 zijn er bij de gemeente Hulst een viertal verzoeken ingediend.
Overzicht verwerkingen
De gemeente Hulst heeft in 2021 het verwerkingsregister aangevuld met de minimale verplichte onderdelen die op grond van de AVG zijn vereist. Het complementeren van het register is een continu proces, dus ook in 2021 is het register geactualiseerd, zijn er onderdelen toegevoegd en zijn er een aantal rechtmatigheidstoetsen uitgevoerd. Door de externe Functionaris Gegevensbescherming is aangegeven dat een aantal onderdelen in het verwerkingsregister nog niet up-to-date waren. Deze onderdelen zijn geactualiseerd. In 2022 zal gemeente Hulst starten met het omzetten van het huidige overzicht verwerkingen naar een eenduidige vorm waar processen aan ten grondslag liggen die in de gehele organisatie hetzelfde zijn.
Data protection impact assessment (DPIA)
Indien sprake is van een risicovolle verwerking dient Data Protection Impact Assessment (DPIA) te worden uitgevoerd. Ook voor nieuwe of gewijzigde processen wordt het uitvoeren van een DPIA aangeraden. Door de gemeente Hulst zijn in 2021 DPIA’s uitgevoerd dan wel opgestart ten aanzien van het gebruik bodycams BOA’s, beschermd wonen CZW bureau, regionaal bureau leerlingzaken.
Ook zijn er een aantal voorlopige DPIA’s – Pre-checks – uitgevoerd, waarbij is beoordeeld of een DPIA moet worden uitgevoerd. Dit betreft de applicaties Centric Parkeren, Kassa- en reserveringssysteem Gartner, Validsign (digitale ondertekening) en Xential (sjablonengenerator).
Verantwoording
De AVG verlangt van een organisatie dat zij kan verantwoorden op welke wijze de organisatie voldoet aan de (verplichtingen onder de) AVG. Het opstellen dan wel aanpassen van documentatie en beleidsstukken zorgt ervoor dat de gemeente Hulst processen, beleidskeuzes en daarmee samenhangende AVG-aspecten ook gedocumenteerd heeft (i.v.m. aantoonbaarheid). De volgende documenten zijn vastgesteld (of herzien):
- Gedragsregels privacy en informatiebeveiliging;
- Procedure beveiligingsincidenten en datalekken;
- Procedure waarborgen kwaliteit verwerkingsregister;
- Procedure Rechten van Betrokkenen 2021;
- Encryptiebeleid 2021;
- Handreiking beveiligd e-mailen.
Functionaris voor de gegevensbescherming
De gemeente Hulst heeft samen met de gemeente Terneuzen, gemeente Sluis en de gemeenschappelijke regeling SABEWA een Functionaris Gegevensbescherming (FG) aangesteld. Er is gekozen voor een externe FG van het bureau Privacy Company zodat deze een onafhankelijke rol kan vervullen.
Naast de FG heeft de gemeente Hulst een Privacy Officer (PO) aangesteld. Waar de FG toeziet op de naleving van de AVG, heeft de PO een adviserende en coördinerende rol binnen de gemeente Hulst op het gebied van de implementatie (en naleving) van de AVG. Ook in 2021 is er nauwe samenwerking geweest tussen de PO’s van de verschillende gemeenten, Sabewa en de FG, waarbij het samen optrekken om de AVG verder te implementeren voorop stond. Op dit moment is de PO functie niet ingevuld en is er gestart met een werving- en selectietraject om een geschikte Privacy Officer te werven.
Meldplicht datalekken
In 2021 zijn er bij de gemeente Hulst 14 datalekken gemeld en opgenomen in het datalekkenregister. Voor het bijhouden van beveiligingsincidenten en mogelijke datalekken is een meldingsregister (datalekkenregister) opgesteld. Hiermee voldoet de gemeente Hulst aan een belangrijke verplichting onder de AVG, namelijk het registreren van beveiligingsincidenten. Van alle meldingen is in 4 gevallen melding gedaan bij de Autoriteit Persoonsgegevens, hetgeen uiteindelijk voor de gemeente Hulst geen verdere gevolgen heeft gehad.
Verwerkersovereenkomsten
De gemeente Hulst maakt gebruik van de standaard verwerkersovereenkomst van de IBD. Ook in 2021 heeft de gemeente Hulst een aantal verwerkersovereenkomsten afgesloten met de verwerkers waarmee de gemeente een verwerkersrelatie heeft in de zin van art. 28 AVG.