3.5.7 Privacy
Het jaar 2020 stond in het teken van de ‘lessons learned’ sinds de inwerkingtreding in 2018 van de Algemene Verordening Gegevensbescherming (AVG) .
Beleid
Het privacybeleid gemeente Almelo is een kader waarin de gemeente aangeeft aan welke principes zij zich houdt bij de verwerking van persoonsgegevens. Het laat zien hoe de gemeente omgaat met persoonsgegevens en welke maatregelen zij treft om te voldoen aan de relevante wet- en regelgeving. Eind 2020 is gestart met een evaluatie en actualisatie van het privacybeleid 2018 – 2021.
Processen
De verwerkingen van persoonsgegevens van de gemeente Almelo dienen te voldoen aan de AVG. Dit houdt in dat de werkprocessen zijn ingericht conform de volgende beginselen: behoorlijkheid, transparantie, doelbinding, data minimalisatie, opslagbeperking, juistheid, integriteit en vertrouwelijkheid.
In 2020 zijn 9 Data Protection Impact Assessments (DPIA’s) uitgevoerd, een inhaalslag op bestaande risicovolle verwerkingen en voor nieuwe grootschalige verwerkingen (systeem, applicatie of app). Hiermee krijgt de gemeente zicht op de privacy risico’s voordat met de verwerking van start wordt gegaan.
In 2020 is gestart met het beschrijven van taken, verantwoordelijkheden en bevoegdheden. Het doel hiervan is helderheid te verschaffen door vast te leggen wat de rollen van functionarissen in de diverse processen is.
Rechten van betrokkenen
De gemeente dient degenen waarvan zij de persoonsgegevens verwerkt zowel actief als passief te informeren over het verwerken, de wijze van verwerken, de grondslag en de maatregelen die zij neemt om onrechtmatige toegang en onrechtmatige verwerking te voorkomen. De AVG biedt betrokkenen de mogelijkheid om controle en invloed uit te oefenen op zijn of haar persoonsgegevens. Het aantal inzageverzoeken is in 2020 met 13 verzoeken vrijwel gelijk aan het aantal verzoeken in 2019 (15 verzoeken).
Samenwerking
De gemeente Almelo werkt samen met (mede-)overheden en private organisaties. In situaties waarbij sprake is van uitwisseling van persoonsgegevens worden er afspraken gemaakt en vastgelegd over de verwerking en opslag van deze gegevens. Deze verwerkingen dienen te voldoen aan de AVG.
Beveiliging
Vanuit het algemene behoorlijkheidsbeginsel, het integriteitsbeginsel en het vertrouwelijkheidsbeginsel is het essentieel dat de gemeente Almelo passende technische en organisatorische maatregelen neemt ter beveiliging van persoonsgegevens. Daarnaast geldt er onder de AVG een meldplicht datalekken. Dit houdt in dat incidenten – waaronder inbreuken – op de beveiliging onder omstandigheden gemeld dienen te worden aan de Autoriteit Persoonsgegevens (AP) en/of de betrokkene(n).
In 2020 hebben zich 35 incidenten voorgedaan, waarvan er 6 gemeld zijn bij de AP. Ieder gemeld datalek is adequaat opgepakt, waarbij gekeken is of er (extra) maatregelen getroffen moeten worden. Ter vergelijking: In 2019 hebben er 48 datalekken plaatsgevonden, waarvan 13 bij AP zijn gemeld.