Privacybeleid

Voorwoord

Op 3 december 2019 heeft het Dagelijks Bestuur het Privacybeleid van Vechtstromen vastgesteld. Dit beleid was in hoofdlijnen beschreven en toereikend voor dat moment. Aan de hand van de opgedane ervaringen en gemaakte stappen is het tijd voor een actualisatie en concretisering en is voorliggend document opgesteld.

Met het periodiek actualiseren van het Privacybeleid laat Waterschap Vechtstromen zien hoe zij de AVG naleeft. Naast een goede beveiliging en verantwoord gebruik van persoonsgegevens, waarbij wordt voldaan aan wet- en regelgeving, worden Privacy risico’s doorlopend geïnventariseerd en worden continu passende maatregelen genomen. Het Privacybeleid geeft onze organisatie op organisatorisch- en strategisch niveau duidelijkheid over de keuze van de inrichting van Privacy en houvast in het zorgvuldig omgaan met persoonsgegevens.

Visie op Privacy

Als overheidsorganisatie heeft onze organisatie wettelijke taken waarvoor het noodzakelijk is om persoonsgegevens te verwerken. Uitgangspunt is dat het voor de medewerkers van onze organisatie vanzelfsprekend is om zorgvuldig met deze gegevens om te gaan. Vechtstromen wil worden ervaren als een verbindende, maatschappelijk betrokken organisatie. Betrouwbaar zijn is daar onlosmakelijk mee verbonden.
Het voorkomen van boetes van de Autoriteit Persoonsgegevens is daarom niet de directe reden om zorgvuldig met persoonsgegevens om te gaan; de medewerkers van Vechtstromen zijn intrinsiek gemotiveerd om de informationele Privacy van betrokkenen te respecteren en zien vanuit die gedachte de wetgeving als een hulpmiddel hierin.

Een Privacybeleid geeft onze organisatie houvast en richting voor het verwerken van persoonsgegevens in het dagelijks gebruik. We staan een pragmatische, maar (juridisch) correcte, toepassing van de wettelijke kaders voor. En we kijken daarbij vooral naar de voorwaarden om persoonsgegevens te kunnen verwerken, in plaats van de beperkingen.
Vechtstromen laat hiermee zien dat inwoners, agrariërs, ondernemers, medewerkers en andere betrokkenen die met ons waterschap te maken hebben, kunnen vertrouwen op voldoende bescherming van hun Privacy wanneer zij gegevens verstrekken aan ons waterschap.

Ambitieniveau Vechtstromen

Het voldoen aan de AVG-vereisten geldt als belangrijkste uitgangspunt voor het ambitieniveau van onze organisatie. De mate waarin we in controle zijn laten we tot uitdrukking komen in een zogenaamde volwassenheidscore.
Vanuit het Waterschapshuis wordt de Privacy baseline van het Centrum voor Informatieveiligheid en Privacy (CIP) gehanteerd. Eén van de standpunten van het CIP is dat niveau 3 een redelijk volwassenheidsniveau is voor organisaties die persoonsgegevens verwerken en doorgaans voldoende is om de nalevings-toets te doorstaan.

In 2020 is binnen de waterschapsector bestuurlijk vastgelegd om op het gebied van Privacy per 1 januari 2025 volwassenheidsniveau 4 na te streven.
In december 2022 heeft het dagelijks bestuur (DB) van Vechtstromen bevestigd om vast te houden aan deze sectorale afspraak. Omdat onze organisatie weinig bijzondere of gevoelige persoonsgegevens verwerkt, heeft het DB daarnaast besloten om in te stemmen met het principe ‘pas toe of leg uit’ wanneer op onderdelen Privacy volwassenheidsniveau 3 toereikend is voor Vechtstromen. We doen wat we moeten doen en laten de maatregelen evenredig zijn aan het doel dat we willen bereiken.

In voorliggend Privacybeleid beoogt onze organisatie het volgende:

• Invulling geven aan de kernwaarde ‘besturen vanuit vertrouwen’ uit het bestuursakkoord 2023 ‘Noaberschap verbindt’; we zeggen wat we doen en we doen wat we zeggen.
• Het stimuleren en borgen van een betrouwbare organisatie en imago.
• Onze organisatie kaders en richtlijnen geven voor het verwerken van persoonsgegevens in de dagelijkse procesgang.
• Het waarborgen van het zorgvuldig omgaan met persoonsgegevens, conform de wet- en regelgeving van de AVG.

Doelgroepen

Het Privacybeleid is bedoeld voor alle functionarissen binnen onze organisatie, oftewel alle medewerkers (inclusief tijdelijke en/of inhuur medewerkers), vrijwilligers, de leden van het bestuur, de directie en het management die namens Waterschap Vechtstromen persoonsgegevens verwerken.

Reikwijdte Privacybeleid

Het Privacybeleid is van toepassing op de gehele organisatie, alle taken en processen, objecten, gegevensverzamelingen en onderliggende informatiesystemen waar Vechtstromen verantwoordelijk voor is.
Dit Privacybeleid heeft geen betrekking op belastinggegevens. Ten aanzien van belastinggevens gelden de bepalingen van de Algemene wet inzake rijksbelastingen (AWR). De waterschapsbelastingen worden op basis van delegatie opgelegd en geïnd door het Gemeenschappelijk Belastingkantoor Lococensus Tricijn (GLBT1). Door deze delegatie zijn alle bevoegdheden en verplichtingen voor wat betreft de overgedragen waterschapsbelastingen overgegaan op GBLT (gemeenschappelijk belastingkantoor locosensus en tricijn), zodat GBLT zelfstandig verantwoordelijk is voor het naleven van de AVG en de fiscale wetgeving ten aanzien van Privacy en geheimhouding.

Voor wat betreft strafrechtelijke persoonsgegevens geldt niet de AVG, maar de Europese Richtlijn gegevensbescherming politie en justitie en de Wet politiegegevens (Wpg). Hieronder vallen ook de taken ter bescherming van de openbare veiligheid. Dit betekent dat medewerkers van het waterschap bij de uitoefening van hun taken als buitengewoon opsporingsambtenaar (BOA) gehouden zijn aan voornoemde richtlijn en wet.

Het Wpg beleid van Vechtstromen heeft op het gebied van verwerking van persoonsgegevens weliswaar een koppeling met voorliggend Privacybeleid, maar is op grond van bovenstaande ondergebracht in een separaat beleid.
De teamleider Vergunningen, Toezicht en Handhaving is gemandateerd verantwoordelijk voor het Wpg beleid.

Tot slot sluit het Privacybeleid aan bij de uitgangspunten van het (interne) Strategisch Informatieveiligheidsbeleid.

Leeswijzer

Het Privacybeleid is als volgt opgebouwd.

Eerst een beschrijving van het juridisch kader ofwel de wetgeving die als uitgangspunt geldt voor de verwerking van de persoonsgegevens en overige relevante wet- en regelgeving, jurisprudentie en de ethische invalshoek die van invloed kunnen zijn op de gegevensverwerkingen.

Beschrijving van de besturing (governance) met betrekking tot de Privacy verantwoordelijkheden binnen onze organisatie.

Dan een toelichting hoe Vechtstromen Privacy toepast in de praktijk en welke basisprincipes zij daarbij hanteert.

‘Risicomanagement en Naleving’, schetst de wijze waarop de specifieke Privacy risico’s geïdentificeerd en gemonitord worden en de wijze waarop aan interne belanghebbenden wordt gerapporteerd.

Afsluitend wordt ingegaan op de verantwoordingplicht die Vechtstromen heeft aan de Autoriteit Persoonsgegevens in het kader van de AVG.
In de bijlage is een verklarende woordenlijst opgenomen met specifieke AVG-begrippen die in dit Privacybeleid zijn opgenomen.

Juridisch en ethisch kader

De AVG geeft, samen met de Uitvoeringswet AVG, kaders voor het zorgvuldig omgaan met persoonsgegevens. Het gaat bij het gebruik van data echter niet alleen om wat binnen de kaders van de wet past, maar ook om een negatief effect op betrokkenen of de samenleving te voorkomen. Dit is waar het bredere, ethische kader van Privacy een belangrijke rol speelt.

AVG en overige wetgeving

In diverse andere wetten die voor het waterschap relevant zijn, zijn ook regels met betrekking tot Privacy opgenomen.

In voorkomende gevallen moeten deze andere wetten in onderlinge samenhang met de AVG worden bezien. In principe geldt als uitgangspunt dat de AVG van toepassing is als algemene wet, waarvan de bepalingen echter niet van toepassing zijn indien er bijzondere wetgeving geldt.

De ontwikkelingen met betrekking tot nieuwe wet- en of regelgeving worden voortdurend gevolgd en geanalyseerd voor de beoordeling van de impact en de interne vervolgacties. Een voorbeeld is de AI Act die in december 2023 als verordening is aangenomen in Europa en naar alle waarschijnlijkheid in 2026 zal moeten worden geïmplementeerd.

Daar waar de AVG (mogelijk) in samenhang met andere wetgeving van toepassing is, vindt altijd afstemming plaats met een jurist van Vechtstromen. Ook om zoveel mogelijk een eenduidige zienswijze binnen onze organisatie te bevorderen en borgen, en het wiel bij bepaalde terugkerende Privacyvraagstukken niet steeds opnieuw uit te vinden.

AVG en jurisprudentie

Naast wet- en regelgeving zijn ook rechterlijke uitspraken, de richtlijnen en adviezen van de Autoriteit Persoonsgegevens belangrijke bronnen voor de procesgang inzake Privacy binnen onze organisatie. In deze uitspraken, richtlijnen en adviezen wordt immers nader duiding gegeven aan wet- en regelgeving, hetgeen gevolgen kan hebben voor de wijze waarop de dagelijkse werkzaamheden binnen ons waterschap worden verricht.
Om de impact van deze ontwikkelingen te beoordelen en een uniforme handelswijze binnen Vechtstromen vast te stellen, vindt er afstemming plaats met een jurist van Vechtstromen.

AVG en ethiek

De AVG gaat over wat organisaties met persoonsgegevens mogen doen. Ethiek gaat over wat organisaties met data zouden moeten doen. Het is een bewuste, reflectieve omgang met data waarin de wenselijkheid van het datagebruik en de doelen worden bevraagd. De Privacy risico-methodiek van Vechtstromen gaat uit van de AVG en kan daarnaast reflecteren op mogelijke ethische invalshoeken.

Organisatorisch kader

Het verwerken van persoonsgegevens is geen kernactiviteit van waterschap Vechtstromen, maar wel een afgeleide van of ondersteunend aan de primaire processen. Het correct omgaan met persoonsgegevens is daarmee een integraal onderdeel van onze bedrijfsvoering. Iedere medewerker van het waterschap werkt in meer of mindere mate met persoonsgegevens en het zorgvuldig omgaan met deze gegevens is daarom een verantwoordelijkheid voor iedereen. Niettemin worden er binnen Vechtstromen verschillende rollen, functies en overlegorganen met bijbehorende Privacy taken en verantwoordelijkheden onderkend.

Privacy verantwoordelijkheden

Algemeen bestuur; De wettelijke bevoegdheden (met werking richting betrokkenen) van het algemeen bestuur (AB) zijn door het AB overgedragen aan het dagelijks bestuur (DB). Dit ligt vast in het Delegatiebesluit. Hierdoor is het DB als enige bestuursorgaan bevoegd om te beschikken op verzoeken van betrokkenen, gericht aan DB of AB. Het AB is niet meer bevoegd.
De wettelijke bevoegdheden van de voorzitter zijn niet gedelegeerd. Dit betekent dat de voorzitter als enige bevoegd is om te beschikken op AVG-verzoeken van betrokkenen met betrekking tot zijn eigen verwerkingen.

Dagelijks bestuur; Als verwerkingsverantwoordelijke is het dagelijks bestuur ten aanzien van verwerkingen bij het AB, de voorzitter, het DB en de organisatie verantwoordelijk voor:

• Een correcte reactie op uitoefening van de rechten van betrokkenen
• Het bijhouden van een register van verwerkingen
• Melding en optreden bij datalekken
• Het sluiten van verwerkersovereenkomsten.

Het DB is daarnaast, in het kader van de zorg voor de dagelijkse gang van zaken, verantwoordelijk voor de correcte implementatie en naleving van de AVG.

Portefeuillehouder van DB Binnen het DB is de Portefeuillehouder het bestuurlijk aanspreekpunt voor AVG kwesties. Het DB heeft in juli 2023 hiertoe uit haar midden de portefeuillehouder Besturen en Organiseren (B&O, uitvoering Programma 3) aangewezen. Functionaris Gegevensbescherming De Functionaris Gegevensbescherming houdt toezicht op de naleving van de AVG en rapporteert hierover rechtstreeks aan het DB. De Functionaris Gegevensbescherming is de contactpersoon met de Autoriteit persoonsgegevens voor aangelegenheden die verband houden met verwerking van persoonsgegevens. Daarnaast adviseert en informeert de Functionaris Gegevensbescherming de verschillende onderdelen van de organisatie over de uitvoering van de AVG. Hierbij kiest de Functionaris Gegevensbescherming voor een balans tussen het bevorderen van de bewustzijn en het bewaken van de naleving van wet- en regelgeving.
De Functionaris Gegevensbescherming heeft een, wettelijk bepaalde, onafhankelijke functie. Dit betreft idealiter een staffunctie onder de Secretaris-Directeur. Omdat Vechtstromen in haar organogram niet in een dergelijke functie voorziet, is de Functionaris Gegevensbescherming organisatorisch ondergebracht bij het team FJI.

Directieteam; Als hoogste ambtelijke leiding is het directieteam verantwoordelijk voor de prestaties van de organisatie. Ten aanzien van de AVG stuurt het directieteam op de implementatie en naleving van de AVG. Dit vindt in ieder geval plaats via sturing op de Concern A3, de daarvan afgeleide teamplannen en halfjaarlijkse bilateralen met de Functionaris Gegevensbescherming.

Directielid B&O binnen het Directieteam; Binnen het directieteam is het directielid B&O het aanspreekpunt voor AVG kwesties.
Teamleider Financiën, Juridisch en Inkoop Op basis van de ondermandatering is de Teamleider FJI bevoegd om namens het DB te besluiten op verzoeken van betrokkenen. Daarnaast is ook de verdere uitvoering van de AVG belegd bij de Teamleider FJI2.

Dit uit zich in de volgende verantwoordelijkheden:

• Fungeert als aanspreekpunt voor AVG voor het DT, de SD en het DB.
• Stuurt Privacy Officer en Privacydesk aan.
• Actualiseert het verwerkingsregister.
• Reageert namens het DB (in ondermandaat) op verzoeken van betrokkene.
• Is verantwoordelijk voor het opstellen en actualiseren van integrale richtlijnen en beleid rondom Privacy.

Teamleider/budgethouder Op basis van de ondervolmacht is de teamleider/budgethouder van de hoofdovereenkomst3 bevoegd om namens het DB verwerkersovereenkomsten te sluiten.

De teamleiders zijn in het kader van hun algemene zorg voor de naleving van geldende wetgeving verantwoordelijk voor:

• Het stimuleren en borgen van Privacy procesafspraken en/of Privacy gerelateerde maatregelen vanuit projecten of vraagstukken.
• De inhoud, volledigheid en het actueel zijn van de verwerkingen van persoonsgegevens binnen het eigen team in het verwerkingsregister.
• De aanwezigheid van contractuele afspraken (verwerkersovereenkomsten) met externe partijen die persoonsgegevens verwerken, gerelateerd aan het eigen team.
• Het informeren van de medewerkers over actualiteiten en zorgdragen voor blijvende bewustwording van de Privacy met ondersteuning van de Privacy Officer, de Privacydesk en/of Functionaris Gegevensbescherming.
• Het sturen op verbeteracties van het eigen team naar aanleiding van een datalek, audit en/of adviezen van de Privacy Officer en de Functionaris Gegevensbescherming.
• Het opnemen van Privacy in de teamplannen, waaronder het beschikbaar stellen van personeel voor de Privacydesk.
• Het uitvoeren van dpia’s4 ter beoordeling van het Privacy risico bij nieuwe en/of gewijzigde applicaties of processen.

Privacy Officer

Om te voorkomen dat de Functionaris Gegevensbescherming zich met uitvoerende taken bezighoudt en daarmee mogelijk haar eigen werkzaamheden controleert, worden deze taken sinds februari 2023 uitgevoerd door een Privacy Officer. De Privacy Officer rapporteert aan de teamleider FJI en werkt nauw samen met de Functionaris Gegevensbescherming. Bij afwezigheid van de Functionaris Gegevensbescherming verzorgt de Privacy Officer, indien noodzakelijk, de contacten met de Autoriteit Persoonsgegevens en vervangt de Functionaris Gegevensbescherming zo nodig in vergaderingen.
De Privacy Officer is het eerste aanspreekpunt bij Privacy vragen van collega’s en betrokkenen en ondersteunt en adviseert het management bij de uitvoering van het Privacybeleid en bewustwordingsactiviteiten. De Privacy Officer heeft een coördinerende rol bij de uitvoering van werkzaamheden van de Privacydesk. Tevens voert de Privacy Officer beleidsmatige taken uit, zoals het actueel houden van het Privacybeleid, integrale Privacy procedures en richtlijnen die zijn opgesteld door de Privacydesk.

Securityboard

Binnen Vechtstromen is een Securityboard ingesteld. Een overlegorgaan met als doel om de organisatiedoelstellingen voor informatieveiligheid zoals gedefinieerd in het Strategisch Informatiebeleid te bereiken.
De Functionaris Gegevensbescherming maakt deel uit van dit overlegorgaan vanuit diens rollen om toezicht te houden op en advies te geven over de verwerking van persoonsgegevens en naleving van de AVG, met name gericht op het integriteit- en vertrouwelijkheidsbeginsel (zie ook hoofdstuk 4). Ook biedt het de gelegenheid voor de Functionaris Gegevensbescherming om in directe aanwezigheid van het verantwoordelijke directielid te informeren en te escaleren over Privacy risico’s.

Privacydesk AVG

De Privacydesk AVG 5 is een adviesorgaan bestaande uit Privacy ambassadeurs vanuit teams binnen Vechtstromen die de meeste persoonsgegevens verwerken. In de Privacydesk worden periodiek, actuele, organisatie brede vraagstukken met betrekking tot Privacy behandeld. Ieder lid draagt binnen het eigen team bij aan bewustwording van het omgaan met persoonsgegevens. Hiermee vervult het lid binnen onze organisatie een ambassadeursrol6 voor de AVG op grond van de hiertoe verkregen expertise en kennis.

Om de informatieveiligheid ten aanzien van Privacyvraagstukken te borgen is de coördinator informatieveiligheid (de Ciso) één van de leden van dit adviesorgaan.

Medewerkers

Het zorgvuldig omgaan met persoonsgegevens is voor een belangrijk deel afhankelijk van het Privacy bewustzijn, in denken en doen, van de medewerkers van waterschap Vechtstromen.

De medewerkers zijn verantwoordelijk voor:

• Het volgens de vereisten van de AVG verwerken van persoonsgegevens.
• Het zich bewust zijn van de rechten van betrokkenen en er naar handelen.
• Het melden van verwerkingen ten behoeve van het verwerkingsregister.
• Het melden van (vermoedelijke) datalekken.

Ondernemingsraad

De ondernemingsraad speelt een belangrijke rol bij privacy op de werkvloer. Zo moet de OR om instemming worden gevraagd voor het willen vaststellen, wijzigen of intrekken van interne regelingen waar personeelsgegevens onderdeel van uitmaken en bij het monitoren van werknemers, het inzetten van zogenaamde personeelsvolgsystemen. Ook kan de OR zich op eigen initiatief uitspreken over het gebruik van personeelsgegevens en gebruik maken van het adviesrecht wanneer het voornemen bestaat om een belangrijke technologische voorziening in te voeren of te wijzigen, zoals een nieuw automatiseringssysteem of communicatiesysteem, wanneer aan deze voorziening privacyaspecten zitten.
In ieder geval halfjaarlijks vindt er een afstemmingsmoment plaats tussen de Ondernemingsraad, de Privacy Officer en de Functionaris Gegevensbescherming.

Toepassing Privacybeleid in de praktijk

In dit Privacybeleid worden de kaders voor het omgaan met persoonsgegevens vastgelegd. Sommige onderwerpen zijn nader uitgewerkt in afzonderlijke interne regelingen en/of procedures. In hoofdstuk 6 (Verantwoordingsplicht) zijn deze benoemd.

Basiselementen verwerking persoonsgegevens

Waterschap Vechtstromen hanteert, conform de AVG, de zes basisbeginselen7 bij de verwerking van persoonsgegevens. Indien er bijvoorbeeld sprake is van de mogelijke implementatie van een nieuwe applicatie of er een samenwerking met een derde partij wordt overwogen waarbij persoonsgegevens worden verwerkt, is de beoordeling van de basisbeginselen een van de randvoorwaarden in de besluitvorming. We hanteren deze basiselementen als ‘kapstok’ voor het Privacybeleid:

1. Rechtmatig, behoorlijk en transparant
   Wij zorgen ervoor dat er een rechtsgrond moet zijn voor de verwerking van persoonsgegevens van een betrokkene (zijnde inwoners, agrariërs, ondernemers, medewerkers en andere betrokkenen die met ons waterschap te maken hebben).
2. Doelbinding
   Voordat we met de verwerking van persoonsgegevens van een betrokkene beginnen, hebben we de doelen hiervoor vastgesteld. De verwerking wordt vermeld in het verwerkingsregister (zie verwerkingsregister).
3. Minimale gegevensverwerking
   Vechtstromen verwerkt niet meer persoonsgegevens dan strikt noodzakelijk is voor het doel dat vooraf is geformuleerd. Overbodige persoonsgegevens worden zo snel mogelijk gewist en/of niet opgevraagd.
4. Juistheidsbeginsel
   We hebben een inspanningsplicht om ervoor te zorgen dat de persoonsgegevens van betrokkenen die we verwerken juist en actueel zijn.
5. Opslagbeperking
   We bewaren persoonsgegevens niet langer dan strikt noodzakelijk is.
6. Integriteit- en vertrouwelijkheid
   Vechtstromen treft passende technische en organisatorische maatregelen om ongeoorloofde toegang tot persoonsgegevens te voorkomen. Denk aan cryptografie, juiste autorisaties en sterke wachtwoorden.

Daarnaast gelden de volgende uitgangspunten ten aanzien van het doorgifte en het delen van persoonsgegevens:

Doorgifte

Waterschap Vechtstromen kan persoonsgegevens doorgeven vanuit Nederland naar het buitenland. Landen binnen de Europese Unie kennen een gelijkwaardig beschermingsniveau van persoonsgegevens als Nederland.
Met inachtneming van de vereisten van de AVG kunnen de persoonsgegevens worden doorgegeven. De doorgifte van persoonsgegevens aan internationale organisaties buiten de Europese Unie vindt alleen plaats indien er sprake is van een passend beschermingsniveau (conform de vereisten vanuit de AVG en het adequaatheidsbesluit9 van de Europese Commissie).

Delen met derden

Onze organisatie geeft alleen persoonsgegevens door aan derden als daar een wettelijke grondslag voor is en er wordt voldaan aan de voorwaarden uit de AVG. In het geval van samenwerking met externe partijen, waarbij er sprake is van gegevensverwerking van persoonsgegevens door deze partijen, maakt Waterschap Vechtstromen afspraken over de eisen waar de gegevensverwerking aan moet voldoen. Deze afspraken worden vastgelegd in een verwerkersovereenkomst en worden periodiek gecontroleerd.

Verwerkingsregister

Van verwerkingen met persoonsgegevens waarvan onze organisatie verwerkingsverantwoordelijk is wordt een register bijgehouden. Elke verwerking in het register bevat onder andere informatie over de (soort) persoonsgegevens die worden verwerkt en met welk doel en wettelijke reden10 deze worden gebruikt. Om te borgen dat de gegevensverwerkingen geregistreerd worden, heeft het waterschap concrete werkafspraken vastgesteld. Procesverantwoordelijken11 zijn verantwoordelijk voor de volledigheid en actualiteit van het register van verwerkingen. De Privacy Officer ziet toe op de jaarlijkse actualisatie van het register.

Gedragsnormen

Waterschap Vechtstromen is transparant over de bedrijfsvoering, de gegevensverwerking en de Privacy beleidsvoering en faciliteert de uitoefening van rechten door personen van wie onze organisatie gegevens verwerkt.
Het Privacybeleid sluit aan bij de interne Gedragscode Integriteit, die regels en uitgangspunten hanteert voor het stimuleren en borgen van een integere (eerlijke en betrouwbare) organisatie, de bedrijfsvoering en het handelen van de individuele medewerker. Vechtstromen ziet integriteit als een belangrijk onderdeel van de professionele verantwoordelijkheid van alle medewerkers. Integriteit is geen optelsom van regeltjes, maar gaat over houding en gedrag van een medewerker.

Privacy door ontwerp en Privacy door standaardinstellingen

Onze organisatie werkt volgens de AVG-principes Privacy door ontwerp en Privacy door standaardinstellingen.

Bij Privacy door ontwerp (Privacy by design) wordt meteen bij de start van het ontwerpen en/of inkoop van een product of dienst rekening gehouden met de Privacy van betrokkenen. Het doel is om de bescherming van persoonsgegevens aan de voorkant in te bouwen, bij bijvoorbeeld het aangaan van contracten of de start van projecten, en niet tijdens of na afloop van processen. De AVG-aspecten zijn daarmee integraal onderdeel van de procesgang bij nieuwe en of gewijzigde applicaties en diensten. Een voorbeeld binnen Vechtstromen van Privacy door ontwerp is het format dat voor informatieanalyses wordt gebruikt. Hierin zijn specifieke AVG-elementen opgenomen.

Privacy door standaardinstellingen (Privacy by default) is een onderdeel van Privacy door ontwerp, waarbij als uitgangspunt geldt dat de standaardinstellingen altijd zo Privacy-vriendelijk mogelijk zijn. Daardoor worden alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.

Rechten van betrokkenen

In de AVG zijn verschillende rechten voor betrokkenen opgenomen die zij tegenover de verwerkingsverantwoordelijke kunnen inroepen. Het gaat dan bijvoorbeeld om het recht op inzage, correctie, verwijdering van persoonsgegevens of verzet tegen de verwerking van persoonsgegevens.
Vechtstromen heeft hiertoe onder andere de ‘Procedure Recht op inzage betrokkenen’ opgesteld. Hierin wordt verwezen naar artikel 12 van de AVG dat vermeldt dat onze organisatie de zorgplicht heeft om passende maatregelen te nemen zodat de betrokkenen de informatie ontvangen in een begrijpelijke vorm.

De rechten van betrokkenen zijn gepubliceerd in de Privacyverklaring op de website van Waterschap Vechtstromen en kunnen worden uitgeoefend door middel van de e-formulieren op de website.

Klachten

Als een betrokkene een klacht heeft met betrekking tot het verwerken van zijn persoonsgegevens, kan er een klacht worden ingediend bij de Functionaris Gegevensbescherming. Conform de Privacyverklaring kan de betrokkene tevens een klacht indienen bij de Autoriteit Persoonsgegevens.

Bewustwording en training

Beleid en maatregelen zijn niet voldoende om de risico’s van het zorgvuldig omgaan met persoonsgegevens uit te sluiten. Het is noodzakelijk om het bewustzijn bij alle medewerkers voortdurend te stimuleren, zodat kennis van Privacy risico’s wordt vergroot en het zorgvuldig en rechtmatig verwerken van persoonsgegevens wordt aangemoedigd. Het DB draagt zorg voor voldoende middelen en het lijnmanagement draagt zorg voor de benodigde tijdsbesteding en middelen van medewerkers voor bewustwordingsactiviteiten.

Het Privacybeleid en relevante Privacyproducten worden gecommuniceerd via een vaste plaats op intranet en de website van Vechtstromen. Communicatie over het beleid is essentieel voor het creëren van draagvlak en het managen van verwachtingen ten aanzien van Privacy. Hiertoe wordt door de Privacy Officer, in afstemming met de communicatieadviseur, jaarlijks een communicatieplan AVG opgesteld. Het is van belang dat de urgentie van het Privacybeleid om zorgvuldig om te gaan met persoonsgegevens binnen de gehele organisatie blijvend wordt gevoeld. Daartoe worden regelmatig bewustwordingsactiviteiten en trainingen verzorgd. Ook de leden van de Privacydesk volgen periodiek een opleiding om hun AVG-kennis actueel te houden.

Risicomanagement en naleving

Ons waterschap handelt op grond van wettelijk toebedeelde taken en bevoegdheden en verwerkt hiertoe persoonsgegevens. Ze treedt hiermee binnen in de persoonlijke levenssfeer van betrokkenen. Zorgvuldigheid is hierbij geboden. Het niet voldoen aan de Privacywetgeving kan verregaande gevolgen hebben, in eerste instantie voor de betrokkenen, maar ook voor onze organisatie.

We zijn er ons van bewust dat verkeerd gebruik, misbruik of verlies van persoonsgegevens een behoorlijke impact kan hebben op iemands zakelijke- en/of privéleven en kan leiden tot aanzienlijke materiele en/of immateriële schade. Een datalek kan van invloed zijn op iemands reputatie, leiden tot discriminatie, identiteitsfraude, financiële verliezen, verlies van vertrouwelijkheid van gegevens, verlies van bedrijfsgeheimen en/of verhindering om rechten en/of vrijheden uit te oefenen.

Voor Vechtstromen kan het niet voldoen aan de Privacywetgeving (of zelfs de schijn daarvan) leiden tot integriteitsrisico’s, negatieve publiciteit en imagoschade. Daarnaast kan het leiden tot juridische consequenties en/of boetes van de Autoriteit Persoonsgegevens.

Privacy is integraal onderdeel van de bedrijfsvoering binnen Vechtstromen. Dit uit zich in de strategie (Concern A3) van onze organisatie, waarin onder andere het voldoen aan de AVG vereisten als speerpunt is benoemd, en ook in de diverse integrale (jaar)rapportages en programmabegrotingen.

Gegevensbeschermingseffectbeoordeling

Waterschap Vechtstromen kent een vastgestelde werkwijze om het Privacy risico voorafgaand aan de gegevensverwerking te beoordelen. Bij de start van een nieuwe of gewijzigde verwerking van persoonsgegevens wordt een Privacy quickscan dpia uitgevoerd. Deze is bijvoorbeeld opgenomen in het format van informatieanalyses van Informatiemanagement. Indien er sprake is van een verhoogd Privacy risico wordt een zogenaamde gegevensbeschermingseffectbeoordeling (data protection impact assessment - dpia12) uitgevoerd om te beoordelen welke beheersmaatregelen er moeten worden getroffen om de Privacy risico’s te verkleinen.

Risicomethodiek

Binnen Privacy wordt bij het bepalen van Privacy risico’s gewerkt met een door Vechtstromen vastgestelde risicobenadering AVG, die periodiek wordt geëvalueerd en zo nodig wordt geactualiseerd mede op basis van relevante wettelijke en/of interne ontwikkelingen. Hierin worden de aspecten benoemd waarop het beoordelen van risico’s tot stand komen. Ook Privacygevoelige applicaties/processen13, de zogenaamde Privacy kroonjuwelen, zijn onderdeel van een Privacy risicoanalyse. De risicostrategie binnen Vechtstromen is ‘risiconeutraal’. Dit betekent dat er dusdanige beveiligingsmaatregelen worden genomen dat dreigingen niet meer voor kunnen komen of wanneer dit toch gebeurt de schade als gevolg hiervan geminimaliseerd is. Op basis van de identificatie en beoordeling van de privacy risico’s worden maatregelen getroffen om de risico’s te beheersen. Deze procesgang van het identificeren van dreigingen en/of privacy risico’s en het beoordelen van beheersmaatregelen noemen we een Privacy risicoanalyse.

Deze risicoanalyse is een belangrijk hulpmiddel om inzicht te krijgen in Privacy risico’s en de mate waarin wordt voldaan aan het zorgvuldig omgaan met persoonsgegevens.

Jaarplan AVG

Jaarlijks wordt er door de Privacy Officer een jaarplan AVG opgesteld. In dit plan worden de speerpunten voor het komende jaar benoemd, inclusief de communicatie en bewustwordingsactiviteiten. Het jaarplan AVG wordt vastgesteld door de teamleider FJI. De teamleider FJI draagt zorg voor de doorvertaling van de AVG in de teamplannen van Vechtstromen.

Kwartaalrapportage AVG en Dashboard Functionaris Gegevensbescherming

De voortgang van het jaarplan AVG wordt gemonitord en gerapporteerd door middel van de kwartaalrapportage van Vechtstromen, die middels de teamleider FJI wordt besproken binnen het directieteam. Vaste onderdelen van deze rapportage zijn onder andere ook de verslaggeving over datalekken en het FG-dashboard.

Het FG-dashboard is een registratiesysteem waarin Privacy risico’s zijn opgenomen die door de Functionaris Gegevensbescherming zijn gesignaleerd en intern geadresseerd aan de verantwoordelijken. Het is een hulpmiddel voor de Functionaris Gegevensbescherming om toezicht te houden op de voortgang van mitigerende maatregelen van deze privacy risico’s. Via de kwartaalrapportage wordt inzicht gegeven in deze monitoring zodat het directieteam risicogericht bij kan sturen op benodigde mitigerende maatregelen. Afhankelijk van de mate van risico’s wordt de monitoring vanuit het FG-dashboard ook ten minste halfjaarlijks gedeeld met de Securityboard.
5.5 Jaarverslag AVG en Functionaris Gegevensbescherming
Conform artikel 38 van de AVG brengt de Functionaris Gegevensbescherming jaarlijks verslag uit aan het dagelijks bestuur. Dit jaarverslag bestaat uit verschillende toezicht thema’s op het gebied van de AVG. Het verslag wordt ieder jaar, in het 1e kwartaal van het opvolgende jaar, door de Functionaris Gegevensbescherming met het dagelijks bestuur besproken.

Audits

Risicogericht vinden er periodiek interne AVG-audits plaats. De audits worden door de Functionaris Gegevensbescherming of een externe partij uitgevoerd en zijn onderdeel van de Centrale Auditkalender van Vechtstromen. Het periodiek actualiseren van deze auditkalender valt onder de verantwoordelijkheid van de Concerncontroller.

Verantwoordingsplicht

In het kader van de AVG geldt dat Waterschap Vechtstromen een verantwoordingsplicht heeft aan de Autoriteit Persoonsgegevens ten aanzien van de verwerking van persoonsgegevens.

Verplichtingen met bijbehorend proces of product

De verplichtingen die er zijn, zijn beschreven en welke belangrijkste processen en producten daarmee samenhangen.
Tenzij er tussentijdse relevante ontwikkelingen zijn die om eerdere actualisatie vragen, worden de procedures tenminste 2-jaarlijks geactualiseerd in opdracht van de proceseigenaar. Het Privacybeleid wordt in elk geval 3-jaarlijks herijkt en de Privacyverklaring kent een jaarlijkse evaluatie.

Vaststelling beleid

Beleid vastgesteld in de bestuursvergadering van d.d. 18 juni 2024