De BghU hecht veel waarde aan een goede verwerking van uw persoonsgegevens. Hier vindt u algemene informatie over hoe de BghU omgaat met uw persoonsgegevens en welke rechten u hebt op het gebied van privacy. Ook kunt u hier een melding doen als u meent dat u een datalek hebt ontdekt binnen onze systemen.

De BghU verwerkt uw persoonsgegevens alleen als dat nodig en in overeenstemming is met de privacy wet- en regelgeving. Wij gaan uiterst zorgvuldig en vertrouwelijk om met uw gegevens en hebben maatregelen getroffen om te voorkomen dat persoonsgegevens in verkeerde handen vallen of verloren gaan.

De Algemene Verordening Gegevensbescherming (AVG)

Met ingang van 25 mei 2018 zijn de belangrijkste regels voor de omgang met persoonsgegevens opgenomen in een Europese verordening: de Algemene Verordening Gegevensbescherming (AVG). Deze verordening geldt in alle landen van de EU. Op de website van de Autoriteit Persoonsgegevens vindt u meer informatie over de AVG.  

Privacybeleid BghU

De manier waarop de BghU omgaat met uw persoonsgegevens hebben wij vastgelegd in een Privacybeleid en privacyreglement BghU. Deze verordening is een nadere uitwerking van de Wet bescherming persoonsgegevens en bevat onder meer bepalingen over datalekken, cameratoezicht en het toezicht op de naleving van de privacyregelgeving.

Begrippen

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is de landelijke toezichthouder op het gebied van privacy. Als u meent dat de BghU ten onrechte uw persoonsgegevens verwerkt of de verkeerde gegevens en u er met de BghU niet uitkomt kunt u bij de Autoriteit Persoonsgegevens een klacht indienen.

Verwerker

Een verwerker is een partij die persoonsgegevens verwerkt namens de BghU (denk bijvoorbeeld aan de leverancier van een cloudoplossing). Met een verwerker wordt altijd een verwerkersovereenkomst afgesloten, waarin allerlei voorwaarden zijn opgenomen om de beveiliging van de persoonsgegevens te garanderen.

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. 

Functionaris voor de gegevensbescherming

De Functionaris voor de Gegevensbescherming (FG) is de onafhankelijk toezichthouder op het privacy- en informatiebeveiligingsbeleid van de BghU. De FG levert daarmee een belangrijke bijdrage aan correct gebruik van vertrouwelijke persoonsgegevens door de BghU. Voor de BghU is de heer P.E. Boersma de Functionaris voor de Gegevensbescherming. De contactgegevens zijn: 

BghU
Functionaris voor gegevensbescherming
Postbus 5150
3502 JD Utrecht

Persoonsgegevens 

Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens. Op de website van de Autoriteit Persoonsgegevens vindt u meer informatie over persoonsgegevens.

Tracking

Het volgen van mobiele datadragers, zoals telefoon, tablet, laptop, bijvoorbeeld door WIFI- of Bluetooth apparatuur waarbij (persoons)gegevens worden verzameld uit die datadragers.

Verwerken

Onder het verwerken van persoonsgegevens valt eigenlijk alles wat je met gegevens kan doen:

• Verzamelen, vastleggen en ordenen
• Bewaren, bijwerken en wijzigen
• Opvragen, raadplegen, gebruiken
• Verstrekken door middel van doorzending
• Verspreiding of enige andere vorm van ter beschikkingstellen
• Samenbrengen, met elkaar in verband brengen
• Afschermen, uitwissen of vernietigen van gegevens

Binnen de BghU wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de wettelijke taken. De burger moet erop kunnen vertrouwen dat de BghU zorgvuldig en veilig met de persoonsgegevens omgaat. In deze tijd gaat ook de BghU mee met nieuwe ontwikkelingen. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. De BghU  is zich hier van bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy.

De BghU geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van het samenwerkingsverband. Dit privacybeleid is in lijn met het algemene beleid van de BghU en de relevante lokale, regionale, nationale en Europese wet- en regelgeving.

Wettelijke kaders voor de omgang met gegevens
De BghU is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

• Wet Bescherming Persoonsgegevens (Wbp), vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG);
• Uitvoeringswet Algemene Verordening Gegevensbescherming;

Uitgangspunten
De BghU gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. De BghU houdt zich hierbij aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding
De BghU zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie
De BghU verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De BghU streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de wettelijke taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

Integriteit en vertrouwelijkheid
De BghU gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de BghU voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid BghU.

Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de BghU afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. De BghU controleert deze afspraken jaarlijks.

Subsidiariteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen
De BghU honoreert de rechten van betrokkenen.

Het beleid wordt iedere 3 jaar geëvalueerd en indien nodig herzien. De meest actuele versie van het beleid is te vinden op de website van de BghU.  

In dit reglement laat BghU zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is.

Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de bestuurlijke agenda. BghU heeft de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar BghU actief is. BghU is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van burgers. Dat geldt voor taken op het gebied van basisadministraties, uitvoering wet WOZ en belastingheffing en inning voor de deelnemende gemeenten en waterschappen. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van BghU. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vindt BghU het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.

1. Wetgeving en definities

Op dit moment heeft elke lidstaat van de Europese Unie een eigen privacywet, gebaseerd op de Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelt het juridische kader voor de omgang met persoonsgegevens in Nederland. Op 25 mei 2018 vervalt de Wbp en treedt de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG), in werking, samen met de uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor versterking en uitbreiding van de privacyrechten met meer verantwoordelijkheden voor organisaties.

De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):

Betrokkene:
De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Verwerker:
De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.

Persoonsgegevens:
Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of het Burger- servicenummer (BSN).

Gegevensbeschermingseffectbeoordeling:
Met een gegevensbeschermingseffect-beoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Privacy Impact Assessment (PIA).

Verwerkingsverantwoordelijke:
Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerking:
Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

2. Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens door alle bestuursorganen van de organisatie. Oftewel: voor alle verwerkingen die binnen de BghU plaatsvinden.

3. Verantwoordelijke

De bestuursorganen van de BghU zijn de verantwoordelijken voor de verwerkingen die door of namens de BghU worden uitgevoerd. De bestuursorganen van de BghU zijn de directeur en het Bestuur.

4. Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking:

• Verzamelen, vastleggen en ordenen
• Bewaren, bijwerken en wijzigen
• Opvragen, raadplegen, gebruiken
• Verstrekken door middel van doorzending
• Verspreiding of enige andere vorm van ter beschikkingstellen
• Samenbrengen, met elkaar in verband brengen
• Afschermen, uitwissen of vernietigen van gegevens

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

Doeleinden (Artikel 5, AVG)
Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden.

Rechtmatige grondslag (Artikel 6, AVG)
De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

• Om een verplichting na te komen die in de wet staat
• Voor de uitvoering van een overeenkomst waar de betrokkene onderdeel was
• Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden
• Voor de goede vervulling van een taak van BghU
• Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking

Wijze van verwerking
De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.

In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

De BghU zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht. Daarnaast beveiligt de BghU alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe de BghU dit doet staat in het informatiebeveiligingsbeleid van de BghU en in een eventueel aanvullend beveiligingsplan specifiek opgesteld voor een proces of registratie.

5. Transparantie en communicatie

Wet openbaarheid van bestuur (Wob)
Via de Wob (en straks wellicht de Wet Open Overheid) kun je een verzoek om informatie indienen. Bij het verzoek bekijkt de BghU altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Wet hergebruik van overheidsinformatie
De Wet hergebruik van overheidsinformatie6 regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt de BghU altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Informatieplicht (Artikel 13,14, AVG)
De BghU informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de BghU geven, worden zij op de hoogte gesteld van de manier waarop de BghU met persoonsgegevens om zal gaan. Vaak staat op de aanvraagformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de BghU persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

Verwijdering
De BghU bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

• Recht op informatie: Betrokkenen hebben het recht om aan de BghU te vragen of zijn/haar persoonsgegevens worden verwerkt.
• Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt. 
• Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de BghU om dit te corrigeren.
• Recht van verzet: Betrokkenen hebben het recht aan de BghU te vragen om hun persoonsgegevens niet meer te gebruiken.
• Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.
• Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. De BghU zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Indienen van verzoek
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de website ingediend worden. De BghU heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de BghU laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek zal de BghU aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

6. Geautomatiseerde verwerkingen

Profilering (Artikel 22, AVG)
Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag of locatie.

Om profilering wat duidelijker te maken gebruiken we het volgende voorbeeld: Wanneer een bezoeker op de BghU-website naar een bepaalde dienst kijkt, mag de BghU geen actie ondernemen om de dienst aan te bieden. BghU mag wel bekijken hoe vaak een bepaalde dienst bekeken is, maar dus niet specifiek gericht adverteren. Daarnaast geeft de wet aan dat er geen besluit mag worden genomen op basis van profilering.

BghU maakt gebruik van profilering. Dit doen wij op de volgende punten:

Big data en tracking
Door middel van Big data onderzoek en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door, of namens, de BghU wordt uitgevoerd. De verzamelde gegevens door Big data onderzoek en tracking zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden toegepast. Dit betekent dat alleen de data die echt nodig is voor het behalen van het doel gebruikt zullen worden. Daarnaast kunnen persoonsgegevens gepseudonimiseerd worden zodat zij niet herleidbaar zijn tot een persoon.

7. Toezicht op de naleving

De functionaris gegevensbescherming (FG) is belast met het toezien op de naleving van de in dit reglement opgenomen bepalingen. De FG wordt door de verantwoordelijke in staat gesteld zijn toezichthoudende taak naar behoren uit te oefenen. Daartoe is hij bevoegd elke bedrijfsruimte te betreden, inlichtingen te vorderen en inzage in zakelijke gegevens en bescheiden. Hij mag hiervan kopieën maken;

Een ieder is verplicht aan de FG alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden. Zij die uit hoofde van ambt, beroep of wettelijk voorschrift verplicht zijn tot geheimhouding, kunnen het verlenen van medewerking weigeren, voorover dit uit hun geheimhoudingsplicht voortvloeit;

Betrokkenen kunnen zich tot de FG wenden met klachten of verzoeken. De FG is verplicht tot geheimhouding van alles wat hem in dat verband bekend wordt, tenzij en voor zover de betrokkenen instemt met de bekendmaking;

De FG stelt jaarlijks een verslag op van zijn werkzaamheden en bevindingen. Dat verslag doet hij/zij gelijktijdig toekomen aan de verantwoordelijke in casu het bestuur en aan de Ondernemingsraad;

De FG kan, in en buiten dat verslag, aanbevelingen doen om te komen tot een betere bescherming van persoonsgegevens die worden verwerkt. In geval van twijfel overlegt hij met de Autoriteit gegevensbescherming.

8. Contactgegevens Functionaris Gegevensbescherming

In de wet staat dat BghU een functionaris voor gegevensbescherming moet hebben. Deze persoon houdt in de gaten dat BghU zich aan de privacyregels houdt. Neem met deze functionaris contact op als u vragen hebt over hoe BghU met uw persoonsgegevens omgaat.

De gegevens van deze functionaris zijn:

BghU
Functionaris voor gegevensbescherming
Postbus 5150
3502 JD Utrecht

Dataveiligheid

De BghU heeft een goede beveiliging van de persoonsgegevens die door de organisatie worden gebruikt. Daarbij kijken wij steeds naar de huidige stand van de techniek en passen wij onze beveiliging daar op aan. Toch kan het gebeuren dat er inbreuk wordt gemaakt op onze beveiliging – bijvoorbeeld door een hack – waardoor gegevens in verkeerde handen komen. Dit heet een datalek. Op deze pagina vindt u meer informatie over datalekken, de meldplicht en wat u kunt doen als u denkt een datalek ontdekt te hebben binnen onze systemen.

Meldplicht datalekken

Alle organisaties in Nederland – dus ook de BghU – zijn verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens, als daaruit risico voortvloeit voor de betrokkenen. Ook moeten wij de benadeelde(n) van het datalek hierover informeren als er een kans bestaat op ernstig nadelige gevolgen voor hen. De Autoriteit Persoonsgegevens is de toezichthouder op het gebied van privacy.  Voor uitgebreide informatie over de meldplicht datalekken verwijzen wij u naar de website van de Autoriteit Persoonsgegevens. 

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens, waardoor persoonsgegevens terechtkomen bij iemand die geen toegang tot die gegevens mag hebben of waardoor gegevens verloren gaan zonder dat er een back-up van de gegevens bestaat. Het kan bijvoorbeeld gaan om het hacken van digitale systemen van de BghU waarbij persoonsgegevens worden gestolen, maar ook om een verloren USB-stick met adresbestanden of een gestolen laptop, tablet of smartphone waarop persoonsgegevens staan.

Hebt u een datalek ontdekt?

Hebt u via onze website toegang tot vertrouwelijke gegevens (zoals persoonsgegevens) die niet voor u bestemd zijn? Of zijn er bijvoorbeeld documenten met persoonsgegevens naar u verzonden die een andere persoon betreffen? Meld dit dan via onderstaande link of neem telefonisch contact op met de BghU via telefoonnummer 088 - 06 40 200.

Meld een datalek

Om het lek zo snel mogelijk te kunnen herstellen, kunnen de volgende gegevens behulpzaam zijn:

• IP-adressen
• logbestanden
• reproduceerbaarheid
• schermafbeeldingen
• een beschrijving van de gegevens die voor u zichtbaar zijn

Let op: deel het datalek of zichtbare data niet met anderen.

Maakt u actief misbruik van een datalek of per abuis ontvangen persoonsgegevens? Dan doen wij aangifte bij de politie.

Wat doen wij als een datalek is ontdekt?

Ontdekken wij een datalek? Dan is de eerste zorg het dichten van het lek. Tegelijkertijd gaan wij zorgvuldig na welke gegevens gelekt zijn en of de betreffende persoon mogelijk gedupeerd is door het lek. Als er een reëel risico is dat de privacy van de benadeelde geschonden is, melden wij het datalek bij de Autoriteit Persoonsgegevens. Ook informeren wij de benadeelde(n) en helpen wij om het risico op schade uit het datalek te minimaliseren.

Register datalekken

Ondanks onze inzet op beveiliging en zorgvuldige omgang met gegevens heeft de BghU te maken met datalekken. Datalekken die binnen de BghU worden geconstateerd worden door ons opgenomen in het Register datalekken.

De BghU gaat veilig en zorgvuldig met uw persoonsgegevens om. Toch kan het voorkomen dat u meer wilt weten over hoe wij omgaan met uw gegevens of dat u het ergens niet mee eens bent. Hieronder wordt beschreven welke rechten u hebt.

Klacht indienen

Als u vindt dat BghU onzorgvuldig is omgegaan met uw privacy of ten onrechte uw persoonsgegevens heeft verwerkt, dan kunt u online een klacht indienen. U kunt uw klacht kwijt onder het onderwerp: "Ik heb een andere vraag". Wij streven ernaar uw klacht binnen 6 weken af te handelen.

Recht op inzage

U kunt opvragen welke persoonsgegevens over u bekend zijn binnen de BghU. U ontvangt een overzicht met:

• de categorieën van persoonsgegevens
• de ontvangers van die gegevens
• het doel waarvoor de gegevens worden gebruikt
• de herkomst van de gegevens.

Dit recht heeft uiteraard alleen betrekking op uw eigen gegevens en niet op die van een andere persoon.

Aanvraag indienen

De belangrijkste persoonsgegevens ontvangen wij vanuit de Basisregistratie Personen (BRP). Als u alleen wilt weten welke gegevens van u zijn opgenomen in de BRP, dan kunt u dit eenvoudig controleren via Mijnoverheid.nl met uw DigiD.

Als u een algemeen verzoek om inzage wilt doen neemt u contact op met de BghU via onze website.  Om er zeker van te zijn dat de aanvraag wordt gedaan door de juiste persoon vragen wij u zich te legitimeren. Dit kunt u doen door gebruik te maken van DigiD via Mijn BghU of op afspraak met uw identiteitsbewijs langs te komen op het stadskantoor.

Als u jonger bent dan 16 jaar of als u onder curatele bent gesteld, kan alleen uw wettelijk vertegenwoordiger namens u een inzageverzoek doen.

Geen inzage in uitzonderlijke gevallen

In uitzonderlijke gevallen kan de BghU u weigeren om inzage te verstrekken in uw gegevens. Dit kan alleen als daar een goede reden voor is in verband met: a) de veiligheid van de staat b) het voorkomen, opsporen en/of vervolgen van strafbare feiten c) gewichtige economische en financiële belangen van de staat en andere openbare lichamen d) het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of e) de bescherming van de betrokkene of van de rechten en vrijheden van anderen

Wij kunnen een inzageverzoek gedeeltelijk weigeren als dit bijvoorbeeld nodig is voor de afscherming van de gegevens van iemand anders. Als u deze gegevens wilt inzien, dan wordt de andere persoon eerst in staat gesteld zijn mening te geven over uw verzoek.

Overzicht persoonsgegevens

Binnen 4 weken ontvangt u bericht over de door u opgevraagde gegevens.  Zo kunt u controleren of de gegevens kloppen en of ze op een juiste manier zijn gebruikt.  Als u het niet eens bent met de inhoud van het overzicht of u meent dat de BghU ten onrechte heeft geweigerd u inzage te geven, dan kunt u bezwaar maken. Onder het besluit leest u op welke manier u dit kunt doen. Meer informatie over bezwaar maken.

Recht op correctie en verwijdering

Wanneer u onjuistheden hebt gevonden in uw persoonsgegevens, kunt u bij de BghU een verzoek indienen om uw gegevens te corrigeren, aan te vullen, af te schermen of te verwijderen. Hetzelfde kunt u doen als gegevens onvolledig zijn, u van mening bent dat de gegevens niet van belang zijn voor het doel waarmee ze zijn verzameld of op een andere manier door de BghU in strijd met de wet worden gebruikt. U kunt geen gebruik maken van het recht op correctie en verwijdering als het gaat om gegevens in bij wet ingestelde openbare registers, zoals de basisregistratie personen (BRP). Voor correcties in de BRP neemt u contact op met uw gemeente.

Ook kunt u geen gebruik maken van het recht van verwijdering indien wij de gegevens op basis van wettelijke bepalingen moeten bewaren.

Eventuele professionele indrukken, meningen of conclusies hoeven niet te worden aangepast. Wel moeten wij uw mening aan een dossier toevoegen als u daarom vraagt.

Verzoek indienen

Als u een verzoek om correctie of verwijdering wilt doen neemt u dan contact op met de BghU. In uw verzoek geeft u aan welke correcties of aanvullingen u wenst of welke gegevens volgens u moeten worden afgeschermd of verwijderd. Om er zeker van te zijn dat de aanvraag wordt gedaan door de juiste persoon vragen wij om legitimatie. Dit kan door met uw identiteitsbewijs op afspraak langs te komen op het stadskantoor.

Als u jonger bent dan 16 jaar of als u onder curatele bent gesteld, kan alleen uw wettelijk vertegenwoordiger namens u een verzoek om correctie of verwijdering doen.

Wat mag ik van de BghU verwachten bij een correctie- of verwijderingsverzoek?

De BghU reageert binnen 4 weken op een correctie- of verwijderingsverzoek. Indien besloten wordt uw gegevens te corrigeren of te verwijderen, dan doet de BghU dit zo spoedig mogelijk. In het geval de BghU onjuiste gegevens aan andere organisaties heeft doorgegeven, worden deze organisaties zo spoedig mogelijk op de hoogte van de correctie of verwijdering.

Als de BghU besluit om niet tegemoet te komen aan uw verzoek om correctie of verwijdering, ontvangt u een bericht met een onderbouwing van het besluit.

Als u het niet eens bent met het besluit, dan kunt u bezwaar maken. Onder het besluit leest u op welke manier u dit kunt doen. Meer informatie over bezwaar maken.

Recht van verzet

U kunt de BghU vragen om uw gegevens niet meer te verwerken. Dit is het recht van verzet. U kunt alleen van dit recht gebruik maken als uw gegevens worden verzameld voor commerciële doeleinden of als u bijzondere persoonlijke redenen hebt om u te verzetten.  U kunt geen gebruik maken van het recht van verzet als het gaat om gegevens in bij wet ingestelde openbare registers, zoals de basisregistratie personen (BRP). Voor correcties in de BRP neemt u contact op met uw gemeente.

Aanvraag

Als u gebruik wilt maken van uw recht van verzet neemt u contact op met de BghU. Om er zeker van te zijn dat de aanvraag wordt gedaan door de juiste persoon vragen wij om legitimatie. Dit kan door met uw identiteitsbewijs op afspraak langs te komen op het stadskantoor. Als u jonger bent dan zestien jaar of als u onder curatele bent gesteld, kan alleen uw wettelijk vertegenwoordiger namens u een verzoek doen.

Wat mag ik van de BghU verwachten?

De BghU beslist binnen 4 weken of het verzet gerechtvaardigd is. Als u het niet eens bent met het besluit, dan kunt u bezwaar maken. Onder het besluit leest u op welke manier u dit kunt doen. Meer informatie over bezwaar maken.

Privacybeleid BghU

De manier waarop de BghU in zijn algemeenheid omgaat met uw persoonsgegevens hebben wij vastgelegd in een Privacybeleid en privacyreglement BghU. Deze beleidsregels zijn een nadere uitwerking van de Wet bescherming persoonsgegevens en bevatten onder meer bepalingen over datalekken en het toezicht op de naleving van de privacyregelgeving.

Daar waar de BghU persoonsgegevens gebruikt die niet herleidbaar mogen zijn tot personen (bijvoorbeeld bij het gebruik van Big data) vindt eerst dataminimalisatie plaats (er worden zo min mogelijk gegevens verzameld). Vervolgens wordt anonimiseren zoveel mogelijk toegepast (persoonsgegevens worden onomkeerbaar verwijderd). Alleen als het noodzakelijk is om datasets te vergelijken wordt pseudonimiseren toegepast (het persoonsgegevens wordt vervangen door een pseudoniem).

Register van verwerkingen

Binnen de BghU worden taken uitgevoerd waarvoor persoonsgegevens gebruikt worden. Om inzicht te geven in het gebruik van deze gegevens hebben wij het voornemen een register op te stellen waarin wordt opgenomen voor welk doel we welke gegevens gebruiken. Dit register wordt opgebouwd met ingang van 1 januari 2018. Iedere nieuwe of gewijzigde verwerking binnen de BghU zal dan worden opgenomen in het register.

Op het moment dat er een nieuwe taak bij komt of een bestaande taak wijzigt en dit invloed heeft op het gebruik van de persoonsgegevens is er sprake van een nieuwe verwerking. In dat geval worden de gevolgen van die verwerking op de privacy wordt onderzocht door het uitvoeren van een Privacy Impact Assessment (PIA). De resultaten van die PIA’s zijn openbaar en zullen worden opgenomen in het register van verwerkingen.

Tijdens een bezoek aan BghU kunt u gebruikmaken van wifi. Zodra u bent ingelogd op het wifinetwerk van BghU, worden er automatisch gegevens verzameld zoals het identificatienummer (MAC-adres) van het betreffende apparaat. Deze gegevens worden na een jaar verwijderd. De gegevens gebruikt BghU alleen om eventueel misbruik te voorkomen. Mochten er illegale activiteiten plaatsvinden vanuit ons wifinetwerk, dan kunnen we de toegang van het apparaat waarmee er gebruik gemaakt  wordt van ons wifinetwerk blokkeren.