Register van Verwerkingen Amersfoort
Algemeen
Gemeente Amersfoort heeft de werkprocessen waarin persoonsgegevens worden verwerkt in kaart gebracht in het Register van Verwerkingen Amersfoort. In dit register beschrijft de gemeente welke persoonsgegevens zijn verwerkt en voor welke doeleinden.
Dynamisch document
Het register is een dynamisch document. Wanneer bijvoorbeeld een werkproces verandert of een nieuw werkproces wordt gestart, wordt dit aangepast in het register. Het register wordt periodiek geüpdatet. Bovenaan het register staat altijd de laatste versiedatum genoemd.
Tip voor de leesbaarheid: vergroot het document 600%
Vragen over het Register van Verwerkingen
Vragen over het register? Neem contact op met de Functionaris Gegevensbescherming, via fgb@amersfoort.nl. De Functionaris Gegevensbescherming houdt binnen de gemeente toezicht op de toepassing en naleving van de privacywet. Dat gebeurt zoals beschreven in de Algemene Verordening Gegevensbescherming (AVG). Meer weten over hoe de gemeente omgaat met privacy en wat je rechten zijn? Ga naar onze privacyverklaring.
Toelichting op het Register van Verwerkingen Amersfoort
Gemeente Amersfoort kent 6 verwerkingsverantwoordelijken:
- de burgemeester
- het college
- de raad
- de ambtenaar van de burgerlijke stand (afgekort ‘ABS’)
- de Inspecteur der Belastingen (afgekort ‘Inspecteur’)
- de Ontvanger der Belastingen (‘Ontvanger’)
Het Register van Verwerkingen Amersfoort is per afdeling van de gemeente ingedeeld. Vervolgens is per afdeling aangegeven welke taken de afdeling uitvoert en welke verwerkingen van persoonsgegevens er zijn. Er zijn 17 kolommen in het register waarin informatie over het werkproces is te vinden. Dit zijn:
- naam afdeling
- taak afdeling
- verwerking
- verwerkingsactiviteit
- verwerkingsverantwoordelijken
- publiek/privaat
- verwerkingsdoeleinden
- rechtmatige grondslag
- categorieën van persoonsgegevens
- bewaartermijn
- herkomst gegevens
- categorieën van ontvangers
- doorgifte aan een derde land of internationale organisatie
- samenwerkende partijen
- convenant/privacyprotocol
- gezamenlijke verantwoordelijkheid
- verdere verwerking (niet conform doel, wel verenigbaar)
In de AVG staat welke gegevens in het register verplicht moeten worden verwerkt. Deze kolomtitels zijn in het register groen. Gemeente Amersfoort heeft het register uitgebreid met extra kolommen om meer informatie te geven. Deze kolomtitels zijn in het register oranje. Hieronder volgt een korte toelichting per kolom.
Naam afdeling
In deze kolom staat welke afdeling uitvoering geeft aan de werkprocessen waarin persoonsgegevens worden verwerkt.
Taak afdeling
Met werkprocessen voeren afdelingen taken uit. Doorgaans bestaat een taak uit meerdere werkprocessen (verwerkingen). Soms bestaat een taak uit een enkel werkproces. Bijvoorbeeld: de afdeling Belastingen heeft als taak ‘het heffen van belastingen’. Daar vallen de werkprocessen ‘rioolheffing’, ‘afvalstoffenheffing’ en ‘hondenbelasting’ onder. In deze werkprocessen kunnen bijvoorbeeld de te verwerken persoonsgegevens, de ontvangers en de rechtmatige grondslag verschillen. Daarom zijn al deze werkprocessen opgenomen in het register.
Verwerking
Hier wordt de naam van het werkproces vermeld, zoals bekend binnen de gemeente.
Verwerkingsactiviteit
Dit zijn de handelingen die worden verricht om het werkproces uit te voeren. Bijvoorbeeld: het werkproces ‘Behandelen van een Woo-verzoek’ bestaat uit meerdere handelingen. Denk aan ‘het beoordelen van het Woo-verzoek’, ‘het inwinnen van zienswijze(n)’ en ‘het opstellen van een beschikking’.
Verwerkingsverantwoordelijken
De verwerkingsverantwoordelijke is degene die bepaalt welke persoonsgegevens worden verzameld, voor welk doel en op welke manier deze verwerking plaatsvindt. De verwerkingsverantwoordelijken binnen Gemeente Amersfoort zijn de burgemeester, het college, de raad, de ambtenaar van de burgerlijke stand (afgekort ‘ABS’), de Inspecteur der Belastingen (afgekort ‘Inspecteur’) en de Ontvanger der Belastingen (‘Ontvanger’).
Publiek/privaat
Een overheidsorgaan kan publiekrechtelijke en privaatrechtelijke rechtshandelingen verrichten. Een voorbeeld van een privaatrechtelijke handeling is het sluiten van een contract met een zzp’er. Een voorbeeld van een publiekrechtelijke handeling is het heffen van een gemeentelijke belasting. Deze kolom maakt duidelijk welke rol (publiek of privaat) de gemeente heeft in het betreffende werkproces.
Verwerkingsdoeleinden
Het doel van het werkproces.
Rechtmatige grondslag
In deze kolom staat welke wettelijke grondslag bij het werkproces hoort.
Categorieën van persoonsgegevens
In deze kolom staat wat voor soort persoonsgegevens worden verwerkt voor het betreffende werkproces. Er wordt bijvoorbeeld onderscheid gemaakt in ‘gewone’ persoonsgegevens (zoals NAW-gegevens en geboortedatum), en ‘bijzondere persoonsgegevens’ (zoals gegevens over iemands gezondheid of strafrechtelijke gegevens).
Bewaartermijn
De AVG schrijft voor dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van de verwerking. Tenzij een wet iets anders voorschrijft over de bewaartermijn.
Herkomst gegevens
Met deze kolom wordt inzichtelijk waar de persoonsgegevens vandaan komen. In deze kolom is onderscheid gemaakt tussen interne en externe verstrekkers. Zo zijn persoonsgegevensstromen (intern en extern) inzichtelijk.
Categorieën van ontvangers
In deze kolom is weergegeven aan wie de persoonsgegevens beschikbaar worden gesteld. Ook in deze kolom is onderscheid gemaakt tussen interne en externe ontvangers.
Doorgifte aan een derde land of internationale organisatie
Als persoonsgegevens worden doorgegeven aan een land of organisatie buiten de Europese Unie, wordt dit in deze kolom vermeld.
Samenwerkende partijen + convenant/privacyprotocol
Werkt de gemeente met een derde partij (organisatie, instantie etc.) samen voor de uitvoering van een taak? Dan is er sprake van een ‘samenwerkende partij’. Afspraken over de samenwerking kunnen worden vastgelegd in een convenant/privacyprotocol. Denk aan welke persoonsgegevens worden uitgewisseld of wie verantwoordelijke is.
Gezamenlijke verantwoordelijkheid
Als de gemeente met een andere partij gezamenlijk het doel en de middelen bepaalt, dan is sprake van een gezamenlijke verantwoordelijkheid. In deze kolom is weergegeven of hiervan sprake is.i
Verdere verwerking
In principe mogen persoonsgegevens alleen worden verwerkt voor het doel waarvoor zij verzameld zijn. Verdere verwerking van persoonsgegevens wordt in 3 situaties toegestaan:
- wanneer de betrokkene hiervoor toestemming heeft gegeven
- als een wettelijke bepaling van toepassing is
- als er sprake is van een verenigbaar doel, waarbij rekening wordt gehouden met de wettelijke eisen
Deze kolom geeft deze verdere verwerking weer (en is de start van een hieruit volgend werkproces). De kolom biedt daarnaast inzicht in de gegevensstromen van persoonsgegevens binnen (dan wel buiten) de gemeente.
Technische en organisatorische beveiligingsmaatregelen
Een beschrijving van de beveiligingsmaatregelen is te vinden in het Informatiebeveiligingsbeleid 2019 – 2022 van de gemeente Amersfoort.