Privacyverklaring gemeente Heemstede
U heeft er recht op dat de gemeente Heemstede zorgvuldig en vertrouwelijk met uw persoonsgegevens omgaat. Dat is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) en andere specifieke wetgeving, zoals de Wet basisregistratie persoonsgegevens, de Participatiewet en de Wet algemene bepalingen burgerservicenummer.
Als u gebruik maakt van diensten of producten van de gemeente, hebben wij gegevens van u nodig. Die verstrekt u bijvoorbeeld via een formulier, telefonisch of via social media. Denk aan gegevens als:
- naam
- geboortedatum
- geboorteplaats
- adresgegevens
- telefoonnummer
- e-mailadres
Maar soms vragen we ook andere gegevens als dat nodig is voor een bepaalde dienst die u van de gemeente wilt. Zo hebben wij bijvoorbeeld een pasfoto van u nodig bij de aanvraag van uw paspoort of rijbewijs of vragen we gegevens over uw gezondheid als u een hulpmiddel aanvraagt. In sommige gevallen raadplegen wij voor het uitvoeren van onze taken openbare bronnen.
Waarom is dat nodig?
Wij hebben uw persoonsgegevens bijvoorbeeld nodig:
- voor het uitvoeren van onze publiekrechtelijke taken, zoals het beoordelen van uw aanvraag
- voor het afhandelen van uw betaling
- om u te kunnen bellen als dit nodig is om onze dienstverlening uit te kunnen voeren
- om iets bij u af te leveren
- als wij hier wettelijk toe verplicht zijn, bijvoorbeeld als wij gegevens nodig hebben voor de belastingaanslag
In sommige gevallen gaat het om zogenaamde ‘bijzondere’ en/of ‘gevoelige persoonsgegevens’ van u. Dit zijn bijvoorbeeld gegevens over uw financiële situatie of over uw gezondheid. Ook uw Burgerservicenummer valt hieronder. Deze gegevens verwerken wij alleen als daarvoor een wettelijke grondslag bestaat.
De gemeente Heemstede heeft de werkprocessen waarin persoonsgegevens worden verwerkt in kaart gebracht in het Register van verwerkingen Heemstede. In dit register beschrijft de gemeente welke persoonsgegevens zij verwerkt en voor welke doeleinden.
Zonder uw gegevens kunnen wij onze taken niet uitvoeren en u niet helpen. Wij zorgen ervoor nooit meer gegevens van u te vragen dan nodig zijn voor deze taken. Bij het behandelen van uw aanvraag kijken we altijd naar uw specifieke aanvraag en nemen we niet geautomatiseerd besluiten.
Sociale media
U kunt via sociale media vragen aan ons stellen. Bijvoorbeeld via Facebook of X (voorheen Twitter). Wij zien dan uw profiel. Wij gebruiken deze gegevens om de vraag te beantwoorden. Wij gebruiken hiervoor een tool. Wij gebruiken deze tool ook om te monitoren hoe inwoners denken over ons beleid, dienstverlening en onderwerpen in de openbare ruimte. Wij kunnen deze informatie gebruiken om bijvoorbeeld ons beleid aan te passen. Wij zoeken daarbij op onderwerp en niet op personen. Als u op openbare sociale media iets over ons beleid heeft geschreven, dan komt dat naar boven. Wij slaan uw profielgegevens niet op.
Wie is verantwoordelijk?
Uw gegevens worden op de afdelingen verwerkt. Maar uiteindelijk is óf de gemeenteraad, óf het college van burgemeester en wethouders óf de burgemeester hiervoor verantwoordelijk. Wie er verantwoordelijk is hangt af van het werkproces.
Hoe lang we gegevens bewaren
Gemeente Heemstede bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. In een aantal gevallen worden uw gegevens langer bewaard op grond van de Archiefwet of op grond van andere wetgeving.
Delen met anderen
De gemeente Heemstede verstrekt uw gegevens alleen aan anderen als dit nodig is om te voldoen aan een wettelijke verplichting. Als wij organisaties vragen om in opdracht van ons uw gegevens te verwerken, dan sluiten wij een overeenkomst om ervoor te zorgen dat zij op dezelfde beveiligde en vertrouwelijke manier met uw gegevens omgaan. De gemeente Heemstede blijft namelijk verantwoordelijk voor deze verwerkingen van uw persoonsgegevens. Wij verstrekken geen gegevens aan landen buiten de Europese Unie of aan internationale organisaties.
Kinderen
De gemeente heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar, tenzij ze toestemming hebben van ouders of voogd. Onze website kan echter niet controleren of een bezoeker ouder is dan 16 jaar. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat hun persoonsgegevens verzameld worden zonder uw toestemming.
Politiegegevens
Wij maken gebruik van buitengewoon opsporingsambtenaren (boa’s). De boa’s handhaven op strafrechtelijke overtredingen. Als wij daarvoor persoonsgegevens verwerken, dan vallen die onder de regels van de Wet politiegegevens.
Gegevens inzien, aanpassen of verwijderen: uw rechten
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te laten verwijderen. U kunt een verzoek tot inzage, correctie of verwijdering sturen naar de Functionaris Gegevensbescherming van de gemeente Heemstede, via het algemene nummer 14 023 of via privacy@heemstede.nl Als u een klacht heeft over de verwerking van uw gegevens, dan kunt u ook met de Functionaris Gegevensbescherming contact opnemen.
Verwerken wij uw gegevens alleen omdat u er toestemming voor heeft gegeven? Dan heeft u altijd het recht om uw toestemming in te trekken. Als u dat doet, stoppen wij meteen met de verwerking van uw gegevens.
Beveiliging
Gemeente Heemstede neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Heeft u de indruk dat uw gegevens niet goed beveiligd zijn? Denkt u dat wij zonder toestemming persoonsgegevens van een minderjarige hebben gebruikt? Of heeft u aanwijzingen van misbruik? Neem dan contact op met ons via 14 023 of via gemeente@heemstede.nl
Meer informatie
Als u vragen heeft over het gebruik van uw persoonsgegevens door de gemeente Heemstede kunt u contact opnemen met de Functionaris Gegevensbescherming van de gemeente Heemstede, via het algemene nummer 14 023 of via privacy@heemstede.nl
Voor meer informatie over privacy kunt u de website van de Autoriteit Persoonsgegevens raadplegen.
Uw websitebezoek
Buitengewoon opsporingsambtenaren (boa’s) van de gemeente Heemstede kunnen uw persoonsgegevens verwerken. Dit gebeurt als zij een overtreding door u constateren. Ook kunnen zij uw gegevens verwerken als u bijvoorbeeld een slachtoffer bent. Deze persoonsgegevens vallen dan onder de Wet politiegegevens (Wpg).
Welke persoonsgegevens gebruiken wij?
Wij gebruiken uw naam, adres en woonplaats (naw-gegevens), uw BSN en uw kenteken.
Waarom gebruiken wij uw persoonsgegevens?
Over het algemeen gebruiken wij uw persoonsgegevens voor onze dagelijkse politietaak. Dit valt onder artikel 8 van de Wpg. Onder de dagelijkse politietaak valt bijvoorbeeld de handhaving van wetten en regels.
Bij het registreren van uw gegevens gebruiken wij gegevens uit basisregistraties. Denk bijvoorbeeld aan de Basisregistratie personen (BRP). Als wij die gegevens uit de basisregistraties hebben gehaald, zijn het voor ons politiegegevens geworden.
Sommige (persoons)gegevens verzamelen we op grond van een andere wet. Wij geven daarvan drie voorbeelden:
Wetboek van strafvordering
Het Wetboek voor strafvordering zegt dat wij altijd de identiteit van een verdachte moeten vaststellen. De Wet identiteitsvaststelling verdachten, veroordeelden en getuigen geeft aan welke gegevens we daarvoor moeten gebruiken. Wij verwerken daarom uw naam, voornaam, geboortedatum en -plaats, uw adres (zoals vermeld in de BRP) en de verblijfplaats waar u echt verblijft als dat anders is.
Besluit buitengewoon opsporingsambtenaar
Onze boa’s kunnen voor hun opsporingstaken ook persoonsgegevens verwerken. Deze gegevens vallen dan ook onder de Wpg.
Gemeentelijke regelgeving
De gemeente heeft ook regelgeving, waarin strafbepalingen zijn opgenomen. U kunt hierbij denken aan de Algemeen plaatselijke verordening (APV). Deze strafbare feiten worden gehandhaafd door onze boa’s.
Met wie delen wij gegevens?
Alleen medewerkers die daartoe bevoegd zijn krijgen toegang tot gegevens. Zij mogen alleen die gegevens inzien die zij nodig hebben om hun werk te kunnen doen. Het is mogelijk dat we toegang verlenen aan medewerkers van de politie. Ook zij krijgen alleen toegang tot die gegevens die zij nodig hebben om hun werk te kunnen doen.
Voor het regelen van de betaling van uw boete geven wij uw gegevens door aan het Centraal Justitieel Incassobureau (CJIB).
Wij kunnen uw gegevens in het kader van het opsporen en voorkomen van strafbare feiten doorgeven aan opsporingsinstanties, zoals de politie.
Wij geven uw persoonsgegevens niet door aan (rechts)personen buiten de Europese Economische Ruimte, tenzij wij hiertoe wettelijk verplicht zijn.
Hoe lang bewaren wij uw gegevens?
In de Wpg zijn bewaartermijnen vastgesteld voor politiegegevens. Politiegegevens die we verwerken in het kader van de uitvoering van de dagelijkse politietaak bewaren we tot maximaal vijf jaar na de datum van de eerste verwerking.
Rechten van de betrokkenen in de Wpg
De rechten van de betrokkenen wijken een beetje af van de AVG. De persoon over wie de persoons- of politiegegevens gaan, noemen we de betrokkene. De betrokkene heeft recht op:
- inzage
- verbetering van de gegevens
- gegevenswissing/vernietiging
- beperking van de verwerking van gegevens
- bezwaar/beroep
Wij zijn verplicht om in het kader van onze politietaak u te informeren over verwerkingen. Wij hebben daarvoor een apart verwerkingsregister voor politiegegevens. Daarnaast stellen wij op de hoogte als er is voldaan aan uw verzoek om uw gegevens te verbeteren, te wissen of te beperken.
Wilt u informatie over de verwerking van uw persoonsgegevens, dan kunt u schriftelijk een verzoek indienen. Als u van mening bent dat de gegevens niet kloppen, dan kunt u ook een schriftelijk verzoek bij ons indienen. U geeft hierin aan wat er gewijzigd moet worden.
Wij hebben het recht uw verzoek af te wijzen als:
- het gerechtelijke onderzoeken of procedures zou belemmeren
- dat nadelige gevolgen heeft voor het voorkomen van het begaan van strafbare feiten, voor opsporing, onderzoek, vervolging of het opleggen van straffen
- de openbare veiligheid in het geding is
- de rechten en vrijheden van derden worden geschonden
- de nationale veiligheid in het geding is
Een verzoek kan ook worden afgewezen als het kennelijk een ongegrond of buitensporig verzoek is.
Privacy statement
You are entitled to expect that the Municipality of Heemstede handles your personal data in a careful and confidential manner, as laid down in the General Data Protection Regulation (GDPR) and other specific legislation, such as the Personal Records Database Act, the Participation Act and the Citizen Service Number (General Provisions) Act.
We need information from you when you make use of the municipality’s services or products. This includes information that you provide via a form, by telephone or via WhatsApp, for example. Consider information such as:
- name
- date of birth
- place of birth
- address details
- telephone number
- e-mail address
Sometimes, we also ask for other data if needed for a specific service requested by you. For example, we need a passport photo when you apply for a passport or driving licence, or we will inquire after your health when you apply for a specific device or aid. In some cases, we consult public sources to perform our duties.
Why do we need your personal data?
We need your personal data, for example:
- for the performance of our public-law duties, such as the assessment of your application
- for the processing of your payment
- to be able to call you if needed to provide our services
- to bring you a delivery
- if we are legally obliged to do so. For example, if we need data for the tax assessment.
This may involve so-called sensitive personal data or special categories of personal data. Data concerning your financial situation or your health, for example. It also includes your citizen service number. We process these personal data only if there is a legal basis for doing so. The Municipality of Heemstede has mapped out the work processes that require the processing of personal data in the Heemstede Register of Processing. This register is used by the Municipality to describe which personal data it processes and for which purposes.
We need your data to perform our duties as well as to be able to help you. We will ensure that we never ask for more data than needed for the performance of these duties. When we assess your application, we always check your specific application. We do not make any automated decisions.
Who is responsible?
The departments process your personal data, however, depending on the specific work process, the ultimate responsibility lies with either the Municipal Council, the Municipal Executive or the Mayor.
How long do we keep your personal data?
The Municipality of Heemstede keeps your personal data only for as long as is necessary to achieve the purpose for which your data were collected. In a number of cases, your data will be kept for a longer period of time, namely the length of time required by the Public Records Act or by other legislation.
Sharing your personal data with third parties
The Municipality of Heemstede only shares your personal data if needed to comply with a legal obligation. If we request organisations to process your data on our behalf, we will enter into an agreement with them to ensure that they handle your data in the same secure and confidential manner. The Municipality of Heemstede will at all times remain responsible for this processing of your personal data. We do not provide any personal data to countries outside the European Union or to international organisations.
Children
The Municipality does not intend to collect data about website visitors under the age of 16, unless they have the consent of their parents or guardian. Our website cannot, however, check whether a visitor is older than 16. Therefore, we recommend that parents be involved in the online activities of their children in order to prevent data about children from being collected without your consent.
Viewing, modifying or deleting data: your rights
You have the right to inspect your personal data and to have these corrected or removed. You may send a request for inspection, correction or removal to the Data Protection Officer of the Municipality of Heemstede, by calling our general number 14 023 or via privacy@heemstede.nl. You may also contact the Data Protection Officer in case you have a complaint about the processing of your personal data. If we process your personal data on the basis of your consent, you will always be entitled to withdraw your consent. As soon as you withdraw your consent, we will immediately cease to process your personal data.
Security
The Municipality of Heemstede takes the protection of your data seriously and takes appropriate measures to prevent misuse, loss, unauthorised access, unwanted disclosure and unauthorised modification. If you believe that your personal data are not properly secured, that we have collected personal data about a minor without consent, or if you have any indications of misuse, please contact us via 14 023 or via privacy@heemstede.nl.
More information
If you have any questions about the use of your personal data by the Municipality of Heemstede, please contact the Data Protection Officer of the Municipality of Heemstede, by calling our general number 14 023 or via privacy@heemstede.nl. For more information on privacy, you can also visit the website of the Dutch DPA - www.autoriteitpersoonsgegevens.nl
Your website visit
Read more about cookies (in Dutch)
Record of Processing Activities
Heemstede municipality examined its work processes in which personal data is processed, and documented them in the Record of Processing Activities (ROPA) Heemstede. In this record, the municipality defines which personal data it processes and for which purposes.
As such, it is a living document which is continuously updated, so that when a work process changes or a new work process is initiated, the record is updated accordingly. The date of the most recent version of the record can be found at the top of the document.
Record of processing activities (in Dutch)
Questions about the ROPA
If you have any questions about the ROPA, please contact the Data Protection Officer via privacy@heemstede.nl. Within the municipality, the Data Protection Officer monitors the application of and compliance with privacy legislation as set down in the General Data Protection Regulation (GDPR). More information about your rights and how the municipality handles privacy can be found in our privacy statement.
Explanatory notes to the ROPA Heemstede
The municipality of Heemstede has the following three controllers:
- the mayor;
- the municipal executive;
- the council.
The ROPA Heemstede is classified by municipal department. Each department lists which tasks it carries out and which personal data it processes. The ROPA has the following 14 columns giving information about the work process:
- Name of processing activity
- Ultimately responsible person
- Department
- Purpose of processing activity
- Legal basis
- Explanation
- Categories of persons involved
- Categories of personal data
- Special categories of personal data
- Categories of recipients
- Transfer to a third country
- Retention period
- Technical and organisational security measures
- Origin of data
Each column is briefly specified below:
Name of processing activity
This is how the work process is referred to within the municipality.
Ultimately responsible person
The ultimately responsible person is also referred to as the controller. This is the person who determines which personal data is collected, for what purpose and how this processing activity is conducted. Heemstede municipality has three controllers, i.e. the mayor, the municipal executive and the council.
Department
This column shows which department carries out the work processes in which personal data is processed.
Purpose of processing activity
The aim of the work process.
Legal basis
This column shows the legal ground for the work process. The GDPR contains a number of possible grounds on which data may be processed:
- unambiguous consent of the party involved;
- performance of a contract;
- legal obligation;
- vital interest of the party involved;
- necessity for the proper fulfilment of a task in the public interest or for the performance of a public authority;
- legitimate interest of the responsible party;
Explanation
This column further specifies the basis, for example by listing the legislation that underpins the legal basis.
Categories of persons involved
The person involved means the person whose data is processed. This column shows whose data is processed.
Categories of personal data
This column shows the type of personal data processed for each work process. We distinguish between ‘general’ and ‘special’ personal data. Special personal data may only be processed in special circumstances, which is why this is listed in a separate column. Reference is made to a separate document (to follow).
Special categories of personal data
Special categories of personal data may only be processed if permitted under the GDPR and concerns information about health, race, belief and criminal offence data. This may quickly come up – a passport photo, for example, can reveal a person’s race and in some cases their religious beliefs. The Citizen Service Number (BSN) also falls under special data.
In some places in this column, the data is specified, in other places the reader is referred to a separate document (to follow).
Categories of recipients
This column shows to whom the personal data is made available. That might be departments within the municipality but could also be individuals or institutions outside the municipality.
Transfer to a third country
If personal data is transferred to a country or organisation outside the European Union, it is recorded in this column.
Retention period
The GDPR stipulates that personal data may not be kept for longer than necessary for the purpose of the processing activity, unless a law on the retention period determines otherwise. In many cases the retention period is regulated by the Dutch Public Records Act, although separate legislation may apply in some other cases. ‘In accordance with DIV (Documentary Information Provision)’ means that the retention period is included in the Department of Information Management’s destruction list. The periods derive from the various laws.
Technical and organisational security measures
Municipalities must meet the security measures set out in the Government information security baseline (‘BIO’). Heemstede municipality ensures it meets the BIO.
Origin of data
This column clarifies where the personal data comes from.
De gemeente Heemstede heeft de werkprocessen waarin persoonsgegevens worden verwerkt in kaart gebracht in het Register van verwerkingen Heemstede. In dit register beschrijft de gemeente welke persoonsgegevens zijn verwerkt en voor welke doeleinden.
Het register is een dynamisch document en wordt continu geüpdatet. Wanneer bijvoorbeeld een werkproces verandert of wanneer er een nieuw werkproces wordt gestart, wordt dit aangepast in het register. Bovenaan het register staat altijd de laatste versiedatum genoemd.
Vragen over het Register van Verwerkingen?
Heeft u vragen over het register? Dan kunt u contact opnemen met de Functionaris Gegevensbescherming, via privacy@heemstede.nl De Functionaris Gegevensbescherming houdt binnen de gemeente toezicht op de toepassing en naleving van de privacywet zoals beschreven in de Algemene verordening gegevensbescherming (AVG). Meer weten over hoe de gemeente omgaat met privacy en wat uw rechten zijn? Ga dan naar onze privacyverklaring.
Toelichting op het Register van verwerkingen Heemstede
Gemeente Heemstede kent drie verwerkingsverantwoordelijken, namelijk:
- de burgemeester;
- het college van burgemeester en wethouders;
- de raad.
Het Register van verwerkingen Heemstede is per afdeling van de gemeente ingedeeld. Vervolgens is per afdeling aangegeven welke taken de afdeling uitvoert en welke verwerkingen van persoonsgegevens er plaatsvinden. Er zijn 14 kolommen in het register waarin informatie over het werkproces is te vinden. Dit zijn:
- Naam verwerking
- Eindverantwoordelijke
- Afdeling
- Verwerkingsdoeleinden
- Rechtmatige grondslag
- Uitleg
- Categorieën van betrokkenen
- Categorieën van persoonsgegevens
- Bijzondere persoonsgegevens
- Categorieën van ontvangers
- Doorgifte aan een derde land
- Bewaartermijn
- Technische en organisatorische maatregelen
- Herkomst gegevens
Hieronder volgt een korte toelichting per kolom:
Naam verwerking
Hier wordt de naam van het werkproces vermeld, zoals bekend binnen de gemeente.
Eindverantwoordelijke
Met eindverantwoordelijke bedoelen we de verwerkingsverantwoordelijke. Dit is degene die bepaalt welke persoonsgegevens worden verzameld, voor welk doel en op welke manier deze verwerking plaatsvindt. De verwerkingsverantwoordelijken binnen de gemeente Heemstede zijn de burgemeester, het college van burgemeester en wethouders en de raad.
Afdeling
In deze kolom staat vermeld welke afdeling de werkprocessen uitvoert waarin persoonsgegevens worden verwerkt.
Verwerkingsdoeleinden
Het doel van het werkproces.
Rechtmatige grondslag
In deze kolom is aangegeven welke wettelijke grondslag bij het werkproces hoort. De AVG kent verschillende mogelijke grondslagen, waarvoor gegevens mogen worden verwerkt:
- ondubbelzinnige toestemming van de betrokkene;
- uitvoeren van een overeenkomst;
- wettelijke verplichting;
- vitaal belang van de betrokkene;
- noodzakelijk voor de goede vervulling van een taak in het algemeen belang of voor de uitoefening van het openbaar gezag;
- gerechtvaardigd belang van de verantwoordelijke.
Uitleg
In deze kolom wordt de grondslag verder uitgelegd. Zo worden bijvoorbeeld de wetten genoemd die bij de wettelijke grondslag horen.
Categorieën van betrokkenen
De betrokkene is de persoon van wie gegevens verwerkt worden. Hier staat aangegeven van wie de gegevens verwerkt worden.
Categorieën van persoonsgegevens
In deze kolom wordt weergegeven wat voor soort persoonsgegevens worden verwerkt voor het betreffende werkproces. Er zijn ‘gewone’ persoonsgegevens en ‘bijzondere’ persoonsgegevens. Bijzondere persoonsgegevens mogen alleen in bijzondere omstandigheden worden verwerkt. Deze zijn daarom in een aparte kolom opgenomen. Er wordt verwezen naar een apart document (volgt nog).
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens mogen alleen worden verwerkt als de AVG daar toestemming voor geeft. Denk daarbij aan gegevens over de gezondheid, ras en geloof, en strafrechtelijke gegevens. Hier is al gauw sprake van. Van een pasfoto voor uw paspoort zijn uw ras en in sommige gevallen uw geloof af te leiden. Ook het Burgerservicenummer (BSN) valt onder de bijzondere gegevens.
In deze kolom worden op sommige plekken de specifieke gegevens aangegeven. Op andere plekken wordt verwezen naar een apart document (volgt nog).
Categorieën van ontvangers
In deze kolom is weergegeven aan wie de persoonsgegevens beschikbaar worden gesteld. Dit kunnen afdelingen binnen de gemeente zijn, maar ook personen of instanties buiten de gemeente.
Doorgifte aan een derde land
Als persoonsgegevens worden doorgegeven aan een land of organisatie buiten de Europese Unie, dan wordt dit in deze kolom vermeld.
Bewaartermijn
De AVG schrijft voor dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van de verwerking, tenzij een wet iets anders bepaalt over de bewaartermijn. In veel gevallen wordt de bewaartermijn via de Archiefwet geregeld. Soms is er sprake van aparte wetgeving hiervoor. ‘Conform DIV’ betekent dat de bewaartermijn is opgenomen in de vernietigingslijst van de afdeling Informatiebeheer. De termijnen zijn afkomstig uit de verschillende wetgevingen.
Technische en organisatorische beveiligingsmaatregelen
Gemeenten moeten voldoen aan de beveiligingsmaatregelen uit in de Baseline Informatiebeveiliging Overheid (BIO). De gemeente Heemstede zorgt ervoor aan de BIO te voldoen.
Herkomst gegevens
Met deze kolom wordt inzichtelijk waar de persoonsgegevens vandaan komen.