Artikel 1 – Reikwijdte gedragscode voor gegevens onder verantwoordelijkheid raad en griffie

Er bestaan twee vormen van ‘publicatie op de website’ (openbaar en intern).

Onder openbare ‘publicatie op de website’ wordt verstaan het plaatsen van informatie op de openbare website van de gemeente Teylingen en openbare raadsinformatiesystemen (zoals iBabs). Stukken die op de website worden geplaatst, blijven na plaatsing op internet vindbaar. Verder worden persoonsgegevens van niet ambtsdragers geanonimiseerd.

Ten tweede de publicatie op gesloten raadsinformatiesystemen (zoals office 365) dat alleen toegankelijk is voor raadsleden, steunfractieleden, griffiemedewerkers en het college van burgemeester en wethouders.

 

Volgens de AVG is er sprake van een datalek als zich een inbreuk voordoet op de beveiligingsmaatregelen, wat leidt tot het per ongeluk, opzettelijk of onrechtmatig vernietigen, verliezen, aanpassen, ongeautoriseerde openbaring van, of toegang tot, persoonsgegevens die overgedragen, bewaard of op een andere manier verwerkt zijn. De procedure voor het melden van een datalek is te zien in bijlage 3.

 

Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA moet uitgevoerd worden als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. DPIA’s worden per proces of systeem uitgevoerd. De procesverantwoordelijke voert deze uit, dus als de raad een nieuw eigen systeem invoert wordt de DPIA door de raad uitgevoerd.

Artikel 2 – Mogelijkheid tot verwijdering van persoonsgegevens

Personen die dit aangaat kunnen op ieder moment aangeven dat zij hun persoonsgegevens van de website verwijderd willen zien. Daartoe dienen zij aan te geven om welke gegevens het gaat en waar deze op de website zijn gepubliceerd.

Artikel 3 – Gedragscode

Voor de publicatie en verwerking van persoonsgegevens door de griffie van de gemeente Teylingen gelden ten aanzien van de hierna genoemde categorieën van personen de aangegeven gedragslijnen.

3.1. Persoonsgegevens van politieke ambtsdragers, zoals raadsleden en burgercommissieleden

Raadsleden zijn gekozen vertegenwoordigers van de bevolking, zij vervullen een publieke functie. Door die functie is bereikbaarheid van raadsleden een belangrijk punt. Publicatie van naam is in ieder geval logisch; publicatie van bereikbaarheidsgegevens is nodig voor het functioneren van de raad.

Adres en woonplaats, telefoonnummers en mailadressen zijn persoonsgegevens. Deze zijn herleidbaar tot een natuurlijke persoon en publicatie op internet ervan wordt gezien als het verwerken van persoonsgegevens. Publicatie ervan moet worden afgewogen tegen het recht op bescherming van de persoonsgegevens van betrokkenen. De privacywetgeving eist dat er een rechtvaardigingsgrond is voor de rechtmatige verwerking van persoonsgegevens. Publicatie van deze privé-bereikbaarheidsgegevens is alleen mogelijk als raadsleden hiervoor hun toestemming hebben verleend.

Wanneer zij deze toestemming verlenen, dan worden in plaats van privé-bereikbaarheidsgegevens het bezoekadres van de gemeente of een mailadres bij de gemeente en een werk-telefoonnummer of een combinatie van deze gegevens gepubliceerd.

Raadsleden functioneren, elk in hun eigen rol, ten behoeve van het openbaar bestuur. Zij zijn als zodanig gekozen of in het geval van burgercommissieleden benoemd. Hun namen komen veelvuldig in raadsdocumenten voor, zoals op agenda's, notulen, politieke documenten zoals moties, schriftelijke vragen, amendementen et cetera.

Op de website van de gemeente Teylingen worden de namen, politieke partij, adressen (of dit privé gegevens zijn of van de gemeente is aan de raadsleden), zakelijke mailadressen en zakelijke telefoonnummers van politieke ambtsdragers gepubliceerd. Hun nevenfuncties moeten bovendien wettelijk openbaar worden gemaakt.

3.1.1. Gedragslijn

Ten aanzien van politieke ambtsdragers worden enkel de namen, adressen, zakelijke mailadressen, telefoonnummers en nevenfuncties op de website van de gemeente Teylingen openbaargemaakt. Hiermee wordt bedoeld de mailadressen die zij primair gebruiken voor de uitvoering van hun ambt. Hiernaast kan er ook voor gekozen worden om het adres van de gemeente op te geven in plaats van een privéadres.

Het advies aan raadsleden is om de volgende gegevens op te geven: een algemeen adres, zakelijk mailadres en privételefoonnummer. Indien anders wordt gewenst, moet dit aangegeven worden door de raadsleden.

3.2. Persoonsgegevens van ambtenaren

Ambtenaren worden veelvuldig in bestuurlijke documenten vermeld, bijvoorbeeld als steller van ambtelijke adviezen, als ambtelijke ondersteuning bij vergaderingen of als griffier van (commissie)vergaderingen. Voor zover ambtenaren genoemd worden in relatie tot hun functie, is bekendmaking op de website relevant en niet 'bovenmatig'.

3.2.1. Gedragslijn

De openbaarmaking dient zich te beperken tot de naam, de afdeling waar zij werkzaam zijn, zakelijk telefoonnummer en zakelijk mailadres. Een ambtenaar kan hier bezwaar tegen maken, als dit wordt gedaan worden persoonsgegevens geanonimiseerd.

3.3. Persoonsgegevens van personen en instellingen die brieven of andere geschriften aan de raad richten

Brieven aan de raad zijn onder andere afkomstig van burgers en instellingen. Ze kunnen onder andere namen, adresgegevens, telefoonnummer, burgerservicenummer, mailadres en/of een handtekening bevatten.

Het komt ook voor dat er een petitie aan de raad of aan een commissie wordt overhandigd, met al dan niet digitale handtekeningenlijsten die naam- en adresgegevens en handtekeningen bevatten.

Het effect van de geschriften aan de raad kan ook bereikt worden zonder openbaarmaking van de persoonsgegevens. De leden van de raad moeten echter wel kennis kunnen nemen van de brieven en hun afzender.

Voor de transparantie van het bestuur en de controleerbaarheid door de burger worden ingekomen stukken van de raad op de website geplaatst. Het ingekomen stuk wordt geanonimiseerd gepubliceerd, zodat eenieder toch kennis kan nemen van de inhoud. Raadsleden kunnen in de interne systemen kennis nemen van de niet geanonimiseerde versie.

Brieven/geschriften van rechtspersonen/instellingen/organisaties zijn naar hun aard doorgaans zakelijk en bevatten geen of minder persoonsgegevens. Persoonlijke contactgegevens en handtekeningen van bestuurders, werknemers en/of leden van rechtspersonen/instellingen/organisaties worden voor publicatie geanonimiseerd.

Verder is er een verschil tussen een privépersoon en een bedrijf. Binnen een bedrijf werken mensen in een functie. Als iemand zijn of haar naam geeft als zij in functie zijn, dus als functionaris, dan mogen namen wel gepubliceerd worden.

3.3.1. Gedragslijn

Ingekomen stukken die aan de raad zijn gezonden of overhandigd, worden geanonimiseerd op de website van de gemeente Teylingen openbaar gemaakt. Dergelijke stukken worden zonder anonimiseren gemaild naar raads- en collegeleden en betrokken ambtenaren.

 

Als de raad en/of griffie een petitie heeft ontvangen die bestaat uit bijvoorbeeld een lijst met namen en handtekeningen (dan wel digitaal of op papier) zal de petitie op de openbare sites enkel beschreven worden middels een zakelijk samenvatting. Een zakelijke samenvatting houdt in dat wordt aangeven waarvoor de petitie is en hoeveel inwoners zich aansluiten. Hierna wordt de petitie vernietigd. De lijst met ondertekenaars wordt niet op de website gepubliceerd, ook niet wanneer ondertekenaars aangegeven hebben dat hun gegevens openbaar gemaakt mogen worden (bijvoorbeeld op petities.nl). Deze toestemming moet namelijk worden gezien als toestemming aan degene die de petitie is gestart, maar het gaat te ver om deze toestemming op te vatten als een uitdrukkelijke toestemming voor publicatie op de website van de gemeente. Het advies aan inwoners is om gebruik te maken van petities.nl. en bij het indienen van een petitie te verwijzen naar petities.nl.

 

Betreffende het verschil tussen een privépersoon en een organisatie (oftewel een privépersoon in functionaris) is het advies bij enige twijfel geen persoonsgegevens te vermelden. Ditzelfde kan ook toegepast worden op insprekers.

 

In sommige gevallen is er bel- en/of appcontact met inwoners en/of instellingen. Via deze weg wordt geen AVG gevoelige informatie gedeeld. Alleen indien daartoe een wettelijke basis en noodzakelijk is wordt dit via een beveiligde mail gedaan.

3.4. Persoonsgegevens van personen die tijdens openbare commissie- of raadsvergaderingen gebruik maken van het spreekrecht, namens zichzelf of anderen of namens instellingen

Personen die tijdens commissie- of raadsvergaderingen gebruik maken van het spreekrecht, doen dit welbewust en in het openbaar. Door in het openbaar van het spreekrecht gebruik te maken geven insprekers impliciet aan dat zij geen bezwaar hebben tegen live publicatie en via het beeldarchief van hun bijdrage op de website (zowel in de vorm van geluids- of beeldmateriaal als gepubliceerde tekst).

Wanneer de gemeente de beelden echter op de website wil publiceren en ook na de vergadering via de website ter beschikking wil stellen, geldt dit als een aparte verwerking van persoonsgegevens. Deze dient dan ook getoetst te worden aan de relevante wet- en regelgeving. Artikel 23 Gemeentewet kan niet als wettelijke grondslag gelden voor het blijvend publiceren op internet van de beelden van de insprekers van vergaderingen als zodanig. De gemeente zal de opnames dan ook dienen te anonimiseren, dan wel toestemming moeten vragen aan de insprekers wanneer zij de beelden blijvend wil publiceren via de gemeentelijke website. Toestemming dient in een dergelijk geval vrij en specifiek door de inspreker gegeven te worden.

In de opnames van de vergaderingen is ook publiek te zien. Betreffende het publiek kan er getracht worden dat publiek slechts vanaf een bepaalde afstand in beeld mag worden gebracht, zodanig dat betrokkenen niet herkenbaar zijn. Wellicht is het mogelijk om op de tribune aan te geven in welk gedeelte daarvan wel en in welk gedeelte daarvan niet zal worden gefilmd. Deze splitsing kan kenbaar worden gemaakt middels bebording. Verder wordt geadviseerd het beeld te beperken tot de raadsleden.

3.4.1. Gedragslijn

De inhoudelijke bijdrage van een persoon die gebruik maakt van het inspreekrecht in een vergadering wordt opgenomen en live uitgezonden. Daarbij wordt zijn of haar naam vermeld. Hier moet de persoon actief over te zijn geïnformeerd. Als de opname blijvend wordt gepubliceerd op de website moet hier toestemming voor zijn of dienen de beelden geanonimiseerd te zijn. Indien een inspreker een tekst inlevert - op papier of digitaal - voor publicatie op de website, dan wordt deze geanonimiseerd op de website geplaatst.

Aangaande het publiek zou het meest ideale zijn als deze mensen niet in beeld zouden komen. In de huidige opstelling van de raadszaal is dit niet mogelijk, in de toekomst kan hier opgelet worden. Zolang de vergaderingen online zijn is het publiek ook niet te zien, wat een voordeel is van het online vergaderen. Als het publiek wel herkenbaar in beeld kan komen dienen zij hier actief geïnformeerd over te worden.

 

Betreffende het verschil tussen een privépersoon en een organisatie (oftewel een privépersoon in functionaris) is het advies bij enige twijfel geen persoonsgegevens te vermelden.

Betreffende het publiceren van beelden (de livestream en het beeldarchief) wordt vooraf expliciet toestemming gevraagd als iemand zich aanmeldt voor het inspreken. Het vragen van toestemming vindt plaats via het mailcontact voorafgaand aan de vergadering. De persoon in kwestie moet weten waar ze ‘ja’ tegen zeggen, hier moet in de mail op gewezen worden en diegene moet dat bevestigen. Deze mailwisseling moet bewaard worden. De voorzitter zal bij aanvang van het inspreken alle insprekers hierop wijzen dat zij expliciet toestemming hebben gegeven voor de livestream alsook het publiceren van het beeldarchief. Als iemand geen toestemming geeft is het advies om de inspreker niet in beeld te brengen in plaats van de beelden te anonimiseren. Verder kan de griffie als alternatief aanbieden om de inspraak op schrift in te dienen.

3.5. Persoonsgegevens van personen die een rol spelen in het kader van besluitvorming en als zodanig voorkomen in de tekst van raadsvoorstellen en daaraan verwante documenten

De raad neemt in het kader van zijn taak als bestuur op hoofdlijnen weinig besluiten ten aanzien van individuele burgers. Het komt dan ook niet vaak voor dat in raadsvoorstellen persoonsgegevens staan. Stukken als zienswijzen bij bestemmingsplannen en andere besluiten van algemene strekking worden doorgezet aan het college, als deze later gepubliceerd worden zijn dergelijke stukken altijd afkomstig van het college en moeten geanonimiseerd aangeleverd worden indien deze openbaar gepubliceerd worden.

 

Een tweede categorie raadstukken waarin persoonsgegevens kunnen voorkomen wordt gevormd door documenten in het kader van bezwaarprocedures tegen raadsbesluiten.

 

Een derde categorie is het indienen van een burgerinitiatief. Dat is een uitgewerkt voorstel over een onderwerp dat een buurt, een wijk of de gehele gemeente aangaat. Met een burgerinitiatief vragen burgers de gemeenteraad om een voorstel te bespreken en er een standpunt over in te nemen. Het verzoek en de steunbetuigingen moeten worden voorzien van de achternaam, de voornamen, het adres, de postcode, de geboortedatum en de handtekening van degene die het verzoek indient/ondersteunt.

3.5.1. Gedragslijn

De hoofdlijn is dat persoonsgegevens in openbare raadsstukken en de daarbij behorende bijlagen, anoniem worden gepubliceerd op de website. De stukken worden wel met de raadsleden gedeeld zonder te anonimiseren via interne communicatie/het interne raadsinformatiesysteem.

 

Raadsstukken in het kader van bezwaarprocedures, die op de website zijn gepubliceerd worden geanonimiseerd. De stukken worden wel met de raadsleden gedeeld zonder te anonimiseren via interne communicatie/het raadsinformatiesysteem.

 

Een voorstel van een burgerinitiatief, die op de website wordt gepubliceerd wordt geanonimiseerd door middel van een zakelijke samenvatting te geven, net zoals bij een petitie. Deze verklaringen zijn wel zonder te anonimiseren gedeeld met de raadsleden via interne communicatie/het raadsinformatiesysteem.

3.6. Persoonsgegevens in de aankondiging van activiteiten voor de raad

In het overzicht van activiteiten voor de raad op de website kunnen persoonsgegevens voorkomen van mensen die bij de betreffende activiteit zijn betrokken. Als regel gaat het daarbij om personen die de activiteit organiseren en/of bij wie men zich kan aanmelden. In verreweg de meeste gevallen betreft het functionarissen van organisaties, waarbij zakelijke telefoonnummers en/of mailadressen zijn vermeld. Voor een behoorlijk verloop van de activiteitenadministratie zijn dit noodzakelijke gegevens. Er mogen geen andere gegevens op de website worden gepubliceerd dan die voor de activiteit noodzakelijk zijn.

Hiernaast is er ook sprake van aanmeldgegevens van de deelnemers van activiteiten die voor en door de raad georganiseerd worden.

3.6.1. Gedragslijn

Bij publicatie van activiteiten voor de raad op de website wordt bij voorkeur de functienaam waar men zich moet aanmelden genoemd, inclusief een zakelijk telefoonnummer en/of mailadres. (bijvoorbeeld “aanmelden bij de secretaris van de sportvereniging”)

De aanmeldgegevens van de deelnemers worden verwijderd als de activiteit heeft plaatsgevonden.

3.7. Persoonsgegevens in de beantwoording door het college/of de raad

Brieven aan de gemeenteraad worden vaak ter afdoening doorgezonden naar het college. De beantwoording van deze brieven wordt in afschrift naar de gemeenteraad gezonden. Deze brieven bevatten persoonsgegevens van de briefschrijvers.

3.7.1. Gedragslijn

De beantwoording door het college/of de raad van brieven van inwoners aan de gemeenteraad worden als zodanig niet op de website openbaar gemaakt. Dergelijke stukken worden intern doorgezonden. Mocht de beantwoording, in uitzonderingen, wel openbaar gemaakt worden is dit geanonimiseerd.

3.8. Persoonsgegevens in schriftelijke vragen en beantwoording door het college/of de raad

De leden van de gemeenteraad hebben het recht om volgens artikel 40 schriftelijke vragen aan het college te stellen. In lijn met deze gedragscode geldt ten aanzien van politieke ambtsdragers uitzondering voor de publicatie van persoonsgegevens op de website. Dit geldt eveneens voor de beantwoording van de schriftelijke vragen door het college.

3.8.1. Gedragslijn

Ten aanzien van politieke ambtsdragers worden enkel de namen, mailadressen en telefoonnummers op de website openbaargemaakt. Schriftelijke vragen worden op de website geplaatst zoals deze zijn ontvangen. De beantwoording hiervan door het college wordt gestuurd naar de indiener en zodanig op de website van de gemeente Teylingen gepubliceerd.

3.9. Persoonsgegevens van minderjarigen

Iedereen onder de 16 jaar wordt als minderjarig gezien voor de AVG. Dit betekent dat kinderen jonger dan 16 jaar niet zelf instaat zijn om toestemming te geven voor de verwerking van zijn of haar persoonsgegevens. Als persoonsgegevens van deze groep online wordt verwerkt is er toestemming van de ouders of verzorgers nodig.

De persoonsgegevens van minderjarigen worden verworven en verwerkt door bijvoorbeeld de kindergemeenteraad en het gebruik maken van een jongerenpanel.

3.9.1. Gedragslijn

De gedragslijn is dat de raad of griffie geen gegevens van minderjarige publiceert. Als het noodzakelijk is om persoonsgegevens van minderjarige te verwerken, bijvoorbeeld namenlijsten van leerlingen, heeft de griffie expliciete toestemming van de ouders nodig. Als deze niet wordt gegeven worden gegevens niet verwerkt.

3.10. Besluiten of zaken als benoemingen

Bij benoemingen worden de basispersoonsgegevens (naam, adres en woonplaats) en verblijfstitel openbaar gemaakt. Bij voorkeur wordt (indien nodig) verwezen naar een openbaar cv (bijv via linkedIn). Indien nodig voor de benoeming wordt een cv alleen intern ter beschikking gesteld.

Artikel 4 – Anonimiseren van persoonsgegevens

In die gevallen waarin anonimiseren volgens deze gedragscode nodig is, wordt aanbevolen de persoonsgegevens te verwijderen of te vervangen door ‘xxx’. Voor zover het voor een goed begrip van de tekst van de documenten nodig is, kunnen namen vervangen worden door neutrale termen, zoals bijvoorbeeld aanvrager, klager, (derde-)belanghebbende etc. Dit sluit aan bij de anonimiseringsrichtlijnen van de rechtspraak.

Artikel 5 – Inzage brieven en dergelijken door derden

Ingekomen brieven en petities die aan de raad zijn gezonden of overhandigd kunnen interessant zijn voor derden. Uitgangspunt hierbij is dat deze op de website worden geplaatst, maar wel geanonimiseerd. Eventuele inzage van niet geanonimiseerde stukken door derden mag op basis van de WOB-wet (vanaf 2022 de Wet Open Overheid), echter worden de stukken dan wel eerst geanonimiseerd. In de WOB-wet is een artikel opgenomen die stelt dat rekening moet worden gehouden met de AVG. Men doet dus altijd bij een WOB-verzoek een AVG-toets. Bovendien wordt voor het bewaren van stukken de AVG-richtlijnen gevolgd. Voor WOB-verzoeken zijn de AVG-bewaartermijnen geldend, dus mogen stukken in het kader van de bewaartermijn verwijderd zijn.

Artikel 6 – Gedragslijn recht op inzage

In de AVG is het recht op inzage opgenomen. De gedragslijn bij ontvangst van een verzoek wordt hieronder beschreven.

Bij inzageverzoeken moet het volgende besproken worden:

• •

  Waarom de organisatie bepaalde gegevens verwerkt.

• •

  Welke soorten persoonsgegevens worden verzameld.

• •

  Hoe lang de persoonsgegevens worden bewaard. Als dat niet precies kan worden aangegeven, moet duidelijk gemaakt worden welke criteria gehanteerd worden om een bewaartermijn te bepalen.

• •

  Welke privacy rechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als de organisatie hun persoonsgegevens verwerkt.

• •

  Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Artikel 7 – Gedragslijn recht op rectificatie

In de AVG is het recht op rectificatie opgenomen. De gedragslijn bij ontvangst van een verzoek wordt hieronder beschreven.

Als organisatie ben je verantwoordelijk dat de persoonsgegevens die worden verwerkt juist zijn en dat deze gegevens worden geactualiseerd als dat nodig is.

Zijn persoonsgegevens, gelet op de doeleinden waarvoor die verwerkt worden, onjuist? Dan is de organisatie verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand de organisatie erop wijst dat zijn gegevens niet kloppen of onvolledig zijn.

Artikel 8 – Gedragslijn bij het opvragen van persoonsgegevens aan iemand

In de AVG is het recht opgenomen voor het opvragen van persoonsgegevens. De gedragslijn bij ontvangst van een verzoek wordt hieronder beschreven.

Aan de aanvrager wordt uitgelegd:

• •

  Wat met de gegevens wordt gedaan.

• •

  Hoe lang ze bewaard worden.

• •

  Welke rechten de inwoner heeft.

Uitgangspunt daarbij is dat persoonsgegevens alleen gebruikt mogen worden voor het doel waarvoor ze gekregen zijn. Als persoonsgegevens van mensen gebruikt worden voor iets anders, dan moeten ze daar schriftelijk toestemming voor hebben gegeven.

Artikel 9 – Ingangsdatum

Deze gedragscode treedt in werking met ingang van de 1e werkdag na de datum van bekendmaking.