twee personen met heel veel camera's

Privacybeleid

Algemene Verordening Gegevensbescherming en de Wet politiegegevens

1. Inleiding

1.1 Aanleiding

Het Hoogheemraadschap van Schieland en de Krimpenerwaard (HHSK) en het Hoogheemraadschap van Rijnland (HHR) (hierna gezamenlijk: beide waterschappen) voeren wettelijke taken uit op het gebied van waterveiligheid, waterkwantiteit en waterkwaliteit. In dit kader zorgen beide waterschappen voor droge voeten en schoon water binnen hun beheergebieden. Bij de uitvoering van hun wettelijke taken werken de waterschappen samen met burgers, bedrijven en externe organisaties. In dat kader verwerken zij persoonsgegevens van betrokkenen. Voor zover sprake is van toezicht- en handhavingstaken verwerken de waterschappen daarnaast politiegegevens, voor zover dit noodzakelijk is voor de voorkoming, opsporing en handhaving van overtredingen. De verwerking van persoonsgegevens vindt plaats overeenkomstig de Algemene verordening gegevensbescherming (AVG). De verwerking van politiegegevens in het kader van handhaving vindt plaats op grond van de Wet politiegegevens (Wpg).

De inwerkingtreding van de AVG en de Wpg heeft geleid tot een versterkt normenkader voor de verwerking van persoonsgegevens en politiegegevens. Binnen de samenwerking tussen beide waterschappen is daarom behoefte ontstaan aan een gezamenlijke, consistente en transparante invulling van het privacybeheer.

Dit privacybeleid beoogt te voorzien in een geharmoniseerd kader voor gegevensbescherming, waarin verantwoordelijkheden, toezicht, risicobeheersing en naleving structureel zijn verankerd binnen beide organisaties.

1.2 Doel en reikwijdte Privacybeleid

Dit Privacybeleid heeft tot doel te waarborgen dat beide waterschappen persoonsgegevens en politiegegevens op een rechtmatige, zorgvuldige en transparante wijze verwerken, en dat binnen de organisaties heldere verantwoordelijkheden en eenduidige procedures gelden voor iedereen die betrokken is bij de verwerking van deze gegevens. Ook vormt dit beleid het fundament voor een eenduidige en gezamenlijke aanpak van privacy binnen de samenwerking tussen beide waterschappen.

De reikwijdte van dit Privacybeleid strekt zich uit tot alle verwerkingen van persoonsgegevens en politiegegevens die plaatsvinden onder de verantwoordelijkheid van beide waterschappen, ongeacht of deze verwerkingen worden uitgevoerd binnen een afzonderlijk waterschap of in gezamenlijk verband. Het beleid is van toepassing op alle organisatieonderdelen, bestuurders, medewerkers, ingehuurde krachten en overige personen die onder gezag van beide waterschappen handelen, en ook op externe partijen die in opdracht van beide waterschappen persoonsgegevens of politiegegevens verwerken.

1.3 Evaluatie en update van het Privacybeleid

De AVG en Wpg verplichten beide waterschappen het Privacybeleid regelmatig te toetsen en waar nodig te actualiseren. Technologische, maatschappelijke, organisatorische en juridische ontwikkelingen kunnen aanleiding geven tot aanpassing van het beleid. Het Privacybeleid volgt een driejaarlijkse cyclus. Aan het einde van elke cyclus vindt een evaluatie plaats, waarna het beleid zo nodig wordt geactualiseerd. Daarbij wordt vastgelegd wanneer en waarom het beleid is aangepast.

2. Definities

Dit hoofdstuk biedt een overzicht van de gehanteerde definities, gebaseerd op de geldende privacywetgeving: AVG en Wpg.

  • Algemene verordening gegevensbescherming (AVG): de Europese wetgeving die de bescherming van persoonsgegevens regelt;
  • Besluit politiegegevens buitengewoon opsporingsambtenaren: een algemene maatregel van bestuur die vastlegt welke politiegegevens boa’s mogen verwerken en onder welke voorwaarden, als nadere uitwerking van de Wpg;
  • Betrokkene: de natuurlijke persoon op wie een persoonsgegeven betrekking heeft. De betrokkene kan een burger, medewerker, verdachte of andere persoon zijn van wie persoonsgegevens worden verwerkt;
  • Bevoegd functionaris: aangewezen functionaris die toezicht houdt op de rechtmatige verwerking van politiegegevens, adviseert over de toepassing van de Wpg en fungeert als intern aanspreekpunt voor privacybescherming binnen het politiedomein.
  • Bijzondere persoonsgegevens of politiegegevens: gevoelige gegevens die extra bescherming nodig hebben. Het gaat bijvoorbeeld om gegevens over gezondheid, afkomst, geloof, politieke opvattingen of seksuele gerichtheid.
  • Boa Registratiesysteem (BRS): de applicatie waarin de politiegegevens (bij strafrechtelijke zaken) door boa’s worden verwerkt.
  • Buitengewoon opsporingsambtenaar (BOA): de buitengewoon opsporingsambtenaar als bedoeld in het Besluit buitengewoon opsporingsambtenaar;
  • Chief Information Security Officer (CISO): de functionaris die verantwoordelijk is voor het informatiebeveiligingsbeleid van de organisatie. De CISO stelt kaders op voor beveiligingsmaatregelen en ziet toe op de naleving van wet- en regelgeving op het gebied van informatiebeveiliging;
  • Functionaris Gegevensbescherming (FG): de onafhankelijke toezichthouder binnen de organisatie die controleert of de verwerking van persoonsgegevens in overeenstemming is met de AVG en/of de Wpg. De FG vervult een adviserende en toezichthoudende rol;
  • Information Security Officer (ISO): de medewerker die, onder verantwoordelijkheid van de CISO, zorgt voor de praktische uitvoering van het informatiebeveiligingsbeleid. De ISO ziet toe op de implementatie van beveiligingsmaatregelen en op het veilig gebruik van informatiesystemen;
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals naam, adres, telefoonnummer, kenteken, locatiegegevens of een combinatie van gegevens waarmee iemand direct of indirect kan worden herleid;
  • Politiegegevens: persoonsgegevens die in het kader van de uitoefening van de politietaak worden verwerkt;
  • Privacy jurist: De juridisch specialist die toeziet op de correcte toepassing van de AVG, toetst beleid en contracten, en adviseert over juridische risico’s en verplichtingen;
  • Privacy Officer: de medewerker binnen de organisatie die ondersteunt bij naleving van privacywetgeving, adviseert medewerkers en bewaakt dataverwerkingen;
  • Ter beschikking stellen van gegevens (Wpg): het delen van politiegegevens binnen het Wpg-domein (zie praktijkhandboek wet politiegegevens voor boa's februari 2025);
  • Uitvoering Algemene verordening gegevensbescherming (UAVG): de Nederlandse wet die de AVG aanvult en nader uitwerkt, onder meer door nationale uitzonderingen, bevoegdheden en specifieke regels vast te stellen voor de verwerking van persoonsgegevens;
  • Verstrekken (Wpg): het delen van politiegegevens buiten het Wpg-domein, bijvoorbeeld met het CJIB of met toezichthouders;
  • Verwerker: een externe partij (natuurlijke persoon of rechtspersoon) die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder zelf zeggenschap te hebben over het doel en de middelen van de verwerking;
  • Verwerking van persoonsgegevens (en politiegegevens): elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, al dan niet geautomatiseerd uitgevoerd. Voorbeelden zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, raadplegen, doorgeven of verwijderen van gegevens;
  • Verwerkingsgrondslag Wpg: de wettelijke basis (artikel 8, 9 of 13 Wpg) die aangeeft waarom gegevens worden verwerkt. De grondslag is bepalend voor de verwerkings- en bewaartermijn van de gegevens;
  • Verwerkingsverantwoordelijke AVG: de natuurlijke persoon, rechtspersoon of instantie die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt;
  • Verwerkingsverantwoordelijke Wpg: de werkgever van de buitengewoon opsporingsambtenaar;
  • Wet politiegegevens (Wpg): Nederlandse wet die de bescherming van politiegegevens regelt;

3. Rollen, taken, bevoegdheden en governance

Beide waterschappen hebben duidelijke afspraken gemaakt over hoe zij de bescherming van privacy goed organiseren. In dit hoofdstuk is vastgelegd wie welke taken, verantwoordelijkheden en bevoegdheden heeft, wie toezicht houdt en hoe de samenwerking en controle zijn geregeld.

3.1 Privacy teams

Beide waterschappen beschikken over een eigen privacyteam dat verantwoordelijk is voor de inrichting, uitvoering en verdere ontwikkeling van het privacybeheer binnen de organisatie.

De privacyteams bestaan uit een gezamenlijke Privacy Officer, privacyjuristen en – binnen Rijnland – een communicatieadviseur. Vanuit deze multidisciplinaire samenstelling ondersteunen de teams de organisatie bij de naleving van de geldende privacywetgeving.

De privacyteams adviseren over de toepassing van de AVG en, waar van toepassing, de Wet politiegegevens, beantwoorden privacygerelateerde vragen vanuit de organisatie, ontwikkelen en actualiseren beleid en monitoren de naleving daarvan. Daarnaast coördineren zij de afhandeling van datalekken, waaronder de beoordeling van meldplichtige inbreuken in verband met persoonsgegevens en – indien vereist – de melding aan de Autoriteit Persoonsgegevens en betrokkenen.

3.2 Rollen binnen de organisatie

3.2.1 Privacy Officer

De Privacy Officer is intern het eerste aanspreekpunt voor beide waterschappen rondom privacy gerelateerde vraagstukken en vervult een monitorende en ondersteunende rol bij de naleving en uitvoering van het Privacybeleid. De Privacy Officer heeft de volgende rollen en verantwoordelijkheden:

  • opstellen van het Privacybeleid en ondersteunt beide waterschappen ten aanzien van het naleven en de uitvoering van het Privacybeleid;
  • opstellen of reviewen van verwerkersovereenkomst en overeenkomst voor uitwisseling van persoonsgegevens;
  • uitvoeren van en adviseren over een Data Protection Impact Assessment (DPIA);
  • monitort en ondersteunt het registreren van verwerkingen en relevante wijzigingen in het verwerkingsregister. De organisatie blijft verantwoordelijk voor de juistheid en volledigheid van het register;
  • verzorgen van kwartaalrapportages met de secretaris-(algemeen) directeuren (SD/SAD) van beide waterschapen en kwartaalrapportages met de portefeuillehouders van beide waterschappen
  • ontwikkelt bewustwordingsprogramma’s en privacy trainingen voor medewerkers, organiseert deze en voert deze trainingen uit;
  • ondersteunt en faciliteert beide waterschappen bij het afhandelen van datalekken (conform de procedure datalekken);
  • adviseert beide waterschappen over Privacy by Design & Default bij ontwikkeling van nieuwe systemen en ondersteunt en faciliteert bij het opstellen en uitwerken daarvan.

De Privacy Officer vervult zijn taken in nauwe afstemming met de Functionaris Gegevensbescherming, die op grond van artikel 39 AVG toezicht houdt op de naleving van de privacywetgeving.

3.2.2 Privacy juristen

De privacy juristen helpen de organisatie bij het in lijn handelen met de AVG en Wpg en geven gevraagd en ongevraagd advies over privacyvraagstukken omtrent de AVG en Wpg die spelen binnen de organisaties, waaronder vraagstukken rond de verwerking van persoonsgegevens in het kader van AI-toepassingen.

Verder zijn de kerntaken van de privacy jurist:

  • opstellen of reviewen van een privacy- en cookieverklaringen;
  • opstellen of reviewen van en het onderhandelen over verwerkersovereenkomsten en overeenkomst voor uitwisseling van persoonsgegevens;
  • uitvoeren van en adviseren over een DPIA;
  • ondersteunt het (laten) registreren van verwerkingen in het verwerkingsregister door beide waterschappen en het (laten) registreren van relevante wijzigingen;
  • afhandelen en adviseren over datalekken;
  • afhandelen van privacy verzoeken van betrokkenen (AVG);
  • privacy-by-design advisering over privacy bij initiatieven en projecten vanuit de business.

3.2.3 Privacy contactpersoon

Elke afdeling heeft een privacy contactpersoon die een ondersteunende rol heeft bij het naleven van de privacyregels. Deze persoon is het eerste aanspreekpunt voor privacy vragen binnen het team en helpt, samen met de teamleider, om het verwerkingsregister volledig en actueel te houden. Zo hebben beide waterschappen en de toezichthouder altijd een goed overzicht van alle verwerkingen van persoonsgegevens. Elk kwartaal vindt een overleg plaats met alle privacy contactpersonen om actuele privacy zaken en verbeteringen te bespreken.

3.2.4 Bevoegd functionaris

Elk waterschap heeft een of meerdere bevoegd(e) functionaris(sen) aangewezen voor de verwerking van politiegegevens op grond van de Wpg. Deze functionaris ziet erop toe dat politiegegevens op een rechtmatige, zorgvuldige en veilige manier worden verwerkt.

De bevoegd functionaris heeft onder andere de volgende taken:

  • het omschrijven en vastleggen van het doel van de verwerking van politiegegevens (artikel 32 Wpg);
  • het autoriseren van medewerkers die toegang hebben tot deze gegevens;
  • het beoordelen of gegevens voor een ander doel mogen worden gebruikt (artikel 9, lid 3 Wpg);
  • het vastleggen van de herkomst en wijze van verkrijging van de gegevens (artikel 3, lid 5 Wpg); en
  • het bewaken dat politiegegevens rechtmatig worden verkregen, gebruikt en tijdig worden verwijderd.

3.2.5 Functionaris Gegevensbescherming

Beide waterschappen hebben op grond van de AVG en de Wpg een Functionaris Gegevensbescherming (FG) aangewezen. De FG houdt onafhankelijk toezicht op de naleving van deze wetten, adviseert gevraagd en ongevraagd over privacyvraagstukken en ziet toe op de bescherming van persoonsgegevens en politiegegevens. De FG heeft rechtstreeks contact met het dagelijks bestuur en is het aanspreekpunt voor zowel de Autoriteit Persoonsgegevens als voor betrokkenen.

De FG vervult zijn taken onafhankelijk en ontvangt geen instructies met betrekking tot de uitvoering daarvan (artikel 38 AVG). De FG rapporteert rechtstreeks aan het dagelijks bestuur en wordt tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens en politiegegevens.

De belangrijkste taken en verantwoordelijkheden van de FG zijn:

  • Informeren en adviseren over verplichtingen uit de AVG en Wpg;
  • Toezien op naleving van het Privacybeleid;
  • Jaarlijks rapporteren aan het dagelijks bestuur;
  • Bevorderen van bewustwording en training van medewerkers;
  • Adviseren over en controleren van DPIA’s;
  • Steekproefsgewijs controleren van het register van verwerkingen;
  • Toezien op de naleving van de verplichtingen rond datalekken;
  • Fungeren als contactpersoon voor de Autoriteit Persoonsgegevens en coördineren van de communicatie daarover.

3.3 Samenwerking en controle

Voor een overzichtelijke verdeling van verantwoordelijkheden maken beide waterschappen gebruik van twee erkende organisatiemodellen. Het Drie lijnenmodel helpt om de rollen en verantwoordelijkheden binnen de organisatie helder te structureren, zodat duidelijk is wie beleid maakt, wie het uitvoert en wie erop toeziet dat dit goed gebeurt.

Eerste lijn – management en medewerkers

In de eerste lijn ligt de verantwoordelijkheid voor de uitvoering en het toezicht op de privacy maatregelen primair bij de proceseigenaren. Zij zijn, binnen hun eigen processen en teams, verantwoordelijk voor de naleving en borging van de vastgestelde privacy maatregelen.

Tweede lijn

De tweede lijn bestaat uit de bevoegd functionaris, de Privacy Officer, en de CISO. Deze functies ondersteunen de organisatie, stellen richtlijnen op en controleren of de verwerking van persoonsgegevens en politiegegevens volgens de regels verloopt. Zij adviseren over privacy- en beveiligingsvragen, volgen risico’s op en nemen maatregelen bij incidenten of datalekken.

Derde lijn

De derde lijn bestaat uit de FG en onafhankelijke (interne) auditors.

Daarnaast wordt het RASCI-model toegepast om inzichtelijk te maken wie bij een besluit betrokken is en op welke manier. Bijvoorbeeld wie eindverantwoordelijk is, wie adviseert of wie geïnformeerd moet worden. Het RASCI-model maakt duidelijk wie welke rol heeft:

  • Responsible – uitvoerend verantwoordelijk;
  • Accountable – eindverantwoordelijk (het College van D&H);
  • Support – ondersteunend bij uitvoering;
  • Consulted – wordt geraadpleegd;
  • Informed – wordt geïnformeerd over resultaten.

4. De borging van privacy

Beide waterschappen zorgen dat privacy goed is georganiseerd en blijvend wordt verbeterd. Dit geldt voor de bescherming van persoonsgegevens (AVG) en politiegegevens (Wpg). Hiervoor gebruiken wij de PDCA-cyclus (Plan – Do – Check – Act), waarmee beleid, processen en maatregelen continu worden verbeterd en naleving van de privacywetgeving aantoonbaar wordt gemaakt.

4.1 Jaarplannen

Elk jaar stellen beide waterschappen een gezamenlijk jaarplan op voor privacy en informatiebeveiliging. Dit plan bevat de belangrijkste doelen, risico’s en verbeteracties. Het jaarplan wordt vastgesteld door de directies van beide waterschappen. De Privacy Officer en de CISO volgen de voortgang via kwartaalrapportages. Bevindingen uit onderzoeken van de FG en aanbevelingen uit het jaarlijkse FG-verslag worden meegenomen in het nieuwe jaarplan. Aan het einde van ieder jaar wordt het plan geëvalueerd en waar nodig bijgesteld voor het volgende jaar.

4.2 Toezicht en onderzoek door de FG

De FG houdt onafhankelijk toezicht op de naleving van de AVG en Wpg. De FG:

  • stelt jaarlijks een onderzoeksplan op en voert meerdere controles uit binnen beide organisaties;
  • beoordeelt of beide waterschappen voldoen aan de privacyregels en adviseert over verbeteringen;
  • rapporteert de resultaten en aanbevelingen aan de directies;
  • en volgt de voortgang van de uitvoering van deze aanbevelingen.

Twee keer per jaar deelt de FG een update met teamleiders, management en directies, zodat verbeterpunten tijdig worden opgepakt. Ieder halfjaar stelt de FG een verslag op voor de directies en de dagelijkse besturen. Dit verslag geeft inzicht in de belangrijkste ontwikkelingen, risico’s, resultaten en aandachtspunten op het gebied van privacy. Waar nodig bevat het verslag aanbevelingen om de naleving van de AVG en Wpg verder te verbeteren.

4.3 Risicomanagement

Privacybescherming maakt deel uit van het bredere risicomanagement van beide waterschappen. Dit houdt in dat:

  • duidelijk is welke doelen en verplichtingen gelden;
  • de belangrijkste informatie en processen (de zogenoemde kroonjuwelen) worden beschermd. Deze kroonjuwelen worden jaarlijks beoordeeld en waar nodig geactualiseerd;
  • risico’s worden geanalyseerd en maatregelen worden getroffen op basis van een actueel dreigingsbeeld;
  • en dat bewust wordt vastgesteld welke risico’s aanvaardbaar zijn en welke moeten worden verminderd.

4.4 PDCA

Wij gebruiken de PDCA-cyclus om het Privacybeleid en de bijbehorende maatregelen voortdurend te verbeteren:

  • Plan: we stellen doelen vast, brengen risico’s in kaart en plannen de nodige maatregelen;
  • Do: we voeren de maatregelen uit volgens de AVG en Wpg;
  • Check: we controleren of de maatregelen goed functioneren, op basis van metingen, audits en rapportages;
  • Act: we voeren verbeteringen door en verwerken de resultaten in het beleid en de jaarplannen.

Door deze cyclus als een doorlopend proces toe te passen, borgen wij dat privacy structureel, zorgvuldig en blijvend wordt meegenomen bij onze werkzaamheden.

5. Beheersing en bescherming van privacy

5.1 Privacy by Design & Default

De organisatie neemt privacy standaard mee in de besluitvorming. Dit doen we door bij de aanschaf of ontwikkeling van systemen, diensten en processen vanaf het begin rekening te houden met privacy. Bijvoorbeeld door technische en organisatorische beveiligingsmaatregelen te nemen om de persoonsgegevens optimaal te beschermen. Dit uitgangspunt wordt Privacy by Design genoemd.

Privacy by Default is een onderdeel van Privacy by Design. Het uitgangspunt bij Privacy by Default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn. Dit betekent bijvoorbeeld dat systemen, applicaties en werkprocessen zo zijn ingericht dat alleen de gegevens worden verwerkt die noodzakelijk zijn voor het vastgestelde doel en dat extra koppelingen niet standaard zijn ingeschakeld.

5.2 Doelbinding

Wij verwerken uitsluitend gegevens die noodzakelijk zijn voor het beoogde doel. Dit beginsel van doelbinding vormt een kernbeginsel van zowel de AVG als de Wpg. Wij zorgen ervoor dat dit beginsel wordt nageleefd door de doelen van verwerkingen vast te leggen in het verwerkingsregister, te werken met autorisatie- en toegangsbeheer, logging, interne audits en toezicht door de FG. Daarnaast is de naleving van het beginsel van doelbinding een expliciet aandachtspunt bij de Data Protect Impact Assessment (DPIA).

AVG

Persoonsgegevens worden alleen verzameld voor specifieke, uitdrukkelijke omschreven en gerechtvaardigde doeleinden en niet verder verwerkt op een wijze die onverenigbaar is met die doeleinden. Voor iedere verwerking wordt vooraf gesteld wat het doel is, op welke wettelijke grondslag de verwerking berust en de noodzakelijkheid en proportionaliteit. Wanneer wij de gegevens later voor een ander doel gebruiken dan beoordelen wij eerst of dat nieuwe doel past bij het oorspronkelijke doel waarvoor de gegevens zijn verzameld.

Wpg

Voor de verwerking van politiegegevens geldt een apart wettelijk kader. Politiegegevens mogen alleen worden verwerkt voor de uitvoering van de politietaak. Hieronder vallen onder meer het voorkomen, opsporen en vervolgen van strafbare feiten. Verwerkingen op basis van artikel 9 Wpg vinden uitsluitend plaats na een aparte beoordeling (doelonderzoek), waarin wordt vastgesteld dat het doel concreet en rechtmatig is, de verwerking noodzakelijk is en ofwordt voldaan aan de wettelijke voorwaarden. Verdere verwerking voor andere doeleinden is slechts toegestaan voor zover de Wpg daarin expliciet voorziet.

5.3 Geautomatiseerde besluitvorming

Er wordt geen geautomatiseerde besluitvorming toegepast, waaronder profilering, zoals bedoeld in de AVG en de Wpg. Besluiten die rechtsgevolgen hebben of betrokkenen anderszins wezenlijk raken, worden altijd door een medewerker genomen, met een menselijke beoordeling en afweging.

5.4 Gebruik van kunstmatige intelligentie (AI)

Beide waterschappen willen in toenemende mate AI-toepassingen inzetten om de dienstverlening te verbeteren en processen effectiever te laten verlopen. Daarbij wordt groot belang gehecht aan een zorgvuldige en verantwoorde inzet van AI. Wanneer bij het gebruik van AI persoonsgegevens worden verwerkt, handelen wij in overeenstemming met de AVG. De privacyteams worden vroegtijdig betrokken bij de ontwikkeling, inkoop en implementatie van AI-toepassingen. Zij toetsen of het gebruik van AI voldoet aan de privacywetgeving en adviseren over risico’s en mitigerende maatregelen. Voorafgaand aan de inzet van nieuwe AI-toepassingen voeren de privacyteams algoritmetoetsen uit om privacy- en andere grondrechtenrisico’s in kaart te brengen.

We maken geen gebruik van AI bij de verwerking van politiegegevens.

5.5 Ethiek en maatschappelijke verantwoordelijkheid

Naast naleving van de wettelijke vereisten uit de AVG en Wpg, hechten beide waterschappen waarde aan een zorgvuldige en maatschappelijk verantwoorde omgang met persoonsgegevens en politiegegevens. Bij nieuwe verwerkingen beoordelen beide waterschappen niet alleen de rechtmatigheid, maar ook de proportionaliteit, subsidiariteit en mogelijke maatschappelijke impact van de verwerking. Deze afweging wordt, waar passend, betrokken bij de DPIA's (artikel 35 AVG) en bij de toepassing van Privacy by Design en Privacy by Default (artikel 25 AVG). Wij streven naar transparantie, uitlegbaarheid en zorgvuldige belangenafweging bij de inzet van nieuwe technologieën en datatoepassingen.

5.6 Bewustwording en training

Beide waterschappen hechten groot belang aan privacy bewustzijn. Privacy vormt een vast onderdeel van de onboarding van nieuwe medewerkers, zodat zij vanaf de start hiermee bekend zijn. Daarnaast zijn er jaarlijks terugkerende verplichte e-learnings over privacy voor alle medewerkers. Ook vinden er periodieke overleggen met de privacy contactpersonen binnen de organisatie plaats, waarin ontwikkelingen in wet- en regelgeving, incidenten, risico’s en praktijkervaringen worden besproken.

Voor de Wpg is hiervoor een apart periodiek overleg ingepland.

5.7 Business Impact Analyse (BIA)

Een BIA helpt beide waterschappen om te bepalen hoe belangrijk gegevens en systemen zijn voor de organisatie en de bescherming van privacy. Daarbij wordt gekeken naar beschikbaarheid, integriteit, vertrouwelijkheid en privacy (BIV/P). De resultaten krijgen een score van laag, midden of hoog. Bij een hoge score wordt, als dat nodig is een DPIA uitgevoerd. Wanneer uit de beoordeling blijkt dat geen sprake is van nieuwe of verhoogde privacy risico’s, of dat bestaande maatregelen deze risico’s voldoende afdekken, wordt geen DPIA uitgevoerd.

5.8 Data Protect Impact Assessment (DPIA)

Een DPIA brengt voorafgaand aan de verwerking de privacy risico’s voor betrokkenen in kaart, zodat tijdig passende technische en organisatorische maatregelen kunnen worden genomen. Wij zijn wettelijk verplicht om een DPIA uit te voeren bij nieuwe of gewijzigde verwerkingen met een hoog privacy risico, grootschalige of gevoelige persoonsgegevens, strafrechtelijke gegevens en bij verwerkingen die voorkomen op de lijst van de AP.

Voor verwerkingen die onder de Wpg vallen, geldt een vergelijkbare verplichting tot het uitvoeren van een DPIA (artikel 7 Wpg in samenhang met artikel 4c Wpg). Ook onder de Wpg dient vooraf te worden beoordeeld of een verwerking een hoog risico oplevert voor de rechten en vrijheden van betrokkenen en welke maatregelen noodzakelijk zijn om deze risico’s te mitigeren.

De noodzaak voor een DPIA wordt bepaald op basis van een BIA, waarin privacy en informatiebeveiliging samen worden beoordeeld. Voor zowel de AVG als de Wpg gebruiken beide waterschappen dezelfde Procedure DPIA’s en standaard formats voor de vragenlijst en rapportage.

5.9 Verwerkers en verwerkersovereenkomsten

Bij de inzet van nieuwe systemen, diensten of processen worden duidelijke privacy afspraken gemaakt met verwerkers (externe partijen die in opdracht van beide waterschappen persoonsgegevens en/of politiegegevens verwerken). Deze afspraken worden vastgelegd in een verwerkersovereenkomst, gebaseerd op het model van het Waterschapshuis. Beide waterschappen zijn als verwerkingsverantwoordelijken verplicht om te controleren of verwerkers persoonsgegevens en politiegegevens op een juiste en veilige manier verwerken. Deze controles vinden periodiek plaats, bijvoorbeeld via audits of andere toetsmomenten.

Binnen het leveranciersmanagement is dit een belangrijk onderdeel. In de verwerkersovereenkomst worden daarom duidelijke afspraken vastgelegd over de controles, verantwoordelijkheden en beveiligingseisen. Samen met de afdelingen inkoop, informatiebeveiliging en privacy werken beide waterschappen aan een structureel proces om deze controles vast te leggen en regelmatig uit te voeren. Zo wordt geborgd dat de samenwerking met verwerkers consistent, veilig en volgens de eisen van de AVG en Wpg verloopt.

5.10 Verwerkingsregister

Wij zorgen voor een actueel, volledig en juist register van verwerkingen voor alle interne werkprocessen die vallen onder zowel de AVG als de Wpg. Dit register geeft inzicht in de wijze waarop persoonsgegevens en politiegegevens binnen de organisaties worden verwerkt en vormt een belangrijk instrument om te voldoen aan de verantwoordingsplicht.

Het bijhouden van een register van verwerkingen is wettelijk verplicht voor persoonsgegevens (artikel 30 AVG) en politiegegevens (artikel 31d Wpg). Het register wordt door de privacy teams zo ingericht dat het gemakkelijk toegankelijk is en, indien nodig, direct kan worden gedeeld met bevoegde interne of externe toezichthouders, zoals de AP en de FG.

De privacy teams controleren het register periodiek en actualiseren het samen met de privacy contactpersonen en andere betrokkenen binnen de organisatie, zodat de informatie actueel, volledig en juist blijft (conform de procedure verwerkingsregister). Bovendien wordt het verwerkingsregister jaarlijks aan het einde van het kalenderjaar formeel vastgesteld, zodat beide waterschappen te allen tijde beschikken over een betrouwbaar en actueel overzicht van alle gegevensverwerkingen binnen de organisatie.

5.7 Bewaartermijnen

Persoonsgegevens en politiegegevens worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor zij zijn verzameld. Dit is een belangrijk uitgangspunt uit zowel AVG als de Wpg.

Voor persoonsgegevens geldt dat deze worden vernietigd of geanonimiseerd zodra de wettelijke bewaartermijn is verstreken of de gegevens niet langer noodzakelijk zijn voor het doel van de verwerking (artikel 5 AVG). De concrete bewaartermijnen, gebaseerd op de selectielijst van beide waterschappen, zijn vastgelegd en gedocumenteerd in het verwerkingsregister.

Voor politiegegevens (Wpg) gelden specifieke wettelijke bewaartermijnen:

  • bij gegevens die worden verwerkt voor de dagelijkse politietaak (artikel 8 Wpg) mogen de gegevens één jaar worden bewaard na de eerste verwerking. Als ze niet meer nodig zijn, worden ze gedurende 5 jaar (geanonimiseerd) worden gebruikt om verbanden vast te stellen. Daarna worden ze verwijderd (ter afhandeling van klachten of voor het OM nog beschikbaar), en uiterlijk vijf jaar daarna volledig vernietigd;
  • bij gegevens die worden verwerkt in het kader van de handhaving van de rechtsorde (artikel 9 Wpg) worden de gegevens verwijderd zodra ze niet meer nodig zijn voor het onderzoek. Daarna mogen ze nog zes maanden worden bewaard om te beoordelen of een nieuw onderzoek nodig is. Vervolgens worden ze verwijderd en vijf jaar na verwijdering vernietigd.

Het gebruikte Boa Registratie Systeem (BRS) kent automatisch de juiste bewaartermijnen toe aan de gegevens, op basis van de toepasselijke wettelijke grondslag.

5.8 Logging

Binnen beide waterschappen dragen wij zorg voor passende logging van verwerkingen van persoonsgegevens en politiegegevens. Logging helpt ons om te controleren wie toegang heeft gehad tot gegevens, wat ermee is gedaan en of dit rechtmatig is gebeurd.

Als onderdeel van onze beveiligingsmaatregelen treffen wij technische en organisatorische maatregelen om ongeautoriseerde toegang, wijziging of verstrekking van persoonsgegevens te voorkomen. Logging is een belangrijk onderdeel van deze maatregelen. Door activiteiten vast te leggen in logbestanden kunnen wij achteraf nagaan wat er met gegevens is gebeurd en – indien nodig – onderzoek doen naar mogelijk misbruik of onrechtmatig gebruik. De monitoring van activiteiten en logbestanden op lokale netwerkschijven en in de Teams-omgevingen van beide waterschappen is belegd bij het securityteam van de afdeling Informatie & Automatisering (I&A). Dit team houdt toezicht op afwijkingen en signalen van mogelijk onbevoegd gebruik en treft waar nodig passende maatregelen.

Voor verwerkingen welke vallen onder de Wpg geldt een expliciete loggingsverplichting. Binnen het systeem BRS worden alle gebruikersactiviteiten en wijzigingen automatisch vastgelegd in logbestanden. Deze loggegevens worden na afloop van de bewaartermijn van de zaak automatisch vernietigd, conform de vereisten uit de Wpg. De monitoring van activiteiten en logbestanden van BRS kunnen worden opgevraagd bij de beheerder van het BRS, T&O Netwerk, en zijn deels beschikbaar via een standaardrapportage. Ook verwerkingen die buiten het systeem BRS plaatsvinden en onder de Wpg vallen, worden overeenkomstig de wettelijke vereisten gelogd.

5.9 Borging onderscheid tussen feiten en persoonlijke oordelen

In het kader van de Wpg waarborgen beide waterschappen dat bij de verwerking van politiegegevens een duidelijk onderscheid wordt gemaakt tussen objectief vastgestelde feiten en persoonlijke oordelen, inschattingen of hypothesen. Dit ter bevordering van de juistheid, zorgvuldigheid en transparantie van de gegevensverwerking.

5.10 Verstrekking van politiegegevens

Verstrekking van politiegegevens aan anderen dan aan de politie vindt uitsluitend plaats als daarvoor een wettelijke grondslag bestaat en het verzoek past binnen het doel waarvoor de gegevens zijn verwerkt, zoals bedoeld in de Wpg. Voorafgaand aan iedere verstrekking wordt beoordeeld of de verstrekking noodzakelijk en proportioneel is, of de ontvangende partij bevoegd is de gegevens te ontvangen en of passende beveiligingsmaatregelen zijn getroffen. De verstrekking wordt vastgelegd, inclusief de datum, de wettelijke grondslag, de ontvanger en de verstrekte gegevens.

Wanneer niet wordt voldaan aan de wettelijke voorwaarden van de Wpg, het doel niet verenigbaar is of de noodzaak ontbreekt, wordt de terbeschikkingstelling of de verstrekking geweigerd. Een weigering wordt gemotiveerd vastgelegd en, indien van toepassing, schriftelijk gecommuniceerd aan de verzoekende partij. Beide waterschappen zien erop toe dat alle verstrekkingen en weigeringen controleerbaar en herleidbaar zijn, en dat deze periodiek worden getoetst in het kader van intern toezicht.

5.11 Audits en toezicht

Er worden periodiek interne en externe audits uitgevoerd om te controleren of de verwerking van persoonsgegevens en politiegegevens voldoet aan de AVG en de Wpg. Deze audits zijn een belangrijk onderdeel van onze verantwoordingsplicht en het toezicht onder de Wpg.

AVG

In het kader van de AVG wordt er onder meer gekeken naar de naleving van de basisregels voor gegevensverwerking, de rechtmatigheid van verwerkingen, het verwerkingsregister, de beveiliging van persoonsgegevens en de uitvoering van DPIA’s.

Wpg

Voor de Wpg toetsen wij of wordt voldaan aan de wettelijke eisen. Daarbij wordt de opzet, het bestaan en de werking van de maatregelen beoordeeld. Dit betekent dat er wordt nagegaan of afspraken goed zijn vastgelegd, zijn ingevoerd en in de praktijk goed werken. De externe audit voor de Wpg vindt één keer per vier jaar plaats en wordt uitgevoerd door een bij NOREA geregistreerde IT-auditor. Het volledige normenkader wordt gecontroleerd. De rapportage wordt verstrekt aan de Autoriteit Persoonsgegevens. In 2025 is een externe audit uitgevoerd over de periode 2022 tot en met 2024. De volgende audit vindt plaats in 2029 over de periode 2025 tot en met 2028. Als de uitkomst onvoldoende is, is het verplicht om binnen een jaar een heraudit uit te voeren door een interne of externe auditor. Daarnaast voeren wij jaarlijks een interne audit uit. De rapportage blijft binnen de organisatie. Binnen vier jaar wordt het volledige normenkader beoordeeld. Ook hierbij kijken wij naar de opzet, het bestaan en de werking van de maatregelen.

6. Rechten van betrokkenen

Wij vinden het belangrijk dat iedereen regie heeft over de eigen persoonsgegevens en goed geïnformeerd is over de rechten die daarbij horen. Medewerkers, inwoners en andere betrokkenen moeten weten welke rechten zij hebben en hoe zij daar gebruik van kunnen maken. Hieronder staan de privacy rechten die gelden op basis van de AVG en Wpg.

6.1 Rechten op grond van de AVG

  • Recht op inzage
    Iedere betrokkene heeft het recht om te weten welke persoonsgegevens door de waterschappen worden verwerkt en waarvoor deze worden gebruikt.
  • Recht op aanpassing (correctie)
    Wanneer persoonsgegevens onjuist of onvolledig zijn, kan worden verzocht om deze te verbeteren of aan te vullen.
  • Recht op verwijdering
    In bepaalde situaties kunnen persoonsgegevens worden verwijderd, bijvoorbeeld wanneer deze niet meer nodig zijn of de bewaartermijn is verstreken.
  • Recht op beperking van verwerking
    Er kan worden gevraagd om persoonsgegevens tijdelijk niet te gebruiken, bijvoorbeeld tijdens het controleren van de juistheid van gegevens of bij een lopend bezwaar.
  • Recht op bezwaar
    Iedere betrokkene kan bezwaar maken tegen de verwerking van zijn of haar persoonsgegevens, behalve wanneer de verwerking noodzakelijk is vanwege een wettelijke verplichting.
  • Recht om toestemming in te trekken
    Wanneer eerder toestemming is gegeven voor het gebruik van persoonsgegevens, kan deze toestemming op elk moment worden ingetrokken. Vanaf dat moment worden de gegevens niet langer verwerkt.
  • Recht op overdraagbaarheid (dataportabiliteit)
    Persoonsgegevens die door een betrokkene zelf aan beide waterschappen zijn verstrekt, kunnen in een digitaal formaat worden opgevraagd en, indien gewenst, worden overgedragen aan een andere organisatie.
  • Recht op menselijke beoordeling
    Bij besluiten die belangrijke gevolgen hebben, zoals financiële of juridische beslissingen, mag niemand uitsluitend door een geautomatiseerd systeem worden beoordeeld. Er moet altijd een menselijke beoordeling plaatsvinden.
  • Klachtrecht
    Wie het niet eens is met de manier waarop beide waterschappen persoonsgegevens verwerken, kan een klacht indienen bij de AP.

6.2 Rechten op grond van de Wpg

Wanneer beide waterschappen politiegegevens verwerken (bijvoorbeeld bij toezicht of handhaving), gelden specifieke rechten op basis van de Wpg:

  • Recht op inzage
    Betrokkenen kunnen opvragen welke politiegegevens over hen zijn vastgelegd en waarvoor deze worden gebruikt en met wie de gegevens zijn verstrekt.
  • Recht op aanpassing (correctie)
    Als politiegegevens niet juist of onvolledig zijn, kan worden gevraagd om deze te verbeteren of aan te vullen.
  • Recht op verwijdering (vernietiging)
    Wanneer politiegegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, kan worden verzocht om verwijdering.
  • Recht om een klacht in te dienen
    Als iemand niet tevreden is over hoe een verzoek is behandeld of hoe met politiegegevens wordt omgegaan, kan een klacht worden ingediend bij het waterschap of bij de AP.

6.3 Behandeling privacy-​verzoeken van betrokkenen

Als verzoeken in relatie tot bovenstaande rechten binnenkomen, worden deze geregistreerd en doorgezet naar de privacyteams. Hoewel de rechten van betrokkenen grotendeels overeenkomen, gelden voor de AVG en de Wpg verschillende wettelijke vereisten en procedures. De behandeling van deze verzoeken vindt plaats volgens de gezamenlijke Procedure Rechten van betrokkenen, waarin stap voor stap is vastgelegd hoe verzoeken worden geregistreerd, beoordeeld en afgehandeld.

6.4 Rechtsbescherming bij uitoefening van privacyrechten

De besluiten die beide waterschappen nemen in het kader van een ingeroepen recht van een betrokkene op grond van de AVG en/of Wpg, worden aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht (Awb) en zijn daarom vatbaar voor bezwaar en beroep. Dit volgt uit artikel 34 Uitvoeringswet AVG en artikel 29 Wpg. De bestaande procedures worden voor de afhandeling van bezwaar en beroep gebruikt. Dit betekent dat u tegen deze beslissing bezwaar kunt maken. Indien u het niet eens bent met de beslissing op bezwaar, kunt u vervolgens beroep instellen bij de bestuursrechter. Voor de behandeling van bezwaar en beroep worden de reguliere procedures van het waterschap toegepast, zoals vastgelegd in de Awb.

7. Datalekken

7.1 Wat is een datalek?

Een datalek is een beveiligingsincident waarbij persoonsgegevens en/of politiegegevens per ongeluk of opzettelijk verloren zijn gegaan, gewijzigd, gedeeld of ingezien door personen die daartoe geen bevoegdheid hebben. Dit kan bijvoorbeeld gebeuren door het versturen van gegevens naar de verkeerde ontvanger, het verlies van een laptop of usb-stick, of een hack waarbij onbevoegden toegang krijgen tot systemen of gegevens.

Medewerkers zijn verplicht om datalekken, beveiligingsincidenten en kwetsbaarheden te melden. Zij kunnen (mogelijke) datalekken of incidenten op het gebied van privacy en informatiebeveiliging intern melden via de Topdesk Selfservicedesk. Voor externe meldingen is op de websites van beide waterschappen een aparte meldknop beschikbaar.

7.2 Meldplicht datalekken

Wij zijn op grond van de AVG en de Wpg verplicht om datalekken zorgvuldig te behandelen en, indien nodig, te melden aan de bevoegde toezichthouder. De FG besluit of er een melding bij de toezichthouder moet worden gedaan. Wanneer de FG afwezig is, nemen de privacyteams deze rol tijdelijk waar met een mandaat van de FG; de uiteindelijke verantwoordelijkheid blijft echter bij de FG.

Voor beide wettelijke kaders geldt een eigen meldplicht, maar beide waterschappen hanteren één Procedure Datalekken die zowel de eisen van de AVG als die van de Wpg dekt. Deze procedure beschrijft de stappen, verantwoordelijkheden en communicatielijnen bij het signaleren, registreren, onderzoeken en melden van datalekken.

7.2.1 Datalekken onder de AVG

Bij een datalek waarbij persoonsgegevens zijn betrokken, geldt op grond van de AVG een meldplicht aan de AP in sommige gevallen. Deze melding moet dan binnen 72 uur na ontdekking van het datalek worden gedaan. Wanneer het datalek waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen – bijvoorbeeld bij risico op identiteitsfraude of financiële schade – moeten ook de betrokkenen onverwijld worden geïnformeerd.

7.2.2 Datalekken onder de Wpg

Bij een datalek waarbij politiegegevens zijn betrokken, geldt een aparte meldplicht op grond van de Wpg. Deze melding wordt gedaan door de FG aan de AP, afdeling Wpg-toezicht, en bevat informatie over de aard en omvang van het lek en de genomen beveiligingsmaatregelen. Als het lek gevolgen kan hebben voor betrokkenen, worden ook zij zo snel mogelijk geïnformeerd.

Vanwege de gevoeligheid van politiegegevens worden de gelekte gegevens niet geregistreerd in het reguliere meldsysteem. In de registratie worden alleen de feiten over het incident, de impact en de genomen maatregelen vastgelegd. De inhoud van de gelekte gegevens wordt niet opgeslagen. De bevoegd functionaris of de BOA beoordeelt samen met de privacy teams de mogelijke impact van het lek en bepaalt, op basis van de aard van de gegevens, of aanvullende maatregelen nodig zijn.

7.3 Afhandeling van een datalek

Wij hanteren een Procedure Datalekken. Zodra een mogelijk datalek wordt gemeld, komen de privacy teams direct bijeen om de situatie te beoordelen en te handelen volgens deze procedure.

Colofon

  • Auteurs: Privacyteam HHR
  • Status: Definitief
  • Taakveld: Privacywetgeving, Juridisch
  • Kwalificatie conform Beleidshuis: Intern beleid
  • Behandeling en vaststelling DT: 11-03-2026
  • D&H-besluitdatum ter kennisname: 24-03-2026
  • Datum inwerkingtreding: 12-03-2026
  • Teams: Kwaliteit en Veiligheid, Juridische Zaken, Handhaving
  • Registratienummer: 26.030294

Wijzigings- en versiebeheer (kwaliteitskader)

Dit beleid is opgesteld voor een periode van drie jaar, tot en met 31 december 2029. Daarna zal het beleid een driejarige cyclus volgen. Hiermee volgt het Privacybeleid dezelfde cyclus als het informatiebeveiligingsplan, het informatiebeveiligingsbeleid en het bewustwordingsplan.