PRIVACYPROTOCOL SAMEN TEGEN IDENTITEITSFRAUDE HET TEGENGAAN VAN IDENTITEITSFRAUDE EN DOCUMENTFRAUDE OOST-NEDERLAND. Versie: 1.0

Transcriptie

1 SAMEN TEGEN IDENTITEITSFRAUDE PRIVACYPROTOCOL HET TEGENGAAN VAN IDENTITEITSFRAUDE EN DOCUMENTFRAUDE OOST-NEDERLAND Versie: 1.0 Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 1

2 Inhoudsopgave I Algemene bepalingen Definities... 4 II Samenwerking Organisatievorm van de samenwerking Het overleg en het bestand Geheimhoudingsplicht... 5 III Gegevensuitwisseling tussen deelnemers Doelbinding Gegevens Verstrekking van gegevens aan derden Beveiliging en rechtstreekse toegang Bewaren en verwijderen van opgenomen persoonsgegevens Beheerders van deelnemende partijen... 6 IV Informatieverstrekking aan betrokkene Informatieplicht... 7 V Rechten van de betrokkene Rechten van de betrokkene Recht op inzage Recht op correctie (verbetering, aanvulling, verwijdering en/of afscherming) Recht van verzet Samenwerking buiten het convenant... 8 VI Wijziging, aanvulling en slotbepalingen Wijzigingen en aanvullingen van het convenant Slotbepalingen... 8 Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 2

3 PRIVACYPROTOCOL HET TEGENGAAN IDENTITEITSFRAUDE EN DOCUMENTENFRAUDE OOST-NEDERLAND Privacyprotocol Partijen: De gemeenten binnen de politieregio Oost-Nederland De Vreemdelingenpolitie Oost-Nederland (VP) De Koninklijke Marechaussee (KMar) De Immigratie- en Naturalisatiedienst (IND) De Dienst Wegverkeer (RDW) Het Openbaar Ministerie Oost-Nederland (OM) verder gezamenlijk te noemen: Partijen Nemen het volgende in aanmerking: Partijen zijn allen betrokken bij de samenwerking van de werkgroep tegengaan van identiteitsfraude en documentenfraude Oost-Nederland. De werkgroep vormt een informatieknooppunt voor ketenpartners bij het tegengaan van identiteitsfraude en documentenfraude. De werkwijze van de werkgroep is erop gericht om vroegtijdig, snel, consequent, persoonsgericht, samenhangend en gelijktijdig te reageren. De resultaatgebieden zijn: - Het voorkomen van identiteitsfraude; - Het voorkomen van documentenfraude en - Het realiseren van een persoonsgerichte aanpak voor de dader(s). Partijen streven erna de werkzaamheden van ieder van hen, op effectieve en efficiënte wijze op elkaar te laten aansluiten. Daarvoor is het nodig en gewenst onderling informatie aangaande personen en documenten uit te wisselen. Partijen leggen de door hen afgesproken vorm en inhoud van de uitwisseling en de daarbij behorende samenwerking in het convenant vast en verbinden zich tegenover elkaar om in overeenstemming met wat in het convenant is bepaald te handelen. Partijen zijn zich ervan bewust dat zij bij het uitwisselen van gegevens gehouden zijn aan privacyweten regelgeving en eventueel beroepsgeheim én aan verplichtingen die voortvloeien uit beroepscodes. Bij het invullen van de samenwerking en de daaruit voortvloeiende gegevensuitwisseling bij het tegengaan van identiteits- en documentenfraude hebben partijen met deze belangen rekening gehouden. Partijen achten het van belang, dat de wijze van gegevensuitwisseling in het kader van dit convenant wordt vastgelegd in dit privacyprotocol. Dit protocol maakt deel uit van het convenant. Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 3

4 Partijen verklaren het volgende te zijn overeengekomen: I Algemene bepalingen 1. Definities 1.1 Partij: de samenwerking van partijen voor het tegengaan van identiteits- en documentenfraude in de politieregio Oost-Nederland, en ondertekenaar is van dit protocol; 1.2 Deelnemer of deelnemende partij: partijen die deelnemen aan het convenant, waarvan dit protocol deel uitmaakt; 1.3 Betrokkene: iedere natuurlijke persoon, die bij een van de deelnemers bekend is vanwege identiteits- of documentenfraude of die door een of meer van de deelnemers wordt aangemeld waarbij het vermoeden bestaat dat identiteits- of documentenfraude is gepleegd; 1.4 Overleg: iedere bespreking, danwel afstemmen, tussen deelnemers in de werkgroep tegengaan identiteitsfraude Oost-Nederland met betrekken tot betrokkene of diens wettelijke vertegenwoordiger; 1.5 Bestand: de registratie of lijst van persoonsgegevens betreffende betrokkenen ten behoeve van het overleg; 1.6 Beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke belast is met de dagelijkse zorg voor de verwerking van persoonsgegevens in het bestand in de persoon van ketenbeheerder van de werkgroep; 1.7 Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 1.8 Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; 1.9 Bijzondere persoonsgegevens: een persoonsgegeven betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffend het lidmaatschap van een vakvereniging, alsmede strafrechtelijke persoonsgegevens; 1.10 Verwerken van persoonsgegevens: elke handeling of elke geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken en verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. II Samenwerking 2. Organisatievorm van de samenwerking 2.1 Het doel van de samenwerking tussen partijen is de werkzaamheden van partijen op effectieve en efficiënte wijze op elkaar te laten aansluiten teneinde een persoonsgerichte aanpak voor de betrokkene te realiseren. 2.2 Ten aanzien van de inrichting en organisatie wordt verwezen naar het convenant Het tegengaan van identiteitsfraude en documentenfraude Oost-Nederland, dat ter inzage ligt bij de partijen die dit convenant, waarvan het privacyprotocol deel uitmaakt, hebben ondertekend. 3. Het overleg en het bestand 3.1 De deelnemers wisselen in het overleg persoons- en documentgegevens en gegevens omtrent het vermeende strafbare feit over de betrokkenen uit. Zij handelen daarbij conform de bepalingen van dit protocol. 3.2 De werkgroep legt ten behoeve van de uitwisseling in het overleg een digitaal of papieren bestand aan. Het handelt daarbij conform de bepalingen van dit privacyprotocol. 3.3 Onderstaande bestanden worden gebruikt: a. De bestanden die onder het beheer vallen van de partijen die deel uitmaken van dit convenant, waarvan het privacyprotocol deel uitmaakt; b. Verzameling van casussen die betrekking hebben op (vermeende) identiteitsfraude en documentenfraudezaken in de politieregio Oost-Nederland. Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 4

5 4. Geheimhoudingsplicht 4.1 Voor zover de deelnemers daartoe al niet verplicht zijn, leggen zij aan die medewerkers die inzage hebben in of in overeenstemming met het bepaalde in het convenant op andere wijze persoonsgegevens verkrijgen uit het overleg en/of bestand, een plicht tot geheimhouding op. Deze plicht strekt tot geheimhouding van de persoonsgegevens waarvan de medewerkers kennis nemen, behoudens voor zover de betrokkene toestemming geeft voor de gegevensuitwisseling of enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. 4.2 Strafrechtelijke gegevens worden niet doorverstrekt, tenzij daarvoor een rechtmatige verstrekkingsgrondslag aanwezig is in het belang van het bestrijden van identiteits- en documentenfraude. De Officier van Justitie wordt te allen tijde geraadpleegd, indien er sprake is van een strafrechtelijk onderzoek. Deze beoordeelt in het vooronderzoek of er sprake kan zijn van enige verstrekking. Ook als het dossier reeds is ingeschreven bij het Openbaar Ministerie beslist de Officier van Justitie op basis van Strafvordering of er verstrekt kan worden. Op het moment dat de strafzaak is afgedaan wordt het informatieverzoek voorgelegd aan de privacyfunctionaris, deze toets op basis van de Wjsg of er een grondslag is tot verstrekken. 4.3 De geheimhoudingsplicht ten aanzien van de verstrekte informatie blijft ook na ontbinding van deze samenwerking voortduren. III Gegevensuitwisseling tussen deelnemers 5. Doelbinding 5.1 Het overleg en het bestand hebben tot doel in gezamenlijkheid een persoonsgerichte aanpak af te spreken ter voorkoming en terugdringen van identiteitsfraude en documentenfraude. 5.2 Partijen dragen zelf verantwoordelijkheid voor het verstrekken van gegevens in het casusoverleg. 5.3 De deelnemers verwerken de persoonsgegevens van de betrokkenen uitsluitend, voor zover dat noodzakelijk is, voor het doel of de doeleinden van het overleg en het bestand en in overeenstemming met de wettelijke regelingen, die door de partijen worden uitgevoerd c.q. waaraan die partijen zich moeten houden. De geheimhoudingsplichten gelden voor alle deelnemers van de deelnemende partijen. 5.4 Indien het uitwisselen van persoonsgegevens verenigbaar is met het doel of de doeleinden van het overleg en het bestand, voor zover noodzakelijk voor de goede uitoefening van de taak van de desbetreffende deelnemer, kunnen de gegevens worden verwerkt. 6. Gegevens 6.1 De verstrekking en uitwisseling van persoonsgegevens in het overleg door de deelnemers vindt plaats met inachtneming van de voor iedere deelnemer toepasselijke wettelijke regelgeving. 6.2 De deelnemers wisselen persoonsgegevens uit die noodzakelijk zijn voor een goede taakuitoefening In het bestand kunnen uitsluitend de volgende categorieën van persoonsgegevens betreffende de betrokkene worden vastgelegd of verwerkt: a. naam-, adres- en woonplaatsgegevens b. aliassen c. geboortedatum en plaats d. nationaliteit(en) (B) e. spreektaal f. burgerlijke staat g. gegevens omtrent woon- of gezinssituatie h. A-nummer (BRP) of burgerservicenummer (BSN) en andere administratieve gegevens i. gegevens omtrent de verblijfstatus j. strafvorderlijke gegevens (B) k. detentiegegevens (B) l. door de betrokkene zelf verstrekte gegevens die in relatie tot de doelstelling genoemd in punt 5.1van belang zijn m. gegeven omtrent door de deelnemers genomen maatregelen ter uitvoering van de in punt 5.1 genoemde doelstellingen (scenario s) Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 5

6 n. politionele gegevens (B) De gegevens die voorzien zijn van een B zijn bijzondere gegevens, als bedoeld in de Wet bescherming persoonsgegevens (Wbp). Voor de verwerking (waaronder verstrekking) daarvan dient een uitzonderingsgrond als genoemd in artikelen 18, 21, 22 of 23 Wbp aanwezig te zijn Strafrechtelijke gegevens zijn j, k en n, zoals hiervoor genoemd onder Deze gegevens worden uitsluitend verwerkt door instanties die krachtens de wet zijn belast met het strafrecht of krachtens de Wet politiegegevens of Wet justitiële en strafvorderlijke gegevens bevoegd zijn deze te verwerken. Hebben de gegevens betrekking op de nationaliteit of een foto van betrokkene worden deze, indien noodzakelijk voor het behandelen van een fraudezaak, uitsluitend opgenomen bij de strafrechtelijke gegevens. 7. Verstrekking van gegevens aan derden 7.1 De gegevens die zijn vastgelegd in het bestand worden uitsluitend aan deelnemers verstrekt. Iedere andere verstrekking vindt, wanneer dit verenigbaar is met het oorspronkelijke doel of de doeleinden, uitsluitend plaats: a. met uitdrukkelijke toestemming van de betrokkene of diens wettelijke vertegenwoordiger, waarbij strafrechtelijke gegevens uitsluitend met toestemming van de bevoegde functionaris door het OM wordt verstrekt; of b. wanneer de verstrekking aan een derde noodzakelijk is om aan een wettelijke verplichting te voldoen die rust op de desbetreffende deelnemer; of c. uit hun taak de noodzaak tot mededeling voortvloeit 8. Beveiliging en rechtstreekse toegang 8.1 De verantwoordelijke beveiligt de persoonsgegevens van de betrokkene tegen verlies of enige vorm van onrechtmatige verwerking. Hij treft daarvoor de nodige passende technische en organisatorische maatregelen. Die maatregelen betreffen onder meer, maar niet uitsluitend, maatregelen met betrekking tot de toegang tot de persoonsgegevens, de lees- en schrijfbevoegdheden van de deelnemers en het vereiste niveau van beveiliging. 8.2 Rechtstreekse toegang hebben de verantwoordelijke en de beheerder. Personen met rechtstreekse toegang worden hiertoe door de verantwoordelijke van de desbetreffende deelnemende partij schriftelijk geautoriseerd. 8.3 De schriftelijke autorisatie strekt zich uit tot de bevoegdheid tot raadplegen, invoeren, wijzigen, verwijderen en vernietigen van gegevens. 8.4 De verantwoordelijke kan incidenteel en uitsluitend ten behoeve van statistisch en wetenschappelijk onderzoek ook anderen dan in het tweede lid bedoelde personen schriftelijk autoriseren tot rechtstreekse toegang van een door hem vooraf te bepalen periode. De resultaten van het onderzoek zijn niet herleidbaar tot individuele personen. 9. Bewaren en verwijderen van opgenomen persoonsgegevens 9.1 De persoonsgegevens in het bestand worden niet langer bewaard dan noodzakelijk is voor het doel of de doeleinden van het bestand. De persoonsgegevens in het bestand worden in ieder geval uit het bestand verwijderd en vernietigd vijf jaar nadat de desbetreffende betrokken voor het laatst in het overleg is besproken. 9.2 De persoonsgegevens in het bestand worden uitsluitend voor statistische of wetenschappelijke doeleinden langer dan vijf jaar bewaard. De verantwoordelijke beslist voor afloop van de periode van 5 jaar of de gegevens voor deze doeleinden langer worden bewaard tot een maximum van 11 jaar (paspoortwet). De verantwoordelijke draagt er zorg voor dat de gegevens uitsluitend voor deze doeleinden worden gebruikt en treft daartoe de nodige voorzieningen. 10. Beheerders van deelnemende partijen 10.1 De beheerders zijn onder verantwoordelijkheid en rechtstreeks gezag van de desbetreffende verantwoordelijke belast met de dagelijkse zorg voor de verwerking van persoonsgegevens in het bestand en voor het bewaren, verwijderen en verstrekken van gegevens betreffende het bestand De beheerders treffen onder verantwoordelijkheid en rechtstreeks gezag van de verantwoordelijken de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de persoonsgegevens in het bestand. Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 6

7 IV Informatieverstrekking aan betrokkene 11. Informatieplicht 11.1 Personen wier gegevens worden verwerkt in het bestand voor het tegengaan identiteits- en documentenfraude worden hiervan schriftelijk op de hoogte gesteld. De informatieplicht wordt opgeschort voor zover dit noodzakelijk is in het belang van: a. de veiligheid van de staat; b. justitieel onderzoek ten behoeve van voorkoming, opsporing, en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat of andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen onder b en c of e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen. V Rechten van de betrokkene 12. Rechten van de betrokkene 12.1 De betrokkene kan de verantwoordelijke verzoeken: a. informatie te verschaffen over de verwerking van zijn of haar persoonsgegevens; b. inzage te geven in zijn of haar persoonsgegevens; c. zijn of haar persoonsgegevens te corrigeren (verbeteren, aanvullen, verwijderen en/of afschermen); d. de verwerking van zijn of haar persoonsgegevens te staken op grond van bijzondere omstandigheden De wijze waarop de betrokkene deze rechten kan uitoefenen is in de hierna volgende artikelen 13 en 14 beschreven. 13. Recht op inzage 13.1 De betrokken richt zijn of haar verzoek om inzage aan de verantwoordelijke ketenpartner De verantwoordelijke beantwoordt het verzoek zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek. De verantwoordelijke kan in het belang van de betrokkene het verzoek in een andere dan schriftelijke vorm beantwoorden Het antwoord omvat in elk geval een overzicht met informatie over: a. het doel of de doeleinden van het overleg en het bestand; b. de gegevens en categorieën van gegevens die worden vastgelegd; c. de ontvangers of categorieën van ontvangers van de gegevens; d. de herkomst van de gegevens; e. indien de verzoeker dat wenst informatie over de (elektronische) systematiek van de geautomatiseerde gegevensverwerking De verantwoordelijke kan slechts weigeren aan een verzoek om inzage te voldoen, indien en voor zover dit noodzakelijk is in verband met: a. de veiligheid van de staat; b. een justitieel onderzoek ten behoeve van voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische reden en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoel onder b en c; e. de bescherming van betrokken of de rechten en vrijheden van anderen De verantwoordelijke motiveert haar beslissing om niet of niet geheel aan het verzoek te voldoen. De verantwoordelijke bericht dit zo spoedig mogelijk, maar uiterlijk vier weken na ontvangst van het verzoek schriftelijk aan de betrokkene. Tegen deze weigering kan betrokkene verzet aantekenen, zie artikel Recht op correctie (verbetering, aanvulling, verwijdering en/of afscherming) 14.1 De betrokkene richt zijn of haar verzoek om correctie aan de verantwoordelijke ketenpartner. De betrokkene geeft in het verzoek aan welke correcties hij of zij uitgevoerd wil zien en om welke reden. Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 7

8 14.2 De verantwoordelijke voldoet zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, aan het verzoek, indien en voor zover de persoonsgegevens betreffende de betrokkene: a. feitelijk onjuist zijn; b. voor het doel van de verwerking onvolledig of niet ter zaken dienend zijn; c. anderszins in strijd met een wettelijk voorschrift worden verwerkt De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming in ieder geval uiterlijk binnen vier weken na deze beslissing wordt uitgevoerd De verantwoordelijke motiveert in het eventuele geval zijn of haar beslissing om niet of niet geheel aan het verzoek te voldoen. De verantwoordelijke bericht dit zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk aan de betrokkene. Tegen deze weigering kan betrokkene verzet aantekenen, zie artikel Recht van verzet 15.1 De betrokkene kan bij de verantwoordelijke te allen tijde verzet aantekenen tegen de verwerking van zijn of haar persoonsgegevens in het bestand tegengaan identiteits- en documentenfraude in verband met bijzonder persoonlijke omstandigheden Binnen vier weken na ontvangst van het verzet beoordeelt de verantwoordelijke of dit verzet gerechtvaardigd is en deelt dit schriftelijk mee aan betrokkene. 16. Samenwerking buiten het convenant 16.1 De verantwoordelijken van de deelnemende partijen kunnen samenwerken met andere (niet deelnemende) partijen. Persoonsgegevens worden uitsluitend verstrekt, en in overleg met alle deelnemende partijen, indien dit verenigbaar is met de doeleinden waarvoor de gegevens zijn verzameld en wanneer wordt voldaan aan de bepalingen uit dit protocol. VI Wijziging, aanvulling en slotbepalingen 17. Wijzigingen en aanvullingen van het convenant 17.1 Wijzigingen in de doeleinden van de verwerkingen als bedoeld in dit protocol en wijzigingen in het gebruik en de wijze van verkrijging van de persoonsgegevens, dienen te leiden tot wijziging dan wel tot aanvulling van dit protocol Wijzigingen en aanvulling van dit protocol behoeve de instemming van alle partijen. De wijziging treedt één maand na vaststelling van de wijziging in werking. 18. Slotbepalingen 18.1 De verantwoordelijke draagt zorg voor de wettelijk verplichte aanmelding van de gegevensverwerking bij het college Bescherming Persoonsgegevens (Cbp) Dit protocol is gekoppeld aan het convenant Het tegengaan van identiteitsfraude en documentenfraude Oost-Nederland en treedt in werking met ingang van de dag van ondertekening van dat convenant Dit protocol ligt voor een ieder ter inzage bij alle deelnemende partijen. Privacyprotocol Het tegengaan van identiteitsfraude en documentenfraude Oost Nederland 8