Wie stelt het doel en de middelen vast van de gegevensverwerking en is derhalve verantwoordelijke voor de verwerking van persoonsgegevens;

Transcriptie

1 Bronbestand Vergunningen Drank- en Horecawet Hoe luidt de omschrijving / naam van de verwerking; Vergunningen Drank- en Horecawet. Geautomatiseerde verwerking van persoonsgegevens / deels fysieke dossiers (maar wel gestructureerd geheel van persoonsgegevens) met adressen horecabedrijven waarbij persoonsgegevens worden vastgelegd van de leidinggevende van het betreffende bedrijf; leidinggevende: de natuurlijke persoon of de bestuurders van een rechtspersoon of hun gevolmachtigden, voor wiens rekening en risico het horecabedrijf of het slijtersbedrijf wordt uitgeoefend, inclusief de bestuurders van een rechtspersoon als bedoeld in artikel 4 van de Drank- en Horecawet voor zover zij als leidinggevende op een horecavergunning worden vermeld; de natuurlijke persoon, die algemene leiding geeft aan een onderneming, waarin het horecabedrijf of het slijtersbedrijf wordt uitgeoefend in een of meer inrichtingen; de natuurlijke persoon, die onmiddellijke leiding geeft aan de uitoefening van zodanig bedrijf in een inrichting. Wie stelt het doel en de middelen vast van de gegevensverwerking en is derhalve verantwoordelijke voor de verwerking van persoonsgegevens; De burgemeester van de gemeente Nuth is de Verantwoordelijke voor de verwerking van persoonsgegevens. Wat is het doel of zijn de doeleinden voor de verwerking, hierbij wordt getoetst of de persoonsgegevens voor gerechtvaardigde doeleinden worden verzameld en verwerkt; De doelomschrijving bestaat uit meerdere doeleinden, in casu is sprake van een hoofddoel met een nevendoel. Het hoofddoel kan als de eigenlijke doelstelling worden beschouwd en het nevendoel geeft aan voor welk doeleinde de gegevens tevens zullen worden gebruikt. Op grond van artikel 9 van de Wbp zal het nevendoel verenigbaar moeten zijn met het hoofddoel. 1 De verenigbaarheidstoets wordt onderstaand verricht en uitgewerkt. Hierbij is geput uit de (werk)procesbeschrijvingen Regionaal Informatie en Expertise Centrum (RIEC). De verwerking geschiedt slechts voor: 1 Bron: AP, Wbp-naslag, hoofdstuk 2, artikel 7 Wbp; Bepaald doel. 1

2 a. het in beeld hebben voor wiens rekening en risico het horecabedrijf of het slijtersbedrijf wordt uitgeoefend, en de leidinggevende(n), ten behoeve van de toetsing aan de Drank- en Horecawet, het Besluit eisen zedelijk gedrag Drank- en Horecawet, het Besluit eisen inrichtingen Drank- en Horecawet en het Besluit Verklaring Sociale Hygiëne; b. het voorbereiden of nemen van, dan wel het adviseren over besluiten die op grond van de wettelijke voorschriften met betrekking tot de vergunning worden genomen; c. het toezicht op de naleving van de wettelijke voorschriften op grond waarvan de vergunning is verleend; d. het behandelen van geschillen en het doen uitoefenen van een accountantscontrole; e. nevendoel: het tegengaan van maatschappij ondermijnende activiteiten door criminele samenwerkingsverbanden door bijvoorbeeld het weigeren of intrekken van de vergunning, als de verlening of voortzetting daarvan voornoemde activiteiten zou faciliteren. Om dit nevendoel te bereiken vindt gegevensuitwisseling plaats met het samenwerkingsverband RIEC Limburg. Ten aanzien van het onder e opgenomen nevendoeleinde: voor wat betreft de werkprocessen van het RIEC Limburg: Integrale casusaanpak, Handhavingsknelpunten, Gebied-/wijkscan en nulmeting en Bibob ondersteuning bestuursorgaan. Verenigbaarheidstoets 1. Verwantschap; Algemeen Als uitgangspunt voor integer overheidsoptreden geldt dat overheidsorganen bij het uitvoeren van hun wettelijke taken en uitoefening van hun wettelijke bevoegdheden niet bewust, maar ook onbewust maatschappij ondermijnende activiteiten van criminele samenwerkingsverbanden dienen te faciliteren. Soms is dit uitgangspunt in enigerlei vorm geëxpliciteerd in bepaalde voorschriften met betrekking tot bijvoorbeeld het verlenen van een vergunning, in andere gevallen kan aan dit uitgangspunt gevolg worden gegeven binnen de discretionaire ruimte die overheidsorganen bij de uitvoering van hun taken hebben. Dat is alleen anders, indien deze discretionaire ruimte ontbreekt, bijvoorbeeld omdat een bepaald type vergunningverlening een limitatieve opsomming van weigeringsgronden kent waarin genoemd uitgangspunt niet terug te vinden is. Dit uitgangspunt impliceert dat overheidsorganen bij het verwerken van persoonsgegevens ten behoeve van de uitvoering van hun wettelijke taken of uitoefening van hun wettelijke bevoegdheden, in beginsel ook persoonsgegevens moeten kunnen verwerken om aan dat uitgangspunt te voldoen. Anders gezegd, gegevensverwerking in het kader van die taken en bevoegdheden kan als gerechtvaardigd nevendoel hebben dat maatschappij ondermijnende activiteiten door criminele samenwerkingsverbanden worden tegengegaan door bijvoorbeeld het weigeren of intrekken van vergunningen of subsidies, als de verlening of voortzetting daarvan dergelijke activiteiten zou faciliteren. Gegevensuitwisseling tussen de gemeente en het samenwerkingsverband RIEC is, binnen de daarvoor geldende grenzen, noodzakelijk om aan te tonen dat er sprake is van georganiseerde criminaliteit dan wel ter identificering van een handhavingsknelpunt en/of gelegenheidsstructuur op dat mede op basis van de uitgewisselde gegevens maatregelen van Strafrechtelijke, Bestuursrechtelijke en Fiscale aard kunnen worden getroffen ter voorkoming van georganiseerde criminaliteit. 2

3 Uit de wetenschap van de criminologie is duidelijk dat er bijna nooit sprake is van één vastomlijnde en stabiele criminele organisatie. Criminele organisaties kunnen beter gezien worden als fluïde netwerken waarin daders met elkaar in wisselende samenwerkingsverbanden samenwerken. Het begrip gelegenheidsstructuren refereert aan het feit dat door het bevoegd gezag aangewezen (groepen van) personen, gebied en/of branche de wettige omgeving nodig hebben om structureel vigerende regelgeving niet na te komen. De bovenwereld al dan niet bewust levert (cruciale) diensten, producten, kennis en/of infrastructuur en schept hierdoor faciliterende condities. Onderzoek naar gelegenheidsstructuren is een noodzakelijk onderdeel om in dit kader enig zicht en inzicht te krijgen. Beeldvorming en informatiepositie is geen doel op zichzelf. Vanuit het totaalbeeld ontstaat een breed handelingsperspectief ten behoeve van de uiteindelijke beslissers. Met de geïntegreerde aanpak van handhavingsknelpunten wordt een gezamenlijk overheidsoptreden nagestreefd. In de interventieadviezen wordt nadrukkelijk bezien welke overheidspartij(en) de beste kans(en) van succesvol interveniëren hebben. Op basis van de gegevens van bronbestanden of een combinatie van gegevens van bronbestanden kan aan de uiteindelijke beslissers geadviseerd worden welk "instrument of combinatie van instrumenten" door de betrokken convenantpartners kan worden ingezet om preventief dan wel repressief op te treden. Soms kan dat alleen door het intrekken van een vergunning of het wijzigen van een bestemmingsplan. Specifiek Het uitgangspunt van het optreden van de gemeente in het vergunningverleningsproces ten aanzien van de Drank- en Horecawet is dat het proces en de uitkomst van vergunningverlening integer geschied. Het voorkomen dat vergunningverlening gebruikt wordt voor maatschappij ondermijnende activiteiten door criminele samenwerkingsverbanden, is derhalve nauw verwant met de hoofddoeleinden als genoemd onder a tot en met c. De verstrekking van de benoemde gegevens uit het bronbestand Drank- en Horecawet is noodzakelijk voor de beeldvorming ten aanzien van betrokkenen omtrent hun rol en positie in de vermeende gelegenheidsstructuur of het vermeende handhavingsknelpunt en welke handhavende dan wel faciliterende rol het bestuursorgaan daarin kan spelen. De praktijk wijst uit dat sectoren waar sprake is van een relatief grote contante geldstroom, zoals de (droge en natte) horeca, extra gevoelig zijn voor criminele inmenging en witwassen. Om die reden kan informatie betreffende Drank- en Horecawetvergunningverlening zeer relevant zijn. In het kader van een uit te brengen interventieadvies kan het relevant zijn te weten of er lopende procedures zijn ten aanzien van betrokkene(n) dan wel dat betrokkene(n) een historie heeft in het voeren van procedures. Het beeld en de feiten die verkregen worden uit het bronbestand Drank- en Horecawet kunnen in combinatie met de gegevens uit de andere bronbestanden leiden tot een geïntegreerd interventieadvies. Aan het betreffend bestuursorgaan kan door het RIEC geadviseerd worden om bijvoorbeeld verleende vergunningen in te trekken of onder voorwaarden te verlenen. Hierbij valt ook te denken aan een administratief (fiscaal) onderzoek door de Belastingdienst. De rechtmatigheidgrondslag om op grond van de Wbp in onderhavig samenwerkingsverband persoonsgegevens te verstrekken is artikel 8, letter e, Wbp. Deze rechtmatigheidgrondslag (getoetst aan het beginsel van proportionaliteit en subsidiariteit) houdt in dat de verwerking van persoonsgegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak van de gemeente. Voor de verstrekking van de gegevens aan en binnen het RIEC samenwerkingsverband geldt dat er niet meer gegevens worden verwerkt dan strikt noodzakelijk is ter verwezenlijking van de voornoemde doeleinden (de gegevens zijn toereikend, ter zake dienend en niet bovenmatig). 3

4 2. aard van de gegevens; Algemeen Het tweede criterium voor de verenigbaarheidstoets is gelegen in de aard van de gegevens: hoe gevoeliger het gegeven, hoe minder snel van het oorspronkelijke doel mag worden afgeweken. Strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, zijn ingevolge artikel 16 Wbp per definitie gevoelig. De Wbp biedt echter in artikel 22 ruimte om voornoemde gegevens te verstrekken en de Wpg en Wjsg bieden onder voorwaarden expliciet ruimte om ingeval van een zwaarwegend algemeen belang voornoemde gegevens aan derden te verstrekken. Een dergelijk belang kan op grond van artikel 8 EVRM onder andere zijn gelegen in het voorkomen van wanordelijkheden en strafbare feiten. Ten behoeve van de samenwerkingsverbanden RIEC s is van deze ruimte gebruik gemaakt met het vaststellen van machtigingsbesluiten op grond van artikel 18 en 20 Wpg en artikel 8a en 39f, Wjsg. Specifiek Het gaat hier om gegevens betreffende vergunningaanvragen, gegevens omtrent verzet-, bezwaar- en beroepsprocedures, identificerende gegevens betreffende de relaties van sub- en objecten en de aard daarvan en identificerende gegevens betreffende telecommunicatie en internet (de bij de aanvraag van de vergunning geleverde contactgegevens zoals bijvoorbeeld het adres, telefoonnummer(s) en de internetsite van de onderneming). In de zin van de Wbp worden vanuit het bronbestand Drank- en Horecawet bijzondere persoonsgegevens verstrekt aan het RIEC; namelijk strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Gelet op de doelstelling van het samenwerkingsverband RIEC zullen deze gegevens daar waar dat noodzakelijk is op grond van artikel 22 Wbp worden verwerkt. Passende waarborgen, opdat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad, zijn gecreëerd. Deze worden in ieder geval gezocht in de wijze waarop invulling wordt gegeven aan de informatieplicht (zie hierna onder punt 5.). Er worden niet meer gegevens verwerkt dan strikt noodzakelijk is ter verwezenlijking van de voornoemde doeleinden (de gegevens zijn toereikend, ter zake dienend en niet bovenmatig). De belangenafweging wordt in het individuele geval gemaakt. 3. de gevolgen voor de betrokkene; Algemeen Voor het bepalen van verenigbaar gebruik moet ook rekening worden gehouden met de gevolgen van de verwerking voor betrokkene(n): als het verdere gebruik tot gevolg heeft dat een beslissing over de betrokkene wordt genomen, is eerder van onverenigbaar gebruik sprake dan wanneer dat niet het geval is (art. 9, tweede lid, onder c, Wbp). Bij de Integrale casusaanpak, de Gebied-/wijkscan en nulmeting en de aanpak handhavingsknelpunten is in dat opzicht voorzichtigheid geboden, omdat deze weliswaar slechts uitmonden in een advies, maar dat advies tot maatregelen ten aanzien van specifieke personen kan leiden. Om die reden zijn zie ook artikel 9, tweede lid, onder e, Wbp passende waarborgen gecreëerd. Deze worden in ieder geval gezocht in de wijze waarop invulling wordt gegeven aan de informatieplicht (zie hierna onder punt 5.). Specifiek 4

5 Het verdere gebruik kan in het vergunningverleningsproces en in de uitkomst van vergunningverlening ten aanzien van de Drank- en Horecawetvergunning tot de maatregel leiden van weigering of intrekking van de vergunning. In dit opzicht is voorzichtigheid geboden. Om die reden zijn zie ook artikel 9, tweede lid, onder e, Wbp passende waarborgen gecreëerd. Deze worden in ieder geval gezocht in de wijze waarop invulling wordt gegeven aan de informatieplicht (zie hierna onder punt 5.). 4. de wijze waarop de gegevens zijn verkregen; Algemeen Van belang is voorts de wijze waarop de gegevens zijn verkregen (art. 9, tweede lid, onder d, Wbp). Gaat het om gegevens die zijn verkregen met gebruikmaking van bijzondere bevoegdheden, zoals de politie en het OM die heeft, dan ontstaat al gauw een situatie waarin andere partners binnen het samenwerkingsverband RIEC indirect gebruik maken van bevoegdheden die men zelf niet heeft. Dit potentiële bezwaar wordt opgeheven, nu men gebruik maakt van de mogelijkheden die de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens bieden om gegevens aan derden c.q. samenwerkingsverbanden te verstrekken (vgl. de artikelen Wpg en de artikelen 8a en 39f Wjsg). In benutting van die mogelijkheden ligt opgesloten het feit dat gegevens door politie en OM zijn verzameld met gebruikmaking van bijzondere bevoegdheden in beginsel niet als bezwaar worden aangemerkt mits deze gegevens binnen de daartoe bestaande mogelijkheden van het Wetboek van Strafvordering en de Wjsg bilateraal worden verstrekt. In de Gebied-/wijkscan en nulmeting worden geen gegevens van het OM, de Belastingdienst, de politie en overige bijzondere opsporingsdiensten verzameld en/of verwerkt. Specifiek De betreffende gegevens zijn vergaard op grond van een publiekrechtelijke verplichting voor betrokkene(n); de gegevens worden verkregen van betrokkene(n) zelf in het kader van het Drank- en Horecawet traject (vergunningaanvraag-/verleningtraject), en daarnaast is het mogelijk dat voor een gedeelte van de gegevens geldt dat deze met gebruikmaking van bijzondere bevoegdheden door de gemeente zijn verkregen (middels de werkzaamheden van de BOA: Buitengewoon opsporingsambtenaar) dan wel indirect gebruik is gemaakt van bevoegdheden die de gemeente zelf niet heeft (zoals hiervoor beschreven onder punt 4. Algemeen). De gegevens die vervolgens in het kader van het convenant aan het samenwerkingsverband RIEC worden verstrekt komen uit het Drank- en Horecawet-bronbestand. Ten aanzien van de wijze waarop invulling wordt gegeven aan de informatieplicht, bewaartermijnen en beveiligingsmaatregelen voor wat betreft de gegevensuitwisseling met het RIEC wordt verwezen naar het hierna onder punt 5. beschrevene. 5. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen; De gegevens worden verstrekt uit het bronbestand Drank- en Horecawet. Het is daarom van belang dat bij betrokkene(n) bekendheid bestaat ten aanzien van het nevendoeleinde van het voornoemde bronbestand. Informatievoorziening naar betrokkene(n) ten aanzien van voorgaande is zeer van belang. Het college van burgemeester en wethouders houdt een Openbaar register van verwerkingen van persoonsgegevens. Onderhavige verwerking is in het register opgenomen. Het college 5

6 verleent eenieder die daarom verzoekt toegang tot de informatie opgenomen in het Openbaar register. Voorts zijn de te onderscheiden verwerkingen van persoonsgegevens binnen de gemeente opgenomen in het Wbp-meldingenregister van de AP. Het meldingenregister is openbaar en online via de website van de AP voor eenieder raadpleegbaar. Om ervoor te zorgen dat personen en organisaties binnen de regio vooraf in ieder geval weet hebben van de mogelijkheid tot gegevensuitwisseling met het samenwerkingsverband RIEC in het kader van het Convenant Geïntegreerde en Bestuurlijke Aanpak Georganiseerde Misdaad, Bestrijding Handhavingsknelpunten en Bevordering Integriteitsbeoordelingen, de kaders en criteria hiervoor, vindt informatieverstrekking ten aanzien van het samenwerkingsverband plaats op de website van de gemeente, Riecnet.nl en Riec.nl. In het belang van de algemene transparantie over de geïntegreerde en bestuurlijke aanpak van de georganiseerde criminaliteit, bestrijding handhavingsknelpunten en bevordering integriteitsbeoordelingen wordt het Privacyprotocol RIECs-LIEC gepubliceerd op de website van het RIEC en de gemeente (artikel 15.2 van het Privacyprotocol). In verband met mogelijke inzage verzoeken van betrokkene(n), alsmede het recht van betrokkene(n) om te weten aan wie zijn persoonsgegevens worden verstrekt, draagt de gemeente zorg voor vastlegging van wanneer welke persoonsgegevens aan wie met welk doel zijn verstrekt. Informatie wordt uitgewisseld middels het RIEC Informatiesysteem (RIEC-IS), het RIEC Filesharesysteem en i-base en eventueel andere door de regionale stuurgroep RIEC goedgekeurde informatiesystemen, applicaties of programma s zoals Word, Excell en Powerpoint. Met deze gegevensbestanden, informatiesystemen, programma s en applicaties worden verwerkingen gevoerd. Deze verwerkingen vallen onder het regime van de Wbp en voor zover van toepassing sectorale wet- en regelgeving. Deze geautomatiseerde gegevensbestanden zijn zodanig ingericht dat het voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. In de gegevensverwerkingen RIEC-IS en RIEC Filesharesysteem worden alle gevraagde en verstrekte persoonsgegevens voorzien van een bronvermelding (identiteit van de verzoeker en de verstrekker) de datum van bevraging en verstrekking, een omschrijving van de verstrekte gegevens en het doel van de verstrekking (alsmede de toets op proportionaliteit en subsidiariteit die het RIEC voorafgaande aan de vraag dient uit te voeren). Het RIEC Limburg houdt in het RIEC Filesharesysteem een logboek bij van kennelijk onjuiste verstrekkingen en bevragingen. Het RIEC dient informatie gefundeerd uit te vragen en de gemeente dient gefundeerd te beantwoorden. Betrokkene(n) wordt zo in staat gesteld achteraf de verstrekkingen van zijn gegevens te reconstrueren. Het Hoofd RIEC coördineert op instructie en onder verantwoordelijkheid van de gezamenlijke convenantpartners de informatie-uitwisseling binnen het samenwerkingsverband RIEC. Het hoofd bureau RIEC is aan te merken als bewerker in de zin van de Wbp en de convenantpartners van het samenwerkingsverband RIEC zijn aan te merken als verantwoordelijken in de zin van de Wbp. Op basis van deze coördinatiefunctie is het Hoofd RIEC verantwoordelijk voor de registraties van de informatie-uitwisseling in de daartoe ten behoeve van alle RIEC s ingerichte geautomatiseerd gegevensbestanden, zoals hiervoor benoemd. De gegevens die in dit kader door de verantwoordelijken aan de bewerker worden verstrekt zijn privacygevoelige persoonsgegevens en zowel de verantwoordelijken als de bewerker hechten groot belang aan het beschermen van de privacy. Daartoe is door de verantwoordelijken een bewerkersovereenkomst gesloten met de bewerker. De bewerker ziet erop toe dat de bewaartermijnen als bedoeld in artikel 17 van het Privacyprotocol worden nageleefd. Ten aanzien van de beveiliging van de (persoons)gegevens kan worden opgemerkt dat bij de bewerkersovereenkomst als bijlage een afzonderlijk beveiligingsprotocol is gevoegd met daarin de beveiligingsmaatregelen/autorisaties. Hierin is onder andere geregeld welke partijen en bevoegde personen in welke fases toegang hebben tot welke gegevens en hoe de autorisaties tot stand komen en geborgd worden. 6

7 Voor wat betreft het werkproces Integrale casusaanpak binnen het samenwerkingsverband RIEC kan het volgende worden opgemerkt. Aan de persoon of personen op wie de beslissing over de al dan niet uit te voeren interventies betrekking heeft ("subject(en)"), worden ingevolge artikel 34 van de Wbp de identiteit van de convenantpartners en de doeleinden van de verwerking meegedeeld en nadere informatie verstrekt, voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat er van wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. Indien tot interventie is besloten, vindt de mededeling/verstrekking plaats tegelijk met de feitelijke uitvoering van de interventie. Indien is besloten het onderzoek aan te houden of van een interventie af te zien, vindt de mededeling/verstrekking plaats binnen een termijn van vier weken. Deze mededeling/verstrekking kan, gelet op artikel 43 Wbp, op een later moment plaatsvinden of achterwege blijven, voor zover dit noodzakelijk is in het belang van: a. de veiligheid van de staat; b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen. Voor wat betreft de procesgang aanpak Gebied-/wijkscan/nulmeting kan worden opgemerkt dat betrokkenen (vooraf) worden geïnformeerd middels een algemene wijkkrant. Nu betrokkenen middels algemene gemeentelijke publicatie vooraf in kennis zijn gesteld dan wel kennis hebben kunnen nemen van deze werkwijze en het feit dat het een onevenredige inspanning vereist alle betrokkenen van deze scan persoonlijk te informeren, wordt een beroep gedaan op artikel 34, lid 4, van de Wbp. Aan anderen ten aanzien van wie persoonsgegevens zijn verwerkt, vindt geen mededeling/verstrekking plaats, omdat deze een onevenredige inspanning als bedoeld in artikel 43, vierde lid, Wbp zou vergen. Gelet op het voorgaande kan worden geconcludeerd dat sprake is van verenigbaarheid van het nevendoel met het hoofddoel. Worden de persoonsgegevens voor een specifiek doel verzameld en verder verwerkt op een manier die verenigbaar is met het doel waarvoor de persoonsgegevens zijn verkregen; De persoonsgegevens worden voor de onder het vorige punt welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en verwerkt middels het aanvraagformulier en de beschikking binnen het daartoe functionerende geautomatiseerde systeem en fysieke dossiers. Is de voorgenomen verwerking in concreto noodzakelijk met het oog op het omschreven doel van de verwerking; Ja, teneinde als gemeente te kunnen zorgdragen voor een correcte vergunningverlening in het kader van de Drank- en Horecawet, is het noodzakelijk dat de Verantwoordelijke in de zin van de Wet bescherming persoonsgegevens de hierna benoemde persoonsgegevens van betrokkene verwerkt. 7

8 Voldoet de gegevensverwerking aan de beginselen van proportionaliteit en subsidiariteit; Slechts de strikt noodzakelijke persoonsgegevens van betrokkene, teneinde een adequate en efficiënte vergunningverlening in het kader van de Drank- en Horecawet te kunnen bieden, worden verwerkt. Alle belangen in ogenschouw genomen, is de voorgenomen gegevensverwerking noodzakelijk voor het doel; aan het proportionaliteits- en subsidiariteitsbeginsel is voldaan. Wat is de rechtmatigheidgrondslag voor de verwerking van persoonsgegevens en welke procedures voor het bepalen van de rechtmatige grondslag van verwerking zijn er vastgelegd; De rechtmatigheidgrondslag voor deze verwerking is artikel 8, letter c en e, Wbp. Van welke personen of categorieën van personen worden er gegevens verwerkt (betrokkene); Aanvrager vergunning, leidinggevende(n). Welke persoonsgegevens worden verwerkt en wat is de herkomst van de gegevens (betrokkene moet kunnen nagaan wat er met zijn gegevens gebeurt); Geen andere persoonsgegevens worden verwerkt dan: a. naam van de natuurlijke of rechtspersoon of -personen aan wie de vergunning is verleend; van natuurlijke personen NAW-gegevens, geboortedatum en geboorteplaats en het telefoonnummer en soortgelijke voor communicatie benodigde gegevens; b. van natuurlijke personen een kopie identiteitsbewijs; c. NAW-gegevens, geboortedatum en geboorteplaats en het telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de leidinggevende(n); d. burgerservicenummer van de natuurlijke personen; e. uittreksel KvK; f. huurovereenkomst / eigendomsbewijs van het pand / koopovereenkomst van de inventaris (bij overname deels goodwill), geldleningsovereenkomst inclusief NAW-gegevens van geldgevers die natuurlijke personen zijn, hypotheekakte en stortingsbewijzen; g. beginbalans, winst- en verliesrekening, bedrijfsplan en exploitatiebegroting; h. bankafschriften; i. gegevens van de Justitiële Informatiedienst; j. politiegegevens (antecedentenonderzoek); k. het VOF contract (indien van toepassing); l. de statuten van een rechtspersoon en het bestuursreglement van para-commerciële instellingen; m. de arbeidsovereenkomst van de werknemer(s); 8

9 n. van natuurlijke personen de SVH Verklaring; o. tot welke bedrijfsuitoefening de vergunning strekt; p. de plaats waar de inrichting zich bevindt; q. de situering en de oppervlakten van de horeca- of slijtlokaliteiten en terrassen; r. gegevens betreffende de aard en het tijdstip van afgifte van de vergunning; s. andere dan de onder a. tot en met r. bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van een op de vergunning betrekking hebbend wettelijk voorschrift. De herkomst van de gegevens is: Basisregistratie personen (koppeling), politie, Openbaar Ministerie (ingeval de officier van justitie gebruik maakt van zijn tipfunctie zoals opgenomen in de Wet BIBOB), Justitiële Informatiedienst en inlichtingen verstrekt door de vergunningaanvrager(s) op het aanvraagformulier en de bijlagen daarbij, het digitale curateleregister en het digitale register inzake de diploma s sociale hygiëne worden geraadpleegd. Worden er bijzondere persoonsgegevens verwerkt en zo ja is dit in overeenstemming met de Wbp; Er is sprake van het verwerken van strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Het verbod op het verwerken van deze bijzondere persoonsgegevens (strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag) wordt opgeheven, omdat de uitzonderingsgrond genoemd in artikel 22, lid 2, letter a Wbp van toepassing is. Artikel 22, lid 7, Wbp, verklaart lid 2 ook van toepassing op de persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag. Gegevens over iemands ras (pasfoto): er wordt een kopie van het identiteitsbewijs gevraagd van natuurlijke personen. Het verbod op het verwerken van deze bijzondere persoonsgegevens wordt opgeheven, omdat de uitzonderingsgrond genoemd in artikel 18a Wbp van toepassing is: de kopie van het identiteitsbewijs wordt gevraagd met het oog op identificatie van betrokkene/leidinggevende. Identificatie van betrokkene/leidinggevende is noodzakelijk t.b.v. een zorgvuldige en volledige toets. Wordt een persoonlijk identificatienummer verwerkt voor een ander doel dan waarvoor het nummer specifiek is bestemd, met het doel de gegevens te koppelen; Is het persoonlijk identificatienummer voorgeschreven bij wet en wordt het slechts gebruikt ter uitvoering van die wet of een andere wet; Ja, ten aanzien van het BSN kan worden opgemerkt dat de verwerking in overeenstemming is met artikel 24, eerste lid, Wbp. Worden gegevens vastgelegd die door eigen waarneming zijn verkregen, zonder de betrokkene daarvan op de hoogte te stellen; 9

10 Worden er voor derden strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag verwerkt; Wie zijn de ontvangers van de persoonsgegevens; a. de persoonsgegevens worden slechts verstrekt aan degenen, waar onder begrepen derden, die zijn belast met of leiding geven aan het proces van vergunningverlening, handhaving en intrekking of die daarbij noodzakelijk zijn betrokken. Al deze personen zijn uit hoofde van ambt tot geheimhouding verplicht; b. de Brandweer ( en overige binnengemeentelijke afdelingen zoals Bouwtoezicht, Juridische Zaken/Bestuursondersteuning, Vergunningverlening en Toezicht en Handhaving); c. aan het Lokaal Overleg Bestuurlijke en Geïntegreerde Aanpak Georganiseerde Criminaliteit; d. aan het Regionaal Informatie en Expertise Centrum Limburg; e. aan anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, of artikel 9, derde lid, van de wet. Worden gegevens doorgegeven naar landen buiten de Europese Unie of is er een voornemen daartoe; Op welke wijze zijn de persoonsgegevens beveiligd en waar is dat terug te vinden (is sprake van maatregelen op basis van risicoanalyse, worden beveiligingsstandaarden toegepast en wordt gezorgd voor de inbedding in een plan-do-check-act-cyclus); De Verantwoordelijke beveiligt de persoonsgegevens van betrokkenen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De Verantwoordelijke treft daarvoor de nodige passende technische en organisatorische maatregelen. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Op de onderhavige verwerking van persoonsgegevens is het Informatiebeveiligingsbeleid van de gemeente Nuth (hiervan maakt het Informatiebeveiligingsplan deel uit) van toepassing. Van de volgende beveiligingsmaatregelen is sprake, deze zijn in de melding bij de Autoriteit Persoonsgegevens (AP) aangegeven: -vastgesteld beveiligingsbeleid dat ook is geïmplementeerd; -fysieke maatregelen voor toegangsbeveiliging, inclusief organisatorische controle; -logische toegangscontrole met behulp van iets wat iemand weet (wachtwoord of pincode); -controle op toegekende bevoegdheden; -kluis voor opslag van gegevensbestanden; -inbraakalarm. 10

11 Is er een bewerker. Zo ja, is er met de bewerker een bewerkersovereenkomst afgesloten (is hierin een clausule opgenomen over de verplichting tot informatiebeveiliging en hebben alle medewerkers van de bewerker een geheimhoudingsverklaring; zijn de beveiligingsmaatregelen schriftelijk vastgelegd en wordt gecontroleerd op het daadwerkelijke beveiligingsniveau); Is er sprake van verzending van gegevens via elektronische weg; Ja, via een publiek netwerk / een eigen netwerk; er is geen sprake van encryptie. Wat is de bewaartermijn voor de verwerking van persoonsgegevens en worden gegevens niet langer bewaard dan noodzakelijk is voor de realisering van het doel waarvoor ze worden verzameld of vervolgens worden verwerkt en welke maatregelen zijn er genomen om dit te waarborgen; De persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de hiervoor genoemde doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. In het systeem blijven de digitale gegevens per horeca-inrichting onbeperkt bewaard. Controle door de Verantwoordelijke op naleving van de bewaartermijnen ten aanzien van onderhavige verwerking van persoonsgegevens binnen de gemeente Nuth vindt periodiek plaats door de functionaris voor de gegevensbescherming van de gemeente Nuth. Het archief wordt beheerd op grond van de kaders die de Archiefwet stelt. Welke is de kwaliteit van de gegevens en is voorzien in procedures waarin de kwaliteit van de verwerking van persoonsgegevens wordt gewaarborgd; Er worden niet meer gegevens verwerkt dan noodzakelijk is. Gelet op het doel waarvoor de gegevens worden verzameld of vervolgens worden verwerkt, zijn deze toereikend, ter zake dienend en niet bovenmatig. De Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Worden de betrokkenen geïnformeerd over de verwerking van hun persoonsgegevens of wordt een beroep gedaan op artikel 43 Wbp; Algemeen Betrokkenen worden geïnformeerd over de verwerking van hun persoonsgegevens in het kader van de vergunningverlening Drank- en Horecawet middels het Openbaar register van verwerkingen van persoonsgegevens. Specifiek Betrokkene is reeds op de hoogte van de verwerking van zijn persoonsgegevens in het kader van de vergunningverlening Drank- en Horecawet door het verstrekken van zijn gegevens middels het aanvraagformulier Drank- en Horecawet. 11

12 Is de verwerking van persoonsgegevens transparant en welke maatregelen zijn er getroffen voor het verstrekken van inlichtingen over de gemelde en daarvan vrijgestelde verwerkingen; De verwerking van persoonsgegevens Vergunningen Drank- en Horecawet is opgenomen in het Openbaar register van verwerkingen van persoonsgegevens gemeente Nuth. Het stuk kan kosteloos worden opgevraagd bij de Verantwoordelijke via of kosteloos worden ingezien bij de gemeente Nuth, gevestigd aan het Deweverplein 1 te Nuth. In de beschrijving van onderhavige verwerking van persoonsgegevens is het Meldingsnummer bij de Autoriteit Persoonsgegevens (AP) opgenomen. De betreffende melding kan worden geraadpleegd in het Wbp-meldingenregister van de AP via de website Hoe zijn de rechten van betrokkenen gewaarborgd; Middels het Privacyprotocol gemeente Nuth zijn de rechten in de organisatie ingebed. Betrokkene kan het Privacyprotocol kosteloos opvragen via gemeente@nuth.nl of kosteloos inzien bij de gemeente Nuth. Hierin staat onder andere beschreven hoe betrokkene zijn rechten kan uitoefenen. Worden er gegevens verwerkt voor direct marketing doeleinden; Is er sprake van het nemen van besluiten op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van iemands persoonlijkheid; Welke maatregelen/procedures zijn er getroffen met stappen vanaf het voornemen om persoonsgegevens te gaan verwerken tot en met het melden van de verwerking en het verstrekken van inlichtingen; Onderhavige verwerking van persoonsgegevens binnen de gemeente Nuth is in kaart gebracht en gemeld bij de AP. Periodieke controle of alle onderdelen van de gegevensverwerking nog in overeenstemming zijn met bij de melding aan de AP doorgegeven informatie vindt plaats door de functionaris voor de gegevensbescherming binnen de gemeente Nuth. Aanpassingen in de verwerking van persoonsgegevens worden door de Verantwoordelijke binnen de in de wet gestelde termijnen aan de AP doorgegeven. Het Privacyprotocol bepaalt dat elk voornemen binnen de gemeente tot het gaan verwerken van persoonsgegevens, anders dan opgenomen in het Openbaar register van verwerkingen van persoonsgegevens, dient te worden aangemeld bij de functionaris voor de gegevensbescherming. Betrokkenen worden geïnformeerd over de verwerking van hun persoonsgegevens in het kader van de Vergunningverlening Drank- en Horecawet op de wijze zoals in het Privacyprotocol en onderhavig document is bepaald. 12

13 Is een zogenaamd voorafgaand onderzoek door de AP vereist; Nee, er is geen sprake van het (voornemen tot) verwerken van een nummer ter identificatie van personen voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is teneinde gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke; voorts is geen sprake van het (voornemen tot) vastleggen van gegevens op grond van het gericht verzamelen van informatie door middels van eigen onderzoek zonder de betrokkene daarvan op de hoogte te stellen en er is geen sprake van het (voornemen tot) verwerken van strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag ten behoeve van derden. Is het Vrijstellingsbesluit Wbp van toepassing op de verwerking; Onderhavige verwerking is gemeld bij de AP. Wie is de contactpersoon voor de melding bij de AP; Marion Dekkers, gemeente Nuth. Wat is het meldingsnummer bij de AP; m Datum; Versie 31 januari