Nummer ZD2017-003114 Directie directie middelen en control Agendapunt B0 Tekst van openbare besluiten wordt gepubliceerd Onderwerp Wijziging Protocol verwerking persoonsgegevens en aanpassing artikel 18.4 van de Nieuwe Rechtspositieregeling. Tekst van openbare besluiten wordt gepubliceerd Het college van burgemeester en wethouders besluit 1. Het protocol voor de gegevensverwerking en -verstrekking van alle personen die werkzaamheden verrichten voor de gemeente Amsterdam vast te stellen conform bijlage 1. De belangrijkste wijzigingen zijn: Tekstuele aanpassingen in verband met de organisatiewijziging per 1 januari 2015; Het Protocol is teruggebracht tot een kaderstellend handvat, en stelt onder andere voorwaarden aan de uitvoering; de bestaande uitvoeringspraktijk zal hierdoor aangescherpt worden. De rol van beheerder is opgedragen aan de directeur van de RVE Organisatieadvies, en derhalve niet meer aan de afzonderlijke directeuren en stadsdeelsecretarissen. 2. Het Protocol verwerking persoonsgegevens, vastgesteld op 23 oktober 2007, nr. BD2007-005639 (bijlage 2) in te trekken. 3. Aanpassing in de toelichting bij artikel 18.4 NRGA inzake verzet en/of gebruik persoonsgegevens conform bijlage 3. Voorheen werd het aangetekende verzet beoordeeld door het hoofd van het organisatieonderdeel van de ambtenaar. In het nieuwe protocol is de beheerder (directeur rve PO) door het College aangewezen voor de uitoefening van de rechten van betrokkene op grond van de Wet bescherming persoonsgegevens. 4. Vaststelling van de wijziging van het bevoegdhedenbesluit conform bijlage 4 met als gevolg dat de directeur van de RVE Organisatieadvies bevoegd is om besluiten te nemen op grond van artikel 18.4 NRGA. 5. De inwerkingtreding van dit besluit te bepalen op de dag na die van bekendmaking in het gemeenteblad. Kernboodschap Het College heeft op 30 mei 2017 een nieuw protocol voor de verwerking van persoonsgegevens in de personeels- en salarisadministratie vastgesteld. Het is een vertaling van de Wet bescherming persoonsgegevens voor de als werkgever. Het oude protocol dateerde uit 2007 en was sterk verouderd omdat de gemeentelijke organisatie geheel is veranderd. Voornaamste wijzigingen betreffen de bevoegdheden, het dagelijks beheer van de gegevensverwerking en de leesbaarheid. Het Protocol betreft een kader voor de uitvoering en treedt in werking op 2 juni 2017. Gegenereerd: v1.23 1
Bestuurlijke achtergrond Het College is op grond van de Wet Bescherming Persoonsgegevens verantwoordelijk voor de verwerking van persoonsgegevens op een juiste en veilige manier. Het voorgelegde nieuwe Protocol is gebaseerd op de wet- en regelgeving op het gebied van gegevensverwerking en op de Wet bescherming persoonsgegevens. De nieuwe bevoegdhedenstructuur, ontstaan door de nieuwe gemeentelijke organisatie vanaf januari 2015, is hierin opgenomen. Het voorstel tot aanpassing toelichting bij artikel 18.4 is op 21 maart akkoord bevonden door de Amsterdamse vakbonden. Conform verdere procedure heeft de gemeentesecretaris ingestemd met de voorgestelde NRGA-aanpassing. De NRGA-wijzigingen moeten vervolgens door het college worden vastgesteld om rechtsgeldig te worden. Bestuurlijke prioriteit n.v.t. Wettelijke grondslag Op grond van de artikelen 160 Gemeentewet en 125 van de Ambtenarenwet is de Nieuwe Rechtspositieregeling van de vastgesteld door het College van. Om de wijzigingen rechtskracht te laten verkrijgen moeten ze door het college worden vastgesteld. Onderbouwing besluit Het Protocol is opgesteld, zodat iedereen binnen de gemeente dezelfde richtlijnen hanteert met betrekking tot de verwerking, beheer en vernietiging van persoonsgegevens. Beslispunt 1: Instemming met het protocol voor de gegevensverwerking en verstrekking van alle personen die werkzaamheden verrichten voor de gemeente Amsterdam Reden wijziging protocol 1. Het huidige protocol dateert uit 2007 en moet worden aangepast omdat door de grote organisatiewijzigingen in 2015 en de daarmee samenhangende bevoegdheden is het huidige protocol feitelijk en juridisch onjuist. 2. Het huidige protocol regelt de verwerking ten behoeve van personeels- en salarisadministratie. In het nieuwe protocol gaat de verwerking echter verder dan dat. Verwerking van persoonsgegevens gebeurt ook in andere systemen waarbij de voorwaarden uit de Wet Bescherming Persoonsgegevens én uit het nieuwe Protocol van toepassing is. 3. Het onderscheid tussen centrale en decentrale werkgever is komen te vervallen. 4. De P&O-functie is gecentraliseerd waardoor bevoegdheden en rollen anders zijn komen te liggen. 5. Verbetering van de leesbaarheid. Het vorige protocol was moeilijk toegankelijk zodat het wenselijk was om de leesbaarheid te verbeteren. Inhoud Protocol Gegenereerd: v1.23 2
Het Protocol beschrijft hoe de gemeente Amsterdam met persoonsgegevens moet omgaan. Het Protocol bevat bijvoorbeeld afspraken over de wijze waarop gegevens worden verwerkt, wie ervoor verantwoordelijk is, wie ze onderhoudt, wie ze mag verwerken, wat de rechten zijn van betrokkenen en welke bewaartermijnen gelden. Het Protocol is teruggebracht tot een kaderstellend handvat. Veel bijlagen, waarvan een aantal niet meer actueel is, waren ter ondersteuning van het operationele proces voornamelijk gericht op het personeels- en salarissysteem. Er is bewust gekozen om in het Protocol geen doorvertaling te maken naar de uitvoering omdat de organisatie en de processen rondom de verwerking en beveiliging van persoonsgegevens te complex en te divers zijn. Ná vaststelling van het Protocol door het College zal de uitvoering ter hand worden genomen. In het Protocol van 2007 was de gegevensverwerking gebaseerd op de hiërarchische organisatie dit veroorzaakte veel onduidelijkheden en inflexibiliteit bij diensttak- en zelfs afdelingsoverstijgende thema s, reorganisaties ed. Door het nieuwe Protocol komen deze knelpunten niet meer voor doordat het beheer van de verwerking van persoonsgegevens bij de directeur van de RVE Organisatieadvies is belegd. Persoonsgegevens kunnen nu uitsluitend met instemming of onder voorwaarden van of namens de directeur van de rve PO bewerkt, gebruikt of verzonden worden. Advies Commissie Persoonsgegevens Amsterdam De Commissie persoonsgegevens Amsterdam (CPA) heeft het Protocol behandeld op 14 april 2016 en daarover een positief advies gegeven. Daarbij heeft zij expliciet aandacht gevraagd voor het aspect beveiliging, waaronder een controle op autorisaties en logging. Tevens heeft de commissie gevraagd om een evaluatie na een jaar. De vraag van de CPA richt zich met name op Mijnpersoneelsnet. Door de reorganisatie van 2015 is het beheer van de autorisatieregeling verplaatst naar de rve PO waar men momenteel bezig is deze opnieuw in te richten. Deze nieuwe aanpak zal gemonitord worden. De bevindingen zullen aan de CPA en de OR beschikbaar worden gesteld. Anderhalf jaar na de inwerkingtreding van het Protocol zal een evaluatie plaatsvinden. De uitkomsten hiervan zullen worden gedeeld met de CPA. Instemming Ondernemingsraad De Ondernemingsraad (OR) heeft op 6 januari 2017 ingestemd met het concept protocol onder de volgende voorwaarden: 1. Alle antwoorden op de gestelde vragen worden waar nodig verwerkt in het Protocol. 2. De vragen van de OR en daarbij behorende antwoorden horen onlosmakelijk bij deze instemming. 3. De OR ontvangt na een jaar van inwerkingtreding van het Protocol een evaluatie. 4. De OR wordt betrokken bij de criteria waaraan de evaluatie moet voldoen. De OR neemt daarbij de door de CPA gevraagde aandacht voor het aspect beveiliging over. Gegenereerd: v1.23 3
De bestuurder is akkoord met de hierboven genoemde voorwaarden. Ten aanzien van het derde punt zal de evaluatie na anderhalf jaar plaatsvinden in plaats van een jaar na de inwerkingtreding plaatsvinden. De verwachting is dat een jaar tekort is om het Protocol te implementeren. Na anderhalf jaar zal er een beter beeld bestaan over de werking van het Protocol. Beslispunt 2: Intrekking huidige Protocol verwerking persoonsgegevens Gelijktijdig met het vaststellen van het nieuwe Protocol wordt het huidige protocol van 23 oktober 2007 ingetrokken, als logisch gevolg van de vaststelling van het nieuwe protocol en ter voorkoming van onduidelijke regelgeving. Beslispunt 3: Aanpassing toelichting artikel 18.4 NRGA inzake verzet en/of gebruik persoonsgegevens In het Protocol is opgenomen dat bij aangetekend verzet van een ambtenaar tegen de verwerking zijn persoonsgegevens in verband met zijn bijzondere, persoonlijke omstandigheden de beheerder beoordeelt of het verzet gerechtvaardigd is. De toelichting bij artikel 18.4 NRGA moet hierop worden aangepast. Beslispunt 4: Het Bevoegdhedenbesluit ambtelijke organisatie De beslissingsbevoegdheid van de directeur RVE organisatieadvies op grond van artikel 18.4 NRGA was nog niet opgenomen in het Bevoegdhedenbesluit. Beslispunt 5: Datum inwerkingtreding Te bepalen dat dit besluit in werking treedt op de derde dag na die van bekendmaking in het gemeenteblad. Financiële onderbouwing Overige toelichting: De genoemde beslispunten in de voordracht hebben geen financiële consequenties. Conclusie: De genoemde beslispunten in de voordracht hebben geen financiële consequenties. Binnen de gemeente Communicatie Het besluit wordt opgenomen in de besluitenlijst. Het gewijzigde Protocol zal gemeentebreed worden gecommuniceerd. De P&O-ers van de gemeente Amsterdam worden geïnformeerd via PO-nieuws. Medewerkers worden geïnformeerd via de nieuwsbrief voor de medewerkers. Tevens zal het protocol beschikbaar worden gesteld op een specifiek hiervoor ontworpen intranet-site. Ná besluitvorming worden de uitvoeringsprocessen aangepast waarbij de interne gebruikers van persoonsgegevens betrokken worden. Gegenereerd: v1.23 4
Buiten de gemeente Het besluit wordt gepubliceerd in het Gemeenteblad. De NRGA-tekst wordt opgenomen op de NRGA-site. Stukken Registratienr. AD2017-028954 AD2017-028956 AD2017-025931 AD2017-028955 AD2017-028957 Naam 170530 Bijlage 1 bij voordracht ZD2017-003114.pdf (pdf) 170530 Bijlage 3 bij voordracht ZD2017-003114.doc (msw8) College van Voordracht (pdf) 170530 Bijlage 2 bij voordracht ZD2017-003114.pdf (pdf) 170530 Bijlage 4 bij voordracht ZD2017-003114.docx (msw12) Behandelend ambtenaar (naam, telefoonnummer en e-mailadres) Shie Sun, rve PO, s.sun@amsterdam.nl, telefoonnummer 020 251 7006 Besluit college van burgemeester en wethouders Gegenereerd: v1.23 5