SAMENWERKINGSPROTOCOL AVG
SAMENWERKINGSPROTOCOL AVG
PU-ODRU-RUD
Datum 5 april 2024
Versie 1.4
Overwegingen
De hierna volgende afspraken tussen de Provincie Utrecht (hierna PU), de Omgevingsdienst Regio Utrecht (hierna: ODRU) en de Regionale Uitvoeringsdienst Utrecht (hierna: RUD Utrecht) afzonderlijk te noemen: ‘Partij' en, gezamenlijk te noemen: ‘Partijen', zijn tot stand gekomen op basis van de volgende overwegingen:
- De PU, ODRU en RUD het gezamenlijke doel hebben om veehouderij gerelateerde activiteiten in beeld te brengen en hierover af te stemmen in het licht van het versterken van de VTH-samenwerking in het landelijk gebied;
- De RUD de opdracht van de PU heeft gekregen tot het opzetten van een project waarbij gegevens worden uitgewisseld betreffende veehouderijen gevestigd binnen het werkgebied van de PU, ODRU en RUD, nader genoemd het Fundament Omgevingsinformatie Landelijk Gebied (hierna: FOLG);
- Voor het FOLG informatie betreffende veehouderijen gevestigd binnen de provincie Utrecht worden uitgewisseld en verwerkt;
- De PU, ODRU en RUD de gezamenlijke verantwoordelijkheid hebben binnen het project voor het delen, verwerken en vastleggen van gegevens en documentatie daaromtrent;
- Artikel 26 van de Algemene Verordening Gegevensbescherming (hierna: AVG) bepaalt dat als sprake is van een gezamenlijke verwerkingsverantwoordelijkheid, die partijen afspraken moeten maken over de verwerking van persoonsgegevens, met als doel de respectieve verantwoordelijkheden van de partijen vast te leggen en de naleving van de verplichtingen op grond van de AVG te borgen.
1. Doel Samenwerkingsprotocol
Het doel van het Samenwerkingsprotocol is het bewerkstelligen van VTH-samenwerking in het landelijk gebied met als primaire opgave het in beeld brengen van en afstemmen over veehouderij gerelateerde activiteiten in relatie tot de VTH-taken die de wet- en regelgeving van de fysieke leefomgeving aangaan, waaronder begrepen de Omgevingswet.
2. Begrippen
In dit Samenwerkingsprotocol AVG worden de hierna met een hoofdletter geschreven begrippen in de volgende betekenis gebruikt, onafhankelijk van de vraag of die begrippen in het enkelvoud of meervoud worden gebruikt:
a. AVG: de Algemene Verordening Gegevensbescherming;
b. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;
c. Contractspartij: de Partij die een Verwerkersovereenkomst sluit met een Verwerker;
d. FOLG: het programma Fundament Omgevingsinformatie Landelijk gebied, waarbinnen gegevens worden gedeeld betreffende veehouderijen.
e. Functionaris gegevensbescherming: de functionaris zoals bedoeld in de artikelen 37, 38 en 39 AVG;.
f. Inbreuk: een inbreuk op de beveiliging (ofwel datalek) die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens;
g. Levering: zie verwerking.
h. Partij(en): één van de deelnemende organisaties, of de deelnemende organisaties gezamenlijk, in het Samenwerkingsverband;
i. Persoonsgegeven: alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon;
j. Samenwerkingsprotocol: het onderhavige Samenwerkingsprotocol AVG;
k. Verwerking en Verwerken: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens met betrekking tot het Samenwerkingsprotocol;
l. Samenwerkingsverband: de samenwerking tussen de Provincie Utrecht, Omgevingsdienst Utrecht en de Regionale Uitvoeringsdienst Utrecht, ingesteld wegens de uitvoering van het FOLG;
m. Verwerkingsverantwoordelijke: een Partij die het doel en de middelen van de verwerking van Persoonsgegevens vaststelt;
n. Verwerker: een derde partij/opdrachtnemer die in opdracht van en ten behoeve van het Samenwerkingsverband Persoonsgegevens verwerkt. De Verwerker heeft slechts een uitvoerende taak en heeft geen zeggenschap over de wezenlijke aspecten van de verwerking;
o. Verwerkersovereenkomst: een overeenkomst tussen een Verwerkingsverantwoordelijke en een Verwerker zoals bedoeld in artikel 28, lid 3 AVG.
3. Reikwijdte
3.1 Gegevens worden door de RUD enkel gebruikt ten behoeve van het FOLG.
3.2 Voor het gebruik van de gegevens voor andere doeleinden dan het doel zoals omschreven onder 1 wordt kan, bij besluit door Partijen gezamenlijk, een addendum aan dit protocol worden toegevoegd, danwel een nieuwe overeenkomst tussen partijen worden opgesteld die voldoet aan de AVG.
3.3 Nieuwe partijen kunnen zich aansluiten bij dit onderhavige protocol door, met toestemming van Partijen gezamenlijk, een addendum aan dit protocol toe te voegen.
4. Partijen in het Samenwerkingsverband
4.1 In verband met de uitvoering van de verwerkingsactiviteiten is elke Partij een (gezamenlijke en/of zelfstandige) Verwerkingsverantwoordelijke voor de Verwerking van Persoonsgegevens en kwalificeren zij dienovereenkomstig in relatie tot de (een deel van de) de verwerkingsactiviteiten als gezamenlijke Verwerkingsverantwoordelijke en/of als zelfstandige Verwerkingsverantwoordelijke.
4.2 De Partijen die onderdeel uitmaken van het Samenwerkingsverband en mede het doel en de middelen ten behoeve van de verwerking van persoonsgegevens bepalen, zijn te kwalificeren als zelfstandig Verwerkingsverantwoordelijken, alsmede gezamenlijk Verwerkingsverantwoordelijken zoals bedoeld in artikel 26 AVG.
4.3 De volgende Partijen worden aangemerkt als Verwerkingsverantwoordelijke:
1. De Provincie Utrecht: De publiekrechtelijke rechtspersoon de Provincie Utrecht, gevestigd aan de Xxxxxxxxxxxxxx 0, 0000 XX xx Xxxxxxx.
2. Omgevingsdienst Regio Utrecht: de Omgevingdienst regio Utrecht gevestigd aan de Xxxxxxxxxxxxxx 0, 0000 XX xx Xxxxxxx.
3. Regionale Uitvoeringsdienst Utrecht: de Regionale Uitvoeringsdient Utrecht gevestigd aan de Xxxxxxxxxxxxxx 0, 0000 XX xx Xxxxxxx.
5. Verantwoordelijkheden en bevoegdheden Partijen
5.1 Elke Partij is verantwoordelijk voor het eigen proces van Verwerking.
Elke Partij verwerkt de Persoonsgegevens in overeenstemming met de AVG. Partijen zullen elkaar alle informatie verschaffen die redelijkerwijs noodzakelijk is om aan te tonen dat voldaan wordt aan de relevante eisen van de AVG.
5.2 Elke Partij wijst een eigen privacy coördinator of privacy officer aan ten behoeve van het Samenwerkingsverband.
6. Levering van data
6.1 De Levering heeft betrekking op gegevens betreffende veehouderijen gevestigd binnen de provincie Utrecht. De aan te leveren informatie omvat drie verschillende bronnen met bijbehorende informatie. Het gaat per bron om de volgende informatie:
1. Locatiedossiers
a. Documenten:
i. Besluiten, besluitkenmerken en datum besluit (geldende juridische referentie en meest recent vergunde situatie)
b. Bij te leveren informatie:
i. Locatiedossiernummer
ii. Datum dossier
iii. Dossiernaam
iv. Statutaire of handelsnaam
v. Adres (straatnaam, huisnummer, postcode)
vi. Vestigingsnummer
2. Stalsystemen
a. Documenten
i. Tekening
b. Bij te leveren informatie:
i. Statutaire of handelsnaam
ii. Geregistreerde stalsystemen + kenmerk/nummer
iii. Hoofdcategorie dieren
iv. Dieraantallen
v. RAV-code
vi. Vestigingsnummer
3. Omgevingsdossiers
a. Documenten
i. Besluiten, besluitkenmerken en datum besluit (geldende juridische referentie en meest recent vergunde situatie)
b. Bij te leveren informatie:
i. Dossiernummer
ii. Datum dossier
iii. KvK-nummer (indien aanwezig)
iv. Statutaire of handelsnaam
v. Adres (straatnaam, huisnummer, postcode)
vi. Gemeente
vii. X- en Y-coördinaat
viii. Vestigingsnummer
ix. Bevoegd gezag
x. Type activiteit (SBI)
6.2 De gegevens worden niet langer bewaard dan noodzakelijk voor de uitvoering van de omschreven taak.
7. Wijze waarop gegevens worden uitgewisseld
7.1 De ODRU geeft toegang tot zaaksysteem Rx.Mission en Business Intelligence tool Qlik Cloud aan vier projectmedewerkers van de RUD. Indien meer projectmedewerkers ingezet worden door de RUD dient de ODRU hier schriftelijke toestemming voor te geven.
7.2 De projectmedewerkers van de RUD zullen door de ODRU een instructie krijgen voor het gebruik van de twee systemen.
7.3 De projectmedewerkers van de RUD mogen de systemen alleen raadplegen voor gegevens van veehouderijen die vallen binnen FOLG.
7.4 Activiteiten van projectmedewerkers van de RUD in de systemen wordt gelogd en kunnen worden geraadpleegd als daar aanleiding voor is.
8. De privacy coördinator of privacy officer
8.1 De privacy coördinator of privacy officer fungeert als eerste aanspreekpunt voor de Partijen, de Betrokkenen en de Functionarissen gegevensbescherming, ten aanzien van alle AVG aangelegenheden, met inachtneming van het bepaalde in artikel 1.
In bijlage 1 zijn de namen en contactgegevens van de privacy coördinatoren of privacy officers van alle Partijen opgenomen.
8.2 De privacy coördinator of privacy officer ziet toe op de naleving van dit Samenwerkingsprotocol en informereert of consulteert de Functionarissen gegevensbescherming van Partijen bij eventuele onregelmatigheden of behoefte aan advies.
In de overige artikelen in dit Samenwerkingsprotocol is de rol van de privacy coördinator of privacy officer nog op specifieke onderwerpen geregeld.
9. Toezicht en aanwijzing Functionaris gegevensbescherming
9.1 Het toezicht op de naleving van de AVG omtrent de Verwerking van Persoonsgegevens binnen het Samenwerkingsverband wordt in beginsel uitgevoerd door de Functionarissen gegevensbescherming van Partijen.
In bijlage 1 zijn de naam en contactgegevens van de Functionarissen gegevensbescherming per Partij opgenomen.
9.2 Het Samenwerkingsverband verschaft de Functionarissen gegevensbescheming te allen tijde toegang tot hun Verwerkingen van Persoonsgegevens om te kunnen toezien op de juiste naleving van de AVG, met inachtneming van het bepaalde in artikel 1.
9.3 Het Samenwerkingsverband zorgt ervoor dat de Functionarissen gegegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband kunnen houden met het Verwerken van Persoonsgegevens en de naleving van de AVG, met inachtneming van het bepaalde in artikel 1.
9.4 Initiatieven voor nieuwe Verwerkingen, of significante wijzigingen binnen bestaande Verwerkingen, worden aan alle Functionarissen gegevensbescherming vooraf voorgelegd om advies in te winnen ten behoeve van het toezicht op de juiste naleving van de AVG, met inachtneming van het bepaalde in artikel 1.
10. Beschrijving en afbakening verwerking van persoonsgegevens
10.1 Elke Partij houdt een eigen verwerkingsregister bij, zoals bedoeld in artikel 30 AVG, specifiek ten aanzien van de Verwerkingen van Persoonsgegevens die onder de verantwoordelijkheid van het Samenwerkingsverband vallen.
10.2 Het register zoals bedoeld in lid 1 bevat alle verplichte elementen zoals opgenomen in artikel 30 AVG. De Verwerking wordt tevens aan al deze verplichte elementen getoetst alvorens met de Verwerking wordt gestart.
10.3 Indien er sprake is van een Verwerking met een verhoogd privacy risico voor de Betrokkenen, wordt een data protection impact assessement (hierna: DPIA) uitgevoerd. Hierover wordt advies ingewonnen bij de privacy coördinator of privacy officer van Partijen en de Functionarissen gegevensbescherming.
10.4 Alle Partijen dragen de verantwoordelijkheid om ervoor te zorgen dat het register zoals bedoeld in lid 1 volledig en actueel is en dat nieuwe Verwerkingen, of significante wijzigingen in bestaande Verwerkingen, tijdig worden gemeld aan de privacy coördinator of privacy officer van de andere Partijen. De administratieve taken omtrent het register zijn belegd bij de privacy coördinator of privacy officer.
10.5 Partijen zorgen ervoor dat de Functionarissen gegevensbescherming naar behoren en tijdig worden betrokken bij alle relevante aangelegenheden die verband kunnen houden met het Verwerken van Persoonsgegevens en de naleving van de AVG, voor zover dit past binnen de toezichthoudende rol van de Functionarissen gegevensbescherming.
10.6 Initiatieven voor nieuwe Verwerkingen, of significante wijzigingen binnen bestaande Verwerkingen, worden aan de Functionarissen gegevensbescherming voorgelegd om advies in te winnen ten behoeve van het toezicht op de juiste naleving van de AVG, met inachtneming van het bepaalde in artikel 1.
10.7 Partijen laten Persoonsgegevens niet verwerken buiten de Europese Economische Ruimte, tenzij wordt voldaan aan de voorwaarden van rechtmatige doorgifte op grond van artikel 45 of 46 AVG, en alle Partijen hierover overeenstemming hebben bereikt.
10.8 In het kader van de doelstellingen en taken van het Samenwerkingsverband, worden Persoonsgegevens slechts verwerkt ten behoeve van het volgende doeleinde:
1. De RUD heeft van de PU de opdracht gekregen tot het opzetten van het FOLG en het verwerken, valideren en beheren van het veehouderijregister met gegevens van alle veehouderijen binnen de provincie Utrecht.
2. De RUD is de Partij die de informatiedeling met VTH-ketenpartners faciliteert.
3. Met betrekking tot het vastleggen van gegevens en documentatie daaromtrent hebben PU, ODRU en RUD een gezamenlijke verantwoordelijkheid in het VTH-proces voor veehouderijen.
4. Gegevensuitwisseling op VTH-niveau tussen de PU, ODRU en RUD als VTH-ketenpartners vindt plaats op omgevingsdossierniveau, omgevingsactiviteitniveau en besluitniveau.
10.9 Het Verwerken van Persoonsgegevens betreft de volgende categoriën van betrokkenen:
a. Bedrijven;
b. (Contact)personen binnen bedrijven.
10.10 Het Verwerken van Persoonsgegevens betreft de volgende soort persoonsgegevens:
Soort persoonsgegevens | Doel | |
10.3.1 | Naam, achternaam, woonadres. | Communicatie en locatiebepaling. |
10.3.2 | Contactgegevens zoals e-mail en telefoonnummer Bedrijfsnamen, voor zover dit een persoonsgegeven betreft, zoals eveneens volgend uit artikel 6. | Identificatie van een bedrijf. |
10.3.3 | KVK en vestigingsnummers. | Identificatie van een bedrijf. |
10.11 De Verwerking van Persoonsgegevens zoals nader omschreven in de voorgaande paragraaf wordt gebaseerd op:
a. artikel 6, lid 1, onder e, van de AVG, namelijk ‘de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang'.
b. artikel 6 lid 1 onder c is van toepassing als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de PU rust.
Gelet op de Omgevingswet, en mede gelet op richtlijnen 92/43/EEG en 2009/147/EG, is het wenselijk om de depositie van stikstof op daarvoor gevoelige habitats in Natura 2000-gebieden te verminderen, om de natuur in die gebieden te verbeteren en om voorheen vergunningvrije projecten met een geringe depositie te legaliseren.
11. Nakoming rechten Betrokkenen en informatieplicht
11.1 Verzoeken met betrekking tot de rechten van Betrokkenen of overige klachten omtrent de naleving van de AVG, worden doorgezonden naar de privacy coördinator of privacy officer van de betreffende Verwerkingsverantwoordelijke en worden door Partijen zelfstandig afgehandeld. Indien de klacht zich tot meerdere Partijen richt, zullen de andere Partijen worden betrokken bij de afhandeling van die klacht.
11.2 Indien een klacht slechts een eenvoudige afhandeling betreft zoals het corrigeren of verwijderen van gegevens, dan kan de privacy coördinator of privacy officer dit verzoek direct zelf afhandelen. In andere gevallen consulteert de privacy coördinator of privacy officer direct na ontvangst van het verzoek of de klacht de Functionaris gegevensbescherming van de Partij waar het verzoek is afhandelt.
11.3 Indien de Functionaris gegevensbescherming bij een klacht is betrokken, wordt de afhandeling van die klacht gecoördineerd door de betreffende Functionaris gegevensbescherming. De afhandeling verloopt volgens de daartoe geldende procedures van de Partij, die het verzoek afhandelt.
11.4 De privacy coördinator of privacy officer assisteert de Functionaris gegevensbescherming bij de afhandeling van een klacht en consulteert indien nodig de overige Partijen om bijvoorbeeld een overzicht van verwerkte Persoonsgegevens te genereren.
11.5 Indien hierom wordt verzocht verleent een Partij onverwijld, ten minste binnen twee weken, medewerking ten behoeve van de uitvoering van het verzoek of de klacht.
11.6 Betrokkenen kunnen naar aanleiding van een besluit op grond van de artikelen 15 tot en met 22 AVG bezwaar indienen bij de Partij die de klacht afhandelt.
11.7 Partijen treden op verzoek met elkaar in overleg en vragen elkaar advies met betrekking tot het uitvoeren van de rechten van betrokkenen in het kader van de naleving van de AVG.
11.8 Vanuit het Samenwerkingsverband wordt door de privacy coördinator/ officer van elke Partij gezorgd voor afdoende informatievoorziening ten behoeve van de nakoming van de artikelen 13 en 14 AVG. Dit betekent een juiste en toereikende informatievoorziening bij verschillende werkzaamheden of projecten. Partijen zijn ieder zelfstandig verantwoordelijk voor afdoende informatievoorziening over de gegevensuitwisseling in hun eigen processen ten behoeve van de nakoming van de artikelen 13 en 14 AVG.
11.9 De Functionaris gegevensbescherming van de betreffende Partij is het eerste aanspreekpunt voor advies en afstemming over de inhoud en wijze van communiceren bij de afhandeling van een verzoek op grond van artikel 13 of 14 AVG.
11.10 In navolging op artikel 26, lid 2 AVG wordt dit Samenwerkingsprotocol aan Betrokkenen beschikbaar te gesteld bij wijze van publicatie. Publicatie vindt plaats binnen twee weken na ondertekening door en op de website van Partijen.
12. Contractspartij en aanspreekpunt Verwerkers
12.1 De aard en het doel van de uit te besteden opdracht bepaalt, aan de hand van de verdeling van de verantwoordelijkheid zoals uiteengezet in artikel 6, welke Partij daarvoor verantwoordelijk is en als contractspartij zal optreden. De contractspartij sluit indien nodig een Verwerkersovereenkomst met de opdrachtnemer.
12.2 De contractspartij is vervolgens verantwoordelijk voor de voorafgaande toetsing of de Verwerker voldoet aan de bepalingen van artikel 28 AVG, omtrent afdoende garanties en waarborgen ten aanzien van de technische en organisatorische maatregelen en nakoming van de verplichtingen op grond van de AVG. Daarbij wordt het informatiebeveiligingsbeleid van de betreffende contractspartij als uitgangspunt genomen.
12.3 De contractspartij is het eerste aanspreekpunt voor de betreffende Verwerker ten aanzien van onder ander inbreuken in verband met Persoonsgegevens zoals bedoel in artikel 33 van de AVG die zich bij de Verwerker hebben voorgedaan, het doorgeven van wijzigingen ten aanzien van subverwerkers of overige zaken met betrekking tot de naleving van de Verwerkersovereenkomst.
12.4 De contractspartij is verantwoordelijk voor de controle op de naleving van hetgeen in de Verwerkersovereenkomst is afgesproken.
12.5 Iedere Partij houdt in zijn verwerkingsregister bij welke Verwerkingen zijn uitbesteed aan welke Verwerkers.
12.6 De aard en het doel van de uit te besteden opdracht bepaalt, aan de hand van de verdeling van de verantwoordelijkheid zoals uiteengezet in artikel 6, welke Partij daarvoor verantwoordelijk is en als contractspartij zal optreden. De contractspartij sluit indien nodig een Verwerkersovereenkomst met de opdrachtnemer.
12.7 De contractspartij is vervolgens verantwoordelijk voor de voorafgaande toetsing of de Verwerker voldoet aan de bepalingen van artikel 28 AVG, omtrent afdoende garanties en waarborgen ten aanzien van de technische en organisatorische maatregelen en nakoming van de verplichtingen op grond van de AVG. Daarbij wordt het informatiebeveiligingsbeleid van de betreffende contractspartij als uitgangspunt genomen.
12.8 De contractspartij is het eerste aanspreekpunt voor de betreffende Verwerker ten aanzien van onder ander inbreuken in verband met Persoonsgegevens zoals bedoel in artikel 33 van de AVG die zich bij de verwerker hebben voorgedaan, het doorgeven van wijzigingen ten aanzien van subverwerkers of overige zaken met betrekking tot de naleving van de Verwerkersovereenkomst.
12.9 De contractspartij is verantwoordelijk voor de controle op de naleving van hetgeen in de Verwerkersovereenkomst is afgesproken.
12.10 Iedere Partij houdt in zijn verwerkingsregister bij welke Verwerkingen zijn uitbesteed aan welke Verwerkers.
13. Waarborgen ten aanzien van beveiliging
13.1 Opslag en technische beveiliging van gegevens
13.1.1 Alle Partijen van het Samenwerkingsverband nemen passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige
Verwerking. De maatregelen zijn er mede op gericht onnodige verzameling (zoals schaduwbestanden of kopieën) en verdere Verwerking van Persoonsgegevens te voorkomen.
13.1.2 Er wordt naar gestreefd alle Persoonsgegevens die worden verwerkt ten behoeve van het Samenwerkingsverband zoveel mogelijk centraal te verwerken en op te slaan binnen het FOLG. Dit ter bevordering van het dataminimalisatie vereiste en een goede controle op de naleving van de AVG.
13.1.3 Er wordt in beginsel aangesloten op het informatiebeveiligingsbeleid van de Partij met het systeem waar de Persoonsgegevens worden verwerkt, in dit geval de RUD.
13.1.4 In geval wordt afgeweken van centrale opslag en de Persoonsgegevens bij een individuele Partij worden opgeslagen, dan is de betreffende Partij verantwoordelijk voor de beveiliging van de in haar ICT- infrastructuur opgeslagen gegevens. In dat geval dient de Partij deze gegevens afgescheiden en onafhankelijk van haar overige eigen Verwerkingen van Persoonsgegevens te verwerken en op te slaan.
13.1.5 De Partijen zorgen ervoor dat de Persoonsgegevens voldoende worden afgeschermd en slechts toegankelijk zijn voor medewerkers die werkzaamheden uitvoeren ten behoeve van het Samenwerkingsverband.
13.2 Delen van gegevens tussen de partijen
13.2.1 Persoonsgegevens kunnen gedeeld worden tussen de Partijen, zolang dit past binnen de doeleinden voor Verwerking en de taken van het Samenwerkingsverband zoals beschreven in dit Samenwerkingsprotocol.
13.2.2 Persoonsgegevens worden slechts gedeeld met externe Partijen buiten het Samenwerkingsverband, wanneer hier een grondslag voor kan worden gevonden conform artikel 6 AVG en wanneer dit niet onverenigbaar is met de doeleinden voor Verwerking en de taken van het Samenwerkingsverband zoals beschreven in dit Samenwerkingsprotocol.
13.2.3 Indien de Partijen Persoonsgegevens die ten behoeve van het Samenwerkingsverband zijn verwerkt voor eigen doeleinden willen gebruiken, dan is dat slechts toegestaan indien voorafgaand aan het gebruik de rechtmatigheid hiervan kan worden aangetoond. Een onderbouwd verzoek hiertoe wordt ingediend bij de Functionarissen gegevensbescherming.
13.3 Afhandelen van een Inbreuk in verband met Persoonsgegevens (datalek)
13.3.1 Voor de afhandeling van Inbreuken in verband met Persoonsgegevens (hierna: datalek) uit Verwerkingen die door het Samenwerkingsverband worden uitgevoerd, is de Partij waar het vermeende datalek is geconstateerd het eerste aanspreekpunt. Er wordt voor een zorgvuldige afhandeling aangesloten op de eventuele datalek procedure van de Partij die het vermeende datalek heeft geconstateerd, en waarbij Persoonsgegevens mogelijk onrechtmatig verwerkt zijn. Deze Partij leidt het onderzoek bij het afhandelen van incidenten/datalekken. Deze Verantwoordelijke treft maatregelen om Betrokkenen te informeren indien dit in het kader van de meldplicht aan de orde is.
13.3.2 De Partij die het datalek heeft geconstateerd zal onverwijld vertraging, maar uiterlijk binnen 24 Uur, alle Partijen informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. De Partij vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie Persoonsgegevens, de categorie Betrokkenen en het aantal Betrokkenen.
13.3.3. De overige Partijen informeren direct na constatering of vermoedens van een datalek te allen tijde direct de Functionarissen gegevensbescherming hierover en verlenen alle benodigde medewerking voor de goede afhandeling hiervan. Eventueel kan de melding aan de Functionarissen gegevensbescherming verlopen via de privacy coördinatoren of privacy officers.
13.3.3 De eventuele meldplicht aan de Autoriteit Persoonsgegevens en de Betrokkenen wordt uitgevoerd onder de regie van de Functionaris gegevensbescherming, waar het datalek is geconstateerd om tijdigheid en eenduidigheid in de communicatie vanuit het Samenwerkingsverband te garanderen.
13.3.4 De Functionaris gegevensbescherming stemt de handelswijze en de te nemen maatregelen te allen tijde af met de Functionarissen gegevensbescherming van de andere Partijen en informeert de Partijen over de te nemen herstelmaatregelen.
13.3.5 De privacy coördinator of privacy officer van de Partij waar een datalek wordt geconstateerd houdt conform artikel 33, lid 5 AVG een overzicht bij van alle datalekken die zich hebben voorgedaan bij de Verwerkingen van het Samenwerkingsverband.
14. Afspraken met betrekking tot medewerkers
14.1 Behoudens voor zover enig wettelijk voorschrift voorziet in Verwerking van de gegevens of resultaten, zijn de medewerkers van de Partijen die werkzaamheden verrichten ten behoeve van het Samenwerkingsverband, jegens derden verplicht tot geheimhouding over deze Persoonsgegevens.
14.2 Alle Partijen staan er voor in dat de medewerkers die werkzaamheden verrichten ten behoeve van het Samenwerkingsverband op de hoogte zijn van dit Samenwerkingsprotocol en zich ertoe hebben gebonden vertrouwelijkheid in acht te nemen. Dat betekent dat er in ieder geval een geheimhoudings- of integriteitsverklaring is ondertekend bij indienstreding of bij aanvang van de werkzaamheden bij de betreffende Partij.
14.3 De medewerkers mogen bij de werkzaamheden ten behoeve van het Samenwerkingsverband slechts die handelingen met betrekking tot de Persoonsgegevens verrichten, die noodzakelijk zijn voor de doelstellingen en taakuitoefening van het Samenwerkingsverband en die passen binnen de reikwijdte zoals in dit Samenwerkingsprotocol is gedefinieerd. Medewerkers kunnen zich voor advies in eerste instantie richten tot de privacy coördinator of privacy officer van de Partij waarvoor zij werkzaam zijn.
15. Aansprakelijkheid en evaluatie
15.1 De Partijen zijn conform artikel 82, lid 4 AVG gezamenlijk en hoofdelijk aansprakelijk voor eventuele schade die door de Verwerking van Persoonsgegevens is veroorzaakt of voor eventuele boetes van de toezichthouder. Deze kosten zullen in eerste instantie worden opgevangen binnen de voor dit Samenwerkingsverband beschikbare financiële middelen. Indien dit budget niet toereikend is, zullen de Partijen het resterende bedrag naar evenredigheid verdelen.
16. Evaluatie
16.1 Jaarlijks wordt de samenwerking door Partijen geëvalueerd. De evaluatie kan vervolgens aanleiding geven tot een aanpassing en verbetering van dit Samenwerkingsprotocol. In de evaluatie komen tenminste de volgende onderwerpen aan bod:
1. In hoeverre de afspraken in dit Samenwerkingsprotocol op juiste wijze worden nageleefd;
2. De effectiviteit en werkbaarheid van deze vorm van samenwerking;
3. Of incidenten zoals inbreuken op de beveiliging of toegang door onbevoegden tijdig worden gesignaleerd en conform dit protol worden afgehandeld en gecommuniceerd.
17. Vaststelling en inwerkingtreding
17.1 Dit Samenwerkingsprotocol is vastgesteld en treedt in werking op de datum waarop namens alle Partijen is onderekend.
17.2 Partijen kunnen elk afzonderlijk besluiten de Verwerking met onmiddellijke ingang te beëindigen, ingeval niet voldaan wordt aan de gemaakt afspraken. In dat geval worden de andere partijen hiervan schriftelijk op de hoogte gebracht met de reden van beëindiging van de Verwerking.
17.3 De publiekrechtelijke rechtspersoon, de Provincie Utrecht, gevestigd aan de Xxxxxxxxxxxxxx 0, 0000 XX xx Xxxxxxx, wordt te dezen krachtens volmacht van de Commissaris van de Koning, J.H. Xxxxxxx, rechtsgeldig vertegenwoordigd door Xxxxxxxxx Xxxx, teamleider Landelijke Leefomgeving en handelend ter uitvoering van het Organisatiebesluit Provincie Utrecht 2004 juncto Mandaatbesluit secretaris.
Provincie Utrecht, Namens deze,
W. Hack
Directeur Landelijke Leefomgeving
Omgevingsdienst Regio Utrecht Namens deze,
A.E. van Vuren Directeur
Regionale Uitvoedingsdienst Utrecht Namens deze,
H. Jungen Directeur
Datum:1…8…-0…4-…2…02. 4 Datum: 22-04-2024
Datum: …2…4…-0…4-…2.024