Inwoner Zakelijk

Kies uw gemeente

Menu

Nieuws Werken bij Over GBTwente

Zoeken op de website

Zoeken

Privacybeleid en -reglement

Versie: 1.1
Status: definitief
Datum: 31 januari 2023

 

Privacybeleid GBTwente

Het Gemeentelijk Belastingkantoor Twente (GBTwente) is opgericht onder de Wet Gemeenschappelijke Regelingen en verzorgt de heffing en inning van gemeentelijke belastingen voor haar deelnemende gemeenten als ook voor twee andere gemeenten. Daarnaast voert zij voor deze gemeenten de taken van de Wet WOZ uit, zoals de waardebepaling van onroerende zaken en bezwaar- en beroepsprocedures. Ten behoeve van het uitvoeren van haar taken, verwerkt zij de gegevens van (belastingplichtige/-schuldige) Inwoners, ondernemers en forensen.

GBTwente hecht veel waarde aan een goede verwerking van uw persoonsgegevens. In dit document vindt u algemene informatie over hoe GBTwente omgaat met uw persoonsgegevens en welke rechten u heeft op het gebied van privacy.

De verwerkte persoonsgegevens worden voornamelijk verzameld van Inwoners voor het goed uitvoeren van de gemeentelijke wettelijke taken. Inwoners moeten erop kunnen vertrouwen dat GBTwente zorgvuldig en veilig met de persoonsgegevens omgaat. In deze tijd gaat ook GBTwente mee met nieuwe ontwikkelingen. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. GBTwente is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen te treffen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

De directie en management spelen een cruciale rol bij het waarborgen van privacy. GBTwente geeft met dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van GBTwente. Dit Privacybeleid van GBTwente is in lijn met het algemene beleid van de deelnemende gemeenten en de relevante lokale, regionale, nationale en Europese wet- en regelgeving.

 

Wettelijke kaders voor de omgang met gegevens

GBTwente adviseert haar deelnemende gemeenten over het beleid op het gebied van gemeentelijke belastingen en is verantwoordelijk voor het uitvoeren en handhaven ervan. Hiervoor gelden onder andere de volgende wettelijke kaders:

• De Algemene Verordening Gegevensbescherming (AVG), een Europese Verordening die op 25 mei 2018 in werking is getreden.

• Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)1. Deze uitvoeringswet geeft in Nederland uitvoering aan de AVG.

 

Uitgangspunten

GBTwente gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. GBTwente houdt zich hierbij aan de volgende uitgangspunten:

 

  • Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

  • Grondslag en doelbinding

GBTwente zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt. Dit is na te lezen in het verwerkingenregister.

  • Dataminimalisatie

GBTwente verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. GBTwente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

  • Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de gemeentelijke belastingtaken goed uit te kunnen oefenen of om wettelijke verplichtingen, zoals de archiefwet, te kunnen naleven.

  • Integriteit en vertrouwelijkheid

GBTwente gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt GBTwente voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid. Voor het personeel geldt de gedragscode integriteit

  • Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt GBTwente afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. GBTwente controleert deze afspraken periodiek. Waar nodig leggen wij afspraken vast in een verwerkersovereenkomst.

  • Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken inwoner zoveel mogelijk beperkt.

  • Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel.

  • Rechten van betrokkenen

GBTwente honoreert alle rechten van betrokkenen. Daarbij moet soms wel een afweging gemaakt worden met andere wetgeving, zoals de bewaartermijnen uit de archiefwet.

 

Dit privacybeleid is vastgesteld in het dagelijks bestuur van GBTwente van 5 april 2023 en treedt één dag na bekendmaking in werking. Het beleid wordt tenminste iedere twee jaar geëvalueerd en indien nodig herzien. Aanpassingen van dit beleid worden gepubliceerd op de website van GBTwente en op Overheid.nl.

 

 

Privacyreglement Gemeentelijk Belastingkantoor Twente

In dit reglement laat GBTwente zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is.
Privacy speelt een belangrijke rol in de relatie tussen de inwoners en de overheid en staat daarmee hoog op de bestuurlijke agenda van ons samenwerkingsverband. GBTwente heeft de verantwoordelijkheid over de persoonsgegevens en gegevensuitwisseling, die nodig zijn voor het uitvoeren van de wettelijke taken, zoals op grond van de Wet Waardering Onroerende Zaken (WOZ) voor het jaarlijks taxeren van woningen en bedrijven en de Gemeentewet en de Invorderingswet voor het heffen en innen van gemeentelijke belastingen op grond van de door de gemeenten vastgestelde belastingverordeningen. GBTwente is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van Inwoners.

Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van GBTwente. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan en de privacy waarborgen.

1. Wetgeving en definities

Op 25 mei 2018 is de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG), in werking getreden, samen met de uitvoeringswet4. De AVG bouwt voort op de Wet bescherming persoonsgegevens en zorgt onder andere voor versterking en uitbreiding van de privacyrechten met meer verantwoordelijkheden voor organisaties. De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):

Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.

Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld: naam, adres, geboortedatum, mailadres, IP-adres).

Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, medische gegevens en politieke voorkeur. Voor het verwerken van deze bijzondere persoonsgegevens zijn extra voorwaarden gesteld.

Het Burgerservicenummer (BSN) is onder de AVG geen bijzonder persoonsgegeven meer. Echter, dergelijke nummers die ter identificatie van een persoon bij wet zijn voorgeschreven, mogen slechts worden verwerkt voor doeleinden die bij wet zijn bepaald. Persoonsnummers vergemakkelijken namelijk de koppeling van verschillende bestanden en vormen daardoor een extra bedreiging voor de persoonlijke levenssfeer.

DPIA: Het begrip DPIA staat voor Data Protection Impact Assessment. Hiermee worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy.

Verwerkingsverantwoordelijke: Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

 

2. Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens die binnen GBTwente plaatsvinden, door alle bestuursorganen van de gemeenschappelijke regeling Gemeentelijk Belastingkantoor Twente

 

3. Verantwoordelijke

De bestuursorganen van GBTwente zijn allemaal verantwoordelijken voor de verwerkingen die door of namens GBTwente worden uitgevoerd. De bestuursorganen van GBTwente zijn de voorzitter, de heffingsambtenaar, de invorderingsambtenaar, het dagelijks bestuur en het algemeen bestuur.

 

4. Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een verwerking o.a.:

  • Verzamelen, vastleggen en ordenen
  • Bewaren, bijwerken en wijzigen
  • Opvragen, raadplegen, gebruiken
  • Verstrekken door middel van doorzending
  • Verspreiding of enige andere vorm van ter beschikkingstellen
  • Samenbrengen, met elkaar in verband brengen
  • Afschermen, uitwissen of vernietigen van gegevens

 

 

Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

Doeleinden (Artikel 5, AVG)

Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de wet WOZ, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden. De gegevens mogen niet zonder meer voor andere doelen verwerkt worden.

Rechtmatige grondslag (Artikel 6, AVG)

De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

  • Om een verplichting na te komen die in de wet staat;
  • Voor de uitvoering van een overeenkomst waar de betrokkene bij betrokken is;
  • Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;
  • Voor de goede vervulling van de publieke taak;
  • Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking;
  • Gerechtvaardigd belang.

 

GBTwente voert de meeste van haar taken uit op grond van wettelijke verplichting of op grond van een overeenkomst.

 

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is om persoonsgegevens te verwerken in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. Daarbij mogen alleen die gegevens verwerkt worden, die noodzakelijk zijn voor de uit te voeren taak. (Dataminimalisatie).

De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere (minder ingrijpende) manier kan worden bereikt. In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

GBTwente zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht. Daarnaast beveiligt GBTwente alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe GBTwente dit doet staat in het Informatiebeveiligingsbeleid Gemeentelijk Belastingkantoor Twente.

Doorgifte (Artikel 44 t/m 50, AVG)
GBTwente geeft geen persoonsgegevens door naar een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie.


5. Transparantie en communicatie

Wet Open Overheid
Via de Wet Open Overheid kan een verzoek om informatie worden ingediend bij GBTwente. Bij het verzoek bekijkt GBTwente altijd of het antwoord geen inbreuk maakt op de iemands privacy. In principe worden geen persoonsgegevens verstrekt. Uw eigen persoonsgegevens kunt u inzien op grond van de AVG.

Wet hergebruik van overheidsinformatie
De Wet hergebruik van overheidsinformatie6 regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt GBTwente altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt.

Informatieplicht (Artikel 13,14, AVG)
GBTwente informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan GBTwente geven, worden zij op de hoogte gesteld van de manier waarop GBTwente met persoonsgegevens omgaat. Dit kan bijvoorbeeld via een formulier. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat GBTwente persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt. Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

Verwijdering
GBTwente bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel, worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

Recht op informatie: Betrokkenen hebben het recht om aan GBTwente te vragen of zijn/haar persoonsgegevens worden verwerkt.

Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.

Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij GBTwente om dit te corrigeren. Wanneer de gegevens afkomstig zijn uit een basisadministratie (niet zijnde de basisregistratie WOZ), zal GBTwente dit terug melden aan de beheerder van de basisadministratie.

Recht van verzet: Betrokkenen hebben het recht aan GBTwente te vragen om hun persoonsgegevens niet meer te gebruiken.

Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens. GBTwente zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

De rechten op grond van de AVG moeten soms wel worden afgewogen tegen rechten en plichten op grond van andere wetgeving.

Indienen van verzoek
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen bij GBTwente. Dit verzoek kan zowel schriftelijk als per e-mail (privacy@gbtwente.nl) ingediend worden. GBTwente heeft een maand de tijd, vanaf de ontvangst van het verzoek, om op het verzoek te antwoorden. Deze termijn kan een keer met maximaal twee maanden worden verlengd. Om er zeker van te zijn dat de verzoeker ook daadwerkelijk de betrokkene is waarover informatie wordt opgevraagd, kan de identiteit van de verzoeker worden gecontroleerd. Dan gaat de behandeltermijn pas lopen als de identiteit is vastgesteld. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij GBTwente, of om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).

 

6. Geautomatiseerde verwerkingen

Profilering (Artikel 22, AVG) Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. GBTwente maakt momenteel in twee gevallen gebruik van geautomatiseerde besluitvorming. Dat is bij het verwerken van verhuizingen en in het geval van geautomatiseerde kwijtschelding. Wanneer bijvoorbeeld een betrokkene verhuist naar een andere gemeente, krijgt diegene automatisch een verminderingsbesluit voor de afvalstoffenheffing mits diegene zich wel heeft ingeschreven in de nieuwe gemeente. Dit proces wordt door middel van steekproeven gecontroleerd. Bij kwijtscheldingen moet iemand enkele vragen beantwoorden en bankafschriften toevoegen. Daarbij kan iemand toestemming geven om verdere gegevens jaarlijks op te vragen bij het inlichtingenbureau. Hier wordt dus de eerste keer altijd toestemming voor gevraagd. Als geen toestemming wordt gegeven, moet de inwoner zelf meer gegevens aanleveren.

Big data
Door middel van Big data onderzoek mogen gegevens verwerkt worden wanneer de resultaten niet herleidbaar zijn tot natuurlijke personen. De verzamelde gegevens door Big data onderzoek zijn gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden toegepast. Dit betekent dat alleen die data die echt nodig is voor het behalen van het doel gebruikt zullen worden. Waar nodig worden persoonsgegevens gepseudonimiseerd of geanonimiseerd zodat zij niet herleidbaar zijn tot een persoon.

 

7. Plichten van GBTwente

Register van verwerkingen (Artikel 30, AVG) GBTwente is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan GBTwente de verwerkingsverantwoordelijke is. Dit register bevat de volgende gegevens:

De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;

  • De doelen van de verwerking;
  • Een beschrijving van de soorten persoonsgegevens die verwerkt worden en de daarbij horende betrokkenen;
  • Een beschrijving van de ontvangers van de persoonsgegevens;
  • De bewaartermijnen van de verschillende persoonsgegevens;
  • Een algemene beschrijving van de beveiligingsmaatregelen.

 

DPIA (Artikel 35, AVG)
Met een DPIA (of gegevensbeschermingseffectbeoordeling) worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. GBTwente voert deze uit wanneer er sprake is van verwerkingen met een waarschijnlijk groot privacyrisico voor de betrokkenen. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)
BTwente heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van het AP. Het is niet de bedoeling dat de functionaris de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een nieuwe verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de gemeentelijke richtlijnen op het gebied van privacy. De functionaris voor gegevensbescherming van GBTwente is bereikbaar via privacy@gbtwente.nl.


Datalekken (Artikel 33,34, AVG)
We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben, of wanneer persoonsgegevens onherroepelijk kwijt zijn geraakt. Ieder datalek moet intern gemeld worden, vastgelegd worden in een register en beoordeeld worden. Hierbij moeten de gevoeligheid van de gegevens en de kans op nadelige gevolgen voor betrokkenen worden meegenomen in de afweging.

Bij datalekken met een reëel risico voor betrokken meldt GBTwente dit uiterlijk 72 uur na kennisname van de inbreuk, aan de Autoriteit Persoonsgegevens (AP). Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd.

Als een inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen meldt GBTwente dat aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

Afsluiting

Als GBTwente een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van GBTwente worden behandeld. In gevallen waar het klachtenreglement niets over zegt, beslist de directie.