Privacy reglement

Privacyreglement

De Algemene Verordening Gegevensbescherming is op 25 mei 2018 in werking getreden en regelt de bescherming van persoonsgegevens. Concerned B.V. hecht een groot belang aan de bescherming van persoonsgegevens en dus aan de naleving van de Algemene Verordening Gegevensbescherming. Dit reglement is aanvullend aan de Algemene Verordening Gegevensbescherming en is van toepassing op alle verwerkingen van persoonsgegevens binnen Concerned.

Van alle mensen die Concerned begeleid, worden gegevens in een geautomatiseerd systeem en/of in een persoonlijk dossier digitaal opgenomen. Verwerking van gegevens die voortkomen uit het aangaan van een overeenkomst of voortvloeien uit het doel ervan, met andere woorden waarvan de kandidaat/cliënt logischer wijze kan aannemen dat deze gegevens verwerkt worden, worden niet apart gemeld. Van verwerking van gegevens buiten deze categorie wordt de betrokkene in kennis gesteld.

Artikel 1. Algemene en begripsbepalingen
Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis van de Algemene Verordening Gegevensbescherming (AVG)

1.1. Persoonsgegevens: alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

1.2. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen welke wordt of worden gebruikt voor de uitoefening van de dienstverlening van Concerned.

1.3. Verwerkingsverantwoordelijke: De rechtspersoon die alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; de Algemeen Directeur van Concerned.

1.4. Betrokkene: Degene op wie de persoonsgegevens betrekking heeft. De betrokkene is degene van wie de gegevens worden verwerkt

1.5. Opdrachtgever: Een natuurlijke of rechtspersoon die aan Concerned een opdracht tot dienstverlening heeft gegeven.

1.6. Werknemer: Iedereen met wie Concerned een arbeidsrelatie heeft dan wel voor wie Concerned materieel werkgever is. Voor dit reglement wordt hieronder tevens verstaan ieder die bij Concerned in het kader van werkervaring, stage dan wel leerwerkovereenkomst werkzaamheden verricht.

1.7. Derden: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

1.8. Toestemming van de betrokkene: Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

1.9. Cliëntdossier: Met cliëntdossier worden zowel de fysieke (papieren) dossiers bedoeld als de elektronische dossiers.

1.10. Verwerker: De persoon of organisatie die persoonsgegevens verwerkt in opdracht van een ander persoon of organisatie.

Artikel 2 Uitgangspunten voor de verwerking van persoonsgegevens:
Concerned gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Concerned houdt zich hierbij aan de volgende uitgangspunten:

2.1. Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

2.2. Grondslag en doelbinding
Concerned zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

2.3. Dataminimalisatie
Concerned verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel en streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

2.4. Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is.

2.5. Integriteit en vertrouwelijkheid
Concerned gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt Concerned voor passende beveiliging van persoonsgegevens.

2.6. Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt Concerned afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken worden vastgelegd in een verwerkingsovereenkomst en voldoen aan de wet.

2.7. Subsidiariteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokkene zoveel mogelijk beperkt.

2.8. Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

2.9. Rechten van betrokkenen
Concerned honoreert alle rechten van betrokkenen.

Artikel 3. Doel van de verwerking van persoonsgegevens
3.1. Er mogen alleen persoonsgegevens worden verzameld als daarvoor een doel is vastgesteld.

3.2. Concerned verwerkt persoonsgegevens op grond van één van de volgende grondslagen (zie artikel 6 AVG):

  • Toestemming van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

3.3. Concerned houdt een register van de verwerkingsactiviteiten die onder de verantwoordelijkheid van Concerned plaatsvinden. Dat register bevat alle volgende gegevens:

  1. de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
  2. de verwerkingsdoeleinden;
  3. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  4. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt.
  5. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

Artikel 4 Verwerken van persoonsgegevens
4.1. De verwerkingsverantwoordelijke is aanspreekbaar voor het goed functioneren van de verwerking van de persoonsgegevens en voor de naleving van wettelijke bepalingen en van dit reglement. Zijn handelen, met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens wordt bepaald door de wettelijke bepalingen en door dit reglement.

4.2. De verwerkingsverantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Hij draagt tevens zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegeven tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan als bedoeld in artikel 32 van de AVG.

Artikel 5 Toegang tot de persoonsgegevens
5.1. Alleen medewerkers hebben toegang tot de persoonsgegevens voor zover dat noodzakelijk is voor hun taakuitoefening.

5.2. Een ieder die toegang heeft tot de persoonsgegevens heeft een geheimhoudingsplicht ter zake van de gegevens waarvan hij op grond van die toegang heeft kennisgenomen.

5.3. Derden die door Concerned zijn ingehuurd om werkzaamheden te verrichten, hebben toegang tot de verwerkingen van persoonsgegevens, voor zover dit noodzakelijk is voor hun taakuitoefening en worden via een contractuele overeenkomst gehouden aan de geheimhoudingsplicht.

Artikel 6 Persoonsgegevens
6.1. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf.

6.2. Persoonsgegevens worden niet verzameld bij derden zonder ondubbelzinnige toestemming van de betrokkene.

6.3. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

6.4. Er wordt zorgvuldig omgegaan met persoonsgegevens. Hiertoe worden de gegevens beveiligd.

6.5 De verwerkingsverantwoordelijke stelt beveiligingsvoorschriften voor de persoonsgegevens op.

Artikel 7 Verstrekking van persoonsgegevens
7.1. Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift voor verstrekking van persoonsgegevens aan derden is toestemming nodig van betrokkene.

7.2. Concerned kan in het kader van een wettelijke verplichting, verplicht zijn gegevens van betrokkene aan derden te verstrekken. Zulks in het kader van de uitoefening van de Wet sociale werkvoorziening en/of re-integratieactiviteiten. Voor deze verstrekking is geen toestemming van de betrokkene nodig.

Artikel 8 Inzage van opgenomen gegevens
8.1. De betrokkene heeft recht op inzage in en afschrift van de op zijn/haar persoon betrekking hebbende gegevens. De betrokkene dient daartoe een verzoek in te dienen.

8.2. De betrokkene heeft geen recht op inzage in interne notities die de persoonlijke gedachten van werknemers van Concerned bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad.

8.3. Aan een verzoek als bedoeld in dit artikel wordt zo snel mogelijk doch uiterlijk binnen vier weken na ontvangst van het verzoek voldaan.

8.4. Het recht op inzage wordt alleen toegestaan aan betrokkene of diens gemachtigde. Betrokkene of diens gemachtigde dienen zich te kunnen legitimeren.

8.5. De verwerkingsverantwoordelijke kan weigeren aan een in dit artikel bedoeld verzoek te voldoen voor zover dit noodzakelijk is in het belang van de bescherming van betrokkene of van de rechten en vrijheden van anderen, de voorkoming, opsporing en vervolging van strafbare feiten.

Artikel 9 Aanvulling, correctie of verwijderen van opgenomen gegevens
9.1. Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.

9.2. Op schriftelijk verzoek van een betrokkene gaat de beheerder over tot verbetering, aanvulling, verwijdering en/of afscherming van de met betrekking tot de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek dient de aan te brengen wijzigingen te omvatten.

9.3. Binnen vier weken na ontvangst van het verzoek bericht de verwerkingsverantwoordelijke de verzoeker schriftelijk of, dan wel in hoeverre aan het verzoek zal worden voldaan. Een weigering is met redenen omkleed.

9.4. Verwijdering blijft achterwege voor zover bewaring op grond van een wettelijk voorschrift vereist is.

9.5. De verwerkingsverantwoordelijke draagt zorg dat een beslissing tot aanvulling, correctie of verwijdering zo spoedig mogelijk wordt uitgevoerd.

9.6. In geval van verwijdering van gegevens wordt in de gegevens een verklaring opgenomen dat op verzoek van betrokkenen de gegevens zijn verwijderd.

Artikel 10 Recht van verzet
10.1. De betrokkene kan bezwaar aantekenen tegen de verwerking van zijn persoonsgegevens in verband met zijn bijzondere persoonlijke omstandigheden.

10.2. De verwerkingsverantwoordelijke beoordeelt zo spoedig mogelijk maar uiterlijk binnen 4 weken na ontvangst van het bezwaar of het verzet gerechtvaardigd is.

10.3. Indien het verzet gerechtvaardigd is, beëindigt hij onmiddellijk de verwerking.

Artikel 11 Bewaartermijnen
11.1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor de gegevens verzameld zijn of verwerkt.

11.2. Met inachtneming van eventuele wettelijke voorschriften stelt de verantwoordelijke vast hoelang de persoonsgegevens bewaard blijven. Tenzij anders bepaald, eindigt de bewaartermijn van de dossiers vijf jaar na het laatste contact met de geregistreerde.

Artikel 12 Klachten
Indien de verantwoordelijke een uit dit reglement voortvloeiende verplichting niet nakomt, kan de betrokkene zich met een klacht tot de verantwoordelijke wenden.

Artikel 13 Internet en e-mailgebruik en melding datalekken
13.1. Met betrekking tot datalekken (artikel 33 en 34 van de AVG) is er een protocol Datalekken opgesteld.