Kwaliteit boek 1 - Beleid Document : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 1 van 6
PRIVACYREGLEMENT Persoonsgegevens Persoonsgegevens geven, direct of indirect, informatie over een persoon, bijvoorbeeld een geboortedatum, adres of geslacht zegt iets over een persoon. Deze persoon moet daarbij wel te identificeren zijn. Dit is geregeld in de Wet bescherming persoonsgegevens (Wbp). Deze wet geeft regels ter bescherming van uw persoonsgegevens. Algemene persoonsgegevens Niet alleen gegevens die direct zijn te herleiden tot een individu zijn persoonsgegevens. Ook gegevens die in het algemeen iets vertellen over een persoon worden gezien als persoonsgegevens. De informatie moet dan wel te herleiden zijn tot die bepaalde persoon. De winst van een eenmanszaak zegt bijvoorbeeld iets over het inkomen van de eigenaar. En als de waarde van een auto wordt gekoppeld aan de eigenaar van de auto, zegt dat iets over de inkomenscategorie waarin de eigenaar valt. Directe persoonsgegevens Sommige persoonsgegevens geven duidelijk feitelijke informatie over een persoon, bijvoorbeeld iemands geboortedatum, adres of geslacht. Ook gegevens die een waardering over een bepaalde persoon inhouden, bevatten informatie over die persoon, bijvoorbeeld iemands IQ. Indirecte persoonsgegevens Er zijn ook gegevens die indirect iets vertellen over een bepaald persoon, bijvoorbeeld over zijn maatschappelijke status. De winst van een eenmanszaak zegt bijvoorbeeld iets over het inkomen van haar eigenaar. Als deze gegevens zijn te herleiden tot een bepaalde persoon is sprake van persoonsgegevens. Bijzondere persoonsgegevens Bijzondere persoonsgegevens zijn onder andere gegevens over iemands: ras; godsdienst of levensovertuiging; politieke gezindheid; gezondheid; strafrechtelijke verleden; seksuele leven; lidmaatschap van een vakvereniging. De verwerking van bijzondere persoonsgegevens kan een grote inbreuk vormen op de privacy. Daarom gelden hiervoor strenge regels. De informatie mag alleen verwerkt worden bij wettelijke uitzonderingen of met uitdrukkelijke toestemming van de betrokkenen. Gegevens over iemands gezondheid mogen bijvoorbeeld alleen verwerkt worden door instellingen in de gezondheidszorg. De Wet bescherming persoonsgegevens (Wbp) De Wet bescherming persoonsgegevens (Wbp) regelt, ter bescherming van uw privacy, wat er allemaal wel en niet mag met uw persoonsgegevens. In de Wbp staat wat uw rechten zijn als uw gegevens gebruikt worden. U heeft bijvoorbeeld het recht op informatie, het recht op inzage in uw gegevens en het recht op verzet tegen gebruik van uw gegevens.
Kwaliteit boek 1 - Beleid Document : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 2 van 6
Informatieplicht persoonsgegevens Een organisatie die uw persoonsgegevens wil vastleggen, gebruiken of doorsturen, is verplicht u hierover te informeren. Dit heet de informatieplicht. Uw werkgever moet u bijvoorbeeld informeren dat uw persoonsgegevens bij ziekte worden doorgegeven aan een arbodienst. Een organisatie hoeft u niet te informeren als uw gegevens worden verwerkt op grond van een wettelijke plicht. Een voorbeeld daarvan is de belastinginspecteur die persoonsgegevens gebruikt die van belang kunnen zijn voor de belastingheffing. Recht op inzage en correctie persoonsgegevens Wilt u weten welke gegevens een organisatie van u heeft, dan kunt u schriftelijk een verzoek tot inzage doen. De organisatie is verplicht om binnen 4 weken schriftelijk antwoord te geven. Voor de inzage mag de organisatie een kleine vergoeding aan u vragen. Blijken uw gegevens niet correct te zijn, dan moet de organisatie uw gegevens corrigeren en de vergoeding teruggeven. De organisatie kan uw verzoek weigeren, wanneer dat noodzakelijk is in het belang van de vervolging van strafbare feiten of om de rechten van anderen te beschermen. Recht op motivatie Soms weigert een bedrijf om een product op krediet te leveren. Misschien weigert het bedrijf dat omdat in uw buurt veel wanbetalers wonen. Ook kan de afwijzing te maken hebben met informatie over uw financiële positie, bijvoorbeeld als u geregistreerd bent bij het Bureau Kredietregistratie. Een organisatie moet kunnen aangeven waarom u als klant geweigerd wordt. Persoonsgegevens voor marketingdoeleinden U heeft recht op verzet als het verwerken van uw persoonsgegevens gebeurt voor marketingdoeleinden, zoals reclame op naam. U kunt de organisatie in dat geval verzoeken om uw gegevens niet meer te gebruiken. Ook heeft u het recht van verzet in verband met uw bijzondere persoonlijke omstandigheden. Wanneer u denkt er belang bij hebben dat uw gegevens worden verwijderd of niet meer tot u herleidbaar zijn, bijvoorbeeld bij een onderzoek. Geschil voorleggen Komt u er niet uit met een gegevensverwerkende instantie, dan kunt u in bepaalde gevallen het College bescherming persoonsgegevens (CBP) verzoeken te bemiddelen tussen u en de gegevensverwerkende instantie. U kunt ook uw geschil voorleggen aan de rechter en bij schade om schadevergoeding vragen Persoonsgegevens aan andere doorgeven Een organisatie mag alleen uw persoonsgegevens aan anderen verstrekken als deze gegevensverstrekking is gebaseerd op de Wet bescherming persoonsgegevens (Wbp). Dit is om uw privacy te beschermen. In deze wet staan 6 gronden wanneer gegevensverstrekking is toegestaan. Dat zijn de toestemming, de overeenkomst, de wettelijke verplichting, een vitaal belang van de betrokkene, de uitvoering van een publiekrechtelijke taak en het gerechtvaardigd belang. Toestemming Met uw toestemming kunnen uw persoonsgegevens verstrekt worden aan een andere organisatie. De toestemming geldt alleen als duidelijk is waar de toestemming voor is en wat de gevolgen zijn van het geven van toestemming.
Kwaliteit boek 1 - Beleid Document : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 3 van 6
Overeenkomst Een organisatie kan uw persoonsgegevens verstrekken aan een andere organisatie als dit noodzakelijk is voor de uitvoering van een overeenkomst die u hebt of gaat sluiten met de eerste organisatie. Wettelijke verplichting Soms is het nodig om bepaalde persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van een wettelijke plicht. (Een voorbeeld van zo’n verplichting is de belasting wetgeving). Vitaal belang Bij vitaal belang kan gedacht worden aan een dringende medische noodzaak. Als toestemming vragen niet meer mogelijk is, bijvoorbeeld omdat de betrokkene buiten bewustzijn is, mogen zonder diens toestemming de persoonsgegevens verstrekt worden. Gerechtvaardigd belang Het verstrekken van gegevens moet noodzakelijk zijn voor het gerechtvaardigd belang van een organisatie. Dat betekent dat de organisatie zich moet afvragen of met minder gegevens hetzelfde resultaat bereikt kan worden. Ook moet de organisatie een privacytoets uitvoeren. Dit betekent dat uw belang en rechten afgewogen dienen te worden tegen het belang van de organisatie bij het verstrekken van de gegevens Plichten organisaties voor gebruik persoonsgegevens Als organisaties persoonsgegevens willen verwerken, moeten zij aan een aantal eisen van de Wet bescherming persoonsgegevens (Wbp) voldoen. De organisatie: mag persoonsgegevens alleen verzamelen en verwerken als daar een goede reden voor is. Of als de betrokken burger toestemming heeft gegeven voor het gebruik van de gegevens; mag niet meer gegevens verwerken dan strikt noodzakelijk is voor het uiteindelijke doel; mag de gegevens niet gebruiken voor andere doelen dan waarvoor ze zijn verzameld; moet de betrokken burger laten weten wat de organisatie met de gegevens gaat doen; mag de gegevens niet langer bewaren dan noodzakelijk; moet passende technische en organisatorische maatregelen treffen om de gegevens te beschermen; moet de registratie van de gegevens in veel gevallen melden Het College Bescherming Persoonsgegevens (CBP) geeft meer informatie over de rechten van burgers en de verplichtingen van organisaties. Meldplicht organisaties bij verlies, diefstal of misbruik persoonsgegevens Het kan voorkomen dat het netwerk van dienstverleners zoals het UWV en banken door hackers wordt aangevallen en creditcardgegevens worden gestolen. Of dat gegevens op straat komen te liggen door een menselijke of technische fout. In zulke gevallen is het belangrijk dat dit zo snel mogelijk bekend wordt. Personen van wie de gegevens zijn verloren, kunnen dan bijvoorbeeld hun wachtwoord veranderen of hun creditcard blokkeren. Het kabinet wil daarom dat organisaties in de toekomst verlies, diefstal of misbruik van persoonsgegevens melden. Hiervoor wordt de Wbp uitgebreid met een meldplicht datalekken. Organisaties moeten in de toekomst degenen van wie de persoonsgegevens zijn verloren, vertellen wat er is gebeurd. Ook moeten zij datalekken melden bij het CBP.
Kwaliteit boek 1 - Beleid Document : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 4 van 6
Inzien en corrigeren persoonsgegevens Iedereen mag de gegevens die een organisatie over hem of haar heeft inzien. Kloppen de persoonsgegevens niet, dan kan iedereen de organisatie verzoeken deze te corrigeren. In sommige gevallen is het mogelijk de organisatie te verzoeken te stoppen met verwerken van persoonsgegevens. Bijvoorbeeld bij ongevraagd toezenden van reclame. De rechten van burgers over hun persoonsgegevens zijn geregeld in de Wbp. Het CBP ziet er op toe dat privacygegevens zorgvuldig worden gebruikt en beveiligd. Verwerking en toezicht persoonsgegevens U heeft het recht om te weten wat er met uw gegevens gebeurt en de mogelijkheid om de gegevens in te zien. U kunt ook vragen welke gegevens over u aan andere organisaties zijn verstrekt. Wanneer blijkt dat uw gegevens onjuist en/of onvolledig zijn, kunt u verzoeken deze gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Een organisatie moet elke verwerking van persoonsgegevens melden, bijvoorbeeld wanneer de organisatie persoonlijke gegevens opvraagt, gebruikt of verspreidt. De meldingen van de verwerking van persoonlijke gegevens zijn openbaar, dit is geregeld in de Wet bescherming persoonsgegevens (WBP). Organisaties die gegevensverwerkingen melden, doen dat bij het College bescherming persoonsgegevens (CBP). Het CBP controleert bij organisaties of deze zorgvuldig omgaat met persoonsgegevens. De toezichthouder controleert bijvoorbeeld of de gegevens verwerkt worden voor de daarvoor bestemde doeleinden. Ook ziet het CBP er op toe dat de gegevens worden beveiligd en dat de privacy ook in de toekomst verzekerd blijft. Wanneer een organisatie zich niet houdt aan de WBP, kan het CBP maatregelen nemen. De belangrijkste maatregel is uitoefening van bestuursdwang. In dat geval eist het CBP van de overtreder dat hij de overtreding binnen een bepaalde termijn ongedaan maakt. Daarbij kan het College een dwangsom opleggen. Het CBP kan ook boetes uitschrijven. Bijvoorbeeld wanneer de verwerking van persoonsgegevens niet, onjuist of te laat is aangemeld. Bron:rijksoverheid, december 2012 CHECKLIST VOOR MEDEWERKERS OM PRIVACY TE WAARBORGEN MT leden; Soms kan het moeilijk zijn om te bepalen of een gegeven een persoonsgegeven is. Bij twijfel is informatie te vinden op de websites www.cbpweb.nl of www.mijnprivacy.nl. Organisaties die gegevensverwerkingen melden, doen dat bij het College bescherming persoonsgegevens (CBP) of bij de functionaris voor de gegevensbescherming (FG) van de eigen organisatie. In de melding staat wat een organisatie met welke gegevens doet en aan wie de gegevens worden verstrekt. Op de website van het CBP staat meer informatie voor organisaties over het melden van persoonsgegevens. Het kabinet heeft in het regeerakkoord aangegeven dat de burger zich overal veilig moet voelen. Ook de veiligheid van persoonsgegevens moet worden verbeterd, omdat misbruik tot grote schade kan leiden. Bijvoorbeeld door; Een meldplicht in te stellen bij verlies, diefstal of misbruik van persoonsgegevens. Bij voorgenomen maatregelen van de overheid over de opslag, koppeling en verwerking van persoonsgegevens te bepalen hoe lang deze maatregel moet duren; Te toetsen of de voorgenomen maatregelen effectief zijn door voorafgaande risicobeoordelingen (privacy impact assessments) en door intern en extern toezicht op de gegevensverwerking
Kwaliteit boek 1 - Beleid Document : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 5 van 6
Iedere medewerker; Is zich bewust van bedrijfsgevoelige informatie en persoonlijke informatie over onze klanten, samenwerkingspartners, collega’s, etc. Privacy gevoelige documenten bij printers, op kantoren e.d. Computer onbeheerd ingelogd/email open achter laten Onbedoeld gebruik van vervallen/gewijzigde documenten Persoonlijke gegevens (ook archief) in afgesloten kast, digitaal afgeschermd Bewustwording om met persoonsgegevens die digitaal, in dossiers, schriftjes, lijstjes etc worden bijgehouden, zorgvuldig om te gaan. Bestuurder/Directeur Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten, OR, Ouderraad, Raad van toezicht Gebruik van externe informatie bronvermelding - Marketing& Communicatie Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Gebruik van externe informatie bronvermelding Website gebruiksvoorwaarden Website Privacy/Cookie Statement - Projectmanager Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten - Staffunctionaris kwaliteit Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Gebruik van externe informatie bronvermelding Manager Kinderopvang Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Voortgangsrapportages Meldcode; ‘kindermishandeling en huiselijk geweld’ en ‘kindermis(be)handeling’ - Clustermanagers / Locatiehoofden Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Kinddossiers Observatieregistraties Overdracht 0-4 groepen onderling, 0-4 naar bso, bso naar school, 0-4 en consultatiebureau, 0-7 en VTO team Meldcode; ‘kindermishandeling en huiselijk geweld’ en ‘kindermis(be)handeling’ - Pedagogisch Medewerkers Bewustwording van privacy gevoelig info op de groep, privacygegevens in afgesloten kasten - Opleidingen & pedagogische ontwikkeling Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Observaties, Overdracht en samenwerking consultatiebureau, VTO team, AMK e.a. ketenpartners Meldcode; ‘kindermishandeling en huiselijk geweld’ en ‘kindermis(be)handeling’
Kwaliteit boek 1 - Beleid Document : 101 Privacyreglement Proceseigenaar : Bestuurder/Directeur Datum : 01-08-2013 Pagina 6 van 6
Manager Human Resource Management & Beheer bedrijfsvoering Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Voortgangsrapportages Personeelsdossiers Sollicitantengegevens Salarisgegevens Bedrijfsartsregistratie Stagiaireregistratie Vrijwilligersregistratie - Manager werving & selectie Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Sollicitantengegevens - Manager flexpool Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Flexpoolgegevens - Bedrijfsvoering Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Sleutelbeheer ICT beheer ( gebruikers laptops, mobiele telefoons, uitleen) Afspraken vaste externe leveranciers Manager Plaatsingen, Financiën & Control Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Financiële administratie Cocon Wachtlijstregistratie Plaatsingenregistratie (inschrijving, informatie) - Manager Plaatsingen Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten Cocon Wachtlijstregistratie Plaatsingenregistratie (inschrijving, informatie) Manager Innovatie en Clusterondersteuning Registratie, rapportage, analyse; notulen, klachten, (tevredenheid) onderzoekresultaten
NB In Kwaliteitboek 1 – 06 ‘Beroepscode Kinderopvang’ staan ook vermeldingen over het waarborgen van de privacy.
