Privacy-reglement medewerkers
Versie: definitief Datum: 13 oktober 2014 Documentnummer: Intern/1409125
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 1 van 17
Inhoud Woord vooraf ......................................................................................................................................... 3 Algemene bepalingen .......................................................................................................................... 4 1.
Begripsbepaling ....................................................................................................................... 4
2.
Reikwijdte .................................................................................................................................. 6
3.
Doelstelling reglement............................................................................................................. 7
4.
Verantwoordelijkheden, organisatie, beheer, beveiliging .................................................. 7
5.
Grondslagen voor verwerking ................................................................................................ 8
6.
Categorieën van personen ..................................................................................................... 9
7.
Opgenomen gegevens ............................................................................................................ 9
8.
Bijzondere gegevens ............................................................................................................. 10
9.
Meldingsplicht ......................................................................................................................... 11
10.
De wijze waarop gegevens worden verkregen ................................................................. 11
11.
Bewaartermijn en verwijdering van opgenomen gegevens. ........................................... 11
12.
Verstrekking van persoonsgegevens.................................................................................. 12
13.
Rechten betrokkenen ............................................................................................................ 13
14.
Mededeling ............................................................................................................................. 14
15.
Rechtstreekse toegang tot de persoonsregistratie ........................................................... 15
16.
Geheimhouding en beveiliging ............................................................................................ 15
17.
Registratie verstrekking persoonsgegevens aan derden ................................................ 15
18.
Overdracht van opgenomen persoonsgegevens .............................................................. 16
19.
Klachten................................................................................................................................... 16
20.
Overgangs- en slotbepalingen ............................................................................................. 17
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 2 van 17
Woord vooraf ROC Leiden is overtuigd van het belang van de bescherming van de persoonsgegevens van haar medewerkers. Om deze en andere redenen heeft ROC Leiden besloten naar zowel medewerkers als de buitenwereld transparant te zijn over haar privacybeleid. Dit reglement ziet enkel op de bescherming van de persoonsgegevens van medewerkers. Voor studenten van ROC Leiden is een apart Privacyreglement Studentgegevens opgesteld. Ondanks het feit dat het hebben van een privacyreglement niet wettelijk verplicht is, betekent het hebben en het naleven van dit reglement evenwel dat de registratie van personeelsgegevens valt onder het Vrijstellingsbesluit Wet bescherming persoonsgegevens (artikel 29 Wbp) en dat de instelling derhalve niet hoeft te voldoen aan de meldingsplicht in het kader van de Wbp. Met dit reglement conform artikel 10.3 van de cao 2014-2015 beoogt het college van bestuur transparantie te geven omtrent de bescherming van de persoonlijke levenssfeer van iedere medewerker waarvan persoonsgegevens zijn opgenomen. Onder andere wordt transparant gemaakt welke maatregelen worden getroffen tegen misbruik en tegen opslag van onjuiste gegevens en wordt inzichtelijk gemaakt hoe wordt voorkomen dat verstrekte gegevens voor een ander doel worden gebruikt dan het doel waarvoor deze verkregen zijn. Leiden, 13 oktober 2014
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 3 van 17
Algemene bepalingen 1. Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens, Wbp (Staatblad 2011, 302, wet van 6 juli 2000, in werking getreden 1 september 2001) verstaan onder: 1.1
De wet Wet bescherming persoonsgegevens.
1.2
College bescherming persoonsgegevens College bedoeld in artikel 51 van de Wet bescherming persoonsgegevens.
1.3
Wbp Wet bescherming persoonsgegevens.
1.4
Vrijstellingsbesluit Besluit van 7 mei 2011, (staatblad 2011,250), houdende aanwijzing van verwerking van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens. Voor dit reglement zijn de artikelen 7 en 8 van het Vrijstellingsbesluit (Personeelsadministratie en Salarisadministratie) relevant.
1.5
WEB De Wet Educatie en Beroepsonderwijs. In dit verband is met name de wetswijziging die gerelateerd is aan het gebruik van de persoonsgebonden nummers van belang, zoals opgenomen in Staatsblad 2001 nr. 681.
1.6
DUO Dienst Uitvoering Onderwijs (verantwoordelijk voor onder andere de studiefinanciering en de uitvoering van de bekostigingssystematiek van het onderwijs).
1.7
Het reglement Dit privacyreglement.
1.8
Persoonsgegeven Een gegeven dat herleidbaar is tot een geïdentificeerde of identificeerbare natuurlijke persoon.
1.9
Verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending,
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 4 van 17
verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. 1.10
Persoonsregistratie Een samenhangende verzameling van op verschillende personen betrekking hebbende gegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens, systematisch in een dossier of archief is aangelegd.
1.11
Bestand Alle officiële documenten die betrekking hebben op de persoonsregistratie.
1.12
Archief Verzameling van officiële documenten en bestanden die betrekking hebben op de persoonsregistratie, bestemd om bewaard te worden (bewaarplaats).
1.13
Verantwoordelijke De rechtspersoon of het bestuursorgaan dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt, in dit reglement het bevoegd gezag van ROC Leiden.
1.14
Medewerker Personen in dienst van of (vrijwillig) werkzaam ten behoeve van de verantwoordelijke.
1.15
Deelnemer, student, leerling, cursist De betrokkenen die ingeschreven is of de intentie heeft om ingeschreven te worden.
1.16
Betrokkene en geregistreerde Degene over wie persoonsgegevens in de persoonsregistratie zijn opgenomen en op wie een persoonsgegeven betrekking heeft, dan wel diens wettelijke vertegenwoordiger;
1.17
Beheerder Degene die (onder verantwoordelijkheid van de verantwoordelijke ) bevoegd is medewerkers aan te sturen die belast zijn met de dagelijkse zorg voor de verwerking van persoonsgegevens, voor de juistheid van de ingevoerde gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens.
1.18
Bewerker Degene die ten behoeve van de verantwoordelijke alle persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.19
Systeembeheerder Degene die het technisch deel van de persoonsregistratie beheert.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 5 van 17
1.20
Gebruiker Degene die onder verantwoordelijkheid van de beheerder bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen.
1.21
Verzamelen van persoonsgegevens Het verkrijgen van persoonsgegevens.
1.22
Verstrekken van gegevens uit persoonsregistratie Het bekend maken of ter beschikking stellen van persoonsgegevens voor zover die geheel of grotendeels afkomstig zijn uit gegevens die in de persoonsregistratie zijn opgenomen of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
1.23
Verstrekken van gegevens aan derden Het verstrekken van gegevens uit een persoonsregistratie aan een persoon of instantie buiten de organisatie van de verantwoordelijke met uitzondering van het verstrekken aan de betrokkene of dienst gemachtigde.
1.24
Strafrechtelijke persoonsgegevens Persoonsgegevens in het kader van het strafrecht en gerelateerd aan juridische vergrijpen zoals vastgelegd in het Wetboek van Strafrecht.
1.25
Toestemming van de betrokkene Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
1.26
Technische werkzaamheden Werkzaamheden die verband houden met onderhoud en reparatie van apparatuur en programmatuur.
1.27
De instelling ROC Leiden.
1.28
OR De Ondernemingsraad van ROC Leiden.
2. Reikwijdte 2.1
Dit reglement is van toepassing op alle persoonsgegevens van betrokkenen bij ROC Leiden zoals vermeld in artikel 6 van dit reglement, die door de verantwoordelijke of in diens opdracht worden verwerkt, voor zover de gegevens eenvoudig kunnen worden herleid tot individuele personen.
2.2
Dit reglement is niet van toepassing op persoonsgegevens opgenomen in bestanden van de vertrouwenspersonen, de Klachten- en geschillencommissies.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 6 van 17
2.3
De persoonsgegevens opgenomen in de bestanden opgenoemd in lid 2 zijn in beginsel vertrouwelijk en dienen ook als dusdanig behandeld te worden. Deze vertrouwelijkheid is uitdrukkelijk geregeld in de desbetreffende regelingen en/of de CAO.
2.4
Voor zover gegevens uit de in lid 2 van dit artikel genoemde bestanden aan derden verstrekt worden, kan dat alleen geschieden met instemming van de desbetreffende betrokkene, dan wel op basis van een bevoegdheid of plicht opgenomen in een wettelijke regeling of dit reglement.
3. Doelstelling reglement 3.1
Het doel van dit reglement is: a. Om betrokkenen inzicht te verschaffen in: - welke persoonsgegevens worden bewaard; - hoe deze gegevens zijn verkregen; - wie toegang heeft tot welke gegevens en aan wie deze gegevens (eventueel) worden verstrekt; - de rechten die een betrokkene heeft (kennisneming opgenomen gegevens, correctie van opgenomen gegeven en kennisneming van het verstrekken van persoonsgegevens aan derden) b. Om betrokkenen te garanderen dat: - de persoonlijke levenssfeer van ieder van wie persoonsgegevens zijn opgenomen in een of meer bestanden, wordt beschermd tegen misbruik van de gegevens en opslag van onjuiste gegevens; - voorkomen wordt dat persoonsgegevens die in een bestand zijn opgenomen voor een ander doel worden gebruikt dan waarvoor dat bestand is bestemd; - de rechten van de betrokken worden gewaarborgd.
4.
Verantwoordelijkheden, organisatie, beheer, beveiliging
4.1
Alle door de verantwoordelijke gevoerde persoonsregistraties vallen onder dit reglement.
4.2
De verantwoordelijke zal geen gegevens in de persoonsregistratie opnemen of bewaren voor andere doeleinden dan in dit reglement genoemd.
4.3
De verantwoordelijke is verantwoordelijk voor de naleving van de bepalingen van dit reglement en voor de juistheid en de volledigheid van de opgenomen gegevens.
4.4
De verantwoordelijke draagt zorg voor de nodige voorzieningen van fysieke, technische en organisatorische aard ter beveiliging van de persoonsregistraties tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de beheerder voor het geheel of het gedeelte van de apparatuur die hij onder zich heeft.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 7 van 17
4.5
Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt met inachtneming van het gestelde in de andere leden van dit artikel.
4.6
De verantwoordelijke bepaalt wie de gebruiker is. De gebruiker is verantwoordelijk voor de naleving van de bepalingen van dit reglement voor zover het geheel of gedeelte van de apparatuur waarmee de persoonsregistratie wordt gevoerd bij hem rust.
4.7
De verantwoordelijke heeft de dagelijkse zorg voor de persoonsregistratie opgedragen aan een of meerdere beheerders.
5. 5.1 a. b. c. d. e. f. g. h. i. j. k. l. m. n.
Grondslagen voor verwerking De verwerking van de gegevens mag alleen geschieden na toestemming of met medeweten van de betrokkene voor: De behandeling van personeelszaken; Het begeleiden van en leidinggeven aan de werkzaamheden van de medewerker; Het vaststellen en doen uitbetalen van salarisaanspraken; Het regelen van aanspraken op uitkeringen in verband met beëindiging van een dienstverband; De opleiding van de medewerker; De bedrijfsmedische zorg voor de medewerker; De interne controle en de bedrijfsbeveiliging; De uitvoering van voor de medewerker geldende arbeidsvoorwaarden; Het verlenen van ontslag; Het innen van vorderingen, met inbegrip van het in handen van derden stellen van die vorderingen; Het doen uitoefenen van accountantscontroles; Het adequaat kunnen voldoen aan de vraag gegevens te verstrekken aan personen of instanties met een publiekrechtelijke taak; Het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van het personeelslid; Het berekenen, vastleggen en betalen van belasting en premies ten behoeve van het personeelslid;
o.
Een voor het personeelslid geldende arbeidsvoorwaarde;
p.
De personeelsadministratie;
q.
De overgang van het personeelslid naar of de tijdelijke tewerkstelling van het personeelslid bij een ander onderdeel van de groep waaraan de verantwoordelijke is verbonden (bijvoorbeeld een dochtermaatschappij);
r.
Het behandelen van geschillen;
s.
De uitvoering van wettelijke taken.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 8 van 17
6. Categorieën van personen 6.1 Over de volgende categorieën van personen kunnen gegevens in bestanden worden opgenomen: a. Medewerkers in dienst van ROC Leiden met een arbeidsovereenkomst voor bepaalde tijd en/of met een arbeidsovereenkomst voor onbepaalde tijd. b. Uitzendkrachten; c. Gedetacheerden; d. Gastdocenten; e. Freelancer of ZZP-ers die in het kader van een verzoek of opdracht van ROC Leiden arbeid verrichten; f. Stagiaires; g. Vrijwilligers.
7. Opgenomen gegevens 7.1 a.
b. c. d. e. f. g. h. i. j. k. l. m. n.
o.
De persoonsregistratie beperkt zich tot de volgende gegevens categorieën: Naam, voorletters, adres, postcode, woonplaats, telefoonnummer, e-mail, bank- en/of gironummer(s) van de ouders, voogden of verzorgers van minderjarige medewerkers (dit tot de datum voor meerderjarigheid is bereikt); Geslacht; Geboortedatum; Nationaliteit en geboorteplaats; Kopie ID-bewijs Bereikbaarheidsgegevens (telefoon, fax, e-mail e.d.) (digitale) pasfoto; Bank-/gironummer(s); ROC account en e-mailgegevens; (Voor-) Opleidingsgegevens; Nummer identiteitsbewijs, Burgerservicenummer (bsn), nummer arbeidsvoorziening; Gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages; Gegevens van de betrokkene voor de arbeidsomstandigheden; Gegevens van de betrokkene voortvloeiend uit een arbeidscontract of anderszins en de cao zoals: aanstellingsbescheiden (inclusief Verklaring Omtrent Gedrag), dienstbescheiden, salarisbescheiden, voortgangs- beoordelings- en exitgesprekken, documenten bij ziekte en arbeidsongeschiktheid, juridische zaken; Gegevens (inclusief gegevens die betrekking hebben op gezinsleden en voormalige gezinsleden van de personeelsleden) voor het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van het personeelslid;
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 9 van 17
p.
q.
r.
s. t. u.
7.2
Gegevens (inclusief gegevens die betrekking hebben op gezinsleden en voormalige gezinsleden van de personeelsleden) voor het berekenen, vastleggen en betalen van belasting en premies ten behoeve van het personeelslid; Gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de betrokkenen, na uitdrukkelijke toestemming van de betrokkenen en alleen in het kader van positief bevorderende maatregelen; Gegevens (inclusief gegevens die betrekking hebben op gezinsleden en voormalige gezinsleden van de personeelsleden) die noodzakelijk zijn vanwege een overeengekomen arbeidsvoorwaarde (bijvoorbeeld bijdragen in de studiekosten van kinderen van de betrokkene, garantstelling bij hypothecaire leningen en tegemoetkoming in de ziektekostenverzekering); Indien van toepassing een overlijdensdatum; Gegevens verzameld via een camera die zichtbaar is of waarvan de aanwezigheid kenbaar is gemaakt; Andere dan onder voorgaande punten bedoelde gegevens, waarvan opneming wordt vereist welke noodzakelijk is met het oog op de toepassing van een andere wet of regeling. Door wijzigingen in de organisatie of wetgeving kunnen er veranderingen optreden. Indien de wijziging betekent dat verwerking plaatsvindt buiten de werkingssfeer van artikel 7 en 8 Vrijstellingsbesluit, geldt conform artikel 9 van dit reglement een meldingsplicht.
8. Bijzondere gegevens 8.1
De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, evenals persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
8.2
Het verbod gegevens betreffende iemands godsdienst, levensovertuiging of gezondheid te verwerken als bedoeld in lid 1, is niet van toepassing indien de verwerking geschiedt met het oog op de doelstelling van ROC Leiden en deze verwerking voor de verwezenlijking van haar grondslag van belang is, of er een noodzaak bestaat in het kader van een te voeren voorkeursbeleid voor specifieke doelgroepen (minderheden of re-integratiebeleid). Deze gegevens moeten met uitdrukkelijke toestemming van de betrokkene zijn verkregen.
8.3
Het verbod betreffende iemand vakbondslidmaatschap te verwerken is op basis van art. 23 Wbp niet van toepassing op registratie van de vakbondscontributie in verband met de fiscale verrekening. Waar mogelijk wordt echter de toestemming van de betrokkene verkregen, alvorens tot verwerking wordt overgegaan.
8.4
Het verbod betreffende de verwerking van strafrechtelijke persoonsgegevens is niet van kracht voor medewerkers die op basis van een wettelijke plicht een Verklaring Omtrent het Gedrag (VOG) moeten overleggen. Verwerking van strafrechtelijke persoonsgegevens gaat echter niet verder dan de VOG, behoudens de in art. 5.1 genoemde andere grondslagen voor verwerking van gegevens, echter telkens met inachtneming van art. 22 en 23 Wbp.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 10 van 17
8.5
De door het UWV verstrekte gegevens voor uitvoering van individuele re-integratie overeenkomsten zijn persoonsgegevens in de zin van de Wbp. Deze gegevens worden behandeld met inachtneming van wat in deze wet en in de Wet Suwi (Wet Structuur Uitvoeringsorganisatie Werk en Inkomen) en de daarop gebaseerde nadere regelgeving is bepaald.
9. Meldingsplicht 9.1
Indien de gegevensverwerking afwijkt van hetgeen is omschreven in het Vrijstellingsbesluit, zoals weergegeven in de artikelen 5 en 7 van dit reglement, dient de verwerking gemeld te worden bij het College Bescherming Persoonsgegevens.
10. De wijze waarop gegevens worden verkregen 10.1
De gegevens genoemd in artikel 7 worden voor zover mogelijk bij de sollicitatie of indiensttreding door betrokkene verstrekt, dan wel door de administratie waaronder betrokkene valt (bij derden) verzameld, in het bestand opgenomen en actueel gehouden.
10.2
De betrokkene is verantwoordelijk voor het tijdig aanleveren en de controle van de juiste gegevens.
11. Bewaartermijn en verwijdering van opgenomen gegevens 11.1
Indien op basis van lid 2 of lid 3 van dit artikel geen afwijkende bewaartermijnen gelden, worden de in art. 7 van dit Reglement genoemde gegevens verwijderd.twee jaar nadat het dienstverband is, of de werkzaamheden van het personeelslid zijn, beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan de wettelijke bewaarplicht.
11.2 a.
Vernietiging blijft evenwel achterwege wanneer: Redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene; De zorg van een goede administratie bewaring noodzaakt; Bewaring op grond van een wettelijke voorschrift vereist is of Indien daarover tussen de betrokkene en de gebruiker overeenstemming bestaat.
b. c. d. 11.3
Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 11 van 17
11.4
Persoonsgegevens worden binnen de wettelijk toegestane termijn tevens bewaard in een archief. Gegevens uit de archiefregistratie worden slechts verstrekt binnen de organisatie van de verantwoordelijke voor zover noodzakelijk voor de uitvoering van de wettelijk taak.
11.5
Persoonsgegevens verzameld door een camera (artikel 7 lid 1 onder r van dit reglement) worden niet langer bewaard dan strikt noodzakelijk voor het doel waarvoor ze verzameld zijn. De gegevens worden vernietigd uiterlijk vier weken nadat de opnamen zijn gemaakt, dan wel na afhandeling van de geconstateerde incidenten.
12. Verstrekking van persoonsgegevens 12.1
Binnen de organisatie van de verantwoordelijke worden uit de persoonsregistraties slechts gegevens verstrekt aan personen die ten gevolgen van hun taak of functie die gegevens mogen ontvangen, met dien verstande dat een zodanige verstrekking slechts geschiedt voor doeleinden die met het doel van de betreffende persoonsregistratie verenigbaar zijn. In overige gevallen is voor de verstrekking van persoonsgegevens binnen de organisatie van de verantwoordelijke de schriftelijke en nauwkeurig omschreven toestemming van de betrokkene vereist.
12.2
Binnen de organisatie van de verantwoordelijke worden uit de archiefregistratie slechts persoonsgegevens verstrekt, voor zover die gegevens noodzakelijk zijn voor de uitvoering van hun taak, aan: Personen die zijn belast met of leiding geven aan het archiefbeheer; De door de verantwoordelijke aangewezen personen, belast met het behandelen van geschillen.
a. b.
12.3 a. b. c. d.
e. 12.4
Tot individuele personen herleidbare persoonsgegevens worden verstrekt aan: Het Ministerie van Onderwijs, Cultuur en Wetenschappen; De Inspectie De Dienst Uitvoering Onderwijs; Overige derden, voor zover verstrekking voortvloeit uit het doel van de gegevensverwerking en wordt vereist ingevolge een wettelijke voorschrift of noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is; Overige instellingen uitsluitend met de toestemming van de betrokkene. Buiten de gevallen waarin dat wordt vereist als gevolg van een wettelijk voorschrift, kunnen de geregistreerde persoonsgegevens, alleen bestaande uit: naam, adres, postcode en woonplaats, e-mailadres, aan derden verstrekt worden voor zover dit noodzakelijk is met het oog op de begeleiding van betrokkene, het doen dan afdrachten, het in handen van derden stellen van vorderingen, het behandelen van geschillen, evenals het doen verrichten van accountants- en inspectiecontroles.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 12 van 17
12.5
In aanvulling op lid 5 kunnen tot individuele personen herleidbare persoonsgegevens aan derden worden verstrekt, indien de verantwoordelijke dit in het belang van de betrokkene acht (dit betreft tevens de verstrekking van persoonsgegevens, noodzakelijk voor deelname aan internationale (studie)programma’s of uitwisselingsprogramma’s), of indien dit noodzakelijk is in het kader van de uitvoering van een overeenkomst. Dit zal pas plaatsvinden nadat het voornemen daartoe op deugdelijke wijze aan betrokkene is bekend gemaakt en zij gedurende een redelijke termijn in de gelegenheid zijn geweest een verzoek in te dienen zodanige verstrekking van gegevens achterwege te laten.
12.6
Ook kunnen tot individuele personen herleidbare persoonsgegevens door de verantwoordelijke verstrekt worden aan opsporingsambtenaren indien de gegevens daartoe aanleiding geven. Dit geldt ook voor camerabeelden, zoals genoemd in artikel 7 lid 1 onder r van dit reglement.
12.7
Niet tot individuele personen herleidbare (geanonimiseerde) persoonsgegevens kunnen worden verstrekt met toestemming van de verantwoordelijke: Aan het Centraal Bureau voor de Statistiek; Aan de MBO Raad; Voor wetenschappelijke en statische doeleinden en voor onderzoeksdoeleinden.
a. b. c. 12.8
Indien geen sprake is van een geval zoals benoemd in dit artikel, of elders in dit reglement, worden persoonsgegevens alleen verstrekt nadat ondubbelzinnige toestemming van de betrokkene is verkregen.
13 Rechten betrokkenen 13.1
Elke betrokkene heeft het recht inzage te verkrijgen en de herkomst te vernemen van de op hem betrekking hebbende persoonsgegevens die worden verwerkt. Aan een verzoek om kopieën kunnen kosten worden verbonden.
13.2
Een verzoek om inzage dient te worden gedaan aan de verantwoordelijke, die binnen een maand na ontvangst van dit verzoek hieraan voldoet. Dit verzoek kan gestuurd worden aan de betreffende beheerder.
13.3
Elke betrokkene heeft in beginsel het recht om te verzoeken tot verbetering, aanvulling of verwijdering van op hem betrekking hebbende persoonsgegevens, indien hij kan aantonen dat de opgenomen gegevens onjuist of onvolledig zijn voor het doel van de registratie, onvolledig of niet ter zake dienende zijn, dan wel in strijd met dit reglement of een wettelijk voorschrift in de registratie voorkomen. Aan een verzoek om verbetering, aanvulling of verwijdering kunnen kosten worden verbonden (daartoe is een wettelijk maximum geregeld, artikel 39 Wbp).
13.4 -
De procedure voor de uitoefening van de bovenstaande rechten is als volgt: Inzage wordt slechts verleend na schriftelijke en/of mondeling verzoek aan de verantwoordelijke. De verantwoordelijke draagt steeds zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Inzage wordt verkregen door middel van een afschrift en/of een telefonische mededeling.
-
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 13 van 17
-
De verantwoordelijke bericht de verzoeker zo spoedig mogelijk, doch uiterlijk binnen vier weken na ontvangst van het verzoek tot correctie, wijziging of verwijdering of het verzoek wordt ingewilligd. Als het verzoek tot correctie, wijziging of verwijdering wordt geweigerd, deelt de verantwoordelijke dit, met redenen omkleed, schriftelijk aan de verzoeker mede. Na wijziging van de geregistreerde gegevens doet de verantwoordelijke aan degenen aan wie hij naar zijn weten in het jaar voorafgaand aan het verzoek en in de sinds dat verzoek verstreken periode de betrokken gegevens heeft verstrekt, mededeling van de wijziging. Deze mededeling hoeft niet te worden gedaan indien dit niet meer relevant is of de betrokkene te kennen heeft gegeven op deze mededelingen geen prijs te stellen.
-
13.5
Indien de betrokkene bij de verantwoordelijke aantoont dat bepaalde van hem opgenomen gegevens onjuist c.q. onvolledig zijn, dan wel gezien de doelstelling van het systeem strijdig zijn met dit reglement, draagt de beheerder binnen een maand nadat betrokkene de onjuistheden c.q. onvolledigheid heeft aangetoond, zorg voor verbetering, aanvulling of verwijdering. In dat geval worden eventuele betaalde kosten terugbetaald.
13.6
Indien de beheerder twijfelt aan de identiteit van de verzoeker, dan vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens betreffende zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek van de beheerder wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.
14 Mededeling 14.1
Aan de betrokkene dient binnen een maand na opname van zijn persoonsgegevens mededeling gegeven te worden van het feit dat voor de eerste keer persoonsgegevens over hem in de registratie worden opgenomen. De mededeling bevat een aanduiding van het doel van de registratie, de naam, het adres en de vestigingsplaats van de verantwoordelijke.
14.2 a.
De verplichting tot mededeling geldt niet: Indien de betrokkene weet of redelijkerwijs kan weten dat een dergelijke opname heeft plaatsgevonden; Indien een gewichtig belang van de betrokkene (geregistreerde) zich tegen het doen van een schriftelijke mededeling verzet; Voor zover het achterwege laten van de mededeling noodzakelijk is met het oog op de belangen van de verantwoordelijke bij de persoonsregistratie.
b. c.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 14 van 17
15 Rechtstreekse toegang tot de persoonsregistratie 15.1
a. b. c. d.
Slechts personen binnen de organisatie van de verantwoordelijke, die als gevolg van hun taak daartoe gerechtigd zijn, hebben rechtstreeks toegang tot de personeelsregistratie, met dien verstande dat deze bevoegdheid zich slechts uitstrekt tot het gebruik van de opgenomen gegevens voor doeleinden die met het doel van de betreffende persoonsregistratie verenigbaar zijn: De verantwoordelijke; De beheerders; De door de beheerders aangewezen bewerkers voor de persoonsgegevens over de tot hun werkgebied behorende betrokkenen; De systeembeheerders en de verschillende functionarissen die daartoe via een coderings- en wachtwoordbeveiliging toegang gegeven is tot bepaalde gedeelten van de persoonsgegevens en gekoppeld aan hun opgedragen werkzaamheden.
15.2
Voorts hebben derden toegang, voor zover dit noodzakelijk is ter uitvoering van een wettelijk voorschrift, waarbij de toegang is beperkt tot die gegevens waarover, bij de uitvoering van bedoeld wettelijk voorschrift, noodzakelijkerwijs beschikt moet worden.
15.3
Interne en externe accountants hebben toegang tot de persoonsregistratie voor zover dit in het kader van hun opdracht strikt noodzakelijk is.
16 Geheimhouding en beveiliging 16.1
Een ieder die toegang heeft tot de persoonsgegevens heeft een geheimhoudingsplicht ter zake van de gegevens waarvan hij heeft kennisgenomen.
16.2
De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
16.3
Gelijke plicht rust op beheerder, systeembeheerder en bewerker.
13.4
Functionarissen die vanuit hun functie kennis nemen van persoonsgegevens uit het bestand, zijn gehouden deze gegevens niet anders te gebruiken dan voor de uitoefening van hun functie nodig is en niet aan onbevoegden mede te delen.
17 Registratie verstrekking persoonsgegevens aan derden 17.1
De verantwoordelijke is verplicht op deugdelijke wijze bij te houden aan welke derden gegevens uit de persoonsregistratie zijn vertrekt, welke gegevens aan ieder zijn verstrekt en ook op grond waarvan deze gegevens zijn verstrekt.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 15 van 17
17.2
Deze verplichting vervalt voor zover rechtstreeks uit dit reglement kan worden afgeleid welke gegevens aan welke instantie worden verstrekt.
18 Overdracht van opgenomen persoonsgegevens 18.1
In geval de verantwoordelijke het voornemen heeft tot overdracht van de door hem gehouden persoonsgegevens in verband met beëindiging of wijziging van de juridische status van de instelling, dient de verantwoordelijke door middel van een (herhaalde) advertentie in de landelijke dagbladen of een maatregel van gelijke strekking betrokkenen over de voorgenomen overdracht te informeren, opdat deze voldoende kans wordt geboden tegen het overnemen bezwaar te maken.
19 Klachten 19.1
Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen met betrekking tot de registratie van zijn gegevens, dient hij zich te wenden tot de verantwoordelijke van de registraties.
19.2
Indien dit voor de betrokkene niet leidt tot een voor hem acceptabel resultaat, heeft hij de volgende mogelijkheden, die afzonderlijk van elkaar gebruikt kunnen worden: Gebruik maken van de binnen de organisatie functionerende regeling voor onafhankelijke klachtenbehandeling via de klachtencommissie Zich wenden tot het College Bescherming Persoonsgegevens, Postbus 93374, 2509AJ Den Haag, met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke. Dit dient te geschieden binnen een termijn van zes weken na ontvangst van een antwoord van de verantwoordelijke of, indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, binnen zes weken na aflopen van die termijn. Zich wenden tot de rechtbank met het verzoek schriftelijk te adviseren in zijn geschil met de verantwoordelijke. Dit dient te geschieden binnen een termijn van zes weken na ontvangst van een antwoord van de verantwoordelijke of, indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, binnen zes weken na afloop van die termijn.
a. b.
c.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 16 van 17
20 Overgangs- en slotbepalingen 20.1
Looptijd van de persoonsregistratie Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de registraties.
20.2
Vaststelling en wijziging van het reglement Dit reglement wordt vastgesteld door de verantwoordelijke. Wijzigingen in dit reglement worden aangebracht door de verantwoordelijke. Wijzigingen met betrekking tot de verstrekking van persoonsgegevens worden niet anders dan na instemming van de OR gedaan. De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan belanghebbenden.
20.3
Overig Over zaken waarin dit reglement geen uitsluitsel verschaft, beslist de verantwoordelijke.
20.4
Inwerkingtreding Dit reglement is na de vaststellingsdatum in werking getreden en via intranet/intranet gepubliceerd.
Privacy-reglement medewerkers (vastgesteld college van bestuur 13 oktober 2014)
Pagina 17 van 17