PRIVACYREGLEMENT BWR
17 november 2011
Inhoudsopgave Blz. 2
Inhoudsopgave
Blz. 3 Blz. 3 Blz. 4
§ 1, algemene bepalingen Art. 1: Begripsbepaling Art. 2: Reikwijdte
Blz. Blz. Blz. Blz. Blz.
Blz. 5 Blz. 5 Blz. 6
§ 2, doelbinding Art. 3: Doelstelling verwerking Art. 4: Rechtmatige grondslag verwerking Art. 5: Categorieën van personen van wie persoonsgegevens verwerkt worden Art. 6: Soorten van opgenomen persoonsgegevens en de wijze van verkrijging Art. 7: Verdere verwerking van persoonsgegevens Art. 8: Verdere verwerking van bijzondere persoonsgegevens Art. 9: Verwijdering van opgenomen persoonsgegevens
Blz. 6 Blz. 6
§ 3, rechtstreekse toegang tot en verstrekking van persoonsgegevens Art. 10: Rechtstreekse toegang tot persoonsgegevens
Blz. 6 Blz. 6 Blz. 7
Art. 11: Technische werkzaamheden (geheimhouding) Art. 12: Verstrekking van persoonsgegevens Art. 13 Doorgifte van persoonsgegevens naar landen buiten de EU
Blz. Blz. Blz. Blz.
7 7 7 8
§ 4, plichten van verantwoordelijke, bewerker en gebruiker Art. 14 Geheimhoudingsplicht Art. 15 Beveiliging Art. 16 Informatieverstrekking
Blz. Blz. Blz. Blz. Blz.
8 8 8 9 9
Blz. 10
§ 5, Rechten van betrokkene Art. 17 Algemeen Art. 18 Recht op informatie Art. 19 Recht op inzage Art. 20 Recht op correctie: verbetering, aanvulling, verwijdering en/of afscherming Art. 21 Recht op verzet
Blz. 10 Blz. 10 Blz. 11
§ 6, Rechtsbescherming en toezicht Art. 22 Klachtenprocedure Art. 23 Toezicht op naleving
Blz. Blz. Blz. Blz. Blz. Blz.
11 11 11 11 11 11
§ 7, Overige bepalingen Art. 24 Scholing Art. 25 Onvoorzien Art. 26 Publicatie Art. 27 Wijzigingen en aanvullingen Art. 28 Inwerkingtreding en citeertitel
Blz. Blz. Blz. Blz. Blz.
12 13 14 15. 18
Bijlage Bijlage Bijlage Bijlage Bijlage
4 4 4 4 5
1 2 3 4 5
Voorbeeldbrief betrokken medewerker BWR Opgenomen gegevens (art. 6 lid d) Gegevensuitwisseling aan derden (art. 12 lid 1) Gedragscode beveiliging persoonsgegevens (art. 15 lid b) Gedragscode Internet en email (art. 15 lid b)
Vastgesteld MT BWR d.d. 17 november 2011
2
§ 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder: de wet: de Wet bescherming persoonsgegevens; het reglement: dit reglement, a) persoonsgegeven: alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon in de zin van de Wet bescherming persoonsgegevens. Gegevens zijn persoonsgegevens als de gegevens informatie bevatten over een natuurlijke persoon en die persoon identificeerbaar is. b) verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; c) bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; d) verantwoordelijke: Bedrijf voor Werk en Re-integratie, in deze vertegenwoordigd door de directeur. e) bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; f) personeel: personen in dienst zijn van of werkzaam zijn ten behoeve van de verantwoordelijke; g) betrokkene: degene op wie een persoonsgegeven betrekking heeft; h) gebruiker: degene die onder gezag en verantwoordelijkheid van de verantwoordelijke bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen; i) technische werkzaamheden: werkzaamheden die verband houden met onderhoud en reparatie van apparatuur en programmatuur; j) verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens; k) bijzondere persoonsgegevens: persoonsgegevens als bedoeld in artikel 16 van de wet; l) aanmelding: het verplicht aanmelden bij College Bescherming Persoonsgegevens (CBP) van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens of een geautomatiseerde samenhangende bundel van verwerkingen, en een niet geautomatiseerde verwerking of een niet geautomatiseerde bundel van verwerkingen die in een bestand opgenomen zijn of bestemd zijn daarin opgenomen te worden en tevens onderworpen zijn aan een voorgaande onderzoek door het CBP; m) Wet Sociale Werkvoorziening (WSW) n) Individuele Re-integratieovereenkomst (IRO).
Vastgesteld MT BWR d.d. 17 november 2011
3
Artikel 2: Reikwijdte Dit reglement is van toepassing op verwerkingen of al dan niet een geautomatiseerde samenhangende bundel van verwerkingen van persoonsgegevens van personen in dienst van, of werkzaam ten behoeve van het Bedrijf voor Werk en Re-integratie, alsmede op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen. Dit reglement is voorts van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
§ 2: Doelbinding Artikel 3: Doelstellingen van de verwerking Verzamelen en verwerking van persoonsgegevens omwille van het kunnen: a) volgen van deelnemers van publieke- en private re-integratietrajecten; b) verwerken van gegevens binnen de arbeidsrelatie van werknemers van alle dienstverbanden; c) voldoen aan de wettelijke verplichtingen; d) maken van evaluatie- en eindresultatenverslagen voor opdrachtgevers; e) uitvoeren van de overeenkomsten met opdrachtgevers; f) uitvoeren van publiekrechtelijke taken; g) uitvoeren van een goede bedrijfsvoering. Artikel 4: Rechtmatige grondslag van de verwerking De rechtmatige grondslag voor de verwerkingen is gelegen in: a) de uitvoering van publieke of private trajecten waarbij de betrokkene partij is; b) het gerechtvaardigde belang van de verantwoordelijke; c) een wettelijke verplichting die rust op de verantwoordelijke; d) een vitaal belang van de betrokkene, dan wel - uitsluitend indien a), b), c) of d) niet van toepassing is; e) de ondubbelzinnige toestemming die de betrokkene heeft verleend. Artikel 5: Categorieën van personen van wie persoonsgegevens worden verwerkt Deelnemers van publieke- en private trajecten die: a) verwezen zijn via de gemeentelijke Sociale Dienst b) verwezen zijn door UWV; c) zichzelf aanmelden voor een IRO; d) werknemers; e) op de wachtlijst staan voor de WSW; f) in het kader van Begeleid Werken werkzaam zijn: g) overige categorieën van betrokkenen.
Vastgesteld MT BWR d.d. 17 november 2011
4
Artikel 6: Soorten van opgenomen persoonsgegevens en de wijze van verkrijging a) Persoonsgegevens worden slechts verwerkt voor zover zij , gelet op het doel waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend1, ter zake dienend2 en bovenmatig3 zijn. b) Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. c) Persoonsgegevens worden niet verzameld bij derden zonder de ondubbelzinnige toestemming van de betrokkene. d) Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt4. e) Bijzondere persoonsgegevens worden verwerkt met inachtneming van het bepaalde in de artikelen 16 tot en met 23 van de wet. f) De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de persoonsgegevens Artikel 7: Verdere verwerking van persoonsgegevens a) De te verwerken persoonsgegevens worden slechts verder verwerkt op een wijze die niet onverenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt tenminste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van de persoonlijke levenssfeer. b) Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is of geschiedt met de ondubbelzinnige toestemming van de betrokkene. Artikel 8: Verwerking bijzondere persoonsgegevens a) Het verwerken van medische en psychologische gegevens van uitzendkrachten en stagiaires is verboden. Tenzij verwerking wettelijk is toegestaan dan wel wettelijk is verplicht. b) Het verbod op het verwerken van medische en psychologische gegevens is niet van toepassing op werknemers van het BWR. Het verwerken van kandidaat WSWmedewerkers is toegestaan indien de gegevens verwerkt worden voor verkrijgen van een dienstverband. Tijdens het dienstverband worden medische gegevens uitsluitend verwerkt met toestemming van betrokkene. c) De verwerking van persoonsgegevens betreffende iemands: godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden. Hetzelfde geldt voor een strafrechtelijke persoonsgegeven over onrechtmatig of hinderlijk gedrag i.v.m. een opgelegd verbod naar aanleiding van dat gedrag. d) Het verbod om persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras en/of strafrechtelijke verleden te verwerken is niet van toepassing indien de gegevens toereikend, ter zake dienend, niet bovenmatig5 zijn en de betrokkene hiervoor toestemming heeft verleend.
1
Toereikend: niet te weinig. Ter zake dienend: geen overbodige verwerking 3 Bovenmatig: niet te gedetailleerd 4 Zie voor beschrijving welke gegevens er verwerkt worden inhoud bijlage 2. 5 Zie noot 1, 2, en 3 2
Vastgesteld MT BWR d.d. 17 november 2011
5
Artikel 9: Verwijdering van opgenomen persoonsgegevens en bewaartermijn a) Persoonsgegevens die niet langer voor het doel noodzakelijk zijn worden zo spoedig mogelijk verwijderd. b) Na beëindiging van het dienstverband of het verrichten van werkzaamheden ten behoeve van de verantwoordelijke worden de gegevens nog maximaal twee jaar bewaard, tenzij deze gegevens in verband met wettelijke verplichtingen langer bewaard moeten blijven. c) Verwijdering impliceert vernietiging of een zodanige bewerking dat het niet meer mogelijk is de persoon te identificeren. d) Vernietiging van persoonsgegevens geschiedt met inachtneming van de Archiefwet.
§ 3: Rechtstreekse toegang tot en verstrekking van persoonsgegevens Artikel 10: Rechtstreekse toegang tot persoonsgegevens a) De verantwoordelijke en de gebruikers en bewerkers hebben, met het oog op de dagelijkse zorg voor het goed functioneren van de verwerking, rechtstreekse toegang tot persoonsgegevens. b) De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens, waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. c) De verantwoordelijke verstrekt slechts persoonsgegevens aan personen die belast zijn met de leiding van de werkzaamheden van betrokkene, de behandeling van personele aangelegenheden en de salarisadministratie. Verder de administratie betreffende opleiding, de bedrijfsmedische zorg, de interne controle, aanspraken op uitkering in verband met beëindiging van het dienstverband en één en ander voor zover noodzakelijk voor de uitvoering van hun taak. Artikel 11: Technische werkzaamheden Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen. Artikel 12: Verstrekking van persoonsgegevens a) De verantwoordelijke informeert derden, die op vastgestelde wijze bepaalde persoonsgegevens verwerken, over de daaraan gestelde voorwaarden en beperkingen. b) De verantwoordelijke is aansprakelijk voor schade die de betrokkene lijdt door onrechtmatig gebruik door derden van door de verantwoordelijke rechtmatig aan die derden verstrekte persoonsgegevens, tenzij de schade niet aan de verantwoordelijke kan worden toegerekend. c) De verantwoordelijke verzamelt en verwerkt de persoonsgegeven voor de doelen die in artikel 3 genoemd worden.
Vastgesteld MT BWR d.d. 17 november 2011
6
Artikel 13: Doorgifte van persoonsgegevens naar landen buiten de Europese Unie De verantwoordelijke geeft geen persoonsgegevens door naar een bedrijf of vestiging in een land buiten de Europese Unie, dat geen passend beschermingsniveau heeft, tenzij voldaan is aan tenminste één van de volgende voorwaarden: a. met dat bedrijf of die vestiging is een contract gesloten overeenkomstig de door de Europese Commissie vastgestelde modelcontractbepalingen, welk contract voor wat betreft de verwerking van persoonsgegevens de instemming heeft van de ondernemingsraad; b. de doorgifte is noodzakelijk in het kader van de arbeidsovereenkomst tussen de verantwoordelijke en de betrokkene; c. De betrokkene heeft een verklaring ondertekend, waarin hij de verantwoordelijke toestemming geeft voor de doorgifte. Die verklaring is in eenvoudige, begrijpelijke taal opgesteld, met specifieke informatie over het betrokken bedrijf of de betrokken vestiging, de door te geven persoonsgegevens, het doel van de doorgifte en de duur van de periode, waarin die verklaring wordt gebruikt.
§ 4: Plichten van de verantwoordelijke, bewerker en gebruikers Artikel 14: Geheimhoudingsplicht a) Een ieder die onder gezag van de verantwoordelijke of de bewerker alsmede de bewerker zelf, voor zover deze persoonsgegevens verwerken, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. b) Bij handelen in strijd met de gedragscode, het bedrijfsbelang of algemeen geldende normen en waarden kunnen afhankelijk van de aard en de ernst van de overtreding maatregelen worden getroffen. Hierbij gaat het om disciplinaire en arbeidsrechtelijke maatregelen zoals berisping, overplaatsing, schorsing en beëindiging van de arbeidsovereenkomst c.q. aanstelling.
Artikel 15: Beveiliging a) De verantwoordelijke brengt passende, technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. b) Met het oog op de technische en organisatorische maatregelen die de verantwoordelijke moet nemen is de Gedragscode beveiliging persoonsgegeven en Gedragscode Internet en e-mail opgesteld. Iedere medewerker van het BWR dient de gedragscode beveiliging persoonsgegeven na te leven.
Vastgesteld MT BWR d.d. 17 november 2011
7
Artikel 16: Informatieverstrekking a) De bewerker die is aangesteld door de verantwoordelijke treft zodanig organisatorische en procedurele maartregelen dat de betrokkenen die persoonsgegevens aan de bewerker heeft verstrekt, voor het moment van verstrekking wordt medegedeeld voor welke doeleinden de gegevens worden verwerkt tenzij redelijkerwijs kan worden aangenomen, dat de bewerker reeds op de hoogte is gesteld. b) De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de persoonsgegevens worden versterkt, mede. c) De verantwoordelijke verstrekt nadere informatie aan betrokkene zo spoedig mogelijk na de vastlegging of doorgifte aan een derde van persoonsgegevens die hem betreffen en wordt geïnformeerd voor welk doeleinden die gegevens worden verwerkt en vraagt de betrokkene toestemming voor verwerking indien die gegevens niet door opgave van betrokkenen zelf zijn verkregen. d) De betrokkene wordt op de hoogte gesteld van zijn rechten zoals genoemd in paragraaf 5 van dit reglement. e) Besluiten die genomen worden op basis van artikel 17, 18, 19 en 20 worden uiterlijk binnen 4 weken na ontvangst schriftelijk en met redenen omkleed beantwoord.
§ 5: Rechten van de betrokkene Artikel 17: Algemeen a) Iedere betrokkene heeft recht op informatie, inzage en correctie (verbetering, aanvulling, verwijdering en/of afscherming) alsmede recht van verzet, zoals geformuleerd in de volgende artikelen van deze paragraaf. b) Het uitoefenen van die rechten kan in werktijd geschieden. c) Aan het uitoefenen van die rechten zijn voor de betrokkene geen kosten verbonden. d) Betrokkenen kunnen zich bij het uitoefenen van die rechten laten bijstaan. e) De verantwoordelijke wijst betrokkenen op de mogelijkheden van rechtsbescherming en toezicht en op de rol daarin van het College bescherming persoonsgegevens f) Verzoek tot inzage dossier moet schriftelijk worden ingediend. Artikel 18: Recht op informatie De verantwoordelijke informeert, conform artikel 35 WBP, betrokkene op diens verzoek tijdig en volledig over de doelen waarvoor en de manieren waarop persoonsgegevens van hem worden verwerkt, over de regels die daarvoor gelden, over de rechten die betrokkene ten aanzien daarvan heeft en hoe hij die kan uitoefenen. Daarbij wordt betrokkene ook geïnformeerd over de plaats waar de documenten, waarin bedoelde regels zijn opgenomen, kunnen worden ingezien dan wel opgevraagd.
Vastgesteld MT BWR d.d. 17 november 2011
8
Artikel 19: Recht op inzage a) De verantwoordelijke deelt, conform artikel 35 WBP, een ieder op diens verzoek, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hem betreffende persoonsgegevens worden verwerkt. De betrokkene heeft de mogelijkheid iemand schriftelijk te machtigen om zijn gegevens in te zien. b) Indien dat het geval is, verstrekt de beheerder de verzoeker desgewenst, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk een volledig overzicht daarvan met informatie over het doel of de doelen van de gegevensverwerking, de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers van de gegevens alsmede de herkomst van de gegevens. Indien de verzoeker dat wenst, verstrekt de verantwoordelijke tevens informatie over de systematiek van de geautomatiseerde gegevensverwerking. c) De verzoeker heeft recht op een kopie van de gegevens die over hem zijn vastgelegd. Hij hoeft hiervoor niet te betalen. d) Indien een gewichtig belang van de verzoeker dit eist, voldoet de verantwoordelijke aan het verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast. e) De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. f) De verantwoordelijke kan weigeren aan een verzoek te voldoen, indien en voor zover dit noodzakelijk is in verband met: a. de opsporing en vervolging van strafbare feiten; b. gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen. Artikel 20: Recht op correctie: verbetering, aanvulling, verwijdering en/of afscherming a) De betrokkene heeft het recht conform artikel 36 WBP te verzoeken om verbetering, aanvulling, verwijdering en/of afscherming van zijn gegevens, b) Zo spoedig mogelijk na het ontvangst van het verzoek op correctie, wordt de betrokkene schriftelijk - tenzij een gewichtig belang van de betrokkene vergt dat er een andere vorm gekozen wordt - in kennis gesteld van de gemotiveerde beslissing. c) Een verzoek tot verbetering, aanvulling, verwijdering en/of afstemming van de gegevens wordt ingewilligd indien de gegevens feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel waarvoor ze verwerkt worden en/of in strijd met wettelijke voorschriften zijn opgenomen. d) Derden aan wie de gegevens van de betrokkene eerder zijn verstrekt worden van de correctie op de hoogte gesteld tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
Vastgesteld MT BWR d.d. 17 november 2011
9
Artikel 21: Recht van verzet a) De betrokkene kan bezwaar aantekenen , conform artikel 40 WBP, tegen de verwerking van zijn persoonsgegevens in verband met zijn bijzondere omstandigheden. b) De verantwoordelijke beoordeelt zo spoedig mogelijk na ontvangst van het bezwaar of het verzet gerechtvaardigd is. c) Indien het verzet gerechtvaardigd is , wordt de verwerking onmiddellijk beëindigd.
§ 6: Rechtsbescherming en toezicht Artikel 22: Klachtenprocedure a) Elke betrokkene heeft het recht bij de verantwoordelijke een klacht in te dienen 1. tegen een beslissing op een verzoek als bedoeld in de artikelen 17, 18,19, 20 en 21; 2. tegen een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel 20; alsmede 3). tegen de wijze waarop de verantwoordelijke of de bewerker de in dit reglement opgenomen regels uitvoert. b) De verantwoordelijke reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst, schriftelijk en met redenen omkleed op de klacht. c) Betrokkene kan zich bij de indiening en behandeling van zijn klacht laten bijstaan. d) De verantwoordelijke kan het advies van het College bescherming persoonsgegevens inwinnen. e) De verantwoordelijke kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of gedeeltelijk terecht. f) Indien de verantwoordelijke de klacht niet of slechts gedeeltelijk honoreert, kan de betrokkene een klacht indienen bij het College bescherming persoonsgegevens. De verantwoordelijke informeert de betrokkene, wiens klacht hij niet of slechts gedeeltelijk honoreert, over die mogelijkheid en over het adres van het College. g) Indien de verantwoordelijke oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om 1. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder a.:) het verzoek van betrokkene alsnog geheel of gedeeltelijk te honoreren; 2. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder b.:) het verzet van betrokkene alsnog te honoreren; 3. (indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c.:) alsnog uitvoering te geven aan de in het reglement opgenomen regels, hetgeen kan inhouden een handelen of een nalaten, waaronder begrepen een herstellen of een stoppen; 4. de schade die betrokkene heeft geleden te vergoeden. h) De verantwoordelijke maakt zijn oordeel schriftelijk aan betrokkene kenbaar.
Vastgesteld MT BWR d.d. 17 november 2011
10
Artikel 23: Toezicht op de naleving Het College bescherming persoonsgegevens is op grond van de wet bevoegd toe te zien op de naleving van de in dit reglement krachtens de wet opgenomen bepalingen.
§ 7: Overige bepalingen Artikel 24: Scholing De verantwoordelijke draagt zorg voor een regelmatige scholing van de beheerders en de gebruikers om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen. Artikel 25: Onvoorzien In gevallen waarin het reglement niet voorziet beslist de verantwoordelijke, zo mogelijk na instemming van de ondernemingsraad. In spoedeisende gevallen informeert de verantwoordelijke de ondernemingsraad achteraf. Artikel 26: Publicatie Dit reglement wordt voor een ieder ter inzage gelegd bij de afdeling die het beheer voert over de verwerking. Artikel 27: Wijzigingen en aanvullingen a) Wijzigingen in doel van de verwerking en in soort van inhoud, gebruik en wijze van verkrijging van de persoonsgegevens dienen te leiden tot wijziging van dit reglement. b) De introductie van een nieuw geautomatiseerd systeem alsmede frequent voorkomende onvoorziene gevallen dienen te leiden tot aanvulling van dit reglement. c) Wijzigingen en aanvullingen van het reglement behoeven de instemming van de ondernemingsraad. Artikel 28: Inwerkingtreding en citeertitel a) Het reglement is in werking getreden op 1 december 2011. b) Het reglement heeft op 17 november 2011 instemming gekregen van de OR Baanvak en de GR BWR. c) Dit reglement kan worden aangehaald als Privacyreglement Bedrijf voor Werk en Re-integratie.
Aldus vastgesteld d.d. 17 november 2011
Akkoord Privacyreglement en alle bijlagen door OR BV en GR BWR d.d. 17 oktober 2011
Vastgesteld MT BWR d.d. 17 november 2011
11
Bijlage 1 Voorbeeld brief betrokken medewerkers BWR
Mevr. M.E. de Werker Loonstraat 28 9611 TE Privacyland
Kenmerk
Datum
Onderwerp: Wet Bescherming Persoonsgegevens
Geachte heer/mevrouw,
Hierbij wordt uw aandacht gevraagd voor het volgende. In Nederland is de Wet Bescherming Persoonsgegevens (WBP) van kracht. Deze wet stelt eisen aan de wijze waarop organisaties persoonsgegevens mogen verwerken. Aangezien vrijwel elke organisatie in Nederland persoonsgegevens verwerkt heeft iedere organisatie te maken met de WBP. Het College Bescherming Persoonsgegevens houdt wettelijk toezicht op de privacy en controleert correcte verwerking van personeelgegevens. Naast de plicht om de wettelijke eisen die de WBP stelt na te leven dienen organisaties zorgvuldig en behoorlijk te handelen. Het BWR gaat op zorgvuldige wijze om met het verwerken van persoonsgegevens. Het BWR heeft een privacyreglement opgesteld waarin beschreven is hoe binnen de organisatie persoonsgegevens worden verwerkt en beheerd. In dit Privacyreglement wordt beschreven dat uw persoonsgegevens niet anders mogen worden gebruikt dan voor uw traject of dienstverband noodzakelijk is. Ook mogen niet meer gegevens worden gebruikt dan nodig is. Verder is beschreven op welke wijze medewerkers van het BWR dienen om te gaan met computergebruik. Op Intranet van het BWR kunt u het hele Privacyreglement nalezen.
Hoogachtend,
D. T. ten Brink directeur BWR
Vastgesteld MT BWR d.d. 17 november 2011
12
Bijlage 2. Opgenomen gegevens (artikel 6 lid d) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20.
Naam, adres, woonplaats, geboortedatum en -plaats, telefoonnummers Geslacht, burgerlijke staat, geboorteland, nationaliteit Gegevens curatoren, bewindvoerders en mentoren Bank-giro, loon- en BSN nummer Functie, afdeling, sector, soort dienstverband Datum in- en uitdiensttreding Keuringsgegevens c.q. uitslagen testrapporten Medische- psychologische gegevens, sociale rapporten Beoordelings- en loopbaangegevens Studie en loopbaan- en scholingsgegevens Gegevens met betrekking tot het arbeidsverleden en uitkeringsgegevens Gegevens in het kader van uitvoering trajecten voor gemeenten en derden Verklaring van goed gedrag Sollicitatiegegevens kopieën van diploma’s Referenties Ziekteverzuimgegevens Correspondentie inlichtingenformulier en verder alle gegevens die nodig zijn voor de realisatie van de doelstellingen benoemd in artikel 3 van dit Privacyreglement
Vastgesteld MT BWR d.d. 17 november 2011
13
Bijlage 3 Gegevensuitwisseling over betrokkenen aan derden (artikel 12 lid 1) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.
Arbodienst Algemene Pensioen Groep (APG) UWV WERKbedrijf (UWV) Opdrachtgevers (in het kader van verantwoording re-integratietrajecten) Centraal Beheer (werknemers zijn hier verzekerd) Stichting Spaarloon Fonds Nederland (spaarloon Wiw werknemers) Syntrus Achmea (pensioen alleen voor Wiw werknemers) Noorderpoortcollege (uitvoering Inburgeringstrajecten) Belastingdienst Automatic Data Processing (ADP) Univé Menzis IZA Blik op Werk keurmerk en Cedrisbranchecode CBS en verder alle gegevens die nodig zijn voor de realisatie van de doelstellingen benoemd in artikel 3 van dit Privacyreglement
Vastgesteld MT BWR d.d. 17 november 2011
14
Bijlage 4 Gedragscode beveiliging persoonsgegevens (artikel 15 lid b)
Artikel 1 Algemeen De gedragscode beveiliging persoonsgegevens geeft de wijze aan waarop in het BWR wordt omgegaan met veilig computergebruik, email en internet en bevat regels voor verantwoordelijk gebruik hiervan en controle op de regels. Gestreefd wordt naar een goede balans tussen verantwoord, zorgvuldig email en internetgebruik en bescherming van de privacy van de werknemer op de werkplek. Het privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van elektronische communicatiemiddelen. Artikel 2 Reikwijdte Deze gedragscode geldt voor alle medewerkers die bij het BWR werkzaam zijn. Artikel 3. Veilig computergebruik a) Users-identificatie (inlognaam) en wachtwoord zijn persoonsgebonden en mogen niet aan anderen worden doorgegeven. b) Op aangeven van de bewerker dient de gebruiker de wachtwoorden te vervangen of aan te passen. c) Het is de gebruiker niet toegestaan programmatuur te gebruiken die niet is vertrekt of vrijgegeven is door de bewerker. d) De gebruiker dient bij het uitwisselen van (extern verkregen) data alles te doen wat redelijkerwijs mogelijk is om besmetting te voorkomen van de infrastructuur (netweken, servers en pc’s) als gevolg van virussen etc. te voorkomen. Het uitwisselen van data via extern verkregen opslagmedia is niet toegestaan mits hiervoor uitdrukkelijk toestemming is verkregen van de werkgever. e) Iedere medewerker dient bij het verlaten van de werkplek de schermbeveiliging op zijn pc te activeren. De organisatie draagt er zorg voor dat er een screensaver geïnstalleerd en geactiveerd is. Na 2 minuten wordt de screensaver automatisch geactiveerd. Vervolgens moet de gebruiker opnieuw inloggen met de inlognaam en het persoonsgebonden wachtwoord. f) Het BWR zorgt voor een adequate autorisatie. g) Het BWR zorgt voor adequate beveiliging. Dit houdt in dat een bericht uitsluitend toegankelijk is voor de geautoriseerde medewerker(s) aan wie de mail gericht is. Dit is te realiseren door de eigen PC van de geautoriseerde medewerker, die afgeschermd is met een wachtwoord en na 2 minuten automatisch op screensaver met wachtwoordbeveiliging springt. h) De geautoriseerde medewerker dient zelf vertrouwelijke berichten zo spoedig mogelijk uit de mailbox te verwijderen. Als de inhoud van de berichten opgeslagen worden dan mogen deze niet toegankelijk zijn voor niet-geautoriseerde medewerkers en alleen opgeslagen worden op een beveiligde schijf/directory op de eigen PC. i) Het BWR heeft een gedragscode Internet en e-mail gebruik opgesteld. j) Het BWR heeft een adequate virusbeveiliging voor het systeem. Dit systeem wordt regelmatig onderhouden. k) Er is geborgd dat bovenstaande punten worden nageleefd (b.v. via periodieke controles, audits).
Vastgesteld MT BWR d.d. 17 november 2011
15
Artikel 4. Veilig post- en email gebruik a) De gebruiker wordt geacht zijn post en email regelmatig te controleren. b) Bij het verzenden van zeer vertrouwelijke informatie wordt in principe geen gebruik gemaakt van email. De stukken dienen verzonden te worden in een dossiertas, die voor verzending afgesloten wordt. c) Vertrouwelijke informatie wordt na ontvangst zo spoedig mogelijk veilig opgeborgen of vernietigd. d) Berichten worden alleen verstuurd aan een van tevoren bekend gemaakt mailadres van een daartoe bevoegde medewerker. Berichten mogen nooit verzonden worden aan mailboxen die algemeen toegankelijk zijn. Artikel 5. Veilig dossier gebruik a) Dossiers moeten altijd opgeborgen worden in afsluitbare en/of brandveilige kasten. b) Toegang tot dossiers hebben alleen die personen die bevoegd zijn tot verwerking van de noodzakelijke gegeven. Artikel 6. Vuistregels voor de werkplek a) De gebruiker moet ervoor zorgen dat vertrouwelijke informatie niet toegankelijk is voor anderen. Dit betekent dat: * bij het verlaten van de werkplek de kasten en het bureau op slot gaan en de sleutel opgeborgen wordt * wachtwoorden niet bij de PC in de buurt zijn * geen vertrouwelijke informatie vindbaar is in de prullenmand. b) Vertrouwelijke informatie wordt vernietigd door gebruik van de papierversnipperaar of in de door de gemeente geleverde container. c) Eventuele elektrische apparaten die mogelijk brand of kortsluiting kunnen veroorzaken worden door de medewerker uitgeschakeld. Artikel 7. Vuistregels voor bezoek a) Indien bekend is dat er bezoek komt dient dit worden gemeld bij de receptie. b) Het bezoek dient te worden opgehaald bij de receptie. c) Vertrouwelijke informatie moet opgeborgen zijn voordat het bezoek ontvangen wordt. d) Na afloop wordt het bezoek weer naar de hoofduitgang gebracht. Artikel 8. Sancties Bij handelen in strijd met het bedrijfsbelang, de algemeen geldende normen en waarden of deze gedragscode kunnen afhankelijk van de aard en de ernst van de overtreding maatregelen worden getroffen. Hierbij gaat het om disciplinaire en arbeidsrechtelijke maatregelen zoals berisping, overplaatsing, schorsing en beëindiging van de arbeidsovereenkomst cq aanstelling. Artikel 9. Overige bepalingen In alle gevallen waarin deze gedragscode niet voorziet beslist de directeur van het BWR. Artikel 10. Inwerkingtreding en citeertitel a) Deze gedragscode treedt in werking met ingang van b) Deze gedragscode wordt aangehaald als “Gedragscode beveiliging persoonsgegevens”. Datum Handtekening medewerker, voor gezien,
Vastgesteld MT BWR d.d. 17 november 2011
16
Bijlage 5 Gedragscode Internet en email (artikel 15 lid b) Artikel 1 Algemeen De gedragscode beveiliging persoonsgegevens geeft de wijze aan waarop in het BWR wordt omgegaan met veilig computergebruik, email en internet en bevat regels voor verantwoordelijk gebruik hiervan en controle op de regels. Gestreefd wordt naar een goede balans tussen verantwoord email en internetgebruik en bescherming van de privacy van werknemer op de werkplek. Het privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van elektronische communicatiemiddelen. Artikel 2 Reikwijdte Deze gedragscode geldt voor alle medewerkers die bij het BWR werkzaam zijn. Artikel 3 Toegang a) Het BWR kan het recht tot gebruik van internet en email toestaan maar ook altijd weer intrekken. Zonder recht is gebruik van internet en email niet toegestaan. b) Medewerkers van het BWR kunnen zakelijk gebruik maken van internet en email. Gebruik is dus verbonden met taken/bezigheden die voortvloeien uit de functie. c) Medewerkers mogen internet en email, incidenteel en kortstondig, gebruiken voor privé doeleinden, indien toestemming is gekregen van de leidinggevende. Toestemming wordt verleend als de dagelijkse werkzaamheden niet worden verstoord en voldaan is aan de richtlijnen van deze gedragscode. Er is sprake van onacceptabel internetgebruik wanneer schade wordt toegebracht aan het organisatiebelang en algemeen aanvaardbare fatsoensnormen worden overschreven. Artikel 4 Beperkingen Het BWR houdt zich het recht voor om de toegang tot bepaalde sites op het internet te beperken en blokkeren. Artikel 5 Verbod a) Het is de medewerker niet toegestaan om vertrouwelijke gegevens en/of informatie over het BWR openbaar te maken. b) In het bijzonder is het niet toegestaan om op internet: * websites te bezoeken dan wel downloaden die pornografisch, racistisch, discriminerend, beledigend of aanstootgevend materiaal bevatten; * zich ongeoorloofd toegang te verschaffen tot niet openbare bronnen; * opzettelijk informatie waartoe men via internet toegang heeft verkregen zonder toestemming te veranderen of te vernietigen. c) Het is niet toegestaan om door middel van een email: * berichten anoniem of onder een fictieve naam te versturen; * dreigende, beledigende, seksueel getinte racistisch dan wel discriminerende berichten en kettingbrieven per email te verzenden of door te sturen; * iemand lastig te vallen via email. * in strijd met de wet dan wel met geaccepteerde omgangsvormen en goede zeden dan wel onethisch te handelen. d) Een medewerker die in het kader van “thuiswerken” vanuit de bedrijfscomputer een verbinding heeft of anderszins gegevens heeft gedownload dient integer met die gegevens om te gaan. e) Als de medewerker informatie zoals omschreven in lid b ongevraagd krijgt aangeboden meldt deze dit bij de leidinggevende.
Vastgesteld MT BWR d.d. 17 november 2011
17
Artikel 6 Gebruik a) User-identificatie (inlognaam) en wachtwoord zijn persoonsgebonden en mogen niet aan anderen worden doorgegeven. b) Het is niet toegestaan privéberichten te genereren door deel te nemen aan niet zakelijke nieuwsbrieven, abonnementen op e-zines en dergelijke. c) Email met bestanden als bijlage dienen maximaal 1Mb groot te zijn. Bestanden groter dan deze limiet worden niet verzonden tenzij er overleg plaats gevonden heeft met de beheerder. d) Het downloaden van software en applicaties is niet toegestaan tenzij vooraf schriftelijke toestemming is verleend. Deze toestemming wordt alleen verleend indien voldaan is aan de geldende rechten en eventuele licenties worden betaald. e) Binnenkomend internet en email verkeer wordt zo goed mogelijk gecontroleerd op virussen en soortgelijk ongerief. Mocht blijken dat een email bericht een virus bevat dan wordt het bericht automatisch tegengehouden en worden verzender en ontvanger daarover ingelicht. Indien desondanks een email wordt ontvangen dat (mogelijk) een virus bevat dan dient de ontvanger onverwijld contact op te nemen met de bewerker. Artikel 7 Controle en toezicht a) Om de veiligheid van het netwerk te waarborgen en toe te zien op een zorgvuldig gebruik overeenkomstig deze gedragscode worden van tijd tot tijd controles uitgevoerd. Het doel is het voorkomen van onrechtmatig gebruik en misbruik door in beginsel steekproefsgewijs en geanonimiseerd gegevens te verzamelen b) Eigenaar van een e-mailadres is aansprakelijk voor de berichten die via zijn emailadres worden verzonden of ontvangen. c) Indien mocht blijken dat in strijd met deze regeling wordt gehandeld of indien daarvoor aanwijzingen zijn (zoals klachten, signalen van binnen of buiten de organisatie en systeemstoringen) dan kunnen de gegevens van de betrokken medewerkers worden uitgedraaid, ingezien en gebruikt. Controleren alsmede openen van email ten behoeve van het opsporen van onrechtmatig gedrag van de medewerker is dus toegestaan indien er sprake is van een redelijke verdenking of een vermoeden van ongeoorloofd handelen. d) De betreffende gegevens worden bewaard zolang dit in het kader van nader onderzoek en eventuele te treffen maatregelen jegens een gebruiker noodzakelijk is. Artikel 8 Sancties Bij handelen in strijd met het bedrijfsbelang, de algemeen geldende normen en waarden of deze gedragscode kunnen afhankelijk van de aard en de ernst van de overtreding maatregelen worden getroffen. Hierbij gaat het om disciplinaire en arbeidsrechtelijke maatregelen zoals berisping, overplaatsing, schorsing en beëindiging van de arbeidsovereenkomst cq dienstverband. Artikel 8 Overige bepalingen In alle gevallen waarin deze gedragscode niet voorziet beslist de directeur van het BWR. Artikel 9 Inwerkingtreding en citeertitel a) Deze gedragscode treedt in werking met ingang van b) Deze gedragscode wordt aangehaald als “Gedragscode internet en email”.
Datum
Handtekening medewerker, voor gezien,
Vastgesteld MT BWR d.d. 17 november 2011
18
