AVG voorwaarden
Algemene Verordening
Gegevensbescherming 2019-2020
Algemene verordening gegevensbescherming
Inleiding
Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden in Nederland. De AVG is Europese regelgeving die de lidstaten in hun eigen wetgeving moeten integreren. In Nederland vervangt deze regeling de Wet bescherming persoonsgegevens (Wbp).
Wat verandert er?
Het doel van de AVG is het versterken van de positie van de natuurlijke personen van wie de gegevens verwerkt worden. Hun bestaande rechten worden sterker en zij krijgen, ten opzichte van de Wbp, nieuwe rechten. Dit betekent dat de onderneming die persoonsgegevens registreert meer verplichtingen krijgt. Op hen gaat een zwaardere verantwoordelijkheid rusten om aan te tonen dat zij zich aan de wet houden.
Onder de AVG hebben de betrokkenen van wie persoonsgegevens worden geadministreerd, naast het huidige recht op inzage, correctie en verwijdering ook het recht op data-overdracht. Dit laatste recht moet er onder andere voor zorgen dat mensen hun gegeven makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als zij dit willen. Daarnaast kunnen betrokkenen een klacht indienen bij de Autoriteit Persoonsgegevens (AP) over de wijze waarop met hun persoonsgegevens wordt omgegaan.
Organisaties die persoonsgegevens verwerken moeten een register bijhouden, waarin is opgenomen met welk doel persoonsgegevens worden ingezameld, welke persoonsgegevens men verzamelt, aan wie men deze gegevens verstrekt en hoe lang de persoonsgegevens worden bewaard.
Tenslotte moeten organisaties bij de inrichting van nieuwe processen die impact kunnen hebben op persoonsgegevens, bij de ontwikkeling van deze processen, rekening houden met de belangen van de betrokkenen (privacy by design) en geldt de verplichting om inbreuk op de privacy rechten (datalekken) te melden bij de Autoriteit Persoonsgegevens en eventueel bij betrokkenen.
Aanpak Link Parkstad
Link Parkstad is een zakelijke dienstverlener en verwerkt bijzondere persoonsgegevens, n.l. gegevens van werknemers, hulpvragers en toeleveranciers. Er is een dossiervoering op persoonsgegevens in een elektronisch cliënten dossier (ECD), werknemersadministratie.
Het spreekt voor zich dat wij de bescherming van deze gegevens hoog in het vaandel hebben staan.
In dit statement geven wij aan welke positie wij innemen als verwerker van gegevens, hoe wij omgaan met de vertrouwelijke gegevens van uw werknemers en welke acties wij ondernemen om te voldoen aan de eisen die de AVG aan deze verwerking stelt.
In onderstaand overzicht treft u de belangrijkste bepalingen uit de AVG aan en de acties die Link Parkstad V.O.F onderneemt om aan deze eisen te voldoen.
Een organisatie die op grootschalige wijze persoonsgegevens verwerkt dient een verwerkingsregister op te stellen.
Link Parkstad V.O.F. stelt een verwerkingsregister op. In dit verwerkingsregister worden de volgende onderdelen opgenomen:
• Het doel c.q. de doelen van verwerking van persoonsgegevens;
• De betrokkenen van persoonsgegevens die worden bijgehouden;
• Het soort gegevens van betrokkenen waarvan persoonsgegevens worden bijgehouden;
• De ontvangers van de persoonsgegevens
• De grondslag organisaties aan wie wij deze persoonsgegevens verstrekken;
• De bewaartermijn van de persoonsgegevens.
• De beveiligingsmaatregelen die we treffen.
Voor dit verwerkingsregister zullen wij een analyse uitvoeren naar verwerkings-/uitwisselovereenkomst tussen partijen.
Om persoonsgegevens te mogen verwerken moet er sprake zijn van rechtmatigheid. Deze rechtmatigheid kan bestaan uit:
• Toestemming van de betrokkene
• Het uitvoeren van een overeenkomst
• Het voldoen aan een wettelijke plicht. Veelvoorkomende rechtmatigheid van onze gegevensverzameling is gebaseerd op het uitvoeren van een wettelijke plicht middels:
- We hebben toestemming van de persoon om wie het gaat.
- We moeten persoonsgegevens bewaren om een overeenkomst/begeleidingsplan uit te voeren.
- We zijn wettelijk verplicht om gegevens te bewaren. Voorbeeld: We bewaren salarisgegevens van werknemers omdat de wet dit voorschrijft.
- We bewaren persoonsgegevens om iemands leven of gezondheid te beschermen. Hier stemmen we onze begeleiding op af.
- Het is nodig om persoonsgegevens te bewaren om een taak van algemeen belang te vervullen.
- We bewaren persoonsgegevens om een belang van de organisatie te beschermen. Dat belang moet zwaarder wegen dan de rechten van betrokkenen. Voorbeeld: Ons bedrijf gebruikt een 'smoelenboek' om ervoor te zorgen dat medewerkers elkaar makkelijker herkennen. Deze hebben we in Scienta/Nedap staan.
• Dit betekent echter niet dat wij zomaar allerlei gegevens van u mogen opvragen. Wij mogen slechts die gegevens opvragen die strikt noodzakelijk zijn voor het doel, waarvoor wij deze gegevens hebben opgevraagd. De gegevens die u aan ons verstrekt, verstrekt u dan ook uit hoofde van het voldoen aan de wettelijke plicht en het uitvoeren van de overeenkomst tot opdracht. Wij zijn geen verwerker in de zin van de AVG, maar verwerkingsverantwoordelijke. Het is dan ook niet nodig om verwerkersovereenkomst met u aan te gaan, voordat u vertrouwelijke informatie aan ons verstrekt.
Wij maken een analyse van de door ons ingewonnen informatie en de noodzaak daarvan. Beschikken wij over meer informatie dan noodzakelijk, dan zullen wij u om toestemming vragen om deze gegevens te mogen bewaren of wij verwijderen deze informatie uit onze administratie.
Met medewerkers die persoonsgegevens verwerken moeten geheimhouding worden overeengekomen.
Omdat vertrouwelijkheid zo belangrijk is hebben wij een analyse gemaakt van welke medewerkers toegang hebben tot welke persoonsgegevens. Wij beoordelen hierbij of deze toegang noodzakelijk is voor de uitvoering van de werkzaamheden van deze medewerkers. Indien deze toegang niet nodig blijkt, dan zullen wij de rechten van deze medewerkers beperken.
Met alle medewerkers binnen onze onderneming is geheimhouding overeengekomen. Deze geheimhouding maakt deel uit van de arbeidsovereenkomst die wij met de medewerkers zijn aangegaan.
Een organisatie die persoonsgegevens verwerkt moet betrokkenen informeren over deze verwerking, betrokkenen wijzen op hun rechten en de uitoefening van deze rechten faciliteren.
Wij passen de informatie over onze dienstverlening aan, zodat deze voldoet aan de informatieverplichting uit de AVG. Deze informatie verstrekken wij aan klanten voordat wij zaken met elkaar gaan doen of als er wijzigingen in deze informatie zijn doorgevoerd. Ook vermelden wij deze informatie op onze website.
Daarnaast informeren wij betrokkenen over onze rol en positie, over de gegevens die wij van hen nodig hebben en wat wij daarmee doen.
Wij hebben interne procedures opgesteld om de betrokkenen te faciliteren bij de uitoefening van hun rechten. Hierbij is het voor ons wel belangrijk om vast te stellen of de persoon die rechten wil uitoefenen ook daadwerkelijk de persoon is waarvan wij persoonsgegevens van verwerken. Hiervoor kunnen wij om identificatie vragen of u vragen om op ons kantoor lang te komen om u te identificeren. Ook in een dergelijk geval is vertrouwelijkheid belangrijk.
Als een werknemer ons verzoekt om zijn of haar persoonsgegevens te verwijderen, dan zullen wij daar gehoor aan geven, tenzij wij deze gegevens nog nodig hebben. Bijvoorbeeld omdat de bewaartermijn nog loopt. Wil de betrokkene dan toch dat wij deze gegevens verwijderen, dan zullen wij u om een vrijwaring vragen voordat wij tot verwijdering van deze persoonsgegevens overgaan.
Een organisatie die persoonsgegevens verwerkt moet, rekening houdend met de aard, omvang, de context en het doel van verwerking, maar ook met de waarschijnlijkheid en de ernst van de uiteenlopende risico’s, passende technische en organisatorische maatregelen treffen om zorgvuldige verwerking van persoonsgegevens te waarborgen.
Wij stellen een analyse op van de middelen waarop wij persoonsgegevens verwerken. Per verwerkingsmiddel maken wij een analyse van de volgende onderwerpen:
• Welke persoonsgegevens worden hierin/-op geadministreerd;
• Wie heeft toegang tot deze persoonsgegevens;
• Welke beveiligingsmaatregelen zijn getroffen om deze persoonsgegevens te beschermen. Op basis van deze analyse beoordelen wij of de getroffen maatregelen voldoende zijn of dat wij aanvullende maatregelen moeten treffen. Omdat de stand van de techniek zo snel veranderd, zullen wij deze beoordeling per kwartaal herhalen. Zo kunnen wij ervoor zorgen dat onze maatregelen passend blijven. Daarnaast besteden wij doorlopend aandacht voor de vertrouwelijkheid van uw persoonsgegevens bij onze medewerkers.
Datalekken die een risico opleveren voor de rechten en vrijheden van natuurlijke personen moeten zonder onredelijke vertraging (uiterlijk binnen 72 uur na ontdekking hiervan) worden gemeld aan de Autoriteit Persoonsgegevens.
Wij monitoren continue onze systemen op onrechtmatige toegang tot persoonsgegevens.
Als wij een datalek signaleren, dan zullen wij deze zo spoedig mogelijk repareren. Ook zullen wij nagaan of het risico aanwezig is dat de persoonsgegevens onrechtmatig worden verspreid.
Wij beschikken over een interne procedure voor het melden van datalekken, als een medewerker per ongeluk persoonsgegevens onrechtmatig verspreid. Een datalek wordt door ons altijd gemeld aan de Autoriteit Persoonsgegevens.r> Bij het gebruik van nieuwe technologieën bij de verwerking van persoonsgegevens moet de organisatie bij de ontwikkeling rekening houden met het borgen van de privacy rechten van de betrokkenen (privacy by design).
Wij hebben procedures en instructies opgesteld die waarborgen dat bij de inrichting of het gebruik van nieuwe technologieën wordt getoetst of de rechten van betrokkenen voldoende geborgd zijn.
Indien persoonsgegevens buiten de Europese Unie worden opgeslagen, moet de verwerkingsverantwoordelijke waarborgen verkrijgen dat de belangen van de betrokkenen voldoende zijn geborgd (op hetzelfde niveau als binnen de EU). Dit geldt ook voor de samenwerking met internationale organisaties die buiten de EU werkzaam zijn.
Uit een door ons opgestelde analyse is gebleken dat wij niet met partijen samenwerken die persoonsgegevens buiten de EU opslaan.
In onze beoordeling van nieuwe samenwerkingsverbanden met ontvangers of verwerkers, wordt standaard beoordeeld of er sprake kan zijn van het opslaan van persoonsgegevens buiten de EU.
Het administreren van een persoonlijk identificatienummer (BSN) is uitsluitend toegestaan als hiervoor een wettelijke verplichting geldt.
BSN Nummers worden in een beveiligd systeem opgeslagen. Dit is nodig om een goede dienstverlening en aan wettelijke verplichtingen te voldoen zoals het bijhouden van een salarisadministratie, werknemersdossier.
Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het doel, waarvoor deze gegevens zijn ingewonnen. Wij hebben per categorie persoonsgegevens vastgesteld welke bewaartermijn noodzakelijk is. Deze bewaartermijnen kunnen voorkomen uit wettelijke verplichtingen (Wet Verbetering Poortwachter, Burgerlijk Wetboek of Belastingwet). Op hulpvragersniveau leggen wij de vernietigingsdatum van de persoonsgegevens vast, nadat het contract of de relatie is beëindigd. Op verzoek binnen 3 maanden, anders is bewaartermijn 1 jaar.
Gegevensbescherming 2019-2020
Algemene verordening gegevensbescherming
Inleiding
Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden in Nederland. De AVG is Europese regelgeving die de lidstaten in hun eigen wetgeving moeten integreren. In Nederland vervangt deze regeling de Wet bescherming persoonsgegevens (Wbp).
Wat verandert er?
Het doel van de AVG is het versterken van de positie van de natuurlijke personen van wie de gegevens verwerkt worden. Hun bestaande rechten worden sterker en zij krijgen, ten opzichte van de Wbp, nieuwe rechten. Dit betekent dat de onderneming die persoonsgegevens registreert meer verplichtingen krijgt. Op hen gaat een zwaardere verantwoordelijkheid rusten om aan te tonen dat zij zich aan de wet houden.
Onder de AVG hebben de betrokkenen van wie persoonsgegevens worden geadministreerd, naast het huidige recht op inzage, correctie en verwijdering ook het recht op data-overdracht. Dit laatste recht moet er onder andere voor zorgen dat mensen hun gegeven makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als zij dit willen. Daarnaast kunnen betrokkenen een klacht indienen bij de Autoriteit Persoonsgegevens (AP) over de wijze waarop met hun persoonsgegevens wordt omgegaan.
Organisaties die persoonsgegevens verwerken moeten een register bijhouden, waarin is opgenomen met welk doel persoonsgegevens worden ingezameld, welke persoonsgegevens men verzamelt, aan wie men deze gegevens verstrekt en hoe lang de persoonsgegevens worden bewaard.
Tenslotte moeten organisaties bij de inrichting van nieuwe processen die impact kunnen hebben op persoonsgegevens, bij de ontwikkeling van deze processen, rekening houden met de belangen van de betrokkenen (privacy by design) en geldt de verplichting om inbreuk op de privacy rechten (datalekken) te melden bij de Autoriteit Persoonsgegevens en eventueel bij betrokkenen.
Aanpak Link Parkstad
Link Parkstad is een zakelijke dienstverlener en verwerkt bijzondere persoonsgegevens, n.l. gegevens van werknemers, hulpvragers en toeleveranciers. Er is een dossiervoering op persoonsgegevens in een elektronisch cliënten dossier (ECD), werknemersadministratie.
Het spreekt voor zich dat wij de bescherming van deze gegevens hoog in het vaandel hebben staan.
In dit statement geven wij aan welke positie wij innemen als verwerker van gegevens, hoe wij omgaan met de vertrouwelijke gegevens van uw werknemers en welke acties wij ondernemen om te voldoen aan de eisen die de AVG aan deze verwerking stelt.
In onderstaand overzicht treft u de belangrijkste bepalingen uit de AVG aan en de acties die Link Parkstad V.O.F onderneemt om aan deze eisen te voldoen.
Een organisatie die op grootschalige wijze persoonsgegevens verwerkt dient een verwerkingsregister op te stellen.
Link Parkstad V.O.F. stelt een verwerkingsregister op. In dit verwerkingsregister worden de volgende onderdelen opgenomen:
• Het doel c.q. de doelen van verwerking van persoonsgegevens;
• De betrokkenen van persoonsgegevens die worden bijgehouden;
• Het soort gegevens van betrokkenen waarvan persoonsgegevens worden bijgehouden;
• De ontvangers van de persoonsgegevens
• De grondslag organisaties aan wie wij deze persoonsgegevens verstrekken;
• De bewaartermijn van de persoonsgegevens.
• De beveiligingsmaatregelen die we treffen.
Voor dit verwerkingsregister zullen wij een analyse uitvoeren naar verwerkings-/uitwisselovereenkomst tussen partijen.
Om persoonsgegevens te mogen verwerken moet er sprake zijn van rechtmatigheid. Deze rechtmatigheid kan bestaan uit:
• Toestemming van de betrokkene
• Het uitvoeren van een overeenkomst
• Het voldoen aan een wettelijke plicht. Veelvoorkomende rechtmatigheid van onze gegevensverzameling is gebaseerd op het uitvoeren van een wettelijke plicht middels:
- We hebben toestemming van de persoon om wie het gaat.
- We moeten persoonsgegevens bewaren om een overeenkomst/begeleidingsplan uit te voeren.
- We zijn wettelijk verplicht om gegevens te bewaren. Voorbeeld: We bewaren salarisgegevens van werknemers omdat de wet dit voorschrijft.
- We bewaren persoonsgegevens om iemands leven of gezondheid te beschermen. Hier stemmen we onze begeleiding op af.
- Het is nodig om persoonsgegevens te bewaren om een taak van algemeen belang te vervullen.
- We bewaren persoonsgegevens om een belang van de organisatie te beschermen. Dat belang moet zwaarder wegen dan de rechten van betrokkenen. Voorbeeld: Ons bedrijf gebruikt een 'smoelenboek' om ervoor te zorgen dat medewerkers elkaar makkelijker herkennen. Deze hebben we in Scienta/Nedap staan.
• Dit betekent echter niet dat wij zomaar allerlei gegevens van u mogen opvragen. Wij mogen slechts die gegevens opvragen die strikt noodzakelijk zijn voor het doel, waarvoor wij deze gegevens hebben opgevraagd. De gegevens die u aan ons verstrekt, verstrekt u dan ook uit hoofde van het voldoen aan de wettelijke plicht en het uitvoeren van de overeenkomst tot opdracht. Wij zijn geen verwerker in de zin van de AVG, maar verwerkingsverantwoordelijke. Het is dan ook niet nodig om verwerkersovereenkomst met u aan te gaan, voordat u vertrouwelijke informatie aan ons verstrekt.
Wij maken een analyse van de door ons ingewonnen informatie en de noodzaak daarvan. Beschikken wij over meer informatie dan noodzakelijk, dan zullen wij u om toestemming vragen om deze gegevens te mogen bewaren of wij verwijderen deze informatie uit onze administratie.
Met medewerkers die persoonsgegevens verwerken moeten geheimhouding worden overeengekomen.
Omdat vertrouwelijkheid zo belangrijk is hebben wij een analyse gemaakt van welke medewerkers toegang hebben tot welke persoonsgegevens. Wij beoordelen hierbij of deze toegang noodzakelijk is voor de uitvoering van de werkzaamheden van deze medewerkers. Indien deze toegang niet nodig blijkt, dan zullen wij de rechten van deze medewerkers beperken.
Met alle medewerkers binnen onze onderneming is geheimhouding overeengekomen. Deze geheimhouding maakt deel uit van de arbeidsovereenkomst die wij met de medewerkers zijn aangegaan.
Een organisatie die persoonsgegevens verwerkt moet betrokkenen informeren over deze verwerking, betrokkenen wijzen op hun rechten en de uitoefening van deze rechten faciliteren.
Wij passen de informatie over onze dienstverlening aan, zodat deze voldoet aan de informatieverplichting uit de AVG. Deze informatie verstrekken wij aan klanten voordat wij zaken met elkaar gaan doen of als er wijzigingen in deze informatie zijn doorgevoerd. Ook vermelden wij deze informatie op onze website.
Daarnaast informeren wij betrokkenen over onze rol en positie, over de gegevens die wij van hen nodig hebben en wat wij daarmee doen.
Wij hebben interne procedures opgesteld om de betrokkenen te faciliteren bij de uitoefening van hun rechten. Hierbij is het voor ons wel belangrijk om vast te stellen of de persoon die rechten wil uitoefenen ook daadwerkelijk de persoon is waarvan wij persoonsgegevens van verwerken. Hiervoor kunnen wij om identificatie vragen of u vragen om op ons kantoor lang te komen om u te identificeren. Ook in een dergelijk geval is vertrouwelijkheid belangrijk.
Als een werknemer ons verzoekt om zijn of haar persoonsgegevens te verwijderen, dan zullen wij daar gehoor aan geven, tenzij wij deze gegevens nog nodig hebben. Bijvoorbeeld omdat de bewaartermijn nog loopt. Wil de betrokkene dan toch dat wij deze gegevens verwijderen, dan zullen wij u om een vrijwaring vragen voordat wij tot verwijdering van deze persoonsgegevens overgaan.
Een organisatie die persoonsgegevens verwerkt moet, rekening houdend met de aard, omvang, de context en het doel van verwerking, maar ook met de waarschijnlijkheid en de ernst van de uiteenlopende risico’s, passende technische en organisatorische maatregelen treffen om zorgvuldige verwerking van persoonsgegevens te waarborgen.
Wij stellen een analyse op van de middelen waarop wij persoonsgegevens verwerken. Per verwerkingsmiddel maken wij een analyse van de volgende onderwerpen:
• Welke persoonsgegevens worden hierin/-op geadministreerd;
• Wie heeft toegang tot deze persoonsgegevens;
• Welke beveiligingsmaatregelen zijn getroffen om deze persoonsgegevens te beschermen. Op basis van deze analyse beoordelen wij of de getroffen maatregelen voldoende zijn of dat wij aanvullende maatregelen moeten treffen. Omdat de stand van de techniek zo snel veranderd, zullen wij deze beoordeling per kwartaal herhalen. Zo kunnen wij ervoor zorgen dat onze maatregelen passend blijven. Daarnaast besteden wij doorlopend aandacht voor de vertrouwelijkheid van uw persoonsgegevens bij onze medewerkers.
Datalekken die een risico opleveren voor de rechten en vrijheden van natuurlijke personen moeten zonder onredelijke vertraging (uiterlijk binnen 72 uur na ontdekking hiervan) worden gemeld aan de Autoriteit Persoonsgegevens.
Wij monitoren continue onze systemen op onrechtmatige toegang tot persoonsgegevens.
Als wij een datalek signaleren, dan zullen wij deze zo spoedig mogelijk repareren. Ook zullen wij nagaan of het risico aanwezig is dat de persoonsgegevens onrechtmatig worden verspreid.
Wij beschikken over een interne procedure voor het melden van datalekken, als een medewerker per ongeluk persoonsgegevens onrechtmatig verspreid. Een datalek wordt door ons altijd gemeld aan de Autoriteit Persoonsgegevens.r> Bij het gebruik van nieuwe technologieën bij de verwerking van persoonsgegevens moet de organisatie bij de ontwikkeling rekening houden met het borgen van de privacy rechten van de betrokkenen (privacy by design).
Wij hebben procedures en instructies opgesteld die waarborgen dat bij de inrichting of het gebruik van nieuwe technologieën wordt getoetst of de rechten van betrokkenen voldoende geborgd zijn.
Indien persoonsgegevens buiten de Europese Unie worden opgeslagen, moet de verwerkingsverantwoordelijke waarborgen verkrijgen dat de belangen van de betrokkenen voldoende zijn geborgd (op hetzelfde niveau als binnen de EU). Dit geldt ook voor de samenwerking met internationale organisaties die buiten de EU werkzaam zijn.
Uit een door ons opgestelde analyse is gebleken dat wij niet met partijen samenwerken die persoonsgegevens buiten de EU opslaan.
In onze beoordeling van nieuwe samenwerkingsverbanden met ontvangers of verwerkers, wordt standaard beoordeeld of er sprake kan zijn van het opslaan van persoonsgegevens buiten de EU.
Het administreren van een persoonlijk identificatienummer (BSN) is uitsluitend toegestaan als hiervoor een wettelijke verplichting geldt.
BSN Nummers worden in een beveiligd systeem opgeslagen. Dit is nodig om een goede dienstverlening en aan wettelijke verplichtingen te voldoen zoals het bijhouden van een salarisadministratie, werknemersdossier.
Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het doel, waarvoor deze gegevens zijn ingewonnen. Wij hebben per categorie persoonsgegevens vastgesteld welke bewaartermijn noodzakelijk is. Deze bewaartermijnen kunnen voorkomen uit wettelijke verplichtingen (Wet Verbetering Poortwachter, Burgerlijk Wetboek of Belastingwet). Op hulpvragersniveau leggen wij de vernietigingsdatum van de persoonsgegevens vast, nadat het contract of de relatie is beëindigd. Op verzoek binnen 3 maanden, anders is bewaartermijn 1 jaar.