Privacyreglement
Dit privacyreglement is opgesteld op 1 juli 2010 en geactualiseerd op 28 februari 2024.
Inleiding
Dit privacyreglement dient voor Heel Bijzonder re-integratie of Heel Bijzonder by Westendorp als basis voor hoe men omgaat met de privacy en gegevensverwerking van haar kandidaten. Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Algemene Verordening Gegevensbescherming (hierna benoemd als AVG) en de Wet Structuur uitvoeringsorganisatie werk en inkomen (hierna benoemd SUWI)
Artikel 1. Algemene Begripsbepalingen
1.1 Persoonsgegevens:
Heel Bijzonder re-integratie verwerkt de gegevens die door haar opdrachtgever (bijvoorbeeld Gemeente, UWV, zorg- en/ of onderwijsinstelling) bij aanvang van de ondersteuning, jobcoaching- en/ of re-integratietraject worden aangeleverd.
Dit omvat de volgende gegevens;
- Naam
- Adres
- Woonplaats
- Geslacht
- Geboortedatum
- Burgerservicenummer
- Telefoonnummer
- Gegevens over persoonlijke situatie, beperkingen, stoornissen, diagnostische gegevens
- Eventuele uitkering
- Gevolgde opleidingen en diploma’s
- Opgedane werkervaring.
1.2 Verwerking van persoonsgegevens:
Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder
in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige
andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, als
mede het afschermen, uitwissen en vernietigen van gegevens..
1.3 Verantwoordelijke:
Heel Bijzonder re-integratie of Heel Bijzonder by Westendorp namens wie al dan niet
tezamen met anderen, ter verwezenlijking van haar doelstelling verwerking van
persoonsgegevens plaatsvindt.
1.4 Bewerker:
Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan
zijn rechtstreeks gezag te zijn onderworpen.
1.5 Gebruiker van persoonsgegevens:
Degene die als medewerker of anderszins geautoriseerd is door of namens de
Verantwoordelijk persoonsgegevens te verwerken.
1.6 Betrokkene:
Degene op wie de persoonsgegevens betrekking hebben.
1.7 Opdrachtgever:
Een natuurlijke of rechtspersoon die aan de verantwoordelijke een opdracht tot
dienstverlening heeft gegeven.
1.8 Derden:
Ieder, niet zijnde de betrokkene, de verantwoordelijke, de gebruiker of enig ander persoon
die onder rechtstreeks gezag van de verantwoordelijke of namens de bewerker gemachtigd
is persoonsgegevens te verwerken.
1.9 Toestemming van de Betrokkene:
Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene
aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.
1.10 Bijzondere gegevens
Bijzondere gegevens zijn alle medische gegevens betreffende de betrokkene.
Artikel 2 Reikwijdte
Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking
van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van
persoonsgegevens die in een bestand van verantwoordelijke zijn opgenomen of die bestemd
zijn om daarin te worden opgenomen.
Artikel 3 Doel van de verwerking van persoonsgegevens
3.1 De Verantwoordelijke verwerkt gegevens ten behoeve van de volgende doelen:
- Het bevorderen van de re-integratie van geheel of gedeeltelijk zieke en of arbeidsongeschikte cliënten die in dienst van een opdrachtgever zijn uitgevallen binnen de organisatie van opdrachtgever dan wel een andere organisatie;
- Het komen tot arbeidsparticipatie van cliënten die al dan niet verkeren in een uitkeringssituatie.
In het bijzonder:
- De beoordeling van de geschiktheid van een cliënt voor het verrichten van werkzaamheden bij de eigen en of potentiële nieuwe werkgever aan de hand van criteria zoals genoten opleiding, opgedane werkervaring, eventuele medische beperkingen en voorkeur voor bepaalde werkzaamheden;
- Het begeleiden in de terugkeer naar de eigen werkplek en de oude functie bij eigen werkgever, tevens opdrachtgever, al dan niet in aangepaste vorm;
- Het begeleiden naar passende werkzaamheden anders dan eigen werkzaamheden binnen de organisatie van de eigen werkgever/ opdrachtgever;
- Het begeleiden naar passende duurzame arbeid bij een nieuwe werkgever op basis van een arbeidsovereenkomst of overeenkomst van opdracht;
- Het vanuit een uitkeringssituatie begeleiden van cliënt naar passende arbeid bijeen werkgever op basis van een arbeidsovereenkomst of een overeenkomst van opdracht voor de duur van minimaal 6 maanden, of een vorm van gesubsidieerde arbeid of andere vorm van participatie al naar gelang de afspraken met opdrachtgever;
- De administratieve afhandeling rond bovengenoemde punten, waaronder rapportage en verantwoording aan de opdrachtgever;
- Het voldoen aan de wettelijke verplichtingen (denk hierbij aan fiscaal en sociaal verzekeringsrechtelijke wetgeving).
3.2 Persoonsgegevens worden uitsluitend verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen.
Artikel 4 Verwerken van persoonsgegevens
4.1 De verantwoordelijke is aanspreekbaar voor het goed functioneren van de verwerking van de persoonsgegevens en voor de naleving van de bepalingen van dit reglement.
4.2 De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Hij draagt tevens zorg voor de nodige voorzieningen van technisch en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
4.3 Persoonsgegevens worden verwerkt indien en voor zover de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is, of in het kader van een overeenkomst tussen opdrachtgever en de verantwoordelijke in het kader van een al dan niet wettelijke verplichting tot re-integratie dan wel vanwege de nakoming van een wettelijke verplichting waaraan de Verantwoordelijke onderworpen is.
4.4 De verwerking van gegevens in zake de gezondheid genieten specifieke aandacht. Deze gegevens mogen alleen verwerkt worden voor zover dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften of voor re-integratie of begeleiding van de Betrokkene in verband met ziekte of arbeidsongeschiktheid. Medische gegevens worden aangemerkt als bijzondere gegevens. De aard van deze gegevens brengt met zich mee dat de verwerking ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer van de betrokkene. Op basis van de AVG kan de verantwoordelijke ”Bijzondere Gegevens“ voor re-integratie doeleinden verwerken zonder dat zij daar toestemming voor nodig heeft van de betrokkene. De verantwoordelijke is op het moment van de verwerking verplicht de betrokkene te informeren over de verwerking van deze gegevens.
Artikel 5. Toegang tot de persoonsgegevens
5.1. Uitsluitend gebruikers van persoonsgegevens hebben toegang tot de persoonsgegevens voor zover dit noodzakelijk is voor hun taakuitoefening.
5.2 Iedere gebruiker van persoonsgegevens heeft een strikte geheimhoudingsplicht inzake de gegevens waarvan hij op grond van die toegang kennis neemt.
5.3 Derden hebben slechts toegang tot de persoonsgegevens, voor zover dit noodzakelijk is voor hun taakuitoefening en zijn op gelijke wijze als de gebruikers van de persoonsgegevens gehouden aan de geheimhoudingsplicht en de inhoud van dit reglement.
Artikel 6. Beveiliging van persoonsgegevens
6.1 Door de verantwoordelijke wordt zorgvuldig omgegaan met persoonsgegevens. Hiertoe worden de persoonsgegevens op adequate wijze beveiligd.
6.2 De verantwoordelijke ziet er op toe dat beveiligingsvoorschriften voor de persoonsgegevens worden op gesteld en nageleefd.
Artikel 7. Verstrekking van persoonsgegevens
7.1. Tenzij dat noodzakelijk is ter uitvoering van een wettelijk voorschrift dan wel ter uitvoering van een overeenkomst in het kader van een al dan niet wettelijke verplichting tot re-integratie, is voor verstrekking van persoonsgegevens aan derden de voorafgaande toestemming nodig van de Betrokkene.
7.2 De verantwoordelijke kan in het kader van een wettelijke verplichting, verplicht zijn gegevens van de betrokkene aan derden te verstrekken in het kader van de re-integratie activiteiten. Voor deze verstrekking is geen toestemming vereist van betrokkene.
Het terug melden van persoonsgegevens door of namens de verantwoordelijke aan de opdrachtgever is toegestaan voor zover het persoonsgegevens betreft welke een rechtstreeks verband houden met het doel en/of de door opdrachtgever aan de verantwoordelijke verstrekte opdracht.
Artikel 8. Inzage van opgenomen gegevens
8.1 De betrokkene heeft recht op inzage in en afschrift van de op zijn/ haar persoon betrekking hebbende gegevens.
8.2 Het recht op inzage wordt alleen toegestaan aan betrokkene of diens gemachtigde. betrokkene of diens gemachtigde dienen zich in voorkomende gevallen te kunnen legitimeren en/of hun bevoegdheid aan te tonen
8.3 De verantwoordelijke kan weigeren aan een in dit artikel bedoeld verzoek te voldoen voor zover dit noodzakelijk is in het belang van de bescherming van de betrokkene of van de rechten en vrijheden van anderen, de voorkoming, opsporing en vervolging van strafbare feiten.
Artikel 9. Aanvulling, correctie of verwijderen van opgenomen gegevens
9.1 Desgevraagd worden de opgenomen gegevens aangevuld met een door of namens de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
9.2 Zijn opgenomen gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend, dan wel in strijd met een wettelijk voorschrift van de verwerking, dan dient de betrokkene een schriftelijk verzoek in bij de verantwoordelijke waarin wordt verzocht om verbetering, aanvulling, verwijdering of afscherming van de gegevens. De verantwoordelijke beslist niet voordat de gebruiker dan wel de bewerker die de gegevens heeft verzameld of diens opvolger of waarnemer, is gehoord.
9.3 Binnen vier weken na ontvangst van het verzoek bericht de verantwoordelijke de betrokkene schriftelijk of, dan wel in hoeverre aan het verzoek zal worden voldaan. Een weigering is altijd met redenen omkleed.
9.4 Verwijdering blijft achterwege voor zover bewaring op grond van een wettelijk voorschrift vereist is.
9.5 De verantwoordelijke draagt er zorg voor dat een beslissing tot aanvulling, correctie of verwijdering zo spoedig mogelijk wordt uitgevoerd.
9.6 In geval van verwijdering van gegevens wordt in de gegevens een verklaring opgenomen dat op verzoek van betrokkene de gegevens zijn verwijderd.
Artikel 10. Recht op verzet
10.1 Indien gegevens worden verwerkt in verband met de totstandbrenging of de instandhouding van een directe relatie tussen de Verantwoordelijke of een derden en de betrokkene met het oog op werving voor commerciële of charitatieve doelen, moet betrokkene uitdrukkelijk toestemming hebben gegeven voor deze verwerking. De betrokkene kan hiertegen bij de verantwoordelijke te allen tijde kosteloos verzet aantekenen.
10.2 De verantwoordelijke zal in het geval van verzet maatregelen treffen om deze vorm van verwerking direct te beëindigen.
Artikel 11. Bewaartermijnen
11.1 Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
11.2 Tenzij anders wordt bepaald eindigt de bewaartermijn twee jaar na het laatste contact door of namens de verantwoordelijke met de Betrokkene.
11.3 Na beëindiging van de met de opdrachtgever gesloten overeenkomst worden alle tot de betrokkenen terug te herleiden persoonsgegevens twee jaar na de overeengekomen beëindiging van de begeleiding van de betrokkene verwijderd. De gegevens die noodzakelijk zijn voor de wettelijke bewaarplicht blijven zeven jaar bewaard.
Artikel 12. Klachten
12.1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd en/of indien betrokkene meent andere redenen tot klagen te hebben, dient hij zich te wenden tot de verantwoordelijke.
12.2 De verantwoordelijke zal de klacht volgens, in overeenstemming met het klachtenreglement van Heel Bijzonder re-integratie in behandeling nemen.
Datalekprotocol
Inleiding
Dit document beschrijft de verschillende stappen die binnen Heel Bijzonder genomen worden
bij een data lek, die valt onder de Meldplicht Datalekken.
Beschrijving procedure
De meldplicht datalekken is een wijziging van de Wet Bescherming Persoonsgegevens en
treedt in werking met ingang van 1 januari 2016. Bij een data lek is er sprake van een
inbreuk op de beveiliging van persoonsgegevens (als bedoeld in artikel 13 van WBP. De
persoonsgegevens zijn dan blootgesteld aan verlies of onrechtmatige verwerking.
Datalekken kunnen ontstaan door:
- Moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, mailware
besmetting). - Technisch falen (ICT-storingen).
- Menselijk falen (te eenvoudige wachtwoorden/het verstrekken van
username/wachtwoord aan collega’s en externen). - Calamiteit (brand datacentrum, wateroverlast).
- Verloren USB stick of laptop.
- Verzenden van email met emailadressen van alle geadresseerden.
- Het onrechtmatige verwerking van gegevens.
Melden bij Autoriteit persoonsgegevens
Autoriteit persoonsgegevens
Een data lek moet onverwijld (binnen 2 dagen) nadat de verantwoordelijke binnen Heel
Bijzonder er kennis van heeft genomen, bij de Autoriteit Persoonsgegevens gemeld worden.
Het data lek moet ook worden gemeld bij de betrokkenen. In het geval van Heel Bijzonder
zijn dit over het algemeen kandidaten of medewerkers. Betrokkenen zijn degenen wiens
persoonsgegevens zijn betrokken bij een inbreuk. De betrokkene moet in kennis worden
gesteld van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben
voor zijn persoonlijke levenssfeer. Een bewerker is verplicht om een data lek te melden bij de
verantwoordelijke.
- Verantwoordelijke:
De directeur Heel Bijzonder. De verantwoordelijke heeft zeggenschap over doel en
wijze van verwerking. Formeel, juridisch en feitelijk (functioneel) degene die het doel
en de middelen voor de verwerking van persoonsgegevens vaststelt. Degene die
zeggenschap heeft en verantwoordelijk is over doel en middelen van verwerking en
beslist over bewaartermijnen, verstrekking inzageverzoeken etc. De
verantwoordelijke heeft de regierol (regie over het beheer van privacy in de keten); - Bewerker:
Degene die de gegevens ten behoeve van de verantwoordelijke verwerkt zonder
aan zijn of haar rechtstreeks gezag te zijn onderworpen (ook extern). De bewerker
verwerkt persoonsgegevens overeenkomstig de instructies en uiteindelijke
verantwoordelijkheid van de verantwoordelijke. De bewerker neemt geen
beslissingen over het gebruik van de gegevens, de verstrekking aan derden en
andere ontvangers, de duur van de opslag van de gegevens etc.
Stappenplan intern melden
Stap 1: Melden van data lek
Alle datalekken van persoonsgegevens moeten intern worden gemeld via en
gedocumenteerd door directie. De melding kan door iedere medewerker en iedere bewerker
worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een
medewerker van Heel Bijzonder. De melding moet direct en telefonisch worden gedaan bij
de directie en schriftelijk worden vastgelegd. Buiten kantoortijden is de directie bereikbaar.
De directie legt vast:
- Naam van de melder
- Datum en tijd van de melding.
- Aard van de inbreuk (is er aanmerkelijk risico op verlies of onrechtmatige
verwerking?). - Welke persoonsgegevens vallen onder de melding.
- Om welk aantal en/of gegevensrecords gaat het.
- Welke (groepen) personen zijn betrokken bij de melding.
- Welke maatregelen zijn of worden door de melder getroffen.
- Welke gevolgen zijn er volgens de melder voor de betrokkenen
- De contactpersoon voor de melding.
Stap 2: Inventariseren gevolgen en te nemen maatregelen.
Na ontvangst van een melding data lek wordt door de directie van Heel Bijzonder beoordeeld
en vastgelegd:
- De noodzakelijke vervolgacties m.b.t. het data lek (lek onmiddellijk dichten,
toegang tot informatie beperken en tegelijkertijd meer informatie vergaren
over de indringer. - Hetgeen gemeld gaat worden bij de Autoriteit Persoonsgegevens door de
directie (naast aard inbreuk, welke persoonsgegevens, aantal betrokken
personen/records). - De mogelijke gevolgen voor de betrokkenen.
- Welke persoonsgegevens vallen onder de melding.
- De maatregelen die Heel Bijzonder neemt en/of kan nemen om de schade
voor betrokkenen te verkleinen. - De maatregelen die betrokkenen kunnen nemen om verdere schade te
verkleinen, inclusief de wijze van inlichten hierover. - Contactgegevens voor betrokkenen.
- De wijze van afhandeling intern, inclusief communicatie naar melder,
betreffende afdeling(-en) en teamleider(s). - Of er sprake is van eigen aansprakelijkheid, of aansprakelijkheid van derden,
zoals uit hoofde van wanprestatie (omdat een geheimhoudingsverplichting is
geschonden, of in strijd met een contractuele verplichting onvoldoende
beveiliging is gerealiseerd) of onrechtmatige daad. - Het al dan niet doen van aangifte en vaststellen of sprake is van
strafrechtelijke verwijtbaarheid. Dit kan bijvoorbeeld spelen wanneer er sprake
is van betrokkenheid vanuit Heel Bijzonder zelf, een bewerker, of wanneer er
onvoldoende maatregelen zijn getroffen om ongeregeldheden te voorkomen.
Indien gewenst vindt overleg plaats met de juridisch adviseur. - Hetgeen intern gecommuniceerd wordt, op welk moment.
- Hetgeen extern gecommuniceerd wordt, op welk moment. Er wordt
vastgesteld of de pers geïnformeerd moet worden. - Of naast de Autoriteit Persoonsgegevens ook andere stakeholders
geïnformeerd worden. - Op welke wijze er intern wordt gerapporteerd, inclusief actiehouder.
- Of eventuele schade is gedekt door de verzekeringspolis.
Stap 3: Fiattering
De directeur accordeert de uit te voeren activiteiten, zoals vastgesteld, of stelt de uit te
voeren activiteiten bij. De door de directeur vastgestelde activiteiten worden uitgevoerd.
Stap 4: Melding bij Autoriteit Persoonsgegevens
De directie meldt binnen 2 dagen het data lek bij de Autoriteit Persoonsgegevens. In ieder
geval zal gemeld moeten worden:
- Aard van de inbreuk, waaronder betrokken categorieën, aantal betrokkenen,
aantal gegevensrecords. - Beschrijving van de te verwachten gevolgen
- Getroffen en/of voorgestelde maatregelen
- Informatie over te nemen maatregelen door de betrokkene om de nadelige
gevolgen te beperken. - Contactgegevens voor betrokkene.
Stap 5: ontvangstbevestiging Autoriteit Persoonsgegevens
Is er een melding gedaan, dan ontvangt Heel Bijzonder een ontvangstbevestiging. Bij de
meldingen die aanleiding geven tot nadere actie door de Autoriteit Persoonsgegevens, zal de
Autoriteit Persoonsgegevens contact opnemen met Heel Bijzonder om de herkomst van de
melding te verifiëren.
Afwezigheid directie
Bij afwezigheid van de directie wordt diens rol ingevuld door de beleidsmedewerker.