1 oktober 2009 PRIVACYREGLEMENT

Transcriptie

1 1 oktober 2009 PRIVACYREGLEMENT

2 Inhoudsopgave Reglement Artikel 1 Doel Artikel 2 Categorieën personen Artikel 3 Opgenomen persoonsgegevens Artikel 4 Verwijdering van persoonsgegevens Artikel 5 Verstrekking aan derden Artikel 6 Intern gebruik van persoonsgegevens Artikel 7 Toegang Artikel 8 Verbanden met andere persoonsregistraties Artikel 9 Kennisgeving aan Geregistreerden van het opnemen van gegevens in de persoonsregistratie Artikel 10 Kennisneming door Geregistreerden van opgenomen gegevens Artikel 11 Wijziging, verbetering, aanvulling, of verwijdering van gegevens op verzoek van een Geregistreerde Artikel 12 Kennisneming door Geregistreerden van verstrekking van gegevens aan derden Artikel 13 Hoofdlijnen beheer Artikel 14 Geschillen Artikel 15 Vaststelling en wijziging Artikel 16

3 Artikel 1: Reglement 1.1 Dit reglement is een reglement als bedoeld in artikel 4 van de statuten. De bepalingen van dit reglement zijn van toepassing op de administratie van Geregistreerden en medewerkers als bedoeld in artikel 2.2 b van het Algemeen Reglement, hierna te noemen de Geregistreerdenadministratie. 1.2 De aan dit reglement gehechte bijlagen maken deel uit van het reglement. DSI draagt zorg voor aanpassing van de bijlagen indien zich wijziging voordoet in de erin opgenomen gegevens. 1.3 De termen en begrippen, gebruikt in dit reglement komen overeen met de termen en begrippen zoals gedefinieerd in de Statuten en het Algemeen Reglement van DSI, tenzij in dit reglement uitdrukkelijk anders is bepaald. 1.4 Onder Geregistreerde wordt voor zover van toepassing tevens verstaan de ontvanger van de PES-verklaring als bedoeld in artikel 2.2b van het Algemeen Reglement DSI. Artikel 2: Doel Het doel van de Geregistreerdenadministratie is het vastleggen van de status van de geregistreerde personen t.a.v. deskundigheid, integriteit en vakbekwaamheid, het instandhouden en publiceren van gegevens in de registers en verwerken van in- en uitschrijvingen en wijzigingen in de registers, een en ander uitsluitend binnen de statutaire doelstelling van DSI en in overeenstemming met de zorgplicht van DSI jegens de Geregistreerden en het afgeven van een PES-verklaring als bedoeld in artikel 2.2b van het Algemeen Reglement DSI. Artikel 3: Categorieën personen Binnen de doelstelling als bedoeld in artikel 2 in de Geregistreerdenadministratie worden gegevens vastgelegd van personen die zijn onder te verdelen in de volgende categorieën: - effectenhandelaar; - senior effectenhandelaar; - beleggingsadviseur; - senior beleggingsadviseur; - vermogensbeheerder; - senior vermogensbeheerder; - beleggingsanalist; - senior beleggingsanalist; - financieel adviseur; - compliance professional - adviseur hypotheken (Wft);

4 - adviseur consumptief krediet (Wft); - adviseur verzekeren schade (Wft); - adviseur verzekeren leven (Wft); - de medewerker op een integriteitsgevoelige functie; - de ontvanger van de PES-verklaring. Artikel 4: Opgenomen persoonsgegevens In de Geregistreerdenadministratie als bedoeld in artikel 2 kunnen de volgende soorten van persoonsgegevens worden opgenomen: - privé naam, adres- en woonplaatsgegevens, telefoon, fax en ; - gegevens werkgever; - relevant register; - gegevens ter zake opleiding, ervaring en integriteit; - bankrekeningnummer; - werkadres- en woonplaatsgegevens; - werkgeversverklaring(en); - geboortedatum en plaats; - personeelsnummer; - titel(s); - geslacht; - nationaliteit; - aanhangig zijn van een zaak bij de Tuchtcommissie, Geschillencommissie, of Commissie van Beroep; - maatregel zoals opgelegd door DSI, de Tuchtcommissie of Commissie van Beroep. Artikel 5: Verwijdering van persoonsgegevens 5.1 Verwijdering van gegevens van Geregistreerden geschiedt zeven jaar na beëindiging van de registratie, respectievelijk zeven jaar na afgifte van de PES-verklaring. 5.2 Verwijdering van overbodig geworden persoonsgegevens zoals in het geval er geen registratie of pre employement screening plaatsvindt, vindt steeds zo spoedig mogelijk plaats, al dan niet op verzoek van een Kandidaat of Geregistreerde. 5.3 Indien een verzoek van een Kandidaat of Geregistreerde tot verwijdering van overbodig geworden persoonsgegevens wordt afgewezen geschiedt dit onder opgave van redenen. Artikel 6: Verstrekking aan derden 6.1 Aan derden binnen en buiten DSI worden slechts persoonsgegevens verstrekt voor zover zulks (i) voortvloeit uit het bepaalde in Bijlage 1 en tevens voortvloeit uit de doelstelling van de Geregistreerdenadministratie, (ii) geschiedt op rechterlijk bevel, (iii) wordt vereist

5 ingevolge een wettelijk voorschrift of (iv) geschiedt met toestemming van de Geregistreerde. 6.2 Aan derden kunnen ten behoeve van wetenschappelijk onderzoek of statistiek, dan wel op grond van een dringende en gewichtige reden, desgevraagd uit de Geregistreerdenadministratie persoonsgegevens worden verstrekt voor zover de persoonlijke levenssfeer van de Geregistreerden daardoor niet onevenredig wordt geschaad. De beslissing tot verstrekking van persoonsgegevens ten behoeve van wetenschappelijk onderzoek of statistiek wordt genomen door de Algemeen directeur, de Voorzitter gehoord, tenzij de verstrekking voortvloeit uit een wettelijk voorschrift. 6.3 Ten behoeve van communicatiedoeleinden mogen aan derden uit de Geregistreerdenadministratie bestanden van persoonsgegevens, mits alleen bestaand uit naam, adres, woonplaats, postcode en adres worden verstrekt. Op schriftelijk verzoek van de Geregistreerde blijft zodanige verstrekking ten aanzien van diens persoonsgegevens achterwege. 6.4 In Bijlage 1 wordt vermeld welke soorten persoonsgegevens aan derden als bedoeld in die bijlage mogen worden verstrekt. Artikel 7: Intern gebruik van persoonsgegevens Aan personen binnen de organisatie van DSI als omschreven in Bijlage 2 worden uit de Geregistreerdenadministratie slechts persoonsgegevens verstrekt voor zover dat uit het doel van de Geregistreerdenadministratie voortvloeit en voor zover zij deze persoonsgegevens voor de uitoefening van hun functie redelijkerwijs nodig hebben. Artikel 8: Toegang tot de Geregistreerdenadministratie 8.1 Rechtstreekse toegang tot de Geregistreerdenadministratie is uitsluitend toegestaan voor zover zulks noodzakelijk is (i) in het kader van het beheer van de Geregistreerdenadministratie in technische en organisatorische zin dan wel (ii) in verband met het verstrekken van gegevens aan derden dan wel (iii) vanwege het interne gebruik van gegevens. In alle andere gevallen wordt aan derden uitsluitend toegang verleend indien DSI daar op grond van wettelijke regelingen toe is verplicht. 8.2 Personen die in het kader van hun werkzaamheden toegang hebben tot (delen van) de Geregistreerdenadministratie dienen gebonden te zijn aan een geheimhoudingsverklaring. Artikel 9: Kennisgeving aan Geregistreerden omtrent het opnemen van gegevens in de persoonsregistratie

6 DSI deelt de Geregistreerde over wie voor de eerste keer persoonsgegevens in de registratie worden opgenomen zo spoedig mogelijk doch uiterlijk binnen 4 weken schriftelijk mede dat dit het geval is. De mededeling bevat een aanduiding van het doel van de registratie. Artikel 10: Kennisneming door Geregistreerden van opgenomen gegevens 10.1 DSI deelt de Geregistreerde op diens schriftelijke verzoek zo spoedig mogelijk doch uiterlijk binnen 4 weken mede of hem betreffende persoonsgegevens in de Geregistreerdenadministratie zijn opgenomen Indien gegevens als bedoeld in het vorige lid in de Geregistreerdenadministratie zijn opgenomen stelt DSI de Geregistreerde desverlangd zo spoedig mogelijk doch uiterlijk binnen 4 weken na ontvangst van het verzoek van de Geregistreerde schriftelijk een volledig overzicht daarvan met inlichtingen over de herkomst van de gegevens ter beschikking DSI draagt zorg voor een deugdelijke vaststelling van de identiteit van de Geregistreerde die een verzoek als bedoeld in dit artikel aan DSI doet DSI kan weigeren aan een verzoek van een Geregistreerde als bedoeld in dit artikel te voldoen, indien DSI van oordeel is dat zulks noodzakelijk is in het belang van DSI, één of meer Deelnemers of één of meer andere Geregistreerden. Artikel 11: Wijziging of verwijdering van gegevens op verzoek van een Geregistreerde 11.1 DSI zal op schriftelijk verzoek van een Geregistreerde de met betrekking tot deze persoon geregistreerde persoonsgegevens wijzigen, verbeteren, aanvullen of verwijderen, indien deze gewijzigd, feitelijk onjuist, voor het doel van de Geregistreerdenadministratie onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift in de Geregistreerdenadministratie voorkomen. Het verzoek van de Geregistreerde behelst de aan te brengen wijzigingen DSI bericht de verzoeker zo spoedig mogelijk doch uiterlijk binnen 4 weken na ontvangst van het verzoek, in hoeverre aan het verzoek wordt voldaan. Een beslissing waarin een verzoek geheel of gedeeltelijk wordt geweigerd is met redenen omkleed DSI draagt er zorg voor dat een beslissing tot wijziging, verbetering, aanvulling of verwijdering zo spoedig mogelijk wordt uitgevoerd DSI draagt zorg voor een deugdelijke vaststelling van de identiteit van de Geregistreerde die een verzoek als in het eerste lid van dit artikel aan DSI doet.

7 Artikel 12: Kennisneming door Geregistreerden van verstrekking van gegevens aan derden 12.1 DSI deelt de Geregistreerde op diens schriftelijk verzoek zo spoedig mogelijk doch uiterlijk binnen 4 weken na ontvangst van dat verzoek mede of hem betreffende gegevens uit de Geregistreerdenadministratie, in het jaar, voorafgaande aan het verzoek, aan derden zijn verstrekt DSI draagt zorg voor een deugdelijke vaststelling van de identiteit van de Geregistreerde die een verzoek als in het eerste lid van dit artikel aan DSI doet. Artikel 13: Hoofdlijnen beheer 13.1 De primaire verantwoordelijkheid voor de goede opzet en werking van het beheer van de Geregistreerdenadministratie ligt bij de Algemeen directeur Het beveiligingsplan ter zake de in de Geregistreerdenadministratie vastgelegde persoonsgegevens is opgenomen in Bijlage DSI is bevoegd de redelijke kosten ter zake de behandeling van een verzoek als bedoeld in de artikelen 10, 11 en 12 aan de verzoeker in rekening te brengen. Artikel 14: Geschillen Op geschillen tussen een Geregistreerde en DSI ter zake het in dit reglement bepaalde is artikel 11, eerste lid van het Algemeen Reglement van toepassing. Artikel 15: Vaststelling en wijziging Dit reglement is vastgesteld door het Bestuur en kan door het Bestuur worden gewijzigd.

8 BIJLAGE 1 als bedoeld in artikel 6.1 DSI Privacyreglement 1. Als derden in de zin van artikel 6.1 van het Privacyreglement wordt beschouwd het publiek. 2. Aan derden als hierboven bedoeld kunnen de volgende persoonsgegevens al dan niet op verzoek worden verstrekt: - Naam; - Naam werkgever; - Naam DSI-register; - Het door DSI aanhangig zijn gemaakt bij de Tuchtcommissie van een zaak met betrekking tot de Geregistreerde, dan wel het aanhangig zijn van een tuchtzaak met betrekking tot de Geregistreerde bij de Commissie van Beroep; - Maatregel zoals opgelegd door DSI, de Tuchtcommissie of de Commissie van Beroep. 3. De in sub 2 bedoelde gegevens worden publiek gemaakt c.q. verstrekt via elektronische media zoals het internet, mondeling en schriftelijk.

9 BIJLAGE 2 als bedoeld in artikel 7 DSI Privacyreglement Aan de volgende functionarissen binnen de organisatie van DSI worden in verband met de uitoefening van hun functie de volgende soorten van gegevens uit de registratie verstrekt. Functionarissen binnen de organisatie Algemeen directeur; Directeur Office manager; Secretaris; Stafmedewerker(s); Administratieve medewerker(s). Soorten van gegevens naam, adres- en woonplaatsgegevens, telefoon fax en ; geboortedatum en plaats; geslacht; nationaliteit; titel(s); gegevens ter zake opleiding en ervaring; functie; bankrekeningnummer; sofi-nummer.

10 BIJLAGE 3 als bedoeld in artikel 13.2 DSI Privacyreglement Inleiding DSI beschikt over veel privacygevoelige informatie in zowel fysieke als elektronische vorm. Deze bijlage beschrijft over welke (persoons)gegevens DSI beschikt en hoe DSI met deze gegevens omgaat in termen van integriteit, beschikbaarheid en toegankelijkheid. DSI gegevens DSI slaat gegevens op over Geregistreerden en PES-aanvragers zowel elektronisch als in fysieke vorm. Terzake Geregistreerden en PES-aanvragers bestaat de kern uit door dezen schriftelijk opgegeven gegevens. Een deel van deze gegevens wordt door DSI op elektronische wijze vastgelegd. Toegankelijkheid fysieke gegevens Door Geregistreerden en PES-aanvragers aangeleverde gegevens in fysieke vorm worden, nadat de benoeming of aanstelling is gerealiseerd, door DSI in archiefkasten opgeslagen in een gebouw waarbij in adequate inbraak- en diefstalwerende maatregelen en in brandwerende maatregelen is voorzien. De archiefkasten gaan na werktijd op slot. De toegankelijkheid is beperkt tot de Algemeen directeur en overige staf. Het beheer van de toegang (sleutelbeheer etcetera) geschiedt door de Office Manager onder supervisie van de Algemeen directeur. Gegevens van de Geregistreerden en PES-aanvragers waarvan het benoemingsproces nog niet is voltooid (in behandeling) worden in archiefkasten op de betreffende afdeling bewaard. Slechts die gegevens worden telkens uit de betreffende archiefkasten gehaald die voor daadwerkelijke bewerking noodzakelijk zijn. Voor adequate afscherming van de betreffende gegevens tijdens de bewerking wordt te allen tijde door het betreffende staflid zorg gedragen. Toegankelijkheid elektronisch opgeslagen gegevens Van de Geregistreerden en PES-aanvragers kunnen de volgende gegevens op elektronische wijze worden vastgelegd: - Naam - Adres- en woonplaatsgegevens - Beroepshistorie - Functie en relevantie nevenfuncties van de Geregistreerde en/of PES-aanvrager De elektronische opgeslagen gegevens bevinden zich op het netwerk van DSI waarvan iedere dag een backup wordt gemaakt. Deze backup wordt drie weken lang in een kluis bewaard buiten het gebouw van de NVB. Bestanden die door technische gebreken, frauduleuze handelingen of persoonlijke vergissingen zijn beschadigd of verdwenen kunnen, met in achtneming van de gestelde periode, door de systeembeheerder in oorspronkelijke staat worden hersteld. Iedere medewerker van DSI heeft op dit moment toegang tot alle kantoorprogrammatuur en - bestanden van DSI. Indien gewenst kan door de systeembeheerder een aparte directorie worden aangelegd waartoe slechts een beperkt aantal personen toegang tot hebben. De toegang tot de DSI applicatie wordt geregeld met behulp van de bijbehorende beheerapplicatie AMS. Bij deze toegang kan onderscheid worden gemaakt tussen toegang tot de registers en toegang tot de onderliggende tabellen. Deze verschillende vormen van toegang inclusief tot de beheerapplicatie zijn nog niet bepaald. De toegang tot onderdelen van het financiele administratiepakket, Grote Beer wordt bepaald en geregeld door de boekhouder. De toegang tot dit pakket is nog niet bepaald. Iedere gebruiker die toegang heeft tot de kantoorprogrammatuur en bestanden van DSI beschikt over een eigen wachtwoord. Door de systeembeheerder zal het systeem zodanig worden gewijzigd dat wijziging van het wachtwoord op vastgestelde tijden verplicht is.

11 Wachtwoorden voor het netwerk worden strikt persoonlijk behandeld, niet op kantoor te worden gedocumenteerd en zijn aldus niet al te eenvoudig te herleiden. Ter voorkoming dat willekeurige passant kan kijken en wijzigen in de kantoorbestanden van DSI middels een ingelogte terminal is een screensavertoepassing met wachtwoord in de systemen ingevoerd.