Privacy compliance kader MBO

Maat: px
Weergave met pagina beginnen:

Download "Privacy compliance kader MBO"

Transcriptie

1 Privacy compliance kader MBO IBPDOC2B

2 Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling Remco de Boer Yvonne Dijkman Hans Doffegnies Casper Schutte Pierre Veelenturg Pepijn de Vette Bewerkt door: Kennisnet / sambo-ict Auteurs Chloë Baardman Leo Bakker Ludo Cuijpers Job Vos (sambo-ict) (Kennisnet) (MBO Raad) (Summa College)) (ROC Midden Nederland) (MBO Raad) (MBO Amersfoort) (SURF) (Kennisnet) (sambo-ict) (Kennisnet) Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding de gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IN DIT DOCUMENT WORDEN DE BEGINSELEN EN PRINCIPES BESCHREVEN DIE EEN ONDERWIJSINSTELLING MOET AANHOUDEN ALS HIJ GEGEVENS VERZAMELT OVER STUDENTEN EN DOCENTEN. WET- EN REGELGEVING IS EVENEENS AFKOMSTIG VAN DEZE BEGINSELEN. DIT DOCUMENT IS BEDOELD OM DE WET EEN- VOUDIGER TE KUNNEN BEGRIJPEN. DE TEKST IS GESCHREVEN VOOR NIET-JURISTEN. DAARBIJ IS ER VOOR GEKOZEN OM NIET ALTIJD DE LETTERLIJKE JURIDI- SCHE BEWOORDINGEN AAN TE HOUDEN. MET DEZE VERTAALSLAG GAAN SOMS JURIDISCHE FINESSES EN DETAILS VERLOREN. VOOR DE VOLLEDIGHEID WORDT U ALTIJD AANGERADEN OM BIJ TWIJFEL DE WETTEKST TE RAADPLEGEN EN ZO NODIG EEN DESKUNDIGE IN TE SCHAKELEN. IBPDOC2B, versie 0.8 Pagina 2 van 46

3 Inhoudsopgave Verantwoording Verantwoording en toelichting Verder ontwikkeling Compliance kader Toetsingskader Basisbeginselen privacy Ontstaan privacy Basis privacy principes Respect voor privacy Doel en doelbinding Grondslag Dataminimalisatie Transparantie Rechten van de betrokkene Beveiliging Datakwaliteit (data-integriteit) Verantwoordelijkheid (responsibility) Eigendom Afgeleide privacy principes: statements Algemeen Samenhang informatiebeveiliging en privacy Specifieke privacy-statements Beleid en organisatie Personeel, studenten en gasten Ruimtes en apparatuur Continuïteit Vertrouwelijkheid en integriteit Controle en Logging Samenhang principes en wettelijke kaders Respect voor privacy (privacy by design) Doel en Doelbinding Grondslag Dataminimalisatie Transparantie Rechten betrokkene Beveiliging Datakwaliteit (zorgvuldigheid; data integriteit) Verantwoordelijkheid (responsibility) IBPDOC2B, versie 0.8 Pagina 3 van 46

4 1. Verantwoording en toelichting Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ICT steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de studentenadministratie. Het toenemend opslaan en verzamelen van informatie over leerlingen, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging. Willen onderwijsinstellingen in de toekomst gebruik blijven maken van gegevens, én willen leerlingen (en docenten) ook nog gegevens met scholen blijven delen, dan moet er een perfect samenspel zijn tussen: 1. de interactie van leerlingen; 2. de interactie met de betrokken partijen (zoals scholen en hun leveranciers); 3. de gebruikte middelen (de gegevens). Dit noemen we samen een digitale ecosysteem: partijen en middelen zijn van elkaar afhankelijk om in balans te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om herhaling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt. Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ICT in het onderwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en privacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-scholen. De persoon op wie de informatie betrekking heeft, noemen we betrokkene: dat kunnen leerlingen zijn, maar ook medewerkers (docenten, administratief personeel). Een goed ingericht secundair proces zorgt ervoor dat primaire processen beter kunnen renderen. ICT kan er aan bijdragen dat de organisatie van de randvoorwaarden efficiënter en effectiever wordt en draagt bij aan administratieve lastenverlichting. Door de inzet van ict kunnen beschikbare gegevens (over studenten en hun prestaties) beter worden benut. Scholen kunnen met die gegevens gemakkelijker transparant zijn over de resultaten en vorderingen van leerlingen. Leraren kunnen gegevens over het leerproces van de leerling gebruiken om dat leerproces te volgen en maatwerk te bieden. Bestuurders en managers kunnen op basis van (objectieve) gegevens onderbouwde keuzes maken om de effectiviteit en doelmatigheid van het onderwijs te verbeteren. Bovendien spelen gegevens een belangrijke rol bij de bekostiging, de verantwoording en het toezicht. En om goed onderwijs te bieden is het waardevol dat relevante informatie over een leerling van de ene instelling naar de andere wordt overgedragen. Bovendien is het wenselijk dat basale informatie, zoals namen en adresgegevens, niet steeds opnieuw moet worden ingevoerd. Juist omdat er steeds meer gegevens digitaal worden opgeslagen en overgedragen (zowel leerinhoud, toetsen, examens als gegevens over studenten), nemen de risico s toe. Het gaat daarbij om de organisatie (wie bewaart wat?), de ontsluiting (wie mag welke informatie zien en wanneer?) en de afscherming (hoe worden gemaakte afspraken afgedwongen of gecontroleerd?). Bij dit gebruik van gegevens van en over studenten en docenten, is het van belang dat aandacht wordt besteed aan informatiebeveiliging en privacy. Deze twee begrippen gaan samen op: het zorgvuldig en rechtmatig verzamelen van gegevens is niets waard als deze gegevens niet beveiligd zijn (en snel op straat liggen). Andersom is een optimale beveiliging van de administratie geen garantie dat informatie op de juiste wijze is opgevraagd bij de studenten. In deze publicatie worden de uitgangspunten en principes van privacy beschreven. Daarbij staat het doel van privacy centraal (het wat ), terwijl de manier om dat doel te bereiken, ondergeschikt is (het hoe ) en in andere publicaties wordt beschreven. IBPDOC2B, versie 0.8 Pagina 4 van 46

5 1.1 Verder ontwikkeling Compliance kader Dit Privacy Compliance kader MBO is ter goedkeuring voorgelegd aan de Taskforce Informatiebeveiliging en Privacy in het mbo. Het Privacy Compliance Kader MBO zal eind 2015 geëvalueerd en eind 2016 herzien worden. De evaluatie eind 2015 is bedoeld om kleine (tekstuele) aanpassingen te doen. In 2016 zal worden ingegaan op nieuwe ontwikkelingen rondom de Algemene Verordening Gegevensbescherming. Eveneens wordt bezien of aansluiting moet worden gezocht bij de ISO standaard, een verdere detaillering van de ISO norm, specifiek voor PII (Personally Identifiable Information). 1.2 Toetsingskader In aanvulling op het Privacy Compliance kader MBO is een Privacy Toetsingskader (IBPDOC7) beschikbaar. In dit toetsingskader staat in detail beschreven wat een instelling geregeld moet hebben om aan de normen te voldoen. In dit toetsingskader is voor ieder statement in dit compliance kader op procesniveau beschreven wat de vereisten zijn om aan een volgend volwassenheidsniveau te voldoen. problematiek op een juiste wijze aan te pakken. Een breed gedragen projectplan vanuit sambo-ict heeft de aanzet gegeven voor het IBP programma. Een breed samengestelde taskforce geeft leiding aan het programma en de uitvoering van de diverse activiteiten is door een aantal werkgroepen ter hand genomen. Hierbij leveren de mbo-instellingen zelf een grote bijdrage. Dit document schetst de uitgangspunten voor het programma, de samenhang met externe factoren en het geeft als zodanig ook een verantwoording voor de gekozen aanpak en de gemaakte keuzes. Ook worden de te verwachten resultaten van het programma gepresenteerd. IBPDOC2B, versie 0.8 Pagina 5 van 46

6 2. Basisbeginselen privacy 2.1 Ontstaan privacy Privacy is van alle tijden. Al rond 400 voor Christus bestaat al zoiets als respect voor in vertrouwen gedeelde informatie 1. Ook heeft privacy een ontwikkeling doorgemaakt van bescherming van de persoonlijke en materiele levenssfeer naar de bescherming van (digitale) informatie van en over een persoon. We zien de definitie van privacy als recht om met rust te worden gelaten, zich ontwikkelen tot een recht om te weten en bepalen wat er met gegevens over jou gebeurt, en om te weten wie de beschikking heeft over jouw gegevens. Privacy - in de zin van de algemene bescherming van het privéleven - bestaat uit verschillende aspecten. Zo kennen we relationele privacy (bescherming van het gezinsleven), ruimtelijke privacy (bescherming van de woning) en informationele privacy (bescherming van persoonlijke gegevens). Deze publicatie richt zich op informationele privacy. Alhoewel het lastig is om privacy in een wereldwijd geaccepteerd begrip te omschrijven, is er in de literatuur wel consensus dat een aantal universeel geaccepteerde fundamentele mensenrechten aan de basis liggen van informationele privacy: 1. Menselijke waardigheid: het recht op bestaan (van identiteit) Dit beginsel is terug te voeren tot het fundamentele principe dat iedereen het recht heeft om te bestaan. Iedereen heeft recht op lichamelijke en geestelijke integriteit. Ieder mens is uniek. Om een uniek persoon te identificeren, is informatie en een beschrijving nodig. Ieder uniek persoon willen we kunnen identificeren. Tegenwoordig bepaalt de informatie die over iemand beschikbaar is, mede zijn identiteit. Het hebben van een identiteit maakt dat iedere persoon weet en voelt dat hij iemand is. En omdat het gaat over de identiteit en integriteit van eenpersoon, moet die persoon er ook van uit kunnen gaan dat er met zijn gegevens zorgvuldig wordt omgegaan: de gegevens moeten kloppen, wijzigingen moeten tijdig worden doorgevoerd en fouten moeten worden gecorrigeerd. 2. Niet-delen als uitgangspunt Ieder persoon heeft zelf het recht om te beschikken over zijn eigen mens-zijn (menselijke waardigheid; integriteit). Dat kan alleen als een persoon ook kan bepalen wat hij (niet) deelt over zichtzelf: het gaat immers om informatie die hem identificeert en maakt tot wat hij is: hoe hij wordt gezien. Om de identiteit van een persoon te beschermen, is daarom het uitgangspunt dat informatie over een persoon niet wordt gedeeld (tenzij het belang van de persoon of diens medemens toch beter gediend is met het delen van informatie). Het recht om met rust te worden gelaten, is hier een uitwerking van. 3. Keuzevrijheid Informatie over een persoon, bepaalt mede zijn identiteit. Daar kan iedereen alleen zelf over beslissen. Dit zelfbeschikkingsrecht kan dus niet zomaar worden prijsgegeven, maar vraagt om een afweging. Het gaat om informatie over iemands persoonlijke levenssfeer. Een persoon is zelf het beste in staat om te bepalen wat er over hem wel of niet gedeeld wordt. Daarmee is het uitgangspunt dat ieder persoon zelf mag beslissen om informatie over zichzelf te delen. 4. Vertrouwelijkheid en beveiliging Omdat het bij gegevens over een persoon gaat om diens fundamentele mensenrechten, is vertrouwelijkheid en beveiliging uitgangspunt. Vertrouwelijkheid omdat alleen de persoon zelf beslist wie informatie over hem mag weten of delen. Hij moet er van uit gaan dat anderen zijn informatie niet delen (want dat bepaalt de persoon immers zelf). En beveiliging om dat te garanderen. En omdat de persoon centraal staat, bepaalt deze de voorwaarden van beveiliging en vertrouwelijkheid (het gaat immers om diens gegevens die op het spel staan). 1 Hippocrates leerde zijn studenten dat als hun iets als arts in vertrouwen is medegedeeld, geheim moet worden gehouden. IBPDOC2B, versie 0.8 Pagina 6 van 46

7 5. Transparantie (terugkoppeling) Als er informatie over een persoon wordt gebruikt, dan wil je vanuit het principe van de zorgvuldigheid ook kunnen uitleggen wat er met de informatie is gebeurd. De gebruiker van de informatie moet zich (kunnen) verantwoorden. Terugkoppeling is essentieel om een persoon in staat te stellen zijn eigen rechten te kunnen uitoefenen. Als deze beginselen worden uitgelegd en in onderling verband met elkaar worden gebracht, leidt dat tot weten regelgeving op het gebied van privacy. 2.2 Basis privacy principes De Organisatie van Economische Samenwerking en Ontwikkeling (OESO) heeft in de loop van de jaren een belangrijke rol gespeeld bij het bevorderen van respect voor privacy als een fundamentele waarde én als voorwaarde voor het vrije verkeer van persoonsgegevens over de grenzen heen. In 2013 zijn de Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 2 uit 1980 herzien. Deze richtlijnen van de OESO gaan onder meer uit van de zelfde algemene privacy beginselen en zijn daarom een goed en internationaal erkend aanknopingspunt om algemene privacyprincipes aan te ontlenen. definiëren. Van de in paragraaf 1 genoemde algemene privacy beginselen, zijn de volgende privacy-principes afgeleid. Voor de formulering van deze principes wordt aangesloten bij de wereldwijd gehanteerde privacy-principes zoals die zijn opgenomen in de voornoemde Guidelines van de OESO Respect voor privacy Privacy is uitgangspunt: privacy by design. Zonder het respecteren en erkennen van elkaar privacy, is privacy niet mogelijk. Het respecteren van privacy is uitgangspunt en staat niet ter discussie. Privacybescherming is alleen mogelijk als we daar afspraken (regels) maken en nakomen. Voor iedereen moeten de zelfde uitgangspunten gelden. Uitvoering van alle hier opvolgende principes ligt in het verlengde van het respect voor de zorgvuldige omgang met en bescherming van persoonsgegevens in overeenstemming met de wet. In overeenstemming met de wet betekent dat omgang met persoonsgegevens is gebaseerd rechtmatig, eerlijk en transparant handelen ten opzichte van de betrokkene. Rechtmatigheid (grondslag) en transparantie worden respectievelijk in eigen beginselen uitgewerkt, en met eerlijkheid wordt beoogd een behoorlijke en fatsoenlijke omgang met betrokkenen en hun belangen Doel en doelbinding Het is aan iedereen zelf voorbehouden om te beschikken (beslissen) over zijn eigen persoonsgegevens. Daarom mogen persoonsgegevens niet zomaar verzameld worden. Het moet duidelijk zijn waarvoor de persoonsgegevens worden gebruikt. Dit doel wordt vastgesteld voordat de informatie wordt verzameld. Het gebruik van de persoonsgegevens moet overeenkomen met het doel, en mag daar niet mee onverenigbaar zijn. De gegevens zijn exclusief beschikbaar voor alleen dit vooraf bepaalde doel. Dit betekent dat deze gegevens - behoudens toestemming van betrokkene of op grond van de wet - niet bekend mag worden gemaakt, beschikbaar gesteld of anderszins gebruikt voor andere doeleinden dan die vooraf zijn overeengekomen. Verstrekking aan anderen (derden), kan bijvoorbeeld alleen als dat nodig is om het doel te bereiken Grondslag Persoonsgegevens kunnen alleen op basis van een rechtmatig (wettelijk bepaald) doeleinde worden verwerkt. Persoonsgegevens moeten rechtmatig verkregen worden: hoe kom ik aan deze gegevens? Daarvoor is er een grond nodig voor het gebruik van persoonsgegevens. Het universele uitgangspunt is dat de betrokkene toestemming geeft. Indien dat niet mogelijk is, moet de wet een grondslag geven. In wetgeving, bijvoorbeeld de Wet bescherming persoonsgegevens, zijn de volgende gronden (grondslagen) toegestaan: Toestemming: er is toestemming van de betrokkene; Voorbeeld: de student geeft op een formulier toestemming om zijn foto op te nemen op de website van de school. 2 IBPDOC2B, versie 0.8 Pagina 7 van 46

8 Uitvoering overeenkomst: om een overeenkomst uit te kunnen voeren, is het noodzakelijk om persoonsgegevens van de betrokkene te verwerken; Voorbeeld: voor aanvang van het onderwijs, tekenen onderwijsinstelling, student en diens ouders de onderwijsovereenkomst (OOK). Daarin worden afspraken gemaakt over het geven aan en volgen van onderwijs door de student. Om deze overeenkomst goed uit te kunnen voeren, moet de onderwijsinstelling een aantal gegevens over de student vastleggen en gebruiken om bijvoorbeeld de leerresultaten en studievoortgang te registreren. Wettelijke verplichting: de verwerking van persoonsgegevens is wettelijk verplicht of opgedragen door de wetgever; Voorbeeld: de onderwijsinstelling is wettelijk verplicht om jaarlijks aan DUO gegevens over de ingeschreven studenten door te geven. Daarbij is in die wet specifiek opgenomen welke gegevens moeten worden verstrekt. Publiekrechtelijke taak: voor de uitvoering van een publieke taak (overheid) is de verwerking van persoonsgegevens noodzakelijk; Voorbeeld: het afnemen van examens en uitreiken van diploma s is een wettelijke (publieke) taak. Om deze diploma s uit te kunnen reiken moet de onderwijsinstelling persoonsgegevens van de examinandi hebben om o.a. op het diploma te kunnen vermelden of door te geven aan het diplomaregister. Vitaal belang (bescherming van de betrokkene): het verwerken van persoonsgegevens is noodzakelijk om een ernstige bedreiging van de gezondheid van betrokkene beperken/voorkomen; Voorbeeld 1: een student met een bekende medische geschiedenis, is tijdens college onwel geworden. Er wordt contact opgenomen met diens huisarts om te overleggen. Voor dit overleg is geen toestemming gevraagd maar dat is wel in het belang van de student. Voorbeeld 2: een minderjarige student die regelmatig met blauwe plekken op de onderwijsinstelling verschijnt en geen logische verklaring kan geven voor het letsel. Er is vermoeden van mishandeling (huiselijk geweld) en daarover neemt de onderwijsinstelling conform de gedragscode Meldcode Huiselijk Geweld en Kindermishandeling contact op met het meldpunt Kindermishandeling. Hierbij worden er gegevens over de student uitgewisseld zonder dat deze of diens ouders hiervoor toestemming hebben gegeven. Gerechtvaardigd belang (belangenafweging): de gegevensverwerking is noodzakelijk waarbij het belang van het verwerken van die gegevens zwaarder weegt dan het privacy-belang van de betrokkene. Voorbeeld: voor het gebruik van digitaal leermateriaal, moet de onderwijsinstelling gegevens doorgeven aan bijvoorbeeld een uitgever. Voor deze uitwisseling is geen toestemming gevraagd aan de student, toch is de uitwisseling noodzakelijk om goed onderwijs te geven. Mits de onderwijsinstelling zich aan de wet houdt en afspraken maakt met de leverancier over deze persoonsgegevens, is het belang voor de uitwisseling groter dan het belang om de privacy van de leerling te beschermen Dataminimalisatie Er zijn grenzen aan het verzamelen van persoonsgegevens. Informatie moet door wettige en eerlijke middelen en manieren zijn verkregen. Daarbij is de gegevensverzameling: 1. Proportioneel: dit betekent dat het verzamelen van persoonsgegevens redelijk moet zijn, het moet in verhouding staan tot het doel dat je wilt bereiken. De inbreuk op de privacy moet te rechtvaardigen zijn om je doel te bereiken. 2. Subsidiair: dit betekent dat het doel waarvoor de persoonsgegevens worden verzameld, in redelijkheid niet op een andere manier wordt bereikt dan door de persoonsgegevens te gebruiken. Er mogen geen alternatieven zijn die minder ingrijpend zijn voor de privacy van de betrokkene. Als gebruik van anonieme gegevens mogelijk is, mogen er geen persoonsgegevens worden gebruikt. Proportionaliteit legt daarmee een bovengrens, terwijl subsidiariteit een zekere ondergrens stelt aan de aard en hoeveelheid uit te wisselen gegevens. Persoonsgegevens worden alleen bewaard zolang het gestelde doeleinde nog niet is behaald, daarna worden zij verwijderd of vernietigd. Dit gaat over de (wettelijk bepaalde) bewaartermijnen Transparantie Omdat het gaat om persoonsgegevens van en over de betrokkene, moet deze volstrekt helder en begrijpelijk zijn geïnformeerd welke gegevens er worden verzameld, en wat er met de gegevens gebeurt. Openheid en transparantie over de gegevensverwerking is uitgangspunt. Bij voorkeur is er organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er IBPDOC2B, versie 0.8 Pagina 8 van 46

9 is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. Voorbeelden van transparantie zijn het privacyreglement (in de studiegids, op de website), of uitleg bij het inschrijfformulier hoe de onderwijsinstelling omgaat met de persoonsgegevens Rechten van de betrokkene In geval van verzameling van persoonsgegevens, heeft de betrokkene altijd, bij iedere stap, een aantal rechten. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om: de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de gegevensverwerking; het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt; het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde persoonsgegevens; het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om de vastgestelde doelen te behalen; het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats vond op grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de persoonsgegevens door de leverancier van leermiddelen van de leerling, de student wil niet langer aanbiedingen krijgen en meldt zich af. Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buitensporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk verstaanbaar en begrijpelijk zijn. Een voorbeeld voor de uitoefening van de rechten, is een student wiens ouders recent zijn gescheiden. Die student wil zien welke informatie over hem en zijn ouders zijn geregistreerd en hij vraagt om correctie van zijn gegevens Beveiliging Er moet zorgvuldig worden omgegaan met de persoonsgegevens die iemand worden toevertrouwd: het gaat om andermans gegevens. Persoonsgegevens moeten zijn beschermd met een redelijke zekerheid en waarborgen tegen risico's zoals verlies of onbevoegde toegang, vernietiging, gebruik, wijziging of openbaarmaking van gegevens. Hierbij wordt voldaan gemaakt van algemeen geaccepteerde organisatorische en technische beveiligingsnormen (zoals bijvoorbeeld ISO-normen) Datakwaliteit (data-integriteit) Bij persoonsgegevens gaat het informatie waarmee personen worden geïdentificeerd, gegevens die iets zegt over een persoon. Daarom moet die informatie gegarandeerd juist, nauwkeurig, volledig en up-to-date (tijdig) zijn en blijven Verantwoordelijkheid (responsibility) Degene die de persoonsgegevens verzamelt (de verantwoordelijke ), is verantwoordelijk voor de nakoming deze algemene privacy regels en is daarop aanspreekbaar. De verantwoordelijke legt daarover verantwoording af. Ook als er anderen namens de verantwoordelijke met de persoonsgegevens willen werken, moet de verantwoordelijke met die partij ( bewerker genoemd) afspraken maken over deze algemene privacy regels. Verwerking vindt dus alleen plaats in overeenstemming met de wet. De verantwoordelijke draagt ook de bewijslast aan om dit aan te tonen. Ook speelt de verantwoordelijke een belangrijke rol bij verstrekking van gegevens aan derden. Bij vertrekking van gegevens aan een bewerker moeten er dan ook goede afspraken worden gemaakt. 2.3 Eigendom Privacy zegt iets over hoe er moet worden omgegaan met persoonsgegevens. Daarbij is het niet relevant van wie die gegevens zijn. Dat is juist ook de kracht van privacy, ongeacht wáár de persoonlijke informatie staat, of van wie die is, er moet altijd zorgvuldig mee worden omgegaan. In juridische zin kunnen op persoonsgegevens echter geen eigendomsrechten rusten: gegevens zijn niets anders dan een verzameling eentjes en nullen (I/O). Op een database met persoonsgegevens kan wel een databankenrecht rusten, of er kan een er een geheimhoudingsverplichting op rusten. Ook kan een verzameling met IBPDOC2B, versie 0.8 Pagina 9 van 46

10 persoonlijke gegevens een bepaalde commerciële waarde vertegenwoordigen. Maar daarmee ontstaat er geen exclusief recht om te beschikken over die persoonsgegevens. Bij privacy gaat het om rechten en verplichtingen van degenen die met die gegevens om moeten gaan. Daarbij kan iedereen een aparte rol hebben (verantwoordelijke; bewerker). Privacy maakt duidelijk wie bevoegd is om informatie te verstrekken aan andere partijen. Om verwarring te voorkomen, is het beter om niet meer te spreken over eigendom van de persoonsgegevens, maar om rechten en plichten jegens die gegevens te duiden in termen van 'zeggenschappen'. De ROSA biedt hiervoor een zeggenschapsmodel, waarin onderscheid wordt gemaakt in de verschillende zeggenschappen die partijen kunnen hebben over persoons- en andere gegevens. IBPDOC2B, versie 0.8 Pagina 10 van 46

11 3. Afgeleide privacy principes: statements 3.1 Algemeen De algemene privac yprincipes beschrijven de uitgangspunten voor privacy op hoofdlijnen (het wat ). Deze principes worden uitgewerkt in hanteerbare en praktische statements. De statements zijn geabstraheerd van wetgeving. Hierdoor wordt voorkomen dat dit Compliance kader moet worden aangepast bij wetswijzigingen. Daarmee is dit Compliance kader toekomstvast, zonder daarmee uit te sluiten dat dit kader te zijner tijd moet worden aangepast aan (inter) nationale ontwikkelingen op het gebied van privacy. In aanvulling op dit Compliance Kader MBO, is er een Toetsingskader Privacy (IBPDOC 7) beschikbaar. In dit toetsingskader is voor ieder statement in dit Compliance Kader beschreven welke maatregelen er getroffen moeten worden en wat de vereisten zijn om dit op verschillende niveaus te toetsen. Het toetsingskader is opgesteld in nauwe samenhang met het bestaande toetsingskader informatiebeveiliging MBO (IBPDOC3), ook hierin zijn de maatregelen gekoppeld aan de zgn. volwassenheidsniveaus van het Capability Maturity Model (CMM). Omwille van de duidelijkheid, is er voor gekozen om de statements voor privacy aan te laten sluiten bij de indeling (clustering) zoals deze in het Normenkader Informatiebeveiliging is uitgewerkt. Deze clustering wordt ook in het hoger onderwijs aangehouden. Hierbij worden 6 clusters aangehouden. Deze clusters groeperen maatregelen die logischerwijs met elkaar samenhangen. Hiermee kan inzichtelijk gemaakt worden op welk onderdeel (beleid, personeel, fysieke beveiliging, continuïteit ed.) een instelling sterk of zwak is en kunnen inspanningen voor verbetering en controle beter en in samenhang gestuurd worden. 3.2 Samenhang informatiebeveiliging en privacy Het beveiligen van persoonsgegevens is een belangrijke randvoorwaarde. Door het College Bescherming Persoonsgegevens is in 2013 vastgesteld dat de ISO en ISO een goed uitgangspunt zijn voor de te nemen beveiligingsmaatregelen en dat deze ISO-normen voor informatiebeveiliging aansluiten bij wet- en regelgeving. Dit betekent dat om te voldoen aan privacywetgeving, moet worden voldaan aan de ISO-normen voor informatiebeveiliging. Het voldoen aan het bij het normenkader behorende Toetsingskader voor Informatiebeveiliging en Privacy MBO (IBPDOC 3), is dus relevant om te voldoen aan privacy wet- en regelgeving. De ISO-normen en zijn een uitgangspunt zijn voor de beveiliging van persoonsgegevens. Om privacy te waarborgen, moet op een aantal ISO-statements voldaan worden aan een bepaald beveiligingsniveau. Vertaald naar het Normenkader en Toetsingskader IBP, betekent dit dat aan bepaalde maturity-levels moet worden voldaan. In deze paragraaf wordt beschreven welke statements uit het Toetsingskader Informatiebeveiliging (IBPDOC 3) moeten voldoen aan een minimum maturity-level. Cluster beleid en organisatie Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. IBPDOC2B, versie 0.8 Pagina 11 van 46

12 Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. Scheiding van taken: Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Personeel, studenten en gasten Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. Clear desk - en clear screen -beleid: Er behoort een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatie verwerkende faciliteiten te worden ingesteld. Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. Ruimtes en apparatuur Verwijderen van media: Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures. Onderhoud van apparatuur: Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. Continuïteit Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt. Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid. Beschikbaarheid van informatie verwerkende faciliteiten: Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. Vertrouwelijkheid en integriteit Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. IBPDOC2B, versie 0.8 Pagina 12 van 46

13 Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie. Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd Controle en Logging 6.1 Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. 3.3 Specifieke privacy-statements In de onderstaande statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bijvoorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit. Bij een wit veld is er sprake van een algemene norm die niet expliciet genoemd wordt in wetgeving, of juist wél voorkomt in alle wetten. In de laatste kolom wordt vermeld van welk privacyprincipe het statement is afgeleid. Het betreft de kleuren: Kleuren EVRM AVG Wbp NEN7510 Andere nationale wetgeving Basis Europees Verdrag voor de Rechten van de Mens Algemene Verordening Gegevensbescherming (toekomstige Europese wetgeving met directe werking) Wet bescherming persoonsgegevens NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academische ziekenhuizen Overige nationale wetgeving zoals de Archiefwet Hierna wordt er met instelling niet het instituut school bedoeld, maar de verplichting die rust op de juridische entiteit. De instelling wordt op het gebied van privacy vertegenwoordigd door de verantwoordelijke: degene die, alleen of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens bepaalt. Doorgaans zal dit de voorzitter van het College van Bestuur zijn Beleid en organisatie Nr. Statement Principe P.1 P.2 P.3 Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens worden, voor zover van toepassing, gewaarborgd in overeenstemming met relevante wet- en regelgeving. Doelbepaling: De instelling draagt er zorg voor dat voor iedere categorie van verwerkingen voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doeleinde is gecommuniceerd bij de gegevensverzameling. Doelbinding: De instelling zorgt er voor dat persoonsgegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn. 1) Privacy by design 2) Doel en doelbinding 2) Doel en doelbinding IBPDOC2B, versie 0.8 Pagina 13 van 46

14 P.4 P.5 P.6 P.7 P.8 P.9 P.10 P.11 P.12 P.13 P.14 P.15 P.16 P.17 Grondslag: De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out regelingen als het gaat om verwerkingen van persoonsgegevens. Grond bij minderjarigen: Bij verwerkingen van persoonsgegevens van leerlingen jonger dan 16 jaar, wordt toestemming altijd afgestemd met de wettelijke vertegenwoordigers. Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data worden verwerkt (subsidiariteit). Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet de vernietigings- en bewaartermijnen vast van de verwerkte persoonsgegevens. Verwerking t.b.v. onderzoek: Verwerking van persoonsgegevens historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp Gedagscode voor Onderzoek & Statistiek en vereist voorafgaande toestemming van de verantwoordelijke. Bijzondere persoonsgegevens: De instelling verwerkt geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, tenzij dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag strikt noodzakelijk is, ras, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen gezondheid, voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is. Profilering: In geval de instelling gebruik maakt van profilering, zal zij: geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een natuurlijk persoon namens de instelling betrokken is bij de besluitvorming, en er aan de betrokkene duidelijke informatie is verstrekt over de wijze van profilering, en de betrokkene de mogelijkheid heeft in verweer te komen tegen een dergelijke geautomatiseerde beslissing. Instellen (intern) privacy-beleid: Ten behoeve van het garanderen van privacy van studenten en medewerkers, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van leerlingen en docenten. Beoordeling van het privacy-beleid: Het beleid voor privacy behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is en voldoet aan wet- en regelgeving. Taken en verantwoordelijkheden privacy: De verantwoordelijke is eindverantwoordelijk voor alle verwerkingen van persoonsgegevens binnen de instelling. Alle gedelegeerde en/of gemandateerde verantwoordelijkheden zijn gedefinieerd, inzichtelijk en toegewezen. Functionaris gegevensbescherming: De instelling benoemt een functionaris gegevensbescherming (privacy officer) die is belast met intern toezicht op de verwerkingen van persoonsgegevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verantwoordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden. De FG rapporteert aan de verantwoordelijke Informatiebeveiliging: De instelling zorgt voor passende technische en organisatorische maatregelen om de verwerkte persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de aard en omvang van de verwerkte persoonsgegevens. Hierbij wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging. Bewerkersovereenkomsten: met alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld. Meldplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde Functionaris Gegevensbescherming die daartoe een (openbaar) register bijhoudt, tenzij de betreffende werking is vrijgesteld van de meldingsplicht. 3) Grondslag 3) Grondslag 4) Dataminimalisatie 4) Dataminimalisatie 2) Doel en doelbinding 2) Dataminimalisatie 2) Doel en doelbinding 5) Transparantie 5) Transparantie 9) Verantwoordelijkheid 9) Verantwoordelijkheid 7) Beveiliging 9) Verantwoordelijkheid 9) Verantwoordelijkheid IBPDOC2B, versie 0.8 Pagina 14 van 46

15 3.3.2 Personeel, studenten en gasten Nr. Statement Principe P.18 P.19 P.20 P.21 P.22 Informatieplicht beleid: De instelling informeert de (ouders van) leerlingen en medewerkers van wie persoonsgegevens worden verwerkt, in begrijpelijke taal over het privacybeleid en de rechten en verplichtingen van betrokkenen. Informatieplicht verwerkingen: De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) leerlingen en medewerkers van wie persoonsgegevens worden verwerkt, welke verwerking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die leerling te kunnen waarborgen. Aan de betrokken leerlingen en docenten wordt ten minste medegedeeld: welke persoonsgegevens worden verwerkt, of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt noodzakelijk is, of persoonsgegevens ook voor andere doeleinden worden verwerkt, wat de bewaar- en vernietigingstermijnen zijn; of persoonsgegevens worden gedeeld met commerciële derden, of persoonsgegevens worden verkocht of verhuurd, of persoonsgegevens gecodeerd worden bewaard. Rechten betrokkene: Leerlingen (dan wel hun ouders) en medewerkers hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens: feitelijk onjuist zijn, voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Arbeidsvoorwaarden: In de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijkheden voor privacy en informatiebeveiliging opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhoudingsbeding ten aanzien van de verwerkte persoonsgegevens. Bewustzijn, opleiding en training ten aanzien van privacy: Alle medewerkers van de organisatie en - voor zover relevant - contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken. 5) Transparantie 5) Transparantie 6) Rechten betrokkene 9) Verantwoordelijkheid 5) Transparantie Ruimtes en apparatuur Nr. Statement Principe P.23 Verwijderen van persoonsgegevens: van apparatuur die niet langer wordt gebruikt, worden de op het apparaat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. In geval van vernietiging door een derde, geeft deze een verklaring af aangaande vernietiging. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. 4) Dataminimalisatie 7) Beveiliging Continuïteit Nr. Statement Principe P.24 P.25 Datakwaliteit: De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt de het behoud en bescherming van de juistheid en de consistentie van die gegevens. Beheersmaatregelen tegen dataverlies: Ter bescherming tegen beschadiging en verlies van data behoren beheersmaatregelen te worden geïmplementeerd. 8) Datakwaliteit 7) Beveiliging IBPDOC2B, versie 0.8 Pagina 15 van 46

16 3.3.5 Vertrouwelijkheid en integriteit Nr. Statement Principe P.26 P.27 P.28 Beperking toegang tot informatie: Medewerkers en leveranciers hebben alleen toegang tot informatie en systeemfuncties van toepassingen waarin persoonsgegevens worden verwerkt, indien dat strikt noodzakelijk is voor uitoefening van de opgedragen taken en werkzaamheden. Datalek: In geval van een inbreuk op de beveiliging van persoonsgegevens, die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens van leerlingen en medewerkers, dan: meldt de verantwoordelijke het Cbp deze inbreuk zonder onnodige vertraging worden de betreffende leerlingen en medewerkers geïnformeerd over aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy. Bijzondere persoonsgegevens: Bij verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens, neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is. 7) Beveiliging 5) Transparantie 4) Beveiliging Controle en Logging Nr. Statement Principe P.29 P.30 P.31 P.32 P.33 P.34 Privacy in informatiesystemen: bij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van leerlingen en medewerkers verwerken, worden privacyregels zoals privacy by design en privacy by default in die systemen een aangehouden en zo mogelijk ingebouwd: Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden) Transparantie over gebruik van gegevens Afschermen van de identiteit (pseudonimisering) Gebruik sticky policies Data tracking (waaronder logging). Terugkerende PIA: De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de risico s wijzigt voor de privacy van de betrokken leerlingen en medewerkers. Veranderingen in de dienstverlening van leveranciers De instelling voert naar aanleiding van de evaluatie een volledige PIA uit in geval de verwerking van de persoonsgegevens: Meer dan 5000 betrokkenen betreft en langer duurt dan 12 maanden; Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; Er sprake is van profilering; Geautomatiseerde bewaking van publiek toegankelijke ruimtes; Inbreuken die waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens; Verwerkingen die regelmatige en stelselmatige observatie van betrokkenen vereisen; Toegankelijk is voor een grotere groep gebruikers. De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering. PIA: in geval van herziening van of nieuwe verwerkingen van grote hoeveelheden persoonsgegevens, wordt vooraf bepaald wat de impact is van deze (gewijzigde) verwerking op de privacy van de leerlingen (zie ook samenhang met F.2: PIA). Documentatieplicht: De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen. De verantwoordelijke bewaart bijgewerkte documenten die nodig zijn om aan te tonen dat zij voldoen aan de wettelijke vereisten voor verwerking van persoonsgegevens. Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig beoordeeld. Naleving van privacy beleid en normen: de instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. 4) Dataminimalisatie 8) Datakwaliteit 7) Doel en doelbinding 8) Datakwaliteit 2) Doel en doelbinding 8) Datakwaliteit 9) verantwoordelijkheid 5) Transparantie 9) Verantwoordelijkheid 9) Verantwoordelijkheid P.35 Rapportage van privacy-gebeurtenissen: privacy- en informatiebeveiligingsincidenten behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke. 7) Beveiliging IBPDOC2B, versie 0.8 Pagina 16 van 46

17 4. Samenhang principes en wettelijke kaders 4.1 Respect voor privacy (privacy by design) Onderwijsinstellingen respecteren privacy van leerlingen en medewerkers en komen wet- en regelgeving na. In het convenant Digitale Onderwijsmiddelen en Privacy worden afspraken gemaakt over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige omgang met Persoonsgegevens die worden verwerkt in het kader van het gebruik van Digitale Onderwijsmiddelen voor het volgen van onderwijs bij Onderwijsinstellingen. Onderwijsinstellingen in het PO en VO, onderschrijven het Convenant Digitale Onderwijsmiddelen en Privacy (Leermiddelen en Toetsen). IBPDOC2B, versie 0.8 Pagina 17 van 46

18 4.2 Doel en Doelbinding Persoonsgegevens mogen alleen worden verwerkt aan welbepaalde, uitdrukkelijk doeleinden op een wijze die niet onverenigbaar is met deze doeleinden. Persoonsgegevens worden niet verder verwerkt op een De instelling draagt er zorg voor dat voorafgaand wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. aan verwerking voor iedere categorie van verwerkingen een specifiek doeleinde is vastgesteld en dat dit is gecommuniceerd aan de betrokkenen. Bij de beoordeling hiervan houdt de verantwoordelijke in elk geval rekening met: Persoonsgegevens worden alleen verwerkt in het a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; kader van het doel waarvoor die gegevens verkregen zijn (doelbinding). b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. In beginsel is het verwerken van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die primair voor een ander dan deze doeleinden zijn verzameld, niet in strijd met de wet. Wel dient de verantwoordelijke in die gevallen passende voorzieningen te treffen ten einde te verzekeren dat verwerking uitsluitend voor deze doeleinden geschiedt. Verwerking van persoonsgegevens historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp Gedagscode voor Onderzoek & Statistiek en vereist voorafgaande toestemming van de verantwoordelijke AVG Rechten en verplichtingen Beheersmaatregelen Aangescherpte voorwaarden, verwerking is dan alleen mogelijk indien: a. de doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd (anonimisering of pseudonimisering) b. gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie, volgens de allerhoogste technische standaarden, en alle noodzakelijke maatregelen worden getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd. [opgenomen onder dataminimalisatie] IBPDOC2B, versie 0.8 Pagina 18 van 46

19 Persoonsgegevens worden niet verwerkt in het geval dat daaraan een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift in de weg staat. Dit geldt slechts voor die persoonsgegevens die voor de verantwoordelijke of bewerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen. NEN7510 Rechten en verplichtingen Beheersmaatregelen "Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld. (ISO 27799)" IBPDOC2B, versie 0.8 Pagina 19 van 46

20 4.3 Grondslag Persoonsgegevens mogen slechts worden verwerkt indien er sprake is van: a. Toestemming De betrokkene heeft voor verwerking zijn ondubbelzinnige toestemming gegeven (ook wel geïnformeerde toestemming of informed consent). b. Uitvoering overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. c. Wettelijke verplichting: De verwerking is noodzakelijk om een wettelijke verplichting na te komen. d. Vitaal belang: De verwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden. e. Publiekrechtelijke taak: Verwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. f. Gerechtvaardigd belang verantwoordelijke/bewerker: Belangenafweging tussen (i) het gerechtvaardigd belang van de verantwoordelijke en (ii) het gerechtvaardigd belang van de betrokkene Let op: De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De betrokkene wordt door verantwoordelijke op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot de beëindiging van de geleverde diensten of van de betrekkingen met de verantwoordelijke. Toestemming is aan het specifieke doeleinde gebonden, en niet meer geldig zodra dit doel wegvalt of is voltooid. Toestemming is geen rechtmatige grondslag als er sprake is van een hiërarchische verhouding tussen verantwoordelijke en betrokkene. De instelling draagt er zorg voor dat persoonsgegevens ten alle tijde op basis van een wettelijke grondslag worden verwerkt. [geregeld bij rechten betrokkene] AVG Rechten en verplichtingen Beheersmaatregelen Opt-out is niet langer toegestaan, omdat dan geen sprake is van toestemming aangezien niet gesproken kan worden van expliciete wilsverklaring door het vergeten een link uit te klikken. N.v.t. IBPDOC2B, versie 0.8 Pagina 20 van 46

Privacy compliance kader MBO

Privacy compliance kader MBO Privacy compliance kader MBO IBPDOC2B Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling

Nadere informatie

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Dit reglement bevat, conform de wet bescherming persoonsgegevens, regels voor een zorgvuldige omgang met het verzamelen en verwerken

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Pagina 1 van 7 Privacyreglement Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Inhoudsopgave Hoofdstuk 1: Algemene bepalingen artikel 1: Begripsomschrijvingen artikel 2: Reikwijdte artikel

Nadere informatie

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:

Nadere informatie

PRIVACYREGLEMENT NKA

PRIVACYREGLEMENT NKA PRIVACYREGLEMENT NKA INHOUD 1. WANNEER IS DIT PRIVACYREGLEMENT VAN TOEPASSING?... 3 2. DOEL PRIVACYREGLEMENT... 3 3. WIE IS VERANTWOORDELIJK VOOR UW GEGEVENS?... 3 4. WELKE PERSOONSGEGEVENS VERWERKT NKA?...

Nadere informatie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)

Nadere informatie

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen Privacyreglement verwerking persoonsgegevens ROC Nijmegen Laatstelijk gewijzigd in april 2014 Versie april 2014/ Voorgenomen vastgesteld door het CvB d.d. 12 juni 2014 / Instemming OR d.d. 4 november 2014

Nadere informatie

PRIVACYREGLEMENT BEST

PRIVACYREGLEMENT BEST PRIVACYREGLEMENT BEST BURGEMEESTER EN WETHOUDERS VAN BEST; gelet op de bepalingen van de Wet bescherming persoonsgegevens en artikel 4 van de Verordening verwerking persoonsgegevens gemeente Best; B E

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE IN AANMERKING NEMENDE: dat bij de Stichting Eduroute verschillende educatieve distributeurs zijn aangesloten; dat deze educatieve distributeurs

Nadere informatie

Privacyreglement KOM Kinderopvang

Privacyreglement KOM Kinderopvang Privacyreglement KOM Kinderopvang Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van KOM Kinderopvang. 1. Algemene bepalingen & begripsbepalingen

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Werkvloertaal 26 juli 2015 Privacyreglement Werkvloertaal 26 juli 2015 Algemeen Privacyreglement Werkvloertaal Pagina 1 van 6 Algemeen Privacyreglement Werkvloertaal De directie van Werkvloertaal, overwegende, dat het in verband

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACY REGLEMENT Algemene bepalingen Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2 Gezondheidsgegevens / Bijzondere

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

8.50 Privacyreglement

8.50 Privacyreglement 1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben

Nadere informatie

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis

Nadere informatie

Privacyreglement. van. DoorWerk

Privacyreglement. van. DoorWerk Privacyreglement van DoorWerk Dit privacyreglement is vastgesteld op 01-01-2010 Dit privacyreglement dient als basis voor het vastleggen door het reïntegratiebedrijf hoe het omgaat met de privacy en de

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

SWPBS vanuit juridisch oogpunt

SWPBS vanuit juridisch oogpunt SWPBS vanuit juridisch oogpunt Samenvatting uit: De Wilde M., en Van den Berg A. (2012), SWPBS, vanuit juridisch oogpunt, afstudeerrapport juridische afdeling Christelijke Hogeschool Windesheim, Zwolle

Nadere informatie

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacyreglement QPPS LIFETIMEDEVELOPMENT QPPS LIFETIMEDEVELOPMENT treft hierbij een schriftelijke regeling conform de Wet Bescherming Persoonsgegevens voor de verwerking van cliëntgegevens. Vastgelegd

Nadere informatie

Wet bescherming persoonsgegevens Pagina 1

Wet bescherming persoonsgegevens Pagina 1 Wet bescherming persoonsgegevens Wet bescherming persoonsgegevens te Huizen Erkend gastouderbureau Houder: dhr. A. Jongsma Laatst gewijzigd op: 10 mei 2009. Wet bescherming persoonsgegevens Pagina 1 Inhoudsopgaaf:

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Bijlage 10 Reglement Bescherming Persoonsgegevens Radboud Universiteit Nijmegen

Bijlage 10 Reglement Bescherming Persoonsgegevens Radboud Universiteit Nijmegen Radboud Universiteit Nijmegen I Begripsbepalingen Artikel 1 In deze regeling wordt verstaan onder: a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare betrokkene; b. verwerking

Nadere informatie

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt.

Ook worden gegevens die uit het intake-gesprek naar voren zijn gekomen en die belangrijk kunnen zijn voor de hulpverlening verwerkt. Privacyreglement 1. Inleiding Ten behoeve van haar hulpverleningsactiviteiten registreert Community Support gegevens van haar klanten. Het doel van dit privacyreglement is de klanten op de hoogte te stellen

Nadere informatie

Gedragscode Persoonlijk Onderzoek. 21 december 2011

Gedragscode Persoonlijk Onderzoek. 21 december 2011 Gedragscode Persoonlijk Onderzoek 21 december 2011 Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van

Nadere informatie

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp)

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) 1. Begripsbepaling 1.1. Persoonsgegevens Alle gegevens die herleidbaar zijn tot een individuele natuurlijke persoon. 1.2. Zorggegevens

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1. Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking

Nadere informatie

Overstapservice: privacy en informatiebeveiliging wat een school moet weten bij het gebruik van OSO

Overstapservice: privacy en informatiebeveiliging wat een school moet weten bij het gebruik van OSO Overstapservice: privacy en informatiebeveiliging wat een school moet weten bij het gebruik van OSO Kennisnet, augustus 2015 Versie 1.0 Auteurs: Debby Sikking, Job Vos (Kennisnet) CHECKLIST OVERSTAPSERVICE:

Nadere informatie

Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de

Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de Privacyreglement 1. Algemeen Dit reglement is een uitwerking van de Wet bescherming persoonsgegevens (Wbp). Hiermee wordt de privacy van medewerkers, stagiairs, vrijwilligers en (ouders 1 van) cliënten

Nadere informatie

Privacyreglement CURA XL

Privacyreglement CURA XL Artikel 1. Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan

Nadere informatie

REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL

REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL I Begripsbepalingen Artikel 1 1. In deze regeling wordt verstaan onder: a. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of

Nadere informatie

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ: AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming

Nadere informatie

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland AVKV/Protocol WBP (versie 01-12-2010) Pagina 1 Inhoud : 1. Voorwoord 2. Beknopte beschrijving van de Wet bescherming persoonsgegevens

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

Privacyreglement. Algemene bepalingen. Doelstelling

Privacyreglement. Algemene bepalingen. Doelstelling Doelstelling Privacyreglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing

Nadere informatie

Protocol bescherming persoonsgegevens van de Trimclub ABC

Protocol bescherming persoonsgegevens van de Trimclub ABC Protocol bescherming persoonsgegevens van de Trimclub ABC Inhoud 1. Voorwoord 2. Beknopte beschrijving van de Wet bescherming persoonsgegevens (WBP) 3. College Bescherming Persoonsgegevens (CBP) 4. Beknopte

Nadere informatie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Gedragscode voor Onderzoek & Statistiek Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Inhoudsopgave 1. Considerans...3 2. Begripsbepaling...3 3. Omschrijving van de sector en toepassingsgebied...4

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Privacyreglement van Talenta. christelijk bureau voor jobcoaching en re-integratie

Privacyreglement van Talenta. christelijk bureau voor jobcoaching en re-integratie Privacyreglement van Talenta christelijk bureau voor jobcoaching en re-integratie Privacyreglement Talenta Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald

Nadere informatie

Privacyreglement Stichting Peuterspeelzalen Steenbergen

Privacyreglement Stichting Peuterspeelzalen Steenbergen Privacyreglement Stichting Peuterspeelzalen Steenbergen 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het betreft hier

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

PRIVACYVERKLARING ThiemeMeulenhoff - Verwerking persoonsgegevens digitale leermiddelen in het voortgezet onderwijs

PRIVACYVERKLARING ThiemeMeulenhoff - Verwerking persoonsgegevens digitale leermiddelen in het voortgezet onderwijs PRIVACYVERKLARING ThiemeMeulenhoff - Verwerking persoonsgegevens digitale leermiddelen in het voortgezet onderwijs Welkom bij ThiemeMeulenhoff, gevestigd aan het Smallepad 30, 3811 MG Amersfoort, (hierna:

Nadere informatie

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING Panta Rhei Zorg BV en Panta Rhei Beheer & Bewind BV kent een privacyreglement welke ten doel heeft het

Nadere informatie

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit Privacyreglement van Dutch & Such ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming

Nadere informatie

gewoondoenreintegratie

gewoondoenreintegratie Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in

Nadere informatie

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Informatie over privacywetgeving en het omgaan met persoonsgegevens Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over

Nadere informatie

Regeling bescherming persoonsgegevens. Artikel 1 Begripsbepalingen

Regeling bescherming persoonsgegevens. Artikel 1 Begripsbepalingen Regeling bescherming persoonsgegevens Artikel 1 Begripsbepalingen In deze regeling wordt verstaan onder: a. beheerder: de functionaris die door de verantwoordelijke aangewezen is om in het kader van deze

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: vast te stellen de volgende Regeling Wet bescherming persoonsgegevens Teylingen

Nadere informatie

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN 1. Begripsbepalingen. Persoonsgegevens; Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens Persoonsgegevens

Nadere informatie

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams Samen Doen worden uitgevoerd in opdracht van het O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

Privacy reglement. Inleiding

Privacy reglement. Inleiding Privacy reglement Inleiding De Wet bescherming persoonsgegevens (WBP) vervangt de Wet persoonsregistraties (WPR). Daarmee wordt voldaan aan de verplichting om de nationale privacywetgeving aan te passen

Nadere informatie

Privacy protocol Sociaal domein gemeente Waterland 2015

Privacy protocol Sociaal domein gemeente Waterland 2015 GEMEENTEBLAD Officiële uitgave van gemeente Waterland. Nr. 6717 29 januari 2015 Privacy protocol Sociaal domein gemeente Waterland 2015 Het college van burgemeester en wethouders van Waterland, overwegende

Nadere informatie

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel...

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel... PRIVACYREGLEMENT REGIORECHT ANTI-FILESHARINGPROJECT INHOUD Inleiding, toelichting... 2 Algemene bepalingen... 2 Artikel 1: Begripsbepalingen... 2 Artikel 2: Reikwijdte... 3 Artikel 3: Doel... 3 Rechtmatige

Nadere informatie

Privacyreglement Vitales

Privacyreglement Vitales Een reglement ter bescherming van de persoonlijke levenssfeer van de in het persoonsregister opgenomen cliënten van Vitales. Artikel 1. Algemene en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk

Nadere informatie

Reglement bescherming persoonsgegevens Lefier StadGroningen

Reglement bescherming persoonsgegevens Lefier StadGroningen Reglement bescherming persoonsgegevens Lefier StadGroningen Voor het verhuren van een woning en het leveren van overige diensten heeft Lefier StadGroningen gegevens van u nodig. De registratie en verwerking

Nadere informatie

Factsheet Omgaan met persoonsgegevens met oog op Wpb, Wmo 2015 en Jeugdwet

Factsheet Omgaan met persoonsgegevens met oog op Wpb, Wmo 2015 en Jeugdwet Factsheet Omgaan met persoonsgegevens met oog op Wpb, Wmo 2015 en Jeugdwet Vanaf januari 2015 krijgt u als zorgaanbieder te maken met nieuwe regelgeving met het oog op uitwisseling van uw cliëntgegevens

Nadere informatie

1. Begrippen. 2. Doel van het Cameratoezicht

1. Begrippen. 2. Doel van het Cameratoezicht Protocol cameratoezicht Stichting Stadgenoot Dit protocol is van toepassing op alle persoonsgegevens, verkregen door middel van het gebruik van videocamera s door stichting Stadgenoot (Sarphatistraat 370

Nadere informatie

de Wet & het College Bescherming Persoonsgegevens Anne Smeets

de Wet & het College Bescherming Persoonsgegevens Anne Smeets de Wet & het College Bescherming Persoonsgegevens Anne Smeets Parafrase op J.H. Donner Maar het kan toch niet zo zijn - want dat is de afweging die je maakt - dat je de behoefte aan privacy van velen desnoods

Nadere informatie

Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW Aramis.jeanpierre@duo.nl Functionaris voor de gegevensbescherming (FG)

Nadere informatie

Privacy reglement Payroll Select Nederland B.V.

Privacy reglement Payroll Select Nederland B.V. Privacy reglement Payroll Select Nederland B.V. Inleiding Per 1 september 2001 is er een nieuwe privacywet in werking getreden: de Wet Bescherming Persoonsgegevens (WBP). Deze wet is ingesteld om de privacy

Nadere informatie

Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014

Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014 Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014 Inleiding en doel In het Dr. Leo Kannerhuis worden persoonsgegevens van zowel patiënten als van medewerkers verwerkt. Het gaat daarbij vaak om

Nadere informatie

Privacy Reglement. Inhoud

Privacy Reglement. Inhoud Inhoud 1. Begripsbepalingen 1 2. Reikwijdte 1-2 3. Doel. 2 4. Categorieën van personen over wie gegevens in de registratie worden opgenomen 2 5. Vertegenwoordiging 2 6. Soorten van gegevens die in de registratie

Nadere informatie

Privacy. Informatie. www.arienszorgpalet.nl

Privacy. Informatie. www.arienszorgpalet.nl Privacy Informatie www.arienszorgpalet.nl Inleiding Over ons Over AriënsZorgpalet AriënsZorgpalet is een toonaangevende zorginstelling in Enschede. Met 900 medewerkers en 350 vrijwilligers bieden we onze

Nadere informatie

Privacy Policy Oude Dibbes

Privacy Policy Oude Dibbes Privacy Policy Oude Dibbes 22-08-15 pagina 1 van 6 Inhoudopgave 1 Privacy Policy... 3 1.1 Oude Dibbes en derden... 3 1.2 Welke informatie wordt door Oude Dibbes verwerkt en voor welk doel?... 3 1.2.1 Klantgegevens...

Nadere informatie

Privacyreglement. Thuiszorg De Zorgster

Privacyreglement. Thuiszorg De Zorgster Privacyreglement Thuiszorg De Zorgster Doel van het reglement De Wet Bescherming Persoonsgegevens vereist dat persoonsgegevens in overeenstemming met de wet op behoorlijke en zorgvuldige wijze dienen te

Nadere informatie

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016 PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste

Nadere informatie

Privacyreglement (VVZ).docx

Privacyreglement (VVZ).docx Privacyreglement (VVZ).docx inhoudsopgave toelichting reglement oplegger... 1 toelichting formulier... 2 1. Titel... 2 oplegger 1. Status vast te stellen Versie 1.0 Printdatum 14 augustus 2014 2. Documenteigenaar

Nadere informatie

PRIVACYREGLEMENT. Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht. Inhoudsopgave

PRIVACYREGLEMENT. Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht. Inhoudsopgave Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht PRIVACYREGLEMENT Inhoudsopgave Algemene bepalingen Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Rechtmatige verwerking persoonsgegevens

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Dit is een voorbeeld van een Bewerkersovereenkomst zoals gegenereerd met de Bewerkersovereenkomst generator van ICTRecht: https://ictrecht.nl/diensten/juridische-generatoren/bewerkersovereenkomstgenerator/

Nadere informatie

1. Inleiding... 2. 2 Wat zijn persoonsgegevens... 2 2.1 Definitie... 2 2.2 Bijzondere persoonsgegevens... 2 2.3 Beeldmateriaal...

1. Inleiding... 2. 2 Wat zijn persoonsgegevens... 2 2.1 Definitie... 2 2.2 Bijzondere persoonsgegevens... 2 2.3 Beeldmateriaal... Privacy en internet Bestuur/CSL februari 2008 Inhoud 1. Inleiding... 2 2 Wat zijn persoonsgegevens... 2 2.1 Definitie... 2 2.2 Bijzondere persoonsgegevens... 2 2.3 Beeldmateriaal... 2 3 Verplichtingen

Nadere informatie

Privacyreglement. Care2manage

Privacyreglement. Care2manage Privacyreglement Care2manage Versie 22 februari 2015 Inhoudsopgave Privacyreglement Care2manage 1. Paragraaf 1: Algemene Bepalingen..3 2. Paragraaf 2: Doel.4 3. Paragraaf 3: Rechtstreekse toegang tot en

Nadere informatie

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Privacy Gedragscode Keurmerk RitRegistratieSystemen Pagina 1 van 5 Privacy Gedragscode Keurmerk RitRegistratieSystemen Inleiding Dit document dient als bijlage bij alle systemen waarbij het Keurmerk RitRegistratieSystemen (RRS) wordt geleverd en is hier

Nadere informatie

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman

Privacyreglement BON-holding BV. Zuidbroek, 10 oktober 2013 Auteur: P. Bouman Privacyreglement BON-holding BV Zuidbroek, 10 oktober 2013 Auteur: P. Bouman I Algemene bepalingen Artikel 1 Begripsbepaling In deze gedragscode wordt in aansluiting en aanvulling op de Wet bescherming

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus 9520 2300 RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus 9520 2300 RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Universiteit Leiden Centrum voor

Nadere informatie