Bij werkzaamheden die door financiële ondernemingen

Maat: px
Weergave met pagina beginnen:

Download "Bij werkzaamheden die door financiële ondernemingen"

Transcriptie

1 Artikel Uitbesteding bij financiële ondernemingen Wet- & regelgeving en de IT-auditor (deel 2 Wbp) Jeroen van Puijenbroek Aan uitbesteding kleven risico s. Daarom worden op grond van wet- en regelgeving eisen gesteld aan uitbesteding bij financiële ondernemingen. In het eerste deel van dit artikel 1 is ingegaan op de Wet financieel toezicht (Wft), de eisen die de Wft stelt aan uitbesteding door financiële ondernemingen en de rol die de IT-auditor kan spelen ten aanzien van de naleving van de Wft. Nu komt aan bod wat de Wet bescherming persoonsgegevens (Wbp) voor IT-auditor betekent. mr. drs. J.P.M. (Jeroen) van Puijenbroek RE werkt als senior auditor bij de Audit Rabobank Groep van Rabobank Nederland. Van Puijenbroek is voornamelijk werkzaam op het gebied van het ontwikkelen en (mede)uitvoeren van compliance audits. De auteur heeft het artikel op persoonlijke titel geschreven. Bij werkzaamheden die door financiële ondernemingen worden uitbesteed en die onder de definitie van artikel 1 Wft i vallen, zal veelal sprake zijn van verwerking van persoonsgegevens. Dit betekent dat naast de Wft ook de Wbp van toepassing is en dat moet worden voldaan aan de daaruit voortvloeiende eisen. Daarom wordt in dit tweede deel van het artikel ingegaan op de uitgangspunten en structuur van de Wbp, de Wbp en uitbesteding en zal per fase van het uitbestedingproces worden aangegeven met welke bepalingen uit de Wbp de IT-auditor rekening moet houden. Uitgangspunten en structuur Wbp Uitgangspunten De Wbp is op 1 september 2001 in werking getreden en stelt eisen aan de wijze waarop organisaties mogen omgaan met persoonsgegevens. De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Hierbij zijn persoonsgegevens gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon (de betrokkene). Onder verwerking wordt iedere handeling met betrekking tot een persoonsgegeven verstaan, vanaf het moment van verzamelen tot en met het verwijderen en vernietigen. De Wbp is dus bijvoorbeeld niet alleen van toepassing op alle gegevens die over een specifieke klant zijn opgenomen in het CRM-systeem (Customer Relationship Management), maar ook op de aantekeningen van de accountmanager die nog in het CRM-systeem moeten worden opgenomen, net als het papieren dossier zolang dit een gestructureerd geheel vormt (bijvoorbeeld op naam is gearchiveerd). Het uitgangspunt van de Wbp is dat er, met uitzondering van de verwerking van bijzondere gegevens (zie hierna onder Structuur ), geen verbod is op de verwerking van persoonsgegevens. Persoonsgegevens mogen worden verwerkt, zolang wordt voldaan aan de voorwaarden die de wet stelt aan een rechtmatige verwerking. Structuur De inhoudelijke regels die van toepassing zijn op de verwerking van persoonsgegevens, zijn onder te verdelen in drie groepen ( lagen ) met wettelijke bepalingen 2, te weten: 20 de EDP-Auditor nummer

2 eerste laag: de algemene bepalingen; tweede laag: de specifieke bepalingen over het verwerken van bijzondere gegevens; derde laag: de specifieke bepalingen over doorgifte van gegevens naar niet-eu-landen. Afhankelijk van de precieze vorm van het verwerken en de soort gegevens kunnen tegelijkertijd verschillende groepen met bepalingen uit de Wbp van toepassing zijn. Daarbij zijn de algemene bepalingen altijd van toepassing en andere bepalingen alleen in bepaalde gevallen. Voor het verwerken van gezondheidsgegevens (= bijzonder gegeven) zijn zowel de algemene bepalingen (laag 1) als de bepalingen met betrekking tot bijzondere gegevens (laag 2) van toepassing. In figuur 1 zijn de wettelijke bepalingen per laag weergegeven. Hierna wordt kort ingegaan op een aantal bepalingen van de in figuur 1 weergegeven lagen. In de paragraaf Wbp en fase uitbesteding van dit artikel wordt uitgebreider ingegaan op de diverse bepalingen. Eerste laag: algemene bepalingen Persoonsgegevens mogen slechts worden verwerkt als daarbij wordt voldaan aan de voorwaarden die de Wbp stelt aan een rechtmatige verwerking. Als algemeen uitgangspunt geldt daarbij dat persoonsgegevens in overeenstemming met de wet (niet alleen de Wbp, maar alle relevante wet- en regelgeving) én op een behoorlijke en zorgvuldige wijze moeten worden verwerkt. Bij het beoordelen van een rechtmatige gegevensverwerking spelen de door de verantwoordelijke (lees: financiële onderneming) geformuleerde doeleinden voor de gegevens- Figuur 1 Lagen Wbp 21 de EDP-Auditor nummer

3 verwerking een cruciale rol. De verplichting tot specificatie van het doel van de gegevensverwerking is neergelegd in artikel 7 Wbp. Die bepaling eist: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven, gerechtvaardigde doeleinden verzameld. De limitatief opgenomen verwerkingsgronden in artikel 8 Wbp zijn een invulling van welke doeleinden gerechtvaardigd zijn. Het doelbindingsbeginsel verbiedt verwerkingen van persoonsgegevens die onverenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen. De geformuleerde doeleinden bepalen ook welke gegevens mogen worden verwerkt (terzake dienend en niet bovenmatig) en hoe lang deze mogen worden bewaard. In figuur 2 is de relatie tussen het voor het verzamelen omschreven doel en de andere algemene bepalingen weergegeven. Een andere algemene bepaling is de meldingsplicht. Met uitzonderingen van de gegevensverwerkingen die voldoen aan de eisen van het Vrijstellingsbesluit Wbp ii dienen alle gegevensverwerkingen vóór de aanvang van de gegevensverwerkingen te worden gemeld bij bij het College Bescherming Persoonsgegevens (CBP, de nationale toezicht houder). De melding bestaat onder meer uit de doeleinden, categorieën van betrokkenen en categorieën van gegevens en categorieën van ontvangers. 3 De gegevensverwerkingen in het kader van de financiële dienstverlening zijn in principe meldingsplichtig. De door de financiële ondernemingen gedane meldingen zijn te raadplegen in het openbare meldingenregister op de website van het CBP (www.cbpweb.nl). Tweede laag: specifieke bepalingen over verwerken bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk hande- Figuur 2 Spilfunctie artikel 7 Wpb (welbepaald doel) binnen hoofdstuk 2 Wbp 22 de EDP-Auditor nummer

4 len waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Het verwerken van deze persoonsgegevens is in principe verboden, tenzij wordt voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden. Een verzekeringsmaatschappij mag bijvoorbeeld gezondheidsgegevens verwerken, voor zover dat noodzakelijk is voor: het beoordelen van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of de uitvoering van de verzekeringsovereenkomst. Derde laag: specifieke bepalingen over doorgifte naar niet-eu-land Persoonsgegevens mogen slechts worden doorgegeven naar een land buiten de EU, de zogenaamde derde landen, iii indien dat land een passend beschermingsniveau biedt. Voor een aantal landen heeft de Europese Commissie (EC) besloten dat een passend beschermingsniveau aanwezig is. De scope van zo n besluit kan per land verschillen. 4 Deze landen zijn Argentinië, Canada, Guernsey, Isle of Man, Verenigde Staten (voor zover de ontvangende partij de Safe Harbor Principles heeft onderschreven) en Zwitserland. Wanneer een land onvoldoende bescherming van persoonsgegevens biedt, is het gegevensverkeer niet uitgesloten, maar onderworpen aan aanvullende regels. Er kan worden voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden (bijvoorbeeld ondubbelzinnige toestemming van de betrokkene of noodzakelijk voor de uitoefening van een overeenkomst). Indien de uitzonderingsgronden niet van toepassing zijn, dan zal er een vergunning moeten worden aangevraagd bij de minister van Justitie voor de doorgifte van persoonsgegevens. In de paragraaf Wbp en fasen uitbesteding van dit artikel wordt ingegaan op de diverse bepalingen uit figuur 1. Op de bepaling informatieverstrekking aan de betrokkene wordt niet verder ingegaan, omdat het uitbesteden van gegevensverwerkingen voor deze bepaling niet leidt tot aanvullende verplichtingen voor de financiële onderneming. Naast de zojuist genoemde bepalingen zijn er in de Wbp ook bepalingen opgenomen over toezicht en sancties (hoofdstukken 9 en 10 Wbp). Deze blijven buiten beschouwing in dit artikel. Gedragscode Organisaties kunnen de (deels) open normen uit de Wbp in een gedragscode verder invullen en het CBP verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector waarin deze organisaties werkzaam zijn, een juiste uitwerking vormen van de Wbp of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens (hoofdstuk 3 Wbp). De Gedragscode Verwerking Persoonsgegevens Financiële instellingen (hierna kortweg: gedragscode) van de Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars (VvV) bevat een dergelijke nadere uitwerking. De gedragscode draagt bij aan een grotere doorzichtigheid van het gebruik van persoonsgegevens in de financiële sector. De gedragscode is in 2003 door het CBP goedgekeurd en heeft een geldigheidsduur van vijf jaar. Medio 2008 is door het NVB en de VvV een gemoderniseerde tekst van de gedragscode naar het CBP gestuurd ter goedkeuring. Wbp en uitbesteding Relatie verantwoordelijke bewerker De verantwoordelijke is op grond van de Wbp degene die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt; in deze context is dat de financiële onderneming. De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. De serviceorganisatie verwerkt derhalve gegevens ten behoeve van de financiële onderneming, dat wil zeggen overeenkomstig diens instructie en diens (uitdrukkelijke) verantwoordelijkheid. Het is daarom de financiële onderneming die de doeleinden van de verwerking bij de serviceorganisatie bepaalt en beslist over het gebruik van de persoonsgegevens bij de serviceorganisatie. In geval van uitbesteding van (een deel van) de gegevensverwerking wordt veelal aangenomen dat de serviceorganisatie bewerker is in de zin van de Wbp. Wanneer de ontvangende partij zelf kan beslissen wat zij met de persoonsgegevens doet, is er geen sprake van gegevensverwerking door een bewerker maar van gegevensverstrekking aan een andere verantwoordelijke. Eerste laag: algemene bepalingen Naast de zojuist besproken definitie van bewerker zijn in de Wbp alleen in de eerste laag (Algemene bepalingen) expliciete eisen opgenomen ten aanzien van de bewerker, de serviceorganisatie: artikel 12 Wbp: Een ieder die handelt onder het gezag van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke en deze personen zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen ; artikel 14 Wbp bepaalt dat Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen. Dat wil niet zeggen dat de overige bepalingen (uit de lagen 1, 2 en 3), die rusten op financiële ondernemingen, niet van toepassing zijn op de serviceorganisatie. Zie daarvoor de volgende paragraaf Wbp en fasen uitbesteding. Toepassingsbereik Wbp Uitbesteding, oftewel outsourcing, moet niet worden verward met offshoring. Offshoring is het verplaatsen van 23 de EDP-Auditor nummer

5 bedrijfsactiviteiten naar lagelonenlanden of tax heavens. Dit kan plaatsvinden binnen de onderneming of door middel van uitbesteding. India is een land waar veel bedrijven hun IT-activiteiten aan uitbesteden. Maar er worden ook bedrijfsactiviteiten verplaatst ( geoffshored ) naar diverse landen die onlangs zijn toegetreden tot de Europese Unie, zoals Polen en Hongarije. 5 In dit artikel beperk ik mij tot uitbesteding. De Wbp is zowel van toepassing op uitbesteding naar in Nederland als in het buitenland gevestigde serviceorganisaties. De Wbp is namelijk van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van de verantwoordelijke in Nederland. Hieruit volgt dat het niet relevant is of de gegevensverwerking zelf daadwerkelijk plaatsvindt in Nederland. Het criterium is of er een vestiging van de verantwoordelijke in Nederland is en of er in het kader van de activiteiten van die vestiging persoonsgegevens worden verwerkt. Op het door de financiële onderneming verplaatste deel van haar IT-activiteiten naar het buitenland is, voor zover er tot individuele personen te herleiden gegevens worden verwerkt, de Wbp dus onverkort van toepassing. De daar verwerkte gegevens vinden immers plaats in het kader van bancaire activiteiten in Nederland. Dat betekent dat die verwerkingen wat betreft de privacybescherming onder het Nederlandse recht vallen. 6 Wbp en fasen uitbesteding In figuur 3 zijn de fasen van het uitbestedingproces weergegeven, met per fase de belangrijkste op te leveren producten. Voor meer informatie over de verschillende fasen van het uitbestedingproces wordt verwezen naar het eerder gepubliceerde artikel. Analysefase De eisen die de Wbp stelt aan de analysefase hebben betrekking op doelbinding, rechtmatige grondslag, kwaliteit en verbod verwerking bijzondere gegevens. Doelbinding en grondslag Persoonsgegevens worden voor een vooraf bepaald doel verzameld en kunnen vervolgens voor dat doel worden verwerkt. De doeleinden, waarvoor de van en over de klant verkregen persoonsgegevens in het kader van de financiële dienstverlening worden verwerkt, zijn opgenomen in de door de financiële onderneming gedane melding bij het CBP. Deze doeleinden zijn veelal afgeleid van de eerder besproken sectorale gedragscode. De doeleinden uit de gedragscode zijn: Figuur 3 Fasen uitbestedingsproces 24 de EDP-Auditor nummer

6 1) het beoordelen en accepteren van (potentiële) cliënten, het aangaan en uitvoeren van overeenkomsten met een betrokkene en het afwikkelen van het betalingsverkeer; 2) het verrichten van analyses van persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden; 3) het uitvoeren van (gerichte) marketingactiviteiten om een relatie met een betrokkene tot stand te brengen en/of met een cliënt in stand te houden dan wel uit te breiden; 4) het waarborgen van de veiligheid en integriteit van de sector, daaronder mede begrepen het bestrijden, voorkomen en opsporen van (pogingen tot) (strafbare) gedragingen die gericht zijn tegen de branche waar een financiële instelling deel van uitmaakt, de groep waartoe een financiële instelling behoort, de financiële instelling zelf, haar cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen; en 5) het voldoen aan wettelijke verplichtingen. Daarnaast zullen bij de meeste financiële ondernemingen de doeleinden ook nog apart in de algemene voorwaarden en/of in een privacystatement zijn opgenomen. Het verzamelen en vervolgens verder verwerken mag alleen wanneer de grondslag daarvoor in de Wbp kan worden gevonden. Hierbij kan worden gedacht aan de situatie dat het verwerken van persoonsgegevens noodzakelijk is in het kader van c.q. voortvloeit uit een overeenkomst met de klant, met toestemming van de betrokkene plaatsvindt, of noodzakelijk is voor het gerechtvaardigde belang van de financiële onderneming (bijvoorbeeld het verwerken van persoonsgegevens ten behoeve van direct marketing). De verwerking van de persoonsgegevens door de serviceorganisatie moet binnen de doelstelling én de grondslag vallen van de financiële onderneming die de gegevensverwerking uitbesteedt. De IT-auditor dient dit, in deze fase in een quality assurance-rol (QA-rol), vast te stellen. Zolang de financiële onderneming een rechtmatige grondslag heeft voor de verwerking, is het niet relevant of zij de gegevensverwerking zelf uitvoert, dan wel dat zij de verwerking uitbesteedt aan een serviceorganisatie. Kwaliteit De verwerking van persoonsgegevens moet voldoen aan kwaliteitseisen. Kwaliteit in de zin van de Wbp betekent niet alleen dat de gegevens juist en nauwkeurig zijn maar (vooral) ook dat de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig zijn, gelet op de doeleinden waarvoor ze werden verzameld of vervolgens worden verwerkt. In het kader van de uitbesteding van werkzaamheden betekent dit dat aan de serviceorganisatie niet méér persoonsgegevens mogen worden verstrekt door de financiële onderneming dan strikt noodzakelijk is voor de uitvoering van de aan haar uitbestede taak. Hierna volgen enkele voorbeelden. Medewerkers van een callcenter die voor een financiële onderneming klanten telefonisch benaderen (zogenaamde out- bound calls), hoeven geen inzage te hebben in de totale klantenportefeuille (afgenomen producten/diensten, saldistanden, kredietlimieten, et cetera) van de te bellen leads. Er kan worden volstaan met beperkte autorisatie op het betreffende productiesysteem. Bij een telefonische actie waarbij bestaande klanten met een doorlopende reisverzekering worden benaderd, om tegen aantrekkelijke voorwaarden het product doorlopende annuleringsverzekering af te nemen, hoeven deze callcentermedewerkers bijvoorbeeld slechts rechten te hebben op een (deel van) het verzekeringssysteem en niet tot bijvoorbeeld betaal-, spaar- en/of hypotheeksystemen. De IT-auditor stelt, in deze fase in een QA-rol, vast of de financiële organisatie niet méér gegevens wil gaan verstrekken aan de serviceorganisatie dan nodig is voor de uit te besteden werkzaamheden ( verstrekken houdt in dit geval ook in ter beschikking stellen ). Verbod verwerking bijzondere gegevens Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Het verwerken van deze persoonsgegevens is in principe verboden, tenzij wordt voldaan aan een van de in de Wbp opgenomen uitzonderingsgronden. Een verzekeringsmaatschappij mag bijvoorbeeld gezondheidsgegevens verwerken voor zover dat noodzakelijk is voor: het beoordelen van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of de uitvoering van de verzekeringsovereenkomst. Net als voor de rechtmatige grondslag is het niet van belang of de financiële onderneming zelf de bijzondere persoonsgegevens verwerkt of dit laat doen door een serviceorganisatie. Van belang is dat voor de financiële onderneming ten minste een van de uitzonderingsgronden op het verbod van het verwerken van bijzondere persoonsgegevens van toepassing is. Aan de serviceorganisatie worden in het geval van verwerking van bijzondere gegevens wel zwaardere beveiligingsmaatregelen vereist (zie ook hierna in de Contractfase ). Selectiefase Uitbesteding van gegevensverwerkingen vindt veelal plaats naar een in het buitenland gevestigde serviceorganisatie. De Wbp stelt in die gevallen niet alleen eisen aan de serviceorganisatie, maar ook aan het land waar de serviceorganisatie is gevestigd. Hierbij dient in de selectiefase rekening te worden gehouden. Persoonsgegevens mogen in principe slechts worden doorgegeven naar een land buiten de EU, indien dat land een passend beschermingsniveau biedt. Wanneer de serviceorganisatie in een land is gevestigd dat onvoldoende bescherming van persoonsgegevens biedt, zal er een vergunning moeten worden aangevraagd bij de minister van Justitie voor de doorgifte van persoonsgegevens. iv 25 de EDP-Auditor nummer

7 Het aanvragen van een dergelijke vergunning loopt via het CBP. Aan de vergunning worden nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de uitoefening van de daarmee verband houdende rechten te waarborgen. Deze waarborgen kunnen voortvloeien uit passende contractuele bepalingen die de financiële onderneming opneemt in een overeenkomst met de buitenlandse serviceorganisatie. De Europese Commissie heeft modelcontracten (standard contractual clauses) goedgekeurd, die voldoende waarborgen bieden. Een van deze beschikkingen heeft betrekking op de doorgifte tussen een verantwoordelijke, gevestigd binnen de Europese Unie (EU), en een bewerker, gevestigd buiten de EU. 7 Voor een rechtmatige gegevensverwerking zal de vergunning moeten zijn verleend, voordat met de transitiefase wordt begonnen. De IT-auditor stelt, in deze fase in een QA-rol, vast of de vergunning (tijdig) is aangevraagd. Bij het aanvragen van een vergunning moet rekening worden gehouden met het feit dat de termijn van acht weken veelal niet wordt gehaald, die ligt eerder tegen de zes maanden. 8 Contractfase De serviceorganisatie heeft een eigen verantwoordelijkheid om te voldoen aan de Wbp. In de meeste bewerkercontracten is een algemene passage opgenomen in de trant van: Leverancier zal persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met toepasselijke weten regelgeving inzake de bescherming van persoonsgegevens alsmede de toepasselijke privacyreglementen van de financiële onderneming X verwerken. Op grond van de Wbp dient echter een aantal onderwerpen expliciet in de overeenkomst te zijn opgenomen en daarnaast wordt geadviseerd een aantal andere onderwerpen nader te beschrijven. Deze worden nu beschreven. Beveiliging/geheimhouding De financiële onderneming die een serviceorganisatie inschakelt, moet er voor zorgen dat de serviceorganisatie passende technische en organisatorische beveiligingsmaatregelen treft ter beveiliging van de persoonsgegevens. Om te voorkomen dat de serviceorganisatie een andere betekenis geeft aan passend, met alle nadelige gevolgen van dien, wordt geadviseerd dat de financiële onderneming in de overeenkomst of in een bijlage invulling geeft aan wat zij onder passend verstaat. Hierbij kan worden gedacht aan het classificeren van de gegevensverwerking en het aan de hand hiervan opnemen van een overzicht van verwachte technische en organisatorische maatregelen op basis van, bijvoorbeeld, de in de Code voor informatiebeveiliging of de Achtergrondstudies en verkenningen 23 van het CBP. 9 Naast de verplichting passende beveiligingsmaatregelen te treffen, dient in de overeenkomst ook te worden opge nomen dat de financiële onderneming het recht heeft het overeengekomen beveiligingsniveau op naleving te (laten) controleren, dan wel dat de serviceorganisatie wordt verplicht dat zij een onafhankelijke deskundige (bijvoorbeeld een IT-auditor) een audit laat uitvoeren naar de naleving van de in de overeenkomst overeengekomen beveiligingseisen. Voorts dient in het kader van de vertrouwelijkheid in de overeenkomst te worden opgenomen dat de door de serviceorganisatie in te zetten medewerkers de geheimhoudingsplicht uit de Wbp onderschrijven. Doelbinding Geadviseerd wordt om in de overeenkomst op te nemen dat de serviceorganisatie de persoonsgegevens uitsluitend mag verwerken ten behoeve van de door de financiële onderneming vastgestelde doeleinden en de gegevens niet voor eigen gebruik mag verwerken. Bewaartermijn Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden. Geadviseerd wordt om in de overeenkomst op te nemen dat de serviceorganisatie de persoonsgegevens niet langer onder zich houdt dan voor het uitvoeren van de overeengekomen verplichtingen redelijkerwijs noodzakelijk is. Daarnaast is het advies de persoonsgegevens, inclusief gemaakte kopieën, onmiddellijk na volledige nakoming van genoemde verplichtingen, terug te geven aan de financiële onderneming, dan wel, na verkregen toestemming, te vernietigen. Rechten betrokkene De betrokkene heeft het recht op inzage, verwijdering, verbetering, et cetera van de over hem verwerkte persoonsgegevens. Voor de betrokkene verandert er niets door het uitbesteden van de gegevensverwerking. Hij dient zijn verzoek gewoon in bij de verantwoordelijke, de financiële onderneming, en deze geleidt het verzoek door naar de serviceorganisatie. Om te voorkomen dat de serviceorganisatie niet wil meewerken of dit beschouwt als aanvullende dienstverlening (lees: hier extra inkomsten voor wil hebben) wordt geadviseerd om in het contract op te nemen dat de serviceorganisatie mee moet werken aan het uitvoeren van een verzoek tot inzage, verwijdering, verbetering, et cetera en dat dit behoort tot de reguliere werkzaamheden. Het is verstandig om hier een periode aan te verbinden. De financiële onderneming dient immers binnen vier weken een volledig overzicht van de verwerkte persoonsgegevens aan de betrokkene mede te delen. Onderaannemerschap Serviceorganisaties besteden soms delen van hun eigen werkzaamheden weer uit aan andere serviceorganisaties ( onderaannemerschap ). Om in control te blijven op de uitbestede werkzaamheden, is het advies dat de financiële onderneming dit in het contract regelt. Hierbij kan worden gedacht om in het contract op te nemen dat de serviceorganisatie niet zonder toestemming van de financiële onderneming een andere serviceorganisatie mag inschakelen. Of dat in het contract wordt opgenomen dat de serviceorganisatie verplicht is, 26 de EDP-Auditor nummer

8 indien zij een andere serviceorganisatie inschakelt, schriftelijk vast te leggen dat alle op haar rustende verplichtingen (zoals op het gebied van beveiliging, geheimhouding, doelbinding, et cetera) onverkort gelden voor de ingeschakelde, andere serviceorganisaties en dat de uitbestedende serviceorganisatie de naleving hierop aantoonbaar controleert. Transitiefase In de transitiefase gaan de systemen en middelen over van de financiële ondernemingen naar de serviceorganisatie. Na de overgang is op grond van de Wbp v voor de IT-auditor een rol weggelegd in bijvoorbeeld het beoordelen of de persoonsgegevens nog steeds betrouwbaar zijn en of de autorisaties goed zijn ingeregeld. Wat de IT-auditor allemaal precies kan/ moet controleren, is afhankelijk van wat er allemaal overgaat naar de serviceorganisatie. Worden bijvoorbeeld de dozen en de personeelsleden integraal verplaatst naar de serviceorganisatie, of vindt er alleen een dataconversie plaats naar een bestaande applicatie/netwerkcombinatie bij de serviceorganisatie, of worden de gegevens geconverteerd naar een nieuwe applicatie? De verantwoordelijke heeft vóór de aanvang van de gegevensverwerking, deze destijds gemeld bij het CBP. Naast de doeleinden, categorieën van betrokkenen en categorieën van gegevens die daarop betrekking hebben, zijn onder meer ook de categorieën van ontvangers gemeld bij het CBP. Nu de financiële onderneming (een deel van) deze gegevensverwerking uitbesteedt, kan het zijn dat de melding bij het CBP dient te worden aangepast. De bewerker is een categorie van ontvangers. In het meldingsprogramma van het CBP bestaat de mogelijkheid om elke individuele bewerker met naam en toenaam op te nemen. De financiële onderneming heeft ook de mogelijkheid om te kiezen voor een algemene omschrijving bij ontvangers. De ING Bank vermeldt bijvoorbeeld expliciet bewerkers als categorie van ontvangers, Fortis Bank geeft een beperkte lijst van bewerkers (met naam genoemd) en de Rabobank en de ABN AMRO Bank hanteren beide dezelfde ruime omschrijving van een categorie van ontvangers waar bewerkers onder vallen. Namelijk, Personen en instanties die betrokken zijn bij de financiële dienstverlening, waaronder onderdelen van de groep en andere financiële instellingen wereldwijd. 10 Wanneer de financiële onderneming bij de initiële melding hierop niet of mogelijk onvolledig (denk aan Fortis Bank) heeft geanticipeerd, dient zij, binnen een jaar na de overgang van de verwerking naar de serviceorganisatie, de wijziging door te geven aan het CBP. Bij een compliance audit van de uitbestede gegevensverwerking dient de IT-auditor te controleren of in de melding bij het CBP de serviceorganisatie op de een of andere manier als ontvanger is opgenomen. Wanneer dit niet het geval is, wordt geadviseerd om, gezien de onderhoudbaarheid, aan te bevelen dat de serviceorganisatie c.q. bewerker als categorie van ontvanger wordt opgenomen (in meer of mindere mate expliciet) in de te wijzigen melding. Contractmanagement Ten aanzien van deze fase hebben de normen uit de Wbp betrekking op het beoordelen van de uitbestede werkzaamheden. Hiervoor is al aangegeven dat de financiële onderneming moet toezien op de naleving van de beveiligingsmaatregelen. Van de financiële onderneming wordt niet verlangd dat zij de informatiesystemen van de serviceorganisatie fysiek of technisch controleert. Afhankelijk van wat is overeengekomen met de serviceorganisatie, zal het toezien zich manifesteren in: 1) het uitvoeren van een audit naar de naleving van het overeengekomen beveiligingsniveau, hetgeen kan worden gedaan door de eigen IT-auditors van de financiële onderneming, of door in opdracht van de financiële onderneming ingehuurde externe IT-auditors; 2) het steunen op een door een onafhankelijke partij uitgebrachte TPM (third party mededeling) naar de naleving van het overeengekomen beveiligingsniveau, in opdracht van de bewerker (serviceorganisatie). Hierbij dient te worden opgemerkt dat niet zonder meer kan worden gesteund op de in het kader van SOX uitgebrachte SAS 70-verklaringen. In tegenstelling tot veel andere TPM s is een SAS70-verklaring duidelijk niet gebaseerd op een vooraf bepaald vast normenkader. De serviceorganisatie heeft als opdrachtgever van een SAS 70-onderzoek in theorie een zeer grote vrijheid in het bepalen welke onderdelen (beheersmaatregelen) van de eigen organisatie onderzocht gaan worden. Vervolgens geeft een onafhankelijke accountant een SAS 70-verklaring bij deze beschreven beheersmaatregelen. Vanuit het oogpunt van de financiële onderneming is deze vrijheid een risico, want uiteindelijk is zij de gebruiker van de SAS 70-verklaring. Het feit dat een onderneming geen invloed heeft op de te beoordelen beheersmaatregelen, kan ertoe leiden dat een SAS70-verklaring minder bruikbaar wordt. De vraag rijst in hoeverre de onderneming met het verkrijgen van een SAS70-verklaring feitelijk in control is over de uitbestede activiteit. 11 De IT-auditor dient te beoordelen of, en zo ja op welke wijze de financiële onderneming heeft gecontroleerd dat het overeengekomen niveau van beveiliging door de serviceorganisatie wordt nageleefd. Conclusie Audits naar rechtmatige gegevensverwerkingen in geval van uitbesteding door een financiële onderneming zijn compliance audits waarbij de open normen van de Wbp door de IT-auditor moeten worden geïnterpreteerd. Deze open normen zijn deels ingevuld door de Gedragscode Verwerking Persoonsgegevens Financiële instellingen, eigen privacyreglementen van financiële ondernemingen, uitspraken van het CBP en jurisprudentie. Echter, voor een groot aantal bepalingen geldt dat er nog ruimte is voor interpretatie. Dit betekent dat de IT-auditor juridisch onderlegd moet zijn of in zijn auditteam over juridische kennis moet kunnen beschikken. 27 de EDP-Auditor nummer

9 Noten i Uitbesteden (art. 1 lid 1. Wft): het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: a) die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of b) die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan. ii In het Vrijstellingsbesluit Wbp zijn 42 veelvoorkomende soorten gegevensverwerkingen (onder meer sollicitatie, personeelsadministratie, salarisadministratie, debiteuren en crediteuren, et cetera) opgenomen, waarvan het bestaan in het algemeen mag worden verondersteld en die daarom niet te hoeven worden gemeld. Per soort verwerking worden in het Vrijstellingsbesluit eisen gesteld aan de doeleinden van de gegevens, de verwerkte gegevens, de betrokkenen, de ontvangers en de bewaartermijn van de gegevens. iii Derde landen zijn alle landen buiten de Europese Unie met uitzondering van de landen van de Europese Economische Ruimte (EER). Naast de landen die lid zijn van de Europese Unie zijn dat Noorwegen, Liechtenstein en IJsland. Deze landen hebben zich verplicht Richtlijn 95/94/EG te implementeren in nationale wetgeving. iv Voor het verplaatsen van bedrijfsactiviteiten is geen van de in artikel 77 lid 1 Wbp opgenomen uitzonderingsgronden van toepassing. De redenen voor uitbesteding zijn van bedrijfseconomische aard, wat niet onder een van de uitzonderingsgronden valt. v In tegenstelling tot het in deel I van dit artikel vermelde, is het hier vermelde ook van toepassing op grond van de Wft. Literatuurverwijzingen 1 Puijenbroek, J.P.M. van, Uitbesteding bij financiële ondernemingen; Wet- & regelgeving en de IT-auditor (deel 1 Wft), de EDP-Auditor, jaargang 17, 2008, nr Gardeniers, H.J.M en E. Schreuders, De Wet bescherming persoonsgegevens, in: S. M. Huydecoper, Wet bescherming persoonsgegevens en ICT Monografieën Recht en Informatietechnologie (deel 4), Sdu Uitgevers, Den Haag, 2006, p Zie ook: J.P.M. van Puijenbroek, De Wbp en personeelsverwerkingen - Een ondergeschoven kindje bij Compliance onderzoeken, de EDP- Auditor, jaargang 14, 2005, nr Puijenbroek, J.P.M. van, Gegevensverkeer met landen buiten de Europese Unie uit: Cuijpers, C.M.K., e.a., Privacy concerns; het delen van persoonsgegevens bij fusies overnames en binnen concerns, Elsevier, Jongen, H.D.J., Offshoring enkele aandachtspunten, Computerrecht, 2005, 31, p Puijenbroek, J.P.M. van, Verstrekking van persoonsgegevens in het bedrijfsleven, in: S. M. Huydecoper, Wet bescherming persoonsgegevens en ICT Monografieën Recht en Informatietechnologie (deel 4), Sdu Uitgevers, Den Haag, 2006, p Beschikking 2001/497/EG, PbEG 2001 L 181/19: deze beschikking heeft betrekking op de doorgiften tussen twee verantwoordelijken waarvan er een binnen en een buiten de EU is gevestigd. Beschikking 2002/16/EG, PbEG 2002 L6/52 (waar in de Wbp wordt gesproken van bewerker spreken de Europese Richtlijn en de daarop gebaseerde beschikkingen van verwerker): deze beschikking heeft betrekking op de doorgifte tussen een verantwoordelijke, gevestigd binnen de EU, en een bewerker, gevestigd buiten de EU. Beschikking 2004/915/EG, PbEG 2004 L385/74: Deze beschikking heeft betrekking over een door het bedrijfsleven opgesteld modelcontract voor de doorgifte tussen twee verantwoordelijken, waarvan er één gevestigd is in een land binnen de EU en de andere partij buiten de EU gevestigd is. 8 Terstegge, J., Binding corporate rule, the data transfer solution, Data Protection Law & Policy, Blarkom, G.W. van en J.J. Borking, Beveiling Persoonsgegevens, Achtergrondstudies en Verkenningen 23, Registratiekamer, Den Haag, april Zie voor de volledige meldingen het meldingenregister op de website van het CBP (www.cbpweb.nl) onder openbare registers. Meldingsnummers: ING Bank ( ), Fortis Bank ( ), ABN AMRO Bank ( ) en Rabobank ( ). 11 Overhand H.C. en N.P.A.H. Lamb, Outsourcing en SAS70, is beheersing van risico s mogelijk?, Bank en effectenbedrijf, april 2006, p de EDP-Auditor nummer

Bij werkzaamheden die door financiële ondernemingen

Bij werkzaamheden die door financiële ondernemingen Artikel Uitbesteding bij financiële ondernemingen Wet- & regelgeving en de IT-auditor (deel 2 Wbp) Jeroen van Puijenbroek Aan uitbesteding kleven risico s. Daarom worden op grond van wet- en regelgeving

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1. Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking

Nadere informatie

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare

Nadere informatie

8.50 Privacyreglement

8.50 Privacyreglement 1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben

Nadere informatie

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacyreglement QPPS LIFETIMEDEVELOPMENT QPPS LIFETIMEDEVELOPMENT treft hierbij een schriftelijke regeling conform de Wet Bescherming Persoonsgegevens voor de verwerking van cliëntgegevens. Vastgelegd

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE IN AANMERKING NEMENDE: dat bij de Stichting Eduroute verschillende educatieve distributeurs zijn aangesloten; dat deze educatieve distributeurs

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACY REGLEMENT Algemene bepalingen Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2 Gezondheidsgegevens / Bijzondere

Nadere informatie

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Pagina 1 van 7 Privacyreglement Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Inhoudsopgave Hoofdstuk 1: Algemene bepalingen artikel 1: Begripsomschrijvingen artikel 2: Reikwijdte artikel

Nadere informatie

Privacyreglement KOM Kinderopvang

Privacyreglement KOM Kinderopvang Privacyreglement KOM Kinderopvang Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van KOM Kinderopvang. 1. Algemene bepalingen & begripsbepalingen

Nadere informatie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)

Nadere informatie

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN 1. Begripsbepalingen. Persoonsgegevens; Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens Persoonsgegevens

Nadere informatie

Privacyreglement. Algemene bepalingen. Doelstelling

Privacyreglement. Algemene bepalingen. Doelstelling Doelstelling Privacyreglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing

Nadere informatie

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Informatie over privacywetgeving en het omgaan met persoonsgegevens Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over

Nadere informatie

Privacy reglement. Inleiding

Privacy reglement. Inleiding Privacy reglement Inleiding De Wet bescherming persoonsgegevens (WBP) vervangt de Wet persoonsregistraties (WPR). Daarmee wordt voldaan aan de verplichting om de nationale privacywetgeving aan te passen

Nadere informatie

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACYREGLEMENT 1. Begripsbepalingen 1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Zorggegevens: persoonsgegevens die direct of indirect

Nadere informatie

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming

Nadere informatie

Privacyreglement Kindertherapeuticum

Privacyreglement Kindertherapeuticum 1. Begripsbepalingen Binnen de Wet Bescherming Persoonsgegevens (WBP) wordt een aantal begrippen gehanteerd. In onderstaande lijst staat een uitleg van de begrippen. 1.1 Persoonsgegevens Elk gegeven betreffende

Nadere informatie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Gedragscode voor Onderzoek & Statistiek Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Inhoudsopgave 1. Considerans...3 2. Begripsbepaling...3 3. Omschrijving van de sector en toepassingsgebied...4

Nadere informatie

Privacyreglement Stichting Peuterspeelzalen Steenbergen

Privacyreglement Stichting Peuterspeelzalen Steenbergen Privacyreglement Stichting Peuterspeelzalen Steenbergen 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het betreft hier

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting

Nadere informatie

PRIVACYREGLEMENT. Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht. Inhoudsopgave

PRIVACYREGLEMENT. Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht. Inhoudsopgave Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht PRIVACYREGLEMENT Inhoudsopgave Algemene bepalingen Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Rechtmatige verwerking persoonsgegevens

Nadere informatie

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel...

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel... PRIVACYREGLEMENT REGIORECHT ANTI-FILESHARINGPROJECT INHOUD Inleiding, toelichting... 2 Algemene bepalingen... 2 Artikel 1: Begripsbepalingen... 2 Artikel 2: Reikwijdte... 3 Artikel 3: Doel... 3 Rechtmatige

Nadere informatie

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen Privacyreglement verwerking persoonsgegevens ROC Nijmegen Laatstelijk gewijzigd in april 2014 Versie april 2014/ Voorgenomen vastgesteld door het CvB d.d. 12 juni 2014 / Instemming OR d.d. 4 november 2014

Nadere informatie

Privacyreglement cliënten SIG

Privacyreglement cliënten SIG Privacyreglement cliënten SIG Inhoudsopgave Algemene bepalingen Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Rechtmatige verwerking persoonsgegevens Art 4. Voorwaarden voor rechtmatige verwerking

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: vast te stellen de volgende Regeling Wet bescherming persoonsgegevens Teylingen

Nadere informatie

Wet bescherming persoonsgegevens Pagina 1

Wet bescherming persoonsgegevens Pagina 1 Wet bescherming persoonsgegevens Wet bescherming persoonsgegevens te Huizen Erkend gastouderbureau Houder: dhr. A. Jongsma Laatst gewijzigd op: 10 mei 2009. Wet bescherming persoonsgegevens Pagina 1 Inhoudsopgaaf:

Nadere informatie

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland AVKV/Protocol WBP (versie 01-12-2010) Pagina 1 Inhoud : 1. Voorwoord 2. Beknopte beschrijving van de Wet bescherming persoonsgegevens

Nadere informatie

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp)

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) 1. Begripsbepaling 1.1. Persoonsgegevens Alle gegevens die herleidbaar zijn tot een individuele natuurlijke persoon. 1.2. Zorggegevens

Nadere informatie

Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP.

Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen WBP. PRIVACYREGLEMENT PHH ACADEMIE Doel van het reglement De Wet Bescherming Persoonsgegevens vereist dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze dienen te worden

Nadere informatie

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Dit reglement bevat, conform de wet bescherming persoonsgegevens, regels voor een zorgvuldige omgang met het verzamelen en verwerken

Nadere informatie

Privacyreglement van de Stichting Welzijnswerk. inzage-exemplaar voor klanten

Privacyreglement van de Stichting Welzijnswerk. inzage-exemplaar voor klanten Privacyreglement van de Stichting Welzijnswerk inzage-exemplaar voor klanten Privacyreglement van de Stichting Welzijnswerk Reglement ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties

Nadere informatie

PRIVACYREGLEMENT BEST

PRIVACYREGLEMENT BEST PRIVACYREGLEMENT BEST BURGEMEESTER EN WETHOUDERS VAN BEST; gelet op de bepalingen van de Wet bescherming persoonsgegevens en artikel 4 van de Verordening verwerking persoonsgegevens gemeente Best; B E

Nadere informatie

Privacy Reglement - versie: januari 2016 Pagina 1 van 5

Privacy Reglement - versie: januari 2016 Pagina 1 van 5 Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van Kinderopvang Stichting Peuterspeelzalen Bergen op Zoom, Stichting Peuterspeelzalen

Nadere informatie

1.8. Betrokkene Degene over wie Persoonsgegevens in de Persoonsregistratie zijn opgenomen.

1.8. Betrokkene Degene over wie Persoonsgegevens in de Persoonsregistratie zijn opgenomen. Privacyreglement 1. Begripsbepalingen 1.1. Persoonsgegevens Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. 1.2. Persoonsregistratie Elke handeling of elk geheel van handelingen

Nadere informatie

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacyreglement Kraambureau Tilly Middendorp Vooraf De WBP (Wet Bescherming Persoonsgegevens) verplicht de instelling niet meer tot het maken van een privacyreglement. Dat betekent niet, dat het niet

Nadere informatie

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING Panta Rhei Zorg BV en Panta Rhei Beheer & Bewind BV kent een privacyreglement welke ten doel heeft het

Nadere informatie

Protocol bescherming persoonsgegevens van de Trimclub ABC

Protocol bescherming persoonsgegevens van de Trimclub ABC Protocol bescherming persoonsgegevens van de Trimclub ABC Inhoud 1. Voorwoord 2. Beknopte beschrijving van de Wet bescherming persoonsgegevens (WBP) 3. College Bescherming Persoonsgegevens (CBP) 4. Beknopte

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Werkvloertaal 26 juli 2015 Privacyreglement Werkvloertaal 26 juli 2015 Algemeen Privacyreglement Werkvloertaal Pagina 1 van 6 Algemeen Privacyreglement Werkvloertaal De directie van Werkvloertaal, overwegende, dat het in verband

Nadere informatie

Wijziging Historie Versie Gewijzigd door: Datum Aard van de wijziging 1.0 1.1 1.2 21-05-2008 18-11-2009 28-09-2011

Wijziging Historie Versie Gewijzigd door: Datum Aard van de wijziging 1.0 1.1 1.2 21-05-2008 18-11-2009 28-09-2011 TITEL: PenO privacyreglement Divers Auteur Versie 1.2 Documenteigenaar PenO Wijziging Historie Versie Gewijzigd door: Datum Aard van de wijziging 1.0 1.1 1.2 Barend Nieuwendijk 21-05-2008 18-11-2009 28-09-2011

Nadere informatie

Privacy protocol Sociaal domein gemeente Waterland 2015

Privacy protocol Sociaal domein gemeente Waterland 2015 GEMEENTEBLAD Officiële uitgave van gemeente Waterland. Nr. 6717 29 januari 2015 Privacy protocol Sociaal domein gemeente Waterland 2015 Het college van burgemeester en wethouders van Waterland, overwegende

Nadere informatie

Privacy Cookies. Privacyreglement. 1. Begripsbepalingen

Privacy Cookies. Privacyreglement. 1. Begripsbepalingen Privacy Cookies Om de dienstverlening te optimaliseren worden via de Website in beperkte mate zogenaamde cookies op uw computer geplaatst. Dit zijn kleine informatiebestandjes die opgeslagen worden op

Nadere informatie

Privacyreglement Divers

Privacyreglement Divers TITEL: PenO privacyreglement Divers Documenteigenaar Hoofd P&O Versie 3.0 Wijziging Historie Versie Opgesteld/gecontroleerd of gewijzigd door: 1.0 Sjannie van Hoorn 1.1 Barend Nieuwendijk 2.0 Sjannie van

Nadere informatie

Privacyreglement. Thuiszorg De Zorgster

Privacyreglement. Thuiszorg De Zorgster Privacyreglement Thuiszorg De Zorgster Doel van het reglement De Wet Bescherming Persoonsgegevens vereist dat persoonsgegevens in overeenstemming met de wet op behoorlijke en zorgvuldige wijze dienen te

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de

Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de Privacyreglement 1. Algemeen Dit reglement is een uitwerking van de Wet bescherming persoonsgegevens (Wbp). Hiermee wordt de privacy van medewerkers, stagiairs, vrijwilligers en (ouders 1 van) cliënten

Nadere informatie

Privacyreglement 2015

Privacyreglement 2015 Het doel van dit privacyreglement betreft een praktische uitwerking geven van de bepalingen van de Wet Bescherming Persoonsgegevens, verder te noemen Wbp. Inhoudsopgave 1. Begripsbepalingen p. 2 2. Reikwijdte

Nadere informatie

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit Privacyreglement van Dutch & Such ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming

Nadere informatie

PRIVACYREGLEMENT (vastgesteld: april 2009, aantal pagina s: 6)

PRIVACYREGLEMENT (vastgesteld: april 2009, aantal pagina s: 6) PRIVACYREGLEMENT (vastgesteld: april 2009, aantal pagina s: 6) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. 2. Zorggegevens:

Nadere informatie

Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom

Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom Privacyreglement Stichting Welzijn Ouderen Bergen op Zoom 1 Vooraf De Wet Bescherming Persoonsgegevens (WBP) vervangt de Wet PersoonsRegistraties (WPR). Daarmee wordt voldaan aan de verplichting om de

Nadere informatie

De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam;

De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam; Privacyreglement Stichting Advies en Klachtenbureau Jeugdzorg De bestuurder van de Stichting Advies en Klachtenbureau Jeugdzorg te Amsterdam; Overwegende Dat het Advies en Klachtenbureau Jeugdzorg tot

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid

Nadere informatie

22 oktober 2015. Privacyreglement Stichting Tuchtrecht Banken

22 oktober 2015. Privacyreglement Stichting Tuchtrecht Banken Inhoudsopgave Artikel 1: Definities... 3 Artikel 2: Reikwijdte Privacyreglement... 4 Artikel 3: Verantwoordelijke en bewerker... 4 Artikel 4: Doeleinden... 4 Artikel 5: Categorieën van Betrokkenen... 4

Nadere informatie

Reglement bescherming persoonsgegevens Lefier StadGroningen

Reglement bescherming persoonsgegevens Lefier StadGroningen Reglement bescherming persoonsgegevens Lefier StadGroningen Voor het verhuren van een woning en het leveren van overige diensten heeft Lefier StadGroningen gegevens van u nodig. De registratie en verwerking

Nadere informatie

Privacy reglement. Concreet PD

Privacy reglement. Concreet PD Privacy reglement Concreet PD Augustus 2010 1. Begripsbepalingen 1.1 Persoonsgegevens Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. 1.2 Persoonsregistratie Elke handeling of elk

Nadere informatie

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams Samen Doen worden uitgevoerd in opdracht van het O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning

Nadere informatie

Privacyreglement Stichting Combiwel Amsterdam

Privacyreglement Stichting Combiwel Amsterdam Privacyreglement Stichting Combiwel Amsterdam Versie 3.0 Vastgesteld 24-2-2015 Evaluatiedatum 1-3-2017 Houder Servicebureau, Adviseur beleid en kwaliteit Privacyreglement Combiwel versie 3.0 Pagina 1 van

Nadere informatie

Privacyreglement Isala voor patiënten en medewerkers

Privacyreglement Isala voor patiënten en medewerkers Privacyreglement Isala voor patiënten en medewerkers 1 Algemene bepalingen 1.1 Begripsbepalingen 1.1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Nadere informatie

Informatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden

Informatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden Informatiegids Wet Bescherming Persoonsgegevens (Wbp) voor NOAB leden 1 INLEIDING... 3 DE WBP... 3 1 PERSOONSGEGEVENS... 3 1.1 WAT ZIJN GEGEVENS EN WELKE EISEN STELT DE WET AAN GEGEVENS... 3 1.2 VERWERKEN

Nadere informatie

gewoondoenreintegratie

gewoondoenreintegratie Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in

Nadere informatie

PRIVACYREGLEMENT THAELES BV. Baarlo, 15 september 2010. Privacyreglement Thaeles

PRIVACYREGLEMENT THAELES BV. Baarlo, 15 september 2010. Privacyreglement Thaeles PRIVACYREGLEMENT THAELES BV Baarlo, 15 september 2010 Privacyreglement Thaeles 15 september 2010 PRIVACYREGLEMENT THAELES BV Artikel 1 - Begrippen In deze regeling wordt verstaan onder: a) Thaeles: Thaeles

Nadere informatie

Privacy Beleid Internet KPMG Meijburg & Co

Privacy Beleid Internet KPMG Meijburg & Co Privacy Beleid Internet Referentie 5703/IK/- pagina 2 Inleiding Deze website wordt geëxploiteerd door en B.V. gevestigd te Amsterdam, en, voorzover van toepassing, mede ten behoeve van Special Services

Nadere informatie

Privacyreglement CURA XL

Privacyreglement CURA XL Artikel 1. Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement Bureau Streefkerk B.V. Privacyreglement Bureau Streefkerk B.V. Inleiding Van alle personen die door Bureau Streefkerk worden begeleid, dat wil zeggen geadviseerd en ondersteund bij het zoeken, verkrijgen en behouden van een

Nadere informatie

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Reglement bescherming persoonsgegevens Kansspelautoriteit STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 21460 29 juli 2014 Reglement bescherming persoonsgegevens Kansspelautoriteit De raad van bestuur van de Kansspelautoriteit,

Nadere informatie

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z2015-00062.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z2015-00062. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid

Nadere informatie

Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014

Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014 Privacyreglement Dr. Leo Kannerhuis Bijgewerkt: 03-12-2014 Inleiding en doel In het Dr. Leo Kannerhuis worden persoonsgegevens van zowel patiënten als van medewerkers verwerkt. Het gaat daarbij vaak om

Nadere informatie

Privacyreglement Rijn IJssel training & opleiding

Privacyreglement Rijn IJssel training & opleiding Privacyreglement Rijn IJssel training & opleiding Artikel 1 Algemene begripsbepalingen In dit reglement wordt verstaan onder: 1. persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

Privacyreglement betreffende de Wet bescherming persoonsgegevens voor Zorg en Behandeling Voor Ouderen B.V.

Privacyreglement betreffende de Wet bescherming persoonsgegevens voor Zorg en Behandeling Voor Ouderen B.V. Privacyreglement betreffende de Wet bescherming persoonsgegevens voor Zorg en Behandeling Voor Ouderen B.V. 1. begripsbepalingen 1. persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

Privacy-reglement Zorgzaam

Privacy-reglement Zorgzaam Privacy-reglement Zorgzaam Bijlage 3 bij het PvE Zorgzaam Zoals vastgesteld door het bestuur Zorgzaam d.d. Inhoud Artikel 1 Begripsbepalingen 3 Artikel 2 Doel en rechtmatige grondslag van de verwerking

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

PRIVACY POLICY Verantwoordelijke Persoonsgegevens Cookies Uw rechten

PRIVACY POLICY Verantwoordelijke Persoonsgegevens Cookies Uw rechten PRIVACY POLICY Icepay streeft ernaar uw privacy te waarborgen. De persoonsgegevens die u mogelijk via deze website verstrekt, worden door ICEPAY voor eigen doeleinden en voor doeleinden van ICEPAY verwerkt

Nadere informatie

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ: AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

reglement Zorggroep Het Huisartsenteam

reglement Zorggroep Het Huisartsenteam Privacyre reglement Zorggroep Het Huisartsenteam Publicatiedatum: 11 juni 2013 A. Algemene bepalingen 1. Begripsbepalingen 2. Reikwijdte 3. Doel en toepassingsgebied B. Rechtmatige verwerking van persoonsgegevens

Nadere informatie

Privacyreglement. van. DoorWerk

Privacyreglement. van. DoorWerk Privacyreglement van DoorWerk Dit privacyreglement is vastgesteld op 01-01-2010 Dit privacyreglement dient als basis voor het vastleggen door het reïntegratiebedrijf hoe het omgaat met de privacy en de

Nadere informatie

Seminar: Big Data en privacy

Seminar: Big Data en privacy Seminar: Big Data en privacy Sprekers: - mr. Marten van Hasselt Big Data in de praktijk: lust of last? - mr. Vincent Rutgers Big Data en privacy: bescherming persoonsgegevens in kort bestek mr. Marten

Nadere informatie

Privacyreglement. Heling & Partners BV

Privacyreglement. Heling & Partners BV Privacyreglement Heling & Partners BV Privacyreglement Heling & Partners BV Artikel 1 Algemene begripsbepalingen In dit reglement wordt verstaan onder: 1. persoonsgegevens: elk gegeven betreffende een

Nadere informatie

Inhoud van het wetsvoorstel

Inhoud van het wetsvoorstel POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN De Minister van Economische Zaken

Nadere informatie

Privacyreglement. Care2manage

Privacyreglement. Care2manage Privacyreglement Care2manage Versie 22 februari 2015 Inhoudsopgave Privacyreglement Care2manage 1. Paragraaf 1: Algemene Bepalingen..3 2. Paragraaf 2: Doel.4 3. Paragraaf 3: Rechtstreekse toegang tot en

Nadere informatie

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR

ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis

Nadere informatie

Privacyreglement MC Groep

Privacyreglement MC Groep Privacyreglement MC Groep Artikel 1 Begripsbepalingen Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens Persoonsgegevens die direct of

Nadere informatie

SWPBS vanuit juridisch oogpunt

SWPBS vanuit juridisch oogpunt SWPBS vanuit juridisch oogpunt Samenvatting uit: De Wilde M., en Van den Berg A. (2012), SWPBS, vanuit juridisch oogpunt, afstudeerrapport juridische afdeling Christelijke Hogeschool Windesheim, Zwolle

Nadere informatie

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016 PRIVACY SIDN fonds Menno Weij 3 februari 2016 AGENDA Privacy Privacywetgeving van toepassing Plichten voor bedrijven Rechten betrokkenen Toezichthouder Ruimte voor vragen en discussie TERMINOLOGIE Belangrijkste

Nadere informatie

Bekendmaking Goedkeuring Gedragscode Verwerking Persoonsgegevens Financiële Instellingen

Bekendmaking Goedkeuring Gedragscode Verwerking Persoonsgegevens Financiële Instellingen Bekendmaking Goedkeuring Gedragscode Verwerking Persoonsgegevens Financiële Instellingen Het College bescherming persoonsgegevens (CBP) heeft een aanvraag ontvangen tot het afgeven van een verklaring in

Nadere informatie

REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL

REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL REGELING BESCHERMING PERSOONSGEGEVENS STUDENTEN EN PERSONEEL I Begripsbepalingen Artikel 1 1. In deze regeling wordt verstaan onder: a. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of

Nadere informatie