Privacyreglement Interactive Blueprints BV

Transcriptie

1 Privacyreglement Interactive Blueprints BV Deventer, juni 2016, versie Begripsbepalingen In dit reglement wordt verstaan onder: de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon; verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Daaronder wordt in ieder geval verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens; bestand: elk samenhangend geheel van persoonsgegevens, ongeacht of dit geheel van gegevens bij elkaar of gescheiden van elkaar wordt verzameld, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; verantwoordelijke: degene die alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verantwoordelijke kan zijn een natuurlijke persoon, een rechtspersoon of een bestuursorgaan; bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen; betrokkene: degene op wie een persoonsgegeven betrekking heeft; derde: ieder ander dan de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken; ontvanger: degene aan wie de persoonsgegevens worden verstrekt; toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt; verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens; Achter de Muren Zandpoort GE Deventer KvK

2 verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens. 2. Bereik A. Dit reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Het is eveneens van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. B. Dit reglement is van toepassing binnen Interactive Blueprints B.V. en heeft betrekking op de verwerkingen van persoonsgegevens van medewerkers enerzijds en op de verwerking van persoonsgegevens ten behoeve van klanten anderzijds. 3. Doel A. Het doel van het verzamelen en verwerken van persoonsgegevens van medewerkers van Interactive Blueprints is uitsluitend voor administratieve doeleinden. Het gaat hierbij om gegevens die nodig zijn voor de personeelsadministratie, de salarisadministratie, verzekeringen waaronder de pensioenverzekering en in het kader van de bedrijfshulpverlening. Interactive Blueprints is in dit kader zowel verantwoordelijke als bewerker. B. Voor klanten van Interactive Blueprints, die gebruik maken van de systemen ED Controls en FlexWhere, worden persoonsgegevens verwerkt, die nodig zijn voor de goede werking en het goede gebruik van deze systemen. De klanten van Interactive Blueprints zijn in dit geval verantwoordelijke terwijl Interactive Blueprints optreedt als bewerker. 4. Verantwoordelijkheid voor het beheer en aansprakelijkheid A. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de verwerking en het beheer van de gegevens; onder verantwoordelijkheid van de verantwoordelijke wordt doorgaans een beheerder belast met het feitelijke beheer van de persoonsgegevens. B. De verantwoordelijke draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens. C. De in lid 1 bedoelde verantwoordelijkheid en het in lid 2 bepaalde geldt onverminderd indien de verwerking plaats vindt door een bewerker; dit wordt geregeld in een overeenkomst (of door middel van een andere rechtshandeling) tussen bewerker en verantwoordelijke. Achter de Muren Zandpoort GE Deventer KvK

3 D. De verantwoordelijke is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover die/dat is ontstaan door zijn handelen. 5. Gegevensverwerving A. Het verzamelen van persoonsgegevens van medewerkers van Interactive Blueprints voor administratieve doeleinden vindt met name plaats bij de indiensttreding. Daarnaast kan het noodzakelijk zijn gegevens te verzamelen bij wijzigingen in de gegevens van betrokken medewerker, bij wijzigingen in de administratie of in de verzekeringen, bij wijziging van wettelijke regelingen, enzovoort. Steeds zal daarbij aan de medewerker worden aangegeven wat het doel is van de vraag om (aanvullende) persoonsgegevens. B. Het verzamelen van persoonsgegevens door klanten van Interactive Blueprints gebeurt onder verantwoordelijkheid van deze klanten. Interactive Blueprints is uitsluitend verantwoordelijk voor de verwerking van deze gegevens. 6. Gegevensverwerking A. Persoonsgegevens worden in overeenstemming met de wet en dit reglement op behoorlijke en zorgvuldige wijze verwerkt. Vakantie dient in overleg te worden opgenomen. B. De verwerking van persoonsgegevens van medewerkers van Interactive Blueprints gebeurt door de daarvoor aangestelde medewerker en leidinggevende van de administratie van Interactive Blueprints. Voor de uitvoering van de salarisadministratie, de pensioenregeling en verzekeringen worden alleen de daarvoor noodzakelijke gegevens verstrekt aan de uitvoerders. C. De verwerking van persoonsgegevens van klanten gebeurt door daarvoor aangestelde medewerkers van Interactive Blueprints. Deze medewerkers hebben een geheimhoudingsverklaring getekend. 7. Datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoons-gegevens zodra zij een ernstig datalek hebben. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze Achter de Muren Zandpoort GE Deventer KvK

4 organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Bij de beslissing of een gebeurtenis gemeld moet worden bij de Autoriteit Persoonsgegevens en/of bij betrokkene, dienen de afwegingen te worden gemaakt zoals die in het schema hieronder zijn weergegeven. Beveiligingslek Heeft zich een beveiligingsincident voorgedaan? Beveiligingsincident Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking niet uit te sluiten? Datalek Gaat het om persoonsgegevens van gevoelige aard, of is er om andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte gegevens? Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? Melden aan de Autoriteit Persoonsgegeven Melden aan de betrokkene Hierbij dienen de medewerkers van Interactive Blueprints de volgende richtlijnen aan te houden: A. Een beveiligingslek of beveiligingsincident wordt door de medewerker altijd direct gemeld bij een lid van de directie. Vervolgens worden de afwegingen als hiervoor aangegeven door de medewerker en het lid van de directie gezamenlijk doorlopen. B. Als het persoonsgegevens van klanten van Interactive Blueprints betreft wordt tegelijk met de melding aan de Autoriteit Persoonsgegevens ook de klant op de hoogte gesteld. In dit geval die de klant, als verantwoordelijke, de afweging te maken of er ook een melding aan de betrokkene dient plaats te vinden. Zie voor aanvullende informatie: Achter de Muren Zandpoort GE Deventer KvK

5 8. Recht op inzage, correctie, aanvulling en verwijdering door medewerkers van Interactive Blueprints A. De medewerkers van Interactive Blueprints hebben het recht om kennis te nemen van de verwerkte gegevens, die op hun persoon betrekking hebben. Interactive Blueprints voldoet op verzoek van betrokken z.s.m. maar uiterlijk binnen een week aan de wens om inzage. Interactive Blueprints kan weigeren aan een verzoek om inzage te voldoen indien en voor zover dit noodzakelijk is in verband met: de opsporing en vervolging van strafbare feiten; de bescherming van de betrokkene of van de rechten en vrijheden van anderen. B. Op verzoek van een betrokkene gaat Interactive Blueprints per omgaande over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens. Dit als blijkt dat de gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. C. Interactive Blueprints draagt er zorg voor dat een (beslissing tot) verbetering, aanvulling, verwijdering en/of afscherming binnen 2 weken, of wanneer dit redelijkerwijs niet mogelijk is zo spoedig mogelijk nadien, wordt uitgevoerd. 9. Klachtenregeling A. De klachtenregeling van Interactive Blueprints is op dit reglement van toepassing. B. Als de betrokkene niet tevreden is met de afhandeling van de klacht betreffende de verwerving of verwerking van zijn/haar persoonsgegevens kan hij/zij zich wenden tot: het College Bescherming Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de medewerker en Interactive Blueprints; de rechtbank, in de gevallen als bedoeld in artikel 46 van de wet. 10. Inwerkingtreding, wijzigingen en afschrift A. Dit reglement is per 1 januari 2016 in werking getreden. B. Wijzigingen in dit reglement worden aangebracht door (de directie van) Interactive Blueprints. C. Dit reglement is in te zien bij Interactive Blueprints. Medewerkers en klanten van Interactive Blueprints kunnen gratis een afschrift van dit reglement verkrijgen. Achter de Muren Zandpoort GE Deventer KvK

6 11. Onvoorzien In gevallen waarin dit reglement niet voorziet, beslist de verantwoordelijke met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement. Informatie over de Wet bescherming persoonsgegevens: Tekst van de wet: Website van het College Bescherming Persoonsgegevens: Achter de Muren Zandpoort GE Deventer KvK