Privacy beleid 2018 1
Voorwoord Voor u ligt het privacy beleid van bso Bink. Dit beleid is opgesteld in mei 2018 ten behoeve van de Algemene Verordening Gegevensbescherming. Bso Bink hecht veel waarde aan de bescherming van uw persoonsgegevens. In dit privacy beleid staat beschreven hoe uw privacy gewaarborgd wordt en hoe wordt omgegaan met persoonsgegevens. Bso Bink houdt zich in alle gevallen aan de toepasselijke wet-en regelgeving, waaronder de Algemene Verordening Gegevensbescherming. Bso Bink zorgt er in ieder geval voor dat: Uw persoonsgegevens verwerkt worden in overeenstemming met het doel waarvoor deze zijn verstrekt, deze doelen en type persoonsgegevens zijn beschreven in dit privacy beleid. Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt. Uw uitdrukkelijke toestemming wordt gevraagd als wij deze nodig hebben voor de verwerking van uw persoonsgegevens. Uw persoonsgegevens (technisch) beveiligd worden Er geen persoonsgegevens doorgegeven worden aan andere partijen tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt. Bso Bink op de hoogte is van uw rechten omtrent uw persoonsgegevens, u hierop willen wijzen en deze respecteren. Bso Bink is verantwoordelijk voor de verwerking van uw persoonsgegevens. Indien u na het doornemen van dit privacy beleid, of in algemenere zin, vragen heeft hierover of contact met bso Bink wenst op te nemen, kan dit via: info@bsobink.nl of telefonisch 06-55518902, contactpersoon Renate Tjerkstra. 2
Inventarisatie persoonsgegevens Voor de dagelijkse opvang van de kinderen bewaart bso Bink de volgende gegevens in de groepsmap: Gegevens over de gezondheid van kinderen (o.a. overeenkomsten gebruik geneesmiddelen) Naam kind en afspraken die gemaakt zijn met ouders (ook bv. Toestemming gebruik foto s) Calamiteitenlijst met gegevens van kinderen: - Naam kind - Geboortedatum kind - Tel. Huisarts - Tel. Tandarts - Telefoonnummers ouders privé/ werk en wie te bellen in noodsituaties E- mailadressen voor het versturen van facturen en nieuwsbrieven Voor de financiële administratie bewaart bso Bink de volgende gegevens: Naam Voorletter Tussenvoegsel Adres Postcode Woonplaats Provincie Land Telefoonnummer E-mailadres Geslacht Geboortedatum Bankrekeningnummer BSN nummers Getekende automatische incasso s Alle bovenstaande gegevens staan op de daarvoor bestemde formulieren: overeenkomst gebruik geneesmiddelen, calamiteitenlijst, afsprakenlijst en inschrijfformulier en plaatsingsovereenkomst. Deze lijsten worden (op aanvraag) gedeeld met toezichthoudende instanties: GGD, belastingdienst. Tijdens de intake van ouders wordt er toestemming gevraagd voor het maken van foto s, ouders kunnen aangeven waar de foto s voor gebruikt mogen worden (intern gebruik, extern gebruik, website etc.). Ook wordt er toestemming gevraagd om een uitnodigingslink te sturen voor de groepsapp van bso Bink. Inventarisatie doelbinding Bso Bink verwerkt de volgende gegevens met onderstaande doelen, daarvoor zijn ze verkregen en uitsluitend daarvoor worden ze gebruikt. Dat wordt doelbinding genoemd. Grondslag: Grondslag is een reden op basis waarvan de persoonsgegevens verwerkt mogen worden. Een reden voor bso Bink is dat de persoonsgegevens nodig zijn voor het uitvoeren van de plaatsingsovereenkomst. Ouders en kinderen: BSN Organisaties buiten de overheid mogen het BSN (burger-servicenummer) alleen gebruiken als dat volgens de wet is toegestaan. 3
Persoonsgegevens: Grondslag: Doel: Verwerkingen: Verwerking door: ICT Systeem: Bewaartermijn: Naam +adres +woonplaats +email +BSN + geboortedatum +bankgegevens Overeenkomst met handtekening op papier(persoonlijk gegevens formulier en machtiging automatische incasso) Ouders moeten kinderopvangtoeslag aanvragen bij de overheid, ter controle van deze kinderopvangtoeslag moet bso Bink bij de belastingdienst KOI gegevens kunnen aanleveren, waaronder het BSN nummer van alle kinderen en ouders. Interactie met de overheid in het belang van (en met toestemming van) de ouders. Houder bso Bink (Renate Tjerkstra) Excel en Word Wettelijke termijn voor bewaren van gegeven is 7 jaar (voor belastingdienst) Kinderen Gezondheidsgegevens: Grondslag: Doel: Verwerkingen: Verwerking door: ICT systeem: Bewaartermijn: Gegevens met betrekking tot ontwikkeling, allergieën, medicijngebruik etc. Formulier bijzonderheden/ overeenkomst geneesmiddelenformulier/ observatielijsten ontwikkeling en gezondheid waarborgen kind groepsmap, documentatiemap kinderen (overeenkomsten, observatielijsten) houder/ pedagogisch medewerker N.V.T gedurende de duur van de overeenkomst, indien aan alle betalingsverplichtingen zijn voldaan Verstrekking aan derden De gegevens die worden verstrekt aan bso Bink kunnen aan derde partijen worden gegeven, indien dit noodzakelijk is voor uitvoering van de hierboven beschreven doeleinden. Er worden nooit persoonsgegevens aan andere partijen gegeven waar geen verwerkersovereenkomst mee is afgesloten. Waar nodig wordt met partijen afspraken gemaakt om de beveiliging van uw persoonsgegevens te waarborgen. Verder worden de door u verstrekte gegevens niet aan andere partijen verstrekt, tenzij dit wettelijk verplicht en toegestaan is. Een voorbeeld is dat de politie in het kader van een onderzoek (persoons) gegevens bij bso Bink opvraagt. In een dergelijk geval dient bso Bink medewerking te verlenen en is dan ook verplicht om deze gegevens af te geven. Tevens kunnen gegevens worden gedeeld met derden, indien u hiervoor schriftelijke toestemming geeft. Beveiliging Er zijn passende technische en organisatorische maatregelen genomen om persoonsgegevens van u te beschermen tegen onrechtmatige verwerking. De volgende maatregelen zijn genomen: Alle personen die namens bso Bink van uw gegevens kennis kunnen nemen, zijn gehouden aan geheimhouding daarvan. 4
Op de systemen wordt een gebruikersnaam en wachtwoordbeleid gehanteerd. Er worden back ups gemaakt van persoonsgegevens om deze te kunnen herstellen bij fysieke of technische incidenten. De maatregelen worden regelmatig getest en geëvalueerd. Wanneer nodig, worden personen geïnformeerd over het belang van de bescherming van persoonsgegevens. Rechten omtrent persoonlijke gegevens Iedereen heeft het recht op inzage, rectificatie of verwijdering van de persoonsgegevens welke bso Bink heeft. Tevens kan er bezwaar gemaakt worden tegen de verwerking van deze persoonsgegevens (of een deel hiervan) door bso Bink of een van onze verwerkers. Ook heeft iedereen het recht de verstrekte gegevens door bso Bink over te laten dragen aan welke partij dan ook indien gewenst. Er kan logischerwijs gevraagd worden om legitimatie voordat er gehoor kan worden gegeven aan voorgenoemde verzoeken. Verwerkersovereenkomst Op dit moment heeft bso de persoonsgegevens in eigen beheer en zijn er geen verwerkingsovereenkomsten afgesloten met andere partijen. E e-mailadressen zijn bekend bij Google (g mail). Google voorziet in een standaard DPA, waar alle gebruikers automatisch onder vallen (bron: security.nl). Toegangsbeveiliging Er zijn verschillende toegangssystemen, deze systemen zijn voldoende beveiligd. Sofware Onze software is veilig en up to date. Gegevens buiten de EU Er worden geen gegevens opgeslagen buiten de EU. Geautomatiseerde medewerkers Bij bso Bink zijn geen medewerkers in dienst. Alleen de houder is geautoriseerd voor toegang tot alle persoonsgegevens. De digitale toegang tot persoonsgegevens is altijd beveiligd met een inlogcode en een wachtwoord en de papieren toegang tot persoonsgegevens is alleen mogelijk voor de houder van bso Bink. Wanneer nodig (bijvoorbeeld bij vervanging) zijn slechts de persoonsgegevens die ervoor zorgen dat de opvang van de kinderen optimaal kan worden uitgevoerd en dat er contact kan worden opgenomen in de daarvoor nodige situaties, toegankelijk. Deze gegevens zijn de bijzonderheden, de medische gegevens en de naam van het kind en de telefoonnummers van ouders en/of noodnummer. Minderjarigen Er worden alleen persoonsgegevens van minderjarigen (personen jonger dan 16 jaar) verwerkt, indien daar schriftelijke toestemming voor is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger. Vernietigen persoonsgegevens Bso Bink bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op de grond van de wet is vereist. De volgende (digitale) gegevens worden vernietigd: Plaatsingsovereenkomst (als alle betalingen zijn voldaan) Machtiging automatische incasso 5
Formulieren medicijnverstrekking Formulier registratie ongevallen Afsprakenlijst gemaakt met ouders Datalek Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Een datalek is een beveiligingsincident waarbij persoonsgegevens gelekt zijn. Dit kan gaan om een ongeoorloofde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens. Van een datalek is alleen sprake als er persoonsgegevens zijn gelekt! Enkele voorbeelden zijn: USB-stick met daarop persoonsgegevens kwijtraken Laptop met daarop persoonsgegevens is gestolen Er is ingebroken door een hacker in een databestand of systeem (met daarop persoonsgegevens). Er is een mailing verstuurd met daarop alle e-mailadressen in de Aan of CC in plaats van BCC. Uit een tas zijn papieren gestolen met daarop persoonsgegevens. Door en crash van een harddisk of door brand zijn persoonsgegevens verloren gegaan en er is geen back up. In bepaalde gevallen is bso Bink verplicht om melding te doen van een datalek bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegegevens.nl). Ook kan het zo zijn dat de betrokkenen geïnformeerd moeten worden over het datalek. Dit zijn de personen van wie bso Bink de gegevens verwerkt. Wanneer een datalek niet gemeld wordt, terwijl dit wel had gemoeten, kan de Autoriteit Persoonsgegevens een (flinke) boete opleggen. Ook is het belangrijk dat datalekken worden vastgelegd. Met deze documentatie moet de Autoriteit Persoonsgegevens controleren of je aan je meldplicht hebt voldaan. Als er binnen bso Bink een datalek optreedt is het belangrijk om de juiste actie te ondernemen. Het incident moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. In sommige gevallen moeten ook de betrokkenen geïnformeerd worden. Medewerkers,bewustwording en gedrag Praktische tips: Beeldscherm blokkeren bij verlaten werkplek Documenten met persoonsgegevens nooit onbeheerd achterlaten Nooit kiezen voor automatisch opslaan van inloggegevens op de computer Openbare netwerken zijn niet veilig Let op wat gedeeld wordt via social media Mobiele telefoon beveiligen met een inlogcode of vingerherkenning 6
7