Privacybeleid WerkSaam

Inleiding

Bij WerkSaam wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de wettelijke taken.

De burger moet erop kunnen vertrouwen dat WerkSaam zorgvuldig en veilig, proportioneel en vertrouwelijk omgaat met het verzamelen, bewaren en beheren van persoonsgegevens.

 

WerkSaam heeft de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar WerkSaam actief is. WerkSaam vindt het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.

 

WerkSaam geeft met dit beleid een duidelijke richting aan privacy en laat zien dat we de privacy waarborgen, beschermen en handhaven. Dit beleid is van toepassing op de hele organisatie, op alle processen, onderdelen, objecten en gegevensverzamelingen van WerkSaam.

 

Met dit beleid laat WerkSaam zien op welke manier zij omgaat met persoonsgegevens en privacy, en wat wettelijk wel en niet verantwoord is.

 

 

Het dagelijks bestuur van WerkSaam Westfriesland;

 

gezien het advies van de cliëntenraad van 15 mei 2018;

 

gezien de instemming van de ondernemingsraad van 1 juni 2018;

 

gelet op de Algemene Verordening Gegevensbescherming (AVG);

 

overwegende dat WerkSaam:

  • op een veilige manier omgaat met persoonsgegevens;

  • de privacy van betrokkenen respecteert;

  • persoonsgegevens op behoorlijke en zorgvuldige wijze verwerkt in overeenstemming met de wet;

  • het belangrijk vindt om transparant te zijn over de manier waarop WerkSaam met persoonsgegevens omgaat en over de manier waarop WerkSaam de privacy waarborgt;

 

 

b e s l u i t :

 

 

vast te stellen het volgende Privacybeleid WerkSaam:

 

Artikel 1. Begripsbepalingen

In deze beleidsregel wordt verstaan onder:

  • a.

    Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt;

  • b.

    Persoonsgegevens: alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of gezondheid;

  • c.

    PIA: met een Privacy Impact Assessment (PIA) worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy;

  • d.

    Verwerker: de persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie;

  • e.

    Verwerking: alles wat je met een persoonsgegeven doet: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen van persoonsgegevens;

  • f.

    Verwerkingsverantwoordelijke: een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

 

Artikel 2. Reikwijdte

Deze beleidsregel is van toepassing op alle verwerkingen van persoonsgegevens die bij WerkSaam Westfriesland en WerkSaam Verloning B.V. plaatsvinden.

 

Artikel 3. Rechtmatigheid, behoorlijkheid en transparantie

WerkSaam verwerkt persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze.

 

Artikel 4. Doelbinding en grondslag

  • 1.

    WerkSaam verzamelt en verwerkt persoonsgegevens alleen voor uitdrukkelijk omschreven en gerechtvaardigde doelen.

  • 2.

    WerkSaam verwerkt persoonsgegevens alleen met een rechtmatige grondslag.

 

Artikel 5. Minimaal noodzakelijke gegevens (dataminimalisatie)

  • 1.

    WerkSaam verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel.

  • 2.

    WerkSaam streeft naar minimale gegevensverwerking.

  • 3.

    Waar mogelijk verwerkt WerkSaam minder of geen persoonsgegevens.

 

Artikel 6. Integriteit en vertrouwelijkheid

  • 1.

    WerkSaam gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk.

  • 2.

    Bij WerkSaam worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld.

  • 3.

    WerkSaam zorgt voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het Informatiebeveiligingsbeleid.

 

Artikel 7. Delen met derden

  • 1.

    Als een andere partij in opdracht van WerkSaam persoonsgegevens verwerkt, dan maakt WerkSaam afspraken over de eisen waar de verwerking aan moet voldoen. Deze afspraken voldoen aan de wet en worden vastgelegd in een verwerkersovereenkomst.

  • 2.

    Als een andere partij aan WerkSaam om informatie over cliënten of medewerkers vraagt, dan toets WerkSaam of die informatie mag worden gedeeld volgens de wet, voordat de informatie gedeeld wordt.

  • 3.

    WerkSaam geeft alleen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie op grond van goedgekeurde afspraken door de Europese Commissie.

 

Artikel 8. Inbreuk op de persoonlijke levenssfeer

  • 1.

    Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken persoon zoveel mogelijk beperkt.

  • 2.

    De inbreuk op de belangen van de betrokkene staat in verhouding tot het doel van de verwerking.

 

Artikel 9. Profilering, Big data, Cameratoezicht

  • 1.

    WerkSaam houdt zich bij profilering en bij Big data-onderzoek aan de privacywetgeving.

  • 2.

    WerkSaam maakt gebruik van cameratoezicht voor de bescherming en beveiliging van het pand, de goederen, de medewerkers en bezoekers in en om het pand van WerkSaam. WerkSaam maakt op duidelijke wijze kenbaar wanneer iemand zich in het cameragebied bevindt.

 

Artikel 10. Bewaartermijn

WerkSaam bewaart persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken en diensten en houdt zich aan de bewaartermijnen uit de Archiefwet.

 

Artikel 11. Rechten van betrokkene

WerkSaam respecteert de rechten van de betrokkene, te weten:

  • Recht op informatie: betrokkene heeft het recht om aan WerkSaam te vragen of zijn/haar persoonsgegevens worden verwerkt.

  • Inzagerecht: betrokkene heeft de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.

  • Correctierecht: als duidelijk wordt dat de gegevens niet kloppen, kan betrokkene een verzoek indienen bij WerkSaam om dit te corrigeren.

  • Recht van verzet: betrokkene heeft het recht aan WerkSaam te vragen om zijn/haar persoonsgegevens niet meer te gebruiken.

  • Recht om vergeten te worden: in gevallen waar betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft betrokkene het recht om de persoonsgegevens te laten verwijderen.

  • Recht op bezwaar: betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens. WerkSaam zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

 

Artikel 12. Plichten van WerkSaam

  • 1.

    WerkSaam heeft een Register van verwerkingsactiviteiten.

  • 2.

    Door middel van PIA’s beoordeelt WerkSaam de effecten en risico’s van nieuwe of bestaande verwerkingen op de bescherming van de privacy.

  • 3.

    WerkSaam heeft een Functionaris Gegevensbescherming.

  • 4.

    Wanneer er een datalek heeft plaatsgevonden, dan meldt WerkSaam dit binnen 72 uur aan de Autoriteit Persoonsgegevens. Als de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen, dan meldt WerkSaam dit aan de betrokkenen in eenvoudige en duidelijke taal.

 

Artikel 13. Inwerkingtreding

  • 1.

    Deze beleidsregel treedt in werking op de dag na de bekendmaking.

  • 2.

    Het Privacyreglement Persoonsgegevens WerkSaam, vastgesteld in de vergadering van 13 april 2017 van het dagelijks bestuur, wordt gelijktijdig ingetrokken.

 

Artikel 14. Citeertitel

Deze beleidsregel wordt aangehaald als: Privacybeleid WerkSaam.

 

Aldus vastgesteld in de vergadering van het dagelijks bestuur van 12 juli 2018,

De voorzitter, D. te Grotenhuis,

De directeur, M.J. Dölle

Toelichting Privacybeleid WerkSaam

 

Algemene toelichting

Tot 25 mei 2018 had elke lidstaat van de Europese Unie een eigen privacywet, gebaseerd op de Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelde het juridische kader voor de omgang met persoonsgegevens in Nederland. Op 25 mei 2018 is de Wbp vervallen en is de Europese Verordening, de Algemene Verordening Gegevensbescherming (AVG), in werking getreden samen met de Uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor versterking en uitbreiding van de privacyrechten van betrokkenen en meer verantwoordelijkheden voor organisaties.

 

Toelichting per artikel , voor zover noodzakelijk

 

Artikel 1 . Begripsbepalingen

Onder f. staat de verwerkingsverantwoordelijke. De bestuursorganen van WerkSaam zijn allemaal verantwoordelijken voor de verwerkingen die door of namens WerkSaam worden uitgevoerd. De bestuursorganen van WerkSaam zijn de voorzitter, het dagelijks bestuur en het algemeen bestuur.

 

Artikel 3. Rechtmatigheid, behoorlijkheid en transparantie

WerkSaam informeert betrokkenen over het verwerken van persoonsgegevens (artikel 13 en 14 van de AVG). Wanneer betrokkenen gegevens aan WerkSaam geven, worden zij op de hoogte gesteld van de manier waarop WerkSaam met de persoonsgegevens om zal gaan. Hoe WerkSaam dit doet, staat in het Privacystatement/de Privacyverklaring en in het Register van verwerkingsactiviteiten, welke op de website van WerkSaam te vinden zijn.

 

Artikel 4 . Doelbinding en grondslag

Volgens artikel 5 van de AVG mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Participatiewet, zijn de doelen voor het verwerken al in de wet vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden.

 

Artikel 6 van de AVG zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

  • Om een wettelijke verplichting na te komen;

  • Voor de uitvoering van een overeenkomst waar de betrokkene onderdeel van is;

  • Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;

  • Voor de goede invulling van een publiekrechtelijke taak door WerkSaam;

  • Wanneer de betrokkene nadrukkelijk en uit vrije wil toestemming heeft gegeven voor de specifieke verwerking.

Artikel 5. Minimaal noodzakelijke gegevens (dataminimalisatie)

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.

In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen of minder (belastende) persoonsgegevens hetzelfde doel bereikt kan worden, dan moet daar altijd voor gekozen worden.

 

Artikel 6. Integriteit en vertrouwelijkheid

WerkSaam streeft ernaar dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht. Daarnaast beveiligt WerkSaam alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft. Hoe WerkSaam dit doet, staat in het Informatiebeveiligingsbeleid van WerkSaam.

 

Artikel 7. Delen met derden

In opdracht van WerkSaam worden door andere partijen persoonsgegevens verwerkt. Deze andere partijken heten verwerker. WerkSaam blijft echter verantwoordelijk en aansprakelijk voor de verwerking van de persoonsgegevens; dit heet verwerkingsverantwoordelijke. In die situaties is WerkSaam verplicht een verwerkersovereenkomst te sluiten met de partij die de gegevens van WerkSaam verwerkt.

De AVG bevat uitgebreide voorschriften over de inhoud van de verwerkersovereenkomst. In hoofdlijnen moet het volgende er in beschreven worden ten aanzien van de verwerking: het onderwerp, de duur, de aard, het doel, de omgang met de data bij beëindiging, het soort persoonsgegevens, de categorieën van betrokkenen, de rechten en verplichtingen van de verwerkingsverantwoordelijke en de mogelijkheid voor de verwerkingsverantwoordelijke om te kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken.

Gezien het belang van een goede en (juridisch) volledige verwerkersovereenkomst, heeft het dagelijks bestuur van WerkSaam in haar vergadering van 14 september 2017 een basis-verwerkersovereenkomst vastgesteld, welke voldoet aan alle eisen uit de wet. Deze basis-verwerkersovereenkomst wordt in principe gebruikt als een andere partij in opdracht van WerkSaam persoonsgegevens verwerkt.

 

Regelmatig vragen gemeenten of andere instanties informatie over cliënten of medewerkers, maar door die informatie mag niet altijd worden gedeeld.

Artikel 6 van de AVG zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dit geldt ook als gegevens met andere partijen worden gedeeld. Dat betekent dat de gegevensdeling alleen mag plaatsvinden:

  • Om een wettelijke verplichting na te komen;

  • Voor de uitvoering van een overeenkomst waar de betrokkene onderdeel van is;

  • Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden;

  • Voor de goede invulling van een publiekrechtelijke taak door WerkSaam;

  • Wanneer de betrokkene nadrukkelijk en uit vrije wil toestemming heeft gegeven voor de specifieke verwerking.

 

Zo staat in de Participatiewet dat we gegevens mogen/moeten verstrekken aan andere gemeenten als die dat nodig hebben voor de uitvoering van de Participatiewet, IOAW en IOAZ (artikel 64 lid 1 aanhef en onder a in samenhang met artikel 67, lid 1 aanhef en onder c Participatiewet).

Als een gemeente bijvoorbeeld informatie vraagt om een bijzondere bijstandsaanvraag te kunnen beoordelen, dan mag dat. Maar het mag niet als de gemeente het gebruikt voor andere minimaregelingen, voor schuldhulpverlening, Wmo, Jeugdwet enzovoort.

 

Behalve gemeenten vragen ook anderen om informatie over cliënten, bijvoorbeeld advocaten, bewindvoerders, het Leger des Heils enzovoort.

Om eventuele onduidelijkheden te voorkomen en nog beter te zorgen voor de bescherming van persoonsgegevens, heeft WerkSaam een centrale plek voor informatieverzoeken: informatieverzoeken@werksaamwf.nl.

 

Hier beoordeelt WerkSaam of de gevraagde informatie verstrekt mag worden. Als de informatie door een derde wordt gevraagd, dan moet duidelijk zijn wat de relatie is tussen de verzoeker en de betrokkene en of de verzoeker wel bevoegd is om namens de betrokkene informatie te vragen. Verder gaat het om de vraag of er een wettelijke verplichting is, waar de gevraagde informatie voor wordt gebruikt (doelbinding) en of deze informatie ook daadwerkelijk nodig is (alleen ‘need to know’ en niet ‘nice to know’).

 

Bijzondere persoonsgegevens (zoals ras, gezondheid of godsdienst) worden alleen met nadrukkelijke toestemming van de betrokkene worden uitgewisseld.

Als meer gegevens nodig zijn om het informatieverzoek te kunnen beoordelen, dan wordt een vragenformulier toegestuurd met eventueel een machtigingsformulier.

Pas als duidelijk is dat de gevraagde informatie verstrekt mag worden, wordt het informatieverzoek uitgezet bij de betreffende afdeling/team.

 

Artikel 8. Inbreuk op de persoonlijke levenssfeer

Via de Wet openbaarheid van bestuur (en straks wellicht de Wet Open Overheid) kan iedereen een verzoek om openbaarmaking van informatie indienen bij WerkSaam. Bij het verzoek bekijkt WerkSaam altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van de betrokkene. In principe worden geen persoonsgegevens verstrekt.

 

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het verzoek bekijkt WerkSaam altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van de betrokkene. In principe worden geen persoonsgegevens verstrekt.

 

Artikel 9 . Pro filering, Big data, Cameratoezicht

Profilering (artikel 22 van de AVG)

Profilering is het categoriseren aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon, bij geautomatiseerde verwerking van persoonsgegevens. Doel hiervan is om deze persoon te categoriseren, te analyseren of te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn: financiële situatie, interesses, gedrag of locatie.

Een voorbeeld van profilering: wanneer een bezoeker op de website van WerkSaam naar een bepaalde dienst kijkt, dan mag WerkSaam geen actie ondernemen om die dienst aan te bieden. WerkSaam mag wel bekijken hoe vaak een bepaalde dienst bekeken is, maar dus niet specifiek gericht adverteren. Daarnaast geeft de AVG aan dat er geen besluit mag worden genomen op basis van profilering.

In artikel 22.2 van de AVG staan de uitzonderingen wanneer WerkSaam profilering wel mag gebruiken:

  • Als het noodzakelijk is voor de uitvoering van een overeenkomst tussen betrokkene en de verwerkingsverantwoordelijke

  • Als het is toegestaan door Nederlands/EU recht

  • Na schriftelijke toestemming van de betrokkene.

 

Het is niet verplicht om aan te geven of WerkSaam gebruik maakt van profilering, maar het geeft daarmee wel meer transparantie richting de burger.

 

Big data - onderzoek

Door middel van Big data-onderzoek mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon. Daarnaast worden ze alleen verzameld voor onderzoek dat door, of namens, WerkSaam wordt uitgevoerd. De verzamelde gegevens door Big data-onderzoek zijn alleen de gegevens die door geautoriseerde personen zijn verzameld. Wanneer de gegevens worden omgezet in een dataset zal dataminimalisatie worden toegepast. Dit betekent dat alleen de data die echt nodig is voor het behalen van het doel gebruikt worden.

Daarnaast kunnen persoonsgegevens gepseudonimiseerd worden, zodat zij niet herleidbaar zijn tot een persoon. Pseudonimiseren is iets anders dan anonimiseren. We spreken van pseudonimiseren wanneer direct identificeerbare gegevens, zoals naam, telefoonnummer of adres, worden losgekoppeld van overige gegevens en vervangen door een aanvullend gegeven zoals een klantnummer of een code. De gegevens blijven dan persoonsgegevens, maar identificatie is lastiger. Dit is omkeerbaar, want met de juiste sleutel of aanvullende gegevens kunnen de gepseudonimiseerde gegevens ontsleuteld en leesbaar gemaakt worden, waardoor herleiden tot een individu weer mogelijk is. Als vervolgens het klantnummer of de code wordt verwijderd, dan is sprake van anonimisering; dit is onomkeerbaar.

 

Wettelijk is het niet verplicht om aan te geven of WerkSaam gebruik maakt van Big data-onderzoek, maar het geeft daarmee wel meer transparantie richting de burger.

 

Inzet van camera’s

WerkSaam maakt gebruik van cameratoezicht, onder andere voor het vergroten van de veiligheid in en om het gebouw. Camera’s kunnen een grote inbreuk maken op de privacy van degene die gefilmd wordt. Om de privacy zo goed mogelijk te waarborgen, zet WerkSaam alleen camera’s in wanneer er geen andere manieren zijn om de gestelde doelen te bereiken. WerkSaam voldoet aan de enige verplichting voor het gebruik van camera’s door het op duidelijke wijze kenbaar maken wanneer iemand zich in het cameragebied bevindt. Wettelijk is het niet verplicht om via andere kanalen aan te geven waar WerkSaam haar camera’s heeft hangen. Nadere regels hierover staan in het camerabeleid.

 

Artikel 10 . Bewaartermijn

Het bewaren van persoonsgegevens kan nodig zijn om taken of diensten goed uit te kunnen voeren of om wettelijke verplichtingen te kunnen naleven. WerkSaam bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken en diensten, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel, worden deze binnen een half jaar mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

 

Artikel 11 . Rechten van betrokkene (artikel 13 tot en met 20 van de AVG)

De AVG bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkene genoemd.

Om gebruik te maken van zijn/haar recht kan betrokkene een verzoek indienen. WerkSaam heeft vanaf de ontvangst van het verzoek vier weken de tijd om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken laat WerkSaam weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd, dan kan betrokkene bezwaar maken bij WerkSaam, of een klacht indienen bij de Autoriteit Persoonsgegevens. Aan de hand van een verzoek kan WerkSaam aanvullende informatie opvragen om zeker te zijn van de identiteit van betrokkene.

Op de website van WerkSaam is meer informatie hierover te vinden.

 

Artikel 12. Plichten van WerkSaam

Register van Verwerkingsactiviteiten (artikel 30 van de AVG)

WerkSaam is verantwoordelijk voor het aanleggen van een Register van alle verwerkingen waarvan WerkSaam de verwerkingsverantwoordelijke is. Het register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt en welke gegevens daarvoor worden gebruikt, namelijk:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;

  • De doelen van de verwerking;

  • Een beschrijving van het soort persoonsgegevens en de daarbij behorende betrokkenen;

  • Een beschrijving van de ontvangers van de persoonsgegevens;

  • Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

  • De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;

  • Een algemene beschrijving van de beveiligingsmaatregelen.

 

PIA (artikel 35 van de AVG)

Met een PIA worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. WerkSaam voert deze uit wanneer er een geautomatiseerde verwerking, een grootschalige verwerking of een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

 

Functionaris voor gegevensbescherming (FG) (artikel 37 tot en met 39 van de AVG)

WerkSaam heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de FG zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de Autoriteit Persoonsgegevens. Het is niet de bedoeling dat de FG de taken op het gebied van de bescherming van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de richtlijnen van WerkSaam op het gebied van privacy.

 

Datalekken (artikel 33 en 34 van de AVG)

Er is sprake van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden dan meldt WerkSaam dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de Autoriteit Persoonsgegevens. Als dit later dan 72 uur is, dan voegt WerkSaam een motivering voor de vertraging bij de melding. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dat geval meldt WerkSaam het aan de betrokkenen in eenvoudige en duidelijke taak. Om toekomstige datalekken te voorkomen, evalueert WerkSaam bestaande datalekken. WerkSaam heeft een werkproces voor (een vermoeden van) datalekken.

 

Naar boven