Privacyreglement WVS

Privacyreglement WVS, vastgesteld door het dagelijks bestuur van WVS, houdende regels met betrekking tot (het omgaan met) persoonsgegevens en privacy (citeertitel: Privacyreglement)

 

In dit reglement laat WVS zien op welke manier het dagelijks omgaat met persoonsgegevens en privacy. Privacy speelt een belangrijke rol in de relatie tussen de medewerker en WVS en staat daarmee hoog op de agenda. WVS heeft de verantwoordelijkheid voor persoonsgegevens en gegevensuitwisseling op alle terreinen waar ze actief is. WVS gaat rechtmatig, zorgvuldig, veilig, proportioneel en vertrouwelijk om met de persoonsgegevens dat het verzamelt, bewaart en beheert. Deze persoonsgegevens worden door WVS verzameld en verwerkt in de rol van werkgever en voor taken op het gebied van de uitvoering van de Participatiewet en de Wet sociale werkvoorziening. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid van WVS.

 

WVS vindt het daarom belangrijk om transparant te zijn over de manier waarop met persoonsgegevens wordt omgaan en de privacy waarborgen.

 

 

1. Wetgeving en definities

De Algemene Verordening Gegevensbescherming (AVG), samen met de uitvoeringswet (UAVG), vormen de wettelijke kaders voor de verwerking van persoonsgegevens. Hierin worden verplichtingen en verantwoordelijkheden van organisaties beschreven als ook de privacy rechten van de medewerkers.

 

De volgende begrippen worden gebruikt en zijn benoemd in art. 4 AVG:

  • Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

  • Verwerkingsverantwoordelijke: De persoon, rechtspersoon of overheidsinstantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

  • Verwerker: De persoon, een rechtspersoon, overheidsinstantie of dienst die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie (de verwerkingsverantwoordelijke).

  • Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

  • Persoonsgegevens: Alle gegevens die gaan over personen en waarmee je personen direct of indirect kunt identificeren.

  • Gegevens beschermings effectbeoordeling: Met een gegevens beschermings effectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Data Protection Impact Assessment (DPIA).

 

2. Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens door alle afdelingen van WVS. Oftewel: voor alle verwerkingen die binnen WVS plaatsvinden.

3. Verantwoordelijkheid

Het bestuur en management zijn verantwoordelijk voor de verwerkingen die door of namens WVS worden uitgevoerd.

 

4. Rechtmatigheid van verwerking

WVS ontleent de rechtmatigheid van de verwerkingen binnen WVS aan :

de rol en wettelijke taken van een werkgever bij de uitvoering van:

  • Wet sociale werkvoorziening,

  • Participatiewet.

De rechtmatigheid van de verwerkingen wordt periodiek getoetst door middel van audits.

 

5. Bewaartermijnen en vernietiging

WVS bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken conform de Archiefwet. Bewaartermijnen voor de verwerkingen binnen WVS staan vermeld in het ‘Register van gegevensverwerkingen’. Dit wordt beheerd onder verantwoordelijkheid van de privacy officer.

 

Wanneer er persoonsgegevens niet langer nodig zijn voor het doel waarvoor zij zijn verzameld worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of worden aangepast zodanig dat de informatie niet meer gebruikt kan worden om iemand te identificeren. WVS hanteert hiervoor de volgende regels zoals die zijn vastgelegd in de Beheerregeling informatiebeheer WVS-groep 2018.

 

6. Technische en organisatorische maatregelen

WVS treft de noodzakelijk technische en organisatorische maatregelen en hanteert een passend niveau van beveiliging van (persoons)gegevens. Deze maatregelen worden beschreven in het WVS informatiebeveiligingsbeleid.

 

7. Doorgifte aan derden

WVS wisselt persoonsgegevens uit met de diverse ketenpartners en organisaties binnen het sociaal domein. Dit gebeurt in het kader van taken in de uitvoering van de Wet sociale werkvoorziening en de Participatiewet en de Wet Verbetering Poortwachter. Verder worden persoonsgegevens gedeeld met organisaties, instanties en opdrachtnemers (bijv. georganiseerd vervoer) in het kader van de wettelijke verplichtingen als werkgever en detacheerder. Al deze organisaties bevinden zich binnen de EER.

 

 

Transparantie en communicatie

Informatieplicht (Artikel 13,14, AVG)

WVS informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan WVS geven, worden zij op de hoogte gesteld van de manier waarop WVS met persoonsgegevens om zal gaan. Dit gebeurt via het intake gesprek, de privacy verklaring op de website www.wvs.nl, het personeelshandboek en de informatie op Zenya.

 

Rechten van betrokkenen (Artikel 13 t/m 20 AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. De volgende rechten worden onderscheiden:

  • Recht op informatie: Betrokkenen hebben het recht om aan WVS te vragen of zijn / haar persoonsgegevens worden verwerkt.

  • Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn / haar gegevens worden verwerkt.

  • Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij WVS om dit te corrigeren.

  • Recht van verzet: Betrokkenen hebben het recht aan WVS te vragen om hun persoonsgegevens niet meer te gebruiken.

  • Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.

  • Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn / haar persoonsgegevens.

.

Het gebruik maken van de rechten van betrokkenen wordt gefaciliteerd door een procedure ‘Rechten van betrokkenen’, beheert door het concernhoofd P&O.

 

Om gebruik te maken van zijn / haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via e-mail ingediend worden. WVS heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek ontvankelijk is. Binnen vier weken zal WVS laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij WVS, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan WVS aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

 

8. Geautomatiseerde verwerkingen

WVS maakt geen gebruik van geautomatiseerde verwerkingen, waaronder profilering, zoals bedoeld in Artikel 22 AVG.

 

 

9. Plichten van WVS

Register van verwerkingen (Artikel 30 AVG)

WVS is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan WVS de verwerkingsverantwoordelijke is. Dezelfde verplichting geldt ook voor die gevallen waarin WVS optreedt als verwerker.

 

10. Gegevens beschermings effectbeoordeling of DPIA (Artikel 35 AVG)

Met een gegevens beschermings effectbeoordeling worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de rechten en vrijheden van betrokkenen. WVS voert deze waar nodig uit, zoals bij verwerkingen waarbij nieuwe systemen of technologieën worden gebruikt (privacy by design en default), of wanneer het de verwerking van bijzondere persoonsgegevens betreft. De bewuste gegevens beschermings effectbeoordeling wordt periodiek geëvalueerd.

 

11. Aanstelling van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39 AVG)

WVS heeft een FG aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van het AP. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de interne richtlijnen op het gebied van privacy.

 

12. Datalekken (Artikel 33 & 34 AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt WVS dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan het AP. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt WVS dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd (zie ook het Protocol meldplicht datalekken).

 

13. Klachtenregeling

Wanneer WVS een wettelijke verplichting niet nakomt kan betrokkene bezwaar maken. Dit zal via de bestaande klachtenregeling van WVS worden behandeld. In gevallen waar het reglement niets over zegt, beslist de algemeen directeur van WVS.

 

14. In werking treding

Dit reglement treedt in werking op de dag na vaststelling door het dagelijks bestuur van WVS. Op de datum van in werking treding komt het Privacyreglement, vastgesteld op 25 mei 2020 te vervallen.

Aldus vastgesteld door het dagelijks bestuur van WVS op 25 september 2023.

De secretaris, De voorzitter,

P.F.J.M. Havermans T.C. Melisse.

Naar boven