Privacyreglement verklaring
|
|
|
|
1. Toepasselijkheid |
Dit reglement geldt voor de gehele organisatie die deel uitmaakt van de Ambulante Educatieve Dienst. De AED is gevestigd te Elisabethhof 21, 2353 EW, Leiderdorp. |
|
|
|
|
|
|
2. Definities |
|
|
|
Persoonsgegevens |
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals bijvoorbeeld naam, adres, geboortedatum, titel(s), geslacht, adres, telefoonnummer, e-mailadres, functie, personeelsnummer, medische rapportages, inhoud van e-mails, prestaties/cijfers, brieven, klachten, foto’s, video’s, IP-adressen, tracking cookies, loginnamen en wachtwoorden. |
|
|
Verwerking van persoonsgegevens |
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. |
|
|
Bijzondere persoonsgegevens |
Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto’s) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid. |
|
|
Betrokkene |
Degene op wie een persoonsgegeven betrekking heeft, en die al dan niet wordt vertegenwoordigd door een wettelijk vertegenwoordiger. Betrokkenen kunnen bijvoorbeeld zijn: leerlingen, ouders, medewerkers en bezoekers. |
|
|
Wettelijk vertegenwoordiger |
Degene die het ouderlijk gezag over een minderjarige uitoefent. Meestal zal dit een ouder zijn, maar het kan ook gaan om een voogd. Als een leerling 16 jaar of ouder is, beslist hij zelf over zijn privacy. |
|
|
Verwerkingsverantwoordelijke |
De rechtspersoon die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van dit reglement is de AED, vertegenwoordigd door het College van Bestuur, de verwerkingsverantwoordelijke. |
|
|
Verwerker |
De natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke (de AED) persoonsgegevens verwerkt, zoals bijvoorbeeld de leverancier van een leerlingvolgsysteem of leerling-administratiesysteem. Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke. |
|
|
Derde |
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken. |
|
|
De AED |
De Ambulante Educatieve Dienst, de verwerkingsverantwoordelijke in de zin van dit reglement.
|
|
|
|
|
|
|
3. Reikwijdte en doelstelling |
1. Dit reglement stelt regels over de verwerking van persoonsgegevens van alle betrokkenen bij de organisatie, waaronder leerlingen en hun wettelijk vertegenwoordigers, medewerkers, bezoekers en externe relaties (bijv. leveranciers en opdrachtnemers). 2. Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door of namens de AED worden verwerkt. Het reglement heeft tot doel: a. de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens; b. vast te stellen met welk doel en op welke (juridische) grondslag persoonsgegevens binnen de AED worden verwerkt; c. te borgen dat persoonsgegevens binnen de AED rechtmatig, transparant en behoorlijk worden verwerkt; d. de rechten van betrokkenen vast te leggen en te borgen dat deze rechten door de AED worden gerespecteerd. |
|
|
|
|
|
|
4. Doelen van de verwerking van persoonsgegevens |
Bij de verwerking van persoonsgegevens houdt De AED zich aan de relevante wet- en regelgeving waaronder de Algemene Verordening Gegevensbescherming (AVG), de uitvoeringswet AVG en de onderwijswetgeving.
|
|
|
Doelen |
Persoonsgegevens worden uitsluitend verwerkt voor zover dat gebruik verenigbaar is met en noodzakelijk is voor de volgende doeleinden: a) Het aangaan, uitvoeren en beëindigen van arbeidsovereenkomsten, meer
|
|
|
|
|
|
|
|
|
|
|
5. Doelbinding |
Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking. De AED verwerkt niet meer gegevens dan noodzakelijk is om de betreffende doelen te bereiken.
|
|
|
6. Soorten persoonsgegevens |
De categorieën van persoonsgegevens zoals deze binnen de AED worden verwerkt, worden geregistreerd in een verwerkingsregister.
|
|
|
7. Grondslag verwerking |
Verwerking van persoonsgegevens gebeurt alleen indien aan een van de onderstaande voorwaarden is voldaan:
|
|
|
9. Bewaartermijnen
|
De AED bewaart persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor deze worden verwerkt, tenzij het langer bewaren van de persoonsgegevens op grond van wet- of regelgeving verplicht is.
|
|
|
10. Toegang
|
Binnen de organisatie van de AED geldt dat personen slechts toegang hebben tot persoonsgegevens voor zover dat daadwerkelijk nodig is. De toegang van medewerkers tot persoonsgegevens is dan ook beperkt tot de gegevens die noodzakelijk zijn voor de goede uitoefening van hun functie en (dus) hun werkzaamheden. Verder wordt slechts toegang verschaft tot de in de administratie en systemen van de school opgenomen persoonsgegevens aan: a. de verwerker die van de AED de opdracht heeft gekregen om persoonsgegevens te verwerken, maar alleen voor zover dat noodzakelijk is in het licht van de gemaakte afspraken; b. derden voor zover uit de wet voortvloeit dat de AED verplicht is om toegang te geven of sprake is van een (andere) grondslag voor deze verwerking, bijvoorbeeld de vervulling van een taak van algemeen belang of indien hiervoor toestemming is verkregen van de betrokkene of diens wettelijk vertegenwoordiger.
|
|
|
11. Beveiliging en geheimhouding
|
1. De AED neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. Deze maatregelen zijn er mede op gericht om niet noodzakelijke verzameling en verdere (niet noodzakelijke) verwerking van persoonsgegevens te voorkomen. 2. Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenen. 3. Een ieder die betrokken is bij de verwerking van persoonsgegevens binnen de AED is verplicht tot geheimhouding van de betreffende persoonsgegevens, en zal deze gegevens slechts verwerken voor zover dat noodzakelijk is voor de uitoefening van de betreffende functie, werkzaamheden of taak.
|
|
|
12. Verstrekken gegevens aan derden |
De AED kan persoonsgegevens aan derden verstrekken als daarvoor een grondslag bestaat in de zin van artikel 7 van dit reglement. |
|
|
|
|
|
|
13. Sociale media
14. Functionaris Gegevensbescherming |
Voor het gebruik van persoonsgegevens in sociale media, zijn aparte afspraken gemaakt in een gedragscode.
1. De AED heeft een functionaris gegevensbescherming (FG) aangewezen. De FG informeert, adviseert en ziet toe op de naleving van de AVG, Uitvoeringswet AVG en op het privacybeleid van de AED. 3. De FG is aangemeld bij het register van de Autoriteit Persoonsgegevens. |
|
|
|
|
|
|
15. Rechten betrokkenen |
1. De AED erkent de rechten van betrokkenen, handelt daarmee in overeenstemming en bewerkstelligt dat betrokkenen deze rechten daadwerkelijk kunnen uitoefenen. Het betreft in het bijzonder de volgende rechten:
|
|
|
Inzage |
Bij het verstrekken van de betreffende gegevens verschaft de AED voorts informatie over:
|
|
|
Verbetering, aanvulling, verwijdering |
|
|
|
Bezwaar
Kennisgevingsplicht |
|
|
|
Procedure |
2. De AED handelt een verzoek van een betrokkene zo spoedig mogelijk, maar uiterlijk binnen een maand na ontvangst van het verzoek, af. Afhankelijk van de complexiteit en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. Als deze verlenging plaatsvindt, wordt de betrokkene daarover binnen een maand na de ontvangst van het verzoek geïnformeerd. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. Wanneer de AED geen gevolg geeft aan het verzoek van de betrokkene, deelt de AED onverwijld en uiterlijk binnen een maand na ontvangst mede waarom het verzoek niet wordt ingewilligd en informeert hij de betrokkene over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen. |
|
|
|
|
||
Intrekken toestemming |
3. Indien voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijden door de betrokkene of zijn wettelijk vertegenwoordiger worden ingetrokken. Als de toestemming wordt ingetrokken, staakt de AED de verwerking van persoonsgegevens, behalve als er een andere grondslag (zoals bedoeld in artikel 7) voor de gegevensverwerking is. Het intrekken van de toestemming tast de rechtmatigheid van verwerkingen die reeds hebben plaatsgevonden niet aan. |
|
|
|
|
|
|
16. Transparantie
|
de AED informeert de betrokkene(n) actief over de verwerking van hun persoonsgegevens, in ieder geval door middel van een laagdrempelige privacyverklaring. In de privacyverklaring wordt in ieder geval de volgende informatie vermeld: a) de contactgegevens van de AED; b) de contactgegevens van de functionaris voor gegevensbescherming van de AED; c) de doeleinden van de gegevensverwerking en de grondslagen voor de verwerking; d) een omschrijving van de belangen van de AED indien de verwerking wordt gebaseerd op het gerechtvaardigd belang van de AED; e) de (categorieën) ontvangers van de persoonsgegevens, zoals verwerkers of derden; f) in voorkomend geval: of de persoonsgegevens worden verzonden aan landen buiten de Europese Economische Ruimte (EER); g) hoe lang de persoonsgegevens zullen worden bewaard; h) dat de betrokkene het recht heeft om de AED te verzoeken om inzage, verbetering of verwijdering van persoonsgegevens, en dat hij het recht heeft om te verzoeken om beperking van de verwerking, om bezwaar te maken of om een beroep te doen op het recht van gegevensoverdraagbaarheid; i) dat de betrokkene het recht heeft om zijn toestemming in te trekken, als de gegevensverwerking is gebaseerd op toestemming; j) dat de betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens; k) of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is, dan wel een noodzakelijke voorwaarde is om een overeenkomst te kunnen sluiten, en of de betrokkene verplicht is om de persoonsgegevens te verstrekken en wat de gevolgen zijn indien hij de persoonsgegevens niet verstrekt; l) het bestaan van geautomatiseerde besluitvorming, vergezeld van nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
Een ieder die betrokken is bij een verwerking van persoonsgegevens is verplicht om een datalek per ommegaande te melden bij het meldpunt (avg@aed-leiden.nl), conform het Protocol Informatiebeveiligingsincidenten van de AED. Een datalek is elke inbreuk waarbij persoonsgegevens zijn vernietigd of verloren, gewijzigd, verstrekt of toegankelijk zijn gemaakt.
|
|
|
18. Klachten |
1. Wanneer een betrokkene van mening is dat het doen of nalaten van de AED niet in overeenstemming is met de AVG, dit reglement of (andere) toepasselijke wet- of regelgeving, dan kan een klacht worden ingediend overeenkomstig de binnen de AED geldende klachtenregeling. Een betrokkene kan zich eveneens wenden tot de Functionaris Gegevensbescherming van de AED. 2. Als een klacht naar de mening van betrokkene door de AED niet correct is afgewikkeld, kan hij zich wenden tot de rechter of de Autoriteit Persoonsgegevens. |
|
|
|
|
|
|
19. Onvoorziene situatie |
Indien zich een situatie voordoet die niet beschreven is in dit reglement, neemt het bestuur van de AED de benodigde maatregelen, en wordt beoordeeld of dit reglement dientengevolge moet worden aangevuld of aangepast. |
|
|
|
|
|
|
20. Wijzigingen reglement |
1. Dit reglement is na instemming van de Medezeggenschapsraad (MR) vastgesteld door het bestuur van de AED. Het reglement wordt gepubliceerd op de website van de AED. Het reglement wordt verder actief onder de aandacht gebracht. 2. Het bestuur kan dit reglement wijzigen na instemming van de MR. |
|
|
|
|
|
|
21. Slotbepaling |
Dit reglement wordt aangehaald als het privacyreglement van de AED en treedt in werking op [25/05/2018]. |
|
|