Privacy beleid

Hieronder volgen de binnen Care4Kidz geldende regels (per artikel) met betrekking tot verantwoord omgaan met persoonsgegevens.

Artikel 1: Begripsomschrijving

In dit reglement wordt verstaan onder:


Artikel 2: Rechtmatige grondslag

2.1 De verwerkingsverantwoordelijke mag alleen ‘gewone’ persoonsgegevens verwerken wanneer deze aan ten minste 1 van de volgende  6 AVG-grondslagen voldoet.

  1. toestemming van betrokkene;
  2. noodzakelijk voor de uitvoering van een overeenkomst;
  3. noodzakelijk voor het nakomen van een wettelijke verplichting;
  4. noodzakelijk ter bescherming van vitale belangen;
  5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

2.2 De verwerking van bijzondere persoonsgegevens is verboden, tenzij u zich kunt beroepen op een wettelijke uitzondering (artikel 2.3) én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.   Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt. Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, politieke opvatting, nationaliteit, lidmaatschap van een vakvereniging,  strafrechtelijk verleden of seksuele leven.

2.3 Er zijn 10 wettelijke uitzonderingen op het verbod op het verwerken van bijzondere persoonsgegevens:

  1. Uitdrukkelijke toestemming. Iemand kan uitdrukkelijke toestemming geven voor de verwerking van zijn of haar bijzondere persoonsgegevens voor het doel of de doelen die u heeft aangegeven;
  2. Verwerkingen die noodzakelijk zijn voor de uitvoering van verplichtingen en het uitoefenen van arbeidsrecht en het sociale zekerheidsrecht zoals geregeld in de nationale wet;
  3. Verwerkingen die noodzakelijk zijn om de vitale belangen te beschermen;
  4. Verwerkingen voor gerechtvaardigde activiteiten door een instantie zonder winstoogmerk. De instantie moet wel passende waarborgen hebben ingebouwd en het mag alleen gaan om gegevensverwerkingen van (voormalige) leden of personen die regelmatig contact met de instantie onderhouden;
  5. Verwerkingen van persoonsgegevens die door de betrokken personen zelf openbaar zijn gemaakt;
  6. Verwerkingen die noodzakelijk zijn voor rechtsvordering of rechtsbevoegdheden;
  7. Verwerkingen met een zwaarwegend algemeen belang. Daarbij moet u de evenredigheid en de inhoud van het recht op bescherming respecteren. Ook moet u de maatregelen treffen zoals geregeld in een nationale wet;
  8. Verwerkingen die noodzakelijk voor de doelen gezondheidszorg, sociale diensten en arbeidsongeschiktheid, zoals geregeld in een nationale wet;
  9. Verwerkingen die noodzakelijk zijn voor de volksgezondheid, zoals geregeld in een nationale wet;
  10. Verwerkingen die noodzakelijk zijn voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.

2.4 De verwerking van strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én één van de bovengenoemde 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

De wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens zijn:

Artikel 3: Functionaris gegevensbescherming

3.1 Als verwerkingsverantwoordelijke kun je verplicht zijn om een functionaris voor de gegevens-bescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Als één of meerdere van onderstaande vragen met ‘ja’ beantwoordt, is de verwerkingsverantwoordelijke in elk geval verplicht om een FG aan te stellen.

3.2 De AVG geeft geen definitie van wat grootschalig is. De Europese privacytoezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:

3.3 Wanneer geen FG wordt aangesteld, zal de verwerkingsverantwoordelijke ervoor zorgen dat  kan worden onderbouwd waarom daarvoor is gekozen wanneer de AP daar om vraagt.

Artikel 4: Gegevensbeschermingseffectbeoordeling / Data protection impact assessment (DPIA)

4.1 Een DPIA  is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

4.2 Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie u persoonsgegevens verwerkt. Over het algemeen moet u een DPIA uitvoeren als uw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet.

Artikel 5: Bewaartermijnen

Het uitgangspunt in de AVG is dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van uw verwerking. Hoe lang u gegevens mag bewaren, verschilt dus per geval. Verwerkt u persoonsgegevens voor de archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doelen? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking. De gehanteerde bewaartermijnen worden ook vermeld in het verwerkingsregister.

Artikel 6: Verwerkingsregister

6.1 Het opstellen van een register van verwerkingsactiviteiten is verplicht wanneer:

6.2 De wet schrijft voor dat de volgende informatie in het register moet worden en opgenomen:

–  uw organisatie, of de vertegenwoordiger van uw organisatie;

–  eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;

–  de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;

–  eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.

6.3  Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet de verwerkingsverantwoordelijke het register direct kunnen laten zien.

Artikel 7: Verwerkersovereenkomst

7.1 Als de verwerkingsverantwoordelijke gebruik maakt van de diensten van een verwerker.  Dan zijn de verwerkingverantwoordelijke en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke (verwerkers) overeenkomst.

7.2 De volgende onderwerpen zullen worden vastgelegd in een (verwerkers)overeenkomst:

Artikel 8: In kaart brengen van de beveiligingsmaatregelen

8.1 Persoonsgegevens moeten goed worden beveiligd. Daarom  zal van tevoren in kaart worden gebracht wat voor verwerkingen worden uitgevoerd, bijvoorbeeld in een verwerkingsregister. Verwerkingsverantwoordelijke bepaalt welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat die verwerkingen goed beveiligd zijn. Bovendien is beveiligen een continu proces (plan, do, check, act). Verwerkingsverantwoordelijke moet continu monitoren of de getroffen beveiligingsmaatregelen nog adequaat zijn.

8.2 Voorbeelden van organisatorische maatregelen:

8.3 Voorbeelden van technische maatregelen:

Artikel 9: Privacyverklaring

Betrokkenen zullen door de verwerkingsverantwoordelijke op een begrijpelijke manier schriftelijk worden geïnformeerd over welke gegevens voor welk doel en met welke grondslag worden verzameld en verwerkt.  De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren of overhandigen van een (online) privacyverklaring. In de privacyverklaring worden de volgende gegevens benoemd:

Artikel 10: Rechten van betrokkene

10.1 Betrokkenen hebben de volgende rechten:

10.2 Om volgens de regels op een verzoek te reageren zal de verwerkingsverantwoordelijke het volgende weten en doen:

Specifieke regels en van toepassing zijnde uitzonderingen  over bovengenoemde rechten van betrokkenen zijn terug te vinden in de wettekst van de AVG en de verschillende toelichtingen hierover.

Artikel 11: Meldplicht datalekken

11.1 De meldplicht houdt in dat organisaties (zowel bedrijven als overheden) een melding moeten doen bij de AP zodra zij een ernstig datalek hebben.  Soms moeten zij het datalek ook melden aan de betrokkenen.  Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

11.2 De verwerkingsverantwoordelijke zal zorgen dat er een meldinstructie datalekken en een meldregister (waarin alle meldingen en bijhorende acties worden geregistreerd) binnen de organisatie aanwezig en bekend is bij alle medewerkers.

11.3 Een melding aan de AP moet plaatsvinden bij elk incident met betrekking tot persoons-gegevens tenzij niet waarschijnlijk is dat het datalek een risico inhoudt. Een melding aan de betrokkene dient vervolgens plaats te vinden indien het datalek waarschijnlijk een hoog risico inhoudt. Indien er sprake is van een datalek waarbij ‘gevoelige gegevens’ zijn gelekt (o.a. bijzondere persoonsgegevens, financiële gegevens, wachtwoord/inlognaam combinatie) zal gemeld moeten worden

11.4 Betrokkenen hoeven niet geïnformeerd te worden van een datalek als er sprake is van:

11.5 De melding van een datalek aan de AP zal in beginsel binnen 72 uur plaatsvinden. De 72 uur termijn gaat lopen op het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van  een datalek dat gemeld moet worden. Er moet een redelijke mate van zekerheid zijn dat het datalek gemeld moet worden. Om tot deze mate van zekerheid te komen, heeft de verantwoordelijke een korte periode van onderzoek om te bepalen of het incident gemeld moet worden. Dit betekent ook dat het moment waarop een verwerker kennis heeft genomen van het datalek, de verwerkingsverantwoordelijke ook geacht wordt hiermee bekend te zijn. De 72 uur gaat in dat geval al lopen vanaf ontdekking door de verwerker.

Artikel 12: Tot slot

12.1 Dit reglement treedt in werking op de uitgiftedatum vermeld op blad 1 van dit privacyreglement.

12.2 Daar waar dit reglement niet in voorziet of het gestelde in dit privacyreglement in strijd is met de van toepassing zijnde wetgeving zijn de regels in de geldende wetgeving van toepassing.

Kunnen wij je helpen?
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.