Privacy reglement EDINOVA

Privacyreglement EDINOVA

Artikel 1. Algemene en begripsbepalingen 1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Algemene Verordening Gegevensbescherming (AVG) (voorheen de Wet bescherming persoonsgegevens) en de SUWI-wet daaraan toekennen. 2 Persoonsgegevens Elk gegeven dat informatie bevat over een geïdentificeerde of identificeerbare natuurlijke persoon. 3 Verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens welke wordt of worden gebruikt voor de uitoefening van de dienstverlening van EDINOVA. 4 Verwerkingsverantwoordelijke

De directie van Edinova die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

5 Verwerker

De directie van Edinova die ten behoeve van en verwerkingsverantwoordelijke (opdrachtgever) persoonsgegevens verwerkt.

6 Beheerder van persoonsgegevens Degene die onder verantwoordelijkheid van de directie van EDINOVA is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens. 7 Functionaris voor gegevensbescherming (FG)

Functionaris (onafhankelijk) die intern toezicht houdt en adviseert over de toepassing en naleving van de AVG door EDINOVA

8 Gebruiker van persoonsgegevens Degene die als medewerker, bewerker of anderszins geautoriseerd is persoonsgegevens te gebruiken. 9 Medewerker Alle personen, werkzaam in de organisatie van EDINOVA, al dan niet op basis van een arbeidsovereenkomst. 10 Betrokkene Degene van wie persoonsgegevens zijn opgenomen. 11 Opdrachtgever Een natuurlijke of rechtspersoon die aan EDINOVA een opdracht tot dienstverlening heeft gegeven. 12 Toegang tot persoonsgegevens Het autoriseren van personen, werkzaam in de organisatie van EDINOVA, tot het kennis nemen en eventueel muteren van persoonsgegevens. 13 Verstrekken van persoonsgegevens aan derden Het bekend maken of ter beschikking stellen van persoonsgegevens buiten de organisatie van EDINOVA. 14 Derden ingehuurd Alle ingehuurde en niet tot de organisatie behorende personen, die voor kortere of langere tijd werkzaamheden verrichten in opdracht van EDINOVA.

 

Artikel 2. Reikwijdte en toepassingsgebied 1 Dit reglement is van toepassing op de handmatige en geautomatiseerde verwerkingen van persoonsgegevens binnen EDINOVA.

2 Het betreft persoonsgegevens die noodzakelijk zijn voor de onder artikel 3b genoemde activiteiten. Deze zijn gespecificeerd in het register van verwerkingsactiviteiten van EDINOVA. 3 Dit reglement is van toepassing op alle deelnemers aan diensten en cursussen van EDINOVA, ook die door de overheid (gemeenten, UWV) in contractopdracht of door derden verwezen naar EDINOVA.

 

Artikel 3a. Doel van dit privacyreglement 1 Dit reglement heeft tot doel: – de persoonlijke levenssfeer van ieder van wie persoonsgegevens zijn opgenomen in één of meer bestanden, te beschermen tegen misbruik van die gegevens en tegen opslag van onjuiste gegevens – te voorkomen dat persoonsgegevens die in een bestand zijn opgenomen voor een ander doel worden gebruikt dan waarvoor dat bestand is bestemd – de rechten van betrokkenen te waarborgen.

Artikel 3b. Doel en grondslag van de verwerking van persoonsgegevens 1. Doel en grondslag van de verwerking van persoonsgegevens is het vastleggen van en het kunnen beschikken over gegevens, die noodzakelijk zijn voor de uitvoering van de met de opdrachtgevers overeengekomen dienstverlening, zoals: a. Registratie van contact- en persoonsgegevens t.b.v. diensten, cursussen en de voortgang daarvan;

  1. Identificatie; c Registratie van deelname bij DUO in Groningen ter verkrijging van een lening in het kader van de Wet Inburgering; d Het voldoen aan wettelijke voorschriften; e Het aanleveren van informatie in het kader resultatenonderzoek en tevredenheidsonderzoek inzake certificering Keurmerk Blik op Werk. f Het aanleveren van resultaatgegevens aan derden, zijnde opdrachtgevers, omschreven in de Wet Inburgering; g Registratie van en de behandeling van klachten. 2 Er worden geen persoonsgegevens verwerkt voor andere doeleinden dan overeengekomen en zoals in het reglement is aangegeven, zonder uitdrukkelijke toestemming van de betrokkene(n).

 

Artikel 4. Verantwoordelijkheden verwerkingen van persoonsgegevens 1 De directie van EDINOVA is aanspreekbaar voor het goed functioneren van de verwerking van de persoonsgegevens en voor de naleving van de bepalingen van dit reglement. Zijn/Haar handelen, met betrekking tot de verwerking van de persoonsgegevens en de verstrekking van gegevens, wordt beperkt door dit reglement. 2 De directie van EDINOVA neemt als verwerkingsverantwoordelijke passende en effectieve maatregelen om te zorgen dat de verwerkingen in lijn met de AVG plaatsvinden, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en de risico’s die de verwerking voor de rechten en vrijheden van de betrokkenen kunnen hebben.

3 De directie van EDINOVA draagt de verantwoordelijkheid voor de dagelijkse zorg van de verwerking van de persoonsgegevens op aan de beheerder. 4 De directie van EDINOVA treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Hij/zij draagt tevens zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

5 De directie van EDINOVA heeft een onafhankelijke Functionaris Persoonsgegevens (FG) aangesteld die intern toezicht houdt en adviseert over de toepassing en naleving van de AVG door EDINOVA met betrekking tot verwerking van persoonsgegevens.

6 Als gegevensverantwoordelijke voert EDINOVA periodiek en voorafgaand aan nieuwe verwerkingen van risicovolle verwerking van persoonsgegevens een gegevensbeschermingseffectbeoordeling uit om de genomen maatregelen te beoordelen en zo nodig aan te passen.

7 Mocht ,ondanks alle maatregelen, toch een inbreuk in verband met persoonsgegevens (datalek) plaatsvinden zal de Directie van EDINOVA als gegevensverantwoordelijke dit melden aan de autoriteit persoonsgegevens (AP) en aan de betrokkenen indien waarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen conform de bepalingen in de AVG.

8 EDINOVA als verwerker zal een inbreuk in verband met persoonsgegevens (datalek) zo spoedig mogelijk melden aan de betreffende gegevensverantwoordelijke.

9 EDINOVA als verwerker zal alleen andere partijen inschakelen voor verwerkingen met schriftelijke toestemming van de gegevensverantwoordelijke.

 

Artikel 5. Toegang tot de persoonsgegevens 1 Alleen die medewerkers hebben toegang tot de persoonsgegevens voor zover dat noodzakelijk is voor hun taakuitoefening. 2 Een ieder die toegang heeft tot persoonsgegevens heeft een geheimhoudingsplicht ter zake van de gegevens waarvan hij/zij op grond van die toegang heeft kennisgenomen. 3 Derden die door EDINOVA zijn ingehuurd om werkzaamheden te verrichten, hebben toegang tot de verwerkingen van persoonsgegevens, voor zover dit noodzakelijk is voor hun taakuitoefening.

 

Artikel 6. Beveiliging van de persoonsgegevens 1 Er wordt zorgvuldig met persoonsgegevens omgegaan. Hiertoe worden de gegevens voldoende beveiligd. 2 De directie van Edinova stelt, in overleg met de beheerder, beveiligingsvoorschriften voor de persoonsgegevens op. 3 EDINOVA treft de nodige maatregelen opdat persoonsgegevens juist, nauwkeurig, toereikend en niet bovenmatig zijn, hierbij gelet op de gestelde doelen waarvoor zij verzameld worden. 4 De directie van EDINOVA voert passende technische en organisatorische maatregelen uit om de persoonsgegevens te beschermen tegen verlies, diefstal of enige vorm van onrechtmatige verwerking. Dit betekent een dossierbeveiliging door de dossiers op te bergen in afgesloten kasten. 5. Toegang tot het geautomatiseerde systeem is alleen mogelijk met een inlog met wachtwoord, waarbij per functionaris is ingesteld welke gegevens bewerkt en/of ingezien mogen worden conform een rechtenmatrix. 6. Toegang tot de persoonsgegevens hebben slechts die medewerkers die uit hoofde van hun functie met cursisten of deelnemers in contact zijn.

 

Artikel 7. Verstrekking van gegevens 1 Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift of het een geval betreft als genoemd in artikel 7.3, is voor verstrekking van persoonsgegevens aan derden de gerichte schriftelijke toestemming van de betrokkene vereist. 2 Binnen de organisatie van EDINOVA kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, indien en voor zover dit voor hun taakuitoefening noodzakelijk is, aan: 3 Degenen die rechtstreeks betrokken zijn bij de actuele begeleiding van of advisering over de betrokkene dan wel op andere wijze rechtstreeks betrokken zijn bij de uitvoering van een concrete opdracht van de opdrachtgever; 4 Personen die belast zijn met de directe vakinhoudelijke begeleiding van de betrokkene of personen die betrokken zijn bij behandeling van klachten van de betrokkene; 5 De directie van EDINOVA, in verband met zijn/haar algemene verantwoordelijkheid als verwerkingsverantwoordelijke of verwerker. 6 Buiten de organisatie van EDINOVA kunnen zonder toestemming van de betrokkene, persoonsgegevens worden verstrekt, indien en voor zover dit voor de taakuitoefening van derden noodzakelijk is, aan: 7 Opdrachtgevers in het kader van de overeengekomen dienstverlening; Leveranciers, voor zover deze gegevens nodig zijn voor een doelmatige uitvoering van de opdracht; 8 Personen die op grond van een daartoe gesloten overeenkomst, goedgekeurd door de directie van EDINOVA, belast zijn met het onderhoud en de instandhouding van de apparatuur en programmatuur ten behoeve van de persoonsgegevens en indien voor zover toegang tot de gegevens noodzakelijk is voor hun taakuitoefening; 9 Derden die op grond van een daartoe gesloten verwerkersovereenkomst, goedgekeurd door de directie van EDINOVA als verwerkingsverantwoordelijke, werkzaamheden verrichten voor EDINOVA en voor zover deze gegevens nodig zijn om een doelmatige uitvoering van de opdracht re realiseren. 10 DUO in Groningen ter verkrijging van een lening in het kader van de Wet Inburgering; 11. Onderzoeksbureau (Panteia) en certificerende instantie (KIWA) namens Keurmerk Blik op Werk, m.b.t. het geven van inzage of aanleveren van informatie in het kader van resultatenonderzoek en tevredenheidsonderzoek inzake certificering.

 

Artikel 8. Inzage van opgenomen gegevens 1 De betrokkene heeft recht op inzage in en afschrift van de op zijn/haar persoon betrekking hebbende gegevens. Hij/zij dient daartoe een schriftelijk verzoek in bij de beheerder. Deze geleidt het verzoek door naar de gebruiker, op wiens initiatief de betreffende gegevens zijn verzameld, diens waarnemer of opvolger. 2 Aan een verzoek als bedoeld in dit artikel wordt binnen vier weken na ontvangst daarvan voldaan. 3 De door de betrokkene of zijn/haar gemachtigde gevraagde gegevens worden niet eerder verstrekt dan nadat, naar het oordeel van degene naar wie het verzoek is doorgeleid, voldoende vaststaat dat degene die de gegevens vraagt, de betrokkene of zijn/haar gemachtigde is. Dit dient plaats te vinden middels een deugdelijke legitimatie. 4 De beheerder kan weigeren aan een in dit artikel bedoeld verzoek te voldoen, voor zover dit noodzakelijk is wegens gewichtige belangen van anderen dan de verzoeker, de organisatie van de verantwoordelijke daaronder begrepen. 5 Voor de verstrekking van (meerdere) afschriften mag een vergoeding in rekening worden gebracht. De directie bepaalt wat onder een redelijke vergoeding wordt verstaan.

6 Indien technisch mogelijk kan een kopie in een gestructureerde, gangbare en een machineleesbare vorm worden verstrekt, geschikt voor dataportabiliteit.

 

Artikel 9. Aanvulling, correctie, beperking of vernietiging van opgenomen gegevens 1 Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens. 2 Zijn opgenomen gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend, dan wel in strijd met een wettelijk voorschrift van de verwerking, dan dient de betrokkene een schriftelijk verzoek in bij de beheerder wat de aan te brengen correctie behelst. De beheerder beslist niet voordat de functionaris, die de gegevens heeft verzameld, of diens waarnemer of opvolger, is gehoord. 3 Binnen vier weken na ontvangst van het verzoek bericht de beheerder de verzoeker schriftelijk of dan wel in hoeverre aan het verzoek tot correctie of vernietiging wordt voldaan. Een weigering is met redenen omkleed.

4 Betrokkene heeft recht op verwijdering of beperking van gegevens indien de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden van verzameling, onrechtmatig verkregen zijn, betrokkenen gegrond bezwaar maakt of de toestemming intrekt.

5 Redelijke technische en organisatorische maatregelen worden genomen om de gegevens zowel uit eigen systemen als uit gekoppelde systemen te verwijderen of te beperken. 6 Verwijdering, beperking of vernietiging blijft achterwege indien redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. 7 De beheerder draagt zorg dat een beslissing tot aanvulling, correctie of vernietiging zo spoedig mogelijk wordt uitgevoerd. 8 In geval van vernietiging van gegevens wordt in de gegevens een verklaring opgenomen dat op verzoek van betrokkene gegevens zijn vernietigd.

 

Artikel 10. Bewaartermijnen 1 Met inachtneming van eventuele wettelijke voorschriften stelt de directie van INOVA vast hoe lang de persoonsgegevens bewaard blijven. Deze bewaartermijn bedraagt twee jaar nadat de studie of dienstverlening van betrokkene is beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. 2 De geautomatiseerde gegevens worden na het verstrijken van de bewaartermijn verwijderd uit het geautomatiseerde systeem. Overige (papieren)dossiers met persoonsgegevens worden meegegeven aan de cliënt of anders na twee maanden vernietigd. Indien de desbetreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. 3 Na beëindiging van de met de opdrachtgever gesloten overeenkomst worden alle tot de persoon van cliënten te herleiden gegevens, data en/of resultaten bij beëindiging van de bemiddeling van cliënten ter beschikking gesteld van de opdrachtgever.

 

Artikel 11. Klachten 1 Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of indien hij andere redenen heeft tot klagen, dient hij zich te wenden tot de verantwoordelijke. 2 De klacht wordt afgehandeld, overeenkomstig het klachtenreglement van EDINOVA. Een klacht met betrekking tot verwerking(en) van persoonsgegevens wordt tevens voorgelegd aan de Functionaris Persoonsgegevens (FG). De beslissing is zodanig geformuleerd dat ten aanzien daarvan beroep op de Autoriteit Persoonsgegevens (AP) of de rechter mogelijk is.

Artikel 12. Informeren belanghebbenden over privacyreglement Personen op wie dit privacyreglement van toepassing is worden hierover geïnformeerd in het cursuscontract of andere overeenkomsten. Het privacyreglement en de inhoud daarvan is bekend bij alle medewerkers van EDINOVA die te maken hebben met verwerking van persoonsgegevens. Dit reglement is voor alle belanghebbenden opvraagbaar bij EDINOVA.

Artikel 13. Slotbepalingen 1 13.1 Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de verwerkingen van persoonsgegevens. 2 13.2 Dit reglement kan gewijzigd worden bij besluit van de verantwoordelijke. 3 Dit reglement is per 25 mei 2018 in werking getreden.