1
*
Privacybeleid
FENNEMA SCHILDERWERKEN DRIMMELEN
Datum: 25 mei 2018
Versie
2
INHOUDSOPGAVE
1 INLEIDING 3
1.1 Algemeen 3
1.2 Toepassingsgebied 3
1.3 Doel 3
2 BESTUURLIJKE ORGANISATIE 3
2.1 Rollen, taken en bevoegdheden 3
2.2 Processen 3
2.3 Uitvoering / verwerkers 4
3 RECHTMATIGHEID VAN DE VERWERKING 4
4 TOESTEMMING VAN DE BETROKKENE 4
4.1 Aantoonbaarheid 4
4.2 Informatieplicht 4
4.3 Intrekken toestemming 5
5 KWANTITEIT EN KWALITEIT VAN PERSOONSGEGEVENS 5
6 BEWAREN VAN PERSOONSGEGEVENS 5
7 INFORMATIEVERSTREKKING AAN BETROKKENE 5
7.1 Informatieverstrekking 5
7.2 Moment informatieverstrekking 6
7.3 Verwerking voor ander doel 6
7.4 Uitzondering informatieplicht 6
8 RECHTEN VAN DE BETROKKENE 6
8.1 Recht op inzage 6
8.2 Recht op rectificatie 6
8.3 Recht op vergetelheid 6
8.4 Recht op beperking van de verwerking 7
8.5 Recht op overdraagbaarheid 7
8.6 Recht op bezwaar 7
8.7 Kennisgevingsplicht 8
9 BEVEILIGING VAN DE VERWERKING 8
10 REGISTER VAN DE VERWERKINGSACTIVITEITEN 8
11 ONTWERP VAN VERWERKINGSSYSTEMEN EN
STADAARDINSTELLINGEN
8
12 MELDING BAN EEN INBREUK IN VERBAND MET
PERSOONSGEGEVENS
8
12.1 Melding aan de directie 8
12.2 Melding aan bevoegd gezag 9
12.3 Melding aan betrokkene 9
12.4 Documentatie van inbreuken persoonsgegevens 9
13 VERWERKER 9
14 DOORGIFTE AAN LEDEN BUITEN DE EU 10
15 OPLEIDING VAN MEDEWERKERS 10
16 JURIDISCH KADER 10
17 TOEZICHTHOUDER 10
18 VASTSTELLING 10
Bijlage 1 DEFINITIES 11
3
1. INLEIDING
1.1. Algemeen
Fennema Schilderwerken Drimmelen verwerkt in het kader van haar bedrijfsvoering
persoonsgegevens van rechtspersonen, contactpersonen en personen. Fennema Schilderwerken
Drimmelen acht het van groot belang dat zorgvuldig met deze persoonsgegevens wordt omgegaan en
dat deze vertrouwelijk worden behandeld. Fennema Schilderwerken Drimmelen onderkent dat de
persoonlijke levenssfeer van de natuurlijke (rechts)personen van wie gegevens worden verwerkt
bescherming verdiend en dat zij vanuit haar maatschappelijke rol en statutaire doelstelling daaraan
dient bij te dragen.
1.2. Toepassingsgebied
Het privacybeleid is van toepassing op de verwerking van alle persoonsgegevens binnen Fennema
Schilderwerken Drimmelen.
Het privacybeleid is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van
persoonsgegevens binnen of ten behoeve van Fennema Schilderwerken Drimmelen. Het
privacybeleid geldt voor het hele bedrijf en haar gelieerde bedrijven.
1.3. Doel
Het privacybeleid geeft invulling aan de wettelijke eisen ten aanzien van de bescherming van
persoonsgegevens. Het beleid heeft als doel de persoonsgegevens te beschermen tegen misbruik en
tegen het verwerken van onjuiste gegevens. Daarnaast heeft het beleid als doel persoonsgegevens te
verwerken in overeenstemming met wet- en regelgeving en voor het waarborgen van de rechten van
de betrokkenen.
2. BESTUURLIJKE ORGANISATIE
De directie stelt de wijze vast waarop Fennema Schilderwerken Drimmelen de besturing en
besluitvorming rondom privacy heeft georganiseerd en welke rollen belegd zijn. Elke rol heeft
specifieke taken, verantwoordelijkheden en bevoegdheden. Het samenspel tussen deze rollen zorgt
ervoor dat het privacybeleid is verankerd binnen Fennema Schilderwerken Drimmelen.
2.1. Rollen, taken en bevoegdheden
Bestuur
De directie is eindverantwoordelijk voor het vaststellen en het realiseren van het privacybeleid van
Fennema Schilderwerken Drimmelen. De directie is primair verantwoordelijk voor de implementatie
van het vastgestelde privacybeleid en daaruit volgende maatregelen. De directie ziet toe op naleving
van het privacybeleid. De rol van ‘Functionaris gegevensbescherming’, als bedoeld in de AVG, ligt bij
de directie. Hierbij draagt de directie zorg voor voldoende bewustzijn onder de medewerkers.
Minimaal een keer per jaar staat het privacybeleid op de agenda van de directie en wordt bepaald of
er nieuwe activiteiten noodzakelijk zijn om te voldoen aan de beleidsuitgangspunten.
Medewerkers
Medewerkers mogen persoonsgegevens alleen gebruiken voor zover nodig voor het doel waarvoor
Fennema Schilderwerken Drimmelen persoonsgegevens verwerkt en zover dit nodig is om hun werk
uit te voeren. De medewerker is verantwoordelijk voor het zorgvuldig omgaan met persoonsgegevens,
de naleving van het privacybeleid en daarvan afgeleide procedures. De medewerker dient elk
(mogelijk) incident of kwestie met betrekking tot persoonsgegevens te melden conform de
incidentenprocedure (hoofdstuk 12).
2.2. Processen
Bescherming van persoonsgegevens maakt integraal onderdeel uit van de bedrijfsprocessen en
informatievoorziening. Door middel van de planning- en controlecyclus wordt geborgd dat adequate
bescherming van persoonsgegevens geborgd is en blijft.
Implementatie
Het vastgestelde privacybeleid is het vertrekpunt bij de implementatie van het privacybeleid. Op basis
hier van wordt vastgelegd welke maatregelen dienen te worden geïmplementeerd, welke activiteiten
hiervoor nodig zijn en welke rollen hierbij betrokken zijn.
4
Evaluatie
Het privacybeleid wordt minimaal eenmaal per jaar geëvalueerd door de directie. Hierbij wordt
rekening gehouden met:
Wet- en regelgeving;
Incidenten van het afgelopen jaar (informatie beveiligingsincidenten, datalekken);
Resultaten van uitgevoerde risicoanalyses;
Bevindingen en aanbevelingen vanuit de periodieke evaluatie
Nieuwe trends (cybercrime, risico derde partijen etc.); en
Vernieuwde standaarden (o.a. ISO normen).
Aanpassing en implementatie
De evaluatie van het privacybeleid kan ertoe leiden dat bestaande maatregelen op het gebied van
bescherming van persoonsgegevens moeten worden gewijzigd of aanvullende maatregelen moeten
worden genomen. Deze dienen vervolgens geïmplementeerd te worden in de organisatie.
2.3. Uitvoering / verwerkers
Fennema Schilderwerken Drimmelen kan een uitvoeringsorganisatie aanstellen en/of verwerker(s)
inschakelen bij het uitvoeren van haar werkzaamheden. Indien een uitvoeringsorganisatie is
aangesteld, kunnen ook de rollen, taken, verantwoordelijkheden en bevoegdheden belegd worden bij
de uitvoeringsorganisatie. Alsdan maakt Fennema Schilderwerken Drimmelen en de
uitvoeringsorganisatie duidelijke afspraken omtrent de samenwerking en de verdeling van de rollen,
taken, verantwoordelijkheden en bevoegdheden. De eindverantwoordelijkheid rust altijd bij Fennema
Schilderwerken Drimmelen.
3. RECHTMATIGHEID VAN DE VERWERKING
De verwerking van persoonsgegevens dient aan ten minste een van onderstaande grondslagen te
voldoen. In het register is opgenomen op welke grondslag de verwerking is gebaseerd:
de toestemming van de betrokkene;
de verwerking is noodzakelijk voor de uitvoering van doelstelling van Fennema Schilderwerken
Drimmelen, conform haar Statuten zoals bekend bij de Kamer van Koophandel;
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van
Fennema Schilderwerken Drimmelen, behalve indien de belangen of de grondrechten en
fundamentele vrijheden van de betrokkene zwaarder wegen dan die belangen.
Fennema Schilderwerken Drimmelen verwerkt geen‘bijzondere persoonsgegevens’.
4. TOESTEMMING VAN BETROKKENEN
4.1. Aantoonbaarheid
Indien een verwerking berust op toestemming, kan Fennema Schilderwerken Drimmelen aantonen dat
de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
4.2. Informatieplicht
Bij het verkrijgen van toestemming zal de betrokkene gewezen worden op:
a. de doeleinden van de verwerking waarvoor toestemming gevraagd wordt;
b. andere relevante informatie die de betrokkene nodig heeft om een bewuste en vrijelijke beslissing
over de verwerking van zijn persoonsgegevens te maken;
c. het recht zijn toestemming in te trekken, waarbij geldt dat het intrekken van de toestemming de
rechtmatigheid van de Verwerking voor het intrekken van de toestemming onverlet laat.
Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere
aangelegenheden betrekking heeft, wordt het verzoek zodanig gepresenteerd dat een duidelijk
onderscheid kan worden gemaakt met de andere aangelegenheden.
4.3. Intrekken toestemming
De betrokkene kan zijn toestemming te allen tijde intrekken.
5
5. KWANTITEIT EN KWALITEIT VAN PERSOONSGEGEVENS
Fennema Schilderwerken Drimmelen verwerkt persoonsgegevens op een wijze die ten aanzien van
de betrokkene rechtmatig, behoorlijk en transparant is. Fennema Schilderwerken Drimmelen verwerkt
geen persoonsgegevens die niet noodzakelijk zijn voor de gerechtvaardigde doeleinden waarvoor
Fennema Schilderwerken Drimmelen persoonsgegevens heeft verkregen.
Fennema Schilderwerken Drimmelen neemt alle redelijke maatregelen om ervoor zorg te dragen dat
de persoonsgegevens die het verwerkt juist en actueel zijn.
6. BEWAREN VAN PERSOONSGEGEVENS
Fennema Schilderwerken Drimmelen bewaart persoonsgegevens in een vorm die het mogelijk maakt
de betrokkene te identificeren niet langer dan noodzakelijk:
a. gelet op de duur die nodig is voor de (gerechtvaardigde) doeleinden waarvoor de
persoonsgegevens worden verwerkt; of
b. voor zover (redelijkerwijs) nodig is om te voldoen aan een toepasselijke wettelijke verplichting; of
c. gelet op een toepasselijke verjaringstermijn; en
d. voor zover de betrokkene zich niet beroept op het recht om vergeten te worden.
In elke registratie van persoonsgegevens is de bewaartermijn vastgelegd. Nadat de toepasselijke
bewaartermijn is verstreken, geeft de directie opdracht om de gegevens:
a. veilig te verwijderen of te vernietigen;
b. te anonimiseren; of
c. te verplaatsen naar een archief (tenzij dit krachtens wetgeving of een geldende regeling voor
gegevensbewaring verboden is).
7. INFORMATIEVERSTREKKING AAN BETROKKENE
Fennema Schilderwerken Drimmelen informeert de betrokkene op adequate wijze over de
gerechtvaardigde doeleinden waarvoor hunpersoonsgegevens worden verwerkt en verstrekt de
betrokkene alle andere vereiste informatie met betrekking tot de verwerking van persoonsgegevens.
7.1 Informatieverstrekking
Fennema Schilderwerken Drimmelen verstrekt de betrokkene bij de verkrijging de volgende informatie:
contactgegevens van Fennema Schilderwerken Drimmelen;
doeleinden van de verwerking;
rechtsgrond van de verwerking;
(in voorkomend geval) de ontvangers of categorieën van ontvangers van de persoonsgegevens;
(in voorkomend geval) of Fennema Schilderwerken Drimmelen het voornemen heeft om de
gegevens door te geven aan een land buiten de EU of een Internationale organisatie;
(indien mogelijk) de periode gedurende welke de persoonsgegevens naar verwachting zullen
worden opgeslagen;
dat de betrokkene het recht heeft een verzoek in te dienen voor rectificatie of wissen van de
gegevens, of beperking van de verwerking, alsmede het recht tegen de verwerking bezwaar te
maken en het recht op gegevensoverdraagbaarheid;
wanneer de verwerking op uitdrukkelijke toestemming van betrokkene is gebaseerd, dat de
betrokkene het recht heeft om de toestemming in te trekken, zonder dat dit afbreuk doet aan de
rechtmatigheid van de verwerking op basis van de toestemming voor het intrekken ervan;
het recht een klacht in te dienen bij de bevoegde Toezichthoudende autoriteit;
of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is dan wel
een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is
de Persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens
niet worden verstrekt.
6
7.2. Moment informatieverstrekking
Fennema Schilderwerken Drimmelen verstrekt de informatie binnen een redelijke termijn, maar uiterlijk
binnen één maand opvragen van de persoonsgegevens.
Indien de persoonsgegevens worden gebruikt voor communicatie met de betrokkene, dan verstrekt
Fennema Schilderwerken Drimmelen de informatie uiterlijk op het moment van het eerste contact met
de betrokkene. Indien wordt overwogen de gegevens aan een andere ontvanger te verstrekken, dan
wordt de betrokkene uiterlijk geïnformeerd op het tijdstip waarop de persoonsgegevens voor het eerst
aan die ontvanger worden verstrekt.
7.3. Verwerking voor ander doel
Wanneer Fennema Schilderwerken Drimmelen voornemens is de persoonsgegevens verder te
verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt
Fennema Schilderwerken Drimmelen de betrokkene voor die verdere verwerking informatie over dat
andere doel en alle relevante informatie als hierboven genoemd.
7.4. Uitzondering informatieplicht
De informatieverplichting geldt niet indien:
a. de betrokkene reeds over de informatie beschikt;
b. het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen;
c. het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij wetgeving; en
d. de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader
van wetgeving.
8. RECHTEN VAN DE BETROKKENE
8.1. Recht op inzage
De betrokkene heeft het recht om Fennema Schilderwerken Drimmelen te vragen of er van hem al
dan niet persoonsgegevens worden verwerkt en wanneer dat het geval is, om inzage te verkrijgen in
die persoonsgegevens. In het geval van zo’n verzoek verstrekt Fennema Schilderwerken Drimmelen
de betrokkene de volgende informatie:
a. de doeleinden van de verwerking;
b. de categorieën van persoonsgegevens;
c. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden
verstrekt, met name ontvangers in derde landen of internationale organisaties;
d. indien mogelijk, de verwachte periode gedurende welke de persoonsgegevens worden opgeslagen,
of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e. dat de betrokkene het recht heeft Fennema Schilderwerken Drimmelen te verzoeken dat
persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende
persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f. dat de betrokkene het recht heeft een klacht in te dienen bij de bevoegde Toezichthoudende
autoriteit;
g. wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, alle beschikbare informatie
over de bron van die gegevens.
8.2. Recht op rectificatie
De betrokkene heeft het recht op onverwijlde rectificatie van hem betreffende onjuiste
persoonsgegevens.
Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht op
vervolledigen van onvolledige persoonsgegevens.
8.3. Recht op vergetelheid
De betrokkene heeft recht op wissen met betrekking tot de hem betreffende persoonsgegevens.
Fennema Schilderwerken Drimmelen is verplicht persoonsgegevens binnen een maand te wissen
wanneer een van de volgende gevallen van toepassing is:
a. de persoonsgegevens zijn niet langer nodig in verband met de doeleinden waarvoor de gegevens
werden verzameld of anderszins verwerkt;
b. de betrokkene trekt zijn toestemming in en er is geen andere rechtsgrond voor verwerking;
c. in geval van bezwaar van betrokkene;
7
d. de persoonsgegevens zijn onrechtmatig verwerkt; en
e. de persoonsgegevens moeten worden gewist op grond van een wettelijke verplichting.
In het geval Fennema Schilderwerken Drimmelen verplicht is de persoonsgegevens te wissen, dienen
maatregelen genomen te worden om derden die de persoonsgegevens openbaar hebben gemaakt,
op de hoogte te stellen dat de betrokkene het verzoek tot wissen heeft gedaan.
Het recht op wissen is niet van toepassing indien de verwerking nodig is:
a. voor de uitoefening van het recht op vrijheid van meningsuiting en informatie;
b. voor de vervulling van een wettelijke verplichting of taak van algemeen belang of uitoefening van
het openbaar gezag;
c. met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of
statistische doeleinden; en
d. voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
8.4. Recht op beperking van de verwerking
De betrokkene heeft het recht op beperking van de verwerking van persoonsgegevens indien:
a. de juistheid van de gegevens wordt betwist, gedurende de periode dat dit door Fennema
Schilderwerken Drimmelen wordt gecontroleerd;
b. de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen van de
persoonsgegevens en verzoekt in plaats daarvan om beperking van het gebruik ervan;
c. de gegevens niet meer nodig zijn voor de verwerkingsdoeleinden, maar alleen voor de instelling
van, uitoefening of onderbouwing van een rechtsvordering; en
d. bij bezwaar tegen de verwerkingsgronden, voor de periode dat de belangenafweging tussen het
belang van Fennema Schilderwerken Drimmelen en de betrokkene wordt getoetst;
Beperking houdt in dat de gegevens, afgezien van de opslag ervan, slechts worden verwerkt met:
a. Toestemming van de betrokkene; of
b. ten behoeve van de rechtsvordering; of
c. ter bescherming van de rechten van een andere natuurlijk of rechtspersoon; of
d. om gewichtige redenen van algemeen belang.
Een betrokkene waarvan de verwerking van zijn persoonsgegevens is beperkt, wordt door Fennema
Schilderwerken Drimmelen op de hoogte gebracht voordat de beperking wordt opgeheven.
8.5. Recht op overdraagbaarheid
De betrokkene heeft het recht de hem betreffende gegevens, die hij aan Fennema Schilderwerken
Drimmelen heeft verstrekt, in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen
en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen,
indien:
a. de verwerking is gebaseerd op toestemming of op een overeenkomst als rechtmatige grondslag; en
b. de verwerking via geautomatiseerde procedés wordt verricht. Bij de uitoefening van zijn recht op
gegevensoverdraagbaarheid heeft de betrokkene het recht dat de persoonsgegevens, indien dit
technisch mogelijk is, rechtstreeks van Fennema Schilderwerken Drimmelen naar een andere
verwerkingsverantwoordelijke worden doorgezonden.
Indien een betrokkene gebruik maakt van het recht op gegevensoverdraagbaarheid kan hij nog steeds
gebruik maken van zijn recht op gegevenswissing.
8.6. Recht op bezwaar
Betrokkene heeft het recht bij Fennema Schilderwerken Drimmelen bezwaar te maken tegen de
verwerking van zijn persoonsgegevens indien de grondslag hiervoor het gerechtvaardigd belang is.
Indien betrokkene een dergelijk bezwaar indient, zal Fennema Schilderwerken Drimmelen de
verwerking staken tenzij er sprake is van gronden voor deze verwerking die zwaarder wegen dan de
privacybelangen van de betrokkenen of die verband houden met een rechtsvordering.
8.7. Kennisgevingsplicht
Fennema Schilderwerken Drimmelen stelt iedere ontvanger, aan wie persoonsgegevens zijn verstrekt,
in kennis van elke rectificatie of wissing van persoonsgegevens of van de beperking van de
verwerking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene
hierom verzoekt, verstrekt Fennema Schilderwerken Drimmelen de betrokkene informatie over deze
ontvangers.
8
9. BEVEILIGING VAN DE VERWERKING
Fennema Schilderwerken Drimmelen heeft beleid vastgesteld en maatregelen geïdentificeerd om de
persoonsgegevens te beschermen tegen onrechtmatige toegang en andere ongewenste of onwettige
verwerking, waaronder verlies of vernietiging.
De maatregelen die Fennema Schilderwerken Drimmelen neemt om een op het risico afgestemd
beveiligingsniveau te waarborgen omvatten, waar passend, onder meer het volgende:
de pseudonimisering, anonimisering en versleuteling van de gegevens;
het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de
verwerkingssystemen en diensten te garanderen;
het vermogen om bij een incident de beschikbaarheid van en toegang tot de Persoonsgegevens
tijdig te herstellen; en
een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid
van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Bij de beoordeling van het passend beveiligingsniveau houdt Fennema Schilderwerken Drimmelen
met name rekening met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de
wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden,
opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
Fennema Schilderwerken Drimmelen treft maatregelen om ervoor te zorgen dat elke medewerker of
persoon die onder haar gezag handelt, alsmede de bewerkers, de persoonsgegevens uitsluitend in
haar opdracht verwerkt, tenzij deze daartoe door EU recht of nationaal recht is gehouden.
10. REGISTER VAN DE VERWERKINGSACTIVITEITEN
Alle verwerkingen van persoonsgegevens zijn geregistreerd in een register van de
verwerkingsactiviteiten. In het register is voor elke verwerking onder meer het volgende opgenomen:
de naam van de verwerking;
de naam en contactgegevens van de verwerkingsverantwoordelijke;
de doeleinden van de verwerking;
een beschrijving van de categorieën van betrokkenen en van de categorieën van
persoonsgegevens;
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
de beoogde termijnen waarbinnen de verschillende categorieën persoonsgegevens moeten
worden gewist;
een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
11. ONTWERP VAN VERWERKINGSSYSTEMEN EN STANDAARDINSTELLINGEN
Fennema Schilderwerken Drimmelen houdt bij de keuze en het gebruik van de informatiesystemen
rekening met de gegevensbeschermingsbeginselen en zal de nodige waarborgen in de systemen
inbouwen ter naleving van de wettelijke voorschriften.
Fennema Schilderwerken Drimmelen treft passende technische en organisatorische maatregelen om
ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor
elk specifiek doel van de verwerking. Fennema Schilderwerken Drimmelen zorgt ervoor dat dit als
standaard geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden
verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan.
12. MELDING VAN EEN INBREUK IN VERBAND MET PERSOONSGEGEVENS
12.1 Melding aan de directie
Indien een inbreuk of mogelijke inbreuk in verband met persoonsgegevens heeft plaatsgevonden of
plaats heeft kunnen vinden, meldt de medewerker van Fennema Schilderwerken Drimmelen deze
zonder vertraging aan de directie. Bij afwezigheidwijst de directie aan vervanger aan.
12.2. Melding aan bevoegd gezag
Indien een Inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt Fennema
Schilderwerken Drimmelen deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur
9
nadat kennis is genomen van de inbreuk aan de bevoegde toezichthoudende autoriteit. Indien de
melding niet binnen 72 uur plaatsvindt gaat de melding vergezeld van een motivering voor de
vertraging.
Deze melding is slechts noodzakelijk indien het waarschijnlijk is dat de Inbreuk in verband met
persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
12.3. Mededeling aan betrokkene
Wanneer de Inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de
rechten en vrijheden van natuurlijke personen, deelt Fennema Schilderwerken Drimmelen de
betrokkene de Inbreuk in verband met persoonsgegevens onverwijld mee.
Deze mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is
voldaan:
a. Fennema Schilderwerken Drimmelen heeft passende technische en organisatorische maatregelen
genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband
met persoonsgegevens betrekking heeft;
b. Fennema Schilderwerken Drimmelen achteraf maatregelen heeft genomen om ervoor te zorgen dat
het risico voor de rechten en de vrijheden van betrokken zich waarschijnlijk niet meer zal voordoen; en
c. de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de plaats een
openbare mededeling of een soortgelijke maatregel waarbij betrokkene even doeltreffend worden
geïnformeerd.
12.4. Documentatie van inbreuken persoonsgegevens
Fennema Schilderwerken Drimmelen documenteert alle Inbreuken in verband met persoonsgegevens,
met inbegrip van de feiten omtrent de Inbreuk in verband met persoonsgegevens, de gevolgen
daarvan en de genomen corrigerende maatregelen.
13. VERWERKER
Fennema Schilderwerken Drimmelen geeft in het kader van de verwerking van persoonsgegevens
alleen opdracht aan een leverancier die afdoende garanties biedt met betrekking tot het toepassen
van passende technische en organisatorische maatregelen, zodat de verwerking aan de vereisten van
wet- en regelgeving voldoet en de rechten van de betrokkene gewaarborgd zijn.
De verwerking door de verwerker wordt geregeld in een verwerkersovereenkomst. De
verwerkersovereenkomst dient ertoe te waarborgen dat de verplichtingen die op Fennema
Schilderwerken Drimmelen rusten ook door de verwerker worden nageleefd.
In de verwerkersovereenkomst zijn het onderwerp en de duur van de verwerking, de aard en het doel
van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en
verplichtingen van Fennema Schilderwerken Drimmelen omschreven.
Verder zijn in de verwerkersovereenkomst de volgende onderwerpen opgenomen:
de verwerker verwerkt persoonsgegevens uitsluitend op basis van instructies van Fennema
Schilderwerken Drimmelen;
de verwerker draagt zorg voor een passende beveiliging van de persoonsgegevens;
Fennema Schilderwerken Drimmelen heeft de mogelijkheid tot het uitvoeren van audits bij de
verwerker;
voorwaarden voor het inschakelen van een subverwerker door de verwerker;
geheimhouding en vertrouwelijkheid;
doorgifte van persoonsgegevens naar landen buiten de EU;
het wissen, verwijderen, terugbezorgen en vernietigen van persoonsgegevens door verwerker;
de verplichte melding van datalekken door verwerker aan Fennema Schilderwerken Drimmelen;
en
aansprakelijkheid.
Fennema Schilderwerken Drimmelen hanteert (een) verwerkersovereenkomst (en) die voldoet of
voldoen aan alle wettelijke eisen die daaraan worden gesteld.
14. DOORGIFTE AAN LANDEN BUITEN DE EU
Doorgifte van persoonsgegevens door Fennema Schilderwerken Drimmelen aan een land buiten de
EU of aan een Internationale organisatie kan plaatsvinden wanneer de Europese Commissie heeft
10
besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde
land, of de Internationale organisatie in kwestie een passend beschermingsniveau waarborgt.
In het geval dat de Europese Commissie niet heeft besloten dat het derde land of de Internationale
organisatie een passend beschermingsniveau biedt, zal Fennema Schilderwerken of haar verwerker
alleen persoonsgegevens doorgeven als is vastgesteld dat het desbetreffende land of de organisatie
passende waarborgen biedt en betrokkene over afdwingbare rechten en doeltreffende rechtsmiddelen
beschikken.
15. OPLEIDING VAN MEDEWERKERS
Fennema Schilderwerken Drimmelen zorgt ervoor dat medewerkers, zowel intern als extern, die
toegang hebben tot persoonsgegevens bekend zijn met het de bescherming van persoonsgegevens
en het privacybeleid.
16. JURIDISCH KADER
Het juridisch kader voor dit privacybeleid is in Nederland vastgelegd in:
De Europese Algemene Verordening Gegevensbescherming (AVG), inclusief daarbij horende
uitvoeringswetgeving en/of richtlijnen;
Overige fingerende wetgeving, zoals de Wwft.
17. TOEZICHTHOUDER
De bevoegde Toezichthoudende autoriteit houdt toezicht op de naleving van de wet- en regelgeving
voor bescherming Persoonsgegevens. In Nederland is de bevoegde Toezichthoudende autoriteit de
Autoriteit Persoonsgegevens. Zie https://autoriteitpersoonsgegevens.nl/
18. VASTSTELLING
Dit beleid is vastgesteld en ingegaan op 25-05-2018.
11
Bijlage 1. DEFINITIES
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn onder meer:
Persoonsgegevens waaruit ras of etnische afkomst zijn af te leiden;
Persoonsgegevens waaruit politieke opvattingen, religieuze of levensbeschouwelijke
overtuigingen zijn af te leiden;
Gegevens over politieke gezindheid;
Lidmaatschap van een vakbond;
Genetische en biometrische gegevens met het oog op de unieke identificatie van een persoon;
Gegevens over gezondheid;
Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;
Strafrechtelijke gegevens; en
Gegevens over hinderlijk/onrechtmatig gedrag in verband met verbod op dat gedrag.
Biometrische gegevens
Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot
de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond
waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals
gezichtsafbeeldingen of vingerafdrukgegevens.
Derde
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan,
niet zijnde de betrokkene, noch de Verwerkingsverantwoordelijke, noch de verwerker, noch de
personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker
gemachtigd zijn om de persoonsgegevens te verwerken.
Directie
De directeur of zijn/haar plaatsvervanger van Fennema Schilderwerken Drimelen, met bevoegdheden
zoals vastgelegd in de Statuten.
Gegevens over gezondheid
Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke
persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn
gezondheidstoestand wordt gegeven.
Inbreuk in verband met persoonsgegevens
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het
verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Internationale organisatie
Een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen
die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.
Ontvanger
Een natuurlijke persoon of rechtspersoon, al dan niet lid bij Fennema Schilderwerken Drimmelen, een
overheidsinstantie, een dienst of een ander orgaan, aan wie/waaraan de persoonsgegevens worden
verstrekt.
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke (rechts)persoon (de
betrokkene); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan
worden geïdentificeerd, met name aan de hand van indicatoren zoals een naam, een
identificatienummer, locatiegegevens, een online indicator of van een of meer elementen die
kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of
sociale identiteit van die natuurlijke persoon.
12
Profilering
Elke vorm van geautomatiseerde besluitvorming waarbij aan de hand van persoonsgegevens
bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd.
Pseudonimisering
Het verwerken van Persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan
een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden
gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische
maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een
geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld. Pseudonimisering is
omkeerbaar mits gebruik van de juiste sleutel.
Register
Register van de verwerkingsactiviteiten.
Toestemming van de betrokkene
Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door
middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende Verwerking van
Persoonsgegevens aanvaardt.
Toezichthoudende autoriteit
Een door een lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie.
Verwerker
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/
dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Verwerking
Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel
van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen,
vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken,
verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen,
aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan
die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt;
wanneer de doelstellingen van en de middelen voor deze verwerking in het (inter)nationaal recht
worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens
welke criteria deze wordt aangewezen.
13
Bijlage 2
Geheimhoudingsverklaring in Fennema Schilderwerken Drimmelen Arbeidsovereenkomst
Op de geheimhoudingsverplichting voor werknemer en werkgever is de Wet Bescherming
Persoonsgegevens / Algemene Verordening Gegevensbescherming van toepassing. De werknemer is
gehouden om gegevens, data, en alles wat hem of haar ter kennis komt in het kader van de uitvoering
van de arbeidsovereenkomst, vertrouwelijk en conform dit privacybeleid te behandelen.
De werknemer verplicht zich zowel tijdens de duur van de arbeidsovereenkomst als na beëindiging
daarvan zich te onthouden van het doen van enige mededeling aan derden, in welke vorm dan ook,
hetzij direct, hetzij indirect, aangaande enige bijzonderheid het bedrijf van werkgever of aan haar
gelieerde maatschappijen betreffende, of daarmee verband houdende, waarvan de werknemer
redelijkerwijs kan begrijpen dat zulks niet bestemd is voor kennisname door derden.
Alle zaken, waaronder begrepen schriftelijke stukken en fotokopieën daarvan, alsmede
geautomatiseerde gegevensdragers (waaronder computerdiskettes, USB sticks of anderszins) die de
werknemer van of ten behoeve van werkgever tijdens de arbeidsovereenkomst onder zich krijgt, zijn
en blijven eigendom van werkgever. De medewerker zal deze zaken op het eerste verzoek van
werkgever, doch in ieder geval op het tijdstip waarop de arbeidsovereenkomst eindigt, wederom aan
werkgever ter beschikking stellen.