AVG & Privacyreglement
PRIVACYREGLEMENT
Dit is het privacyreglement van BILAgroep B.V. , ingeschreven in het handelsregister van de Kamer van Koophandel nummer 84242590.
BILAgroep verwerkt de aan hun verstrekte persoonsgegevens overeenkomstig de Algemene Verordening Gegevensbescherming (AVG).
BILAgroep en privacy
Binnen BILAgroep wordt veel gewerkt met persoonsgegevens van burgers, medewerkers, (keten)partners maar ook gegevens van contactpersonen van zakelijke klanten en leveranciers.
1. Algemene bepalingen
1.1 Wetgeving en definities
Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden, samen met de uitvoeringswet. In de AVG is het juridisch kader voor de omgang met persoonsgegevens geregeld.
De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):
AP (Autoriteit persoonsgegevens):
zelfstandig bestuursorgaan dat bij wet als toezichthouder is aangesteld voor het toezicht op verwerken van persoonsgegevens.
Bestand:
Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn.
Betrokkene:
De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
Bijzondere categorieën persoonsgegevens:
zijn gegevens over iemands ras of etnische afkomst; politieke opvattingen; godsdienst of levensovertuiging; lidmaatschap van een vakbond; genetische of biometrische gegevens met oog op unieke identificatie; gezondheid; seksuele leven; strafrechtelijk verleden.
Persoonsgegevens:
Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij om ieder gegeven dat te herleiden is tot een bepaald persoon zoals naam, adres, geboortedatum of van een of meer elementen die kenmerkend zijn voor onder andere de fysieke, genetische, psychische, economische, culturele of sociale identiteit van de natuurlijke persoon.
Burger Service Nummer (BSN) wordt onder de AVG aangemerkt als een algemeen persoonsgegeven. BSN mag echter slechts worden gebruikt ter uitvoering van een wettelijke verplichting.
Toestemming van de betrokkene:
elke vrije, specifieke en op informatie berustende ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een (meestal) schriftelijke of mondelingen verklaring of een ondubbelzinnige actieve handeling verwerking van zijn persoonsgegevens aanvaardt.
Verwerker:
De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke.
Verwerking:
Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.
Verwerkingsverantwoordelijke:
Een persoon of instantie (in deze BILAgroep) die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt, meestal de bestuurder van de organisatie.
Gezondheid-welzijnsgegevens:
gegevens van materiele en immateriële aard die van invloed zijn op lichamelijk-, geestelijk- en sociale gezondheid van een persoon.
1.2 Reikwijdte
De kaders die in dit reglement staan beschreven gelden voor iedereen die gegevens verwerken voor of in opdracht van BILAgroep.
1.3 Het doel
Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor het realiseren van de wettelijke doeleinden alsmede de doeleinden zoals die omschreven zijn staan in de statuten, jaarplannen en andere plannen van de stichtingen behorend tot BILAgroep en het voeren van beleid en beheer in het kader van deze doeleinden.
1.4 (verwerkings) Verantwoordelijke
Het bestuur is eindverantwoordelijk, maar iedereen binnen de organisatie is verantwoordelijk voor de bescherming van de privacy van betrokkenen.
Bestuurder
• is eindverantwoordelijk om te waarborgen dat persoonsgegevens worden beschermd op een behoorlijke en zorgvuldige manier in overeenstemming met wet- en regelgeving en;
• is verantwoordelijk voor kaderstelling en sturing;
• ziet toe op de juiste uitvoering van privacy beleid en -reglement en stuurt op (concern) risico’s;
Managers
• rapporteren aan de bestuurder over naleving van wet- en regelgeving en het privacy beleid;
• dragen zorg voor behoren en tijdig betrekken van privacy-officer bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens;
• zijn verantwoordelijk voor de te nemen maatregelen die moeten worden getroffen om de privacy van betrokkenen te beschermen.
Management
Hieronder vallen alle (team)managers/leidinggevenden en proceseigenaren.
Zij zijn verantwoordelijk voor:
• het (laten) opstellen, indien nodig, van het voor dat betreffende organisatieonderdeel specifieke protocol en vragen hierover advies bij privacy-officer en leggen het waar nodig aan directie voor ter vaststelling;
• het borgen van wet- en regelgeving, het privacy beleid en privacyreglement;
• Medewerkers (inclusief inhuur/extern)
Alle medewerkers (uitzendkrachten of ZZP, vrijwilligers en stagiaires) zijn verantwoordelijk voor de bescherming van de privacy van betrokkenen. Dat betekent dat iedereen zorgt, binnen de kaders van zijn rol/functie, voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens.
2. Beginselen
2.1 Rechtmatige verwerking, behoorlijkheid en transparantie
2.1.1 Persoonsgegevens worden in overeenstemming met de wet en dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
2.1.2 Persoonsgegevens worden alleen voor de in dit reglement bedoelde doeleinden verzameld en worden niet verder verwerkt op een manier die onverenigbaar is met de doeleinden waarvoor zij verzameld zijn.
2.1.3 Persoonsgegevens dienen- gelet op de doeleinden waarvoor zij verzameld worden of vervolgens worden verwerkt- toereikend en ter zake dienend te zijn; er dienen niet meer persoonsgegevens te worden verzameld of verwerkt dan voor het doel van de registratie nodig is.
2.1.4 De verantwoordelijke verstrekt informatie over het doel van de verwerking en de rechten
die hierop van toepassing zijn. Betrokkenen worden geïnformeerd over het bestaan en de wijze van opvragen van het Privacyreglement.
2.1.5 (Bijzondere)1 persoonsgegevens mogen slechts worden verwerkt indien er sprake is van:
• Toestemming van de klant
De betrokkene heeft vrijelijk en uitdrukkelijk toestemming gegeven voor de verwerking van zijn persoonsgegevens. De organisatie moet de toestemming kunnen aantonen en de betrokkenen heeft het recht de toestemming te allen tijde in te trekken. (bijvoorbeeld voor goede hulp- en dienstverlening).
• Overeenkomst
De gegevensverwerking is noodzakelijk voor een overeenkomst waarbij de betrokkene partij is. Bv zorgovereenkomst of arbeidsovereenkomst.
• Wettelijke verplichting
De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen (bv belasting).
• Vitaal belang
Indien het essentieel is voor iemands leven of gezondheid of dat van een ander en die persoon niet om toestemming gevraagd kan worden.
• Publieke taak of algemene belang (verwerking voor of namens overheden)
• Gerechtvaardigd belang
Dit belang moet rechtmatig, voldoende zijn verwoord en ook echt aanwezig zijn. Het moet gaan om noodzakelijke gegevens . Hieronder valt ook het gebruik van Meldcode Kindermishandeling en Huiselijk Geweld of Verwijs Index Risico jongeren.
• verrichten van de verwerking door een stichting of andere instantie zonder winstoogmerk, in het kader van haar gerechtvaardigde activiteiten zoals hulp -en dienstverlening en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op personen die in verband met haar doeleinden regelmatig contact onderhouden en de persoonsgegevens niet zonder toestemming van de betrokkenen buiten die instantie worden verstrekt.
2.1.6 Persoonsgegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep, wettelijk voorschrift of op basis van een overeenkomst tot geheimhouding 2 zijn verplicht.
2.2 Gegevensverwerking
Gegevens verkregen bij betrokkene
2.2.1 Indien bij de betrokkene zelf de persoonsgegevens worden verkregen, deelt de verantwoordelijke de betrokkene vóór het moment van verkrijging mede:
- zijn identiteit;
- het doel van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene dat doel al kent.
2.2.2 De verantwoordelijke verstrekt de betrokkene nadere informatie voor zover dat -gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat ervan wordt gemaakt - nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
2.2.3 Bij verkrijging van gegevens buiten de betrokkene om deelt de verantwoordelijke de betrokkene zo spoedig mogelijk mede:
- zijn identiteit;
- de aard en bron van de gegevens en het doel van de verwerking waarvoor de gegevens zijn bestemd (bijvoorbeeld bij een Veilig Thuis melding, zorgmelding verwarde personen).
2.2.4 De verantwoordelijke hoeft de betrokkene niet te informeren over de hiervoor genoemde informatie indien:
- de betrokkene al over de informatie beschikt;
- het informeren van betrokkene onmogelijk blijkt of een onevenredige inspanning kost.
- het verkrijgen of verstrekken van informatie (zoals hiervoor genoemd) op grond van wet- en regelgeving verplicht is voor de organisatie en die wet- en regelgeving voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.
1 Bijzondere gegevens; gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerken van genetische gegevens, biometrische gegevens met het oog op unieke identificatie van een persoon, of gegevens van gezondheid (lichamelijk- psychisch-sociaal welzijn) of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
2 Alle medewerkers die onder de CAO Sociaal werk of Kinderopvang vallen, hebben geheimhoudingsplicht. Daarnaast vloeit de geheimhoudingsplicht voort uit de verschillende beroepscodes : kinderopvang, sociaal werk, maatschappelijk werk, jeugd- en gezinsprofessionals, psychologen en pedagogen. In sommige gevallen is ook tuchtrecht van toepassing.
2.3 Bewaren van persoonsgegevens
De stichtingen behorend tot BILAgroep bewaren papieren en elektronische persoonsgegevens op een veilige wijze, die in overeenstemming is met de geldende wet- en regelgeving. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is om de doelen te bereiken waarvoor de gegevens worden verwerkt, tenzij de gegevens worden geanonimiseerd of indien noodzakelijk voor de nakoming van een wettelijke verplichting.
De verantwoordelijke stelt vast hoelang de opgenomen persoonsgegevens bewaard blijven. Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende bijzondere (gezondheid-welzijn) persoonsgegevens binnen een termijn van drie maanden verwijderd.
3. RECHTEN VAN BETROKKENEN
3.1 Indienen van verzoek
Om gebruik te maken van zijn/haar rechten kan de betrokkene schriftelijk (brief of e-mail) een verzoek indienen. BILAgroep heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Rechten kunnen worden geweigerd als het een onevenredig nadeel voor een derde met zich meebrengt.
Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij BILAgroep, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).
3.2 Recht op inzage en afschrift/kopie
De betrokkene heeft het recht om uitsluitsel te krijgen over het al dan niet verwerken van zijn persoonsgegevens en om inzage te verkrijgen omtrent doeleinden, categorieën persoonsgegevens, bewaartermijn en overige zaken die met verwerking te maken hebben.
3.2.1 De betrokkene van twaalf jaar of ouder heeft het recht op inzage en een kopie van de op zijn persoon betrekking hebbende verwerkte gegevens. De inzage of afschrift verstrekking vindt plaats voor zover daarbij de persoonlijke levenssfeer van een ander niet wordt geschaad. Bijvoorbeeld: informatie over of verstrekt door derden (niet professionals), zoals familie en naastbetrokkenen of omstanders, wordt niet zonder voorafgaande toestemming van die derde verstrekt.
3.2.2 Een wettelijk vertegenwoordiger van jongeren onder de 16 jaar of van een wilsonbekwame volwassene, heeft recht op inzage in of afschrift van het dossier met dezelfde uitzondering voor informatie over of verstrekt door derden (de andere ouder, familie, naastbetrokkenen en omstanders) voor zover van die vertegenwoordigers toestemming voor de behandeling is vereist. De vertegenwoordiger krijgt alleen die informatie die noodzakelijk is voor het uitoefenen van zijn taken als vertegenwoordiger.
3.2.3 Indien de hulp/dienstverlener door inlichtingen over de cliënt dan wel inzage in of afschrift van de bescheiden aan de (wettelijk) vertegenwoordiger te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij dit achterwege. Bijvoorbeeld als een minderjarige bezwaar maakt tegen het verstrekken van (bepaalde) informatie aan de ouders of bij een vermoeden van kindermishandeling. In dat geval kan een ouder inzage in het dossier van de minderjarige worden geweigerd.
3.2.4 Indien de betreffende stichting van mening is dat de gevraagde inzage en/of de kopieën moeten worden verstrekt, dient dat zo spoedig mogelijk plaats te vinden/te worden verstrekt, doch uiterlijk binnen één maand. Afhankelijk van de complexiteit van het verzoek/de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De organisatie stelt de betrokkene binnen één maand,
na ontvangst van het verzoek, in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
3.3 Recht op correctie, aanvulling, verwijdering
3.3.1 Op schriftelijk verzoek van een betrokkene gaat de verantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek van betrokkene bevat de aan te brengen wijzigingen.
3.3.2 De verantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, motiveert hij dat. Verzoeker heeft in dit verband de mogelijkheid zich te wenden tot de klachtencommissie van de verantwoordelijke.
3.3.3 De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt anders zo spoedig mogelijk nadien, wordt uitgevoerd.
3.3.4 Een verzoek om gegevens te verwijderen mag alleen worden geweigerd als:
- een derde een aanmerkelijk belang heeft bij bewaring van die gegevens;
- de betrokkene heeft een procedure tegen de hulp/dienstverlener aangespannen of het is waarschijnlijk dat hij dit zal doen;
- in het dossier gegevens over (vermoedens van) kindermishandeling staan dan kunnen deze gegevens op grond van de Meldcode Huiselijk Geweld en Kindermishandeling alleen op verzoek van het kind zelf worden vernietigd en uitsluitend als het kind de leeftijd van
- 16 jaar heeft bereikt en wilsbekwaam ter zake kan worden geacht;
- de organisatie heeft de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
-
3.3.5 Het verzoek tot verwijdering van gegevens en de reactie daarop worden bewaard door de organisatie.
3.4 Recht van bezwaar
3.4.1 De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens.
3.4.2 De organisatie beoordeelt onverwijld en in ieder geval binnen één maand na ontvangst van het bezwaar of het bezwaar gerechtvaardigd is. Indien het bezwaar gerechtvaardigd is, beëindigen wij onmiddellijk de verwerking, tenzij er sprake is van dwingende gerechtvaardigde gronden voor de verwerking die zwaarder wegen dan de belangen, vrijheden en rechten van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
3.4.3 De organisatie informeert de betrokkene welke de consequenties zijn in relatie tot de dienstverlening.
3.5 Recht op gegevensoverdraagbaarheid (data portabiliteit)
3.5.1 De betrokkene heeft het recht de van hem betreffende persoonsgegevens, in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen en heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke (bijvoorbeeld andere zorg/welzijnsaanbieder) over te dragen, indien de verwerking berust op toestemming of op uitvoering van een overeenkomst en de verwerking geautomatiseerd wordt verricht.
3.5.2 Bij de uitoefening van dit recht mag dit geen afbreuk doen aan de rechten en vrijheden van anderen.
3.6 Vertegenwoordiging
3.6.1 Bij een jeugdige jonger dan twaalf jaar en bij een wilsonbekwame jeugdige van twaalf tot achttien jaar, oefent (oefenen) de ouder(s) met gezag of de voogd de rechten van de jeugdige uit, tenzij dit niet verenigbaar is met de zorg van een goed hulpverlener. De ouder die geen gezag heeft krijgt desgevraagd belangrijke, algemene en feitelijke Informatie over de gezondheidstoestand van de jeugdige, tenzij:
- de hulpverlener de informatie ook niet aan de ouder met gezag heeft verstrekt/ verstrekt;
- niet verenigbaar is met de zorg van een goed hulpverlener.
3.6.2 Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of voogd op.
3.6.3 Een betrokkene van 16 jaar en ouder die in staat is tot een redelijke waardering van zijn belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen. Vernietiging van gegevens over (vermoedens van) kindermishandeling vindt uitsluitend plaats met toestemming van een wilsbekwame jeugdige van zestien jaar en ouder.
3.7 Geautomatiseerde verwerkingen
• Profilering
BILAgroep maakt geen gebruik van profilering. Wanneer een bezoeker onze websites bezoekt, bekijken we niet hoe vaak een bepaalde site/dienst bekeken is. Zo genoemde cookies worden niet gebruikt, dus ondernemen we geen actie om diensten aan te bieden.
• Inzet van camera’s
binnen BILAgroep wordt geen gebruik gemaakt van cameratoezicht.
4. Verwerkingsverantwoordelijke en verwerker
4.1 Gegevens verwerking door verwerker
- BILAgroep kan de verwerking (extern) uitbesteden aan een verwerker en legt dan in een verwerkersovereenkomst de verplichtingen uit de AVG op aan de verwerker.
- BILAgroep doet uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
- De verwerking door een verwerker wordt geregeld in een (verwerkers)overeenkomst die de verwerker ten aanzien van BILAgroep bindt en waarin het onderwerp, de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de zorgaanbieder worden omschreven. Een dergelijke overeenkomst voldoet aan de eisen die de AVG daaraan stelt.
- De verwerker en eenieder die onder het gezag van BILAgroep of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van BILAgroep tenzij hij door wet- of regelgeving tot verwerking gehouden is.
4.2 Gezamenlijke verwerkingsverantwoordelijkheden
4.2.1 Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze AVG vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de verplichte informatie te verstrekken, door middel van een onderlinge regeling. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
4.2.2 Uit de bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
4.2.3 Ongeacht een dergelijke regeling kan een betrokkene zijn rechten uit de AVG met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
4.3 Register van verwerkingen
BILAgroep is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan zij de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:
- de naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;
- de doelen van de verwerking;
- een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
- een beschrijving van de ontvangers van de persoonsgegevens;
- de termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
- een algemene beschrijving van de beveiligingsmaatregelen (zie 4.4)
4.4 Beveiliging van gegevensverwerking
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft BILAgroep en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking om het verlies van gegevens of onrechtmatige verwerking tegen te gaan;
- de pseudonimisering en versleuteling van persoonsgegevens;
- toepassen van autorisaties (er zijn per medewerker gebruikersrechten toegekend voor het gebruik van software van de organisatie door middel van een wachtwoord en/of autorisatie per functie);
- toekennen van persoonsgebonden wachtwoorden die men niet mag doorgegeven;
- beveiligde e-mailverbinding voor de verstrekking van bijzondere persoonsgegevens via email;
- inrichten standaardinstellingen
nee, tenzij (opt-in) in plaats van ja, mits (opt-out), tenzij de wetgeving opt-out toelaatbaar stelt;
- het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat de bedoelde vereisten worden nageleefd.
4.6 Gegevensuitwisseling met derde landen
Er vindt geen gegevensuitwisseling plaats met landen buiten de EU.
4.7 Aanstellen van functionarissen privacy
BILAgroep heeft een privacy-officer en een security-officer benoemd. Deze medewerkers zijn betrokken bij aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van deze medewerkers zijn informeren, adviseren, toezicht houden, bewustwording creëren en optreden als contactpersoon van de Autoriteit Persoonsgegevens (AP). Het is niet de bedoeling dat deze medewerker de taken op het gebied van bescherming van de privacy van de organisaties behorend tot BILAgroep overneemt. De organisaties behorend tot BILAgroep hebben ieder hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst gemeld voordat de verwerking begint.
4.8 Datalekken
We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de verantwoordelijke dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de Autoriteit Persoonsgegevens (AP). Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de verantwoordelijke dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd. BILAgroep beschikt over een protocol datalekken.
4.9 Klachten
Bij een klacht over de naleving van dit reglement kan de betrokkene zich wenden tot:
BILAgroep
Privacy
Rijksweg zuid 252 B
6161 BZ Geleen
e-mail: AVG@BILAgroep.nl
De Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ DEN HAAG
Telefoon 088 - 1805 250
https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens
Voor andere klachten raadpleegt de betrokkene de klachtenregeling van BILAgroep.
Disclaimer: Dit product is een vertaling van de huidige privacywetgeving en gebaseerd op de AVG Vanzelfsprekend is de toepasbare wet- en regelgeving altijd leidend en kunnen er geen rechten ontleend worden aan dit document.
Contact
046 - 426 34 96
Info@bilagroep.nl
Veldekelaan 2A
6191CX Beek
Limburg
KVK nummer: 84242590
AGB code: 41524625
Kwaliteitsbeleid BILAgroep
No-Show beleid
Kwal
"Je hoeft het niet alleen te doen"
