Hieronder volgen de binnen Care4Kidz geldende regels (per artikel) met betrekking tot verantwoord omgaan met persoonsgegevens.

‍

Artikel 1: Begripsomschrijving

In dit reglement wordt verstaan onder:

• AVG: Algemene Verordening Gegevensbescherming (Europese wetgeving);
• persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
• verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met             betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
• verwerkingsverantwoordelijke: Care4Kidz welke het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
• verwerker: degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
• betrokkene: degene op wie een persoonsgegeven betrekking heeft.

‍

Artikel 2: Rechtmatige grondslag

2.1 De verwerkingsverantwoordelijke mag alleen ‘gewone’ persoonsgegevens verwerken wanneer deze aan ten minste 1 van de volgende  6 AVG-grondslagen voldoet.

1. toestemming van betrokkene;
2. noodzakelijk voor de uitvoering van een overeenkomst;
3. noodzakelijk voor het nakomen van een wettelijke verplichting;
4. noodzakelijk ter bescherming van vitale belangen;
5. noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
6. noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

2.2 De verwerking van bijzondere persoonsgegevens is verboden, tenzij u zich kunt beroepen op een wettelijke uitzondering (artikel 2.3) én één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.   Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Dergelijke gegevens mogen alleen onder zeer strenge voorwaarden worden verwerkt. Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, politieke opvatting, nationaliteit, lidmaatschap van een vakvereniging,  strafrechtelijk verleden of seksuele leven.

2.3 Er zijn 10 wettelijke uitzonderingen op het verbod op het verwerken van bijzondere persoonsgegevens:

1. Uitdrukkelijke toestemming. Iemand kan uitdrukkelijke toestemming geven voor de verwerking van zijn of haar bijzondere persoonsgegevens voor het doel of de doelen die u heeft aangegeven;
2. Verwerkingen die noodzakelijk zijn voor de uitvoering van verplichtingen en het uitoefenen van arbeidsrecht en het sociale zekerheidsrecht zoals geregeld in de nationale wet;
3. Verwerkingen die noodzakelijk zijn om de vitale belangen te beschermen;
4. Verwerkingen voor gerechtvaardigde activiteiten door een instantie zonder winstoogmerk. De instantie moet wel passende waarborgen hebben ingebouwd en het mag alleen gaan om gegevensverwerkingen van (voormalige) leden of personen die regelmatig contact met de instantie onderhouden;
5. Verwerkingen van persoonsgegevens die door de betrokken personen zelf openbaar zijn gemaakt;
6. Verwerkingen die noodzakelijk zijn voor rechtsvordering of rechtsbevoegdheden;
7. Verwerkingen met een zwaarwegend algemeen belang. Daarbij moet u de evenredigheid en de inhoud van het recht op bescherming respecteren. Ook moet u de maatregelen treffen zoals geregeld in een nationale wet;
8. Verwerkingen die noodzakelijk voor de doelen gezondheidszorg, sociale diensten en arbeidsongeschiktheid, zoals geregeld in een nationale wet;
9. Verwerkingen die noodzakelijk zijn voor de volksgezondheid, zoals geregeld in een nationale wet;
10. Verwerkingen die noodzakelijk zijn voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.

2.4 De verwerking van strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én één van de bovengenoemde 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

De wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens zijn:

• De verwerking moet onder toezicht van de overheid staan óf;
• De verwerking is toegestaan bij nationaal recht.

‍

Artikel 3: Functionaris gegevensbescherming

3.1 Als verwerkingsverantwoordelijke kun je verplicht zijn om een functionaris voor de gegevens-bescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Als één of meerdere van onderstaande vragen met ‘ja’ beantwoordt, is de verwerkingsverantwoordelijke in elk geval verplicht om een FG aan te stellen.

• Bent u een overheidsinstantie of overheidsorgaan?
• Verwerkt u bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en is dit een kernactiviteit van uw organisatie?
• Doet u op grote schaal aan regelmatige of stelselmatige observatie van betrokkenen en is dit een kernactiviteit van uw organisatie?

3.2 De AVG geeft geen definitie van wat grootschalig is. De Europese privacytoezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:

• de hoeveelheid mensen van wie gegevens worden verwerkt;
• de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
• de tijdsduur van de gegevensverwerking;
• de geografische reikwijdte van de gegevensverwerking.

3.3 Wanneer geen FG wordt aangesteld, zal de verwerkingsverantwoordelijke ervoor zorgen dat  kan worden onderbouwd waarom daarvoor is gekozen wanneer de AP daar om vraagt.

‍

Artikel 4: Gegevensbeschermingseffectbeoordeling / Data protection impact assessment (DPIA)

4.1 Een DPIA  is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

4.2 Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie u persoonsgegevens verwerkt. Over het algemeen moet u een DPIA uitvoeren als uw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet.

• Beoordeelt u mensen op basis van persoonskenmerken?
• Doet u aan stelselmatige en grootschalige monitoring (e.g. cameratoezicht)?
• Neemt u geautomatiseerde beslissingen met rechtsgevolgen?
• Verwerkt u gevoelige gegevens of gegevens van zeer persoonlijke aard? Het gaat hierbij om bijzondere categorieën en strafrechtelijke gegevens. Ook gaat het hier om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
• Verwerkt u op grote schaal persoonsgegevens?
• Gebruikt u gekoppelde databases?
• Verwerkt u gegevens over kwetsbare personen?
• Gebruikt u nieuwe technologieën?
• Verwerkt u persoonsgegevens om een recht, dienst of contract te blokkeren?

‍

Artikel 5: Bewaartermijnen

Het uitgangspunt in de AVG is dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van uw verwerking. Hoe lang u gegevens mag bewaren, verschilt dus per geval. Verwerkt u persoonsgegevens voor de archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doelen? Dan mag u persoonsgegevens langer bewaren dan noodzakelijk is voor het oorspronkelijke doel van uw verwerking. De gehanteerde bewaartermijnen worden ook vermeld in het verwerkingsregister.

‍

Artikel 6: Verwerkingsregister

6.1 Het opstellen van een register van verwerkingsactiviteiten is verplicht wanneer:

• De organisatie van verwerkingsverantwoordelijke 250 of meer medewerkers heeft;
• Er persoonsgegevens worden verwerkt waarvan de verwerking niet incidenteel is;
• Er persoonsgegevens worden verwerkt die een risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt;
• Er bijzondere of strafrechtelijke persoonsgegevens worden verwerkt.

6.2 De wet schrijft voor dat de volgende informatie in het register moet worden en opgenomen:

• de naam en contactgegevens van:

–  uw organisatie, of de vertegenwoordiger van uw organisatie;

–  eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;

–  de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;

–  eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.

• de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
• een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
• een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
• de datum waarop u de gegevens moet wissen (als dat/deze bekend is);
• de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
• deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
• een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

6.3  Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet de verwerkingsverantwoordelijke het register direct kunnen laten zien.

‍

Artikel 7: Verwerkersovereenkomst

7.1 Als de verwerkingsverantwoordelijke gebruik maakt van de diensten van een verwerker.  Dan zijn de verwerkingverantwoordelijke en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke (verwerkers) overeenkomst.

7.2 De volgende onderwerpen zullen worden vastgelegd in een (verwerkers)overeenkomst:

• Algemene beschrijving Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.
• Instructies verwerking De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
• Geheimhoudingsplicht Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
• Beveiliging De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
• Subverwerkers De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting de verwerkingsverantwoordelijke heeft.
• In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
• Privacyrechten De verwerker helpt verwerkingsverantwoordelijke om te voldoen aan de plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
• Andere verplichtingen De verwerker helpt verwerkingsverantwoordelijke ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het desgewenst uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
• Gegevens verwijderen Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan verwerkingsverantwoordelijke terug, als dat is gewenst. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
• Audits De verwerker werkt mee aan audits van verwerkingsverantwoordelijke of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

‍

Artikel 8: In kaart brengen van de beveiligingsmaatregelen

8.1 Persoonsgegevens moeten goed worden beveiligd. Daarom  zal van tevoren in kaart worden gebracht wat voor verwerkingen worden uitgevoerd, bijvoorbeeld in een verwerkingsregister. Verwerkingsverantwoordelijke bepaalt welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat die verwerkingen goed beveiligd zijn. Bovendien is beveiligen een continu proces (plan, do, check, act). Verwerkingsverantwoordelijke moet continu monitoren of de getroffen beveiligingsmaatregelen nog adequaat zijn.

8.2 Voorbeelden van organisatorische maatregelen:

• Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
• Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers;
• Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen/inventariseren, te beoordelen en te evalueren;
• Regelmatige controle van de logbestanden;
• Opstellen van een procedure voor het afhandelen van (beveiligings)incidenten;
• Hanteren van geheimhoudingsverklaringen;
• Sluiten van verwerkersovereenkomsten.
• Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
• Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
• Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

8.3 Voorbeelden van technische maatregelen:

• Logische en fysieke (toegang-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
• Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
• Gevoelige informatie versleuteld versturen via e-mail;
• Beheer van technische kwetsbaarheden (patch management);
• Software, zoals browsers, virusscanners en operating systems up-to- date houden;
• Back-ups (in de EG)maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
• Automatisch verwijderen van verouderde gegevens:
• Versleuteling van gegevens op gegevensdragers;
• Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
• Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.
• Verzamelt van persoonsgegevens via een website? Bijvoorbeeld door middel van webformulieren? Dan moet verwerkingsverantwoordelijke de eigen website met HTTPS beveiligen. Dit zorgt ervoor dat het internetverkeer tussen bezoekers en website en servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.

‍

Artikel 9: Privacyverklaring

Betrokkenen zullen door de verwerkingsverantwoordelijke op een begrijpelijke manier schriftelijk worden geïnformeerd over welke gegevens voor welk doel en met welke grondslag worden verzameld en verwerkt.  De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren of overhandigen van een (online) privacyverklaring. In de privacyverklaring worden de volgende gegevens benoemd:

• De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van uw vertegenwoordiger in de EU;
• De contactgegevens van de FG als u die heeft;
• De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept;
• De (categorieën van) ontvangers van de persoonsgegevens;
• Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond;
• De bewaartermijn van de gegevens;
• De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering;
• Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken;
• Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder;
• Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
• Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt;
• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

‍

Artikel 10: Rechten van betrokkene

10.1 Betrokkenen hebben de volgende rechten:

• Recht op inzage. Dat is het recht van mensen om de persoonsgegevens die u van hen verwerkt in te zien;
• Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen;
• Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken;
• Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten;
• Het recht om bezwaar te maken tegen de gegevensverwerking;
• Het recht op dataportabiliteit. Het recht om elektronische persoonsgegevens over te dragen;
• Het recht op vergetelheid. Het recht om in bepaalde gevallen ‘vergeten’ te worden.

10.2 Om volgens de regels op een verzoek te reageren zal de verwerkingsverantwoordelijke het volgende weten en doen:

• Welke privacyrechten er gelden en wanneer u wel of niet gehoor moet geven aan een verzoek?
• Hoe binnen de organisatie aan een verzoek gaat worden voldaan.  Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens wist of gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
• Zijn mensen op de hoogte van de privacy rechten die zij hebben? Bijvoorbeeld via uw privacyverklaring?
• Informeert u mensen duidelijk over hóe zij een verzoek bij u kunnen indienen?
• Is het voor betrokkenen makkelijk om een verzoek te doen? Wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, dan moet de gevraagde informatie ook elektronisch geven.
• Zo snel mogelijk maar in ieder geval binnen 1 maand wordt er gereageerd op een verzoek. Concreet betekent dit dat binnen die termijn ofwel het verzoek is uitgevoerd en de verzoeker hierover is geïnformeerd, of dat er is aangegeven waarom geen gehoor kan worden gegeven  aan het verzoek. In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek.  Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.

Specifieke regels en van toepassing zijnde uitzonderingen  over bovengenoemde rechten van betrokkenen zijn terug te vinden in de wettekst van de AVG en de verschillende toelichtingen hierover.

‍

Artikel 11: Meldplicht datalekken

11.1 De meldplicht houdt in dat organisaties (zowel bedrijven als overheden) een melding moeten doen bij de AP zodra zij een ernstig datalek hebben.  Soms moeten zij het datalek ook melden aan de betrokkenen.  Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

11.2 De verwerkingsverantwoordelijke zal zorgen dat er een meldinstructie datalekken en een meldregister (waarin alle meldingen en bijhorende acties worden geregistreerd) binnen de organisatie aanwezig en bekend is bij alle medewerkers.

11.3 Een melding aan de AP moet plaatsvinden bij elk incident met betrekking tot persoons-gegevens tenzij niet waarschijnlijk is dat het datalek een risico inhoudt. Een melding aan de betrokkene dient vervolgens plaats te vinden indien het datalek waarschijnlijk een hoog risico inhoudt. Indien er sprake is van een datalek waarbij ‘gevoelige gegevens’ zijn gelekt (o.a. bijzondere persoonsgegevens, financiële gegevens, wachtwoord/inlognaam combinatie) zal gemeld moeten worden

11.4 Betrokkenen hoeven niet geïnformeerd te worden van een datalek als er sprake is van:

• Goede encryptie;
• Als dit onevenredig veel inspanning kost. In dat geval kan worden volstaan met een openbare mededeling;
• Indien de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om te zorgen dat het hoge risico zich waarschijnlijk niet meer voor zal doen, is melding aan de betrokkene niet vereist. Een voorbeeld : een hacker die data heeft gestolen waarbij de hacker kan worden opgepakt voordat hij de data heeft verspreid.  In een dergelijk geval heeft het datalek al plaatsgevonden maar zijn er dusdanige maatregelen genomen dat er geen risico op verdere verspreiding is.  Als de hacker niets met de gegevens heeft kunnen doen, is er geen sprake van een hoog risico voor betrokkenen zodat de melding ook al op basis daarvan niet vereist zou zijn.

11.5 De melding van een datalek aan de AP zal in beginsel binnen 72 uur plaatsvinden. De 72 uur termijn gaat lopen op het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van  een datalek dat gemeld moet worden. Er moet een redelijke mate van zekerheid zijn dat het datalek gemeld moet worden. Om tot deze mate van zekerheid te komen, heeft de verantwoordelijke een korte periode van onderzoek om te bepalen of het incident gemeld moet worden. Dit betekent ook dat het moment waarop een verwerker kennis heeft genomen van het datalek, de verwerkingsverantwoordelijke ook geacht wordt hiermee bekend te zijn. De 72 uur gaat in dat geval al lopen vanaf ontdekking door de verwerker.

‍

Artikel 12: Tot slot

12.1 Dit reglement treedt in werking op de uitgiftedatum vermeld op blad 1 van dit privacyreglement.

12.2 Daar waar dit reglement niet in voorziet of het gestelde in dit privacyreglement in strijd is met de van toepassing zijnde wetgeving zijn de regels in de geldende wetgeving van toepassing.