Privacybeleid CV Globe

Privacybeleid Cv Globe
01/5/2018

 

Inhoudsopgave:

Pagina 3:

  • Inleiding. 3
  • Doelstelling en reikwijdte beleid. 3
  • Uitgangspunten. 3
  • Rollen en verantwoordelijkheden. 3
  • Directie. 3
  • Functionaris Persoonsgegevens. 3


Pagina 4:

  1. Rechtmatige en zorgvuldige verwerking van persoonsgegevens. 4
  2. Doorgifte persoonsgegevens. 4
  3. Uitbesteding aan verwerker. 4
  4. Doorgifte buiten EU.. 4
  5. Privacy by design en Privacy by default. 4
  6. Geheimhouding. 4
  7. Datalekken. 4
  8. Inleiding. 4


Pagina 5:

  1. Protocol 5
  2. Stap 1 Vaststellen of er sprake is van een datalek. 5
  3. Stap 2 Bepalen of het datalek aan de Autoriteit Persoongegevens (AP) gemeld moet worden. 5
  4. Stap 3 Melden datalek aan AP. 5
  5. Stap 4 Bepalen of datalek ook aan betrokkene gemeld moet worden. 5
  6. Stap 5 Melden datalek aan betrokkene. 5
  7. Stap 6 Maatregelen treffen. 5


Pagina 6:

  1. Stap 7 Vastleggen. 6
  2. Rechten betrokkenen. 6
  3. Klachten. 6
  4. Evaluatie. 6

 

Inleiding
Wij hechten veel waarde aan het beschermen van de persoonsgegevens die aan ons worden verstrekt en aan de wijze waarop de persoonsgegevens worden verwerkt. Met het beschrijven van de maatregelen in dit beleidsdocument nemen wij onze verantwoordelijkheid om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren en daarmee te voldoen aan de relevante privacywet- en regelgeving.


Doelstelling en reikwijdte beleid
Het doel van dit beleidsdocument is een praktische uitwerking te geven aan de bepalingen van de AVG. Dit beleid is van toepassing op onze (geautomatiseerde) verwerking van persoonsgegevens.


Uitgangspunten
Algemeen uitgangspunt van ons beleid is dat persoonsgegevens in overeenstemming met de relevante wet- en regelgeving op behoorlijke en zorgvuldige wijze worden verwerkt. Hierbij dient een goede balans te worden aangebracht tussen het belang van de betrokkene en ons belang om persoonsgegevens te verwerken. Persoonsgegevens worden adequaat beveiligd volgens de geldende beveiligingsnormen, en zijn afgestemd op de risico’s die de betreffende verwerking met zich meebrengt. Persoonsgegevens worden niet langer verwerkt dan noodzakelijk is voor de doeleinden van de verwerking. Hierbij worden de van toepassing zijnde bewaartermijnen in acht genomen. Er worden niet meer persoonsgegevens verwerkt dan noodzakelijk (dataminimalisatie).  


Rollen en verantwoordelijkheden
Wij kennen de volgende rollen en verantwoordelijkheden binnen onze organisatie.


Bestuur
Het Bestuur is de eindverantwoordelijke voor de rechtmatige en zorgvuldige verwerking van persoonsgegevens, en stelt het beleid, de maatregelen en de procedures op het gebied van de verwerking vast.


Functionaris Persoonsgegevens
Wij hebben een Functionaris Persoonsgegevens (FG) aangesteld. De FG zal tijdig worden betrokken bij alle aangelegenheden waar persoonsgegevens mee gemoeid zijn en initieert de controle op het rechtmatig en zorgvuldig verwerken van persoonsgegevens. De wettelijke taken en bevoegdheden geven de FG een onafhankelijke positie binnen onze organisatie.


Rechtmatige en zorgvuldige verwerking van persoonsgegevens
Wij verwerken persoonsgegevens op rechtmatige en zorgvuldige wijze. Per verwerking houden wij in het verwerkingenregister (bijlage 1) bij om welke categorie betrokkenen het gaat, welke soort persoonsgegevens verwerkt worden, met welke doelstelling en met welke grondslag, inclusief een toelichting waarom deze grondslag gerechtvaardigd is. In dit register zijn per verwerking de bewaartermijnen en de beveiligingsmaatregelen opgenomen.  


Doorgifte persoonsgegevens
Uitbesteding aan verwerker
Indien wij de verwerking van persoonsgegevens uitbesteden aan een derde partij (verwerker), wordt de uitvoering van de verwerkingen geregeld in een verwerkersovereenkomst tussen ons als verwerkingsverantwoordelijke en de verwerker. Wij werken alleen met verwerkers die voldoen aan de wettelijke vereisten van de AVG.


Privacy by design en Privacy by default
Wij hanteren bij de implementatie van iedere verwerking de principes van Privacy by design en Privacy by default.

Privacy by design houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zoveel mogelijk rekening houden met de privacy van betrokkenen.

Privacy by default houdt in dat de standaardinstellingen zo zijn gekozen dat de privacy maximaal wordt geborgd.


Geheimhouding
Bij ons worden alle persoonsgegevens als vertrouwelijk geclassificeerd  en wordt daarnaar gehandeld.


Datalekken
Inleiding
Datalekken moeten binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen. Het niet melden van een datalek kan leiden tot sancties zoals een boete, maar het kan ook reputatieschade als gevolg hebben.

Er is sprake van een datalek als er een beveiligingsincident heeft voorgedaan waarbij persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking van persoonsgegevens niet uit te sluiten is. Voorbeelden zijn: verlies of diefstal laptop, gehackt systeem of verlies van gegevens door onzorgvuldig handelen.

In geval van mogelijke datalekken volgen wij de onderstaande procedure.


Protocol

Stap 1 Vaststellen of er sprake is van een datalek
Er is sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én hierbij persoonsgegevens verloren zijn gegaan of niet kan worden uitgesloten dat persoonsgegevens onrechtmatig zijn verwerkt. Een datalek wordt ten allen tijde gemeld aan het Bestuur. Het Bestuur dient het datalek te beoordelen en besluit of het datalek gemeld moet worden.

Stap 2 Bepalen of het datalek aan de Autoriteit Persoongegevens (AP) gemeld moet worden
Een datalek moet aan de AP gemeld worden wanneer er sprake is van verlies van gegevens van gevoelige aard, of wanneer het om gegevens van een grote groep betrokkenen of gegevens van kwetsbare groepen.

Stap 3 Melden datalek aan AP
Een datalek wordt binnen 72 uur na ontdekking aan de AP gemeld. Een datalek kan zich ook bij de verwerker voordoen. De verwerker is verplicht dit direct aan de verwerkingsverantwoordelijke te melden. De afspraken hierover zijn in de verwerkersovereenkomst geregeld.

Stap 4 Bepalen of datalek ook aan betrokkene gemeld moet worden
Een datalek moet ook aan de betrokkene gemeld worden als het waarschijnlijk is dat het lek ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene zal hebben. Bijvoorbeeld omdat het een aantasting is van de goede naam van betrokkene, of dat de gegevens gebruikt kunnen worden voor het plegen van identiteitsfraude. Deze meldplicht geldt niet als de gegevens versleuteld zijn.

Stap 5 Melden datalek aan betrokkene
De melding aan de betrokkenen wordt zo spoedig mogelijk gedaan. De volgende informatie wordt meegedeeld aan de betrokkenen:

de aard van de inbreuk
waar betrokkene terecht kan voor meer informatie over de inbreuk
de waarschijnlijke gevolgen van de inbreuk
de maatregelen die wij zelf treffen om de gevolgen te beperken en herhaling van de inbreuk te voorkomen
de maatregelen die betrokkene kan treffen om de gevolgen te beperken

Stap 6 Maatregelen treffen
Als zich een datalek heeft voorgedaan, worden -afgestemd op de aard van het lek- zo snel mogelijk maatregelen getroffen om de gevolgen te beperken en herhaling van de inbreuk te voorkomen.

Stap 7 Vastleggen
Alle datalekken, ook die niet gemeld hoeven te worden aan de AP, worden bijgehouden in een logboek. Hierin wordt in ieder geval de aard van de inbreuk, de gevolgen voor betrokkene en de maatregelen (inclusief argumentatie) die getroffen zijn, opgenomen.


Rechten betrokkenen
De AVG geeft betrokkenen verschillende rechten waarmee zij controle kunnen uitoefenen op de verwerking van hun persoonsgegevens. Het gaat om de volgende rechten:

•             Recht op informatie
•             Recht op inzage
•             recht op verbetering (rectificatie)
•             Recht op verwijdering (vergetelheid)
•             Recht op beperking van de verwerking
•             Recht op overdraagbaarheid (dataportabiliteit)
•             Recht van bezwaar
•             Recht om niet te worden betrokken in een geautomatiseerde besluitvorming

Een uitgebreidere omschrijving van deze rechten is opgenomen in de privacyverklaring.

Aan het recht op informatie wordt uitvoering gegeven door middel van onze privacyverklaring.

Op een verzoek van een betrokkene reageren wij zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek. Indien de termijn van vier weken redelijkerwijs niet haalbaar is, stellen wij de betrokkene hiervan op de hoogte. In dat geval zullen wij binnen twee maanden na het verstrijken van de eerste termijn gevolg geven aan het verzoek van betrokkene.

Bij een verzoek van een betrokkene dragen wij zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker voordat aan het verzoek gehoor wordt gegeven. Hiertoe is het mogelijk dat wij om extra informatie vragen.

Binnen de organisatie is het Bestuur verantwoordelijk voor het reageren op de verzoeken.  


Klachten
Betrokkenen kunnen contact met de directie opnemen wanneer zij klachten hebben. Wij proberen dan samen met betrokkene naar een oplossing te zoeken. Betrokkenen kunnen hun klachten ook indienen bij de Autoriteit Persoonsgegevens.


Evaluatie
Wij zullen periodiek bekijken of we nog op de juiste koers liggen. Zo nodig zal het beleid aangepast worden.

 

This is Sliced Diazo Plone Theme