AVG & Privacyreglement

Privacybeleid & -reglement

De PIW Groep is de koepel van een viertal stichtingen:

1. Spelenderwijs, een organisatie die in allerlei vormen kinderopvang voor 0 tot en met 12 jarigen aanbiedt : peuterspeelzalen & peuteropvang, kinderdagverblijven en buitenschoolse opvang.
2. Partners in Welzijn, de brede welzijnsorganisatie in de Westelijke Mijnstreek die actief is op het gebied van matschappelijke ondersteuning en levert diensten en activiteiten die gericht zijn op versterken van zelfredzaamheid van mensen, sociale cohesie en deelname aan de maatschappij.
3. Escplore, een stichting die combinatiefunctionarissen op de gebieden educatie, cultuur en sport in de regio Westelijke Mijnstreek inzet om jeugd en jongeren actief te maken op deze gebieden.
4. Knooppunt Informele Zorg, welke zich richt op het bevorderen van een optimaal samenhangende ondersteuning van mantelzorg, zorgvrijwilligers en zelfhulp ter versterking van de informele zorg in de gemeente Sittard-Geleen en een of meer aan de gemeente Sittard-Geleen grenzende gemeenten.
5. OD-CJG biedt ondersteunende diensten zoals kinderpsychologen / POH Jeugd CJG voor licht
   psychische kind- problematiek.

Binnen de stichtingen behorend tot de PIW Groep wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de verschillende diensten die uitgevierd worden binnen de stichtingen behorend tot de PIW Groep. De burger moet erop kunnen vertrouwen dat de stichtingen behorend tot de PIW Groep zorgvuldig en veilig met de persoonsgegevens omgaan. Het bestuur, management en leidinggevenden spelen een cruciale rol bij het waarborgen van privacy.

De PIW Groep geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op alle stichtingen die tot de PIW Groep behoren, alle processen, onderdelen, objecten en gegevensverzamelingen.

Wettelijke kaders voor de omvang met gegevens

De PIW Groep is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

• Wet Bescherming Persoonsgegevens (Wbp) 1, vanaf 25 mei 2018 vervangen door de
  Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)
• Uitvoeringswet Algemene Verordening Gegevensbescherming

Uitgangspunten

De stichtingen behorend tot de PIW Groep gaan op een veilige manier met persoonsgegevens om en respecteren de privacy van betrokkenen. De stichtingen houden zich hierbij aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid, transparantie

Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding

De stichtingen behorend tot de PIW Groep zorgen ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie

De stichtingen behorend tot de PIW Groep verwerken alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Zij streven naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om wettelijke verplichtingen te kunnen naleven.

Integriteit en vertrouwelijkheid

De stichtingen behorend tot de PIW Groep gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de PIW Groep voor passende beveiliging van persoonsgegevens.

Delen met derden

In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt de PIW Groep afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. De PIW Groep controleert deze afspraken elke 3 jaar of zoveel eerder dan noodzakelijk.

Subsidiariteit

Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.

Proportionaliteit

De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen

De stichtingen behorend tot de PIW Groep honoreren alle rechten van betrokkenen. Dit privacy beleid treedt in werking na vaststelling door de Raad van Bestuur. Het beleid wordt iedere 3 jaar geëvalueerd en indien nodig herzien. De meest actuele versie van het beleid is te vinden op de websites van de stichtingen behorend tot de PIW Groep.

Aldus vastgesteld door Raad van Bestuur op [datum],
Marc Schats,( Raad van Bestuur ) Carel Seijben (Raad van Bestuur

Privacyreglement stichtingen behorend tot de PIW Groep

In dit reglement laat de PIW Groep en de daartoe behorende stichtingen zien op welke manier zij dagelijks omgaan met persoonsgegevens en privacy.
Privacy speelt een belangrijke rol in de relatie tussen de burger en stichtingen behorend tot de PIW Groep. De PIW Groep respecteert de privacy van alle gebruikers van haar diensten en draagt er zorg voor dat de persoonlijke informatie die verschaft wordt vertrouwelijk wordt behandeld. De organisatie is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van burgers. Goed en zorgvuldig omgaan met persoonsgegevens is een dagelijkse bezigheid , temeer daar alle dienstverlening gebaseerd is op vertrouwen. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.

1. Wetgeving en definities

Op dit moment heeft elke lidstaat van de Europese Unie een eigen privacywet, gebaseerd op de Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelt het juridische kader voor de omgang met persoonsgegevens in Nederland. Op 25 mei 2018 vervalt de Wbp en treedt de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG), in werking, samen met de uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor versterking en uitbreiding van de privacy rechten met meer verantwoordelijkheden voor organisaties.

De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):
Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.
Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals godsdienst of levensovertuiging, etnische achtergrond, gezondheid, seksueel leven, strafrechtelijke geschiedenis, opgelegd verbod in verband met onrechtmatig of hinderlijk gedrag, politieke voorkeuren, genetische-of biometrische gegevens of het Burgerservicenummer (BSN).
Verwerkingsverantwoordelijke: Een persoon of instantie (i.d PIW groep en de daartoe behorende
stichtingen-verder genoemd PIW groep) die alleen, of samen met een ander, het doel en de
middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen,
bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.
Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende ondubbelzinnige
wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve
handling verwerking van zijn persoonsgegevens aanvaardt.
AP (Autoriteit persoonsgegevens): zelfstandig bestuursorgaan dat bij wet als toezichthouder is
aangesteld voor het toezicht op verwerken van persoonsgegevens.

2. Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoonsgegevens die binnen de
stichtingen behorend tot de PIW Groep plaatsvinden.

3. Vertegenwoordiging

1. Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag
   uitoefenen, dan wel de voogd in plaats van de betrokkene.
2. Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf tot achttien jaar heeft en niet in
   staat kan worden geacht tot een redelijke waardering van zijn belangen terzake.
3. Een betrokkene van 16 jaar en ouder die in staat is tot een redelijke waardering van zijn
   belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen.
4. Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een
   redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of
   voogd op.
5. Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een
   redelijke waardering van zijn belangen terzake, treedt in volgorde als hier weergegeven, als
   vertegenwoordiger voor hem op:

• indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is
  ingesteld; de curator of mentor;
• indien de betrokkene deze schriftelijk heeft gemachtigd, de persoonlijk gemachtigde;
• indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of andere
  levensgezel van de betrokkene;
• indien deze persoon dat niet wenst op ontbreekt; een kind, broer of zus van de
  betrokkene.
• De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed
  vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken.

4. Verantwoordelijke

Het bestuursorgaan van de PIW groep is verantwoordelijk voor de verwerkingen die door of namens de stichtingen behorend tot de PIW Groep worden uitgevoerd.

5. Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een
verwerking:

• Verzamelen, vastleggen en ordenen
• Bewaren, bijwerken en wijzigen
• Opvragen, raadplegen, gebruiken
• Verstrekken door middel van doorzending
• Verspreiding of enige andere vorm van ter beschikkingstellen
• Samenbrengen, met elkaar in verband brengen
• Afschermen, uitwissen of vernietigen van gegevens
• Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.

6. Toegang tot gegevens

Directe toegang tot persoonsgegevens hebben alleen die personen die behoren tot de
verantwoordelijke of van de bewerker en uitsluitend voor zover noodzakelijk voor de uitvoering van hun taak. Anderen dan zojuist genoemde personen hebben slechts toegang indien een wettelijk voorschrift verplicht tot het verlenen van toegang. Gegevens worden alleen verwerkt door personen die krachtens een overeenkomst tot geheimhouding zijn verplicht.

7. Doeleinden (Artikel 5, AVG)

Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is
vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals bijvoorbeeld de Jeugdwet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden.

8. Doel van de gegevensverwerking

Persoonsgegevens worden verwerkt in relatie tot de te verrichten dienstverlening.
Doel van de gegevensverwerking is:

1. Het mogelijk maken van de uitvoering van de dienstverlening die door stichtingen behorend tot de PIW Groep worden verleend.
2. Het voldoen aan wettelijke verplichtingen in het kader van de uitvoering van de taken.
3. Het vastleggen van gegevens met het oog op het ontwikkelen van beleid, ten behoeve van wetenschappelijk onderzoek en advisering.
4. Het vastleggen van gegevens die nodig zijn voor een verantwoorde bedrijfsvoering van alsmede het voldoen aan wettelijke verplichtingen die samenhangen met subsidievoorwaarden.

9. Rechtmatige grondslag (Artikel 6, AVG)

De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:

1. akkoord is vanuit de betrokkene door toestemming voor een of meer specifieke doeleinden. (bv. toestemming voor uitwisselen gegevens t.b.v. goede hulpverlening)
2. noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om maatregelen te nemen op verzoek van de betrokkene vóór de sluiting van een overeenkomst.( bv. Plaatsingsovereenkomst kind binnen kinderopvang)
3. noodzakelijk is om te voldoen aan een wettelijke verplichting die op de organisatie rust.( bv belastingwet)
4. noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen (bv. gezondheid of veiligheid)
5. noodzakelijk is voor de vervulling van een taak van algemeen belang
6. noodzakelijk is voor de gerechtvaardigde belangen (bv. personeelsadministratie) van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van de betrokkene, zwaarder wegen (met name bij een kind).

10.Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in
overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel
mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt. In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

Regels voor verwerking bijzondere persoonsgegevens:

Behoudens het bij of krachtens wet bepaalde is verwerking van bijzonder persoonsgegevens verboden. Indien de betrokkenen ondubbelzinnige toestemming heeft gegeven en de verwerking gerelateerd is aan de geboden dienstverlening, is verwerking toegestaan.De PIW Groep kan zonder toestemming van de betrokkene bijzondere persoonsgegevens verwerken indien uit een signaal of melding redelijkerwijs een vermoeden van mishandeling of verwaarlozing kan worden afgeleid. (grondslag vitaal belang of wet meldcode HGKM)

11.Transparantie en communicatie

Informatieplicht (Artikel 13,14, AVG)
De PIW Groep informeert betrokkenen tijdens het eerste contact waarbij registratie plaatsvindt dat er persoonsgegevens worden geregistreerd en stellen betrokkenen op de hoogte van de manier waarop er met persoonsgegevens om wordt gegaan. Tevens wordt de betrokkene geïnformeerd over het bestaan en de wijze van opvragen van het Privacyreglement. Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt. Verwijdering De stichtingen behorend tot de PIW groep bewaren de persoonsgegevens niet langer dan nodig is voor de uitvoering hun taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar
bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten
worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:
Recht op informatie: Betrokkenen hebben het recht om aan de stichtingen behorend tot de PIW Groep te vragen of zijn/haar persoonsgegevens worden verwerkt.
Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt. Persoonlijke aantekeningen en rapporten die in bewerking zijn, zijn geen onderdeel van het dossier en derhalve niet ter inzage.
Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, deze feitelijk onjuist, voor het doel
van de verwerking onvolledig of niet ter zake doende zijn, dan wel in strijd met een wettelijk
voorschrift kan de betrokkene een verzoek indienen om dit te corrigeren.
Recht op dataportabiliteit: betrokkenen hebben het recht te vragen om zijn persoonsgegevens in en
gestructureerde, gangbare en machine leesbare vorm te verkrijgen of over te dragen aan een andere verantwoordelijke. Het gaat hierbij om digitale persoonsgegevens die de organisatie of met toestemming verwerkt of om een overeenkomst met betrokkenen uit te voeren.
Recht van verzet: Betrokkenen hebben het recht te vragen om hun persoonsgegevens niet meer te gebruiken.
Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om
gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten
verwijderen.
Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. De PIW Groep zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. De PIW Groep heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de organisatie laten weten wat er met het verzoek gaat gebeuren. Rechten kunnen worden geweigerd als het een onevenredig nadeel voor een derde met zich mee brengt. Een weigering is altijd met redenen omkleed. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de PIW Groep,
of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan de PIW Groep aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

12. Geautomatiseerde verwerkingen
Profilering (Artikel 22, AVG)

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens
plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag of locatie. Om profilering wat duidelijker te maken gebruiken we het volgende voorbeeld: Wanneer een bezoeker op de website naar een bepaalde dienst kijkt, mag de PIW Groep geen actie ondernemen om de dienst aan te bieden. De PIW groep mag wel bekijken hoe vaak een bepaalde dienst bekeken is, maar dus niet specifiek gericht adverteren. Daarnaast geeft de wet aan dat er geen besluit mag
worden genomen op basis van profilering.

Inzet van camera’s Binnen de PIW Groep wordt onder bepaalde omstandigheden gebruik gemaakt
van cameratoezicht. Cameratoezicht wordt onder andere gebruikt voor het vergroten van de
veiligheid . Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd
worden. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van camera’s. De PIW groep maakt gebruik van cameratoezicht in de werkomgeving , op de tweede verdieping van het centraal bureau en binnen de locaties van de kinderopvang ter bescherming van werknemers en bezoekers.
Informatieplicht cameratoezicht De werkgever informeert de werknemers en bezoekers zodat zij weten dat er een camera hangt.

13. Plichten van de PIW Groep

Register van verwerkingen (Artikel 30, AVG)
De PIW groep is verantwoordelijk voor het aanleggen van een register van alle verwerkingen
waarvan de PIW Groep de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van
wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

• De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de
  gezamenlijke verwerkingsverantwoordelijke;
• De doelen van de verwerking;
• Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
• Een beschrijving van de ontvangers van de persoonsgegevens;
• De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
• Een algemene beschrijving van de beveiligingsmaatregelen.

14. Beveiliging van gegevensverwerking

1. De verantwoordelijke neemt passende technische en organisatorische maatregelen om het
   verlies van gegevens of onrechtmatige verwerking tegen te gaan.
2. Autorisaties: er zijn per medewerker gebruikersrechten toegekend voor het gebruik van
   software van de organisatie door middel van een wachtwoord en/of autorisatie per functie.
   Het wachtwoord is persoonsgebonden en mag niet worden doorgegeven.
3. Medewerkers mogen alleen die persoonsgegevens inzien die voor hun taakuitoefening
   noodzakelijk zijn

15. Bewaren van gegevens (art. 5 lid 1 sub e AVG)

1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de realisatie van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
2. De verantwoordelijke hanteert wet-en regelgeving omtrent bewaartermijnen persoonsgegevens.
3. Gegevens noodzakelijk voor verantwoording, beleidsvorming, historische of statistische doeleinden worden uitsluitend geanonimiseerd bewaard.
4. Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene doet een verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de desbetreffende persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.
5. Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en de verantwoordelijke overeenstemming bestaat.
6. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de technieken de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)

De PIW groep heeft de kwaliteitsmedewerker de taak privacy toebedeeld. Deze medewerker is
betrokken bij aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van deze medewerker zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van het AP. Het is niet de bedoeling dat deze medewerker de taken op het gebied van bescherming van de privacy van de stichtingen behorend tot de PIW Groep overneemt. De stichtingen hebben hun eigen verantwoordelijkheid in het goed omgaan met privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst gemeld voordat de verwerking begint. De kwaliteitsmedewerker is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de richtlijnen van de organisatie op het gebied van privacy.
Voor vragen over privacy of over deze toelichting kunt u contact opnemen met Annemie Bours
abours@piw.nl

Datalekken (Artikel 33,34, AVG)

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen
toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de verantwoordelijke dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan het AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt de verantwoordelijke dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande
datalekken geëvalueerd.

Afsluiting

Als de stichtingen behorend tot de PIW Groep in het kader van de AVG een verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling PIW Groep worden behandeld. (zie website www.piwgroep.nl à klachtenregeling)
Disclaimer: Dit product is een eenvoudige en begrijpbare vertaling van de huidige privacywetgeving en
gebaseerd op de AVG. Vanzelfsprekend is de toepasbare wet- en regelgeving altijd leidend en kunnen er geen
rechten ontleend worden aan dit document