Privacy regeling

1 Geadresseerden

De geadresseerden van deze privacyregeling zijn onze externe relaties, waaronder te verstaan personen werkzaam bij leveranciers, afnemers en aanbestedende diensten, alsmede eindgebruikers van onze dienstverlening en projecten.

De privacyregeling met betrekking tot de persoonsgegevens van ons personeel is verwoord in de Beleidsverklaring beheer persoonsgegevens medewerkers, zoals te vinden is in ons organisatiehandboek.

2 Inleiding

Onze organisatie verzorgt dienstverlening die te karakteriseren is als het in opdracht van overheidsinstellingen en andere opdrachtgevers uitvoeren van: In voorkomende gevallen ontvangt ons bedrijf in het kader van ontvangen opdrachten gegevens over derden, veelal eindgebruikers van infrastructuur zoals rioolaansluitingen en wegverhardingen.

Opdrachtgevers en derden worden door ons betiteld als “externe relaties”.

Ons bedrijf beschouwt de door de opdrachtgever dan wel door derden verstrekte persoonlijke gegevens als vertrouwelijke persoonsgegevens in de zin en betekenis die de Nederlandse wetgeving daaraan geeft, in het bijzonder de Algemene Verordening Gegevensbescherming.

Iedere persoon waarvan wij in het kader van een opdracht persoonlijke gegevens ontvangen ter verwerking, wordt door ons aangeduid als “betrokkene”.

Het begrip “verwerking” omvat het geheel aan beheer, gebruik, doorzending van persoonsgegevens.
Ons bedrijf wordt beschouwd als verwerkingsverantwoordelijke van persoonsgegevens. Waar wij gegevens ter verwerking doorzenden aan andere bedrijven dan wel instellingen, worden deze aangeduid als “verwerker”.

Met deze privacyregeling willen wij inzicht geven van ons beleid aangaande het verwerken van persoonsgegevens van externe relaties.
Ons beleid aangaande het verwerken van persoonsgegevens van onze medewerkers is verwoord in onze “beleidsverklaring beheer persoonsgegevens medewerkers”, dat voor interne betrokkenen ter inzage is bij onze administratie.

3 Doel en grondslagen voor gegevensverwerking

Doel van de privacyregeling is het vertrouwelijk verwerken van gewone persoonlijke gegevens van betrokkenen.

De toepasselijke grondslagen voor de vertrouwelijke verwerking van de gewone persoonlijke gegevens, zijn uitvoering van een overeenkomst en in bepaalde gevallen een wettelijke verplichting.
Onder uitvoering van een overeenkomst wordt in dit geval verstaan: Onder wettelijke verplichting wordt in dit geval verstaan:

4 Verantwoordelijkheden

Ons bedrijf is verantwoordelijk voor schade of nadeel indien (medewerkers of verwerkers) van ons bedrijf de wettelijke kaders, dan wel de regels uit deze privacyregeling dan wel de regels uit privacy-gerelateerde overeenkomsten niet of onvoldoende of foutief naleven.

De bestuurder van onze organisatie is verantwoordelijk voor het: Onze coördinator beheer persoonsgegevens is verantwoordelijk voor het: Iedere medewerker is verantwoordelijk voor:

5 Voorschriften m.b.t. vertrouwelijkheid persoonsgegevens

5.1 omgang met vertrouwelijke persoonsgegevens

5.2 gebruik e-mail en overige sociale media

5.3 overige bepalingen

6 Rechten van betrokkenen

Betrokkenen (ofwel degenen van wie persoonsgegevens in onze bestanden aanwezig zijn) hebben het recht: De in de vorige alinea met een asterisk gekenmerkte rechten moeten worden gecommuniceerd met onze opdrachtgever indien de overeenkomst is aangegaan tussen onze opdrachtgever en ons.

Indien een overeenkomst is aangegaan tussen de betrokkene en ons, moeten de met een asterisk gekenmerkte rechten met ons worden gecommuniceerd.

7 Verwerkersovereenkomsten

Ons bedrijf sluit verwerkers overeenkomsten af met partijen die in onze opdracht te maken krijgen met persoonsgegevens, zodat de gegevens te allen tijde veilig en verantwoord worden verwerkt.

8 Verstrekking persoonsgegevens

8.1 toestemming

Aan betrokkenen wordt medegedeeld aan wie zijn/haar persoonsgegevens kunnen worden verstrekt.
Voor het verstrekken van persoonsgegevens aan derden vragen wij vooraf toestemming van de betrokkenen.
Schriftelijke toestemmingen worden gevoegd bij de persoonsregistratie.

Indien door ons zonder toestemming van betrokkenen persoonsgegevens aan derden worden verstrekt, zullen de betrokkenen daarvan direct in kennis worden gesteld.

8.2 intern

Wij verstrekken persoonsgegevens binnen onze organisatie aan de personen die daar de beschikking over dienen te hebben, op voorwaarde dat de geheimhouding, beveiliging en overige privacybescherming afdoende geregeld zijn.

8.3 extern

Wij verstrekken persoonsgegevens naar andere partijen onder voorwaarde dat hiervoor een AVG-gerelateerde grondslag bestaat, en de betrokkenen daartoe toestemming voor hebben gegeven. dit geschiedt op voorwaarde dat de geheimhouding, beveiliging en overige privacybescherming afdoende geregeld zijn

8.4 koppeling van gegevens

Koppeling van gegevens uit afzonderlijke interne persoonsregistraties vereist geen schriftelijke toestemming van opdrachtgever noch betrokkenen. Schriftelijke toestemming van opdrachtgever dan wel betrokkenen is wel vereist indien sprake is van koppeling van gegevens aan een externe registratie. Deze toestemming kan te allen tijde worden ingetrokken.

8.5 registratie gegevensverstrekking

Wij houden een registratie bij van de verstrekte persoonsgegevens.

9 Toegang en beveiliging persoonsgegevens

9.1 toegang

Los van wettelijke eisen hebben slechts degenen met de taak tot persoonsgegevensverwerking, toegang tot de persoonsgegevens.

9.2 beveiliging

Ons bedrijf draagt zorg voor de nodige organisatorische en technische voorzieningen ter beveiliging van persoonsgegevens tegen verlies of aantasting daarvan alsmede tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

Medewerkers van ons bedrijf die krachtens hun functie kennis hebben van persoonsgegevens zijn verplicht tot geheimhouding ten opzichte van ieder ander, die ingevolge zijn/haar functie geen kennis behoeft te dragen van betreffende gegevens.

In ons bedrijfshandboek is een procedure opgenomen met betrekking tot AVG-naleving, alsmede beheer van documentatie en registraties. In het kader van uitbesteding van verwerking van persoonsgegevens (“verwerking”) is onze organisatie steeds verantwoordelijk.
Bij overdracht van persoonsgegevens aan een andere organisatie wordt de nieuwe organisatie verantwoordelijk voor de persoonsgegevens. Onze organisatie wist in dat geval alle betreffende persoonsgegevens.

bewaartermijn

Persoonsgegevens worden in beginsel tenminste 7 jaar bewaard, en langer indien en zolang:

10 Uitoefening recht van bezwaar

Een betrokkene heeft het recht tot bezwaar maken tegen opname en vastlegging van de op hem/haar betrekking hebbende persoonsgegevens.

Indien ons bedrijf aan het verzoek van een betrokkene niet of slechts gedeeltelijk gehoor kan geven, deelt ons bedrijf dit schriftelijk binnen 1 maand gemotiveerd aan de betrokkene mede.
Daarbij wordt de betrokkenen erop gewezen dat inwilliging consequenties kan hebben voor de uitvoering van de overeenkomst.

11 Uitoefening inzagerecht

Iedere betrokkene heeft recht op inzage van zijn/haar persoonsgegevens.

De betrokkenen dient zich hiertoe te legitimeren.

Nabestaanden hebben in beginsel geen inzagerecht in persoonsgegevens.
Een betrokkene kan op de volgende wijze een verzoek tot inzage doen: Indien de inzage niet kan worden verleend zonder dat daarbij inzage moet worden gegeven in de persoonsgegevens van andere betrokkenen, dient eerst door die andere betrokkenen toestemming te worden verleend. Indien deze niet wordt verleend, wordt dit binnen 1 maand schriftelijk gemotiveerd aan de verzoeker medegedeeld.

12 Uitoefening recht op afschrift

Iedere betrokkene heeft recht op een afschrift van de geregistreerde persoonsgegevens.

Ons bedrijf zal voor het afschrift een vergoeding in rekening brengen.

Een betrokkene kan op de volgende wijze een verzoek tot afschrift doen:

13 Uitoefening recht op rectificatie of vergetelheid

Iedere betrokkene heeft het recht om de hem/haar betreffende persoonsgegevens te verbeteren, aan te vullen, af te schermen of te verwijderen, indien deze feitelijk onjuist of voor het doel van de registratie onvolledig of niet ter zake doende zijn, dan wel voorkomen in strijd met een wettelijk voorschrift in de registratie.

Een betrokkene kan op de volgende wijze een verzoek tot rectificatie of vergetelheid doen:

14 Gebruik van beelden en geluid

Voor het gebruik van beelden en geluid, waaronder foto’s van betrokkenen, vraagt ons bedrijf vooraf toestemming aan de betrokkenen.

15 Klachten

Indien een betrokkene van mening is dat bepalingen in deze regeling niet worden nageleefd, kan hij/zij zich richten tot de: Het einde van de termijn waarbinnen een klacht kan worden ingediend, valt samen met het einde van de bewaartermijn van de persoonsgegevens zoals vermeld in deze regeling.

16 Handelwijze bij datalekken

In geval van een datalek, zorgt onze coördinator beheer persoonsgegevens dat zo nodig de autoriteit persoonsgegevens zonder onnodige vertraging op de hoogte wordt gesteld, tenzij de datalek waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van de betrokkenen.

Er is een maximumtermijn van 72 uur na kennisneming van de datalek om het verslag op te stellen (AVG artikel 33).

Betrokkenen moeten op de hoogte worden gebracht wanneer negatieve effecten worden vastgesteld (AVG artikel 34).

Bovendien moet de gegevensverwerker de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte te stellen van een datalek (AVG artikel 33).

De kennisgeving aan betrokkenen is echter niet vereist indien onze coördinator beheer persoonsgegevens passende technische en organisatorische beschermingsmaatregelen heeft uitgevoerd die de persoonsgegevens onbegrijpelijk maken voor eenieder die geen toegangsbevoegdheid heeft, zoals versleuteling (artikel 34).

17 Begrippen

AVG: Algemene Verordening Gegevensbescherming ((EU) 2016/679) zoals gepubliceerd op 4 mei 2016 in het Publicatieblad van de Europese Unie en 20 dagen na deze publicatie in werking is getreden. Vanaf 25 mei 2018 is de AVG van toepassing.

Betrokkene(n): degene(n) op wie een Persoonsgegeven betrekking heeft.

Datalek: een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.

Persoonsgegeven(s): elk gegeven betreffende een natuurlijk persoon die daardoor direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Privacywetgeving: alle van toepassing zijnde wet- en regelgeving ten aanzien van de Verwerking van Persoonsgegevens, waaronder begrepen maar niet beperkt tot de Wet Bescherming Persoonsgegevens en ingaande 25 mei 2018 de AVG.

Sub-verwerker: de partij die als onder-leverancier door Verwerker wordt ingeschakeld ten behoeve van de verwerking van de Persoonsgegevens, waarbij de diensten van Sub-verwerker aan Verwerker zijn vastgelegd in deze separate Sub-verwerkersovereenkomst.

Verwerken: elke handeling of geheel van handelingen met betrekking tot de Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, verwijderen, wissen of vernietigen van gegevens.

Verwerker: de Partij die door Verwerkingsverantwoordelijke wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens. Verwerking: zie verwerken.
Verwerkersovereenkomst: de onderhavige Verwerkersovereenkomst.
Verwerkings-verantwoordelijke: de partij die het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt.

18 Nadere informatie betreffende verwerking persoonsgegevens

18.1 verzameling/verwerking gewone persoonsgegevens

Onze onderneming verzamelt en verwerkt van externe relaties slechts de zogeheten gewone persoonsgegevens, zoals: Het verwerken van bijzondere persoonsgegevens is verboden. Hieronder worden verstaan:

18.2 website

Indien wij via onze website persoonsgegevens verzamelen, is dit met statistisch oogmerk. Het gaat hierbij om bezoekersaantallen en bezoekfrequentie. Deze informatie is algemeen van aard, en valt niet te herleiden naar individuele bezoekers. De verkregen informatie is slechts toegankelijk voor de eigenaar van onze website zijnde ons bedrijf.

Via een contactformulier op onze site kunnen gebruikers informatie vertrekken waaronder hun naam, adres, woonplaats en andere communicatiegegevens. Met deze informatie wordt met de grootst mogelijk zorgvuldigheid omgegaan.

De aldus verkregen gegevens worden niet zonder toestemming van betrokkenen aan derden verstrekt, met uitzondering van wettelijke verplichtingen om desgevraagd gegevens te verstrekken aan bevoegde instanties.

19 Overige bepalingen

In alle gevallen waarin deze regeling niet voorziet gelden de bepalingen van de AVG.

Waar de bepalingen in deze regeling strijdig zijn met het dien aangaand bepaalde in de AVG, prevaleren de bepalingen van de AVG.