Privacy regeling

1 Geadresseerden

De geadresseerden van deze privacyregeling zijn onze externe relaties, waaronder te verstaan personen werkzaam bij leveranciers, afnemers en aanbestedende diensten, alsmede eindgebruikers van onze dienstverlening en projecten.

De privacyregeling met betrekking tot de persoonsgegevens van ons personeel is verwoord in de Beleidsverklaring beheer persoonsgegevens medewerkers, zoals te vinden is in ons organisatiehandboek.

2 Inleiding

Onze organisatie verzorgt dienstverlening die te karakteriseren is als het in opdracht van overheidsinstellingen en andere opdrachtgevers uitvoeren van:

Groenvoorzieningswerkzaamheden
Civieltechnische werkzaamheden

In voorkomende gevallen ontvangt ons bedrijf in het kader van ontvangen opdrachten gegevens over derden, veelal eindgebruikers van infrastructuur zoals rioolaansluitingen en wegverhardingen.

Opdrachtgevers en derden worden door ons betiteld als “externe relaties”.

Ons bedrijf beschouwt de door de opdrachtgever dan wel door derden verstrekte persoonlijke gegevens als vertrouwelijke persoonsgegevens in de zin en betekenis die de Nederlandse wetgeving daaraan geeft, in het bijzonder de Algemene Verordening Gegevensbescherming.

Iedere persoon waarvan wij in het kader van een opdracht persoonlijke gegevens ontvangen ter verwerking, wordt door ons aangeduid als “betrokkene”.

Het begrip “verwerking” omvat het geheel aan beheer, gebruik, doorzending van persoonsgegevens.
Ons bedrijf wordt beschouwd als verwerkingsverantwoordelijke van persoonsgegevens. Waar wij gegevens ter verwerking doorzenden aan andere bedrijven dan wel instellingen, worden deze aangeduid als “verwerker”.

Met deze privacyregeling willen wij inzicht geven van ons beleid aangaande het verwerken van persoonsgegevens van externe relaties.
Ons beleid aangaande het verwerken van persoonsgegevens van onze medewerkers is verwoord in onze “beleidsverklaring beheer persoonsgegevens medewerkers”, dat voor interne betrokkenen ter inzage is bij onze administratie.

3 Doel en grondslagen voor gegevensverwerking

Doel van de privacyregeling is het vertrouwelijk verwerken van gewone persoonlijke gegevens van betrokkenen.

De toepasselijke grondslagen voor de vertrouwelijke verwerking van de gewone persoonlijke gegevens, zijn uitvoering van een overeenkomst en in bepaalde gevallen een wettelijke verplichting.
Onder uitvoering van een overeenkomst wordt in dit geval verstaan:

de overeenkomst met de opdrachtgever eist dat persoonsgegevens van betrokkenen worden verwerkt.

Onder wettelijke verplichting wordt in dit geval verstaan:

bepaalde informatie dient in de bedrijfsadministratie een periode te worden bewaard.

4 Verantwoordelijkheden

Ons bedrijf is verantwoordelijk voor schade of nadeel indien (medewerkers of verwerkers) van ons bedrijf de wettelijke kaders, dan wel de regels uit deze privacyregeling dan wel de regels uit privacy-gerelateerde overeenkomsten niet of onvoldoende of foutief naleven.

De bestuurder van onze organisatie is verantwoordelijk voor het:

naleven van de opdracht, de gedragsregels en de geheimhoudingsplicht
informeren van externe relaties en andere betrokkenen over onze privacyregeling
melden van datalekken bij de betrokkenen en bevoegde instanties.

Onze coördinator beheer persoonsgegevens is verantwoordelijk voor het:

toezicht houden op de naleving van de privacywetgeving en deze privacyregeling, alsmede in- en extern gecommuniceerde overeenkomsten aangaande gegevensbescherming
afhandelen van vragen en klachten rondom de bescherming van persoonsgegevens van betrokkenen
beheer van documentatie en registraties.

Iedere medewerker is verantwoordelijk voor:

een correcte omgang met de persoonsgegevens van dan wel in verband met externe relaties
een juiste naleving van de privacywetgeving en deze privacyregeling, alsmede in- en extern gecommuniceerde overeenkomsten aangaande gegevensbescherming
het melden van al hetgeen bij hem/haar bekend is dat kan leiden tot schending van vertrouwelijkheid van persoonsgegevens.

5 Voorschriften m.b.t. vertrouwelijkheid persoonsgegevens

5.1 omgang met vertrouwelijke persoonsgegevens

alle medewerkers en de ingeschakelde personen/partijen (hierna gezamenlijk vermeld als medewerkers) hebben, op basis van een gesloten overeenkomst tussen onze onderneming en de medewerker dan wel ingeschakelde persoon/partij, een geheimhoudingsplicht
bij het verzamelen en verwerken van persoonsgegevens zorgt de medewerker dat er geen inzagemogelijkheden zijn voor onbevoegden, noch in de werkomgeving, noch in de privésituatie van de medewerker
persoonsgegevens zijn binnen ons bedrijf beveiligd, en slechts toegankelijk voor de daartoe geautoriseerde medewerkers
persoonsgegevens worden vernietigd met inachtneming van wettelijke verplichtingen alsmede overeenkomst met opdrachtgever
alle medewerkers zijn op de hoogte van de inhoud van deze privacyregeling
alle ingeschakelde personen en bedrijven zijn op de hoogte van de inhoud van deze privacyregeling
alle ingeschakelde verwerkers zijn op de hoogte van de inhoud van deze privacyregeling
met alle ingeschakelde personen/partijen worden overeenkomsten gesloten ter waarborging van de bescherming van persoonsgegevens.

5.2 gebruik e-mail en overige sociale media

persoonsgegevens worden slechts gecommuniceerd tussen opdrachtgever en ons bedrijf.

5.3 overige bepalingen

in het kader van de opdrachtuitvoering worden slechts zo nodig gewone persoonsgegevens vastgelegd, dat wil zeggen: naam, adres, woonplaats, telefoonnummer van de betrokkene
het is aan alle medewerkers verboden andere dan gewone persoonsgegevens vast te leggen
persoonsgegevens waaronder foto’s met personen bij een project, mogen niet worden gedeeld via e-mail, Whatsapp, Facebook, Dropbox en andere bedrijven die buiten Nederland gevestigd zijn
gegevens worden niet zonder schriftelijke toestemming aan derden verstrekt.

6 Rechten van betrokkenen

Betrokkenen (ofwel degenen van wie persoonsgegevens in onze bestanden aanwezig zijn) hebben het recht:

om vastgelegde gegevens in te zien
bezwaar te maken tegen vastlegging van gegevens *
op correctie, aanvulling of verwijdering van gegevens *
op kennisneming van verstrekking van gegevens aan derden.

De in de vorige alinea met een asterisk gekenmerkte rechten moeten worden gecommuniceerd met onze opdrachtgever indien de overeenkomst is aangegaan tussen onze opdrachtgever en ons.

Indien een overeenkomst is aangegaan tussen de betrokkene en ons, moeten de met een asterisk gekenmerkte rechten met ons worden gecommuniceerd.

7 Verwerkersovereenkomsten

Ons bedrijf sluit verwerkers overeenkomsten af met partijen die in onze opdracht te maken krijgen met persoonsgegevens, zodat de gegevens te allen tijde veilig en verantwoord worden verwerkt.

8 Verstrekking persoonsgegevens

8.1 toestemming

Aan betrokkenen wordt medegedeeld aan wie zijn/haar persoonsgegevens kunnen worden verstrekt.
Voor het verstrekken van persoonsgegevens aan derden vragen wij vooraf toestemming van de betrokkenen.
Schriftelijke toestemmingen worden gevoegd bij de persoonsregistratie.

Indien door ons zonder toestemming van betrokkenen persoonsgegevens aan derden worden verstrekt, zullen de betrokkenen daarvan direct in kennis worden gesteld.

8.2 intern

Wij verstrekken persoonsgegevens binnen onze organisatie aan de personen die daar de beschikking over dienen te hebben, op voorwaarde dat de geheimhouding, beveiliging en overige privacybescherming afdoende geregeld zijn.

8.3 extern

Wij verstrekken persoonsgegevens naar andere partijen onder voorwaarde dat hiervoor een AVG-gerelateerde grondslag bestaat, en de betrokkenen daartoe toestemming voor hebben gegeven. dit geschiedt op voorwaarde dat de geheimhouding, beveiliging en overige privacybescherming afdoende geregeld zijn

8.4 koppeling van gegevens

Koppeling van gegevens uit afzonderlijke interne persoonsregistraties vereist geen schriftelijke toestemming van opdrachtgever noch betrokkenen. Schriftelijke toestemming van opdrachtgever dan wel betrokkenen is wel vereist indien sprake is van koppeling van gegevens aan een externe registratie. Deze toestemming kan te allen tijde worden ingetrokken.

8.5 registratie gegevensverstrekking

Wij houden een registratie bij van de verstrekte persoonsgegevens.

9 Toegang en beveiliging persoonsgegevens

9.1 toegang

Los van wettelijke eisen hebben slechts degenen met de taak tot persoonsgegevensverwerking, toegang tot de persoonsgegevens.

9.2 beveiliging

Ons bedrijf draagt zorg voor de nodige organisatorische en technische voorzieningen ter beveiliging van persoonsgegevens tegen verlies of aantasting daarvan alsmede tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

Medewerkers van ons bedrijf die krachtens hun functie kennis hebben van persoonsgegevens zijn verplicht tot geheimhouding ten opzichte van ieder ander, die ingevolge zijn/haar functie geen kennis behoeft te dragen van betreffende gegevens.

In ons bedrijfshandboek is een procedure opgenomen met betrekking tot AVG-naleving, alsmede beheer van documentatie en registraties. In het kader van uitbesteding van verwerking van persoonsgegevens (“verwerking”) is onze organisatie steeds verantwoordelijk.
Bij overdracht van persoonsgegevens aan een andere organisatie wordt de nieuwe organisatie verantwoordelijk voor de persoonsgegevens. Onze organisatie wist in dat geval alle betreffende persoonsgegevens.

bewaartermijn

Persoonsgegevens worden in beginsel tenminste 7 jaar bewaard, en langer indien en zolang:

de wet- en regelgeving ons bedrijf daartoe verplicht
het project waartoe de persoonsgegevens worden verwerkt in uitvoering is, dan wel nazorg plaatsvindt
ons bedrijf verplichtingen heeft ten behoeve van of met betrekking tot de afronding van het project waartoe de persoonsgegevens worden verwerkt
de persoonsgegevens benodigd zijn ten behoeve van bewijsvoeringen.

10 Uitoefening recht van bezwaar

Een betrokkene heeft het recht tot bezwaar maken tegen opname en vastlegging van de op hem/haar betrekking hebbende persoonsgegevens.

Indien ons bedrijf aan het verzoek van een betrokkene niet of slechts gedeeltelijk gehoor kan geven, deelt ons bedrijf dit schriftelijk binnen 1 maand gemotiveerd aan de betrokkene mede.
Daarbij wordt de betrokkenen erop gewezen dat inwilliging consequenties kan hebben voor de uitvoering van de overeenkomst.

11 Uitoefening inzagerecht

Iedere betrokkene heeft recht op inzage van zijn/haar persoonsgegevens.

De betrokkenen dient zich hiertoe te legitimeren.

Nabestaanden hebben in beginsel geen inzagerecht in persoonsgegevens.
Een betrokkene kan op de volgende wijze een verzoek tot inzage doen:

de betrokkene maakt dit schriftelijk kenbaar aan onze medewerker die belast is met het project in welk kader de persoonsgegevens zijn/worden geregistreerd
onze medewerker informeert onze coördinator beheer persoonsgegevens
onze coördinator beheer persoonsgegevens verleent inzage binnen 1 maand na ontvangst van het verzoek
bij de inzage is onze medewerker aanwezig
de betrokkenen heeft het recht zich te doen vergezellen door een vertrouwenspersoon
de vertrouwenspersoon dient zich te legitimeren.

Indien de inzage niet kan worden verleend zonder dat daarbij inzage moet worden gegeven in de persoonsgegevens van andere betrokkenen, dient eerst door die andere betrokkenen toestemming te worden verleend. Indien deze niet wordt verleend, wordt dit binnen 1 maand schriftelijk gemotiveerd aan de verzoeker medegedeeld.

12 Uitoefening recht op afschrift

Iedere betrokkene heeft recht op een afschrift van de geregistreerde persoonsgegevens.

Ons bedrijf zal voor het afschrift een vergoeding in rekening brengen.

Een betrokkene kan op de volgende wijze een verzoek tot afschrift doen:

de betrokkene maakt dit schriftelijk kenbaar aan onze medewerker die belast is met het project in welk kader de persoonsgegevens zijn/worden geregistreerd
onze medewerker informeert onze coördinator beheer persoonsgegevens
onze coördinator beheer persoonsgegevens verstrekt het afschrift binnen 1 maand na ontvangst van het verzoek
bij afgifte dient de betrokkenen zich te legitimeren.

13 Uitoefening recht op rectificatie of vergetelheid

Iedere betrokkene heeft het recht om de hem/haar betreffende persoonsgegevens te verbeteren, aan te vullen, af te schermen of te verwijderen, indien deze feitelijk onjuist of voor het doel van de registratie onvolledig of niet ter zake doende zijn, dan wel voorkomen in strijd met een wettelijk voorschrift in de registratie.

Een betrokkene kan op de volgende wijze een verzoek tot rectificatie of vergetelheid doen:

de verzoeker maakt dit schriftelijk kenbaar aan onze medewerker die belast is met het project in welk kader de persoonsgegevens zijn/worden geregistreerd
het verzoek bevat de aan te brengen wijzigingen
onze medewerker informeert onze coördinator bescherming persoonsgegevens
onze coördinator beheer persoonsgegevens informeert de verzoeker binnen 1 maand schriftelijk of, dan wel in hoeverre, daaraan zal worden voldaan
de verzoeker dient zich te legitimeren
onze coördinator beheer persoonsgegevens zal de beslissing tot verbetering, aanvulling, afscherming of verwijdering zo spoedig mogelijk doch binnen 1 maand laten uitvoeren.

14 Gebruik van beelden en geluid

Voor het gebruik van beelden en geluid, waaronder foto’s van betrokkenen, vraagt ons bedrijf vooraf toestemming aan de betrokkenen.

15 Klachten

Indien een betrokkene van mening is dat bepalingen in deze regeling niet worden nageleefd, kan hij/zij zich richten tot de:

directie van onze onderneming
onze coördinator beheer persoonsgegevens
Autoriteit Persoonsgegevens.

Het einde van de termijn waarbinnen een klacht kan worden ingediend, valt samen met het einde van de bewaartermijn van de persoonsgegevens zoals vermeld in deze regeling.

16 Handelwijze bij datalekken

In geval van een datalek, zorgt onze coördinator beheer persoonsgegevens dat zo nodig de autoriteit persoonsgegevens zonder onnodige vertraging op de hoogte wordt gesteld, tenzij de datalek waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van de betrokkenen.

Er is een maximumtermijn van 72 uur na kennisneming van de datalek om het verslag op te stellen (AVG artikel 33).

Betrokkenen moeten op de hoogte worden gebracht wanneer negatieve effecten worden vastgesteld (AVG artikel 34).

Bovendien moet de gegevensverwerker de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte te stellen van een datalek (AVG artikel 33).

De kennisgeving aan betrokkenen is echter niet vereist indien onze coördinator beheer persoonsgegevens passende technische en organisatorische beschermingsmaatregelen heeft uitgevoerd die de persoonsgegevens onbegrijpelijk maken voor eenieder die geen toegangsbevoegdheid heeft, zoals versleuteling (artikel 34).

17 Begrippen

AVG: Algemene Verordening Gegevensbescherming ((EU) 2016/679) zoals gepubliceerd op 4 mei 2016 in het Publicatieblad van de Europese Unie en 20 dagen na deze publicatie in werking is getreden. Vanaf 25 mei 2018 is de AVG van toepassing.

Betrokkene(n): degene(n) op wie een Persoonsgegeven betrekking heeft.

Datalek: een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.

Persoonsgegeven(s): elk gegeven betreffende een natuurlijk persoon die daardoor direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Privacywetgeving: alle van toepassing zijnde wet- en regelgeving ten aanzien van de Verwerking van Persoonsgegevens, waaronder begrepen maar niet beperkt tot de Wet Bescherming Persoonsgegevens en ingaande 25 mei 2018 de AVG.

Sub-verwerker: de partij die als onder-leverancier door Verwerker wordt ingeschakeld ten behoeve van de verwerking van de Persoonsgegevens, waarbij de diensten van Sub-verwerker aan Verwerker zijn vastgelegd in deze separate Sub-verwerkersovereenkomst.

Verwerken: elke handeling of geheel van handelingen met betrekking tot de Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, verwijderen, wissen of vernietigen van gegevens.

Verwerker: de Partij die door Verwerkingsverantwoordelijke wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens. Verwerking: zie verwerken.
Verwerkersovereenkomst: de onderhavige Verwerkersovereenkomst.
Verwerkings-verantwoordelijke: de partij die het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt.

18 Nadere informatie betreffende verwerking persoonsgegevens

18.1 verzameling/verwerking gewone persoonsgegevens

Onze onderneming verzamelt en verwerkt van externe relaties slechts de zogeheten gewone persoonsgegevens, zoals:

naam-, adres-, woonplaatsgegevens
e-mailadres, telefoonnummer.

Het verwerken van bijzondere persoonsgegevens is verboden. Hieronder worden verstaan:

ras of etnische afkomst
religieuze of levensbeschouwelijke overtuigingen
lidmaatschap vakvereniging
gezondheid
seksueel gedrag, seksuele geaardheid
genetische gegevens
biometrische gegevens (gegevens met betrekking tot unieke identificatie van een persoon, zoals vingerafdruk).

18.2 website

Indien wij via onze website persoonsgegevens verzamelen, is dit met statistisch oogmerk. Het gaat hierbij om bezoekersaantallen en bezoekfrequentie. Deze informatie is algemeen van aard, en valt niet te herleiden naar individuele bezoekers. De verkregen informatie is slechts toegankelijk voor de eigenaar van onze website zijnde ons bedrijf.

Via een contactformulier op onze site kunnen gebruikers informatie vertrekken waaronder hun naam, adres, woonplaats en andere communicatiegegevens. Met deze informatie wordt met de grootst mogelijk zorgvuldigheid omgegaan.

De aldus verkregen gegevens worden niet zonder toestemming van betrokkenen aan derden verstrekt, met uitzondering van wettelijke verplichtingen om desgevraagd gegevens te verstrekken aan bevoegde instanties.

19 Overige bepalingen

In alle gevallen waarin deze regeling niet voorziet gelden de bepalingen van de AVG.

Waar de bepalingen in deze regeling strijdig zijn met het dien aangaand bepaalde in de AVG, prevaleren de bepalingen van de AVG.