Privacyreglement Esther Roest

 

Begripsbepalingen
In dit reglement wordt verstaan onder:

Persoonsgegevens:

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Bestand:

Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

Verwerkingsverantwoordelijke:

De eenmanszaak Esther Roest, gevestigd aan de Flierveld 92 te Nieuw-Vennep die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt.

Verwerker:

Degene die ten behoeve van Esther Roest. Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Beheerder:

Degene die onder de Verwerkingsverantwoordelijke is belast met de dagelijkse zorg voor de Verwerking van Persoonsgegevens of een gedeelte daarvan.

Gebruiker:

Degene die geautoriseerd is tot het invoeren en/of muteren van Persoonsgegevens dan wel tot het kennisnemen van enigerlei uitvoer van de Persoonsgegevens.

 

Betrokkene:

De klant op wie een persoonsgegeven betrekking heeft of zijn uit de wet voortvloeiende vertegenwoordiger.

De Wet: Algemene Verordening Gegevensbescherming.

 

Reglement:

Dit onderhavige privacyreglement.

Reikwijdte
Dit reglement is een uitwerking van het recht op transparantie overeenkomstig artikel 12 van de Algemene Verordening Gegevensbescherming. Dit Reglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van Persoonsgegevens, alsmede de niet geautomatiseerde verwerking van Persoonsgegevens die in een Bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen, door personen in dienst of werkzaam ten behoeve van Esther Roest

Doel van de Persoonsregistratie
1. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en worden in overeenstemming met de Wet en op behoorlijke en zorgvuldige wijze verwerkt.
2. Deze doeleinden worden onderverdeeld in een hoofd- en nevendoel.
Hoofddoel
Het leveren van diensten en/of producten van Esther Roest aan klanten;

Nevendoel

Het vastleggen en beschikbaar stellen van informatie, (mede)verkregen op grond van opgeslagen Persoonsgegevens, ten behoeve van een doelmatig beleid en beheer van de dienstverlening.

 

Rechtmatige grondslag Verwerking van Persoonsgegevens
1. Op grond van artikel 6 van de Algemene Verordening Gegevensbescherming mogen Persoonsgegevens slechts worden verwerkt indien daarvoor een rechtmatige grondslag aanwezig is. Er is sprake van een rechtmatige grondslag indien:
a) De hierover vooraf geïnformeerde Betrokkene voor de verwerking schriftelijk zijn ondubbelzinnige toestemming heeft verleend;
b) de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is;
c) gegevensverwerking noodzakelijk is voor de nakoming van wettelijke verplichtingen van Verwerkingsverantwoordelijke; d) gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de Betrokkene;
e) De gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt, gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van Verwerkingsverantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
2. Esther Roest is verantwoordelijk voor het goed functioneren van de Verwerking van Persoonsgegevens en treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. Zijn zeggenschap over de Verwerking van de persoonsgegevens en de verstrekking van die gegevens wordt beperkt door dit Reglement.
3. Esther Roest bepaalt wie de eventuele Verwerker van verwerkte Persoonsgegevens is. Esther Roest verplicht de Verwerker om dit Reglement na te leven. De taken, rechten en verplichtingen van de Verwerker worden door Esther Roestschriftelijk vastgelegd.
4. De Verwerker is verantwoordelijk voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij zal toepasselijke technische en organisatorische beveiligingsmaatregelen nemen ten aanzien van onder andere apparatuur, programmatuur en de Persoonsgegevens die, gezien de huidige stand der techniek en de daarmee gemoeide kosten, overeenstemmen met de aard van de te verwerken Persoonsgegevens en de opdracht waarin de Persoonsgegevens worden gebruikt, ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking. De ter zake getroffen regeling(en) is/zijn bij de Verwerker in te zien.
5. Verwerkingsverantwoordelijke legt aan de door haar ingeschakelde Derden en/of Verwerkers dezelfde verplichtingen op als de verplichtingen die krachtens de Algemene Verordening Gegevensbescherming op Verwerkingsverantwoordelijke rusten  
6. Indien noodzakelijk zal Verwerkingsverantwoordelijke deze verplichtingen middels een Verwerkersovereenkomst aan Derden en/of Verwerkers opleggen.

Opgenomen gegevens
1. Esther Roest bepaalt wie de eventuele Verwerker van verwerkte Persoonsgegevens is. Esther Roest verplicht de Verwerker om dit Reglement na te leven. De taken, rechten en verplichtingen van de Verwerker worden door Esther Roestschriftelijk vastgelegd.
2. De Verwerking van Persoonsgegevens kan ten hoogste deze gegevenscategorieën bevatten:
• Personalia en identificatiegegevens (stamgegevens);
• Financiële en administratieve gegevens;

Beveiliging
Esther Roest heeft passende organisatorische en technische maatregelen getroffen ter beveiliging van de Verwerking van Persoonsgegevens tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
Geautomatiseerde registraties zijn slechts toegankelijk via de uitsluitend bij de Gebruikers bekende autorisatiecodes en/of wachtwoorden.
Gelijke plicht rust op de Verwerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. De Verwerkingsverantwoordelijke ziet er op toe dat de Verwerker eveneens handelt dienovereenkomstig de voorschriften van artikel 32 van de Algemene Verordening Gegevensbescherming.

Digitale gegevens
Elektronische persoonsgegevens worden zodanig beveiligd dat onbevoegden geen toegang kunnen krijgen tot deze gegevens. Het hoogst mogelijke beveiligingsniveau wordt toegepast.

Bewaartermijnen
Esther Roest zal de Persoonsgegevens niet langer bewaren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, tenzij de Persoonsgegevens noodzakelijk zijn ter voldoening aan een in specifieke wetgeving opgenomen concrete bewaartermijn of bewaarverplichting. Voor klantgegevens geldt in beginsel een bewaartermijn van 7 jaar, te rekenen vanaf het moment van bestelling.
Indien de bewaartermijn is verstreken, worden de betreffende gegevens binnen een termijn van één jaar uit de registratie vernietigd, tenzij een wettelijk voorschrift zich tegen vernietiging verzet. De gegevens kunnen tot slot in geanonimiseerde vorm behouden blijven.

Rechten betrokkene
Informatie- inzagerecht
1. De Betrokkene is gerechtigd om Esther Roest om informatie over (de verwerking van) zijn/haar Persoonsgegevens te verzoeken, zonder dat de Betrokkene daarbij een bijzondere reden hoeft op te geven.
2. Verwerkingsverantwoordelijke zal op eerste schriftelijk verzoek van Betrokkene zo spoedig mogelijk, doch uiterlijk binnen vier weken nadat daartoe een verzoek is gedaan, overgaan tot het schriftelijk verstrekken van een afschrift van alle benodigde informatie die Betrokkene verzoekt;
3. Esther Roest kan buitensporige verzoeken om informatieverstrekking afwijzen. Van buitensporige verzoeken is sprake wanneer de Betrokkene Esther Roestmeer dan gemiddeld en noodzakelijk benadert met informatieverzoeken.
4. Esther Roest draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
5. Verwerkingsverantwoordelijke is gerechtigd Betrokkene redelijke kosten in rekening te brengen voor het verstrekken van een afschrift als bedoeld in dit artikel.

Recht op rectificatie, gegevenswissing, beperking en overdraagbaarheid van de verwerking
1. Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens, dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige en/of onjuiste gegevens.
2. Verwerkingsverantwoordelijke stelt Betrokkene direct op de hoogte van de rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vergt van Esther Roest
3. Betrokkene heeft het recht om Verwerkingsverantwoordelijke definitieve wissing van de hem betreffende persoonsgegevens te verzoeken. Verwerkingsverantwoordelijke zal aan dit verzoek gehoor geven met inachtneming van hetgeen in artikel 17 van de Algemene Verordening Gegevensbescherming is bepaald.
4. Betrokkene heeft het recht op beperking van de verwerking van zijn persoonsgegevens te verkrijgen, een en ander in overeenstemming met artikel 18 van de Algemene Verordening Gegevensbescherming.
5. Betrokkene heeft het recht om de hem betreffende persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen.
6. Betrokkene heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens met betrekking tot het verwerken van zijn persoonsgegevens door Verwerkingsverantwoordelijke.

 

Toegang tot Persoonsgegevens
1. Onverminderd enig wettelijke voorschriften hebben uitsluitend toegang tot de persoonsgegevens van een Betrokkene de werknemers van Esther Roest. Voorts hebben de Beheerder en de Verwerker toegang tot algemene Persoonsgegevens van Betrokkene, voor zover dit in het kader van het te realiseren doel en het beheer en bewerking daarvan, noodzakelijk is.
2. Esther Roest heeft de volgende autorisatie procedure opgesteld:
a. Start gebruik: De medewerker die op basis van zijn of haar functie toegang nodig heeft tot het digitale klantensysteem wordt door de systeembeheerder op aangeven van Esther Roest geautoriseerd.
b. Einde gebruik: Indien een gebruiker van functie verandert of zijn/haar werkzaamheden binnen Esther Roest stopt zal de autorisatie op aangeven van Esther Roest per direct worden beëindigd.

Verstrekking van gegevens
Op basis van geldende wet- en regelgeving kunnen (algemene) Persoonsgegevens worden verstrekt aan personen en instanties wier taak het is de verleende begeleiding te controleren en te toetsen, enkel indien er voor zover de gegevensverstrekking noodzakelijk is voor de uitoefening van hun wettelijk taak.

Vernietiging c.q. anonimiseren van opgenomen Persoons- en Gezondheidsgegevens
a. Iedere Betrokkene kan verzoeken om de vernietiging van zijn Persoonsgegevens. Daartoe dient hij een schriftelijk gemotiveerd verzoek in bij Esther Roest Dit verzoek kan worden geweigerd indien bewaring op grond van een wettelijk voorschrift vereist is. Bovendien kunnen de gegevens na het verzoek in geanonimiseerde vorm behouden blijven.
b. Het verzoek tot vernietiging van gegevens kan bovendien worden geweigerd als redelijkerwijs aannemelijk is dat verdere bewaring van aanmerkelijke belang kan zijn voor een ander dan de Betrokkene, bijvoorbeeld Esther Roest zelf als de Betrokkene een gerechtelijk procedure tegen hem heeft aangespannen.  

 

Overdracht van Persoonsgegevens
1. Overdracht van opgenomen Persoonsgegevens geschiedt te allen tijde met in achtneming van de wettelijk voorschriften.
2. Terzake de overdacht van Persoonsgegevens van Betrokkene aan een andere Verwerkingsverantwoordelijke mag door Esther Roesteen redelijke vergoeding in rekening worden gebracht.

Klachten
Indien de Betrokkene van mening is dat de bepalingen vanuit dit Reglement, de AVG of andere wet- en regelgeving niet juist worden nageleefd of andere redenen heeft tot klagen, kan deze zich wenden tot Esther Roest

 

Looptijd van de registratie
1. Onverminderd eventuele wettelijke bepalingen is dit Reglement van kracht gedurende de bewaartermijn zoals aangegeven in het hoofdstuk Bewaartermijnen
2. In geval van een voorgenomen overdracht of overgang van de Persoonsgegevens naar een andere Verwerkingsverantwoordelijke dient de Betrokkene voorafgaand aan de overdracht of overgang schriftelijk zijn toestemming te verlenen.

 

Dit Reglement
1. Wijzigingen van dit Reglement worden aangebracht door Esther Roest. De wijzigingen in het Reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan belanghebbenden en indien en voor zover belanghebbende geen bezwaren hebben ingebracht.
2. De door de directie aangestelde beheerder Esther Roest (eigenaar).
3. Een maal per jaar voert Esther Roest een interne systeem controle uit op alle regelingen en afspraken die gemaakt zijn om de privacy te waarborgen. Daarnaast wordt Esther Roest minimaal eenmaal per jaar geauditeerd door een externe onafhankelijke instantie.

 

Datalekken
Indien Esther Roest geconfronteerd wordt met (het vermoeden) van een datalek, dan volgt Esther Roest de volgende procedure:
• Elk vermoeden op een beveiligingsincident of beveiligingsincident wordt direct gemeld bij de eigenaar Esther Roest.
• De eigenaar Esther Roest of er sprake is van een datalek.
• Indien er sprake is van een datalek bespreken ze wie de meest gerede partij is om een melding bij de Autoriteit Persoonsgegevens te doen.
• De eigenaar Esther Roest licht, in geval van een ernstig datalek, de Betrokkene in over het datalek en de melding bij de Autoriteit Persoonsgegevens.
• De eigenaar Esther Roest neemt het initiatief om een analyse te maken, om een zelfde soort datalek in de toekomst te voorkomen.

Inwerkingtreding
Dit Reglement is per 1 januari 2021 in werking getreden en bij Esther Roest in te zien en opvraagbaar.