Bron: Kennisnet
Bewerkt door: R. Zondervan, functionaris voor de gegevensbescherming,
Versie | Status | Datum | Auteur | Omschrijving |
0.9 | Concept | 18 mei 2018 | Kennisnet en bewerkt door R. Zondervan | Concept ter goedkeuring |
1.0 | Finaal | 26 mei 2018 | R. Zondervan |
Opmaak en definities aangepast, |
Vastgesteld door Qinas:
Versie | Datum | Naam | Functie |
0.9 | 18 mei 2018 | S. ten Brink | Directeur-bestuurder |
1.0 |
|
1. Toepasselijkheid
Dit reglement geldt voor de gehele organisatie die deel uitmaakt van Qinas. Qinas is gevestigd aan de Burgemeester de Bordesstraat 80 te Bussum.
2. Definities
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals bijvoorbeeld naam, adres, geboortedatum, titel(s), geslacht, adres, telefoonnummer, e-mailadres, functie, personeelsnummer, medische rapportages, in-houd van e-mails, prestaties/cijfers, brieven, klachten, foto’s, video’s, IP-adressen, tracking cookies, loginnamen en wachtwoorden.
Verwerking van persoonsgegevens
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het af-schermen, uitwissen of vernietigen van gegevens.
Bijzondere persoonsgegevens
Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto’s) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid.
Betrokkene
Degene op wie een persoonsgegeven betrekking heeft, en die al dan niet wordt vertegenwoordigd door een wettelijk vertegenwoordiger. Betrokkenen kunnen bijvoorbeeld zijn: leerlingen, ouders, medewerkers en bezoekers.
Wettelijk vertegenwoordiger
Degene die het ouderlijk gezag over een minderjarige uitoefent. Meestal zal dit een ou-der zijn, maar het kan ook gaan om een voogd. Als een leerling 16 jaar of ouder is, be-slist hij in voorkomende gevallen zelf over zijn privacy.
Verwerkingsverantwoordelijke
De entiteit die het doel en de middelen voor de verwerking van persoonsgegevens vast-stelt. In het kader van dit reglement is het bevoegd gezag, te weten Qinas, vertegenwoordigd door de directeur-bestuurder, de verwerkingsverantwoordelijke.
Verwerker
De natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke (Qinas) persoonsgegevens verwerkt, zoals bijvoorbeeld de leverancier van een leerlingvolgsysteem of leerling-administratiesysteem. Een verwerker heeft een uit-voerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.
Derde
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een an-der orgaan, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.
Qinas
Qinas, de verwerkingsverantwoordelijke in de zin van dit reglement.
3. Reikwijdte en doelstelling
1. Dit reglement stelt regels over de verwerking van persoonsgegevens van alle betrok-kenen bij de organisatie, waaronder leerlingen en hun wettelijk vertegenwoordigers, medewerkers, bezoekers en externe relaties (bijv. leveranciers en opdrachtnemers).
2. Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door de Qinas worden verwerkt. Het reglement heeft tot doel:
4. Doelen van de verwerking van persoonsgegevens
Bij de verwerking van persoonsgegevens houdt Qinas zich aan de relevante wet- en regelgeving waaronder de Algemene Verordening Gegevensbescherming (AVG), de uitvoeringswet AVG en de onderwijswetgeving.
Doelen
1. De verwerking van persoonsgegevens vindt plaatst voor:
2. De verwerking van persoonsgegevens mag ook plaatsvinden voor doelen die verenigbaar zijn met de doelen zoals beschreven in lid 1.
5. Doelbinding
Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking. Qinas verwerkt niet meer gegevens dan noodzakelijk is om de betreffende doelen te bereiken.
6. Soorten persoonsgegevens
De categorieën van persoonsgegevens zoals deze binnen Qinas worden verwerkt, worden geregistreerd in een verwerkingsregister.
7. Grondslag verwerking
Verwerking van persoonsgegevens gebeurt alleen indien aan een van de onderstaande voorwaarden is voldaan:
9. Bewaartermijnen
Qinas bewaart persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor deze worden verwerkt, tenzij het langer bewaren van de persoonsgegevens op grond van wet- of regelgeving verplicht is.
10. Toegang
Binnen de organisatie van Qinas geldt dat personen slechts toegang hebben tot persoonsgegevens voor zover dat daadwerkelijk nodig is. De toegang van medewerkers tot persoonsgegevens is dan ook beperkt tot de gegevens die noodzakelijk zijn voor de goede uitoefening van hun functie en (dus) hun werkzaamheden. Verder wordt slechts toegang verschaft tot de in de administratie en systemen van de school opgenomen persoonsgegevens aan:
11. Beveiliging en geheimhouding
12. Verstrekken gegevens aan derden
Qinas kan persoonsgegevens aan derden verstrekken als daarvoor een grondslag be-staat in de zin van artikel 7 van dit reglement.
13. Sociale media
Voor het gebruik van persoonsgegevens in sociale media, zijn aparte afspraken gemaakt in het sociale mediaprotocol van Qinas.
14. Rechten betrokkenen
1. Qinas erkent de rechten van betrokkenen, handelt daarmee in overeenstemming en bewerkstelligt dat betrokkenen deze rechten daadwerkelijk kunnen uitoefenen. Het be-treft in het bijzonder de volgende rechten:
Inzage
a. Een betrokkene heeft recht op inzage van de door Qinas verwerkte persoons-gegevens die op hem betrekking hebben, behalve voor zover het gaat om werkdocumenten, interne notities en andere documenten die uitsluitend bedoeld zijn voor intern overleg en beraad. Indien en voor zover dit recht op inzage ook de rechten en vrijheden van anderen raakt, bijvoorbeeld als in de documenten ook persoonsgegevens van anderen dan de betrokkene zijn vermeld, kan Qinas het recht op inzage beperken.
Bij het verstrekken van de betreffende gegevens verschaft Qinas voorts informatie over:
- de verwerkingsdoeleinden;
- de categorieën van persoonsgegevens die worden verwerkt;
- de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- (indien van toepassing) ontvangers in derde landen of internationale organisaties;
- (indien mogelijk) hoe lang de gegevens worden bewaard;
- dat de betrokkene het recht heeft om te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van de persoonsgegevens wordt beperkt, alsmede dat hij het recht heeft om bezwaar te maken te-gen de verwerking van de persoonsgegevens;
- het feit dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens;
- de bron van de persoonsgegevens, indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen;
- het eventueel toepassen van geautomatiseerde besluitvorming en de betreffende onderliggende logica en het belang en de gevolgen voor de betrokkene;
- de passende waarborgen indien de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie.
Verbetering, aanvulling, verwijdering
b. Qinas verbetert de persoonsgegevens van een betrokkene in het geval de betrokkene terecht heeft aangegeven dat de gegevens onjuist zijn, en Qinas vult de persoonsgegevens van een betrokkene aan indien de betrokkene terecht om aanvulling heeft verzocht. Voorts kan de betrokkene verzoeken om verwijdering van zijn persoonsgegevens. Qinas gaat daartoe over indien is voldaan aan een wettelijke grondslag voor het verzoek, tenzij het onmogelijk is om aan het verzoek te voldoen of dit een onredelijke inspanning zou vergen.
Bezwaar
c. Indien Qinas persoonsgegevens verwerkt op de grondslag van artikel 7 onder a of artikel 7 onder d van dit reglement, kan de betrokkene bezwaar maken te-gen de verwerking van zijn persoonsgegevens. In dat geval staakt Qinas de ver-werking van de betreffende persoonsgegevens, behalve als naar het oordeel van Qinas het belang van Qinas, het belang van derden of het algemeen belang in het betreffende concrete geval zwaarder weegt.
Beperken verwerking
d. De betrokkene kan voorts verzoeken om de verwerking van zijn persoonsgegevens te beperken, namelijk indien hij een verzoek tot verbetering heeft gedaan, indien hij bezwaar heeft gemaakt tegen de verwerking, als de persoons-gegevens niet meer nodig zijn voor het doel van de verwerking of als de gegevensverwerking onrechtmatig is. Qinas staakt dan de verwerking, tenzij de betrokkene toestemming heeft gegeven voor de verwerking, Qinas de gegevens nodig heeft voor een rechtszaak of de verwerking nodig is ter bescherming van de rechten van een andere persoon of vanwege gewichtige redenen.
Kennisgevingsplicht
e. Als Qinas op verzoek van een betrokkene een verbetering of verwijdering van persoonsgegevens heeft uitgevoerd, of de verwerking van persoonsgegevens heeft beperkt, zal Qinas eventuele ontvangers van de betreffende persoonsgegevens daarover informeren.
Procedure
2. Qinas handelt een verzoek van een betrokkene zo spoedig mogelijk, maar uiterlijk binnen een maand na ontvangst van het verzoek, af. Afhankelijk van de complexiteit en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. Als deze verlenging plaatsvindt, wordt de betrokkene daarover binnen een maand na de ontvangst van het verzoek geïnformeerd. Wanneer de betrokkene zijn ver-zoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. Wanneer Qinas geen gevolg geeft aan het verzoek van de betrokkene, deelt Qinas onverwijld en uiterlijk binnen een maand na ontvangst mede waarom het verzoek niet wordt ingewilligd en informeert hij de betrokkene over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen.
Intrekken toestemming
3. Indien voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde door de betrokkene of zijn wettelijk vertegenwoordiger worden ingetrokken. Als de toestemming wordt ingetrokken, staakt Qinas de verwerking van persoonsgegevens, behalve als er een andere grondslag (zoals bedoeld in artikel 7) voor de gegevensverwerking is. Het intrekken van de toestemming tast de rechtmatigheid van verwerkingen die reeds hebben plaatsgevonden niet aan.
15. Transparantie
Qinas informeert de betrokkene(n) actief over de verwerking van hun persoonsgegevens, in ieder geval door middel van een laagdrempelige privacyverklaring. In de privacyverklaring wordt in ieder geval de volgende informatie vermeld:
16. Meldplicht datalekken
Eenieder die betrokken is bij een verwerking van persoonsgegevens is verplicht om een datalek per ommegaande te melden bij het meldpunt (bijvoorbeeld
17. Klachten
1. Wanneer een betrokkene van mening is dat het doen of nalaten van Qinas niet in overeenstemming is met de AVG, dit reglement of (andere) toepasselijke wet- of regelgeving, dan kan een klacht worden ingediend overeenkomstig de binnen Qinas geldende klachtenregeling. Een betrokkene kan zich eveneens wenden tot de functionaris voor gegevensbescherming van Qinas.
2. Als een klacht naar de mening van betrokkene door Qinas niet correct is afgewikkeld, kan hij zich wenden tot de rechter of de Autoriteit Persoonsgegevens.
18. Onvoorziene situatie
Indien zich een situatie voordoet die niet beschreven is in dit reglement, neemt de directeur-bestuurder van Qinas de benodigde maatregelen, en wordt beoordeeld of dit reglement dientengevolge moet worden aangevuld of aangepast.
19. Wijzigingen reglement
1. Dit reglement is na instemming van de Medezeggenschapsraad (MR) vastgesteld door de directeur-bestuurder van Qinas. Het reglement wordt gepubliceerd op de websites van Qinas. Het reglement wordt verder actief onder de aandacht gebracht, bijvoorbeeld door middel van verwijzing in de schoolgids.
2. De directeur-bestuur kan dit reglement wijzigen na instemming van de MR.
20. Slotbepaling
Dit reglement wordt aangehaald als het privacyreglement van Qinas en treedt in werking op 25 mei 2018.