Privacyreglement

Privacyreglement verwerking persoonsgegevens Nederlandse Liga tegen Epilepsie

Artikel 1: Begripsbepalingen

In dit reglement wordt in aansluiting bij en in aanvulling op de Algemene verordening gegevensbescherming (AVG), gepubliceerd in het Publicatieblad Europese Unie van 4 mei 2016, verstaan onder:

 de wet: Algemene verordening gegevensbescherming (AVG)
het reglement : dit reglement, inclusief de bijlagen;
klant : alle aangemelde, ingeschreven en bediende personen;
personeel : personen in dienst van of werkzaam ten behoeve van de verantwoordelijke;
persoonsgegeven : elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
verwerking : elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen,  vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van verzending, verspreiding of enige andere vorm van ter    beschikkingstelling, samenbrengen, met elkaar in verband          brengen, alsmede het afschermen, uitwissen of vernietigen
bestand : elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd of verspreid is op een functioneel of geografisch bepaalde wijze en ongeacht of dit digitaal, elektronisch of handmatig is en dat overigens volgens bepaalde criteria toegankelijk is en betrekking heeft op      meerdere natuurlijke personen die met de activiteiten van verantwoordelijke een aanduidbare relatie hebben.
verantwoordelijke : verwerkingsverantwoordelijke: Voorzitter;
verwerker : hij die voor de verantwoordelijke persoonsgegevens verwerkt,      zonder aan diens rechtstreeks gezag te zijn onderworpen;
betrokkene : hij op wie een persoonsgegeven betrekking heeft;
beheerder : hij die onder verantwoordelijkheid van de verantwoordelijke is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens, voor de juistheid van die ingevoerde  gegevens, alsmede voor het bewaren, verwijderen enverstrekken van die gegevens;

gebruiker :

 

degene die onder verantwoordelijkheid van de beheerder bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen;

onderhoud :

 

technische werkzaamheden die verband houden met onderhoud en reparatie van apparatuur en programmatuur;
verstrekken : het bekend maken of ter beschikking stellen van persoonsgegevens;
bijzondere data : persoonsgegevens als bedoeld in overwegingen 51 t/m 53 en  artikel 9 van de AVG, zoals data m.b.t. handicap, chronische ziekte en/of data inzake afkomst.

Artikel 2: Reikwijdte

Dit reglement is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens van klanten, personeelsleden, vrijwilligers en/of andere relaties van de verantwoordelijke, alsmede op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen.

Dit reglement is voorts van toepassing op de niet geautomatiseerde verwerking van
persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

De afzonderlijke verwerkingen dan wel samenhangende verwerkingen zijn in de bijlagen, klantenadministratie, personeelsadministratie, netwerksystemen, computersystemen, archiefbestemming, documentbeheer en overig intern beheer beschreven.

Deze bijlagen maken deel uit van dit reglement. Reglement en bijlagen zijn leesbaar op de website van de verantwoordelijke en op aanvraag tegen kostprijs verkrijgbaar bij de verantwoordelijke.

Artikel 3: Beheer van de persoonsgegevens

Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven wie de verantwoordelijke is, wie de beheerder en – indien van toepassing – wie de verwerker is. Alle afzonderlijke en/of samenhangende verwerkingen worden met de grootst mogelijke zorgvuldigheid en zorg uitgevoerd overeenkomstig de regels van dit privacyreglement.

Artikel 4: Doelstellingen van de verwerking

Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor het realiseren van wettelijke doeleinden alsmede de doeleinden zoals die staan omschreven in de statuten, de jaarplannen en andere plannen van de Nederlandse Liga tegen Epilepsie en het voeren van beleid en beheer in het kader van deze doeleinden.

Per afzonderlijke verwerking of samenhangende verwerkingen zijn in de bijlagen de doelen dan wel de samenhangende doelen geformuleerd.

Artikel 5 :Rechtmatige grondslag van de verwerking

Persoonsgegevens mogen slechts worden verwerkt indien:

  1. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
  2. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is (bijvoorbeeld de arbeidsovereenkomst met betrokkene) of voor handelingen, op verzoek van betrokkene, die noodzakelijk zijn voor het sluiten van een overeenkomst;
  3. de gegevensverwerking noodzakelijk is om een wettelijke verplichting van de verantwoordelijke na te komen;
  4. de gegevensverwerking noodzakelijk is in verband met een vitaal belang van betrokkene;
  5. de gegevensverwerking noodzakelijk is met het oog op een belang van de verantwoordelijke of van een derde, tenzij dat belang strijdig is met het belang van degene van wie de gegevens worden verwerkt en dát belang voorgaat.

Artikel 6: Personen van wie persoonsgegevens worden verwerkt

Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven van welke categorieën van personen persoonsgegevens worden verwerkt.

Artikel 7: Soorten persoonsgegevens en de wijze van verkrijging

  1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven welke soorten van persoonsgegevens ten hoogste worden verwerkt.
  2. Persoonsgegevens worden verzameld bij de betrokkene zelf en bij de aan de organisatie verbonden medewerkers.
  3. Persoonsgegevens worden niet verzameld bij derden zonder de ondubbelzinnige
    toestemming van de betrokkene of op basis van wettelijke verplichtingen.
  4. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
  5. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de in de bijlagen genoemde doeleinden, toereikend, ter zake dienend en niet bovenmatig zijn.
  6. Bijzondere persoonsgegevens worden verwerkt met inachtneming van het bepaalde in de overwegingen 51 tot en met 53 en artikel 9 van de AVG.
  7. De beheerder treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de persoonsgegevens.
  8. De registratie van het burgerservicenummer vindt alleen dan plaats wanneer daarvoor een wettelijke basis bestaat en/of dat er door verantwoordelijke of verwerker een vorm van zorg aan betrokkene wordt verleend.

Artikel 8: Verwijdering van opgenomen persoonsgegevens

  1. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld of vervolgens worden bewerkt.
  2. Persoonsgegevens die niet langer voor het doel noodzakelijk zijn worden zo spoedig mogelijk verwijderd, in de bijlagen is de bewaartermijn van de verschillende persoonsgegevens aangegeven.
  3. Verwijdering impliceert vernietiging of een zodanige bewerking dat het niet meer mogelijk is de geregistreerde te identificeren.

Artikel 9: Rechtstreekse toegang tot persoonsgegevens

  1. Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog op de dagelijkse zorg voor het goed functioneren van de verwerking, rechtstreekse toegang tot persoonsgegevens.
  2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens, waarvan zij kennis nemen, behoudens        voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Artikel 10: Technische werkzaamheden

Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen.

Artikel 11: Verstrekking van persoonsgegevens

Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven aan welke personen binnen en buiten de organisatie welke persoonsgegevens kunnen worden verstrekt, gelet op het doel en de grondslag van de verwerking.

Artikel 12: Doorgifte van persoonsgegevens naar landen buiten de EU

De verantwoordelijke geeft geen persoonsgegevens door naar een instelling in een land buiten de Europese Unie, dat geen passend beschermingsniveau heeft, tenzij voldaan is aan tenminste één van de volgende voorwaarden:

  1. met die instelling is een samenwerking- en/of stageovereenkomst gesloten;
  2. de doorgifte is noodzakelijk in het kader van ledenvoordelen;
  3. de betrokkene heeft een verklaring ondertekend, waarin hij de verantwoordelijke toestemming geeft voor de doorgifte. Die verklaring omvat de door te geven persoonsgegevens, het doel van de doorgifte en de duur van de periode, waarin die verklaring wordt gebruikt.

Artikel 13: Verdere verwerking van persoonsgegevens

  1. De te verwerken persoonsgegevens worden slechts verder verwerkt op een wijze die niet onverenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt tenminste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van de persoonlijke levenssfeer.
  2. Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is  of geschiedt met de ondubbelzinnige toestemming van de betrokkene.

Artikel 14: Beveiliging

  1. De verantwoordelijke stelt in een beveiligingsplan richtlijnen op voor de technische en organisatorische beveiliging van de verwerking van persoonsgegevens.
  2. De verantwoordelijke doet het vastgestelde beveiligingsplan toekomen aan de    beheerder. De beheerder verwerkt overeenkomstig de richtlijnen van dit plan.

Artikel 15: Informatieplicht

  1. Indien de verantwoordelijke persoonsgegevens verkrijgt bij de betrokkene zelf, deelt hij de betrokkene vóór het moment van verkrijging zijn identiteit mee alsmede het doel van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene          hiervan reeds op de hoogte is.
  2. Indien de verantwoordelijke persoonsgegevens verkrijgt van een derde of door observatie van de betrokkene, deelt de verantwoordelijke de betrokkene op het moment van vastlegging zijn identiteit mee alsmede het doel van de verwerking waarvoor de gegevens zijn bestemd.
  3. De verantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie op een zodanige wijze dat de betrokkene er daadwerkelijk de beschikking over krijgt.

Artikel 16: Algemeen

  1. Iedere betrokkene heeft recht op informatie, inzage en correctie (verbetering, aanvulling, verwijdering en/of afscherming) alsmede recht van verzet, zoals geformuleerd in de volgende artikelen van deze paragraaf.
  2. Het uitoefenen van die rechten kan alleen in de bedrijfstijden van de centrale
    administratie van de organisatie geschieden.
  3. Aan het uitoefenen van die rechten zijn voor de betrokkene geen kosten verbonden.
  4. Betrokkenen kunnen zich bij het uitoefenen van die rechten laten bijstaan.
  5. De beheerder wijst betrokkenen op de mogelijkheden van rechtsbescherming en toezicht en op de rol daarin van de Autoriteit Persoonsgegevens (AP).

Artikel 17: Recht op informatie

De verantwoordelijke informeert betrokkene op diens verzoek tijdig en volledig over de doelen waarvoor en de manieren waarop persoonsgegevens van hem worden verwerkt, over de regels die daarvoor gelden, over de rechten die betrokkene ten aanzien daarvan heeft en hoe hij die kan uitoefenen. Daarbij wordt betrokkene ook geïnformeerd over de plaats waar de documenten, waarin bedoelde regels zijn opgenomen, kunnen worden ingezien dan wel opgevraagd.

Artikel 18: Recht op inzage

  1. De beheerder deelt op verzoek van een geregistreerde, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee welke persoonsgegevens worden verwerkt of waar de informatie hierover kan worden opgevraagd.
  2. De verzoeker heeft recht op een kopie van de gegevens die over hem zijn vastgelegd. Hij hoeft hiervoor niet te betalen.
  3. Indien een gewichtig belang van de verzoeker dit eist, voldoet de beheerder aan het verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast.
  4. De beheerder draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
  5. De beheerder kan weigeren aan een verzoek te voldoen, indien en voor zover dit noodzakelijk is in verband met:
  6. de opsporing en vervolging van strafbare feiten;
  7. gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen.

Artikel 19: Recht op correctie: verbetering, aanvulling, verwijdering en/of afscherming van persoonsgegevens

  1. Op schriftelijk verzoek van een betrokkene gaat de beheerder over tot verbetering, aanvulling, verwijdering en/of afscherming van de met betrekking tot de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het             verzoek behelst de aan te brengen wijzigingen.
  2. De beheerder deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, omkleedt hij dat met redenen.
  3. De beheerder draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming zo spoedig mogelijk wordt uitgevoerd.
  4. De beheerder informeert in geval van verbetering, aanvulling, verwijdering en/of afscherming derden daarover en verzekert zich ervan dat die derden hun bestanden dienovereenkomstig aanpassen. De beheerder deelt de verzoeker mee aan welke derden hij die informatie heeft verstrekt.

Artikel 20: Recht van verzet

  1. Indien de rechtmatige grondslag voor een bepaalde verwerking is gelegen in het
    gerechtvaardigde belang van de verantwoordelijke, kan de betrokkene bij de beheerder te allen tijde bezwaar aantekenen tegen die verwerking in verband met zijn bijzondere persoonlijke omstandigheden.
  2. Binnen vier weken na ontvangst van het bezwaar beoordeelt de verantwoordelijke of dit verzet gerechtvaardigd is.
  3. De beheerder beëindigt de verwerking terstond, indien de verantwoordelijke het verzet gerechtvaardigd acht. Verzet tegen de verwerking voor commerciële of charitatieve doelen is altijd gerechtvaardigd.

Artikel 21: Recht op dataportabiliteit

  1. De betrokkene heeft recht op overdraagbaarheid van persoonsgegevens of dataportabiliteit en houdt in dat de betrokkene het recht heeft de persoonsgegevens die hij aan verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere verantwoordelijke over te dragen.

Artikel 22                   Klachtenprocedure

  1. Elke betrokkene heeft het recht bij de verantwoordelijke een klacht in te dienen
  2. tegen een beslissing op een verzoek als bedoeld in de artikelen 17, 18 en 19;
  3. tegen een beslissing naar aanleiding van de aantekening van verzet als                          bedoeld in artikel 20; alsmede
  4. tegen de wijze waarop de verantwoordelijke, de beheerder of de verwerker de                in dit reglement opgenomen regels uitvoert.
  5. De verantwoordelijke reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst, schriftelijk en met redenen omkleed op de klacht.
  6. Betrokkene kan zich bij de indiening en behandeling van zijn klacht laten bijstaan.
  7. De verantwoordelijke kan advies bij de Autoriteit Persoonsgegevens (AP) inwinnen.
  8. De verantwoordelijke kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of gedeeltelijk terecht.
  9. Indien de verantwoordelijke de klacht niet of slechts gedeeltelijk honoreert, kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens (AP). De             verantwoordelijke informeert de betrokkene, wiens klacht hij niet of slechts         gedeeltelijk honoreert, over die mogelijkheid en over het adres van het College.
  10. Indien de verantwoordelijke oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om
  11. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder a.:) het verzoek van betrokkene alsnog geheel of gedeeltelijk te honoreren;
  12. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder b.:) het verzet van betrokkene alsnog te honoreren;
  13. (indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c.:) alsnog uitvoering te geven aan de in het reglement opgenomen regels, hetgeen kan
                inhouden een handelen of een nalaten, waaronder begrepen een herstellen of een
                stoppen;
  14. De verantwoordelijke maakt zijn oordeel schriftelijk aan betrokkene kenbaar.
  15. Indien de verantwoordelijke niet binnen zes weken na het indienen van de klacht reageert, kan betrokkene een klacht indienen bij Autoriteit Persoonsgegevens.

Artikel 23                   Toezicht op de naleving

De Autoriteit Persoonsgegevens (AP) is op grond van de wet bevoegd toe te zien op de naleving van de in dit reglement krachtens de wet opgenomen bepalingen. https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten

Artikel 24: Compliance Officer

De organisatie heeft per 01-01-2019 een Compliance Officer aangesteld. De Compliance Officer is verantwoordelijk voor de bescherming van de reputatie en de integriteit van de organisatie. De Compliance Officer voert daartoe regelmatig een risicoanalyse uit. Daarnaast monitort hij de wet- en regelgeving op het gebied van privacy en zorgt ervoor dat deze wordt toegepast binnen de organisatie. De Compliance Officer rapporteert aan de verantwoordelijke.

Artikel 25 :  Scholing

De Compliance Officer zorgt voor een regelmatige scholing van de beheerders en de gebruikers om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.

Artikel 26:  Onvoorzien

In gevallen waarin het reglement niet voorziet beslist de verantwoordelijke, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.

Artikel 27: Publicatie

Dit reglement wordt opgenomen in het kwaliteitsdossier van de verantwoordelijke en gepubliceerd op de website van verantwoordelijke

Artikel 28: Wijzigingen en aanvullingen

  1. Wijzigingen in doel van de verwerking en in soort van inhoud, gebruik en wijze van verkrijging van de persoonsgegevens dienen te leiden tot wijziging van dit reglement.
  2. De introductie van nieuwe volgsystemen alsmede frequent voorkomende onvoorziene gevallen dienen te leiden tot aanvulling van dit reglement.

Artikel 29: Inwerkingtreding en citeertitel

  1. Dit reglement treedt in werking op 01-05-2019
  2. Dit reglement kan worden aangehaald als Privacyreglement van de Nederlandse Liga tegen Epilepsie.