Privacyreglement

  1. Home
  2. Privacyreglement

Privacyreglement cursisten Nulla Metus veiligheidseducatie

De directie van Nulla Metus;

OVERWEGENDE:

dat Nulla Metus, gevestigd in Waddinxveen, Zuid-Holland, diensten verleend in het kader van het aanleren en verbeteren van de kennis en vaardigheden voor het uitvoeren van verschillende vak richtingen, dit alles om bemiddeling naar de arbeidsmarkt te vergroten of de sociale redzaamheid te verbreden.

Dat Nulla Metus, daarbij de beschikking krijgt over persoonsgegevens en dat het in verband met een goede bedrijfsvoering en de invoering van de Algemene verordening gegevensbescherming (AVG) wenselijk is een regeling te treffen betreffende het verwerken van persoonsgegevens door Nulla Metus.

Dat dit reglement beoogt het juiste gebruik van de persoonsgegevens waarvan Nulla Metus of een van haar medewerkers kennis draagt en die zij verwerkt, te regelen waarbij het doel waartoe deze gegevens worden verwerkt, wordt omschreven.


 BESLUIT TOT HET VOLGENDE REGLEMENT:                       

1. Definities

a. Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon.           
b. Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens,
    waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen,
    gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling,
    samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
c. Bijzonder persoonsgegeven: Een persoonsgegeven dat iets zegt over iemand zijn godsdienst, levensovertuiging, ras,
    politieke gezindheid, het lidmaatschap van een vakbond en/of zijn gezondheid. 
d. Betrokkene: Degene op wie een persoonsgegeven betrekking heeft en van wie de gegevens worden verwerkt. In dit reglement
    gaat het om de deelnemers aan opleidingen.     
e. Verantwoordelijke: De verantwoordelijke stelt vast welke persoonsgegevens er verwerkt worden én wat het doel is van die
    verwerking. Wanneer er in dit reglement gesproken wordt over de verantwoordelijke dan wordt daarmee Nulla Metus bedoeld.
f. Verwerker: De organisatie die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks
    gezag te zijn onderworpen, bedoeld wordt bijvoorbeeld DUO, UWV en de gemeente.  
g. Derde: Ieder, niet zijnde de betrokkene, de verantwoordelijke, de verwerker, of enig persoon die onder rechtstreeks gezag van
    de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken.  

 2. Reikwijdte en doelstelling

a. Dit reglement stelt regels over de verwerking van persoonsgegevens van deelnemers van Nulla Metus.
b. Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door Nulla Metus worden verwerkt.
c. Dit reglement heeft tot doel de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld
    gebruik van de persoonsgegevens;
d. Vast te stellen welke persoonsgegevens worden verwerkt en met welk doel dit gebeurt;
e. De zorgvuldige verwerking van persoonsgegevens te waarborgen;
f. Betrokkenen te informeren en de rechten van betrokkene te waarborgen.

Welke persoonsgegevens kunnen van de betrokkene worden verwerkt

Nulla Metus kan de volgende persoonsgegevens verwerken:- naam, - voornamen, - voorletters, - titulatuur, - geslacht,
- geboortedatum, - adres, - postcode, - woonplaats, - privé e-mailadres, - telefoonnummer, - bankrekeningnummer,
- het persoonsgebonden nummer (BSN), - nationaliteit en met oog op het organiseren van het onderwijs, - gegevens over de  groepsindeling,-cursustijdstippen, - kosten van het traject en - wijze van betaling.

De bovengenoemde gegevens worden met behulp van de volgende middelen verzameld: -Informatie van betrokkene zelf,
-Informatie door Nulla Metus opgesteld ten tijde van de onderwijsovereenkomst, -Informatie ontvangen door derden(opdrachtgever).

Grondslag en doelen van de verwerking van persoonsgegevens

Verwerking van persoonsgegevens gebeurt alleen op één of meer van de volgende grondslagen:
a. Toestemming: in het geval de betrokkene voor de verwerking van zijn gegevens schriftelijk toestemming heeft verleend.
    Ten tijde van de ondertekening van de opleidingsovereenkomst wordt een toestemmingsformulier aan de deelnemer   
    voorgelegd in het Nederlands.
b. De overeenkomst: in het geval de gegevensverwerking noodzakelijk is voor de uitvoering van de opleidingsovereenkomst
    waarbij de betrokkene partij is.
c. Een wettelijke verplichting: in het geval de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen
    waaraan Nulla Metus onderworpen is, bijvoorbeeld de verplichting om alle gegevens door te geven aan het DUO (zowel de
    financiële als de examenaanvragen) en/of externe examen instanties.
d. Bescherming: De vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen.
e. Een gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.

De persoonsgegevens worden alleen gebruikt voor de volgende doelen:

a. het uitvoeren van de opleidingsovereenkomst waaronder het geven van onderwijs op het juiste niveau en het begeleiden van de
   deelnemer;
b. het ondersteunen van de deelnemers bij het eventueel regelen van de financiering van de opleiding bij DUO;
c. het vaststellen en bijhouden van aanwezigheid bij de opleiding en de ontwikkeling van de deelnemer;
d. het aanvragen en registreren bij DUO voor het doen van een examen;
e. het regelen van een automatische incasso voor lesgelden;
f.  het waarderen van diploma’s;  

Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de hierboven omschreven doelen van de verwerking. Nulla Metus verwerkt niet meer gegevens dan noodzakelijk is om die vastgestelde doelen te bereiken. Op verzoek wordt betrokkene tevens geïnformeerd over het verwerkingsdoel van de gegevens.

Nulla Metus maakt geen gebruik van profilering. Dat wil zeggen: van de persoonsgegevens wordt geen profiel aangemaakt van betrokkene dat gebruikt wordt voor marketingdoeleinden. Nulla Metus maakt geen gebruik van Big Data en Trading.

Hoe lang worden gegevens bewaard

Nulla Metus bewaart de gegevens niet langer dan dat zij noodzakelijk zijn voor het vervullen van het doel waarvoor zij zijn verkregen, tenzij er een andere wettelijke verplichting is die het langer bewaren van de gegevens verplicht stelt. De gegevens worden vernietigd 1 jaar nadat de opleiding is beëindigd.

Toegang

Nulla Metus verleent slechts toegang tot de persoonsgegevens aan:
a. de verwerker en de derde die onder rechtstreeks gezag van Nulla Metus staat;
b. de verwerker die gemachtigd is om persoonsgegevens te verwerken;
c. derden die op grond van de wet toegang moet worden verleend, waarbij alleen toegang wordt verleend aan de gegevens
    waartoe volgens de wet toegang toe moet worden gegeven.

Beveiliging en geheimhouding

Nulla Metus neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Verwerker zal onder meer de volgende technische en organisatorische beveiligingsmaatregelen treffen ter bescherming van persoonsgegevens tegen inbreuken:

Server hosting

-Hosting van servers in ISO 27001 gecertificeerde datacenters in Nederland;
-Beveiligen van servers met hardware matige en softwarematige firewalls;
-Servers actief up-to-date houden d.m.v. het installeren van de nieuwste beveiligingsupdates;
-Technische en organisatorische maatregelen waarmee fysieke toegang door  onbevoegden moet worden voorkomen tot gebouwen
  waar de gegevensverwerking  plaatsvindt.

Organisatie

Werknemers ontvangen training op het gebied van privacy en informatiebeveiliging en ontvangen eveneens gedragsregels voor verantwoord gebruik van software, gebouwen, computers, printers, e-mail en internet van verwerker.

Intern netwerk en computers

Ieder werkstation is voorzien van antivirussoftware die automatisch wordt bijgewerkt en de netwerken worden beschermd door een firewall.

Applicatie

* Laten verlopen van alle dataverkeer tussen gebruiker, softwareapplicatie en database over een beveiligde lijn via een
  SSL -certificaat met minimaal 256bit encryptie;

* Authenticatie met gebruikersnaam en wachtwoord;

* Gebruikers de mogelijkheid bieden te kiezen voor twee-factor authenticatie;

* Automatische blokkade na te veel foutieve inlogpogingen;

* Dagelijks worden gegevensback-ups gemaakt;

* Gegevensback-ups worden drie maanden bewaard

Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek en de kosten van de tenuitvoerlegging. Daarbij houdt Nulla Metus rekening met de concrete risico’s die van toepassing kunnen zijn op de verwerkte persoonsgegevens. Iedereen die betrokken is bij de uitvoering van dit reglement, en daarbij de beschikking krijgt over persoonsgegevens die vertrouwelijk zijn of geheim moeten worden gehouden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift een geheimhoudingsplicht geldt, is verplicht tot geheimhouding van die persoonsgegevens. Met externe verwerkers wordt een verwerkingsovereenkomst gesloten. 

Iedereen die binnen Nulla Metus de beschikking krijgt over persoonsgegevens, is verplicht die vertrouwelijk te behandelen.
Voor werknemers en ZZP-ers die bij Nulla Metus werkzaam zijn geldt een geheimhoudingsclausule die in de arbeids-/opdrachtovereenkomst is opgenomen.


Richtlijnen gebruik sociale media
1. Werknemers proberen kennis en andere waardevolle informatie te delen, mits die informatie niet vertrouwelijk is en
    Nulla Metus niet schaadt. Werknemers publiceren niet ongevraagd vertrouwelijke of andere merk gebonden informatie.
    Voor het publiceren van gesprekken wordt eerst toestemming gevraagd aan de leidinggevende of de daarvoor
    verantwoordelijke afdeling of persoon.
2. Werknemers mogen geen vertrouwelijke en/of schadelijke informatie verstrekken over klanten, partners of leveranciers
    zonder hun goedkeuring. Hierin wordt geen onderscheid gemaakt tussen informatie over het product en de persoon of het
    bedrijf.
3. Wees extra voorzichtig bij het publiceren over, of in discussie gaan met, een klant of concurrent. Verkeerd opgevatte of slecht
    onderbouwde stukken, kunnen direct nadelige gevolgen hebben voor Nulla Metus.
4. Nulla Metus ondersteunt de open dialoog en de uitwisseling van ideeën en het delen van kennis. Werknemers die publiceren op
    een website (of andere sociale media) anders dan die van Nulla Metus over een onderwerp dat wel te maken kan hebben met
    Nulla Metus, maken kenbaar of zij op persoonlijke titel publiceren. Als werknemers namens Nulla Metus spreken, vermelden zij
    hun organisatie en functie.
5. Bestuurders, managers, leidinggevenden en degene die namens de organisatie het beleid en de strategie uitdragen hebben een
    bijzondere verantwoordelijkheid bij het gebruik maken van sociale media. Voor sommige functies geldt dat iemand altijd wordt
    gezien als onderdeel van Nulla Metus– ook als hij een privé mening verkondigt. Op grond van hun positie moeten werknemers
    nagaan of zij op persoonlijke titel kunnen publiceren.
6. Werknemers zijn persoonlijk verantwoordelijk voor de inhoud die ze, voor zover dat niet tot hun functie behoort, publiceren op
    blogs, wiki’s, fora en andere media die gebaseerd zijn op user-generated content. Zij zijn zich ervan bewust dat wat zij
    publiceren voor langere tijd openbaar zal zijn, met gevolgen voor hun privacy.
7. Wanneer een online discussie dreigt te ontsporen, of in het ergste geval al helemaal ontspoort is, neem dan direct contact op
    met de verantwoordelijke afdeling/persoon en overleg over de te volgen strategie.
8. Bij de geringste twijfel over een publicatie of over de raakvlakken met Nulla Metus is het verstandig contact te zoeken met
    directie van Nulla Metus.

Transparantie
1. Nulla Metus informeert de betrokkene via een toestemmingsformulier over de verwerking van zijn persoonsgegevens.
    In dat formulier wordt verwezen naar dit reglement. Indien het type verwerking dat vraagt, informeert Nulla Metus iedere
    betrokkene apart over de details van die verwerking.
2. Nulla Metus informeert de betrokkene– op hoofdlijnen –ook over de afspraken die gemaakt zijn met derden en verwerkers die
    persoonsgegevens van de betrokkene ontvangen.
3. Nulla Metus is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de zij de
    verwerkingsverantwoordelijke is.Elk register bevat een beschrijving van wat er verwerkt wordt en welke gegevens daarvoor
    worden gebruikt, namelijk:
4. De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke; 5. De doelen van de verwerking;
6. Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
7. Een beschrijving van de ontvangers van de persoonsgegevens;
8. De termijnen waarin de verschillende persoonsgegevens worden gewist;
9. Een algemene beschrijving van de beveiligingsmaatregelen.

Rechten betrokkenen

1. Elke betrokkene heeft recht op inzage van de door Nulla Metus met betrekking tot hemzelf verwerkte persoonsgegevens.
    Nulla Metus kan vragen om een geldig identiteitsbewijs ter verificatie van de identiteit van de verzoeker.
2. Betrokkene kan verzoeken doen tot rectificatie, gegevens wissing of beperking van de verwerking, tenzij dit onmogelijk blijkt,
    in strijd is met het redelijke belang van verwerking, wetgeving of dit een onredelijke inspanning zou vergen.
3. Voor zover Nulla Metus persoonsgegevens gebruikt op grond van artikel 6 lid e en f van de AVG dan kan de betrokkene bezwaar
    maken tegen verwerking van persoonsgegevens op basis van diens persoonlijke omstandigheden en zal de verwerking worden
    gestaakt, tenzij er sprake is van dwingende gerechtvaardigde gronden die zwaarder wegen dan de belangen, rechten en
    vrijheden van betrokkene.      
4. De verzoeken als bedoeld in dit artikel, kunnen worden gedaan bij: dhr R.N. de Wit, e-mailadres: Info@nulla-metus.nl
    Nulla Metus dient binnen een termijn van 4 weken na ontvangst van een verzoek hieraan schriftelijk gehoor te geven dan wel
    deze schriftelijk, gemotiveerd af te wijzen. Nulla Metus kan de betrokkene laten weten dat er meer tijd nodig is en deze termijn
    verlengen met maximaal 4 weken.        
5. Indien het verzoek van de betrokkene wordt gehonoreerd, draagt Nulla Metus zorg voor het zo spoedig mogelijk doorvoeren van
    de verzochte wijzigingen.
6.Voor zover voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde
   door de betrokkene worden ingetrokken.

Klachten

Indien het geval dat het doen of nalaten van Nulla Metus niet in overeenstemming is met de AVG zoals dat is uitgewerkt is in dit reglement, dan kan de reguliere klachtenprocedure van Nulla Metus worden gevolgd. Het klachtenreglement is aan alle cursisten uitgereikt. Er kan ook een klacht worden ingediend bij de Autoriteit Persoonsgegevens.

Slotbepaling

Dit reglement wordt aangehaald als “het privacyreglement deelnemers” van Nulla Metus en treedt in werking op 25 mei 2018 als versie 1.0.

Waddinxveen mei 2018


R.N. de Wit
Algemeen directeur