Privacybeleid Radar
Laatste update november 2024
1.1 ALGEMEEN
Waar we in dit stuk definities gebruiken (woorden met een hoofdletter), dan gebruiken we daarvoor altijd de definities zoals deze in de AVG staan. De belangrijkste herhalen we hier:
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (en delegeert naar eigenaren).
1.2 RADARSPECIFIEK
In dit stuk gebruiken we ook een aantal definities die alleen voor Radar gelden of die voor Radar ingevuld zijn.
RadarGroep: RadarGroep BV, KvK nr. 34227806
Radar: RadarGroep BV en al haar werkmaatschappijen
Verwerkingsverantwoordelijke als we het over Radar hebben: Directeur RadarGroep, Peter de Visser
Betrokkene: de persoon wiens persoonsgegevens verwerkt worden. Dit kunnen eigen medewerkers zijn of externen.
Medewerkers: alle personen in dienst, ingehuurd of bijv. stagiaires, die onder aansturing staan van een van de werkmaatschappijen van Radar.
Eigenaar: de persoon die namens Radar, uit hoofde van zijn of haar functie, de verantwoordelijkheid heeft voor de uitvoering en inrichting van een specifieke verwerking.
2. VOOR WIE EN WAAROM DIT BELEID
2.1 Dit beleid is van toepassing op alle Medewerkers van Radar. In hun dagelijkse werkzaamheden zullen zij wellicht Persoonsgegevens (moeten) verwerken. Dit beleid stelt vast hoe zij hiermee om moeten gaan.
2.2 Met dit beleid wil Radar ervoor zorgen dat alle Verwerkingen in overeenstemming met de wet plaatsvinden en dat de rechten van de Betrokkenen gewaarborgd zijn. Dit betekent natuurlijk ook de rechten van alle Medewerkers van Radar zelf.
2.3 Op basis van dit beleid zullen er voor specifieke processen en projecten zogenaamde privacyverklaringen worden opgesteld, zodat duidelijk is hoe dit beleid in die specifieke situaties is uitgewerkt.
3. PRIVACY-ORGANISATIE
3.1 Om de naleving van dit beleid te borgen, is er een privacy-organisatie opgericht. Deze bestaat uit een Privacy Officer per werkmaatschappij en een Chief Privacy Officer die verantwoordelijk zijn op het toezien op de naleving van de AVG en de naleving en ontwikkeling van dit beleid.
Chief Privacy Officer RadarGroep:
privacy@radar-groep.nl
Privacy Officer RadarAdvies:
privacy@radaradvies.nl
Privacy Officer RadarEurope:
privacy@radareurope.nl
Privacy Officer RadarVertige:
privacy@radarvertige.nl
Voor algemene vragen met betrekking tot (de bescherming van) persoonsgegevens bij Radar met geen haast kan men gebruik maken van privacy@radar-groep.nl.
RadarGroep hoeft geen verplichte FG aan te stellen omdat zij niet voldoet aan de wettelijke voorwaarden. De huidige CPO kan deze rol niet op zich nemen vanwege conflicterende uitvoerende taken. Radar evalueert deze situatie jaarlijks en bij grote veranderingen
3.2 De Privacy Officers (PO’s) zijn binnen de eigen werkmaatschappij verantwoordelijk voor:
toezien op de handhaving van dit privacy beleid;
het bijhouden van verwerkingen van de eigen organisatie in het verwerkingsregister;
verwerken van aanvragen van betrokkenen (bijv. recht op verwijdering, zie punt 10);
kennis verzamelen en verspreiden op het gebied van gegevensbescherming;
de eigen directeur adviseren bij het ondertekenen van verwerkersovereenkomsten (zie punt 8);
ondersteuning bij het beslissen over en uitvoeren van een DPIA.
Om deze taken goed uit te kunnen voeren hebben zij toegang tot alle verwerkingen binnen de eigen werkmaatschappij, maar zijn zij natuurlijk ook verplicht tot geheimhouding en vertrouwelijkheid.
3.3 De Chief Privacy Officer (CPO) is daarbij verantwoordelijk voor:
het ontwikkelen van het privacy beleid en de privacy-organisatie;
bewustzijn van de organisatie over gegevensbescherming;
het ondersteunen, ontwikkelen van een back-up zijn voor de “lokale” PO’s;
bij een datalek handelen, een datalekregister bijhouden en indien nodig melden;
eindverantwoordelijk voor de beslissing of er voor een specifieke verwerking een DPIA moet worden uitgevoerd;
De eerste contactpersoon voor de Autoriteit Persoonsgegevens;
De eerste contactpersoon voor externen.
Om deze taken goed uit te kunnen voeren heeft de CPO toegang tot alle verwerkingen binnen Radar, maar is hij of zij natuurlijk ook verplicht tot geheimhouding en vertrouwelijkheid.
VERWERKING VAN PERSOONSGEGEVENS
4. DE EIGENAAR
Voordat medewerkers van Radar willen beginnen met het uitvoeren van een nieuw intern proces of externe opdracht waarin persoonsgegevens worden verwerkt, of (grote) veranderingen willen doorvoeren in bestaande processen of opdrachten, moet er gedocumenteerd aandacht besteed worden aan de gegevensbescherming. Dit is de verantwoordelijkheid van de medewerker van Radar uit hoofde van zijn of haar functie, die verantwoordelijkheid heeft voor de uitvoering en inrichting van een specifieke verwerking, de zogenaamde Eigenaar.
5. VOORWAARDEN VOOR HET VERWERKEN
5.1 Persoonsgegevens worden enkel verwerkt indien dat mag op basis van een van de volgende grondslagen:
de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden;
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op Radar of de klant rust.
Minder vaak (dus beter onderbouwd) gebruiken we:
de verwerking is noodzakelijk om de vitale belangen van de Betrokkene of van een andere natuurlijke personen te beschermen (alleen in leven of dood gevallen, bijv. noodnummers);
de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan Radar of de klant is opgedragen;
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (niche, alleen met zware onderbouwing).
5.2 We verwerken zo min mogelijk persoonsgegevens om ons doel te bereiken.
5.3 Er mogen geen gegevens verwerkt worden die gaan over:
godsdienst of levensovertuiging;
ras;
politieke gezindheid;
gezondheid;
seksuele leven;
lidmaatschap van een vakvereniging;
genetische of biometrische gegevens (foto’s!);
straf- of tuchtrechtelijke persoonsgegevens.
Indien het op basis van een van de grondslagen uit 5.1 toch nodig lijkt om dit type gegevens te verwerken, dan kan dit alleen in overleg met de CPO, op basis van een uitgebreide analyse en in de meeste gevallen zwaardere technische en organisatorische maatregelen.
6. VERWERKINGSREGISTER
De CPO onderhoudt voor Radar een register waarin alle informatiemiddelen en -verwerkingen die onder haar verantwoordelijkheid plaatsvinden, worden vastgelegd. Hierin staan per verwerking tenminste de volgende gegevens:
de naam en de contactgegevens van de verwerkingsverantwoordelijke;
of de naam en de contactgegevens van de door Radar aangestuurde verwerker(s);
aanwezigheid van een eventuele verwerkersovereenkomst;
eigenaar van de verwerking;
een beschrijving van de categorieën van Betrokkenen en van de categorieën van Persoonsgegevens;
de verwerkingsdoeleinden per categorie Persoonsgegevens;
de categorieën van ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt;
de grondslag waarop de gegevens verwerkt mogen worden en in het geval van toestemming, hoe deze verkregen wordt;
indien van toepassing, doorgiften van Persoonsgegevens aan een derde land;
indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden verwijderd;
indien mogelijk, een algemene beschrijving van de (extra benodigde) technische en organisatorische beveiligingsmaatregelen.
7.TAKEN EN VERANTWOORDELIJKHEIDEN VAN DE EIGENAAR VOORAF
7.1 “Gedocumenteerde aandacht” definiëren wij als tenminste het aanleveren van de gegevens uit artikel 6 in een standaard format. De Eigenaar is verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie in het register. Bij wijzigingen in bestaande registraties, dan moet de Eigenaar een bijgewerkt format aanleveren bij de eigen PO.
7.2 Hierbij maken we onderscheid tussen een format voor interne processen en externe opdrachten om het invullen zo efficiënt mogelijk te maken. Bij twijfel mag de Eigenaar zelf kiezen welk format handiger is. De formats zijn op te vragen bij de eigen PO. Hier vind je ook de handreiking voor het invullen van de formats.
Wij moedigen echter ten zeerste aan een begeleidend document te maken (2-3 alinea’s) met in duidelijke taal een beschrijving van wat je gaat doen met de gegevens. Denk hierbij aan een alinea die meteen kan worden toegevoegd aan een offerte, of die gebruikt kan worden in de privacyverklaring of een uitleg die je in een gesprek aan iemand kan geven.
Het is de werkmaatschappijen vrij een eigen format te gebruiken als dit het invullen vergemakkelijkt, zolang dit minimaal de bovenstaande gegevens gebruikt en het makkelijk blijft voor de PO en CPO om de gegevens samen te voegen.
7.3 De eigen PO controleert de informatie uit het format op volledigheid, stelt eventuele vragen en voegt dit toe aan het algemene register. Bij twijfel overleggen de PO en de CPO en kan er besloten worden dat er een extra analyse nodig is, met in het uiterste geval een officiële Privacy Impact Assessment. De Eigenaar is verplicht hier aan mee te werken.
8. VERWERKERSOVEREENKOMSTEN
8.1 Wanneer er twee partijen betrokken zijn bij het verwerken van persoonsgegevens, dan moeten deze vastleggen wie er verwerkingsverantwoordelijk is en wie er verwerker is en afspraken maken over welke persoonsgegevens er op welke manier worden verwerk. Dit gebeurt in een zogenaamde verwerkersovereenkomst. Veel van de informatie die in de verwerkersovereenkomst wordt vastgelegd is 1-op-1 over te nemen uit of in het register.
8.2 Wanneer de andere partij een verwerkersovereenkomst aanbiedt, dan moet deze altijd door de eigen PO of de CPO worden beoordeeld. Alleen de directeuren van de werkmaatschappijen zijn gemachtigd om deze te ondertekenen. Hierbij besteden zij voldoende aandacht aan het advies van de PO of CPO.
8.3 Wanneer Radar de verwerkersovereenkomst moet of wil aanbieden, dan kan deze opgevraagd worden bij de PO of CPO bij het aanleveren van een ingevuld registerformat.
9. DAADWERKELIJK VERWERKEN
9.1 Persoonsgegevens worden bij Radar alleen voor het in het register (en verwerkingsovereenkomst) vastgestelde doel verwerkt.
9.2 Persoonsgegevens worden bij Radar alleen verwerkt door de medewerkers die het bij registratie vastgestelde doel als onderdeel van hun takenpakket hebben. De Eigenaar is verantwoordelijk om de juiste toegang en middelen te verzorgen.
9.3 Geregistreerde gegevens worden alleen aan derden verstrekt of van derden ontvangen wanneer Radar hiervoor toestemming heeft van de betrokkene(n) of als dit wettelijk is toegestaan.
9.4 De eigen PO en CPO zijn het aanspreekpunt voor de betrokkenen met betrekking tot de gegevensverwerking. De Eigenaar is verantwoordelijk dat de rechten van de betrokkenen kunnen worden gewaarborgd binnen de verwerking.
RECHTEN VAN BETROKKENEN
10. INDIVIDUELE PRIVACY
Betrokkenen hebben onder voorwaarden zoals gesteld in de AVG het recht om:
de eigen persoonsgegevens te bekijken
de eigen persoonsgegevens te wijzigen of corrigeren
de eigen persoonsgegevens te wissen
bezwaar te maken tegen de verwerking van hun persoonsgegevens
hun eigen persoonsgegevens te exporteren
Let op: Dit kunnen ook medewerkers van Radar zelf zijn!
11. TRANSPARANT BELEID
De Eigenaar moet bij de verwerking ervoor zorgen dat er vooraf duidelijk melding gemaakt wordt van de gegevensverzameling en hierbij:
duidelijk maken wat Radar is en waar men contact kan opnemen;
de redenen voor en manieren van verwerking beschrijven;
het beleid aangaande gegevensopslag en verwijdering beschrijven;
de Betrokkenen voor vragen en het uitoefenen van de rechten uit artikel 10 verwijzen naar de eigen PO en de CPO;
duidelijk maken dat men het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens.
12. AFHANDELEN VERZOEKEN VAN BETROKKENEN DOOR DE PO
12.1 De eigen PO is verantwoordelijk voor het afhandelen van de verzoeken van de betrokkenen van verwerkingen in de eigen werkmaatschappij. De Eigenaar is wel verplicht om de PO in staat te stellen deze taken uit te voeren.
12.2 De PO kan om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit.
12.3 Aan het indienen van het verzoek zijn in principe geen kosten verbonden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege de hoeveelheid verzoeken van de betreffende betrokkene, kan Radar een redelijke vergoeding vragen of weigeren te voldoen aan het verzoek.
12.4 De PO laat uiterlijk binnen één maand na ontvangst van het verzoek weten welk gevolg aan dit verzoek wordt gegeven. Deze termijn kan met onderbouwing twee maanden verlengd worden. Is dit het geval, dan wordt betrokkene hiervan op de hoogte gesteld.
11.5 Als het verzoek wordt opgevolgd dan wordt dit zo snel mogelijk uitgevoerd. Als het verzoek niet wordt opgevolgd door de PO, kan Betrokkene een klacht indienen bij de CPO.
ORGANISATORISCHE VERPLICHTINGEN
13. BEVEILIGING
13.1 Radar zorgt voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van Persoonsgegevens. Het beleid voor informatiebeveiliging is vastgelegd in het Informatiebeveiligingsbeleid RadarGroep en is geborgd in de dagelijkse werkzaamheden.
13.2 Deze maatregelen hebben tot doel, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te bieden, gelet op de risico’s die de Verwerking en de aard van de Persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.
13.3 Waar er uit de analyse van een gegevensverzameling komt dat er specifieke beveiligingsmaatregelen nodig zijn, dan worden deze vastgelegd in het register. De Eigenaar is verantwoordelijk dat deze specifieke maatregelen worden ingevoerd en gevolgd.
14. BEWAARTERMIJNEN
15.1 Met inachtneming van wettelijke voorschriften (onder advies van de PO of CPO) stelt Eigenaar de bewaartermijn van de persoonsgegevens vast in het register waar mogelijk. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden en het naleven van wettelijke verplichtingen.
15.2 Wanneer de bewaartermijn verstrijkt, worden de Persoonsgegevens verwijderd. De Eigenaar is hier verantwoordelijk voor. De eigen PO ziet hier op toe.
OVERGANGS- EN SLOTBEPALINGEN
15. KLACHTEN
15.1 Indien Betrokkene van mening is dat de bepalingen uit de Wet, zoals nader uitgewerkt in dit Algemeen Privacyreglement, niet door Radar worden nageleefd, dient men zich te wenden tot de CPO.
15.2 Indien de ingediende klacht voor de Betrokkene niet leidt tot een acceptabel resultaat, kan men zich wenden tot de AP.
16. GELDIGHEID
16.1 Dit document is bedoeld om het uitvoeren van de AVG goed werkbaar te maken binnen Radar. In (voor Radar) uitzonderingsgevallen, die hier niet genoemd worden, vallen we terug op de wettekst. Als dit document afwijkt van deze wetten, door bijvoorbeeld een recente aanpassing van de wet, jurisprudentie of wellicht een tikfout, dan accepteren we dat de wettelijke verplichting leidend is en streven we er naar deze tekst zo snel mogelijk te aan te passen.