Privacyreglement met betrekking tot de bescherming van persoonsgegevens

Artikel 1. Begripsbepalingen

De definitie van enkele begrippen die regelmatig aan bod komen in het privacyreglement worden hieronder op voorhand beschreven.

• •

  Persoonsgegevens

  Elk gegeven dat een natuurlijk persoon identificeert. Dit betekent dat informatie ofwel direct over iemand c.q. een persoon gaat, ofwel naar deze persoon te herleiden is.

• •

  Verwerken van persoonsgegevens

  De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, als dan niet uitgevoerd via geautomatiseerde processen. Enkele handelingen die onder het verwerken van persoonsgegevens vallen zijn: het verzamelen, vastleggen, bijwerken, wijzigen, opvragen, gebruiken, verstrekken, het afschermen, uitwissen of vernietigen van gegevens.

• •

  Verantwoordelijke of verwerkingsverantwoordelijke

  De (verwerkings-)verantwoordelijke is verantwoordelijk voor de naleving van de verplichtingen, waaraan voldaan moet worden voor een rechtmatige verwerking van persoonsgegevens. Binnen Baanbrekers is de (verwerking-)verantwoordelijke het dagelijks bestuur van Baanbrekers.

• •

  Beheerders

  Degenen die verantwoordelijk zijn voor het goed functioneren van (een deel van) het privacyreglement. Zij dragen zorg voor het beheer van persoonsgegevens, de naleving van dit reglement en dragen er zorg voor dat de gegevens slechts ter beschikking komen van degenen die deze gegevens nodig hebben voor het uitoefenen van hun werkzaamheden. De beheerders van deze gegevens zijn de manager(s) en directeur van Baanbrekers.

• •

  Gebruikers

  Diegenen binnen Baanbrekers die het geheel of een gedeelte van de persoonsgegevens in het kader van hun werkzaamheden verwerken, en daartoe door de beheerder zijn aangewezen.

• •

  Betrokkene(n)

  Degene(n) op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

• •

  Verwerker

  Is de persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie

• •

  Ontvanger

  Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.

• •

  Medewerker

  Een medewerker is een persoon met een dienstverband bij Baanbrekers of met een dienstverband bij één van de aan Baanbrekers gelieerde partijen.

• •

  Voormalig medewerker

  Een voormalig medeweker is een persoon die een dienstverband heeft gehad bij Baanbrekers of een dienstverband heeft gehad bij één van de aan Baanbrekers gelieerde partijen.

• •

  Cliënt of kandidaat (uitkeringsgerechtigde)

  Dit is een uitkeringsgerechtigde en/of werkzoekende die een beroep doet op de Participatiewet. Dit kan zijn voor een uitkering en/of het vinden van werk en/of ondersteuning en/of begeleiding hierbij.

• •

  Derde

  Een externe natuurlijke persoon of rechtspersoon, een externe overheidsinstantie, een externe dienst of een ander extern orgaan waarvan persoonsgegevens worden verwerkt in verband met bijvoorbeeld het (aan)leveren van diensten, personeel, service, producten etc.

• •

  Bestand

  Een bestand houdt in dat de gegevens onderlinge samenhang moeten vertonen en dat het systeem systematisch toegankelijk moet zijn. De onderlinge samenhang kan blijken uit het gemeenschappelijk doel waarvoor de gegevens worden verwerkt, of uit de omstandigheid dat de gegevens in de praktijk als een geheel worden beschouwd. Daarnaast dient de structuur van een verzameling van gegevens op een zodanige manier te zijn opgezet dat de gegevens gemakkelijk toegankelijk zijn.

• •

  Geheel of gedeeltelijk geautomatiseerde gegevensverwerking

  Van geautomatiseerde verwerking van persoonsgegevens is sprake als gebruik wordt gemaakt van middelen en methoden van geautomatiseerde gegevensverwerking. Er is sprake van een gedeeltelijke geautomatiseerde verwerking als bij de verwerking ook gebruik wordt gemaakt van handmatige verwerking.

• •

  Niet geautomatiseerde verwerking in een bestand of bestemd voor een bestand

  De verwerking in een gestructureerd dossier, mits deze gegevens in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.

• •

  Functionaris van gegevensbescherming (FG)

  Een Functionaris van gegevensbescherming (FG) moet worden aangesteld door overheidsinstanties en -organen (ongeacht de door hen verwerkte gegevens) en voor andere organisaties die – als één van hun kerntaken – stelselmatig en op grote schaal personen observeren of op grote schaal bepaalde categorieën persoonsgegevens verwerken. Een FG wordt betrokken bij alle zaken binnen de organisatie met betrekking tot de bescherming van persoonsgegevens.

• •

  Autoriteit Persoonsgegevens (AP)

  De toezichthouder op het gebruik van persoonsgegevens en de naleving van wet- en regelgevingen omtrent de verwerking van persoonsgegevens door organisaties. De Autoriteit Persoonsgegevens kan bij overtreding van de wet- en regelgeving een bestuurlijke boete opleggen.

• •

  Inbreuk in verband met persoonsgegevens (ook wel datalek genoemd)

  Een inbreuk op de persoonsgegevens is een inbreuk op de beveiliging zonder dat dit de bedoeling is van de organisatie of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

• •

  Privacy by design en privacy by default

  De waarborging van gegevensbescherming door ontwerp en door standaardinstellingen. Privacy bij design gaat er vanuit dat in een vroeg stadium wordt nagedacht over verschillende aspecten m.b.t. privacy. Privacy by default is het inbouwen van privacy, zodat het vanaf het begin van het proces in acht wordt genomen.

• •

  Gegevensbeschermingseffectbeoordeling/Privacy impact assessment (PIA)

  Met een gegevensbeschermingseffectbeoordeling oftewel PIA worden de effecten en risico’s van de nieuwe en bestaande verwerkingen beoordeeld op de bescherming van de privacy.

Artikel 2. Werkingssfeer van het reglement

Dit reglement is van toepassing:

• a.

  op de uitvoeringsorganisatie Baanbrekers, alsmede hieronder begrepen de aan de uitvoeringsorganisatie Baanbrekers gelieerde partijen zoals de Stichting Bevordering Werkgelegenheid Midden-Langstraat (SBW), Stichting Fidant, Ruelong B.V (handelsnaam: WML-facilitair), hierna eveneens te noemen “Baanbrekers”,

  en

• b.

  op zowel alle geautomatiseerde persoonsgegevensverwerking als de niet geautomatiseerde persoonsgegevensverwerking, mits deze persoonsgegevens in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.

Artikel 3. Doel van het verwerken van persoonsgegevens

Het doel van het verwerken van de persoonsgegevens is het op rechtmatige wijze vastleggen van de persoonsgegevens voor zover Baanbrekers die nodig heeft voor:

• a.

  de uitvoering van de Participatiewet;

• b.

  de uitvoering van het Besluit bijstandsverlening zelfstandigen (BBZ);

• c.

  de uitvoering van de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze;

• d.

  de uitvoering van de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers (IOAW);

• e.

  de uitvoering van de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen (IOAZ);

• f.

  de uitvoering van de Wet Sociale Werkvoorziening (Wsw) en de daarop gebaseerde (uitvoerings-)regelingen, voor zover die uitvoering aan de gemeenten is opgedragen;

  of zoals in de leden 3a tot en met 3f genoemde wet (ten), regelingen en Besluit(en) thans luiden of gaan luiden in de toekomst;

• g.

  het oprichten, exploiteren en in stand houden van diensten en activiteiten voor industriële en dienstverlenende werkzaamheden, detacheringen en (traject)begeleiding en ondersteuning naar werk of het kunnen werken in een beschutte werkomgeving;

• h.

  het verrichten van bepaalde taken/activiteiten/werkzaamheden en projecten voor één of meer aan Baanbrekers deelnemende gemeenten;

• i.

  het voeren van een effectief, efficiënt en rechtmatig personeelsbeleid, -personeels-, uitkerings- en cliëntenadministratie en -personeels-, uitkerings- en cliëntenbeheer;

• j.

  de uitvoering van overige wet- en regelgeving en/of het voldoen aan overige wettelijke verplichtingen;

• k.

  en voor de uitvoering van de overige taken/activiteiten/projecten en werkzaamheden.

Artikel 4. Bevoegdheid

• 1.

  De (verwerkings-)verantwoordelijke is bevoegd het beheer van de bestanden op te dragen aan een beheerder en/of gebruiker en/of verwerker.

• 2.

  Een beheerder en/of gebruiker wordt geautoriseerd voor het gebruik van (een gedeelte van) het bestand en/of het systeem. Middels deze (systeem- bestand-)autorisatie worden de gegevens uit het bestand uitsluitend verstrekt aan een beheerder en/of gebruikers voor zover zij daartoe bevoegd zijn uit hoofde van hun functie of werkzaamheden c.q. uit te voeren taken.

• 3.

  Iedere beheerder en/of gebruiker tekent voor het gebruik van bestanden een zogenaamde geheimhoudings, -gebruikers- en integriteitsverklaring. Er kan echter in het kader van de uitvoering van de Participatiewet, BBZ, IOAW, IOAZ en Wsw, of mogelijke rechtsopvolgers of op basis van andere wettelijke verplichtingen, inbreuk moeten worden gemaakt op de persoonsgegevens/privacy van personen.

• 4.

  De verantwoordelijke is bevoegd het beheer van de bestanden op te dragen aan een verwerker. Een verwerker moet voldoen aan de eisen die zijn vastgelegd in artikel 10 van dit reglement en de eisen en verplichtingen die zijn gesteld in de verwerkersovereenkomst conform artikel 11 van dit reglement.

Artikel 5. Categorieën van betrokkenen

De persoonsgegevens die worden verwerkt binnen Baanbrekers kunnen betrekking hebben op o.a. de volgende categorieën van betrokkenen:

• a.

  medewerkers of voormalig medewerkers;

• b.

  cliënten of kandidaten/(niet-) uitkeringsgerechtigden, werkzoekenden;

• c.

  derden;

• d.

  klanten, opdrachtgevers;

• e.

  stagiaires;

• f.

  vrijwilligers.

  Etc.

Artikel 6. Verkrijging van persoonsgegevens en informatieplicht

• 1.

  De persoonsgegevens van betrokkenen worden verwerkt op een rechtmatige, behoorlijke en transparante wijze dat verenigbaar is met de doeleinden waarvoor ze zijn verkregen.

• 2.

  De persoonsgegevens kunnen worden verkregen bij de betrokkene zelf of op een andere wijze dan van betrokkene zelf.

• 3.

  Bij het verkrijgen van de persoonsgegevens rechtstreeks van betrokkene zelf wordt vooraf voldaan aan de informatieplicht . Hierbij wordt o.a. aangegeven welke persoonsgegevens met welke doeleinden worden verwerkt; hoe lang deze gegevens worden bewaard; wat de contactgegevens van de FG zijn en wat de rechten van betrokkene zijn.

• 4.

  Indien de persoonsgegevens op een andere wijze worden verkregen (bijvoorbeeld door een derde) geldt de informatieplicht op het moment dat de gegevens worden vastgelegd.

• 5.

  Het voldoen aan de informatieplicht is niet nodig als duidelijk is dat betrokkene reeds op de hoogte is. De betrokkene wordt niet nogmaals geïnformeerd als hij al weet dat de persoonsgegevens van hem verzameld en verwerkt worden, en weet waarom en voor welk doel dat gebeurt.

• 6.

  Aan de informatieplicht hoeft niet te worden voldaan als aantoonbaar is dat het onmogelijk is of een onevenredige inspanning kost om betrokkene te informeren. Tevens is de informatieplicht niet van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven. In deze gevallen wordt de herkomst van de gegevens vastgelegd.

Artikel 7. Verdere verwerking van persoonsgegevens

• 1.

  De persoonsgegevens worden na het verzamelen ervan slechts verder verwerkt op een wijze die rechtmatig en verenigbaar is met de doeleinden waarvoor ze zijn verkregen.

• 2.

  De verdere verwerking van persoonsgegevens dient, gelet op de doeleinden, toereikend, ter zake dienend, niet bovenmatig, juist en nauwkeurig te zijn.

• 3.

  De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat.

Artikel 8. Verstrekking van persoonsgegevens aan derden

• 1.

  Persoonsgegevens kunnen slechts aan derden verstrekt worden:

  • a.

    indien betrokkene voor de verstrekking zijn ondubbelzinnige schriftelijke toestemming heeft verleend, of;

  • b.

    de verstrekking noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is, of;

  • c.

    voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst, of;

  • d.

    de gegevensverstrekking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is, of;

  • e.

    de gegevensverstrekking noodzakelijk is ter vrijwaring van vitaal belang van de betrokkene;

  • f.

    de gegevensverstrekking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of;

  • g.

    de gegevensverstrekking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op de bescherming van de persoonlijke levenssfeer, prevaleert.

• 2.

  Van alle verzoeken om verstrekking van gegevens aan derden en de besluitvorming daaromtrent, wordt aantekening gehouden.

Artikel 9. Documentatieplicht

Inzake de documentatieplicht dient de verantwoordelijke de processen m.b.t. de gegevensverwerking te documenteren c.q. te bewaren. Deze documentatieplicht betreft in ieder geval de volgende informatie:

• a.

  de naam en de contactgegevens van de verantwoordelijke;

• b.

  de naam en de contactgegevens van de functionaris gegevensbescherming;

• c.

  het doel van de verwerking van persoonsgegevens;

• d.

  een beschrijving van de betrokkenen en de persoonsgegevens die worden verwerkt;

• e.

  de ontvangers van de persoonsgegevens;

• f.

  eventuele informatie over doorgifte van persoonsgegevens aan derde landen;

• g.

  indien mogelijk de termijn waarbinnen de gegevens worden gewist;

• h.

  indien mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Artikel 10. De verwerker en de verwerkersovereenkomst

• 1.

  De beheerder draagt zorg dat de verwerker voldoende waarborgen biedt ten aanzien van passende technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 18.

• 2.

  De beheerder ziet toe op de naleving van de maatregelen genoemd in artikel 10 lid 1.

• 3.

  De uitvoering van verwerkingen door een verwerker en alle verplichtingen van de verwerker worden geregeld in een overeen te komen verwerkersovereenkomst, als bedoeld in artikel 11.

• 4.

  De beheerder mag alleen van een dienst van een verwerker gebruikmaken als de verwerker voldoende garanties biedt dat de verwerking wordt uitgevoerd volgens de regels en verplichtingen opgenomen in dit reglement en in de verwerkersovereenkomst.

Artikel 11. De verwerkersovereenkomst

• 1.

  De verwerkersovereenkomst betreft afspraken tussen verwerkingsverantwoordelijke en de verwerker over hoe om te gaan met de gedeelde persoonsgegevens. Baanbrekers maakt hiervoor gebruik van een standaard format.

• 2.

  Daarnaast kan het voorkomen dat er sprake is van gedeelde verantwoordelijkheid. Baanbrekers maakt hiervoor gebruik van een standaard format.

Artikel 12. Bewaren van persoonsgegevens

• 1.

  Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verzameld en vervolgens verder worden verwerkt.

• 2.

  Indien persoonsgegevens niet meer noodzakelijk zijn voor de verwerkelijking van de doeleinden waarvoor ze zijn verzameld worden deze gegevens vernietigd worden of ze worden zo aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Artikel 13. Gebruik persoonsgegevens voor onderzoek en/of statistiek

• 1.

  Onder bepaalde voorwaarden worden persoonsgegevens langer bewaard dan bepaald in artikel 12. Dit voor zover deze voor historische, statistische of wetenschappelijke doeleinden dienen te worden bewaard en de verantwoordelijke de nodige voorziening heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.

• 2.

  Betrokkene wordt van tevoren in algemene zin geïnformeerd over het feit dat de gegevens gebruikt kunnen worden voor onderzoek en/of voor statistiek en betrokkene heeft hiertegen geen uitdrukkelijk bezwaar gemaakt.

Artikel 14. Geheimhoudingsplicht persoonsgegevens en beveiliging

• 1.

  Een ieder die de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijk karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds uit hoofde van functie, beroep of wettelijk voorschrift ter zake van die gegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan, behoudens voor zover enig (wettelijk) voorschrift en/of behoudens een gerechtvaardigd toegelicht doel en/of missie hem tot bekendmaking verplicht.

• 2.

  De beheerder, systeem- en applicatiebeheerders dragen de zorg voor het aanleggen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

• 3.

  Een gelijke plicht, zoals genoemd in lid 2 van dit artikel, ligt op de gebruikers ten aanzien van het door hen te gebruiken persoonsgegevens.

• 4.

  De privacy maatregelen genoemd in de artikelen 15 tot en met 17 maken onderdeel uit van de beveiliging.

• 5.

  Periodiek wordt getoetst of de genomen maatregelen voor beveiliging nog adequaat zijn gezien de omstandigheden van het geval.

Artikel 15. Privacy by design en privacy by default

• 1.

  De privacy by design en default waarborgt de gegevensbescherming in ontwerp en in standaardinstellingen. Zo wordt erop toegezien dat met de producten en diensten die binnen Baanbrekers worden gebruikt de bescherming van de privacy vanaf het begin van een proces wordt ingebouwd.

• 2.

  Deze maatregel wordt toegepast vanaf de bepaling van de verwerkingsmiddelen als bij het gehele proces van verwerking van gegevens.

Artikel 16. Gegevensbeschermingsbeoordeling/Privacy impact assessment (PIA)

• 1.

  Bij bijzonder risicovolle verwerkingen stelt de verantwoordelijke een gegevensbeschermingseffectbeoordeling (PIA) vast, zodat bepaalde risico’s van een project/activiteit/werkzaamheden in een vroeg stadium op een gestructureerde en heldere manier in beeld worden gebracht.

• 2.

  Een gegevensbeschermingseffectbeoordeling kan worden uitgevoerd door een opdrachtgever, een opdrachtnemer, een functionaris van Baanbrekers en/of de FG.

Artikel 17. Functionaris van gegevensbescherming (FG)

• 1.

  De functionaris van gegevensbescherming is onafhankelijk, niet gebonden aan eventuele instructies van de verantwoordelijke, en is gehouden aan de geheimhoudingsplicht conform artikel 14 lid 1.

• 2.

  Binnen Baanbrekers|* heeft de functionaris van gegevensbescherming (FG) de volgende taken:

• •

  het rapporteren van de omvang van zijn of haar takenpakket aan de beheerders (directeur en managers van Baanbrekers);

• •

  wordt betrokken bij alle zaken die betrekking hebben op de bescherming van persoonsgegevens en beheerst daardoor ook de privacy risico’s binnen de organisatie;

• •

  zorgt voor het bewustzijn van privacy binnen de organisatie en ziet erop toe dat de wetgeving en het privacy beleid van de organisatie wordt nageleefd;

• •

  wordt betrokken bij de uitvoering van de gegevensbeschermingseffectbeoordeling (PIA);

• •

  is de contactpersoon voor de toezichthouder (AP) en voor de betrokkenen.

|* Opgemerkt wordt dat een FG bij publiekrechtelijke organisaties verplicht moet worden aangesteld maar deze verplichting niet geldt voor privaatrechtelijke organisaties. De benoeming van de FG moet worden gemeld bij de AP.

Artikel 18. Meldplicht datalekken

• 1.

  De beheerder doet samen en op advies van de FG namens de verantwoordelijke een melding bij de Autoriteit Persoonsgegevens, zodra Baanbrekers een datalek heeft dat een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

• 2.

  De beheerder dient in dat geval ook namens de verantwoordelijke onverwijld een melding te doen bij de betrokkenen.

• 3.

  Binnen Baanbrekers dient bij een datalek gehandeld te worden conform het Proces Wet Melding Datalekken.

Artikel 19. Rechten van betrokkenen

• 1.

  Inzagerecht: Betrokkene heeft de mogelijkheid om te controleren of, en op welke manier zijn gegevens worden verwerkt.

  • a.

    Inzage vindt altijd plaats onder begeleiding van de behandelend functionaris, zo nodig kan door deze functionaris een toelichting worden gegeven.

  • b.

    Betrokkene kan, indien hij dit wenst, kopieën laten maken van de aanwezige stukken. Bij het verstrekken van afschriften wordt op het document aangegeven dat het om een kopie handelt.

  • c.

    Baanbrekers is gerechtigd voor de verstrekking van afschriften een kostprijs in rekening te brengen.

• 2.

  Correctierecht: Betrokkene kan de verwerking van de betreffende persoonsgegevens beperken of corrigeren indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt;

• 3.

  Recht van verzet: Betrokkene heeft het recht Baanbrekers te vragen om hun persoonsgegevens om moverende redenen niet meer te gebruiken.

• 4.

  Recht om vergeten te worden: In gevallen waar betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft betrokkene het recht om die persoonsgegevens om moverende redenen te laten verwijderen.

• 5.

  Recht op bezwaar: Betrokkene heeft het recht om bezwaar te maken tegen de verwerking van de persoonsgegevens. Baanbrekers zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

• 6.

  In het kader van bovengenoemde rechten van betrokkene kan betrokkene bij Baanbrekers een schriftelijk verzoek indienen. Aan de hand van een verzoek kan Baanbrekers aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokken. Baanbrekers heeft een maand de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Bij weigering van het verzoek zal dit gemotiveerd aan betrokkene kenbaar worden gemaakt. Betrokkene kan binnen zes weken na ontvangst van het besluit hiertegen een bezwaar of klacht indienen.

• 7.

  Alle verzoeken en de besluitvorming hieromtrent wordt gedocumenteerd.

Artikel 20. Recht op dataportabiliteit

• 1.

  Indien persoonsgegevens op een geautomatiseerde wijze zijn verwerkt kan betrokkene de Baanbrekers schriftelijk verzoeken om de betreffende persoonsgegevens over te dragen van het ene elektronische platform naar het andere, waardoor persoonsgegevens worden overgedragen aan een andere verantwoordelijke (dit is dataportabiliteit).

• 2.

  Baanbrekers neemt een besluit of dit wel of niet wordt toegestaan. Bij weigering zal dit in een gemotiveerd besluit aan betrokkene kenbaar worden gemaakt, waarna betrokkene binnen zes weken na ontvangst van het besluit hiertegen een bezwaar of een klacht kan indienen.

• 3.

  Alle verzoeken op dataportabiliteit van persoonsgegevens en de besluitvorming hieromtrent wordt gedocumenteerd.

Artikel 21. Uitzonderingen

De toepassing van artikel 6 lid 2 tot en met lid 7, artikel 7 lid 1, en de artikelen 8, 19 en 20 kan achterwege blijven voor zover dit noodzakelijk is in het belang van:

• a.

  de veiligheid van de staat;

• b.

  de voorkoming, opsporing en vervolging van strafbare feiten;

• c.

  gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

• d.

  het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen onder b en c, of

• e.

  de bescherming van betrokkene of van de rechten en vrijheden van anderen.

Artikel 22. Benaming

Dit reglement wordt aangehaald als het privacyreglement met betrekking tot de bescherming van persoonsgegevens.

Artikel 23. Bekendmaking

Bekendmaking van dit reglement geschiedt door middel van DROP in het publicatieblad van Baanbrekers. Hyperlinks naar dit reglement worden aangebracht op de website en op het intranet van Baanbrekers.

Artikel 24. Intrekking

Tegelijkertijd met de vaststelling van het privacyreglement met betrekking tot de bescherming van persoonsgegevens versiedatum 31 oktober 2023 wordt het privacyreglement met betrekking tot persoonsgegevens versiedatum 26 februari 2018 ingetrokken:

Artikel 25. Inwerkingtreding

Het privacyreglement met betrekking tot de bescherming van persoonsgegevens (versiedatum: 31 oktober 2023) treedt in na goedkeuring door de directeur namens het dagelijks bestuur.