Privacyverklaring

Artikel 1 Begripsbepalingen

In dit reglement wordt verstaan onder:

1. Personeel: bij of voor het bevoegd gezag werkzame personen;
2. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
3. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
4. Burgerservicenummer: het volgens de Wet algemene bepalingen Burgerservicenummer aan een natuurlijke persoon toegekend nummer;
5. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
6. Werkgever: het bevoegd gezag van Stichting kringloop Dinkelland Tubbergen;
7. Beheerder: degene die onder verantwoordelijkheid van de werkgever is belast met de (dagelijkse) zorg voor de verwerking van persoonsgegevens;
8. Bewerker: degene die op basis van een overeenkomst ten behoeve van de werkgever persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
9. Gebruiker: degene in de zin van artikel 6 die gerechtigd is kennis te nemen van bepaalde gegevens in een persoonsregistratie;
10. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;
11. Derde: ieder niet zijnde de betrokkene, de werkgever, de bewerker; of enig persoon die onder rechtstreeks gezag van de werkgever of de bewerker gemachtigd is  om persoonsgegevens te verwerken;
12. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
13. Bevoegd gezag: Personeelszaken Team van Stichting kringloop Dinkelland Tubbergen
14. Toestemming van betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee betrokkene aanvaardt dat de hem / haar betreffende persoonsgegevens worden verwerkt;
15. AVG: Algemene Verordening Gegevensbescherming
     

Artikel 2 Reikwijdte en doelstelling van het reglement

2.1 Dit reglement is van toepassing op alle persoonsgegevens betreffende het personeel die door of namens het bevoegd gezag worden verwerkt.
2.2 Dit reglement heeft tot doel:

1. de persoonlijke levenssfeer van personeel van wie persoonsgegevens worden verwerkt te beschermen tegen misbruik van die gegevens en tegen het verwerken van onjuiste gegevens;
2. te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
3. de rechten van de betrokkenen te waarborgen.
    

Artikel 3 Doel en verwerking van de persoonsgegevens

3.1 Slechts die persoonsgegevens worden verwerkt, die rechtmatig verkregen zijn.
3.2 Verwerking van de gegevens mag alleen geschieden voor de in lid 5 van deze bepaling genoemde categorieën van verwerking.
3.3 De verwerking van de gegevens moet in overeenstemming zijn met het doel, waarvoor de verwerking is aangelegd. De doeleinden verschillen per categorie en zijn omschreven in de bij dit reglement behorende bijlagen.
3.4 Geen andere gegevens mogen worden verwerkt dan de gegevens genoemd in de bij dit reglement behorende bijlagen.
3.5 De categorieën van verwerking zijn:

1. sollicitanten (bijlage 1);
2. personeelsadministratie (bijlage 2);
3. salarisadministratie (bijlage 3);
4. uitkering bij ontslag (bijlage 4);
5. pensioen en vervroegde uittreding (bijlage 5)
    

Artikel 4 Het beheer van (de verwerking van) persoonsgegevens

Persoonsgegevens worden door de werkgever op naam van het personeelslid verzameld. De verzameling van persoonsgegevens van het personeelslid vormt het dossier.
 

Artikel 5 Verstrekking van gegevens

Persoonsgegevens worden slechts verstrekt aan degenen die worden genoemd in de bij dit reglement behorende bijlagen.
 

Artikel 6 Toegang tot persoonsgegevens

6.1 Behoudens daartoe strekkende wettelijke voorschriften in wet- en regelgeving hebben slechts toegang tot de persoonsgegevens: degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan de activiteiten die in verband staan met de verwerking van de gegevens of die daarbij noodzakelijk zijn betrokken.
6.2 Degenen genoemd in artikel 6.1 dienen zich te registreren in het bestand dat als bijlage 6 bij dit reglement wordt gevoegd.
 

Artikel 7 Beveiliging en geheimhouding

7.1  De werkgever draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
7.2  Indien sprake is van elektronische verwerking van persoonsgegevens zal de beheerder via een coderingsbeveiliging de verschillende personen, als bedoeld in artikel 6, toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.
7.3  Een ieder die betrokken is bij de uitvoering van dit reglement en daarbij de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan. Dit geldt niet indien enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.
7.4  De werkgever zal conform de AVG de autoriteit bescherming persoonsgegevens onverwijld in kennis stellen van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
7.5  De werkgever zal conform de AVG de betrokkene onverwijld in kennis stellen van de inbreuk, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
7.6  Een ieder die betrokken is bij de uitvoering van dit reglement en op de hoogte raakt van een (mogelijk) inbreuk op de beveiliging zoals bedoeld in art. 7.4 is verplicht hiervan onverwijld melding te maken bij de werkgever.
 

Artikel 8 Informatieplicht

8.1 De werkgever informeert betrokkene over het verwerken van diens persoonsgegevens, voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan het moment van vastlegging.
8.2 De werkgever informeert betrokkene over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt en aan wie de gegevens worden verstrekt.
 

Artikel 9 Rechten betrokkene(n): inzage, correctie, verzet

9.1 Elke betrokkene heeft het recht op inzage.
9.2 Indien de werkgever twijfelt aan de identiteit van de verzoeker, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.
9.3 Een verzoek om inzage dient te worden gedaan aan de werkgever, die binnen vier weken na ontvangst van dit verzoek hierop schriftelijk reageert.
9.4 Indien de betrokkene de werkgever verzoekt tot correctie omdat bepaalde opgenomen gegevens onjuist c.q. onvolledig zouden zijn, dan wel gezien de doelstelling van het systeem niet ter zake doen, dan wel strijdig zijn met dit reglement, neemt de werkgever binnen vier weken nadat betrokkene dit verzoek heeft ingediend, hierover een beslissing binnen de kaders van de hiervoor opgestelde regels binnen de AVG.
9.5 De werkgever draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.
9.6 Wanneer de verwerking van persoonsgegevens plaatsvindt op de grondslag dat die verwerking

1. a. noodzakelijk is voor de goede vervulling van een door de werkgever verrichte publiekrechtelijke taak, of
2. b. noodzakelijk is voor een gerechtvaardigd belang van de werkgever of een derde, kan betrokkene schriftelijk verzet aantekenen tegen de verwerking van de gegevens, op basis van zijn bijzondere persoonlijke omstandigheden. De werkgever dient binnen vier weken na ontvangst van het verzet te beoordelen of het verzet terecht is. Is dat het geval, dan dient de verwerking van persoonsgegevens onmiddellijk te worden beëindigd.
    

Artikel 10 Bewaartermijnen

Hierbij onderscheiden we:

1. Administratie personeel / salaris: de persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het dienstverband of de werkzaamheden van betrokkene ten behoeve van de werkgever zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
2. Administratie sollicitanten: de persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van betrokkene en in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is geëindigd, tenzij de persoonsgegevens met toestemming van betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard.

Artikel 11 Oud-personeel

11.1   De werkgever kan besluiten over te gaan tot het instellen van een verwerking van persoonsgegevens betreffende oud-personeelsleden
11.2  De verwerking geschiedt slechts voor:

1. het onderhouden van contacten met oud-personeelsleden;
2. het verzenden van informatie aan oud-personeelsleden;
3. het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in  handen van derden stellen van vorderingen, alsmede andere activiteiten van intern   beheer;
4. het behandelen van geschillen en het doen uitoefenen van accountantscontrole.

11.3  Geen andere persoonsgegevens worden verwerkt dan:

1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode,   woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens,   alsmede bankrekeningnummer van de betrokkene;
2. een administratienummer, dat geen andere informatie bevat dan bedoeld onder a;
3. gegevens betreffende de functie waarin en de periode gedurende welke het oud-personeelslid voor de werkgever werkzaam is geweest;
4. gegevens met het oog op het berekenen, vastleggen en innen van bijdragen en giften.

11.4  De persoonsgegevens worden slechts verstrekt aan:

1. degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
2. anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, en artikel 9, derde lid, van de Wbp.

11.5  De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van de betrokkene of bij diens overlijden.
 

Artikel 12 Klachten

12.1  Indien de betrokkene van mening is dat de bepalingen van  de AVG zoals uitgewerkt in dit   reglement niet door de instelling worden nageleefd dient hij zich te wenden tot de werkgever.
12.2  Indien de ingediende klacht voor de betrokkene niet leidt tot een voor hem/haar acceptabel resultaat, kan hij/zij zich wenden tot de autoriteit bescherming persoonsgegevens dan wel tot de rechter.
 

Artikel 13 Inwerkingtreding en citeertitel

Dit reglement kan aangehaald worden als privacyreglement verwerking gegevens personeel en treedt in werking op 01-06-2021. Het reglement is vastgesteld door het  bevoegd gezag en vervangt eventuele vorige versies.

 

---

Bijlage 1 Sollicitanten

1. De verwerking geschiedt slechts voor de volgende doeleinden:
   1. de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is of kan komen;
   2. de afhandeling van de door de sollicitant gemaakte onkosten;
   3. de interne controle en de bedrijfsbeveiliging;
   4. de uitvoering of toepassing van een andere wet.
       
2. Geen andere gegevens worden verwerkt dan:
   1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
   2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
   3. nationaliteit en geboorteplaats;
   4. gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige sollicitanten;
   5. gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
   6. gegevens betreffende de functie waarnaar gesolliciteerd is;
   7. gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende de beëindiging ervan;
   8. gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende de beëindiging ervan;
   9. andere gegevens met het oog op het vervullen van de functie, die door de betrokkene zijn verstrekt of die hem bekend zijn;
   10. andere dan de onder a tot en met i bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.

3. De persoonsgegevens worden slechts verstrekt aan degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken.

 

Bijlage 2 Personeelsadministratie

1. De verwerking geschiedt slechts voor de volgende doeleinden:
   1. het geven van leiding aan de werkzaamheden van betrokkene;
   2. de behandeling van personeelszaken;
   3. het vaststellen en doen uitbetalen van salarisaanspraken;
   4. het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
   5. de opleiding van betrokkene;
   6. de bedrijf medische zorg voor betrokkene;
   7. het bedrijfsmaatschappelijk werk;
   8. de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
   9. de interne controle en de bedrijfsbeveiliging;
   10. de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarde;
   11. het opstellen van een lijst van data van verjaardagen van betrokkenen en andere feestelijkheden en gebeurtenissen;
   12. het verlenen van ontslag;
   13. de administratie van de personeelsvereniging en van de vereniging van oud-personeelsleden;
   14. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
   15. het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
   16. de uitvoering of toepassing van een andere wet.
        
2. Geen andere persoonsgegevens worden verwerkt dan:
   1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer, Burgerservicenummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
   2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
   3. nationaliteit en geboorteplaats;
   4. gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
   5. gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
   6. gegevens betreffende de functie of de voormalige functie, alsmede betreffende de aard, de inhoud en de beëindiging van het dienstverband;
   7. gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
   8. gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hun arbeidsomstandigheden;
   9. gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
   10. gegevens met oog op het organiseren van de personeelsbeoordeling en de loopbaanbegeleiding, voor zover die gegevens bij de betrokkenen bekend zijn;
   11. andere dan de onder a tot en met j bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.

3. De persoonsgegevens worden slechts verstrekt aan:
   1. degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
   2. anderen, bijvoorbeeld de arbodienstverlener en de verzekeringsmaatschappij.
   3. een vakbond of een vakcentrale met het oog op het overleg met haar leden over de samenstelling van de kandidatenlijst ten behoeve van een wettelijk geregelde verkiezing van de leden van een medezeggenschapsorgaan binnen de organisatie van de werkgever, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht uit te oefenen.

 

Bijlage 3 Salarisadministratie

1. De verwerking geschiedt slechts voor de volgende doeleinden:
   1. het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van betrokkene;
   2. het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
   3. een voor de betrokkene geldende arbeidsvoorwaarde;
   4. de personeelsadministratie;
   5. het verlenen van ontslag;
   6. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
   7. het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
   8. de uitvoering of toepassing van een andere wet.

2. Geen andere persoonsgegevens worden verwerkt dan:
   1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer, burger service nummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
   2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
   3. nationaliteit en geboorteplaats;
   4. gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
   5. gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van de in het eerste lid bedoelde personen;
   6. gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
   7. gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
   8. andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.

3. De persoonsgegevens worden slechts verstrekt aan degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken.
    

Bijlage 4 Uitkering bij ontslag

1. De verwerking geschiedt slechts voor de volgende doeleinden:
   1. de berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkeringen aan of ten behoeve van de betrokkenen;
   2. de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
   3. een voor de betrokkene geldende arbeidsvoorwaarde;
   4. de personeelsadministratie;
   5. de salarisadministratie;
   6. de vereniging van oud-personeelsleden;
   7. de overgang van de betrokkene naar of diens tijdelijke tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de werkgever is verbonden;
   8. het verlenen van ontslag;
   9. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
   10. het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
   11. de uitvoering of toepassing van een andere wet.
        
2. Geen andere persoonsgegevens worden verwerkt dan:
   1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
   2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
   3. nationaliteit en geboorteplaats;
   4. gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige personeelsleden en oud-personeelsleden;
   5. gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, met het oog op de vaststelling van de hoogte van de aanspraak aan of ten behoeve van de in het eerste lid bedoelde personen;
   6. gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van de in het eerste lid bedoelde personen;
   7. gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
   8. andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.

3. De persoonsgegevens worden slechts verstrekt aan degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken.
    

Bijlage 5 Pensioen en vervroegde uittreding

1. De verwerking geschiedt slechts voor de volgende doeleinden:
   1. de vaststelling van de hoogte van de aanspraak van de betrokkene;
   2. het berekenen, vastleggen en innen van premies;
   3. de berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkenen;
   4. de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
   5. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
   6. het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
   7. de uitvoering of toepassing van een andere wet.
       
2. Geen andere persoonsgegevens worden verwerkt dan:
   1. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
   2. een administratienummer dat geen andere informatie bevat dan bedoeld onder a, het tijdstip waarop gegevens over de betrokkene in de administratie zijn opgenomen, een verwijzing naar de werkgever door wiens tussenkomst de in het eerste lid bedoelde aanspraak tot stand is gekomen en een verwijzing naar de betrokken bedrijfstak;
   3. nationaliteit en geboorteplaats;
   4. gegevens, waaronder begrepen gegevens betreffende andere begunstigden dan de betrokkene, met het oog op de vaststelling van de hoogte van de aanspraak van de betrokkene;
   5. gegevens met het oog op het berekenen, vastleggen en innen van premies;
   6. gegevens met het oog op het berekenen, het vastleggen en het betalen van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkene;
   7. andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.

3. De persoonsgegevens worden slechts verstrekt aan degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken.

 

Bijlage 6

Overzicht van diegenen die toegang hebben tot de personeelsregistratie van Stichting kringloop Dinkelland Tubbergen zoals bedoeld in artikel 6 lid 2 van dit reglement:

Functie en motivering gebruik	Toegang tot welke persoonsgegevens
Directeur	Sollicitanten, Personeelsadministratie, Salarisadministratie, uitkering bij ontslag en Pensioen en vervroegde uittreding
Medewerkers Boekhouding	Sollicitanten, Personeelsadministratie, Salarisadministratie, uitkering bij ontslag en Pensioen en vervroegde uittreding
Medewerkers Administratie	Sollicitanten, Personeelsadministratie, Salarisadministratie, uitkering bij ontslag en Pensioen en vervroegde uittreding

Deze bijlage is voor het laatst gewijzigd op 18-06-2021

 

---

Toelichting

Begripsbepalingen

De meeste begripsbepalingen vloeien direct voort uit de Algemene Verordening Gegevensbescherming.

Personeel

Personen in dienst van of werkzaam (geweest) voor St. kringloop Dinkelland Tubbergen: zij die ten behoeve van de organisatie werkzaamheden verrichten of hebben verricht. Hieronder vallen niet alleen de personen die een akte van benoeming/aanstelling hebben, maar ook uitzendkrachten, stagiaires, vrijwilligers, personen die bij de organisatie zijn gedetacheerd, oud-personeelsleden, etc. In de tekst wordt geregeld het woord personeelslid gebruikt maar hier worden dus alle personen bedoeld die in dienst van of werkzaamheden ten behoeve van St. kringloop Dinkelland Tubbergen verrichten. Valt samen met betrokkene.

Persoonsgegeven

Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de AVG. De AVG noemt de persoon wiens persoonsgegevens worden verwerkt de betrokkene.
Gegevens zijn persoonsgegevens als:

• de gegevens informatie bevatten over een natuurlijke persoon; en
• die persoon identificeerbaar is.

De aard van sommige persoonsgegevens brengt mee dat de verwerking ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer van de betrokkene, omdat die gegevens gevoelige informatie over iemand verschaffen. De AVG noemt deze gegevens bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens.

Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands:

• godsdienst of levensovertuiging;
• ras;
• politieke gezindheid;
• gezondheid;
• seksuele leven; en
• lidmaatschap van een vakvereniging.

Verder zijn bijzondere persoonsgegevens:

• strafrechtelijke persoonsgegevens; en
• persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod).

Verwerking van persoonsgegevens

Het gaat er om of iemand enige feitelijke macht of invloed, al dan niet via een computersysteem, over de gegevens kan uitoefenen: iemand moet een handeling met de gegevens kunnen verrichten. Als iemand geen macht of invloed kan uitoefenen op de persoonsgegevens, valt deze verwerking niet onder de Wbp.

Burgerservicenummer/administratienummer

Eind 2007 is het burgerservicenummer (BSN) ingevoerd. Het BSN wordt door (overheids)organisaties gebruikt voor de communicatie met de burger en, daar waar dat wettelijk is toegestaan, voor de uitwisseling van persoonsgegevens tussen (overheids)organisaties onderling. Het BSN is een uniek identificerend persoonsnummer dat iedereen heeft, die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA) of de nog te vormen registratie niet-ingezetenen. St kringloop Dinkelland Tubbergen kan het BSN nodig hebben bij correspondentie met het overheid gerelateerde instellingen, waaonder het UWV. Voor meer informatie over het burgerservicenummer verwijzen we naar de website www.burgerservicenummer.nl.

Bewerker

Hiermee wordt bijvoorbeeld een externe organisatie als een accountant of arbodienstverlener bedoeld.

Als besloten wordt om feitelijke handelingen met betrekking tot gegevensverwerking door een bewerker te laten verrichten, zal met die bewerker een relatie worden aangaan. De AVG stelt eisen aan de keuze van een bewerker en aan de manier waarop de relatie met die bewerker vastlegt:

• men moet zich ervan vergewissen dat de bewerker die wordt gekozen voldoende waarborgen biedt met betrekking tot de technische en organisatorische beveiliging;
• er moet een verwerkersovereenkomst met de bewerker worden gesloten of er wordt een andere regeling getroffen waardoor afdwingbare verbintenissen ontstaan;
• in de verwerkersovereenkomst moet de werkgever bedingen dat de bewerker de persoonsgegevens uitsluitend verwerkt in opdracht van de werkgever;
• er dient te worden bedongen dat de bewerker de beveiligingsverplichtingen nakomt die op de werkgever rusten op grond van de AVG en ten slotte
• moet de werkgever daadwerkelijk toezien op naleving van deze beveiligingsverplichtingen. Ook het recht daartoe zal in de verwerkersovereenkomst worden vastgelegd.

Betrokkene

De persoon wiens gegevens worden verwerkt, wordt in de AVG ‘de betrokkene’ genoemd. Hij of zij heeft krachtens de AVG een aantal bijzondere rechten, zoals het recht op vergetelheid en dataportibiliteit. Een toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken.

De Autoriteit persoonsgegevens

De Autoriteit persoonsgegevens ziet er, op grond van de AVG, als onafhankelijke instantie op toe, dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat de privacy van burgers ook in de toekomst gewaarborgd blijft.
Wanneer een organisatie zich niet houdt aan de wet, kan de Autoriteit persoonsgegevens maatregelen nemen. De belangrijkste daarvan is uitoefening van bestuursdwang en het opleggen van een bestuurlijke boete. Dat betekent dat de Autoriteit persoonsgegevens van de overtreder kan eisen dat hij de overtreding van de wettelijke regels binnen een bepaalde termijn ongedaan maakt. De Autoriteit persoonsgegevens kan daarbij een dwangsom opleggen. De Autoriteit persoonsgegevens kan ook een boete opleggen, bijvoorbeeld wanneer de verwerking van persoonsgegevens niet, onjuist of te laat is aangemeld of de meldplicht niet wordt nageleefd.

Doel en verwerking van persoonsgegevens

Organisaties mogen persoonsgegevens alleen verzamelen en verder gebruiken voor een duidelijk omschreven doel. Dat doel moeten zij vooraf bepalen, dus voordat zij met het verzamelen van de gegevens beginnen. Ze mogen ook niet meer gegevens verzamelen dan strikt noodzakelijk is voor dat doel. Maar ook niet minder als dat tot onvolledige informatie leidt. Wel mogen organisaties persoonsgegevens verwerken voor meerdere doelen tegelijkertijd. Die doelen moeten ze vooraf dan wel goed beschrijven. Ze mogen de gegevens alleen gebruiken wanneer dat in overstemming is met het oorspronkelijke doel.

In dit artikel wordt nader omschreven welke gegevens binnen het kader van het doel van de registratie kunnen worden geregistreerd.

Wet bescherming persoonsgegevens artikel 8 en 9:

Artikel 8

Persoonsgegevens mogen slechts worden verwerkt indien:

1. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
2. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
3. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de werkgever onderworpen is;
4. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
5. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
6. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de werkgever of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Artikel 9

1. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
2. Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het eerste lid, houdt de werkgever in elk geval rekening met:

1. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen;
2. de aard van de betreffende gegevens;
3. de gevolgen van de beoogde verwerking voor de betrokkene;
4. de wijze waarop de gegevens zijn verkregen en
5. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.

3. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de werkgever de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.
4. De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat.

Het beheer (de verwerking van) persoonsgegevens

Alle gegevens over personeel die vallen onder dit reglement vormen tezamen het dossier van de betreffende personeelslid. De gegevens kunnen dus over meerdere (afzonderlijke) registraties zijn verspreid.

Verstrekking van gegevens

Verstrekken van persoonsgegevens omvat elke vorm van bekendmaken of ter beschikking stellen van persoonsgegevens, ongeacht de wijze waarop dit gebeurt. Het kan mondeling, schriftelijk of langs elektronische weg gebeuren. Ook het raadplegen van gegevens, bijvoorbeeld op USB-stick, valt onder verstrekken. Van verstrekken is ook sprake als een persoon over de schouder van een ander meekijkt.
In het algemeen geldt dat het verstrekken van persoonsgegevens verenigbaar moet zijn met het doel van het verzamelen daarvan. Of dit het geval is, hangt af van de concrete omstandigheden.
U verstrekt personeelsgegevens aan diverse andere organisaties, de zogenaamde derden. Denk hierbij bijvoorbeeld aan de fiscus of uw juridisch adviseur. Maar die gegevens heeft u in vertrouwen gekregen. Daarom mag u die gegevens niet zomaar verstrekken aan derden en moet u aan een aantal voorwaarden voldoen. Deze voorwaarden staan beschreven in de AVG.

Voorwaarden voor het verstrekken

Een gegevensverwerking dient in overeenstemming met de wet, behoorlijk en zorgvuldig te geschieden. De persoonsgegevens moeten verzameld zijn voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De verwerking moet een rechtmatige grondslag hebben en mag niet onverenigbaar zijn met het doel waarvoor uw werkgever de gegevens heeft verzameld. Artikel 8 Wbp bevat een opsomming van de enige gronden voor een toelaatbare gegevensverwerking. Met verwerken worden bedoeld alle handelingen met persoonsgegevens vanaf het verzamelen tot aan het vernietigen. Verstrekken is een vorm van verwerken.

Belangrijkste grondslagen voor het verstrekken van personeelsgegevens

U mag personeelsgegevens verstrekken aan derden met name als het noodzakelijk is voor de uitvoering van een overeenkomst die u met het personeelslid hebt of gaat afsluiten, als u gegevens moet verstrekken op grond van een wettelijk voorschrift of als een personeelslid zijn ondubbelzinnige toestemming heeft gegeven.

Uitvoeren van een overeenkomst

Gegevens kunnen worden verstrekt aan derden indien dit noodzakelijk is voor de uitvoering van een overeenkomst (het arbeidscontract) die u met uw personeelslid hebt of gaat sluiten. In dit geval wordt ervan uitgegaan dat het personeelslid bij het sluiten van de overeenkomst zich ervan bewust is dat er bepaalde gegevens moeten worden verstrekt.

Wettelijke verplichting

U kunt verplicht zijn om bepaalde persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van een wettelijke plicht. U bent bijvoorbeeld op grond van artikel 47 van de Algemene wet inzake rijksbelastingen verplicht om de fiscus te voorzien van alle gegevens die van belang kunnen zijn voor de belastingheffing. Ook bent u op grond van een bevel van de rechter-commissaris in strafzaken verplicht bepaalde persoonsgegevens van een verdacht personeelslid te verstrekken.

Toestemming

Toestemming van het personeelslid is ook een grondslag waarop u personeelsgegevens mag verstrekken aan derden. Deze toestemming kan echter op elk moment worden ingetrokken. Daarmee vervalt de grondslag van de verstrekking en is de verstrekking onrechtmatig. Instemming van de (G)MR voor een bepaalde verstrekking vervangt de individuele toestemming niet. Als u toestemming vraagt, moet u duidelijk uitleggen waar de toestemming voor nodig is en wat de gevolgen zijn van het geven van toestemming.

Een voorbeeld van een geval waarin u toestemming moet vragen is het publiceren van een smoelenboek met de foto’s van de personeelsleden.

Praktijkvoorbeelden

U kunt verplicht worden om op grond van artikel 475g, derde lid, van het Wetboek van Burgerlijke Rechtsvordering bepaalde informatie aan een gerechtsdeurwaarder te verstrekken. Als een gerechtsdeurwaarder om informatie verzoekt, kunt u naar het rolnummer en de datum van het vonnis vragen voordat u overgaat tot het verstrekken van de gevraagde informatie.
Sommige multinationals hebben intranet met daarop persoonsgegevens van hun personeel of hebben een centrale database met personeelsgegevens. Dat kan als u daar toestemming van de werknemers voor hebt gekregen. Deze toestemming dient betrekking te hebben op incidentele verstrekkingen.
U mag personeelsgegevens niet gebruiken voor een ander doel dan waarvoor ze zijn verkregen. Zo kunt u als leidinggevende het telefoonnummer van een medewerker niet zo maar verstrekken aan andere medewerkers omdat de medewerker weinig contacturen met de betreffende medewerker heeft. Dit mag alleen als dat verenigbaar is met het oorspronkelijke doel. Of dat het geval is, hangt af van de concrete omstandigheden. Als de betreffende medewerker zijn toestemming heeft gegeven, zal verstrekking vrijwel steeds verenigbaar zijn met het doel van verkrijging.
Op verzoek van een vakbond kunt u voor het samenstellen van een kandidatenlijst de voor communicatie benodigde gegevens, zoals naam, geboortedatum en adres, van uw personeel verstrekken. Het gaat hierbij om het verstrekken van gegevens aan een werknemersorganisatie in het kader van MR-verkiezingen. U weet niet wie er lid is van een vakbond en u zult dus, als u besluit tot verstrekking over te gaan, van alle personeelsleden gegevens verstrekken. Dit mag overigens alleen als het personeel gedurende een redelijke termijn in de gelegenheid is gesteld om ondubbelzinnige toestemming te verlenen.

Toegang tot persoonsgegevens

Transparantie waarborgt de privacy. Vereist is dat duidelijk wordt aangegeven wie toegang hebben tot de persoonsgegevens. In de regel zijn dit de personeelsleden van de. In dit artikel is dit nog eens aangegeven. Toegang hebben tot persoonsgegevens is het inzage hebben tot persoonsgegevens zonder dat u enige feitelijke macht of invloed kunt uitoefenen op de persoonsgegevens.

Beveiliging en geheimhouding

Gegevensverwerkers moeten ook veel aandacht besteden aan de beveiliging van privacygevoelige informatie. Zij zijn verplicht die gegevens geheim te houden voor onbevoegden en personen die niets met de verwerking van doen hebben. De Wbp is over beveiliging kort en helder: in twee artikelen wordt de werkgever de zorg opgelegd voor ‘een passend beveiligingsniveau’ tegen verlies of tegen enige vorm van onrechtmatige verwerking van persoonsgegevens.
De term ‘een passend beveiligingsniveau’ geeft in dit verband aan, dat een afweging wordt gemaakt tussen de te leveren beveiligingsinspanning (ook de kosten!) en de gevoeligheid van de persoonsgegevens. Ook als de werkgever een bewerker inschakelt voor de verwerking van persoonsgegevens moet hij zorgdragen voor, en toezien op een afdoende beveiliging van de persoonsgegevens door de bewerker. Dat betreft dan zowel de beveiliging van de apparatuur en programmatuur van de bewerker als de bescherming van de gegevens die door de verschillende communicatienetwerken reizen. Over de beveiliging van persoonsgegevens is meer informatie te vinden op de site van de Autoriteit persoonsgegevens.
Als u derden inschakelt bij de verwerking van persoonsgegevens (bijvoorbeeld voor uw salarisadministratie of voor de hosting van uw systemen) bent u er voor verantwoordelijk dat die derden ook geschikte beveiligingsmaatregelen treffen. Zo'n derde wordt in de Wbp aangeduid als "bewerker". U bent verplicht op grond van de Wbp (artikel 14) om met iedere bewerker een zogenaamde bewerkersovereenkomst te sluiten, waarin de beveiligingsverplichtingen van de bewerker zijn opgenomen Zie ook de toelichting bij de definitie van ‘bewerker’.

Informatieplicht

Alle organisaties die persoonsgegevens gebruiken hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. De werkgever dient op eigen initiatief aan de betrokkenen kenbaar te maken welke verwerkingen van persoonsgegevens ze heeft en waarom. Dit is een belangrijk instrument in de AVG om het gegevensverkeer transparant te maken.

De informatieverstrekking aan de betrokkene moet in ieder geval omvatten:

• wie u bent (dus wie de werkgever is); en
• voor welk doel of doeleinden u de gegevens verzamelt en verwerkt.

Daarmee kunt u echter niet altijd volstaan. U moet nadere informatie verschaffen als dat tegenover de betrokkene nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. U zult zich dus moeten afvragen of u uit oogpunt van zorgvuldigheid meer of minder gedetailleerde informatie over de verwerking aan de betrokkene moet verstrekken. U moet daarbij rekening houden met (i) de aard van de gegevens, (ii) de omstandigheden waaronder u deze hebt verkregen en (iii) het gebruik dat u ervan gaat maken. Hoe gevoeliger de gegevens die u verwerkt voor de betrokkene liggen, hoe meer reden er is om de betrokkene gedetailleerd te informeren over uw gegevensverwerking.

Rechten betrokkene(n): inzage, correctie, verzet

Iedereen mag met redelijke tussenpozen vragen of, en zo ja welke persoonsgegevens het bevoegd gezag, de werkgever, ten aanzien van hem verwerkt. Als de betrokkene het bevoegd gezag, de werkgever, buitensporig vaak met een dergelijk verzoek benadert, hoeft daaraan geen gehoor te worden geven.

Bewaartermijnen

De AVG regelt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. De werkgever bepaalt aan de hand van het doel hoe lang het noodzakelijk is de desbetreffende gegevens te bewaren. In artikel 10 is aangegeven hoe lang gegevens van sollicitanten, personeelsleden en salarisgegevens ten hoogste bewaard mogen worden.
De gegevens van oud-personeelsleden  zoals bedoeld in artikel 11 van dit reglement, worden slechts verwijderd op verzoek van de betrokkene of bij het bekend worden van diens overlijden (artikel 41 Vrijstellingsbesluit).

Documentbeheer. De gegevens die verzameld zijn met het oog op de registratie van de ontvangst, de behandeling en de afdoening van documenten door de werkgever worden verwijderd uiterlijk vijf jaren nadat de betrokken gegevens werden opgenomen (artikel 31 Vrijstellingsbesluit).

Videocameratoezicht. Toezicht ter beveiliging van personen, gebouwen, terreinen, zaken en productieprocessen, die zijn toevertrouwd aan de zorg van de werkgever, met duidelijk zichtbare videocamera's is ook aan de Wet bescherming persoonsgegevens onderhevig. De persoonsgegevens die in dit kader worden verwerkt worden verwijderd uiterlijk 4 weken nadat de opnamen zijn gemaakt, dan wel na afhandeling van de geconstateerde incidenten (artikel 38 Vrijstellingsbesluit). Overige communicatiebestanden worden verwijderd op verzoek van betrokkene of uiterlijk een jaar nadat de relatie tussen betrokkene en de organisatie van de werkgever is verbroken (artikel 42 Vrijstellingsbesluit).

Genoemde termijnen gelden tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.

Zo dienen fiscaal relevante gegevens gedurende zeven jaar bewaard te worden (Alg, wet inzake Rijksbelastingen). Besturen hebben een regeling functioneringsgesprekken vastgesteld. Hierin zijn ook bewaartermijnen opgenomen. Voor het bestuur is het van belang dat bij een arbeidsconflict gegevens ook langer bewaard moeten blijven. Zo hoeft niet steeds opnieuw begonnen te worden met het opbouwen van een dossier. Indien bij de rechter moet worden aangetoond dat de werknemers disfunctioneert en er zijn maar twee functioneringsverslagen dan is er weinig kans van slagen in een juridische procedure.

Klachten

Veel onnodige bezwaar- en beroepsprocedures kunnen worden voorkomen door een klachtenprocedure te volgen. In lid 2 is melding gemaakt van de mogelijkheid om De Autoriteit persoonsgegevens te verzoeken om bemiddeling, zoals opgenomen in de AVG.