Reglement AVG- Privacybeleid binnen NVO -Privacystatement

Op 25 mei 2018 zal de nieuwe Privacywetgeving in werking treden. Het gaat dan om Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (de "Algemene Verordening Gegevensbescherming"). Een en ander samengevat als de AVG. Deze wetgeving zal de wet Bescherming persoonsgegevens vervangen. De AVG verwacht een meer pro-actieve rol van iedere organisatie die persoonsgegevens verwerkt. De meest relevante wijzigingen waar rekening mee dienen te worden gehouden zijn:

• versterking en uitbreiding van privacyrechten;

• meer verantwoordelijkheden voor organisaties;

• dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

De Autoriteit Persoonsgegevens (hierna AP) blijft net als voorheen onder de wet Bescherming persoonsgegevens de autoriteit die controleert of organisaties zich aan de wetgeving houden.

Ter voorbereiding op de nieuwe regelgeving heeft de AP een stappenplan opgesteld:

Het AVG-10 stappenplan:

1. Bewustwording

2. Rechten van betrokkenen

3. Overzicht verwerkingen

4. Data protection impact assessment (DPIA)

5. Privacy by design & privacy by default

6. Functionaris voor de gegevensbescherming

7. Meldplicht datalekken

8. Verwerkersovereenkomsten

9. Leidende toezichthouder

10. Toestemming

Een nadere uitwerking van dit stappenplan en naleving in de praktijk daarvan dient ervoor zorg te dragen dat NVO zich zoveel mogelijk aan de nieuwe wetgeving AVG kan houden. Hieronder zullen de verschillende stappen worden besproken. Daarbij wordt nagegaan in hoeverre deze punten binnen NVO gelden, waar NVO tegen aan loopt en op welke wijze NVO op een verantwoorde manier aan de ‘nieuwe’ verplichtingen kan voldoen.

1. Bewustwording

   
   

   1. NVO is een vereniging voor osteopaten. NVO realiseert zich dat zij een organisatie is die persoonsgegevens verwerkt en gebruikt binnen de dagelijkse bedrijfsvoering. Het doel van NVO volgens de statuten is:

      “De vereniging stelt zich ten doel de bevordering van de ontwikkeling en toepassing van de osteopathie in Nederland, het behartigen van de belangen van de leden en verder al hetgeen aan het vooromschreven doel bevorderlijk kan zijn.”

      
      

   2. Binnen dat doel kunnen osteopaten lid worden bij NVO. Voor de registratie van het lidmaatschap worden allerlei gegevens van de osteopaat gedocumenteerd.

      
      

   3. De gegevens die worden gedocumenteerd zijn privacy gevoelig. Het gaat om persoonsgegevens, aan de hand waarvan de betrokkene zowel direct als indirect geïdentificeerd kan worden. Ten einde er zeker van te zijn dat met die gegevens wordt omgegaan op een wijze die verantwoord is en voldoet aan de privacy wetgeving zoals per 25 mei 2018 van kracht zal worden heeft NVO ervoor gekozen met het onderhavige protocol in kaart te brengen, aan de hand van het AVG stappenplan (zoals hiervoor opgesomd), op welke wijze invulling gegeven dient te worden aan de AVG.

      
      

   4. Het betreft hier registratie van persoonsgegevens met een gerechtvaardigd belang. Immers de osteopaten die lid worden hebben daar zelf belang bij. Lid zijn van NVO leidt tot allerlei voordelen. NVO verzorgt allerlei zaken voor de beroepsgroep, zoals het stimuleren van goede opleidingen en het op de hoogte stellen van allerlei wijzigingen op juridisch en inhoudelijk vlak.

      
      

2. Rechten van betrokkenen

   
   

   1. Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke. De betrokkene heeft:

      • het recht op informatie over de verwerkingen;

      • het recht op inzage in zijn gegevens;

      • het recht op correctie van de gegevens als deze niet kloppen;

      • het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;

      • het recht op beperking van de gegevensverwerking;

      • het recht op verzet tegen de gegevensverwerking;

      • het recht op overdracht van zijn gegevens (dataportabiliteit);

      • het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

        
        

   2. Een lid of gewezen lid (de betrokkene) kan om bovenstaande gegevens verzoeken. De betrokkene kan zulks doen per mail naar nvo@osteopathie.nl. De betrokkene dient zich daarbij te legitimeren, opdat NVO met voldoende zekerheid kan vaststellen dat degene die het verzoek doet daadwerkelijk de betrokkene is.

      
      

   3. NVO zal binnen 1 maand na ontvangst van het verzoek betrokkene informeren over de uitvoering van het verzoek. Bij complexe, of een veelvoud aan verzoeken kan deze termijn verlengd worden met maximaal 2 maanden. De betrokkene zal in een dergelijk geval van verlengde termijn van uitvoering van het verzoek daaromtrent geïnformeerd worden. De informatie wordt in principe schriftelijk verstrekt.

      
      

   4. In sommige gevallen mag NVO weigeren tot uitvoering van het verzoek om gegevens over te gaan, dan wel daarvoor kosten in rekening brengen. Het moet dan gaan om de situatie dat de betrokkene buitensporige of ongegronde verzoeken doet. (Bijvoorbeeld meerdere verzoeken achter elkaar om dezelfde gegevens. Dan wel wanneer sprake is van een van de beschermende noodzakelijkheidscriteria welke de AVG kent zoals bijvoorbeeld in het kader van een (strafrechtelijk) onderzoek naar de betrokkene). Indien NVO weigert aan het verzoek te voldoen, zal NVO zulks motiveren en de betrokkene wijzen op het klachtrecht bij de toezichthouder AVG.

   5. NVO realiseert zich dat indien zij een schriftelijke beslissing neemt in het kader van de uitoefening van de rechten van de betrokkene, dat dit dan geldt als een besluit in de zin van de Algemene wet bestuursrecht.

      
      

   6. In sommige gevallen dient NVO de betrokken osteopaat uit zichzelf te informeren. Dit is het geval indien:

      • gegevens buiten de betrokkene om worden verkregen

      • gegevens voor een ander doel gebruikt gaan worden dan waar de gegevens oorspronkelijk voor waren afgegeven

      NVO zal in die gevallen binnen 1 maand betrokkene informeren.

      
      

   7. Indien het lidmaatschap van een osteopaat eindigt (ongeacht de reden daarvan) zal NVO de persoonsgegevens nog maximaal 5 jaren in haar systeem bewaren. In aanvulling hierop; indien de reden van beëindiging van het lidmaatschap gelegen is in een misstap van de zijde van de osteopaat, waardoor NVO zich gehouden voelt het lidmaatschap te eindigen (overeenkomstig de bepalingen in de statuten die daarop zien) zullen de gegevens van de osteopaat gedurende een periode van maximaal 15 jaren bewaard worden. NVO acht het onwenselijk dat een osteopaat die handelt strijdig met de gedragsregels van NVO, dan wel de osteopathie in opspraak of diskrediet brengt, dan wel op andere wijze veroorzaakt dat NVO niet anders kan dan het lidmaatschap eindigen, na 5 jaar zich opnieuw zou kunnen inschrijven. Zodoende wordt voor die gevallen een afwijkende langere bewaartermijn gehanteerd.

      
      

   8. Ten einde er zeker van te zijn dat de betrokkene een volledig beeld heeft van de wijze waarop met diens persoonsgegevens wordt omgegaan en met welk doel en onder welke grondslag (gerechtvaardigd belang), zal iedere betrokken bij registratie toegang krijgen tot deze privacystatement en de hierbij behorende documenten.

      
      

3. Register van verwerkingsactiviteiten

   
   

   1. NVO verwerkt persoonsgegevens van 4 groepen: aspirant leden, buitengewone leden, rustende leden en donateurs. De volgende persoonsgegevens worden van deze leden verwerkt:

      • Algemeen: naam, voorletters, roepnaam, straat, huisnummer, postcode, woonplaats, land, nationaliteit, telefoon, email adres, geboortedatum, soort lid.

      • Kwaliteitsregister: NVO verwerkt in haar systeem of een lid ingeschreven staat bij een kwaliteitsregister, en indien dat zo is wordt opgemaakt bij welk kwaliteitsregister het lid staat ingeschreven.

      • Inschrijving: een afschrift van het inschrijvingsformulier wordt eveneens verwerkt.

      • Opleiding: van ieder lid wordt genoteerd welke (relevante) opleidingen zijn gevolgd en behaald.

      
      

   2. Ten aanzien van al deze vormen van verwerkingen van persoonsgegevens zal NVO een register van verwerkingsactiviteiten bijhouden.

      
      

4. DPIA (Data protection impact assessment)

   
   

   1. DPIA staat voor gegevensbeschermingseffectbeoordeling. Een DPIA is alleen verplicht wanneer sprake is van gegevensverwerking welke waarschijnlijk een hoog privacyrisico oplevert. Binnen de AVG worden drie situaties besproken wanneer sprake is van verhoogd risico.:

      • systematisch en uitvoerig persoonlijke aspecten evalueren

      • op grote schaal bijzondere persoonsgegevens verwerken

      • op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied

      Van deze drie zaken is geen sprake binnen NVO.

      
      

   2. Naast de criteria uit de AVG zelf heeft de werkgroep van Europese privacytoezichthouders een lijst met 9 criteria opgesteld om nader te bezien of een DPIA nodig is. Van de 9 genoemde criteria zijn er twee waar NVO mogelijk mee te maken zou kunnen hebben. Het eerste criteria betreft grootschalige gegevensverwerking. Het tweede punt blokkering van een recht, dienst of contract.

      
      

   3. grootschalige gegevensverwerking, daaronder lijkt te worden verstaan indien individuen gevolgd worden (zoals het vervoersbedrijf dat klanten volgt aan de hand van reiskaarten), of indien bijzondere persoonsgegevens verwerkt worden. Van beide zaken is geen sprake. De persoonsgegevens zoals NVO verwerkt, betreft gewone persoonsgegevens, geen bijzondere. En NVO volgt de geregistreerde osteopaten niet op de genoemde wijze.

      
      

   4. Van het tweede punt, blokkering van een recht, dienst of contract is geen voorbeeld genoemd binnen de AVG. NVO stelt vereisten voor het lidmaatschap. In zoverre is juist dat sprake is van het documenteren van gegevens die tot het schrappen als lid van NVO zouden kunnen leiden. Het gaat echter te ver dat de privacy van een betrokken osteopaat wordt geschonden indien deze wordt doorgehaald als lid vanwege het niet voldoen aan de vereisten voor dat lidmaatschap. Het lijkt er niet op dat de AVG dit bedoelt.

      
      

   5. De gegevens zoals NVO registreert zijn slechts bedoeld voor intern gebruik. De persoonsgegevens worden gebruikt om te waarborgen dat de osteopaat voldoet aan de vereisten voor inschrijving en om de osteopaat op de hoogte te kunnen stellen van allerlei zaken die relevant zijn voor de osteopatische praktijkvoering. NVO maakt daarbij gebruik van gegevens die de betrokkene zelf aan NVO afgeeft, nu deze lid wenst te worden. De verstrekte gegevens worden op geen enkele wijze ingezet voor verkoop, winstoogmerk, of andere marketing strategieën. In deze situatie is sprake van een zeer gering Privacy risico. Nu NVO geen originele stukken bewaard van osteopaten, is weinig tot geen mogelijkheid tot misbruik te verwachten met de gegevens van de osteopaten, zoals NVO onder zich houdt. Een DPIA is derhalve niet vereist.

      
      

   6. Op termijn zal de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen publiceren waar een DPIA voor verplicht is. Zodra die lijst er is, zal NVO haar verwerking van persoonsgegevens opnieuw tegen het licht houden om te bezien of nog nadere maatregelen nodig zijn.

5. Privacy by design & privacy by default

   
   

   1. Privacy door ontwerp en door standaardinstellingen voor producenten. NVO is producent van een dienst, welke wordt ondersteund door de verwerking van persoonsgegevens. Zodoende houdt NVO bij de ontwikkeling en uitwerking van die dienst rekening met het recht op bescherming van persoonsgegevens. Met inachtneming van de stand van de techniek ziet NVO erop toe dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

      
      

   2. NVO let daarbij op:

      
      

      • het minimaliseren van de verwerking van persoonsgegevens;

      • transparantie met betrekking tot de functies en de verwerking van persoonsgegevens;

      • het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking; en

      • beveiligingskenmerken creëren en verbeteren.

      
      

6. Functionaris voor de gegevensbescherming

   
   

   1. Gelet op de aard en soort gegevensverwerking door NVO, geldt binnen NVO geen plicht onder de AVG een Functionaris voor de gegevens bescherming aan te stellen (FG). Daarbij stipt NVO nogmaals aan dat in deze sprake is van een beroepsorganisatie. Er is sprake van een lidmaatschap bij NVO. Alle verwerkingen zien op het aangaan en in stand houden van dat lidmaatschap en het bieden van ondersteuning op velerlei gebied aan die leden. De osteopaat benadert NVO nu deze graag gebruik wil maken van de voordelen die dat lidmaatschap met zich brengt. Inherent aan een kwaliteitsregister is dat de betrokken osteopaat persoonlijke gegevens verstrekt.

      
      

   2. De AP kan evenwel ook andere situaties benoemen waarin die Functionaris wel verplicht is. Die situaties zijn op dit moment nog onbekend. In ieder geval stelt NVO vast dat geen sprake is van verwerking van gegevens met een verhoogd privacyrisico. Het betreft evenmin de verwerking van bijzondere gegevens. NVO stelt zodoende geen FG in de zin van de wet in.

      
      

   3. Nu NVO wel een flink aantal persoonlijke gegevens verwerkt, wil NVO er zeker van zijn dat deze gegevens op betrouwbare wijze goed beheerd worden. NVO zal daartoe een medewerker gegevensbescherming aanwijzen. Voor deze medewerker zal een functieomschrijving worden opgemaakt, zodat gewaarborgd kan worden dat de medewerker met de uiterste zorg met de persoonsgegevens omgaat. In de functieomschrijving zal zoveel mogelijk worden aangehaakt bij de taken zoals de FG verricht, maar dan intern gericht.

      
      

7. Meldplicht Datalekken

   
   

   1. Een datalek in de zin van de AVG is een inbreuk in verband met persoonsgegevens. Het is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

      
      

   2. Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boze opzet in het spel is. Naast het ‘hacken’ van persoonsgegevens, kan ook gedacht worden aan gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat. Een inbreuk op de beveiliging houdt in dat zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Er is niet uitsluitend sprake van een dreiging, of van een tekortkoming in de beveiliging (ook wel aangeduid als een beveiligingslek) die zou kunnen leiden tot een beveiligingsincident. Er heeft zich daadwerkelijk een beveiligingsincident voorgedaan, waarbij de getroffen preventieve maatregelen niet toereikend waren om dit te voorkomen.

      
      

   3. NVO zal ieder datalek aan de AP melden, tenzij onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. NVO zal binnen 72 uur na ontdekking de AP in kennis stellen, ook indien nog niet alle informatie voorhanden is.

      
      

   4. Bovendien zal NVO het datalek onverwijld melden aan de betrokkenen, indien sprake is van een hoog risico door de inbreuk op de persoonsgegevens. Voor de vraag of sprake is van een hoog risico zal NVO eerst nader onderzoek daar naar mogen doen.

      
      

   5. Het datalek zal door NVO gedocumenteerd worden in een overzicht van datalekken die zich binnen NVO hebben voorgedaan. Niet alleen zullen de feiten omtrent de inbreuk en de gevolgen daarvan in dit overzicht worden gedocumenteerd, doch eveneens de genomen corrigerende maatregelen.

      
      

8. Verwerkersovereenkomsten

   
   

   1. NVO maakt gebruik van diverse verwerkers voor het verwerken van de persoonsgegevens. In een nader op te stellen verwerkingsregister zal worden vermeld van welke externe verwerkers gebruikt wordt gemaakt om persoonsgegevens te verwerken. Tevens zal de manier van verwerking genoteerd worden en in het verwerkingsregister zal worden genoteerd welke beveiligingsmaatregelen genomen worden door de verwerkers.

      
      

   2. NVO zal alle verwerkers vragen inzichtelijk te maken welke beveiligingsmaatregelen nodig zijn ten einde te waarborgen dat persoonsgegevens ook door de verwerkers volgens de normen van de AVG worden verwerkt.

      
      

   3. NVO zal daartoe met de verwerkers een overeenkomst sluiten, waarbinnen in ieder geval de volgende zaken geregeld zullen worden:

      • het onderwerp en de duur van de verwerking;

      • de aard en het doel van de verwerking;

              ï‚·   het soort persoonsgegevens en de categorieën van betrokkenen;      

      • de rechten en verplichtingen van de verwerkingsverantwoordelijke.

      • de persoonsgegevens alleen verwerkt worden onder schriftelijke instructie van NVO, onder andere voor wat betreft de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (tenzij deze daartoe wettelijk is verplicht);

      • waarborg van de verwerker dat de toegang tot die gegevens is beperkt tot gemachtigde personen. Deze personen moeten gebonden zijn aan geheimhouding op grond van een overeenkomst of een wettelijke verplichting;

      • de verwerker minimaal hetzelfde niveau van beveiliging van de

        persoonsgegevens hanteert als NVO doet;

      • de verwerker zal NVO alle mogelijke ondersteuning bieden bij het nakomen van haar verplichtingen met het oog op beantwoording van verzoeken rondom de rechten van betrokkenen;

      • verwerker NVO zal bijstaat bij het nakomen van haar verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken;

      • na beëindiging van de overeenkomst tussen NVO en verwerker, de in uw opdracht verwerkte persoonsgegevens wist of aan NVO teruggeeft, en bestaande kopieën verwijdert;

      • NVO alle informatie ter beschikking stelt die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de Verordening rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;

      • verwerker maakt inzichtelijk welke afspraken deze met betrekking tot sub-verwerkers maakt;

      • verwerker vermeldt de goedgekeurde gedragscodes en certificeringsmechanismen waar verwerker bij diens werkzaamheden gebruik van maakt;

      • verwerker garandeert NVO aan alle verplichtingen te voldoen zoals de AVG van

      verwerker verlangt.

      
      

9. Leidende Toezichthouder

   
   

   1. NVO dient te bepalen onder welke toezichthouder zij valt. NVO heeft 1 vestiging te Utrecht. Dit is op Nederlandse bodem. De werkzaamheden van NVO rusten op Nederlands grondgebied. De Leidende toezichthouder voor NVO is dus de Autoriteit Persoonsgegevens te Nederland.

      
      

10. Toestemming

    
    

    1. Voor de verwerking van bepaalde gegevens is toestemming nodig van de betrokkene. Dat is het geval indien het gaat om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Met dergelijke gegevens heeft het lidmaatschap van osteopaten binnen NVO niets van doen. Er is zodoende geen expliciete toestemming nodig van de leden voor het verwerken van hun gegevens.

       
       

    2. NVO onderstreept daarbij dat de osteopaten zelf de gegevens verstrekken aan NVO. Dat deze gegevens bovendien worden verwerkt op verzoek van de osteopaat. Verwerking van de persoonsgegevens van de osteopaten leidt tot lidmaatschap van NVO. De enkele verstrekking van de persoonsgegevens door de osteopaat om dat lidmaatschap aan te gaan, dan wel lid te blijven, impliceert zodoende dat de betrokken osteopaat toestemming verleent voor het verwerken van diens

       persoonsgegevens. De verwerking is immers noodzakelijk voor de uitvoering van een overeenkomst tussen NVO en de betrokken osteopaat als partijen.

       
       

    3. NVO wil echter ieder misverstand over het al dan niet verkregen hebben van toestemming van de osteopaat voor verwerking van de persoonsgegevens wegnemen. Bij het verwerven van het lidmaatschap door nieuwe osteopaten zal derhalve expliciet om toestemming tot verwerking van de persoonsgegevens worden verzocht, in het inschrijfformulier. Ten aanzien van de osteopaten die reeds in het register vermeld staat zal NVO als volgt handelen. Vanuit NVO zal een nieuwsbrief uitgaan, waarin melding wordt gemaakt van de AVG en de implicaties daarvan voor de osteopaten. In die nieuwsbrief zal worden aangegeven dat NVO uitgaat van toestemming van de osteopaten met het verstrekt hebben van gegevens voor het doel en de grondslag zoals besproken. Wordt door de osteopaat in kwestie niet gereageerd, dan leidt NVO daaruit af dat de osteopaat alsnog stilzwijgend toestemming verleend.

       
       

11. Werknemers

    
    

    1. Naast de gegevens van osteopaten, worden door NVO tevens gegevens verwerkt van Medewerkers. NVO verwerkt de gegevens van werknemers in het kader van de verplichtingen welke voor haar als werkgever gelden. Dit privacystatement is tevens op de verwerking van deze gegevens van toepassing.

       
       

    2. Hierop gelden enkele bijzonderheden. De specifieke gegevens welke van medewerkers worden verwerkt worden eveneens genoemd in het register van verwerkingen. Daarbij verdient bijzondere aandacht de kopie van het identiteitsbewijs welke NVO als werkgever verplicht is te maken evenals het bewaren van het BSN nummer. Ten einde misbruik tegen te gaan zal op de ID kaart de woorden “kopie voor personeelsdossier” worden geschreven alvorens deze wordt ingescand en toegevoegd aan het personeelsdossier van de betrokken werknemer. Bovendien zal het identificatienummer van de betrokken werknemer onleesbaar worden gemaakt op de kopie van de ID kaart. Nu het BSN nummer wel gebruikt dient te worden door NVO als werkgever, zal dit BSN nummer elders in het dossier, aldus los van de ID kaart, worden verwerkt, ten einde misbruik zoveel mogelijk tegen te gaan.

       
       

    3. Het BSN nummer is een zaak waarbij expliciete toestemming van de betrokkene nodig is, indien dat nummer wordt verwerkt. Medewerkers zal zodoende om toestemming tot verwerking van deze maar ook overige persoonsgegevens worden gevraagd. Deze toestemming wordt vastgelegd in het personeelsdossier. Voor nieuwe werknemers zal dit direct in de arbeidsovereenkomst worden aangepast.

       
       

12. Slotwoord

    
    

    1. NVO gaat ervan uit met dit privacybeleid aan alle vereisten van de nieuwe AVG regels te voldoen. NVO is zich ervan bewust dat sprake is van nieuwe regelgeving en dat zulks inhoudt dat nog niet alle facetten zich even makkelijk laten uiteenzetten. NVO zal de aanpassingen, beslissingen en verder nieuws vanuit de AP volgen, opdat tijdige maatregelen genomen kunnen worden deze beleidsregels alsnog verder aan te scherpen, of bij te snijden.