Missie en visie
Platform Digitale Scholenmarkt is onderdeel van Quadraam. Voor deze website geldt danook het privacyreglement van Quadraam. Persoonsgegevens worden verkregen van de betrokkenen zelf, maar soms ook van derde partijen. Iedereen moet erop kunnen vertrouwen dat wij bij Quadraam zorgvuldig met hun persoonsgegevens omgaan en deze goed beveiligen tegen verlies of onrechtmatige verwerking.
In dit privacyreglement (‘het reglement’) laten wij zien op welke manier wij omgaan met persoonsgegevens en privacy. Het beschermen van persoonsgegevens is complex en wordt steeds complexer door technologische ontwikkelingen, nieuwe Europese wetgeving en uitdagingen op het terrein van veiligheid en beveiliging.
Quadraam heeft privacy hoog in het vaandel staan. Wij vinden het daarom belangrijk om open en duidelijk te zijn over de manier waarop wij er naar streven om met persoonsgegevens om te gaan, en om de privacy van betrokkenen te waarborgen.
In dit reglement zetten wij onder meer uiteen welke categorieën van persoonsgegevens wij verwerken, voor welke doeleinden en wat de verwerkingsgrondslag is. Wij geven ook aan welke categorieën van betrokkenen er zijn en welke rechten zij kunnen uitoefenen. Ook schenken wij aandacht aan de ontvangers van de persoonsgegevens, eventuele (sub)verwerkers), de technische en organisatorische beveiliging van persoonsgegevens en een procedure datalekken.
De Algemene Verordening Gegevensbescherming (AVG) stelt nieuwe en verdergaande eisen aan de omgang met persoonsgegevens. Ons privacyreglement en het beleid dat daaraan ten grondslag ligt hebben wij daarom herzien en aangevuld op de punten waar de AVG dat eist.
Met dit reglement willen wij er voor zorgen dat op alle scholen van Quadraam de verwerking van persoonsgegevens plaatsvindt volgens de AVG, de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG), alle sectorgedragscodes, sectorbeveiligingscodes en organisatie-specifieke (interne) regelingen.
Dit houdt onder andere in dat:
- de persoonlijke levenssfeer van betrokkene wordt beschermd tegen onrechtmatige verwerking en/of misbruik van die gegevens, tegen verlies en tegen het verwerken van onjuiste gegevens;
- wordt voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;
- de verwerkingen niet leiden tot een hoog risico voor de betrokkenen.
Het College van Bestuur zal in samenspraak met de functionaris gegevensbescherming passende maatregelen ten uitvoer leggen en verantwoording afleggen over het gevoerde beleid aan de ouder- en personeelsgeleding van de medezeggenschapsraad en aan de Raad van Toezicht.
College van Bestuur
Inhoudsopgave
Artikel 1 Begripsbepalingen
Artikel 2 Reikwijdte
Artikel 3 Uitgangspunten bij de verwerking van persoonsgegevens
Artikel 4 Identiteit en contactgegevens verwerkingsverantwoordelijke en FG
Artikel 5 Verantwoordelijkheden
Artikel 6 De Functionaris Gegevensbescherming (FG)
Artikel 7 Informatie en toegang tot de persoonsgegevens
Artikel 8 Categorieën van betrokkenen, doeleinden en persoonsgegevens
Artikel 9 Persoonsgegevensverwerking bij Stichting Quadraam
Artikel 10 Rechten van de betrokkene
Artikel 11 Beveiliging en geheimhouding
Artikel 12 De verwerker en andere ontvangers
Artikel 13 Inbreuk op de beveiliging
Artikel 14 Doorgifte van persoonsgegevens (buiten NL, buiten EU)
Artikel 15 Klachten
Artikel 16 Inwerkingtreding, wijziging en citeertitel
Artikel 1 Begripsbepalingen
Voor de toepassing van dit reglement en de daarbij behorende bijlagen wordt verstaan onder:
- Algemene Verordening Gegevensbescherming (AVG): de Verordening;
- Autoriteit Persoonsgegevens: toezichthoudende autoriteit, als bedoeld in artikel 51 van de AVG;
- bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
- betrokkene: degene op wie een persoonsgegeven betrekking heeft (een sollicitant, een medewerker werkzaam/werkzaam geweest bij Quadraam een leerling ingeschreven/ingeschreven geweest aan een school behorende tot Quadraam of een ouder/verzorger van wie gegevens in de persoonsregistratie zijn opgenomen, alle overige personen werkzaam bij of ten dienste van Quadraam, waaronder de leden van het toezichthoudend orgaan, leveranciers en dienstverleners, [huurders] en tenslotte de bezoekers van één van de schoolgebouwen van Quadraam;
- derde: degene, niet zijnde de verwerker of degene die onder gezag van de verwerkingsverantwoordelijke werkzaam zijn, die door de verwerker gemachtigd is om persoonsgegevens te verwerken;
- dienst van de informatiemaatschappij: elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten wordt verricht;
- gegevensbeschermingseffectbeoordeling: een beoordeling van het effect van de beoogde verwerking op de bescherming van persoonsgegevens;
- groep: een economische eenheid waarin rechtspersonen organisatorisch verbonden zijn (artikel 2:24 BW);
- leerling: persoon die onderwijs volgt of gaat volgen op een school van Quadraam;
- leerling- of personeelsnummer: eenduidig nummer dat wordt gebruikt ten behoeve van efficiënte verwerking van persoonsgegevens;
- personeel:
- de bij Quadraam werkzame directeur, (adjunct-)directeur of leraar, en overige medewerkers benoemd in een andere functie dan het geven van onderwijs, waaronder begrepen de leden van het bestuur van die scholen die zijn benoemd door een raad van toezicht als bedoeld in artikel 24e1, vierde lid van de Wvo respectievelijk artikel 28i vierde lid van de Wec, voor zover die leden mede zijn benoemd [op basis van een arbeidsovereenkomst;
- de onder a bedoelde medewerker die zonder arbeidsovereenkomst is tewerkgesteld bij of ingeleend door Quadraam;
- persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, online identificator van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Kortom: alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen (bijvoorbeeld; naam, adres, geboortedatum en gegevens die gaan over gevoelige onderwerpen zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN
- bijzondere persoonsgegevens: gegevens die betrekking hebben op ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, seksueel gedrag of seksuele geaardheid.
- pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan de specifieke persoon kunnen worden gekoppeld, zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
- datalek: alle inbreuken in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG – daaronder mede doch niet uitsluitend begrepen gegevens die verloren zijn gegaan, niet langer toegankelijk zijn, zijn gestolen, onrechtmatig zijn gewijzigd, anderszins onrechtmatig worden verwerkt dan wel persoonsgegevens die zijn verstrekt aan of ingezien door onbevoegden/derden.
- school: een school als bedoeld in artikel 1 van de Wvo respectievelijk artikel 1 van de Wec en die in stand wordt gehouden door Quadraam;
- schoolbegeleiding: activiteiten ten behoeve van de schoolorganisatie of het onderwijs aan een school die dienen tot begeleiding, ontwikkeling, advisering, informatieverstrekking en evaluatie, alsmede activiteiten tot bevordering van een optimale schoolloopbaan van leerlingen;
- toestemming van betrokkene: elke vrije, specifieke, geïnformeerde ondubbelzinnige wilsuiting door middel van een verklaring of een ondubbelzinnig actieve handeling, waarmee betrokkene hem betreffende verwerking van persoonsgegevens aanvaardt;
- het toezichthoudend orgaan: de Raad van Toezicht of de toezichthoudende bestuurder ingeval er geen Raad van Toezicht is;
- verordening: Verordening EU 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
- verwerking van persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens;
- verwerkingsverantwoordelijke: de organisatie die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, zijnde Quadraam;
- verwerker: degene die op basis van een overeenkomst ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
- Wec: Wet op de expertisecentra;
- Wvo: Wet op het voortgezet onderwijs. Voor scholen welke zowel primair als voortgezet onderwijs aanbieden, wordt in dit reglement gelijke toepassing gegeven aan de gelijkluidende wetsbepalingen in de wetgeving ten aanzien van het primaire onderwijs.
Artikel 2. Reikwijdte
Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens betreffende een van de betrokkenen die door of namens Quadraam en/of een van zijn scholen plaatsvinden. Waar in dit reglement wordt gesproken over Quadraam worden eveneens zijn scholen bedoeld, tenzij uitdrukkelijk anders aangegeven.
Artikel 3. Uitgangspunten bij de verwerking van persoonsgegevens
- Quadraam neemt bij de verwerking van persoonsgegevens de navolgende uitgangspunten in acht en zorgt ervoor dat zij ook daadwerkelijk kan aantonen dat deze beginselen in acht worden genomen en dat hij daarmee voldoet aan zijn verantwoordingsplicht (“accountability”) uit de AVG.
- Rechtmatigheid, behoorlijkheid, transparantie
Quadraam streeft ernaar de persoonsgegevens in overeenstemming met de wet- en regelgeving te verwerken en op een wijze die ten aanzien van de betrokkene(n) rechtmatig, behoorlijk en transparant is.
- Grondslag en doelbinding
Quadraam streeft er naar dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een gerechtvaardigde grondslag verwerkt.
- Dataminimalisatie
Quadraam streeft er naar uitsluitend de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel te verwerken. Quadraam streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
- Juistheid
Quadraam streeft ernaar dat de persoonsgegevens die worden verwerkt juist zijn en zal deze zo nodig te actualiseren. Quadraam streeft ernaar om de persoonsgegevens die onjuist zijn, te wissen of te rectificeren
- Bewaartermijn
Quadraam streeft er naar dat Persoonsgegevens niet langer worden bewaard dan nodig is, bijvoorbeeld om het vooraf bepaalde doel te realiseren. Het bewaren van persoonsgegevens kan nodig zijn om de taken van Quadraam goed uit te kunnen oefenen, de vooraf bepaalde doelen te realiseren of om wettelijke verplichtingen te kunnen naleven. Dat neemt niet weg dat de gegevens (die van de persoonsgegevens zijn afgeleid) in sommige gevallen wel in geanonimiseerde vorm langer zullen worden bewaard. In dat geval zijn de gegevens niet meer (ook niet technisch) te herleiden tot de betrokkene(n). Onder omstandigheden kunnen de persoonsgegevens wel langer worden bewaard dan in eerste instantie wellicht voorzien, indien zij uitsluitend voor archivering in het algemeen belang, of voor historische, statistische of wetenschappelijke doeleinden worden verwerkt. In voorkomend geval zal Quadraam passende technische en organisatorische maatregelen treffen om de rechten en vrijheden van de betrokkene(n) te beschermen.
- Integriteit en vertrouwelijkheid
Quadraam streeft er naar zorgvuldig om te gaan met persoonsgegevens en deze vertrouwelijk te behandelen. Zo worden persoonsgegevens alleen verwerkt door personen die daartoe geautoriseerd zijn en slechts voor het doel waarvoor deze verzameld zijn. Daarbij zorgt Quadraam voor passende organisatorische en technische maatregelen die waarborgen dat persoonsgegevens passend worden beveiligd en dat zij beschermd zijn tegen ongeoorloofde en onrechtmatige verwerking, tegen onopzettelijk verlies, vernietiging of beschadiging. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid van Quadraam.
- Verwerkers
In het geval van samenwerking met externe partijen waarbij sprake is van verwerking van persoonsgegevens, maakt Quadraam in een zogenaamde verwerkersovereenkomst afspraken over de eisen waar deze gegevensuitwisseling aan moet voldoen. Deze afspraken dienen te voldoen aan de wet- en regelgeving. Quadraam controleert deze afspraken periodiek.
- Subsidiariteit en proportionaliteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, worden inbreuken op de belangen en de persoonlijke levenssfeer van betrokkenen zoveel mogelijk beperkt. Quadraam streeft ernaar om inbreuken op de belangen van betrokkenen niet onevenredig te laten zijn in verhouding tot de met de verwerking te dienen doeleinden. Deze doelen kunnen in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze worden verwezenlijkt.
- Privacy by Design en Privacy by Default
Quadraam streeft er naar dat bij de ontwikkeling van (nieuwe) producten, diensten en (informatie)systemen rekening wordt gehouden met de beginselen van de AVG en overige toepasselijke privacy wet- en regelgeving. Rekening houdend met de stand van de techniek, de kosten, de aard en omvang, de context en het doel van de verwerking, alsook met de risico’s voor de rechten en vrijheden van de betrokkenen die met de specifieke verwerking zijn verbonden, treft Quadraam in voorkomende gevallen privacybescherming verhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Denk daarbij onder meer aan pseudonimisering en dataminimalisatie.
Daarnaast treft Quadraam maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel van de verwerking.
- Rechten van betrokkenen
Quadraam streeft ernaar alle rechten van betrokkenen te respecteren en zoveel als redelijkerwijs mogelijk eventuele verzoeken tot uitoefening van die rechten door betrokkenen te honoreren. Onder rechten van betrokkene(n) worden verstaan: het recht op informatie, op inzage, op rectificatie, op verwijdering, op beperking van de verwerking, op dataportabiliteit en recht van bezwaar.
Artikel 4. Identiteit en contactgegevens verwerkingsverantwoordelijke en FG
De functionaris gegevensbescherming bij Quadraam is de heer M. (Mark) van Groningen. Zijn emailadres is fg@quadraam.nl. telefoonnummer is: 026-3208800. Zijn postadres is: Postbus 7, 6920AA Duiven.
Artikel 5. Verantwoordelijkheden
- Quadraam is verantwoordelijk voor het bepalen van het doel, de inhoud en het gebruik van de verwerking van persoonsgegevens en voor de naleving van de AVG, de bepalingen in dit reglement en het binnen de organisatie vastgestelde beleid.
- Quadraam draagt er zorg voor dat zijn personeel kennis heeft van zijn verantwoordelijkheden en verplichtingen bij de verwerking van persoonsgegevens.
- Quadraam informeert de beheerders en de gebruikers periodiek om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.
- Quadraam draagt zorg voor een gegevensbeschermingseffectbeoordeling bij de verwerking van bijzondere of gevoelige persoonsgegevens die worden verwerkt met het oog op de diensten van de informatiemaatschappij, onderwijs en begeleiding van leerlingen, of ziekteverzuim en re-integratie van personeel.
- Quadraam beschikt over een register van verwerkingsactiviteiten voor de gegevensverwerkingen die hij voor de verschillende categorieën van betrokkenen uitvoert.
- Quadraam laat bij bovengenoemde taken adviseren door de functionaris gegevensbescherming (FG).
Artikel 6. De Functionaris Gegevensbescherming (FG)
-
De FG vervult zijn taken en verplichtingen onafhankelijk van het bestuur.
-
De FG houdt intern toezicht op de naleving van de wet- en regelgeving, de in de onderwijssector vastgestelde gedragscodes, het beleid van Quadraam of de verwerker met betrekking tot de bescherming van persoonsgegevens.
-
De FG adviseert over verwerkingsprocessen van persoonsgegevens en ziet toe op de uitvoering en evaluatie ervan.
-
De FG adviseert over het passende niveau van beveiliging van de informatiehuishouding in de organisatie en over maatregelen die zijn gericht op het beperken van de verwerking van persoonsgegevens.
-
De FG werkt samen met de toezichthoudende autoriteit (Autoriteit persoonsgegevens).
-
Betrokkenen kunnen met de FG contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten op grond van dit reglement en uit hoofde van de Verordening.
-
De FG brengt jaarlijks verslag uit aan de verwerkingsverantwoordelijke van zijn werkzaamheden en bevindingen.
-
De controlebevoegdheden van de FG zijn neergelegd in een interne regeling en omvatten:
- de bevoegdheid om ruimtes te betreden;
- de bevoegdheid om inlichtingen en inzage te vragen en om zaken te onderzoeken;
- de faciliteiten die aan de FG ter beschikking worden gesteld om zijn bevoegdheden goed te kunnen uitoefenen.
- De FG is met betrekking tot zijn taken tot geheimhouding en vertrouwelijkheid gehouden.
Artikel 7. Informatie en toegang tot de persoonsgegevens
- Quadraam informeert betrokkene voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn binnen een redelijke termijn na het moment van ontvangst, over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt, op welke grondslag, met wie de gegevens worden gedeeld (in- en extern), hoe lang en waar de gegevens worden bewaard, een algemene beschrijving van de technische en organisatorische maatregelen zoals in de AVG is voorgeschreven, informatie over eventuele doorgifte van gegevens naar landen buiten de EU, alsmede over de rechten van betrokkene op grond van de AVG.
Artikel 8. Categorieën van betrokkenen, doeleinden en persoonsgegevens
- Doeleinden
Op grond van de geldende wet- en regelgeving mogen persoonsgegevens alleen verzameld worden als daarvoor vooraf een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De persoonsgegevens mogen niet voor andere doelen worden verwerkt.
- Rechtmatige grondslag verwerking van persoonsgegevens
Op grond van de geldende wet- en regelgeving geldt daarnaast dat voor elke verwerking van persoonsgegevens een rechtmatige grondslag (zoals die worden genoemd in artikel 6 AVG) moet bestaan – derhalve naast de eis van een gerechtvaardigd en uitdrukkelijk omschreven doel. Dat betekent dat Quadraam persoonsgegevens alleen mag verwerken in een van de volgende limitatieve gevallen:
- Wanneer de betrokkene(n) toestemming heeft/hebben gegeven voor de specifieke verwerking (inclusief het doel daarvan);
- Als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waar de betrokkene partij bij is, of voor handelingen die op verzoek van de betrokkene(n) worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst;
- De verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting;
- De verwerking noodzakelijk is om de vitale belangen van de betrokkene(n) of een andere natuurlijke persoon te beschermen. Hiervan is niet snel sprake, wel – bijvoorbeeld - indien gegevens moeten worden verwerkt om een acute en ernstige bedreiging voor de gezondheid van de betrokkene(n) te bestrijden;
- De verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan Quadraam is opgedragen;
- de verwerking noodzakelijk is voor de behartiging van gerechtvaardigd belang van Quadraam of een derde, tenzij het belang of fundamentele rechten en vrijheden van de betrokkene(n) prevaleren, met name wanneer de betrokkene een kind is.
In de meeste gevallen zal Quadraam een andere grondslag hebben dan de grondslag toestemming. In die gevallen waarin toestemming van de betrokkene een noodzakelijke voorwaarde is voor de persoonsgegevensverwerking is relevant wat er onder toestemming wordt verstaan. Onder toestemming wordt verstaan: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn/haar persoonsgegevens aanvaardt. Indien de betrokkene toestemming geeft voor de verwerking van zijn/haar persoonsgegevens zal Quadraam dat documenteren. Daarmee kan zij aantonen dat de toestemming is gegeven. De betrokkene heeft het recht zijn/haar toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking echter onverlet. Quadraam draagt er zorg voor dat de betrokkene zijn toestemming net zo eenvoudig kan intrekken, als dat hij zijn toestemming heeft gegeven aan Quadraam
- Rechtmatige grondslag verwerking van bijzondere persoonsgegeven
Indien bijzondere persoonsgegevens worden verwerkt, gelden er andere grondslagen dan de voornoemde grondslagen. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden tenzij een van de grondslagen die worden genoemd in artikel 9 AVG zich voordoet.
Artikel 9. Persoonsgegevensverwerking bij Stichting Quadraam
- Binnen Stichting Quadraam vinden persoonsgegevensverwerkingen plaats van onder meer leerlingen (scholieren) en medewerkers met een logische (specifiek) doel. Een overzicht van deze verwerkingen, is een zogenaamd ‘verwerkingsregister’. Dit verwerkingsregister is wettelijk vereist. Het verwerkingsregister dient Stichting Quadraam te kunnen overleggen indien de toezichthouder, de Autoriteit Persoonsgegevens (AP), daar om vraagt.
- Stichting Quadraam verwerkt van de volgende groepen (alfabetisch) gegevens:
- Leveranciers
- Medewerkers
- Scholieren
- Sollicitanten
- Stagiaires
- Ouders
- Websitebezoekers
- Voor elke groep doen we dit met een logisch (specifiek) doel:
- Voor leveranciers: om leveranciers te kunnen beoordelen (selectie leverancier), om effectief te kunnen communiceren en om uitvoering aan het contract te kunnen geven
- Voor medewerkers: om uitvoering te kunnen geven aan de arbeidsovereenkomst (denk bijvoorbeeld aan NAW-gegevens, bank-, rekeningnummer, opleiding of personeelsdossier)
- Voor scholieren: om de aanmelding en administratie op de school goed te laten verlopen, voor een adequate identificatie en communicatie (denk bijvoorbeeld aan kopie id-bewijs, contactgegevens van noodpersonen, studieresultaten of een pasfoto)
- Voor sollicitanten: om adequaat uitvoering te kunnen geven aan het werving en selectieproces (denk bijvoorbeeld aan een curriculum vitae, een verklaring omtrent gedrag of het checken van referenties)
- Voor stagiaires: om uitvoering te kunnen geven aan de stage-overeenkomst en om het werving en selectieproces adequaat te kunnen uitvoeren (denk bijvoorbeeld aan een beoordeling van een eerdere stageplek, cijferlijst of sollicitatiebrief)
- Voor ouders: om ouders tijdig en adequaat te informeren en dus uitvoering te kunnen geven aan communicatie in de breedste zin van het woord (denk bijvoorbeeld aan NAW-gegevens, inloggegevens voor de website van de school, financiële gegevens of een email adres voor het ontvangen van de nieuwsbrief van de school)
- Websitebezoekers: om adequaat uitvoering te kunnen geven aan marketing en pr activiteiten (denk bijvoorbeeld aan een IP-adres om bezoekers van de website van de school, regionaal en op wijkniveau, een niet gepersonaliseerde mailing en/of brochure te kunnen sturen)
Artikel 10. Rechten van de betrokkene
- De betrokkene dan wel - indien zij de leeftijd van zestien jaar nog niet heeft bereikt – zijn of haar wettelijke vertegenwoordiger(s), heeft de volgende rechten die hij of zij jegens Quadraam kan doen laten gelden: § recht op informatie;
- recht op inzage;
- recht op rectificatie;
- recht op wissing;
- recht op beperking van de verwerking;
- recht op dataportabiliteit;
- recht van bezwaar;
- recht om niet aan geautomatiseerde besluiten te worden onderworpen (waaronder Profiling)
- Recht op informatie
- Quadraam beschikt over een privacyverklaring, waarin betrokkenen in duidelijke, begrijpelijke en gemakkelijk toegankelijke vorm, in het bijzonder wanneer de informatie specifiek voor een kind is, worden geïnformeerd over de gegevens die van hem worden verwerkt, de wijze waarop, en de redenen waarom dit gebeurt.
- Bij de verkrijging van de persoonsgegevens verstrekt Quadraam in ieder geval de volgende informatie aan de betrokkene:
- de identiteit en contactgegevens van Quadraam;
- de contactgegevens van de functionaris gegevensbescherming;
- de doeleinden waarvoor de persoonsgegevens worden verwerkt;
- de grondslag waarop de verwerking is gebaseerd;
- wanneer de verwerking is gebaseerd op de grondslag van een gerechtvaardigd belang: wat dat gerechtvaardigde belang is;
- de eventuele ontvangers of categorieën ontvangers van de persoonsgegevens;
- in geval van verstrekking aan een derde land of internationale organisatie: of er een adequaatheidsbesluit van de Commissie bestaat, of er passende waarborgen zijn getroffen, welke dit zijn en of hier een kopie van kan worden overlegd, dan wel gewezen kan worden naar een plek waar die waarborgen kunnen worden geraadpleegd;
- de bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan;
- De rechten van de betrokkene
- in het geval de persoonsgegevens zijn verkregen met toestemming van de betrokkene: dat die toestemming kan worden ingetrokken;
- het recht om beklag te doen over de verwerking bij de Autoriteit Persoonsgegevens;
- indien het verwerken van persoonsgegevens geschiedt op basis van een wettelijke verplichting of noodzakelijk is voor de uitvoering of het aangaan van een overeenkomst: op basis waarvan de betrokkene verplicht is de gegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van die gegevens voor de betrokkene;
- ingeval van geautomatiseerde besluitvorming: nuttige informatie over de onderliggende logica, het belang van de verwerking en de te verwachten gevolgen van die verwerking voor de betrokkene;
- een algemene beschrijving van de technische en organisatorische maatregelen zoals in de AVG is voorgeschreven,
- Indien Quadraam persoonsgegevens van een derde verkrijgt, informeert zij de betrokkene binnen een redelijke termijn, althans in ieder geval binnen vijf weken na deze verkrijging, over de in lid 1 van dit artikel genoemde rechten. De bron waaruit de persoonsgegevens zijn verkregen wordt hier zo mogelijk bij vermeld, als de bron niet kan worden vastgesteld, verstrekt Quadraam aan de betrokkene algemene informatie over de herkomst van de persoonsgegevens.
- Recht op Inzage
- Betrokkene wiens persoonsgegevens wordt verwerkt heeft het recht op inzage in, en het recht op een kopie van, de over deze persoon, opgenomen gegevens en van de volgende informatie:
- de verwerkingsdoeleinden en de rechtsgrond voor de verwerking;
- de betrokken categorieën van persoonsgegevens; de ontvangers en/of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen of indien dat niet mogelijk is de criteria om die termijn te bepalen;
- de herkomst van de verwerkte gegevens indien deze niet van betrokkene afkomstig zijn;
- het bestaan van geautomatiseerde besluitvorming, alsmede het belang en de verwachte gevolgen van die verwerking voor betrokkene;
- indien de persoonsgegevens niet bij de betrokkene zelf zijn verzameld verstrekt Quadraam informatie over de bron van de persoonsgegevens;
- indien persoonsgegevens worden doorgegeven aan een derde land of internationale organisatie heeft de betrokkene het recht om geïnformeerd te worden over de passende waarborgen die Quadraam op grond van de AVG heeft getroffen in het kader van die doorgifte.
- De uitoefening van het inzagerecht wordt begrensd door de rechten en vrijheden van anderen en zal derhalve geen afbreuk doen aan de rechten en vrijheden van derden.
- Recht op rectificatie
- Betrokkene heeft het recht op rectificatie van onjuiste persoonsgegevens.
- Indien Quadraam voldoet aan een verzoek tot rectificatie persoonsgegevens, stelt zij iedere ontvanger waaraan de persoonsgegevens zijn verstrekt daarvan in kennis, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt verstrekt Quadraam informatie over deze ontvangers.
- Recht op wissing (vergetelheid)
- Betrokkene heeft het recht op wissing van gegevens (‘recht op vergetelheid’) in de volgende situaties:
- de persoonsgegevens zijn niet langer nodig;
- de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6 lid 1 sub a AVG berust in en er is geen andere rechtsgrond voor die verwerking;
- de betrokkene maakt bezwaar in de zin van art. 21 AVG tegen de verwerking en er zijn geen prevalerende dwingende vormen voor verwerking; de gegevens zijn onrechtmatig verwerkt;
- er geldt een wettelijke verplichting om de persoonsgegevens te wissen;
- de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij aan betrokkene die de leeftijd van 16 jaar nog niet heeft bereikt.
- Wanneer de gegevens openbaar zijn gemaakt en Quadraam verplicht wordt de gegevens te wissen, neemt Quadraam, rekening houdend met de beschikbare technologie en uitvoeringskosten redelijke maatregelen waaronder technische maatregelen, om andere verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om iedere koppeling naar, of kopie of reproductie van die gegevens te wissen.
- Artikel 10.5.1 en 10.5.2 zijn niet van toepassing als verwerking nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting, het nakomen van een wettelijke verwerkingsverplichting, het vervullen van een taak van algemeen belang, om redenen van algemeen belang op het gebied van volksgezondheid, met het oog op archivering in het algemeen belang wetenschappelijk of historisch onderzoek, statistische doeleinden overeenkomstig artikel 89 van de AVG of voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Indien Quadraam voldoet aan een verzoek tot verwijdering van persoonsgegevens, stelt zij iedere ontvanger aan wie de persoonsgegevens zijn verstrekt daarvan in kennis, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt verstrekt Quadraam informatie over deze ontvangers.
- Recht op beperking van verwerking van gegevens
- De betrokkene heeft het recht om Quadraam te verzoeken de verwerking van zijn/haar persoonsgegevens te beperken indien een van de volgende situaties aan de orde is:
- de juistheid van de persoonsgegevens wordt betwist door de betrokkenen, gedurende een periode die Quadraam in staat stelt de juistheid van de persoonsgegevens te controleren;
- de verwerking is onrechtmatig en de betrokkene wenst niet dat de persoonsgegevens worden gewist maar slechts het gebruik daarvan wordt beperkt;
- Quadraam heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor ze zijn verkregen, maar de betrokkene heeft ze nodig voor de instelling, uitoefening of onderbouwing van de rechtsvordering;
- de betrokkene heeft bezwaar gemaakt en is in afwachting van het antwoord op de vraag of de belangen van Quadraam zwaarder wegen dan die van de betrokkene.
- Indien een verzoek tot beperking wordt gehonoreerd worden de persoonsgegevens - met uitzondering van de opslag daarvan - uitsluitend verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een ander natuurlijk persoon of rechtspersoon of om gewichtige redenen van algemeen belang. Quadraam zal vervolgens in zijn bestanden/systemen aangeven welke persoonsgegevens, op grond van het gehonoreerde verzoek, zijn beperkt.
Quadraam stelt betrokkene op de hoogte indien de beperking op de verwerking wordt opgeheven.
- Indien Quadraam voldoet aan een verzoek tot beperking van de verwerking, stelt zij iedere ontvanger aan wie de persoonsgegevens zijn verstrekt daarvan in kennis, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Indien de betrokkene hierom verzoekt verstrekt Quadraam informatie over deze ontvangers.
- Recht op overdraagbaarheid van gegevens
- Betrokkene heeft recht de hem betreffende persoonsgegevens die hij aan Quadraam heeft verstrekt in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen in de gevallen dat persoonsgegevens door hem op basis van verleende toestemming (artikel 6 lid 1 a AVG) zijn verstrekt of op basis van een overeenkomst (artikel 6 lid 1 b AVG) en de verwerking via geautomatiseerde procedés wordt verricht.
- Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van het vorige lid heeft de betrokkene het recht dat gegevens indien dit technisch mogelijk is rechtstreeks van de ene naar de andere verwerkingsverantwoordelijke worden doorgezonden.
- Het recht op overdraagbaarheid van gegevens geldt niet voor verwerkingen die noodzakelijk zijn voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
- De uitoefening van het recht op dataportabiliteit wordt begrensd door de rechten en vrijheden van anderen. De uitoefening daarvan zal derhalve geen afbreuk doen aan de rechten en vrijheden van derden.
- Recht op bezwaar
Betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens, indien de verwerking zijn grondslag vindt in de noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van Quadraam (artikel 6 lid 1 sub F AVG) of indien de verwerking noodzakelijk was voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van openbaar gezag van Quadraam (artikel 6 lid 1 sub E AVG). Quadraam zal het bezwaar gegrond verklaren, tenzij er gerechtvaardigde gronden zijn voor de verwerking die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of indien ze verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering. Indien de persoonsgegevens ten behoeve van de direct marketing worden verwerkt, zal Quadraam altijd aan het verzoek voldoen.
- Indiening van een verzoek
- Een verzoek als bedoeld in dit artikel wordt gericht aan Quadraam ter attentie van de functionaris gegevensbescherming. De contactgegevens van de functionaris gegevensbescherming zijn opgenomen onder artikel 4.
- Aan een verzoek zijn geen kosten verbonden. Wanneer verzoeken van een betrokkene kennelijk ongegrond, of buitensporig zijn, met name vanwege hun repetitieve karakter kan Quadraam echter:
- een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verzoek gepaard gaat;
- ofwelweigeren gevolg geven aan het verzoek.
- Quadraam verstrekt de betrokkene binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. Quadraam stelt de betrokkene binnen een maand in kennis van een dergelijke verlenging. Wanneer betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
- Indien de betrokkene een verzoek doet omdat bepaalde opgenomen gegevens onjuist c.q.onvolledig zouden zijn, hij een belang heeft bij beëindiging van de verwerking dat zwaarder weegt dan dat van Quadraam, dan wel de verwerking gezien de doelstelling van het reglement niet (langer) noodzakelijk is, dan wel strijdig zijn met dit reglement, neemt de functionaris gegevensbescherming namens de verwerkingsverantwoordelijke binnen een maand nadat betrokkene dit verzoek heeft ingediend, hierover een schriftelijke beslissing.
- Indien Quadraam twijfelt aan de identiteit van de verzoeker, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.
Indien Quadraam geen gevolg wenst te geven aan een verzoek als bedoeld in dit artikel doet hij hiervan – gemotiveerd - schriftelijk mededeling aan de betrokkene, binnen een maand na ontvangst van het verzoek.
- Beperkingen
De reikwijdte van de verplichtingen van Quadraam enerzijds en de rechten van betrokkene anderzijds, kunnen zijn beperkt op grond van wet- en regelgeving die op Quadraam en/of zijn verwerkers van toepassing zijn.\
- Recht op het indienen van een klacht
Indien een verzoek van de betrokkene als bedoeld in dit artikel wordt afgewezen, wordt de betrokkene bij de afwijzing geïnformeerd over de mogelijkheid een klacht in te dienen bij de FG van Quadraam, dan wel een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen.
Atikel 11. Beveiliging en geheimhouding
- Eenieder die binnen de organisatie van Quadraam en zijn scholen toegang krijgt tot persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan en tekent de geheimhoudingsverklaring. Dit geldt niet indien enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.
Quadraam hanteert het normenkader Informatiebeveiligings- en Privacy beleid (IBP) zoals dat door de stichting Quadraam is vastgesteld en hanteert daarvoor een implementatieagenda. Naleving van dit normenkader levert tezamen met de overige maatregelen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Artikel 12. De verwerker en andere ontvangers
- De verwerkers zijn degenen die ten behoeve en voor rekening van Quadraam persoonsgegevens verwerken. De rechten en plichten in het kader van de verwerkingen door de verwerker worden neergelegd in een verwerkersovereenkomst die tussen Quadraam en de desbetreffende verwerker is gesloten. Quadraam houdt een overzicht van de door hem ingeschakelde verwerkers bij.
- De verwerker verwerkt de gegevens op de wijze zoals overeengekomen in een verwerkersovereenkomst. Indien de verwerker die gegevens verwerkt bij het gebruik van leermiddelen, toetsen, school- en leerlinginformatiemiddelen (zoals gedefinieerd in artikel 1 sub f van de Model Verwerkersovereenkomst behorend bij het Convenant Digitale Onderwijsmiddelen). In dat geval verwerkt de verwerker de gegevens zoals voorgeschreven in de Model Verwerkersovereenkomst eventueel met inachtneming van de aanvullingen en wijzigingen zoals opgenomen in bijlage 3 behorend bij de model verwerkersovereenkomst.
- De verwerker is verantwoordelijk voor het juiste gebruik van de nodige voorzieningen om de bescherming van de persoonlijke levenssfeer van de personen van wie gegevens in de persoonsregistratie zijn opgenomen, in voldoende mate te waarborgen, zoals aangegeven en beschreven in de verwerkersovereenkomst
- (interne) Toegang tot persoonsgegevens hebben degenen, medewerkers en derden, die zijn belast met of leidinggeven aan de activiteiten die in verband staan met de verwerking van de desbetreffende persoonsgegevens of die daarbij noodzakelijk zijn betrokken.
- Andere (rechts)personen krijgen alleen toegang tot de persoonsgegevens die Quadraam verwerkt indien:
- de betrokkene (of zijn/haar ouders/vertegenwoordigers in het geval van een minderjarig kind) zijn uitdrukkelijke toestemming heeft verleend voor de verstrekken (van toegang tot) de persoonsgegevens;
of het verstrekken noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
- het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is voor de nakoming van een wettelijke plicht door Quadraam;
- of het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is vanwege een vitaal belang van de betrokkene (bijvoorbeeld een dringende medische noodzaak);
- of het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar gezag dat aan Quadraam is opgedragen;
- het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van Quadraam of een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder weegt, m.n. wanneer de betrokkene een kind is.
Artikel 13. Inbreuk op de beveiliging
- Ondanks de beveiligingsmaatregelen die Quadraam heeft getroffen is het mogelijk dat zich beveiligingsincidenten voordoen die een inbreuk in verband met de persoonsgegevens met zich meebrengen. Indien zich binnen de organisatie van Quadraam, bij een van zijn scholen of bij een door Quadraam ingeschakelde verwerker een datalek voordoet, zal Quadraam daarvan melding doen bij de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengt.
- Quadraam zal iedere inbreuk op de beveiliging als bedoeld in artikel 11.1. documenteren middels een meldingsformulier ongeacht of deze wordt gemeld bij de AP.
- Dit meldingsformulier wordt ingevuld door de bestuurssecretaris van Quadraam in overleg met de verantwoordelijk functioneel manager en/of de schooldirecteur, dan wel – indien dat een ander persoon is -, degene die de ontdekking van de inbreuk in verband met persoonsgegevens (in de zin van de artikelen 33 en 34 AVG) heeft gedaan.
- Het ingevulde formulier wordt getekend door de bestuurssecretaris en de verantwoordelijk functioneel manager en/of de schooldirecteur gezamenlijk.
- Elke datalek(melding) wordt door de bestuurssecretaris ter bespreking geagendeerd bij het College van Bestuur.
- Elk datalek dat is gemeld bij de Autoriteit Persoonsgegevens wordt door of namens het College van Bestuur gemeld bij de Raad van Toezicht
- Indien de inbreuk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt, stelt Quadraam de betrokkene onverwijld in kennis van de inbreuk. Quadraam verstrekt deze mededeling in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm. De mededeling geschiedt in duidelijke en eenvoudige taal, in het bijzonder wanneer de informatie specifiek voor een minderjarige is bestemd. De informatie wordt schriftelijk of, indien passend, met andere middelen waaronder elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden medegedeeld, op voorwaarde dat de identiteit van de betrokkene kan worden vastgesteld. Deze directe mededeling aan de betrokkene(n) kan achterwege blijven indien:
- de persoonsgegevens versleuteld zijn en niet toegankelijk voor derden;
- er maatregelen zijn getroffen die het hoge risico hebben weggenomen;
- de mededeling een onevenredige inspanning vergt en een openbare mededeling volstaat. Bij het vaststellen of sprake is van een inbreuk op de beveiliging en of melding daarvan moet worden gedaan bij de Autoriteit Persoonsgegevens hanteert Quadraam de procedures die zijn opgenomen in het handboek en protocol Datalekken
Artikel 14. Doorgifte van persoonsgegevens (buiten NL, buiten EU)
Quadraam verwerkt de persoonsgegevens in Nederland (of in een land in de Europese Economische Ruimte) en geeft ze niet door aan landen of internationale organisaties buiten de Europese Economische Ruimte.
Artikel 15. Klachten
- Indien de betrokkene van mening is dat de bepalingen van de AVG en overige wet- en regelgeving en (onderwijs)gedragscodes zoals uitgewerkt in dit reglement, niet door de instelling worden nageleefd, dient hij/zij zich te wenden tot de FG.
- Indien de ingediende klacht bij de FG voor de betrokkene niet leidt tot een voor hem/haar acceptabel resultaat, kan hij zich wenden tot de Autoriteit Persoonsgegevens dan wel tot de rechter.
16. Inwerkingtreding, wijziging en citeertitel
-
Dit reglement kan aangehaald worden als ‘Privacyreglement Quadraam’ en treedt in werking op de datum vermeld op het titelblad.
-
Het reglement is vastgesteld door de het College van Bestuur van VO-Stichting Quadraam en vervangt eventuele vorige versies.
-
Het reglement zal periodiek worden geëvalueerd met de medezeggenschapsraad en kan indien dit wordt gewenst of nodig is om de AVG correct na te leven, worden gewijzigd, nadat instemming van de medezeggenschapsraad is verkregen.