Privacybeleid (AVG)

Dit document beschrijft de wijze waarop wij binnen de organisatie omgaan met de privacy van persoonsgegevens, daarbij houden wij ons aan de eisen uit de privacy wetgeving (AVG). Het is een beleid gericht tot iedereen die binnen en namens onze organisatie werkt met persoonsgegevens.

Data minimalisatie

Binnen Machinefabriek Geurtsen hanteren we het principe van ´minimale gegevensverwerking´ dit betekent dat wij niet meer gegevens verwerken dan noodzakelijk is. Wij beperken het verzamelen van persoonsgegevens tot alleen de persoonsgegevens die nodig zijn voor de doeleinden waarvoor ze worden verwerkt. In de praktijk houdt dit in dat wij de persoonsgegevens verwerken die nodig zijn om te komen tot een (arbeids- of opdracht) overeenkomst en het uitvoeren daarvan. Daarbij  verwerken we tevens persoonsgegevens waartoe we vanuit wettelijke verplichtingen genoodzaakt zijn. Voor het verwerken van persoonsgegevens voor andere doeleinden vragen wij altijd eerst om toestemming voordat de gegevens worden verwerkt.

Persoonsgegevens zijn gegevens welke iets van de identiteit van een persoon weer geeft (bijvoorbeeld een naam, adres, telefoonnummers, email adressen en foto’s). Wij verwerken algemene persoonsgegevens en geen ‘bijzondere’ gegevens zoals geloofsovertuiging, medische informatie, ras of seksuele voorkeur.

Wij geven gegevens niet door aan derde partijen, tenzij dat nodig is om de gevraagde dienst te kunnen leveren (bijvoorbeeld de Salarisadministratie) of wanneer wij daar wettelijk toe verplicht zijn  (bijvoorbeeld Arbodienst/ belastingdienst). Als wij gegevens delen dan maken wij afspraken met deze partijen om er oa voor te zorgen dat deze de gegevens niet voor andere doeleinden worden gebruikt en veilig worden verwerkt en bewaard.

Beveiliging van persoonsgegevens

Binnen Machinefabriek Geurtsen treffen wij passende beveiligingsmaatregelen om de persoonsgegevens te beschermen:

Technische maatregelen:

  • Alarminstallatie: het gehele pand is beveiligd via een alarm installatie
  • Toegangsdeuren tot kantoor en productie ruimtes worden iedere avond afgesloten
  • Archiefkasten worden afgesloten
  • Firewall is aanwezig en up to date
  • Virusscanner
  • Periodiek (180 dagen) worden wachtwoorden gewijzigd
  • Stand alone printers voor functionarissen die veel werken met privacy gevoelige documenten
  • Periodiek worden back-ups gemaakt
  • Systemen waarin persoonsgegevens worden verwerkt kennen beperkte toegang of worden op bepaalde delen niet voor iedere gebruiker zichtbaar gemaakt.

Organisatorische maatregelen

  • Clean desk
    • aan het einde van de werkdag zijn alle bureaus vrij van documenten waarbij persoonsgegevens zichtbaar zijn en opgeslagen in afgesloten bureaus/kasten
  • Klantgegevens worden beveiligd meegenomen buiten het bedrijf.
    • Informatie wordt op beveiligde USB sticks meegenomen
    • Laptop met juiste beveiligingscodes
  • Informatie gevraagd door derden worden niet vrijgegeven voor andere doeleinden anders dan waarvoor deze verzamelt zijn, tenzij toestemming is gevraagd aan desbetreffende persoon
  • Bij uitbesteding van verwerking persoonsgegevens aan derden is te allen tijde een verwerkersovereenkomst aanwezig
  • Mail
    • Mail met daarin grote data persoonsgegevens worden versleuteld verstuurd (via office 365 geregeld).
    • Mail to ‘grote groepen’ worden indien nodig verstuurd met email adressen in BCC.
  • 1 maal per jaar wordt door applicatie beheerder een reminder uitgedaan waarbij verzoek wordt gedaan tot het wissen van in en uitgaande mailtjes 1 jaar na dato verzending/ ontvangst.
  • In de arbeidsovereenkomsten is een artikel omtrent geheimhouding verwerkt.
  • Personeel is op de hoogte van de nieuwe AVG wetgeving

Datalekken

Wij voldoen, op grond van de wet AVG, aan de meldplicht voor datalekken. Doet zich binnen Geurtsen of bij 1 van onze verwerkers, ondanks alle voorgenomen maatregelen tot beveiliging van persoonsgegevens, een datalek voor dan hanteren  we onderstaande procedure om aan de meldplicht te voldoen.

Van een datalek is sprake als persoonsgegevens zijn vernietigd of verloren zijn gegaan, zijn gewijzigd, verstrekt of toegankelijk zijn gemaakt op een manier die onrechtmatig is. Anders gezegd Persoonsgegevens zijn in verkeerde handen gekomen.

Voorbeeld van een datalek kan zijn:
  • Persoonsgegevens zijn opgeslagen op een USB stick en deze wordt onderweg naar huis gestolen.
  • Een medewerker laat een koffer met daarin persoonsgegevens (salarisbestanden) achter in de trein
  • Een e-mail met daarin klantgegevens wordt verstuurd naar de verkeerde persoon.

Procedure bij Datalekken:

  1. Meld alle datalekken direct na constatering per telefoon bij Maurice Bouwmeester (tel 06-482 55 391)
  2. Vul direct, binnen 48 uur het Incidenten formulier in
  3. Maurice Bouwmeester vermeldt vervolgens het datalek in het Register Datalekken
  4. Maurice Bouwmeester bepaalt of het datalek gemeld moet worden bij Autoriteit Persoonsgegevens en of betrokkene moeten worden geïnformeerd.
Er is een meldplicht richting AP op het moment dat het datalek een risico voor betrokkenen met zich mee brengt. Het melden moet gebeuren binnen 72 uur nadat het incident heeft plaats gevonden.

Rechten van betrokkenen

Privacyverklaring

Alle personen waarvan wij gegevens verwerken hebben het recht te weten wat er met zijn/ haar  gegevens gebeurt. Wij vinden het belangrijk om duidelijk te vermelden voor welke doelen wij persoonsgegevens verwerken. Dit doen wij via een  Privacyverklaring Deze verklaring is te vinden op zowel onze interne als externe websites.

Wat zijn de rechten van jou als medewerker:

Als medewerker heb je tav je eigen persoonsgegevens een aantal rechten die je op jouw aanvraag kunt uitoefenen:

  • Je hebt recht op informatie om te weten wat wij met je gegevens doen
  • Recht op inzage in je eigen gegevens
  • Recht op correctie indien gegevens niet kloppen
  • Recht op gegevenswissing; onder andere wanneer|
    • De gegevens niet langer nodig zijn
    • Je de toestemming intrekt op hetgeen je eerder toestemming hebt verleend
    • Je persoonsgegevens onrechtmatig worden verwerkt
  • Recht op beperking van verwerking (recht om minder gegevens te laten verwerken)
  • Recht op gegevens overdraagbaarheid (ook wel dataportabiliteit genoemd). Dit betekent dat op het moment dat je jouw gegevens wilt doorsturen naar een andere organisatie dat je deze gegevens makkelijk moet kunnen krijgen
Je kunt deze rechten niet onder alle omstandigheden uitoefenen. Hebben wij je gegevens bijvoorbeeld nodig om de wet na te leven of om je salaris uit te betalen, dan kun je geen bezwaar maken of verzoeken om deze gegevens te wissen.

Procedure om privacy rechten uit te voeren:

  • Wil je inzage, wijziging of gegevens laten verwijderen dan vragen wij je om dit via een schriftelijk verzoek per mail, in te dienen bij Lisette Meerman, HR Manager
  • Beschrijf in deze mail wat je wil met betrekking tot je persoonsgegevens
  • Wij nemen altijd persoonlijk contact met je op om de vraag te bevestigen (en misbruik te voorkomen) en zorgen voor een afhandeling binnen 4 weken.
  • Ook bij klachten over de wijze waarop gegevens worden verwerkt nodigen wij je uit direct contact op te nemen met genoemde contactpersoon zodat we samen kunnen bekijken hoe de klacht kan worden opgelost.

Autoriteit Persoonsgegevens

Wij vinden het nogmaals van groot belang dat er zorgvuldig wordt omgegaan met persoonsgegevens. Heb je toch klachten over de gegevens verwerking en kom je er niet samen met ons uit dan heb je op grond van de privacywetgeving ook het recht om een klacht in te dienen bij de privacy toezichthouder, de Autoriteit Persoonsgegevens

Heeft u een specialist nodig in machinebouw?