 |
Versie 1.0 - DEFINITIEF 03-09-2018
Auteur: Selma Appert
Evaluatie, audit en certificering 7
SPIE Nederland (hierna ook: SPIE) hecht grote waarde aan privacy van burgers en dus aan het zorgvuldig omgaan met de persoonsgegevens van werknemers, klanten en leveranciers die zij verwerkt. Betrokkenen moeten erop kunnen vertrouwen dat SPIE zorgvuldig omgaat met hun persoonsgegevens.
Nieuwe technologische ontwikkelingen, innovatieve voorzieningen en een steeds meer digitale omgeving stellen verdergaande eisen aan de bescherming van persoonsgegevens. SPIE is zich hiervan bewust en zorgt dat de privacy zoveel mogelijk gewaarborgd blijft, onder andere door risico’s in kaart te brengen en maatregelen te nemen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole. Ook bij het ontwikkelen en implementeren van nieuwe producten en diensten krijgen privacyaspecten de volle aandacht en wordt een belangenafweging gemaakt tussen het belang van de organisatie om gegevens te kunnen verwerken en het recht op privacy van betrokkenen.
SPIE geeft met het privacybeleid de eigen medewerkers duidelijkheid over de kaders waarbinnen de verwerkingen van persoonsgegevens plaatsvinden. Dit beleid beschrijft ook aan welke voorwaarden processen en systemen moeten voldoen. Met het beschrijven van de maatregelen in dit beleidsdocument beoogt en neemt SPIE haar verantwoordelijkheid om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren en daarmee te voldoen aan de relevante privacywet- en regelgeving.
Directe aanleiding voor het opstellen en implementeren van dit privacybeleid is het toepasselijk worden op 25 mei 2018 van de Algemene Verordening Gegevensbescherming (AVG). Deze Europese Verordening en de daarin vastgelegde eisen en beginselen vormen het uitgangspunt voor SPIE Nederland B.V. privacybeleid.
Er vinden binnen SPIE verschillende gegevensverwerkingen met betrekking tot verschillende groepen betrokkenen plaats. De belangrijkste groepen betrokkenen betreft haar klanten en werknemers. Andere betrokkenen zijn contactpersonen van leveranciers, bezoekers en overige externe relaties. Tevens doen zich situaties voor waarin SPIE als verwerker persoonsgegevens van (klanten van) haar klanten verwerkt.
Alhoewel het verwerken van persoonsgegevens niet tot de kerntaken van SPIE behoort, zijn SPIE en haar medewerkers zich er terdege van bewust dat voor een aantal van haar klanten en leveranciers dat wel het geval is en dat voor bepaalde geldt dat het verwerken van bijzondere/gevoelige persoonsgegevens tot de kerntaken behoort. Ook is het mogelijk dat in de toekomst het verwerken van persoonsgegevens wel tot de core business van een of meerdere onderdelen van SPIE gaat behoren.
In dit beleid ligt de nadruk op de geheel of gedeeltelijk geautomatiseerde/systematische verwerking van persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van SPIE alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn daarin te worden opgenomen. Eveneens is het beleid van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in documenten of fysieke mappen opgenomen zijn.
Het privacybeleid bij SPIE heeft als doel om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren waarbij een goede balans moet worden gevonden tussen privacy, functionaliteit en veiligheid, dit alles in lijn met de toepasselijke privacywetgeving. Beoogd wordt de persoonlijke levenssfeer van de betrokkene zoveel mogelijk te respecteren. De gegevens die betrekking
hebben op een betrokkene dienen beschermd te worden tegen onwettelijk en ongeautoriseerd gebruik dan wel misbruik op basis van het fundamenteel recht op bescherming van zijn/haar persoonsgegevens.
De AVG vraagt om een risk-based benadering. Afweging van belangen van SPIE tegenover belangen van betrokkenen op bescherming van de persoonlijke levenssfeer met inachtneming van de risico’s leidt tot inrichting van governance, verantwoording en sturing op resultaten. Dit privacybeleid is zoveel als mogelijk afgestemd met degenen die hieraan uitvoering moeten geven zodat de in het kader van dit beleid opgestelde documenten en procedures gebruikersvriendelijk en werkbaar zijn. De AVG legt het principe van accountability op en in het privacybeleid wordt naleving van dit principe geborgd.
Dit privacybeleid dient als interne leidraad voor medewerkers van SPIE omtrent hoe SPIE Nederland B.V. en de met haar gelieerde, in Nederland gevestigde ondernemingen, met privacy omgaan. Het gaat dan om de privacy van medewerkers maar ook om de privacy van klanten, leveranciers en andere business partners.
Uitgangspunt is dat iedereen binnen de organisatie een rol heeft te spelen als het gaat om bescherming van persoonsgegevens. De directie en management spelen een cruciale rol bij het waarborgen van privacy. Zij dienen zorg te dragen voor het uitdragen, uitvoeren en handhaven van het privacybeleid. Het management moet ervan op aan kunnen dat proceseigenaren de nodige maatregelen treffen en zich bewust zijn van hun verantwoordelijkheid.
Dit privacybeleid, dat een intern beleidsdocument is, vertaalt zich onder andere intern in een Protocol Persoonsgegevens werknemers dat via het SPIE intranet te raadplegen is, extern in een Privacystatement dat via de SPIE Nederland website te raadplegen is. Daarnaast is het SPIE privacybeleid uitgewerkt in een aantal documenten en protocollen waarvan een indicatieve lijst te vinden is via Intranet>Stafafdelingen>Juridische Zaken>Bescherming van persoonsgegevens.
Het (wettelijk) kader voor het privacybeleid wordt gevormd door de:
Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 toepasselijk is,
Uitvoeringswet AVG
Europese en Nederlandse jurisprudentie en richtlijnen, richtlijnen van de Autoriteit Persoonsgegevens.
Voor bepaalde onderdelen van SPIE is tevens van toepassing de Telecommunicatiewet en de Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie.
Dit privacybeleid dient als een kapstok waaraan enerzijds interne protocollen, richtlijnen en procedures en anderzijds externe privacy verklaringen, protocollen en contractuele voorwaarden met derden worden opgehangen. Eventueel wordt ook aangrenzende wetgeving betrokken. In procesbeschrijvingen worden werkprocessen met de daarbij benodigde privacywaarborgen uiteengezet, zodat er verantwoording en sturing op mogelijk is. Het privacybeleid heeft de nodige raakvlakken en overlap met andere beleidsthema’s zoals kwaliteitsbeleid, risicomanagement, informatiebeveiliging, personeels- en organisatiebeleid en communicatiebeleid.
SPIE gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. SPIE houdt zich hierbij, in lijn met de AVG, aan de volgende uitgangspunten:
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke, zorgvuldige en transparante wijze verwerkt.
SPIE zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.
SPIE verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. SPIE streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Persoonsgegevens worden niet langer bewaard dan nodig is. Het (langere tijd) bewaren van persoonsgegevens kan nodig zijn om rechten van SPIE en/of betrokkenen veilig te stellen of om wettelijke verplichtingen te kunnen naleven.
SPIE gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt SPIE voor passende beveiliging van persoonsgegevens. Deze beveiliging is vastgelegd in het informatiebeveiligingsbeleid. Er wordt naar gestreefd dat gegevens juist zijn weergegeven.
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt SPIE afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. SPIE controleert deze afspraken.
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van betrokkenen zoveel mogelijk beperkt.
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel.
Iedere betrokkene heeft, onder de voorwaarden van de AVG, recht op inzage respectievelijk verbetering, aanvulling, verwijdering of afscherming van de in afzonderlijke verwerkingen hem betreffende persoonsgegevens en heeft tevens het recht van verzet. SPIE honoreert deze rechten van betrokkenen conform de AVG en andere toepasselijke wet- en regelgeving. Betrokkenen kunnen hun rechten uitoefenen door een e-mail te sturen naar privacy.nl@spie.com
Om de verwerkingen van persoonsgegevens gestructureerd en gecoördineerd op te pakken, wordt bij SPIE een aantal rollen onderkend die aan functionarissen in de bestaande organisatie zijn toegewezen. Dit betreft de volgende rollen:
De Directie van SPIE Nederland is eindverantwoordelijk voor de rechtmatige en zorgvuldige verwerking van persoonsgegevens binnen SPIE Nederland en stelt het beleid, de maatregelen en de procedures op het gebied van verwerking vast.
Functionaris Gegevensbescherming
SPIE Nederland heeft een interne toezichthouder op de verwerking van Persoonsgegevens aangesteld. Deze toezichthouder wordt functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt binnen SPIE Nederland toezicht op de toepassing en naleving van de AVG.
Verder is de FG onder meer belast met: inventarisaties van gegevensverwerkingen maken, meldingen van
gegevensverwerkingen bijhouden, vragen en klachten van mensen binnen en buiten de organisatie afhandelen, interne regelingen ontwikkelen, adviseren over technologie en beveiliging.
De FG wordt tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens en wordt daartoe regelmatig uitgenodigd om aan vergaderingen van hoger management en middenmanagement deel te nemen. Hij/zij wordt betrokken bij het ontwikkelen en aanbieden van nieuwe producten en diensten zodat hij/zij mogelijke privacy gerelateerde issues kan benoemen en hierover kan adviseren. Indien het advies van de FG niet gevolgd wordt, wordt dit vastgelegd met de redenen waarom.
De FG wordt onmiddellijk geraadpleegd indien zich een beveiligingsincident voordoet dat al dan niet een meldingsplichtig datalek kan opleveren.
De FG verricht in onafhankelijkheid zijn/haar werkzaamheden en rapporteert jaarlijks aan de Directie van SPIE Nederland.
Systeemeigenaren
De systeemeigenaar is er verantwoordelijk voor dat de applicatie en bijbehorende ICT-faciliteiten een goede ondersteuning bieden aan het proces waar deze verantwoordelijk voor is en dat deze voldoen aan het beleid. Dit betekent dat de systeemeigenaar ervoor zorgt dat zowel nu als in de toekomst de applicatie blijft beantwoorden aan de eisen en wensen van de gebruikers en aan wet- en regelgeving, waaronder de AVG.
Leidinggevenden
Het creëren van bewustwording en de naleving van dit beleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft de taak om:
ervoor te zorgen dat zijn medewerkers op de hoogte zijn van het beleid;
toe te zien op de naleving van het beleid door zijn medewerkers;
periodiek het onderwerp privacy onder de aandacht te brengen in werkoverleggen.
Het zorgvuldig verwerken van persoonsgegevens dient gezien te worden als een lijnverantwoordelijkheid: dat betekent dat de lijnmanagers (afdelingshoofden/centrale stafdiensten) de primaire verantwoordelijk dragen voor een zorgvuldige verwerking van persoonsgegevens op hun afdeling/eenheid. Dit omvat ook de keuze van
maatregelen en de uitvoering en handhaving ervan. Onder de lijnverantwoordelijkheid valt ook de taak om het beleid met betrekking tot de verwerking van persoonsgegevens te communiceren aan alle relevante partijen.
Het zorgvuldig omgaan met persoonsgegevens is ieders verantwoordelijkheid. Er wordt van werknemers en ingeleende krachten verwacht dat ze zich integer gedragen. Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies van SPIE of van individuen. Het is om deze reden dat er gedragscodes zijn geformuleerd en geïmplementeerd.
De concrete invulling van dit privacybeleid bestaat uit:
Bewustwording en training
Protocollen en documenten
Informatiebeveiliging
Met de wetenschap dat privacy incidenten vaak terug te leiden zijn naar een menselijke fout wordt sterk de nadruk gelegd op continue bewustwording en training van medewerkers. De kracht zit in de herhaling van de boodschap.
Ten behoeve van de concrete invulling van dit privacybeleid is een aantal protocollen, documenten, processen, documenten en statements opgesteld of aangepast. Onderscheid wordt gemaakt naar intern en extern gebruik.
SPIE draagt zorg voor een adequaat beveiligingsniveau en legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onbevoegde toegang, onrechtmatige verwerking of misbruik. Een risicoanalyse op privacybescherming en informatiebeveiliging maakt deel uit van het intern risicobeheersings- en controlesysteem van SPIE.
SPIE Nederland streeft er daarbij naar om de afdelingen te laten voldoen aan de ISO-beveiligingsnorm 27001.
Jaarlijks wordt geëvalueerd en gerapporteerd in hoeverre dit privacybeleid en de concrete invulling daarvan aanpassing behoeven. De hieraan gerelateerde documenten worden elk jaar per 1 juni, indien nodig, geüpdatet.
Naleving van de AVG wordt getoetst in het kader van interne en externe audits. Certificering is een middel om te waarborgen dat SPIE de eisen die de AVG stelt aan informatiebeveiliging in acht neemt.
Voor vragen of opmerkingen met betrekking tot dit beleid kunt u terecht bij de Functionaris gegevens- bescherming of via privacy.nl@spie.com