Privacybeleid Radar

Laatste update september 2023

1.1 ALGEMEEN
Waar we in dit stuk definities gebruiken (woorden met een hoofdletter), dan gebruiken we daarvoor altijd de definities zoals deze in de AVG staan. De belangrijkste herhalen we hier:

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

  • Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

  • Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (en delegeert naar eigenaren).

1.2 RADARSPECIFIEK
In dit stuk gebruiken we ook een aantal definities die alleen voor Radar gelden of die voor Radar ingevuld zijn.

  • RadarGroep: RadarGroep BV, Kamer van Koophandel nr. 34227806

  • Radar: RadarGroep BV en al haar werkmaatschappijen

  • Verwerkingsverantwoordelijke als we het over Radar hebben: Directeur RadarGroep, Peter de Visser

  • Betrokkene: de persoon wiens persoonsgegevens verwerkt worden. Dit kunnen eigen medewerkers zijn of externen.

  • Medewerkers: alle personen in dienst, ingehuurd of bijvoorbeeld stagiaires, die onder aansturing staan van een van de werkmaatschappijen van Radar.

  • Eigenaar: de persoon die namens Radar, uit hoofde van zijn of haar functie, de verantwoordelijkheid heeft voor de uitvoering en inrichting van een specifieke verwerking.

2. VOOR WIE EN WAAROM DIT BELEID

2.1 Dit beleid is van toepassing op alle Medewerkers van Radar. In hun dagelijkse werkzaamheden zullen zij wellicht Persoonsgegevens (moeten) verwerken. Dit beleid stelt vast hoe zij hiermee om moeten gaan. 

2.2 Met dit beleid wil Radar ervoor zorgen dat alle Verwerkingen in overeenstemming met de wet plaatsvinden en dat de rechten van de Betrokkenen gewaarborgd zijn. Dit betekent natuurlijk ook de rechten van alle Medewerkers van Radar zelf.

 2.3 Op basis van dit beleid zullen er voor specifieke processen en projecten zogenaamde privacyverklaringen worden opgesteld, zodat duidelijk is hoe dit beleid in die specifieke situaties is uitgewerkt.


3. PRIVACY-ORGANISATIE

3.1 Om de naleving van dit beleid te borgen, is er een privacy-organisatie opgericht. Deze bestaat uit een Privacy Officer per werkmaatschappij en een Chief Privacy Officer die verantwoordelijk zijn op het toezien op de naleving van de AVG en de naleving en ontwikkeling van dit beleid.

Chief Privacy Officer RadarGroep:
Coen Ran
privacy@radar-groep.nl

Privacy Officer RadarAdvies:
Hera Goutbeek
privacy@radaradvies.nl

Privacy Officer RadarEurope:
Maarten Briedé
privacy@radareurope.nl

Privacy Officer RadarVertige:
Daniel van der Stam
privacy@radarvertige.nl

Voor algemene vragen met betrekking tot (de bescherming van) persoonsgegevens bij Radar met geen haast kan men gebruik maken van privacy@radar-groep.nl.

 

3.2 De Privacy Officers (PO’s) zijn binnen de eigen werkmaatschappij verantwoordelijk voor:

  • Toezien op de handhaving van dit privacybeleid;

  • Het bijhouden van verwerkingen van de eigen organisatie in het verwerkingsregister;

  • Verwerken van aanvragen van betrokkenen (bijv. recht op verwijdering, zie punt 10);

  • Kennis verzamelen en verspreiden op het gebied van gegevensbescherming;

  • De eigen directeur adviseren bij het ondertekenen van verwerkersovereenkomsten (zie punt 8);

  • Ondersteuning bij het beslissen over en uitvoeren van een DPIA. 

Om deze taken goed uit te kunnen voeren hebben zij toegang tot alle verwerkingen binnen de eigen werkmaatschappij, maar zijn zij natuurlijk ook verplicht tot geheimhouding en vertrouwelijkheid.

 

3.3 De Chief Privacy Officer (CPO) is daarbij verantwoordelijk voor:

  • Het ontwikkelen van het privacybeleid en de privacy-organisatie;

  • Bewustzijn van de organisatie over gegevensbescherming;

  • Het ondersteunen, ontwikkelen van een back-up zijn voor de “lokale” PO’s;

  • Bij een datalek handelen, een datalekregister bijhouden en indien nodig melden;

  • Eindverantwoordelijk voor de beslissing of er voor een specifieke verwerking een DPIA moet worden uitgevoerd;

  • De eerste contactpersoon voor de Autoriteit Persoonsgegevens;

  • De eerste contactpersoon voor externen.

  • Om deze taken goed uit te kunnen voeren heeft de CPO toegang tot alle verwerkingen binnen Radar, maar is hij of zij natuurlijk ook verplicht tot geheimhouding en vertrouwelijkheid.

VERWERKING VAN PERSOONSGEGEVENS

4. DE EIGENAAR

Voor dat medewerkers van Radar willen beginnen met het uitvoeren van een nieuw intern proces of externe opdracht waarin persoonsgegevens worden verwerkt, of (grote) veranderingen willen doorvoeren in bestaande processen of opdrachten, moet er gedocumenteerd aandacht besteed worden aan de gegevensbescherming. Dit is de verantwoordelijkheid van de medewerker van Radar uit hoofde van zijn of haar functie, die verantwoordelijkheid heeft voor de uitvoering en inrichting van een specifieke verwerking, de zogenaamde Eigenaar.

5. VOORWAARDEN VOOR HET VERWERKEN

5.1 Persoonsgegevens worden enkel verwerkt indien dat mag op basis van een van de volgende grondslagen:

  • de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden;

  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Betrokkene partij is;

  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op Radar of de klant rust.

Minder vaak (dus beter onderbouwd) gebruiken we:

  • de verwerking is noodzakelijk om de vitale belangen van de Betrokkene of van een andere natuurlijke persoon te beschermen (alleen in leven of dood gevallen, bv. noodnummers);

  • de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan Radar of de klant is opgedragen;

  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (niche, alleen met zware onderbouwing).


5.2 We verwerken zo min mogelijk persoonsgegevens om ons doel te bereiken.

5.3 Er mogen geen gegevens verwerkt worden die gaan over:

  • godsdienst of levensovertuiging;

  • ras;

  • politieke gezindheid;

  • gezondheid;

  • seksuele leven;

  • lidmaatschap van een vakvereniging;

  • genetische of biometrische gegevens (foto’s!);

  • straf- of tuchtrechtelijke persoonsgegevens.

Indien het op basis van een van de grondslagen uit 5.1 toch nodig lijkt om dit type gegevens te verwerken, dan kan dit alleen in overleg met de CPO, op basis van een uitgebreide analyse en in de meeste gevallen zwaardere technische en organisatorische maatregelen.


6. VERWERKINGSREGISTER

De CPO onderhoudt voor Radar een register waarin alle informatiemiddelen en -verwerkingen die onder zijn verantwoordelijkheid plaatsvinden, worden vastgelegd. Hierin staan per verwerking tenminste de volgende gegevens:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke;

  • of de naam en de contactgegevens van de door Radar aangestuurde verwerker(s);

  • aanwezigheid van een eventuele verwerkersovereenkomst;

  • eigenaar van de verwerking;

  • een beschrijving van de categorieën van Betrokkenen en van de categorieën van Persoonsgegevens;

  • de verwerkingsdoeleinden per categorie Persoonsgegevens;

  • de categorieën van ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt;

  • de grondslag waarop de gegevens verwerkt mogen worden en in het geval van toestemming, hoe deze verkregen wordt;

  • indien van toepassing, doorgiften van Persoonsgegevens aan een derde land;

  • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden verwijderd;

  • indien mogelijk, een algemene beschrijving van de (extra benodigde) technische en organisatorische beveiligingsmaatregelen.

7. VERWERKERSOVEREENKOMSTEN

7.1 Wanneer er twee partijen betrokken zijn bij het verwerken van persoonsgegevens, dan moeten deze vastleggen wie er verwerkingsverantwoordelijk is en wie er verwerker is en afspraken maken over welke persoonsgegevens er op welke manier worden verwerk. Dit gebeurt in een zogenaamde verwerkersovereenkomst. Veel van de informatie die in de verwerkersovereenkomst wordt vastgelegd is 1-op1 over te nemen uit of in het register.

7.2 Wanneer de andere partij een verwerkersovereenkomst aanbiedt, dan moet deze altijd door de eigen PO of de CPO worden beoordeeld. Alleen de directeuren van de werkmaatschappijen zijn gemachtigd om deze te ondertekenen. Hierbij besteden zij voldoende aandacht aan het advies van de PO of CPO.

7.3 Wanneer Radar de verwerkersovereenkomst moet of wil aanbieden, dan kan deze op dit moment opgevraagd worden bij de PO of CPO bij het aanleveren van een ingevuld registerformat. We streven ernaar zo snel mogelijk standaarden te ontwikkelen voor de meest voorkomende situaties.


8. DAADWERKELIJK VERWERKEN

8.1 Persoonsgegevens worden bij Radar alleen voor het in het register (en verwerkingsovereenkomst) vastgestelde doel verwerkt.

8.2 Persoonsgegevens worden bij Radar alleen verwerkt door de medewerkers die het bij registratie vastgestelde doel als onderdeel van hun takenpakket hebben. De Eigenaar is verantwoordelijk om de juiste toegang en middelen te verzorgen.

8.3 Geregistreerde gegevens worden alleen aan derden verstrekt of van derden ontvangen wanneer Radar hiervoor toestemming heeft van de betrokkene(n) of als dit wettelijk is toegestaan.

8.4 De eigen PO en CPO zijn het aanspreekpunt voor de Betrokkenen met betrekking tot de gegevensverwerking. De Eigenaar is verantwoordelijk dat de rechten van de betrokkenen kunnen worden gewaarborgd binnen de verwerking.

RECHTEN VAN BETROKKENEN

9. INDIVIDUELE PRIVACY

Betrokkenen hebben onder voorwaarden zoals gesteld in de AVG het recht om:

  • de eigen persoonsgegevens te bekijken

  • de eigen persoonsgegevens te wijzigen of corrigeren

  • de eigen persoonsgegevens te wissen

  • bezwaar te maken tegen de verwerking van hun persoonsgegevens

  • hun eigen persoonsgegevens te exporteren

Let op: Dit kunnen ook medewerkers van Radar zelf zijn!


10. TRANSPARANT BELEID

De Eigenaar moet bij de verwerking ervoor zorgen dat er vooraf duidelijk melding gemaakt wordt van de gegevensverzameling en hierbij:

  • duidelijk maken wat Radar is en waar men contact kan opnemen;

  • de redenen voor en manieren van verwerking beschrijven;

  • het beleid aangaande gegevensopslag en verwijdering beschrijven;

  • de Betrokkenen voor vragen en het uitoefenen van de rechten uit artikel 10 verwijzen naar de eigen PO en de CPO;

  • duidelijk maken dat men het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens.

11. AFHANDELEN VERZOEKEN VAN BETROKKENEN DOOR DE PO

11.1 De eigen PO is verantwoordelijk voor het afhandelen van de verzoeken van de betrokkenen van verwerkingen in de eigen werkmaatschappij. De Eigenaar is wel verplicht om de PO in staat te stellen deze taken uit te voeren.

11.2 De PO kan om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit.

11.3 Aan het indienen van het verzoek zijn in principe geen kosten verbonden. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege de hoeveelheid verzoeken van de betreffende betrokkene, kan Radar een redelijke vergoeding vragen of weigeren te voldoen aan het verzoek.

11.4 De PO laat uiterlijk binnen één maand na ontvangst van het verzoek weten welk gevolg aan dit verzoek wordt gegeven. Deze termijn kan met twee maanden verlengd worden. Is dit het geval, dan wordt betrokkene hiervan op de hoogte gesteld.

11.5 Als het verzoek wordt opgevolgd dan wordt dit zo snel mogelijk uitgevoerd. Als het verzoek niet wordt opgevolgd door de PO, kan Betrokkene een klacht indienen bij de CPO.


ORGANISATORISCHE VERPLICHTINGEN

12. BEVEILIGING

12.1 Radar zorgt voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van Persoonsgegevens. Het beleid voor informatiebeveiliging is vastgelegd in het Informatiebeveiligingsbeleid RadarGroep en is geborgd in de dagelijkse werkzaamheden.

12.2 Deze maatregelen hebben tot doel, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te bieden, gelet op de risico’s die de Verwerking en de aard van de Persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.

12.3 Waar er uit de analyse van een gegevensverzameling komt dat er specifieke beveiligingsmaatregelen nodig zijn, dan worden deze vastgelegd in het register. De Eigenaar is verantwoordelijk dat deze specifieke maatregelen worden ingevoerd en gevolgd.


13. BEVEILIGINGSINCIDENTEN EN MELDPLICHT DATALEKKEN

13.1 Medewerkers van Radar zorgen voor een onmiddellijke melding bij de CPO of vervangende PO in het geval van een datalek. Dit protocol is ook vastgelegd in het informatiebeveiligingsbeleid.

13.2 De CPO waarborgt de verdere afhandeling van de meldplicht conform de wetgeving. Medewerkers van Radar en met name Eigenaren zijn verplicht de CPO zo veel mogelijk te helpen om aan deze eisen te voldoen.

13.3 De CPO houdt een register bij van alle datalekken, ongeacht of deze gemeld (moeten) worden aan de AP of de betrokkenen.


14. BEWAARTERMIJNEN

14.1 Met inachtneming van wettelijke voorschriften (onder advies van de PO of CPO) stelt Eigenaar de bewaartermijn van de persoonsgegevens vast in het register waar mogelijk. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden en het naleven van wettelijke verplichtingen.

14.2 Wanneer de bewaartermijn verstrijkt, worden de Persoonsgegevens verwijderd. De Eigenaar is hier verantwoordelijk voor. De eigen PO ziet hierop toe.

OVERGANGS- EN SLOTBEPALINGEN

15. KLACHTEN

15.1 Indien Betrokkene van mening is dat de bepalingen uit de Wet, zoals nader uitgewerkt in dit Algemeen Privacyreglement, niet door Radar worden nageleefd, dient men zich te wenden tot de CPO.

15.2 Indien de ingediende klacht voor de Betrokkene niet leidt tot een acceptabel resultaat, kan men zich wenden tot de AP.


16. GELDIGHEID

16.1 Dit document is bedoeld om het uitvoeren van de AVG goed werkbaar te maken binnen Radar. In (voor Radar) uitzonderingsgevallen, die hier niet genoemd worden, vallen we terug op de wettekst. Als dit document afwijkt van deze wetten, door bijvoorbeeld een recente aanpassing van de wet, jurisprudentie of wellicht een tikfout, dan accepteren we dat de wettelijke verplichting leidend is en streven we er naar deze tekst zo snel mogelijk te aan te passen.

16.2 De meest recente versie van dit document is altijd te vinden op de Radar Privacy Pagina of op te vragen bij de PO of CPO.