Privacy & AVG

De Stichting FAD gaat zorgvuldig met uw persoonsgegevens om. Zij heeft de Algemene Verordening Gegevensbescherming geïmplementeerd. Een van de wijzigingen die de AVG meebrengt is de verantwoordingsplicht. De FAD kan aan de hand van documenten aantonen dat zij voldoet aan de privacybeginselen uit de AVG. Wij informeren u graag hoe de FAD omgaat met de beginselen uit de AVG.

Verwerking van persoonsgegevens

De privacywetgeving geldt voor iedere verwerking van persoonsgegevens. De begrippen persoonsgegeven en verwerking worden zeer ruim uitgelegd door de toezichthouders, waaronder de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. De verwerking van persoonsgegevens is iedere handeling die betrekking heeft op persoonsgegevens. Het hoeft geen actieve handeling te zijn. Het inzien, bewaren, verstrekken of uitsluitend opslaan of vernietigen van persoonsgegevens zijn allemaal verwerkingen. Een persoonsgegeven is ieder gegeven dat herleidbaar is tot een natuurlijk persoon (de betrokkene). Denk aan contactgegevens, foto’s, camerabeelden, sportprestaties, telefoonopnames en IP adressen.

De Stichting FAD verwerkt persoonsgegevens waarbij privacywetgeving een belangrijke rol in die dagelijkse werkzaamheden speelt.

Deelnemers aan de FAD verwerken via het eigen incidentenregister strafrechtelijke gegevens van medewerkers die een overtreding binnen de betreffende organisatie begaan. De FAD verwerkt deze gegevens voor het externe Waarschuwingsregister. De verwerking van strafrechtelijke persoonsgegevens wordt nader geregeld in Uitvoeringswet AVG, die eenzelfde structuur zal kennen als de huidige Wbp.

Verwerkingsverantwoordelijke en verwerker

De AVG en ook de overige privacywetgeving maakt een onderscheid tussen twee rollen, namelijk de verwerkingsverantwoordelijke (in de Wbp verantwoordelijke genoemd) en de verwerker (in de Wbp bewerker genoemd). De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking en zal moeten voldoen aan alle vereisten van de privacywetgeving. De verwerker is degene die persoonsgegevens verwerkt ten behoeve van een verwerkingsverantwoordelijke. Een verwerker heeft geen eigen doel voor de verwerking van de persoonsgegevens buiten het uitvoeren van de dienstverlening voor de verwerkingsverantwoordelijke.

De FAD is verantwoordelijk voor het Waarschuwingsregister. Deelnemers van de FAD zijn verantwoordelijk voor het incidentenregister. Partijen die in opdracht van de FAD gegevens verwerken zijn Elements Interactive en Sentia.

Met deze partijen (verwerkers) is een verwerkingsovereenkomst afgesloten waarin afspraken over omvang en scope van de opdracht en verkorte meldplicht van datalekken aan de verantwoordelijke en beveiligingsmaatregelen zijn vastgelegd.

FAD

Het delen van strafrechtelijke gegevens tussen deelnemers van de FAD (externe zwarte lijst) is niet zondermeer toegestaan. De Stichting FAD heeft onder de Wet bescherming persoonsgegevens een verklaring van rechtmatigheid voor deze externe zwarte lijst verkregen. Deze verklaring is verschillende keren verlengd tot de laatste keer voor onbepaalde tijd. De FAD heeft hiermee een rechtmatige grondslag die blijft gelden onder de AVG. Als de Stichting besluit wijzigingen aan te brengen die mogelijk een hoger risico op de privacy opleveren, zal zij een Dataprotectie Impact Assessment doen en maatregelen implementeren die het risico verlagen. Als het risico hoog blijft, zal zij een consult vragen aan de Autoriteit Persoonsgegevens.

De FAD heeft een ‘Verantwoordingsdocument/ Register van verwerkingen’ opgesteld waarin uitgangspunten en richtlijnen zijn vastgelegd.

De AVG stelt concrete eisen aan de wijze waarop betrokkenen (deelnemers) moeten worden geïnformeerd. Artikel 12 AVG verplicht de FAD om betrokkenen op een duidelijke en gemakkelijk toegankelijke te informeren. Zij heeft dit op deze wijze vormgegeven. Mocht u vragen hebben, stelt u deze gerust via info@stichtingfad.nl.

Datalekken

In geval er sprake is van een mogelijk datalek wordt er te allen tijde melding gedaan bij de verantwoordelijke functionaris. De melding van een (bijna-)incidentmelding/datalek wordt voor de FAD gedaan bij mevrouw Sylvia Torn, bestuurlijk secretariaat FAD, via het email adres datalekken@stichtingfad.nl. Op dat moment is nog niet beoordeeld of het daadwerkelijk om een datalek gaat.

Om hierin vast te stellen of het om een datalek gaat of niet worden de volgende zaken gecheckt:

  1. Is het een “datalek”?
  2. Is het incident/ het datalek helder omschreven?
  3. Welke (herstel)maatregelen zijn er al getroffen?

Een onafhankelijk deskundige beoordeelt of er sprake is van een datalek aan de hand van de volgende vragen:

  • Is er sprake van een inbreuk op de beveiliging?
  • Zijn bij de inbreuk persoonsgegevens verloren gegaan?
  • Kan er redelijkerwijs uitgesloten worden dat er persoonsgegevens onrechtmatig zijn verwerkt? (hieronder vallen aantasting, onbevoegde kennisneming, wijziging, of verstrekking daarvan)

Zie voor een toelichting bij deze vragen de ‘beleidsregels meldplicht datalekken’, te vinden op de website van de Autoriteit Persoonsgegevens.

Mocht u nog aanvullende vragen hebben dan kunt u ons bereiken via telefoonnummer 070 - 444 25 87 of via email info@stichtingfad.nl