Privacyverklaring Stichting Arbeidsmarkt en Opleiding voor de Metalektro

A+O staat voor een kwalitatief hoogwaardige dienstverlening. Het zorgvuldig gebruik en beveiliging van informatie afkomstig van aangesloten bedrijven maakt hier integraal deel vanuit.

Dit betekent bijvoorbeeld dat wij:

  • duidelijk vermelden voor welke doeleinden wij persoonsgegevens verwerken;
  • het verzamelen van persoonsgegevens beperken tot alleen de persoonsgegevens die nodig zijn voor de doeleinden waarvoor ze worden verwerkt;
  • u eerst vragen om uitdrukkelijke toestemming om persoonsgegevens te verwerken in gevallen waarin uw toestemming is vereist;
  • uw gegevens niet doorgeven aan derde partijen, tenzij dat nodig is om de gevraagde dienst te kunnen leveren of wanneer wij daar wettelijk toe verplicht zijn;
  • wanneer wij uw gegevens delen, afspraken maken met derde partijen om ervoor te zorgen dat deze niet voor andere doeleinden worden gebruikt;
  • passende beveiligingsmaatregelen nemen om uw persoonsgegevens te beschermen en dat ook eisen van partijen die in opdracht van ons persoonsgegevens verwerken;
  • uw recht respecteren om persoonsgegevens op aanvraag ter inzage te bieden, te corrigeren of te verwijderen.

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. De Algemene verordening gegevensbescherming, de Avg, (en voorheen de Wet bescherming Persoonsgegevens) regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Bedrijfsgegevens vallen niet onder de Algemene verordening gegevensbescherming.

Maatregelen

A+O voldoet steeds aan de nieuwste wetgeving en heeft diverse technische en organisatorische maatregelen in gebruik op het gebied van informatiebeveiliging.

A+O heeft sedert 2016 een functionaris bescherming persoonsgegevens aangesteld die adviseert over privacy-aangelegenheden. Daarnaast is een Data Protection Officer (DPO) aangesteld die adviseert over technische en organisatorische maatregelen ten aanzien van gegevensbescherming en databeveiliging.

Maatregelen op organisatorisch gebied zijn bijvoorbeeld dat alle medewerkers van A+O een geheimhoudingsverklaring hebben getekend en dat persoonsgegevens alleen toegankelijk zijn voor hen die daar uit hoofde van hun functie inzage toe hebben. Technische maatregelen betreffen onder meer het actueel houden van besturings- en beveiligingssoftware, periodieke risicoanalyses, het gebruik van WAF security (Web Application Firewall) om zogenaamde cyberaanvallen te blokkeren en hosting vanuit een ISO-27001 (informatiebeveiliging), ISO-27017 (cloud security) en ISO-27018 (cloud privacybescherming) gecertificeerd datacentrum.

A+O heeft op vrijwillige basis voor de Autoriteit Persoonsgegevens een meldingenregister ingericht waarin de verwerkingen (zoals het opslaan, bewaren of verspreiden) van persoonsgegevens binnen A+O worden vastgelegd. Alle regelingen van A+O zijn hierin opgenomen. Ook alle verwerkersovereenkomsten staan hierin die A+O met haar leveranciers sluit indien in opdracht van A+O en onder verantwoordelijkheid van A+O persoonsgegevens worden verwerkt.

 Rechten

Iedere persoon kan op basis van de wet bepaalde rechten uitoefenen ten aanzien van zijn of haar persoonsgegevens. Zo hebt u het recht tot:

  • inzage (en afschrift) van de persoonsgegevens die wij van u verwerken;
  • rectificatie (het corrigeren van uw (onjuiste of onvolledige) gegevens);
  • verwijdering van persoonsgegevens.

Ook kunt u bezwaar maken tegen het gebruik van uw gegevens of vragen dit gebruik te beperken. Neem dan contact op via ons telefoonnummer 088-60 50 900. In bepaalde gevallen kunt u zelfs uw gegevens opvragen en meenemen naar een andere partij. Op de website van de Autoriteit Persoonsgegevens vindt u nadere informatie over uw rechten: https://autoriteitpersoonsgegevens.nl.

Klachten?

Als u klachten heeft over hoe wij met uw persoonsgegevens omgaan, dan kunt u contact met ons opnemen door een mail te sturen naar  secretariaat@ao-metalektro.nl of ons te bellen (088-60 50 900). Wij helpen u graag met het vinden van een oplossing. Indien dat toch niet zou lukken, dan kunt u zich altijd wenden tot de Autoriteit Persoonsgegevens.

Doel verwerking persoonsgegevens

A+O ontvangt persoonsgegevens om haar taken uit te kunnen voeren gericht op:

  • het bevorderen van de deelneming aan opleidingen en cursussen
  • het bevorderen van instroom in de Metalektro
  • het bevorderen van de employability van de werknemer (her-, om- en bijscholing)
  • het bevorderen van werkgelegenheid
  • het doen van onderzoek gericht op arbeidsmarktontwikkeling en opleiding

A+O kan de persoonsgegevens anonimiseren of pseudonimiseren om deze te gebruiken voor onderzoeksdoeleinden om haar diensten te kunnen optimaliseren.

Beveiliging persoonsgegevens

A+O zorgt voor passende beveiliging van de persoonsgegevens die zij onder zich heeft, in lijn met de daarvoor geldende wettelijke eisen en richtlijnen. Er zijn passende technische en organisatorische maatregelen genomen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan. Zo worden de (persoons)gegevens via het account van “Mijn A+O” tijdens verzending versleuteld. En vindt de verzending van (persoons)gegevens via een beveiligde verbinding plaats.

Als de verwerking van persoonsgegevens is uitbesteed aan een derde (de subverwerker) dan staat A+O ervoor in dat ook de leverancier een passend beveiligingsniveau biedt en ziet zij daar actief op toe. De leveranciers zijn verplicht om aan te tonen of en op welke wijze passende technische en organisatorische maatregelen zijn genomen om te waarborgen en te kunnen aantonen dat de verwerking plaatsvindt in overeenstemming met de AVG.

Voor het toepassen en aantonen van de technische maatregelen, kan de leverancier gebruik maken van (zo snel als redelijkerwijs mogelijk de meest recente versie van) de hiervoor ontwikkelde certificering. De leverancier kan ook gebruik maken van (inter)nationaal erkende normen en standaarden voor informatiebeveiliging, mits die een gelijkwaardig of hoger niveau van beveiliging bieden en de door de leverancier genomen maatregelen aan A+O inzichtelijk worden gemaakt.

Bewaartermijn persoonsgegevens

A+O bewaart persoonsgegevens die zij verwerkt niet langer dan noodzakelijk is voor het doel van de gegevensverwerking dan wel op grond van de Archiefwet is vereist.

A+O heeft de volgende specifieke privacystatements:

  • Vergoedingen/subsidies (*doorklik)
  • oZone (*doorklik)

*Vergoedingen / subsidies

A+O voert het beleid om zo min mogelijk persoonsgegevens op te vragen. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Vooraf maakt A+O duidelijk voor welk doel de gegevens nodig zijn.

Bedrijfsgegevens vallen niet onder de Algemene verordening gegevensbescherming. Maar ook met deze gegevens wordt zorgvuldig omgegaan.

De gegevens worden door werkgever aangeleverd omdat deze noodzakelijk zijn voor de uitvoering van de overeenkomst. In een aantal regelingen geeft de werknemer zelf toestemming voor aanlevering van deze gegevens door ondertekening van het aanvraagformulier.

Alleen in het uitzonderlijke geval dat A+O een wettelijke verplichting moet nakomen zal het burgerservicenummer (BSN) worden opgevraagd. In alle andere gevallen dient dit bijzondere persoonsgegeven NIET te worden toegezonden c.q. te worden afgeschermd.

De uitvoering van de subsidietaak kan met zich meebrengen dat A+O gegevens, inclusief persoonsgegevens, deelt met een toezichthouder, zoals het Ministerie van Sociale Zaken in het kader van het Sectorplan. Dit gebeurt alleen als hiervoor een wettelijke grondslag is.

In het kader van vergoedingsaanvragen is géén verwerkersovereenkomst nodig. A+O handelt als subsidieverstrekker als “verantwoordelijke” en niet in opdracht van of onder verantwoordelijkheid van het bedrijf. A+O zorgt voor passende beveiliging van de persoonsgegevens die zij onder zich heeft, in lijn met de daarvoor geldende wettelijke eisen en richtlijnen.

 *oZone

A+O voert het beleid om zo min mogelijk persoonsgegevens op te vragen. Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Vooraf maakt A+O duidelijk voor welk doel de gegevens nodig zijn.

Bedrijfsgegevens vallen niet onder de Algemene verordening gegevensbescherming. Maar ook met deze gegevens wordt zorgvuldig omgegaan.

De gegevens worden door werkgever aangeleverd omdat deze noodzakelijk zijn voor de uitvoering van de overeenkomst. A+O registreert (persoons)gegevens van de gebruikers voor doeleinden van administratie en beheer. A+O slaat gegevens op die betrekking hebben op het gebruik van oZone. Deze zijn slechts toegankelijk voor A+O. Deze gegevens worden niet aan derden verstrekt, behoudens in de gevallen wanneer A+O hiertoe krachtens de wet of een rechterlijke uitspraak verplicht is.

A+O zorgt voor passende beveiliging van de persoonsgegevens die zij onder zich heeft, in lijn met de daarvoor geldende wettelijke eisen en richtlijnen.

Ook content in de afgeschermde bedrijfsomgeving op oZone kan persoonlijke gegevens bevatten, zoals de naam, het portret of stemgeluid van een persoon in bijvoorbeeld audiovisueel materiaal. A+O wijst de deelnemende bedrijven erop dat van de betrokkene toestemming nodig is voor het gebruik van de persoonsgegevens in de content en de terbeschikkingstelling aan A+O voor opname in oZone en verdere verspreiding onder de Creative Commons Licentie.

Voor de verwerking van content in de afgeschermde bedrijfsomgeving op oZone kan A+O als een verwerker van persoonsgegevens worden aangemerkt. Het Deelnemend bedrijf is in dat geval Verwerkingsverantwoordelijke. Voor deze verwerkingen worden tussen partijen op grond van artikel 28 AVG in de gebruikersovereenkomst afspraken gemaakt zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen is gewaarborgd.