De Autoriteit Persoonsgegevens geeft aan dat onze organisatie alleen verplicht is om een gegevensbeschermingsbeleid op te stellen als dat in verhouding staat tot onze verwerkingsactiviteiten op basis van artikel 5 lid 2 AVG. Een gegevensbeschermingsbeleid heet ook wel privacybeleid. De verplichting om zo’n privacybeleid op te stellen, hangt af van de concrete omstandigheden, zoals de aard, de omvang, de context en het doel van de gegevensverwerkingen, aldus de Autoriteit Persoonsgegevens.

Onze organisatie hanteert het volgende beknopte privacybeleid, dat verdere weerslag vindt in ons register van verwerkingsactiviteiten:

1. Categorieën van persoonsgegevens
Wij verwerken persoonsgegevens van de categorieën die genoemd zijn in ons separate register van verwerkingsactiviteiten.

2. Grondslagen van de verwerking
Wij verwerken persoonsgegevens louter op basis van de grondslagen uit artikel 6 AVG, oftewel op basis van toestemming van de betrokkenen of op basis van een noodzaak. In ons separate register van verwerkingsactiviteiten zijn de grondslagen opgenoemd.

3. Beginselen van verwerking
Wij voldoen aan de beginselen inzake de verwerking uit artikel 5 lid 1 AVG op de volgende wijze:

RegelBeginselHoeAanvulling
Sub aRechtmatigWij zullen de regels van de AVG in acht nemen bij de verwerkingen. Zie ook hiervoor onder 2.
Sub aBehoorlijkWij zullen de regels van de AVG in acht nemen bij de verwerkingen.
Sub aTransparantVoor zover de verwerking niet aanstonds evident is, zoals bij contact- of betaalgegevens, zullen wij de betrokkene informeren over het doel en de wijze van verwerken (eventueel met een zgn. privacyverklaring).
Sub bDoelbindingWij zullen persoonsgegevens niet anders verwerken dan voor de doeleinden van de verwerking.
Sub cDataminimalisatieWij zullen niet meer persoonsgegevens vragen of verwerken dan toereikend is voor de doeleinden van de verwerking.
Sub dJuistheidWij bieden betrokkenen de mogelijkheid om contact met ons op te nemen via de op onze website vermelde contactgegevens. Zo kunnen zij hun gegevens inzien of opvragen en waar nodig zullen wij deze gegevens corrigeren. Als wij een digitaal portaal hanteren, dan bieden wij de mogelijkheid aan de betrokkenen om dit zelf online te doen.
Sub eOpslagbeperkingWij zullen niet meer en niet langer persoonsgegevens verwerken als dit niet (meer) nodig is voor het doel waarvoor ze zijn verkregen. Voor zover wij statistisch of telemetrisch onderzoek willen verrichten, anonimiseren wij de persoonsgegevens onomkeerbaar.
Sub fIntegriteit en vertrouwelijkheidWij nemen passende technische en organisatorische maatregelen tegen onrechtmatige verwerkingen, verlies, vernietiging en beschadiging. Zie hieronder onder 5.

4. Rechten van betrokkenen
Wij erkennen de rechten die betrokkenen hebben op onder meer inzage, correctie, beperking en verwijdering. Zie hiervoor onder 3 (sub d) over de wijze waarop betrokkenen contact met onze organisatie kunnen opnemen om deze rechten uit te oefenen.

5. Technische en organisatorische maatregelen
Voor zover dit wettelijk verplicht is, registreren wij onze technische en organisatorische maatregelen in ons separate register van verwerkingsactiviteiten. Mochten wij over bepaalde certificeringen beschikken of ons aan bepaalde gedragscodes of bindende bedrijfsvoorschriften houden, dan zijn deze hieronder weergegeven.

6. Verwerkingsduur
Wij verwerken persoonsgegevens niet langer dan noodzakelijk is voor het doel van de verwerking en zorgen ervoor dat wanneer de persoonsgegevens niet meer nodig zijn, deze worden verwijderd of onomkeerbaar worden geanonimiseerd. Zie hiervoor onder 3 (sub e) voor meer informatie en zie ons separate register van verwerkingsactiviteiten voor de verwerkingsduur.

7. Functionaris voor Gegevensbescherming
Wij hebben geen Functionaris voor Gegevensbescherming in onze organisatie aangesteld omdat wij van mening zijn dat wij niet aan één van de volgende  voorwaarden voldoen:

  • De organisatie is een overheidsinstantie of –orgaan;
  • Verwerkingen van persoonsgegevens die bestaan uit het op regelmatige basis stelselmatig observeren van betrokkenen op grote schaal;
  • De kernactiviteit bestaat uit het grootschalig verwerken van bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard.

8. Privacy Impact Assesment (PIA) of Gegevensbeschermingseffectbeoordeling
Wij voeren geen Gegevensbeschermingseffectbeoordeling in onze organisatie uit omdat wij geen verwerkingen doen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen. Mocht dit op termijn of in voorkomende gevallen anders zijn, dan zal onze organisatie uiteraard voldoen aan de plicht.