Privacybeleid Human Factor B.V
Waarom is privacy zo belangrijk?
Medewerkers (werknemers, freelancers) van Human Factor B.V. (HF) werken iedere dag met gegevens van en over personen, zoals collega’s, deelnemers, kandidaten, presentatoren, deskundigen, externe medewerkers en leveranciers. Hun persoonsgegevens mogen alleen worden gebruikt voor zover dat nodig is voor duidelijk bepaalde doelen, met hun medeweten en onder passende beveiliging. Overtreding van de privacyregelgeving kan leiden tot hoge boetes en reputatieschade voor HF. De enige manier om dit te voorkomen, het risico te beperken en te waarborgen dat persoonsgegevens voldoende worden beschermd, is dat HF en haar medewerkers op een zorgvuldige wijze met persoonsgegevens omgaan; vanaf het moment van beschikbaarheid van deze gegevens tot en met het moment van archiveren hiervan.
Inhoud privacybeleid HF
Het privacybeleid van HF bestaat uit twee delen:
- een korte toelichting op de belangrijkste privacyregels en
- een checklist voor het verantwoord verwerken van persoonsgegevens.
Contactpersoon Privacy
Pieter Klok is binnen HF verantwoordelijk voor Privacy. Neem altijd contact op met Pieter Klok bij twijfel en vragen over het omgaan met persoonsgegevens. Pieteris telefonisch te bereiken op nr 06-48785477 Bij afwezigheid van Pieterkun je contact opnemen met Jos van Genderen
Waar is het privacybeleid te vinden?
HF kan dit privacybeleid aanpassen. De meeste recente versie is altijd beschikbaar via: www.humanfactortv.nl/privacybeleid
PRIVACYREGELS
- Wat zijn persoonsgegevens?
In de uitvoering van jouw werkzaamheden krijg je toegang tot en/of de beschikking over gewone of bijzondere/gevoelige persoonsgegevens in hard copy of in elektronische vorm, zoals op een laptop, telefoon of een USB stick, of vervat in correspondentie, CV’s, antecedenten onderzoek, en misschien soms in medische rapportages, facturen, bankafschriften, overeenkomsten, quitclaims, deelnemersovereenkomsten, lijst van medewerkers etc.
De belangrijkste begrippen met betrekking tot de meest recente privacy wetgeving zijn:
“Persoonsgegevens” betekent alle informatie waarmee iemand – direct of indirect – geïdentificeerd kan worden. Hieronder vallen, onder meer, NAW gegevens, geboortedatum, mailadres, telefoonnummer en IP adres maar ook foto’s en filmmateriaal waar iemand herkenbaar op is (ook als dat bijvoorbeeld alleen via de stem is).
“Gevoelige en/of bijzondere persoonsgegevens”: dat zijn gegevens zoals medische informatie, seksuele geaardheid, godsdienst, strafrechtelijke informatie (antecedenten onderzoek) en het BSN nummer.
Die gegevens mogen alleen onder specifieke voorwaarden worden gebruikt en meestal is uitdrukkelijke toestemming vereist. Overleg bij twijfel met Pieter Klok.
Verwerking: iedere handeling die betrekking heeft op persoonsgegevens, zowel handmatig als geautomatiseerd. Hieronder valt, onder meer, verzamelen, organiseren, structureren, bewaren, wijzigen, bekijken, openbaar maken, doorgeven, bespreken, vernietigen of op enige andere manier gebruiken van of toegang verkrijgen tot persoonsgegevens.
- Wanneer mag je gegevens verzamelen?
Je mag persoonsgegevens verzamelen op basis een aantal in de AVG genoemde gronden. Deze zijn:
- een wettelijke verplichting
- uitvoering van een overeenkomst
- verkregen toestemming van de betrokkene(n)
- gerechtvaardigd belang
- Welke gegevens mag je verzamelen/vragen?
Vraag nooit meer persoonsgegevens dan nodig!
Dit geldt met name voor gevoelige en/of bijzondere persoonsgegevens.
Voor producties zullen bepaalde gegevens doorgaans nodig zijn voor het volgende doel: de selectie van kandidaten, de productie en exploitatie van het programma; het verrichten van uitbetalingen; het doen van (kansspel)belastingaangifte; – in dit kader – het doorgeven van gegevens aan een zender/opdrachtgever.
Als je de persoonsgegevens daarnaast ook voor een ander doel wilt gebruiken, bijvoorbeeld voor een andere productie, is dat niet zonder meer toegestaan. Vraag daar expliciete toestemming voor!
- Waarvoor mag je persoonsgegevens gebruiken en is toestemming nodig?
Persoonsgegevens mogen alleen worden gebruikt in het kader van het specifieke doel waarvoor je ze hebt verzameld of hebt gekregen. (zie hiervoor ook onder punt 2)
Verder moet het gebruik nodig zijn om een overeenkomst uit te voeren (een quitclaim, deelnemersovereenkomst, arbeidsovereenkomst of overeenkomst van opdracht) of om uitvoering te geven aan de gebruikelijke bedrijfsactiviteiten (zoals, productie en exploitatie van het programma).
Indien hiervan sprake is, dan is toestemming van de betreffende persoon voor dit soort gebruik niet nodig.
LET OP: Voor het verwerken van gevoelige en/of bijzondere gegevens moet wel altijd uitdrukkelijke voorafgaande toestemming zijn verkregen van de betreffende persoon. Deze toestemming moet schriftelijk zijn gegeven. Toestemming vragen kan bijvoorbeeld per e-mail (in de e-mail waarbij je de gegevens vraagt). Let wel dat deze toestemming ook op ieder moment kan worden ingetrokken tenzij er sprake is van een journalistieke of artistieke exceptie( zie onder punt 4).
Voor de verwerking van persoonsgegevens van minderjarigen onder de 16 jaar is altijd instemming van de ouders/voogd noodzakelijk.
LET OP: In quitclaims of deelnemersovereenkomsten wordt ook altijd toestemming gevraagd voor het maken van beeld-en geluidsopnamen en voor de uitzending en verdere openbaarmaking daarvan. Deze toestemming is gebaseerd op de Auteurswet en/of de Wet op de Naburige Rechten. Bij deze wetgeving geldt dat bij minderjarigen onder de 18 jaar altijd instemming van de ouders/voogd noodzakelijk is.
Neem contact op met Pieter Klok als je twijfelt of voorafgaande toestemming voor een verwerking vereist is.
- Wat moet ik de persoon waarvan ik informatie krijg vertellen?
Je dient deze persoon te vertellen waarom en voor welk doel zijn gegevens worden verzameld en gebruikt (zie ook punt 2), met wie deze (mogelijk) worden gedeeld en hoe ze worden bewaard. Ook moet je wijzen op het recht van inzage, correctie en verwijdering van onjuiste of overbodige gegevens en of wij van mening zijn dat er sprake is van de journalistieke/artistieke exceptie.
BELANGRIJK! Indien er sprake is van een journalistieke- en/of artistieke uitdrukkingsvorm, in het bijzonder audiovisuele producties dien je de betrokkene te informeren dat HF zich op het standpunt stelt dat op grond van artikel 85 AVG jo. artikel 43 UAVG een aantal bepalingen uit de AVG niet van toepassing is Dit geldt onder meer met betrekking tot het hoofdstuk uit de AVG met betrekking tot de rechten van betrokkenen.. Dit betekent onder meer dat deelnemer aan de productie, in ieder geval ten aanzien van in de productie verwerkte persoonsgegevens, deze rechten niet kan uitoefenen en ook zijn toestemming niet kan intrekken. In de overeenkomsten/quitclaims is een bepaling opgenomen om deze personen hierover te informeren.
- Persoonsgegevens delen met derden
Je mag persoonsgegevens niet zomaar verstrekken aan derden. Dit mag alleen indien:
- dit in lijn is met het doel waarvoor je ze hebt verzameld (zie punt 2) en ter uitvoering is van reguliere bedrijfsactiviteiten. (Hier kan worden gedacht aan het verstrekken van gegevens aan een payroll organisatie die de salaris betalingen uitvoert, of het ter beschikking stellen van kandidaat gegevens aan een zender in het kader van de exploitatie van een programma)
of
- indien daarvoor de voorafgaande toestemming verkregen is van degene van wie de persoonsgegevens worden verstrekt.
LET OP: Indien je persoonsgegevens verstrekt aan een derde dan dien je hiertoe wel altijd een bewerkersovereenkomst met deze derde te sluiten, ofwel in ieder geval zal je deze derde uitdrukkelijk moeten instrueren op welke wijze de persoonsgegevens gebruikt mogen worden. Dit geldt ook voor het doorgeven van kandidaat gegevens voor gebruik door een zender.
LET OP: Indien je persoonsgegevens doorgeeft voor verwerking door een derde die gevestigd is buiten de EU moet je hiervan melding maken aan je leidinggevende. Dat is ook het geval bij cloud providers. Dan zullen extra maatregelen moeten worden genomen om te zorgen dat zorgvuldig met deze gegevens wordt omgegaan.
- Bewaren en vernietigen Persoonsgegevens
- Alle (digitale) persoonsgegevens mogen slechts beperkt toegankelijk zijn voor en ten behoeve van degene voor wie toegang noodzakelijk is in de uitvoering van zijn/haar werkzaamheden. Bij bijzondere persoonsgegevens dien je hier uiterst zorgvuldig mee om te gaan. Dit is ook van toepassing indien de gegevens zijn gearchiveerd.
- Persoonsgegevens (in hard-copy en digitale bestanden) die niet langer nodig zijn (met betrekking tot producties bijvoorbeeld indien een kandidaat niet door de selectie is gekomen, en in algemene zin bijvoorbeeld bij een sollicitant die is afgewezen) dienen zo snel te worden vernietigd, tenzij er een reden is om deze te bewaren; zie hieronder.
- Gegevens die niet langer gebruikt hoeven te worden (zoals na afsluiting van een productie), mogen (hard-copy en/of digitaal) uitsluitend worden bewaard/gearchiveerd indien die noodzakelijk zijn om te behouden voor (een van de) hierna genoemde doeleinden:
- documenten die een rechtenoverdracht bevatten (zoals quitclaims, deelnemersovereenkomsten) en noodzakelijk zijn voor toekomstige exploitatie van het programma;
- overeenkomsten op basis waarvan is uitbetaald (fiscale bewaartermijn van 7 jaar); en/of
- gegevens die in de toekomst wellicht nodig zijn in verband met claims / een gerechtelijke procedure (ten behoeve van bewijspositie). In dit geval kunnen bijzondere persoonsgegevens ook worden bewaard zoals medische gegevens, strafrechtelijke informatie (maar dat is de enige uitzondering!).
Als bewaren niet langer nodig is moet je deze persoonsgegevens (digitaal en hard-copy) vernietigen. Gebruik voor de hard-copy documenten een shredder of een vuilcontainer die voorzien is van een slot.
Hard copy documenten en informatie die bewaard moet worden dien je in een afgesloten ruimte of kast te te archiveren. Digitale bestanden die moeten worden behouden, moeten worden bewaard in een beveiligde en versleutelde omgeving. Overleg hierover met je direct leidinggevende.
- Mag ik een kopie paspoort maken?
Nee. Het is niet toegestaan om een kopie paspoort te maken of te vragen, tenzij daarvoor een wettelijke grond bestaat (bijvoorbeeld bij een arbeidsovereenkomst) of tenzij met toestemming van de paspoorteigenaar én indien dit noodzakelijk is. Indien uitsluitend een paspoort voor identificatie van iemand wordt gebruikt (zoals om te verifiëren dat de ondertekenaar echt die persoon is) dan is het tonen van het paspoort voldoende en is een kopie niet noodzakelijk dus niet toegestaan.
NB: Op basis van afspraken met de belastingdienst, is het de praktijk om bij producties een kopie paspoort te vragen voor de IB 47 opgave of andere belastingaangifte ter verificatie van de juiste gegevens en ter bewijs dat wij over de juiste gegevens beschikken. Het maken van of vragen naar een kopie paspoort is op de huidige wijze voor het huidige doel niet mogelijk. In het kader van een quitclaim en voor het doen van een IB 47 opgave en belastingaangifte zijn uitsluitend de NAW gegevens, BSN nummer, geboortedatum en de handtekening vereist. Het paspoort bevat echter ook een pasfoto, geboorteplaats, nationaliteit etc., welke gegevens niet verwerkt mogen worden voor het doel zoals hiervoor weergegeven.
Er zijn twee concrete opties:
- Je kunt de gegevens op juistheid en volledigheid controleren.
en/of - Je vraagt een kopie paspoort gevraagd maar je verzoekt om alle gegevens behalve de naam geboortedatum en handtekening te anonimiseren/zwart te maken (het BSN-nummer mag uitsluitend zichtbaar blijven als het gaat om uitbetaling).
- Websites – Apps
Indien je een website of App wil maken/bouwen die door HF wordt beheerd, neem daarvoor dan contact op met Pieter Klok. Hij/zij kan waarborgen dat de benodigde beveiliging wordt geïmplementeerd en regels worden nageleefd.
Indien een website extern wordt gehost dan kan het afsluiten van een bewerkersovereenkomst noodzakelijk zijn.
- Wat moet ik doen bij inbreuken op de beveiliging (datalek)?
HF is verplicht persoonsgegevens goed te beveiligen. Wanneer een derde, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, toch die informatie in handen krijgen, is er sprake van een datalek. Denk hierbij aan:
- de servers worden gehackt en persoonsgegevens wordt gestolen;
- een medewerker verliest een smartphone, laptop of usb-stick met persoonsgegevens of deze wordt gestolen;
- een e-mail met persoonsgegevens wordt verzonden naar een verkeerd e-mail adres;
- een (geprinte) lijst met klantgegevens wordt gestolen;
- een envelop met financiële gegevens wordt vergeten in de trein.
HF is verplicht om ernstige lekken zo snel mogelijk aan de Autoriteit Persoonsgegevens (en soms ook aan de personen zelf) te melden, bijvoorbeeld als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig) zoals inloggegevens, financiële gegevens, kopieën van identiteitsbewijzen, gegevens die betrekking hebben op levensovertuiging of medische gegevens.
Of melding noodzakelijk is zal worden bepaald door Pieter Klok. Jij bent dus gehouden om iedere vorm van datalekken te melden bij je leidinggevende. Als er een meldplicht is, moet HF daaraan zo snel mogelijk voldoen. Informeer je leidinggevende daarom altijd direct en maximaal binnen 48 uur na het ontdekken van het datalek en vermeld daarbij:
- Wanneer en waar het datalek/incident heeft plaatsgevonden;
- Wat voor soort datalek het betreft (hack, gestolen laptop, verloren usb stick etc.);
- Om welke persoonsgegevens het gaat (bijvoorbeeld NAW gegevens, financiële of medische gegevens);
- Van wie de persoonsgegevens zijn;
- Hoe de gegevens waren beveiligd (password, versleuteld etc.).
CHECKLIST VOOR MEDEWERKERS VOOR VERANTWOORD GEBRUIK VAN PERSOONSGEGEVENS
- Verwerk je persoonsgegevens? Zo ja, is de betreffende persoon schriftelijk op de hoogte gesteld voor welke doeleinden je deze gegevens verzamelt en wilt gebruiken?
- Verwerk je bijzondere/gevoelige persoonsgegevens? Zo ja, heb je ook schriftelijke toestemming van de betreffende persoon om die gegevens verder te verwerken?
- Persoonsgegevens mogen alleen beschikbaar en toegankelijk zijn voor degenen voor wie dit noodzakelijk is in de uitvoering van zijn/haar werkzaamheden. LET HIER IN HET BIJZONDER OP INDIEN JE GEVOELIGE/ BIJZONDERE PERSOONSGEGEVENS VERWERKT. Tref hiervoor de benodigde beveiligingsmaatregelen.
- Laat documenten met persoonsgegevens niet rondslingeren op je bureau als je niet op je kamer bent.
- Sluit je werkruimte indien mogelijk af aan het eind van de dag.
- Alle hard-copy documenten die gevoelige en/of bijzondere persoonsgegevens bevatten (zoals medische, financiële of justitiële gegevens), moeten altijd achter slot en grendel in een kast of ladeblok worden bewaard.
- Is jouw computer, laptop en telefoon beveiligd met een password? Zorg daarvoor en update dit password regelmatig.
- Heb je toegang tot digitale gegevens zoals medische en financiële informatie en andere gevoelige gegevens waarvan het uitlekken (grote) schade kan veroorzaken, dan MOET deze informatie worden opgeslagen in een omgeving waarin de informatie versleuteld is en beveiligd is met een firewall. Het is echter het beste zoveel mogelijk alle persoonsgegevens zo veilig mogelijk te bewaren.
- Stuur geen bestanden of e-mails met persoonsgegevens vanuit of naar jouw privé e-mail adres of het privé e-mail adres van derden.
- Sla documenten die persoonsgegevens bevatten niet extern (zoals Apple icloud, dropbox) of op een privé computer/laptop op.
- Wees voorzichtig met het openen van onbekende e-mails en attachments, en met het bezoeken van onbekende websites, om virussen te voorkomen.
- Kunnen bezoekers en/of gasten op jouw kantoor, toegang krijgen tot of inzicht verkrijgen in persoonsgegevens die jij tot je beschikking hebt? Zo ja, neem daar dan maatregelen tegen.
- Laat printjes niet liggen bij de printer.
- Let op met het voeren van gesprekken in openbare ruimtes, waar dit ook (gevoelige) persoonsgegevens betreft.