Privacybeleid

AVG Beleid (Privacyreglement) BreedSuccess®

1.1. Inleiding

BreedSuccess® hecht de grootste waarde aan de bescherming van de privacy en persoonsgegevens van haar deelnemers, medewerkers, partners en andere betrokkenen. Wij behandelen persoonsgegevens met de grootst mogelijke zorgvuldigheid en conform de Algemene Verordening Gegevensbescherming (AVG) en aanverwante wetgeving.
Dit privacyreglement beschrijft hoe BreedSuccess® omgaat met persoonsgegevens.

1.2. Principes van de AVG

BreedSuccess® verwerkt persoonsgegevens conform de volgende beginselen van de AVG:

  1. Rechtmatigheid, behoorlijkheid en transparantie:
    Gegevens worden alleen verwerkt op basis van een geldige wettelijke grondslag, op een eerlijke en transparante wijze.
  2. Doelbinding:
    Gegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder verwerkt op een met die doeleinden onverenigbare wijze.
  3. Minimale gegevensverwerking (dataminimalisatie):
    Alleen gegevens die strikt noodzakelijk zijn voor het doel worden verwerkt.
  4. Juistheid:
    Persoonsgegevens zijn nauwkeurig en worden waar nodig geactualiseerd.
  5. Opslagbeperking:
    Gegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt.
  6. Integriteit en vertrouwelijkheid:
    Gegevens worden verwerkt op een manier die passende beveiliging waarborgt, inclusief bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met gebruikmaking van passende technische of organisatorische maatregelen.

1.3. Definities

  • Persoonsgegevens: Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
  • Verwerking: Elk aspect van gegevensbeheer, zoals verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, wissen of vernietigen.
  • Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
  • Verwerkingsverantwoordelijke: BreedSuccess®, die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
  • Verwerker: Een natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan die ten behoeve van BreedSuccess® persoonsgegevens verwerkt (bijv. IT-dienstverlener, salarisadministrateur).
  • Functionaris Gegevensbescherming (FG): De persoon die intern toezicht houdt op de naleving van de AVG binnen BreedSuccess®.

1.4. Grondslagen voor Gegevensverwerking

BreedSuccess® verwerkt persoonsgegevens uitsluitend op basis van een van de volgende wettelijke grondslagen:

  1. Toestemming:
    De betrokkene heeft expliciet toestemming gegeven voor de verwerking. Voor minderjarigen is dit toestemming van de wettelijke vertegenwoordiger.
  2. Overeenkomst:
    De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen (bijv. uitvoering van begeleidingstraject).
  3. Wettelijke verplichting:
    De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting (bijv. fiscale verplichtingen, identificatieplicht).
  4. Vitale belangen:
    De verwerking is noodzakelijk om vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen (zeer uitzonderlijk).
  5. Algemeen belang/Openbaar gezag:
    De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in de uitoefening van openbaar gezag (bijv. contracten met gemeenten).
  6. Gerechtvaardigd belang:
    De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van BreedSuccess® of een derde, tenzij de belangen of grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen (bijv. fraudealertheid).

1.5. Doeleinden van de Gegevensverwerking

BreedSuccess® verwerkt persoonsgegevens voor de volgende doeleinden:

  • Het uitvoeren van de begeleidingstrajecten conform de Groeicyclus-methodiek en begeleiding naar zelfstandig ondernemerschap.
  • Het beheren van cliëntdossiers en het monitoren van de voortgang.
  • Het voldoen aan wettelijke verplichtingen (bijv. rapportage aan subsidiegevers, financiële administratie).
  • Het onderhouden van contacten met opdrachtgevers, partners en andere betrokkenen.
  • Werving en selectie van eigen en extern personeel en beheer van personeelsdossiers.
  • Het verbeteren van de dienstverlening en methodiek (geanonimiseerd/pseudoniem).
  • Marketing- en communicatiedoeleinden (met expliciete toestemming).
  • Het afhandelen van klachten en geschillen.

1.6. Categorieën Persoonsgegevens

BreedSuccess® verwerkt diverse categorieën persoonsgegevens, waaronder:

  • Identificatiegegevens: Naam, adres, woonplaats, geboortedatum, contactgegevens (telefoon, e-mail), BSN en of legitimatienummer.
  • Financiële gegevens: Bankrekeningnummer, inkomensgegevens (indien relevant voor traject).
  • Onderwijs- en werkgerelateerd gegevens: Opleidingen, werkervaring, sollicitatiehistorie.
  • Gezondheidsgegevens (bijzondere categorie): Indien relevant voor de begeleiding en met expliciete toestemming (bijv. medische achtergrond, diagnoses).
  • Gedragsgegevens: Voortgang in traject, gedragsanalyses (indien relevant voor methodiek), reflecties.
  • Zingeving/levensbeschouwing (bijzondere categorie): Indien door de betrokkene gedeeld en relevant voor de persoonsgerichte begeleiding, met expliciete toestemming.
  • BSN: Uitsluitend indien wettelijk verplicht (bijv. voor arbeidsovereenkomsten).

1.7. Verwerking van Bijzondere en Strafrechtelijke Persoonsgegevens

De verwerking van bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens, religie/levensovertuiging) en strafrechtelijke persoonsgegevens geschiedt uitsluitend onder strikte voorwaarden en met de meest passende waarborgen, conform de AVG. Dit omvat:

  • Expliciete toestemming: Indien geen andere wettelijke grondslag van toepassing is, wordt altijd expliciete, vrije, specifieke en geïnformeerde toestemming van de betrokkene (of diens wettelijke vertegenwoordiger) verkregen.
  • Noodzakelijkheid: De verwerking is strikt noodzakelijk voor de uitvoering van het begeleidingstraject.
  • Professionele geheimhoudingsplicht: Medewerkers die toegang hebben tot deze gegevens zijn gebonden aan een professionele geheimhoudingsplicht.
  • Beveiliging: Extra technische en organisatorische beveiligingsmaatregelen worden getroffen.

1.8. Delen van Persoonsgegevens met Derden

BreedSuccess® deelt persoonsgegevens alleen met derden indien:

  • Dit noodzakelijk is voor de uitvoering van de overeenkomst met de betrokkene (bijv. met een stagebedrijf).
  • Hiervoor expliciete toestemming van de betrokkene is verkregen.
  • Er een wettelijke verplichting bestaat.
  • BreedSuccess® een gerechtvaardigd belang heeft.

In alle gevallen worden gegevens alleen gedeeld met partijen die aantoonbaar AVG-compliant zijn. Met verwerkers wordt een verwerkersovereenkomst afgesloten die de verwerking en beveiliging van de gegevens borgt.

1.9. Beveiliging van Persoonsgegevens

BreedSuccess® neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, diefstal, misbruik, ongeautoriseerde toegang, openbaarmaking, wijziging of vernietiging. Dit omvat onder andere:

  • Toegangscontroles en autorisatiebeheer.
  • Encryptie en pseudonimisering waar mogelijk.
  • Fysieke beveiliging van archieven.
  • Netwerk- en softwarebeveiliging (firewalls, antivirus, patches).
  • Back-up- en herstelprocedures.
  • Periodieke beveiligingsaudits.
  • Beveiligingsbewustzijn van medewerkers.

1.10. Bewaartermijnen

Persoonsgegevens worden niet langer bewaard dan strikt noodzakelijk voor de doeleinden waarvoor zij zijn verzameld en om te voldoen aan wettelijke bewaartermijnen. De specifieke bewaartermijnen worden vastgelegd in de procedure voor gegevensbeheer.

1.11. Rechten van Betrokkenen

Betrokkenen hebben de volgende rechten met betrekking tot hun persoonsgegevens:

  1. Recht op informatie: Het recht om te weten welke gegevens worden verwerkt en waarom.
  2. Recht op inzage: Het recht om de verwerkte persoonsgegevens in te zien.
  3. Recht op rectificatie: Het recht om onjuiste gegevens te laten corrigeren.
  4. Recht op gegevenswissing (‘recht op vergetelheid’): Het recht om in bepaalde gevallen gegevens te laten verwijderen.
  5. Recht op beperking van de verwerking: Het recht om de verwerking van gegevens tijdelijk stil te zetten.
  6. Recht op overdraagbaarheid (dataportabiliteit): Het recht om gegevens in een gestructureerd, gangbaar en machine leesbaar formaat te ontvangen.
  7. Recht van bezwaar: Het recht om bezwaar te maken tegen de verwerking van persoonsgegevens.
  8. Recht om toestemming in te trekken: Indien de verwerking gebaseerd is op toestemming, kan deze te allen tijde worden ingetrokken.

Verzoeken met betrekking tot deze rechten kunnen schriftelijk worden ingediend bij de Functionaris Gegevensbescherming (FG) van BreedSuccess®. BreedSuccess® zal binnen één maand na ontvangst van het verzoek reageren.

1.12. Datalekken

In geval van een datalek (een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens), zal BreedSuccess® onmiddellijk actie ondernemen. Datalekken die een risico inhouden voor de rechten en vrijheden van betrokkenen worden gemeld bij de Autoriteit Persoonsgegevens (AP) en, indien noodzakelijk, aan de betrokkenen zelf, conform de wettelijke verplichtingen.

1.13. Functionaris Gegevensbescherming (FG)

BreedSuccess® heeft een Functionaris Gegevensbescherming (FG) aangesteld, die onafhankelijk toezicht houdt op de naleving van de AVG en fungeert als aanspreekpunt voor betrokkenen en de Autoriteit Persoonsgegevens.

  • Contact FG: avg@breedsuccess.nl

1.14. Wijziging van het Privacyreglement

Dit privacyreglement kan worden gewijzigd. Wijzigingen zullen via de website van BreedSuccess® en/of interne communicatiekanalen worden bekendgemaakt.

Procedure voor Gegevensbeheer BreedSuccess®

Deze procedure beschrijft de concrete stappen en verantwoordelijkheden voor het beheer van persoonsgegevens binnen BreedSuccess®, van verzameling tot vernietiging.

2.1. Verantwoordelijkheden

  • Bestuur: Eindverantwoordelijk voor de naleving van het AVG beleid en de beschikbaarheid van middelen.
  • Functionaris Gegevensbescherming (FG): Onafhankelijke toezichthouder, adviseur, contactpersoon AP.
  • Projectcoördinator: Verantwoordelijk voor de naleving van de procedure binnen het begeleidingsteam.
  • Begeleiders: Verantwoordelijk voor correcte en minimale vastlegging van gegevens in dossiers en naleving van het beleid in de dagelijkse praktijk.
  • Serviceteam (Administratie, HR, Finance): Verantwoordelijk voor correcte verwerking en beveiliging van gegevens in hun respectievelijke systemen.
  • Alle medewerkers: Verplicht tot geheimhouding en naleving van alle beveiligingsmaatregelen.

2.2. Gegevensverzameling

  • Minimalisatie: Verzamel alleen de strikt noodzakelijke persoonsgegevens voor het beoogde doel.
  • Transparantie: Informeer betrokkenen helder en volledig over het doel van de gegevensverzameling, de bewaartermijn, met wie gegevens worden gedeeld en hun rechten, bij voorkeur middels een privacyverklaring.
  • Toestemming: Verkrijg expliciete, vrije, specifieke en geïnformeerde toestemming wanneer dit de grondslag is (bijv. voor bijzondere persoonsgegevens). Leg deze toestemming aantoonbaar vast.
  • Bronnen: Gegevens worden primair verzameld via de betrokkene zelf, verwijzers (met toestemming van betrokkene), of openbare bronnen indien relevant en rechtmatig.

2.3. Gegevensopslag en Beveiliging

  • Centraal CRM-systeem: Alle cliëntgegevens worden primair opgeslagen in het beveiligde (cloud-based) CRM-systeem van BreedSuccess®. Dit systeem voldoet aan hoge beveiligingsstandaarden (ISO 27001, NEN 7510 indien van toepassing voor gezondheidsdata).
  • Fysieke dossiers: Indien er tijdelijk fysieke documenten zijn, worden deze direct gedigitaliseerd en vervolgens vernietigd, tenzij wettelijk anders vereist. Fysieke documenten worden altijd opgeslagen in afgesloten kasten in afgesloten ruimtes.
  • Toegangsbeheer:
    • Toegang tot systemen en dossiers is strikt beperkt tot medewerkers die de gegevens nodig hebben voor de uitvoering van hun functie (need-to-know basis).
    • Autorisatieniveaus worden periodiek gecontroleerd en bijgewerkt.
    • Sterke wachtwoordbeleid en multi-factor authenticatie (MFA) zijn verplicht.
  • Netwerkbeveiliging: Gebruik van firewalls, antivirussoftware, inbraakdetectiesystemen en regelmatige software-updates.
  • Encryptie: Gevoelige gegevens worden waar mogelijk versleuteld, zowel in opslag als tijdens transport.
  • Back-up en Herstel: Regelmatige, geautomatiseerde back-ups worden gemaakt en veilig opgeslagen. Herstelprocedures worden periodiek getest.
  • Locatie Data: Data wordt primair opgeslagen binnen de EU/EER.

2.4. Gegevensgebruik en Verwerking

  • Doelbinding: Gegevens worden alleen gebruikt voor de doeleinden waarvoor ze zijn verzameld.
  • Verwerking door medewerkers: Medewerkers verwerken gegevens conform de ‘need-to-know’ basis. Zij zijn gebonden aan geheimhouding.
  • Rapportage: Rapportages worden waar mogelijk gepseudonimiseerd of geaggregeerd. Individuele persoonsgegevens worden alleen gerapporteerd indien dit strikt noodzakelijk is en met expliciete toestemming.

2.5. Gegevensdeling (Intern en Extern)

  • Intern: Gegevens worden alleen gedeeld tussen afdelingen als dit noodzakelijk is voor de uitvoering van de werkzaamheden en de begeleiding van de betrokkene.
  • Extern:
    • Met toestemming: Voor het delen met bijvoorbeeld stagebedrijven of opleidingen, wordt voorafgaand schriftelijke toestemming van de betrokkene verkregen.
    • Met Verwerkers: Met externe partijen die gegevens namens BreedSuccess® verwerken (bijv. clouddienstverleners, salarisadministratie) wordt een Verwerkersovereenkomst afgesloten conform AVG artikel 28. Hierin worden de instructies, beveiligingsmaatregelen en verantwoordelijkheden vastgelegd.
    • Wettelijke verplichting: Alleen delen indien hiertoe een wettelijke verplichting bestaat en dit expliciet is aangevraagd door een bevoegde instantie.
    • Geanonimiseerd/Pseudoniem: Voor onderzoeks- of statistische doeleinden worden gegevens waar mogelijk geanonimiseerd of gepseudonimiseerd.

 2.6. Gegevensbewaring en Archivering

  • Bewaartermijnen:
    • Cliëntdossiers: Bewaartermijn van 7 jaar na afronding van het traject, tenzij wettelijk anders voorgeschreven (bijv. 7 jaar fiscale bewaarplicht voor financiële delen).
    • Personeelsdossiers: Conform wettelijke bewaartermijnen (bijv. 2 jaar na uitdiensttreding voor sollicitatiegegevens, 5 jaar voor loonheffingsgegevens, 7 jaar voor fiscale gegevens).
    • Financiële gegevens: 7 jaar conform fiscale bewaarplicht.
    • Algemene contactgegevens: Zolang relevant voor de relatie, daarna geanonimiseerd of verwijderd.
  • Archivering: Na afloop van de actieve bewaartermijn, worden de gegevens gearchiveerd (indien wettelijk vereist) of veilig vernietigd.

2.7. Gegevensvernietiging

  • Digitale gegevens: Permanent wissen van gegevens van alle systemen en back-ups, zodanig dat reconstructie onmogelijk is.
  • Fysieke gegevens: Versnipperen of op andere wijze vernietigen van fysieke documenten, zodat deze onleesbaar zijn.

2.8. Datalekken Procedure

  1. Directe Actie: Bij constatering of vermoeden van een datalek direct melden aan de Functionaris Gegevensbescherming (FG) via avg@breedsuccess.nl /telefoonnummer 088-4049144.
  2. Onderzoek: De FG onderzoekt de aard en omvang van het datalek, de mogelijke gevolgen en de genomen herstelmaatregelen.
  3. Melding Autoriteit Persoonsgegevens (AP): Indien het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen, meldt de FG dit binnen 72 uur na ontdekking aan de AP.
  4. Melding Betrokkenen: Indien het datalek een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, informeert de FG de betrokkenen hierover zonder onnodige vertraging.
  5. Documentatie: Alle datalekken, inclusief genomen maatregelen en overwegingen, worden intern gedocumenteerd.
  6. Preventieve Maatregelen: Op basis van het datalek worden preventieve maatregelen genomen om herhaling te voorkomen.

 2.9. Omgaan met Rechten van Betrokkenen

  1. Verzoek Indienen: Betrokkenen kunnen hun rechten uitoefenen door een schriftelijk verzoek in te dienen bij de FG.
  2. Identiteitsverificatie: De FG verifieert de identiteit van de aanvrager om te voorkomen dat gegevens aan onbevoegden worden verstrekt.
  3. Afhandelingstermijn: Verzoeken worden uiterlijk binnen één maand na ontvangst afgehandeld. Indien nodig kan deze termijn met twee maanden worden verlengd, met voorafgaande communicatie hierover.
  4. Registratie: Alle verzoeken en de afhandeling hiervan worden geregistreerd.

2.10. Toezicht en Evaluatie

  • Interne Audits: De FG voert periodiek interne audits uit om de naleving van het AVG beleid en de procedures te controleren.
  • Privacy Impact Assessment (PIA)/Gegevensbeschermingseffectbeoordeling (GEB): Voor nieuwe projecten of systemen die een hoog privacy risico met zich meebrengen, wordt een GEB uitgevoerd om risico’s in kaart te brengen en passende maatregelen te nemen.
  • Training en Bewustzijn: Alle medewerkers ontvangen periodiek training over privacywetgeving en -beleid.
  • Beleidsherziening: Dit AVG beleid en de procedure voor gegevensbeheer worden minimaal jaarlijks geëvalueerd en waar nodig bijgesteld.

2.11. Toegankelijkheid van het Klachtenreglement en de Algemene voorwaarden:
       Voor inzage zijn het Klachtenreglement en de Algemene Voorwaarden voor
      eenieder beschikbaar, onder andere via onze website, www.breedsuccess.nl.
      Cliënten van BreedSuccess® ontvangen het Klachtenreglement samen met hun
      aanmeldformulier, ter goedkeuring zoals vastgelegd in het Procedure
      Begeleidingsplan. Voor de medewerkers van BreedSuccess® zijn deze als bijlagen
      opgenomen in het personeelshandboek van BreedSuccess®. 

Geheimhouding

Wij zijn niet verantwoordelijk voor de privacy van gegevens die worden verzameld door websites die geen eigendom zijn van of beheerd worden door BreedSuccess, met inbegrip van websites die via onze website zijn gelinkt.