Privacy beleid NJR mei 2018

Inleiding

NJR vindt het erg belangrijk om de persoonsgegevens van haar medewerkers, vrijwilligers, stagiaires, lidorganisaties, partners en andere relaties te beschermen. Persoonsgegevens worden door NJR dan ook zo zorgvuldig mogelijk behandeld en beveiligd. Natuurlijk houdt NJR zich dan ook in alle gevallen aan de voor haar relevante wet- en regelgeving.

In dit privacybeleid is omschreven hoe en waarom NJR welke soort persoonsgegevens registreert, verwerkt en bewaart. Zo snap je precies hoe wij werken. Het privacybeleid omvat alle offline en online systemen waarin persoonsgegevens voorkomen en is van toepassing op alle bij NJR aangesloten organisatieonderdelen. Wij respecteren de privacy van alle betrokkenen van onze offline en online diensten en we dragen er zorg voor dat de persoonsgegevens die jij ons verschaft vertrouwelijk worden behandeld. NJR is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in dit privacybeleid.

Verwerking van persoonsgegevens

Omdat je gebruik maakt van onze online en offline diensten, verwerkt NJR persoonsgegevens doordat jij jouw gegevens zelf aan ons verstrekt voor doelen die onze relatie en onze werkzaamheden ten behoeve van onze relatie ten goede zal komen. Hieronder tref je een overzicht van de persoonsgegevens die wij, gezien de aard van onze relatie, mogelijk verwerken:

  • Voor- en achternaam
  • Geslacht
  • Geboortedatum
  • Geboorteplaats
  • Adresgegevens
  • Telefoonnummer
  • Foto(‘s)
  • E-mailadres
  • IP-adres
  • Overige persoonsgegevens die jij of een organisatie waar je bij verbonden bent actief verstrekt, bijvoorbeeld door gegevens op één van onze online diensten te verstrekken, via (elektronische) correspondentie, via de telefoon en/of in persoon
  • (Persoons)gegevens die een organisatie actief verstrekt waar jij aan verbonden bent en/ of een organisatie in jouw naam en ten behoeve van een doel dat jou en/of de organisatie ten goede komt
  • Gegevens over jouw surfgedrag op onze online diensten
  • Lijst met contactgegevens van betrokkenen via één van onze online diensten
  • Bankrekeningnummer
  • Een kopie van een identiteitsbewijs
  • Curriculum vitae
  • Verklaring Omtrent Gedrag (VOG)

Bijzondere en/of gevoelige persoonsgegevens die wij verwerken

Op basis van onze relatie en mits je deze persoonsgegevens zelf aan ons verstrekt kunnen wij de volgende bijzondere en/of gevoelige persoonsgegevens van jou verwerken:

  • Lidmaatschap van een andere organisatie.
  • Persoonsgegevens die iets zeggen over jouw gezondheid of herleid kunnen worden naar jouw gezondheid.
  • Persoonsgegevens van personen jonger dan 16 jaar. Onze online diensten hebben niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar indien dat niet relevant is voor onze werkzaamheden en de aard van onze werkzaamheden, tenzij deze jongeren aan hun verzorgers hiervoor om toestemming hebben gevraagd. We kunnen echter niet controleren of een websitebezoeker op één van onze online diensten ouder dan 16 jaar is en zijn derhalve niet aansprakelijk voor het verwerken van onjuiste informatie die via één van onze online diensten aan ons is verstrekt. Wij raden verzorgers van jongeren onder de 16 jaar aan om betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder toestemming van hun verzorgers. Als je ervan overtuigd bent dat wij zonder die toestemming persoonsgegevens hebben verzameld over een jongere die niet ouder dan 16 jaar is, neem dan contact met ons op via [email protected].
  • Burgerservicenummer (BSN).

Met welk doel en op basis van welke redenen wij persoonsgegevens verwerken

Op basis van onze relatie en mits je deze persoonsgegevens zelf aan ons verstrekt kunnen wij jouw persoonsgegevens voor de volgende doelen verwerken:

  • Het afhandelen van een betaling.
  • Het delen van post, een update, een nieuwsbrief of een andere vorm van het delen van informatie
  • die het doel ervan redelijkerwijs rechtvaardigt.
  • Je te kunnen bellen en/of e-mailen indien dit nodig is om onze dienstverlening en werkzaamheden goed uit te kunnen voeren.
  • Je te informeren over wijzigingen die te maken hebben met onze relatie en onze werkzaamheden.
  • Om goederen en diensten bij je af te leveren.
  • We kunnen jouw gedrag analyseren op één van onze online diensten om daarmee onze (online) diensten te verbeteren en ons werk(zaamheden) af te stemmen op jouw voorkeuren.
  • We verwerken persoonsgegevens als wij hiertoe wettelijk verplicht zijn.

Rechten van betrokkenen

Individuen met wie wij direct of indirect een relatie mee hebben, willen krijgen of hebben gehad hebben rechten waar zij een beroep op mogen doen. Deze betrokkenen hebben verschillende rechten die zij kunnen uitoefenen. Betrokkenen mogen te allen tijde een verzoek bij ons indienen om hun rechten uit te oefenen. Betrokkenen beschikken over de volgende rechten:

Het recht op informatie

We doen er alles aan om individuen die met ons een relatie hebben, hadden of met ons aangaan op de hoogte te stellen van het feit dat wij hun, waarom en hoe wij persoonsgegevens verwerken, tenzij wij redelijkerwijs hiertoe niet in staat waren, redelijkerwijs hiertoe geen aanleiding zien of van plan waren dit te doen op een moment dat redelijkerwijs gepast is.

Het recht op dataportabiliteit

Dit recht houdt in dat de betrokkene het recht heeft om de persoonsgegevens die wij van de betrokkene hebben in een gestructureerd, gangbaar en machine leesbaar formaat te verkrijgen. Daarnaast biedt dit recht de betrokkene de mogelijkheid om op een eenvoudige manier zijn of haar persoonsgegevens van de ene IT- omgeving naar de andere IT-omgeving te verplaatsen, te kopiëren of door te sturen. Om beroep te doen op dit recht dient de betrokkene bij ons een verzoek in te dienen.

Het recht op vergetelheid

Dit recht houdt in dat betrokkenen een verzoek mogen indienen om vergeten te worden, dus om de persoonsgegevens die wij van hen hebben door ons te laten verwijderen. In een aantal gevallen dienen wij persoonsgegevens te wissen als de betrokkene daarom vraagt. In de volgende situaties heeft de betrokkene recht op vergetelheid:

  • Als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt.
  • Als de betrokkene zijn of haar eerder gegeven toestemming aan de organisatie voor het gebruik van zijn gegevens intrekt.
  • Als de betrokkene bezwaar maakt tegen de verwerking.
  • Als de persoonsgegevens onrechtmatig zijn verwerkt.
  • Als wij wettelijk verplicht bent om de gegevens na een bepaalde tijd te wissen.
  • Als de betrokkene jonger is dan zestien jaar en de persoonsgegevens zijn verzameld via bijvoorbeeld een app of website zonder de toestemming van de verzorgers van de betrokkene.

Het recht op vergetelheid geldt niet indien er sprake is van het verwerken van persoonsgegevens in de context van één of meerdere van de volgende omstandigheden:

  • Als onze verwerking van persoonsgegevens noodzakelijk is om het recht op vrijheid van meningsuiting en informatie uit te kunnen oefenen.
  • Als wij persoonsgegevens verwerken omdat we een wettelijke verplichting hebben om dit te doen.
  • Als we persoonsgegevens verwerken om openbaar gezag of een (wettelijk vastgestelde) taak van algemeen belang uit te oefenen.
  • Als we persoonsgegevens verwerken voor een taak van algemeen belang op het gebied van de volksgezondheid.
  • Als we persoonsgegevens in het algemeen belang dienen te archiveren.
  • Als de persoonsgegevens noodzakelijk zijn voor een rechtsvordering.

Het recht op inzage

Betrokkenen hebben het recht om hun persoonsgegevens die wij van hen verwerken in te zien. Indien er sprake is van een dergelijk verzoek, laten wij altijd weten waarom wij de persoonsgegevens verwerken, welke soort persoonsgegevens wij verzamelen, indien van toepassing: aan welke organisaties en/of organisatieonderdelen wij de persoonsgegevens doorsturen, hoe lang wij de persoonsgegevens bewaren, welke privacy rechten betrokkenen hebben, dat betrokkenen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens, indien van toepassing: van welke organisatie en/of organisatieonderdelen wij persoonsgegevens hebben ontvangen indien wij deze niet zelf hebben verzameld bij de betrokken personen en indien van toepassing: op basis van welke logica wij een geautomatiseerd besluit over iemand nemen.

Het recht op rectificatie en aanvulling van persoonsgegevens

De betrokkene heeft het recht op rectificatie van hem of haar betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. Indien we onjuiste of onvolledige persoonsgegevens met een andere organisatie en/ of organisatieonderdelen hebben gedeeld, dan zullen wij de door de betrokkene aangepaste of aangevulde persoonsgegevens ook aan deze organisatie en/of organisatieonderdelen doorgeven. Indien de betrokkene daar om vraagt, delen wij met de betrokkene welke organisatie(onderdelen) wij op die manier hebben geïnformeerd.

Het recht op beperking van de verwerking

De betrokkene heeft in bepaalde gevallen het recht om een beperking van de verwerking van persoonsgegevens te realiseren. Een beperking van de verwerking van persoonsgegevens houdt in dat de persoonsgegevens niet verwerkt en gewijzigd mogen worden. Indien de persoonsgegevens onjuist zijn, de verwerking onrechtmatig is, de persoonsgegevens niet meer nodig zijn en/of de betrokkene maakt bezwaar tegen het verwerken van zijn of haar persoonsgegevens mag een betrokkene een beroep doen op dit recht. Tenzij wij dwingende gerechtvaardigde gronden voor de verwerking van persoonsgegevens hebben die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene en zolang wij geen duidelijkheid hebben dat onze gronden zwaarder wegen, dienen wij het verzoek van de betrokkene op beperking van de verwerking van persoonsgegevens als geldig te erkennen en de daarvoor redelijke maatregelen voor te nemen.

Het recht op een menselijke blik bij besluiten

We nemen niet op basis van geautomatiseerde verwerkingen besluiten over zaken die (aanzienlijke) gevolgen kunnen hebben voor betrokkenen. Het gaat hier om handelingen die worden genomen door computerprogramma’s of -systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van NJR) tussen zit. Het DNA van NJR getuigt ervan dat wij het beste uit jongeren willen halen en wij ons dienstbaar stellen ten behoeve van de persoonlijke en professionele ontwikkeling van jongeren. Dit vraagt om een persoonlijke benadering die jongeren ten goede zal komen. Derhalve zullen wij niet, althans enkel naar aanleiding van een uitdrukkelijke toestemming van de betrokkene, een besluit nemen op basis van automatisch verwerkte persoonsgegevens.

Het recht op bezwaar

Betrokkenen mogen een beroep doen op hun recht om bezwaar te maken tegen de door ons verwerkte persoonsgegevens. Tenzij wij dwingende gerechtvaardigde gronden voor verwerking van persoonsgegevens hebben en aanvoeren die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene en/of de verwerking heeft te maken met een rechtsvordering, dan stoppen wij met het verwerken van deze persoonsgegevens nadat wij het bezwaar van de betrokkene tegen het verwerken van de persoonsgegevens als geldig erkend hebben.

Reactietermijn voor de behandeling van individuele verzoeken over hun rechten

Alle individuele verzoeken van betrokkenen over hun rechten vertrekken we meteen en in ieder geval binnen een maand na ontvangst van het verzoek over het gevolg dat aan het verzoek is gegeven. Als de aard van het verzoek moeilijk is of als we veel andere verzoeken behandelen kan - mocht dit nodig - deze termijn met nog eens twee maanden worden verlengd. Wij laten de betrokkene binnen één maand na ontvangst van het verzoek weten of we onze termijn van reageren verlengen. Als de betrokkene een verzoek via e-mail indient, dan zullen wij via e-mail reageren op dit verzoek, tenzij de betrokkene wil dat wij op een andere manier reageren dan via e-mail.

Hoe lang we persoonsgegevens bewaren

We bewaren jouw persoonsgegevens niet langer dan strikt nodig en/of wettelijk verplicht is om de doelen te realiseren waarvoor jouw persoonsgegevens worden verzameld. De bewaartermijnen van de verschillende categorieën van de verwerkte persoonsgegevens zijn afhankelijk van de relevante wet- en regelgeving waar wij aan voldoen.

Delen van persoonsgegevens met derde partijen

Wij verkopen jouw persoonsgegevens nooit aan derde partijen en zullen deze uitsluitend verstrekken indien dit nodig is voor de uitvoering van onze overeenkomst of om te voldoen aan een wettelijke verplichting. Bovendien doen we dit alleen als het delen van jouw gegevens in de context van onze gebruikelijke werkzaamheden past en niet een ander doel beoogt dan de relatie die we aanvankelijk met elkaar zijn aangegaan. Tenzij dit gezien de aard van onze werkzaamheden redelijk is of als we wettelijk hiertoe verplicht zijn, zijn wij niet van plan om persoonsgegevens door te geven buiten de Europese Unie (EU) of aan een internationale organisatie. Met organisaties die in onze opdracht persoonsgegevens verwerken, sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van jouw gegevens dat voor ons gebruikelijk is en door ons wenselijk is. We blijven verantwoordelijk voor deze verwerkingen van persoonsgegevens.

Cookies, of vergelijkbare technieken, die wij gebruiken

We gebruiken alleen technische en functionele cookies. En analytische cookies die geen inbreuk maken op jouw privacy. Een cookie is een klein tekstbestand dat bij het eerste bezoek aan onze website www.njr.nl wordt opgeslagen op jouw computer, tablet of smartphone. De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van eerdergenoemde website en jouw gebruiksgemak op deze website. Ze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld jouw voorkeursinstellingen. Ook kunnen wij hiermee onze website optimaliseren. Je kunt je afmelden voor cookies door je internetbrowser zo in te stellen dat deze geen cookies meer opslaat. Daarnaast kun je ook alle informatie die eerder is opgeslagen via de instellingen van je browser verwijderen.

Hoe wij persoonsgegevens beveiligen

We nemen de bescherming van jouw gegevens serieus en nemen passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als jij het idee hebt dat jouw gegevens toch niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op via [email protected]

Datalekken

Indien er sprake is of het redelijkerwijs aannemelijk is dat er sprake kan zijn van een datalek, nemen we de nodige maatregelen om een datalek aan te pakken. Het al dan niet aangeven van een datalek door een individu of een derde partij belet ons niet om continue de nodige beveiligingsmaatregelen te nemen die wij als organisatie betrachten te nemen. Indien wij kennisnemen van een datalek, ondernemen wij maatregelen die in lijn is met de criteria van de voor ons relevante wet- en regelgeving, je redelijkerwijs van ons kunt verwachten en dat wat volgens het ongeschreven recht in het maatschappelijk verkeer betaamt.

Naast het melden van een datalek en het aanpakken van een datalek, zullen wij ook een datalek registreren en een daarvoor bestemde register. De volgende informatie per datalek is van belang om op te nemen in het daarvoor bestemde register:

  • De feiten en gegevens over de aard van het datalek.
  • De categorieën van de getroffen betrokkenen en persoonsgegevens en indien mogelijk het aantal betrokkenen.
  • De gevolgen van het datalek.
  • De genomen maatregelen om het datalek aan te pakken.
  • Of het datalek is gemeld aan de Autoriteit Persoonsgegevens.
  • Of het datalek is gemeld aan de betrokkene(n).

Klachten

Aangaande onze verwerking van persoonsgegevens kunnen betrokkenen een klacht indienen bij de relevante privacy toezichthouder, de Autoriteit Persoonsgegevens.

Functionaris Gegevensbescherming (FG) ofwel Data Protection Officer (DPO)

Onze Functionaris Gegevensbescherming (FG) en in het Engels vertaald als Data Protection Officer (DPO) is Nusret Musa. Zij is te bereiken via [email protected]

Wijzigingen privacy beleid en privacy statement

NJR behoudt zich het recht voor om wijzigingen aan te brengen in onze privacy statement en ons privacy beleid. Daarom raden we je aan om dit privacy beleid regelmatig te raadplegen, zodat jij van de wijzigingen op de hoogte bent. Je kunt dit privacy beleid en ons privacy statement zelf opslaan of raadplegen via www.njr.nl/verhaal/over-njr