Het Dagelijks bestuur van de Diamant-groep;

Het Dagelijks bestuur van de Diamant-groep;

₋ gelet op het bepaalde in de Wet bescherming persoonsgegevens;

₋ overwegende dat het uit zorgvuldigheid naar de medewerkers toe wenselijk is om vast te stellen op welke wijze wordt omgegaan met hun persoonsgegevens welke zijn vastgelegd in verschillende registraties;

b e s l u i t

vast te stellen het volgende

Privacyreglement Diamant-groep

HOOFDSTUK 1 DEFINITIES EN REIKWIJDTE

Artikel 1: Definities

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegeven verstaan onder:

₋ Het reglement: dit reglement inclusief de bijlagen;

₋ College bescherming persoonsgegevens: het college als bedoeld in art. 51 Wbp;

₋ De Diamant-groep: de gehele onderneming Diamant-groep, omvattende zowel de publiekrechtelijke als de privaatrechtelijke onderdelen;

₋ Het bestuur van de Diamant-groep: het dagelijks/algemeen bestuur van de Diamant-groep;

₋ Medewerker in dienst van de Diamant-groep: een persoon die aan te merken is:

a. als medewerker in dienst van de Diamant-groep op basis van een

ambtelijke aanstelling of arbeidscontract naar burgerlijk recht

b. als persoon die (betaalde of niet-betaalde) werkzaamheden voor de Diamant- groep verricht, anders dan op basis van een ambtelijke aanstelling of een arbeidscontract.

₋ Opdrachten: opdrachten van het UWV, de gemeente Tilburg of een extern re- integratiebureau;

₋ Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

₋ Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen,

vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

₋ Bestand: elk, al dan niet geautomatiseerd, gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of

verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

₋ Verantwoordelijke: de algemeen directeur van de Diamant-groep is (eind)verantwoordelijk voor de verwerking van persoonsgegevens van medewerkers

(te weten de ambtenaren en de medewerkers die werkzaam zijn in het kader van de Wet sociale werkvoorziening) in zijn dienst. Daarnaast is directeur van 18k (eind)verantwoordelijk voor de verwerking van persoonsgegevens van medewerkers in zijn dienst (zoals de medewerkers die werkzaam zijn in het kader van de Wet inschakeling werkzoekenden, het Besluit In- en doorstroombanen, het 18k kaderpersoneel, payroll-medewerkers, Alfacheque-medewerkers etc.).

₋ Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

₋ Xxxxxxxxx: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens, voor de

juistheid van de ingevoerde gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens;

₋ Gebruiker: degene die geautoriseerd is gegevens in de persoonsregistratie te raadplegen, in of uit te voeren, dan wel te muteren. Medewerkers in dienst van de

Diamant-groep zijn gebruiker van de persoonsgegevens, indien en het voor zover toegang tot de persoonsgegevens noodzakelijk is voor de uitvoering van hun werkzaamheden en zij daartoe geautoriseerd zijn.

₋ Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de beheerder, de gebruiker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke gemachtigd is om persoonsgegevens te verwerken.

₋ Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;

Artikel 2: Reikwijdte

1. Dit reglement is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens van medewerkers in dienst van de Diamant-groep, alsmede op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen.

2. Dit reglement is voorts van toepassing op de niet geautomatiseerde verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

HOOFDSTUK 2 VERANTWOORDELIJKHEID EN BEHEER

Artikel 3: Verantwoordelijkheden en beheer

1. Door de verantwoordelijke worden de nodige maatregelen getroffen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn.

2. Per afzonderlijke of samenhangende verwerking is in de bijlagen aangegeven wie de verantwoordelijke is, wie de beheerder en -indien van toepassing- wie de bewerker is.

3. De verantwoordelijke ziet er op toe dat de verwerkingen in overeenstemming met deze regeling en de daaronder liggende protocollen en werkinstructies worden verwerkt.

4. De beheerder is belast met de dagelijkse zorg. Voor de uitvoering van het beheer en de dagelijkse zorg kan hij functionarissen binnen zijn organisatie aanwijzen.

Artikel 4: Rechtstreekse toegang tot persoonsgegevens

1. Uitsluitend de beheerder en de door de beheerder aangewezen gebruikers hebben, met het oog op de dagelijkse zorg voor het goed functioneren van de verwerkingen, rechtstreekse toegang tot persoonsgegevens.

2. Anderen dan zojuist genoemde personen hebben slechts toegang, indien een wettelijk voorschrift de Diamant-groep verplicht tot het verlenen van toegang.

3. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens, waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

HOOFDSTUK 3 DOELBINDING EN RECHTMATIGHEID

Artikel 5: Rechtmatigheid

Persoonsgegevens dienen in overeenstemming met de wet, op behoorlijke en zorgvuldige wijze verwerkt te worden.

Artikel 6: Grondslag van de verwerking

De rechtmatige grondslag voor de verwerkingen is gelegen in

a. de uitvoering van de arbeidsovereenkomst waarbij de betrokkene partij is;

b. het gerechtvaardigde belang van de verantwoordelijke;

c. een wettelijke verplichting van de verantwoordelijke;

d. een vitaal belang van de betrokkene

dan wel - uitsluitend indien a, b, c of d niet van toepassing is -

e. de ondubbelzinnige toestemming die de betrokkene heeft verleend.

Artikel 7: Doeleinden

De doelstelling van de verwerking is het vastleggen van de persoonsgegevens voor zover die voor de Diamant-groep noodzakelijk zijn voor:

a. de uitvoering van de rechtspositieregelingen die het bestuur van de Diamant-groep voor zijn medewerkers heeft vastgesteld en in dat kader nader geldende (wettelijke) verplichtingen;

b. het voldoen aan wettelijke verplichtingen die samenhangen met de subsidievoorwaarden;

c. het voeren van een effectief, efficiënt en sociaal verantwoord personeelsbeleid en

-beheer;

d. het nakomen van verplichtingen, voortvloeiend uit overeenkomst(en) met opdrachtgevers;

e. het bewaken van de veiligheid;

f. het voldoen aan overige (wettelijke) verplichtingen.

HOOFDSTUK 4 BETROKKENEN

Artikel 8: Categorieën van personen van wie persoonsgegevens worden verwerkt

Er kunnen persoonsgegevens verwerkt worden van:

x. xxxxxxxxxx werkzaam bij de Diamant-groep;

b. kaderpersoneel van de Diamant-groep;

c. kaderpersoneel van 18k;

d. medewerkers welke werkzaam zijn op basis van een dienstbetrekking in het kader van de Wet sociale Werkvoorziening;

e. personen die ingevolge hoofdstuk 2 van het Besluit uitvoering sociale werkvoorziening en begeleid Werken een arbeidsovereenkomst hebben gesloten met een reguliere werkgever in het kader van Xxxxxxxx Werken;

f. niet toegelaten kandidaten voor de wachtlijst en personen die in het kader van de Wet sociale werkvoorziening op de wachtlijst geplaatst zijn;

g. medewerkers welke werkzaam zijn op basis van een dienstbetrekking in het kader van de Wet inschakeling werkzoekenden, dan wel de in de plaats komende regeling;

h. personen die werkzaam zijn op basis van het Besluit in- en doorstroombanen, dan wel de in de plaats komende regeling;

i. medewerkers welke werkzaam zijn op basis van een dienstbetrekking met toepassing van de arbeidsvoorwaardenregeling Werk en Begeleiding.

j. gedetacheerden;

k. payroll-medewerkers;

x. xxxxxxxxxx;

m. sollicitanten;

n. klantgegevens: bij het werven van mogelijke opdrachtgevers, kunnen er door de betreffende medewerkers diverse (persoons)gegevens, of te wel klantgegevens, worden verwerkt;

o. derden, naar aanleiding van externe opdrachten;

p. medewerkers van de Diamant-groep in het kader van overige rechtspositieregelingen die hierboven niet reeds aangehaald zijn.

q. gezinsleden en/of relatiepartners van de onder a tot en met p genoemde personen.

HOOFDSTUK 5 VERWERKING VAN PERSOONSGEGEVENS

Artikel 9: Verkrijging van persoonsgegevens

1. De persoonsgegevens van de hiervoor genoemde betrokkenen worden op een behoorlijke en zorgvuldige wijze voor de in artikel 7 genoemde doeleinden verzameld.

2. De persoonsgegevens worden bij voorkeur verkregen bij de betrokkene zelf.

3. Persoonsgegevens kunnen echter ook bij derden worden verkregen.

4. Persoonsgegevens worden niet verzameld bij derden zonder de ondubbelzinnige toestemming van de betrokkene.

5. Tot slot kunnen de persoonsgegevens intern verkregen worden.

Artikel 10: Verschillende verwerkingen

Binnen de Diamant-groep vinden verschillende verwerkingen plaats. Dit reglement is van toepassing op al deze verwerkingen. Niet alle verwerkingen zijn op het moment van vaststelling van dit reglement in kaart gebracht, aangezien deze nog door een werkgroep geïnventariseerd dienen te worden. Dit artikel dient dan ook te worden aangevuld met de uitkomsten van deze inventarisatie.

a. persoonsdossiers

b. archief

c. kantoorfaciliteiten

d. cameratoezicht

e. personeelsadministratie

f. salarisadministratie

g. verzuimadministratie

h. juridische zaken

i. alfacheques

j. financiële administratie

k. …

Artikel 11: Verwerken van persoonsgegevens

1. De verwerking van persoonsgegevens wordt begrensd door het noodzakelijkheidscriterium en hetgeen is bepaald in de ‘Werkwijzer Persoonsarchief’.

2. Van de verwerkingen, waarvoor een reglement is opgesteld (persoonsdossiers, kantoorfaciliteiten en cameratoezicht), wordt de opgenomen de persoonsgegevens begrensd door hetgeen daarover in deze reglementen is bepaald.

3. Van andere verwerkingen dient de inhoud begrensd te worden door de inhoud van nog nader vast te stellen protocollen en werkinstructies.

4. Het verwerken van persoonsgegevens dient, gelet op de doeleinden, toereikend, ter zake dienend en niet bovenmatig te zijn. Bovendien dienen de verwerkte persoonsgegevens juist en nauwkeurig te zijn.

5. Bijzondere persoonsgegevens worden verwerkt met inachtneming van het bepaalde in de artikelen 16 tot en met 23 van de Wet bescherming persoonsgegevens.

Artikel 12: Verdere verwerking van persoonsgegevens

1. De persoonsgegevens worden na het verzamelen slechts verder verwerkt op een wijze die behoorlijk, zorgvuldig en verenigbaar is met de doeleinden waarvoor ze zijn verkregen.

2. Daarbij wordt tenminste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van de persoonlijke levenssfeer.

3. Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is of geschiedt met de ondubbelzinnige toestemming van de betrokkene.

4. De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijke voorschrift daaraan in de weg staat.

HOOFDSTUK 6 VERSTREKKING VAN PERSOONSGEGEVENS

Artikel 13: Verstrekking van persoonsgegevens

1. Gegevens kunnen verstrekt worden voor zover dit noodzakelijk wordt geacht in verband met de doeleinden en de grondslag van de verwerking;

2. Gegevens kunnen verstrekt worden voor zover dit noodzakelijk wordt geacht in verband met de uitvoering van de rechtspositieregeling, zoals het bestuur van de Diamant-groep die heeft vastgesteld voor haar medewerkers.

Artikel 14: Verstrekking van persoonsgegevens aan derden

1. Persoonsgegevens kunnen slechts aan derden verstrekt worden indien de verantwoordelijke beoordeelt dat de verstrekking noodzakelijk is:

a. indien de betrokkene zijn ondubbelzinnige schriftelijke toestemming heeft gegeven (toestemming van de betrokkene kan te allen tijden schriftelijk worden ingetrokken); of

b. indien de verstrekking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; of

c. indien de verstrekking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is; of

d. indien de verstrekking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; of

e. indien de gegevensverstrekking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of

f. indien de gegevensverstrekking noodzakelijk is voor de behartiging van een gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op de bescherming van de persoonlijke levenssfeer, prevaleert.

2. Van alle verzoeken om verstrekking van gegevens aan derden en de besluitvorming daaromtrent, wordt aantekening gemaakt in het dossier.

3. Verstrekking van gegevens blijft achterwege voor zover op grond van een wettelijk voorschrift geheimhouding is geboden.

4. Het telefonisch verstrekken van persoonsgegevens over betrokkenen is niet toegestaan.

5. De verantwoordelijke is aansprakelijk voor schade die de betrokkene lijdt door onrechtmatig gebruik door derden van door de verantwoordelijke rechtmatig aan die derden verstrekte persoonsgegevens, tenzij de schade niet aan de verantwoordelijke kan worden toegerekend.

Artikel 15: Doorgifte van persoonsgegevens naar landen buiten de Europese Unie

De verantwoordelijke geeft geen persoonsgegevens door naar een bedrijf of vestiging in een land buiten de Europese Unie, dat geen passend beschermingsniveau heeft, tenzij voldaan is aan tenminste een van de volgende voorwaarden:

a. met dat bedrijf of die vestiging een contract is gesloten overeenkomstig de door de Europese Commissie vastgestelde modelcontractbepalingen, welk contract voor wat betreft de verwerking van persoonsgegevens de instemming heeft van de Ondernemingsraad;

b. de doorgifte noodzakelijk is in het kader van de arbeidsovereenkomst tussen de verantwoordelijke en de betrokkene;

c. de betrokkene een verklaring heeft ondertekend, waarin hij de verantwoordelijke toestemming geeft voor de doorgifte. Die verklaring is in eenvoudige, begrijpelijke taal opgesteld, met specifieke informatie over het betrokken bedrijf of de betrokken vestiging, de door te geven persoonsgegevens, het doel van de doorgifte en de duur van de periode, waarin die verklaring wordt gebruikt.

HOOFSTUK 7: VERPLICHTING VAN DE VERANTWOORDELIJKE

Artikel 16: Informatieplicht

1. Indien de verantwoordelijke persoonsgegevens verkrijgt bij de betrokkene zelf, deelt hij de betrokkene vóór het moment van verkrijging zijn identiteit alsmede het doel van de verwerking waarvoor de gegevens zijn bestemd mee, tenzij de betrokkene hiervan reeds op de hoogte is.

2. Indien de verantwoordelijke persoonsgegevens verkrijgt van een derde of door observatie van de betrokkene, deelt de verantwoordelijke de betrokkene op het moment van vastlegging of uiterlijk op het moment van eerste verstrekking aan een derde, zijn identiteit mee alsmede het doel van de verwerking waarvoor de gegevens zijn bestemd.

3. De verantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie op een zodanige wijze dat de betrokkene er daadwerkelijk de beschikking over krijgt.

4. De verantwoordelijke behoeft de informatie, zoals omschreven in het vierde lid, niet aan de betrokkene mede te delen, als dat onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

5. De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of het gebruik dat ervan gemaakt wordt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.

6. De verantwoordelijke verstrekt periodiek aan de medewerkers en aan de Ondernemingsraad een overzicht van de doelen waarvoor en de manieren waarop persoonsgegevens van de medewerkers worden verwerkt, over de regels die daarvoor gelden, over de rechten die betrokkenen ten aanzien daarvan hebben en hoe zij die kunnen uitoefenen.

HOOFDSTUK 8 RECHTEN VAN BETROKKENEN

Artikel 17: Algemeen

1. Iedere betrokkene heeft recht op informatie, inzage en correctie (verbetering, aanvulling, verwijdering en/of afscherming) alsmede recht van verzet, zoals geformuleerd in de volgende artikelen.

2. Het verzoek tot uitoefening van één van deze rechten kan gericht worden aan de verantwoordelijke of de beheerder. In dit hoofdstuk dient overal waar verantwoordelijke staat ook beheerder gelezen te worden.

3. Het uitoefenen van die rechten kan in werktijd geschieden.

4. Aan het uitoefenen van deze rechten zijn voor de betrokkene geen kosten verbonden.

5. Betrokkenen kunnen zich bij het uitoefenen van hun rechten laten bijstaan.

6. De beheerder wijst betrokkenen op de mogelijkheden van rechtsbescherming en toezicht en op de rol daarin van het College bescherming persoonsgegevens.

Artikel 18: Recht op informatie

De verantwoordelijke informeert de betrokkene op diens verzoek tijdig en volledig over de doelen waarvoor en de manieren waarop persoonsgegevens van hem worden verwerkt, over de regels die daarvoor gelden, over de rechten die de betrokkene ten aanzien daarvan heeft en hoe hij die kan uitoefenen. Daarbij wordt de betrokkene ook geïnformeerd over de plaats waar dit reglement kan worden ingezien dan wel opgevraagd.

Artikel 19: Recht op inzage

1. Een betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden om inzage te verkrijgen in de persoonsgegevens die over hem zijn of worden verwerkt.

2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het in het eerste lid genoemde verzoek schriftelijk of, dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.

3. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

4. Naar aanleiding van het verzoek deelt de verantwoordelijke mee of er persoonsgegevens van de verzoeker worden verwerkt. Aan de betrokkene wordt een volledig schriftelijk overzicht verschaft van de hem/haar betreffende persoonsgegevens die worden verwerkt.

5. De verantwoordelijke verstrekt in ieder geval de volgende gegevens:

a. de doel of de doelen van de gegevensverwerking;

b. de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft;

c. de ontvanger of categorieën van ontvangers van de gegevens;

d. de herkomst van de gegevens;

e. indien de verzoeker dat xxxxx, verstrekt de beheerder tevens informatie over de systematiek van de geautomatiseerde gegevensverwerking.

6. Slechts in geval van een gewichtig belang aan de zijde van de verzoeker, voldoet de werkgever aan dit verzoek in een andere dan schriftelijke vorm die aan dat belang is aangepast.

7. De verantwoordelijke kan weigeren aan een verzoek te voldoen, indien en voor zover dit noodzakelijk is in verband met:

a. de opsporing en vervolging van strafbare feiten;

b. gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen.

8. Inzage vindt altijd plaats onder begeleiding, zo nodig kan toelichting worden gegeven.

9. Alle originele bescheiden blijven in het bezit van de Diamant-groep.

10. Indien de betrokkene niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, dan treedt een andere persoon als zijn gemachtigde op, zijnde:

a. de curator of mentor indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld; of

b. de persoonlijke gemachtigde, bijvoorbeeld de partner of een familielid; of

c. een gemachtigde die een advocaat is of een arts, indien er een gewichtige reden is gelegen in de vrees voor schade aan de lichamelijke of geestelijke gezondheid van de betrokkene.

11. Van alle verzoeken om inzage en de besluitvorming daaromtrent, wordt aantekening gemaakt in het dossier.

12. Het recht op inzage geldt voor alle verwerkingen van persoonsgegevens binnen de Diamant-groep.

Artikel 20: Recht op afschrift

1. Aan het recht tot inzage is gekoppeld het recht op afschrift uit het dossier.

2. Bij toestemming tot inzage kan de betrokkene, indien hij dit wenst, kopieën laten maken van de aanwezige stukken.

3. Bij het verstrekken van afschriften wordt op het document aangegeven dat het om een kopie gaat.

4. De Diamant-groep is gerechtigd voor de verstrekking boven de 100 bladzijden maximaal de kostprijs in rekening te brengen.

5. Van alle verzoeken om afschrift en de besluitvorming daaromtrent, wordt aantekening gemaakt in het dossier.

Artikel 21: Recht op correctie

1. De betrokkene of diens wettelijk vertegenwoordiger kan, na inzage in de hem betreffende persoonsgegevens op grond artikel 19 van dit reglement, de verantwoordelijke schriftelijk verzoeken deze gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig, bovenmatig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

2. De procedure voor de uitoefening van het correctierecht als bedoeld in het eerste lid is als volgt:

a. het indienen van een verzoek tot correctie geschiedt schriftelijk bij de verantwoordelijke met opgave van de aan te brengen wijzigingen al dan niet onder overlegging van de vereiste bewijsstukken;

b. de verantwoordelijke onderzoekt de juistheid van de gegevens en zorgt voor verdere behandeling van het verzoek;

c. de verantwoordelijke bericht de verzoeker zo spoedig mogelijk, doch uiterlijk binnen vier weken na ontvangst van het verzoek schriftelijk of en in hoeverre hij aan het verzoek voldoet.

d. als de verantwoordelijke beslist dat het verzoek tot correctie terecht is, draag hij er zorg voor dat de beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk, doch uiterlijk binnen een maand, wordt verricht.

e. indien de verantwoordelijke van mening is, dat er geen aanleiding bestaat de opgenomen persoonsgegevens te corrigeren, deelt hij dit conform het gestelde onder c met redenen omkleed schriftelijk aan verzoeker mee.

3. De verantwoordelijke informeert in geval van verbetering, aanvulling, verwijdering en/of afscherming derden daarover en verzekert zich ervan dat die derden hun bestanden dienovereenkomstig aanpassen. De verantwoordelijke deelt de verzoeker mee aan welke derden hij die informatie heeft verstrekt.

4. Binnen zes weken na ontvangst van een schriftelijke mededeling van een weigering als bedoeld in het tweede lid onderdeel e, kan de betrokkene een bezwaarschrift indienen bij het dagelijks bestuur van de Diamant-groep.

Artikel 22: Recht van verzet

1. Indien de grondslag voor een bepaalde verwerking is gelegen in het gerechtvaardigde belang van de verantwoordelijke, kan de betrokkene bij de verantwoordelijke te allen tijde bezwaar aantekenen tegen die verwerking in verband met aanwezige bijzondere persoonlijke omstandigheden.

2. Binnen vier weken na ontvangst van het bezwaar beoordeelt de verantwoordelijke of het verzet gerechtvaardigd is.

3. De verantwoordelijke beëindigt de verwerking terstond, indien hij het verzet gerechtvaardigd acht. Verzet tegen de verwerking voor commerciële of charitatieve doelen is altijd gerechtvaardigd.

HOOFDTSUK 9 BEWARING, BEVEILIGING EN GEHEIMHOUDING

Artikel 23: Bewaring

1. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld en vervolgens verder worden verwerkt.

2. Persoonsgegevens die niet langer voor het doel noodzakelijk zijn worden zo spoedig mogelijk verwijderd.

3. Na beëindiging van het dienstverband of het verrichten van werkzaamheden ten behoeve van de Diamant-groep, worden de gegevens nog maximaal twee jaar bewaard.

4. In sommige gevallen is het toegestaan gegevens langer te bewaren dan de bovengenoemde termijn, namelijk wanneer dit noodzakelijk is op grond van een wettelijke bewaarplicht. De Archiefwet voorziet in een bewaarplicht voor archiefbescheiden van de overheid. De in de ‘Werkwijzer Persoonsarchief’ geldende bewaartermijnen gaan boven de in het Vrijstellingsbesluit genoemd termijnen.

5. Indien de bewaartermijn is verstreken worden de betreffende persoonsgegevens geanonimiseerd, verwijderd of vernietigd, zulks binnen een termijn van een jaar.

Artikel 24: Geheimhouding en beveiliging

1. De verantwoordelijke draagt de zorg voor het aanleggen van passende en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Gelijke plicht ligt op de gebruikers ten aanzien van het door hen te gebruiken geheel of gedeelte van de systemen.

2. De beveiligingsmaatregelen dienen vastgelegd te worden in een beveiligingsprocedure of beveiligingsplan.

3. Een ieder die in het kader van dit reglement de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijk karakter kent of redelijkerwijs moet vermoeden en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift ter zake van die gegevens een geheimhoudingsplicht geldt, behoudens afwijkende verplichtingen, is verplicht tot geheimhouding daarvan, behoudens voor zover enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit.

HOOFDSTUK 10 PROTOCOLLEN EN WERKINSTRUCTIES

Artikel 25: Protocollen en werkinstructies

1. Naar aanleiding van dit reglement worden diverse protocollen en werkinstructies opgesteld, waarin een meer concrete en praktische invulling wordt gegeven aan de wijze waarop de gebruikers van de persoonsgegevens dienen om te gaan met de hen ter beschikking staande persoonsgegevens.

2. Deze protocollen zullen worden vastgesteld door het dagelijks bestuur van de Diamant- groep.

HOOFDSTUK 11 KLACHTENPROCEDURE

Artikel 26: Klachtenprocedure

1. Elke betrokkene heeft het recht bij de verantwoordelijke een klacht in te dienen.

a. tegen een beslissing op een verzoek als bedoeld in de artikelen, 18, 19, 20 en 21;

b. tegen een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel 22; alsmede

c. tegen de wijze waarop de verantwoordelijke of de bewerker de in dit reglement opgenomen regels uitvoert.

2. De verantwoordelijke reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst, schriftelijk en met redenen omkleed op de klacht.

3. De betrokkene kan zich bij de indiening en behandeling van zijn klacht laten bijstaan.

4. De verantwoordelijke kan het advies van het College bescherming persoonsgegevens inwinnen.

5. De verantwoordelijke kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of gedeeltelijk terecht.

6. Indien de verantwoordelijke de klacht niet of slecht gedeeltelijk honoreert, kan de betrokkene een klacht indienen bij het College bescherming persoonsgegevens. De verantwoordelijke informeert de betrokkene, wiens klacht hij niet of slechts gedeeltelijk honoreert, over die mogelijkheid en over het adres van het College.

7. Indien de verantwoordelijke oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om

a. indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder a: het verzoek van betrokkene alsnog geheel of gedeeltelijk te honoreren;

b. indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder b: het verzet van betrokkene alsnog te honoreren;

c. indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c: alsnog uitvoering te geven aan de in het reglement opgenomen regels, hetgeen kan inhouden een handelen of een nalaten, waaronder begrepen een herstellen of een stoppen;

x. xx xxxxxx die betrokkene heeft geleden, waaronder eventuele immateriële schade, te vergoeden.

8. De verantwoordelijke maakt zijn oordeel schriftelijk aan betrokkene kenbaar.

9. Indien de verantwoordelijke niet binnen zes weken na het indienen van de klacht reageert, kan de betrokkene een klacht indienen bij het College bescherming persoonsgegevens.

10. Indien het gaat om een beslissing in het kader van de artikelen18, 19, 21 of 22 van dit reglement, kan de betrokkene zich binnen zes weken, nadat hij de beslissing van de verantwoordelijke op zijn verzoek heeft ontvangen, zich wenden tot de rechtbank.

HOOFDSTUK 12 SANCTIES

Artikel 27: Sancties

1. Overtreding van dit reglement en de hierop gebaseerde werkinstructies en protocollen wordt gezien als plichtsverzuim en kan voor medewerkers in dienst van de Diamant-groep resulteren in disciplinaire maatregelen.

2. Overtreding van dit reglement en de hierop gebaseerde werkinstructies en protocollen kan voor personen die (betaalde of niet-betaalde) werkzaamheden voor de Diamant-groep verrichten, anders dan in een ambtelijk dienstverband of op basis van een arbeidscontract, resulteren in:

a. maatregelen waardoor deze persoon al dan niet tijdelijk geen beschikking meer hebben over (een deel van) de kantoorfaciliteiten;

b. beëindiging van het verrichten van de werkzaamheden door deze persoon voor de Diamant-groep.

HOOFDSTUK 13 OVERIGE BEPALINGEN

Artikel 28: Scholing

De verantwoordelijke draagt zorg voor een regelmatige scholing van de beheerders en de gebruikers om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.

Artikel 29: Melding

De verantwoordelijke draagt zorg voor de noodzakelijke melding van de geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens bij het College Bescherming Persoonsgegevens, als bedoeld in de Wet bescherming persoonsgegevens.

Artikel 30: Toezicht op de naleving

Het College bescherming persoonsgegevens is op grond van de wet bevoegd toe te zien op de naleving van de in dit reglement krachtens de wet opgenomen bepalingen.

HOOFDSTUK 14 SLOTBEPALINGEN

Artikel 31: Hardheidsclausule

In de gevallen waarin dit reglement niet voorziet of bij twijfel, beslist het bestuur, zo mogelijk na instemming van de Ondernemingsraad. In spoedeisende gevallen informeert het bestuur de ondernemingsraad achteraf.

Artikel 32: Vaststelling en wijziging van dit reglement

1. Vaststelling van dit reglement geschiedt door het algemeen bestuur van de Diamant- groep, na instemming van de Ondernemingsraad van de Diamant-groep.

2. Wijzigingen in het doel van de verwerkingen en in soort van inhoud, gebruik en wijze van verkrijging van de persoonsgegevens dienen te leiden tot wijziging van dit reglement.

3. Frequent voorkomende onvoorziene omstandigheden dienen te leiden tot aanvulling van dit reglement.

4. Wijzigingen en aanvullingen van het reglement behoeven de instemming van de Ondernemingsraad.

Artikel 33: Openbaarmaking en inwerkingtreding

1. Bekendmaking van de vaststelling van dit reglement geschiedt door publicatie op het Intranet van de Diamant-groep, in de Diamant-krant, alsmede door het ter inzage leggen bij de beheerder(s).

2. Dit reglement kan worden aangehaald als ‘Algemeen privacyreglement Diamant-groep’.

3. Dit reglement treedt in werking op de datum van vaststelling.

Aldus vastgesteld door het dagelijks bestuur van de Diamant-groep In de vergadering van ……

met de instemming van de ondernemingsraad van de Diamant-groep d.d. ….

De secretaris, De voorzitter,

[datum]