Privacybeleid Ter Steege Groep Rijssen
Bedrijven behorende tot de Ter Steege Groep (hierna te noemen TSG): Ter Steege Samen Actief, de divisies Ter Steege Bouw Vastgoed, Ter Steege Handel en Ter Steege Industrie handelen voor de verwerking van persoonsgegevens zoals weergegeven in dit privacy beleid.
Contactgegevens:
- Ter Steege Samen Actief: tersteegegroep.nl
- Bezoekadres: Reggesingel 32, 7461 AK Rijssen
- Postadres: Postbus 218, 7460 AE Rijssen
- Algemeen telefoonnummer 0548-533215
- Divisie Bouw-Vastgoed: tsbouwvastgoed.nl
- Bezoekadres: Reggesingel 32, 7461 AK Rijssen
- Postadres: Postbus 218, 7460 AE Rijssen
- Algemeen telefoonnummer 0548-533215
- Divisie Handel: tersteegehandel.nl
- Bezoekadres: Enterstraat 198a, 7461 PE Rijssen
- Postadres: Postbus 12, 7460 AA Rijssen
- Algemeen telefoonnummer 0548-370570
- Divisie Industrie: reginox.com
- Bezoekadres: Noordermorssingel 2, 7461 JN Rijssen
- Postadres: Postbus 82, 7460 AB Rijssen
- Algemeen telefoonnummer 0548-535635
Naast dit document is er een “Privacyverklaring Ter Steege Groep Rijssen” die op de website tersteegegroep.nl vermeld staat. In deze privacyverklaring wordt verwezen naar dit document.
Inleiding
Dit privacy beleid heeft betrekking op het verwerken van persoonsgegevens in het kader van zowel de zakelijke dienstverlening als de (interne) bedrijfsvoering van TSG.
TSG is als bedrijf verwerkingsverantwoordelijke. TSG bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. Dit document beschrijft de wijze waarop TSG als verwerkingsverantwoordelijke met persoonsgegevens omgaat, zodat aan de vereisten van de Algemene Verordening Gegevensbescherming (‘AVG’) wordt voldaan.
Aan bod komen de volgende onderwerpen:
- Actualisatie en controle naleving privacy beleid;
- Verstrekking van en toegang tot gegevens;
- Categorieën persoonsgegevens en doelen;
- Cameratoezicht, beeldmateriaal & bouwplaats;
- Organisatorische en technische maatregelen/ beveiliging;
- Informatieplicht;
- Verwerkingsregister;
- Verwerkers en ontvangers;
- Bewaartermijnen;
- Gegevensbeschermingseffectbeoordeling (DPIA);
- Doorgifte buiten de EU;
- Geen functionaris voor de gegevensbescherming;
- Beveiligingsincidenten;
- Rechten van betrokkenen.
1.Actualisatie en controle naleving privacy beleid
De verwerking van persoonsgegevens binnen TSG dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacy beleid periodiek worden geëvalueerd en zo nodig worden aangepast. Periodiek zal worden gecontroleerd of het privacy beleid door medewerkers en verwerkers van TSG daadwerkelijk wordt nageleefd. Hoe ga je dat doen ?? jaarrekening
2. Verstrekking van en toegang tot gegevens
Behoudens daartoe strekkende wettelijke voorschriften in wet- en regelgeving hebben slechts toegang tot de persoonsgegevens:
- degenen, waaronder begrepen derden, die zijn belast met of leidinggeven aan de activiteiten die in verband staan met de verwerking van de gegevens of die daarbij noodzakelijk zijn betrokken;
- anderen, indien:
-
- de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
- de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
- de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
- de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene
- voor historische, statistische of wetenschappelijke doeleinden.
3. Categorieën persoonsgegevens en verwerkingsdoelen
TSG verwerkt persoonsgegevens van de volgende categorieën personen:
-
-
- (Aspirant-)huurders;
- Klanten met een onderhoudsovereenkomst;
- (Aspirant-)kopers;
- Bezoekers van websites behorend tot TSG;
- Ontvangers van (digitale) nieuwsbrieven van TSG;
- Deelnemers aan bijeenkomsten van TSG;
- Aandeelhouders;
- Medewerkers;
- Oud-medewerkers;
- Inleners & uitzendkrachten;
- Student-stagiaires;
- Sollicitanten;
- Overige personen.
-
3.1. (Aspirant-)huurders
Wordt nader omschreven in bijlage 1 van dit document.
3.2. Klanten met een onderhoudsovereenkomst
Wordt nader omschreven in bijlage 1 van dit document.
3.3. (Aspirant-)kopers
Wordt nader omschreven in bijlage 1 van dit document.
3.4. Bezoekers van websites behorend tot TSG
Tijdens een bezoek van een betrokkene aan de websites van TSG worden (mogelijke) persoonsgegevens gegenereerd, zoals het IP-adres, het surfgedrag op de website (zoals gegevens over het eerste bezoek, vorige bezoek en huidige bezoek, de bekeken pagina’s en de wijze waarop door de website wordt genavigeerd), of de betrokkene een nieuwsbrief of commerciële e-mail opent en op welke onderdelen daarvan de betrokkene klikt. TSG verwerkt deze gegevens niet voor marketing- en communicatiedoeleinden.
Verder worden persoonsgegevens gegenereerd als een bezoeker een contact- of ander webformulier op de website invult. Die gegevens worden gebruikt voor het doel waarvoor het contact- of webformulier dient.
3.5. Ontvangers van digitale nieuwsbrieven van TSG
Tijdens het lezen van digitale nieuwsbrieven worden (mogelijke) persoonsgegevens gegenereerd, zoals het IP-adres, het surfgedrag op de website (zoals gegevens over het eerste bezoek, vorige bezoek en huidige bezoek, de bekeken pagina’s en de wijze waarop door de website wordt genavigeerd), of de betrokkene een nieuwsbrief of commerciële e-mail opent en op welke onderdelen daarvan de betrokkene klikt. TSG verwerkt deze gegevens voor marketing- en communicatiedoeleinden.
3.6. Deelnemers aan bijeenkomsten van TSG
Ten behoeve van en/of tijdens een bijeenkomst van TSG worden persoonsgegevens gegenereerd, zoals de naam, functie en de contactgegevens van de deelnemers. De gegevens kunnen worden vermeld op een lijst van deelnemers, naamkaartjes en -als een deelnemer daartoe bereid is- op evaluatieformulieren. Na de bijeenkomst wordt de deelnemerslijst bewaard, zodat de deelnemers voor een volgende bijeenkomst (met voorrang) kunnen worden uitgenodigd. Als deelnemers op het evaluatieformulier hebben aangegeven de nieuwsbrief van TSG te willen ontvangen, worden de naam en contactgegevens van de deelnemer in het adressenbestand voor de nieuwsbrief opgenomen.
3.7. Aandeelhouders
TSG is een besloten vennootschap (BV). Van de aandeelhouders van TSG worden persoonsgegevens verwerkt, voor zover verwerking noodzakelijk is ten behoeve van:
-
-
- Het functioneren van de aandeelhoudersvergadering;
- De uitoefening van rechten en de nakoming van (wettelijke en contractuele) verplichtingen door individuele aandeelhouders.
-
3.8. Medewerkers
Persoonsgegevens worden door de verantwoordelijke op naam van het personeelslid verzameld. De verzameling van persoonsgegevens van het personeelslid vormt het dossier. Nadere gegevens zijn opgenomen in bijlage 2.
3.9. Oud-medewerkers
-
-
- De verantwoordelijke kan besluiten over te gaan tot het instellen van een verwerking van persoonsgegevens betreffende oud-personeelsleden
- De verwerking geschiedt slechts voor:
- Het onderhouden van contacten met oud-personeelsleden;
- Het verzenden van informatie aan oud-personeelsleden;
- Het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer;
- Het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
- Geen andere persoonsgegevens worden verwerkt dan:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- Een administratienummer, dat geen andere informatie bevat dan bedoeld onder a;
- Gegevens betreffende de aard en de duur van het lidmaatschap van oud-leden, de functie waarin en de periode gedurende welke het oud-personeelslid voor de verantwoordelijke werkzaam is geweest;
- Gegevens met het oog op het berekenen, vastleggen en innen van bijdragen en giften.
- De persoonsgegevens worden slechts verstrekt aan:
- Degenen, waaronder begrepen derden, die zijn belast met of leidinggeven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van de betrokkene of bij diens overlijden.
-
3.10. Inleners & uitzendkrachten
TSG verwerkt de persoonsgegevens van door haar ingeschakelde ZZP’ers. De overeenkomst van opdracht en daarmee samenhangende gegevens worden opgeslagen in het kantoorsysteem. TSG vraagt ZZP’ers niet om een kopie of scan van hun identiteitsbewijs te verstrekken.
3.11. Student-stagiaires
Van student-stagiaires worden de naam, contact- en adresgegevens opgeslagen, voor zover die nodig zijn voor het doorlopen van de stage. De naam van een student-stagiaire wordt op het beoordelingsformulier voor student-stagiaires vermeld. De gegevens worden bewaard door TSG die de portefeuille student-stagiaires op dat moment beheert.
3.12. Sollicitanten
Van personen die voor een functie bij TSG hebben gesolliciteerd, worden persoonsgegevens verwerkt, zoals contactgegevens en gegevens die zijn vermeld in de sollicitatiebrief en het cv conform bijlage 1.
3.13. Overige personen
Verder ontleent TSG gegevens aan (openbare) zakelijke social media platforms als LinkedIn en openbare zakelijke websites. TSG gebruikt openbare contactgegevens voor het leggen van zakelijk contact.
4. Cameratoezicht, beeldmateriaal & bouwplaats
4.1 Cameratoezicht
– Cameratoezicht op de werkplek
Cameratoezicht brengt het risico met zich mee dat de privacy van medewerkers en/of bezoekers wordt geschonden. Vanwege de privacy moet er goed worden gekeken of het nodig is om bestaande camera oplossingen te behouden of eventueel te vervangen door andere oplossingen. Ook in het geval van een nieuwe camera oplossing zal er goed moeten worden gekeken of deze oplossing gerechtvaardigd is. Een oplossing zoals cameratoezicht moet door directie en OR besproken worden.
TSG mag gebruik maken van cameratoezicht voor het beschermen van medewerkers en bezoekers en voor het voorkomen van diefstal als er geen andere minder privacygevoelige mogelijkheid is om deze doelen te kunnen bereiken. Cameratoezicht mag alleen in de algemene ruimtes zoals de entree of de hal geplaatst worden en mag er geen geluidsopname gemaakt worden. Als er gebruik gemaakt wordt van cameratoezicht moet dit duidelijk aangegeven worden door middel van een bord of waarschuwing. Zonder aanduiding van camerabewaking wordt het beeldmateriaal als onrechtmatig verklaard en kan dit niet gebruikt worden voor juridische doeleinden. Het plaatsen van de camera’s mag alleen worden gedaan door een gecertificeerd bedrijf of door een medewerker die in het bezit is van de juiste certificering.
– Cameratoezicht op de bouwplaats
Op de bouwplaats wordt cameratoezicht ingezet voor diefstalpreventie. De camera’s worden geplaatst door derden en de beelden worden enkel in geval van diefstal gedeeld met de benodigde partijen. Als er gebruik gemaakt wordt van cameratoezicht moet dit met borden of andere afbeeldingen aangegeven worden rondom de bouwplaats.
Voor de bescherming van medewerkers worden andere middelen toegepast zoals persoonlijke beschermingsmiddelen en instructies/keuringen die regelmatig worden herhaald.
– Bewaartermijn camerabeelden
Zie hiervoor hoofdstuk 9.4
4.2. Beeldmateriaal
TSG heeft een commercieel belang bij het plaatsen van afbeeldingen ter promotie van onze projecten/dienstverlening. Als personen niet herkenbaar in beeld staan mag het beeldmateriaal geplaatst worden. Denk hierbij aan een time Lapse waar breedbeeld lens gebruikt wordt of van een afstand gefilmd wordt.
Als personen wel herkenbaar in beeld komen moet schriftelijk toestemming gevraagd worden voordat beeldmateriaal gepubliceerd wordt. Dit kan per mail of op papier vastgelegd worden. Er moet wel duidelijk vermeld worden waar het beeldmateriaal geplaatst wordt en voor welke doeleinden.
4.3. Rechten van medewerkers
Om beeldmateriaal van medewerkers zoals foto’s en/of video’s te mogen gebruiken voor doelen zoals het smoelenboek is toestemming van de medewerker vereist. Hier moet vooraf om gevraagd worden en moet schriftelijk (per mail of via een document) vastgelegd worden.
4.4. Beleid bouwplaatsen
De uitvoerder op de bouw moet zorg dragen dat de privacy van onze medewerkers, (onder-) aannemers en onze klanten zo goed mogelijk beschermd worden. Gegevens moeten alleen inzichtelijk zijn voor de personen die hier toestemming voor hebben. Zorg dat er geen gegevens van kopers/medewerkers inzichtelijk zijn voor derden. Om gegevens te kunnen beschermen is het belangrijk om zo veel mogelijk gebruik te maken van digitale kopieën en scans. Ook moet mobiele apparatuur zoals laptops, tablets en smartphones beschermd zijn met een wachtwoord en vergrendeld achtergelaten worden en voorzien zijn van de laatste beveiligingsupdates.
5. Organisatorische en technische maatregelen/ beveiliging
TSG draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Eenieder die betrokken is bij de uitvoering van dit reglement en daarbij de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan. Dit geldt niet indien enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.
5.1. Meldplicht datalekken
De werknemers van TSG zijn op de hoogte gebracht wat een datalek inhoudt en dat het melden hiervan verplicht is. Zij kunnen middels een formulier en een procedure dit melden aan de betreffende persoon die, indien de relevantie van het datalek daarom vraagt, zorg draagt voor een tijdige melding bij de Autoriteit Persoonsgegevens.
5.2. Fysieke beveiliging
TSG zorgt ervoor dat Persoonsgegevens worden verwerkt in een fysiek beveiligde omgeving, met passende bescherming tegen dreigingen van buitenaf.
Fysieke toegangscontrole
-
-
- De bedrijfsruimten en kantoren zijn op gebied van toegangscontrole voorzien van fysieke sloten en in sommige gevallen in combinatie met elektronische toegangscontrole op basis van een personeelspas. Kluis en serverruimtes zijn beveiligd door middel van fysieke sloten.
- Binnen de kantoren is authenticatie van systemen conform instellingen van de organisatie of franchisegever. Op kantoor vindt login plaats via gebruikersnaam / wachtwoord, zolang medewerkers zich binnen het bedrijfsnetwerk bevinden. Bij login van buiten het bedrijfsnetwerk is er sprake van een dubbele authenticatie door middel van een gegenereerde sleutel gekoppeld aan de smartphone van de gebruiker.
-
5.3. IT-technische maatregelen
TSG neemt passende maatregelen om de IT-omgeving te beveiligen. Informatiesystemen, componenten en middelen zijn actueel en worden door de fabrikant officieel ondersteund. Alle software wordt voorzien van door de leverancier ondersteunde versies en patches. Waar technisch mogelijk wordt gebruik gemaakt van antivirussoftware.
Wanneer informatie over openbare netwerken of anderszins publiek beschikbaar kan komen, worden cryptografische maatregelen genomen om de informatie te beschermen tegen onbevoegde inzage.
5.4. Toegang op afstand
Wanneer medewerkers van TSG toegang op afstand (bijvoorbeeld telewerken via internet) kunnen krijgen tot Persoonsgegevens, is deze toegang afgeschermd met een versleutelde verbinding.
Toegang op afstand kan alleen worden verkregen door middel van het toepassen van 2-factor authenticatie (zie ook 5.2).
5.5. Continuïteit
TSG neemt passende technische en organisatorische maatregelen om de continuïteit van de geautomatiseerde gegevensverwerking te waarborgen.
5.6. Overige maatregelen
De hierboven beschreven technische en organisatorische maatregelen pretenderen niet concreet of volledig te zijn. TSG zal zich actief opstellen bij het beschermen van Persoonsgegevens en het nemen van maatregelen om deze te beschermen. In overleg kunnen verbeteringen van de beschreven maatregelen besproken worden.
6. Informatieplicht
6.1 De verantwoordelijke informeert betrokkene op verzoek over het verwerken van diens persoonsgegevens, voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan het moment van vastlegging.
6.2 De verantwoordelijke informeert betrokkene op verzoek over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt en aan wie de gegevens worden verstrekt.
Op de website van TSG, www.tersteegegroep.nl, is een privacyverklaring gepubliceerd.
7. Verwerkingsregister
TSG houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen. In het verwerkingsregister worden verwerkingsactiviteiten per categorie betrokkene en per categorie persoonsgegeven bijgehouden.
Binnen TSG kunnen de it-coördinatoren het register raadplegen en wijzigen. Zij houden het register continue en actief bij en zullen wijzigingen direct dan wel naar aanleiding van een periodieke evaluatie doorvoeren.
Het verwerkingsregister (Excel-bestand) is opgenomen in het kantoorsysteem.
8. Verwerkers en ontvangers
8.1. Verwerkers
TSG maakt bij het verwerken van persoonsgegevens gebruik van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van TSG. Met deze partijen heeft TSG verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van sub verwerkers, privacy rechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
8.2. Ontvangers
TSG verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de juridische dienstverlening, de uitvoering van een (arbeids-)overeenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.
9. Bewaartermijnen
TSG hanteert in beginsel de volgende bewaartermijnen:
-
-
- Persoonsgegevens worden bewaard zolang er vanuit de AVG een doelbinding is of indien er voldaan moet worden aan de wettelijke bewaarplicht.
- Administratie personeel/ salaris: de persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het dienstverband of de werkzaamheden van betrokkene ten behoeve van de verantwoordelijke zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
- Administratie sollicitanten: de persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van betrokkene en in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is geëindigd, tenzij de persoonsgegevens met toestemming van betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard.
- Voor het bewaren van de camerabeelden geldt de maximale wettelijke termijn. Enkel als er een incident is vastgelegd, zoals diefstal kunnen de betreffende beelden bewaard worden tot het incident is afgehandeld.
-
10. Gegevensbeschermingseffectbeoordeling (DPIA)
TSG voert slechts voor die nieuwe verwerking van persoonsgegevens een DPIA uit, wanneer op voorhand duidelijk is dat de verwerking een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan.
De DPIA omvat het volgende:
-
-
- Een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- Een beoordeling van risico’s voor de rechten en vrijheden van betrokkenen;
- De beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
-
De bevindingen naar aanleiding van een DPIA legt TSG vast in een verslag.
11. Doorgifte buiten EER
TSG geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt TSG er voor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de AVG.
12. Geen functionaris voor de gegevensbescherming
Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer het geval dat zij hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke.
Goed kan worden verdedigd dat het verwerken van bijzondere persoonsgegevens geen kernactiviteit is van TSG. De kernactiviteit van TSG is het ontwikkelen verkopen en verhuren van vastgoed, het produceren en verkopen van spoelbakken en het verkopen van bouwmaterialen aan de zakelijke markt.
Gelet op het voorgaande heeft TSG geen FG aangesteld.
13. Beveiligingsincidenten
TSG heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld.
Elk incident met betrekking tot persoonsgegevens dient te worden gemeld aan de it-coördinator. Hij/zij zal/zullen beoordelen:
-
-
- Of sprake is van een incident dat betrekking heeft op persoonsgegevens;
- Welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;
- Of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;
- Of het incident aan de AP dient te worden gemeld;
- Of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht;
- Welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.
-
TSG documenteert alle inbreuken in verband met persoonsgegevens, in het datalekkenregister. Het datalekkenregister (Excel-bestand) is opgenomen in het kantoorsysteem.
Voor het geval dat een (potentieel) incident waarvan een door TSG ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker TSG zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.
14. Rechten van betrokkenen
Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. TSG heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.
Verzoeken van betrokkenen met betrekking tot persoonsgegevens kunnen rechtstreeks worden ingediend bij de verwerkingsverantwoordelijke, dan wel per mail naar privacy@tersteegegroep.nl .
Na ontvangst van een verzoek zal de behandelaar van het verzoek eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum.
Nadat de identiteit van de verzoeker is vastgesteld, zal de behandelaar aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert de behandelaar de verzoeker binnen de eerste maand.
In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken.
—————————-
Heeft u vragen over ons Beleidsplan Gegevensverwerking, dan kunt u contact opnemen met Ter Steege Groep, Postbus 218, 7460 AE te Rijssen, algemeen telefoonnummer 0548-533215, email info@tersteegegroep.nl.
Inwerkingtreding en citeertitel
Dit reglement kan aangehaald worden als privacyreglement verwerking gegevens personeel en treedt in werking per 25 mei 2018.
Dit privacy beleid is vastgesteld door Ter Steege Samen Actief en de divisies Ter Steege Bouw Vastgoed, Ter Steege Handel en Ter Steege Industrie en vervangt eventuele vorige versies. De versie van dit document is Versie 5 en is vastgesteld op 9 november 2018.
Bijlagen:
Bijlage 1 Toelichting categorieën persoonsgegevens en verwerkingsdoelen
Bijlage 2 Personeelsadministratie
Bijlage 3 Salarisadministratie
Bijlage 4 Uitkering bij ontslag
Bijlage 5 Pensioen en vervroegde uittreding
Bijlage 1 Toelichting categorieën persoonsgegevens en verwerkingsdoelen
1.1. Huurders
Heeft u met een van onze bedrijven een huurovereenkomst gesloten of bent u voornemens dit te doen, dan worden er diverse persoonsgegevens verzameld van u en eventuele partner, gezinsleden, curator of bewindvoerder om de overeenkomst op te stellen en uit te voeren. De gegevens kunnen zijn: naam, adres, telefoonnummer, emailadres, geboortedatum, geboorteplaats, inkomensgegevens, IBAN-nummer, gezinsgrootte, beroep, BSN-nummer en identiteitsbewijs.
De gegevens worden door de verhuurder verwerkt voor de navolgende doeleinden: het uitvoeren van de huurovereenkomst, het (plannen van) onderhoud, het doen van bezichtigingen overnames, het doen van betalingen en het innen van vorderingen waaronder het in handen stellen van derden daarvan, het behandelen van geschillen, vragen, of onderzoeken, waaronder juridische procedures, het doen uitoefenen van controle, activiteiten van intern beheer, alsmede de uitvoering of toepassing van een wet. Voor deze doeleinde worden de persoonsgegevens door verhuurder en/of beheerder indien nodig verstrekt aan derden zoals de bank ten behoeve van betalingsdoeleinden, onderhoudsbedrijven die planmatig of naar aanleiding van een klacht onderhoud plegen (en waaraan naam en contactgegevens zoals telefoonnummer en emailadres en informatie over de klacht kan worden doorgegeven), kandidaat-huurders voor bezichtigingen en overnames (deze kunnen naam, telefoonnummer en emailadres ontvangen om een afspraak in te plannen), incassobureaus, deurwaarders, advocaten en gerechtelijke instanties in het kader van een betalingsachterstand of geschil, de belastingdienst en ander bevoegde autoriteiten, alsmede dienstverleners zoals IT leveranciers, accountants en auditors en advocaten.
Uw gegevens worden bewaard volgens de wettelijke bewaartermijnen of langer uitsluitend voor interne doeleinden en zijn alleen beschikbaar voor bevoegde personen binnen onze organisatie om hierboven genoemde redenen. U heeft altijd recht op inzage in uw persoonsgegevens en kunt ons verzoeken wijzigingen door te voeren of te verwijderen.
1.2. klanten met een onderhoudsovereenkomst
Heeft u met een van onze bedrijven een onderhoudsovereenkomst gesloten of voert een van onze bedrijven onderhoud aan uw woning uit en ontvangt hiervoor uw persoonsgegevens, dan worden er diverse persoonsgegevens verzameld van u en eventuele partner, gezinsleden, curator of bewindvoerder om de overeenkomst op te stellen en uit te voeren. De gegevens kunnen zijn: naam, adres, telefoonnummer, emailadres, geboortedatum, geboorteplaats, IBAN-nummer en gezinsgrootte.
De gegevens worden door onze bedrijven verwerkt voor de navolgende doeleinden: het uitvoeren van de onderhoudsovereenkomst, het (plannen van) onderhoud, het doen van bezichtigingen, het doen van betalingen en het innen van vorderingen waaronder het in handen stellen van derden daarvan, het behandelen van geschillen, vragen, of onderzoeken, waaronder juridische procedures, het doen uitoefenen van controle, activiteiten van intern beheer, alsmede de uitvoering of toepassing van een wet. Voor deze doeleinden worden de persoonsgegevens door onze bedrijven indien nodig verstrekt aan derden zoals de bank ten behoeve van betalingsdoeleinden, onderhoudsbedrijven die planmatig of naar aanleiding van een (klacht) onderhoud plegen (en waaraan naam en contactgegevens zoals telefoonnummer en emailadres en informatie over de klacht kan worden doorgegeven), voor bezichtigingen (deze kunnen naam, telefoonnummer en emailadres ontvangen om een afspraak in te plannen), incassobureaus, deurwaarders, advocaten en gerechtelijke instanties in het kader van een betalingsachterstand of geschil en ander bevoegde autoriteiten, alsmede dienstverleners zoals IT leveranciers, accountants en auditors en advocaten.
Uw gegevens worden bewaard volgens de wettelijke bewaartermijnen of langer uitsluitend voor interne doeleinden en zijn alleen beschikbaar voor bevoegde personen binnen onze organisatie om hierboven genoemde redenen. U heeft altijd recht op inzage in uw persoonsgegevens en kunt ons verzoeken wijzigingen door te voeren of te verwijderen.
1.3. Kopers
Heeft u met een van onze bedrijven een Koop-/ Aannemingsovereenkomst gesloten, of bent u voornemens dit te doen, dan worden er diverse persoonsgegevens verzameld van u en eventuele partner om de overeenkomst op te stellen en uit te voeren. De gegevens kunnen zijn: naam, adres, telefoonnummer, e-mailadres, geboortedatum, geboorteplaats, IBAN-nummer, BSN-nummer en identiteitsbewijs.
De gegevens worden door onze bedrijven verwerkt voor de navolgende doeleinden: het uitvoeren van de Koop-/ Aannemingsovereenkomst, het doen van betalingen en het innen van vorderingen waaronder het in handen stellen van derden daarvan, het behandelen van geschillen, vragen, of onderzoeken, waaronder juridische procedures, het doen uitoefenen van controle, activiteiten van intern beheer, alsmede de uitvoering of toepassing van een wet. Voor deze doeleinden worden de persoonsgegevens door onze bedrijven indien nodig verstrekt aan derden zoals de bank ten behoeve van betalingsdoeleinden, Woningborg ten behoeve van het verstrekken van het garantie- en waarborgcertificaat, onderhoudsbedrijven die naar aanleiding van een klacht onderhoud plegen (en waaraan naam en contactgegevens zoals telefoonnummer en emailadres en informatie over de klacht kan worden doorgegeven), incassobureaus, deurwaarders, advocaten en gerechtelijke instanties in het kader van een betalingsachterstand of geschil, de belastingdienst en ander bevoegde autoriteiten, alsmede dienstverleners zoals IT leveranciers, accountants en auditors en advocaten.
Uw gegevens worden bewaard volgens de wettelijke bewaartermijnen of langer uitsluitend voor interne doeleinden en zijn alleen beschikbaar voor bevoegde personen binnen onze organisatie om hierboven genoemde redenen. U heeft altijd recht op inzage in uw persoonsgegevens en kunt ons verzoeken wijzigingen door te voeren of te verwijderen.
1.4. Sollicitanten
1. De verwerking gebeurt slechts voor de volgende doeleinden:
-
-
- De beoordeling van de geschiktheid van betrokkene voor een functie die vacant is of kan komen;
- De afhandeling van de door de sollicitant gemaakte onkosten;
- De interne controle en de bedrijfsbeveiliging;
- De uitvoering of toepassing van een andere wet.
- Geen andere gegevens worden verwerkt dan:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- Een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- Nationaliteit en geboorteplaats;
- Gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige sollicitanten;
- Gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
- Gegevens betreffende de functie waarnaar gesolliciteerd is;
- Gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende de beëindiging ervan;
- Gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende de beëindiging ervan;
- Andere gegevens met het oog op het vervullen van de functie, die door de betrokkene zijn verstrekt of die hem bekend zijn;
- Andere dan de onder a tot en met i bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- Degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- Anderen, zoals gedefinieerd in artikel 2.10.1 van dit reglement.
-
Bijlage 2 Personeelsadministratie
-
-
- De verwerking geschiedt slechts voor de volgende doeleinden:
- Het geven van leiding aan de werkzaamheden van betrokkene;
- De behandeling van personeelszaken;
- Het vaststellen en doen uitbetalen van salarisaanspraken;
- Het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
- De opleiding en ontwikkeling van betrokkene;
- De bedrijf medische zorgen/ veiligheid voor betrokkene;
- Het bedrijfsmaatschappelijk werk;
- De verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
- De interne controle en de bedrijfsbeveiliging;
- De uitvoering van een voor de betrokkene geldende arbeidsvoorwaarden;
- Beheren van de aan medewerker ter beschikking gestelde middelen en/of diensten;
- Het opstellen van een lijst van data van verjaardagen van betrokkenen en andere feestelijkheden en gebeurtenissen;
- Het verlenen van ontslag;
- De administratie van de personeelsvereniging en van de vereniging van oud-personeelsleden;
- Het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
- Het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
- de uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- Een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- Nationaliteit en geboorteplaats;
- Gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
- Gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
- Gegevens betreffende de functie of de voormalige functie, alsmede betreffende de aard, de inhoud en de beëindiging van het dienstverband;
- Gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
- gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hun arbeidsomstandigheden;
- Gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- Gegevens met oog op het organiseren van de personeelsbeoordeling en de loopbaanbegeleiding, voor zover die gegevens bij de betrokkenen bekend zijn;
- Andere dan de onder a tot en met j bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- Degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- Anderen, zoals gedefinieerd in artikel 3.13.1 van dit reglement.
- Een vakbond of een vakcentrale met het oog op het overleg met haar leden over de samenstelling van de kandidatenlijst ten behoeve van een wettelijk geregelde verkiezing van de leden van een medezeggenschapsorgaan binnen de organisatie van de verantwoordelijke, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a.
-
Bijlage 3 Salarisadministratie
-
-
- De verwerking geschiedt slechts voor de volgende doeleinden:
- het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van betrokkene;
- het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
- een voor de betrokkene geldende arbeidsvoorwaarde;
- de personeelsadministratie;
- het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
- het verlenen van ontslag;
- het innen van vorderingen, waaronder het in handen van derden stellen van vorderingen;
- het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
- de uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- nationaliteit en geboorteplaats;
- gegevens als onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
- gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van de in het eerste lid bedoelde personen;
- gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
- gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- anderen, zoals gedefinieerd in artikel 3.13.1 van dit reglement.
-
Bijlage 4 Uitkering bij ontslag
-
-
- De verwerking geschiedt slechts voor de volgende doeleinden:
- De berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkeringen aan of ten behoeve van de betrokkenen;
- De berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
- Een voor de betrokkene geldende arbeidsvoorwaarde;
- De personeelsadministratie;
- De salarisadministratie;
- De vereniging van oud-personeelsleden;
- De overgang van de betrokkene naar of diens tijdelijke tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de verantwoordelijke is verbonden;
- Het verlenen van ontslag;
- Het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
- Het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
- De uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- Een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
- Nationaliteit en geboorteplaats;
- Gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige personeelsleden en oud-personeelsleden;
- Gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, met het oog op de vaststelling van de hoogte van de aanspraak aan of ten behoeve van de in het eerste lid bedoelde personen;
- Gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van de in het eerste lid bedoelde personen;
- Gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
- Andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- Degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- Anderen, zoals gedefinieerd in artikel 3.13.1 van dit reglement.
-
Bijlage 5 Pensioen en vervroegde uittreding
-
-
- De verwerking gebeurt slechts voor de volgende doeleinden:
- De vaststelling van de hoogte van de aanspraak van de betrokkene;
- Het berekenen, vastleggen en innen van premies;
- De berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkenen;
- De berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
- Het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
- Het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
- De uitvoering of toepassing van een andere wet.
- Geen andere persoonsgegevens worden verwerkt dan:
- Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bankrekeningnummer van de betrokkene;
- Een administratienummer dat geen andere informatie bevat dan bedoeld onder a, het tijdstip waarop gegevens over de betrokkene in de administratie zijn opgenomen, een verwijzing naar de werkgever door wiens tussenkomst de in het eerste lid bedoelde aanspraak tot stand is gekomen en een verwijzing naar de betrokken bedrijfstak;
- Nationaliteit en geboorteplaats;
- Gegevens, waaronder begrepen gegevens betreffende andere begunstigden dan de betrokkene, met het oog op de vaststelling van de hoogte van de aanspraak van de betrokkene;
- Gegevens met het oog op het berekenen, vastleggen en innen van premies;
- Gegevens met het oog op het berekenen, het vastleggen en het betalen van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkene;
- Andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
- De persoonsgegevens worden slechts verstrekt aan:
- Degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
- Anderen, zoals gedefinieerd in artikel 3.13.1 van dit reglement.
- Een vereniging van oud-personeelsleden ten behoeve van het overleg en de organisatie van een medezeggenschapsorgaan van gepensioneerden bij pensioenregelingen, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan betrokkene of diens wettelijk vertegenwoordiger is medegedeeld.
-