Inleiding
1.1 In de Wet Bescherming Persoonsgegevens is vastgelegd hoe en onder welke voorwaarden organisaties persoonsgegevens mogen vastleggen. Daarnaast stelt de Europese richtlijn Algemene Verordening Gegevensbescherming (AVG) eisen aan het vastleggen van privacygevoelige gegevens. In dit privacyreglement geeft Factor Twee aan op welke wijze hier invulling aan gegeven wordt.

1.2 Gegevens worden verwerkt en zo nodig gemeld in overeenstemming met de voorschriften van de Wet Bescherming Persoonsgegevens.

Doel
2.1 Om als organisatie goed te kunnen werken is het van belang om gegevens, waaronder ook persoonsgegevens, goed vast te leggen. Wij gebruiken die gegevens bijvoorbeeld om de trajecten goed uit te voeren en onze deelnemers optimaal van dienst te zijn. De norm is dat wij niet meer gegevens verwerken dan noodzakelijk en vertrouwelijk met deze gegevens omgaan.

2.2 De bescherming van de privacy van onze deelnemers en medewerkers is belangrijk voor Factor Twee. Persoonlijke gegevens behandelt en beveiligt Factor Twee dan ook met de grootst mogelijke zorgvuldigheid. Dit geldt voor gegevens van deelnemers en oud-deelnemers. Ook voor de verwerking van andere persoonsgegevens ((oud)-medewerkers, opdrachtgevers en relaties) hanteert Factor Twee dezelfde normen.

2.3 Met dit reglement informeert Factor Twee deelnemers en medewerkers over de manier waarop wij met persoonsgegevens omgaan. Ook waarborgt Factor Twee hiermee de rechten van iedereen die hierbij is betrokken.

Algemene verklaring
3.1 Factor Twee en alle medewerkers, hierna te noemen ‘gezamenlijke uitvoerders’, verklaren alle informatie over deelnemers vertrouwelijk te behandelen.

3.2 De gezamenlijke uitvoerders verklaren dat zij niet zonder schriftelijke toestemming vooraf informatie over deelnemers aan derden verstrekken, tenzij verstrekking moet plaatsvinden op grond van wettelijke voorschriften.

3.3 De gezamenlijke uitvoerders weten dat alle deelnemersgegevens persoonsgegevens zijn, zoals omschreven in de Algemene Verordening Gegevensbescherming.

3.4 De gezamenlijke uitvoerders verplichten zich geheimhouding krachtens bepaalde in de Organisatiewet Sociale Verzekeringen 1997 integraal na te komen.

Privacyreglement
4.1 Informatieplicht

a. Om deze activiteiten goed uit te voeren werken wij soms samen met derden. Dat doen wij alleen als dat nodig is en het past binnen onze doelstelling.

b. De verwerking van gegevens die noodzakelijk is voor de onder a vermelde doeleinden is voor zover nodig gemeld bij de Autoriteit Persoonsgegevens en daar opgenomen in het openbaar register.

4.2 Verwerking van persoonsgegevens

a. Wij verwerken alleen persoonsgegevens als deze relevant en redelijk zijn, gelet op het doel waarvoor we de gegevens van klanten vragen. Door middel van de informatieplicht informeren wij deelnemers over de wijze waarop wij met persoonsgegevens omgaan. Wij verwerken persoonsgegevens voor activiteiten die nodig zijn om onze diensten goed uit te kunnen voeren. Hieronder verstaan wij:
– Het onderhouden van contacten
– Een goede en efficiënte dienstverlening
– Zorgvuldig beheer van het deelnemersbestand
– Het verrichten van administratieve handelingen, zoals planning
– Het bieden van begeleiding op maat
– Rapporteren voor verantwoording aan opdrachtgevers
– Nakoming van de wettelijke verplichtingen
– Facturering

b. Wij registreren de volgende gegevens van deelnemers:
– Naam en voornamen deelnemer
– Adres
– Postcode en woonplaats
– Geboortedatum
– Telefoonnummer(s)
– E-mailadres
– Medische gegevens (voor zover ten behoeve van)
– Curriculum Vitae
– Gegevens betreffende het dienstverband of arbeidsverleden
– Kopie van het legitimatiebewijs
– Plan van aanpak/werkplan UWV of gemeente
– Functionele mogelijkheden en belastbaarheid
– Gespreksverslagen en rapportages

c. Wij ontvangen de persoonsgegevens van de deelnemer zelf of van de opdrachtgever (na akkoord deelnemer).

d. Wij nemen gegevens op die noodzakelijk zijn voor onze administratie zoals hierboven beschreven onder b. daarnaast nemen we gegevens op over woonsituaties, contactmomenten etc. Deze dossiers zijn alleen toegankelijk voor medewerkers van Factor Twee die over deze informatie horen te beschikken.

e. In principe leggen wij alle onder b. genoemde gegevens vast. Als de deelnemer uitdrukkelijk aangeeft zijn/haar telefoonnummer en/of e-mailadres geheim te willen houden, zullen wij deze gegevens niet aan derden verstrekken.

4.3 Verstrekken van gegevens

a. Wij verstrekken alleen gegevens binnen de grenzen van wet- en regelgeving.

b. Wij gebruiken de gegevens niet voor commerciële of charitatieve doeleinden.

c. De gegevens van deelnemers kunnen wij voor statistische of wetenschappelijke doeleinden gebruiken. De deelnemer blijft daarbij anoniem. In de resultaten van deze onderzoeken zijn de gegevens niet meer naar individuele deelnemers te herleiden.

d. Als wij samenwerken met derden en daarbij persoonsgegevens uitwisselen om onze doelen te bereiken, dan sluiten wij met deze derde een schriftelijk overeenkomst. In die overeenkomst wordt vastgelegd waarvoor deze gegevens bedoeld zijn en dat deze uitsluitend voor dat doel (mogen) worden gebruikt.

4.4 Rechten
De deelnemer heeft de volgende rechten:
a. Recht op inzage.
De deelnemer (of zijn/haar wettelijk vertegenwoordiger) heeft het recht om het eigen dossier in te zien en een afschrift te ontvangen. Dit is gratis. De deelnemer kan hier mondeling of schriftelijk om vragen en de deelnemer moet zich daarbij legitimeren. De deelnemer dient het verzoek in bij onze afdeling Administratie. Onze verantwoordelijke medewerker stelt de identiteit van de deelnemer dan vast. De deelnemer ontvangt binnen vijf werkdagen een antwoord op het verzoek. Als in het dossier van een klant gegevens van derden zijn opgenomen, zoals namen van medewerkers of derden, dan kunnen zij mogelijk bezwaar hebben tegen inzage. Voordat we een deelnemer inzage verlenen, vragen we dit eerst aan de betreffende persoon. Mocht dit niet mogelijk zijn beslissen wij of de deelnemer het dossier wel of niet mag inzien. Eventueel schermen we de gegevens gedeeltelijk af.

b. Recht op correctie.
De deelnemer heeft het recht gegevens te corrigeren als deze onjuist of onvolledig zijn. Ook kan de deelnemer gegevens corrigeren als ze niet relevant zijn voor het doel, of als ze in strijd met een wettelijk voorschrift zijn opgenomen. Als de deelnemer zijn/haar gegevens wil corrigeren dan vraagt de deelnemer dit schriftelijk bij onze afdeling Administratie aan en legitimeert de deelnemer zich. De deelnemer noemt in zijn/haar brief wat deze wil veranderen. We laten de deelnemer binnen tien werkdagen weten of we de gewenste wijziging(en) doorvoeren. Als wij het verzoek afwijzen, geven wij hiervoor onze redenen. Als de deelnemer het niet eens is met wat wij in het dossier hebben opgenomen, maar de hiervoor geldende criteria gelden niet, dan kan de deelnemer wel een eigen zienswijze aan zijn/haar dossier laten toevoegen. Als het verzoek om correctie terecht is laten wij dit ook weten aan eventuele derden aan wie wij eerder de gegevens hebben verstrekt. Dat doen wij alleen als dat ook mogelijk is en geen onevenredige inspanning vraagt.

c. Recht op verzet.
Als de deelnemer niet wil dat wij de gegevens verstrekken aan bepaalde ontvangers, kan de deelnemer ons vragen of wij dit niet willen doen. Hiervoor voert de deelnemer bijzondere persoonlijke omstandigheden aan. Binnen tien werkdagen nemen wij dan een beslissing op dat verzoek.

d. Recht op verwijdering.
Conform AVG zijn wij verplicht om persoonsgegevens uit te wissen als:
– De toestemming door de deelnemer is ingetrokken en er geen andere grond is voor de verwerking van de gegevens;
– de deelnemer bezwaar heeft gemaakt tegen de verwerking van de gegevens
– de gegevens onrechtmatig zijn verwerkt
– verwijdering verplicht is op grond van de wet
– de gegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij

e. Recht op beperking van de verwerking van persoonsgegevens (bijvoorbeeld als de deelnemer de juistheid van de gegevens betwist) en recht op gegevensoverdraagbaarheid.

f. Uitzonderingen op deze rechten.
Wij kunnen de informatieplicht en het recht op inzage buiten beschouwing laten. Ons bestuur beoordeelt of we een dergelijke uitzondering maken. Beperking van rechten is alleen mogelijk als dit noodzakelijk is in het belang van:
– de veiligheid van de staat
– de voorkoming, opsporing en vervolging van strafbare feiten
– gewichtige economische en financiële belangen van de staat en andere openbare lichamen
– het toezicht op de naleving van wettelijke voorschriften zoals bedoeld onder het 2e en 3e gedachtestreepje hierboven
– de bescherming van betrokkene of van de rechten en vrijheden van anderen.

4.5 Bewaartermijn
Wij bewaren persoonsgegevens niet langer dan noodzakelijk en toegestaan is. Als deze periode voorbij is schonen wij de dossiers op. Persoonsgegevens bewaren wij tot 7 jaar in geval van UWV dienstverlening en tot 15 jaar in geval van WMO zorg, nadat het traject is beëindigd. Daarmee komen wij onze wettelijke administratieve bewaarplicht na.

4.6 Klachten
a. Als de deelnemer het niet eens is met de uitvoering van de bepalingen in dit reglement, verwijzen wij naar onze interne klachtenprocedure. De deelnemer kan de klacht schriftelijk of mondeling indienen.
b. Als de deelnemer niet tevreden is met de klachtafhandeling door ons, dan kan de deelnemer met de klacht terecht bij de Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag. De deelnemer kan de Autoriteit Persoonsgegevens vragen om te bemiddelen of om de deelnemer te adviseren. Op de website van de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl) kan de deelnemer ook andere mogelijke vervolgacties vinden, waaronder naar de rechter gaan.

Bijlage 1 – definities

AVG: De Europese Algemene Verordening Gegevensbescherming.
Autoriteit Persoonsgegevens: De Autoriteit persoonsgegevens is een onafhankelijk orgaan dat toezicht houdt op de naleving van de Wet Bescherming Persoonsgegevens.
Betrokkene: Degene op wie een persoonsgegeven betrekking heeft, bijvoorbeeld, deelnemers, opdrachtgevers of medewerkers.
Derde: Een ander dan de betrokkene of verantwoordelijke. En iemand anders dan de persoon die de persoonsgegevens bewerkt of hiervoor gemachtigd is door de verantwoordelijke of de bewerker.
Gegevens verstrekken: Persoonsgegevens bekend maken of ter beschikking stellen.
Gegevens verwerken: Elke handeling of een geheel van handelingen gericht op persoonsgegevens. Hieronder valt in ieder geval het:
verzamelen
vastleggen
ordenen
bewaren
bijwerken
wijzigen
opvragen
raadplegen
gebruiken
verstrekken, doorsturen, verspreiden of enige andere vorm van terbeschikkingstelling
samenbrengen
met elkaar in verband brengen
afschermen
uitwissen
vernietigen van gegevens.

Melding artikel 27 WBP: De verplichte melding van de verwerking van persoonsgegevens. Deze melding is opgenomen in het openbaar register van het College Bescherming Persoonsgegevens (CBP).
Ontvanger: Degene aan wie persoonsgegevens worden verstrekt. Hieronder vallen ook de medewerkers van Factor Twee.
Verantwoordelijke: Factor Twee, degene die het doel en de middelen voor de verwerking van persoonsgegevens vastlegt.