Vrijwilligerscentrale-wm

Privacybeleid

Privacy beleid PIW Groep
De PIW Groep is de koepel van een viertal stichtingen
1. Spelenderwijs, een organisatie die in allerlei vormen kinderopvang voor 0 tot en met 12
jarigen aanbiedt : peuterspeelzalen & peuteropvang, kinderdagverblijven en buitenschoolse
opvang.
2. Partners in Welzijn, de brede welzijnsorganisatie in de Westelijke Mijnstreek die actief is op
het gebied van maatschappelijke ondersteuning en diensten en activiteiten levert die gericht
zijn op versterken van zelfredzaamheid van mensen, sociale cohesie en deelname aan de
maatschappij.
3. Escplore, een stichting die combinatiefunctionarissen op de gebieden van educatie, cultuur
en sport in de regio Westelijke Mijnstreek inzet om jeugd en jongeren actief te maken op
deze gebieden.
4. Knooppunt Informele Zorg, welke zich richt op het bevorderen van een optimaal
samenhangende ondersteuning van mantelzorg, zorgvrijwilligers en zelfhulp ter versterking
van de informele zorg in de gemeente Sittard-Geleen en een of meer aan de gemeente
Sittard-Geleen grenzende gemeenten.
Binnen de stichtingen behorend tot de PIW Groep wordt veel gewerkt met persoonsgegevens van
burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de
burgers voor het goed uitvoeren van de verschillende diensten die uitgevoerd worden binnen de
stichtingen behorend tot de PIW Groep. De burger moet erop kunnen vertrouwen dat genoemde
stichtingen zorgvuldig en veilig met de persoonsgegevens omgaan.
Het bestuur, management en leidinggevenden spelen een cruciale rol bij het waarborgen van
privacy.
De PIW Groep geeft middels dit beleid een duidelijke richting aan privacy en laat zien dat zij de
privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op alle stichtingen die tot de
PIW Groep behoren, alle processen, onderdelen, objecten en gegevensverzamelingen.
Wettelijke kaders voor de omgang met gegevens
De PIW Groep is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid.
Hiervoor gelden onder andere de volgende wettelijke kaders:
• Wet Bescherming Persoonsgegevens (Wbp) 1, vanaf 25 mei 2018 vervangen door de
Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)
• Uitvoeringswet Algemene Verordening Gegevensbescherming
Uitgangspunten
De stichtingen behorend tot de PIW Groep gaan op een veilige manier met persoonsgegevens om en
respecteren de privacy van betrokkenen. De stichtingen houden zich hierbij aan de volgende
uitgangspunten:
Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze
verwerkt.
Grondslag en doelbinding
De stichtingen behorend tot de PIW Groep zorgen ervoor dat persoonsgegevens alleen voor
welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt.
Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie
De stichtingen behorend tot de PIW Groep verwerken alleen de persoonsgegevens die minimaal
noodzakelijk zijn voor het vooraf bepaalde doel. Zij streven naar minimale gegevensverwerking. Waar
mogelijk worden minder of geen persoonsgegevens verwerkt.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens
kan nodig zijn om wettelijke verplichtingen te kunnen naleven.
Integriteit en vertrouwelijkheid
De stichtingen behorend tot de PIW Groep gaat zorgvuldig om met persoonsgegevens en behandelt
deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een
geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de PIW
Groep voor passende beveiliging van persoonsgegevens.
Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van
persoonsgegevens, maakt de PIW Groep afspraken over de eisen waar gegevensuitwisseling aan
moet voldoen. Deze afspraken voldoen aan de wet. De PIW Groep controleert deze afspraken elke 3
jaar of zoveel eerder dan noodzakelijk.
Subsidiariteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op
de persoonlijke levenssfeer van de betrokken burger zoveel mogelijk beperkt.
Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de
verwerking te dienen doel.
Rechten van betrokkenen
De stichtingen behorend tot de PIW Groep honoreren alle rechten van betrokkenen.
Dit privacy beleid treedt in werking na vaststelling door de Raad van Bestuur. Het beleid wordt iedere
3 jaar geëvalueerd en indien nodig herzien. De meest actuele versie van het beleid is te vinden op de
websites van de stichtingen behorend tot de PIW Groep.
Aldus vastgesteld door Raad van Bestuur op 30 maart 2018
Marc Schats,( Raad van Bestuur ) Carel Seijben (Raad van Bestuur)

Privacyreglement stichtingen behorend tot de PIW Groep
In dit reglement laat de PIW Groep en de daartoe behorende stichtingen zien op welke manier zij
dagelijks omgaan met persoonsgegevens en privacy.
Privacy speelt een belangrijke rol in de relatie tussen de burger en stichtingen behorend tot de PIW
Groep. De PIW Groep respecteert de privacy van alle gebruikers van haar diensten en draagt er zorg
voor dat de persoonlijke informatie die verschaft wordt vertrouwelijk wordt behandeld. De
organisatie is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het
verzamelen, bewaren en beheren van persoonsgegevens van burgers. Goed en zorgvuldig omgaan
met persoonsgegevens is een dagelijkse bezigheid , temeer daar alle dienstverlening gebaseerd is op
vrijwilligheid en vertrouwen. Het beschermen van de privacy is complex, en wordt steeds complexer
door technologische ontwikkelingen, de decentralisaties, grote uitdagingen op het terrein van
veiligheid en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn
over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.
1. Wetgeving en definities
Op dit moment heeft elke lidstaat van de Europese Unie een eigen privacywet, gebaseerd op de
Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelt het juridische
kader voor de omgang met persoonsgegevens in Nederland. Op 25 mei 2018 vervalt de Wbp en
treedt de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG), in werking,
samen met de uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor
versterking en uitbreiding van de privacy rechten met meer verantwoordelijkheden voor
organisaties.
De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):
Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene
van wie de gegevens worden verwerkt.
Verwerker: De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere
persoon of organisatie.
Persoonsgegevens: Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt
herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, maar om ieder gegeven dat te
herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone
persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over
gevoelige onderwerpen, zoals godsdienst of levensovertuiging, etnische achtergrond, gezondheid,
seksueel leven, strafrechtelijke geschiedenis, opgelegd verbod in verband met onrechtmatig of
hinderlijk gedrag, politieke voorkeuren, genetische-of biometrische gegevens of het
Burgerservicenummer (BSN).
Verwerkingsverantwoordelijke: Een persoon of instantie (i.d PIW groep en de daartoe behorende
stichtingen-verder genoemd PIW groep) die alleen, of samen met een ander, het doel en de
middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerking: Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen,
bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.
Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende ondubbelzinnige
wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve
handling verwerking van zijn persoonsgegevens aanvaardt.
AP (Autoriteit persoonsgegevens): zelfstandig bestuursorgaan dat bij wet als toezichthouder is
aangesteld voor het toezicht op verwerken van persoonsgegevens.
2. Reikwijdte
Het reglement is van toepassing op alle verwerkingen van persoonsgegevens die binnen de
stichtingen behorend tot de PIW Groep plaatsvinden.

3. Vertegenwoordiging
1. Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag
uitoefenen, dan wel de voogd in plaats van de betrokkene.
2. Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf tot achttien jaar heeft en niet in
staat kan worden geacht tot een redelijke waardering van zijn belangen terzake.
3. Een betrokkene van 16 jaar en ouder die in staat is tot een redelijke waardering van zijn
belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen.
4. Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een
redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of
voogd op.
5. Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een
redelijke waardering van zijn belangen terzake, treedt in volgorde als hier weergegeven, als
vertegenwoordiger voor hem op:
• indien de betrokkene onder curatele staat of ten behoeve van hem het mentorschap is
ingesteld; de curator of mentor;
• indien de betrokkene deze schriftelijk heeft gemachtigd, de persoonlijk gemachtigde;
• indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of andere
levensgezel van de betrokkene;
• indien deze persoon dat niet wenst op ontbreekt; een kind, broer of zus van de
betrokkene.
6. De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed
vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn
taken te betrekken.
4. Verantwoordelijke
Het bestuursorgaan van de PIW Groep is verantwoordelijk voor de verwerkingen die door of namens
de stichtingen behorend tot de PIW Groep worden uitgevoerd.
5. Verwerkingen (Artikel 4, AVG)
De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt onder een
verwerking:
• Verzamelen, vastleggen en ordenen
• Bewaren, bijwerken en wijzigen
• Opvragen, raadplegen, gebruiken
• Verstrekken
• Verspreiding of enige andere vorm van ter beschikking stellen
• Samenbrengen, met elkaar in verband brengen
• Afschermen, uitwissen of vernietigen van gegevens
Uit deze opsomming blijkt dat alles wat je met een persoonsgegeven doet een verwerking is.
6. Toegang tot gegevens
Directe toegang tot persoonsgegevens hebben alleen die personen die behoren tot de
verantwoordelijke of van de bewerker en uitsluitend voor zover noodzakelijk voor de uitvoering van
hun taak. Anderen dan zojuist genoemde personen hebben slechts toegang indien een wettelijk
voorschrift verplicht tot het verlenen van toegang. Gegevens worden alleen verwerkt door personen
die krachtens een overeenkomst tot geheimhouding zijn verplicht.
7. Doeleinden (Artikel 5, AVG)
Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is
vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen

niet voor andere doelen verwerkt worden. Voor de uitvoering van sommige wetten, zoals
bijvoorbeeld de Jeugdwet, zijn de doelen voor het verwerken in de wet al vastgelegd, net als de
persoonsgegevens die gevraagd en verwerkt mogen worden.
8. Doel van de gegevensverwerking
Persoonsgegevens worden verwerkt in relatie tot de te verrichten dienstverlening.
Doel van de gegevensverwerking is:
a) Het mogelijk maken van de uitvoering van de dienstverlening die door stichtingen behorend
tot de PIW Groep worden verleend.
b) Het voldoen aan wettelijke verplichtingen in het kader van de uitvoering van de taken.
c) Het vastleggen van gegevens met het oog op het ontwikkelen van beleid, ten behoeve van
wetenschappelijk onderzoek en advisering.
d) Het vastleggen van gegevens die nodig zijn voor een verantwoorde bedrijfsvoering van
alsmede het voldoen aan wettelijke verplichtingen die samenhangen met
subsidievoorwaarden.
9. Rechtmatige grondslag (Artikel 6, AVG)
De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet
van toepassing moet zijn. Dat betekent dat de verwerking alleen mag plaatsvinden:
1. akkoord is vanuit de betrokkene door toestemming voor een of meer specifieke doeleinden.
(bv. toestemming voor uitwisselen gegevens t.b.v. goede hulpverlening)
2. noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of
om maatregelen te nemen op verzoek van de betrokkene vóór de sluiting van een
overeenkomst.( bv. Plaatsingsovereenkomst kind binnen kinderopvang)
3. noodzakelijk is om te voldoen aan een wettelijke verplichting die op de organisatie rust.( bv
belastingwet)
4. noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke
persoon te beschermen (bv. gezondheid of veiligheid)
5. noodzakelijk is voor de vervulling van een taak van algemeen belang
6. noodzakelijk is voor de gerechtvaardigde belangen (bv. personeelsadministratie) van uw
organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op
het gebied van gegevensbescherming van de betrokkene, zwaarder wegen (met name bij een
kind).
10.Wijze van verwerking
De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in
overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel
mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat
verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.
In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen
mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder
(belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen
worden.
Regels voor verwerking bijzondere persoonsgegevens:
Behoudens het bij of krachtens wet bepaalde is verwerking van bijzonder persoonsgegevens
verboden. Indien de betrokkenen ondubbelzinnige toestemming heeft gegeven en de verwerking
gerelateerd is aan de geboden dienstverlening, is verwerking toegestaan.
De PIW Groep kan zonder toestemming van de betrokkene bijzondere persoonsgegevens verwerken
indien uit een signaal of melding redelijkerwijs een vermoeden van mishandeling of verwaarlozing
kan worden afgeleid. (bv. grondslag vitaal belang of wet meldcode HGKM)

11.Transparantie en communicatie
Informatieplicht (Artikel 13,14, AVG)
De PIW Groep informeert betrokkenen tijdens het eerste contact waarbij registratie plaatsvindt dat
er persoonsgegevens worden geregistreerd en stellen betrokkenen op de hoogte van de manier
waarop er met persoonsgegevens om wordt gegaan. Tevens wordt de betrokkene geïnformeerd
over het bestaan en de wijze van opvragen van het Privacyreglement.
Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt
de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.
Verwijdering De stichtingen behorend tot de PIW groep bewaren de persoonsgegevens niet langer
dan nodig is voor de uitvoering hun taken, of zoals vastgelegd in de Archiefwet. Wanneer er nog
persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden
deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden
aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.
Rechten van betrokkenen (Artikel 13 t/m 20, AVG)
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar
bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten
worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:
Recht op informatie: Betrokkenen hebben het recht om aan de stichtingen behorend tot de PIW
Groep te vragen of zijn/haar persoonsgegevens worden verwerkt.
Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier,
zijn/haar gegevens worden verwerkt. Persoonlijke aantekeningen en rapporten die in bewerking zijn,
zijn geen onderdeel van het dossier en derhalve niet ter inzage.
Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, deze feitelijk onjuist, voor het doel
van de verwerking onvolledig of niet ter zake doende zijn, dan wel in strijd met een wettelijk
voorschrift kan de betrokkene een verzoek indienen om dit te corrigeren.
Recht op dataportabiliteit: betrokkenen hebben het recht te vragen om zijn persoonsgegevens in en
gestructureerde, gangbare en machine leesbare vorm te verkrijgen of over te dragen aan een andere
verantwoordelijke. Het gaat hierbij om digitale persoonsgegevens die de organisatie
of met
toestemming
verwerkt of om een overeenkomst met betrokkenen uit te voeren.
Recht van verzet: Betrokkenen hebben het recht te vragen om hun persoonsgegevens niet meer te
gebruiken.
Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om
gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten
verwijderen.
Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking
van zijn/haar persoonsgegevens. De PIW Groep zal hieraan voldoen, tenzij er gerechtvaardigde
gronden zijn voor de verwerking.
Indienen van verzoek
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan
zowel schriftelijk als via de e-mail ingediend worden. De PIW Groep heeft vier weken de tijd, vanaf de
ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken
zal de organisatie laten weten wat er met het verzoek gaat gebeuren.
Rechten kunnen worden geweigerd als het een onevenredig nadeel voor een derde met zich mee
brengt. Een weigering is altijd met redenen omkleed.
Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij de PIW Groep,
of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan
de PIW Groep aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

12. Geautomatiseerde verwerkingen
Profilering (Artikel 22, AVG)
Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens
plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een
persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen
voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses,
gedrag of locatie.
Om profilering wat duidelijker te maken gebruiken we het volgende voorbeeld: Wanneer een
bezoeker op de website naar een bepaalde dienst kijkt, mag de PIW Groep geen actie ondernemen
om de dienst aan te bieden. De PIW groep mag wel bekijken hoe vaak een bepaalde dienst bekeken
is, maar dus niet specifiek gericht adverteren. Daarnaast geeft de wet aan dat er geen besluit mag
worden genomen op basis van profilering.
Inzet van camera’s Binnen de PIW Groep wordt onder bepaalde omstandigheden gebruik gemaakt
van cameratoezicht. Cameratoezicht wordt onder andere gebruikt voor het vergroten van de
veiligheid . Camera’s kunnen een grote inbreuk maken op de privacy van diegene die gefilmd
worden. Om de privacy zo goed mogelijk te waarborgen worden camera’s alleen ingezet wanneer er
geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van
camera’s.
De PIW groep maakt gebruik van cameratoezicht in de werkomgeving , op de tweede verdieping van
het centraal bureau .
Informatieplicht cameratoezicht
De werkgever informeert de werknemers en bezoekers zodat zij weten dat er een camera hangt.
13. Plichten van de PIW Groep
Register van verwerkingen (Artikel 30, AVG)
De PIW groep is verantwoordelijk voor het aanleggen van een register van alle verwerkingen
waarvan de PIW Groep de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van
wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:
• De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de
gezamenlijke verwerkingsverantwoordelijke;
• De doelen van de verwerking;
• Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
• Een beschrijving van de ontvangers van de persoonsgegevens;
• De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
• Een algemene beschrijving van de beveiligingsmaatregelen.
14. Beveiliging van gegevensverwerking
1. De verantwoordelijke neemt passende technische en organisatorische maatregelen om het
verlies van gegevens of onrechtmatige verwerking tegen te gaan.
2. Autorisaties: er zijn per medewerker gebruikersrechten toegekend voor het gebruik van
software van de organisatie door middel van een wachtwoord en/of autorisatie per functie.
Het wachtwoord is persoonsgebonden en mag niet worden doorgegeven.
3. Medewerkers mogen alleen die persoonsgegevens inzien die voor hun taakuitoefening
noodzakelijk zijn.
15. Bewaren van gegevens (art. 5 lid 1 sub e AVG)
1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de realisatie van de
doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
2. De verantwoordelijke hanteert wet-en regelgeving omtrent bewaartermijnen
persoonsgegevens.

3. Gegevens noodzakelijk voor verantwoording, beleidsvorming, historische of statistische
doeleinden worden uitsluitend geanonimiseerd bewaard.
4. Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene doet een
verzoek tot verwijdering voor het verstrijken van de bewaartermijn, worden de
desbetreffende persoonsgegevens verwijderd, zulks binnen een termijn van drie maanden.
5. Verwijdering blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de
bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede bewaring
op grond van een wettelijk voorschrift vereist is of indien daarover tussen de betrokkene en
de verantwoordelijke overeenstemming bestaat.
6. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer
om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige
verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de
technieken de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de
risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
Aanstellen van een Functionaris voor gegevensbescherming (FG) (Artikel 37 t/m 39, AVG)
De PIW groep heeft de kwaliteitsmedewerker de taak privacy toebedeeld. Deze medewerker is
betrokken bij aangelegenheden die verband houden met de bescherming van persoonsgegevens. De
taken van deze medewerker zijn informeren, adviseren, toezicht houden, bewustwording creëren, en
optreden als contactpersoon van het AP. Het is niet de bedoeling dat deze medewerker de taken op
het gebied van bescherming van de privacy van de stichtingen behorend tot de PIW Groep
overneemt. De stichtingen hebben hun eigen verantwoordelijkheid in het goed omgaan met
privacygevoelige gegevens. Een verwerking van persoonsgegevens wordt eerst gemeld voordat de
verwerking begint. De kwaliteitsmedewerker is verantwoordelijk voor het structureel toetsen van de
implementatie en de uitvoering van de wettelijke eisen en de richtlijnen van de organisatie op het
gebied van privacy. Voor vragen over privacy of over deze toelichting kunt u contact opnemen met
Annemie Bours
abours@piw.nl
Datalekken (Artikel 33,34, AVG)
We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen
toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt de
verantwoordelijke dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is
vernomen, aan het AP. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de
melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en
vrijheden van de betrokkenen. In dit geval meldt de verantwoordelijke dit aan de betrokkenen in
eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande
datalekken geëvalueerd.
Afsluiting
Als de stichtingen behorend tot de PIW Groep in het kader van de AVG een verplichting niet nakomt
kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling PIW Groep worden
behandeld. (zie website
www.piwgroep.nl klachtenregeling)
Disclaimer: Dit product is een eenvoudige en begrijpbare vertaling van de huidige privacywetgeving en
gebaseerd op de AVG. Vanzelfsprekend is de toepasbare wet- en regelgeving altijd leidend en kunnen er geen
rechten ontleend worden aan dit document.

Bijlage 1
Bewaartermijnen
Algemene regel
Zodra de AVG van toepassing is, gelden dezelfde regels voor het bewaren van persoonsgegevens als
nu. Het uitgangspunt blijft dat persoonsgegevens niet langer bewaard mogen worden dan
noodzakelijk voor het doel van de verwerking.

Organisatie dient In beginsel 7 jaar na beëindiging overeenkomst.
BSN, betaalgedrag, polisnummers, gehele administratie rondom het
betalen van facturen dienen beperkt bewaard te worden.
Organisatie dient termijn te bepalen.
Werknemers en Werkgevers
Vanuit arbeidsrelatie ikv
belastingwetten en
arbeidsrecht
De basisgegevens zoals NAW, geboortedatum, BSN en een kopie
van het identiteitsbewijs maximaal
5 jaar na het einde van het
kalenderjaar van uitdiensttreding bewaren.
De fiscale gegevens zoals woon-werkverkeer, secundaire
arbeidsvoorwaarden of de verklaring woon-werkverkeer
minimaal 7
jaar
te bewaren.
Voor persoonsgegevens over de arbeidsovereenkomst of
wijzigingen, correspondentie benoemingen, promotie en demotie,
correspondentie ontslag, VUT-regeling, kopieën van het
getuigschrift, verslagen functioneringsgesprekken of omtrent Wet
Verbetering Poortwachter, correspondentie over ziekte van UWV en
bedrijfsarts, verslagen van financiële problemen, verslagen rondom
probleemsituaties enz. geldt een bewaartermijn van maximaal
2 jaar na beëindiging van het dienstverband.
Gegevens loonbelasting 5 jaar
Subsidieadministratie 15 jaar
Sollicitatiegesprekken
bewaren
Gegevens die gedurende de sollicitatieprocedure zijn verkregen,
dient u in beginsel binnen
4 weken te wissen. Indien de sollicitant
heeft ingestemd met het bewaren van een sollicitatiebrief, CV of
andere gegevens, kunt u deze gegevens maximaal
één jaar.
Camerabeelden Uit de richtlijn volgt dat camerabeelden tot maximaal 4 weken
kunnen worden bewaard[viii], tenzij een bepaald incident is
vastgelegd, zoals een strafbaar feit of een verzekeringskwestie. Dan
mag de organisatie de beelden bewaren totdat het incident is
afgehandeld.
dossiers hulpverlening jeugd 15 jaar conform Jeugdwet
Dossier hulpverlening
volwassenen
15 jaar conform WMO
Logfiles van computers , email
en internet monitoring
6 maanden



Bijlage 2
Gebruik en inzage klant/gebruikersgegevens
Als algemeen principe geldt dat:
Iedereen binnen de PIWGroep en de daarbij behorende stichtingen respecteert de privacy van de
klant/gebruikers van diensten.
Er worden geen documenten met persoonsgegevens gebruikt, wanneer toepassing van
normen ook op basis van andere informatie kan worden aangetoond.
Bij steekproeven door auditoren hoeven geen namen bekend te zijn
Toegang hebben alleen diegene die vanuit hun functie een taak hebben die de toegang rechtvaardigt

Wie Welke gegevens Wanneer
Secretariaat/
baliemedewerkers/ betrokken
hulp(dienst)verleners/ direct
leidinggevende
NAW gegevens
klanten/gebruikers van diensten
bij stichtingen behorende tot
PIW Groep
Bij af/aanmelding bij ziekte, verlof,
spoedeisende zaken
Betrokken hulpverleners Klant/cliënt dossier Partners in
Welzijn
Kinddossier Spelenderwijs
Bij overname/overdracht/
spoedeisende zaken van
(cliënt)dossier
Teamverantwoordelijke Klant/cliënt dossier Partners in
Welzijn
Kinddossier Spelenderwijs
Bij overname/overdracht/
spoedeisende zaken van
(cliënt)dossier
Bestuur/manager Klant/cliënt dossier Partners in
Welzijn
Kinddossier Spelenderwijs
In uitzonderlijke gevallen kan de
Bestuur/manager in kader van haar
verantwoordelijkheid van de
organisatie beslissen dat hijzelf of zijn
vertegenwoordiger inzage heeft in
een dossier bv bij klachtbehandeling
Criteria hierbij zijn:
Het gaat over (een)
welbepaald(e) dossiers
Op (een) bepaald(e) moment
De informatie kan op geen
andere wijze verkregen worden.
Erkende auditoren Klant/cliënt dossier Partners in
Welzijn
Kinddossier Spelenderwijs
Toetsen van normen t.b.v.
verkrijgen/behouden van een
erkenning
Externe klachtencommissie Klant/cliënt dossier Partners in
Welzijn
Kinddossier Spelenderwijs
Behandelen van een klacht
Administratie/ betrokken
dienstverleners/
ondersteunende diensten
NAW gegevens deelnemers
activiteiten bij stichtingen
behorend tot de PIW Groep
Voor financiële administratie/
contributies, informatie over
activiteiten