Privacyverklaring NCPSB

Privacybeleid

  1. Algemeen
  2. Omvang en context van gegevensverwerking
  3. Het doel van gegevensverwerking
  4. Dataminimalisatie- en Beveiligingsbeleid
  5. Verstrekking aan derden
  6. Cookies
  7. Beleid omtrent de rechten van betrokkenen
  8. Beleid datalekken
  1. Algemeen

Het Nationaal Centrum Preventie Stress en Burn-out, hierna te noemen, NCPSB, gaat uiterst zorgvuldig om met de verwerking van persoonsgegevens van de gebruiker van online producten van NCPSB. NCPSB verzamelt alleen die persoonsgegevens welke noodzakelijk zijn om de producten van NCPSB aan de gebruiker te onderhouden en te verbeteren.
De persoonsgegevens van de gebruiker worden met inachtneming van de geldende privacy wetgeving verwerkt, opgeslagen en beheerd.
NCPSB hecht veel waarde aan een duidelijk en transparant privacy beleid. Klachten en suggesties dienaangaande zijn welkom en kunnen worden gericht tot de privacyfunctionaris van NCPSB via
e-mailadres: s.vdhaak@nationaalcentrumpreventiestressenburn-out.nl

  1. Omvang en context van gegevensverwerking

Bij en/of na bezoek van de NCPSB website, dan wel voor gebruik van de NCPSB-dienstverlening verzamelt NCPSB twee soorten gegevens van de gebruiker:

De VMC test wordt volstrekt anoniem verwerkt en opgeslagen in de systemen van NCPSB.
• Verkeersgegevens, dit zijn statistische geanonimiseerde gegevens over het bezoek van de NCPSB website, onder meer gegevens over het aantal bezoekers en welke pagina’s worden bezocht;
• Persoonlijke gegevens die herleidbaar zijn tot individuele natuurlijke personen, onder meer gebruikersnaam, opleidingsniveau, e-mailadres, geslacht, geboortedatum, woonplaats die de persoonlijke eigenaar zelf op de site aan NCPSB verstrekt heeft.

Het eigendom van de door NCPSB verzamelde persoonsgegevens blijft toebehoren aan de gebruikers zelf. NCPSB bewaart de verzamelde persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor NCPSB deze verzamelt of verwerkt (zie verder bij 3).

  1. Het doel van gegevensverwerking

NCPSB verwerkt en verzamelt persoonsgegevens uitsluitend met het doel om gebruikers adequaat te kunnen toelaten tot of informeren over de dienstverlening van NCPSB.
Statistisch geanonimiseerde gegevens worden door NCPSB verwerkt om inzicht te krijgen in de bereikbaarheid van NCPSB en worden aangewend om de NCPSB website en dienstverlening te optimaliseren. Statistisch geanonimiseerde testgegevens worden door NCPSB verwerkt tot normgroepen voor het valideren van tests en tot geanonimiseerde data omtrent het thema burn-out en/of werkstress in Nederland.
Als doel van verzameling van persoonsgegevens door NCPSB kan tevens gelden het beheer van de relatie tussen NCPSB en de gebruiker; het op optimale wijze kunnen aanbieden van een NCPSB-dienst aan de gebruiker; het management van de technische infrastructuur; beantwoorden van vragen en klachten en het verstrekken van inlichtingen aan gebruikers; het uitvoeren van marktstudies en markt- en gebruikersanalyses.
Meer specifiek noemt NCPSB als doel voor de gegevensverwerking voor de door haar gebruikte authenticatie en autorisatiesystemen:
Gepersonaliseerde toegang tot de aangeboden diensten die binnen het netwerk en/of op de website van NCPSB te vinden zijn;
• Identificatie van de gebruiker van het netwerk en/of de diensten van NCPSB en het vaststellen van de daarmee gepaard gaande gebruiksrechten;
• Het tot stand brengen van verbindingen tussen afzenders en geadresseerden;
• Het verzenden van elektronische boodschappen;
• Het onderhoud en beheer van het netwerk en/of diensten van NCPSB;
• Interne controle en beveiliging;
• Onderzoek en statistiek ten behoeve van het gebruik van het netwerk en/of diensten van NCPSB.

  1. Dataminimalisatie- en Beveiligingsbeleid

NCPSB draagt zorg voor een beveiliging als bedoeld in de AVG en Telecommunicatiewet van alle gegevensverzamelingen die mogelijk verkeers- en/of persoonsgegevens bevatten, voor zover dergelijke verzamelingen in het kader van de internetdienstverlening van NCPSB in het systeem van NCPSB alsmede in de door NCPSB in verband daarmee gehouden administraties aanwezig zijn. Binnen NCPSB wordt gehandeld in overeenstemming met Privacy by Design en Privacy by default.
NCPSB heeft ten behoeve van genoemde beveiliging de volgende fysieke maatregelen getroffen, inclusief organisatorische controle daarop:
• Gegevensbestanden worden opgeslagen op een eigen server, geschakeld met een back-up server met gescheiden noodstroomvoorzieningen en beveiliging d.m.v. firewalls;
• Logische toegangscontrole met behulp van wachtwoord of pincode. Het inloggen wordt gecontroleerd d.m.v. een extreme verificatie/authenticatie via een password server;
• De Databases met persoonsgegevens kunnen alleen via de applicatie worden benaderd;
• De communicatie met de database wordt beveiligd via SSL;
• Serverruimte staat op een afgesloten terrein met alarmvoorzieningen, en is voorzien van rook- en brandmelders.

Binnen de organisatie van NCPSB worden uit een gegevensverzameling slechts gegevens verstrekt aan personen die ingevolge hun taak die gegevens mogen ontvangen. Rechtstreekse toegang tot de verzameling hebben slechts functionarissen binnen de organisatie van NCPSB die daartoe bevoegd zijn uit hoofde van hun functie.
NCPSB neemt met betrekking tot de gegevensverzamelingen een geheimhoudingsplicht in acht.
Verstrekkingen door NCPSB van persoonsgegevens aan derden vindt slechts plaats met in achtneming van het bepaalde onder 5. Van iedere verstrekking aan een derde wordt door NCPSB aantekening gemaakt, die tenminste één jaar wordt bewaard.

  1. Verstrekking aan derden

Anders dan op grond van wettelijke verplichtingen of tenzij uitdrukkelijk door de gebruiker zelf aangegeven, verstrekt NCPSB geen persoonsgegevens aan derden.
Indien de noodzaak om persoonsgegevens te verstrekken aan derden voortvloeit uit verplichtingen die NCPSB namens of ten behoeve van de gebruiker aangaat, wordt de gebruiker steeds om uitdrukkelijke toestemming voor verstrekking van persoonsgegevens met dat specifieke doel gevraagd.
Binnen de organisatie van NCPSB zijn de persoonsgegevens van gebruikers alleen toegankelijk ten behoeve van de bedrijfsvoering en slechts voor personen die daartoe uit hoofde van hun functie bevoegd zijn (zie ook onder 4).
Deze toegang verleent NCPSB onder voorwaarden dat deze derde het bepaalde in dit reglement alsmede de geheimhoudingsplicht als opgenomen onder 4 in acht nemen.

  1. Cookies

NCPSB kan gebruik maken van zogenaamde “cookies”. Cookies zijn te beschouwen als data die door een webserver naar de browser van de gebruiker worden gestuurd om daarin te kunnen worden opgeslagen. Cookies stellen NCPSB in staat om terugkerende bezoekers sneller en efficiënter toegang te verlenen tot een NCPSB website, dan wel de diensten van NCPSB.
In de browserinstellingen heeft  de gebruiker en/of de organisatie de mogelijkheid om cookies te ontvangen uitschakelen. Dit kan tot gevolg hebben dat bepaalde diensten die NCPSB verleent niet meer kunnen worden gebruikt.
NCPSB wendt cookies niet aan met het doel om profielen van gebruikers op grond van surfgedrag samen te stellen.

  1. Beleid omtrent de rechten van betrokkenen

De gebruiker kan te allen tijde inzage krijgen in zijn of haar persoonsgegevens. De gebruiker heeft bovendien het recht om zijn of haar persoonsgegevens te corrigeren en/of te laten verwijderen.
De gebruiker kan zich voor het verkrijgen van inzage in de opgeslagen persoonsgegevens wenden tot de privacy-functionaris van NCPSB via e-mailadres: s.vdhaak@nationaalcentrumpreventiestressenburn-out.nl

De privacy-functionaris zal een verzoek tot inzage verifiëren en de indiener daarvan identificeren, alvorens inzage te geven en tot eventueel gevraagde wijziging daarvan over te gaan. Een wijzigingsverzoek van een gebruiker wordt door NCPSB binnen een termijn van 4 weken schriftelijk afgehandeld. Op grond van het hem toekomende recht van verzet, kan een gebruiker NCPSB verzoeken om de van hem opgeslagen persoonsgegevens te verwijderen. Een dergelijk verzoek wordt door NCPSB eveneens schriftelijk afgehandeld binnen een termijn van 4 weken.

  1. Beleid datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de Autoriteit Persoonsgegevens. In sommige gevallen moet dit tevens gemeld worden aan de mensen van wie de persoonsgegevens zijn gelekt.

Bij het vernemen van een data-lek door dienen de volgende stappen per direct te worden ondernomen;

  1. Invullen van meldingsformulier inzake een datalek.
  2. Aanvullend op de melding moet de Verwerker de genomen maatregelen vermelden die tot dusver zijn genomen om het data-lek te voorkomen, beperken/minimaliseren of volledig op te lossen.
  3. Verantwoordelijke voor het beleid van datalekken zijn de privacy-functionaris en de CEO van het NCPSB. Eindverantwoordelijke is de Chairman van het NCPSB.