Privacy reglement leerlingen, studenten en medewerkers

Dit reglement geldt voor leerlingen, studenten en medewerkers binnen instellingen van de Stichting Aeres Groep. Het reglement beschrijft hoe er binnen de instelling met privacy wordt omgegaan en hoe leerlingen, studenten en medewerkers van Aeres hun rechten tegen de instelling geldend kunnen maken.

Het reglement is nadrukkelijk niet bedoeld als handboek over hoe hier binnen Aeres inhoudelijk vorm aan wordt gegeven.

Definities

Persoonsgegevens

Elk gegeven betreffende een geïdentificeerd of identificeerbare natuurlijke persoon.

Verwerking van persoonsgegevens

Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

AVG

Algemene Verordening Gegevensbescherming.

Betrokkene

Degene op wie een persoonsgegeven betrekking heeft al dan niet vertegenwoordigd door diens wettelijk vertegenwoordiger. In dit reglement gaat het om leerlingen, studenten en medewerkers.

Bijzonder persoonsgegeven

Een persoonsgegeven dat iets zegt over iemand zijn godsdienst, levensovertuiging, ras, politieke gezindheid of zijn gezondheid.

Derde

Ieder, niet zijnde de betrokkene, de verantwoordelijke, de verwerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken.

Stichting Aeres Groep

De verantwoordelijke onderwijsinstelling / het bevoegd gezag.

Verwerker

Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Wettelijk vertegenwoordiger

Indien de betrokkene de leeftijd van zestien jaren nog niet heeft bereikt, wordt de betrokkene vertegenwoordigd door zijn wettelijk vertegenwoordiger. Meestal zal dit een ouder zijn maar het kan hier ook gaan om een voogd.

Verantwoordelijke

De verantwoordelijke stelt vast welke persoonsgegevens er verwerkt worden én wat het doel is van die verwerking. Dat wil zeggen de (openbare of privaatrechtelijke) rechtspersoon waar de bovengenoemde stichtingen onder vallen: het bevoegd gezag. Wanneer er in dit reglement gesproken wordt over de Verantwoordelijke dan wordt daarmee het bevoegd gezag van de bovengenoemde stichtingen bedoeld.

Reikwijdte en doelstelling

  1. Dit reglement stelt regels over de verwerking van persoonsgegevens van leerlingen, studenten en medewerkers van bovengenoemde stichting.
  2. Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door de stichting wordt verwerkt. Dit reglement heeft tot doel:
  • de persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;
  • vast te stellen welke persoonsgegevens worden verwerkt en met welk doel dit gebeurt;
  • de zorgvuldige verwerking van persoonsgegevens te waarborgen;
  • de rechten van betrokkene te waarborgen.

Doelen van verwerking van persoonsgegevens

Bij de verwerking van persoonsgegevens houdt bovengenoemde stichting zich aan relevante wetgeving waaronder de Algemene Verordening Gegevensbescherming (AVG). 

Doelen

Lid 1 De verwerking van persoonsgegevens vindt plaatst voor:

  • de organisatie of het geven van het onderwijs, de begeleiding van leerlingen of studenten, dan wel het geven van studieadviezen;
  • het verstrekken of ter beschikking stellen van leermiddelen;
  • het bekend maken van informatie over de organisatie en leermiddelen als bedoeld, onder a en b, alsmede informatie over de leerlingen, deelnemers of studenten, bedoeld in het eerste lid, op de eigen website via de kanalen waarvoor door de deelnemer (of diens ouders of verzorgers indien de deelnemer jonger is dan 16) expliciet toestemming is gegeven;
  • het bekendmaken van de activiteiten van de instelling of het instituut op de eigen website;
  • het berekenen, vastleggen en innen van inschrijvingsgelden en lesgelden voor bovengenoemde stichting en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen;
  • het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
  • het onderhouden van contacten met de oud-leerlingen, oud-deelnemers of oud-studenten van de verantwoordelijke;
  • de uitvoering of toepassing van een andere wet.

Lid 2 De categorieën van verwerking voor medewerkers zijn:

  • sollicitanten;
  • personeelsadministratie;
  • salarisadministratie;
  • uitkering bij ontslag;
  • pensioen en vervroegde uittreding.

Doelbinding

Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking. De Stichting verwerkt niet meer gegevens dan noodzakelijk is om die vastgestelde doelen te bereiken.

Soorten gegevens 

De door de Stichting gebruikte categorieën van persoonsgegevens worden in bijlage 1 (onderaan pagina) opgesomd.

Grondslag verwerking

Verwerking van persoonsgegevens gebeurt alleen op grond van:

  1. Toestemming: in het geval de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend.
  2. Overeenkomst: in het geval de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst.
  3. Wettelijke verplichting: in het geval de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan bovengenoemde Stichtingen onderworpen zijn.
  4. Vitaal belang (bescherming van betrokkene): het verwerken van persoonsgegevens is noodzakelijk om een ernstige bedreiging te beperken/voorkomen van de gezondheid van de betrokkene.
  5. Publiekrechtelijke taak: in het geval de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt.
  6. Gerechtvaardigd belang (belangenafweging): de gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, waarbij het belang van het verwerken van de gegevens zwaarder weegt dan het privacybelang van de betrokkene.

Bewaartermijnen

De Stichting bewaart de gegevens niet langer dan dat zij noodzakelijk zijn voor het vervullen van het doel waarvoor zij zijn verkregen, tenzij er een andere wettelijke verplichting is die het langer bewaren van de gegevens verplicht stelt.

Toegang

De Stichting verleent slechts toegang tot de in de administratie en systemen van de Stichting opgenomen persoonsgegevens aan:

  1. De verwerker en de derde die onder rechtstreeks gezag van de Stichting staat;
  2. De verwerker die gemachtigd is om persoonsgegevens te verwerken;
  3. Derden die op grond van de wet toegang moet worden verleend, waarbij alleen toegang wordt verleend tot de gegevens waartoe volgens de wet toegang moet worden gegeven.

Beveiliging geheimhouding

  1. De Stichting neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
  2. De Stichting zorgt dat medewerkers niet meer inzage of toegang hebben tot de persoonsgegevens dan zij strikt noodzakelijk nodig hebben voor de goede uitoefening van hun werk.
  3. Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek en de kosten van de tenuitvoerlegging. Daarbij houdt de Stichting rekening met de concrete risico’s die van toepassing kunnen zijn op de verwerkte persoonsgegevens.
  4. Iedereen die betrokken is bij de uitvoering van dit reglement, en daarbij de beschikking krijgt over persoonsgegevens die vertrouwelijk zijn of geheim moeten worden gehouden (zoals bijvoorbeeld zorggegevens), en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift een geheimhoudingsplicht geldt, is verplicht tot geheimhouding van die persoonsgegevens daarvan.

Verstrekken gegevens aan derden

Wanneer daartoe een wettelijke plicht bestaat kan de Stichting de persoonsgegevens verstrekken aan derden. Het verstrekken van persoonsgegevens aan derden kan ook plaatsvinden na toestemming van de betrokkene.

Social media

Persoonsgegevens worden niet zonder toestemming gebruikt in sociale media. Voor het gebruik van persoonsgegevens in sociale media, zijn aparte afspraken gemaakt in het ‘sociale-mediaprotocol’ van de Stichting.

Rechten betrokkenen

Rechten

De AVG geeft de betrokkene een aantal rechten. De Stichting erkent deze rechten en handelt in overeenstemming met deze rechten.

  • Inzage: Elke betrokkene heeft recht op inzage van de door de Stichting verwerkte persoonsgegevens die op hem/haar betrekking hebben. Aan een verzoek om inzage zijn geen kosten verbonden. De Stichting kan vragen om een geldig identiteitsbewijs ter verificatie van de identiteit van de verzoeker.
  • Verbetering, aanvulling, verwijdering en afscherming: Betrokkene kan een verzoek doen tot verbetering, aanvulling, verwijdering of afscherming van zijn persoonsgegevens, tenzij dit onmogelijk blijkt of een onredelijke inspanning zou vergen.
  • Verzet: Voor zover de Stichting persoonsgegevens gebruikt op de grond van artikel 6 onder e en f, dan kan de betrokkene zich verzetten tegen verwerking van persoonsgegevens op basis van diens persoonlijke omstandigheden.

Termijn

De Stichting dient binnen een termijn van 4 weken na ontvangst van een verzoek hieraan schriftelijk gehoor te geven dan wel deze schriftelijk, gemotiveerd af te wijzen. De Stichting kan de betrokkene laten weten dat er meer tijd nodig is en deze termijn verlengen met maximaal 4 weken.

Uitvoeren verzoek

Indien het verzoek van de betrokkene wordt gehonoreerd, draagt de Stichting zorg voor het zo spoedig mogelijk doorvoeren van de verzochte wijzigingen.

Intrekken toestemming

Voor zover voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde door de betrokkene worden ingetrokken.

Transparantie

  1. De Stichting informeert de betrokkene over de verwerking van zijn persoonsgegevens. Indien het type verwerking dat vraagt, informeert de Stichting iedere betrokkene apart over de details van die verwerking.
  2. De Stichting informeert de betrokkene – op hoofdlijnen – ook over de afspraken die gemaakt zijn met derden en verwerkers die persoonsgegevens van de betrokkene ontvangen.

Meldingen

  1. Wanneer je van mening bent dat het doen of nalaten van de Stichting niet in overeenstemming is met de AVG of zoals dat is uitgewerkt in dit reglement, dan kun je je wenden tot de Functionaris Gegevensbescherming van bovengenoemde de Stichting via fg@aeres.nl.
  2. Overeenkomstig de AVG kan de betrokkene zich eveneens wenden tot de rechter of de Autoriteit Persoonsgegevens (AP).

Onvoorziene situatie

Indien er zich een situatie voordoet die niet beschreven is in dit reglement dan neemt de verantwoordelijke de benodigde maatregelen.

Wijzigingen reglement

Dit reglement wordt na vaststelling door de verantwoordelijke ter informatie aangeboden aan de betreffende medezeggenschapsorganen. De verantwoordelijke maakt dit reglement openbaar via de internet site van Aeres (www.aeres.nl).

Slotbepaling

Dit reglement wordt aangehaald als het “privacyreglement leerlingen, studenten en medewerkers” van Aeres en treedt in werking op 6 juli 2022.

Overzicht van categorieën gebruikte persoonsgegevens

Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden:

Bijvoorbeeld:

  • naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie bedoelde gegevens van de betrokkene; 
  • het persoonsgebonden nummer (BSN);
  • nationaliteit;
  • gegevens als bedoeld onder a, van de wettelijk vertegenwoordiger of verzorger van de leerling;
  • beeld-, video- of audiomateriaal waarop de betreffende leerling te zien is;
  • gegevens betreffende de gezondheid of het welzijn van de leerling voor zover die noodzakelijk zijn voor de ondersteuning;
  • gegevens betreffende de godsdienst of levensovertuiging van de leerling, voor zover die noodzakelijk zijn voor Aeres, het onderwijs of de te geven ondersteuning;
  • gegevens betreffende de aard en het verloop van het onderwijs en ondersteuning, alsmede de behaalde studieresultaten;
  • Aeres-gegevens (waaronder naam Aeres, naam zorgcoördinator/mentor/ intern begeleider, klas/groep waarin de leerling zit, tijdstip van inschrijving bij Aeres, naam van de indiener van de aanmelding bij het samenwerkingsverband, Aeres-loopbaan en rapportage vanuit primair en voortgezet onderwijs);
  • aanleiding voor de aanmelding bij het samenwerkingsverband, relevante screenings- en onderzoeksgegevens en omschrijving van de problematiek die aan de orde is;
  • activiteiten die door Aeres zijn ondernomen rond de betreffende deelnemer, alsmede de resultaten hiervan;
  • bestaande of (relevante) afgesloten hulpverleningscontacten en de namen van contactpersonen;
  • relevante persoonsgegevens die door externe partijen worden verstrekt met betrekking tot de aangemelde problematiek van de betreffende deelnemer;
  • relevante financiële gegevens;