Privacybeleid
Privacyverklaring Samenwerkingsverband passend primair onderwijs regio Leiden
Vaststelling door directeur-bestuurder d.d.17/10/22 |
1. Toepasselijkheid
Deze verklaring geldt voor de gehele organisatie die deel uitmaakt van het Samenwerkingsverband Passend Primair Onderwijs regio Leiden (SWV PPO regio Leiden). SWV PPO regio Leiden is gevestigd aan het Elisabethhof 21-23, 2353 EW Leiderdorp.
2. Definities
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals naam, adres, geboortedatum, titel(s), geslacht, telefoonnummer, e-mailadres, functie, inhoud van e-mails, prestaties/cijfers, brieven, klachten, foto’s, loginnamen en wachtwoorden.
Verwerking van persoonsgegevens: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Bijzondere persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, medische gegevens (gegevens over gezondheid), religieuze achtergrond, onderzoeksgegevens en/ of iemands gedrag blijkt.
Betrokkene: Degene op wie een persoonsgegeven betrekking heeft, en die al dan niet wordt vertegenwoordigd door een wettelijk vertegenwoordiger. Betrokkenen kunnen bijvoorbeeld zijn: leerlingen, ouders, medewerkers en bezoekers.
Wettelijk vertegenwoordiger: Degene die het ouderlijk gezag over een minderjarige uitoefent. Meestal zal dit een ouder zijn maar het kan ook gaan om een voogd. Als een leerling 16 jaar of ouder is, beslist hij in voorkomende gevallen zelf over zijn privacy.
Verwerkingsverantwoordelijke: De entiteit die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van deze verklaring is het SWV PPO regio Leiden vertegenwoordigd door de directeur, de verwerkingsverantwoordelijke.
Verwerker: De natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke (SWV PPO regio Leiden) persoonsgegevens verwerkt, zoals de leverancier van het digitale groeidocument of het interne registratiesysteem. Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.
Derde: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.
SWV PPO regio Leiden: de verwerkingsverantwoordelijke in de zin van deze verklaring.
3. Reikwijdte en doelstelling
1. Deze verklaring stelt regels over de verwerking van persoonsgegevens van alle betrokkenen bij de organisatie, waaronder leerlingen en hun wettelijke vertegenwoordigers, bezoekers, scholen en externe relaties (bijvoorbeeld leveranciers en opdrachtnemers).
2. Deze verklaring is van toepassing op alle persoonsgegevens van de betrokkene die door het SWV PPO regio Leiden worden verwerkt. De verklaring heeft tot doel:
a. De persoonlijke levenssfeer van de betrokkenen te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens;
b. Vast te stellen met welk doel en op welke (juridische) grondslag persoonsgegevens binnen SWV PPO regio Leiden worden verwerkt;
c. Te borgen dat persoonsgegevens binnen SWV PPO regio Leiden rechtmatig, transparant en behoorlijk worden verwerkt;
d. De rechten van betrokkenen vast te leggen en te borgen dat deze rechten door SWV PPO regio Leiden worden gerespecteerd.
4. Doelen van de verwerking van persoonsgegevens
Bij de verwerking van persoonsgegevens houdt SWV PPO regio Leiden zich aan de relevante wet- en regelgeving waaronder de Algemene Verordening Gegevensbescherming (AVG), de uitvoeringswet AVG en de onderwijswetgeving.
Doelen:
– Afgifte toelaatbaarheidsverklaring: het adviseren over de meest passende onderwijssetting voor een leerling met betrekking tot het speciaal (basis)onderwijs en het al dan niet afgeven van een toelaatbaarheidsverklaring voor het speciaal (basis)onderwijs.
– Thuiszitters: thuiszitters zo spoedig mogelijk een passende onderwijsplek bieden, het verkorten van de termijn van thuiszitten. Daarnaast is het doel het aantal thuiszitters in kaart brengen en preventieve acties te ondernemen om het aantal thuiszitters zo laag mogelijk te houden.
– Arrangeerproces
– Ondersteuningsteam
– Overleg IB-er
– Expertteam aanvraag
– Observaties in de klas
– Nagesprekken met ouders
– Groeidocument
5. Doelbinding
Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking. SWV PPO regio Leiden verwerkt niet meer gegevens dan noodzakelijk is om de betreffende doelen te bereiken.
6. Soorten persoonsgegevens
De categorieën van persoonsgegevens zoals deze binnen SWV PPO regio Leiden worden verwerkt worden geregistreerd in een verwerkingsregister. De persoonsgegevens die verwerkt worden door het SWV PPO regio Leiden kunnen in twee categorieën beschreven worden, te weten:
a. Bijzondere persoonsgegevens. Bijvoorbeeld psychologisch of psychiatrisch onderzoek, logopedisch onderzoek, verslaglegging hulpverlening en gegevens leerlingvolgsysteem (testresultaten).
b. Directe persoonsgegevens. Bijvoorbeeld handelingsplannen (werkhouding en ontwikkeling van een kind), groeidocument (digitale tool waarbij een school alle informatie over de leerling bij elkaar zet), gespreksverslagen school en toestemmingsformulier ouders.
7. Grondslag verwerking
De termen die hieronder genoemd zijn, komen overeen met de definitie zoals genoemd bij 2. Definities.
Verwerking van persoonsgegevens gebeurt alleen indien tenminste aan één van de onderstaande voorwaarden is voldaan:
a. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op SWV PPO regio Leiden rust. Een voorbeeld hiervan kan zijn het verwerken van onderzoeksgegevens of schoolgegevens om te kunnen bepalen of er een toelaatbaarheidsverklaring afgegeven kan worden.
b. De verwerking berust op een overeenkomst tussen SWV PPO regio Leiden en de betrokkenen. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (bijvoorbeeld de overeenkomsten met leveranciers) of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
c. De verwerking dient een algemeen belang.
d. De verwerking dient een gerechtvaardigd belang.
e. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden. Een voorbeeld hiervan kan zijn het verwerken van onderzoeksgegevens of schoolgegevens om te kunnen bepalen of er een toelaatbaarheidsverklaring afgegeven kan worden.
f. De verwerking is noodzakelijk om een vitaal belang te behartigen.
8. Bewaartermijnen
SWV PPO regio Leiden bewaart persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor deze worden verwerkt, tenzij het langer bewaren van de persoonsgegevens op grond van wet- of regelgeving verplicht of noodzakelijk is.
9. Toegang
Binnen de organisatie van SWV PPO regio Leiden geldt dat personen slechts toegang hebben tot persoonsgegevens voor zover dat daadwerkelijk nodig is. De toegang van medewerkers tot persoonsgegevens is dan ook beperkt tot de gegevens die noodzakelijk zijn voor de goede uitoefening van hun functie en (dus) hun werkzaamheden. Het gaat om:
a. De verwerker die van SWV PPO regio Leiden de opdracht heeft gekregen om persoonsgegevens te verwerken, maar alleen voor zover dat noodzakelijk is in het licht van de gemaakte afspraken;
b. Derden, voor zover uit de wet voortvloeit dat SWV PPO regio Leiden verplicht is om toegang te geven of sprake is van een (andere) grondslag voor deze verwerking.
10. Beveiliging en geheimhouding
1. SWV PPO regio Leiden neemt passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. Deze maatregelen zijn er mede op gericht om niet noodzakelijke verzameling en verdere (niet noodzakelijke) verwerking van persoonsgegevens te voorkomen.
2. Bij de beveiligingsmaatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkenen.
3. Een ieder die betrokken is bij de verwerking van persoonsgegevens binnen SWV PPO regio Leiden is verplicht tot geheimhouding van de betreffende persoonsgegevens en zal deze gegevens slechts verwerken voor zover dat noodzakelijk is voor de uitoefening van de betreffende functie, werkzaamheden of taak.
11. Verstrekken gegevens aan derden
SWV PPO regio Leiden kan persoonsgegevens aan derden verstrekken als daarvoor een grondslag bestaat in de zin van artikel 7 van deze verklaring. Indien persoonsgegevens worden gedeeld met derde partijen buiten de Europese Economische Ruimte, dan worden de betrokkenen hierover voorafgaand geïnformeerd.
12. Rechten betrokkenen
SWV PPO regio Leiden erkent de rechten van betrokkenen, handelt daarmee in overeenstemming en bewerkstelligt dat betrokkenen deze rechten daadwerkelijk kunnen uitoefenen. Het betreft in het bijzonder de volgende rechten:
Inzage
Een betrokkene heeft recht op inzage van de door SWV PPO regio Leiden verwerkte persoonsgegevens die op hem betrekking hebben, behalve voor zover het gaat om werkdocumenten, interne notities en andere documenten die uitsluitend bedoeld zijn voor intern overleg en beraad. Indien en voor zover dit recht op inzage ook de rechten en vrijheden van anderen raakt, bijvoorbeeld als in de documenten ook persoonsgegevens van anderen dan de betrokkene zijn vermeld, kan SWV PPO regio Leiden het recht op inzage beperken.
Bij het verstrekken van de betreffende gegevens verschaft SWV PPO regio Leiden voorts informatie over:
* De verwerkingsdoeleinden;
* De categorieën van persoonsgegevens die worden verwerkt;
* De ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
* (indien van toepassing) Ontvangers in derde landen of internationale organisaties;
* (indien mogelijk) Hoe lang de gegevens worden bewaard;
* Dat de betrokkene het recht heeft om te verzoeken dat de persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van de persoonsgegevens wordt beperkt, alsmede dat hij het recht heeft om bezwaar te maken tegen de verwerking van de persoonsgegevens;
* Het feit dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens;
* De bron van de persoonsgegevens, indien de persoonsgegevens niet van de betrokkene zelf zijn verkregen;
* Het eventueel toepassen van geautomatiseerde besluitvorming en de betreffende onderliggende logica en het belang en de gevolgen voor de betrokkene;
* De passende waarborgen indien de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie.
Verbetering, aanvulling, verwijdering
SWV PPO regio Leiden verbetert de persoonsgegevens van een betrokkene in het geval de betrokkene terecht heeft aangegeven dat de gegevens onjuist zijn, en SWV PPO regio Leiden vult de persoonsgegevens van een betrokkene aan indien de betrokkene terecht om aanvulling heeft verzocht. Voorts kan de betrokkene verzoeken om verwijdering van zijn persoonsgegevens. SWV PPO regio Leiden gaat daartoe over indien is voldaan aan een wettelijke grondslag voor het verzoek, tenzij het onmogelijk is om aan het verzoek te voldoen of dit een onredelijke inspanning zou vergen.
Bezwaar
Indien SWV PPO regio Leiden persoonsgegevens verwerkt op de grondslag van artikel 7 onder a of artikel 7 onder d van deze verklaring, kan de betrokkene bezwaar maken tegen de verwerking van zijn persoonsgegevens. In dat geval staakt SWV PPO regio Leiden de verwerking van de betreffende persoonsgegevens, behalve als naar het oordeel van SWV PPO regio Leiden het belang van SWV PPO regio Leiden, het belang van derden of het algemeen belang in het betreffende concrete geval zwaarder weegt.
Beperken verwerking
De betrokkene kan voorts verzoeken om de verwerking van zijn persoonsgegevens te beperken, namelijk indien hij een verzoek tot verbetering heeft gedaan, indien hij bezwaar heeft gemaakt tegen de verwerking, als de persoonsgegevens niet meer nodig zijn voor het doel van de verwerking of als de gegevensverwerking onrechtmatig is. SWV PPO regio Leiden staakt dan de verwerking, tenzij de betrokkene toestemming heeft gegeven voor de verwerking, SWV PPO regio Leiden de gegevens nodig heeft voor een rechtszaak, of de verwerking nodig is ter bescherming van de rechten van een andere persoon of vanwege gewichtige redenen.
Kennisgevingsplicht
Als SWV PPO regio Leiden op verzoek van een betrokkene een verbetering of verwijdering van persoonsgegevens heeft uitgevoerd, of de verwerking van persoonsgegevens heeft beperkt, zal SWV PPO regio Leiden eventuele ontvangers van de betreffende persoonsgegevens daarover informeren.
Procedure
SWV PPO regio Leiden handelt een verzoek van een betrokkene zo spoedig mogelijk, maar uiterlijk binnen een maand na ontvangst van het verzoek, af. Afhankelijk van de complexiteit en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. Als deze verlenging plaatsvindt, wordt de betrokkene daarover binnen een maand na de ontvangst van het verzoek geïnformeerd. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. Wanneer SWV PPO regio Leiden geen gevolg geeft aan het verzoek van de betrokkene, deelt SWV PPO regio Leiden uiterlijk binnen een maand na ontvangst mede waarom het verzoek niet wordt ingewilligd en informeert hij de betrokkene over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of beroep bij de rechter in te stellen.
Intrekken toestemming
Indien voor de verwerking van persoonsgegevens voorafgaande toestemming vereist is, kan deze toestemming te allen tijde door de betrokkene of zijn/haar wettelijk vertegenwoordiger worden ingetrokken. Als de toestemming wordt ingetrokken, staakt SWV PPO regio Leiden de verwerking van persoonsgegevens, behalve als er een andere grondslag (zoals bedoeld in artikel 7) voor de gegevensverwerking is. Het intrekken van de toestemming tast de rechtmatigheid van verwerkingen die reeds hebben plaatsgevonden niet aan.
13. Meldplicht datalekken
Eenieder die betrokken is bij een verwerking van persoonsgegevens is verplicht om een datalek per ommegaande te melden conform het protocol beveiligingsincidenten en datalekken van SWV PPO regio Leiden. Een datalek is elke inbreuk waarbij persoonsgegevens zijn vernietigd of verloren, gewijzigd, verstrekt of toegankelijk zijn gemaakt.
14. Klachten
a. Wanneer een betrokkene van mening is dat het doen of nalaten van SWV PPO regio Leiden niet in overeenstemming is met de AVG, deze verklaring of (andere) toepasselijke wet- of regelgeving, dan kan een klacht worden ingediend overeenkomstig de binnen SWV PPO regio Leiden geldende klachtenregeling. Een betrokkene kan zich eveneens wenden tot de functionaris voor gegevensbescherming van SWV PPO regio Leiden via het volgende e-mailadres: info@pporegioleiden.nl.
b. Als een klacht naar de mening van betrokkene door SWV PPO regio Leiden niet correct is afgewikkeld, kan hij zich wenden tot de rechter of de Autoriteit Persoonsgegevens.
15. Onvoorziene situatie
Indien zich een situatie voordoet die niet beschreven is in deze verklaring, neemt de bestuurder van het SWV PPO regio Leiden de benodigde maatregelen en wordt beoordeeld of deze verklaring dientengevolge moet worden aangevuld of aangepast.
16. Slotbepaling
Deze verklaring wordt aangehaald als de privacyverklaring van SWV PPO regio Leiden en treedt in werking wanneer deze is vastgesteld door de directeur van SWV PPO regio Leiden.