Door middel van dit document willen wij zorgen voor één beleid met betrekking tot de verwerking van persoonsgegevens binnen Sarabel. Ook is de bewustwording van het gebruik van persoonsgegevens. een doel van dit beleid. Logischerwijs willen wij ook door middel van dit beleid zorgen dat wij aan de wet- en regelgeving betreffende dit onderwerp.

Voor de omschrijving van de definities die wij hanteren is aansluiting gezocht bij de definities zoals die zijn gebruikt in de AVG.

Betrokkene: de natuurlijke persoon van wie de persoonsgegevens worden verwerkt door de Verwerkingsverantwoordelijke.
Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geidentificeerd. Denk bijvoorbeeld aan een identificator zoals een naam, een identificatienummer, locatie gegevens, een online identificator of aan één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Bijzondere persoonsgegevens: persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés. Denk hierbij bijvoorbeeld aan het verzamelen, vastleggen, ordenen structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt.

Geheel of gedeeltelijk geautomatiseerde verwerking: op het moment dat de verwerking van de persoonsgegevens door middel van een computer of soortgelijk product wordt gedaan, is sprake van een geheel of gedeeltelijke geautomatiseerde verwerking. Alleen als alle stappen van de verwerking handmatig worden gedaan is hier geen sprake van.

Bestand: elk gestructureerd (database/databank) geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn. Het maakt niet uit of dit geheel gecentraliseerd of gedecentraliseerd is. Ook maak het niet uit of een bestand op functionele of geografische gronden is verspreid. Elke vorm van structuur brengen in de persoonsgegevens, zolang toegankelijk en meer gegevens bevat dan van 1 persoon is een bestand.

Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt.

Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan. De betrokkene, de verwerkingsverantwoordelijke, de verwerker of de personen die onder het gezag van de verwerkingsverantwoordelijke of de verwerker vallen niet onder dit begrip.

Functionaris Gegevensbescherming: Organisaties hebben de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Zo iemand wordt een functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp).

Toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Toezichthoudende autoriteit: een door een lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie, voor Nederland de Autoriteit Persoonsgegevens;

profilering: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

Pseudonimisering: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.

Vertegenwoordiger: een gevestigde natuurlijke persoon of rechtspersoon die schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met de verplichtingen krachtens deze verordening.

Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

Dit beleid ziet op de verwerking van persoonsgegevens van alle betrokkenen binnen Sarabel.
Onder betrokkenen vallen in ieder geval medewerkers, klanten, leden, gasten, bezoekers en dienstafnemers.
Onder de verwerking van de persoonsgegevens vallen de geheel of gedeeltelijk automatische verwerking.
Daarnaast heeft dit beleid betrekking op alle persoonsgegevens die worden verwerkt vanuit een bestand of persoonsgegevens die bestemd zijn om opgenomen te worden in een bestand. Hieronder vallen dus ook de eerst op schrift gestelde persoonsgegevens welke later in een bestand worden opgenomen.

Wij verzamelen de persoonsgegevens op basis van vastgestelde doelen. Deze doelen verschillen per categorie betrokkene. Deze doelen hebben wij vastgesteld om te zorgen dat wij als Sarabel kunnen voortbestaan. Wij verzamelen persoonsgegevens met de volgende doelen:

·  het afhandelen van de salarisadministratie;
·  het behandelen van personeelszaken;
·  het doen van aangiftes voor de IB/PVV en ZvW voor ondernemers en particulieren; en
·  het voeren van boekhoudingen voor ondernemers.

Het is van groot belang bewust te zijn van het doel waarvoor de persoonsgegevens worden verwerkt. Valt het doel voor de verwerking niet onder een van de vooraf vastgestelde doelen? Dan is het in beginsel niet toegestaan de persoonsgegevens te verwerken. Op het moment dat wij toch voor een ander doel de persoonsgegevens willen verwerken, verstrekken wij de betrokkene alle relevante informatie over deze verdere verwerking.
Zie ook art. 6 lid 4 AVG.

De persoonsgegevens dienen noodzakelijk te zijn voor het specifieke doel waarvoor de persoonsgegevens worden verwerkt. Persoonsgegevens die niet noodzakelijk zijn voor het specifieke doel mogen niet worden verwerkt. De gegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn voor het specifieke doel waarvoor de persoonsgegevens moeten worden verwerkt.

Het verwerken van persoonsgegevens moet op basis van een van de in art. 6 lid 1 AVG genoemde grondslagen zijn. Het op basis van een andere grondslag verwerken van de persoonsgegevens is niet toegestaan. Het is dan ook van belang om bij de verwerking van persoonsgegevens te realiseren op welke grondslag dit gebeurd en of deze grondslag valt binnen de AVG.

Het verwerken van bijzondere persoonsgegevens is in beginsel verboden.
Het verwerken van deze persoonsgegevens mag alleen op basis van een van de in art. 9 lid 2 AVG genoemde grondslagen.

Op het moment dat de persoonsgegevens worden verwerkt op basis van toestemming van de betrokkene moeten wij kunnen aantonen dat de betrokkene zijn toestemming heeft gegeven voor het gebruik van zijn
persoonsgegevens. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Dit heeft geen gevolgen voor de verwerking die dan al plaats heeft gevonden.

Strafrechtelijke gegevens mogen alleen worden verwerkt onder het toezicht van de toezichthoudende autoriteiten. Dit moet zijn opgenomen in nationale wetgeving. Het is dan ook niet toegestaan om op een andere manier deze persoonsgegevens te verwerken.

Wij dragen ervoor zorg dat wij de betrokkenen van wie de persoonsgegevens worden verwerkt door ons de informatie ontvangen die wij wettelijke verplicht zijn om te verstrekken. De informatie die wij verstrekken bestaat onder andere uit de doelen, de grondslag, de termijnen, met wie wij onze gegevens delen en de contactgegevens. van onder andere onze organisatie. 

Het verstrekken van deze informatie gebeurt direct bij de verkrijging van de persoonsgegevens van de betrokkene zelf. Op het moment dat wij de persoonsgegevens buitenom de betrokkene krijgen, verstrekken wij de informatie binnen een redelijke termijn, dan wel uiterlijk binnen een maand. 
In de volgende situaties is het niet nodig om de betrokkene de informatie te verstrekken: 
·      De betrokkene al over de informatie beschikt;
·      Het verstrekken van de informatie onmogelijk is of een onevenredige inspanning zou opleveren;
·      Het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij wetgeving;
·      Wanneer het bezit van de persoonsgegevens vertrouwelijk moet blijven op basis van bijvoorbeeld  een beroepsgeheim. 

Het gebruik van persoonsgegevens van kinderen onder de 16 jaar die verkregen zijn via online diensten mogen slechts verwerkt worden wanneer de wettelijk vertegenwoordiger van het kind ook toestemming heeft gegeven.

De persoonsgegevens van kinderen mogen niet gebruikt worden voor profilering. Slechts wanneer dit noodzakelijk is, is dit anders. Wij moeten dan wel kunnen aantonen dat dit daadwerkelijk noodzakelijk is.

Alle verwerking die gedaan worden met betrekking tot de persoonsgegevens worden opgenomen in het register van verwerkingsactiviteiten. De zaken die in dit register moeten worden opgenomen staan vermeld in art. 30 AVG.

Persoonsgegevens mogen niet langer bewaard worden dan dat deze noodzakelijk voor de daaraan vooraf bepaalde doelstellingen.Op het moment dat de persoonsgegevens niet meer nodig zijn voor de doelen die wij hebben gesteld, zullen de persoonsgegevens veilig worden verwijderd of vernietigd, geanonimiseerd of worden verplaatst naar een archief. Het verplaatsen van persoonsgegevens naar het archief kan verboden zijn op basisvan wet- of regelgeving. Voor de persoonsgegevens waarvoor termijnen door ons, of wetgeving, zijn verstreken, zullen wij gepaste maatregelen nemen om deze persoonsgegevens te vernietigen. Dit kan slechts anders zijn in het geval wij op basis van historische, statistische of wetenschappelijke doeleinden verplicht zijn de gegevens te bewaren. 

Wij hebben de bewaar termijn vastgesteld op zeven (7) jaar. Deze bewaartermijn wordt ons door de belastingdienst opgelegd.

Gestructureerd overleg voeren op verschillende niveaus over het onderwerp privacy is van belang voor de samenhang, de initiatieven en activiteiten met betrekking tot verwerking van persoonsgegevens.
Op 3 niveau´s wordt overleg gevoerd over het beleid: op strategisch niveau wordt richtinggevend gesproken over governance en compliance, alsmede over doelen, scope en ambitie op het gebied van privacyaspecten. Op tactisch niveau wordt de strategie vertaald naar plannen, te hanteren normen en evaluatiemethoden. Deze plannen en instrumenten zijn sturend voor de uitvoering. Op operationeel niveau worden de zaken besproken die dagelijkse bedrijfsvoering (uitvoering) aangaan.

Door middel van controle en naleving zal het beleid worden beoordeeld. Waar nodig zullen aanpassingen in plaatsvinden in het overleg en de te nemen stappen. De controles kunnen ook leiden tot sancties voor personen binnen onze organisatie die zich niet houden aan de wetgeving. Controles op de naleving van het beleid zijn door technologische en organisatorische ontwikkeling noodzakelijk.

Bij de keus voor en het gebruik van de informatiesystemen wordt rekening gehouden met de relevante wet- en regelgeving. Ook zullen in deze systemen de nodige waarborgen worden ingebouwd (Privacy by Design).

Ook worden passende technische en organisatorische maatregelen getroffen om te zorgen dat, in beginsel, alleen de noodzakelijke persoonsgegevens voor de vastgestelde doelen worden gebruikt. Dit is dan ook de standaard (Privacy by Default).

Binnen onze organisatie moet een ieder vertrouwelijk omgaan met de persoonsgegevens. Dit kan slechts anders zijn op het moment dat een verplichting ontstaat vanuit enig wettelijk voorschrift om mededelingen te doen over en van de persoonsgegevens.

Op het moment dat wij, Sarabel de persoonsgegevens door een verwerker laten verwerken dan
stellen wij met deze verwerker een verwerkersovereenkomst op. Hierin wordt vastgelegd op basis waarvan zij de persoonsgegevens mogen verwerken, onder welke voorwaarden en de uitvoering daarvan. Dit zorgt voor een adequate bescherming van de rechten en vrijheden van de betrokkene.

Op basis van de relevante wet- en regelgeving mogen wij onder bepaalde voorwaarden onze persoonsgegevens doorgeven aan partijen. Deze wet- en regelgeving bepaalt de waarborgen waaronder dit mag gebeuren. Zie art. 40 -50 AVG.

Het doorgeven van bijzondere persoonsgegevens gebeurt alleen na de expliciete toestemming van de persoon in kwestie.

Het doorgeven van persoonsgegevens aan partijen in landen buiten de EU mag alleen als daar een
adequaatheidsbesluit voor bestaat. Bij het ontbreken van een dergelijk besluit zorgen wij, Sarabel,
voor passende en geschikte waarborgen. Deze waarborgen zullen ook te raadplegen zijn voor betrokkenen. Ook kunnen betrokkenen een kopie krijgen van deze waarborgen.

De incidenten moeten worden gemeld bij Sarsorti B.V. Van de incidenten wordt een logboek bijgehouden. Eenieder kan een incident melden bij bovenstaand meldpunt.

Bij de afhandeling van een incident wordt de verantwoordelijke op de hoogte gebracht van het incident. De verantwoordelijke zorgt ervoor dat het incident naar behoren wordt afgewikkeld.

Op het moment dat het incident zorgt voor een mogelijk grote inbreuk, waarbij wij als organisatie door worden geraakt, moet dit incident gemeld worden Sarsorti B.V.

Het is voor ons van belang om te leren van de incidenten zodat deze in de toekomst niet meer plaatsvinden. De incidenten dienen daarom jaarlijks gerapporteerd te worden aan Sarsorti B.V.

De betrokkene heeft allereerst het recht op informatie. Dit recht ontstaat op het moment dat wij de
persoonsgegevens van betrokkenen verkrijgen. Dit noemen wij de Privacy Verklaring. In deze verklaring wordt de betrokkene op de hoogte gebracht van een aantal zaken. Deze zaken zijn opgenomen in art. 13 AVG of art. 14 AVG. Bij deze informatie wordt ook medegedeeld welke rechten de betrokkene heeft met betrekking tot zijn persoonsgegevens.

De betrokkene krijgt op zijn verzoek inzage in de persoonsgegevens die van de betrokkene zijn verwerkt. Zo'n verzoek wordt gericht aan: Sarabel. Wanneer het een minderjarige betreft moet ook de vertegenwoordiger dit verzoek doen.
‍
Om te voldoen aan zo'n verzoek moet de betrokkene de volgende informatie worden verstrekt met betrekking tot die persoonsgegevens zijn genoemd in art. 15 AVG. Bij een herhaaldelijk verzoek mogen kosten in rekening worden gebracht.

Mocht het voorkomen dat de persoonsgegevens onjuist of onvolledig zijn, dan zullen wij deze persoonsgegevens zo snel als mogelijk verbeteren of aanvullen.

Wij wissen de persoonsgegevens op het moment dat sprake is van één van de situaties zoals die genoemd worden in art. 17 AVG. In dit artikel worden in het 3de lid ook een aantal uitzonderingen op dit recht genoemd. Dit gebeurt zonder redelijke vertraging.

Onder bepaalde omstandigheden heeft een betrokkene het recht om aan de beperking van de verwerking van de persoonsgegevens te verzoeken. Deze omstandigheden worden genoemd in art. 18 AVG.
De ontvangers van de persoonsgegevens brengen wij op de hoogte als één van de bovenstaande situaties aan de orde is.

Op verzoek van een betrokkene zullen wij, zover als mogelijk, zijn persoonsgegevens verstrekken in een gestructureerde, gangbare en machine-leesbare vorm verstrekken op het moment dat de betrokkene toestemming heeft gegeven voor het gebruik van zijn persoonsgegevens of de verwerking via automatische procedures worden verricht.

De betrokkene heeft het recht om op basis van persoonlijke omstandigheden bezwaar te maken tegen de verwerking van zijn persoonsgegevens wanneer deze verwerking gebaseerd is op een belangenafweging zoals genoemd in art. 6 lid 1 sub e of f. Dit geldt ook voor de profilering en of direct marketing.

Slechts in een aantal gevallen mogen wij gebruik maken van uitsluitend geautomatiseerde besluitvorming, met inbegrip van profilering, waarbij voor de betrokkene gevolgen kunnen ontstaan of de betrokkene op andere manier ernstig kan raken. Dit is in de volgende gevallen:.
·  Wanneer dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen    ons en de betrokkene, of;
·  Wanneer de betrokkene hier toestemming voor gegeven heeft, of;
·  Wanneer dit wordt gedaan op basis van de wet.

In de eerste twee gevallen heeft de betrokkene recht op menselijke tussenkomst.

Iedere betrokkene kan een klacht indienen wanneer de betrokkene van mening is dat zijn rechten niet worden gehandhaafd door onze organisatie. De betrokkene kan een klacht indienen bij de Autoriteit Persoonsgegevens (AP). Voor de betrokkene bestaat ook de mogelijkheid om naar de rechter te gaan.