Privacy protocol
Stichting het Bridgefonds in oprichting en uitvoeringspartner Praktijkpioniers
Versie: 1.2
Datum: Januari 2023
Het Bridgefonds en Praktijkpioniers zijn de uitvoerder van deze website. Hieronder lees ons privacy protocol.
Privacy protocol
1. Werkingssfeer
Dit protocol is van toepassing op alle vertrouwelijke informatie en/of data (waaronder maar niet uitsluitend wordt begrepen: klanten-, werknemers-, concurrentiegevoelige- en anderszins redelijkerwijs vertrouwelijke bedrijfsinformatie) en/of alle verwerkingen van persoonsgegevens, geldend voor werknemers van werkgever. Werknemers zijn personen in dienst van of werkzaam voor werkgever. Vertrouwelijke informatie en/of data kan zowel digitaal als (fysiek) analoog zijn. Onder deze regelingen vallen formeel ook vrijwilligers, studenten, senioren, freelancers, opdracht uitvoerders als mede andere rechtspersonen die opdrachten uitvoeren voor het Bridgefonds. In 2023 zijn de werkzaamheden belast bij samenwerkingspartner praktijkpioniers.nl. Alle partijen worden hierna werknemer benoemd in dit privacy protocol.
2. Uitgangspunten
2.1 Begrippen en definities die worden gebruikt hebben de betekenis die daaraan gegeven is in de Wet bescherming persoonsgegevens (Wbp) of vanaf het moment dat deze in werking treedt de Algemene Verordening Gegevensbescherming (AVG).
2.2 Gestreefd wordt naar een goede balans tussen verantwoord e-mail/internetgebruik,
bescherming van persoonsgegevens en/of vertrouwelijke informatie en bescherming van de privacy van werknemers en klanten.
2.3 Persoonsgegevens van werknemers worden door werkgever in het kader van handhaving van de
voorschriften in dit protocol niet geregistreerd, verzameld, gecontroleerd, gecombineerd dan wel op andere wijze verwerkt, anders dan in dit protocol is voorzien.
2.4 Persoonsgegevens over e-mail en internetgebruik worden door werkgever niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van zes maanden.
2.5 De persoonsgegevens worden door werkgever alleen gebruikt voor het doel waarvoor ze verzameld zijn.
2.6 Het registreren van persoonsgegevens wordt tot het minimum beperkt. Hierbij wordt gestreefd naar een maximale bescherming van de privacy van werknemers en klanten.
3. Geheimhouding
3.1 Werknemer erkent dat hem door werkgever geheimhouding is opgelegd van alle
bijzonderheden die het bedrijf van werkgever betreffen of daarmee verband houden, met name ten aanzien van al hetgeen waarvan hij weet of redelijkerwijs moet kunnen vermoeden, dat het in het belang van werkgever is daaromtrent geheimhouding te bewaren.
4. E-mailgebruik
4.1 Werknemers zijn gerechtigd het e-mailsysteem (beperkt) voor niet-zakelijk verkeer te gebruiken voor het ontvangen en versturen van persoonlijke (e-mail)berichten zowel intern als extern, mits dit niet storend is voor hun dagelijkse werkzaamheden en dit geen verboden gebruik oplevert inde zin van dit protocol.
4.2 Indien werknemers het e-mailsysteem van werkgever gebruiken voor persoonlijke doeleinden, is het gebruik gebonden aan de volgende voorwaarden:
a) de mail bevat een disclaimer;
b) de mail bevat een herleidbare afzender;
c) het is niet toegestaan pornografische, racistische, discriminerende, aanstootgevende,
dreigende, seksueel intimiderende, dan wel berichten die aan (kunnen) zetten tot haat
en/of geweld te versturen;
d) het bericht schaadt het aanzien van de organisatie niet;
e) het is de werknemer niet toegestaan ongeoorloofd vertrouwelijke informatie uit te
wisselen en/of informatie die de onderneming kan schaden.
4.3 Werkgever zal geen persoonlijke e-mailberichten lezen. Eveneens zullen persoonsgegevens omtrent het aantal e-mails, de e-mailadressen en andere data hieromtrent niet geregistreerd en/of gecontroleerd worden. Dit laat onverlet dat controles op incidentele basis vanwege een zwaarwichtige reden kunnen plaatsvinden.
4.4 Werkgever heeft te allen tijde de mogelijkheid om mee- en terug te kijken op het zakelijke e-mailaccount verstrekt aan werknemer, indien werkgever hiervoor een redelijke grond aanwijst.
5 . Niet-geautomatiseerde handelingen met gevoelige informatie en/of persoonsgegevens
5.1 Werknemer dient naast vertrouwelijke digitale omgang met vertrouwelijke informatie en/of persoonsgegevens in zijn algemeenheid, binnen en buiten kantoortijd of werkplek zorgvuldige omgang met vertrouwelijke informatie te waarborgen en ieder mogelijk risico voor onbedoelde verspreiding en/of inzichtelijkheid uit te sluiten.
6. Internetgebruik
6.1 Werknemers zijn gerechtigd gebruik te maken van het internet voor zakelijk en beperkt voor niet-zakelijk verkeer te gebruiken, mits dit niet storend is voor hun dagelijkse werkzaamheden.
6.2 Het is werknemers niet toegestaan om websites met racistisch, discriminerend, beledigend aanstootgevend of pornografisch materiaal te bezoeken, noch is het toegestaan dergelijk
materiaal te downloaden of op andere wijze te raadplegen of op te slaan.
6.3 Het is werknemers niet toegestaan zich ongeoorloofd toegang tot niet openbare bronnen op internet te verschaffen, noch is het toegestaan dergelijk informatie uit niet-openbare of onrechtmatige bron te downloaden of op andere wijze te raadplegen of op te slaan.
6.4 Werkgever kan te allen tijde mee- en terugkijken met internetgebruik, indien werkgever hiervoor een redelijke grond aanwijst. Deze controle is nodig ter bestrijding van datalekken.
7. Gebruik social media
7.1 Het is de werknemer toegestaan actief te zijn op social media mits het werk hier niet onder zal lijden. Het gebruik van social media kan afhankelijk van de functie van een medewerker gewenst
zijn. Hierover worden afspraken gemaakt met de werknemer en leidinggevende.
7.2 Werknemers kunnen kennis en andere waardevolle informatie delen. Het is hierbij niet
toegestaan vertrouwelijk informatie te delen of te publiceren. Dit geldt tevens voor informatie dat werkgever schaadt.
7.3 Het is werknemer niet toegestaan schadelijke en/of vertrouwelijke informatie over klanten, leveranciers of partners te verstrekken zonder goedkeuring van die klanten, leveranciers of partners en na goedkeuring van de werkgever.
7.4 De werknemer draagt de persoonlijke verantwoordelijkheid voor de inhoud van het
gepubliceerde, voor zover het niet tot zijn of haar functie behoort.
7.5 Bij een (dreiging tot) ontsporing van een online discussie neemt de werknemer contact op met zijn leidinggevende over de te volgen strategie.
7.6 De werknemer is zich ervan bewust dat zijn of haar publicaties lang openbaar zullen zijn en dat dit gevolgen kan hebben voor de privacy.
8. (Privacy)verplichtingen
8.1 Werkgever is verplicht op grond van huidige privacy wet- en regelgeving, waaronder de wet meldplicht datalekken om zich in zijn rol als verantwoordelijke, dan wel bewerker te houden aan zowel de geldende wet en regelgeving als ook aan de daaraan ten grondslag liggende ISO (27001 E.V.) en NEN-Normen (75-10 etc.). Werknemer voert werkzaamheden uit welke betrekking hebben op de verplichtingen die werkgever op zich neemt, zodat middels onderstaande afspraken werkgever met werknemer nadere afspraken wil maken in het kader van de privacy wetgeving. Werknemer zal ook buiten kantoortijd, buiten kantoorlocaties en daarmee in de eigen privésfeer mogelijk kunnen beschikken over data afkomstig van werkgever of aan werkgever gerelateerde derden.
8.2 Werknemer dient zich met betrekking tot dergelijke data te houden aan de verplichtingen die privacy wet- en regelgeving en de bijbehorende ISO en NEN-Normen opleggen aan verantwoordelijke dan wel bewerker. In dit kader verplicht werknemer zich onder meer ook aan de volgende bepalingen te houden:
a) Werknemer dient te waarborgen dat enkel en alleen hijzelf toegang heeft en/of zal
verkrijgen tot de apparatuur, met uitzondering van het verlenen van toegang aan
werkgever of een servicemedewerker;
b) Werknemer dient de apparatuur te vergrendelen door middel van een adequaat
wachtwoord, wat niet aan derden bekend gemaakt en/of schriftelijk vastgelegd zal
worden;
c) Werknemer zal geen vertrouwelijke informatie en/of persoonsgegevens plaatsen op
niet expliciet door werkgever goedgekeurde online opslagdiensten, waaronder
verstaan maar niet beperkt tot iCloud, Google Drive, Dropbox en soortgelijke online
opslagdiensten;
d) Werknemer zal ieder risico wat zou kunnen leiden tot diefstal of verlies van de
apparatuur uitsluiten, waaronder verstaan maar niet beperkt tot: de apparatuur onder
het zicht van derden brengen, apparatuur langdurig uit eigen zicht verliezen en/of het
gebruik van de apparatuur in openbare ruimten;
e) Werknemer zal voor toepassing van internetdiensten op de apparatuur geen gebruik
maken van openbare wifi-netwerken, zonder dat hiervoor toestemming is verleend
door werkgever;
f) Werknemer voorkomt dat bedrijfsinformatie door middel van removable media (usb-
sticks, cd-roms) naar apparatuur van derden gedupliceerd kan worden;
g) Werknemer zal bij het gebruik van apparatuur van derden dan wel bij het gebruik van
privé-apparatuur (anders dan goedgekeurd door werkgever) niet inloggen op het
zakelijke emailadres en/of hierop bedrijfsinformatie openen.
9. Gebruik van eigen apparatuur
9.1 Het is de werknemers toegestaan om onder de voorwaarden in dit protocol hun eigen
apparaten (laptop, PC, tablet, smartphone en alle overige smart devices of opslagapparaten)
voor zakelijke doeleinden te gebruiken.
9.2 Deze apparaten dienen tenminste van een toereikende virusscanner en de meest recente beveiligingsupdates te zijn voorzien.
9.3 Ook dient er voor de werknemers een mogelijkheid te zijn om ‘op afstand’ alle gevoelige informatie van dit apparaat te verwijderen.
9.4 In het geval van verlies of diefstal van apparaten dienen de werknemers hier direct melding van te doen bij werkgever.
9.5 Daarnaast zijn werknemers verplicht om van verlies of diefstal van apparatuur aangifte te doen mbij de desbetreffende autoriteiten.
9.6 De schade die door het verlies of diefstal door werkgever en/of werknemers wordt geleden, is geheel voor rekening van de werknemers.
9.7 In het geval van een datalek waarbij de oorzaak getraceerd is binnen de eigen apparatuur van werknemers, heeft de werkgever het recht deze eigen apparatuur terstond op te eisen om hier de nodige onderzoeken op te verrichten indien werkgever dit nodig acht. Werknemers zijn verplicht medewerking te verlenen aan het onderzoek naar het datalek. Werkgever mag deze apparatuur in bezit houden totdat verder onderzoek in de ogen van de werkgever niet meer nodig is. Tijdens dit onderzoek wordt de privacy van de werknemers zoveel mogelijk gerespecteerd.
10.
Controles en handhaving
10.1 De controle die op grond van dit protocol kan worden uitgevoerd, vindt plaats voor een (of meerdere) van de onderstaande doeleinden:
a) Begeleiding/individuele beoordeling van gedrag;
b) Voorkomen van negatieve publiciteit;
c) Tegengaan van seksuele intimidatie;
d) Controle op bedrijfsgeheimen;
e) Systeem- en netwerkbeveiliging;
f) Kosten en capaciteitsbeheersing;
g) Tegengaan van discriminatie;
h) Tegengaan van datalekken;
i) Tegengaan van privacyschending;
j) Tegengaan van de mogelijkheid tot het ongeoorloofd uitwisselen van informatie.
10.2 Indien werknemer de voorschriften van dit protocol overtreedt zal dit onmiddellijk met de desbetreffende werknemers besproken worden. De werknemers worden gewezen op de consequenties en/of verdergaande consequenties wanneer de overtredingen voortduren.
10.3 Verboden e-mail en internetgebruik en onrechtmatige verwerking van persoonsgegevens en/of
vertrouwelijke informatie wordt zoveel mogelijk softwarematig onmogelijk gemaakt. Overige controle vindt slechts steekproefsgewijs of met gegronde redenen plaats.
10.4 Werkgever spant zich in om de werknemer voorafgaand aan een controle op e-mail- en internetgebruik op de hoogte te stellen van de doeleinden van de controle, de aard van de te controleren gegevens en de omstandigheden waaronder zij zijn (of zullen worden) verkregen.
10.5 Indien wordt vermoed dat werknemer de voorschriften van dit protocol te overtreedt, kan gedurende een vastgestelde (korte) periode een gerichte verdergaande controle plaatsvinden.
11. Rechten van Werknemers
11.1 Werknemer heeft het recht de over hem of haar geregistreerde persoonsgegevens in te zien.
11.2 Werknemers die hier een verzoek voor doen mogen een kopie van de geregistreerde persoonsgegevens ontvangen.
11.3 Onjuiste gegevens worden na verzoek van de werknemer gecorrigeerd of aangevuld worden.
11.4 Indien er persoonsgegevens worden bewaard die niet langer ter zake doen, niet actueel zijn of in strijd zijn met dit protocol, kan de werknemer een verzoek tot verwijdering doen.
11.5 Op verzoeken zoals bedoeld in dit artikel wordt binnen vier weken een beslissing genomen. Na de (goedkeurende) beslissing vindt de uitvoering zo spoedig mogelijk plaats.
12. Sancties
12.1 Bij handelen in strijd met dit protocol of de algemene normen en waarden voor het gebruik van
een netwerk, internet, email en omgang met vertrouwelijke informatie en/of persoonsgegevens
kunnen afhankelijk van de aard van de overtreding sancties worden opgelegd.
12.2 Hiervoor kunnen arbeidsrechtelijke maatregelen worden getroffen, waaronder overplaatsing,
schorsing of beëindiging van de arbeidsovereenkomst.
13. Slotbepalingen
13.1 Eventuele bevoegdheden of voorzieningen uit regelingen van de wet of cao worden door dit protocol niet geraakt.
Het Bridgefonds heeft haar werkzaamheden voor projecten in 2023 uitbesteed aan Praktijkpioniers. Daarom is het medewerkers protocol van Praktijkpioniers van toepassing.