SOZKO neemt privacy serieus en is zich bewust van de huidige privacy wetgeving (dit is sinds 25 mei 2018 de Algemene Verordening Persoonsgegevens, ofwel de AVG).
Binnen het bestuur en de scholen van SOZKO worden persoonsgegevens verwerkt. SOZKO is op grond van de AVG eindverantwoordelijk voor het verwerken van al deze persoonsgegevens. Het verwerken dient zorgvuldig te gebeuren, omdat misbruik van persoonsgegevens schade kan berokkenen aan leerlingen, medewerkers en aan andere betrokkenen personen of instanties. SOZKO hecht dan ook veel waarde aan het beschermen van persoonsgegevens die aan haar worden verstrekt en door haar worden gegenereerd. In dit privacyreglement wordt beschreven hoe invulling wordt gegeven aan deze belangrijke wettelijke verantwoordelijkheid
1. Toepasselijkheid
Dit reglement geldt voor de gehele organisatie die deel uitmaakt van Stichting SOZKO gevestigd aan de Teun de Jagersdreef 1C, 3561 JK te Utrecht. Zie voor contactinformatie: www.wijzijnsozko.nl en de bijbehorende scholen, te weten: Basisschool De Beiaard, Basisschool Joannes XXIII en Jenaplanschool Cleophas.
2. Definities
Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’), zoals bijvoorbeeld naam, adres, geboortedatum, titel(s), geslacht, adres, telefoonnummer, e-mailadres, functie, personeelsnummer, medische rapportages, inhoud van e-mails, prestaties/cijfers, brieven, klachten, foto’s, video’s, IP-adressen, tracking cookies, loginnamen en wachtwoorden.
Verwerking van persoonsgegevens
Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Bijzondere persoonsgegevens
Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (DNA/RNA) of biometrische gegevens (bijv. foto’s) met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, of iemands seksueel gedrag of seksuele gerichtheid.BetrokkeneDegene op wie een persoonsgegeven betrekking heeft, en die al dan niet wordt vertegenwoordigd door een wettelijk vertegenwoordiger. Betrokkenen kunnen bijvoorbeeld zijn: leerlingen, ouders, medewerkers en bezoekers.
Wettelijk vertegenwoordiger
Degene die het ouderlijk gezag over een minderjarige uitoefent. Meestal zal dit een ouder zijn, maar het kan ook gaan om een voogd. Als een leerling 16 jaar of ouder is, beslist hij in voorkomende gevallen zelf over zijn privacy.
Verwerkings-verantwoordelijke
De entiteit die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van dit reglement is de verwerkingsverantwoordelijke het bevoegd gezag, te weten de Stichting Overvecht Zuid voor het katholiek onderwijs (SOZKO: het bevoegd gezag), vertegenwoordigd door het Bestuur, de verwerkingsverantwoordelijke.
Verwerker
De natuurlijke persoon of rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke (het bevoegd gezag) persoonsgegevens verwerkt, zoals bijvoorbeeld de leverancier van een leerlingvolgsysteem of leerling-administratiesysteem. Een verwerker heeft een uitvoerende taak, ten behoeve van de activiteiten van de verwerkingsverantwoordelijke.
Derde
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, de verwerkingsverantwoordelijke, de verwerker, of de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om persoonsgegevens te verwerken.
SOZKO (bevoegd gezag)
Stichting SOZKO (het bevoegd gezag), de verwerkingsverantwoordelijke in de zin van dit reglement.
Inbreuk i.v.m. persoonsgegevens (‘datalek’)
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Dit wordt ook wel ‘datalek’ genoemd.
Melding van een inbreuk aan de Autorieteit Persoonsgegevens
Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan het overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
Melding van een inbreuk aan de betrokkene
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
3. Reikwijdte en doelstelling
- Dit reglement stelt regels over de verwerking van persoonsgegevens van alle betrokkenen bij de organisatie, waaronder leerlingen en hun wettelijk vertegenwoordigers, medewerkers, bezoekers en externe relaties (bijv. leveranciers en opdrachtnemers).
- Dit reglement is van toepassing op alle persoonsgegevens van de betrokkene die door SOZKO worden verwerkt. Het reglement heeft tot doel: