Privacyverklaring
Inleiding
Dit is de Privacyverklaring van Hogeschool Domstad Facilitaire Zaken B.V. (Cursus- en vergader-centrum Domstad) te Utrecht (hierna ook: “Domstad”, “ons” of “wij”). Wij maken onderdeel uit van de Stichting Hogeschool Utrecht. Onze contactgegevens vindt u onderaan deze privacyverklaring.
Verwerking en opslag van persoonsgegevens is noodzakelijk voor onze bedrijfsprocessen. Dit dient met de grootste zorgvuldigheid te gebeuren, omdat misbruik van persoonsgegevens grote schade kan berokkenen aan onze gasten, leveranciers en medewerkers, maar ook bij Domstad zelf.
Als verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) hecht Domstad dan ook veel waarde aan het beschermen van de persoonsgegevens die aan ons worden verstrekt en aan de wijze waarop persoonsgegevens worden verwerkt. Wij zijn ons er dan ook van bewust dat we uw vertrouwen v.w.b. het beschermen van uw privacy niet mogen beschamen.
In deze verklaring laten we u weten welke gegevens we verzamelen, waarom we dat doen en met welke waarborgen en bewaartermijnen. Daarmee voldoen wij aan de eisen die de AVG en andere relevante (privacy)wetgeving stelt.
Reikwijdte en doelstelling van de Privacyverklaring
Deze privacyverklaring heeft betrekking op het verwerken van persoonsgegevens van in ieder geval gasten, bezoekers, leveranciers en andere externe relaties, de betrokkenen.
Het betreft dan:
• de geheel of gedeeltelijk geautomatiseerde/systematische verwerking van persoons-gegevens, alsmede op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen;
• niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Domstad verwerkt uw persoonsgegevens, als vertegenwoordiger van uw bedrijf / onderneming / organisatie, voor het reserveren, organiseren, faciliteren, cateren en factureren van vergaderingen, congressen, cursussen, trainingen en andersoortige bijeenkomsten in ons cursus- en vergadercentrum, alsmede voor de inkoop van daartoe benodigde producten, diensten en materialen.
Hoe komen we aan uw gegevens?
Namens de opdrachtgever maakt u een boeking voor een vergadering, congres, cursus, training of andersoortige bijeenkomst. Daarbij verstrekt ons persoonsgegevens, beperkt tot uw naam, telefoonnummer en e-mailadres. Deze hebben we nodig voor de uitvoering van de overeenkomst (opdrachtverwerking, facturatie e.d.).
Van trainers is ons vanwege de noodzakelijke sleuteloverdracht doorgaans naam en geslacht als persoonsgegevens bekend.
Vanwege het cameratoezicht slaan wij beeld en op van een ieder die zich op bepaalde plaatsen in en om onze gebouwen bevindt.
Welke (bijzondere) persoonsgegevens
• Persoonsgegevens
Dit zijn de persoonsgegevens die Domstad van u kan verwerken, afhankelijk van de relatie die we met u hebben:
• contactgegevens (NTE)
• geslacht
• inhoud van communicatie
• URL, IP-adres, browsertype, taal, datum en duur bezoek websites
• camerabeelden (CCTV)
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gevoelig van aard en het verwerken ervan is in beginsel verboden, tenzij er sprake is van een van de wettelijke uitzonderingen uit de AVG, zoals ‘uitdrukkelijke toestemming’ en een ‘zwaarwegend algemeen belang’. Ook gelden er zwaardere beveiligingseisen.
Onder bijzondere persoonsgegevens vallen de volgende gegevens:
• gegevens waaruit ras of etnische afkomst blijkt
• politieke opvattingen
• religieuze of levensbeschouwelijke overtuigingen
• gegevens waaruit lidmaatschap van een vakbond blijkt
• genetische en / of biometrische gegevens met het oog op de unieke identificatie van een persoon
• gegevens over gezondheid
• gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
Het kan bijvoorbeeld voorkomen dat u als gast van Domstad ingeval van verminderde mobiliteit gegevens met ons deelt, bijvoorbeeld als u gebruik wilt maken van een parkeerplaats bij uw bezoek.
Doel van de verwerkingen
De verwerking van persoonsgegevens vindt plaats ten behoeve van de volgende specifieke doelen:
• toegang geven tot het gebouw, facilitaire voorzieningen, catering en materialen
• uitvoeren en beheren van overeenkomsten en opdrachten
• aanbieden, leveren, inkopen van producten en diensten
• verrichten administratieve en financiële handelingen
• nakomen wettelijke verplichtingen
• (informatie)beveiliging
• tegengaan fraude en misbruik
• verbetering websites en dienstverlening
Rechtmatige verwerking / Juridische grondslagen
De AVG geeft zes redenen (grondslagen) voor het mogen verwerken van persoonsgegevens. We verwerken je persoonsgegevens primair op basis van drie van deze grondslagen:
• expliciete toestemming. Bijvoorbeeld voor het doorgeven van uw persoonsgegevens aan derden. Die toestemming kunt u altijd weer intrekken, zij het natuurlijk niet met terugwerkende kracht.
• de gegevensverwerking kan noodzakelijk zijn voor Domstad om te voldoen aan een wettelijke verplichting. Bijvoorbeeld het doorgeven van persoonsgegevens aan de Belastingdienst.
• Domstad kan een gerechtvaardigd belang hebben bij het verwerken van uw persoons-gegevens. Voorwaarde is dat uw fundamentele rechten en vrijheden niet zwaarder wegen. U kunt hierbij denken aan:
• het voorkomen van fraude
• het beschermen van onze (financiële) belangen
• beveiliging
Cameratoezicht (CCTV)
Op de terreinen en in de gebouwen van Domstad wordt cameratoezicht ingezet voor de volgende doeleinden:
• het beschermen van de veiligheid en gezondheid van medewerkers en bezoekers
• de beveiliging van de toegang tot gebouwen, technische ruimten en terreinen
• de bewaking van zaken die zich in gebouwen of op terreinen bevinden
• het voorkomen van diefstal en vandalisme
• het voorkomen van geweld, agressie, intimidatie, discriminatie en anderszins niet-integer gedrag;
• het vastleggen van incidenten en het bevorderen van de opsporing en vervolging van strafbare feiten
• het reguleren van verkeersstromen voor medewerkers en bezoekers
De ruimte waarin de videobeelden worden opgeslagen is beveiligd en alleen toegankelijk voor de (plaatsvervangend) beheerder.
Het cameratoezicht wordt kenbaar gemaakt op borden in en rondom onze gebouwen.
Wilt u meer weten over de manier waarop Domstad met cameratoezicht omgaat? Lees het hier (link).
Bewaartermijnen
Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor zij
zijn verzameld of worden gebruikt. Toch moeten sommige persoonsgegevens langer worden bewaard vanwege een wettelijk verplichting daartoe. Aan verzoeken om verwijdering (zie paragraaf 10) van dit soort persoonsgegevens kunnen wij daarom niet tegemoet komen. De fiscale wetgeving bijvoorbeeld kent langere bewaartermijnen, van meestal zeven jaren.
Camerabeelden worden maximaal vier weken bewaard. Indien er sprake is van gegronde redenen, bijv. een incident, worden de camerabeelden zolang als noodzakelijk bewaard.
Beveiliging
Domstad draagt op de volgende wijze zorg voor een adequaat en risico-gebaseerd beveiligingsniveau om uw persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, zoals ongeoorloofde toegang, aanpassing of openbaarmaking:
• door het toepassen van passende technische en organisatorische maatregelen, zoals autorisatie- en wachtwoordbeleid en encryptie de van informatie die wij verzenden;
• door uw persoonsgegevens op te slaan op beveiligde servers in Nederland, met dagelijkse back-ups. Eventueel ingeschakelde verwerkers bewaren uw persoonsgegevens zoveel als mogelijk in een land binnen de EU/EER.
Doorgifte persoonsgegevens
Wij delen uw persoonsgegevens niet met derde partijen, tenzij deze partij rechtstreeks betrokken is bij de uitvoering van een overeenkomst die met Domstad is gesloten. Vanwege wettelijke verplichtingen is het mogelijk dat wij persoonsgegevens moeten delen t.b.v. externe audits, de Belastingdienst, onze accountant e.d.
Verder zullen wij uw persoonsgegevens alleen aan derden verstrekken indien:
• wij daarvoor uitdrukkelijke toestemming van u hebben gekregen;
• wij een verzoek krijgen van een toezichthoudende autoriteit of opsporingsautoriteit o.b.v. een wettelijke verplichting of een juridische uitspraak dit nodig acht om schade of fraude op te sporen c.q. te voorkomen of om de veiligheid van het netwerk en de website te garanderen;
• verstrekking noodzakelijk is ter bescherming van de persoonlijke veiligheid van bezoekers en medewerkers.
Uitbesteden van verwerking aan een verwerker
Indien Domstad persoonsgegevens laat verwerken door een verwerker, wordt de uitvoering van verwerkingen geregeld in een verwerkersovereenkomst tussen Domstad, als verwerkingsverant-woordelijke, en deze verwerker. Gewaarborgd wordt hierdoor dat de verwerker conform de AVG de persoonsgegevens verwerkt.
Cookies
De website van Domstad maakt alleen gebruik van functionele cookies. Dit zijn kleine tekstbestanden die via uw browser op uw computer, mobiele telefoon of tablet worden geplaatst op het moment dat u pagina’s opvraagt. Wanneer u de website op een ander moment weer bezoekt, kan de informatie die in de cookie zit opgeslagen weer door onze servers worden uitgelezen. Wij bieden u de best mogelijke gebruikservaring, doordat:
• u bepaalde voorkeuren tijdens en tussen bezoeken aan de website slechts eenmalig hoeft te in te stellen;
• de snelheid van de website wordt verbeterd;
• het gebruik van de website kan worden geanalyseerd en wij de werking van de websites kunnen optimaliseren en de inhoud verbeteren.
Het is mogelijk dat sommige functies en services op onze website niet correct functioneren als cookies zijn uitgeschakeld in uw browser.
Datalek
Van een datalek is sprake als er een inbreuk op de beveiliging van persoonsgegevens plaatsvindt, die leidt tot enige ongeoorloofde verwerking daarvan. Denk aan diefstal of verlies van een laptop of usb-stick of een e-mail die naar de verkeerde persoon is verstuurd. Maar ook als onterecht inzage is ver-schaft tot persoonsgegevens in digitale systemen of archieven.
Wanneer een datalek heeft plaatsgevonden en er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de betrokkenen, dan meldt Domstad het datalek binnen 72 uur aan de Autoriteit Persoonsgegevens (AP). Als de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen, dan melden wij dit aan de betrokkenen. Dat kan het geval zijn als:
• persoonsgegevens van gevoelige aard zijn gelekt, of
• de aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
Elk datalek en de afhandeling daarvan wordt bijgehouden in een register.
Rechten van betrokkenen
De AVG geeft betrokkenen bepaalde rechten waarmee zij controle kunnen uitoefenen op de verwerking van hun persoonsgegevens:
• het recht op inzage in en een kopie van uw persoonsgegevens;
• het recht op rectificatie van uw persoonsgegevens;
• het recht om de Hogeschool Utrecht te vragen uw persoonsgegevens te wissen;
• het recht op beperking van de verwerking van uw persoonsgegevens;
• het recht om bezwaar te maken tegen de verwerking;
• het recht om uw gegevens over te dragen aan een andere verwerkingsverantwoordelijke;
• het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.
Let op: bovenstaande rechten zijn niet absoluut. Dat wil zeggen dat Domstad niet in alle gevallen gehoor hoeft te geven aan een verzoek ter uitoefening van één van de genoemde rechten.
Domstad zal de verdere verwerking van uw persoonsgegevens waar mogelijk stoppen, maar als wij kunnen aantonen dat onze gerechtvaardigde belangen zwaarder wegen dan uw belangen of grondrechten en uw fundamentele vrijheden, zal de verwerking worden voortgezet.
Indien uw verzoek terecht is, treffen wij (kosteloos) maatregelen die nodig zijn om uw persoonsgegevens voor de betreffende doeleinden niet meer te verwerken.
Ook kunnen wettelijke bewaartermijnen met zich meebrengen dat wij bij uw verzoek om verwijdering van gegevens toch verplicht zijn bepaalde persoonsgegevens te blijven bewaren totdat de wettelijke bewaartermijn is verstreken. Denk aan fiscale gegevens voor de Belastingdienst.
Afhandeling
Op een verzoek reageren wij zo spoedig mogelijk, doch uiterlijk binnen vier weken na ontvangst. Wij laten in ieder geval weten of gevolg wordt gegeven aan het verzoek. Mocht deze termijn niet haal-baar zijn, laten we dat weten. Wij hebben vervolgens nog maximaal twee maanden tijd om aan uw verzoek - geheel of gedeeltelijk - gevolg te geven, dan wel gemotiveerd aan te geven dat we dat niet doen. Aan een verzoek tot uitoefening van rechten zijn in beginsel geen kosten verbonden.
Domstad zal bij verstrekking van de gegevens rekening houden met de rechten en vrijheden van anderen.
Om de identiteit van de verzoeker of klager vast te stellen, kan het nodig zijn dat wij om extra informatie vragen, zoals een kopie / scan van een identiteitsbewijs. Het is raadzaam hiervoor de KopieID App van de overheid te gebruiken. U kunt dan de kopie van uw identiteitsbewijs voorzien van een watermerk en de gegevens die niet nodig zijn, doorstrepen (BSN, pasfoto en de zogenoemde Machine Readable Zone onderaan het document).
Rechtsbescherming
• Algemene klachten
Domstad heeft via de Hogeschool Utrecht een interne toezichthouder op de verwerking van persoonsgegevens aangesteld, de Functionaris Gegevensbescherming (FG). Als u vindt, dat de wettelijke bepalingen inzake de privacybescherming of deze privacyverklaring niet correct worden toegepast, kunt u een klacht indienen bij de FG via roos.roodnat@hu.nl.
• Overige bezwaarmogelijkheden
U heeft ook de volgende mogelijkheden om je klacht voor ter beoordeling voor te leggen ingeval de Domstad afwijzend heeft beslist op een verzoek zoals beschreven in hoofdstuk 10, of uw verzoek heeft afgewezen:
• Verzoekschriftprocedure bij de kantonrechter
Het verzoekschrift moet dan binnen zes weken na ontvangst van ons antwoord of uitblijven van een reactie binnen de gestelde termijn, worden ingediend bij de kantonrechter.
• Verzoek tot handhaving bij toezichthoudende autoriteit
U kunt een klacht indienen bij de Autoriteit Persoonsgegevens (AP); Postbus 93374
2509 AJ Den Haag; telefoonnummer: 088-1805250. Zie ook https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-over-gebruik-persoonsgegevens.
Vragen- en klachtenprocedure
Voor vragen of klachten in verband met (de verwerking van) persoonsgegevens kun u natuurlijk altijd bij ons terecht. Er wordt zo snel mogelijk opvolging aan gegeven.
Tot slot
Deze privacyverklaring kan op elk moment en zonder nadere aankondiging worden gewijzigd. Wij adviseren je dan ook om deze privacy- en cookieverklaring regelmatig na te lezen.
De meest recente versie is gepubliceerd op www.accomodatiedomstad.nl.
Onze contactgegevens voor vragen of opmerkingen met betrekking tot deze privacyverklaring zijn:
Hogeschool Domstad Facilitaire Zaken B.V.
Cursus- en vergadercentrum Domstad
Koningsbergerstraat 9
3531 AJ Utrecht
Telefoonnummer 030-2927700
Telefoonnummer FG: 06-18302672
info@accommodatiedomstad.nl
Functionaris Gegevensbescherming
e-mail: roos.roodnat@hu.nl
Telefoonnummer: 06-18302672