Privacyverklaring

Combinatie MGZ is een groep van bedrijven dat zich richt op het beheer en onderhoud van het areaal Noord-Holland Zuid van de provincie Noord-Holland. Combinatie MGZ vindt de privacy van alle personen met wie Combinatie MGZ een relatie heeft erg belangrijk. Denk hierbij natuurlijk aan onze medewerkers, maar ook aan mensen die werken bij onze leveranciers, opdrachtgevers, onderaannemer, bewoners/bedrijven die we informeren over onze werkzaamheden, mensen die bij ons een cursus volgen en ZZP’ers (hierna: “betrokkene”).

Van bovenstaande betrokkenen maakt, ontvangt en deelt Combinatie MGZ persoonsgegevens. In dit document wordt uitgelegd hoe Combinatie MGZ met persoonsgegevens omgaat en hoe dit past binnen de Algemene Verordening Gegevensbescherming (hierna: “AVG”).

Wat is verwerken van persoonsgegevens?

Verwerken is: alles wat er met persoonsgegevens kan worden gedaan. Bijvoorbeeld het verzamelen, maar ook het opslaan, opvragen, gebruiken, met elkaar in verband brengen en verwijderen van gegevens uit de administratie van Combinatie MGZ. Dit is dus een zeer ruim begrip.

Persoonsgegevens zijn alle gegevens die direct of indirect iets over een natuurlijk persoon zeggen. Bijvoorbeeld: naam en adres. Een lijst met alleen voornamen zijn dan weer geen persoonsgegevens; het moet herleidbaar zijn naar een natuurlijk persoon.

Wie is verantwoordelijk voor de verwerking van mijn persoonsgegevens?

De naleving van de AVG binnen Combinatie MGZ staat onder de verantwoordelijkheid van de Groepsdirectie. Voor vragen over de AVG binnen Combinatie MGZ neem je contact op via mgz@pnhz.nl

Van wie verwerkt Combinatie MGZ persoonsgegevens?

Combinatie MGZ verwerkt persoonsgegevens van mensen met wie Combinatie MGZ een relatie heeft. Dat zijn dus bijvoorbeeld persoonsgegevens van:

Medewerkers – dit zijn naast de huidige medewerkers ook oud-medewerkers en sollicitanten.

Inleners – dit zijn mensen die Combinatie MGZ inhuurt, bijvoorbeeld als ZZP’er of mensen die in dienst zijn van een onderaannemer die Combinatie MGZ inhuurt.

Derden – denk hierbij aan bewoners bij wie Combinatie MGZ werkzaamheden wil uitvoeren of die beïnvloed worden door werkzaamheden van Combinatie MGZ.

Cursisten – mensen niet in dienst van Combinatie MGZ die (in opdracht van hun werkgever) bij Combinatie MGZ een cursus volgen.

Vanuit samenwerkingsverbanden – persoonsgegevens (contactpersonen) die ontstaan omdat Combinatie MGZ met andere bedrijven samenwerkt zoals leveranciers, opdrachtgevers of combinanten. De gegevens worden gebruikt in het kader van samenwerken, contracten of financiële transacties.

Welke persoonsgegevens verwerkt Combinatie MGZ?

Combinatie MGZ beschikt over persoonsgegevens die:

Zelf door mensen zijn verstrekt – denk hierbij aan medewerkers, bewoners die zich aanmelden voor een nieuwsbrief of relaties die op de hoogte willen worden gehouden over Combinatie MGZ.

Die door andere bedrijven wordt verstrekt – denk hierbij aan gegevens die nodig zijn voor controle op toegang tot de bouwplaats, cursisten die een opleiding gaan volgen, projectmedewerkers met wie projectmedewerkers van Combinatie MGZ gaan samenwerken en klanten van opdrachtgevers waarbij Combinatie MGZ de werkzaamheden namens de opdrachtgever uitvoert.

Voor het bewaren van persoonsgegevens gelden geen vaste bewaartermijnen. Het gaat om het vaststellen van het doel waarvoor Combinatie MGZ deze gegevens nodig heeft en daarop de bewaartermijn bepalen. Hierbij denkt Combinatie MGZ vanuit de betrokkene. Combinatie MGZ bewaart geen gegevens omdat dat ‘handig’ is. Gegevens van sollicitanten die uiteindelijk niet bij Combinatie MGZ in dienst komen bewaart Combinatie MGZ veel korter dan persoonsgegevens die noodzakelijk zijn bij werkzaamheden voor een asbestsanering. Voor alle persoonsgegevens geldt dat als ze niet meer nodig zijn ze worden verwijderd.

Waarom verwerkt Combinatie MGZ persoonsgegevens?

Omdat de betrokkene daar zelf toestemming voor heeft gegeven. Als een bewoner zich aanmeldt voor een nieuwsbrief wordt er ook gevraagd toestemming te geven om de persoonsgegevens (mailadres) te verwerken om het versturen van de nieuwsbrief mogelijk te maken.

Omdat Combinatie MGZ een contract uitvoert. Om het arbeidscontract na te kunnen leven moet Combinatie MGZ persoonsgegevens gebruiken, bijvoorbeeld om salaris uit te betalen.

Omdat Combinatie MGZ een wettelijke verplichting heeft deze gegevens te verzamelen. Dit kan gaan over de afdracht van sociale lasten en premies. Ook controle op de Wet Keten Aansprakelijkheid (WKA) en de Wet Arbeid Vreemdelingen (WAV) is een wettelijke verplichting waarvoor Combinatie MGZ persoonsgegevens verwerkt.

Omdat Combinatie MGZ een gerechtvaardigd belang heeft. Bijvoorbeeld het bijhouden van opleiding en certificaten is belangrijk voor Combinatie MGZ, omdat daarmee het voldoen aan de veiligheidseisen op projecten  aangetoond kan worden. Ook voor het kunnen uitvoeren van projecten deelt Combinatie MGZ gegevens van projectmedewerkers met bijvoorbeeld opdrachtgevers. Hierbij deelt Combinatie MGZ alleen gegevens die noodzakelijk zijn.

Welke soort gegevens verwerkt Combinatie MGZ?

Combinatie MGZ verwerkt gewone persoonsgegevens (naam, adres) die passen binnen een “grondslag” (toestemming, contract, wettelijke verplichting of gerechtvaardigd belang. Zie punt 5).

Combinatie MGZ verwerkt geen bijzondere persoonsgegevens. Bijvoorbeeld gegevens over de gezondheid worden niet door Combinatie MGZ verwerkt; de bedrijfsarts doet dit in een systeem waar Combinatie MGZ geen toegang tot heeft. De bedrijfsarts deelt deze gegevens ook niet met Combinatie MGZ.

Aan wie verstrekt Combinatie MGZ  persoonsgegevens?

Combinatie MGZ verstrekt persoonsgegevens aan dienstverleners die Combinatie MGZ inschakelt bij haar bedrijfsvoering. Denk hierbij aan leasemaatschappijen, bedrijven die werkkleding verzorgen, opdrachtgevers/leveranciers/onderaannemers die een contactpersoon binnen Combinatie MGZ nodig hebben en aan internet- en telefonie verstrekkers.

Deze bedrijven mogen de persoonsgegevens alleen gebruiken waarvoor ze beschikbaar zijn gesteld en mogen ze niet bewaren nadat het doel waarvoor ze gegeven zijn is bereikt. Combinatie MGZ mag deze gegevens alleen delen met deze bedrijven als dit past binnen het doel waarvoor Combinatie MGZ ze heeft verkregen. Indien nodig sluit Combinatie MGZ met het bedrijf een verwerkersovereenkomst af waarin wordt geïnstrueerd wordt wat wel en niet met de gegevens mag worden gedaan en hoe de persoonsgegevens beveiligd moeten worden.

Wat zijn mijn rechten?

Ten aanzien van de persoonsgegevens die Combinatie MGZ vastlegt heeft de betrokkene een aantal rechten:

• Recht op inzage: de betrokkene mag weten welke gegevens van de betrokkene verwerkt worden
• Recht op wijziging en aanvulling: als er iets niet klopt mag de betrokkene dit laten wijzigen of aanvullen
• Recht op beperking: de betrokkene mag Combinatie MGZ vragen om minder gegevens te verwerken
• Recht bij geautomatiseerde besluitvorming: de betrokkene heeft recht op menselijke controle bij besluiten die door normaal door een systeem worden gemaakt
• Recht op bezwaar: de betrokkene mag bezwaar maken tegen de gegevensbewerking
• Recht op dataportabiliteit: onder bepaalde voorwaarden mag de betrokkene Combinatie MGZ vragen zijn/haar gegevens over te dragen aan hemzelf/haarzelf of aan een ander bedrijf
• Recht op vergetelheid: de betrokkene mag Combinatie MGZ vragen om diens persoonsgegevens te verwijderen

Let op: bovenstaande rechten kunnen niet altijd uitgeoefend worden. Zo kan bijvoorbeeld niet gevraagd worden persoonsgegevens te wissen waarvan de overheid ons vraagt ze vast te leggen. Ook kunnen bewaartermijnen van verschillende gegevens verschillen, zo moet Combinatie MGZ bijvoorbeeld een kopie ID langer bewaren dan verzuimgegevens van oud-medewerkers. Welke rechten de betrokkene heeft verschilt per verwerkingsdoel.

De AVG binnen Combinatie MGZ

Per 25 mei 2018 is de AVG van toepassing. Combinatie MGZ heeft een register van 23 verwerkingspunten (processen) opgesteld waarbinnen het verwerken van persoonsgegevens is geregistreerd en beschreven.

Combinatie MGZ is daarnaast ISO-27001 gecertificeerd, een certificaat dat onze informatiebeveiliging toetst. Aan de hand van het register is, waar nodig, de bescherming van persoonsgegevens geregeld.

Waar kan ik een datalek melden?

Een datalek is “toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.”

Een datalek kan gemeld worden bij de Security Officer via  mgz@pnhz.nl.

Waar kan ik terecht met een vraag of klacht?

Voor vragen of klachten over de verwerking van persoonsgegevens door Combinatie MGZ kan contact opgenomen worden via mgz@pnhz.nl.

Kan Combinatie MGZ dit document wijzigen?

Ja, dit privacy statement kan van tijd tot tijd wijzigen. Zo past Combinatie MGZ het privacy statement aan als de AVG wijzigt of als Combinatie MGZ bepaalde procedures aanpast. Als deze wijzigingen van  invloed zijn op (groepen) mensen brengt Combinatie MGZ de betrokkenen op de hoogte