Gegevensbeschermingsbeleid

1. Inleiding
De activiteiten van Nieuwe Foto bestaan in de kern uit het maken en beschikbaar stellen van foto's. Een groot deel van de werkzaamheden wordt verricht onder de handelsnaam Nieuwe Schoolfoto. Nieuwe Schoolfoto maakt in opdracht van scholen beeldmateriaal van kinderen. Kinderen worden door de AVG aangemerkt als kwetsbare natuurlijke personen. De met de werkzaamheden gepaard gaande verwerkingen van persoonsgegevens heeft daardoor een gevoelig karakter. Om die reden wenst en eist Nieuwe Foto van zichzelf volledig compliant te zijn aan de AVG. 

Nieuwe Foto neemt het onderwerp privacy en persoonsgegevens zeer serieus. Zij wil dat graag actief en transparant communiceren. Op deze pagina beschrijft Nieuwe Foto daarom hoe zij omgaat met de verwerking van persoonsgegevens en op welke wijze zij de Algemene Verordening Gegevensbescherming (hierna: de "AVG") binnen haar organisatie heeft geïmplementeerd. In het geval Nieuwe Foto als verwerker wordt aangemerkt, dan is het noodzakelijk dat zij haar opdrachtgevers voorziet van informatie zoals bedoeld in art. 28 lid 3 onder h AVG. Ook die informatie wordt op deze pagina verstrekt. 

2. Verantwoordelijke personen en AVG werkgroep
Binnen Nieuwe Foto zijn de heer J.A. Vermeij en de heer D.M. Tins (eind)verantwoordelijk voor de portefeuille "persoonsgegevens". Door Nieuwe Foto is daarnaast een AVG werkgroep opgericht. In deze werkgroep zijn - naast het bestuur - een aantal medewerkers vertegenwoordigd. 

3. Vragen en klachten
Voor vragen en klachten op het gebied van persoonsgegevens kan gebruik worden gemaakt van het contactformulier zoals te vinden op www.nieuweschoolfoto.nl/privacy-contact/. Het is ook mogelijk om (eventueel anoniem) telefonisch contact op te nemen door te bellen naar 030 - 224 25 00. 

4. Juridisch
Juridische ondersteuning met betrekking tot de portefeuille "persoonsgegevens" en op verzoek van Nieuwe Foto verleend door een hierin gespecialiseerd advocatenkantoor (Marxman Advocaten B.V.). 

5. Intern gegevensbeschermingsbeleid
Nieuwe Foto en haar medewerkers zijn gebonden aan een (intern) gegevensbeschermingsbeleid zoals bedoeld in art. 24 lid 2 AVG. Op basis daarvan is het medewerkers alleen toegestaan om (met inachtneming van het gegevensbeschermingsbeleid) persoonsgegevens te verwerken als dat nodig is voor de uitvoering van een opgedragen taak. Daarnaast zijn medewerkers gebonden aan specifieke instructies over hoe om te gaan met persoonsgegevens. Medewerkers beschikken over (basis)kennis van de AVG. 

Nieuwe Foto heeft een bijeenkomst georganiseerd om het gegevensbeschermingsbeleid te introduceren en toe te lichten. Na deze bijeenkomst is het gegevensbeschermingsbeleid afgerond en heeft iedere medewerker een kopie van het gegevensbeschermingsbeleid ontvangen. Daarbij is de instructie gegeven om het betreffende document goed door te nemen. Medewerkers zijn daarmee op de hoogte van het feit dat het gegevensbeschermingsbeleid ook verplichtingen voor hen schept. Nieuwe medewerkers krijgen bij indiensttreding een kopie van het op dat moment geldende gegevensbeschermingsbeleid. 

Het creëren van bewustwording bij alle medewerkers is een belangrijk onderdeel van het gegevensbeschermingsbeleid van Nieuwe Foto. Om die reden stuurt Nieuwe Foto aan op een doorlopende evaluatie van het gegevensbeschermingsbeleid. 

Het gegevensbeschermingsbeleid wordt los van bovenstaande eens per 6 maanden geëvalueerd en zo nodig geactualiseerd. Hiervoor wordt een bijeenkomst georganiseerd, met de belangrijkste verplichtingen (de basisbeginselen) uit de AVG als vaste agendapunten. Denk daarbij aan agendapunten als doelbinding, het vereiste van een grondslag, beveiligingsverplichting, register van verwerkingsactiviteiten, bijzondere persoonsgegevens etc.). Op die manier waarborgt Nieuwe Foto dat zij blijft voldoen aan de AVG. Daarnaast wordt aandacht besteed aan de ontwikkelingen in de praktijk en juridische ontwikkelingen. 

Omtrent de invulling van een aantal concrete en belangrijke verplichtingen geeft Nieuwe Foto op deze pagina meer informatie. Mocht u desondanks meer informatie willen over de invulling van een bepaalde verplichting uit de AVG, dan kunt u uiteraard contact met ons opnemen. 

6. Rechten van betrokkenen
De AVG ken diverse rechten aan betrokkenen toe. Nieuwe Foto handelt een dergelijk verzoek conform art. 12 lid 3 AVG binnen een maand na ontvangst van het verzoek af. Daarbij geldt het uitgangspunt dat eerst de identiteit van de verzoekende persoon wordt vastgesteld, om te verzekeren dat Nieuwe Foto met de juiste persoon te maken heeft. Indien Nieuwe Foto een verzoek krijgt van een betrokkene met betrekking tot verwerkingen die Nieuwe Foto voor of in opdracht van een andere verwerkingsverantwoordelijke verricht, dan zal Nieuwe Foto de betreffende verwerkingsverantwoordelijke daarover informeren en als uitgangspunt niet zelfstandig het betreffende verzoek afhandelen. Nieuwe Foto wenst te benadrukken dat zij privacy hoog in het vaandel heeft staan. Zij gaat aldus - binnen hetgeen wettelijk is toegestaan - zo flexibel mogelijk om met alle rechten van betrokkenen. 

7. Transparantie- en informatieverplichting
Op basis van de AVG geldt in principe dat voor iedere verwerking van persoonsgegevens dat de betrokkene daarover geïnformeerd moet worden. Nieuwe Foto voldoet aan deze verplichting door onder meer het privacy statement op de website en door de interne informatievoorziening welke bekend is bij medewerkers. 

8. Verwerkers
Het is mogelijk dat Nieuwe Foto de opdracht geeft aan een andere partij om voor haar persoonsgegevens te verwerken. De opdrachtnemer wordt door de AVG een "verwerker" genoemd (voorheen bekend onder de term: bewerker). Bij een verwerker kan worden gedacht aan een bedrijf dat wordt ingeschakeld om de loonadministratie te verwerken. Ook kan gedacht worden aan een hostingbedrijf of het gebruik van een dienst als Dropbox of Google Drive. 

Nieuwe Foto sluit verwerkerovereenkomsten met haar verwerkers. Zij heeft daarvoor een model-verwerkersovereenkomst beschikbaar. Dit model voldoet aan alle verplichtingen zoals neergelegd in art. 28 AVG. 

Medewerkers van Nieuwe Foto beschikken over (basis)kennis van de AVG, onder meer om te kunnen signaleren of een instructie van een opdrachtgever een inbreuk oplevert op de AVG. Op basis van de AVG dient Nieuwe Foto in dat geval namelijk de betreffende opdrachtgever daarvan in kennis te stellen. Daarnaast is het belangrijk dat medewerkers over (basis)kennis van de AVG beschikken, omdat Nieuwe Foto op verzoek van opdrachtgever bijstand dient te verlenen met betrekking tot op de opdrachtgever rustende verplichtingen. 

In het geval Nieuwe Foto als verwerker wordt aangemerkt, dan is het noodzakelijk dat zij haar opdrachtgevers voorziet van informatie zoals bedoeld in art. 28 lid 3 onder AVG. Die informatie wordt op deze pagina verstrekt. Mocht een opdrachtgever toch meer specifieke informatie wensen, dan is het uiteraard mogelijk om contact op te nemen. 

Het is medewerkers niet toegestaan om zonder toestemming verwerkers in te schakelen. Dat betekent dus ook dat niet zonder toestemming gebruik mag worden gemaakt van opslagdiensten als Dropbox en Google Drive. 

Bovenstaande alinea's zien op de situatie dat Nieuwe Foto een opdracht geeft aan een derde partij om persoonsgegevens te verwerken. Nieuwe Foto is echter zelf ook verwerker. Zij verwerkt immers ook persoonsgegevens in opdracht voor haar opdrachtgevers/klanten (voornamelijk foto's). Dat betekent dat Nieuwe Foto ook met haar opdrachtgevers verwerkersovereenkomsten dient te sluiten als sprake is van verwerking van persoonsgegevens. Om die reden heeft Nieuwe Foto een verwerkersovereenkomst opgenomen in haar algemene voorwaarden. 

Voor de inschakeling van sub-verwerkers vraagt Nieuwe Foto voorafgaande toestemming aan haar opdrachtgevers. Met de sub-verwerkers zijn eveneens verwerkersovereenkomst gesloten. Bij beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, wordt opdrachtgevers de mogelijkheid geboden tegen deze veranderingen bezwaar te maken. Specifiek in de relatie met ZZP-fotografen maakt een verwerkersovereenkomst onderdeel uit van de overeenkomst van opdracht. In de verwerkersovereenkomst met de ZZP-fotografen zijn concrete verplichtingen voor de ZZP-fotograaf opgenomen, bijvoorbeeld op het gebied van beveiliging. Ter controle voert Nieuwe Foto per jaar onaangekondigd een aantal audits uit. ZZP-fotografen worden daarnaast in een bijeenkomst (voorafgaand aan de dienstbetrekking) voorgelicht over de AVG. 

9. Register van verwerkingsactiviteiten
Nieuwe Foto beschikt over twee registers van verwerkingsactiviteiten. Het eerste register heeft betrekking op de verwerkingen welke onder de verantwoordelijkheid van Nieuwe Foto plaatsvinden. Het tweede register heeft betrekking op verwerkingen welke vóór of in opdracht van (andere) verwerkingsverantwoordelijken hebben plaatsgevonden of plaatsvinden. 

10. Beveiliging van persoonsgegevens
Het is noodzakelijk om technische en organisatorische maatregelen te treffen om een passend beveiligingsniveau te waarborgen. In overleg met een bedrijf gespecialiseerd op het gebied van informatiebeveiliging, heeft Nieuwe Foto een beveiligingsbeleid opgesteld. 

Van belang voor de medewerkers van Nieuwe Foto is dat zij (via een arbeidsovereenkomst of overeenkomst van opdracht) gebonden zijn aan geheimhouding en dat Nieuwe Foto de Clean Desk en Clean Disk principes hanteert. Daarnaast is er enkel toegang voor persoonsgegevens voor medewerkers die dat nodig hebben voor het kunnen uitvoeren van hun werkzaamheden. Het is medewerkers alleen toegestaan om persoonsgegevens te verwerken voor een opgedragen taak. 

Daarnaast spant Nieuwe Foto zich tijdens kantoorvergaderingen, werkoverleggen en evaluaties in om het niveau van bewustwording hoog te houden, door agendering en bespreking van het onderwerp "privacy en persoonsgegevens". 

11. Meldplicht datalekken
Nieuwe Foto heeft met betrekking tot de meldplicht datalekken aanvullende (interne) documentatie opgesteld in de vorm van een Protocol Beveiligingsincidenten en datalekken. Het protocol is bekend bij alle medewerkers van Nieuwe Foto. 

12. Afrondende opmerkingen
Op deze pagina heeft Nieuwe Foto beschreven hoe zij omgaat met de verwerking van persoonsgegevens en op welke wijze zij de AVG binnen haar organisatie heeft geïmplementeerd. Mocht u nog vragen hebben, neemt u dan vooral contact met ons op. Wij hechten namelijk sterk aan de bescherming van persoonsgegevens en zullen alles in het werk stellen om aantoonbaar aan de AVG te voldoen en hierover transparant te zijn. 


Deze pagina is voor het laatst gewijzigd op 24 mei 2018.