Privacyverklaring, beleid en register

Inleiding
Contactgegevens
Grondslagen en doeleinden
Opslagmedia
Algemeen verwerkingsregister
  Instructeurs
  Bestuursleden en andere functionarissen (RvT etc.)
  Scholen (contactpersonen, docenten en scholieren)
  Cursisten
  Overigen
Delen van gegevens met derden
Rechten van betrokkenen
Cookies
Omgang met datalekken
Overige opmerkingen

Inleiding

Dit is de gezamenlijke privacyverklaring, het gezamenlijke privacybeleid en het gezamenlijke verwerkingsregister van alle stichtingen van Taskforce QRS. Iedere stichting is zelfstandig verantwoordelijk voor de naleving van dit beleid. Iedere stichting kan het zo nodig aanvullende documenten opstellen, zoals een meer gedetailleerd verwerkingsregister. Natuurlijk respecteren wij de rechten, zoals opgesteld in de Algemene Verordening Gegevensbescherming (zie ook “Rechten van betrokkenen”). Wij gebruiken persoonsgegevens alleen voor zover noodzakelijk voor het bestuur van de stichtingen. Er is regelmatig aandacht voor het beschermen van persoonsgegevens. Wij proberen voortdurend de bescherming te verbeteren en de hoeveelheid persoonsgegevens te verminderen. Er is jaarlijks contact tussen de stichtingen over het te voeren beleid en over het verwijderen van persoonsgegevens van onze opslagmedia. In januari van ieder jaar zal zal Taskforce QRS Nederland dat contact initiëren.

Contactgegevens

Alle stichtingen zijn bekend onder de naam Qualitative Resuscitation by Students (afkorting Taskforce QRS). Alle contactgegevens van de stichtingen zijn te bereiken op https://taskforceqrs.nl/contact/

Grondslagen en doeleinden

Uitvoering overeenkomst

Het grootste gedeelte van de persoonsgegevens is noodzakelijk voor de uitvoering van overeenkomsten. Met onze instructeurs hebben wij vrijwilligersovereenkomsten. Wij moeten ze kunnen bereiken en een vrijwilligersvergoeding kunnen betalen. Met onze cursisten hebben we een dienstenovereenkomst. We moeten ze kunnen bereiken en een certificaat kunnen aanmaken. Wij bewaren de gegevens om de cursist een persoonlijk cursusoverzicht te kunnen bieden en de certificaten daarvan altijd beschikbaar te hebben. Ook met scholen gaan we een overeenkomst aan.

Wettelijke plicht en algemeen belang

De gegevens van instructeurs worden na het beëindigen van de vrijwilligersovereenkomst nog bewaard in het kader van goed werkgeverschap en fiscale verplichtingen. Dit bewaren gebeurt dus op basis van een wettelijke verplichting en vervulling van een taak van algemeen belang.

Toestemming en gerechtvaardigd belang

Sommige overige persoonsgegevens verwerken we op basis van toestemming. Instructeurs kunnen zelf hun foto aanleveren voor het smoelenboek. Wanneer instructeurs dit niet doen, zullen ze een herinnering blijven ontvangen. Wanneer instructeurs geen pasfoto willen uploaden, kunnen ze een andere (anonieme) foto uploaden om de herinnering te doen stoppen. Gegevens die instructeurs aanleveren bij hun sollicitatie verwerken we ook op basis van toestemming.

Van personen in ons netwerk verwerken we persoonsgegevens in bijvoorbeeld contactenlijsten. Hoewel we in dat persoonlijk contact uiteraard toestemming hebben om hun contactgegevens te bewaren, is die toestemming meestal niet aan te tonen. Daarom verwerken we die gegevens op basis van een gerechtvaardigd belang van het onderhouden van een netwerk. Ook sturen we oud cursisten een herinnering om een herhalingscursus te volgen. Dit achten we een dusdanig belangrijk verlengstuk van onze cursussen, dat we dit doen op basis van een gerechtvaardigd belang.

Incidenteel worden er foto’s gemaakt tijdens een volledige reanimatiecursus of een (verkorte) les op een middelbare school. Deze foto’s worden gemaakt en gepubliceerd op basis van een gerechtvaardigd belang, namelijk het naar buiten toe informeren over onze activiteiten met beeldmateriaal. Om de privacy van de cursisten en de scholieren zoveel mogelijk te beschermen, zullen ze in de eerste plaats zoveel mogelijk onherkenbaar in beeld komen. Als er herkenbare beelden worden gemaakt zullen we waar mogelijk en redelijk om (schriftelijke) toestemming vragen. Hierbij houden we rekening met de leeftijd van de scholieren (jonger dan 16 jaar of ouder), dus vragen we zo nodig toestemming van de wettelijk vertegenwoordiger. Wanneer we beelden maken op basis van een gerechtvaardigd belang, dan zullen wij zelf vooraf en achteraf een belangenafweging maken. Dan wordt er ook altijd bij aanvang van de cursus mondeling gevraagd of er bezwaren zijn tegen het maken van beeldmateriaal. Ten slotte wordt er overlegd met de betreffende middelbare school, wanneer het een cursus voor scholieren betreft.

Opslagmedia

De persoonsgegevens staan voor een groot gedeelte opgeslagen in ons eigen systeem voor cursusplanning en cursusadministratie.

Ook slaan we persoonsgegevens op bij clouddiensten via G Suite van Google, met name Google Drive en Gmail. Accounts zijn met een wachtwoord beveiligd en er is een verwerkingsovereenkomst gesloten met Google via de gebruikersovereenkomst. Ook gebruiken we Dropbox en Stack. Hiervoor zijn ook gebruikersovereenkomsten gesloten.

Op onze diverse sociale media staan persoonsgegevens opgeslagen. Dit zijn met name foto’s en video’s op onze website (WordPress), Facebook, YouTube, Instagram, LinkedIn, Twitter en WhatsApp.

Enkele persoonsgegevens staan op fysieke gegevensdragers. De digitale bestanden zijn met een wachtwoord beveiligd.

Enkele persoonsgegevens worden op papier bewaard in een afgesloten ruimte.

Algemeen verwerkingsregister

Instructeurs

Van onze reanimatie-instructeurs verwerken wij:

  • Voornaam/voornamen
  • Achternaam
  • Geslacht
  • Geboortedatum
  • Herkenbare foto
  • Adresgegevens
  • Telefoonnummer
  • E-mailadres
  • Studie en studiejaar
  • Sollicitatiegegevens (e-mails met motivatiebrief en CV)
  • Opleidingsgegevens (instructeursopleiding, opleidingsdata en beoordelingen)
  • Gegeven cursussen met data
  • IBAN en BIC
  • Kopie rijbewijs
  • Handtekening (op overeenkomsten)

De namen en telefoonnummers van de instructeurs worden per les gedeeld met collega-instructeurs, cursisten en eventuele organisatoren (inclusief schooldocenten). De e-mailadressen van de instructeurs worden per les gedeeld met collega-instructeurs.

De sollicitatiegegevens worden verwijderd als een wervingsprocedure volledig is afgerond. Één jaar na uitdiensttreding worden alle overige gegevens van instructeurs verwijderd, behalve de naam, de geboortedatum en de gegeven cursussen met data. Tien jaar na uitdiensttreding worden de gegevens geanonimiseerd en worden alleen nog de cursusdata bewaard. Omdat deze gegevens bewaard worden vanwege een wettelijke plicht en het algemene belang zijn de rechten van de betrokkenen in dit geval beperkt. Dat wil zeggen dat we de naam en geboortedatum niet eerder zullen verwijderen dan na 10 jaar na uitdiensttreding, ook niet bij een verwijderverzoek. Een verzoek om het verwijderen van de overige gegevens binnen een jaar zal wel gehonoreerd worden.

De grondslagen voor deze verwerking zijn (afhankelijk van het type gegeven): uitvoering van de aangegane overeenkomst, toestemming, gerechtvaardigd belang, wettelijke plicht en algemeen belang.

Bestuursleden en andere functionarissen (RvT etc.)

Alle bestuursleden zijn ook instructeurs. Naast de instructeursgegevens wordt van bestuursleden de BSN verwerkt in verband met de inschrijving bij de Kamer van Koophandel (KvK) en de uittreksels die we van het ontvangen. Daarnaast worden de naam en een pasfoto gepubliceerd op onze website. Wanneer het bestuurslid uit dienst treedt, wordt de BSN (met de uittreksels) verwijderd en wordt de pasfoto verwijderd van de website en uit het CMS. Grondslag voor deze verwerking is (afhankelijk van het type gegeven): wettelijke verplichting en toestemming.

Scholen (contactpersonen, docenten en scholieren)

Van de scholen waar we les geven verwerken we de volgende gegevens van de contactpersonen:

  • Voornaam/voornamen
  • Achternaam
  • Geslacht
  • Telefoonnummer
  • E-mailadres
  • Handtekening (op overeenkomsten)

Zodra de contactpersoon binnen een school permanent wijzigt of de samenwerking met een school langdurig wordt beëindigd, verwijderen we deze gegevens. Gespreksverslagen bewaren we maximaal 5 jaar. Overeenkomsten verwijderen we in beginsel, zodra ze niet meer gelden, tenzij er belangrijke redenen zijn om ze te bewaren.

Bij het maken van foto’s en video’s zullen scholieren en docenten in de eerste plaats zoveel mogelijk onherkenbaar in beeld komen. Zie de paragraaf “Grondslagen en doeleinden” over de omgang met herkenbare beelden. Enkele scholen delen hun klassenlijsten kortdurend met ons via AIRworkspace/WorkAIR. Hiermee kunnen we voorafgaand aan de les certificaten afdrukken. Op de meeste scholen worden de certificaten ter plekke gemaakt. Verder verwerken we geen persoonsgegevens van scholieren. Evaluaties en dergelijke zijn anoniem.

De grondslagen voor deze verwerking zijn (afhankelijk van het type gegeven): uitvoering van de aangegane overeenkomst, toestemming en gerechtvaardigd belang.

Cursisten

Van cursisten van een reanimatiecursus volgens de richtlijnen van de Nederlandse Reanimatie Raad (NRR) verwerken wij de volgende gegevens:

  • Voornaam/voornamen
  • Achternaam
  • Geslacht
  • Geboortedatum
  • Foto’s
  • Adresgegevens
  • Telefoonnummer
  • E-mailadres
  • Adres
  • Studie en studiejaar (indien van toepassing)

De namen en telefoonnummers van de cursisten worden gedeeld met de instructeurs van de betreffende cursus. Dit gebeurt van enkele dagen voor de cursus tot een week na de cursus.

Bij het maken van foto’s en video’s zullen cursisten in de eerste plaats zoveel mogelijk onherkenbaar in beeld komen. Zie de paragraaf “Grondslagen en doeleinden” over de omgang met herkenbare beelden.

Alle gegevens van cursisten worden 10 jaar na het volgen van de laatste cursus verwijderd.

Grondslag voor deze verwerking is (afhankelijk van het type gegeven): uitvoering van de aangegane overeenkomst, toestemming en gerechtvaardigd belang.

Overigen

Met een aantal personen hebben we een andere relatie dan de bovenstaande. Voorbeelden hiervan zijn leden van een Comité van Aanbeveling, contactpersonen van samenwerkingspartners, donateurs en sponsoren. Van hen verwerken we de volgende gegevens:

  • Voornaam/voornamen
  • Achternaam
  • Geslacht
  • Telefoonnummer
  • E-mailadres
  • Functie (in relatie tot ons netwerk)
  • Handtekening (op overeenkomsten)

Wij publiceren de gegevens van onze contactpersonen niet, tenzij hiervoor expliciete toestemming is gegeven. Wij verwijderen alle gegevens, wanneer de betreffende persoon geen relatie meer heeft met ons (netwerk). Overeenkomsten verwijderen we in beginsel, zodra ze niet meer gelden, tenzij er belangrijke redenen zijn om ze te bewaren.

Grondslag voor deze verwerkingen is (afhankelijk van het type gegeven): uitvoering overeenkomst, toestemming en gerechtvaardigd belang.

Delen van gegevens met derden

Naast Google (zie opslagmedia), delen wij gegevens met enkele andere organisaties. Van de Hartstichting ontvangen we gegevens van cursisten, die zich via de website van de Hartstichting hebben aangemeld voor een cursus van ons. Naast de gegevens die wij overnemen en zelf bewaren (zie verwerkingsregister), moeten cursisten hier hun adres invullen. Met de Hartstichting hebben de afzonderlijke stichtingen een verwerkingsovereenkomst gesloten.

Om certificaten aan te maken delen wij naam, geslacht en geboortedatum van cursisten met de European Resuscitation Counsil (ERC). De Nederlandse gegevens van de ERC kunnen automatisch worden ingezien door de Nederlandse Reanimatieraad (NRR). Deze partijen zijn een zelfstandige gegevensverwerker. Ze zijn ook een zelfstandige gegevensverwerker voor de persoonsgegevens die zij verwerken van onze gecertificeerde instructeurs.

Naast besloten groepen voor bestuursleden en instructeurs, plaatsen we op onze openbare profielen op sociale media (Facebook, YouTube, Instagram, Twitter en LinkedIn) alleen foto’s. Zelf taggen wij daar geen cursisten of scholieren in.

Betalingen laten we verwerken via Mollie en daar hebben we dus een overeenkomst mee. Een aparte verwerkersovereenkomst is niet nodig, omdat Mollie een zelfstandige verwerkingsverantwoordelijke is. Kijk voor meer informatie op https://help.mollie.com/hc/nl/articles/360002761193-Moet-ik-een-verwerkersovereenkomst-met-Mollie-afsluiten-

Rechten van betrokkenen

Personen waarvan wij gegevens verwerken hebben recht op informatie, inzage, wijziging, verwijdering en ontvangst van alle of bepaalde geregistreerde gegevens. Ook hebben ze het recht om een bepaalde verwerking van persoonsgegevens te beperken. Beperkingen op deze rechten van betrokkenen op grond van de wet of het algemeen belang staan vermeld in het verwerkingsregister bij de specifieke gegevens. Wanneer verzocht wordt tot verwijdering van de gegevens, zullen wij – indien gewenst na informatie over de gevolgen – ook de derde partijen verzoeken om de persoonsgegevens te verwijderen.

Los van bovenstaande verzoeken kan natuurlijk iedereen bij ons terecht met een klacht over de verwerking van persoonsgegevens. Daarnaast kan er eventueel een klacht worden ingediend bij de Autoriteit Persoonsgegevens (AP).

Om een beroep te doen op al deze rechten, kun je e-mailen naar info@taskforceqrs.nl en daarnaast kun je terecht bij iedere individuele stichting terecht via https://taskforceqrs.nl/contact/. Kijk voor aanwijzingen over het beroep doen op je rechten op https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/.

Cookies

Wij gebruiken op onze websites cookies om de website technisch te laten werken en voor algemene statistische doeleinden (functionele en analytische cookies). Wij hebben de instellingen van Google Analytics aangepast conform het advies van de Autoriteit Persoonsgegevens. Wij gebruiken geen tracking cookies. Een cookie-melding op onze website is dus niet nodig.

Omgang met datalekken

Iedereen binnen onze organisatie, die constateert dat data verloren is gegaan of dat derden daartoe onbevoegd toegang gekregen hebben, meldt deze datalekken het bestuur van de betreffende stedelijke stichting en aan het bestuur van de overkoepelende stichting (Taskforce QRS Nederland). Afhankelijk van de situatie is het bestuur van de betreffende stedelijke stichting of is de overkoepelende stichting verantwoordelijk voor het melden van datalekken aan de Autoriteit Persoonsgegevens (AP).

Overige opmerkingen

Wij hebben geen functionaris gegevensbescherming (FG). Daar is voor onze organisatie ook geen verplichting toe. In de inleiding van dit document is te lezen hoe wij als organisatie aandacht besteden aan de gegevensbescherming. Wij maken overigens geen gebruik van geautomatiseerde besluitvorming of profilering.