Inleiding
Bij SOL Ambacht (Sophia en Kinderopvang Ambacht) worden dagelijks kinderen begeleid door onze medewerkers. Hierbij worden gegevens van de kinderen, maar ook van hun ouders, medewerkers en derden verwerkt. SOL Ambacht, als verwerkingsverantwoordelijke, heeft zich niet alleen als doel gesteld om goede opvang en goed onderwijs te geven, maar dit ook op een voor alle betrokkenen veilige manier te doen.

Veilig qua omgeving maar ook met betrekking tot alle (persoons)gegevens die wij daarbij nodig hebben. In dit privacybeleid geven wij aan welke persoonsgegevens wij verwerken, van wie, met welk doel, op basis waarvan en hoe wij dit op een veilige wijze doen zodat deze gegevens optimaal beschermd zijn en blijven. Daarbij zijn de voorwaarden die de Algemene Verordening Gegevensbescherming (AVG) aan het verwerken van persoonsgegevens stelt, opgevolgd.

1. Doel en grondslag van de verwerking
Voor het op een goede manier uitvoeren van onze werkzaamheden verwerken wij persoonsgegevens. Dat doen wij van iedereen die bij SOL Ambacht betrokken is, de betrokkene. Dit zijn natuurlijk de kinderen en hun ouders en verzorgers, maar ook onze medewerkers, stagiaires, vrijwilligers, mensen die worden geïnformeerd in geval van nood (partner, huisarts), maar ook leveranciers en samenwerkende partners etc. Omdat de kinderen bij SOL Ambacht allemaal jonger dan 16 jaar zijn, worden zij altijd vertegenwoordigd door hun ouders of wettelijk vertegenwoordiger.

Doel
Het verwerken van persoonsgegevens doen wij met een bepaalde reden (doel). De doelen van SOL Ambacht:

1. Het bieden van goede kinderopvang en goed onderwijs. Hiervoor verwerken wij persoonsgegevens voor:
   – onze (kind)administratie, o.a. voor de groepsindeling en aanwezigheidsregistratie;
   – onze kindvolgsystemen zodat wij de ontwikkeling van het kind kunnen volgen en het, waar nodig, extra aandacht kunnen geven. Bijvoorbeeld het bijhouden van de toetsuitslagen;
   – het inzetten van ondersteunende leermiddelen, zoals (digitale) programma’s. Met eventuele leveranciers van deze programma’s worden verwerkersovereenkomsten gesloten;
   – het informeren en adviseren van de ouders met betrekking tot de ontwikkeling van hun kind;
   – het informeren van externe deskundigen over de ontwikkeling van het kind bij een zorgvraag (alleen na toestemming van de ouder);
   – financiële doeleinden. Bijvoorbeeld het verkrijgen van een ouderbijdrage of subsidie, maar ook bij niet betalen, het inschakelen van een deurwaarder.
2. Een goede werkgever zijn door:
   – een correcte (salaris) administratie, zodat bijvoorbeeld de medewerker salaris ontvangt conform de gemaakte afspraken;
   – het ter beschikkingstellen van bedrijfsmiddelen zodat de functie goed kan worden uitgevoerd.
   Privacybeleid oktober 2019 Pagina 2 van 7
   Bedrijfsmiddelen waaronder bijvoorbeeld mobiele telefoon, laptop, (digitale) systemen;
   – de medewerkers de mogelijkheid te bieden zich te ontwikkelen en hun kennis op peil te houden door het volgen van een opleiding of cursus;
   – de aanwezigheid van de medewerkers bij te houden, zodat er overzicht is over hoeveel verlofuren iemand nog heeft, of wanneer iemand afwezig is wegens ziekte er passende maatregelen kunnen worden genomen (verzuimbegeleiding en vervanging van zieke medewerker);
   – verplichtingen vanuit de wet of CAO op te volgen.
3. Het creëren van een veilige omgeving voor alle betrokkene door:
   – het bijhouden van medische gegevens die nodig zijn om goed te kunnen handelen, bij bijvoorbeeld een allergie. Deze gegevens verwerken we alleen met toestemming van de betrokkene;
   – het bijhouden van telefoonnummers van wie er moet worden geïnformeerd bij een noodgeval. Bijvoorbeeld de ouder of partner, maar dit kan ook de huisarts zijn;
   – het overzicht te hebben van iedereen die aanwezig is op een locatie op en bepaald moment. Dit is van belang op het moment van een calamiteit (ontruiming), of een activiteit (schoolreisje);
   – het vastleggen van regels over hoe wij met elkaar omgaan in gedragscodes om bijvoorbeeld pestgedrag, of intimidatie en agressie te voorkomen. In deze gedragscodes staat ook waar men terecht kan als het eventueel wel gebeurt (vertrouwenspersoon, klachtenrecht).
4. Het voldoen aan verplichtingen jegens derden:
   – informatie geven omdat we door een wet hiertoe verplicht zijn. Bijvoorbeeld aan de onderwijsinspectie, belastingdienst (ouderbijdrage, loonbelasting), accountantscontrole, Pensioenfonds, GGD, geschillencommissie etc.;
   – in de samenwerking met een partnerorganisatie. Bijvoorbeeld voor het organiseren van activiteiten
5. Informeren van (toekomstig) betrokkene door vastleggen van onze activiteiten:
   – beeldmateriaal en naam voor informatie in de groepen;
   – beeldmateriaal en naam voor externe informatie bijvoorbeeld de website, SOLgids, (digitale) nieuwsbrief; – publiciteit in de pers. Voor dit doel vragen wij toestemming.

Grondslag
Naast het omschrijven van de doelen moet SOL Ambacht ook aangeven op grond waarvan de persoonsgegevens worden verwerkt, dit heet de grondslag. De verwerking kan plaatsvinden op basis van één of meerdere grondslagen.
De grondslagen op basis waarvan SOL Ambacht persoonsgegevens verwerk, zijn:

1. Voor de uitvoering van een overeenkomst. Voor de plaatsing van een kind, of de aanstelling met een medewerker, of afspraken voor levering van goederen of diensten;
2. Om te voldoen aan een wettelijke verplichting. Regelgeving met betrekking tot bijvoorbeeld leerplicht, arbeidsomstandigheden, toezicht door derden (GGD, accountant);
3. Voor het beschermen van een vitaal belang, bijvoorbeeld de gezondheid van een kind of werknemer;
4. Ter uitvoering van een publieke taak. Bijvoorbeeld het verstrekken van gegevens aan derden als dit nodig is voor het onderwijs of opvang;
   Privacybeleid oktober 2019 Pagina 3 van 7
5. Voor een gerechtvaardigd belang van SOL Ambacht, bijvoorbeeld voor een goede begeleiding van een kind of medewerker, behandeling van geschillen;
6. Op basis van toestemming. Deze grondslag gebruikt SOL Ambacht alleen als geen van bovengenoemde grondlagen van toepassing is. Toestemming mag altijd weer worden ingetrokken, dus dat maakt het een minder zekere grondslag. Wel zijn alle verwerkingen, die gedaan zijn voor de datum dat de toestemming wordt ingetrokken, rechtmatig.

Omdat SOL Ambacht altijd in beweging is, kan het voorkomen dat we een nieuw doel ontwikkelen. Zodra zich dit voordoet wordt de functionaris gegevensbescherming (FG) en/of de privacycoördinator bij het ontwikkelingsproces betrokken. Ligt het doel in lijn met hierboven omschreven doelen dan spreken we van een verenigbaar doel.
De FG houdt toezicht op de naleving van de regels van de AVG, maar adviseert daarnaast ook de verwerkingsverantwoordelijke. De FG is tevens contactpersoon voor de Autoriteit Persoonsgegevens (AP).

2. Verwerken persoonsgegevens
Alle informatie over een betrokkene waardoor deze identificeerbaar is, is een persoonsgegeven. SOL Ambacht verwerkt de volgende persoonsgegevens: naam, adres, geboortedatum, geslacht, (mobiele) telefoonnummer en e-mailadres (privé en zakelijk), functie en bijbehorende autorisaties, registratienummer, beeldmerk, ontwikkelingsgegevens (cijfers, opleiding etc), BSN, financiële gegevens (bankrekening en salaris).
Onder het verwerken van persoonsgegevens verstaat SOL Ambacht alle handelingen die handmatig of geautomatiseerd met persoonsgegevens kunnen worden gedaan zoals: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, verstrekken, doorzending, afschermen, wissen of vernietigen.

Het verwerken van de persoonsgegevens zal veelal door medewerkers van SOL Ambacht (gebruikers) worden uitgevoerd. Zij zijn hiertoe geautoriseerd en hebben instructie gekregen hoe zij hier zorgvuldig en vertrouwelijk mee dienen om te gaan (Handleiding medewerker). Tevens kunnen zij alleen die persoonsgegevens verwerken die nodig zijn voor hun functie, dit wordt vastgelegd in een autorisatiematrix.
Wordt de verwerking op verzoek van SOL Ambacht door een derde (verwerker) uitgevoerd dan worden in een verwerkersovereenkomst de voorwaarden vastgelegd. Zoals het door SOL Ambacht geformuleerde doel en middelen, maar ook de regels omtrent de privacy zoals die ook voor SOL Ambacht gelden.

SOL Ambacht verwerkt alleen die persoonsgegevens die strikt noodzakelijk zijn voor het doel waarvoor wij ze willen verwerken (minimale gegevensverwerking). Tevens beoordelen SOL Ambacht of we de gegevens niet op een andere manier kunnen verwerken (subsidiariteit), of dat de inbreuk op de privacy van de betrokkene wel in verhouding is met ons doel (proportionaliteit).
Verder wordt nagegaan of de gegevens juist en actueel zijn. Het is daarbij zeer nuttig dat betrokkene eventuele wijzigingen tijdig doorgeven. SOL Ambacht controleert of degene die de wijziging doorgeeft, ook inderdaad de betrokkene is waarover het gaat.
Daarnaast zijn medewerkers terughoudend met het delen van persoonsgegevens. Niet alleen met collega’s maar juist ook met derden (zorgverleners, activiteitenbegeleiders). Wettelijk kan SOL
Privacybeleid oktober 2019 Pagina 4 van 7
Ambacht verplicht worden om persoonsgegevens te delen als het bijvoorbeeld gaat om de overgang tussen opvang en school, of scholen onderling.

Hoewel we de meeste persoonsgegevens van de betrokkene zelf krijgen, kunnen we ze ook van derden krijgen (andere school, opvang). Wij vragen geen persoonsgegevens op bij een derde zonder voorafgaande toestemming van de betrokkene.
De bewaartermijn die wij hanteren is of wettelijk vastgelegd, of anders zo lang als voor het doel nodig is.

Beveiliging
Om te voorkomen dat persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt, zijn er verschillende passende organisatorische en technische maatregelen genomen. Hierbij wordt rekening gehouden met de stand van de techniek en de ermee samenhangende kosten.
Uitgangspunt hierbij is dat:

• Medewerkers de werkplek niet onbeheerd achterlaten en aan het eind van de werkdag de werkplek opruimen;
• Persoonsgegevens alleen daar worden opgeslagen waar het nodig is. Er worden geen onnodige kopieën of bestanden gemaakt;
• SOL Ambacht in de autorisatiematrix per functie heeft vastgelegd welke persoonsgegevens iemand in die functie mag verwerken. Ook is vastgelegd per wanneer iemand toegang krijgt en hoe deze toegang, bij bijvoorbeeld vertrek van de medewerker, weer wordt ingetrokken;
• Persoonsgegevens veilig worden verstuurd. Dit is verder uitgewerkt in protocollen ‘Versleuteld e-mailen’ en ‘Versturen documenten bestanden’;
• Medewerkers wachtwoorden hebben op de door hen gebruikte bedrijfsmiddelen, zodat een onbevoegde niet kan inloggen. Voor kinderen kan een ID-code worden aangevraagd zodat zij anoniem van de leermiddelen gebruik kunnen maken;
• De computerprogramma’s voorzien zijn van de benodigde beveiligingssoftware en beveiligingscertificaten. Daarop worden programma’s door SOL Ambacht geselecteerd;
• De informatiebeveiliging op de agenda staat van zowel de bestuurder- alsook de management overleggen;
• Jaarlijks een analyse wordt gemaakt om een inschatting te kunnen maken van verhoogde risico factoren zodat daar passende maatregelen op kunnen worden genomen;
• De informatiesystemen dermate zijn beveiligd dat er ongestoord en ononderbroken bewerkt en geraadpleegd kan worden;
• Er een back-upplan is voor als er zich een calamiteit voor doet.

Bovengenoemde maatregelen worden nader uitgewerkt in het ‘Informatiebeveiligingsbeleid’.

Omdat SOL Ambacht ook bijzondere persoonsgegevens verwerkt, zal met enige regelmaat een risicoanalyse worden uitgevoerd.

3. Rechten van betrokkene
Naast plichten die de verwerkersverantwoordelijke (bestuurders van SOL Ambacht) heeft, kent de wet de betrokkene ook expliciet bepaalde rechten toe.

1. Recht op informatie: betrokkene heeft het recht om aan SOL Ambacht te vragen of zijn/haar persoonsgegevens worden verwerkt;
   Privacybeleid oktober 2019 Pagina 5 van 7
2. Inzagerecht: betrokkene heeft de mogelijkheid om te controleren of en op welke manier deze gegevens worden verwerkt;
3. Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij SOL Ambacht om dit te corrigeren;
4. Recht van verzet: betrokkene heeft het recht aan SOL Ambacht te vragen om zij/haar persoonsgegevens niet meer te gebruiken;
5. Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene ook het recht om de toestemming weer in te trekken en de persoonsgegevens te laten verwijderen;
6. Recht op bezwaar: betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens. SOL Ambacht zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking;
7. Recht op dataportabiliteit: betrokkene kan zijn/haar persoonsgegevens van de ene organisatie naar de andere laten overdragen;
8. Recht tegen geautomatiseerde individuele besluitvorming (profilering).

Procedure
Een verzoek, zoals beschreven onder a tot en met h, wordt digitaal (e-mail) ingediend bij de betreffende afdeling (administratie van de locatie, personeelszaken) of . De betrokkene geeft aan om welke persoonsgegevens het gaat en als er tegelijkertijd meerdere verzoeken worden ingediend, gespecificeerd per verzoek.

Na het indienen van een verzoek zal SOL Ambacht binnen één maand hierop reageren. Is het, door de ingewikkelde vraag, of het aantal verzoeken, niet mogelijk om binnen één maand te reageren dan meldt de betreffende medewerker dit aan betrokkene. Tevens geeft diegene aan wanneer betrokkene wel een reactie kan verwachten, maar in ieder geval niet later dan twee maanden na indiening van het verzoek.
Indien het verzoek mogelijk gevolgen heeft voor de privacy van anderen, of er andere beperkingen zijn, kan SOL Ambacht het verzoek afwijzen. SOL Ambacht hoeft niet aan een verzoek te voldoen als dit kennelijk ongegrond of buitensporig is. In alle gevallen waarin SOL Ambacht het verzoek afwijst zal dit gemotiveerd gebeuren.

Indien het persoonsgegevens betreft die met derden moeten worden gedeeld (ontvangers) zullen zij op de hoogte gesteld worden van de acties die SOL Ambacht heeft genomen met betrekking tot de onder c, d, e en f genoemde rechten. Ontvangers zijn bijvoorbeeld de belastingdienst, DUO, UWV etc.

Informatieverstrekking
Op het moment dat SOL Ambacht persoonsgegevens ontvangt van derden zal zij betrokkene hierover informeren (vorige school, opvang, werkgever, DUO).

SOL Ambacht hoeft een betrokkene niet te informeren als zij de persoonsgegevens bij betrokkene zelf heeft verzameld en SOL Ambacht dus weet dat betrokkene al over de informatie beschikt. Dit is ook het geval als de persoonsgegevens via een derde bij SOL Ambacht komen en deze derde de betrokkene al heeft geïnformeerd.
Privacybeleid oktober 2019 Pagina 6 van 7
In het geval dat de persoonsgegevens van een derde komen dan is ook in de volgende situaties SOL Ambacht niet verplicht de betrokkene te informeren:

• Informatieverstrekking blijkt onmogelijk of vergt een onevenredige inspanning;
• Informatie is bij wet voorgeschreven en daar zijn de belangen van betrokkene gewaarborgd;
• Persoonsgegevens moeten in verband met beroepsgeheim vertrouwelijk blijven.

Daarnaast is er algemene informatie over privacy te vinden op de websites van SOL Ambacht en het informatie/ouderportal.

Besluit
Als betrokkene het niet eens is met het besluit van SOL Ambacht dan kan deze een klacht indienen conform het klachtenreglement van SOL Ambacht. Mocht dit niet leiden tot een oplossing dan kan betrokkene de Autoriteit Persoonsgegevens (AP) vragen te bemiddelen, of in het uiterste geval het geschil voorleggen aan de rechter.

Het kan voorkomen dat een betrokkene van mening is dat SOL Ambacht zich niet aan de regels houdt uit de AVG, een andere regelgeving, of de SOL-reglementen en gedragscodes. In die gevallen kan betrokkene zich wenden tot de FG of de privacycoördinator. Mocht dit voor de betrokkene niet tot een oplossing leidden, dan kan deze een klacht indienen conform het klachten reglement van SOL Ambacht, of zich tot de AP wenden.

5. Datalekken
Ondanks alle voorzorgsmaatregelen en beveiligingen kan het voorkomen dat er bij de verwerking van persoonsgegevens een datalek ontstaat. SOL Ambacht maakt een onderscheid tussen een beveiligingsincident, een datalek en kwetsbaarheid (vermoeden van een datalek). In alle gevallen moet dit door de ontdekker direct gemeld worden bij . Daarbij kan worden aangegeven welke maatregelen al zijn getroffen om de (mogelijke) schade door de inbreuk te beperken c.q. te voorkomen. Tevens verwachten wij van de ontdekker dat die geen misbruik zal maken van de situatie, bijvoorbeeld in geval van kwetsbaarheid.

De FG maakt aan de hand van vastgestelde criteria een inschatting van het risico van de inbreuk op de rechten van de betrokkene en zal aan de hand daarvan verdere stappen ondernemen, zoals bijvoorbeeld melding aan de Autoriteit Persoonsgegevens.
De procedure omtrent de te nemen stappen is verder uitgewerkt in het ‘Protocol beveiligingsincidenten en datalekken’.

6. Borging van de privacy
De in dit privacybeleid genoemde normen en waarden, regels, maatregelen etc. zullen in het dagelijks handelen van de medewerkers van SOL Ambacht moeten worden opgenomen en beklijven. Daarom worden de medewerkers regelmatig geïnformeerd c.q. geïnstrueerd tijdens specifieke privacybijeenkomsten, maar ook tijdens reguliere overleggen.
Om de privacy verder te borgen is er een systeem ontwikkeld waarbij privacy regelmatig op de agenda staat van de verschillende overlegorganen (bestuurdersoverleg, managementteam, Raad van Toezicht, privacywerkgroep) en in een vastgesteld cyclus de diverse onderdelen intern worden
Privacybeleid oktober 2019 Pagina 7 van 7
beoordeeld. De FG van SOL Ambacht zal los daarvan het eigen toezicht vormgeven en rapporteren aan bestuurders.

Slot
Indien zich een situatie voordoet die hierboven niet is beschreven, zullen de bestuurders van SOL Ambacht hier een beslissing over nemen.

Dit beleid is na instemming van de Gemeenschappelijke Medezeggenschapsraad, de Centrale Oudercommissie en de Ondernemingsraad vastgesteld door bestuurders van SOL Ambacht. Een eventuele wijziging zal na instemming van deze organen kunnen worden doorgevoerd. Hiermee komt het voorgaande privacybeleid te vervallen.

Contactgegevens
Bestuurders SOL Ambacht (verantwoordelijken)
Postbus 243, 3340 AE, Hendrik-Ido-Ambacht
078-6849150

www.solambacht.nl

Functionaris voor Gegevensbescherming:
Erik van Es