Versie november 2019
Artikel 1: Begrippen
A. AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (Algemene Verordening Gegevensbescherming).
B. Bestand: elk gestructureerd geheel van Persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
C. Betrokkene: de persoon op wie een Persoonsgegeven betrekking heeft, zoals het kind, wettelijk vertegenwoordigers, leraren, directeuren en/of bestuurders van scholen.
D. Bijlage: de bijlage bij deze Verklaring.
E. Datalek: elke inbreuk op de beveiliging, zoals bedoeld in artikel 32 AVG, die waarschijnlijk nadelige gevolgen heeft voor de rechten en vrijheden van natuurlijke personen dan wel nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die door Verwerker worden verwerkt, zoals bedoel in artikel 33 AVG.
F. Derde: ieder, niet zijnde de betrokkene, de Verwerkingsverantwoordelijke, de Verwerker, of enig persoon die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd is om Persoonsgegevens te verwerken.
G. OAB: het Onderwijsadviesbureau, genaamd Stichting Onderwijsversterkers, gevestigd te James Wattstraat 4, 1817 DC Alkmaar.
H. Ontvanger: degene aan wie de Persoonsgegevens worden verstrekt.
I. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
J. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende Persoonsgegevens worden verwerkt.
K. Verklaring: deze privacyverklaring.
L. Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
M. Verwerking van Persoonsgegevens: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren, of combineren, afschermen, wissen of vernietigen van Persoonsgegevens.
N. Verwerkingsverantwoordelijke: degene die het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.
O. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van Persoonsgegevens.
P. Verzamelen van persoonsgegevens: het verkrijgen van Persoonsgegevens.
Artikel 2: Toepasselijkheid verklaring, rechtsverhouding
- Deze Verklaring is bedoeld voor de ouder / voogd / leerling die het OAB een opdracht verstrekt voor screening, diagnostiek en/of behandeling van een leerling m.b.t. dyslexie-problematiek en/of lichte gedragsproblematiek.
- Deze verklaring is te raadplegen op onderwijsversterkers.nl.
Artikel 3: Categorieën van Betrokkenen wiens gegevens kunnen worden verwerkt
- De verwerking van Persoonsgegevens bevat gegevens over de volgende categorieën van Betrokkenen:
a. kinderen;
b. ouders, verzorgers en/of voogden of wettelijk vertegenwoordigers van kinderen;
c. leraren, directeuren, bestuursleden en/of andere werknemers van scholen;
d. onderwijsprofessionals (al dan niet extern ingeschakeld). - Gegevens over de in lid 1 sub b, c en d genoemde personen worden uitsluitend verwerkt indien dat noodzakelijk is voor de oplossing van het probleem van het kind.
Artikel 4: Soorten van gegevens die kunnen worden verwerkt en de wijze van verkrijging
- De (Persoons)gegevens die, afhankelijk van het doel van de opdracht, kunnen worden verwerkt, betreffen:
a. de gegevens van het kind, ouder/voogd (en eventuele andere Betrokkenen) die op het aanmeldingsformulier staan vermeld, zoals contactgegevens van de ouders en leerling, hun geboorteland, burgerservicenummer (BSN), gegevens over de school en huisarts en welke overige instanties/instellingen eventueel reeds betrokken zijn.
b. gegevens betreffende de aard en de omvang van het probleem waar het betreffende kind mee te maken heeft, zoals:
i. de informatie welke het OAB met toestemming van leerling/ouders/voogd ontvangt van de school, verband houdende met de problematiek van het kind
ii. de informatie welke het OAB met toestemming van leerling/ouders/voogd ontvangt van andere partijen zoals logopedie, Bureau Jeugdzorg, GGD/Jeugdarts/GGZ/Medisch specialist of anderzins, verband houdende met de problematiek van het kind
iii. verslagen van eventuele eerdere observaties van andere instanties, welke het OAB met toestemming van leerling/ouders/voogd ontvangt
iv. de gegevens welke OAB zelf verzamelt gedurende het onderzoek naar de problematiek van het kind en gedurende het aanbieden van de behandeling aan het kind, zoals (gespreks)verslagen, uitkomsten van testen, (onderzoeks)rapportages etc.
Artikel 5: Waarvoor en op welke grond Persoonsgegevens verwerkt worden
- Het OAB verwerkt persoonsgegevens met de volgende doelen:
a. het onderzoeken van de problematiek met als doel te komen te komen tot de juiste diagnose (screening en diagnostiek);
b. het aanbieden van de een passende behandeling van de problematiek;
c. het aanvragen van een vergoeding bij de gemeente voor het verlenen van de benodigde zorg; - De verwerking van persoonsgegevens vindt plaats op basis van minimaal een van de volgende grondslagen:
a. Verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
b. De betrokkene heeft toestemming gegeven voor de verwerking van de persoonsgegevens voor een specifiek doeleinde;
c. Verwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de Verwerkingsverantwoordelijke onderworpen is Verwerking is noodzakelijk ter bescherming van een vitaal belang van de Betrokkene;
d. Verwerking is noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de Verwerkingsverantwoordelijke zoals vermeld in artikel 10, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. - Het weigeren van het verstrekken van Persoonsgegevens van en door Betrokkenen voor de verwerking van de onder sub 2 a) genoemde gegevens kan gevolgen hebben voor de uitvoering van de dienstverlening. OAB zal opdrachtgever hierover in dat geval informeren.
Artikel 6: Hoe lang Persoonsgegevens verwerkt worden
De Persoonsgegevens worden na afronding van de behandeling nog 15 jaar bewaard, zoals is bepaald in de Jeugdwet.
Artikel 7: Verwerking Persoonsgegevens
De Persoonsgegevens zullen uitsluitend worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER).
Artikel 8: Geheimhouding
- Het OAB verplicht de personen die in haar dienst zijn, dan wel werkzaamheden voor haar verrichten, tot geheimhouding met betrekking tot al hetgeen waarvan zij met betrekking tot de uitvoering van een opdracht voor een school of wettelijk vertegenwoordiger van een leerling kennis kunnen nemen. Indien dit voor voornoemde personen niet reeds contractueel is vastgelegd, zal het OAB deze personen een geheimhoudingsverplichting opleggen voor de Persoonsgegevens waarvan zij kennis zullen nemen. Deze verplichting zal schriftelijk worden vastgelegd en een kopie daarvan zal op eerste verzoek de wettelijk vertegenwoordiger van en/of een leerling ter inzage worden aangeboden.
- De Verwerkers welke door het OAB zijn ingeschakeld bieden afdoende garantie met betrekking tot toepassing van passende technische en organisatorische maatregelen, zodat aan de vereisten van de AVG wordt voldaan en de bescherming van de rechten van betrokkenen zijn gewaarborgd. De afspraken hierover met Verwerkers worden telkens vastgelegd in een zogenaamde verwerkersovereenkomst. De uitwisseling van gegevens inzake de Nederlandse Databank Dyslexie (NDD), zoals vermeld in artikel 10, valt hier ook onder (betreft uitwisseling met verwerker Stichting CED-Groep).
Artikel 9: Verstrekking aan derden
Het OAB zal onder geen omstandigheden de Persoonsgegevens delen met of verstrekken aan Derden, tenzij het OAB daartoe voorafgaande, uitdrukkelijk schriftelijke toestemming van leerling/ouders/voogd toestemming heeft verkregen. Uitzondering hierop vormen dwingendrechtelijke wettelijke regels welke het OAB verplichten om gegevens aan derden te verstrekken.
Artikel 10: Nederlandse Databank Dyslexie
- Om het kind de juiste en beste zorg te geven, werkt het OAB mee aan de verbetering van de kwaliteit van die zorg. Het OAB heeft daartoe ook een wettelijke plicht. Hiervoor werkt het OAB in een collectief samen met het Nederlands Kwaliteitsinstituut Dyslexie (hierna: NKD). Samen met het NKD is de Nederlandse Databank Dyslexie (hierna: NDD) ingericht. In deze databank worden gegevens verzameld over o.a. diagnostiek en resultaten van alle behandelingen (naast gegevens over de behandeling betreft dit: cliëntnummer, BRIN-nummer school, groep/leerjaar, geboortedatum, geslacht). Om de privacy van Betrokkenen te waarborgen heeft het OAB (in een collectief) tezamen met NKD een verwerkingsovereenkomst afgesloten met Stichting CED-Groep, welke vergaande beveiligingsmaatregelen heeft getroffen en de gegevens in de databank voor het NKD anonimiseert. De gegevens in het NDD zijn hierdoor door NKD niet te herleiden tot Betrokkenen (en zijn daardoor geen persoonsgegevens meer). Naast kwaliteitsverbetering kunnen de (geanonimiseerde) gegevens gebruikt worden voor voorlichting, wetenschappelijke onderzoek en maatschappelijke verantwoording.
- De grondslag voor deze gegevensverwerking is het gerechtvaardigd belang van het OAB om op deze wijze invulling te geven aan haar wettelijke plicht om gegevens over kwaliteit van zorg te registreren. Dit naast het belang om de (geanonimiseerde) gegevens te gebruiken voor voorlichting, wetenschappelijk onderzoek en maatschappelijke verantwoording.
- Betrokkenen hebben te allen tijde het recht om – vanwege redenen die verband houden met hun specifieke situatie – bij het OAB bezwaar te maken tegen deze gegevensverwerking. In dat geval zullen de gegevens niet in de databank worden opgenomen of uit de databank worden verwijderd. De door het OAB aanleverde gegevens worden door Stichting CED-Groep na 3 jaar verwijderd. De geanonimiseerde gegevens in het NDD worden maximaal 7 jaar bewaard.
Artikel 11: Beveiligingsmaatregelen het beheer van de verwerking van persoonsgegevens
Het OAB zal – rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens, de stand van de techniek en de kosten van tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om te zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid van de Persoonsgegevens en om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. De beveiligingsmaatregelen van het OAB zullen worden beschreven in Bijlage 1 bij deze Verklaring.
Artikel 12: Registerplicht
- Het OAB houdt als Verwerkingsverantwoordelijke een register bij zoals bedoeld in artikel 30 lid 1 AVG. Tenzij er sprake is van de uitzondering zoals genoemd in artikel 30 lid 5 AVG.
- Het register bevat alle verwerkingsactiviteiten die onder verantwoordelijkheid van de Verwerkingsverantwoordelijke worden.
- Dit register bevat naast hetgeen bepaald in lid 2 ten minste de volgende gegevens:
a. de naam en contactgegevens van de Verwerkingsverantwoordelijke en Verwerker, diens vertegenwoordigers en indien van toepassing diens functionarissen voor gegevensbescherming;
b. de verwerkingsdoeleinden;
c. een beschrijving van de categorieën van betrokken Verwerkers en de categorieën van Persoonsgegevens;
d. de categorieën van Ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt;
e. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
f. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn uitgevoerd.
Artikel 13: Vragen, klachten en uitoefening van rechten
Betrokkene heeft diverse rechten, zoals in de navolgende artikelen is te lezen. Als Betrokkene deze rechten wil uitoefenen of vragen of klachten hebben op het gebied van privacybescherming, dan kunnen deze gericht worden aan het OAB via: directie@onderwijsversterkers.nl.
Artikel 14: Inzagerecht
- De Betrokkene heeft het recht om zich tot het OAB te wenden met het verzoek hem mede te delen of hem betreffende Persoonsgegevens worden verwerkt. Het OAB deelt de Betrokkene schriftelijk binnen 4 weken mee:
a. of hem betreffende Persoonsgegevens worden verwerkt; en zo ja
b. een volledig overzicht daarvan;
c. de doeleinden voor Verwerking;
d. de categorieën van gegevens waarop de Verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
Het OAB kan in geval van een veelomvattend verzoek binnen 4 weken laten weten dat zij meer tijd nodig heeft voor behandeling van het verzoek, met een maximum van 8 extra weken. - Voor het OAB de onder lid 1 bedoelde mededeling doet, stelt zij derden die naar verwachting bedenkingen zullen hebben tegen de mededeling in de gelegenheid hun zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
- Anderen dan Betrokkenen kunnen slechts inzage vragen na overlegging van een schriftelijke voldoende machtiging die door de Betrokkene of diens wettelijk vertegenwoordiger is verstrekt, voorzien van een voldoende onderbouwing van het verzoek.
Artikel 15: Verzoek tot verbetering, aanvulling of verwijdering
- De Betrokkene kan het OAB verzoeken de hem betreffende Persoonsgegevens te verbeteren, aan te vullen, te verwijderen, of af te schermen, indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de Verwerking onvolledig of niet ter zake dienen zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
- Binnen vier weken na ontvangst van het in lid 1 bedoeld verzoek bericht het OAB de verzoeker schriftelijk of dan wel in hoeverre aan het verzoek wordt voldaan.
- Een eventuele beslissing tot verbetering, aanvulling, verwijdering of afscherming wordt zo spoedig mogelijk uitgevoerd door het OAB.
- Het OAB stelt Derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk in kennis van de verbetering, aanvulling, verwijdering of afscherming van de gegevens, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
- Het OAB laat aan Betrokkene die het verzoek heeft ingediend op zijn verzoek weten aan wie hij de mededeling genoemd in lid 4 heeft gedaan.
Artikel 16: Overige rechten Betrokkene
- Voor zover de (privacy)belangen van derden zich daar niet tegen verzetten, heeft de Betrokkene het recht het OAB te verzoeken:
a. verdere Verwerking van zijn of haar Persoonsgegevens te beperken of te staken;
b. tot overdracht van de Persoonsgegevens die het OAB betreffende Betrokkene heeft verwerkt ten behoeve van de uitvoering van de opdracht dan wel met toestemming van Betrokkene. Het OAB kan hiervoor onder bijzondere omstandigheden kosten in rekening brengen. - De Betrokkene heeft het recht om eerder gegeven Toestemming voor de Verwerking van Persoonsgegevens in te trekken.
- De Betrokkene heeft het recht om over de Verwerking van zijn of haar Persoonsgegevens een klacht in te dienen bij de Autoriteit Persoonsgegevens, te bereiken via autoriteitpersoonsgegevens.nl.
Artikel 17: Verwijdering van gegevens
- Persoonsgegevens zullen worden verwijderd door:
a. het permanent wissen van de Persoonsgegevens op de gegevensdragers waarop deze zijn vastgelegd;
b. vernietiging van eventuele fysieke kopieën van de Persoonsgegevens waarover het OAB beschikt. - Op uitdrukkelijk schriftelijk verzoek van het kind en/of diens wettelijk vertegenwoordiger, kan het OAB de Persoonsgegevens overgedragen aan een andere (hulpverlenings)instantie.
Artikel 18: Wijzigingen Verklaring
Het OAB heeft het recht om de bepalingen uit de Verklaring te wijzigen. Betrokkenen zullen in dat geval geïnformeerd worden over de aangepaste verklaring.
Artikel 19: Overige
Mochten er vragen zijn naar aanleiding van deze Verklaring, dan kan contact opgenomen worden met het OAB via directie@onderwijsversterkers.nl.
Bijlage 1 – Beveiligingsmaatregelen
Onderwijsversterkers heeft de volgende maatregelen ter beveiliging van haar gegevens en programma’s getroffen ten behoeve van de opdrachtuitvoering:
- wachtwoordmanagement;
- tweeweg authenticatie;
- firewall;
- gedragsafspraken;
- websitebeveiliging;
- printbeveiliging/-beleid;
- device beveiliging;
- netwerkbeveiliging;
- autorisatie naar rollen.
Indien een verwerker persoonsgegevens verwerkt ten behoeve van Onderwijsversterkers wordt met de verwerker een verwerkersovereenkomst afgesloten.