Privacy Verklaring

Datum: 11 september 2017
Versie: 1.0

1. Inleiding

Door de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 komt het onderwerp "privacy" in de schijnwerpers te staan. Dura Vermeer is begaan met de privacy van haar medewerkers, partners en klanten en vindt het belangrijk dat er zorgvuldig wordt omgegaan met persoonsgegevens. Bovendien wil Dura Vermeer dat haar bedrijfsvoering binnen de wettelijke kaders van de privacyregelgeving plaatsvindt. In dat kader is door de Raad van Bestuur van Dura Vermeer het onderhavige privacy beleid vastgesteld.

Privacy is een relatief nieuw vakgebied, dat zich momenteel snel ontwikkelt. Dit beleidsdocument zal daarom regelmatig geactualiseerd worden om in de pas te blijven lopen met de relevante ontwikkelingen. Dura Vermeer volgt in de uitvoering van haar privacy beleid een risico-gebaseerde aanpak: per jaar worden de grootste privacy-risico's in beeld gebracht op grond waarvan doelstellingen worden geformuleerd. Op basis van een door een adviesbureau uitgevoerde privacyscan zijn de belangrijkste aandachtspunten voor de bedrijfsvoering van Dura Vermeer in kaart gebracht. Op grond daarvan zijn de doelstellingen voor 2017 – 2018 opgesteld en opgenomen in bijlage 1. Bijlage 1 zal jaarlijks worden aangepast.

2. Doel en Toepassingsgebied

Binnen Dura Vermeer wordt dagelijks gewerkt met persoonsgegevens, vaak zonder dat we daar bewust van zijn. Voorbeelden daarvan zijn:

Gegevens van medewerkers: voor haar medewerkers creëert Dura Vermeer een veilige werkomgeving. Dat geldt voor de fysieke veiligheid op de bouwplaatsen en in de kantoren, maar ook voor de systemen die worden gebruikt voor personeelsmanagement en, bijvoorbeeld, het beheren van gegevens over de gezondheid van de medewerkers. In dat kader worden privacygevoelige gegevens verwerkt.

Gegevens van de mensen die met en voor Dura Vermeer werken: op de bouwplaats wordt samengewerkt met partners, onderaannemers en hun werknemers. Het is een onderdeel van de dagelijkse bedrijfsvoering van Dura Vermeer om te weten wie er op de bouwplaats is en te zorgen dat alleen de juiste personen met de juiste papieren toegang hebben. Daartoe moeten persoonsgegevens van de aanwezigen op de bouwplaats worden geregistreerd en geadministreerd. Dit is privacygevoelige informatie, waar prudent mee om moet worden gegaan.

Gegevens van kopers en bewoners: in de woning- en de utiliteitsbouw en bij onderhouds- en renovatieprojecten worden steeds vaker gegevens over de gedragingen van bewoners en gebruikers gemeten en vastgelegd, zoals water- en elektragebruik, looproutes, hoe men gebruik maakt van een gebouw, op welke tijden en hoe intensief. Voor Dura Vermeer zijn dit gegevens die helpen om haar projecten optimaal te kunnen uitvoeren. Voor de betreffende mensen is het privacygevoelige informatie.

Gegevens ten behoeve van innovaties: bij de ontwikkeling van nieuwe technieken en innovatieve projecten wordt vaak (al dan niet bedoeld) gebruik gemaakt van data die vaak ook gevoelige persoonsgegevens bevatten. Denk aan de (biometrische) identificatie bij de toegang tot de bouwplaatsen, of het meten van de fysiologische inspanningen van medewerkers om het arbeidsverzuim te reduceren.

Het doel van het privacy beleid van Dura Vermeer is tweeërlei:

  1. binnen Dura Vermeer wordt bewust omgegaan met persoonsgegevens en
  2. de omgang met persoonsgegevens vindt plaats binnen de wettelijke kaders en richtlijnen voor adequate gegevensbescherming.

Het privacy beleid geldt voor alle bedrijfsonderdelen en werklocaties van Dura Vermeer en is van toepassing op alle medewerkers. Zij dienen te handelen in lijn met de in dit beleid opgenomen uitgangspunten. Ook de (geautomatiseerde) gegevensuitwisseling met externe organisaties en informatiesystemen in beheer bij derde partijen vallen binnen de scope van dit beleid en zal - via het sluiten van bewerkersovereenkomsten - van toepassing zijn op deze derden.

De AVG brengt een verhoogd aansprakelijkheidsrisico voor Dura Vermeer met zich mee: de Autoriteit Persoonsgegevens ( de "AP") kan hoge boetes opleggen vanwege het niet voldoen aan de privacyregelgeving en betrokkenen kunnen Dura Vermeer aanspreken voor geleden schade als gevolg van een onjuiste verwerking van persoonsgegevens door Dura Vermeer of een data-lek waar Dura Vermeer voor verantwoordelijk kan worden gehouden. De mogelijkheden van een door Dura Vermeer uit te nemen Cyberverzekering worden in dat kader onderzocht.

3. Basisprincipes

De privacywetgeving stelt algemene kaders en vraagt om ‘passend’ met persoonsgegevens om te gaan en deze ‘adequaat te gebruiken’. Het is dus niet altijd helder wat wel mag en wat niet. De omstandigheden en de context zullen daarbij van invloed zijn, zodat steeds nagegaan zal moeten worden wat in de context “passend” is en of de persoonsgegevens “adequaat” worden gebruikt.

De volgende algemene uitgangspunten voor de omgang met persoonsgegevens zijn de basis voor het privacy beleid van Dura Vermeer:

3.1. Minimalisering en rechtmatigheid

Het streven is om zo min mogelijk persoonsgegevens op te slaan, te gebruiken of te bewaren en uitsluitend voor zover dat nodig is. Bovendien moeten persoonsgegevens rechtmatig worden verkregen en gebruikt.

Minimalisatie wordt bereikt door eenvoudige, dagelijkse maatregelen, zoals:

Rechtmatigheid: de wet geeft een limitatieve opsomming van de grondslagen op grond waarvan persoonsgegevens mogen worden verwerkt, zie daarvoor bijlage 2.

Indien de wet geen uitsluitsel over de rechtmatigheid van een bepaald gebruik biedt, zal Dura Vermeer een risicoanalyse - een zogenaamde Privacy Impact Assessment - (laten) uitvoeren. Vervolgens wordt gekozen voor passende maatregelen die ervoor zorgen dat Dura Vermeer goed is beschermd en waardoor de kans op datalekken klein is.

3.2. Doelbinding en limitering gebruik

Het moet duidelijk zijn met welk doel de persoonsgegevens worden verzameld en hoe lang de persoonsgegevens worden bewaard. De gegevens mogen niet worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld.

3.3. Beveiliging

Persoonsgegevens moeten adequaat worden beschermd en beveiligd, zowel elektronisch als fysiek. Door Dura Vermeer ingeschakelde derden dienen eveneens te zorgen voor adequate beveiliging van persoonsgegevens. In dit digitale tijdperk kan men niet alleen meer vertrouwen op deuren en sloten om de vertrouwelijkheid van gevoelige informatie te garanderen. De toegang tot persoonsgegevens wordt steeds meer gecontroleerd via computers, telefoons en tablets. Dura Vermeer hanteert een aantal basisregels voor de technische beveiliging van persoonsgegevens:

  1. Interne informatiebeveiligingsrichtlijnen, gebaseerd op ISO27001, de wereldwijde “best practice” op het gebied van informatiebeveiliging.
  2. Gebruiksreglementen voor tablets, mobiele telefoons en laptops.

Dura Vermeer draagt bovendien zorg voor een betrouwbare infrastructuur en een digitale omgeving waar gegevens veilig opgeslagen en (intern) gedeeld kunnen worden zoals OneDrive for Business. Het gebruik van niet passende voorzieningen zoals Dropbox, Google Docs en We Transfer wordt vermeden.

Een praktische vraag in het kader van beveiliging is wáár de persoonsgegevens geografisch staan of benaderbaar zijn. Simpel gezegd is het geen probleem als gegevens in Nederland staan, er zijn een paar aandachtspunten als ze in Europa staan en kunnen er serieuze risico’s zijn als de gegevens buiten Europa staan, bijvoorbeeld in US of Canada.

Om tot een verantwoord gebruik van persoonsgegevens te komen, wordt nadrukkelijk ook gerekend op de professionaliteit van de medewerkers van Dura Vermeer, zodat niet alle risico’s afgedekt hoeven te worden door technische maatregelen. In de privacy richtlijn die per aandachtsgebied wordt uitgewerkt (zie hierna paragraaf 4) zal de selectie van medewerkers die toegang hebben tot bepaalde persoonsgegevens door middel van een wachtwoordenbeleid één van de aandachtspunten zijn.

Dura Vermeer zorgt dat de partners waarmee Dura Vermeer persoonsgegevens uitwisselt de bescherming van privacy ook serieus nemen. Denk hierbij aan onderaannemers, leveranciers, providers en hosts van softwareprogramma’s (Saas-platforms). Daar waar nuttig of nodig zullen de contracten met deze derden op dit punt worden aangepast. Dura Vermeer zal een verwerkersovereenkomst sluiten met derden die in het kader van dienstverlening aan Dura Vermeer noodzakelijkerwijs toegang hebben tot persoonsgegevens waar Dura Vermeer verantwoordelijk voor is. In de verwerkersovereenkomst wordt benoemd welke eisen door Dura Vermeer worden gesteld aan informatiebeveiliging en privacy, en op welke wijze controle plaatsvindt dat een en ander ook wordt uitgevoerd door de betreffende derde zoals is overeengekomen.

3.4. Transparantie over het gebruik

Dura Vermeer is transparant over het gebruik van persoonsgegevens. Zo wordt duidelijk en tijdig aan betrokkenen gemeld welke persoonsgegevens worden vastgelegd of gebruikt, en waarom. Dit geldt jegens medewerkers, kopers, bewoners en bezoekers van de websites van Dura Vermeer. Iedereen moet goed kunnen begrijpen welke persoonsgegevens van hem worden verwerkt door Dura Vermeer. Bovendien heeft een ieder (wettelijk) recht op informatie, inzage, correctie en verwijdering van zijn persoonsgegevens.

Om op het ontstaan van een data-lek te zijn voorbereid, heeft Dura Vermeer een Protocol Meldplicht Datalekken opgesteld, dat is gepubliceerd op SAM en de website van Dura Vermeer (en ter informatie is toegevoegd als bijlage 3).

3.5. Registratie van de verwerking van persoonsgegevens door Dura Vermeer

Dura Vermeer zal onder toepassing van de AVG verplicht zijn te weten (i) welke persoonsgegevens worden verwerkt binnen het bedrijf, (ii) of Dura Vermeer het recht heeft deze gegevens te gebruiken, (iii) of deze gegevens worden gedeeld met derden en (iv) of deze gegevens adequaat zijn beschermd. Dura Vermeer zal hiervoor een registratie moeten opzetten waardoor er altijd een actueel inzicht is in de persoonsgegevens die worden verwerkt. Dit privacy beleid is daartoe een eerste stap en het streven is om in Q2 2018 een registratiesysteem gereed te hebben.

4. Aandachtsgebieden

De in de vorige paragraaf beschreven uitgangspunten worden uitgewerkt in een richtlijn per bedrijfsactiviteit van Dura Vermeer (voor zover daarin privacygevoelige informatie wordt verwerkt). Deze zogenaamde privacyrichtlijnen bevatten een voor de betreffende bedrijfsactiviteit uitgewerkt protocol op basis van het privacy beleid van Dura Vermeer. Alvorens te komen tot een protocol zal er per bedrijfsactiviteit een inventarisatie van de privacy aspecten worden opgesteld op basis van het format dat is aangehecht als bijlage 4. Het streven is om de inventarisaties in Q4 2017 gereed te hebben en de privacy richtlijnen in Q2 2018.

Binnen de volgende bedrijfsactiviteiten van Dura Vermeer worden persoonsgegevens verwerkt:

  1. Human Resource (HR-Services, personeelsdossiers, salarisadministratie, ziekteregistratie, pensioenen, verzekeringen, sollicitaties, psychologische testen, de Academie)
  2. Registratie en Toegangscontrole Bouwplaats (toegang d.m.v. biometrische gegevens, beveiligingscamera’s, registratie gegevens bouwplaats-medewerkers, etc.)
  3. Inkoop (inlenen arbeidskrachten, WAS, CAO, WAV, register WAGDEU (opvolger WAGA), Bouw ID pas, bedrijfskleding etc.)
  4. Financiële Administratie (verwerken mandagenregisters, WKA)
  5. Kopersadvies en -nazorg (verzamelen persoonsgegevens van kopers, kopersadministratie)
  6. Onderhoud- en renovatie (Stroomversnelling, track & trace systemen)
  7. Autobeheer (registratie en doorgifte privégegevens t.b.v. tankpas en verzekeringen, bijhouden rijgedrag, track & trace systemen,)
  8. Communicatie (bijhouden en gebruik relatiebestanden, verzamelen persoonsgegevens via website, etc.)
  9. Facilitaire Bedrijven (registratie bezoekers kantoorlocaties, beveiligingscamera’s, etc.)
  10. ICT (toegang tot persoonsgegevens via mail, netwerk, DMS, Sharepoint, etc.)
  11. Advin (detachering / doorlenen ZZPers )
  12. Rail Infra (digitale veiligheidspaspoort, groot weekendwerk)

Bovendien is er een aantal aandachtspunten dat niet toe te delen is aan een specifieke bedrijfsactiviteit maar waar in het kader van de privacy door Dura Vermeer wel aandacht aan moet worden geschonken:

5. Organisatie

De Raad van Bestuur is eindverantwoordelijk voor alle privacy aangelegenheden. Portefeuillehouder Privacy binnen de RvB is de CFO. De RvB heeft het opzetten van het privacy beleid en het uitwerken van de privacyrichtlijnen gedelegeerd aan het Privacy Platform.

Het Privacy Platform bestaat op dit moment uit vertegenwoordigers van HR, ICT, JZ, KAM en Inkoop, waarbij zowel de Groep, Divisie Infra als Divisie Bouw & Vastgoed is vertegenwoordigd. Voorzitter van het Privacy Platform is de Privacy Officer (PO). De rol van de PO is vooralsnog toebedeeld aan het Hoofd Juridische Zaken.

Onderzocht zal worden of het nuttig en wenselijk is om na voltooiing van de privacy-richtlijnen een Stuurgroep in te stellen die verantwoordelijk wordt voor de uitvoering en handhaving van het privacy beleid van Dura Vermeer, á la de ICT-Raad.

De medewerkers van Dura Vermeer hebben ook een eigen verantwoordelijkheid. Een ieder dient zich te houden aan het privacy beleid en de privacyrichtlijnen. Het moet worden gestimuleerd om vragen te stellen als persoonsgegevens worden gebruikt op een manier die mogelijk niet passend is. Als er vragen of onduidelijkheden zijn over de juiste omgang met persoonsgegevens moet dit onder de aandacht van de PO worden gebracht.

De RvB zal in voorkomend geval beslissen over de mogelijke tegenstrijdige belangen tussen privacy, efficiency in de procesuitvoering en de gebruikersvriendelijkheid van procedures en informatiesystemen.

Bijlage 1: Privacy Doelstellingen 2017 - 2018

Hoofdconclusies uit privacy scan Dura Vermeer 2015/2016 (uitgevoerd door adviesbureau VKA)

  1. Het BSN is (te) breed beschikbaar, ‘dus’ wordt breed gebruikt. Er is geen zicht op het toegestane gebruik versus werkelijke gebruik.
  2. DV gaat geleidelijk steeds meer en gevoeliger gegevens vastleggen (meten van fysiologie medewerkers, drones boven bouwplaatsen, blackbox). Privacybescherming moet hier een ontwerpprincipe worden.
  3. Te weinig sturing op gegevensbescherming bij derden / ketenpartners op verwerking persoonsgegevens.
  4. Geen transparantie en verantwoording over het gebruik van persoonsgegevens.
  5. Gegevensbeveiliging voor verbetering vatbaar en niet in balans met mobiel werken.
  6. Persoonsgegevens worden te lang bewaard / niet verwijderd.

Op basis van deze hoofdconclusies zijn de doelstellingen voor het Privacy Programma 2017 – 2018:

  1. De verantwoordelijkheden voor Privacy binnen Dura Vermeer beleggen (taken, rollen, besturing) met als eerste stap een Privacy Platform instellen.
  2. Beleid en richtlijnen ontwikkelen.
  3. Inventarisatie van persoonsgegevens aanleggen en beheersbaar maken.
  4. De nodige maatregelen treffen om persoonsgegevens adequaat te beschermen.
  5. Het bewustzijn binnen Dura Vermeer t.a.v. privacy te vergroten.

Bijlage 2: Rechtmatige verwerking

Persoonsgegevens worden onderscheiden in “gewone” persoonsgegevens (bijvoorbeeld NAWgegevens) en “bijzondere” persoonsgegevens’ (bijvoorbeeld een pasfoto of een Burgerservicenummer).

Voor beide soorten persoonsgegevens geldt dat deze alleen mogen worden verwerkt indien voor die verwerking een geldige grondslag is (art 8 WBP, zie de uitwerking daarvan hieronder). Voor de verwerking van bijzondere persoonsgegevens geldt bovendien dat er een specifieke noodzaak moet zijn. In de WBP is deze noodzakelijkheid verder uitgewerkt (art 16 WBP e.v.).

De geldige grondslagen worden benoemd in artikel 8 WBP:

a. Ondubbelzinnige toestemming – Met deze grondslag wordt bedoeld dat de betrokkene uit vrije wil én ondubbelzinnig zijn toestemming geeft voor het gebruik van bepaalde persoonsgegevens. Denk hierbij aan de toestemming van leden van een vereniging voor gebruik van hun contactgegevens om deel te nemen aan onderzoeken. De toestemmingsgrondslag is niet voor iedere vorm van verwerking toereikend. Denk bijvoorbeeld aan het gebruik van gegevens in de arbeidsrelatie: tussen een werkgever en werknemer is niet altijd sprake van een vrije wil, vanwege de afhankelijkheid van de werknemer van de werkgever. De toestemming van de betrokkene moet bovendien ondubbelzinnig worden gegeven voor de specifieke verwerking, dat wil zeggen dat elke twijfel of de betrokkene toestemming heeft gegeven, dient te zijn uitgesloten. Dit hoeft niet persé schriftelijk te gebeuren, maar kan ook blijken uit het gedrag van de betrokkene. Een vooraf ingevulde tick-box of een toestemming van algemene strekking geeft geen ondubbelzinnige toestemming.
Indien de betrokkene zijn toestemming intrekt, moet de verwerking direct gestaakt worden. Dat maakt dat deze grondslag niet de meest ideale is en de keuze voor een van de overige wettelijke grondslagen voorkeur heeft.

b. Noodzakelijk voor de uitvoering van een overeenkomst – Deze grondslag is van toepassing als de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene. Hierbij kan bijvoorbeeld worden gedacht aan de persoonsgegevens die nodig zijn om uitvoering te geven aan de arbeidsovereenkomst met een medewerker.

c. Wettelijke verplichting – Voor de toepasselijkheid van deze grondslag moet worden voldaan aan twee criteria: de verwerking moet noodzakelijk zijn ter uitvoering van de wettelijke verplichting en Dura Vermeer moet zelf belast zijn met de uitvoering van die wettelijke verplichting. Onder een wettelijke verplichting valt ook iedere verplichting tot verwerking van persoonsgegevens krachtens een (nationaal) algemeen verbindend voorschrift. Hier kan bijvoorbeeld worden gedacht aan de wettelijke identificatieverplichting van Dura Vermeer als werkgever of opdrachtgever.

d. Publiekrechtelijke taak – Gegevensverwerking op basis van deze grondslag is geoorloofd voor zover deze noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door een bestuursorgaan of het bestuursorgaan waaraan de gegevens worden verstrekt. (NB voor Dura Vermeer is deze grondslag niet relevant.)

e. Vitaal belang (bescherming van de betrokkene) – deze grondslag is van toepassing als verwerking van persoonsgegevens noodzakelijk is om een ernstige bedreiging van de gezondheid van de betrokkene te beperken/voorkomen. Deze grondslag kan slechts heel beperkt worden toegepast: het moet echt gaan om een zaak van leven en dood: bijvoorbeeld het doorgeven van iemands gegevens die betrokken is bij een ongeluk tijdens een bouwactiviteit.

f. Gerechtvaardigd belang verantwoordelijke/derde – Wanneer de gegevensverwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van Dura Vermeer of een derde, biedt deze grondslag uitkomst. Voor deze grondslag mag alleen gekozen worden na een afweging van de belangen van de betrokkene: hoe weegt zijn belang ten opzichte van het belang dat met de verwerking gemoeid is. Een voorbeeld van een gerechtvaardigd belang is de noodzaak om reguliere bedrijfsactiviteiten te kunnen verrichten, zoals markt- en fraudeonderzoek of het beveiligen van de bouwplaats. De verwerking kan overigens niet plaatsvinden voor een doel of een belang dat in strijd is met het doel waarvoor de gegevens door de verantwoordelijke verzameld is.

Bijlage 3: Protocol Melding Datalekken

Interne Melding aan Privacy Officer Dura Vermeer
Bij constatering van een data-lek of een vermoedelijk data-lek moet dat direct worden gemeld aan de Privacy Officer van Dura Vermeer, Tanja Wilmink. Dit kan door een mail te sturen aan Privacyofficer@duravermeer.nl en/of telefonisch: 06 53599082
De melding moet tenminste de volgende gegevens bevatten:

De interne meldplicht aan de Privacy Officer geldt niet alleen voor medewerkers van Dura Vermeer, maar ook voor leveranciers en partners van Dura Vermeer, voor zover die leveranciers of partners persoonsgegevens van Dura Vermeer verwerken. Een verwijzing naar dit Protocol Melden Datalekken dient opgenomen te worden in de overeenkomst met de betreffende leveranciers en partners.
Melding door Privacy Officer aan AP en betrokkenen
De Privacy Officer onderzoekt naar aanleiding van de interne melding of er sprake is van een een data-lek. Zo ja, dan meldt de Privacy Officer het data-lek ‘onverwijld’ (uiterlijk op de tweede werkdag na het ontstaan van het incident) aan het Meldpunt Datalekken van de AP. Deze melding wordt gedaan via het op de website van de AP gepubliceerde meldformulier.

De Privacy Officer informeert de afdeling Communicatie, de RvB en, afhankelijk van de aard van de inbreuk, de overige relevante afdelingen (ICT en/of HR en/of het betreffende onderdeel van de lijnorganisatie) over het data-lek en de melding aan de AP.

De Privacy Officer stelt vervolgens in overleg met de relevante afdelingen vast of het data-lek een ‘aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene(n) zijn verbonden” tot gevolg heeft. Als daar sprake van is, dienen de betrokkenen geïnformeerd te worden over het data-lek.

De melding aan betrokkenen is niet nodig indien de persoonsgegevens versleuteld of onbegrijpelijk zijn gemaakt waardoor deze niet te lezen zijn door anderen. Dit moet van geval tot geval beoordeeld worden omdat de effectiviteit van de versleuteling mede afhangt van (i) het gebruikte algoritme en (ii) het moment / punt waarop de gegevens zijn versleuteld.

De berichtgeving aan betrokkenen kan door plaatsing van een bericht op de website van Dura Vermeer en/of via een brief aan betrokkenen, een en ander ter beoordeling van de Privacy Officer en de afdeling Communicatie. De kennisgeving aan betrokkenen moet in ieder geval de volgende informatie bevatten:

Bijhouden Overzicht
De Privacy Officer houdt een overzicht bij van de datalekken, met daarin onder meer de gevolgen van de datalekken en de herstelmaatregelen die zijn genomen. Dit overzicht mag uitsluitend de voor dit doel noodzakelijke gegevens bevatten.

Bijlage 4: Format privacyrichtlijn

Per bedrijfsfunctie (zoals genoemd in hoofdstuk 4.) moeten de volgende aspecten kort worden uitgewerkt. Op deze manier ontstaat een overzicht van de privacyaspecten waar de betreffende bedrijfsfunctie mee te maken heeft.

Soort gegevens
Doelbinding en grondslag
Betrokken derden
Beveiliging van gegevens
Transparantie van verwerking