Privacyverklaring

Serviceflat De Luchte respecteert de privacy van haar bewoners. Wij leggen niet meer persoonsgegevens vast dan nodig en we gaan er zorgvuldig mee om. We gebruiken uw gegevens voor het aangaan en uitvoeren van de huur- en serviceovereenkomst, om ons werk als verhuurder goed uit te kunnen voeren (denk aan onderhoud) en om te voldoen aan bepaalde wettelijke verplichtingen.

Persoonsgegevens die wij verwerken zijn: uw voor- en achternaam, geslacht, geboortedatum, adresgegevens, telefoonnummer, bankrekeningnummer, e-mailadres en overige persoonsgegevens die u actief aan ons verstrekt. Verder vragen we aan iedere bewoner een pasfoto die we bij het ‘formulier met persoonlijke gegevens voor in calamiteitensituaties’ voegen.
In het verleden zijn meer persoonsgegevens dan noodzakelijk vastgelegd. Door natuurlijk verloop zullen deze uit onze administratie worden verwijderd.

Serviceflat De Luchte verstrekt uw gegevens uitsluitend aan derden als dit nodig is voor de uitvoering van onze overeenkomst met u, om te voldoen aan een wettelijke verplichting of in geval van calamiteiten aan een medische hulpverlener.

In Serviceflat De Luchte is er cameratoezicht. Met de camera’s willen we zorgen voor meer veiligheid. Met stickers kondigen we aan dat we gebruik maken van camera’s. Wij gaan zorgvuldig met de camerabeelden om. Indien noodzakelijk delen we de beelden alleen met de politie.

Serviceflat De Luchte neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Gaat er ondanks onze beveiliging iets mis en heeft dat nadeel voor u, dan informeren wij u daar zo snel mogelijk over.

Wilt u de persoonsgegevens die Serviceflat De Luchte van u heeft bekijken of wijzigen? Neemt u dan contact met ons op.
U bereikt ons telefonisch op (0255) 536 070 of per e-mail via administratie@deluchte.nl

Voorwoord

Stichting Serviceflat De Luchte is een zelfstandige stichting. In 2016 zijn alle activiteiten van Stichting Serviceflat De Luchte afgesplitst naar Serviceflat De Luchte B.V. Stichting Serviceflat De Luchte is de enige aandeelhouder van de B.V. De stichting heeft tot doel het serviceflatgebouw voor senioren ‘De Luchte’ in Driehuis te beheren en in stand te houden. Daartoe verhuurt de stichting het serviceflatgebouw aan Serviceflat De Luchte B.V., die vervolgens comfortabele en veilige huurappartementen verhuurt en maatwerk services en diensten aanbiedt aan senioren die zelfstandig en zorgeloos willen wonen.

In het kader van de verhuur van appartementen en de service- en dienstverlening ten behoeve van de bewoners legt Serviceflat De Luchte persoonsgegevens vast. Dit doen wij zorgvuldig en transparant. Wij informeren de (aspirant)bewoners schriftelijk, via onze Nieuwsbrief, onze website en in ons e-mail verkeer over ons beleid ten aanzien van gegevensverwerking.

Met de persoonsgegevens van bewoners, aspirant bewoners en onze medewerkers wordt met de grootst mogelijke discretie omgegaan. Persoonlijke gegevens worden dan ook beveiligd en/of beschermd bewaard. Ook vragen wij niet onnodig persoonlijke gegevens.

Het doel van dit privacyreglement is om de betrokkenen te informeren over de wijze waarop Serviceflat De Luchte met de persoonsgegevens omgaat en over de rechten en plichten van betrokkenen. Aan elke bewoner, aspirant bewoner en medewerker wordt dit reglement op verzoek hetzij op papier hetzij digitaal verstrekt.

1. Algemeen

1.1 Informatieplicht Serviceflat De Luchte
De verwerking van persoonsgegevens vindt plaats in het kader van alle activiteiten die nodig zijn om de huur- en serviceovereenkomsten uit te kunnen voeren. Wij attenderen onze (aspirant)bewoners en relaties via onze website op het privacyreglement. Voor nieuwe huurders en medewerkers wordt de privacyverklaring toegevoegd aan respectievelijk de huur- en arbeidsovereenkomst.

1.2 Doelen en grondslag
Serviceflat De Luchte volgt voor de verwerking van de persoonsgegevens de regels van de Europese Algemene Verordening Gegevensbescherming (hierna: AVG of verordening). In bijlage 1 vindt u een toelichting op de gebruikte termen en definities in dit reglement.

In het kader van de uitvoering van de huur- en serviceovereenkomsten legt Serviceflat De Luchte gegevens vast. Wij gebruiken deze gegevens uitsluitend voor de uitvoering van onze activiteiten en dienstverlening.
Onder onze activiteiten en dienstverlening verstaat Serviceflat De Luchte de verhuur, het beheer en het onderhoud van de appartementen; het zorgdragen voor een kwalitatief goede en leefbare woonomgeving en het verlenen van service- en diensten waar de bewoner op basis van het overeengekomen servicepakket recht op heeft. In het kader van deze activiteiten wordt, indien nodig, samengewerkt met derden.

Sommige gegevens zijn noodzakelijk om overeenkomsten, zoals de huur- en serviceovereenkomst, goed te kunnen uitvoeren. Wanneer een appartement wordt verhuurd, dan mag De Luchte daarvoor bepaalde persoonsgegevens opvragen bij de huurder, zoals NAW-gegevens en bankrekeningnummer. Zonder deze gegevens kunnen immers de afspraken uit de huur- en serviceovereenkomst (zoals het betalen respectievelijk ontvangen van huur en servicekosten) niet worden uitgevoerd.
Deze grondslag geldt alleen voor die gegevens die daadwerkelijk noodzakelijk zijn voor het uitvoeren van de huur- en serviceovereenkomst. Met andere woorden, de verkregen gegevens mogen alleen worden gebruikt voor zover dat nodig is voor de verhuur van een appartementen en het aanbieden van maatwerk services en diensten.

In het geval de wet voorschrijft dat gegevens voor een bepaald doel moeten worden verwerkt, kan De Luchte niet anders dan hier gevolg aan geven. Op grond van wet- en regelgeving in het kader van belastingen bijvoorbeeld moeten allerlei gegevens worden verwerkt.

Gegevens worden in principe alleen gebruikt voor het doel waarvoor ze verzameld zijn. In individuele gevallen kan hiervan worden afgeweken, bijvoorbeeld indien sprake is van strafbare feiten, gebruik van gegevens voor statische doeleinden e.d.
Serviceflat De Luchte draagt zorg voor een passende beveiliging van persoonsgegevens ter voorkoming van bijvoorbeeld verlies, onrechtmatige verwerking, onnodige verzameling, bewaring en verdere verwerking van deze gegevens (door derden). U kunt hierbij denken aan informatiebeveiliging, beperkte toegang tot gegevens en geheimhoudingsplicht voor medewerkers.

1.3 Gegevensuitwisseling met derden
Serviceflat De Luchte wisselt persoonsgegevens uit met derde partijen indien dit noodzakelijk is voor de uitvoering van de hierboven beschreven doeleinden, dan wel verplicht is op grond van de wet, akte of reglement. Het gaat dan vooral om gegevensuitwisselingen met de gemeente, Belastingdienst en de politie. Het kan zijn dat de politie in het kader van een onderzoek (persoons)gegevens bij ons opvraagt. In een dergelijk geval dienen wij mede- werking te verlenen en zijn wij verplicht deze gegevens af te geven.

Voor de maaltijdservice, bepaalde onderhoudswerkzaamheden en de salarisverwerking maken wij gebruik van externe partijen. Daar waar nodig worden verwerkersovereenkomsten afgesloten met externe dienstverleners. Met deze partijen (verwerkers) maken wij de nodige afspraken om de beveiliging van de persoonsgegevens te waarborgen. Serviceflat De Luchte geeft nooit persoonsgegevens door aan partijen waarmee we geen verwerkersovereenkomst hebben afgesloten.

1.4 Bewaartermijnen
Hoewel in de AVG geen bewaartermijnen worden genoemd, gelden er wel wettelijke bewaartermijnen. Deze zijn bijgevoegd in bijlage 2. In geval van gemengde gegevens- verzamelingen, zoals bijvoorbeeld huurgegevens, wordt de langste bewaartermijn gehanteerd. De persoonsgegevens worden verwijderd uiterlijk twee jaar nadat de huur- en serviceovereenkomst is opgezegd en alle lopende zaken zijn afgehandeld, met dien verstande dat de gegevens met betrekking tot de aanvraag en het verstrekken van huurtoeslag worden verwijderd uiterlijk vijf jaar nadat de huurtoeslag is geëindigd, tenzij deze gegevens bewaard dienen te worden in verband met de wettelijke bewaarplicht.

De persoonsgegevens van huurders met een huurovereenkomst die zijn geregistreerd ten behoeve van een specifiek doel en niet meer noodzakelijk zijn voor het doel waarvoor de gegevens zijn verstrekt, worden uiterlijk vijf jaar nadat de persoonsgegevens zijn verwerkt, verwijderd tenzij deze persoonsgegevens noodzakelijk zijn voor de in eerdere artikelen genoemde doeleinden of ter voldoening aan een wettelijke bewaarplicht.

1.5 Reikwijdte
Dit reglement is van toepassing op alle, geheel of gedeeltelijk, geautomatiseerde verwerkingen van persoonsgegevens. Ook is het reglement van toepassing op de daaraan ten grondslag liggende documenten.

1.6 Geheimhouding en beveiliging persoonsgegevens
Alle personen die werkzaam zijn bij Serviceflat De Luchte of uit naam van De Luchte werk- zaamheden verrichten en daarbij kennis nemen van persoonsgegevens, zijn verplicht tot geheimhouding tenzij hun werkzaamheid of een wettelijk voorschrift tot mededeling verplicht. Zij hebben toegang tot persoonsgegevens voor zover hun functie dat vereist. Serviceflat
De Luchte treft maatregelen ter beveiliging van persoonsgegevens tegen verlies of enige vorm van onrechtmatige verwerking.

1.7 Klachtenregeling
Betrokkenen kunnen bij de directie een klacht indienen als dit privacyreglement of de AVG niet correct wordt nageleefd door De Luchte. De betrokkene zal worden uitgenodigd voor een gesprek en de uitkomsten van het gesprek zullen schriftelijk worden bevestigd. Indien de betrokkene niet tevreden is over de klachtafhandeling door de directie kan hij/zij zich wenden tot het bestuur van Serviceflat De Luchte.

1.8 Inwerkingtreding privacyreglement
Het reglement treedt met terugwerkende kracht in werking op 1 januari 2018. Dit reglement geldt voor onbepaalde tijd met dien verstande dat het reglement te allen tijde door Serviceflat De Luchte kan worden gewijzigd, aangevuld of ingetrokken. Wijzigingen of aanvullingen vinden plaats in overeenstemming met de door de wetgever gestelde regels. Alle kwesties omtrent het verwerken van persoonsgegevens waarin dit reglement niet voorziet, worden ter beoordeling voorgelegd aan de directie van De Luchte.

Dit privacyreglement is te raadplegen via de website van Serviceflat De Luchte: www.deluchte.nl

2. Soorten gegevens, verwerkingen en doeleinden

2.1 Algemene persoonsgegevens
Algemene persoonsgegevens zijn voornamen, naam, adres, woonplaats, geboortedatum, telefoonnummer, e-mailadres, bankrekeningnummer en overige persoonsgegevens die de bewoner actief aan De Luchte verstrekt.

De persoonsgegevens worden enkel en alleen voor de volgende doeleinden gebruikt:
voor de uitvoering van de huur- en serviceovereenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die gegevensverwerking noodzakelijk is voor het sluiten van de overeenkomst.

2.1 Het identiteitsbewijs
Serviceflat De Luchte vraagt met het oog op identificatie nieuwe bewoners om hun identiteitskaart te tonen ter verificatie. Het is voor Serviceflat De Luchte noodzakelijk dat bewoners de gegevens verstrekken die nodig zijn om na te gaan of de bewoner (huurder) de persoon is die hij beweert te zijn, zoals een geldig legitimatiebewijs als bedoeld in de WID. Een kopie van het identiteitsbewijs wordt niet gemaakt.

N.B.: In het verleden zijn meer persoonsgegevens dan noodzakelijk vastgelegd. Door natuurlijk verloop zullen deze uit onze administratie worden verwijderd.

2.2 Het Burgerservicenummer (BSN)
Serviceflat De Luchte verwerkt het Burgerservicenummer van huurders alleen voor wettelijk toegestane doeleinden ten behoeve van de Belastingdienst voor de verificatie van huurgegevens zoals de huurtoeslag. Het BSN nummer wordt alleen (digitaal) bewaard voor zolang dat nodig is. Vanwege de privacy gevoeligheid van het BSN nummer zijn deze gegevens niet voor iedereen inzichtelijk. Voor aspirant bewoners geldt dat het BSN nummer in het geheel niet wordt bewaard.
Serviceflat De Luchte heeft als werkgever wel een verificatie- en bewaarplicht voor (nieuwe) werknemers. Dit betekent dat de identiteit wordt gecontroleerd aan de hand van een geldig ID-bewijs en een kopie van dit ID-bewijs wordt opgeslagen in het personeelsdossier ten behoeve van de salarisadministratie.

2.3 Overige gegevens
Voor calamiteitensituaties heeft Serviceflat De Luchte een apart formulier ontwikkeld, waarbij naast de algemene persoonsgegevens ook de gegevens van (maximaal drie) contact- personen staan vermeld. Daarnaast wordt aan iedere bewoner toestemming gevraagd om aan dit formulier een pasfoto toe te voegen. Deze gegevens worden in geval van calamiteiten uitsluitend met een medische hulpverlener gedeeld. De gegevens van de contactpersonen worden gebruikt om contact te leggen in het geval van een calamiteit of noodsituatie.

3. Rechten van betrokkenen

3.1 Inzage
Een betrokkene (bewoner, aspirant bewoner of medewerker) heeft recht op inzage in een volledig overzicht van de verwerkte gegevens, de herkomst van de gegevens, de ontvangers van de gegevens en de doelen van de verwerking van de persoonsgegevens. De informatie wordt in begrijpelijke vorm en schriftelijk verstrekt. Verzoeken tot inzage kunnen schriftelijk worden ingediend bij de directie van De Luchte.

Uitgezonderd van het recht op inzage zijn:

  • Persoonlijke werkaantekeningen en notities voor intern gebruik;
  • Documenten waarin persoonsgegevens van derden zijn opgenomen. In deze gevallen wordt een afweging gemaakt tussen enerzijds het recht van de bewoner (de huurder) om de persoonsgegevens in te zien en anderzijds de privacy inbreuk op de derde (bijv. de buurman). In dat geval moeten de betreffende derden eerst op de hoogte worden gesteld van het verstrekken van de documenten en moet hen de mogelijkheid worden gegeven om hun zienswijze aan te leveren;
  • – Persoonsgegevens die worden gebruikt in het kader van de voorkoming, opsporing en vervolging van strafbare feiten en andere gevallen.

3.2 Correctie en verwijdering
Betrokkene heeft recht op correctie en verwijdering van de persoonsgegevens. Dit houdt in dat hij/zij schriftelijk kan verzoeken om de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. De betrokkene moet in zijn verzoek duidelijk aangeven welke gegevens om welke reden moeten worden aangepast. Het verzoek hoeft alleen te worden gehonoreerd als de gegevens onjuist zijn, onvolledig zijn voor het doel waarvoor de gegevens worden ver- zameld of als deze niet ter zake dienend zijn of in strijd met de wet worden verwerkt.

3.3 Verzet
De betrokkene heeft in sommige gevallen de mogelijkheid om zich te verzetten tegen het verwerken van zijn persoonsgegevens: de betrokken organisatie mag de gegevens dan niet meer gebruiken, ook al is de gegevensverwerking op zich gerechtvaardigd.
Voor Serviceflat De Luchte geldt alleen het relatieve recht van verzet bij bijzondere persoonlijke omstandigheden van de betrokkene. De verantwoordelijke moet hierbij binnen vier weken na ontvangst van het verzet beoordelen of hij het verzet al dan niet honoreert, en maakt daarbij een belangenafweging tussen zijn belang tot verwerking en het belang van de betrokkene. Er kan geen verzet worden aangetekend tegen openbare registers die bij wet zijn ingesteld.

Het absolute recht van verzet houdt in de betrokkene zich altijd kan verzetten bij het gebruik van zijn persoonsgegevens voor direct marketing-doeleinden en is niet van toepassing voor bewoners (huurders) van Serviceflat De Luchte.

4. Datalekken

Er is sprake van een datalek indien een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden en deze gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Voorbeelden van datalekken zijn bijvoorbeeld: een zoekgeraakte USB-stick met persoons- gegevens, een gestolen of kwijtgeraakte laptop of een inbraak in een database door een hacker.

4.1 Meldplicht Autoriteit Persoonsgegevens (AP)
Op 1 januari 2016 is de meldplicht datalekken ingegaan. De verantwoordelijke is verplicht tot het melden van datalekken bij Serviceflat De Luchte. Met onze leveranciers zijn hier afspraken over gemaakt in bijvoorbeeld een verwerkersovereenkomst of in werkafspraken. Datalekken moeten worden gemeld bij de Autoriteit Persoonsgegevens. Niet elk datalek hoeft echter gemeld te worden.

Voor de melding aan de Autoriteit Persoonsgegevens is vereist dat het datalek een ‘aanzien- lijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ heeft, zoals:

  • persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag;
  • gegevens over de financiële of economische situatie van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalings- gegevens;
  • (andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen;
  • gebruikersnamen, wachtwoorden en andere inloggegevens. De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen;
  • gegevens die kunnen worden misbruikt voor (identiteit)fraude. Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het BSN.

4.2 Melden aan de betrokkene
Als er persoonsgegevens van gevoelige aard gelekt zijn, dan meldt Serviceflat De Luchte dit niet alleen aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene. Betrokkene kan door het verlies, onrechtmatig gebruik of misbruik in belangen worden geschaad, bijvoorbeeld aantasting in eer en goede naam, (identiteit)fraude of discriminatie.

4.3 Disclaimer e-mail
Bij alle medewerkers van Serviceflat De Luchte die gebruik maken van een persoonlijk e-mail adres, wordt in de ondertekening een disclaimer meegezonden. Hierin wordt de ontvanger die niet de geadresseerde is, noch bevoegd is dit bericht namens geadresseerde te ontvangen, verzocht de afzender onmiddellijk op de hoogte te stellen van de ontvangst. Elk gebruik van het bericht en/of van de daarbij horende bijlagen door een ander dan de geadresseerde is onrechtmatig jegens afzender respectievelijk de hiervoor derde. Wanneer het bericht persoonsgegevens bevat is er sprake van een datalek en meldt Serviceflat De Luchte dit bij de Autoriteit Persoonsgegevens en de betrokkene.

4.4 Boete
Bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien.

Bijlage

Termen en definities

De AVG hanteert een aantal standaarddefinities. Deze definities komen in verschillende wetsartikelen voor en worden ook gebruikt in dit Privacyreglement. Omdat de termen soms verwarrend of onduidelijk kunnen zijn, vindt u hier een uitleg over de belangrijkste termen.

Autoriteit Persoonsgegevens (AP)
De toezichthoudende autoriteit die toeziet op de naleving van de Wbp. De Autoriteit Persoons- gegevens beschikt ook over adviserende taken en geeft voorlichting over bepaalde onderwerpen. Tot 31-12-2015 heette de AP het College Bescherming Persoonsgegevens.

Betrokkene
De betrokkene is degene op wie de persoons- gegevens betrekking hebben. Bij bijvoorbeeld een huurdersbestand zijn alle huurders wiens gegevens zijn opgeslagen aan te merken als betrokkenen. Ook aspirant bewoners van wie Serviceflat De Luchte persoonsgegevens verwerkt zijn betrokkenen.

Verwerker
De verwerker is degene die persoonsgegevens verwerkt in opdracht van de verantwoordelijke, zonder onder dezelfde organisatie te vallen als de verantwoordelijke en zonder aan zijn rechtstreekse gezag te zijn onderworpen. Een voorbeeld is een extern salarisbureau die beschikt over de personeelsadministratie van de verantwoordelijke om de lonen uit te keren aan de werknemers van de verantwoordelijke. Het salarisbureau is dan een verwerker.

Datalek
Bij een datalek gaat het om toegang tot of vernietiging , wijziging of vrijkomen van persoons- gegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Europese privacywet (AVG) blijft de meldplicht datalekken bestaan.

Derde(n)
Ieder andere (rechts)persoon dan de betrokkene, de verantwoordelijke of de verwerker in de zin van de AVG.

Persoonsgegevens
Persoonsgegevens zijn alle gegevens die zo kenmerkend zijn voor een bepaalde persoon dat hij/zij aan de hand van die gegevens kan worden geïdentificeerd. Hoofdregel is dat een persoon identificeerbaar is als zijn identiteit zonder onevenredige inspanning vastgesteld kan worden. Hieronder vallen zowel gegevens die direct identificerend zijn (zoals namen) als indirect identificeerbare gegevens die alleen in combinatie met andere gegevens tot een bepaalde persoon herleidbaar zijn (unieke gegevens, zoals een BSN en unieke combinaties, zoals geboortedatum en adres). Persoonsgegevens zien alleen op in leven zijnde, natuurlijk personen. Bedrijfsgegevens, met uitzondering van bepaalde namen van eenmans- zaken, vallen hier dus niet onder. In plaats van de term persoonsgegevens wordt voor de leesbaar- heid ook wel het woord ‘gegevens’ gebruikt.

Verantwoordelijke (AVG: verwerkingsverantwoordelijke)
De verantwoordelijke is degene die het doel en de middelen van de verwerking van persoons- gegevens bepaalt. Een verantwoordelijke kan zowel een (natuurlijke) persoon als rechts- persoon zijn.

Verwerking van persoonsgegevens
Elke handeling met betrekking tot persoons- gegevens is aan te merken als een verwerking van persoonsgegevens. Een actieve wijziging (bewerking) is dus niet vereist om onder de term ‘verwerking’ te vallen! Ook bijvoorbeeld het verzamelen, inzien, wijzigen, opvragen, gebruiken, verspreiden, afschermen, koppelen, uitwissen of vernietigen van gegevens is verwerking. Volledig geautomatiseerde handelingen kunnen ook worden aangemerkt als een verwerking.