**Privacyreglement Omroep Brabant **

**Aanleiding en doel **

Dit document bevat de beleidsopvattingen van Omroep Brabant ten aanzien van de omgang met persoonsgegevens binnen de Omroep Brabant. Dit met het oog op de per 25 mei 2018 ontstane verplichting voor Omroep Brabant om deze keuzes expliciet te documenteren. Doel hiervan is een gedeeld beeld binnen de organisatie te formuleren en dit periodiek te kunnen herijken.

**Referentiekader **

De belangrijkste referentiekaders voor dit document zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringwet AVG (UAVG).

Algemeen

Uitgangspunt van het privacybeleid van Omroep Brabant is dat de bescherming van persoonsgegevens primair de verantwoordelijkheid is van de proceseigenaren van de processen waarin persoonsgegevens worden verwerkt. Daarbij worden de hoofdlijnen van het beleid op het niveau van het managementteam van Omroep Brabant vastgesteld, maar kunnen managers hiervan afwijken als de omstandigheden hiertoe nopen én dit geen inperking van het instemmingsrecht van de ondernemingsraad Omroep Brabant met zich meebrengt. Dergelijke afwijkingen worden wel schriftelijk vastgelegd.

Andere kernelementen van het beleid van de Omroep Brabant zijn:

  • Omroep Brabant gebruikt geen persoonsgegevens zonder dat daar een heldere relatie met een bedrijfsdoelstelling voor staat en mits dit geen afbreuk doet aan Omroep Brabant als betrouwbare en betrokken regionale omroep voor de provincie Noord-Brabant;
  • Medewerkers van de Omroep Brabant verschaffen zich geen toegang tot persoonsgegevens die zij niet nodig hebben voor hun taken, omgekeerd is de insteek van Omroep Brabant dat zij geen persoonsgegevens ter beschikking stelt aan medewerkers die deze niet nodig hebben voor hun taken;
  • De levensduur van persoonsgegevens binnen de Omroep Brabant is in beginsel eindig, tenzij er archivering voor historische doeleinden plaatsvindt.

Het beleid wordt jaarlijks geëvalueerd op initiatief van de privacy-coördinator, mede op basis van de geregistreerde afwijkingen, en zo nodig geactualiseerd. Hierbij geldt dat de Ondernemingsraad een instemmingsrecht heeft ten aanzien van de persoonsgegevens van het personeel van Omroep Brabant.

Privacycoördinator en Functionaris Gegevensbescherming

Omroep Brabant heeft een uitzonderingspositie nu zij op grond van de standpunten van het Europees Comité van de Gegevensbescherming niet verplicht is een Functionaris Gegevensbescherming (FG) aan te stellen. Desondanks zal Omroep Brabant dit op vrijwillige basis doen zodra dit landelijk en in samenwerking met de andere regionale omroepen een haalbare kaart zal zijn.

Ongeacht of deze keuze op korte termijn geëffectueerd kan worden wil Omroep Brabant een privacycoördinator intern aanstellen die als eerste aanspreekpunt voor vragen over de bescherming van persoonsgegevens zal fungeren.

**Dataclassificatie **

Binnen Omroep Brabant onderscheiden we vijf soorten persoonsgegevens:

  • Journalistieke gegevens

  • Personeelsgegevens

  • Bezoekersgegevens evenementen (ongeacht of deze intern of extern gehost worden)

  • Bezoekersgegevens website en gebruiksgegevens app

  • Klantgegevens

  • Leveranciersgegevens

Onder journalistieke gegevens verstaan wij alle gegevens die verband houden met onze primaire processen op het gebied van de nieuwsgaring, redactie en publicatie daarvan.

Onder personeelsgegevens verstaan wij gegevens die betrekking hebben op personeelsleden van Omroep Brabant of op freelancers van Omroep Brabant.

Onder bezoekersgegevens verstaan wij persoonsgegevens die betrekking hebben op bezoekers van onze websites, luisteraars van onze radioprogramma‘s, gebruikers van onze mobiele applicaties en deelnemers van evenementen die vanuit Omroep Brabant worden georganiseerd (dus niet evenementen waar Omroep Brabant slechts de audiovisuele productie van verzorgt).

Onder klantgegevens verstaan wij persoonsgegevens van onze klantcontacten met adverteerders en dergelijke

Onder leveranciersgegevens verstaan wij persoonsgegevens van (medewerkers van) onze leveranciers anders dan onze freelancers.

Ten aanzien van de gevoeligheid van de gegevensverwerking onderscheidt de Omroep Brabant de volgende drie soorten:

  • Hoog
  • Midden
  • Laag

Voor zover in het beleid niet is vastgesteld wat de gevoeligheidsclassificatie van persoonsgegevens is, wordt dit door de procesverantwoordelijke manager gedaan en schriftelijk vastgelegd.

**Verwerkingen **

Voor de journalistieke gegevens is de hoofdredacteur verantwoordelijk. Omroep Brabant is er zich van bewust dat het voor haar journalistieke taken noodzakelijk is dat er bijzondere categorieën van persoonsgegevens (gegevens over gezondheid, seksuele gedragingen, politieke opvattingen, religie, etniciteit etc.) en strafrechtelijke gegevens verwerkt worden, waarbij er niet zelden sprake is van kwetsbare betrokkenen (zoals minderjarigen, mensen met beperkingen en minderheden). Ook is Omroep Brabant zich bewust van de noodzaak tot bronbescherming. Daarom beschouwt de Omroep Brabant de journalistieke gegevens, voor zover niet gepubliceerd in nieuwsartikelen, als persoonsgegevens met een middelhoge danwel hoge gevoeligheid.

Ten aanzien van bewaartermijnen geldt dat wat journalistieke waarde heeft, of had, ook archiefwaarde heeft en dat de bewaartermijnen om die reden in beginsel onbegrensd zijn.

Aanspreekpunt binnen Omroep Brabant voor correctie- en verwijderingsverzoeken is de hoofdredacteur. Deze heeft een grote discretionaire bevoegdheid nu verwerkingen van persoonsgegevens met het oog op journalistieke doelen buiten het inzage, verwijderings- en correctierecht vallen.

Voor de personeelsgegevens is manager HR en Finance verantwoordelijk. Teneinde de uitvoerbaarheid van het privacybeleid te vereenvoudigen worden ook de persoonsgegevens van de freelancers tot deze categorie gerekend. Personeelsgegevens worden behandeld als persoonsgegevens met de gevoeligheidsklasse "hoog".

Toegang tot personeelsgegevens hebben in beginsel alleen de HR-medewerkers en de directe lijn, dus directe leidinggevenden (dan wel leidinggevende van de leidinggevende, etc.), van desbetreffende medewerkers.

Gegevens van sollicitanten worden in beginsel vier weken na afloop van de sollicitatieprocedure, ongeacht de uitkomst verwijderd (voor aangenomen medewerkers wordt een geheel nieuw personeelsdossier aangemaakt). In uitzonderingsgevallen geldt dat deze, mits er toestemming wordt verleend door de sollicitant, maximaal één jaar in portefeuille gehouden. Wel wordt er een logboek bijgehouden van sollicitaties, waarbij vermeldingen in het logboek maximaal vijf jaar worden bewaard.

Personeelsdossiers van medewerkers die al meer dan vijf jaar uit dienst zijn, worden verwijderd, tenzij er sprake is van een nog lopend geschil met desbetreffende oud-medewerker. Dit geldt niet voor de salarisdossiers, hier geldt een fiscale bewaartermijn van zeven jaar. Wel wordt bij verwijdering van een personeelsdossier een aantekening gemaakt van het dienstverband van desbetreffende werknemer in een logboek.

Tot personeelsgegevens worden ook gegevens gerekend die betrekking hebben op het gebruik van middelen binnen de Omroep Brabant, procesverantwoordelijke hiervoor is het manager Mediafaciliteiten. Deze worden uitsluitend gebruik worden voor beheersdoeleinden van deze middelen (wat een gerechtvaardigd belang van de Omroep Brabant is). Tot deze beheersdoeleinden wordt ook de handhaving van de technische en organisatorische maatregelen die Omroep Brabant treft om onrechtmatige verwerking van persoonsgegevens. Concreet betekent dit:

  • Er vindt monitoring en logging van gebruik van middelen plaats;
  • Uitsluitend voor beheersdoeleinden;
  • Waarbij dataminimalisatie wordt toegepast;
  • De bewaartermijn van deze gegevens is maximaal drie maanden, tenzij er sprake is van een concreet vermoeden van misbruik, intern dan wel extern, dan kan deze termijn opgerekt worden voor de duur van het onderzoek. Dit vereist een direct besluit van een lid van het managementteam van Omroep Brabant.

De bewaartermijn van drie maanden is gekozen om geen hiaat in de logging te hebben in het geval een medewerker waarvan ontslag is aangezegd gedurende zijn of haar opzegtermijn misbruik maakt van voorzieningen van Omroep Brabant.

Bezoekersgegevens van evenementen waar Omroep Brabant de hoofdorganisator (of dit nu op een locatie van Omroep Brabant is of extern) is worden alleen verzameld met het oog op de organisatie van dergelijke evenementen zelf (uitvoering van een overeenkomst). Dit betekent a) dat om een evenement bij te kunnen wonen er kaartjes op naam worden verstrekt en b) Omroep Brabant er voor kan kiezen om wie belangstelling heeft getoond voor een eerder evenement tot een jaar later je opnieuw kan benaderen voor een soortgelijke evenement (gerechtvaardigd belang betrokkene).

Omroep Brabant heeft de volgende organisatiedoelen voor het verzamelen van bezoekersgegevens van onlinekanalen :

  • Exploitatie van de website en apps (gerechtvaardigd belang)
  • Adverteerders in staat te stellen gericht te adverteren (dit vereist toestemming)

Omroep Brabant streeft naar een situatie waarin bezoekers van de website van Omroep Brabant toestemming kunnen geven voor het delen van hun surfgedrag (al dan niet door middel van het plaatsen van cookies) met een beperkte groep derden waar Omroep Brabant transparant over is. Op dit ogenblik is kunnen bezoekers van de website (gebundelde) toestemming geven voor een relatief beperkte set van derden met een beperkte set van doelen

Bezoekersstatistieken blijven niet langer dan veertien maanden bewaard binnen Omroep Brabant.

Omroep Brabant verzamelt klantgegevens omdat wij onze relaties met onze (potentiële) klanten willen opbouwen en onderhouden. Dit zijn in de eerste plaats contactgegevens en de geschiedenis van onze contactmomenten met onze sponsoren en adverteerders en tweede plaats de contactmomenten met afnemers van onze websites (en shop), apps en RTV-producties. Daarnaast zijn er natuurlijk ook de gegevens die wij nodig hebben om onze sponsoren en adverteerders te kunnen factureren.

Voor sponsoren en adverteerders geldt dat wij de niet-financiële gegevens na drie jaar geen contact meer gehad te hebben zullen opschonen, voor de financiële gegevens geldt de fiscale bewaartermijn van zeven jaar. Voor gegevens van contactmomenten met de afnemers van onze diensten geldt dat we die niet langer dan 14 maanden bewaren na het laatste contactmoment.

Omroep Brabant onderhoudt contact met haar leveranciers , onder andere in de vorm van de vastlegging in contracten met haar leveranciers. Het hoofd inkoop bepaalt hoe lang deze bewaard worden. Ook heeft Omroep Brabant in haar financiële administratie persoonsgegevens over leveranciers, zeker als dit freelancers of andere zelfstandigen zijn. Voor die laatste geldt een fiscale bewaartermijn van zeven jaar.

**Verwerkingenregister **

Omroep Brabant voert een register van verwerkingen van persoonsgegevens. In dat register houden wij in ieder geval de volgen de informatie bij:

  • De verzamelnaam van het verwerkingsproces (bijvoorbeeld marketing, HR, financiën)

  • Verzamelnaam subproces (een nadere differentiatie)

  • De (interne) eindverantwoordelijke

  • Verwerkingsdoeleinden, in termen van de organisatiedoelen van de Omroep Brabant

  • Categorieën van betrokkenen (bijvoorbeeld personeel van Omroep Brabant)

  • Categorieën van persoonsgegevens

  • Categorieën van Ontvangers

  • Doorgiften aan derden (of buiten EER)

  • Bewaar- of archiveertermijn

  • Technische en/organisatorische maatregelen in afwijking van het reguliere beleid

  • Juridische grondslag

  • De rol van Omroep Brabant ten aanzien van de persoonsgegevens (verwerkingsverantwoordelijke of verwerker)

  • Het bestaan van verwerkersovereenkomst(en)

  • Geautomatiseerde of handmatige verwerking

  • Ondersteunende applicatie(s) en/of systemen betrokken bij de verwerking

  • Herkomst van persoonsgegevens

  • Of er een PIA is uitgevoerd

  • Contractnummers

"Eigenaar" van het register is de manager Mediafaciliteiten.

Inkoop

Omroep Brabant de volgende randvoorwaarden aan inkoop van ICT middelen en systemen:

  • Daar waar mogelijk persoonsgegevens worden verwerkt door leveranciers wordt de privacy coördinator geconsulteerd voor de eisen in termen van informatiebeveiliging en continuïteitsmaatregelen die van de leverancier gevergd gaan worden van leveranciers. Uitgangspunt daarbij is dat externe verwerking niet tot een lager niveau van beveiliging mag leiden dan wanneer verwerking intern zou plaatsvinden. Een dergelijke consultatie vindt vóóraf aan het aangaan van verplichtingen plaats.

  • Externe verwerkingen worden opgenomen in het verwerkingenregister van paragraaf 2.4, het is een verantwoordelijkheid van de proceseigenaar dat dit ook daadwerkelijk gebeurt

  • Externe verwerking moet altijd gegarandeerd plaatsvinden binnen het grondgebied van de Europese Economische Ruimte (EER) of Zwitserland. Bij gegevens met een lage risicoclassificatie kan hiervan afgeweken worden, maar dit moet schriftelijk vastgelegd worden en overlegd worden met de privacy coördinator.

Rechten van betrokkenen

Iedere manager heeft de opdracht om schriftelijk vast te leggen hoe zij betrokkenen in staat stelt hun rechten uit hoofde van de AVG te effectueren. Dit zijn het recht om:

  • Inzage te krijgen;
  • Persoonsgegevens te corrigeren
  • Persoonsgegevens te verwijderen
  • Verzet aan te tekenen tegen de verwerking van persoonsgegevens

Hiervoor zijn generieke procestekeningen vastgelegd die niet zijn opgenomen in deze publieksversie van het privacyreglement en de specifieke uitwerkingen worden evenmin opgenomen in deze publieksversie van het privacyreglement, maar worden wel integraal opgenomen in de interne versie van het privacybeleid.

Datalekken

Ten aanzien van de besluitvorming om een incident te melden bij de Autoriteit Persoonsgegevens en/of de betrokkenen geldt dat de directeur, manager Mediafaciliteiten en manager Finance & HR gezamenlijk bevoegd om een besluit om een datalek bij de Autoriteit Persoonsgegevens te melden al dan niet te nemen. Dit betekent dat als de groep van functionarissen die in deze paragraaf genoemd wordt niet compleet is de besluiten genomen worden door degenen die wel bereikbaar zijn. Zij zullen van bovenstaande besluitvorming altijd het managementteam en de directie van Omroep Brabant verwittigen.

**Privacyverklaringen **

Privacyverklaringen hebben tot doel transparant te kunnen zijn over de verwerkingen van persoonsgegevens. De beschrijvingen uit paragraaf 2.4 zijn bewust opgesteld om te kunnen voldoen aan artikel 13 AVG. Artikel 13 AVG vereist echter dat er daarnaast aangegeven wordt hoe:

  • Betrokkenen klachten kunnen indienen bij Omroep Brabant, de Functionaris Gegevensbescherming (indien aangesteld) en dat zij klachten kunnen indienen bij de Autoriteit Persoonsgegevens;
  • Betrokkenen inzage, correctie, verwijdering en opschorting van de verwerking van gegevens kunnen vergen en op welke manier;
  • Of er sprake is van verwerking buiten de EER of doorgifte naar derden.

Dat betekent een aparte privacyverklaring is opgesteld waar bovenstaande elementen (op basis van het verwerkingenregister) zijn opgenomen