Privacyverklaring Justis

Privacyverklaring Justis

Justis vindt het belangrijk dat u weet dat zorgvuldig wordt omgegaan met uw persoonsgegevens. In deze privacyverklaring leest u algemene informatie over de persoonsgegevens die Justis verwerkt, welke maatregelen Justis neemt om uw persoonsgegevens te beschermen en welke rechten u heeft ten aanzien van de verwerking van uw persoonsgegevens.

1. Wat zijn persoonsgegevens?

Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie direct over iemand gaat of naar deze persoon te herleiden is. Er zijn vele soorten persoonsgegevens: bijvoorbeeld een naam of huisadres, maar ook een e-mailadres of telefoonnummer kan een persoonsgegeven zijn.

Bijzondere persoonsgegevens zijn gegevens die naar hun aard extra gevoelig zijn, zoals bijvoorbeeld medische gegevens. Hiervoor geldt een speciale regeling. Ook persoonsgegevens van strafrechtelijke aard zijn zulke gevoelige gegevens. Hiervoor geldt ook een speciale regeling.

De Algemene verordening gegevensbescherming (AVG) bepaalt dat persoonsgegevens worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is. Op grond van de AVG mogen persoonsgegevens alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.

2. Voor welke doelen verwerkt Justis persoonsgegevens?

Voor Justis is het noodzakelijk om persoonsgegevens te verwerken om te voldoen aan haar wettelijke verplichtingen. Justis screent personen en organisaties op integriteit. Bij deze screening verwerkt Justis persoonsgegevens. Justis levert in het kader van deze screening een groot aantal producten en geeft daarmee uitvoering aan verschillende wettelijke taken. In de specifieke wet- en regelgeving die op het product van toepassing is, is bepaald voor welk doel Justis persoonsgegevens mag verwerken.

Overzicht van de producten van Justis en de wettelijke grondslag per product:

  • Verklaring Omtrent het Gedrag (VOG), Wet justitiële en strafvorderlijke gegevens;
  • Continue screening medewerkers kinderopvang en chauffeurskaarthouders taxibranche, artikel 22a en 22b Wet justitiële en strafvorderlijke gegevens, Besluit personenvervoer en de Wet kinderopvang en kwaliteitseisen peuterspeelzalen;
  • Gedragsverklaring Aanbesteden (GVA), Aanbestedingswet 2012, hoofdstuk 4.1;
  • Bibob-adviezen aan bestuursorganen, Wet Bibob;
  • Risicomeldingen en netwerktekeningen ten behoeve van de controle op rechtspersonen, Wet controle op rechtspersonen;
  • Garantstellingen aan curatoren, Garantstellingsregeling curatoren 2012;
  • Vergunning en toestemming voor (medewerkers van) particuliere beveiligingsorganisaties en recherchebureaus, Wet particuliere beveiligingsorganisaties en recherchebureaus;
  • Opsporingsbevoegdheid voor buitengewoon opsporingsambtenaren, Besluit buitengewoon opsporingsambtenaar;
  • Beslissingen op verzoeken om geslachtsnaamswijziging, Besluit geslachtsnaamswijziging;
  • Beslissingen op verzoeken van huwelijksdispensatie en trouwen bij volmacht, Burgerlijk Wetboek Boek 1 artikel 41 lid 2 en artikel 66;
  • Beslissingen op gratieverzoeken, Gratiewet;
  • Beslissingen op administratief beroep in zaken over wapenvergunningen of beslissingen op de aanvraag van ontheffingen van de wapenwetgeving, Wet wapens en munitie.

3. Welke persoonsgegevens verwerkt Justis?

In het verwerkingsregister van Justis is vastgelegd welke persoonsgegevens voor de verschillende producten worden verwerkt. Ook het doel en de wettelijke grondslag van elke gegevensverwerking is daarin vermeld.

Justis verwerkt de volgende categorieën persoonsgegevens:

  • Gewone persoonsgegevens, zoals naam, adres, woonplaats, telefoonnummer, geboortedatum en geboorteplaats, en in sommige gevallen het burgerservicenummer (BSN);
  • Bijzondere persoonsgegevens (incidenteel);
  • Strafrechtelijke persoonsgegevens.

Die persoonsgegevens verkrijgt Justis op verschillende manieren:

  • door de aanvrager van het product zelf;
  • uit openbare bronnen, zoals het handelsregister;
  • uit bronnen die niet voor iedereen toegankelijk zijn, zoals de justitiële documentatie voor strafrechtelijke persoonsgegevens.

4. Hoe zorgt Justis ervoor dat alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn?

Justis verwerkt alleen die persoonsgegevens die noodzakelijk zijn voor de uitvoering van haar wettelijke taak. Daarbij kijkt Justis - aan de hand van het verwerkingsregister - of ook volstaan kan worden met minder gegevens. Daarnaast maakt Justis van nieuwe of gewijzigde producten of applicaties een zogenaamde Privacy Impact Assessment (PIA). Er wordt dan onderzocht wat de privacy risico’s van de producten of applicaties zijn en welke maatregelen moeten worden genomen om die risico’s zo klein mogelijk te maken.

5. Past Justis ook vormen van ‘profiling’ toe?

Profiling houdt in dat organisaties een profiel van mensen opstellen door allerlei gegevens van hen te verzamelen, te analyseren en met elkaar te combineren. Justis maakt alleen gebruik van profiling bij het screeningsproduct voor de controle op rechtspersonen.

Justis voert de Wet controle op rechtspersonen uit. Het doel van deze wet is misbruik door rechtspersonen (bedrijven) voorkomen en bestrijden. Door bedrijven vaker te controleren op mogelijk misbruik, kunnen handhavende instanties sneller optreden. Rechtspersonen (en hun bestuurders, aandeelhouders en directe omgeving) worden gecontroleerd door middel van een risicoanalyse. Als een risico op misbruik wordt geconstateerd, wordt een risicomelding afgegeven aan een handhavende of toezichthoudende instantie. De risicomelding wordt altijd opgesteld door een persoon. Het geautomatiseerde systeem wordt hierbij alleen als hulpmiddel gebruikt. Er komt dus nooit een risicomelding tot stand zonder menselijke tussenkomst.

De selectiecriteria en de risicoprofielen voor de controle op rechtspersonen zijn niet openbaar. Deze selectiecriteria en risicoprofielen worden opgesteld aan de hand van indicatoren die kunnen wijzen op misbruik van of door rechtspersonen. Openbaarmaking van de selectiecriteria en risicoprofielen zou de effectiviteit van de controle op rechtspersonen verkleinen. Bestuurders zouden dan namelijk kunnen anticiperen op de indicatoren die aanleiding kunnen zijn tot het geven van een risicomelding.

Klik hier voor meer informatie over controle op rechtspersonen en het inlichten van betrokkenen.

6. Hoe gaat Justis om met persoonsgegevens die u via de website achterlaat?

Justis verwerkt uw persoonsgegevens alleen voor het doel waarvoor u deze gegevens zelf actief heeft achtergelaten op de website. In de volgende gevallen laat u persoonsgegevens achter op de website:

  • Als u op de website mijn.justis.nl de VOG digitaal aanvraagt. Deze aanvraag moet digitaal zijn klaargezet door de organisatie die de VOG van u vraagt. Deze website is ontworpen volgens de eisen die de richtlijn webapplicaties van het Nationaal Cyber Security Centrum (NCSC) stelt. Ieder jaar wordt de applicatie onderworpen aan een verplichte audit door de Audit Dienst Rijk. De applicatie voldoet aan de (strenge) normen die gelden voor het gebruik van DigiD.
  • Als u persoonsgegevens invult in het contactformulier op de website www.justis.nl. Deze persoonsgegevens worden gebruikt om u zo goed mogelijk te kunnen helpen, bijvoorbeeld bij het beantwoorden van uw vraag. De gegevens die u heeft ingevuld op het contactformulier kunnen ook worden gebruikt voor klanttevredenheidsonderzoeken die Justis regelmatig uitvoert. In dat geval zal altijd om uw toestemming hiervoor worden gevraagd.

Als via de website van Justis strafbare feiten worden gepleegd of strafbare uitlatingen worden gedaan (of sprake is van andere situaties zoals genoemd in artikel 23 AVG) kunnen uw persoonsgegevens worden gebruikt voor opsporingsdoeleinden.

7. Verstrekt Justis persoonsgegevens aan andere organisaties?

Het uitgangspunt is dat alle gegevens die door een betrokkene zijn verstrekt of over een betrokkene zijn verkregen vertrouwelijk worden behandeld. Justis is wettelijk bevoegd en soms verplicht om aan overheidsinstanties gegevens en inlichtingen te verstrekken die zij voor de vervulling van hun taak nodig hebben. Zo worden op grond van de Wet controle op rechtspersonen risicomeldingen en netwerktekeningen afgegeven aan de in de wet genoemde organisaties en op grond van de Wet Bibob, Bibob-adviezen verstrekt aan de in die wet genoemde bestuursorganen.

Ook vallen bepaalde beroepsgroepen onder een regime van signaal gestuurde screening. Dit is het geval bij taxichauffeurs en medewerkers in de kinderopvang. In die gevallen worden persoonsgegevens tevens aan de ketenpartners verstrekt die zich bezig houden met het toezicht op deze branches. De (door-)verstrekking van de persoonsgegevens is in alle gevallen geregeld in de betreffende wet- en regelgeving en vastgelegd in het verwerkingsregister van Justis.

8. Hoe heeft Justis de verwerking van persoonsgegevens beveiligd?

Justis wil onjuiste of onrechtmatige verwerkingen van persoonsgegevens tegengaan en heeft daarvoor passende maatregelen genomen. Justis heeft de (fysieke en digitale) verwerking van persoonsgegevens gebaseerd op de Rijksbrede normenkaders die staan in de Baseline Informatiebeveiliging Rijksdienst (BIR:2012). In de BIR staan de voor de overheid verplichte standaarden ISO27001/ISO27002 met aanvullingen. Sommige van de maatregelen die Justis heeft genomen voor de beveiliging van persoonsgegevens zijn organisatorisch van aard. Justis informeert bijvoorbeeld geregeld haar medewerkers over het belang van de bescherming van persoonsgegevens en de medewerkers hebben een geheimhoudingsplicht. Andere maatregelen zijn technisch van aard: deze gaan over de manier waarop de ICT systemen zijn ingericht en beveiligd. De verzending van (persoons)gegevens vindt bijvoorbeeld plaats via een beveiligde verbinding of versleuteld en alleen medewerkers met de juiste autorisaties mogen deze gegevens zien.

9. Hoe lang bewaart Justis (de verschillende soorten van) persoonsgegevens?

Justis bewaart persoonsgegevens die zij verwerkt niet langer dan noodzakelijk is voor het doel van de gegevensverwerking. In de specifieke wetgeving zijn soms maximale bewaartermijnen vastgelegd. De bewaartermijnen zijn ook vastgesteld in selectielijsten op grond van de Archiefwet 1995 (http://www.handelingenbank.info/hb.php). In het verwerkingsregister van Justis zijn de bewaartermijnen per product vermeld.

10. Welke rechten heeft u ten aanzien van de verwerking van uw persoonsgegevens door Justis?

U heeft op basis van de AVG de volgende rechten als uw persoonsgegevens worden verwerkt op grond van een wettelijke verplichting, zoals Justis doet:

  • Recht op informatie (artikel 13 en 14 AVG)
    Als u een aanvraag doet voor een product van Justis, levert u zelf de persoonsgegevens aan en bent u dus op de hoogte van de verwerking van uw persoonsgegevens. Daarnaast vindt u informatie over de verwerking van uw persoonsgegevens in deze privacyverklaring. Personen die vallen onder de signaal gestuurde screening worden door de ketenpartners op de hoogte gesteld dat de continue screening aanvangt.
    Als de persoonsgegevens niet van u zijn verkregen wordt u over deze gegevens geïnformeerd, behalve bij de producten controle op rechtspersonen en Bibob-adviezen. U bent in dat geval niet op de hoogte van de verwerking van uw persoonsgegevens. De informatieplicht van artikel 14 AVG is in die gevallen echter niet van toepassing, omdat de vastlegging of de verstrekking van persoonsgegevens uitdrukkelijk en limitatief in de toepasselijke wet- en regelgeving is voorgeschreven.
  • Recht op inzage (artikel 15 AVG) en recht op rectificatie (artikel 16 AVG)
    U kunt op grond van artikel 15 AVG een verzoek indienen om in te zien welke gege­vens Justis van u verwerkt. De kans bestaat dat Justis over de verwerking van bepaalde gegevens, zoals politiële of justitiële gegevens, geen inzage kan geven, omdat een geheimhoudingsbepaling in de specifieke wetgeving zich hiertegen verzet. Indien u wel inzage krijgt in bepaalde persoonsgegevens die Justis heeft verwerkt en deze gegevens blijken onjuist, onvolledig of niet relevant te zijn, kunt u Justis verzoeken deze persoonsgegevens te wijzigen of aan te vullen (artikel 16 AVG). Justis stelt in zo’n geval iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis van een eventuele rectificatie.
  • Het recht op beperking van de verwerking (artikel 18 AVG)
    U heeft in bepaalde situaties het recht op beperking van het gebruik van uw gegevens. Om welke situaties het gaat, is vermeld in artikel 18 AVG lid 1 onder a-b: de gegevens zijn mogelijk onjuist, de verwerking is onregelmatig, de gegevens zijn niet meer nodig, of u heeft bezwaar gemaakt tegen de verwerking en er zijn geen dwingend gerechtvaardigde gronden voor de verwerking. Justis stelt in zo’n geval iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis van een eventuele beperking van de verwerking.
  • Het recht van bezwaar (artikel 21 AVG)

    Als u een aanvraag doet voor een product van Justis vindt de verwerking van uw persoonsgegevens plaats op uw eigen verzoek. Het ligt dan niet voor de hand dat u bezwaar maakt tegen de verwerking van uw persoonsgegevens.

    Bij de controle op rechtspersonen en Bibob-adviezen worden echter ook persoonsgegevens verwerkt van betrokkenen die daar niet om hebben gevraagd. Op grond van artikel 21 van de AVG kunt u bezwaar maken tegen de verwerking van uw persoonsgegevens om redenen die zien op uw specifieke situatie. Justis zal dan beoordelen of de verwerking van uw persoonsgegevens moet worden stopgezet. Gelet op de specifieke bepalingen en doelstellingen van de Wet controle op rechtspersonen en de Wet Bibob zal een dergelijk bezwaar niet snel worden gehonoreerd.

U kunt een verzoek voor het uitoefenen van een recht indienen bij:
Justis
T.a.v. afdeling JZU
Postbus 20300
2500 EH DEN HAAG

Wie is de functionaris voor de gegevensbescherming (FG)?

Justis valt onder de FG van het ministerie van Justitie en Veiligheid. Heeft u algemene vragen over gegevensbescherming bij het ministerie van JenV? Neemt u dan contact op met de FG. U kunt uw vragen digitaal of op papier indienen bij:

Functionaris voor Gegevensbescherming
fg@minvenj.nl

Ministerie van Justitie en Veiligheid
T.a.v. de Functionaris voor Gegevensbescherming
Postbus 20301
2500 EH Den Haag

Hoe kunt u een klacht indienen?

Indien u een klacht heeft over de verwerking van uw persoonsgegevens door Justis kunt u die indienen bij:
Justis
T.a.v. afdeling KCC
Postbus 20300
2500 EH DEN HAAG

U heeft ook het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens:
Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ DEN HAAG