Privacyverklaring Justis

Privacyverklaring Justis

Persoonsgegevens die via deze site worden verzameld, gebruikt Justis alleen voor het doel waarmee u ze hebt achtergelaten.

Wat is de Wet bescherming persoonsgegevens?

De Wet bescherming persoonsgegevens (Wbp) helpt de privacy van burgers te beschermen. De Wbp is onder andere van toepassing op gegevens die verwerkt worden via websites van ministeries. Het College bescherming persoonsgegevens is toezichthouder op de Wet bescherming persoonsgegevens.

Wat zijn persoonsgegevens?

Een persoonsgegeven is informatie die herleidbaar is tot een persoon. Voorbeeld van een persoonsgegeven is een naam of een huisadres, maar ook e-mailadressen kunnen persoonsgegevens zijn.

Hoe gaat Justis om met uw persoonsgegevens?

Daar waar uw persoonsgegevens verwerkt worden, staat precies vermeld welke gegevens voor welke doeleinden gebruikt worden. Justis gebruikt uw persoonsgegevens enkel voor het doel waarvoor u ze heeft achtergelaten. Dat betekent dat als u bijvoorbeeld uw naam en adres invult voor het toezenden van een brochure, deze gegevens niet worden gebruikt om u ook andere brochures toe te zenden, tenzij dat is aangegeven.

Gegevens kunnen echter wel worden gebruikt voor opsporing, als via de site strafbare feiten worden gepleegd of strafbare uitlatingen worden gedaan (en verdere uitzonderingen zoals genoemd in artikel 43 Wet bescherming persoonsgegevens). Daarnaast voert Justis regelmatig klanttevredenheidsonderzoeken uit. Hiervoor kunnen gegevens worden gebruikt die u invult in het contactformulier. Voor alle verwerkingen van persoonsgegevens geldt dat alleen de gegevens worden gebruikt die u zelf actief heeft achtergelaten.

Voor welke doelen verwerkt Justis persoonsgegevens?

Justis screent personen en organisaties op integriteit. Bij deze screening verwerkt Justis persoonsgegevens. Justis levert in het kader van deze screening een groot aantal producten en geeft daarmee uitvoering aan verschillende wettelijke taken. Het gaat om de volgende producten:

  • Verklaring omtrent het Gedrag (VOG);
  • Gedragsverklaring Aanbesteden (GVA);
  • Bibob-adviezen aan bestuursorganen;
  • risicomeldingen en netwerktekeningen ten behoeve van de controle op rechtspersonen;
  • garantstellingen aan curatoren;
  • screening van medewerkers van particuliere beveiligingsorganisaties en recherchebureaus en buitengewoon opsporingsambtenaren;
  • beslissingen op verzoeken om geslachtsnaamswijziging;
  • beslissingen op verzoeken van huwelijksdispensatie en trouwen bij volmacht;
  • beslissingen op gratieverzoeken;
  • beslissingen in verband met de behandeling van administratief beroep inzake wapenvergunningen of de aanvraag van ontheffingen in het kader van de wapenwetgeving.

Welke soorten persoonsgegevens verwerkt Justis?

Bij de screening van personen en organisaties verwerkt Justis persoonsgegevens die door de aanvrager van het betreffende product zelf aan Justis worden verstrekt. Daarnaast verwerkt Justis ook persoonsgegevens uit bronnen die niet voor iedereen toegankelijk zijn, zoals de justitiële documentatie. Welke persoonsgegevens ten behoeve van de verschillende producten worden verwerkt is aangegeven in het meldingenregister van het Ministerie van Veiligheid en Justitie. In het meldingenregister is tevens de wettelijke grondslag van het product vermeld.

Op welke wijze zorgt Justis ervoor dat alleen die persoonsgegevens worden verwerkt die voor het doel daarvan noodzakelijk zijn?

In de specifieke wet- en regelgeving is bepaald welke persoonsgegevens Justis voor welk doel verwerkt. Binnen Justis is verder sprake van strikte functiescheiding waarbij de autorisaties van medewerkers tot toegang tot gegevens is toegespitst op het product waaraan de medewerker werkt. Dit betekent dat de medewerkers van de verschillende werkprocessen binnen Justis enkel toegang hebben tot die systemen met persoonsgegevens die noodzakelijk zijn voor de uitvoering van de specifieke werkzaamheden voor een bepaald product. Justis houdt controle op oneigenlijke inzage in deze systemen.

Indien Justis ook vormen van datamining of profiling toepast, welke zijn de selectiecriteria en risico-indicatoren die daarbij worden gehanteerd?

Justis past bij twee screeningsproducten risicoprofielen toe. Dit is het geval bij de VOG en de risicomeldingen die in het kader van de controle op rechtspersonen worden verstrekt. De risicoprofielen die worden gebruikt bij de beoordeling van een VOG-aanvraag zijn openbaar en gepubliceerd op de website van Justis.

De risicoprofielen voor de controle op rechtspersonen zijn niet openbaar. Deze risicoprofielen worden opgesteld aan de hand van indicatoren die kunnen duiden op misbruik van of door rechtspersonen. Openbaarmaking van de risicoprofielen zou de effectiviteit van de controle op rechtspersonen verkleinen omdat bestuurders dan kunnen anticiperen op de indicatoren die aanleiding kunnen zijn tot het geven van een risicomelding.

Indien Justis een website heeft waarop betrokkene persoonsgegevens achterlaat, hoe gaat Justis daarmee om?

Op de website mijn.justis.nl kan de VOG digitaal worden aangevraagd. Deze website is ontworpen met de eisen vanuit de richtlijn webapplicaties van het Nationaal Cyber Security Centrum (NCSC) als leidraad. In oktober 2014 is deze applicatie onderworpen aan een verplichte audit door de Audit Dienst Rijk waarbij is vastgesteld dat de applicatie aan de (strenge) normen voldoet die door Logius worden opgelegd voor het gebruik van DigiD.

Verstrekt Justis persoonsgegevens aan andere organisaties en, zo ja, met welk doel en onder welke voorwaarden?

In een risicomelding of een netwerktekening staan persoonsgegevens vermeld. Een risicomelding en een netwerktekening worden afgegeven in het kader van de Wet controle op rechtspersonen en kunnen uitsluitend aan de bij of krachtens die wet genoemde organisaties worden verstrekt.
In een Bibob-advies aan bestuursorganen staan tevens persoonsgegevens vermeld. Het advies wordt aangevraagd door een bestuursorgaan en verstrekt op basis van de Wet Bibob.

Verder vallen bepaalde beroepsgroepen onder een regime van signaal gestuurde screening. Dit is het geval bij taxichauffeurs en medewerkers in de kinderopvang. In die gevallen worden persoonsgegevens tevens aan de ketenpartners verstrekt die zich bezig houden met het toezicht op deze branches. De (door-)verstrekking van de persoonsgegevens is in alle gevallen neergelegd in de desbetreffende wet- en regelgeving.

Hoe geeft Justis invulling aan de informatieplicht jegens betrokken burgers (art. 33-34 Wbp)?

Voor zover het gaat om producten van Justis die geschieden op aanvraag van een burger, is deze burger reeds op de hoogte van de verwerking van de persoonsgegevens omdat die gegevens door diegene zelf zijn aangeleverd. Justis hoeft dan geen toepassing te geven aan artikel 33 van de Wbp. Personen die vallen onder de signaal gestuurde screening zijn hier tevens van op de hoogte.

In het geval van de producten risicomelding en netwerktekening in verband met de controle op rechtspersonen en de adviezen door het LBB in verband met integriteitsbeoordelingen door het openbaar bestuur worden persoonsgegevens verwerkt zonder dat een betrokkene daarvan op de hoogte is. De informatieplicht op grond van artikel 34 van de Wbp is echter niet van toepassing omdat de vastlegging of de verstrekking van persoonsgegevens uitdrukkelijk en limitatief in de desbetreffende van toepassing zijnde wet- en regelgeving is voorgeschreven.

Hoe heeft Justis de verwerking van persoonsgegevens beveiligd?

Justis heeft de (fysieke en digitale) verwerking van persoonsgegevens gebaseerd op de Rijksbrede normenkaders die opgenomen zijn in de Baseline Informatiebeveiliging Rijksdienst (BIR:2012). De voor de overheid verplichte standaarden ISO27001/ISO27002 met aanvullingen zijn opgenomen in de BIR. De BIR TNK is voor de rijksoverheid verplicht.

Hoe kan ik inzage krijgen in mijn persoonsgegevens en deze, zo nodig, laten corrigeren (art. 35 en 36 Wbp)?

Een ieder kan op grond van de Wbp een verzoek indienen om in te zien welke gege­vens Justis van hem of haar verwerkt. De kans is aanwezig dat Justis over de verwerking van bepaalde gegevens, zoals politiële of justitiële geen inzage kan geven omdat een geheimhoudingsbepaling in de specifieke wetgeving zich tegen inzage in deze gegevens verzet. Indien dit niet het geval is en een betrokkene op grond van de Wbp wel inzage krijgt in bepaalde persoonsgegevens die Justis heeft verwerkt en er sprake blijkt te zijn van onjuistheden in die gegevens, dan kan hij zich wenden tot de organisatie die deze informatie heeft verstrekt en daar het verzoek neerleggen om de gegevens te corrigeren.

Hoe kan ik mij in verband met bijzondere persoonlijke omstandigheden verzetten tegen het verwerken van mijn persoonsgegevens (art. 40 Wbp)?

De verwerking van persoonsgegevens vindt in de meeste gevallen op verzoek van een burger zelf plaats. Het ligt in dat geval niet voor de hand dat verzet wordt aangetekend tegen de verwerking van de zelf verstrekte persoonsgegevens. In geval van de controle op rechtspersonen en integriteitsbeoordelingen door het LBB worden echter ook persoonsgegevens verwerkt van betrokkenen die daar niet om hebben gevraagd. Op grond van artikel 40 van de Wbp kan een ieder verzet aantekenen tegen de verwerking van zijn persoonsgegevens in verband met bijzondere persoonlijke omstandigheden. Er zal dan worden beoordeeld of het verzet gerechtvaardigd is. Op grond van de specifieke bepalingen en doelstellingen van de Wet controle op rechtspersonen en de Wet Bibob zal een dergelijk verzet niet snel worden gehonoreerd.

Hoe lang bewaart Justis (de verschillende soorten van) persoonsgegevens?

Justis voert haar taken uit op grond van specifieke wetgeving waarin bewaartermijnen zijn vastgelegd. Voor zover daarin geen bewaartermijnen zijn vastgelegd, gelden de bewaar- en vernietigingstermijnen die zijn vastgesteld in de selectielijsten op grond van de Archiefwet 1995.