The Shared Kitchen verwerkt veel informatie en gegevens van onze klanten voor het verwerken van de bestellingen. Deze informatie moet goed worden beveiligd (informatiebeveiliging) en er moet op passende wijze mee om worden gegaan (privacy). Dit vraagt wat van zowel de organisatie als van individuele medewerkers.

Aan de ene kant mag (privacygevoelige) informatie onder geen beding openbaar worden gemaakt. Aan de andere kant is het van belang dat de medewerkers die dat nodig hebben, beschikken over betrouwbare gegevens. De situatie moet ook werkbaar blijven.

In dit document wordt beleid en een aanpak vastgesteld om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie op een passende wijze en blijvend te borgen en daarbij te voldoen aan de wettelijke regeling rondom bescherming van persoonsgegevens.

2. Ambitie, doel en scope beleid

Als The Shared Kitchen vinden wij dat klanten/cliënten, medewerkers en ketenpartners erop moeten kunnen vertrouwen dat wij zorgvuldig en veilig met hun persoonsgegevens omgaan.

Nieuwe technologische ontwikkelingen, innovatieve voorzieningen en verschillende vormen van samenwerking stellen steeds zwaardere eisen aan de bescherming van gegevens en privacy. The Shared Kitchen is zich hier van bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.

Door middel van dit beleid wordt een duidelijke richting gegeven aan informatiebeveiliging en privacy en laat The Shared Kitchen zien dat zij de privacy waarborgt, beschermt en handhaaft.

De ambitie bij dit beleid is om de minimale hoeveelheid informatie op te slaan.

Doelen die daarvoor gesteld worden zijn:

Op positieve wijze vertrouwen en vertrouwelijkheid uitstralen;

Deze doelen worden hierna concreet gemaakt.

De scope van dit beleid is als volgt:

Het informatiebeveiligings- en privacybeleid is van toepassing op de gehele organisatie;
Het beleid is van toepassing op de eigen medewerkers

3. Strategische en tactische uitgangspunten

Strategische uitgangspunten ten aanzien van de informatievoorziening en privacy binnen de organisatie zijn:

De informatievoorziening moet een bijdrage leveren aan aanbieden van recepten en het aanbieden van kant en klare voedingsmiddelen.

Dit betekent voor de informatiebeveiliging en privacy dat:

Deze moeten aansluiten op de strategische uitgangspunten voor informatievoorziening;
Eigenaarschap en verantwoordelijkheid moeten zijn belegd;

Tactische uitgangspunten

Beveiligings- en privacyrichtlijnen en maatregelen moeten voldoen aan de volgende uitgangspunten.

Er wordt gewerkt met een managementsysteem voor informatiebeveiliging en privacy (ISMS+);

Om enerzijds te voldoen aan de strategische uitgangspunten vanuit het informatiebeleidsplan en anderzijds ervoor te zorgen dat de informatiebeveiliging hierbij wordt gewaarborgd wil The Shared Kitchen zoveel mogelijk voldoen aan de norm zoals gesteld in ISO27001.

4. Verantwoordelijkheid Informatiebeveiliging en Privacy

Ten aanzien van de verantwoordelijkheden onderkent The Shared Kitchen de volgende rollen:

(Gedelegeerd) eigenaar:

De Raad van Bestuur is eindverantwoordelijk voor het informatiebeveiligingsbeleid en daarmee het voldoen aan wetten en normen. De (gedelegeerd) eigenaar is verantwoordelijk voor het:

Het laten uitvoeren van audits;
Het organiseren van periodiek overleg;

(Chief) Infomation Security officer:

De (C)ISO is verantwoordelijk voor het onderhouden van het informatiebeveiligings- en het privacybeleid (dat laatste in samenwerking met de Functionaris Gegevensbescherming). De taken van de (C)ISO bestaan verder uit:

Ondersteunen van de (gedelegeerd) eigenaar met het inrichten van het ISMS+;
Het opstellen van een auditplan;

Functionaris Gegevensbescherming:

De FG heeft een onafhankelijke rol en is toezichthouder rondom de naleving van de wet- en regelgeving met betrekking tot privacy en gegevensbescherming. Deze functionaris ziet toe op de naleving van de privacyregelgeving binnen de organisatie.

5. Categorieën persoonsgegevens

De activiteiten van The Shared Kitchen bestaan uit de volgende onderdelen:

Bestellingen

Bezoek website

Om deze activiteiten goed uit te kunnen voeren worden hiervoor de volgende persoonsgegevens verzameld:

Bestellingen

Voor en achternaam
Adres
ip adres
Betaalgegevens

Bezoek website

ip-adres

Bewaartermijnen

Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven. De gehanteerde bewaartermijnen zijn:

Persoonsgegeven	Bewaartermijn	Toelichting
Medische behandelgegevens	15 jaar	Artikel 7:454 BW (WGBO)
Subsidieadministratie	10 jaar	Artikel 4:69 Awb
Fiscale gegevens / boekhouding	7 jaar	Artikel 52 AWR

6. Verwerkingsdoeleinden

Voor elke verwerking van persoonsgegevens moet een rechtmatige grondslag aanwezig zijn. Dat betekent dat de verwerking alleen mag plaatsvinden. Voor The Shared Kitchen betekent dat dit persoonsgegevens alleen mogen verwerkt:

Om een verplichting na te komen die in de wet staat
Voor de uitvoering van een overeenkomst waar de betrokkene onderdeel was
Om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden
Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking
De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verantwoordelijke of een derde.

Hierboven zijn de verschillende activiteiten beschreven. Hieronder worden per activiteit de verwerkingsgronden opgesomd:

De verwerking van persoonsgegevens bij verwerken en afhandelen van bestellingen geschiedt op grond van het uitvoeren van de overeenkomst

7. Rechten van betrokkenen

Betrokkenen hebben de volgende rechten:

Recht op informatie: Betrokkenen hebben het recht om te vragen of, en welke persoonsgegevens van hem/haar worden verwerkt.
Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt.
Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen om dit te corrigeren.
Recht van verzet: Betrokkenen hebben het recht te vragen om hun persoonsgegevens niet meer te gebruiken.
Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.
Recht op bezwaar: Betrokkenen hebben het recht om bezwaar aan te maken tegen de verwerking van zijn/haar persoonsgegevens. Hieraan zal worden voldaan, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. The Shared Kitchen heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal The Shared Kitchen laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij The Shared Kitchen, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan The Shared Kitchen aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

Het verzoek dient bij voorkeur te worden ingediend via: privacy@The Shared Kitchen.nl.

Betrokkenen worden geïnformeerd met behulp van een afzonderlijk privacy statement.

8. Doorgiften

The Shared Kitchen geeft geen persoonsgegevens door aan een land buiten de Europese Economische Ruimte (EER) of een internationale organisatie.

9. Disclaimer

Dit model is (gedeeltelijk) gebaseerd op verschillende modellen van KING (het kwaliteitsinstituut Nederlandse Gemeenten), thans VNG Realisatie.

Dit model wordt kosteloos ter beschikking gesteld en dient als voorbeeld voor een mogelijke opzet van een informatiebeveiligings- en privacybeleid. Gebruik van dit model is op eigen risico en er kunnen geen rechten aan worden afgeleid.