Privacyverklaring SSC-ICT

Deze privacyverklaring gaat over het gebruik van jouw persoonsgegevens door SSC-ICT. SSC-ICT maakt als uitvoeringsorganisatie onderdeel uit van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK).

Inleiding

SSC-ICT respecteert je privacy en gaat zorgvuldig om met je persoonsgegevens. SSC-ICT houdt zich hierbij aan de privacywetgeving. De belangrijkste privacywetten zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).

SSC-ICT maakt gebruik van een gelaagde privacyverklaring. In het eerste deel van deze privacyverklaring vind je algemene informatie hoe SSC-ICT je gegevens beschermt, wat je rechten zijn en hoe je met ons contact kan opnemen. Vervolgens vind je onder elke verwerking specifieke informatie hoe SSC-ICT met je persoonsgegevens omgaat.

Deze verklaring geldt naast de algemene privacyverklaring van BZK, die je hier kan vinden.

Hoe beschermt SSC-ICT mijn gegevens?

SSC-ICT voldoet aan de AVG door passende maatregelen te treffen om je persoonsgegevens te beveiligen. Dat doet SSC-ICT met zowel technische als organisatorische maatregelen. Hier zijn rijksbreed afspraken over gemaakt. Meer informatie over deze afspraken vind je hier.

Welke rechten heb ik?

Op grond van de AVG kan je verzoeken om:

  • inzage in je gegevens;

  • correctie en verwijdering van je gegevens;

  • beperking van het gebruik van je gegevens.

In bepaalde gevallen heb je ook recht op:

  • je gegevens in digitale vorm;

  • bezwaar tegen de gegevensverwerking.

Er kunnen redenen zijn waarom je verzoek niet kan worden ingewilligd. Als dat het geval is, dan zal SSC-ICT dit goed aan je uitleggen.

Hoe kan ik contact opnemen over mijn rechten?

Jouw verzoek op grond van de AVG kan je indienen door een brief te sturen naar postbus 20011, 2500 EA Den Haag of via het contactformulier.

Je ontvangt in beginsel binnen een maand een beslissing op jouw verzoek. Als je het niet eens bent met de beslissing kan je hiertegen bezwaar en beroep instellen.

Wat als ik vragen of klachten heb?

Je kan vragen, opmerkingen en suggesties aan SSC-ICT doorgeven via het contactformulier, telefonisch via nummer 1400 of door een brief te schrijven naar postbus 20011, 2500 EA Den Haag. Wij helpen je ook graag verder als je klachten hebt over de verwerking van jouw persoonsgegevens.

SSC-ICT heeft via BZK een functionaris voor gegevensbescherming. Deze functionaris houdt intern toezicht op de privacywetgeving. Je kan contact met deze functionaris opnemen via postbusfg@minbzk.nl.

Ik gebruik een iPad of iPhone

  • SSC-ICT levert verschillende devices, zoals smartphones, tablets en laptops, aan haar verzorgingsgebied zodat gebruikers plaats- en tijdonafhankelijk kunnen werken. SSC-ICT verwerkt als beheerder van de devices jouw persoonsgegevens. Maak je als gebruiker gebruik van een Apple iPhone of iPad, dan worden jouw persoonsgegevens verwerkt in het kader van de BlackBerry-omgeving en het Device Enrollment Program van Apple. Wij hebben deze persoonsgegevens nodig om onze primaire taken te vervullen en om onze informatie en netwerken te beveiligen.

    Door middel van BlackBerry Mobile Device Management worden iPhones en iPads door SSC-ICT beheerd en beveiligd. Deze BlackBerry-omgeving biedt de gebruiker bovendien de mogelijkheid om zakelijk gebruik van het device te scheiden van privégebruik. SSC-ICT monitort alleen zakelijk netwerkverkeer dat plaatsvindt binnen de BlackBerry-omgeving. Privégebruik buiten deze omgeving wordt dus niet gemonitord. De BlackBerry-omgeving is herkenbaar aan het BlackBerry merkteken dat zichtbaar is in de apps die onderdeel uitmaken van deze omgeving.

    Het Device Enrollment Program van Apple is gekoppeld aan de BlackBerry-omgeving en maakt het mogelijk om een groot aantal iPhones en iPads voor te bereiden voor gebruik. Via deze dienst van Apple worden de instellingen in de BlackBerry-omgeving draadloos en geautomatiseerd geconfigureerd. Om gebruik te maken van deze dienst wordt het serienummer en het IMEI-nummer van het device gekoppeld aan de gebruiker. Deze identificerende nummers worden gebruikt bij het configureren van het device om het in verbinding te brengen met de BlackBerry server van SSC-ICT als beheerder.

    SSC-ICT verstrekt geen andere persoonsgegevens aan Apple dan aangegeven. Ook wordt er geen gebruik gemaakt van het Apple ID van de gebruiker. De gebruiker van het device heeft zelf de keuze om een Apple ID aan te maken en voor privédoeleinden apps te installeren uit de Apple App Store. Mocht je daarvoor kiezen, dan is Apple de verwerkingsverantwoordelijke en zijn de voorwaarden van Apple van toepassing.

  • SSC-ICT verwerkt het serienummer, het IMEI-nummer en het soort device dat door jou in gebruik is genomen. Deze gegevens worden toegevoegd aan jouw persoonsgegevens zoals die al in het personeelssysteem en in onze administratie bekend zijn.

    Om een verbinding tussen het device van de gebruiker en de BlackBerry-omgeving tot stand te brengen, worden de volgende persoonsgegevens uit het personeelssysteem geraadpleegd:

    · Naam;

    · E-mailadres;

    · Telefoonnummer;

    · Departement, organisatie en team;

    · Functietitel.

    Daarnaast verwerkt SSC-ICT het netwerkverkeer dat plaatsvindt binnen de BlackBerry-omgeving. Omdat SSC-ICT de gegevens verwerkt die de gebruiker over het netwerk verzendt en ontvangt, gaat het hier niet steeds om dezelfde soort persoonsgegevens. SSC-ICT verwerkt in ieder geval het volgende:

    · IP-adressen;

    · MAC-adressen;

    · E-mailadressen;

    · Domeinnamen.

  • SSC-ICT is de zogeheten verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens van de gebruiker van het device. SSC-ICT beslist welke persoonsgegevens worden gebruikt, voor welk doel en op welke manier. SSC-ICT is er verantwoordelijk voor dat jouw persoonsgegevens in overeenstemming met de wet worden gebruikt. Je kan SSC-ICT hierop aanspreken.

  • SSC-ICT mag jouw persoonsgegevens verwerken omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van SSC-ICT. Allereerst heeft SSC-ICT een gerechtvaardigd belang bij de uitvoering van haar primaire taken als ICT-dienstverlener. SSC-ICT verwerkt alleen de noodzakelijke persoonsgegevens om devices te kunnen leveren en beheren binnen haar verzorgingsgebied.

    Daarnaast is de verwerking noodzakelijk met het oog op netwerk- en informatiebeveiliging. Op grond van de BIR 2017 (Baseline Informatiebeveiliging Rijksdienst) dient SSC-ICT logbestanden te maken van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. De BIR bepaalt dat een logregel minimaal de benodigde informatie dient te bevatten die nodig is om het incident te herleiden tot een persoon.

  • Op het moment dat SSC-ICT de devices voor haar verzorgingsgebied aanschaft, verstrekt haar leverancier het serienummer en IMEI-nummer aan Apple. Op dat moment is het device nog niet uitgegeven aan een gebruiker. Kies je er na ontvangst van het device voor om een Apple ID aan te maken, dan ontvangt Apple de door jou ingevoerde informatie. Mocht je daarvoor kiezen, dan is Apple – en dus niet SSC-ICT – de verwerkingsverantwoordelijke en zijn de voorwaarden van Apple van toepassing.

    Daarnaast ontvangt BlackBerry het e-mailadres van de gebruiker op het moment dat de BlackBerry-omgeving wordt geïnstalleerd op het device. Dit e-mailadres wordt versleuteld (door middel van hashing) verzonden.

    BlackBerry is een Canadese organisatie. De Europese Commissie heeft besloten dat Canada een passend beschermingsniveau biedt. Dit betekent dat de gegevensbescherming in Canada van een vergelijkbaar niveau is als in de Europese Unie en dat de doorgifte van persoonsgegevens aan dit land toegestaan is.

  • Voor de verwerking van de loggegevens van de gebruiker is het logbeleid van SSC-ICT bepalend, waarin de bewaartermijn op zes maanden vastgesteld staat. Dit beleid sluit aan bij de BIR 2017. Na zes maanden worden jouw persoonsgegevens vernietigd of geanonimiseerd.

    Om de verbinding tussen het device en de BlackBerry-omgeving tot stand te brengen, worden de gegevens van de gebruiker bewaard tot het moment van uitdiensttreding.

Ik gebruik de app Plekchecker

  • Plekchecker is een applicatie die SSC-ICT aanbiedt om gemakkelijker een vrije werkplek te vinden. In het kader van de functionaliteit van Plekchecker en om de toegang tot de applicatie te beveiligen, worden persoonsgegevens verwerkt. We onderscheiden twee categorieën van betrokkenen:

    · “Gebruiker”: de betrokkene die de app gebruikt;

    · “Data-subject”: de betrokkene die de app mogelijk niet gebruikt, maar waarvan wel persoonsgegevens worden verwerkt.

    Het e-mailadres van de gebruiker komt binnen in de Plekchecker app en wordt hieruit automatisch verwijderd zodra de gebruiker op de activatielink in de activatiemail drukt. Vervolgens wordt het e-mailadres samen met datum en tijdsregistratie bewaard in de back-end database van de app.

    Afhankelijk van het betreffende rijkskantoor, worden de persoonsgegevens van het data-subject door zowel SSC-ICT als Lone Rooftop verwerkt. Vanwege deze splitsing is in de uitleg van de gegevensverwerking een onderscheid gemaakt tussen de gegevens die enkel door SSC-ICT worden verwerkt en gegevens die ook naar Lone Rooftop gaan.

  • Een persoonsgegeven is informatie die direct of indirect over iemand gaat of informatie die naar deze persoon te herleiden is. Voorbeelden van persoonsgegevens zijn namen, telefoonnummers, locatiegegevens en e-mailadressen. SSC-ICT verwerkt de volgende persoonsgegevens in het kader van Plekchecker:

    Gebruiker:

    · E-mailadres.

    Data-subject:

    · MAC-adres (Media Access Control Address);

    · Login naam Rijksoverheid of UPN (User Principle Name);

    · CI-nummer (Configuration Item);

    · Client name (CI-nummer van device en domeinnaam).

  • SSC-ICT is de zogeheten verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens van de gebruiker in de Plekchecker app. SSC-ICT beslist welke persoonsgegevens worden gebruikt, voor welk doel en op welke manier. SSC-ICT is er verantwoordelijk voor dat je persoonsgegevens in overeenstemming met de wet worden gebruikt. Je kan SSC-ICT hierop aanspreken.

    SSC-ICT is samen met de afnemer van Plekchecker gezamenlijke verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens van het data-subject. SSC-ICT en de afnemer hebben afspraken gemaakt over de wijze waarop het data-subject wordt geïnformeerd.

  • SSC-ICT mag je persoonsgegevens verwerken omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van SSC-ICT en van de afnemers die in de rijkskantoren het gebruik van Plekchecker mogelijk willen maken.

    Door de invoering van de begrotingswet van het Kabinet-Rutte I is de bezettingsnorm van een rijkskantoor maximaal 0,7. Hierdoor kunnen ambtenaren minder gemakkelijk een werkplek vinden. De werkgever ondersteunt de ambtenaren bij het vinden van een vrije werkplek door het beschikbaar stellen van Plekchecker. Het belang bestaat dan ook uit het inzichtelijk maken van beschikbare werkplekken in de Rijkskantoren en het verbeteren van de werkervaring van ambtenaren.

    Daarnaast is er een belang bij het beveiligen van bovengenoemde informatie. De Plekchecker app kan worden gedownload vanuit de iOS, Android en SSC-ICT app stores. Het e-mailadres van de gebruiker wordt vervolgens gecontroleerd door middel van een authenticatieproces. Zo wordt voorkomen dat de bezetting van een rijkskantoor inzichtelijk wordt gemaakt voor onbevoegden.

  • Voor locaties waar dit van toepassing is, ontvangt Lone Rooftop gepseudonimiseerde gegevens die door de wifi-accesspoints worden ontvangen. Zij analyseren deze gegevens om een nauwkeurige locatiebepaling te kunnen realiseren. Deze gegevens worden vanuit het netwerk van SSC-ICT over een beveiligde verbinding automatisch geüpload in een cloudomgeving van Amazon in Ierland.

  • Op grond van de AVG mag SSC-ICT jouw persoonsgegevens niet langer bewaren dan nodig is voor het bereiken van het doel waarvoor je gegevens zijn verzameld. Na verloop van de bewaartermijn worden je gegevens vernietigd of geanonimiseerd.

    Voor de verwerking van de gegevens van de gebruiker en het data-subject is het logbeleid van SSC-ICT bepalend, waarin de bewaartermijn op zes maanden vastgesteld staat. Dit beleid sluit aan bij de Baseline Informatiebeveiliging Rijksdienst (BIR).