Plan een cursus
Plan een gesprek

Privacybeleid

Click here for the English privacy policy

 

Artikel 1 - Identiteit en toepassingsbereik

1.1 Verwerkingsverantwoordelijke(n)

Dit privacy beleid is van toepassing op alle verwerkingen van persoonsgegevens door of namens de volgende rechtspersonen:

  • ’t Web Bedrijfsopleidingen B.V.
  • ’t Web Intern Transport B.V.
  • Alle overige door ’t Web in het leven geroepen of nog op te richten rechtspersonen.

Zeppelinstraat 7, 7903 BR Hoogeveen | Tel.: 0528 280 888 | E-mail: info@tweb.nl

1.2 Privacyverantwoordelijke

’t Web heeft geen wettelijke verplichting tot het aanstellen van een Functionaris voor Gegevensbescherming (FG) conform artikel 37 AVG. Als dienstverlener met minder dan 250 medewerkers zonder grootschalige of systematische verwerking van bijzondere persoonsgegevens, is een FG niet verplicht.

’t Web heeft intern een privacyverantwoordelijke aangewezen die toeziet op de naleving van dit beleid en fungeert als aanspreekpunt voor betrokkenen en de Autoriteit Persoonsgegevens. De privacyverantwoordelijke is bereikbaar via n.martens@tweb.nl.

1.3 Toepassingsbereik

Dit beleid is van toepassing op alle medewerkers, inhuurkrachten en stagiaires, op alle systemen en processen waarbij persoonsgegevens worden verwerkt, en op alle verwerkers die namens ‘t Web optreden

Artikel 2 - beginselen en grondslagen (AVG art. 5 en 6)

2.1 Beginselen van verwerking (art. 5 AVG)

  • Rechtmatigheid, behoorlijkheid en transparantie voor de betrokkene (lid 1 sub a);
  • Doelbinding: geen verwerking voor onverenigbare doelen (lid 1 sub b);
  • Dataminimalisatie: uitsluitend gegevens die noodzakelijk zijn voor het doel (lid 1 sub c);
  • Juistheid: onjuiste gegevens worden onverwijld gecorrigeerd of gewist (lid 1 sub d);
  • Opslagbeperking: niet langer bewaren dan noodzakelijk (lid 1 sub e);
  • Integriteit en vertrouwelijkheid: passende technische en organisatorische beveiliging (lid 1 sub f);
  • Verantwoordingsplicht (accountability): aantoonbare naleving van alle beginselen (lid 2).

2.2 Rechtsgrondslagen voor verwerking

Verwerking vindt uitsluitend plaats op basis van een van de volgende grondslagen (art. 6 AVG):

  • Toestemming van de betrokkene (lid 1 sub a) – expliciet, vrij, specifiek en aantoonbaar vastgelegd;
  • Verwerking noodzakelijk voor de uitvoering van een overeenkomst (lid 1 sub b);
  • Noodzakelijk om te voldoen aan wettelijke verplichting (lid 1 sub c);
  • Noodzakelijk om vitale belangen te beschermen (lid 1 sub d);
  • Algemeen belang of openbaar gezag (lid 1 sub e);
  • Gerechtvaardigd belang van de verwerkingsverantwoordelijke of derde (lid 1 sub f) – na gedocumenteerde legitimate interest assessment (LIA).
Artikel 3 - Verwerkingsactiviteiten en doeleinden

3.1 Verwerkingsregister (art. 30 AVG)

‘t Web houdt een intern verwerkingsregister bij conform artikel 30 AVG. Overzicht van de voornaamste verwerkingsactiviteiten:

Verwerkingsactiviteit

Doel

Rechtsgrond (AVG)

Bewaartermijn

Inschrijving opleiding/cursus

Uitvoering overeenkomst, certificering

Art. 6 lid 1 sub b

7 jaar (fiscaal)

Klant- en relatiebeheer (CRM)

Dienstverlening, communicatie

Art. 6 lid 1 sub b

5 jaar na laatste contact

Personeelsadministratie

HR, loon, wettelijke verplichtingen

Art. 6 lid 1 b en c

7 jaar na uitdiensttreding

Nieuwsbrief en marketing

Commerciële communicatie

Art. 6 lid 1 sub a – toestemming

Tot intrekking toestemming

Websitebezoek/cookies

Analytics, optimalisatie

Art. 6 lid 1 sub a/f

Max. 13 maanden

Subsidie- en financieringsaanvragen

Wettelijke verplichting

Art. 6 lid 1 sub c

10 jaar

Veiligheid en incidentbeheer

Beveiliging, fraudepreventie

Art. 6 lid 1 sub f

1 jaar na afsluiting

 

Het volledige verwerkingsregister is beschikbaar bij de FG en op verzoek inzichtelijk voor de AP.

Artikel 4 - Bijzondere categorieën persoonsgegevens

‘t Web verwerkt in beginsel geen bijzondere categorieën persoonsgegevens (art. 9 AVG). Uitzonderingen zijn uitsluitend toegestaan op basis van:

  • Uitdrukkelijke toestemming van de betrokkene (lid 2 sub a);
  • Noodzakelijk voor de uitvoering van verplichtingen op het gebied van arbeidsrecht of sociale zekerheid (lid 2 sub b);
  • Instelling, uitoefening of onderbouwing van een rechtsvordering (lid 2 sub f).


BSN-nummers worden uitsluitend verwerkt conform de UAVG, met strikte toegangsbeperking en auditlogging.

Artikel 5 - Bewaartermijnen en veilige verwijdering

‘t Web hanteert een gedocumenteerd retentiebeleid. Gegevens worden na afloop van de bewaartermijn veilig verwijderd of geanonimiseerd conform procedure PRO-DD-001.

  • Fiscale administratie: 7 jaar (art. 52 AWR);
  • Arbeidsovereenkomsten en loonadministratie: 7 jaar;
  • Subsidiedocumentatie: 10 jaar of conform subsidieregeling;
  • Beveiligingslogboeken: minimaal 1 jaar, maximaal 3 jaar;
  • Marketingtoestemming: tot intrekking – daarna direct verwijderd.
Artikel 6 - Informatiebeveiliging (ISO 27001/27002, ISO 27018)

6.1 Technische maatregelen

  • Versleuteling in rust (at rest) en tijdens transport (in transit) via TLS 1.2 of hoger;
  • Pseudonimisering waar technisch en organisatorisch uitvoerbaar;
  • Multi-factor authenticatie (MFA) voor toegang tot systemen met persoonsgegevens;
  • Toegangsbeheer op basis van least-privilege en need-to-know;
  • Regelmatige penetratietesten en kwetsbaarheidsscans (minimaal jaarlijks);

6.2 Organisatorische maatregelen

  • Geheimhoudingsverklaringen voor alle medewerkers en inhuurkrachten;
  • Verplichte AVG-bewustzijnstraining bij indiensttreding en jaarlijkse herhalingsmodule;
  • Clean desk en clear screen beleid;
  • Procedure toegangsbeheer bij in- en uitdiensttreding;
Artikel 7 - Verwerkers en doorgifte buiten de EER

7.1 Verwerkersovereenkomsten (art. 28 AVG)

Met alle verwerkers worden schriftelijke verwerkersovereenkomsten gesloten die minimaal bevatten: beschrijving van de verwerking, beveiligingsverplichtingen, auditmogelijkheid, geheimhouding, verbod op ongeautoriseerde sub-verwerkers en een meldplicht datalekken binnen 24 uur.

7.2 Doorgifte buiten de EER

Doorgifte buiten de EER is slechts toegestaan op basis van:

  • Adequaatheidsbesluiten van de Europese Commissie (art. 45 AVG);
  • Passende waarborgen (art. 46 AVG), zoals een modelcontract, een gedragscode, certificering, goedgekeurde standaardcontractbepalingen (SCC’s) of bindende bedrijfsvoorschriften (BCR);
  • Specifieke uitzonderingen (art. 49 AVG).

Een actuele lijst van (sub-)verwerkers inclusief verwerkingslocatie is beschikbaar bij de FG.

Artikel 8 - Rechten van betrokkenen (AVG art. 15-22)

Recht

Toelichting en uitvoering

Inzage (art. 15)

Betrokkene kan kosteloos een inzageverzoek indienen. Wij reageren binnen één maand. Indien het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. De betrokkene wordt hierover binnen één maand geïnformeerd.      

Rectificatie (art. 16)

Betrokkene heeft het recht om onjuiste persoonsgegevens te laten corrigeren en onvolledige persoonsgegevens aan te laten vullen, zonder onredelijke vertraging.

Vergetelheid/gegevenswissing (art. 17)

Betrokkene heeft het recht om persoonsgegevens te laten verwijderen wanneer hiervoor een wettelijke grond bestaat. Verwijdering kan worden geweigerd wanneer een wettelijke bewaarplicht of andere wettelijke grondslag van toepassing is.

Beperking van de verwerking (art. 18)

Betrokkene kan verzoeken om beperking van verwerking van persoonsgegevens wanneer de juistheid van de gegevens wordt betwist, de verwerking onrechtmatig is, de gegevens nodig zijn voor een rechtsvordering of wanneer bezwaar is gemaakt tegen de verwerking.

Overdraagbaarheid van gegevens (art. 20)

Betrokkene heeft het recht om persoonsgegevens te ontvangen in een gestructureerd, gangbaar en machine leesbaar formaat (bijvoorbeeld CSV en JSON), zodat deze kunnen worden overgedragen aan een andere verwerkingsverantwoordelijke of organisatie, zonder daarbij gehinderd te worden.

Bezwaar (art. 21)

Betrokkene kan bezwaar maken tegen de verwerking van persoonsgegevens wanneer deze plaatsvindt op basis van gerechtvaardigd belang of een taak van algemeen belang. Daarnaast kan altijd bezwaar worden gemaakt tegen verwerking voor direct marketing.

Geautomatiseerde besluitvorming (art. 22)

Betrokkene heeft het recht om niet te worden onderworpen aan volledig geautomatiseerde besluitvorming met juridische of vergelijkbare gevolgen, tenzij dit noodzakelijk is voor een overeenkomst, wettelijk is toegestaan of betrokkene hiervoor uitdrukkelijk toestemming heeft gegeven.

Intrekking toestemming (art. 7 lid 3)

Betrokkene heeft het recht de toestemming te allen tijde in te trekken, als verwerking is gebaseerd op toestemming. Het intrekken van toestemming heeft geen gevolgen voor de rechtmatigheid van de verwerking vóór de intrekking. 

 

Verzoeken indienen via n.martens@tweb.nl of per post t.a.v. de FG. Identiteitsverificatie vindt plaats alvorens het verzoek te behandelen.

Artikel 9 - Datalekken en incidentbeheer (art. 33-34 AVG)

9.1 Interne registratie

Alle vermoedelijke datalekken worden onverwijld gemeld bij de FG en geregistreerd in het datalekregister.

9.2 Melding aan de AP (art. 33 AVG)

Indien er sprake is van een datalek dat waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen, wordt dit zonder onredelijke vertraging, en indien mogelijk, binnen 72 uur gemeld bij de bevoegde toezichthoudende autoriteit. De melding bevat: de aard van het datalek, de categorieën en aantallen betrokkenen en persoonsgegevensregisters, de contactgegevens van de FG, de waarschijnlijke gevolgen en de maatregelen die genomen zijn om het datalek te verhelpen.

9.3 Kennisgeving aan betrokkenen (art. 34 AVG)

Wanneer een datalek waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, worden zij zonder onredelijke vertraging geïnformeerd in begrijpelijke taal. Procedure is vastgelegd in PRO-DL-001.

 

Artikel 10 - Cookies en online tracking

De websites van ’t Web maken gebruik van drie categorieën cookies:

  • Functionele/noodzakelijke cookies: vereist voor de werking van de website; geen toestemming nodig;
  • Analytische cookies (geanonimiseerd): inzicht in websitegebruik; expliciete toestemming vereist conform AP-richtsnoeren;
  • Marketing/tracking cookies: gepersonaliseerde communicatie; uitsluitend na expliciete opt-in toestemming.


Bij het eerste bezoek wordt een cookiebanner getoond. Toestemming wordt gelogd via een consent management platform en is te allen tijde intrekbaar. Analytische cookies worden maximaal 13 maanden bewaard.

Artikel 11 - Privacy by Design en Privacy by Default (art. 25 AVG)

‘t Web past Privacy by Design en Privacy by Default toe bij alle nieuwe producten, diensten en processen:

  • Privacyrisico’s worden vroeg in projectontwikkeling geïdentificeerd via een DPIA-drempeltoets;
  • Standaardinstellingen zijn maximaal privacy vriendelijk: minimale dataverzameling, kortste bewaartermijnen;
  • Nieuwe leveranciers ondergaan een vendor risk assessment op AVG-compliance voor ingebruikname;
  • Wijzigingen in verwerkingen worden beoordeeld op de noodzaak van een volledige DPIA.
Artikel 12 – Data Protection Impact Assessment (art. 35 AVG)

Voor verwerkingen met een hoog privacy risico voert ‘t Web een DPIA uit. Dit is in ieder geval vereist bij:

  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van personen, waaronder profilering, met rechtsgevolgen of vergelijkbare significante gevolgen voor de betrokkene;
  • Grootschalige verwerking van bijzondere categorieën persoonsgegevens;
  • Systematische monitoring van openbaar toegankelijke ruimten op grote schaal;
  • Verwerking waarbij nieuwe technologieën worden toegepast en die waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen opleveren;
  • Verwerkingen die voorkomen op de AP-lijst van verwerking waarvoor een DPIA verplicht is.


DPIA-rapporten worden bewaard en periodiek herbeoordeeld. Bij resterend hoog risico na mitigatie wordt de AP vooraf geraadpleegd conform art. 36 AVG.  

Artikel 13 - Transparantie en communicatie (art. 13-14 AVG)

‘t Web informeert betrokkenen op transparante en begrijpelijke wijze over de verwerking van hun persoonsgegevens, conform artikelen 13 en 14 AVG. Deze informatie wordt verstrekt bij het verzamelen van de persoonsgegevens of, als de gegevens niet rechtstreeks bij de betrokkene zijn verkregen, binnen een redelijke termijn daarna. De informatie wordt beschikbaar gesteld via privacy verklaringen, opt-in teksten, contracten en via www.tweb.nl/privacybeleid.

Artikel 14 - Implementatie, handhaving en training

14.1 Interne communicatie en implementatie

Dit beleid is intern gecommuniceerd via het medewerkers intranet en is opgenomen in het personeelshandboek en arbeidsovereenkomsten. Medewerkers volgen bij indiensttreding een verplichte AVG-bewustzijnstraining en nemen jaarlijks deel aan herhalingsmodules. Hiermee geeft ’t Web invulling aan de organisatorische maatregelen en verantwoordingsplicht zoals is bedoel in de AVG.

14.2 Gedocumenteerde procedures

  • PRO-DL-001: Datalekprocedure
  • PRO-VW-001: Beheer verwerkersovereenkomsten
  • PRO-CO-001: Cookiebeheer en consent management


14.3 Handhaving

Overtreding van dit beleid kan leiden tot disciplinaire maatregelen. Ernstige of structurele overtredingen worden gemeld bij de FG en zo nodig bij de AP.

Artikel 15 - Klachten en toezicht

Betrokkenen met een klacht kunnen:

  • Schriftelijk contact opnemen met de info@tweb.nl
  • Juridische stappen ondernemen bij de bevoegde rechtbank.


‘t Web behandelt klachten binnen 4 weken en verstrekt altijd een schriftelijke, gemotiveerde reactie.

Artikel 16 - Wijzigingen en versiebeheer

Dit privacy beleid wordt minimaal jaarlijks herzien. Wezenlijke wijzigingen worden gecommuniceerd via de website en per e-mail.

Versie

Datum

Omschrijving

01.2018

16-02-2018

Initiele versie

01.2026

Februari 2026

Volledige herziening: AVG-compliance, FG-aanstelling, verwerkingsregister art. 30, DPIA-procedure, ISO 27001/27002/27018, NOREA/CoBIT integratie, uitgebreide rechten betrokkenen, cookiebeleid, datalekprocedure, gedocumenteerde procedures PRO-DD/DL/BR/VW/CO/DP/AU.

Contactgegevens

Organisatie

’t Web (alle gelieerde entiteiten)

Adres

Zeppelinstraat 7, 7903 BR Hoogeveen

Telefoon

0528 280 888

Algemeen e-mail

info@tweb.nl

Website privacy

www.tweb.nl/privacybeleid

Autoriteit Persoonsgegevens

www.autoriteitpersoonsgegevens.nl | 0900 2001 201