Privacy Statement

Inleiding
Voor het leveren van onze dienstverlening maken wij gebruik van uw persoonsgegevens. Deze persoonsgegevens ontvangen wij van u, bijvoorbeeld via onze website, e-mail of telefoon. Daarnaast kunnen wij uw persoonsgegevens in het kader van onze dienstverlening verkrijgen via derden. Met deze privacyverklaring informeren wij u over hoe wij met deze persoonsgegevens omgaan.

Verwerking van persoonsgegevens en doeleinden
Indien wij persoonsgegevens verwerken geschiedt dit conform de eisen die de Algemene Verordening Gegevensbescherming (AVG) en de aanpalende wet- en regelgeving daaraan stelt. Welke persoonsgegevens wij verwerken hangt af van de te leveren dienst en omstandigheden. Veelal gaat het om de volgende gegevens:

  • NAW-gegevens;
  • Titel en/of functie;
  • Geboortedatum en geboorteplaats;
  • Contactgegevens (e-mailadressen, telefoonnummers;
  • Burgerservicenummer (alleen indien nodig);
  • Kopie ID-bewijzen;
  • Leeftijd;
  • Bankrekeningnummer;
  • Financiële gegevens (zowel zakelijk als privé);

Doelen van en grondslagen voor de verwerking
In een aantal gevallen verwerken wij de persoonsgegevens om te kunnen voldoen aan een wettelijke verplichting, maar meestal doen wij dat om uitvoering te kunnen geven aan onze dienstverlening. Sommige gegevens worden vastgelegd om praktische of efficiencyredenen, waarvan we er van uit (mogen) gaan dat die ook in uw belang zijn, zoals:

  • Communicatie en informatievoorziening;
  • Het op zo efficiënt mogelijke wijze kunnen verlenen van onze dienstverlening;
  • De verbetering van onze diensten;
  • Facturering en incasso

Bovenstaande betekent concreet ook dat wij u persoonsgegevens gebruiken om u te berichten over onze diensten, als wij daarvan denken dat deze voor u van belang kunnen zijn.

In voorkomende gevallen kan het zijn dat wij persoonsgegevens om andere dan bovenstaande redenen willen verwerken en dat we u daar expliciet toestemming voor zullen vragen. Wanneer wij persoonsgegevens die wij mogen verwerken op basis van uw toestemming ooit voor andere of meer doelen willen verwerken, zullen wij u daar dan eerst opnieuw toestemming voor vragen.

Verwerkingsregister
Allerlei aspecten rond de diverse persoonsgegevens die onze organisatie verwerkt, worden door ons vastgelegd in een ‘verwerkingsregister van persoonsgegevens’. Hierin is in kaart gebracht welke categorieën persoonsgegevens van verschillende categorieën van betrokkenen die wij verwerken om diverse redenen/ voor diverse doelen. Doordat wij door middel van dit verwerkingsregister een goed beeld hebben van de vastleggingen/verwerkingen van alle persoonsgegevens, hebben wij ook helder welke risico’s er rond de bescherming van die persoonsgegevens bestaan. Daardoor kan duidelijk  worden bepaald en gemonitord of de technische en organisatorische maatregelen (nog) afdoende zijn c.q. of er nog aanvullend maatregelen moeten worden getroffen. Secundair doel van het verwerkingsregister is dat aan belanghebbenden (betrokkenen, verwerkingsverantwoordelijken, toezichthouders, etc.)  verantwoording kan worden afgelegd over het adequaat omgaan met persoonsgegevens.

Verwerkersovereenkomst en privacyverklaring
In situaties waarin wij zijn aan te merken als verwerker, zullen wij onze verantwoordelijkheden naar de verwerkingsverantwoordelijke bevestigen c.q. met de verwerkingsverantwoordelijke overeenkomen via een verwerkersovereenkomst.

Voor situaties waarin wij zijn aan te merken als verwerkingsverantwoordelijke hebben we de kern van ons beleid en de voorschriften vanuit de AVG waaraan wij ons houden, vastgelegd in deze privacyverklaring.

Verstrekking aan derden
In het kader van onze dienstverlening kunnen wij gebruikmaken van diensten van derden, bijvoorbeeld als deze derden over specialistische kennis of middelen beschikken, die wij niet in huis hebben. Dit kunnen zogenaamde verwerkers of subverwerkers zijn, die op basis van uw exacte opdracht de persoonsgegevens zullen verwerken. Andere derden die weliswaar strikt genomen geen verwerker zijn van de persoonsgegevens maar daar wel inzage in hebben of kunnen hebben, zijn bijvoorbeeld onze systeembeheerder, leveranciers of hostingpartijen van online-software, of adviseurs wiens advies wij betreffende uw opdracht inwinnen. Als het inschakelen van derden tot gevolg heeft dat zij toegang hebben tot de persoonsgegevens of die zij zelf vastleggen en/of anderszins bewerken, zullen wij met die derden (schriftelijk) overeenkomen dat zij alle verplichtingen van de AVG zullen naleven. Uiteraard zullen wij alleen derden inschakelen van wie wij kunnen en mogen uitgaan dat zij betrouwbare partijen zijn die adequaat met persoonsgegevens omgaan en overigens de AVG kunnen en zullen naleven. Dit houdt onder meer in dat deze derden uw persoonsgegevens slechts mogen verwerken voor de hiervoor genoemde doeleinden.

Uiteraard kan het ook zo zijn dat wij uw persoonsgegevens aan derden moeten verstrekken in verband met een wettelijke verplichting.

Wij zullen in geen enkel geval uw persoonsgegevens zonder uw expliciete toestemming aan derden verstrekken voor commerciële of goede doelen.

Bewaartermijnen
Wij zullen uw persoonsgegevens niet langer verwerken dan nuttig is voor het doel waarvoor deze zijn verstrekt (zie hiervoor de paragraaf ‘Doelen van en grondslagen voor de verwerking’). Dit betekent dat uw persoonsgegevens bewaard worden zolang deze nodig zijn om de betreffende doelen te bereiken. Bepaalde gegevens moeten langer bewaard worden (veelal 7 jaren), omdat wij ons moeten houden aan wettelijke bewaarplichten (bijvoorbeeld de fiscale bewaarplicht) of in verband met voorschriften vanuit onze beroepsvereniging.

ICT en beveiliging
Wij hebben voor de bescherming van de persoonsgegevens passende organisatorische en technische maatregelen getroffen voor zover die in redelijkheid van ons kunnen worden verlangd, rekening houdend met het te beschermen belang, de stand van de techniek en de kosten van de relevante beveiligingsmaatregelen.

Wij verplichten onze medewerkers en eventueel derden die noodzakelijkerwijs toegang hebben tot de persoonsgegevens tot geheimhouding. Verder dragen wij er zorg voor dat onze medewerkers overigens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij afdoende bekend zijn met de verantwoordelijkheden en verplichtingen van de AVG. Indien u hier prijs op stelt, lichten wij u graag verder in over hoe wij de bescherming van de persoonsgegevens hebben vormgegeven.

Onze ICT-structuur wordt afdoende beveiligd met een firewall en de virusscansoftware wordt up-to-date gehouden.  Elke medewerker heeft een inlogprofiel. Bij het opstarten van een computer moeten de medewerkers een inlognaam en een wachtwoord invoeren. Ook vraagt bepaalde programmatuur om een inlognaam en wachtwoord. Het bewustzijn bij medewerkers betreffende veilig werken wordt gestimuleerd, zoals het vragen van aandacht voor het niet openen van verdachte e-mails, het niet klikken op verdachte links, bij het langdurig verlaten werkplek uitloggen, enzovoorts.

Elke nacht wordt er een back-up gemaakt van de bestanden. Om veiligheidsredenen is de verdere bewaarprocedure rond de back-up vertrouwelijk. Wij hebben een servicecontract afgesloten met L’Comp Automatiseringen te Landsmeer.

Digitale communicatie
Mede onder invloed van de AVG zal de komende periode naar verwachting een verschuiving zichtbaar zijn van de relatief onveilige digitale communicatie via standaard e-mailoplossingen en gratis diensten als Wetransfer en Dropbox naar meer geavanceerde en beveiligde oplossing zoals e-mailen met encryptie, werken met specifieke websites en andere applicaties met beveiligde communicatiefuncties en (overigens) het werken met een portalfunctionaliteit. Hoewel er op dit gebied al veel mogelijk is, is veilige digitale communicatie nog een relatief onbekend gebied, zelfs bij sommige ICT-beheerders. Het is zeer wenselijk om op dit gebied advies in te winnen en rond digitale communicatie een veiligheidsbeleid te formuleren/vorm te geven en uiteraard te implementeren.

Uw rechten
U heeft recht op inzage, rectificatie of verwijdering van de persoonsgegeven die wij van u hebben (behoudens uiteraard wanneer dit wettelijke niet is toegestaan). Verder kunt u bezwaar maken tegen de verwerking van uw persoonsgegevens (of een deel hiervan) door ons of door een van onze verwerkers. Ook heeft u het recht de door u verstrekte gegevens door ons te laten overdragen aan uzelf of direct aan een andere partij indien u dit wenst.

Incidenten met persoonsgegevens
Als er sprake is van een incident (een zogenaamd datalek) aangaande de betreffende persoonsgegevens dan stellen wij u, behoudens zwaarwegende redenen, daarvan onverwijld op de hoogte indien er concrete kans is op negatieve gevolgen voor uw persoonlijke levenssfeer en de verwezenlijking daarvan. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt of daarover door onze (sub)verwerkers zijn geïnformeerd.

Klachten
Mocht u een klacht hebben over de verwerking van uw persoonsgegevens, dan vragen we u hierover met ons contact op te nemen. Mocht dit niet tot een bevredigende uitkomst leiden, dan heeft altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens; de toezichthoudende autoriteit op het gebied van privacy.

Verwerking binnen de EER
Wij zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, behalve als u hierover met ons andere schriftelijke afspraken overeenkomt. Uitzondering hierop zijn situaties waarin wij contactmomenten via onze website en/of social media pagina’s (zoals Facebook en LinkedIn) in kaart willen brengen. Denk hierbij aan bijvoorbeeld bezoekersaantallen en opgevraagde webpagina’s. Uw gegevens worden door derden buiten de EU opgeslagen wanneer gebruik wordt gemaakt van Google Analytics, LinkedIn of Facebook. Deze partijen zijn ‘EU-VS Privacy Shield’-gecertificeerd, zodat zij zich moeten houden aan de Europese privacyregelgeving. Overigens betreft dit slechts een beperkt aantal gevoelige persoonsgegevens, met name uw IP-adres.

Wijzigingen
Ongetwijfeld zal ons privacybeleid wel eens worden gewijzigd. De meest recente versie van de privacyverklaring is logischerwijs de van toepassing zijnde versie en is te vinden op onze website.

Tot slot
Wij hopen u met deze privacyverklaring een helder beeld te hebben gegeven van ons privacybeleid. Mocht u echter vragen hebben over hoe wij omgaan met persoonsgegevens, dan horen wij dat graag. Eerste aanspreekpunt voor privacyaspecten bij onze organisatie is de heer G.F.L.M. Stouthart, telefoonnummer 020-237 00 00 of via info@waterlandbv.nl.