Binnen Brandness wordt gewerkt met persoonsgegevens van cliënten, medewerkers en (samenwerkings)partners. Persoonsgegevens worden voornamelijk verzameld bij cliënten voor het goed uitvoeren van de met hen gesloten overeenkomst. De cliënt moet erop kunnen vertrouwen dat wij zorgvuldig en veilig met de persoonsgegevens omgaan.
Uitgangspunten
Wij gaan op een veilige manier met persoonsgegevens om en respecteren de privacy van betrokkenen. Wij houden ons hierbij aan de volgende uitgangspunten:
Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Grondslag en doelbinding
Wij zorgen ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.
Dataminimalisatie
Wij verwerken alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Wij streven naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om onze taken goed uit te kunnen voeren of om wettelijke verplichtingen te kunnen naleven.
Integriteit en vertrouwelijkheid
Wij gaan zorgvuldig om met persoonsgegevens en behandelen deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgen wij voor passende beveiliging van persoonsgegevens.
Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maken wij afspraken over de eisen waar de gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet.
Rechten van betrokkenen
Wij honoreren alle rechten van betrokkenen en stellen betrokken in staat deze rechten uit te oefenen.
Beleid
In dit beleid laten wij zien op welke manier wij omgaan met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is. Wij zijn verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.
Artikel 1: Begripsbepalingen
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Verstrekken van persoonsgegevens: het bekendmaken of ter beschikking stellen van persoonsgegevens die in de registratie(s) zijn opgenomen of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen.
Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die alleen, of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke in de zin van dit beleid zijn wij.
Verwerker: degene die ten behoeve van ons persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen
Gebruiker: enig persoon die, onder gezag van ons, gemachtigd is persoonsgegevens te verwerken, dan wel van enigerlei uitvoer van de verwerking kennis te nemen.
Beheerder: degene die ten behoeve van de verantwoordelijke is belast met de dagelijkse zorg voor het beheer van de gegevensverwerking.
Betrokkene: degene op wie een persoonsgegeven betrekking heeft.
Derde: ieder ander dan de betrokkene, de verantwoordelijke, de gebruiker of de bewerker.
Ontvanger: degene aan wie persoonsgegevens worden verstrekt.
Toestemming van de betrokkene: elke vrije, specifieke en op adequate informatie berustende wilsuiting van de betrokkene waarmee deze aanvaardt dat op hem/haar betrekking hebbende persoonsgegevens worden verwerkt.
Autoriteit: de Autoriteit Persoonsgegevens, de organisatie die tot taak heeft toe te zien op de verwerking van persoonsgegevens conform de geldende wet- en regelgeving
Artikel 2: Toepassingsgebied
Dit beleid is van toepassing op elke al dan niet geautomatiseerde verwerking van persoonsgegevens alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin opgenomen te worden.
Voor ons gaat het om de volgende registraties:
- Voor- en achternaam;
- Geslacht;
- Geboortedatum;
- Geboorteplaats;
- Adresgegevens;
- Telefoonnummer;
- E-mailadres;
- IP-adres;
- Overige persoonsgegevens die u actief verstrekt in correspondentie en telefonisch;
- Gegevens over uw activiteiten op onze website;
- Gegevens over uw surfgedrag over verschillende websites heen (bijvoorbeeld omdat dit bedrijf onderdeel is van een advertentienetwerk).
Artikel 3: Doel van de gegevensverwerking
Wij verwerken persoonsgegevens ten behoeve van:
a) Verzenden van onze nieuwsbrief en/of reclamefolder;
b) U te kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren;
c) U te informeren over wijzigingen van onze diensten en producten;
d) Om onze diensten te kunnen leveren;
e) Wij analyseren uw gedrag op de website om daarmee de website te verbeteren en het aanbod van producten en diensten af te stemmen op uw voorkeuren;
f) Wij volgen uw surfgedrag over verschillende websites waarmee wij onze producten en diensten afstemmen op uw behoefte;
g) Wij verwerken ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor onze administratie en/of belastingaangifte.
h) de uitvoering van de arbeidsovereenkomsten met onze medewerkers;
i) de uitvoering van de wettelijke taken op ons van toepassing zijn (zoals de Belastingwet, Arbowet, Wet verbeterde Poortwachter, etc.).
Artikel 4: Voorwaarden voor rechtmatige verwerking
4.1 Wij dragen er zorg voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.
4.2 De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een (arbeids)overeenkomst tot geheimhouding zijn verplicht.
4.3 Persoonsgegevens worden verwerkt voor de in artikel 3 beschreven doeleinden en worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen.
4.4 Persoonsgegevens worden verwerkt indien:
a) betrokkene voor de verwerking expliciet zijn toestemming heeft verleend, of;
b) de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarin betrokkene partij is, of voor precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijke zijn voor het sluiten van een overeenkomst, of;
c) de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen, waaraan wij onderworpen zijn, of;
d) de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of;
e) de gegevensverwerking noodzakelijk is voor het behartigen van ons gerechtvaardigde belang of dat van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
4.5 Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doelen beschreven in artikel 3, toereikend, ter zake dienend en niet bovenmatig zijn.
4.6 Wij bewaren geheimhouding over de persoonsgegevens waarvan wij kennis nemen, behoudens voor zover enig wettelijk voorschrift ons tot mededeling verplicht of uit onze taak een verplichting tot mededeling voortvloeit.
4.7 Wij verwerken geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging.
4.8 Het vorige lid is niet van toepassing voor zover:
a) dit geschiedt met schriftelijke toestemming van betrokkene, of:
b) de gegevens door betrokkene openbaar zijn gemaakt en hierbij toestemming is gegeven voor verder verwerking, of:
c) dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of:
d) dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende maatregelen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel de Autoriteit ontheffing heeft verleend. De Autoriteit kan bij de verlening van ontheffing beperkingen en voorschriften opleggen.
4.9 Persoonsgegevens als bedoeld in artikel 4.7 mogen verwerkt worden ten behoeve van wetenschappelijk onderzoek of statistiek voor zover:
a) dit onderzoek een algemeen belang dient, of:
b) de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is, of:
c) het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost, of:
d) bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
e) aan de eisen ten aanzien van het uitvoeren van wetenschappelijk onderzoek voldaan wordt.
4.10 Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
Artikel 5: Opgenomen gegevens
5.1 Persoonsgegevens, die door ons worden verwerkt, zijn verzameld door onze medewerkers en verstrekt door de betrokkene.
5.2 De navolgende persoonsgegevens kunnen door ons met inachtneming van het bepaalde in dit reglement worden verwerkt:
- naam en geboortedatum;
- adres en woonplaats;
- geslacht, burgerlijke staat, geboorteland, nationaliteit;
- bedrijf / instelling, afdeling, functie, aard dienstverband, datum in- en uitdiensttreding;
- telefoonnummer;
- e-mailadres;
- IP-adres;
- overige persoonsgegevens die u actief verstrekt in correspondentie en telefonisch;
- gegevens over uw activiteiten op onze website;
- gegevens over uw surfgedrag over verschillende websites heen (bijvoorbeeld omdat dit bedrijf onderdeel is van een advertentienetwerk).
Artikel 6: Toegang tot persoonsgegevens
6.1 De ontvanger en gebruiker hebben toegang tot de persoonsgegevens, hun opvolger heeft toegang indien de betrokkene hiertegen geen bezwaar heeft.
6.2 De beheerder en degenen, die in het kader van een door de gebruiker of beheerder gegeven opdracht werken, hebben toegang voor zover dit voor het gebruik en de verwerking van de gegevens noodzakelijk is.
Artikel 7: Verstrekking van persoonsgegevens
7.1 Met inachtneming van het bij of krachtens de AVG bepaalde worden persoonsgegevens zonder voorafgaande toestemming van de betrokkene verstrekt aan:
a) onze medewerkers en of door ons ingeschakelde derden die direct betrokken zijn bij de actuele dienstverlening aan betrokkene;
b) verwerkers van persoonsgegevens in het kader van de gegeven opdracht, mits deze verwerkers voldoende waarborgen bieden dat de bescherming van de persoonsgegevens plaatsvindt overeenkomstig alle artikelen van dit beleid;
c) instituten ten behoeve van wetenschappelijke of statistische doelen indien en voor zover deze persoonsgegevens geanonimiseerd zijn (dat wil zeggen niet meer herleidbaar tot betrokkenen); en hierbij voldaan is aan de eisen van de AP ten aanzien van anonimisering/ pseudonimisering
7.2 Andere gegevens en gegevens aan anderen dan genoemd in artikel 7.1 worden slechts verstrekt na verkregen toestemming van de betrokkene.
Artikel 8: Informatieverstrekking aan betrokkene
8.1 Indien bij de betrokkene de persoonsgegevens worden verkregen, delen wij voor het moment van verkrijging de betrokkene mede:
- onze identiteit;
- de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene daarvan reeds op de hoogte is.
8.2 Wij verstrekken nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
Artikel 9: Recht op inzage en afschrift van opgenomen persoonsgegevens
9.1 De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens.
9.2 De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt.
9.3 Afschriften van persoonsgegevens worden aan de betrokkene verstrekt tegen de wettelijk vastgestelde kostenvergoedingen.
9.4 Recht op inzage of afschrift kan worden geweigerd als dit noodzakelijk is in het belang van de bescherming van de persoonlijke levenssfeer van een ander.
Artikel 10: Recht op afscherming, aanvulling en correctie van opgenomen persoonsgegevens
10.1 Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens.
10.2 De betrokkene kan verzoeken om correctie of afscherming van op hem betrekking hebbende gegevens indien deze feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend zijn, dan wel in strijd met een wettelijk voorschrift, in de verwerking voorkomen.
10.3 Wij berichten de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot correctie of aanvulling schriftelijk of dan wel in hoeverre wij daaraan kunnen voldoen. Een weigering is met redenen omkleed.
10.4 Wij zorgen ervoor dat een beslissing tot correctie zo spoedig mogelijk wordt uitgevoerd.
Artikel 11: Recht op vernietiging van opgenomen persoonsgegevens
11.1 De betrokkene kan schriftelijk verzoeken om vernietiging van op hem betrekking hebbende gegevens. Indien de bewaring van aanmerkelijk belang is voor een ander dan betrokkene of indien er een wettelijke plicht tot bewaring van de gegevens geldt, worden de gegevens niet vernietigd.
11.2 Wij berichten de verzoeker binnen vier weken na ontvangst van het schriftelijk verzoek tot verwijdering of vernietiging schriftelijk of dan wel in hoeverre wij daaraan kunnen voldoen. Een weigering is met redenen omkleed.
11.3 Wij verwijderen of vernietigen de gegevens binnen een maand na een daartoe strekkend verzoek van de betrokkene, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is.
Artikel 12: Recht van verzet tegen de verwerking van persoonsgegevens
12.1 Indien gegevens het voorwerp zijn van verwerking op grond van artikel 4.4 onder e, kan de betrokkene daartegen te allen tijde verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.
12.2 Wij beoordelen binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is, beëindigen wij terstond de verwerking.
12.3 De verantwoordelijke kan voor het in behandeling nemen van een verzet een kostenvergoeding vragen. De vergoeding wordt teruggegeven in het geval het verzet gegrond wordt bevonden.
Artikel 13: Kennisgeving van verwerking van persoonsgegevens
Wij maken (door het plaatsen van een privacy statement op onze website) het volgende bekend aan de betrokkenen:
- het bestaan van het bestand bevattende persoonsgegevens;
- het doel van de verwerking van persoonsgegevens;
- het bestaan van dit beleid voor het beheer en verwerking van persoonsgegevens;
- de wijze, waarop van de inhoud van dit beleid kennis kan worden genomen.
Artikel 14: Klachten
14.1 Indien een betrokkene of belanghebbende van mening is dat wij handelen in strijd met het bepaalde in dit beleid, kan via erwin@brandness.nl schriftelijk een met redenen omklede klacht worden ingediend.
14.2 Na indiening van een klacht wordt door ons of door een door ons gemachtigd persoon, een met redenen omklede beslissing genomen over de klacht. Deze beslissing wordt aan de betreffende belanghebbende toegezonden.
14.3 De betreffende belanghebbende kan zich ook wenden tot de Autoriteit met het verzoek te bemiddelen of te adviseren in het geschil en kan ook daar een klacht indienen.
Artikel 15: Bewaartermijnen
15.1 Met inachtneming van wettelijke voorschriften stellen wij vast hoe lang en op welke wijze de persoonsgegevens bewaard blijven.
15.2 Wij bewaren uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. Wij hanteren de volgende bewaartermijnen voor de volgende (categorieën) van persoonsgegevens:
- Personalia > Bewaartermijn > Reden
- Adres > Bewaartermijn > Reden
- Enzovoort > Bewaartermijn > Reden
15.3 Indien de bewaartermijn is verstreken, worden de persoonsgegevens binnen een jaar uit het bestand verwijderd en vernietigd.
Artikel 16: Beveiliging van gegevens
16.1 Wij treffen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
16.2 Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de ten uitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. Deze maatregelen kunnen echter niet garanderen dat er nooit enige inbreuk plaats kan vinden.
16.3 Wij treffen voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen persoonsgegevens van betrokkenen.
16.4 Toegang tot gegevens in applicaties wordt geregeld door middel van het toekennen en beheren van autorisaties.
16.5 Papieren dossiers zijn opgeborgen in afsluitbare kast en/of ruimtes.
Artikel 17 Afhandelen incidenten en de Meldplicht datalekken
Wij conformeren ons aan de meldplicht datalekken zoals deze in de beleidsregels van de meldplicht zijn beschreven. Er is een interne procedure aanwezig voor het afhandelen van incidenten. Deze procedure is vastgelegd in ons protocol datalekken. Wij treffen maatregelen om de AP en betrokkenen te informeren indien dit in het kader van de meldplicht aan de orde is.
Artikel 18: Overdracht van persoonsgegevens
18.1 Indien de bestanden worden overgedragen aan een andere verantwoordelijke, blijven de in dit beleid gestelde regels van toepassing.
18.2 Overdracht van persoonsgegevens aan een andere verantwoordelijke zal slechts plaatsvinden indien dat in overeenstemming is met de wet dan wel nadere specifieke eisen gesteld door de Autoriteit Persoonsgegevens.
