top of page

Beleid—AVG-gegevensbeschermingsbeleid

 

U moet dit beleid lezen omdat het belangrijke informatie bevat over:

 

  • de gegevensbeschermingsprincipes waaraan het Kantoor moet voldoen;

  • wat wordt bedoeld met persoonlijke informatie (of gegevens) en gevoelige persoonlijke informatie (of gegevens);

  • hoe we persoonlijke informatie en gevoelige persoonlijke informatie verzamelen, gebruiken en (uiteindelijk) verwijderen in overeenstemming met de principes voor gegevensbescherming;

  • waar meer gedetailleerde privacy-informatie kan worden gevonden, bijvoorbeeld over de persoonlijke informatie die we over u verzamelen en gebruiken, hoe deze wordt gebruikt, opgeslagen en overgedragen, voor welke doeleinden, de stappen die zijn genomen om die informatie veilig te houden en hoe lang deze wordt bewaard;

  • uw rechten en plichten met betrekking tot gegevensbescherming; en

  • de gevolgen van het niet naleven van dit beleid.

 

  1. Invoering

 

  1. Het bedrijf verkrijgt, bewaart en gebruikt persoonlijke informatie (ook wel gegevens genoemd) over sollicitanten en over huidige en voormalige werknemers, uitzendkrachten en uitzendkrachten, aannemers, stagiaires, vrijwilligers en leerlingen voor een aantal specifieke wettige doeleinden, zoals uiteengezet in de Privacyverklaringen inzake gegevensbescherming van het bedrijf met betrekking tot werving en tewerkstelling.

 

  1. Dit beleid zet uiteen hoe we voldoen aan onze verplichtingen inzake gegevensbescherming en hoe we persoonlijke informatie met betrekking tot ons personeel proberen te beschermen. Het doel is ook om ervoor te zorgen dat het personeel de regels begrijpt en naleeft die gelden voor het verzamelen, gebruiken en verwijderen van persoonlijke informatie waartoe zij tijdens hun werk toegang hebben.

 

  1. We doen er alles aan om te voldoen aan onze verplichtingen op het gebied van gegevensbescherming en om beknopt, duidelijk en transparant te zijn over hoe we persoonlijke informatie met betrekking tot ons personeel verkrijgen en gebruiken, en hoe (en wanneer) we die informatie verwijderen zodra deze niet langer nodig is.

 

  1. De functionaris voor gegevensbescherming van het kantoor is verantwoordelijk voor het informeren en adviseren van het kantoor en zijn personeel over zijn verplichtingen inzake gegevensbescherming, en voor het toezicht op de naleving van die verplichtingen en van het beleid van het kantoor. Als u vragen of opmerkingen heeft over de inhoud van dit beleid of als u meer informatie nodig heeft, kunt u contact opnemen met de functionaris voor gegevensbescherming via e-mail:dpo@confirmsend.co.

 

  1. Domein

 

  1. Dit beleid is van toepassing op de persoonlijke gegevens van sollicitanten en huidig en voormalig personeel, waaronder werknemers, uitzendkrachten, uitzendkrachten, stagiaires, vrijwilligers en leerlingen.

 

  1. Medewerkers dienen de Privacyverklaring inzake gegevensbescherming van de Firma te raadplegen en, indien van toepassing, haar andere relevante beleidslijnen, waaronder met betrekking tot internet, e-mail en communicatie, monitoring, sociale media, informatiebeveiliging, gegevensbewaring en strafbladinformatie, die verdere informatie bevatten over de bescherming van persoonsgegevens in die contexten.

 

  1. We zullen dit beleid regelmatig herzien en bijwerken in overeenstemming met onze verplichtingen inzake gegevensbescherming. Het maakt geen deel uit van de arbeidsovereenkomst van een werknemer en we kunnen het van tijd tot tijd wijzigen, bijwerken of aanvullen. We zullen elk nieuw of gewijzigd beleid onder het personeel verspreiden voordat het wordt aangenomen.

 

  1. Definities

 

  1. Strafregistergegevens

betekent persoonlijke informatie met betrekking tot strafrechtelijke veroordelingen en overtredingen, beschuldigingen, procedures en gerelateerde veiligheidsmaatregelen;

 

  1. Gegevenslek

betekent een inbreuk op de beveiliging die leidt tot de onbedoelde of onwettige vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van of toegang tot persoonlijke informatie;

 

  1. Betrokkene

betekent de persoon op wie de persoonlijke informatie betrekking heeft;

 

  1. Persoonlijke informatie

(soms bekend als persoonlijke gegevens) betekent informatie met betrekking tot een persoon die (direct of indirect) kan worden geïdentificeerd aan de hand van die informatie;

 

  1. Informatie verwerken

betekent het verkrijgen, vastleggen, ordenen, opslaan, wijzigen, opvragen, openbaar maken en/of vernietigen van informatie, of het gebruiken of er iets mee doen;

 

  1. Gepseudonimiseerd

betekent het proces waarbij persoonsgegevens zodanig worden verwerkt dat ze niet kunnen worden gebruikt om een persoon te identificeren zonder het gebruik van aanvullende informatie, die afzonderlijk wordt bewaard en onderworpen is aan technische en organisatorische maatregelen om ervoor te zorgen dat de persoonsgegevens niet kunnen worden toegeschreven aan een identificeerbaar individu;

 

  1. Gevoelige persoonlijke informatie

(soms bekend als 'bijzondere categorieën van persoonsgegevens' of 'gevoelige persoonsgegevens') betekent persoonlijke informatie over iemands ras, etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap (of niet-lidmaatschap), genetische informatie, biometrische informatie (indien gebruikt om een persoon te identificeren) en informatie over iemands gezondheid, seksleven of seksuele geaardheid.

 

  1. Principes voor gegevensbescherming

 

  1. Het bedrijf zal de volgende gegevensbeschermingsprincipes naleven bij het verwerken van persoonlijke informatie:

 

  1. we zullen persoonlijke informatie rechtmatig, eerlijk en op een transparante manier verwerken;

 

  1. we zullen persoonlijke informatie alleen verzamelen voor specifieke, expliciete en legitieme doeleinden en zullen deze niet verwerken op een manier die onverenigbaar is met die legitieme doeleinden;

 

  1. we zullen alleen de persoonlijke informatie verwerken die adequaat, relevant en noodzakelijk is voor de relevante doeleinden;

 

  1. we zullen nauwkeurige en actuele persoonlijke informatie bewaren en redelijke stappen ondernemen om ervoor te zorgen dat onjuiste persoonlijke informatie onverwijld wordt verwijderd of gecorrigeerd;

 

  1. we zullen persoonlijke informatie niet langer bewaren in een vorm die identificatie van betrokkenen mogelijk maakt dan nodig is voor de doeleinden waarvoor de informatie wordt verwerkt; en

 

  1. we zullen passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat persoonlijke informatie veilig wordt bewaard en beschermd tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

 

  1. Grondslag voor het verwerken van persoonsgegevens

 

  1. Met betrekking tot elke verwerkingsactiviteit zullen we, voordat de verwerking voor de eerste keer begint, en daarna regelmatig terwijl deze doorgaat:

 

  1. de doeleinden van de specifieke verwerkingsactiviteit beoordelen en de meest geschikte rechtsgrond (of rechtsgronden) voor die verwerking selecteren, namelijk:

 

  1. dat de betrokkene toestemming heeft gegeven voor de verwerking;

 

  1. dat de verwerking noodzakelijk is voor de uitvoering van een contract waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het aangaan van een contract;

 

  1. dat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan het Kantoor is onderworpen;

 

  1. dat de verwerking noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of een andere natuurlijke persoon;

 

  1. dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang

 

  1. dat de verwerking noodzakelijk is voor de behartiging van de legitieme belangen van het Bedrijf of een derde partij, behalve wanneer die belangen worden overschreven door de belangen van de fundamentele rechten en vrijheden van de betrokkene - zie clausule 5.2 hieronder.

 

  1. behalve wanneer de verwerking is gebaseerd op toestemming, ons ervan vergewissen dat de verwerking noodzakelijk is voor het doel van de relevante wettelijke basis (dwz dat er geen andere redelijke manier is om dat doel te bereiken);

 

  1. onze beslissing documenteren over welke wettelijke basis van toepassing is, om te helpen aantonen dat we voldoen aan de principes voor gegevensbescherming;

 

 

  1. informatie opnemen over zowel de doeleinden van de verwerking als de wettelijke basis ervoor in onze relevante privacyverklaring(en);

 

  1. wanneer gevoelige persoonlijke informatie wordt verwerkt, ook een wettelijke bijzondere voorwaarde voor het verwerken van die informatie identificeren (zie paragraaf 6.2.2 hieronder) en dit documenteren; en

 

  1. indien informatie over strafbare feiten wordt verwerkt, ook een wettige voorwaarde voor het verwerken van die informatie vaststellen en documenteren.

 

  1. Bij het bepalen of de legitieme belangen van het bedrijf de meest geschikte basis zijn voor rechtmatige verwerking, zullen we:

 

  1. een beoordeling van het gerechtvaardigd belang (LIA) uitvoeren en bijhouden, om ervoor te zorgen dat we onze beslissing kunnen rechtvaardigen;

 

  1. als de LIA een significante impact op de privacy identificeert, overweeg dan of we ook een gegevensbeschermingseffectbeoordeling (DPIA) moeten uitvoeren

 

  1. de LIA onder de loep nemen en herhalen als de omstandigheden veranderen; en

 

  1. informatie over onze legitieme belangen opnemen in onze relevante privacyverklaring(en).

 

  1. Gevoelige persoonlijke informatie

 

  1. Gevoelige persoonsgegevens worden ook wel 'bijzondere categorieën persoonsgegevens' of 'gevoelige persoonsgegevens' genoemd.

 

  1. Het bedrijf kan van tijd tot tijd gevoelige persoonlijke informatie moeten verwerken. We zullen alleen gevoelige persoonlijke informatie verwerken als:

 

  1. we een wettelijke basis hebben om dit te doen zoals uiteengezet in paragraaf 5.1.1 hierboven, het is bijvoorbeeld noodzakelijk voor de uitvoering van de arbeidsovereenkomst, om te voldoen aan de wettelijke verplichtingen van het Bedrijf of voor de behartiging van de legitieme belangen van het Bedrijf; en

 

  1. een van de bijzondere voorwaarden voor het verwerken van gevoelige persoonsgegevens van toepassing is, bijvoorbeeld:

 

  1. de betrokkene heeft uitdrukkelijk toestemming gegeven;

 

  1. de verwerking is noodzakelijk voor de uitoefening van de arbeidsrechtelijke rechten of verplichtingen van het Kantoor of de betrokkene;

 

  1. de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene en de betrokkene is fysiek niet in staat toestemming te geven;

 

  1. de verwerking heeft betrekking op persoonsgegevens die door de betrokkene kennelijk openbaar zijn gemaakt;

 

  1. de verwerking is noodzakelijk voor het instellen, uitoefenen of verdedigen van rechtsvorderingen; of

 

  1. de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang.

 

  1. Alvorens gevoelige persoonlijke informatie te verwerken, moet het personeel de functionaris voor gegevensbescherming op de hoogte stellen van de voorgestelde verwerking, zodat de functionaris voor gegevensbescherming kan beoordelen of de verwerking voldoet aan de bovengenoemde criteria.

 

  1. Gevoelige persoonsgegevens worden niet verwerkt totdat:

 

  1. de in paragraaf 6.3 bedoelde beoordeling heeft plaatsgevonden; en

 

  1. de betrokkene is naar behoren geïnformeerd (door middel van een privacyverklaring of anderszins) over de aard van de verwerking, de doeleinden waarvoor deze wordt uitgevoerd en de rechtsgrond daarvoor.

 

  1. Het bedrijf zal geen geautomatiseerde besluitvorming uitvoeren (inclusief profilering) op basis van de gevoelige persoonlijke informatie van een individu.

 

  1. De privacyverklaring van het bedrijf inzake gegevensbescherming beschrijft de soorten gevoelige persoonlijke informatie die het bedrijf verwerkt, waarvoor deze wordt gebruikt en de wettelijke basis voor de verwerking.

 

  1. Met betrekking tot gevoelige persoonlijke informatie zal het Bedrijf voldoen aan de procedures uiteengezet in paragrafen 6.8 en 6.9 hieronder om ervoor te zorgen dat het voldoet aan de gegevensbeschermingsbeginselen uiteengezet in paragraaf 4 hierboven.

 

  1. Tijdens het wervingsproces: de functionaris-manager zal, onder begeleiding van de functionaris voor gegevensbescherming, ervoor zorgen dat (tenzij de wet anders toestaat):

 

  1. tijdens de shortlist-, interview- en besluitvormingsfasen worden geen vragen gesteld met betrekking tot gevoelige persoonlijke informatie, bijvoorbeeld ras of etnische afkomst, lidmaatschap van een vakbond of gezondheid;

 

  1. als gevoelige persoonlijke informatie wordt ontvangen, bijvoorbeeld de sollicitant verstrekt deze ongevraagd in zijn of haar cv of tijdens het interview, wordt er geen verslag van bijgehouden en wordt elke verwijzing daarnaar onmiddellijk verwijderd of geredigeerd

 

  1. elk ingevuld monitoringformulier voor gelijke kansen wordt gescheiden gehouden van het sollicitatieformulier van de persoon en wordt niet gezien door de persoon die op de shortlist staat, het sollicitatiegesprek voert of de aanwervingsbeslissing neemt;

 

  1. 'recht op werk'-controles worden uitgevoerd voordat een arbeidsaanbod onvoorwaardelijk wordt gedaan, en niet tijdens de eerdere shortlist-, sollicitatie- of besluitvormingsfasen;

 

  1. we zullen geen gezondheidsvragen stellen in verband met werving of pas gezondheidsvragen stellen nadat een dienstverband is aangeboden.

 

  1. Tijdens het dienstverband: de Office Manager verwerkt onder begeleiding van de Functionaris Gegevensbescherming:

 

  1. gezondheidsinformatie ten behoeve van het administreren van ziekengeld, het bijhouden van ziekteverzuimregistraties, het monitoren van de aanwezigheid van personeel en het faciliteren van arbeidsgerelateerde gezondheids- en ziekte-uitkeringen;

 

  1. gevoelige persoonlijke informatie ten behoeve van monitoring van gelijke kansen en rapportage over gelijke behandeling. Waar mogelijk wordt deze informatie geanonimiseerd; en

 

  1. vakbondslidmaatschapsgegevens ten behoeve van de personeelsadministratie en het administreren van 'afvinken'.

 

 

  1. Gegevens uit het strafregister

 

  1. Strafregistergegevens worden verwerkt in overeenstemming met het Strafregisterinformatiebeleid van het bedrijf.

 

  1. Gegevensbeschermingseffectbeoordelingen (DPIA's)

 

  1. Wanneer de verwerking waarschijnlijk zal leiden tot een hoog risico voor de gegevensbeschermingsrechten van een persoon (bijv. wanneer het bedrijf van plan is een nieuwe vorm van technologie te gebruiken), zullen we, voordat we met de verwerking beginnen, een DPIA uitvoeren om te beoordelen:

 

  1. of de verwerking noodzakelijk en evenredig is in verhouding tot het doel ervan;

 

  1. de risico's voor individuen; en

 

  1. welke maatregelen kunnen worden genomen om die risico's aan te pakken en persoonlijke informatie te beschermen.

 

  1. Voordat een nieuwe vorm van technologie wordt geïntroduceerd, dient de verantwoordelijke manager daarom contact op te nemen met de functionaris voor gegevensbescherming, zodat een DPIA kan worden uitgevoerd.

 

  1. Tijdens een DPIA zal de Partner het advies inwinnen van de functionaris voor gegevensbescherming en de standpunten van en alle andere relevante belanghebbenden.

 

  1. Documentatie en verslagen

 

  1. We houden schriftelijke registers bij van verwerkingsactiviteiten die een hoog risico inhouden, dat wil zeggen die kunnen resulteren in een risico voor de rechten en vrijheden van individuen of waarbij gevoelige persoonlijke informatie of strafregisterinformatie betrokken is, waaronder:

 

  1. de naam en gegevens van de werkgeversorganisatie (en indien van toepassing, van andere verwerkingsverantwoordelijken, de vertegenwoordiger van de werkgever en de functionaris voor gegevensbescherming)

 

  1. de doeleinden van de verwerking;

 

  1. een omschrijving van de categorieën van personen en categorieën van persoonsgegevens;

 

  1. categorieën van ontvangers van persoonsgegevens;

 

  1. indien van toepassing, bijzonderheden over doorgiften naar derde landen, met inbegrip van documentatie van de toegepaste waarborgen voor het doorgiftemechanisme;

 

  1. waar mogelijk, bewaarschema's; en

 

  1. waar mogelijk een beschrijving van technische en organisatorische beveiligingsmaatregelen.

 

  1. Als onderdeel van ons register van verwerkingsactiviteiten documenteren we, of linken we naar documentatie, over:

 

  1. informatie die nodig is voor privacyverklaringen;

 

  1. verslagen van toestemming;

 

  1. verwerkingsverantwoordelijke-verwerkerscontracten;

 

  1. de locatie van persoonlijke informatie;

 

  1. DPIA's; en

 

  1. registers van datalekken.

 

  1. Als we gevoelige persoonlijke informatie of informatie uit het strafregister verwerken, houden we schriftelijke gegevens bij van:

 

  1. het (de) relevante doel(en) waarvoor de verwerking plaatsvindt, met inbegrip van (waar nodig waarom het voor dat doel noodzakelijk is;

 

  1. de wettelijke basis voor onze verwerking; en

 

  1. of we de persoonlijke informatie bewaren en wissen in overeenstemming met ons beleidsdocument en, zo niet, de redenen om ons beleid niet te volgen.

 

  1. We zullen de persoonlijke informatie die we verwerken regelmatig beoordelen en onze documentatie dienovereenkomstig bijwerken. Dit kan zijn:

 

  1. het uitvoeren van informatie-audits om erachter te komen welke persoonlijke informatie het kantoor bezit;

 

  1. het verspreiden van vragenlijsten en het praten met medewerkers van het hele bedrijf om een vollediger beeld te krijgen van onze verwerkingsactiviteiten; en

 

  1. het herzien van ons beleid, onze procedures, contracten en overeenkomsten om zaken als retentie, beveiliging en het delen van gegevens aan te pakken.

 

  1. Privacyverklaring

 

  1. Het bedrijf zal van tijd tot tijd privacyverklaringen uitgeven, waarin we u informeren over de persoonlijke informatie die we over u verzamelen en bewaren, hoe u kunt verwachten dat uw persoonlijke informatie wordt gebruikt en voor welke doeleinden.

 

  1. We zullen passende maatregelen nemen om informatie in privacyverklaringen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal, te verstrekken.

 

  1. Individuele rechten

 

  1. U (net als andere betrokkenen) heeft de volgende rechten met betrekking tot uw persoonsgegevens:

 

  1. om geïnformeerd te worden over hoe, waarom en op welke basis die informatie wordt verwerkt - zie de privacyverklaring van het bedrijf inzake gegevensbescherming;

 

  1. om bevestiging te krijgen dat uw informatie wordt verwerkt en om er toegang toe te krijgen en tot bepaalde andere informatie, door een toegangsverzoek in te dienen - zie het Beleid inzake toegangsverzoeken voor subjecten van het bedrijf;

 

  1. gegevens te laten corrigeren als deze onjuist of onvolledig zijn;

 

  1. gegevens te laten wissen als ze niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk zijn verzameld/verwerkt, of als er geen doorslaggevende legitieme gronden zijn voor de verwerking (dit wordt ook wel 'het recht om vergeten te worden' genoemd);

 

  1. om de verwerking van persoonlijke informatie te beperken wanneer de juistheid van de informatie wordt betwist, of de verwerking onwettig is (maar u niet wilt dat de gegevens worden gewist), of wanneer de werkgever de persoonlijke informatie niet langer nodig heeft, maar u de gegevens nodig heeft een rechtsvordering instellen, uitoefenen of verdedigen; en

 

  1. om de verwerking van persoonlijke informatie tijdelijk te beperken wanneer u denkt dat deze niet juist is (en de werkgever verifieert of deze juist is), of wanneer u bezwaar hebt gemaakt tegen de verwerking (en de werkgever overweegt of de legitieme gronden van de organisatie zwaarder wegen dan uw belangen ).

 

  1. Als u een van de rechten in paragrafen 11.1.3 tot 11.1.6 wilt uitoefenen, neem dan contact op met de functionaris voor gegevensbescherming.

 

  1. Individuele verplichtingen

 

  1. Individuen zijn verantwoordelijk voor het helpen van het bedrijf om hun persoonlijke informatie up-to-date te houden. U dient Office Manager te informeren als de gegevens die u aan het Kantoor heeft verstrekt wijzigen, bijvoorbeeld als u verhuist of gegevens wijzigt van de bank- of hypotheekrekening waarop u wordt uitbetaald.

 

  1. U hebt mogelijk toegang tot de persoonlijke informatie van andere personeelsleden, leveranciers en klanten van het bedrijf tijdens uw dienstverband of opdracht. Als dat het geval is, verwacht het bedrijf dat u helpt om te voldoen aan zijn verplichtingen inzake gegevensbescherming jegens die personen. U dient zich er bijvoorbeeld van bewust te zijn dat zij ook de rechten kunnen genieten die zijn uiteengezet in paragraaf 11.1 hierboven

 

 

  1. Als u toegang heeft tot persoonlijke informatie, moet u:

 

  1. alleen toegang krijgen tot de persoonlijke informatie waartoe u bevoegd bent, en alleen voor geautoriseerde doeleinden;

 

  1. andere medewerkers van het Kantoor alleen toegang geven tot persoonsgegevens als zij over de juiste autorisatie beschikken;

 

  1. personen die geen personeel van Firm zijn alleen toegang geven tot persoonlijke informatie als u hiervoor specifieke toestemming hebt gekregen van de functionaris voor gegevensbescherming;

 

  1. persoonlijke informatie veilig houden (bijv. door te voldoen aan regels voor toegang tot gebouwen, computertoegang, wachtwoordbeveiliging en veilige opslag en vernietiging van bestanden en andere voorzorgsmaatregelen uiteengezet in het informatiebeveiligingsbeleid van het bedrijf;

 

  1. geen persoonlijke informatie, of apparaten die persoonlijke informatie bevatten (of die kunnen worden gebruikt om er toegang toe te krijgen), niet verwijderen uit de bedrijfsruimten, tenzij passende veiligheidsmaatregelen zijn getroffen (zoals pseudonimisering, codering of wachtwoordbeveiliging) om de informatie en het apparaat te beveiligen; en

 

  1. geen persoonlijke informatie opslaan op lokale schijven of op persoonlijke apparaten die voor werkdoeleinden worden gebruikt;

 

  1. U dient contact op te nemen met de functionaris voor gegevensbescherming als u zich zorgen maakt of vermoedt dat een van de volgende gebeurtenissen heeft plaatsgevonden (of plaatsvindt of waarschijnlijk zal plaatsvinden):

 

  1. verwerking van persoonsgegevens zonder rechtmatige grondslag voor verwerking of, in het geval van gevoelige persoonsgegevens, zonder dat aan een van de voorwaarden in paragraaf 6.2.2 is voldaan;

 

  1. een datalek zoals uiteengezet in paragraaf 15.1 hieronder;

 

  1. toegang tot persoonlijke informatie zonder de juiste autorisatie;

 

  1. persoonlijke informatie niet veilig bewaard of verwijderd;

 

  1. verwijdering van persoonlijke informatie, of apparaten die persoonlijke informatie bevatten (of die kunnen worden gebruikt om er toegang toe te krijgen), uit de bedrijfsruimten zonder dat er passende veiligheidsmaatregelen zijn getroffen;

 

  1. elke andere schending van dit beleid of van een van de gegevensbeschermingsprincipes uiteengezet in paragraaf 4.1 hierboven.

 

  1. Informatiebeveiliging

 

  1. Het Bedrijf zal passende technische en organisatorische maatregelen nemen in overeenstemming met het Informatiebeveiligingsbeleid van het Bedrijf om persoonlijke informatie veilig te houden, en in het bijzonder om te beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze kunnen zijn:

 

  1. ervoor zorgen dat, waar mogelijk, persoonlijke informatie wordt gepseudonimiseerd of versleuteld;

 

  1. het waarborgen van de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten;

 

  1. ervoor te zorgen dat, in het geval van een fysiek of technisch incident, de beschikbaarheid van en toegang tot persoonlijke informatie tijdig kan worden hersteld; en

 

  1. een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

 

  1. Wanneer het bedrijf externe organisaties gebruikt om namens het bedrijf persoonlijke informatie te verwerken, moeten aanvullende beveiligingsregelingen worden geïmplementeerd in contracten met die organisaties om de veiligheid van persoonlijke informatie te waarborgen. In het bijzonder moeten contracten met externe organisaties bepalen dat:

 

  1. de organisatie mag alleen handelen op schriftelijke instructies van het Kantoor;

 

  1. degenen die de gegevens verwerken, hebben een geheimhoudingsplicht;

 

  1. passende maatregelen worden genomen om de beveiliging van de verwerking te waarborgen;

 

  1. onderaannemers worden alleen ingeschakeld met voorafgaande toestemming van het Kantoor en op basis van een schriftelijk contract;

 

  1. de organisatie zal het Bedrijf helpen bij het verlenen van toegang aan betrokkenen en het toestaan van individuen om hun rechten met betrekking tot gegevensbescherming uit te oefenen;

 

  1. de organisatie helpt het Kantoor bij het nakomen van zijn verplichtingen met betrekking tot de beveiliging van de verwerking, de melding van datalekken en gegevensbeschermingseffectbeoordelingen;

 

  1. de organisatie zal alle persoonlijke informatie verwijderen of teruggeven aan het kantoor zoals gevraagd aan het einde van het contract; en

 

  1. de organisatie zal zich onderwerpen aan audits en inspecties, het kantoor voorzien van alle informatie die het nodig heeft om ervoor te zorgen dat ze allebei voldoen aan hun verplichtingen inzake gegevensbescherming, en het kantoor onmiddellijk informeren als het gevraagd wordt iets te doen dat in strijd is met de wetgeving inzake gegevensbescherming.

 

  1. Voordat een nieuwe overeenkomst wordt aangegaan met betrekking tot de verwerking van persoonsgegevens door een externe organisatie, of een bestaande overeenkomst wordt gewijzigd, moet het relevante personeel goedkeuring van de voorwaarden vragen aan de functionaris voor gegevensbescherming;

 

  1. Opslag en bewaring van persoonlijke informatie

 

  1. Persoonlijke informatie (en gevoelige persoonlijke informatie) wordt veilig bewaard in overeenstemming met het informatiebeveiligingsbeleid van het bedrijf.

 

  1. Persoonlijke informatie (en gevoelige persoonlijke informatie) mag niet langer worden bewaard dan nodig is. Hoe lang de gegevens moeten worden bewaard, hangt af van de omstandigheden, inclusief de redenen waarom de persoonlijke informatie is verkregen. Medewerkers dienen het bewaarbeleid van het bedrijf te volgen, waarin de relevante bewaartermijn wordt uiteengezet, of de criteria die moeten worden gebruikt om de bewaartermijn te bepalen. In geval van onduidelijkheid dient het personeel [de functionaris voor gegevensbescherming;

 

  1. Persoonlijke informatie (en gevoelige persoonlijke informatie) die niet langer nodig is, wordt permanent uit onze informatiesystemen verwijderd en eventuele papieren exemplaren worden veilig vernietigd.

 

  1. Datalekken

 

  1. Een datalek kan veel verschillende vormen aannemen, bijvoorbeeld:

 

  1. verlies of diefstal van gegevens of apparatuur waarop persoonsgegevens zijn opgeslagen;

 

  1. ongeoorloofde toegang tot of gebruik van persoonlijke informatie door een personeelslid of derde partij;

 

  1. verlies van gegevens als gevolg van een storing in apparatuur of systemen (inclusief hardware en software);

 

  1. menselijke fout, zoals het per ongeluk verwijderen of wijzigen van gegevens;

 

  1. onvoorziene omstandigheden, zoals brand of overstroming;

 

  1. opzettelijke aanvallen op IT-systemen, zoals hacking, virussen of phishing; en

 

  1. 'blagging'-misdrijven, waarbij informatie wordt verkregen door de organisatie die de informatie bezit te misleiden.

 

  1. Het bedrijf zal:

 

  1. de vereiste melding van een datalek zonder onnodige vertraging en, waar mogelijk binnen 72 uur nadat u hiervan op de hoogte bent gekomen, aan de Information Commissioner's Office te melden, als het waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van individuen; en

 

  1. de betrokken personen op de hoogte stellen als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden met zich meebrengt en melding wettelijk verplicht is.

 

  1. Internationale overschrijvingen

 

  1. Het bedrijf kan persoonlijke informatie overdragen buiten de Europese Economische Ruimte (EER) (die de landen van de Europese Unie en IJsland, Liechtenstein en Noorwegen omvat) op basis van het feit dat dat land, gebied of organisatie is aangewezen als een land, gebied of organisatie met een passend beschermingsniveau of dat de organisatie die de informatie ontvangt, voldoende waarborgen heeft geboden door middel van bindende bedrijfsregels of standaardbepalingen inzake gegevensbescherming of door naleving van een goedgekeurde gedragscode, of met de uitdrukkelijke toestemming van de klant.

 

  1. Opleiding

 

  1. Het bedrijf zal ervoor zorgen dat het personeel voldoende is opgeleid met betrekking tot hun verantwoordelijkheden op het gebied van gegevensbescherming. Personen wiens rol regelmatige toegang tot persoonlijke informatie vereist, of die verantwoordelijk zijn voor het implementeren van dit beleid of het reageren op toegangsverzoeken van betrokkenen onder dit beleid, zullen aanvullende training krijgen om hen te helpen hun plichten te begrijpen en eraan te voldoen.

 

  1. Gevolgen van het niet nakomen

 

  1. Het bedrijf neemt de naleving van dit beleid zeer serieus. Het niet naleven van het beleid:

 

  1. brengt de personen van wie persoonlijke informatie wordt verwerkt in gevaar; en

 

  1. het risico met zich meebrengt van aanzienlijke civielrechtelijke en strafrechtelijke sancties voor het individu en het Bedrijf; en

 

  1. kan in sommige omstandigheden neerkomen op een strafbaar feit door het individu.

 

  1. Vanwege het belang van dit beleid kan het niet naleven door een werknemer van een vereiste ervan leiden tot disciplinaire maatregelen volgens onze procedures, en deze actie kan leiden tot ontslag wegens grove wangedrag. Als een niet-werknemer dit beleid schendt, kan zijn contract met onmiddellijke ingang worden beëindigd.

 

  1. Als u vragen of opmerkingen heeft over iets in dit beleid, aarzel dan niet om contact op te nemen met de functionaris voor gegevensbescherming;

 

 

 

Ik heb dit beleid gelezen en begrepen en ga akkoord met de voorwaarden ervan.

 

Ondertekend................................................. ................................................... .

bottom of page