Inleiding
Tussen alle informatie die cliënten ter beschikking stellen aan ons kantoor om de aan ons gegunde opdrachten uit te kunnen voeren, zitten ook persoonsgegevens. Dat kunnen bijvoorbeeld de gegevens van een ondernemer/eigenaar zijn, of bij een vennootschap de bestuurder daarvan; of gegevens van andere bij de cliënt werkzame medewerkers. Die informatie betreft ofwel direct een natuurlijk persoon, of is naar deze persoon te herleiden. Naast voor de hand liggende gegevens, zoals naam, adres, geboortedatum en -plaats en BSN-nummer is er nog veel meer informatie naar een persoon te herleiden, zoals telefoonnummers, ziektekostenverzekeringsnummers, kentekengegevens en zelfs IP-adressen. Dat een gegeven soms niet altijd direct exact naar één persoon te herleiden is, maar naar een kleine groep van mensen, maakt daarbij niet uit. Op basis van 2 persoonsgegevens (bijvoorbeeld adres en leeftijd) is de informatie immers mogelijk alsnog naar één persoon te herleiden.
Als kantoor hebben wij de verantwoordelijkheid en (dus) de plicht om zorgvuldig met deze gegevens om te gaan, in overeenstemming met de voorschriften uit de Algemene verordening gegevensbescherming, de AVG. In dit onderdeel wordt een aantal aspecten van ons privacybeleid beschreven. Doel van dit beleid is om de organisatorische en technische maatregelen te nemen die in redelijkheid van ons verwacht mogen worden om te waarborgen dat zorgvuldig met de vastgelegde persoonsgegevens wordt omgegaan. De directie van ons kantoor is verantwoordelijk voor het opstellen van het beleid en voor het toezien op de naleving ervan. Van alle medewerkers wordt verwacht dat zij in lijn met dit beleid integer, vertrouwelijk en overigens zorgvuldig met de persoonsgegevens omgaan.
Grondslag en doel
Persoonsgegevens worden voornamelijk verzameld en vastgelegd voor het goed uitvoeren en/of de facturering van de werkzaamheden die wij in opdracht van onze cliënten uitvoeren en verder voor de naleving van eventuele wettelijke verplichtingen. Zie daarnaast ook het kopje ‘Website’ hierna.
Het kan ook zijn dat wij specifiek toestemming hebben van betrokkene(n) om gegevens te bewaren, bijvoorbeeld een potentiële cliënt waar nog geen cliëntrelatie mee bestaat, maar wiens gegevens wij van deze potentiële cliënt met het oog op eventuele toekomstige opdrachten gedurende een bepaalde periode mogen bewaren;
Tot slot kunnen wij persoonsgegevens langer dan strikt noodzakelijk bewaren indien dat wenselijk is in verband met onze aansprakelijkheidspositie (een zogenaamd ‘gerechtvaardigd belang’).
Bewaartermijnen
Persoonsgegevens worden niet langer bewaard dan nodig is. Het gedurende een bepaalde periode bewaren van persoonsgegevens kan nodig zijn om wettelijke verplichtingen te kunnen naleven (bijvoorbeeld in verband met de fiscale bewaarplicht) maar ook om de ontvangen opdracht(en) / werkzaamheden goed te kunnen uitvoeren, inclusief het goed kunnen invullen van onze bredere functie als adviseur. De bewaartermijn kan dus langer zijn dan eventuele wettelijke bewaartermijnen.
Bij incidentele cliënten blijven de contactgegevens en gegevens relevant voor de facturering in ons relatiebeheersysteem staan, zolang het de verwachting is dat zij vaker diensten of producten bij ons zullen afnemen. De betrokkenen worden hierover ingelicht; op hun verzoek verwijderen we de gegevens alsnog.
Tot slot bewaren wij persoonsgegevens van ex-cliënten voor zover en voor zo lang dat nodig is in verband met onze mogelijke aansprakelijkheidspositie.
Website
Op onze website houden wij gegevens bij over de bezoekersaantallen. Verder kunnen bezoekers van onze website als ze een vraag hebben via het betreffende formulier contactgegevens achterlaten. Ook kunnen zij daar aangeven onze nieuwsbrief met nieuws en aanbiedingen te willen ontvangen. Wij zullen de opgegeven contactgegevens uitsluitend gebruiken om contact op te kunnen nemen met de betreffende bezoeker c.q. om desgewenst de nieuwsbrief te kunnen versturen. Ontvangers van de nieuwsbrief kunnen overigens altijd, via de ‘unsubscribe-knop’ onderaan de nieuwsbrief, aangeven de nieuwsbrief niet meer te willen ontvangen.
Rechten van betrokkenen
Op verzoek zullen wij een betrokkene inzage geven in de persoonsgegevens die we van hem/haar vastleggen. In alle gevallen kunnen personen van ons vragen om onjuiste gegevens te corrigeren of de gegevens te verwijderen. Behoudens eventueel wettelijke verplichtingen of een eventueel gerechtvaardigd belang van onze kant zullen we dat dan ook op zo kort mogelijke termijn doen.
ICT en beveiliging
Ons pand is adequaat beveiligd tegen inbraak en er zijn maatregelen om brand te voorkomen of de schade van eventuele brand te beperken.
De Coop & Haegen heeft, rekening houdend met de gesignaleerde mogelijke risico’s, passende technische maatregelen getroffen om de verwerkingen van persoonsgegevens te beveiligen. De software en data zijn beveiligd via firewalls en beschermingssoftware; minimaal dagelijks wordt door het systeem nagegaan of er updates voor deze software beschikbaar zijn, die dan worden geïnstalleerd.
Ook organisatorisch heeft De Coop & Haegen passende maatregelen genomen. Elke medewerker heeft een inlogprofiel. Bij het opstarten van een computer moeten de medewerkers een inlognaam en een wachtwoord invoeren. Ook vraagt bepaalde programmatuur om een inlognaam en wachtwoord.
De toegang van medewerkers tot verschillende programmatuur c.q. gegevens is waar dat nodig of wenselijk is afgestemd op hun functies, taken en verantwoordelijkheden. Gezien de kleinschalige omvang van ons kantoor is het wel zo dat de meeste medewerkers toegang hebben tot de bijna alle applicaties en daarin vaak ook dezelfde bevoegdheden hebben.
Het bewustzijn bij medewerkers betreffende veilig werken wordt gestimuleerd, zoals het vragen van aandacht voor het niet openen van verdachte e-mails, het niet klikken op verdachte links, bij het langdurig verlaten werkplek uitloggen, enzovoorts.
Elke nacht wordt er een back-up gemaakt van de bestanden. Om veiligheidsredenen is de verdere bewaarprocedure rond de back-up vertrouwelijk.
Onze website is voorzien van een SSL-certificaat. Elke nacht wordt (automatisch) gecheckt of er voor de op en rond de website draaiende beveiligings- en andere software updates zijn, die dan (ook weer automatisch) worden geïnstalleerd.
Ons bedrijf heeft een servicecontract afgesloten met onze systeembeheerder.
Inschakelen derden
De Coop & Haegen geeft persoonsgegevens uitsluitend door aan (betrouwbaar te achten) derden wanneer dat wettelijk verplicht is, of omdat dit in het kader van de uitvoering van de aan ons opgedragen werkzaamheden noodzakelijk is en verder bijvoorbeeld indien dit nodig is voor onze bedrijfsvoering; denk aan het verstrekken van gegevens aan een incassobureau of aan een juridisch adviseur indien wij aansprakelijk zijn gesteld.
Uiteraard verstrekt De Coop & Haegen de gegevens alleen aan betrouwbaar te achten adviseurs en doet De Coop & Haegen uitsluitend een beroep op betrouwbare (sub)verwerkers waarvan verwacht mag worden dat zij afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen. Met dergelijke derden worden schriftelijke afspraken gemaakt, waarin wordt overeengekomen dat ook deze derden zich houden aan de relevante wet- en regelgeving.
In geen geval zullen wij de gegevens voor commerciële doeleinden aan derden verstrekken en ook niet aan ‘goede doelen.’
Wanneer wij persoonsgegevens verwerken in een online omgeving zullen wij ook met de betreffende softwareleverancier de nodige afspraken maken. Onder meer zullen wij vaststellen dat de betreffende partij de persoonsgegevens niet naar landen buiten de Europese Unie doorgeeft als die landen niet een privacybeschermingsniveau bieden dat minimaal gelijk is aan het niveau in Nederland.
Verwerkingsregister
Allerlei aspecten rond de diverse persoonsgegevens die onze organisatie verwerkt, worden door ons vastgelegd in een ‘verwerkingsregister van persoonsgegevens’. Hierin is in kaart gebracht welke categorieën persoonsgegevens van verschillende categorieën betrokkenen wij verwerken om diverse redenen/ voor diverse doelen.
Doordat wij door middel van dit verwerkingsregister een goed beeld hebben van de vastleggingen/ verwerkingen van alle persoonsgegevens. hebben wij ook helder welke risico’s er rond de bescherming van die persoonsgegevens bestaan. Zo kan duidelijk worden bepaald en gemonitord of de technische en organisatorische maatregelen (nog) afdoende zijn c.q. of er nog aanvullende maatregelen moeten worden getroffen.
Secundair doel van het verwerkingsregister is dat aan belanghebbenden (betrokkenen, verwerkingsverantwoordelijken, toezichthouders, etc.) verantwoording kan worden afgelegd over het adequaat omgaan met persoonsgegevens.
Incident persoonsgegevens (datalek)
Indien zich een incident voordoet rond de vastgelegde persoonsgegevens wordt de betreffende procedure gevolgd, zie hierna.
Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Het gaat dan om toegang tot – of vernietiging, wijziging of het vrijkomen van – persoonsgegevens zonder dat dit de bedoeling was. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking van gegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming hadden moeten bieden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Maar ook een e-mail aan een verkeerde persoon, of een e-mail aan een groep personen waarbij ten onrechte de geadresseerden zichtbaar (dus niet in de Bcc-balk) zijn opgenomen.
De ernst van een datalek hangt af van:
- de omvang van het lek (het aantal betrokken personen en/of aantal gegevens);
- de aard van de erbij betrokken gegevens (een leeftijd is normaal gesproken minder ernstig dan bijvoorbeeld een BSN-nummer, een foto of gezondheidsgegevens);
- de kans dat een lek ook daadwerkelijk tot schade zal leiden (een onbeveiligde usb-stick in de trein laten liggen is ernstiger dan een beveiligde usb-stick per ongeluk over de rand van een veerboot laten vallen).
Een datalek moet in bepaalde gevallen worden gemeld aan de Autoriteit Persoonsgegevens. Dit is aan de orde wanneer het lek leidt of kan leiden tot een aanzienlijke (kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor zijn of haar persoonlijke levenssfeer.
Verantwoordelijke versus bewerker
De ‘verantwoordelijke voor de betreffende persoonsgegevens’ moet een dergelijke melding doen. In vrijwel alle gevallen is De Coop & Haegen aan te merken als verantwoordelijke voor de gegevens.
In geval van twijfel wie de verantwoordelijke voor de persoonsgegevens is, is het zaak om met de opdrachtgever te overleggen over het datalek, de eventuele melding en wie die gaat doen. Uiteindelijk gaat het er om dát de melding indien nodig wordt gedaan en wie die melding doet is niet cruciaal.
Het lek kan zich hebben voorgedaan bij De Coop & Haegen, maar ook bij een partij waaraan De Coop & Haegen toegang heeft gegeven tot de persoonsgegevens. Bijvoorbeeld omdat we een specialist hebben moeten inschakelen, of denk aan de opslag van gegevens in een datacenter. In de betreffende overeenkomst of door middel van een verwerkersovereenkomst is dan overeengekomen dat de desbetreffende partij ons op de hoogte moet brengen van een eventueel datalek bij hen, zodat De Coop & Haegen – indien en voor zover nodig – verdere actie kan ondernemen.
Binnen onze organisatie moeten alle incidenten rond de beveiliging van persoonsgegevens onmiddellijk worden gemeld aan het bestuur. Omdat een eventuele melding onverwijld en (aan de Autoriteit Persoonsgegevens) zo mogelijk binnen 72 uur moet gebeuren – én omdat het incident schadelijk kan zijn voor personen – moet deze procedure voortvarend en zorgvuldig worden opgepakt.
