Privacybeleid van Van der Kruk Consultancy te Zoetermeer
Van der Kruk Consultancy is zich bewust dat zeer zorgvuldig met persoonsgegevens moet worden omgegaan, zeker wanneer het gaat over bijzondere persoonsgegevens zoals financiële informatie. Daarom heeft Van der Kruk Consultancy dit privacybeleid opgesteld dat in overeenstemming is met de huidige Wet Bescherming Persoonsgegevens alsook met de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt.
1. Begripsbepalingen
In dit reglement wordt verstaan onder:
A. De wet: de Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming;
B. Persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon;
C. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Daaronder wordt in ieder geval verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens;
D. Bestand: elk samenhangend geheel van persoonsgegevens, ongeacht of dit geheel van gegevens bij elkaar of gescheiden van elkaar wordt verzameld, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
E. Verwerkingsverantwoordelijke: natuurlijk persoon of rechtspersoon, een overheidsinstantie of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en de opdracht aan de verwerker verstrekt.
F. Verwerker: degene die niet onder rechtstreeks gezag van de verwerkingsverantwoordelijke staat en ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
G. Onderliggende opdracht: elke tussen verwerkingsverantwoordelijke en verwerker gesloten overeenkomst, bestaand en toekomstig, op grond waarvan de Verwerkingsverantwoordelijke de verwerker een opdracht heeft gegeven een dienst uit te voeren ten behoeve van de verwerkingsverantwoordelijke;
H. Sub-verwerker: partij die voor verwerker bepaalde werkzaamheden verricht die voortvloeien uit de onderliggende opdracht;
I. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;
J. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
K. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende verklaring waarmee de betrokkene toestemming geeft dat persoonsgegevens over hem worden verwerkt;
L. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
M. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
1. Bereik
A. Dit reglement is van toepassing op de gehele of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens binnen Van der Kruk Consultancy die voortvloeien uit de onderliggende Opdracht.
B. Daarnaast is het ook van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
C. Dit reglement is van toepassing op de verwerker c.q. sub-verwerker en heeft betrekking op de verwerkingen van persoonsgegevens van betrokkene.
D. Het doel van het verzamelen en het verwerken van persoonsgegevens is te beschikken over de gegevens die noodzakelijk zijn voor het realiseren van een administratie, Btw-aangifte en jaarrekeningen.
2. Verantwoordelijkheid voor het beheer en aansprakelijkheid
A. Verwerker draagt er zorg voor dat er passende technische en organisatorische maatregelen worden uitgevoerd ter beveiliging tegen enig verlies of enige vorm van onrechtmatige verwerking van gegevens.
B. De verwerker is aansprakelijk voor de schade die of het nadeel dat wordt veroorzaakt door het niet-nakomen van de voorschriften uit de wet of dit reglement. De sub-verwerker is aansprakelijk voor die schade of nadeel, voor zover dat is ontstaan door haar/zijn handelen.
3. Rechtmatige verwerking
A. Persoonsgegevens worden in overeenstemming met de wet en dit reglement op behoorlijke en zorgvuldige wijze verwerkt.
B. Persoonsgegevens worden alleen voor de in dit reglement bedoelde doeleinden verzameld en worden niet verder verwerkt op een manier die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
C. Persoonsgegevens dienen, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend en ter zake dienend te zijn. Er dienen niet meer persoonsgegevens te worden verzameld of verwerkt dan voor het doel van de registratie nodig is.
D. Persoonsgegevens mogen slechts worden verwerkt indien:
- de betrokkene voor de verwerking van de persoonsgegevens zijn/haar ondubbelzinnige toestemming heeft verleend;
- de gegevensverwerking die noodzakelijk is voor de uitvoering van de onderliggende overeenkomst waarbij de verwerkingsverantwoordelijke c.q. betrokkene, partij is.
- de gegevensverwerking noodzakelijk is om een wettelijke verplichting van de verantwoordelijke na te komen;
- de gegevensverwerking noodzakelijk is in verband met een vitaal belang van betrokkene;
- de gegevensverwerking noodzakelijk is met het oog op een belang van de verantwoordelijke of van een derde, tenzij dat belang strijdig is met het belang van degene van wie de gegevens worden verwerkt en dát belang voorgaat.
E. De registratie van het Burgerservicenummer vindt alleen dan plaats wanneer daarvoor een wettelijke basis bestaat en/of dat noodzakelijk is voor verwerker c.q. sub-verwerker.
F. Ieder die handelt onder het gezag van de verwerker, verwerkt alleen persoonsgegevens in opdracht van de verwerker, behalve in geval van afwijkende wettelijke verplichtingen.
G. De gegevens worden alleen verwerkt door personen die uit hoofde van de functie daarmee moeten werken en als zodanig verplicht zijn tot geheimhouding.
4. Verwerking van persoonsgegevens
A. De verwerking vindt plaats door verwerker c.q. sub-verwerker voor zover dat noodzakelijk is voor het uitvoeren van de onderliggende opdracht.
B. De verwerking geschiedt met uitdrukkelijke toestemming van de verwerkingsverantwoordelijke c.q. betrokkene.
5. Bijzondere persoonsgegevens
A. De verwerking van persoonsgegevens over iemands godsdienst of levensovertuiging, ras, financiële situatie et cetera of van strafrechtelijke persoonsgegevens, is verboden. Behalve in die gevallen waarin verwerkingsverantwoordelijke c.q. betrokkene, een uitdrukkelijk toestemming heeft verleend of een wet uitdrukkelijk bepaalt door wie, met welk doel en onder welke voorwaarden dergelijke gegevens wel mogen worden verwerkt.
6. Gegevensverwerving
A. Indien bij van de verwerkingsverantwoordelijke c.q. betrokkene, de persoonsgegevens worden verkregen, deelt de verwerker de betrokkene vóór het moment van verkrijging, het volgende mee:
- haar/zijn identiteit;
- het doel van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene dat doel al kent.
B. De verwerker verstrekt de verwerkingsverantwoordelijke c.q. betrokkene, nadere informatie voor zover dat, gelet op de aard van de gegevens, de omstandigheden waaronder zij zijn verkregen of voor zover er gebruik van wordt gemaakt. Dit om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
C. Het moment waarop dat moet gebeuren is:
- het moment dat de verwerker de gegevens vastlegt of;
- als de verwerker de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken, uiterlijk op het moment van eerste verstrekking aan die derde.
7. Recht op inzage
A. De verwerkingsverantwoordelijke c.q. betrokkene, heeft het recht kennis te nemen van de verwerkte gegevens die op zijn/haar persoon of op de betrokkene, betrekking hebben.
B. De verwerker deelt een ieder op diens verzoek, zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of persoonsgegevens worden verwerkt die haar/hem betreffen.
C. Indien dat het geval is, verstrekt de verwerker de verzoeker desgewenst, zo spoedig mogelijk maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk een volledig overzicht daarvan met informatie over het doel of de doelen van de gegevensverwerking, de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers van de gegevens en de herkomst van de gegevens.
D. De verwerker kan weigeren aan een verzoek te voldoen indien en voor zover dit noodzakelijk is in verband met:
- de opsporing en vervolging van strafbare feiten;
- de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
8. Verstrekking van persoonsgegevens
A. Verstrekking van persoonsgegevens aan een derde geschiedt in beginsel niet anders dan na uitdrukkelijke toestemming van de verwerkingsverantwoordelijke c.q. betrokkene, behoudens een daartoe strekkend wettelijk voorschrift of een noodtoestand.
B. Indien verwerker zonder toestemming van verwerkingsverantwoordelijke c.q. betrokkene, persoonsgegevens aan derden verstrekt, stelt verwerker de verwerkingsverantwoordelijke c.q. betrokkene, daarvan terstond in kennis, tenzij dit gevaar oplevert voor personen en of zaken.
9. Recht op correctie, aanvulling, verwijdering
A. Op schriftelijk verzoek van een betrokkene gaat de verwerker over tot verbetering, aanvulling, verwijdering en/of afscherming van de over de verzoeker verwerkte persoonsgegevens. Dan moet wel duidelijk zijn dat de gegevens feitelijk onjuist zijn, voor het doel van de verwerking onvolledig zijn, niet ter zake dienend zijn of meer omvatten dan voor het doel van de registratie nodig is of in strijd met een wettelijk voorschrift worden verwerkt.
B. De verwerker deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of zij/hij daaraan voldoet. Indien zij/hij daaraan niet of niet geheel wil/kan voldoen, motiveert zij/hij dat.
C. De verwerker draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming binnen 14 werkdagen, en wanneer dit redelijkerwijs niet mogelijk blijkt anders zo spoedig mogelijk, wordt uitgevoerd.
10. Bewaren van gegevens
A. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de realisatie van de doelen waarvoor zij worden verzameld en/of vervolgens worden bewerkt.
B. De verwerker stelt in principe vast hoelang de opgenomen persoonsgegevens bewaard blijven waarbij de wettelijke bepalingen in acht worden genomen.
C. Indien de bewaartermijn van de persoonsgegevens is verstreken of de betrokkene een verzoek doet tot verwijdering vóór het verstrijken van de bewaartermijn, worden de desbetreffende gegevens binnen een termijn van drie maanden verwijderd.
D. Verwijdering blijft echter achterwege wanneer redelijkerwijs is aan te nemen dat:
- het bewaren van groot belang is voor een ander dan de betrokkene;
- het bewaren op grond van een wettelijk voorschrift vereist is.
11. Klachtenregeling
A. Indien de verwerkingsverantwoordelijke c.q. betrokkene, van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan zij/hij zich richten tot:
- verwerker;
- het College Bescherming Persoonsgegevens met het verzoek te bemiddelen en te adviseren in het geschil tussen de betrokkene en de verantwoordelijke.
12. Wijzigingen inwerkingtreding en afschrift
A. Wijzigingen in dit reglement worden aangebracht door verwerker.
B. De wijzigingen in het reglement zijn van kracht vier weken, nadat ze bekend zijn gemaakt aan betrokkenen
C. Dit reglement is per 1 mei 2018 in werking getreden.
D. Dit reglement is geplaatst op de site van Van der Kruk Consultancy en kan bij de verwerker worden ingezien. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.
13. Onvoorzien
In gevallen waarin dit reglement niet voorziet, beslist de verwerker in overleg de verwerkingsverantwoordelijke c.q. betrokkene, met inachtneming van het bepaalde in de wet en het doel en de strekking van dit reglement.