Data Protection Policy

AESC Data Protection Policy

 

1. Doel

Dit privacybeleid regelt het beleid van de onderneming inzake de bescherming van persoonsgegevens van betrokkenen zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG), ingetreden op 25 mei 2018. Dit beleid gaat over de manier waarop we met persoonsgegevens moeten omgaan en het beschrijft de maatregelen die worden genomen voor de beveiliging van de gegevens.

  2. Toepasselijkheid

Dit beleid is van toepassing op alle medewerkers van AESC en op alle personen die persoonsgegevens verwerken van betrokkenen, die zich bevinden in de Europese Unie (EU).

 3. Beleid

Beleidsverklaring

Dagelijks ontvangt, gebruikt en bewaart ons bedrijf persoonsgegevens van onze (potentiële) klanten, leveranciers, zakenrelaties en collega’s. Het is belangrijk dat deze informatie rechtmatig en op de juiste wijze wordt behandeld in overeenstemming met de vereisten van de AVG.

Wij nemen onze taken op het gebied van gegevensbescherming uiterst serieus, omdat we het vertrouwen respecteren dat in ons is gesteld om uw persoonlijke informatie op de juiste en verantwoorde wijze te gebruiken.

 Beleidsinformatie

Dit beleid, en alle andere documenten waarnaar in dit beleid wordt verwezen, beschrijft de basis waarop wij de persoonsgegevens die wij verzamelen of verwerken zullen verwerken.

Van alle medewerkers wordt verwacht dat zij zich aan dit beleid houden.

 Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens (hetzij elektronisch of op papier opgeslagen) met betrekking tot een persoon die direct of indirect aan de hand van die gegevens (of aan de hand van die gegevens en/of in combinatie met andere informatie waarover wij beschikken) kunnen worden geïdentificeerd.

Verwerking is iedere activiteit die het gebruik van persoonlijke gegevens met zich meebrengt. Dit omvat het verkrijgen, vastleggen of bewaren van de gegevens, het organiseren, wijzigen, opvragen, gebruiken, bekendmaken, wissen of vernietigen van de gegevens. Verwerking omvat ook de overdracht van persoonsgegevens aan derden.

Bijzondere persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Het kan ook gegevens bevatten over strafbare feiten of veroordelingen.

Bijzondere persoonsgegevens mogen alleen onder strikte voorwaarden worden verwerkt of met toestemming van de betrokkene.

 Beginselen van gegevensbescherming

Iedereen die persoonsgegevens verwerkt, moet ervoor zorgen dat de gegevens:

  1. Behoorlijk, rechtmatig en transparant wordt verwerkt;
  2. Verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor een verenigbaar doel (doelbinding);
  3. Toereikend, dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden (minimale gegevensverwerking);
  4. Juist zijn, en waar nodig geactualiseerd (juistheid);
  5. Bewaard worden in een vorm die identificatie niet langer mogelijk maakt dan nodig is voor het beoogde doel (opslagbeperking);
  6. Door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat de gegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid);
  7. Niet worden overgedragen aan personen of organisaties die zich niet binnen de Europese Unie bevinden, zonder adequate bescherming en zonder hiervoor eerst toestemming te hebben gevraagd aan de betrokkene.

 

Eerlijke en legale verwerking

Het doel van de AVG is niet om de verwerking van persoonsgegevens te hinderen, maar om ervoor te zorgen dat deze verwerking eerlijk is en zonder afbreuk te doen aan de rechten van de betrokkenen.

In overeenstemming met de AVG zullen wij alleen persoonsgegevens verwerken wanneer dat vereist is voor een wettelijk doel. De wettelijke doeleinden omvatten (onder andere): de betrokkene toestemming heeft gegeven, de verwerking noodzakelijk is voor de uitvoering van een bepaalde overeenkomst met de betrokkene, voor naleving van een wettelijke verplichting of voor het belang van het bedrijf. Wanneer bijzondere persoonsgegevens worden verwerkt, moet aan aanvullende voorwaarden worden voldaan (zie hiervoor onder ‘’Bijzondere persoonsgegevens’’).

 Verwerking voor beperkte doeleinden

In het kader van onze activiteiten kunnen wij de in bijlage 1 (intern document) vermelde persoonsgegevens verzamelen en verwerken. Dit kunnen gegevens zijn die we rechtstreeks van een betrokkene ontvangen (bijvoorbeeld door formulieren in te vullen of door met ons te corresponderen per post, telefoon, e-mail of anderszins) en gegevens die we van andere bronnen ontvangen (bijvoorbeeld locatiegegevens, zakenpartners, onderaannemers in technische, betalings- en bezorgdiensten, kredietreferentiebureaus en andere).

Wij zullen persoonsgegevens alleen verwerken voor de specifieke doeleinden die in bijlage 1 worden uiteengezet of voor andere doeleinden die specifiek zijn toegestaan door de AVG. Wij zullen de betrokkene van deze doeleinden op de hoogte stellen door een cookiemelding te plaatsen bij het bezoek aan onze website. Wanneer de betrokkene deze cookies niet accepteert, heeft betrokkene geen toegang tot de website.

 Kennisgeving betrokkenen

Als wij persoonsgegevens verzamelen, zullen wij de betrokkenen op de hoogte stellen van de volgende informatie:

  1. Het doel of doeleinden waarvoor wij de persoonsgegevens verwerken, alsmede de wettelijke basis voor deze verwerking;
  2. Het nastreven van gerechtvaardigde belangen van het bedrijf om persoonsgegevens te verwerken;
  3. Indien van toepassing, ontvangers van persoonsgegevens in derde landen of internationale organisaties;
  4. Het feit dat wij van plan zijn om persoonsgegevens door te geven aan een niet-EU-land of een internationale organisatie en de passende waarborgen die van kracht zijn in acht zullen nemen;
  5. Informatie over de periode dat de persoonsgegevens worden opgeslagen of de criteria die worden gebruikt om die periode te bepalen;
  6. Dat betrokkene het recht heeft om ons te verzoeken dat persoonsgegevens worden gerectificeerd, gewist of worden beperkt alsmede het recht om tegen de verwerking bezwaar te maken;
  7. Dat betrokkene het recht heeft op dataportabiliteit;
  8. Dat betrokkene het recht heeft om de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking vóór de intrekking;
  9. Dat betrokkene het recht heeft om een klacht in te dienen bij de toezichthoudende autoriteit. In het geval van de gegevensbescherming is de toezichthoudende autoriteit de Autoriteit Persoonsgegevens;
  10. Andere bronnen waar persoonsgegevens over de betrokkene vandaan komen en of deze afkomstig zijn van publiekelijke toegankelijke bronnen;
  11. Of het verstrekken van de persoonsgegevens een wettelijke of contractuele verplichting is, of de betrokkene verplicht is de persoonsgegevens te verstrekken en de eventuele gevolgen van het niet verstrekken van de gegevens;
  12. Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering en zinvolle informatie, alsmede de betekenis en de beoogde gevolgen van een dergelijke verwerking voor de betrokkene.

Als wij persoonsgegevens van de betrokkene uit een andere bron ontvangen, zullen wij deze informatie zo spoedig mogelijk (naast de informatie over de betreffende categorieën van persoonsgegevens), maar uiterlijk binnen één maand, aan de betrokkene verstrekken.

 

Adequate, relevante en niet-buitensporige verwerking van gegevens

Wij verzamelen alleen persoonsgegevens voor zover dat nodig is voor het specifieke doel dat aan de betrokkene is medegedeeld.

 Juistheid van gegevens

Wij zullen ervoor zorgen dat de persoonsgegevens die wij bewaren accuraat zijn en up-to-date worden gehouden. Wij zullen de juistheid van de persoonlijke gegevens controleren bij het verzamelen van de gegevens en op regelmatige tijdstippen daarna.

Wij zullen alle redelijke maatregelen nemen om onnauwkeurige of verouderde gegevens te vernietigen of aan te passen.

 Tijdige verwerking

Wij zullen de persoonsgegevens van betrokkenen niet langer bewaren dan nodig is voor het doel of de doeleinden waarvoor deze zijn verzameld. Wij zullen alle redelijke maatregelen nemen om alle gegevens die niet meer nodig zijn te vernietigen of te wissen uit onze systemen.

 Verwerking in overeenstemming met de rechten van betrokkenen

Wij verwerken alle persoonsgegevens in overeenstemming met de rechten van de betrokkenen, in het bijzonder het recht op:

  1. Bevestiging of er al dan niet persoonsgegevens van de betrokkene in kwestie worden verwerkt;
  2. Het recht om inzage en toegang te krijgen tot alle gegevens die wij verwerken en in ons bezit hebben;
  3. Het recht op rectificatie, verwijdering of beperking van de persoonsgegevens;
  4. Het recht om een klacht in te dienen bij de toezichthoudende autoriteit. In het geval van de gegevensbescherming is de toezichthoudende instantie de Autoriteit Persoonsgegevens;
  5. Het recht op overdraagbaarheid van de gegevens (dataportabiliteit);
  6. Het recht op bezwaar tegen de verwerking, ook voor ‘’direct marketing’’;
  7. Het recht om in bepaalde omstandigheden niet onderworpen te zijn aan geautomatiseerde besluitvorming, met inbegrip van profilering.

 Gegevensbescherming

Wij zullen passende veiligheidsmaatregelen nemen tegen onwettige of ongeoorloofde verwerking van persoonsgegevens en tegen de toevallige of onwettige vernietiging, beschadiging, verlies, wijziging en ongeoorloofde bekendmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins worden verwerkt.

Wij zullen procedures en technologieën invoeren om de veiligheid van alle persoonsgegevens te waarborgen vanaf het bepalen van de manier voor de verwerking en het verzamelen van de gegevens tot aan het punt van vernietiging.

Persoonsgegevens worden alleen doorgegeven aan een gegevensverwerker als hij ermee instemt deze procedures en beleidslijnen na te leven, of als hij zelf adequate maatregelen treft.

Wij waarborgen de veiligheid van de gegevens door de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens te beschermen, die als volgt worden gedefinieerd:

  1. Vertrouwelijkheid betekent dat alleen personen die bevoegd zijn om de gegevens te gebruiken toegang hebben tot de gegevens;
  2. Integriteit betekent dat de persoonsgegevens nauwkeurig moeten zijn en geschikt moeten zijn voor het doel waarvoor zij worden verwerkt;
  3. Beschikbaarheid betekent dat geautoriseerde gebruikers toegang moeten kunnen krijgen tot de gegevens indien zij deze nodig hebben voor geautoriseerde doeleinden. Persoonlijke gegevens moeten daarom worden opgeslagen op het centrale computersysteem van AESC B.V. in plaats van op afzonderlijke computers.

 Onze veiligheidsprocedures omvatten de volgende punten:

  1. Toegangscontrole: Elke onbekende gebruiker die in de gecontroleerde gebieden wordt gesignaleerd, moet worden gemeld.
  2. Beveiligde, afsluitbare bureaus en kasten: Bureaus en kasten dienen te worden afgesloten te worden als ze vertrouwelijke informatie bevatten, van welke aard dan ook. (Persoonlijke informatie wordt altijd als vertrouwelijk beschouwd).
  3. Minimale gegevensverwerking: Gegevens die niet noodzakelijk of irrelevant zijn voor de beoogde doeleinden mogen niet worden verzameld en zullen daarom buiten bereik worden gelaten.
  4. Pseudonimisering en versleuteling van de gegevens: Persoonsgegevens worden op een zodanige wijze verwerkt dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld.
  5. Manieren van verwijdering: Papieren documenten moeten worden versnipperd. Digitale opslagapparaten moeten fysiek worden vernietigd wanneer ze niet langer nodig zijn.
  6. Apparatuur: Het personeel moet ervoor zorgen dat individuele monitoren geen vertrouwelijke informatie aan voorbijgangers tonen en dat zij zich van hun computer afmelden wanneer deze onbeheerd wordt achtergelaten.

 Toegangsverzoeken

Als een persoon toegang wil hebben tot zijn persoonlijke gegevens, moet hij een formeel verzoek indienen om informatie die wij over hem in ons bezit hebben in handen te krijgen. Een medewerker die dit verzoek ontvangt, moet dit verzoek onmiddellijk doorsturen naar de proceseigenaar.

Bij telefonische verzoeken zullen wij alleen persoonlijke gegevens die wij op onze systemen bewaren aan deze persoon verstrekken als aan de volgende voorwaarden is voldaan:

  1. Wij controleren de identiteit van de beller om er zeker van te zijn dat de informatie alleen wordt gegeven aan een persoon die er recht op heeft.
  2. Wij raden de beller aan zijn verzoek schriftelijk in te dienen als wij niet zeker zijn van de identiteit van de beller en waar zijn identiteit niet kan worden gecontroleerd.

Wanneer een verzoek elektronisch wordt gedaan, worden de gegevens waar mogelijk elektronisch verstrekt.

Onze medewerkers zullen een verzoek indienen bij hun leidinggevende (proceseigenaar) of de functionaris voor gegevensbescherming voor hulp in moeilijke situaties. Onze functionaris voor de gegevensbescherming / proceseigenaar is de heer Devy van Dinteren, bereikbaar via devy@aesc.nl.

 Wijzigingen in dit beleid

Dit beleid kan worden gewijzigd. Waar nodig zullen wij wijzigingen per post of per e-mail melden.