Privacybeleid

1. Doel

Mpartners B.V. (hierna ‘Mpartners’) verwerkt in haar bedrijfsprocessen persoonsgegevens. Dit betreft onder nadere persoonsgegevens van klanten, medewerkers en professional third parties.    

Mpartners vindt het belangrijk dat met deze persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden behandeld. De verwerking van persoonsgegevens dient met de grootste zorgvuldigheid te gebeuren om schade door misbruik aan klanten, medewerkers, alle andere betrokkenen en Mpartners zelf te voorkomen.  

Met dit beleidsdocument wordt vastgelegd hoe Mpartners invulling geeft aan de rechten en verplichtingen uit de Algemene Verordening Gegevensbescherming (2016/679/EG, hierna ‘AVG’) en aanverwante wet- en regelgeving betreffende de bescherming van Persoonsgegevens.   

2. Reikwijdte en Governance

Dit beleid is van toepassing op iedere Verwerking van Persoonsgegevens door Mpartners.  

De Directie is verantwoordelijk voor (de uitvoering van) het beleid. Het beleid wordt jaarlijks of indien daar aanleiding toe is geëvalueerd en zo nodig herzien. Compliance ziet erop toe dat wordt gehandeld in overeenstemming met het beleid en de wet- en regelgeving met betrekking tot dit onderwerp.  

3. Beginselen van Verwerking van Persoonsgegevens

Bij de Verwerking van Persoonsgegevens staan de volgende beginselen voorop:  

Rechtmatigheid: Verwerking van Persoonsgegevens is rechtmatig (d.w.z. vindt uitsluitend plaats voor doeleinden die gebaseerd kunnen worden op één van de rechtsgrondslagen die in de AVG worden gegeven ).  

Eerlijkheid en Transparantie: Verwerking van Persoonsgegevens is behoorlijk en transparant.  

Doelbinding: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en vervolgens niet op onverenigbare wijze verder verwerkt.  

Dataminimalisatie: Persoonsgegevens zijn adequaat en ter zake dienend en blijven beperkt tot datgene wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.  

Juistheid: Persoonsgegevens zijn juist en worden zo nodig gewist of gerectificeerd.  

Opslagbeperking: Persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de Betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de Persoonsgegevens worden bewaard noodzakelijk is.  

Integriteit en vertrouwelijkheid: Persoonsgegevens worden door passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat een passende beveiliging gewaarborgd is.  

Verantwoordingsplicht: Persoonsgegevens worden verwerkt onder de verantwoordelijkheid van Mpartners, die ervoor zorgt en kan aantonen dat verwerking voldoet aan de bepalingen van de AVG.  

4. Register

Compliance houdt een Register bij waarin de verwerkingsactiviteiten staan waarvoor Mpartners verantwoordelijk is. Het Register bevat:  

  • een beschrijving van de categorieën van Betrokkenen en van de categorieën van Persoonsgegevens; 
  • de verwerkingsdoeleinden; 
  • de categorieën van ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;  
  • indien van toepassing, doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie. Daarbij worden ook de documenten inzake de passende waarborgen vermeld;  
  • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; 
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. 

5. Rechten van Betrokkenen

Recht op informatie over de Verwerking

Indien de Persoonsgegevens van de Betrokkene worden verkregen, dient informatie te worden gegeven over de volgende onderwerpen:

– de grondslag van de Verwerking;

– de verwerkers, en indien van toepassing het voornemen om de Persoonsgegevens te delen buiten Europa;

– de retentieperiode (of de bepaling daarvan) en over de overige rechten van de Betrokkene

(zie hierna, alsmede vermelding van recht tot intrekking, klachtrecht); en – de andere doeleinden van gebruik, indien van toepassing.

Voorgaande informatie hoeft niet te worden verstrekt, indien de Betrokkene al over deze informatie beschikt.

Indien de Persoonsgegevens niet van de Betrokkene zelf zijn verkregen, zal aan de Betrokkene aanvullend de volgende informatie worden verstrekt:

– de bron waar de gegevens vandaan komen en of deze bron openbaar is.

– Indien de Persoonsgegevens voor een ander doeleinde verwerkt gaan worden zal aan de Betrokkene ook bovenstaande gegevens verstrekt moeten worden.

Ook hier geldt dat de informatie niet hoeft te worden gegeven als de Betrokkene al over de informatie beschikt, als het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen of als de Persoonsgegevens vertrouwelijk moeten blijven.

Recht van inzage

De Betrokkene heeft het recht van inzage in zijn/haar Persoonsgegevens.

Recht op beperking van de Verwerking

De Betrokkene heeft het recht om zijn/haar Persoonsgegevens in een Verwerking te laten beperken. Bij het ontvangen van een daartoe strekkend verzoek dient telkens te worden bepaald of dit kan worden uitgevoerd op rechtmatige gronden.

Recht van overdraagbaarheid (dataportabiliteit)

De Betrokkene heeft het recht de hem/haar betreffende Persoonsgegevens, die hij aan Verwerkingsverantwoordelijke heeft verstrekt, in een gangbare vorm te verkrijgen en over te dragen. In een dergelijke situatie ontvangt de Betrokkene alle gegevens en draagt dit over aan een andere verwerkingsverantwoordelijke.

Recht van bezwaar

De Betrokkene heeft het recht om bezwaar te maken tegen de Verwerking van hem/haar betreffende Persoonsgegevens. Bij het ontvangen van een daartoe strekkend verzoek dient telkens te worden bepaald of dit kan worden uitgevoerd op rechtmatige gronden.

Recht van rectificatie en het wissen van gegevens

De Betrokkene heeft het recht om zijn/haar Persoonsgegevens te laten rectificeren of wissen. Bij het ontvangen van een daartoe strekkend verzoek dient telkens te worden bepaald of dit kan worden uitgevoerd op rechtmatige gronden.

De AVG kent een kennisgevingsplicht in geval van rectificatie of wissen van gegevens, en in geval van verwerkingsbeperking; iedere ontvanger aan wie Persoonsgegevens zijn verstrekt, moet in kennis worden gesteld van elke rectificatie, wissen van Persoonsgegevens of beperking van de Verwerking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

5.1. Afhandelen van verzoeken van de Betrokkene

Mpartners zal zo snel mogelijk gehoor geven aan de rechten van de Betrokkene en uiterlijk binnen een maand na ontvangst van het verzoek informatie verstrekken over de wijze waarop aan het verzoek gehoor is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn, indien nodig, met nog eens twee maanden worden verlengd. Het voldoen aan het verzoek van de Betrokkene geschiedt kosteloos tenzij het verzoek ongegrond of buitensporig is. In dat laatste geval mag ook het verzoek om die reden worden afgewezen.

Indien wordt getwijfeld aan de identiteit van de natuurlijke persoon die het verzoek indient, mag aanvullende informatie worden opgevraagd ter bevestiging van de identiteit van de Betrokkene.

5.2. Klachten en schadevergoeding

De Betrokkene heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens indien hij/zij van mening is dat bij de Verwerking van zijn/haar Persoonsgegevens de AVG niet is nageleefd.

De Betrokkene heeft mogelijk recht op een schadevergoeding voor geleden schade indien een inbreuk wordt gepleegd op zijn of haar Persoonsgegevens.

6. Beveiliging en andere beheersmaatregelen

Bij iedere Verwerking van Persoonsgegevens worden passende technische en organisatorische beheersmaatregelen zoals beschreven in het Register in acht genomen, rekening houdend met de risico’s van de verwerking. De passende technische en organisatorische beheersmaatregelen worden periodiek geëvalueerd en daar waar nodig geactualiseerd.

Van iedere nieuwe Verwerking of voor iedere wijziging in de Verwerking van Persoonsgegevens wordt vooraf, tijdens en achteraf de kans (waarschijnlijkheid) en impact (ernst) van de risico’s van de Verwerkingen voor de Persoonsgegevens bepaald. Voor risico’s voor de rechten en vrijheden van Betrokkenen die als hoog ingeschat worden, worden privacy impact assessments (PIA’s, ook wel gegevensbeschermingseffectbeoordelingen) uitgevoerd. Indien wordt besloten dat er geen maatregelen worden genomen om de risico’s te mitigeren, moet de Autoriteit Persoonsgegevens voorafgaand aan de Verwerking geraadpleegd worden.

De beheersmaatregelen bestaan onder andere uit beveiliging van apparatuur, toegangsbeveiliging, informatiebeveiliging, awareness, mede strekkende tot voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van Persoonsgegevens en de apparatuur die voor de Verwerking wordt gebruikt. Er is een geheimhoudingsplicht ten aanzien van het beschermen van de Persoonsgegevens. De geheimhoudingsplicht voor Persoonsgegevens is vastgelegd in de gedragscode van Mpartners. Bij de ontwikkeling van nieuwe applicaties wordt rekening gehouden met de Betrokkenen en wordt er gekozen uit alternatieven die voor hen het minst bezwaarlijk zijn volgens de principes van ‘privacy-by-design’ en ‘privacy-by-default’.

Medewerkers hebben toegang tot Persoonsgegevens op basis van het ‘need-to-know’ principe. Dit betekent dat medewerkers alleen toegang tot Persoonsgegevens hebben als zij deze nodig hebben om hun werkzaamheden te kunnen uitvoeren.

6.1. Dataretentie

De Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het doel waarvoor de gegevens zijn verzameld. In het Register is per categorie Persoonsgegevens vastgesteld na welke termijn deze moeten worden vernietigd en er zijn procedures ingericht om dit ook te bewerkstelligen. Waar sprake is van een relatie met Verwerkers van Persoonsgegevens worden hierover afspraken gemaakt in een verwerkersovereenkomst.

7. Doorgeven van Persoonsgegevens aan derde landen  

Als er Persoonsgegevens worden doorgegeven aan landen buiten de Europese Unie (EU) (derde land of internationale organisatie) moet aan vergelijkbare regels worden voldaan als bij de bescherming van Persoonsgegevens in Nederland/EU. Mpartners zal uitsluitend  

Persoonsgegevens doorgeven in het geval van een adequaat beveiligingsniveau.   

8. Meldplicht datalekken  

In het geval dat Persoonsgegevens van Betrokkene(n) onbewust of onrechtmatig zijn gelekt (datalek), moet de Autoriteit Persoonsgegevens binnen 72 uur na het moment van constateren op de hoogte gebracht zijn, indien de inbreuk naar verwachting een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Daarnaast kan een plicht ontstaan om de Betrokkene op de hoogte te stellen van de inbreuk. De procedure datalekken is beschreven in het Incidentenbeleid.

Definities

 

Betrokkene : ieder natuurlijke persoon van wie persoonsgegevens worden verwerkt.

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerken: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.).

Verwerkingsverantwoordelijke: de natuurlijke of rechtspersoon, een overheidsinstantie, een dienst, of ander orgaan die alleen, of samen met anderen, het doel van en de middelen van verwerking van de persoonsgegevens vaststelt (in casu Mpartners).

Register: het register van verwerking als bedoeld in artikel 30 van de AVG.