Privacyverklaring
datum/versie: 1 november 2022
– Deze privacyverklaring maakt deel uit van onze algemene voorwaarden. –
Wie zijn we?
Van Hulst Financiële dienstverlening heeft als activiteiten financiële planning, het adviseren en bemiddelen in financiële producten en levensexecuteur. Bij deze dienstverlening aan cliënten verwerken we een grote hoeveelheid aan persoonsgegevens. We zullen je persoonsgegevens te allen tijde zorgvuldig en respectvol gebruiken.
Onze contactgegevens zijn:
| Bezoekadres | Veesteeg 3b, 6657 KH BOVEN LEEUWEN |
| Postadres | Postbus 90, 6658 ZH BENEDEN LEEUWEN |
| Telefoon | 0487 – 59 16 50 |
| erika@poortvanhulst.nl | |
| Website | www.poortvanhulst.nl |
| Verwerkingsverantwoordelijke | Erika van Hulst |
Waarom deze verklaring?
We zijn ervoor verantwoordelijk om je persoonsgegevens zo goed mogelijk te beschermen. We moeten daarbij voldoen aan de eisen van de privacyregelgeving. We willen o.a. transparant zijn over de soorten gegevens die we verwerken, de doelen voor de verwerking, met wie we gegevens delen en welke rechten je hebt ten aanzien van je eigen gegevens. In deze privacyverklaring informeren we je hierover. Heb je na het lezen van dit document vragen, neem dan contact met ons op.
Soorten gegevens
Doelen van de verwerking van gegevens
Geautomatiseerde besluitvorming
Rechtsgronden voor verwerking van gegevens
Opslag en bewaartermijn van persoonsgegevens
Informatie, wijziging en bezwaar
Beveiliging van je gegevens
Verstrekken van gegevens aan derden
Cookies en analyse-instrumenten die we gebruiken
Wijzigingen van de privacyverklaring
Klachtrecht
Soorten gegevens
Soorten gegevens
1.1 We verwerken (mogelijk) de volgende gegevens van je:- Contactgegevens zoals naam, adres, woonplaats, telefoonnummer en emailadres;
- Leeftijd, geslacht, burgerlijke staat;
- Gegevens met betrekking tot identiteitsbewijs; soms vragen we een kopie van een identiteitsbewijs;
- Burgerservicenummer (als gemachtigd hulppersoon vragen wij dit op voor b.v. het aanvragen voor producten bij banken/verzekeraars);
- Gegevens over dienstverband, inkomen, beroep en werkgever;
- Gegevens over financiële situatie, vermogen en eventuele schulden;
- Gegevens over huidige financiële producten, zoals bankrekeningen en verzekeringen;
- Bijzondere persoonsgegevens, bij voorbeeld gezondheid (in sommige gevallen);
- Gegevens over eventuele strafrechtelijke feiten, fraudeaspecten (indien relevant);
- Gegevens ingediende claims/schadehistorie.
Doelen van de verwerking van gegevens
Doelen van de verwerking van gegevens
We verwerken je persoonsgegevens gericht op o.a. de volgende activiteiten van ons bedrijf:- Het beoordelen en accepteren van onze relatie met (potentiële) klanten en bezoekers;
- Het beheren en uitbreiden van onze relatie met (potentiële) klanten;
- Het sluiten en uitvoeren van overeenkomsten;
- Het afhandelen van betalingen;
- Het kunnen bellen en e-mailen;
- Het verstrekken van adviezen;
- Het voldoen aan wettelijke verplichtingen;
- Het versturen van nieuwsbrieven of informatie van specifieke aard.
Geautomatiseerde besluitvorming
Geautomatiseerde besluitvorming
Wij geloven in persoonlijk contact. We nemen dan ook geen besluiten over zaken die aanzienlijke gevolgen kunnen hebben voor iemand op basis van enkel geautomatiseerde besluitvorming (via computerprogramma’s of systemen).Rechtsgronden voor verwerking van gegevens
Rechtsgronden voor verwerking van gegevens
Wij gebruiken tenminste één van de volgende gronden voor de verwerking van je persoonsgegevens:- Het uitvoeren van een overeenkomst voor een financieel product of een financiële dienst;
- Het kunnen voldoen aan een wettelijke verplichting die op ons rust, bijvoorbeeld het voldoen aan onze zorgplicht gedurende de looptijd van een financieel product dat via onze bemiddeling tot stand gekomen is; of het voldoen aan wettelijke termijnen voor het bewaren van gegevens;
- De toestemming die je hebt gegeven om gegevens te verwerken voor specifieke doeleinden. Deze toestemming kun je altijd weer intrekken;
- Voor de behartiging van onze gerechtvaardigde belangen in het kader van onze bedrijfsvoering of die van een derde. We maken steeds een zorgvuldige afweging tussen jouw belangen en die van ons. Ons belang is onder andere een zorgvuldige uitvoering van opdrachten of overeenkomsten met jou.
Opslag en bewaartermijn van persoonsgegevens
Opslag en bewaartermijn van persoonsgegevens
5.1. We bewaren je persoonsgegevens alleen zolang en voor zover we deze nodig hebben. Gegevens die we noodzakelijkerwijs nodig hebben bewaren we in ieder geval gedurende de looptijd van onze relatie of overeenkomst.
5.2. Als onze relatie of overeenkomst eindigt dan bewaren wij de gegevens gedurende de wettelijke bewaartermijnen die voor ons gelden.
Informatie, wijziging en bezwaar
Informatie, wijziging en bezwaar
Je hebt specifieke rechten ten aanzien van de verwerking van je persoonsgegevens. Hierover kun je altijd contact met ons opnemen.
6.1 Dat geldt zeker ook voor de volgende onderwerpen:
- inzage: inzage in de persoonsgegevens die wij van je hebben en wat hiermee is gebeurd ;
- rectificatie: het laten corrigeren van fouten in je persoonsgegevens;
- beperking: het maken van bezwaar tegen en daarmee beperken van een bepaald gebruik van je persoonsgegevens;
- vergetelheid: het laten verwijderen van je persoonsgegevens;
- dataportabiliteit: het overdragen of delen van je persoonsgegevens aan andere partijen;
- profilering: het maken van bezwaar tegen het gebruik van je persoonsgegevens wanneer deze worden gebruikt voor alleen geautomatiseerde verwerking waaraan voor jou rechtsgevolgen zijn verbonden;
- kennisgeving: aan de ontvanger als je vraagt om rectificatie, beperking of vergetelheid.
6.2 Het kan zijn dat we je niet in alle gevallen tegemoet kunnen komen. Als dit het geval is zullen we je dit gemotiveerd laten weten.
Beveiliging van je gegevens
Beveiliging van je gegevens
We hebben adequate technische en organisatorische maatregelen getroffen om je persoonsgegevens te beveiligen. We hebben onder andere de volgende maatregelen getroffen:
- Beveiligingssoftware zoals een virusscanner en firewall;
- TLS voor een veilige internetverbinding waarover persoonsgegevens worden verstuurd;
- DKIM, SPF en DMARC voor het terugdringen van pishing, spam en virussen die per email gestuurd worden;
- DNSSEC als een extra beveiliging voor het omzetten van een domeinnaam naar het hieraan gekoppelde IP-adres. Hiermee wordt voorkomen dat bezoekers worden omgeleid naar een vals IP-adres.
Verstrekken van gegevens aan derden
Toestemming en (sub)bewerkersovereenkomsten
8.1 We verstrekken je gegevens niet zomaar aan anderen. Dat mogen we wel doen als je ons daarvoor toestemming hebt gegevens, als we daartoe verplicht zijn op grond van de wet of een andere rechtelijke uitspraak of als de verstrekking ten dienste staat van onze doeleinden van de verwerking van persoonsgegevens.
8.2 Voor de uitvoering van onze bedrijfsvoering en afhankelijk van de verleenden diensten aan je, verstrekken wij je persoonsgegevens mogelijk wel aan de volgende personen of partijen:
- Financiële instellingen, zoals banken en verzekeraars, bij wie we voor jou een financieel product aanvragen, wijzigen of beheren;
- Personen en instanties die, al dan niet op grond van een wettelijke verplichting, geïnformeerd moeten worden zoals:
- Externe partijen die gegevens onder onze verantwoordelijkheid en zeggenschap verwerken zoals onze systeembeheerder of software die wij van partijen gebruiken ten behoeve van bij voorbeeld (kantoor)administratie en berekeningen;
- Notarissen, accountants, advocaten (in voorkomende gevallen).
8.3 Externe partijen die de persoonsgegevens onder onze verantwoordelijkheid verwerken, doen dit uitsluitend voor doelen en onder voorwaarden die wij met hen hebben afgesproken. Dit leggen we vast in schriftelijke overeenkomsten.
Cookies en analyse-instrumenten die we gebruiken
Cookies en analyse-instrumenten die we gebruiken
Op onze website maken we gebruik van cookies. We gebruiken alleen technische-, functionele- en tracking cookies. En analytische cookies die geen inbreuk maken op je privacy. Cookies, of vergelijkbare technieken, zijn kleine stukjes (tekst)informatie die bij het bezoek van een website worden meegestuurd aan onze browser en vervolgens op je harde schijf of in het geheugen van je computer, tablet of mobiele telefoon worden opgeslagen.
De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van de website en jouw gebruiksgemak. Ze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld jouw voorkeursinstellingen. Ook kunnen wij hiermee onze website optimaliseren.
Voor het verzamelen van gegevens voor eigen gebruik wordt door ons gebruik gemaakt van Google Analytics. Je kunt je afmelden voor cookies door je internetbrowser zo in te stellen dat deze geen cookies meer opslaat. Daarnaast kun je ook alle informatie die eerder is opgeslagen via de instellingen van je browser verwijderen.
Wijzigingen van de privacyverklaring
Wijzigingen van de privacyverklaring
Het kan voorkomen dat we deze privacyverklaring in de toekomst wijzigen. Op onze website vind je steeds de meest actuele verklaring.Klachtrecht
Klachtrecht
11.1 Ben je het niet eens met de wijze waarop wij je persoonsgegevens verwerken of omgaan me je rechten als klant? Neem dan in ieder geval contact met ons op.
11.2 Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens. Kijk daarvoor op www.autoriteitpersoonsgegevens.nl
Bewustwording
Data Protection Impact Assessment (PIA)
Functionaris voor de gegevensbescherming
Leidende toezichthouder
Privacy by design & privacy by default
Verwerkingsregister
Risico inventarisatie (organisatorisch en technisch)
Toestemming en (sub)bewerkersovereenkomsten
Meldplicht datalekken
Ondertekening
Bijlagen (definities en cloudoplossingen partijen)
Bewustwording
Bewustwording
Tijdens de uitvoering van onze werkzaamheden communiceren wij mondeling, schriftelijk en elektronisch met onze cliënten en relaties. Persoonsgegevens, welke als data worden opgeslagen op onze computersystemen, kunnen onderling worden uitgewisseld. Zowel met cliënten als relaties waarmee wij werken. Discretie en het vertrouwelijk omgaan met deze gegevens vormen een basis voor onze samenwerking.
Wij zullen al hetgeen redelijkerwijs van ieder van ons verwacht mag worden, doen of nalaten ter voorkoming van het optreden van risico’s voortvloeiende uit het verwerken van deze persoonsgegevens en het voorkomen van datalekken.
Wij vinden het nuttig om een beleid ter bescherming van de gegevens van cliënten op te stellen (hierna te noemen gegevensbeschermings-/privacybeleid). Hiermee willen wij privacy risico’s van verwerkingen van persoonsgegevens binnen ons kantoor inzichtelijk maken. Het doel is het verminderen of vermijden van deze risico’s en datalekken. Tevens willen wij hiermee invulling geven aan- en voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
In dit privacybeleid zal aandacht besteed worden aan ‘the internet of things’ binnen ons kantoor, de voor ons kantoor van toepassing zijnde soft- en hardware en onze leveranciers van cloud oplossingen.
Met dit beleid willen wij voldoen aan onze verantwoordingsplicht (accountability) en een bijdrage leveren aan de bescherming van het grondrecht van mensen op privacy. We laten zien welke technische en organisatorische maatregelen we hebben genomen om persoonsgegevens te beschermen. En dat de verwerking van persoonsgegevens voldoet aan rechtmatigheid, transparantie, doelbinding en juistheid.
De persoonsgegevens die door ons worden verkregen, opgeslagen en indien nodig worden bewerkt, vloeien voornamelijk voort uit opdrachten van cliënten die wij verkrijgen als:
- Werkzaamheden als financieel planner
- Werkzaamheden als levensexecuteur
- Werkzaamheden als assurantietussenpersoon
Cliënten hebben het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
In dit privacybeleid én in het verwerkingsregister zal, waar van toepassing, een omschrijving gegeven worden van de categorieën persoonsgegevens die wij verwerken. Wij willen niet meer persoonsgegevens verwerken dan noodzakelijk wordt geacht om ons werk te kunnen uitvoeren en onze diensten te kunnen verrichten. Persoonsgegevens worden niet langer dan noodzakelijk bewaard.
Wij gebruiken de gegevens alleen voor de afgesproken doelen; we zullen de gegevens niet zonder toestemming met anderen delen; we zullen de gegevens zorgvuldig beveiligen. Wij delen geen gegevens met een land of internationale kantoor buiten de Europese Unie.
Gezien de omvang van onze kantoor volstaan wij met het opstellen van dit privacybeleid (waarin begrepen een risico inventarisatie onder paragraaf F) alsook het opstellen van een verwerkingsregister.
Bij het opstellen van dit beleid is gebruik gemaakt van informatie van de Autoriteit Persoonsgegevens:
- Het 10 stappenplan van de Autoriteit persoonsgegevens
- Handleiding Algemene verordening gegevensbescherming
Geraadpleegde literatuur
- Autoriteit persoonsgegevens, 10 stappenplan (datum onbekend)
- Autoriteit persoonsgegevens, Handleiding Algemene verordening gegevensbescherming
- Beleidsregels voor toepassing van artikel 34a van de Wbp (melding datalekken)
- Ministerie van Veiligheid en Justitie, 10 vuistregels veilig internetten
Data Protection Impact Assessment (PIA)
Data Protection Impact Assessment, PIA
Wij zullen geen Data Protection Impact Assessment uitvoeren.
Wij zijn van mening dat onze gegevensverwerking geen hoog privacyrisico met zich meebrengt.
Als kantoor houden wij ons niet bezig met:
- Het systematisch en uitvoerig persoonlijke aspecten evalueren;
- Het op grote schaal bijzondere persoonsgegevens verwerken;
- Het op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied.
Functionaris voor de gegevensbescherming
Functionaris voor de gegevensbescherming
Er is geen aparte functionaris voor de gegevensbescherming. Wij kwalificeren niet als een kantoor zoals benoemd onder paragraaf B. Wij zijn ons bewust van het beschermen van data. Wij realiseren ons dat data bescherming en het up to date houden hiervan, alsmede voldoen aan de AVG een continue proces is. Hierop zal worden toegezien door de eigenaar.Leidende toezichthouder
Leidende toezichthouder
Er is geen leidende toezichthouder.
Ons kantoor kent één vestiging en is niet aangesloten bij een internationaal, opererend kantoor en/of netwerk. Onze gegevensverwerking heeft ook geen impact op meerdere lidstaten binnen de Europese Unie. Door ons worden geen gegevens gedeeld met een land of internationale kantoor buiten de Europese Unie.
Privacy by design & privacy by default
Privacy by design & privacy by default
In onze omgang met privacy gevoelige informatie, zoals het bewaren en verwerken van (persoons)gegevens en elektronische communicatie, nemen wij een professioneel kritische en alerte houding aan.
Dit doen wij door:
Het risico op een datalek voorkomen en het risico op schadelijke software verkleinen:
- tijdige software updates installeren, waar nodig met de expertise van onze automatiseerder/ software leverancier;
- computers, server en overige hardware blijft ten alle tijden op kantoor. De laptop wordt sporadisch gebruikt voor zakelijke e mails. Daarnaast kan deze gebruikt worden voor werken in de cloud. De toegang tot de laptop wordt beschermd met een sterk wachtwoord.
- periodiek back-ups maken op externe, losgekoppelde, beveiligde gegevensdragers.
De 10 vuistregels van veilig internetten, opgemaakt door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie. Dit impliceert dat:
- Antivirus programma’s zijn geïnstalleerd
- Software updates worden uitgevoerd wanneer deze beschikbaar komen
- Er worden ‘sterke’ wachtwoorden gehanteerd
- Er is alleen verbinding met vertrouwde wifi netwerken
- Er worden geen email berichten en onbekende bestanden geopend die wij niet vertrouwen en/of waarvan wij de afzender niet kennen
- Er worden alleen apps en programma’s van bekende, officiële partijen gebruikt
- Webadressen (URL’s) worden altijd gecontroleerd om vast te stellen of er sprake is van een nagemaakte of onveilige website
- Pop-ups worden in de browser niet geopend en waar nodig afgesloten met Alt+F4
- Wij denken goed na over te delen informatie op het internet (waaronder in ieder geval wordt verstaan onze website en sociale netwerksites)
- Wij gebruiken ons gezond verstand, iets wat te mooi lijkt om waar te zijn, is dat meestal ook
Als kantoor voeren wij onze dienstverlening uit in lijn met de uitgangspunten zoals opgesteld door de Autoriteit Persoonsgegevens: privacy by design en privacy by default.
“Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat niet meer gegevens verzameld worden dan noodzakelijk voor het doel van de verwerking. En dat de gegevens niet langer bewaard worden dan nodig.”
“Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat wij alléén persoonsgegevens verwerken die noodzakelijk zijn voor het specifieke doel dat wij willen bereiken.“
Verwerkingsregister
Verwerkingsregister
Data opslag (waar staan data, welke data, bij wie staan ze, wie kan erbij, contracten)
Wij verwerken regelmatig persoonsgegevens. Als verwerkingsverantwoordelijke hebben wij een verwerkingsregister opgesteld.
In het verwerkingsregister van ons kantoor is de volgende informatie opgenomen:
- de naam en contactgegevens van onze kantoor en de vertegenwoordiger;
- de naam van de (mede)verwerkingsverantwoordelijke
- verwerkingsdoelen
- verwerkingsgrondslag
- van wie worden persoonsgegevens verwerkt
- welke persoonsgegevens worden verwerkt
- of sprake is van bijzondere persoonsgegevens
- met wie persoonsgegevens worden gedeeld;
- beoogde bewaartermijn
- getroffen technische en organisatorische maatregelen.
Een algemene beschrijving van de technische en organisatorische maatregelen die wij hebben genomen om persoonsgegevens te beveiligen is in dit beleid opgenomen (G).
Risico inventarisatie (organisatorisch en technisch)
Risico inventarisatie
Bij onze risico inventarisatie hebben wij een onderscheid gemaakt naar:
Organisatorische- en technische maatregelen.
Organisatorische maatregelen
Ten aanzien van de organisatorische maatregelen is door ons kantoor:
- dit beleid opgesteld
- een privacy- en cookiebeleid opgemaakt welke beschikbaar gesteld is op onze website
- werken wij met (sub)verwerkersovereenkomsten.
- ten aanzien van het gebruik van cloudoplossingen, aanschaf van hard- en software producten hanteren wij de volgende vuistregels:
Als kantoor streven wij naar kwaliteit en het samen willen werken met in de praktijk bekende en bewezen producten van betrouwbare partijen. Voorafgaand aan deze keuze verdiepen wij ons in de aangeboden producten van de betreffende leverancier en waar mogelijk diens concurrenten, testen en analyseren wij de producten bij voorkeur in een demo (test)omgeving indien die mogelijk en van toepassing is. Tevens informeren wij binnen ons netwerk of collega’s ervaringen hebben met betreffende partijen en diens producten.
Bedrijfsgebouw
Ons kantoor is verbonden aan een woonhuis waardoor vrijwel permanent toezicht is op het terrein om het kantoor heen. De fysieke beveiliging wordt door ons als goed beschouwd. Het terrein is afgescheiden door een hekwerk welke enkel voor huurders met een zogenoemde druppel en/of sleutel toegankelijk is. Het kantoor wordt iedere avond afgesloten en alle dossiers worden in een brandkast opgeborgen. Buiten kantoortijden heeft alleen de bewoonster van de woning toegang tot de ruimte. De sleutels van de brandkasten liggen op een voor de bewoonster onbekende plek.
Technische maatregelen
Binnen onze kantoor maken wij gebruik van de volgende hardware:ProLiant MicroServer Gen8 (1 ex.) waarin begrepen Hewlett Packard Enterprise RAM geheugen en Microsoft Windows Server 2012 R2 Essentials
- Werkstation en Laptop
- Diverse All-in-one Brother printers
- Wester Digital (WD) Elements portable externe harde schijf (5 ex.)
Binnen onze kantoor is de volgende software geïnstalleerd:
- Microsoft Office Pakket
- Op de laptop is geen verbinding met een werkstation mogelijk.
Externe partijen
Er wordt samengewerkt en gebruik gemaakt van het netwerk van Van Hulst Accountancy waarmee wij een samenwerking hebben. Zij hebben als externe automatiseerder Van Oyen Automatisering te Beneden-Leeuwen. Met dit bedrijf is door hen een geheimhoudingsovereenkomst afgesloten. Werkzaamheden door de automatiseerder vinden uitsluitend plaats op ons verzoek en bij voorkeur bij ons op kantoor onder toezicht van één van de eigenaren. In die situatie dat er korte (termijn) vragen zijn over het functioneren van het werkstation wordt het werkstation in de regel op kantoor hersteld.
Hard- en software technische beveiliging
De laptop is beveiligd met een sterk en uniek Windows wachtwoord (minimaal een combinatie van cijfers en letters). Er wordt zorgvuldig (als goed huisvader) omgegaan met de laptop. De laptop valt na twee minuten automatisch in de beveiligde modus.
Op het moment dat laptop vervangen wordt, wordt de ‘oude’ laptop (voor zover nodig) door de eigenaar of automatiseerder geschoond van zakelijke programmatuur en worden bestanden verwijderd.
Back-up en recovery
Dagelijks vind een roulerende back up plaats van de server op een externe harde schijf. Dit geschiedt automatisch in de loop van de nacht. Hiertoe zijn door de automatiseerder 5 schijven aangemaakt, een schijf per werkdag. Periodiek wordt getest door de eigenaar van Van Hulst Accountancy, dhr. B.A. Poort, dat de backup en recovery procedure werkt. De niet op de server aangesloten schijven worden bewaard in de brandkast op kantoor. De schijven zijn niet uit leesbaar via andere computers, de schijven zijn dan niet zichtbaar. De backup schijven werken enkel na rechtstreeks verbonden te zijn aan onze server.
Mobiele telefoons
Op de mobiele telefoon komt geen zakelijke email binnen. De mobiele telefoons zijn beveiligd met een pincode, touch id en/of gezichtsherkenning. We zijn ons bewust van de telefoonnummers en namen van cliënten en relaties die zich mogelijk op de mobiele telefoons bevinden. We gaan als een goed huisvader overweg met de mobiele telefoons.
In geval van diefstal of verlies dan kunnen de mobiele telefoons op afstand gevolgd, leeggemaakt worden en/of versleuteld worden via ‘Find my Phone’.
Data uitwisseling
Voor zover nog gewerkt wordt met (losse) usb sticks wordt de data op deze stick na uitlezing verwijderd van de stick. Er wordt niet gewerkt met een Drop Box. Alleen op verzoek van cliënt wordt gewerkt met Wetransfer om omvangrijke bestanden te kunnen ontvangen of te kunnen verzenden.
Outlook bestanden worden uitsluitend op de server gearchiveerd.
Emailberichten worden vanuit het zakelijke emailaccount in Outlook verzonden. Er wordt voorafgaand aan de verzending scherp gelet op het selecteren van de juiste ontvanger. Mocht er onverhoopt een email verzonden zijn aan een verkeerde ontvanger dan is het verzoek om ons dit onmiddellijk te melden en het bericht te vernietigen. Onderstaande tekst moet onder elk uitgaande kantooremail opgenomen zijn:
Kantoor is ingeschreven in het handelsregister onder nummer 10038595.
Indien u niet de geadresseerde bent van dit bericht, verzoeken wij u ons dit onmiddellijk per e-mail of telefonisch (0487 – 59 16 50) te melden en het bericht te vernietigen.
De laptop is voorzien van dezelfde antivirus scanner als op kantoor wordt gebruikt. Genoemd abonnement wordt jaarlijks verlengd geïnitieerd door onze automatiseerder of Kantoor. De geplaatste router is beveiligd met een Firewall.
Wifi netwerk
Er is een Lokaal (eigen) Netwerk aanwezig. De server heeft een beheerdersaccount met een uniek wachtwoord. Er wordt gebruik gemaakt van een ingaande (inbel)verbinding met de server, uitsluitend te gebruiken door de extern automatiseerder.
Er zijn twee eigen wifi netwerken VaHe20C en VaHe20C_NEW. Op verzoek kan een tijdelijk netwerk voor gasten geactiveerd worden. Beide wifi netwerken worden niet gedeeld met derden en zijn beveiligd met een zeer sterk wachtwoord. Het gasten wifi netwerk is bestemd voor derden (lees: cliënten) en wordt enkel op verzoek aan bekende cliënten en/of relaties op kantoor gedeeld. Het gasten netwerk is beveiligd met een wachtwoord.
Het kantoor maakt gebruik van een netwerk waar binnen zich de server, de werkstations en de printers zich bevinden. Deze apparatuur is via kabels onderling verbonden en niet aangesloten op het wifi netwerk.
Website
De domeinnaam www.poortvanhulst.nl is geregistreerd bij mijndomein.nl.
(Cookies, of vergelijkbare technieken, zijn kleine stukjes (tekst)informatie die bij het bezoek van een website worden meegestuurd aan onze browser en vervolgens op uw harde schijf of in het geheugen van uw computer, tablet of mobiele telefoon worden opgeslagen. Voor het verzamelen van gegevens, wordt door Kantoor behoudens voor eigen gebruik Google Analytics, verder geen gebruik gemaakt van tracking cookies. Op de website wordt in ons privacy en cookiebeleid hiervan melding gemaakt.)
Cloudoplossingen
Door ons kantoor wordt gebruik gemaakt van de volgende cloudoplossingen:
- Innovixion (pakket voor het beheren van de assurantieportefeuille)
- Findash (pakket voor berekeningen voor financiële planning)
De genoemde cloudoplossingen hebben veiligheidstoepassingen. Uitleg en omschrijvingen hiervan worden gegeven op de website, overeenkomst of naar aanleiding van telefonisch contact. Wij zijn van mening dat alle genoemde partijen afdoende maatregelen hebben genomen om de data van onze cliënten te waarborgen.
Wij hebben regelmatig overleg met genoemde partijen. Inlog maatregelen genomen door genoemde partijen zijn:
- Innovixion: gebruikersnaam en wachtwoord.
- Findash: gebruikersnaam en wachtwoord.
In de bijlagen van dit beleid wordt per aanbieder ingegaan op de beveiligingsmaatregelen die genoemde aanbieder heeft getroffen.
Toestemming en (sub)bewerkersovereenkomsten
Toestemming en (sub)bewerkersovereenkomsten
De AVG eist dat wij moeten kunnen aantonen dat wij geldige toestemming van betrokkenen hebben gekregen om persoonsgegevens te verwerken. De twee eisen die gesteld worden aan een geldige toestemming zijn: cliënt is geïnformeerd dat wij zijn persoonsgegevens verwerken (1) ten behoeve van specifiek deze opdracht (2). Wij zijn van mening dat wij deze toestemming van cliënt ontvangen op het moment dat cliënt ons vraagt een opdracht voor hem uit te voeren.
Meldplicht datalekken
Meldplicht datalekken
Wij maken afwegingen en beslissingen of een gebeurtenis die zich heeft voorgedaan gemeld moet worden aan de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene. Het onderstaande schema, ontleend aan de beleidsregels voor toepassing van artikel 34a van de wet Wbp geeft onze afwegingen weer:
Beveiligingslek
Heeft zich een beveiligingsincident voorgedaan?
Datalek
Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?
Melden Autoriteit Persoonsgegevens
Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?
Melden aan betrokkene
Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?
Er is sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident denken wij bij voorbeeld aan het kwijtraken van een USB-stick, diefstal van een laptop of een inbraak door een hacker. Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs uitgesloten kan worden. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. We hoeven dan geen melding te doen aan de Autoriteit Persoonsgegevens.
Indien een melding gedaan moet worden, dan wordt het meldformulier van het meldloket datalekken gehanteerd.
Ondertekening
Ondertekening
Boven-Leeuwen, 29 oktober 2019
Mw. F.M. van Hulst FFP RPLP
Bijlagen (definities en cloudoplossingen partijen)
Bijlagen
In de bijlagen bij dit privacybeleid worden behandeld:
- Definities
- Cloudoplossingen partijen
Ad A. Definities
Wet bescherming persoonsgegevens (Wbp)
De wet bescherming persoonsgegevens is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. De Wbp is sinds 1 september 2001 van kracht.
Algemene Verordening Gegevensbescherming (AVG)
Op 4 mei 2016 is de AVG gepubliceerd door de Europese Unie. De verordening wordt echter met ingang van 25 mei 2018 gehandhaafd. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie, waarmee de wet Wbp niet meer geldt. De AVG kent meer verplichtingen dan de wet Wbp.
Wat zijn persoonsgegevens?
De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
Persoonsgegevens van gevoelige aard
Persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
- Bijzondere persoonsgegevens;
- Gegevens over de financiële of economische situatie van de Betrokkene;
- (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene;
- Gebruikersnamen, wachtwoorden en andere inloggegevens;
- Gegevens die kunnen worden misbruikt voor (identiteits)fraude.
Wat zijn bijzondere persoonsgegevens?
Een kantoor mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. Bijzondere persoonsgegevens zijn gegevens vanuit:
- godsdienst of levensovertuiging;
- ras;
- politieke voorkeur;
- gezondheid;
- seksuele leven;
- lidmaatschap van een vakbond;
- strafrechtelijk verleden;
Wat houdt verwerken van persoonsgegevens in?
Verwerken is alle handelingen die een kantoor kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. “Verwerking van persoonsgegevens” omvat alle denkbare handelingen met persoonsgegevens. Maar let op: ook meer passieve handelingen zoals de enkele aanwezigheid van de gegevens op uw servers valt onder het begrip “verwerken”. Bij “persoonsgegevens” denkt u ongetwijfeld aan gegevens als NAW, BSN en herkenbare afbeeldingen zoals pasfoto’s. Maar ook gegevens die in eerste instantie misschien geen persoonsgegevens lijken, kunnen dat zijn: bijvoorbeeld IP-adressen en binnen een bepaalde context ook (mobiele) telefoonnummers en nummerborden. Volgens de Wbp is de verantwoordelijke degene die bepaalt wat met de persoonsgegevens moet of mag worden gedaan en hoe en is de bewerker degene die dienaangaande instructies van de verantwoordelijke dient op te volgen. Dit laatste brengt met zich mee dat indien u een bewerker bent, u niet vrijelijk kunt bepalen (dat wil zeggen niet zonder voorafgaande toestemming) hoe u bepaalde persoonsgegevens gebruikt.
Wie is bewerker?
Een bewerker is een persoon of kantoor aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.
Wie is subverwerker?
Uit de verantwoordelijkheid van de opdrachtgever – die in de zin van de wet geldt als verantwoordelijke voor de gegevensverwerking – vloeit voort dat hij uitdrukkelijk heeft ingestemd met het subverwerkersschap. Indien de opdrachtgever daarvoor in zijn overeenkomst met de bewerker uitdrukkelijk ruimte heeft gegeven, kan de bewerker – met behoud van zijn volle aansprakelijkheid voor de naleving van zijn contract met de verantwoordelijke – delen van de verwerking uitbesteden aan sub-bewerkers.
De bewerker dient dan wel contractueel verzekerd te hebben dat de sub- bewerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. De verantwoordelijke dient hiervan wel op de hoogte te worden gesteld opdat deze in staat is toe te zien op de naleving van zijn afspraken met de bewerker.
Dienstverlening door bewerker
Het bewerkersbegrip is in principe van toepassing op verschillende vormen van dienstverlening. Uitgangspunt is daarbij dat de dienstverlening betrekking heeft op het verwerken van persoonsgegevens. Zodra de gegevensverwerking een uitvloeisel is van een andere vorm van dienstverlening, is de dienstverlener daarvoor zelf verantwoordelijk.
Datalek
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Meldplicht datalekken
De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Rechten van betrokkenen
Betrokkenen hebben recht op inzage. Dat houdt in dat zij een kantoor mogen vragen of deze persoonsgegevens van hen heeft vastgelegd en zo ja, welke. Zij hoeven geen reden te geven voor een inzageverzoek. Het recht op inzage betreft alleen inzage in iemands eigen gegevens. Mensen hebben dus geen recht op informatie over anderen.
Vraagt iemand om inzage, dan moet de kantoor diegene op een duidelijke en begrijpelijke manier laten weten óf de kantoor zijn persoonsgegevens gebruikt, en zo ja:
– om welke gegevens het gaat;
– wat het doel is van het gebruik;
– aan wie de kantoor de gegevens eventueel heeft verstrekt;
– wat de herkomst is van de gegevens, als deze bekend is.
Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een kantoor mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Iemand kan om correctie vragen als zijn persoonsgegevens:
– feitelijk onjuist zijn;
– onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
– op een andere manier in strijd met een wet worden gebruikt.
Onder de AVG krijgen betrokkenen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Dit houdt in dat zij het recht hebben om de persoonsgegevens te ontvangen die een kantoor van hen heeft.
Het recht op vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene hierom vraagt. Dit nieuwe recht lijkt op het huidige recht op correctie en verwijdering, maar is breder.
In de AVG staan tevens de voorwaarden voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. De twee eisen die gesteld worden aan een geldige toestemming zijn dat deze geïnformeerd en specifiek gegeven is. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
Ad B. Cloudoplossingen partijen
Wij zijn van mening dat alle, hieronder genoemde partijen afdoende maatregelen hebben genomen om de data van onze cliënten te waarborgen:
- Innovixion
- Solverium/Findash