AVG beleid

Beleid bescherming persoonsgegevens Promi

 
Promi wil voldoen aan de voorwaarden van de nieuwe wet GDPR (General Data Protection Regulation) om de juistheid en bescherming van persoonsgegevens te garanderen. Daarom hebben we ons beleid bescherming persoonsgegevens bijgewerkt aan de nieuwe normen.
 

Introductie

Dit document beschrijft het beleid van Promi voor de juistheid en bescherming van persoonsgegevens en heeft als doel betrokkenen te informeren over dit beleid. Promi bewaart persoonsgegevens van personeel, opdrachtgevers, relaties en deelnemers van evenementen. De nadere details van de onderkende gegevensgroepen, zoals het gebruiksdoel, eventuele overdrachten en bewaartermijnen van deze gegevens worden vastgelegd en up-to-date gehouden in het verwerkingsregister.

Onder persoonsgegevens wordt hier verstaan de informatie die betrekking heeft op een persoon en deze persoon, direct of indirect, identificeert. Het bevat informatie die bewaard wordt door Promi met een beschreven gebruiksdoel, zoals bijvoorbeeld naam, e-mailadres, telefoonnummer, adres, kopie van identiteitsbewijs en personeelsgegevens.
 
Onderstaand worden de kenmerkende nieuwe eisen die de GDPR stelt aan de juistheid en bescherming van persoonsgegevens opgesomd. Promi heeft maatregelen genomen om aan deze eisen te voldoen. De maatregelen zijn beoordeeld in relatie tot de mate van gevoeligheid van de persoonsgegevens die Promi bewaart en de onderkende risico’s daarbij.
 

  • De persoonsgegevens worden opgevraagd en uitsluitend gebruikt voor de uitvoering van de betreffende doeleinden. De doeleinden zijn beschreven in het verwerkingsregister.
  • Persoonsgegevens worden niet langer bewaard dan strikt noodzakelijk. Bewaartermijnen zijn beschreven in het verwerkingsregister.
  • De betrokken persoon krijgt op verzoek inzage in de vastgelegde persoonsgegevens en kan eisen dat deze worden verbeterd of verwijderd.
  • Promi draagt zorg voor de bescherming van de verkregen persoonsgegevens. Dat geldt voor alle medewerkers van ons kantoor, maar ook voor derden die toegang (kunnen) hebben tot deze gegevens (zie verwerkingsregister). Met de betreffende personen en/of organisaties regelen we dit in contracten, arbeidsovereenkomsten en andersoortige verklaringen. De vertrouwelijkheid van de persoonsgegevens wordt voldoende beschermd door de beveiligingsmaatregelen voor het pand en de beveiliging rond de ICT infrastructuur.
  • In het verlengde van het voorgaande: indien het nodig is dat wij op onze beurt derden inschakelen, doen wij uitsluitend een beroep op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen. Op die manier voldoet de verwerking aan de vereisten van deze verordening en wordt de bescherming van de rechten van de betrokkene gewaarborgd.

 
De bescherming van persoonsgegevens geldt niet indien wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen. Bijvoorbeeld indien we een bindend verzoek of opdracht hiertoe ontvangen hebben van een daartoe bevoegde instantie.
 

Verwerkingsregister

Alle aspecten rond de diverse persoonsgegevens die onze organisatie verwerkt, worden door ons vastgelegd in een ‘verwerkingsregister van persoonsgegevens’. Hierin is vastgelegd welke gegevensgroepen door Promi worden onderkend en welke gegevens worden bewaard en eventueel doorgegeven worden aan derden en wat het doel daarvan is. Promi heeft voor het in werking treden van de GDPR wetgeving een analyse uitgevoerd om een goed beeld te hebben van de vastlegging en verwerking van alle persoonsgegevens en de risico’s die er rond de juistheid en de bescherming van die persoonsgegevens bestaan. Tevens zijn de generieke ICT beveiligingsmaatregelen geïnventariseerd, aangepast aan de eisen van de GDPR en vastgelegd in het verwerkingsregister. Daardoor kan worden bepaald en gemonitord of de technische en organisatorische maatregelen (nog) afdoende zijn. Secundair doel van het verwerkingsregister is dat aan belanghebbenden (betrokkenen, verwerkingsverantwoordelijken, toezichthouders, etc.) verantwoording kan worden afgelegd over het adequaat omgaan met persoonsgegevens.
 

Beschermen van persoonsgegevens bij derde partijen

Persoonsgegevens waar Promi verantwoordelijk voor is en die worden doorgegeven aan derde partijen worden ook beschermd, bijvoorbeeld: salarisverwerker en Arbodienst. Met de betreffende partijen die persoonsgegevens verwerken maakt Promi afspraken om de bescherming van deze gegevens te borgen en de aansprakelijkheid vast te leggen.
 

Melding incident persoonsgegevens (datalek)

Van een datalek is sprake als er een inbreuk is op de beveiliging van persoonsgegevens. Het gaat dan om toegang tot – of vernietiging, wijziging of het vrijkomen van – persoonsgegevens zonder dat dit de bedoeling was. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking van gegevens. Bij een datalek worden de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Voorbeelden van datalekken zijn: persoonsgegevens op een kwijtgeraakte USB-stick, een gestolen laptop of een inbraak in een databestand door een hacker.

Er zijn procedures opgesteld om een datalek direct na constatering te melden aan de privacy officer van Promi. Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het ongunstige gevolgen kan hebben voor zijn of haar persoonlijke levenssfeer.
 
Vragen

Indien er vragen, opmerkingen of klachten zijn met betrekking tot de verwerking van persoonsgegevens, neem dan contact met ons op.

 

Promi B.V.

Wegacker 60, 1965 TJ Heemskerk

info@promibv.nl, tel. +31651577946

KVK-nummer 34279106