Privacyverklaring Verhoeks & Provily

Artikel 1. Contactgegevens

Verhoeks & Provily, vertegenwoordigd door mevr. T.J. Verhoeks-Stolk en mevr. E.H.C. Provily. Contactgegevens zijn 010 – 307 39 66 of info@vp-advies.nl.

Artikel 2. Functionaris Gegevensbescherming

Omdat Verhoeks & Provily geen overheidsinstantie of overheidsorgaan is, geen bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal verwerkt en niet (op grote schaal) aan regelmatige of stelselmatige observatie van betrokkenen doet, is er geen functionaris gegevensbescherming (FG) vereist.

Artikel 3. Doeleinden en rechtsgronden van verwerking persoonsgegevens

Verhoeks & Provily verwerkt gewone persoonsgegevens van cliënten. Deze worden verwerkt omdat deze gegevens noodzakelijk zijn voor de uitvoering van de overeenkomst. Om de overeenkomst uit te voeren en post te kunnen versturen aan cliënten, zijn de persoons- en adresgegevens vereist. De geboortedatum is nodig voor diverse testsystemen en het geven van een passend (loopbaan)advies. Het e-mailadres en telefoonnummer zijn vereist om contact met de cliënt te kunnen hebben. Van de websitebezoekers worden persoonsgegevens verwerkt, met als doeleinde websitemanagement en managing van online marketing.

Artikel 4. Bewaartermijn

De bewaartermijn voor afgesloten dossiers bedraagt vijf jaar. Na vijf kalenderjaren worden de dossiers en persoonsgegevens vernietigd.

Artikel 5. Categorieën van ontvangers persoonsgegevens

De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt zijn testsysteem Hogrefe, testsysteem Pearson, Mailchimp, Drive, The Feedback Company en Searchflow. Met deze ontvangers zijn verwerkersovereenkomsten ondertekend.

Verhoeks & Provily deelt de gegevens niet met een land of internationale organisatie buiten de EU.

Artikel 6. Data protection impact assessment

Een data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Dit is alleen verplicht als de gegevensverwerking een hoog privacyrisico oplevert voor de personen van wie Verhoeks & Provily de persoonsgegevens verwerkt. Verhoeks & Provily voldoet aan geen of slechts 1 van de criteria hiervoor, waaruit blijkt dat er geen sprake is van een hoog privacyrisico. Vanwege dit argument is er geen DPIA uitgevoerd.

Artikel 7. Rechten van de betrokkenen

Betrokken zijn verplicht persoonsgegevens te verstrekken, zodat Verhoeks & Provily de overeenkomst kan uitvoeren. Als de persoonsgegevens niet worden verstrekt, kan er geen persoonlijk traject plaatsvinden en kan er geen persoonlijk rapport geschreven worden.

De rechten die betrokken hebben en hoe zij rechten kunnen uitoefenen, zijn als volgt:

  • Recht op inzage
  • Recht op correctie
  • Recht op verwijdering
  • Recht op rectificatie en aanvulling
  • Recht op vergetelheid
  • Recht op dataportabiliteit
  • Recht op beperking van de verwerking
  • Recht met betrekking tot geautomatiseerde besluitvorming en profilering
  • Recht van bezwaar

Cliënten kunnen hun rechten uitoefenen door een schriftelijk verzoek met kopie van een geldig paspoort, rijbewijs of identiteitsbewijs te versturen aan Verhoeks & Provily. Per adres: Lichtenauerlaan 102-120, 3062 ME in Rotterdam. Het verzoek mag ook per e-mail verstuurd worden naar info@vp-advies.nl. Op een verzoek wordt binnen 1 maand gereageerd. Voor dit verzoek worden geen kosten in rekening gebracht. Informatie aan de cliënt wordt middels een e-mail (met pdf-document) verstrekt.

Artikel 8. Geautomatiseerde besluitvorming

Verhoeks & Provily maakt geen gebruik van geautomatiseerde besluitvorming.

Artikel 9. Technische en organisatorische maatregelen

De technische en organisatorische maatregelen die genomen zijn om de persoonsgegevens die verwerkt worden te beveiligen, zijn:

  • Het beveiligen van het document waarin de persoonsgegevens opgeslagen zijn en het beveiligen van het document waarin de inloggegevens opgeslagen zijn.
  • Het opstellen van een privacyreglement.
  • Het opstellen van een verwerkingsregister.
  • Het opstellen van een gegevensbeschermingsbeleid.
  • Searchflow heeft de website volledig GDPR-proof gemaakt.
  • Het opstellen van een register datalek. Indien er sprake is van een datalek, wordt dit bijgehouden is het register datalek. Daarnaast wordt hier melding van gemaakt bij de betrokkenen en wordt de autoriteit persoonsgegevens hiervan op de hoogte gesteld. Zie ook artikel 10. Meldplicht.
  • Het opstellen van een register verzoek persoonsgegevens.

Beveiliging is een continue proces van plan, do, check en act. Daarom wordt de beveiliging frequent gemonitord en worden nieuwe beveiligingsmaatregelen ingezet in dit noodzakelijk blijkt te zijn. Daarom zijn daarnaast de volgende maatregelen van kracht:

  • Verhoeks & Provily controleert driemaandelijks of de software die gebruikt wordt up to date is.
  • Verhoeks & Provily maakt driemaandelijks een back-up van haar systeem op een beveiligde harde schijf.
  • Het mailverkeer is beveiligd middels een https-verbinding.
  • Verhoeks & Provily beveiligt documenten die persoonlijke informatie bevatten met een wachtwoord. Hiervoor is een tweestaps authenticatieproces ingesteld als het gaat om Google Drive. Daarnaast geldt dat de laptops en tablets waarop wordt gewerkt, zijn beveiligd met een wachtwoord. Als er een pauze wordt genomen of als de laptop op een andere manier (tijdelijk) onbeheerd wordt achtergelaten, wordt de device waarop gewerkt wordt versleuteld met een wachtwoord.
  • Geprinte documenten waarop persoonsgegevens van onze klanten of websitebezoekers staan moeten worden vernietigd in een papierversnipperaar.
  • Alle toegang tot persoonsgegevens wordt beperkt tot personen met deze bevoegdheid.

Artikel 10. Meldplicht

In het geval van ontdekking van een datalek (een inbreuk op de beveiliging van persoonsgegevens) die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft, voor de bescherming van persoonsgegevens. Vanaf 25 mei 2018 wordt onder een datalek verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van de of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal Verhoeks & Provily de Autoriteit Persoonsgegevens en eventuele betrokken informeren.

De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:

  • Wat de (vermeende) oorzaak is van het lek;
  • Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
  • Wat de (voorgestelde) oplossing is;
  • Contactgegevens voor de opvolging van de melding;
  • Het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
  • Een omschrijving van de groep personen van wie gegevens zijn gelekt;
  • Het soort of de soorten persoonsgegevens die gelekt zijn;
  • De datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
  • De datum en het tijdstop waarop het lek bekend is geworden;
  • Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt zijn voor onbevoegden;
  • Wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.