Privacybeleid 360° Explore

Privacybeleid 360° Explore

1 – INLEIDING

Dit privacybeleid beschrijft op welke wijze 360° Explore zorgdraagt voor een effectieve bescherming van de privacy van klanten, medewerkers en andere betrokkenen. Het verbindt de individuele documenten tot een geheel. Het privacybeleid is afgestemd op de eisen die door de Algemene Verordening Gegevensbescherming (AVG) worden gesteld.

Evenwichtige risicogeörienteerde aanpak

De belangen van 360° Explore, van de betrokkene en van derden worden meegewogen in het privacybeleid en de uitvoering ervan. Maatregelen worden afgestemd op de privacyrisico’s waarbij een balans wordt gevonden tussen de privacyrisico’s en de kosten en inspanningen die maatregelen met zich meebrengen.

Algemene beoordeling privacyrisico

Gevoeligheid persoonsgegevens

Binnen 360° Explore wordt/worden

• in zeer beperkte mate bijzondere/gevoelige persoonsgegevens verwerkt; deze worden versleuteld opgeslagen resp. voor slechts korte duur;
• geen gebruik gemaakt van profilering;
• geen gebruik gemaakt van (automatische) besluitvorming gebaseerd op profielen.

Omvang gegevensbestand

360° Explore verwerkt persoonsgegevens van een relatief klein aantal betrokkenen.

Betrokkenen

De betrokkenen zijn grotendeels niet een doelgroep die extra bescherming behoeft (zoals kinderen).

Conclusie

Op grond van het bovenstaande is het algemene privacyrisico binnen 360° Explore in te schatten als relatief klein.

2 – SPELERS

Management

Binnen het management is Peter Mienes verantwoordelijk voor de portefeuille privacy. Jaarlijks staat de bespreking van de effectiviteit van het privacybeleid op de agenda van het management.

Privacyverantwoordelijke

Binnen de onderneming is Peter Mienes aangewezen als privacyverantwoordelijke. Deze persoon houdt toezicht op de uitvoering van het privacybeleid en zorgt voor de evaluatie en ontwikkeling van het privacybeleid. Deze persoon is aanspreekpunt voor privacygerelateerde vragen en verzoeken van medewerkers en van betrokkenen. Deze persoon is bereikbaar via basecamp@360explore.com.

Proceseigenaar

Medewerkers die verantwoordelijk zijn voor een proces waarbij persoonsgegevens worden verwerkt zijn verantwoordelijk voor de waarborging van de privacy binnen dat proces. Hierdoor komt de waarborging van privacy zo dicht mogelijk bij de medewerkers te liggen die de persoonsgegevens verwerken. De procesverantwoordelijke medewerkers worden indien nodig getraind zodat zij deze taak met de nodige kennis kunnen uitvoeren.

Medewerkers

Alle medewerkers hebben een verantwoordelijkheid om correct met persoonsgegevens en de software en hardware waarop deze staan opgeslagen om te gaan. De medewerkers zijn geïnformeerd en indien nodig getraind over hoe dient te worden omgegaan met persoonsgegevens binnen de onderneming.

Adviseur – privacyexpert

Voor praktische of juridische vraagstukken over privacy kan via de privacyverantwoordelijke contact worden opgenomen met Kompas Juristen (tel: 020-7552416 / mail: info@kompasjuristen.nl).

Betrokkenen

De natuurlijke personen van wie de persoonsgegevens worden verzameld zijn de betrokkenen. De belangrijkste groepen betrokkenen binnen de onderneming zijn de klanten, de potentiële klanten en de medewerkers.

PRIVACYCULTUUR

Trainen & informeren van medewerkers

Medewerkers worden geïnformeerd over het privacybeleid van de onderneming en over het waarborgen van privacy in relatie tot de persoonsgegevens waar de medewerkers mee in aanraking komen. Medewerkers worden geïnformeerd over de rechten die betrokkenen hebben en hoe deze rechten specifiek binnen de onderneming kunnen worden uitgeoefend. Medewerkers die verantwoordelijk zijn voor processen waarbij persoonsgegevens worden verwerkt, worden getraind op welke wijze zij deze processen AVG-conform en privacyvriendelijk kunnen inrichten.

Privacy meewegen in de besluitvorming

Bij de aanschaf van nieuwe software, clouddiensten of hardware wordt de waarborging van privacy als factor meegewogen in het aankoop- en ontwikkelproces door onder meer ‘privacy by design’ en de beveiliging van persoonsgegevens te beoordelen.

Melding door medewerkers

Medewerkers worden gestimuleerd om verbeteringen met betrekking tot privacy aan te dragen. Jaarlijks krijgen medewerkers hiertoe een oproep.

4 – ONDERDELEN VAN HET PRIVACYBELEID

Om de privacy van betrokkenen te waarborgen en om te voldoen aan de eisen de die AVG stelt aan de verwerking van persoonsgegevens worden de navolgende punten binnen de onderneming in acht genomen.

Beoordeling en aanpassing van processen (privacy by design & default)

Bij de aanpassing van processen en in het bijzonder de aanschaf of ontwikkeling van nieuwe IT systemen wordt er een verantwoordelijke aangesteld die een beoordeling maakt van de privacyaspecten en passende maatregelen implementeert ter waarborging van de privacy. Deze beoordeling wordt gegoten in de vorm van een privacy impact assessment (PIA) indien de privacyrisico’s voor de betrokkenen waarschijnlijk groot zijn. Bij de inrichting van processen worden enkel de noodzakelijke gegevens verwerkt en deze gegevens worden niet verder in de onderneming verwerkt dan nodig voor de doeleinden waarvoor deze zijn verkregen of doelen die daarmee verenigbaar zijn (dataminimalisatie).Bij de inrichting van processen worden privacybevorderende maatregelen genomen. Bij de inrichting van processen wordt beoordeeld op welke wijze niet meer noodzakelijke data effectief en efficiënt kan worden verwijderd.

Verwerkingsregister

Binnen de onderneming is er op een centraal punt een register met daarin opgenomen welke persoonsgegevens binnen welke processen worden verwerkt. Het verwerkingsregister is opgesteld per proces waarin in ieder geval is opgenomen:

• de categorieën persoonsgegevens,
• de categorieën betrokkenen
• de doeleinden van de verwerking,
• de grondslag, het gerechtvaardigd belang indien dit de grondslag vormt,
• de bewaartermijnen,
• met welke partijen buiten de onderneming de persoonsgegevens worden gedeeld.
• of persoonsgegevens worden doorgegeven naar landen buiten de EU en zo ja welke landen. (Dit ziet voornamelijk op dataopslag buiten de EU door verwerkers. Doorgifte aan reisdienstverleners wordt niet opgenomen in het register.)

De procesverantwoordelijke bezit zelf ook een versie van het verwerkingsregister voor zijn proces.

Bewaartermijnen en verwijderen van gegevens

Voor ieder proces binnen de onderneming waarbij persoonsgegevens worden verzameld, bepaalt de procesverantwoordelijke de bewaartermijnen van de verzamelde gegevens (bewaren mag niet langer dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens zijn verkregen). De procesverantwoordelijke stelt een protocol op voor het proces hoe de niet-noodzakelijke persoonsgegevens c.q. persoonsgegevens waarvan de bewaartermijn is verstreken zo efficiënt mogelijk worden verwijderd. Het wordt gestimuleerd om dit geautomatiseerd of semi-geautomatiseerd te doen. Bij de aanschaf of ontwikkeling van nieuwe IT-systemen wordt rekening gehouden of het systeem is ingericht om efficiënt niet meer noodzakelijke persoonsgegevens te verwijderen.

Beveiliging

Er worden passende technische en organisatorische beveiligingsmaatregelen genomen, rekening houdend met de stand van de techniek en de uitvoeringskosten, om een op het risico afgestemd beveiligingsniveau te waarborgen.

Onder meer de beveiligingsmaatregelen uit de volgende bronnen worden overwogen:

• Richtsnoeren beveiliging persoonsgegevens (website Autoriteit Persoonsgegevens)
• Code voor informatiebeveiliging – ISO 27002
• Relevante adviezen van het Nationaal Cyber Security Centrum

Voor zover gebruik wordt gemaakt van webapplicaties eveneens:

• OWASP top 10 (actuele versie)
• ICT beveiligingsrichtlijn voor webapplicaties (website Nationaal Cyber Security Centrum) (actuele versie)

De genomen beveiligingsmaatregelen zijn gedocumenteerd in het interne document ‘Databeveiligingsmaatregelen’. Jaarlijks wordt de effectiviteit van de beveiligingsmaatregelen geëvalueerd.
Een beveiligingstest geschiedt jaarlijks voor de website en e-mail via www.internet.nl.

Beoordeling verwerkers en verwerkersovereenkomsten

Ingeschakelde verwerkers dienen voldoende garantie te bieden dat zij voldoen aan de AVG en de persoonsgegevens passend beveiligen. Het aansluiten bij een overeenkomstig de AVG goedgekeurde gedragscode (art. 40 AVG) of een goedgekeurd certificeringsmechanisme (art. 42 AVG) kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden. Met verwerkers wordt een adequate verwerkersovereenkomst gesloten.

Telewerken & BYOD

Voor medewerkers die buiten het terrein van de onderneming (‘telewerken’) en/of op eigen apparatuur (‘Bring Your Own Device’)(in functie) persoonsgegevens verwerken geldt het beleid ‘Telewerken & BYOD’

Medewerkers die buiten het terrein van de onderneming (in functie) persoonsgegevens verwerken hebben het beleid telewerken ontvangen en gelezen/ondertekend. 

Medewerkers die op eigen apparatuur, zoals laptop, tablet, telefoon,…, (in functie) persoonsgegevens verwerken hebben het beleid ‘Telewerken& BYOD’ ontvangen en gelezen/ondertekend.

Overeenkomsten met medewerkers en vrijwilligers

Met medewerkers is een geheimhoudingsbeding overeengekomen via de ‘Voorwaarden omtrent toegang tot informatie van 360° Explore’. Hierin is opgenomen dat de medewerker is gehouden tot geheimhouding van persoonsgegevens waar de medewerker uit hoofde van de arbeidsrelatie kennis van heeft. De verplichting duurt voort na het einde van de relatie. Voor zover de onderneming gebruik maakt van vrijwilligers, stagiaires, e.d. wordt een geheimhoudingsverklaring van gelijke strekking overeengekomen, afhankelijk van het type gegevens waartoe zij toegang krijgen.

Rechten van betrokkenen

Indien een betrokkene zijn recht conform de AVG wil uitoefenen kan de betrokkene hiertoe schriftelijk een verzoek indienen. Dit verzoek mag worden gericht aan de privacyverantwoordelijke. Indien de betrokkene op andere wijze een verzoek indient wordt het verzoek doorgestuurd aan de privacyverantwoordelijke. De privacyverantwoordelijke neemt zo nodig contact op met de betrokkene.

De privacyverantwoordelijke coördineert de afhandeling van het verzoek en controleert de naleving van het verzoek.

Informatie van betrokkenen

Per proces is de toepasselijkheid en deugdelijkheid van de privacyverklaring gecontroleerd. De betrokkenen worden op de volgende wijze geïnformeerd:

• Klanten > privacyverklaring website (dit document)
• Websitebezoekers > Cookietekst op de landingspagina + privacyverklaring website
• Medewerkers > privacy paragraaf Operational Handbook

Vragen, opmerkingen & klachten

Betrokkenen met vragen, opmerkingen of klachten over hoe 360° Explore omgaat met persoonsgegevens, kunnen deze richten aan basecamp@360explore.com. Uiterlijk binnen 4 weken zal hierop worden gereageerd.

Beveiligingsincidenten & datalekken

Zo veel mogelijk handelingen in IT systemen worden gelogd om te kunnen achterhalen wie toegang heeft gehad tot welke persoonsgegevens, of onrechtmatige toegang is verkregen tot persoonsgegevens en of hier pogingen toe zijn ondernomen.

Er geldt een intern protocol datalekken. Bij alle medewerkers is het protocol datalekken bekend. Datalekken en ook beveiligingsincidenten zonder gevolgen worden geëvalueerd en geregistreerd door de privacyverantwoordelijke.

PIA

De privacyverantwoordelijke voert – al dan niet met externe hulp – een Privacy Impact Assessment (PIA) uit indien de verwerking:

• gelet op de aard, omvang, context en doeleinden
• waarschijnlijk 
• een hoog privacy risico oplevert voor de betrokkenen.

Dat is in ieder geval zo als:

• systematisch en uitvoerig persoonlijke aspecten geautomatiseerd worden geëvalueerd (waaronder profileren),
• op grote schaal bijzondere persoonsgegevens worden verwerkt,
• op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied.

Bij 360° Explore is dit niet het geval.

5 – AANTOONBAARHEID

Documentatie

De volgende geactualiseerde documenten zijn centraal opgeslagen in de map privacy:

• Het privacybeleid inclusief beveiligingsbeleid 
• De verwerkingsregisters per proces
• Verwijderingsprotocollen per proces
• Een kopie van de privacyverklaringen
• Een kopie van de verwerkersovereenkomsten
• Het beleid ‘Telewerken en BYOD’ 
• Het protocol datalekken
• Autorisatieschema (welke medewerker heeft toegang tot welke gegevens)
• IT-beheerdocument (wie heeft welk mobiele apparaat)

Effectiviteit van het beleid/self-assessment

De effectiviteit van het privacy wordt gemeten met een self-assessment aan de hand van de parameters actualiteit en volledigheid voor de volgende punten:

• Worden per proces niet meer gegevens dan noodzakelijk verzameld?
• Zijn de verwerkingsregisters voor alle processen actueel en volledig?
• Zijn de beveiligingsmaatregelen actueel en volledig?
  • beveiligingstest website en e-mail via www.internet.nl 
• Zijn met alle medewerkers/stagiaires/e.d. geheimhoudingsovereenkomsten getekend?
• Zijn de persoonsgegevens waarvan de bewaartermijn is overschreden verwijderd?
• Zijn de privacyverklaringen voor alle processen actueel en volledig?
• Zijn alle verwerkers beoordeeld op de factor privacy & databeveiliging en zijn er adequate verwerkersovereenkomsten gesloten?

De meting geschiedt per proces waarbij de procesverantwoordelijke de beoordeling uitvoert en zo nodig overlegt met de privacyverantwoordelijke.

Aanvullend worden de beveiligingsincidenten en de privacygerelateerde klachten geëvalueerd.

Evaluatie en continuïteit

Het privacybeleid en de uitvoeringsmaatregelen worden op regelmatige basis maar in ieder geval jaarlijks beoordeeld en aangepast waar nodig (plan-do-check-act cyclus).

Indien processen tussentijds veranderen wordt de factor privacy meegewogen in de aanpassing en worden het beleid en de documentatie van privacymaatregelen aangepast op de nieuwe situatie.