{"id":3,"date":"2020-06-30T17:55:43","date_gmt":"2020-06-30T17:55:43","guid":{"rendered":"https:\/\/staging.360explore.com\/?page_id=3"},"modified":"2022-04-14T23:17:13","modified_gmt":"2022-04-14T21:17:13","slug":"privacy-policy","status":"publish","type":"page","link":"https:\/\/360explore.com\/nl\/privacy-policy\/","title":{"rendered":"Privacybeleid 360\u00b0\u00a0Explore"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">1 &#8211; INLEIDING<\/h2>\n\n\n\n<p>Dit privacybeleid beschrijft op welke wijze 360\u00b0 Explore zorgdraagt voor een effectieve bescherming van de privacy van klanten, medewerkers en andere betrokkenen. Het verbindt de individuele documenten tot een geheel. Het privacybeleid is afgestemd op de eisen die door de Algemene Verordening Gegevensbescherming (AVG) worden gesteld.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Evenwichtige risicoge\u00f6rienteerde aanpak<\/h3>\n\n\n\n<p>De belangen van 360\u00b0 Explore, van de betrokkene en van derden worden meegewogen in het privacybeleid en de uitvoering ervan. Maatregelen worden afgestemd op de privacyrisico\u2019s waarbij een balans wordt gevonden tussen de privacyrisico\u2019s en de kosten en inspanningen die maatregelen met zich meebrengen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Algemene beoordeling privacyrisico<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Gevoeligheid persoonsgegevens<\/h4>\n\n\n\n<p>Binnen 360\u00b0 Explore wordt\/worden<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>in zeer beperkte mate bijzondere\/gevoelige persoonsgegevens verwerkt; deze worden versleuteld opgeslagen resp. voor slechts korte duur;<\/li><li>geen gebruik gemaakt van profilering;<\/li><li>geen gebruik gemaakt van (automatische) besluitvorming gebaseerd op profielen.<\/li><\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Omvang gegevensbestand<\/h4>\n\n\n\n<p>360\u00b0 Explore verwerkt persoonsgegevens van een relatief klein aantal betrokkenen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Betrokkenen<\/h4>\n\n\n\n<p>De betrokkenen zijn grotendeels niet een doelgroep die extra bescherming behoeft (zoals kinderen).<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Conclusie<\/h4>\n\n\n\n<p>Op grond van het bovenstaande is het algemene privacyrisico binnen 360\u00b0 Explore in te schatten als relatief klein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2 &#8211; SPELERS<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Management<\/h3>\n\n\n\n<p>Binnen het management is Peter Mienes verantwoordelijk voor de portefeuille privacy. Jaarlijks staat de bespreking van de effectiviteit van het privacybeleid op de agenda van het management.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Privacyverantwoordelijke<\/h3>\n\n\n\n<p>Binnen de onderneming is Peter Mienes aangewezen als privacyverantwoordelijke. Deze persoon houdt toezicht op de uitvoering van het privacybeleid en zorgt voor de evaluatie en ontwikkeling van het privacybeleid. Deze persoon is aanspreekpunt voor privacygerelateerde vragen en verzoeken van medewerkers en van betrokkenen. Deze persoon is bereikbaar via <a href=\"mailto:basecamp@360explore.com\">basecamp@360explore.com<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Proceseigenaar<\/h3>\n\n\n\n<p>Medewerkers die verantwoordelijk zijn voor een proces waarbij persoonsgegevens worden verwerkt zijn verantwoordelijk voor de waarborging van de privacy binnen dat proces. Hierdoor komt de waarborging van privacy zo dicht mogelijk bij de medewerkers te liggen die de persoonsgegevens verwerken. De procesverantwoordelijke medewerkers worden indien nodig getraind zodat zij deze taak met de nodige kennis kunnen uitvoeren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Medewerkers<\/h3>\n\n\n\n<p>Alle medewerkers hebben een verantwoordelijkheid om correct met persoonsgegevens en de software en hardware waarop deze staan opgeslagen om te gaan. De medewerkers zijn ge\u00efnformeerd en indien nodig getraind over hoe dient te worden omgegaan met persoonsgegevens binnen de onderneming.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Adviseur &#8211; privacyexpert<\/h3>\n\n\n\n<p>Voor praktische of juridische vraagstukken over privacy kan via de privacyverantwoordelijke contact worden opgenomen met Kompas Juristen (tel: 020-7552416 \/ mail: <a href=\"mailto:info@kompasjuristen.nl\">info@kompasjuristen.nl<\/a>).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Betrokkenen<\/h3>\n\n\n\n<p>De natuurlijke personen van wie de persoonsgegevens worden verzameld zijn de betrokkenen. De belangrijkste groepen betrokkenen binnen de onderneming zijn de klanten, de potenti\u00eble klanten en de medewerkers.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">PRIVACYCULTUUR<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Trainen &amp; informeren van medewerkers<\/h3>\n\n\n\n<p>Medewerkers worden ge\u00efnformeerd over het privacybeleid van de onderneming en over het waarborgen van privacy in relatie tot de persoonsgegevens waar de medewerkers mee in aanraking komen. Medewerkers worden ge\u00efnformeerd over de rechten die betrokkenen hebben en hoe deze rechten specifiek binnen de onderneming kunnen worden uitgeoefend. Medewerkers die verantwoordelijk zijn voor processen waarbij persoonsgegevens worden verwerkt, worden getraind op welke wijze zij deze processen AVG-conform en privacyvriendelijk kunnen inrichten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Privacy meewegen in de besluitvorming<\/h3>\n\n\n\n<p>Bij de aanschaf van nieuwe software, clouddiensten of hardware wordt de waarborging van privacy als factor meegewogen in het aankoop- en ontwikkelproces door onder meer \u2018privacy by design\u2019 en de beveiliging van persoonsgegevens te beoordelen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Melding door medewerkers<\/h3>\n\n\n\n<p>Medewerkers worden gestimuleerd om verbeteringen met betrekking tot privacy aan te dragen. Jaarlijks krijgen medewerkers hiertoe een oproep.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4 &#8211; ONDERDELEN VAN HET PRIVACYBELEID<\/h2>\n\n\n\n<p>Om de privacy van betrokkenen te waarborgen en om te voldoen aan de eisen de die AVG stelt aan de verwerking van persoonsgegevens worden de navolgende punten binnen de onderneming in acht genomen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Beoordeling en aanpassing van processen (privacy by design &amp; default)<\/h3>\n\n\n\n<p>Bij de aanpassing van processen en in het bijzonder de aanschaf of ontwikkeling van nieuwe IT systemen wordt er een verantwoordelijke aangesteld die een beoordeling maakt van de privacyaspecten en passende maatregelen implementeert ter waarborging van de privacy. Deze beoordeling wordt gegoten in de vorm van een privacy impact assessment (PIA) indien de privacyrisico\u2019s voor de betrokkenen waarschijnlijk groot zijn. Bij de inrichting van processen worden enkel de noodzakelijke gegevens verwerkt en deze gegevens worden niet verder in de onderneming verwerkt dan nodig voor de doeleinden waarvoor deze zijn verkregen of doelen die daarmee verenigbaar zijn (dataminimalisatie).Bij de inrichting van processen worden privacybevorderende maatregelen genomen. Bij de inrichting van processen wordt beoordeeld op welke wijze niet meer noodzakelijke data effectief en effici\u00ebnt kan worden verwijderd.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Verwerkingsregister<\/strong><\/h3>\n\n\n\n<p>Binnen de onderneming is er op een centraal punt een register met daarin opgenomen welke persoonsgegevens binnen welke processen worden verwerkt. Het verwerkingsregister is opgesteld per proces waarin in ieder geval is opgenomen:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>de categorie\u00ebn persoonsgegevens,<\/li><li>de categorie\u00ebn betrokkenen<\/li><li>de doeleinden van de verwerking,<\/li><li>de grondslag, het gerechtvaardigd belang indien dit de grondslag vormt,<\/li><li>de bewaartermijnen,<\/li><li>met welke partijen buiten de onderneming de persoonsgegevens worden gedeeld.<\/li><li>of persoonsgegevens worden doorgegeven naar landen buiten de EU en zo ja welke landen. (Dit ziet voornamelijk op dataopslag buiten de EU door verwerkers. Doorgifte aan reisdienstverleners wordt niet opgenomen in het register.)<\/li><\/ul>\n\n\n\n<p>De procesverantwoordelijke bezit zelf ook een versie van het verwerkingsregister voor zijn proces.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Bewaartermijnen en verwijderen van gegevens<\/h3>\n\n\n\n<p>Voor ieder proces binnen de onderneming waarbij persoonsgegevens worden verzameld, bepaalt de procesverantwoordelijke de bewaartermijnen van de verzamelde gegevens (bewaren mag niet langer dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens zijn verkregen). De procesverantwoordelijke stelt een protocol op voor het proces hoe de niet-noodzakelijke persoonsgegevens c.q. persoonsgegevens waarvan de bewaartermijn is verstreken zo effici\u00ebnt mogelijk worden verwijderd. Het wordt gestimuleerd om dit geautomatiseerd of semi-geautomatiseerd te doen. Bij de aanschaf of ontwikkeling van nieuwe IT-systemen wordt rekening gehouden of het systeem is ingericht om effici\u00ebnt niet meer noodzakelijke persoonsgegevens te verwijderen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Beveiliging<\/h3>\n\n\n\n<p>Er worden passende technische en organisatorische beveiligingsmaatregelen genomen, rekening houdend met de stand van de techniek en de uitvoeringskosten, om een op het risico afgestemd beveiligingsniveau te waarborgen.<\/p>\n\n\n\n<p>Onder meer de beveiligingsmaatregelen uit de volgende bronnen worden overwogen:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>Richtsnoeren beveiliging persoonsgegevens (website Autoriteit Persoonsgegevens)<\/li><li>Code voor informatiebeveiliging &#8211; ISO 27002<\/li><li>Relevante adviezen van het Nationaal Cyber Security Centrum<\/li><\/ul>\n\n\n\n<p>Voor zover gebruik wordt gemaakt van webapplicaties eveneens:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>OWASP top 10 (actuele versie)<\/li><li>ICT beveiligingsrichtlijn voor webapplicaties (website Nationaal Cyber Security Centrum) (actuele versie)<\/li><\/ul>\n\n\n\n<p>De genomen beveiligingsmaatregelen zijn gedocumenteerd in het interne document \u2018Databeveiligingsmaatregelen\u2019. Jaarlijks wordt de effectiviteit van de beveiligingsmaatregelen ge\u00ebvalueerd.<br>Een beveiligingstest geschiedt jaarlijks voor de website en e-mail via www.internet.nl.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Beoordeling verwerkers en verwerkersovereenkomsten<\/strong><\/h3>\n\n\n\n<p>Ingeschakelde verwerkers dienen voldoende garantie te bieden dat zij voldoen aan de AVG en de persoonsgegevens passend beveiligen. Het aansluiten bij een overeenkomstig de AVG goedgekeurde gedragscode (art. 40 AVG) of een goedgekeurd certificeringsmechanisme (art. 42 AVG) kan worden gebruikt als element om aan te tonen dat voldoende garanties worden geboden. Met verwerkers wordt een adequate verwerkersovereenkomst gesloten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong><strong>Telewerken &amp; BYOD<\/strong><\/strong><\/h3>\n\n\n\n<p>Voor medewerkers die buiten het terrein van de onderneming (\u2018telewerken\u2019) en\/of op eigen apparatuur (\u2018Bring Your Own Device\u2019)(in functie) persoonsgegevens verwerken geldt het beleid \u2018Telewerken &amp; BYOD\u2019<\/p>\n\n\n\n<p>Medewerkers die buiten het terrein van de onderneming (in functie) persoonsgegevens verwerken hebben het beleid telewerken ontvangen en gelezen\/ondertekend.&nbsp;<\/p>\n\n\n\n<p>Medewerkers die op eigen apparatuur, zoals laptop, tablet, telefoon,\u2026, (in functie) persoonsgegevens verwerken hebben het beleid \u2018Telewerken&amp; BYOD\u2019 ontvangen en gelezen\/ondertekend.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Overeenkomsten met medewerkers en vrijwilligers<\/strong><\/h3>\n\n\n\n<p>Met medewerkers is een geheimhoudingsbeding overeengekomen via de &#8216;Voorwaarden omtrent toegang tot informatie van 360\u00b0 Explore&#8217;. Hierin is opgenomen dat de medewerker is gehouden tot geheimhouding van persoonsgegevens waar de medewerker uit hoofde van de arbeidsrelatie kennis van heeft. De verplichting duurt voort na het einde van de relatie. Voor zover de onderneming gebruik maakt van vrijwilligers, stagiaires, e.d. wordt een geheimhoudingsverklaring van gelijke strekking overeengekomen, afhankelijk van het type gegevens waartoe zij toegang krijgen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Rechten van betrokkenen<\/strong><\/h3>\n\n\n\n<p>Indien een betrokkene zijn recht conform de AVG wil uitoefenen kan de betrokkene hiertoe schriftelijk een verzoek indienen. Dit verzoek mag worden gericht aan de privacyverantwoordelijke. Indien de betrokkene op andere wijze een verzoek indient wordt het verzoek doorgestuurd aan de privacyverantwoordelijke. De privacyverantwoordelijke neemt zo nodig contact op met de betrokkene.<\/p>\n\n\n\n<p>De privacyverantwoordelijke co\u00f6rdineert de afhandeling van het verzoek en controleert de naleving van het verzoek.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Informatie van betrokkenen<\/strong><\/h3>\n\n\n\n<p>Per proces is de toepasselijkheid en deugdelijkheid van de privacyverklaring gecontroleerd. De betrokkenen worden op de volgende wijze ge\u00efnformeerd:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>Klanten &gt; privacyverklaring website (dit document)<\/li><li>Websitebezoekers &gt; Cookietekst op de landingspagina + privacyverklaring website<\/li><li>Medewerkers &gt; privacy paragraaf Operational Handbook<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Vragen, opmerkingen &amp; klachten<\/strong><\/h3>\n\n\n\n<p>Betrokkenen met vragen, opmerkingen of klachten over hoe 360\u00b0&nbsp;Explore omgaat met persoonsgegevens, kunnen deze richten aan <a href=\"mailto:basecamp@360explore.com\">basecamp@360explore.com<\/a>. Uiterlijk binnen 4 weken zal hierop worden gereageerd.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Beveiligingsincidenten &amp; datalekken<\/h3>\n\n\n\n<p>Zo veel mogelijk handelingen in IT systemen worden gelogd om te kunnen achterhalen wie toegang heeft gehad tot welke persoonsgegevens, of onrechtmatige toegang is verkregen tot persoonsgegevens en of hier pogingen toe zijn ondernomen.<\/p>\n\n\n\n<p>Er geldt een intern protocol datalekken. Bij alle medewerkers is het protocol datalekken bekend. Datalekken en ook beveiligingsincidenten zonder gevolgen worden ge\u00ebvalueerd en geregistreerd door de privacyverantwoordelijke.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">PIA<\/h3>\n\n\n\n<p>De privacyverantwoordelijke voert \u2013 al dan niet met externe hulp &#8211; een Privacy Impact Assessment (PIA) uit indien de verwerking:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>gelet op de aard, omvang, context en doeleinden<\/li><li>waarschijnlijk&nbsp;<\/li><li>een hoog privacy risico oplevert voor de betrokkenen.<\/li><\/ul>\n\n\n\n<p>Dat is in ieder geval zo als:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>systematisch en uitvoerig persoonlijke aspecten geautomatiseerd worden ge\u00ebvalueerd (waaronder profileren),<\/li><li>op grote schaal bijzondere persoonsgegevens worden verwerkt,<\/li><li>op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied.<\/li><\/ul>\n\n\n\n<p>Bij 360\u00b0&nbsp;Explore is dit niet het geval.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>5 &#8211; AANTOONBAARHEID<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Documentatie<\/h3>\n\n\n\n<p>De volgende geactualiseerde documenten zijn centraal opgeslagen in de map privacy:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>Het privacybeleid inclusief beveiligingsbeleid&nbsp;<\/li><li>De verwerkingsregisters per proces<\/li><li>Verwijderingsprotocollen per proces<\/li><li>Een kopie van de privacyverklaringen<\/li><li>Een kopie van de verwerkersovereenkomsten<\/li><li>Het beleid \u2018Telewerken en BYOD\u2019&nbsp;<\/li><li>Het protocol datalekken<\/li><li>Autorisatieschema (welke medewerker heeft toegang tot welke gegevens)<\/li><li>IT-beheerdocument (wie heeft welk mobiele apparaat)<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Effectiviteit van het beleid\/self-assessment<\/strong><\/h3>\n\n\n\n<p>De effectiviteit van het privacy wordt gemeten met een self-assessment aan de hand van de parameters actualiteit en volledigheid voor de volgende punten:<\/p>\n\n\n\n<ul class=\"c-list wp-block-list\"><li>Worden per proces niet meer gegevens dan noodzakelijk verzameld?<\/li><li>Zijn de verwerkingsregisters voor alle processen actueel en volledig?<\/li><li>Zijn de beveiligingsmaatregelen actueel en volledig?<ul><li>beveiligingstest website en e-mail via <a href=\"http:\/\/www.internet.nl\" target=\"_blank\" rel=\"noopener\">www.internet.nl<\/a>&nbsp;<\/li><\/ul><\/li><li>Zijn met alle medewerkers\/stagiaires\/e.d. geheimhoudingsovereenkomsten getekend?<\/li><li>Zijn de persoonsgegevens waarvan de bewaartermijn is overschreden verwijderd?<\/li><li>Zijn de privacyverklaringen voor alle processen actueel en volledig?<\/li><li>Zijn alle verwerkers beoordeeld op de factor privacy &amp; databeveiliging en zijn er adequate verwerkersovereenkomsten gesloten?<\/li><\/ul>\n\n\n\n<p>De meting geschiedt per proces waarbij de procesverantwoordelijke de beoordeling uitvoert en zo nodig overlegt met de privacyverantwoordelijke.<\/p>\n\n\n\n<p>Aanvullend worden de beveiligingsincidenten en de privacygerelateerde klachten ge\u00ebvalueerd.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Evaluatie en continu\u00efteit<\/strong><\/h3>\n\n\n\n<p>Het privacybeleid en de uitvoeringsmaatregelen worden op regelmatige basis maar in ieder geval jaarlijks beoordeeld en aangepast waar nodig (plan-do-check-act cyclus).<\/p>\n\n\n\n<p>Indien processen tussentijds veranderen wordt de factor privacy meegewogen in de aanpassing en worden het beleid en de documentatie van privacymaatregelen aangepast op de nieuwe situatie.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>1 &#8211; INLEIDING Dit privacybeleid beschrijft op welke wijze 360\u00b0 Explore zorgdraagt voor een effectieve bescherming van de privacy van klanten, medewerkers en andere betrokkenen. Het verbindt de individuele documenten tot een geheel. Het privacybeleid is afgestemd op de eisen die door de Algemene Verordening Gegevensbescherming (AVG) worden gesteld. Evenwichtige risicoge\u00f6rienteerde aanpak De belangen van [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"open","template":"","meta":{"_acf_changed":false,"_trash_the_other_posts":false,"editor_notices":[],"footnotes":""},"class_list":["post-3","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/pages\/3"}],"collection":[{"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/comments?post=3"}],"version-history":[{"count":2,"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/pages\/3\/revisions"}],"predecessor-version":[{"id":5021,"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/pages\/3\/revisions\/5021"}],"wp:attachment":[{"href":"https:\/\/360explore.com\/nl\/wp-json\/wp\/v2\/media?parent=3"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}