Privacybeleid

1. Inleiding

1.1 Algemeen

Score Utica verwerkt persoonsgegevens van natuurlijke personen (hierna: de “Betrokkene(n)”). Door middel van een algeheel privacybeleid zal Score Utica aantonen dat zij de geldende wet- en regelgeving inzake gegevensbescherming naleeft, en hiermee voldoen aan haar verantwoordingsplicht. Dit privacybeleid beschrijft de gehele (al dan niet geautomatiseerde) verwerking van persoonsgegevens door of op instructie van Score Utica.

Persoonsgegevens omvatten alle informatie over een geïdentificeerde dan wel identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator of van een of meer elementen die kenmerkend zijn voor de identiteit van die natuurlijke persoon.

In het kader van de verwerking van persoonsgegevens van en klanten (waaronder websitebezoekers) bepaalt Score Utica of er gegevens worden verwerkt en zo ja, welke verwerking, van welke persoonsgegevens, en voor welk doel. Score Utica kiest hiervoor tevens de middelen voor die verwerking. Score Utica kwalificeert derhalve als verwerkingsverantwoordelijke.

Voor de verwerking van persoonsgegevens in het kader van de door Score Utica aangeboden diensten voor cloudoplossingen en administratie doeleinden worden het doel van en de middelen voor bepaald door andere partijen die als verwerkingsverantwoordelijke kwalificeren. Voor deze verwerkingsactiviteiten kwalificeert Score Utica derhalve als verwerker (zie hiervoor hoofdstuk 3).

1.2 Juridisch kader

Het juridisch kader omtrent het verwerken van persoonsgegevens en gegevensbescherming wordt gevormd door:

  • de huidige Wet bescherming persoonsgegevens (hierna: “Wbp”), die per 25 mei 2018 door de Algemene verordening gegevensbescherming zal worden vervangen;
  • de Telecommunicatiewet 1998 (hierna: “Tw”);
  • de Algemene verordening gegevensbescherming (hierna: “AVG”), die vanaf 25 mei 2018 van toepassing is en op deze datum de Wbp vervangt;
  • de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: “UAVG”).

1.3 Basisbeginselen

Score Utica zal te allen tijde persoonsgegevens verwerken in lijn met de beginselen inzake de verwerking van persoonsgegevens zoals bedoeld in de AVG.

De persoonsgegevens zullen worden verwerkt op een wijze die ten aanzien van de Betrokkene rechtmatig, behoorlijk en transparant is. Zo is het voor Betrokkenen inzichtelijk in hoeverre en op welke manier hun persoonsgegevens worden verwerkt (zie hiervoor ook paragraaf 2.3), en zullen deze gegevens niet in strijd met de wet of op een anderszins onrechtmatige wijze worden verwerkt.

Grondslag(en)

De verwerking door Score Utica is gebaseerd op één of meer van de volgende grondslagen:

a. de Betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij Betrokkene partij is, of om op verzoek van Betrokkene vóór de sluiting van een overeenkomst maatregelen te treffen;

c. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op Score Utica rust;

d. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van Score Utica of van een derde, behalve wanner de belangen of de grondrechten en de fundamentele vrijheden van Betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen.

Doelbinding

De verzameling van persoonsgegevens vindt plaats voor welbepaalde, in de privacyverklaringen uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De persoonsgegevens zullen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Score Utica verwerkt de door of ten behoeve van haar verzamelde persoonsgegevens ten behoeve van de volgende doeleinden:

  • Aangaan en uitvoeren van overeenkomsten;
  • Relatiebeheer;
  • Nieuwsbrieven en/of mailings;
  • Personeelsbeheer;
  • Preventie, detectie en opvolging van fraude;

Dataminimalisatie

Score Utica zal de verzameling en verwerking van persoonsgegevens beperken tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt, en zal zorgdragen dat de persoonsgegevens die zij verzamelt en verwerkt toereikend en ter zake dienend zijn. De persoonsgegevens die niet meer noodzakelijk of onjuist zijn, zullen worden geanonimiseerd of verwijderd.

Opslagbeperking

Score Utica zal zorgdragen voor verwijdering of anonimisering van de persoonsgegevens indien deze niet meer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld. Voor zover de persoonsgegevens niet verwijderd worden, zullen de persoonsgegevens na deze periode enkel worden bewaard in een vorm die het niet mogelijk maakt de betrokkene te identificeren.

Beveiliging

Ter bescherming van de persoonsgegevens die door Score Utica worden verwerkt, zal Score Utica de passende technische en organisatorische maatregelen treffen. Het beleid inzake gegevensbeveiliging is vastgelegd in hoofdstuk 5.

2. Verwerking van persoonsgegevens, verwerkingsverantwoordelijke

2.1 Persoonsgegevens

Score Utica verzamelt en verwerkt bepaalde categorieën van persoonsgegevens van klanten, waaronder begrepen websitebezoekers.

In de hiernavolgende paragrafen zal worden aangegeven welke persoonsgegevens voor welke verwerkingsdoelen worden verwerkt, en om welke reden deze persoonsgegevens redelijkerwijs nodig zijn voor het doel. Daarnaast wordt vermeld op welke grondslag(en) de verwerking is gebaseerd, en welke bewaartermijnen worden gehanteerd.

2.1.1 Klanten

PersoonsgegevensDoeleindeGrondslag
NaamUitvoering overeenkomstUitvoering van overeenkomst
E-mailadresUitvoering overeenkomstUitvoering van overeenkomst
E-mailadresVersturen van nieuwsbrievenToestemming klant
TelefoonnummerUitvoering overeenkomstUitvoering van overeenkomst

Bovenstaande klantgegevens worden opgevraagd bij de klant middels het Klantformulier welke noodzakelijk is voor de uitvoering van de overeenkomst.

De persoonsgegevens die worden verwerkt in het kader van de (cloud)dienstverlening, waarbij Score Utica als verwerker fungeert, zijn afhankelijk van de soort gegevens die klanten verstrekken. In de verwerkersovereenkomsten met de klanten worden deze steeds gespecificeerd.

2.1.1.1 Websitebezoekers

Een bezoeker van de website www.score-utica.nl (hierna: de “Website”) kan op verschillende manieren zijn persoonsgegevens verstrekken. Hierover worden Betrokkenen geïnformeerd via het privacybeleid op de Website.

2.2 Informeren over verwerkingen

Als verwerkingsverantwoordelijke dient Score Utica de Betrokkenen te informeren over welke persoonsgegevens van hen worden verwerkt, met welke doelen en op welke wijze. Als de persoonsgegevens bij Betrokkene zelf worden verzameld, moet deze informatie bij verkrijging daarvan worden verschaft. Score Utica voldoet aan deze informatieverplichting zoals bedoeld in de artikelen 13 en 14 van de AVG door middel van het verstrekken van de hiernavolgende privacyverklaringen.

2.2.1 Klanten

Klanten worden over de verwerking van hun persoonsgegevens geïnformeerd via een privacyverklaring op de Website via de volgende link.

2.2.1.1. Websitebezoekers

Websitebezoekers kunnen via de Website inschrijven voor de nieuwsbrief, contactformulier invullen, cookies (laten) plaatsen en het aanvragen van een demo en worden over de verwerking van hun persoonsgegevens geïnformeerd via de privacyverklaring op de Website via de volgende link.

2.3 Verwerkingsregister

Ten behoeve van de hierboven vermelde verwerkingsactiviteiten en persoonsgegevens heeft Score Utica een verwerkingsregister opgesteld. Hierin worden ook de doeleinden van de verwerkingen, de categorieën van Betrokkenen en categorieën van persoonsgegevens, de categorieën van ontvangers, de vastgestelde bewaartermijnen en een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals bedoeld in punt 5.1 en 5.2 opgenomen.

3. Verwerking van persoonsgegevens, verwerker

3.1 Algemeen

Score Utica verwerkt ook persoonsgegevens namens een andere verwerkingsverantwoordelijke en uitsluitend op basis van schriftelijke instructies van deze derde partij. Deze derde partij bepaalt het doel van en de middelen voor de verwerking.

3.2 Verwerkersovereenkomsten

Score Utica zorgt ervoor dat de verwerking wordt geregeld in een verwerkersovereenkomst, of dat de regelingen zijn vervat in de hoofdovereenkomst met de verwerkingsverantwoordelijke.

3.3 Verwerkingsregister

Ten behoeve van de verwerkingsactiviteiten namens andere verwerkingsverantwoordelijken houdt Score Utica een verwerkingsregister bij. Dit verwerkingsregister wordt samengevoegd met het verwerkingsregister dat wordt opgesteld ten behoeve van de verwerkingsactiviteiten als verwerkingsverantwoordelijke (zie paragraaf 2.4).

In dit verwerkingsregister worden opgenomen de categorieën van verwerkingsactiviteiten, de naam en contactgegevens van iedere verwerkingsverantwoordelijke, of de persoonsgegevens worden doorgegeven naar een land buiten de Europese Unie, en een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zoals bedoeld in punt 5.1 en 5.2.

4. Verzoeken van Betrokkenen

Betrokkenen hebben diverse rechten met betrekking tot hun persoonsgegevens, teneinde hen in staat te stellen controle te hebben en houden over deze persoonsgegevens. Ter uitoefening van deze rechten kunnen zij een verzoek indienen bij de verwerkingsverantwoordelijke.

Score Utica zal binnen één maand voldoen aan het verzoek van de Betrokkene, of de Betrokkene schriftelijk mededelen of dan wel in hoeverre wordt voldaan aan het verzoek. Afhankelijk van de complexiteit en het aantal van de verzoeken, kan deze termijn indien nodig met twee maanden worden verlengd. Score Utica zal de Betrokkene hierover binnen één maand na ontvangst van het verzoek informeren.

4.1 Recht op rectificatie

De Betrokkene heeft het recht om van Score Utica onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen, of vervollediging van onvolledige persoonsgegevens, onder meer door een aanvullende verklaring te verstrekken.

4.2 Recht op gegevenswissing

De Betrokkene heeft het recht om Score Utica zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen, en Score Utica is verplicht de persoonsgegevens zonder onredelijke vertraging te wissen in de volgende gevallen:

  1. de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins zijn verwerkt;
  2. de verwerking is gebaseerd op toestemming en de Betrokkene trekt de toestemming in, en er is geen andere rechtsgrond voor de verwerking;
  3. de Betrokkene maakt bezwaar tegen de verwerking, en er wegen geen zwaardere gronden voor de verwerking;
  4. de Betrokkene maakt bezwaar tegen het gebruik van zijn gegevens voor direct marketing;
  5. de persoonsgegevens zijn onrechtmatig verwerkt;
  6. de persoonsgegevens moeten worden gewist om te voldoen aan een op Score Utica rustende wettelijke verplichting.

5. Beveiligingsbeleid

Score Utica heeft de volgende passende organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen van de persoonsgegevens.

5.1 Organisatorische maatregelen

Score Utica voldoet aan de normen van ISO27001. De organisatorische maatregelen zijn beschreven in het ISMS (Information Security Management System)

5.2 Datalekken

Van een inbreuk in verband met persoonsgegevens (ofwel een datalek) is sprake wanneer persoonsgegevens zijn vernietigd of verloren, gewijzigd, verstrekt of toegankelijk zijn gemaakt, alles op een manier die onrechtmatig is of anderszins buiten de regels van de AVG plaatsvindt.

5.2.1 Procedure melding datalekken

Bij een inbreuk in verband met persoonsgegevens door een veiligheidslek hanteert Score Utica de procedure die beschreven staat in het ISMS.

5.2.2 Datalekkenregister

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, wordt zulks door Score Utica geregistreerd in een daartoe strekkend datalekkenregister. In dit register wordt tevens opgenomen alle feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen.

De gegevens over een datalek zullen minimaal één jaar worden bewaard. Indien de Betrokkenen niet zijn geïnformeerd (middels een melding), wordt het overzicht minimaal drie jaar bewaard.

5.3 Gegevensbeschermingseffectbeoordeling

Gegevensbeschermingseffectbeoordeling is niet verplicht, Score Utica verwerkt geen gegevens met een hoog risico.

6. Delen van persoonsgegevens

Verwerkers

Score Utica schakelt voor de verwerking van bepaalde persoonsgegevens specifieke verwerkers in die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden. De verwerking door deze verwerkers is geregeld in een door Score Utica en de betreffende verwerker getekende verwerkersovereenkomst in de zin van artikel 28 lid 3 van de AVG.

7. Doorgifte van persoonsgegevens

Score Utica geeft geen persoonsgegevens door aan bedrijven in derde landen of internationale organisaties buiten de Europese Unie, tenzij deze derde partij voldoet aan één van de volgende voorwaarden:

  1. het bedrijf is gevestigd in een land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land waarvan de Europese Commissie heeft besloten dat hier een passend beschermingsniveau wordt gewaarborgd (door middel van een adequaatheidsbesluit);
  2. Score Utica maakt gebruik van bindende bedrijfsvoorschriften voor zover de persoonsgegevens worden doorgegeven binnen het concern waartoe Score Utica behoort;
  3. Score Utica maakt gebruik van standaardbepalingen inzake gegevensbescherming zoals deze zijn vastgesteld door de Europese Commissie of de Autoriteit Persoonsgegevens;
  4. de passende waarborgen worden geboden door een goedgekeurde gedragscode (openbaar gemaakt door het Europees Comité voor gegevensbescherming), samen met bindende en afdwingbare toezeggingen van de buiten de Europese Unie gevestigde derde partij om de passende waarborgen toe te passen;
  5. de passende waarborgen worden geboden door een goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de buiten de Europese Unie gevestigde derde partij om de passende waarborgen toe te passen;
  6. de betrokkene heeft uitdrukkelijk ingestemd met de aan hem voorgestelde doorgifte;
  7. de doorgifte is noodzakelijk voor de uitvoerig van de overeenkomst met de betrokkene of voor de uitvoering van op verzoek van de betrokkene genomen maatregelen alvorens tot een overeenkomst te komen.

HEEFT U EEN VRAAG? WIJ HELPEN U GRAAG VERDER. NEEM CONTACT OP MET EEN VAN ONZE EXPERTS.

Neem contact