Beleidsdocument Privacy

Beleidsdocument Privacy

Theseus Advies B.V., versie 2.1,  26 juni 2018

Definities

Theseus                         Theseus Advies B.V.;

Persoonsgegevens       Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’);

Betrokkene                    Een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een indicator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of één of meer kenmerken die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Verwerken                     Het verwerken van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, afschermen, wissen of vernietigen van gegevens;

 

Relevantie en toepassingsgebied

Theseus ondersteunt opdrachtgevers (ondernemers, leidinggevenden en op beperkte schaal natuurlijke personen) en hun medewerkers op basis van een overeenkomst van opdracht (“de onderliggende opdracht”) bij arbeidsrechtelijke en management-vraagstukken. De onderliggende opdracht kan bestaan uit HRM-diensten in de breedste zin des woords (zoals opstellen arbeidsovereenkomsten, bijstaan bij arbeidsrechtelijke geschillen, verzuimbegeleiding, begeleiding verbetertrajecten), training, coaching, het ondersteunen bij management- en organisatievraagstukken.

Theseus verwerkt persoonsgegevens bij de uitvoering van de onderliggende opdracht. Dit betreft:

  • Klantgegevens, zoals
    • Naam, adres, woonplaats van de klant.
    • Naam, telefoonnummer, emailadres contactpersoon.
  • Gegevens van relaties (andere dienstverleners met wie wordt samengewerkt of die worden ingeschakeld), zoals
    • Naam, adres, woonplaats van de relatie.
    • Naam, telefoonnummer, emailadres contactpersoon.
  • Gegevens van derden, zoals
    • Naam adres, woonplaats, contactgegevens van werknemers van de klant in het kader van coaching, organisatiewijzigingen of het oplossen van arbeidsrechtelijke problemen.
    • Indien noodzakelijk in het kader van de uitvoering van de onderliggende opdracht, gegevens zoals BSN-nummer, gegevens m.b.t. functioneren, opleidingen, fysieke beperkingen van werknemers, geboortedatum en salaris.

 

De rechtsgronden voor de verwerking van persoonsgegevens

De rechtsgrond voor verwerking van persoonsgegevens is:

  • M.b.t. klantgegevens: noodzakelijk voor de uitvoering van de overeenkomst.
  • M.b.t. gegevens van relaties: toestemming
  • M.b.t. gegevens van derden: noodzakelijk voor de uitvoering van de overeenkomst en/of de behartiging van de gerechtvaardigde belangen van de klant.

 

Rechten betrokkenen

Theseus informeert klanten en derden omtrent de verwerking van de persoonsgegevens en vraagt toestemming voor de verwerking van de gegevens van relaties.

De betrokkenen hebben verder het recht van inzage, rectificatie, wissing (onder meer wanneer de gegevens niet meer nodig zijn voor de onderliggende opdracht), beperking van de verwerking en overdraagbaarheid, e.e.a. conform de art. 13 t/m 20 AVG.

 

Uitgangspunten

Het uitgangspunt is dat Theseus persoonsgegevens uitsluitend verwerkt aan de uitvoering van de onderliggende opdracht. In die lijn zal Theseus:  

  • Niet meer persoonsgegevens verwerken dan noodzakelijk is in het kader van de uitvoering van de onderliggende opdracht.
  • Onjuiste gegevens verwijderen of rectificeren.
  • De bewaring van de gegevens beperken (zie hierna onder beveiligingsmaatregelen)

 

Gegevensmatrix

Theseus heeft een gegevensmatrix opgesteld waarin wordt aangegeven welke persoonsgegevens worden verwerkt. Deze gegevensmatrix is op verzoek beschikbaar. De matrix wordt regelmatig (minimaal 1 keer per jaar) getoetst en aangevuld.

 

Data Protection Impact Assessment (DPIA)

Theseus baseert haar besluit om geen DPIA uit te voeren als volgt:

  • Theseus beoordeelt geen mensen op basis van persoonskenmerken
  • Theseus neemt geen geautomatiseerde beslissingen (op basis van gegevens)
  • Theseus voert geen stelselmatige en grootschalige monitoring uit
  • Theseus verwerkt geen gevoelige gegevens
  • Theseus voert geen grootschalige gegevensverwerking uit
  • Theseus beschikt niet over een gegevensdatabase die gekoppeld is met andere databases
  • Theseus maakt geen gebruik van nieuwe technologieën waarbij sprake is van nieuwe manieren om gegevens te verzamelen en te gebruiken
  • Er is geen sprake van mogelijke blokkeringen van een recht, dienst of contract op basis persoonsgegevens

Daarnaast spelen de overwegingen dat

  • Het verdien-/bedrijfsmodel van Theseus niet is gericht op het verwerken van persoonsgegevens
  • Het streven is om het verwerken van persoonsgegevens tot een minimum te beperken

 

Beveiligingsmaatregelen

Organisatorische maatregelen

  • In geval van interim werkzaamheden worden gegevens beheerd en bewerkt middels de systemen van de opdrachtgever;
  • Aan voor Theseus werkzame personen is en wordt geheimhouding opgelegd;
  • Gegevens worden niet langer bewaard dan nodig:
    • persoonsgegevens met betrekking tot een specifieke opdracht worden na 6 maanden na afronding van de onderliggende opdracht verwijderd;
    • algemene gegevens (NAW, contactpersoon en –gegevens) worden na 5 jaar na afronding van de laatste opdracht verwijderd.
  • In de algemene voorwaarden bevestigen we dat de opdrachtgever verantwoordelijk is voor archivering. De klant slaat de relevante data op – Theseus is daarvoor niet verantwoordelijk;
  • De managing partners zijn ieder voor zich verantwoordelijk voor de verwerking van persoonsgegevens in de door hen uitgevoerde opdrachten. Gezamenlijk zijn zij verantwoordelijk voor het privacy beleid;
  • Privacy vormt een terugkerend thema op de overlegagenda.

Procedurele maatregelen

  • Data op lokale schijven betreffen geen persoonsgegevens. Overige data (bedrijfsgegevens) worden maximaal 12 uur op lokale schijven bewaard, ten behoeve van de mobiele beschikbaarheid op de betreffende werkdag;
  • Een actieve VPN-verbinding noch de toegang tot gegevens worden onbeheerd achtergelaten. De screen lock tool wordt gebruikt, zodat onbevoegden geen toegang of inzage hebben;
  • Datalekken worden gedocumenteerd wanneer ze zich voordoen en gemeld indien de AVG daartoe verplicht.

Technische maatregelen

  • Gegevens worden ‘in de cloud’ opgeslagen en bewerkt. Met de verwerkers The Next Step IT en Wolters Kluwer zijn verwerkingsovereenkomsten van toepassing;
  • Voor- en achternamen, in combinatie met telefoonnummers en privé mailadressen worden bewaard in de TNS-IT omgeving (Outlook) – niet op de SIM-kaarten van mobiele communicatie-apparatuur.

 

Verwerkers

The Next Step IT, opslag gegevens & verwerking gegevens middels Office applicaties. Verwerkingsovereenkomst ondertekend 18 05 22

Wolters Kluwer [Twinfield], gegevens van klanten – contactgegevens en financiële informatie. Verwerkingsovereenkomst ondertekend 18 04 10

De verwerkersovereenkomsten met The Next Step IT en Wolters Kluwer zijn op verzoek in te zien.

Theseus baseert haar keuze voor The Next Step IT als verwerker van gegevens waarvoor Theseus verwerkingsverantwoordelijke is op een beoordeling van de veiligheids- en privacy maatregelen die The Next Step IT biedt. In een kort overzicht:

  • De Security Flow en de Data Center Layout - deze documenten zijn op verzoek in te zien;
  • Toegang tot het VPN-netwerk vindt plaats middels 2-Step verificatie;
  • Voor elke bewerking wordt een beveiligde (encrypted) VPN-verbinding opgezet
  • TNS-IT heeft haar veiligheids- en privacymaatregelen gecertificeerd
  • Borg 4 klasse beveiliging
  • NEN 7510 informatiebeveiliging (t.b.v. de zorg)
  • ISO/IEC 27001 informatiebeveiliging
  • ISO 9001 kwaliteitsmanagement

Daarnaast heeft Theseus in haar keuze voor The Next Step IT meegewogen dat de data op een door haar traceerbare en controleerbare locatie in Nederland worden verwerkt en dat – in geval van calamiteiten – de bereikbaarheid en servicegraad hoog zijn.