Deze privacyverklaring geldt voor de volgende rechtspersoon:
Quality Factory B.V. (KvK: 93865872)
Ons e-mailadres voor privacy-gerelateerde vragen/opmerkingen:
privacy@qualityfactory.com

Privacyverklaring

Versie: 5.0

Introductie

Deze privacyverklaring beschrijft voor welke doeleinden wij welke persoonsgegevens kunnen verwerken, en onder welke voorwaarden, conform de Algemene Verordening Gegevensbescherming (AVG). Eventuele vertalingen van de verklaring zijn informatief en bij verschillen prevaleert de Nederlandse versie.

Samenvatting

Deze samenvatting geeft de hoofdpunten weer. Voor volledige informatie: zie de complete privacyverklaring.

Sectie

Inhoud

1: Voor wie levert de onderneming diensten en waarom vermeldt zij ook particulieren?

De onderneming levert uitsluitend digitale zakelijke diensten aan zakelijke opdrachtgevers en vermeldt ook particulieren omdat de AVG haar verplicht alle natuurlijke personen te informeren wier gegevens mogelijk worden verwerkt.

2: Wat is de juridische status van de privacyverklaring ten opzichte van contracten?

De onderneming hanteert de privacyverklaring onafhankelijk van contracten, waarbij wettelijke regels altijd voorgaan en zakelijke partijen via communicatie-links op de verklaring worden gewezen.

3: Hoe communiceert de onderneming wijzigingen in de privacyverklaring?

De onderneming verwerkt redactionele wijzigingen stilzwijgend en communiceert materiële wijzigingen actief via websitebanners, e-mails en zakelijke communicatie.

4: Waarom kwalificeert de onderneming zich als verwerkingsverantwoordelijke en welke keuze maakt zij over een FG?

De onderneming bepaalt autonoom de doeleinden en middelen van verwerking en stelt geen Functionaris Gegevensbescherming aan omdat dit, gezien de aard en omvang van de verwerking, niet verplicht is.

5: Voor welke groepen geldt de privacyverklaring en welke sluit de onderneming uit?

De onderneming richt de privacyverklaring op zakelijke en particuliere betrokkenen en sluit minderjarigen, werknemers van derden in hun rol als werknemer, bijzondere persoonsgegevens en strafrechtelijke gegevens bewust uit.

6: Van welke bronnen verkrijgt de onderneming persoonsgegevens?

De onderneming verkrijgt persoonsgegevens rechtstreeks van betrokkenen, van hun organisaties, uit openbare bronnen en van zakelijke partners of externe adviseurs.

7: Met wie deelt de onderneming persoonsgegevens en onder welke voorwaarden?

De onderneming deelt persoonsgegevens alleen wanneer dit noodzakelijk en rechtmatig is, met zorgvuldig geselecteerde verwerkers, zelfstandige verwerkingsverantwoordelijken, directe externe diensten of overnemende partijen bij bedrijfsoverdracht.

8: Hoe verwerkt en bewaart de onderneming persoonsgegevens afhankelijk van doel en rechtsgrond?

De onderneming verwerkt persoonsgegevens voor verschillende zakelijke doeleinden met specifieke bewaartermijnen en grondslagen, variërend van dagen tot jaren afhankelijk van de aard van het doel en wettelijke verplichtingen.

9: Op welke bijzondere manieren verwerkt de onderneming gegevens?

De onderneming neemt zakelijke gesprekken op en transcribeert deze, gebruikt cookies en online formulieren, verstuurt nieuwsbrieven en past beperkte geautomatiseerde profilering toe zonder juridische gevolgen voor betrokkenen.

10: Welke maatregelen en beperkingen gelden bij de beveiliging van gegevens?

De onderneming treft technische en organisatorische beveiligingsmaatregelen, maar erkent dat absolute veiligheid niet mogelijk is en dat beperkingen bestaan bij verwerkers en de eigen verantwoordelijkheid van betrokkenen.

11: Hoe meldt en behandelt de onderneming datalekken?

De onderneming ontvangt meldingen van mogelijke datalekken per e-mail, onderzoekt deze en meldt binnen 72 uur incidenten met risico’s aan de toezichthouder en bij een hoog risico ook direct aan betrokkenen.

12: Welke privacyrechten kunnen betrokkenen uitoefenen en hoe zijn die ingeperkt?

De onderneming biedt betrokkenen de AVG-rechten zoals inzage, rectificatie, wissing en bezwaar, maar geeft aan dat technische en organisatorische beperkingen gelden bij logs, back-ups en communicatie met meerdere deelnemers.

13: Welke escalatiemogelijkheden hebben betrokkenen bij privacykwesties?

De onderneming streeft naar een minnelijke oplossing via direct contact, maar erkent dat betrokkenen ook terechtkunnen bij de rechter of de Autoriteit Persoonsgegevens.

DEEL 1: OVER DEZE PRIVACYVERKLARING

Reikwijdte, status en wijzigingsbeleid van dit document

1 Reikwijdte en focus

1.1 Uitsluitend zakelijke dienstverlening

Onze onderneming levert uitsluitend diensten aan zakelijke opdrachtgevers (business-to-business). Wij sluiten geen overeenkomsten met consumenten of particulieren en leveren geen telecomdiensten.

1.2 Betrokkenen en terminologie

1.2.1 Terminologie-uitleg

Alle betrokkenen in deze privacyverklaring zijn natuurlijke personen (mensen, tegenover rechtspersonen zoals BV's). Binnen deze categorie onderscheiden wij zakelijke en particuliere betrokkenen op basis van de context waarin zij handelen.

1.2.2 Waarom vermelden wij ook particuliere betrokkenen in deze verklaring?

Onder de AVG ontstaat een informatieplicht zodra persoonsgegevens worden verwerkt, ongeacht of de betrokkene tot onze beoogde doelgroep behoort. Deze transparantieplicht (artikelen 13 en 14 AVG) verplicht ons om alle natuurlijke personen wier gegevens wij (kunnen) verwerken te informeren. Verwerkingen van websitebezoek, contactformulier en nieuwsbrief kunnen op zakelijke en/of particuliere betrokkenen betrekking hebben. In al deze gevallen verwerken wij persoonsgegevens en moet onze privacyverklaring deze verwerkingen dekken, ook al leveren wij geen diensten aan deze personen. Praktijkvoorbeelden:

  • Een particuliere betrokkene bezoekt onze publiek toegankelijke website (cookies)
  • Een consument vult ons contactformulier in
  • Een privépersoon meldt zich aan voor onze nieuwsbrief
1.2.3 Kwalificatieregels

Wij kwalificeren betrokkenen als zakelijk of particulier op basis van objectieve criteria, zoals: het gebruik van een zakelijk mailadres, vermelding van bedrijfsnaam/functie, betaling vanuit een bedrijfsrekening, of andere indicaties van zakelijke context. Betrokkenen die zich als particuliere betrokkene willen kwalificeren, dienen dit expliciet aan te geven met ondersteunende bewijsstukken (bijvoorbeeld een verklaring van persoonlijke hoedanigheid). Enkel het gebruik van een privé-mailadres is onvoldoende. Bij objectief zakelijk handelen behandelen wij de betrokkene als zakelijk, ongeacht eigen kwalificatie. Bij twijfel passen wij een standaard zakelijke classificatie toe, met mogelijkheid tot herziening op verzoek met bewijs.

1.2.4 Behandeling van verzoeken van particuliere betrokkenen

Particuliere betrokkenen die contact opnemen voor dienstverlening worden vriendelijk geïnformeerd over ons zakelijk karakter en waar mogelijk doorverwezen naar passende alternatieven.

1.3 Primair digitale dienstverlening

Onze dienstverlening is primair digitaal van aard. Dit is essentieel voor onze bedrijfsvoering waarbij contractuele documentatie elektronisch beschikbaar wordt gesteld. Wij communiceren daarom hoofdzakelijk digitaal via:

  • E-mail
  • Telefoon
  • SMS & messaging-apps
  • Video-conferencing
  • Collaboratie-oplossingen
  • Websites (inclusief online formulieren)
  • Eventuele toekomstige digitale communicatiekanalen

Daarnaast kunnen ook mondelinge (face-to-face) gesprekken plaatsvinden.

2 Onafhankelijkheid van deze privacyverklaring

Deze privacyverklaring geldt onafhankelijk van eventuele overeenkomsten. De rechten en plichten vloeien rechtstreeks voort uit de AVG, UAVG en overige Nederlandse wetgeving. Deze privacyverklaring vult bestaande contracten aan. Bij tegenstrijdigheid tussen deze verklaring en contractuele bepalingen gaan dwingende wettelijke bepalingen (zoals de AVG) voor; contractuele afspraken kunnen strengere maar geen minder strenge waarborgen bieden dan deze verklaring, voor zover uitdrukkelijk schriftelijk overeengekomen.

2.1 Kennisneming bij zakelijk contact

Via een link in onze communicatie (zoals e-mailhandtekeningen) en waar relevant op onze website (zoals webpage-footers en contactpagina's), informeren wij betrokkenen over onze privacyverklaring (die permanent en prominent op onze openbaar toegankelijke website staat). Wij verwachten van zakelijke partijen dat zij hiervan kennisnemen. Deze verwachting geldt des te sterker voor zakelijke partijen zoals accountants, boekhouders, fiscalisten, juristen, notarissen, consultants en overheidsmedewerkers die vanuit hun (beroepsmatige) functie bekend zijn met privacywetgeving.

3 Wijzigingsbeleid voor deze privacyverklaring

Wij kunnen deze privacyverklaring met bijgewerkt versienummer aanpassen wegens wijzigende wetgeving, dienstenportfolio, werkwijzen, privacy-praktijken, of verduidelijking.

  • In de privacyverklaring publiceren wij geruisloos redactionele wijzigingen (zoals consistentie-, structuur- en opmaakwijzigingen, URL actualisaties, contactgegevens bijwerkingen, sectie hernummeringen, spellingscorrecties, grammaticale en typografische verbeteringen, verduidelijkingen en andere aanpassingen zonder materiële impact).
  • Materiële wijzigingen (die rechten van betrokkenen aanmerkelijk beïnvloeden): communiceren wij actief via één of meer van de volgende kanalen:
  • Prominente banner op onze websites (gedurende 30 dagen)
  • Aparte e-mail (uitsluitend over deze wijziging) naar actieve zakelijke relaties en nieuwsbriefabonnees (minimaal 30 dagen vooraf)
  • Vermelding in schriftelijke of mondelinge zakelijke communicatie
  • Push-notificaties via apps of andere toekomstige digitale kanalen, indien ingevoerd en relevant voor de betrokkenen

NB: Betrokkenen wordt aangeraden de website te raadplegen voor de actuele versie van deze privacyverklaring, vooral bij het verstrekken van persoonsgegevens en verlenen van nieuwe toestemming.

DEEL 2: BETROKKEN PARTIJEN

4 Verwerkingsverantwoordelijke

Wij zijn verwerkingsverantwoordelijke in de zin van artikel 4(7) AVG voor de in deze verklaring beschreven verwerkingen.

Een beschrijving van onze producten en diensten staat elders op deze website. De actuele bedrijfsactiviteiten en SBI-codes zijn geregistreerd in het openbare handelsregister van de KvK. Voor ons statutaire doel verwijzen wij naar onze statuten die ook in dat register zijn opgenomen.

Waarom zijn wij verwerkingsverantwoordelijke? Als zelfstandige onderneming bepalen wij autonoom de doeleinden en middelen van verwerking. Deze autonomie bepaalt onze standaard AVG-positie en de inhoud van deze privacyverklaring.

Voorbehoud: Deze kwalificatie kan per verwerking verschillen wanneer de feitelijke beslissingsbevoegdheid afwijkt. Ongeacht de specifieke kwalificatie waarborgen wij naleving van de AVG en uitoefening van rechten van betrokkenen.

4.1 Uitgangspunten voor verwerkingskeuzes

Als kennisintensieve zakelijke dienstverlener beslissen wij over onze gegevensverwerkingen, verwerkingsmiddelen en verwerkers op basis van industriestandaards en commerciële redelijkheid voor ondernemingen van onze omvang.

Opdrachtgevers die zwaardere eisen aan onze gegevensverwerking stellen accepteren dat dit resulteert in:

  • Aanvullende overeenkomst op hun kosten
  • 100% vooruitbetaling implementatiekosten
  • Maandelijkse vooruitbetaling doorlopende kosten
  • Minimale resterende contractduur 12 maanden
  • Ons recht om lopende overeenkomsten met 30 dagen opzegtermijn te beëindigen zonder schadevergoeding aan opdrachtgever

4.2 Functionaris Gegevensbescherming

Conform artikel 37 AVG hebben wij beoordeeld of aanstelling van een Functionaris Gegevensbescherming is verplicht. Op basis van de aard en omvang van onze verwerkingsactiviteiten is geen FG vereist.

5 Categorieën betrokkenen

Deze privacyverklaring geldt voor de volgende hoofdcategorieën van betrokkenen:

  • ZAKELIJKE BETROKKENEN: Personen die contact opnemen namens een organisatie of voor zakelijke doeleinden (gebruik van zakelijk-mailadres, vermelding van bedrijfsnaam/functie, contact in zakelijke context, expliciete aanduiding zakelijk karakter, betaling vanuit bedrijfsrekening, of andere zakelijke indicaties), ongeacht het type organisatie. Zakelijke partijen kunnen zich niet beroepen op consumentenbescherming of particuliere verwerkingsregimes indien objectief vaststaat dat het contact een zakelijk karakter heeft. Categorieën:
  • Contractanten die natuurlijke personen zijn — natuurlijke persoon is zelf contractspartij (bijv. eenmanszaak): Dit betreft organisaties die als natuurlijke persoon contracteren. Grondslag 6(1)(b) AVG.
  • Contactpersonen van rechtspersonen — rechtspersoon is contractspartij, niet de contactpersoon: voor zakelijke dienstverlening/relatiebeheer. Dit betreft contactpersonen bij klanten, leveranciers (zoals onze verwerkers), partners en andere zakelijke relaties waarmee wij een overeenkomst hebben. Grondslag 6(1)(f) AVG.
  • Zakelijke relaties zonder overeenkomst: Alle professionele relaties waarmee wij momenteel geen actieve overeenkomst hebben, waaronder netwerkrelaties voor kennisdeling, verleden en/of potentiële klanten, leveranciers, partners en andere zakelijke relaties. Hieronder vallen ook natuurlijke personen ('transformatiesubjecten', ongeacht hun hoedanigheid: werknemer, ondernemer, werkzoekende of anderszins) waarover wij in het kader van onze opdrachten persoonsgegevens ontvangen van onze opdrachtgevers of hun externe zakelijke adviseurs.
  • Overheidsmedewerkers: Contactpersonen bij overheidsinstanties (zoals Belastingdienst, KvK, toezichthouders, gemeenten en andere overheidsdiensten).
  • Websitebezoekers: Personen die onze website zakelijk bezoeken.
  • Contactformulier-gebruikers: Personen die zakelijk contact opnemen via ons contactformulier.
  • Nieuwsbrief-abonnees: Personen die zich zakelijk aanmelden voor onze nieuwsbrief.
  • PARTICULIERE BETROKKENEN: Personen die contact opnemen in persoonlijke hoedanigheid, buiten een zakelijke context en niet namens een organisatie (gebruik van privé-mailadres zonder bedrijfsvermelding, expliciete aanduiding persoonlijk karakter, of aantoonbare consumenten-positie).

5.1 Uitgesloten betrokkenen

Tenzij expliciet overeengekomen met aanvullende waarborgen, verwerken wij persoonsgegevens van onderstaande categorieën betrokkenen niet (bewust). Mochten wij ontdekken dat dit onverhoopt toch gebeurt, dan verwijderen wij deze gegevens binnen 30 dagen na ontdekking, voor zover technisch en wettelijk mogelijk.

Uitgesloten categorie

Toelichting

Werknemersgegevens van derden

Wij verwerken geen persoonsgegevens van werknemers van andere organisaties in hun hoedanigheid als werknemer. Uitzondering: persoonsgegevens van transformatiesubjecten die wij als zelfstandig verwerkingsverantwoordelijke ontvangen van hun werkgevers (onze opdrachtgevers) voor uitvoering van onze opdrachten (details: sectie 8.2.1).

Persoonsgegevens van minderjarigen

Conform ons beleid passend bij onze B2B-focus, verwerken wij geen gegevens van personen jonger dan 16 jaar.

Bijzondere persoonsgegevens

Conform artikel 9 AVG verwerken wij geen gegevens over ras, politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap, gezondheid, seksueel gedrag of geaardheid.

Strafrechtelijke gegevens

Conform artikel 10 AVG verwerken wij geen gegevens over strafrechtelijke veroordelingen, strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

5.1.1 Belangrijke waarschuwingen

Betrokkenen worden nadrukkelijk verzocht om in zakelijke communicatie met ons niet te delen:

  • persoonsgegevens van bovenstaande categorieën betrokkenen en
  • gevoelige media metadata, zoals locatiegegevens (EXIF GPS).

Hoewel wij maatregelen nemen om de privacy te beschermen, kunnen wij geen aansprakelijkheid aanvaarden voor de gevolgen van het ongevraagd met ons delen van bovenstaande gegevens.

6 Categorieën bronnen

Wij verkrijgen en combineren persoonsgegevens uit verschillende bronnen.

6.1 Betrokkene

  • Actieve verstrekking: Gegevens die betrokkenen bewust en vrijwillig aan ons verstrekken in zakelijke context via onze communicatiekanalen
  • Indirect via gebruik: Gegevens die automatisch worden verzameld bij gebruik van onze communicatiekanalen door betrokkenen (details: sectie 8.2.1).

6.2 Organisatie van betrokkene

  • Actieve verstrekking: Wanneer de werkgever of opdrachtgever van een betrokkene gegevens van die betrokkene bewust en vrijwillig aan ons in zakelijke context verstrekt.
  • Indirect in organisatie-uitingen: Wanneer gegevens van een betrokkene zijn vermeld in 'communicatie en documentatie' die wij in zakelijke context ontvangen van zijn werkgever of opdrachtgever.

6.3 Openbare bronnen

  • Handelsregister: KvK-gegevens voor verificatie en zakelijk contact
  • Sociale media (zoals LinkedIn): Publiek toegankelijke profielen, posts en commentaar
  • Bedrijfswebsites: Contactgegevens en functie-informatie
  • Overige openbare bronnen: Informatie die betrokkenen zelf openbaar hebben gemaakt, persberichten en nieuwsberichten

6.4 Derden

  • Onze zakelijke partners: Bij doorverwijzingen of gezamenlijke projecten
  • Externe adviseurs waarvan wij geen opdrachtgever zijn: Wanneer accountants, juristen of andere adviseurs namens hun cliënten gegevens delen met ons

7 Categorieën ontvangers

In principe delen wij geen persoonsgegevens met andere partijen, tenzij dit rechtmatig is voor de verwerkingsdoelen (details: sectie 8.2.1) en gebeurt conform de principes van dataminimalisatie. Wij verkopen of verhuren gegevens van betrokkenen nooit aan derden voor commerciële of andere doeleinden.

7.1 Verwerkers

7.1.1 Algemeen

Voor onze dienstverlening schakelen wij verwerkers in. Verwerkers verwerken persoonsgegevens conform de met hen gesloten verwerkersovereenkomst en binnen de daarin vastgelegde verwerkingsdoelen en -instructies.

7.1.1.1 Selectiebeleid

Zowel bij eerste selectie als bij latere wisseling, hanteren wij een zorgvuldig selectiebeleid voor verwerkers mede op basis van hun reputatie en impact op onze bedrijfsvoering:

  • Uitsluitend dienstverleners met minimaal twee (inter)nationaal erkende certificeringen: Deze diensten vormen onze kritieke infrastructuur waar verstoring direct onze bedrijfsvoering raakt en rechtvaardigen daarom een verhoogde certificeringseis.
  • Cloudopslag
  • Productiviteitssoftware
  • Webhosting (dataopslag uitsluitend in datacenters in Nederland)
  • E-mailhosting (dataopslag uitsluitend in datacenters in Nederland)
  • Domeinregistratie en DNS-beheer (dataopslag uitsluitend in datacenters in Nederland)
  • Voor markten met veel relatief kleine (jonge) spelers en voor gespecialiseerde maatwerkoplossingen gebruiken wij bij voorkeur gecertificeerde partijen. Verwerkingsverantwoordelijke behoudt zich het recht voor om innovatieve oplossingen of gespecialiseerde dienstverleners zonder certificering in te zetten wanneer deze aanzienlijke voordelen bieden voor de dienstverlening. Het in zulke gevallen ontbreken van certificering doet geen afbreuk aan de zorgvuldigheid van verwerkingsverantwoordelijke bij de selectie van verwerkers.
  • Transcriptie- en spraakherkenningsdiensten
  • AI-oplossingen en moderne automatiseringstools
  • Externe specialisten voor ondersteuning van onze dienstverlening
  • Overige innovatieve en/of gespecialiseerde zakelijke dienstverleners
7.1.1.2 Continuïteit bij wegvallen certificeringen en/of waarborgen

Mocht certificeringen en/of waarborgen van een verwerker komen te vervallen, dan onderzoeken wij of alternatieve certificeringen en/of waarborgen bij diezelfde verwerker toepasbaar zijn (waar nodig en mogelijk met aanvullende beschermingsmaatregelen) en in hoeverre er realistische alternatieve verwerkers bestaan. In geval dat migratie noodzakelijk en mogelijk is, migreren wij in een veilig tempo, waarbij wij betrokkenen informeren over significante wijzigingen die hun rechten kunnen beïnvloeden.

7.1.2 EU/EER-verwerkers
  • Webhosting: Verwerking van webserver-logs, website-/bestandsdata en databases, SSL-certificaatgegevens en beveiligings-/filterlogs.
  • E-mailhosting: Geautomatiseerde filtering/quarantaine en registratie van afleverstatus; optionele rapportage/SIEM-koppelingen. Geen menselijke inzage tenzij strikt noodzakelijk voor incidentafhandeling.
  • Domeinregistratie & DNS-beheer: Registratie en beheer van domeinen; voorkeur voor rol-/functieadressen; publicatie in WHOIS/DNS uitsluitend voor zover vereist.
7.1.3 Internationale verwerkers (doorgifte naar derde landen)

Wij vermijden internationale doorgifte waar mogelijk. Ondanks deze waarborgen kunnen wij namelijk niet uitsluiten dat overheidsinstanties van buitenlandse verwerkers toegang krijgen tot persoonsgegevens zonder adequate rechtsbescherming voor EU-burgers. Indien doorgifte buiten de EU/EER noodzakelijk is, handelen wij conform Hoofdstuk V AVG:

  • Adequaatheidsbesluiten: Wij baseren doorgiften op door de Europese Commissie vastgestelde adequaatheidsbesluiten. Voor VS-ontvangers die aantoonbaar DPF-gecertificeerd zijn, is geen SCC of TIA vereist. Wij monitoren de certificeringsstatus via de officiële deelnemerslijst (www.dataprivacyframework.gov). Bij vervallen DPF-certificering migreren wij waar mogelijk naar een EU/EER-alternatief of schakelen wij over op SCC’s + TIA.
  • Standaardcontractbepalingen (SCC (EU) 2021/914): Indien geen adequaatheidsbesluit van toepassing is, sluiten wij de passende SCC-module(s) en voeren wij per doorgifte-scenario een TIA uit conform de EDPB-zesstappenmethodiek. De diepgang is proportioneel naar aard, context en risico’s, met als norm een in wezen gelijkwaardig beschermingsniveau; waar nodig treffen wij aanvullende technische, organisatorische en contractuele maatregelen. Waar zowel een adequaatheidsbesluit (bijv. DPF) als SCC’s beschikbaar zijn, prevaleert het adequaatheidsbesluit.
  • Art. 49-uitzonderingen worden alleen incidenteel toegepast en onder de strikte voorwaarden van de AVG.

Huidige doorgiften met waarborgen:

Type dienstverlener
(rechtstreeks gecontracteerd)

Verwerkingsdoel

Land

EU-US Data Privacy Framework (DPF)

Standard Contractual Clauses (SCC)

Leverancier van cloudopslag

Opslaan van bestanden

VS

Leverancier van productiviteitssoftware

E-mail, documenten, cloudopslag, communicatie, samenwerking, beveiliging, device management en optioneel backup diensten

VS

Transcriptiediensten

Omzetten van spraak naar tekst

VS

✓ (indien van toepassing: als onderdeel van productiviteitssoftware)

CDN/edge-provider

Caching en filtering webverkeer

VS en/of wereldwijd

✓ (indien van toepassing: VS)

Analytics-diensten

Website-statistieken en optimalisatie

VS

Marketing-diensten

Gepersonaliseerde advertenties, remarketing, conversieattributie, doelgroepanalyse

VS

Toelichting “Caching en filtering webverkeer”: verkeer en bijbehorende logs kunnen IP-adressen en HTTP(S)-headers bevatten; doorgifte vindt alleen plaats voor zover dat verkeer persoonsgegevens bevat.

7.2 Directe externe diensten

7.2.1 Algemeen

Onze websites kunnen browsers resources van externe diensten laten laden die rechtstreeks gegevens van die browsers naar die externe diensten verzenden. Betrokkenen wordt aangeraden de privacyverklaringen van deze diensten te raadplegen en kunnen een adblocker of een privacybrowser gebruiken om deze resources te blokkeren, hoewel dit de functionaliteit kan beperken. Voor embedded content die essentieel is voor de gevraagde functionaliteit (zoals een video op een video-pagina) geldt een informatieplicht. Voor overige embedded content vragen wij voorafgaande toestemming conform artikel 11.7a lid 3 Telecommunicatiewet.

7.2.2 Functionele externe diensten

Voor websitefunctionaliteit gebruiken wij technische diensten van Content Delivery Networks die kunnen zijn opgenomen in onze Content Security Policy, waaronder:

Categorie

Functionele beschrijving

CMS diensten

Laden van benodigde updates en resources voor het contentbeheerssysteem

Prestatie-optimalisatie

Versnellen van het laden van externe onderdelen

Interactieve componenten

Leveren van functionaliteit voor tabellen, formulieren en gebruikersinteracties

Visuele presentatie

Leveren van lettertypen, iconen en ontwerpcomponenten

Profielafbeeldingen

Tonen van gebruikersafbeeldingen bij reacties en profielen

7.2.3 Externe mediaplatforms

Webpagina's kunnen embedded content van externe diensten bevatten die daarmee gedrag van betrokkenen kunnen volgen, ook zonder interactie met die content:

  • Video's van videoplatforms
  • Content van sociale mediaplatforms

7.3 Zelfstandige verwerkingsverantwoordelijken

Wij kunnen gegevens verstrekken aan deze onafhankelijke verwerkingsverantwoordelijken voor de volgende doeleinden:

Overheidsinstanties (Belastingdienst, KvK, toezichthouders, gemeenten en andere overheidsdiensten):

  • Wettelijke informatieplichten: Fiscale verplichtingen, handelsregisterverplichtingen, informatieplichten jegens toezichthouders, gerechtelijke bevelen (dagvaardingen, exhibitieverzoeken) - Wettelijke verplichting (art. 6(1)(c) AVG)
  • Zakelijk contact: Vergunningaanvragen, overheidscontracten en regulier zakelijk verkeer - Gerechtvaardigd belang (art. 6(1)(f) AVG)

Zakelijke partijen (accountants, boekhouders, fiscalisten, juristen, notarissen, consultants en andere zakelijke adviseurs):

  • Wettelijk verplichte doorgifte: Wanneer doorgifte wettelijk verplicht is - Wettelijke verplichting (art. 6(1)(c) AVG)
  • Bedrijfsadviseurs: Boekhouders, fiscalisten, juristen en andere adviseurs voor onze eigen organisatie - Gerechtvaardigd belang (art. 6(1)(f) AVG)
  • Projectadviseurs: Specialisten voor uitvoering van onze klantprojecten - Gerechtvaardigd belang (art. 6(1)(f) AVG)
  • Vervanging/substitutie: Overdracht van (delen van) opdrachten aan andere zakelijke dienstverleners - Gerechtvaardigd belang (art. 6(1)(f) AVG)

Betrokkenen wordt aangeraden de privacyverklaringen van deze zelfstandige verwerkingsverantwoordelijken te raadplegen voor informatie over hun specifieke verwerkingen en de uitoefening van privacyrechten jegens deze partijen.

7.4 Bedrijfsoverdracht

Bij verkoop van (delen van) onze onderneming, fusie, overname, reorganisatie, faillissement of vergelijkbare gebeurtenissen kunnen persoonsgegevens worden overgedragen aan de verkrijgende partij. Wij informeren betrokkenen hierover voor zover redelijkerwijs mogelijk.

DEEL 3: VERWERKINGEN

Welke gegevens we verwerken, waarom en hoe lang

8 Gegevensverwerking en doeleinden

8.1 Privacy-by-design in onze dienstverlening

Wij verwerken persoonsgegevens van betrokkenen op een rechtmatige, behoorlijke en transparante wijze. Wij integreren gegevensbescherming als kwaliteitsstandaard in onze zakelijke dienstverlening. Dit betekent dat wij persoonsgegevens alleen met passende technische en organisatorische maatregelen verwerken. Voor kwaliteitsborging behouden wij ons het recht voor om geautomatiseerde verwerkingen te (laten) verifiëren of vervangen door menselijke verwerking. Wij kunnen persoonsgegevens op elk moment (statistisch) aggregeren en voor analytische doeleinden anonimiseren. Geanonimiseerde gegevens zijn geen persoonsgegevens meer en vallen daarom buiten het toepassingsbereik van deze privacyverklaring en de AVG.

8.2 Verwerkingsdoelen

Het verwerkingsdoel bepaalt of en wanneer wij welke gegevens van welke betrokkenen verwerken, met welke bewaartermijn en op basis van welke verwerkingsgrondslag. Zo kan een e-mailadres eerst worden verwerkt voor nieuwsbrief met toestemming (artikel 6(1)(a) AVG) en wanneer daarna een zakelijke relatie ontstaat voor zakelijk netwerkbeheer (artikel 6(1)(f) AVG). De tabel in sectie 8.2.1 specificeert dit per categorie. De tabel is primair per subcategorie betrokkene geordend, voor de leesbaarheid vanuit het perspectief van de betrokkene.

8.2.1 Verwerkingsactiviteiten

Subcategorie betrokkene

Categorie gegevens

Specifieke gegevens

Verwerkingsactiviteit

Bewaartermijn*

Verwerkingsdoel

Primaire rechtsgrond**

Contractanten die natuurlijke personen zijn — natuurlijke persoon is zelf contractspartij

Relatiegegevens

Zie voetnoot ¹

Vastleggen en gebruiken voor uitvoering afspraken, verzenden documenten, onderhouden contact

7 jaar na einde overeenkomst

Zakelijke dienstverlening, zakelijke relatiebeheer⁴

Art. 6(1)(b) AVG - uitvoering overeenkomst

Contractanten die natuurlijke personen zijn — natuurlijke persoon is zelf contractspartij

Communicatie en documentatie

Zie voetnoot ²

Lezen, beantwoorden, archiveren van berichten; opnemen en bewaren van gesprekken; omzetten spraak naar tekst en doorzoekbaar maken

7 jaar na einde overeenkomst

Zakelijke dienstverlening, zakelijke archivering³

Art. 6(1)(b) AVG - uitvoering overeenkomst

Contractanten die natuurlijke personen zijn — natuurlijke persoon is zelf contractspartij

Betalingsgegevens

Factuurgegevens, betalingsreferenties, BTW-nummers, bankrekeningnummers

Opstellen facturen, verwerken betalingen, bijhouden administratie

7 jaar na transactie

Financiële administratie, wettelijke bewaarplicht

Art. 6(1)(c) AVG - wettelijke verplichting

Contactpersonen van rechtspersonen — rechtspersoon is contractspartij, niet de contactpersoon

Relatiegegevens

Zie voetnoot ¹

Vastleggen en gebruiken voor uitvoering afspraken, verzenden documenten, onderhouden contact

7 jaar na einde overeenkomst

Zakelijke dienstverlening, zakelijke relatiebeheer⁴

Art. 6(1)(f) AVG - gerechtvaardigd belang

Contactpersonen van rechtspersonen — rechtspersoon is contractspartij, niet de contactpersoon

Communicatie en documentatie

Zie voetnoot ²

Lezen, beantwoorden, archiveren van berichten; opnemen en bewaren van gesprekken; omzetten spraak naar tekst en doorzoekbaar maken

7 jaar na einde overeenkomst

Zakelijke dienstverlening/relatiebeheer, zakelijke archivering³

Art. 6(1)(f) AVG - gerechtvaardigd belang

Contactpersonen van rechtspersonen — rechtspersoon is contractspartij, niet de contactpersoon

Betalingsgegevens

Factuurgegevens, betalingsreferenties, BTW-nummers, bankrekeningnummers

Verwerken betalingen, bijhouden administratie

7 jaar na transactie

Financiële administratie, wettelijke bewaarplicht

Art. 6(1)(c) AVG - wettelijke verplichting

Zakelijke relaties zonder overeenkomst

Relatiegegevens

Zie voetnoot ¹

Vastleggen contactgegevens, versturen berichten, onderhouden relatie

15 jaar na laatste betekenisvol contact

Zakelijke dienstverlening, zakelijke relatiebeheer⁴

Art. 6(1)(f) AVG - gerechtvaardigd belang

Zakelijke relaties zonder overeenkomst

Communicatie en documentatie

Zie voetnoot ²

Lezen, beantwoorden, archiveren van berichten; opnemen en bewaren van gesprekken; omzetten spraak naar tekst en doorzoekbaar maken

7 jaar na laatste contact

Zakelijke dienstverlening/relatiebeheer/andere gerechtvaardigde belangen (geen marketing) , zakelijke archivering³

Art. 6(1)(f) AVG - gerechtvaardigd belang

Zakelijke relaties zonder overeenkomst

Betalingsgegevens

Factuurgegevens, betalingsreferenties, BTW-nummers, bankrekeningnummers

Verwerken incidentele/netwerkgerelateerde betalingen, bijhouden administratie

7 jaar na transactie

Financiële administratie, wettelijke bewaarplicht

Art. 6(1)(c) AVG - wettelijke verplichting

Zakelijke relaties zonder overeenkomst - Transformatiesubjecten

Assessment- en evaluatiegegevens

Naam en contactgegevens, CV-gegevens, competentie-evaluaties, persoonlijkheidsprofielen, ontwikkelbehoeften, functioneringsgegevens, individuele ontwikkelplannen, benoemingsadviezen, teamsamenstellingsadviezen (alle uitsluitend ontvangen van OPDRACHTGEVER of externe zakelijke adviseurs)

Analyseren documenten, integreren in adviezen, verwerken in implementatieplannen

2 jaar na projectafronding

Procesbegeleiding organisatietransformatie, strategisch organisatieadvies

Art. 6(1)(f) AVG - gerechtvaardigd belang

Overheidsmedewerkers

Relatiegegevens

Zie voetnoot ¹

Versturen wettelijk vereiste informatie, beantwoorden vragen

7 jaar na afsluiting dossier

Zakelijke correspondentie, concrete wettelijke plicht (bv. fiscale bewaarplicht)

Art. 6(1)(f) AVG - gerechtvaardigd belang

Overheidsmedewerkers

Communicatie en documentatie

Zie voetnoot ²

Lezen, beantwoorden, archiveren van berichten; opnemen en bewaren van gesprekken; omzetten spraak naar tekst en doorzoekbaar maken

7 jaar na afsluiting dossier

Zakelijke correspondentie, concrete wettelijke plicht (bv. fiscale bewaarplicht), zakelijke archivering³

Art. 6(1)(f) AVG - gerechtvaardigd belang / Art. 6(1)(c) AVG - wettelijke verplichting

Overheidsmedewerkers

Betalingsgegevens

Factuurgegevens, betalingsreferenties, BTW-nummers

Verwerken overheidsfacturen, bijhouden administratie

7 jaar na transactie

Financiële administratie, wettelijke bewaarplicht

Art. 6(1)(c) AVG - wettelijke verplichting

Websitebezoekers

Geografische toegangsgegevens

Land/regio van toegang, IP-geolokalisatie

Evalueren beveiligingsrisico's per jurisdictie op basis van actuele dreigingsinformatie (nooit nationaliteit of afkomst van gebruikers), toepassen proportionele geografische toegangscontrole

Sessieduur

Systeembeveiliging tegen dreigingen uit specifieke jurisdicties

Art. 6(1)(f) AVG - gerechtvaardigd belang

Websitebezoekers

Functionele websitegegevens (COOKIE_FUNCTIONEEL)

Sessie-identificatoren, inlogstatus, taalvoorkeuren, schermvoorkeuren, tijdelijke formuliergegevens, CDN-sessiegegevens, gecachte content-identifiers

Opslaan gebruikersvoorkeuren, behouden van sessie-informatie, beveiligen van formulieren, laden van content via CDN, optimaliseren websiteprestaties

Sessieduur of maximaal 1 jaar

Essentiële websitefunctionaliteit, gebruikerservaring

Art. 6(1)(f) AVG - gerechtvaardigd belang

Websitebezoekers

Website-analysegegevens (COOKIE_ANALYTICS)

IP-adres (gepseudonimiseerd), bezochte webpagina's, verwijzende websites, zoektermen, gebruikte apparaten, browser- en systeeminformatie, interacties met website-elementen, sessieduur, geografische regio

Meten bezoekersaantallen, analyseren gebruikersgedrag, conversietracking

26 maanden

Verbeteren website-inhoud, optimaliseren gebruikerservaring, prestatiemeting

Art. 6(1)(a) AVG - toestemming

Websitebezoekers

Marketinggegevens (COOKIE_MARKETING)

Cookie-ID's, advertentie-identificatoren, websitebezoekgeschiedenis, interessecategorieën, professionele kenmerken (zoals functie en bedrijfsgrootte), interacties met advertenties, conversiegebeurtenissen, doelgroepsegmenten

Plaatsen en uitlezen tracking pixels en marketing cookies, koppelen met profielen op advertentienetwerken. Lookalike/audience-matching (upload/match identifiers); ontvangers (platforms) en eventuele doorgifte worden expliciet vermeld; afmeldopties beschikbaar.

12 maanden

Gepersonaliseerde advertenties, remarketing, lookalike audiences, conversieattributie, B2B-doelgroepanalyse

Art. 6(1)(a) AVG - toestemming

Websitebezoekers

Commentaargegevens (indien functionaliteit geactiveerd)

Naam, website-rol (abonnee, auteur, ...), e-mailadres, website-URL (optioneel), reactietekst, IP-adres, browser-informatie

Modereren reacties, publiceren goedgekeurde bijdragen, blokkeren spam

Onbeperkt publiek zichtbaar; onderliggende gegevens 7 jaar na plaatsing

Faciliteren publieke discussie, beschermen website tegen misbruik

Art. 6(1)(f) AVG - gerechtvaardigd belang

Contactformulier-gebruikers

Contactformulier-gegevens

Naam, e-mailadres, onderwerp, bericht, IP-adres, tijdstip verzending

Lezen verzoek, beantwoorden vraag, doorverwijzen indien nodig

7 jaar na laatste contact

Beantwoorden informatievragen, identificeren zakelijke kansen, zakelijke archivering³

Art. 6(1)(f) AVG - gerechtvaardigd belang

Nieuwsbrief-abonnees

Nieuwsbrief-gegevens

Naam, e-mailadres, voorkeuren, tijdstip/IP instemming

Toevoegen aan verzendlijst, versturen nieuwsbrieven, verwerken uitschrijvingen

Tot uitschrijving of 2 jaar na laatste interactie

Informeren over onze diensten, bewijzen toestemming voor marketing

Art. 6(1)(a) AVG - toestemming

Particuliere betrokkenen

Contactgegevens

Naam, e-mailadres

Registreren contact, doorverwijzen naar passende alternatieven (details: sectie 1.2)

30 dagen na doorverwijzing

Informatieverstrekking over zakelijk karakter onderneming, doorverwijzing naar geschikte dienstverleners

Art. 6(1)(f) AVG - gerechtvaardigd belang

Alle bovenstaande categorieën

Logs

IP-adressen, tijdstempels, gebruikersacties, systeemgebeurtenissen, foutmeldingen. Bevat enkel metadata (geen inhoud van 'communicatie en documentatie')

Loggen van systeem- en gebruikersactiviteiten voor beveiligingsdoeleinden en troubleshooting

2 jaar

Beveiliging, troubleshooting, detectie misbruik, forensisch onderzoek, software- en configuratiebeheer

Art. 6(1)(f) AVG - gerechtvaardigd belang

Alle bovenstaande categorieën

Backups

Alle persoonsgegevens in backup-vorm (lokaal versleuteld, hosting roulerend)

Maken, bewaren en terugzetten van backups

Lokaal versleuteld: 3 maanden; Hosting roulerend: 2 weken

Bedrijfscontinuïteit, herstel bij calamiteiten

Art. 6(1)(f) AVG - gerechtvaardigd belang

*) Bewaartermijn - Toelichting
  • Wij bewaren persoonsgegevens van betrokkenen niet langer dan nodig is voor het doel waarvoor wij die gegevens verwerken. De vermelde termijnen zijn maxima die wij hanteren.
  • De langere bewaartermijn voor relatiegegevens van 'Zakelijke relaties zonder overeenkomst' wordt gerechtvaardigd door de volgende realiteit: B2B-relaties zijn essentieel voor de bedrijfscontinuïteit en kennen lange cycli. Contacten kunnen na jaren weer relevant worden, zoals door carrièreveranderingen (nieuwe functies of werkgevers bijvoorbeeld), sectorconsolidaties en overnames, nieuwe projecten of marktomstandigheden, netwerkevenementen waar oude contacten nieuwe waarde krijgen. Wij voeren minimaal 2-jaarlijks opschoning uit en actieve opschoning bij duurzame inactiviteit (bijvoorbeeld 36 maanden zonder betekenisvol contact) of bij bezwaar, tenzij dwingende belangen dit rechtvaardigen.
  • Wij kunnen gegevens eerder vernietigen wanneer het doel is bereikt, tenzij deze relevant zijn voor mogelijke toekomstige geschillen of wettelijke bewaarverplichtingen
  • Wij respecteren de wettelijke bewaarplichten, waaronder de fiscale bewaarplicht van 7 jaar
  • Bij lopende onderzoeken, audits of geschillen verlengen wij de bewaartermijn tot 2 jaar na definitieve afsluiting van het onderzoek respectievelijk volledige voltrekking van de uitspraak
**) Primaire rechtsgrond - Toelichting
  • Waar twee rechtsgronden voor hetzelfde verwerkingsdoel zijn vermeld, gelden deze altijd cumulatief (beide tegelijkertijd, waardoor niet kan worden gewisseld), niet alternatief. Wij hanteren maximaal twee rechtsgronden per verwerkingsdoel, conform AP-praktijk.
  • Voor bepaalde verwerkingen baseren wij ons op de grondslag 'gerechtvaardigd belang' (artikel 6(1)(f) AVG). Wij hebben per verwerkingsdoel een zorgvuldige belangenafweging (Legitimate Interest Assessment) uitgevoerd conform de vereiste driestappentoets.
¹ Definitie 'relatiegegevens'

Gegeven

Toelichting

Naam

-

Zakelijke social media-profielen (inclusief profielfoto)

-

Professionele achtergrond

Opleiding, expertise, specialisaties, carrièrepad, belangrijkste zakelijke prestaties, zakelijke ambities

Kennismakingscontext

Datum, gelegenheid, doorverwijzing

Aanspreektitel

-

Functietitel

-

Bedrijfsnaam

-

Hiërarchische positie

-

Teamlidmaatschappen

-

Sleutelpersoon-status

-

E-mailadres

Zakelijk (privé alleen indien voor zakelijke doeleinden verstrekt)

Telefoonnummer

Zakelijk (privé alleen indien voor zakelijke doeleinden verstrekt)

Assistent/gatekeeper

Relatiegegevens¹

Communicatievoorkeuren

Kanaal, beschikbaarheid, responstijden, taal, stijl (bijvoorbeeld: beknopt resultaatgericht vs. gedetailleerd procesgericht)

Handtekening

Alleen als bewijs van zakelijke overeenkomsten en voor contractuele verificatie

Vestigingsadres

-

Praktische voorkeuren zakelijke bijeenkomsten

Dieet, toegankelijkheid, parkeren

Wederzijdse zakelijke connecties

Gedeelde zakelijke relaties

Overige contextuele informatie

-

² Definitie 'Communicatie en documentatie'

Omvat alle vormen van zakelijke communicatie via de communicatiekanalen in sectie 1.3:

  • Berichten en conversaties
  • Digitale en gedigitaliseerde documenten (inclusief transcripties en scans)
  • Opnames (audio/visueel) van zakelijke gesprekken en metadata van die opnames (zoals tijdstippen, duur, deelnemerslijsten, rollen en betrokkenheidsniveaus)
³ Definitie 'zakelijke archivering'

Archivering van 'communicatie en documentatie' met als doelen:

  • Interne referentie: terugzoekbaarheid voor zover nodig voor de uitvoering van de overeenkomst of de behandeling van een (wettelijk) dossier waarop de communicatie betrekking heeft.
  • Kwaliteitsborging: Verbeteren van dienstverlening en ontwikkeling van methodieken
  • Operationele continuïteit: Kennisoverdracht, training en coaching van medewerkers
  • Juridische zekerheid:
  • Bewijs gerelateerd aan:
  • Contract/prestatie: gedane toezeggingen, gemaakte afspraken, geleverde resultaten (zoals adviezen) en acceptatie daarvan
  • Context/relatie: zakelijke situatie, verhoudingen, hoedanigheid, ondernemersstatus, communicatiestijl (zoals aanspreekvorm en tone-of-voice), en andere feitelijke omstandigheden
  • Beide bewijzen dienen voor het:
  • afweren of beperken van aansprakelijkheden en verplichtingen en
  • effectueren of versterken van vorderingen en rechten
⁴ Definitie 'zakelijke relatiebeheer'

Zakelijke relatiebeheer omvat:

  • het onderhouden van bestaande professionele contacten en
  • het ontwikkelen van nieuwe zakelijke relaties (uitsluitend bij directe zakelijke relevantie of professionele doorverwijzingen).

Beide activiteiten hebben concrete zakelijke doeleinden: doorverwijzingen van projectkansen, uitwisseling van vakkennis binnen onze expertise, en ondersteuning bij zakelijke samenwerkingen. Dit betreft geen marketing of promotionele activiteiten.

9 Specifieke verwerkingen

Bijzondere vormen van gegevensverwerking

9.1 Opnames en transcripties

9.1.1 Opnames van zakelijke gesprekken

Opnamebeleid: Wij nemen uitsluitend zakelijke gesprekken op waaraan wij zelf deelnemen.

Systemen en methoden: Wij kunnen gebruikmaken van verschillende opnamesystemen, waaronder conferencing-software en platformdiensten, dictafoons, smartdevices (zoals smartphones, smartwatches en smartbrillen), AI-devices en andere audio/visuele middelen.

Controle door betrokkenen: Betrokkenen kunnen voor of tijdens het gesprek bezwaar maken tegen opname en/of transcriptie. Wij wegen dan onze dwingende gerechtvaardigde belangen af tegen de belangen, grondrechten en fundamentele vrijheden van de betrokkene. Indien de belangen van de betrokkene zwaarder wegen, starten wij geen opname en/of transcriptie of stoppen deze. Het gesprek wordt dan schriftelijk samengevat. Schriftelijke samenvattingen zijn zakelijke interpretaties van de opdrachtnemer en bieden niet dezelfde volledigheid of objectiviteit als opnames.

Toestemmingsprocedure: Indien dit voor opname is vereist, kunnen wij aan het begin van de opname mondeling toestemming vragen en vastleggen en deelnemers bij virtuele afspraken met videoopname vooraf informeren. Aan deze notificatieplicht is eveneens voldaan wanneer het gebruikte platform deelnemers vóór of bij deelname aan de opname hiervan in kennis stelt (bijvoorbeeld via een zichtbare ‘recording’-indicator of gesproken melding). Toestemming geldt als erkenning van de sterke bewijskracht van de opname. Het inschakelen van de webcam na deze kennisgeving geldt tevens als toestemming voor visuele verwerking. Deelnemers behouden het recht hun camera uit te schakelen.

9.1.2 Transcripties van zakelijke gesprekken

Termgebruik: In deze privacyverklaring wordt met 'transcriptie' mede bedoeld: gesprekssamenvatting en gespreksverslag (zowel handmatig als geautomatiseerd opgesteld).

Doelen en methoden: Van opnames kunnen real-time of achteraf transcripties worden gemaakt om deze efficiënt doorzoekbaar, overdraagbaar en verwerkbaar te maken. Voor het omzetten van spraak naar tekst kan gebruik worden gemaakt van (met AI-technologie) geautomatiseerde spraakherkenning.

Beperkte aansprakelijkheid: Wij zijn niet aansprakelijk voor schade die specifiek voortvloeit uit:

  • Verlies van intonatie, context en non-verbale communicatie in transcripties
  • Misinterpretatie van accenten, dialecten of technische terminologie
  • Onvolledige transcripties door achtergrondgeluid of technische storingen
  • Onjuistheden in geautomatiseerde transcripties

Bewijs en betwisting: Bovenstaande technische beperkingen zijn inherent aan (geautomatiseerde) transcriptiediensten. Transcripties zijn ondersteunende documenten; bij verschil prevaleert de originele opname. Niet-relevante of marginale afwijkingen (zoals kleine transcriptiefouten zonder materiële impact) leiden niet zonder meer tot correctie. Bij geschillen over opnames of transcripties gelden de regels van het burgerlijk procesrecht, waaronder artikel 150 Rv. Bij kennelijk ongegronde betwisting kunnen redelijke verificatiekosten worden doorberekend. De waardering van bewijs is aan de rechter.

9.2 Website-verwerkingen

9.2.1 Cookies

Voor niet-essentiële opslag/toegang (analytics/marketing/non-functionele embedded content) vragen wij voorafgaande toestemming conform artikel 11.7a lid 3 Telecommunicatiewet; instellingen via 'Cookie-instellingen'.

Betrokkenen kunnen voorkeuren van optionele cookies wijzigen in hun browser of via 'Cookie-instellingen' onderaan elke webpagina. Daar kunnen ook per cookie categorie per cookie de technische specificaties (zoals de naam, aanbieder, specifiek doel, exacte bewaartermijn) worden geraadpleegd.

Voor details over al onze cookie-verwerkingen: zie sectie 8.2.1 (rijen met cookie categorie vermeldingen: 'COOKIE_').

9.2.2 Publieke online reacties op webpagina's

Wij kunnen commentaarfunctionaliteit voor publieke discussie op onze websites activeren (wat NIET contactformulieren betreft, die zijn voor directe/bilaterale communicatie):

  • Wij gebruiken mogelijk diensten voor profielafbeeldingen
  • Wij modereren reacties (commentaren) handmatig vóór publicatie
  • Gepubliceerde reacties zijn publiek toegankelijk via het internet. Dit betekent dat derden deze (automatisch via zoekmachines, AI-systemen, archiefservices) kunnen verwerken, archiveren en hergebruiken.
9.2.3 Online contactformulieren (directe communicatie)
  • Voor één-op-één communicatie met onze onderneming (NIET voor publieke reacties)
  • Hoewel het contactformulier toegankelijk voor iedereen is, richten onze diensten zich uitsluitend op zakelijke opdrachtgevers. Particuliere verzoeken worden doorverwezen
  • Bij ons contactformulier informeren wij betrokkenen dat hun gegevens worden verwerkt conform de privacyverklaring. Door het formulier te verzenden, erkennen betrokkenen hiervan kennis te hebben genomen.

9.3 Nieuwsbrieven

  • Bij contactformulieren optionele opt-in voor nieuwsbrieven (standaard uit)
  • Via afmeldlink in elke e-mail, reply met "STOP", of contact opnemen

9.4 Profilering

Wij verwerken persoonsgegevens (deels) geautomatiseerd. Hierbij worden persoonlijke aspecten van betrokkenen geëvalueerd aan de hand van gegevens in analytics- en marketingcookies (details: sectie 8.2.1 - rijen 'COOKIE_ANALYTICS' en 'COOKIE_MARKETING') en zonder juridische of vergelijkbare significante gevolgen.

DEEL 4: BEVEILIGING EN INCIDENTEN

Hoe we gegevens beschermen en omgaan met incidenten

10 Gegevensbeveiliging en beperkingen

10.1 Beveiligingsmaatregelen

Wij nemen de bescherming van gegevens van betrokkenen serieus. Wij treffen maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en onze systemen te waarborgen, passend binnen de grenzen van de wet en redelijkheid voor ondernemingen van onze omvang.

10.1.1 Technische beveiligingsmaatregelen

De hieronder beschreven maatregelen betreffen primair systeem- en apparaatbeveiliging. Aanvullende technische website-beveiligingsmaatregelen zijn afzonderlijk geïmplementeerd, waaronder webserver-hardening, application-level security controls en geavanceerde toegangscontroles.

  • Verborgen monitoring- en detectiesystemen ter registratie van ongeautoriseerde activiteiten, aangevuld met deelname aan collaborative security intelligence platforms voor detectie en rapportage van malicious bots en aanvallers
  • Primaire gegevensopslag in beveiligde cloud-omgevingen ter beperking van lokale beveiligingsrisico's
  • Versleuteling van gegevens tijdens verzending (‘in transit’) en opslag (‘at rest’), inclusief full-disk encryption.
  • Beveiligingslogs voor forensisch onderzoek en detectie van beveiligingsincidenten, waar mogelijk technisch onwijzigbaar ingericht
  • Versleutelde backups van lokale dataopslag en roulerende backups van hosting data voor herstel bij beveiligingsincidenten of calamiteiten
  • Meerlagige firewall-bescherming op netwerk- en endpoint-niveau
  • Privacy-first DNS-resolvers via providers in Zwitserland, EU en andere sterke privacy-jurisdicties ter bescherming van DNS-queries voor ons uitgaand internetverkeer
  • Beveiligingsdiensten gebaseerd op een Content Delivery Network (CDN) ter bescherming van onze websites tegen DDoS-aanvallen, kwaadaardige bots en webapplicatie-aanvallen, waarbij inkomend webverkeer wordt gefilterd voordat het onze servers bereikt
  • Geografische toegangscontrole (geoblocking) uitsluitend voor beveiligingsdoeleinden, waarbij toegang tijdelijk kan worden beperkt vanuit jurisdicties met verhoogd cybersecurity-risico op basis van objectieve dreigingsindicatoren, met mogelijkheid voor legitieme gebruikers om contact op te nemen voor alternatieve toegang
  • Endpoint beveiliging (zoals met antivirus/antiransomware en VPN-versleuteling voor externe verbindingen)
  • Desk-/laptop beveiliging (zoals met hardware-beveiligingsmodules, secure boot-processen en Mobile Device Management)
  • Beveiligde authenticatie (met versterkte wachtwoordvereisten, beveiligde wachtwoordmanagers met multi-factor ontgrendeling, en multi-factor authenticatie waar technisch mogelijk)
  • Installatie van beveiligingsupdates via automatische updates waar mogelijk en handmatige controle voor overige software
10.1.2 Organisatorische beveiligingsmaatregelen
  • Toegangscontroles op "need-to-know"-basis
  • Zorgvuldige selectie van software mede op basis van analyse van privacyverklaringen, reputatieonderzoek, install base, jurisdictie, bereikbaarheid van ontwikkelaar, transparantie en onafhankelijke AI-adviezen, gevolgd door monitoring van praktische robuustheid en deïnstallatie bij problemen
  • Incidentele monitoring van beveiligingsstatus (via beschikbare tools zoals MDM security dashboards) en van actuele beveiligingsontwikkelingen (via IT-vakpublicaties)
  • Beperkte informatieverstrekking over beveiligingsspecificaties en gebruikte externe diensten ter bescherming van de beveiligingsinfrastructuur en beperking van de attack surface
  • Standaard anonimisering van persoonsgegevens voor AI-verwerkingen, omdat wij kiezen voor maximale privacybescherming ongeacht de toezeggingen van AI-dienstverleners
  • Conform aandeelhoudersbesluit aangewezen subsidiaire bestuurder voor besluitvorming en gegevenstoegang bij belet of ontstentenis
  • Verwerkingsovereenkomsten met verwerkers
  • Evaluatie en aanpassing van beveiligingsmaatregelen naar behoefte aan ontwikkelingen binnen ons risicobeleid en conform actuele beveiligingsstandaarden

10.2 Beperkingen bij beveiliging en verwerkers

10.2.1 Inherente beveiligingsbeperkingen

Terwijl onze bedrijfsvoering afhankelijk is van het internet en ondanks onze beveiligingsmaatregelen, is het internet inherent onveilig. Beveiligingsrisico's evolueren voortdurend, evenals de technische en organisatorische standaarden om deze risico's te beheersen. Absolute beveiliging van persoonsgegevens kan daarom niet worden gegarandeerd.

10.2.2 Beperkingen bij verwerkers

Wij sluiten met alle verwerkers verwerkersovereenkomsten (DPA's) die voldoen aan de AVG-vereisten en monitoren significante wijzigingen in hun dienstverlening. Wij kunnen echter niet de dagelijkse operaties van verwerkers direct controleren. Ondanks zorgvuldige selectie en contractuele waarborgen kunnen zich beveiligingsincidenten voordoen bij verwerkers die buiten onze directe invloedssfeer liggen. Contractuele aansprakelijkheidsrechten jegens verwerkers blijven onverlet.

10.2.3 Eigen verantwoordelijkheid

Betrokkenen blijven zelf verantwoordelijk voor het maken van back-ups van kritieke informatie en het treffen van eigen beveiligingsmaatregelen waar dit relevant is voor hun belangen.

11 Datalekken

11.1 Datalek melden aan ons

Wanneer melden? Personen die (mogelijke) beveiligingskwetsbaarheden of datalekken ontdekken die onze persoonsgegevens raken worden verzocht dit direct te melden aan ons. Wij waarderen zowel proactieve meldingen (beveiligingskwetsbaarheid ontdekt) als reactieve meldingen (datalek heeft plaatsgevonden) die ons helpen de privacy van betrokkenen te beschermen.

Hoe melden?

  • Contact: conform sectie 12.2
  • Onderwerp: "URGENT: Mogelijke beveiligingskwetsbaarheid" of "URGENT: Mogelijke datalek"
  • Te vermelden informatie (indien bekend):
  • Omschrijving van de beveiligingskwetsbaarheid/ het datalek
  • Datum en tijdstip van incident en/of ontdekking
  • Oorzaak of vermoedelijke oorzaak
  • Type persoonsgegevens betrokken (bijvoorbeeld ‘mailadres’)
  • Geschat aantal betrokkenen
  • Reeds genomen maatregelen
  • Overige relevante omstandigheden

Wat gebeurt er daarna?

  • Wij behandelen meldingen vertrouwelijk
  • Wij streven ernaar melders zo spoedig mogelijk een ontvangstbevestiging te sturen
  • Wij onderzoeken of sprake is van een daadwerkelijk beveiligingsrisico of datalek
  • Wij nemen verdere stappen conform sectie 11.2, indien nodig

11.2 Onze meldplicht

Wanneer wij kennis nemen van een datalek:

  • Onderzoeken wij direct de aard en omvang van het incident
  • Treffen wij passende maatregelen om het incident te beheersen
  • Beoordelen wij of en in welke mate het een risico inhoudt voor rechten en vrijheden van betrokkenen
  • Bij risico: melden wij dit binnen 72 uur na onze kennisname aan de Autoriteit Persoonsgegevens
  • Bij hoog risico: informeren wij ook de betrokkenen rechtstreeks
  • Documenteren wij alle incidenten conform artikel 33(5) AVG

DEEL 5: RECHTEN EN PROCEDURES

Rechten van betrokkenen en hoe deze kunnen worden uitgeoefend

12 Privacyrechten van betrokkenen

12.1 Overzicht van privacyrechten van betrokkenen

12.1.1 Recht op intrekking toestemming (artikel 7 AVG)

Voor verwerkingen op basis van toestemming kunnen betrokkenen hun toestemming op ieder moment intrekken. Vanaf het moment van intrekking worden de persoonsgegevens van betrokkenen niet meer verwerkt voor dat specifieke doel, tenzij er ook een andere grondslag is om de verwerking voort te zetten. Het intrekken van toestemming laat de rechtmatigheid onverlet van de verwerking voorafgaand aan de intrekking.

12.1.2 Recht op informatie (artikelen 13 en 14 AVG)

Deze onderhavige privacyverklaring, de cookie banner + 'Cookie-instellingen' en onze emailhandtekeningen voorzien in de verplichte transparantie-informatie. Daarbij hanteren wij een gelaagde benadering, zowel qua vorm (meerdere kanalen) als inhoud (samenvatting met secties ingedeeld in delen), zoals aanbevolen in de EDPB Richtsnoeren 1/2022 over transparantie en bevestigd door de Autoriteit Persoonsgegevens.

Indien gegevens niet rechtstreeks van betrokkene zijn verkregen, informeren wij betrokkenen hierover uiterlijk binnen 1 maand, bij eerste communicatie, of - indien dit eerder is - voordat wij die gegevens aan een derde partij verstrekken.

Voor aanvullende informatie (zoals onze belangenafwegingen voor verwerkingen op basis van gerechtvaardigd belang) kunnen betrokkenen contact opnemen.

12.1.3 Recht op inzage (artikel 15 AVG)

Betrokkenen kunnen inzage vragen in hun persoonsgegevens. Wij verstrekken deze inzage door middel van een kopie van de betreffende gegevens. Voor zakelijke gesprekken met meerdere deelnemers verstrekken wij een samenvatting van relevante passages ter bescherming van rechten van andere deelnemers (artikel 15 lid 4 AVG).

12.1.4 Recht op rectificatie (artikel 16 AVG)

Betrokkenen kunnen correctie vragen van onjuiste of onvolledige persoonsgegevens.

12.1.5 Recht op gegevenswissing (artikel 17 AVG)

Betrokkenen kunnen verwijdering van hun persoonsgegevens vragen. Wij verwijderen die gegevens dan, tenzij dit wordt verboden of verhinderd door:

  • Wettelijke bewaarplichten of lopende rechtsvorderingen (artikel 6(1)(c) AVG)
  • Een lopende overeenkomst waarbij de gegevens noodzakelijk zijn voor de uitvoering daarvan en de betrokkene contractpartij is (artikel 6(1)(b) AVG).
  • Dwingende gerechtvaardigde belangen, zoals zakelijke archivering³ (artikel 6(1)(f) AVG)

Ter waarborging van databeveiliging en ter naleving van wettelijke bewaarplichten kunnen wij logs en/of backups (details: sectie 8.2.1) technisch onwijzigbaar ('write-once, read/append-only') hebben ingericht. Deze bestanden kunnen technisch niet geheel of gedeeltelijk worden aangepast of verwijderd zonder de integriteit van (de ketenreeks van) die bestanden te compromitteren. Bij verwijderverzoeken onder de AVG markeren wij de persoonsgegevens in deze bestanden daarom administratief als buiten gebruik ('put beyond use') en staken wij de verwerking van die gegevens. Mocht een versleutelde backup worden hersteld, dan worden de als buiten gebruik gemarkeerde gegevens direct definitief verwijderd uit de herstelde gegevens. Definitieve technische verwijdering vindt plaats bij het verstrijken van de wettelijke bewaartermijn of wanneer het volledige bestand voordien (automatisch) wordt overschreven of vernietigd.

Dit recht is verder beperkt voor de selectieve verwijdering van stemmen en/of beelden van de betrokkene in 'communicatie en documentatie' met meerdere deelnemers, omdat dit een onevenredige inspanning zou vergen.

12.1.6 Recht op beperking verwerking (artikel 18 AVG)

Betrokkenen kunnen tijdelijke stopzetting van verwerking vragen tijdens onderzoek naar juistheid van gegevens.

12.1.7 Recht op overdraagbaarheid (artikel 20 AVG)

Betrokkenen kunnen hun persoonsgegevens opvragen voor overdracht aan zichzelf of rechtstreeks aan een andere organisatie. Dit recht geldt niet voor verwerkingen op gerechtvaardigd belang. Dit recht geldt alleen voor persoonsgegevens die wij:

  • hebben ontvangen van betrokkene zelf (geen afgeleide of geïnterpreteerde gegevens)
  • geautomatiseerd verwerken
  • verwerken op basis van toestemming (artikel 6(1)(a) AVG) of overeenkomst (artikel 6(1)(b) AVG)

Bij uitoefening van dit recht worden de persoonsgegevens - zowel bij overdracht aan de betrokkene als bij directe overdracht aan een andere organisatie - aangeleverd in een gestructureerd, veelgebruikt en machineleesbaar formaat.

12.1.8 Recht van bezwaar (artikel 21 AVG)

Het bezwaarrecht geldt voor verwerkingen op basis van gerechtvaardigd belang (artikel 6(1)(f) AVG), ongeacht uit welke bron de persoonsgegevens zijn verkregen en of die verwerkingen (deels) geautomatiseerd plaatsvinden. Bij bezwaar beoordelen wij of onze dwingende gerechtvaardigde belangen zwaarder wegen dan de belangen, grondrechten en fundamentele vrijheden van de betrokkene. Bij bezwaar tegen direct marketing staken wij de verwerking direct.

12.1.9 Recht om niet te worden onderworpen (artikel 22 AVG)

Wij nemen geen volledig geautomatiseerde besluiten met juridische of vergelijkbare significante gevolgen. Alle belangrijke beslissingen in onze dienstverlening worden door mensen genomen. Mocht er toch sprake zijn van geautomatiseerde besluitvorming, dan hebben betrokkenen recht op menselijke tussenkomst en een nieuwe beoordeling.

12.2 Uitoefening van rechten

  • Contact: via ons mailadres bovenaan deze verklaring, via het contactformulier op onze website, of via de overige contactgegevens op onze website; met identiteitsverificatie en – waar relevant – de periode waarop het verzoek betrekking heeft
  • Behandeltermijn: één maand (complex: maximaal drie maanden met tussentijdse berichtgeving)
  • Kosten: Elk verzoek, inclusief de eerste kopie, is kosteloos. Bij kennelijk ongegronde of buitensporige verzoeken (zoals aanvullende kopieën binnen hetzelfde verzoek) kunnen wij een redelijke vergoeding vragen voor het verzoek of het verzoek gemotiveerd weigeren. De vergoeding dekt uitsluitend administratieve kosten, en wordt inclusief eventuele verzendkosten gespecificeerd op de btw-factuur.
  • Beperkingen: Rechten kunnen alleen worden uitgeoefend voor zover technisch en organisatorisch haalbaar zonder onevenredige inspanning (artikel 12 lid 5 AVG).
  • Intrekking verzoek: Betrokkenen kunnen een ingediend verzoek tot uitoefening van rechten intrekken totdat wij dit verzoek in behandeling hebben genomen. Daarna bepalen wij of intrekking nog praktisch uitvoerbaar is.

13 Klachten en contact

13.1 Eerst contact met ons

Wij streven ernaar alle privacygerelateerde kwesties minnelijk op te lossen. Voor vragen, suggesties, feedback of klachten over de gegevensverwerking kunnen betrokkenen contact opnemen conform sectie 12.2 Privacygerelateerde onderwerpen worden met voorrang behandeld, waarbij behandeling van incidentmeldingen de hoogste prioriteit heeft.

13.2 Rechterlijke procedure

Betrokkenen hebben het recht om een rechterlijke procedure (per verzoekschrift of dagvaarding) aan te spannen betreffende de verwerking van hun persoonsgegevens, onafhankelijk van een eventuele klachtenprocedure bij de toezichthouder. Betrokkenen worden verzocht eerst de minnelijke oplossing van sectie 13.1 te benutten alvorens gerechtelijke stappen te ondernemen.

13.3 Toezichthouder

Betrokkenen kunnen een klacht indienen bij de toezichthouder over privacy-specifieke kwesties.

De toezichthouder toetst uitsluitend op naleving van de AVG en andere privacywetgeving - niet op commerciële geschillen, contractuele voorwaarden of zakelijke afspraken. Eventuele privacy-klachten hebben geen invloed op bestaande zakelijke verplichtingen tussen partijen.

Als verwerkingsverantwoordelijke met uitsluitend een statutaire vestiging in Nederland is de Nederlandse toezichthouder de bevoegde toezichthouder conform artikel 56 AVG. Contactgegevens van die toezichthouder:

  • Naam: Autoriteit Persoonsgegevens (AP)
  • Post: Postbus 93374, 2509 AJ Den Haag
  • Telefoon: 088 - 1805 250
  • Website: autoriteitpersoonsgegevens.nl
  • Online klacht: Via het klachtenformulier op hun website