Privacyverklaring ZZP Service Achterhoek
1. Algemeen
In deze privacyverklaring wordt verstaan onder:
1.1 AVG: de Algemene Verordening Gegevensbescherming van 27 april 2016 (EU 2016/679)
1.2 Algemene voorwaarden: de Algemene voorwaarden van de opdrachtnemer, die
onverkort van toepassing zijn op iedere afspraak tussen opdrachtgever en de
opdrachtnemer en van welke Algemene voorwaarden deze privacyverklaring onlosmakelijk
deel uitmaakt.
1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 1.
1.4 Betrokkene: de natuurlijke persoon, waarvan de persoonsgegevens worden verwerkt door
de Opdrachtnemer.
1.5 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan opdrachtnemer opdracht
heeft gegeven tot het verrichten van werkzaamheden, eveneens betrokkene.
1.6 Opdrachtnemer: ZZP Service Achterhoek, gevestigd Kersebloesem 62, 7006 MC te Doetinchem
eveneens verantwoordelijke.
1.7 Overeenkomst: elke afspraak tussen opdrachtgever en opdrachtnemer tot het verrichten
van werkzaamheden door opdrachtnemer ten behoeve van de opdrachtgever, conform
het bepaalde in de opdrachtbevestiging.
1.8 Verantwoordelijke: de opdrachtnemer, die in het kader van zijn werkzaamheden op grond
van de overeenkomst of uit anderen hoofde de gegevens verwerkt.
1.9 Verwerker: een derde, die in opdracht van de verantwoordelijke de gegevens verwerkt.
1.10 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door
opdrachtnemer uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin
van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de
opdrachtbevestiging.
1.11 Incident/ Datalek: een inbreuk op de organisatorische en/of technische beveiliging, waarbij
redelijkerwijs niet uitgesloten kan worden dat persoonsgegevens verloren zijn gegaan.
2. Toepasselijkheid privacyverklaring
2.1 Deze privacyverklaring is van toepassing op de verwerking van alle gegevens die in het
kader van de uitvoering van de overeenkomst met opdrachtgever door opdrachtnemer
worden verwerkt, alsmede op alle uit de overeenkomst voor opdrachtnemer voortvloeiende
werkzaamheden en de in dat kader te verwerken gegevens.
2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de gegevens zoals
omschreven in Annex 1.
2.3 Dit is een privacyverklaring in de zin van de AVG, waarin de rechten en verplichtingen ten
aanzien van de verwerking van de persoonsgegevens schriftelijk zijn geregeld, waaronder
de beveiliging van de persoonsgegevens.
2.4 Deze privacyverklaring maakt, net als de Algemene voorwaarden van de opdrachtnemer,
onderdeel uit van de overeenkomst en alle toekomstige overeenkomsten tussen partijen.
3. Reikwijdte privacyverklaring
3.1 Met het geven van de opdracht tot het verrichten van werkzaamheden heeft opdrachtgever
aan opdrachtnemer/verantwoordelijke toestemming gegeven om de gegevens te
verwerken op de wijze zoals omschreven in Annex 1 in overeenstemming met de
bepalingen van deze privacyverklaring.
3.2 Opdrachtnemer/verantwoordelijke verwerkt de gegevens uitsluitend in overeenstemming
met deze privacyverklaring, met name met hetgeen is opgenomen in Annex 1.
3.3 Opdrachtnemer/verantwoordelijke bevestigt de gegevens niet voor
andere doeleinden te verwerken.
2
4. Verplichting Verantwoordelijke
4.1 Verantwoordelijke treft de nodige maatregelen opdat de gegevens, gelet op de doeleinden
waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.
4.2 Verantwoordelijke zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling
en verdere verwerking van gegevens te voorkomen.
4.3 Verantwoordelijke bewaart de gegevens niet langer dan strikt nodig is ter uitvoering van de
werkzaamheden. In Annex 1 worden de bewaartermijnen voor de categorieën van
gegevens vermeld.
5. Geheimhouding
5.1 Verantwoordelijke en de personen die in dienst zijn van verantwoordelijke dan wel
werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot de
gegevens, verwerken de gegevens slechts in het kader van de werkzaamheden,
behoudens afwijkende wettelijke verplichtingen.
5.2 Verantwoordelijke en de personen die in dienst zijn van verantwoordelijke dan wel
werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot de
gegevens, zijn verplicht tot geheimhouding van de gegevens waarvan zij kennis nemen,
behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak
de noodzaak tot mededeling voortvloeit.
6. Geen verdere verstrekking
6.1 Verantwoordelijke zal de gegevens niet delen met of verstrekken aan derden, tenzij
verantwoordelijke daartoe voorafgaande, schriftelijke toestemming of opdracht heeft
verkregen van betrokkene/opdrachtgever of op grond van dwingendrechtelijke regelgeving
daartoe verplicht is. Indien verantwoordelijke op grond van dwingendrechtelijke regelgeving
verplicht is om de gegevens te delen met of te verstrekken aan derden, dan zal
verantwoordelijke de betrokkene/opdrachtgever hierover schriftelijk informeren, tenzij dit
niet is toegestaan onder de genoemde regelgeving.
7. Beveiligingsmaatregelen
7.1 Verantwoordelijke zal – rekening houdend met de van toepassing zijnde regelgeving op het
gebied van bescherming van gegevens, de stand van de techniek en de kosten van
tenuitvoerlegging – technische en organisatorische beveiligingsmaatregelen treffen om de
gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 bepaald.
7.2 De gegevens worden uitsluitend opgeslagen en verwerkt binnen de Europese
Economische Ruimte.
.
8. Rechten van de Betrokkene
8.1 De betrokkene heeft het recht om de gegevens in te zien, te corrigeren of te verwijderen.
Daarnaast heeft de betrokkene het recht om zijn eventuele toestemming voor de verwerking
van de gegevens in te trekken of bezwaar te maken tegen de verwerking van de gegevens
door de opdrachtnemer/verantwoordelijke.
8.2 De betrokkene heeft het recht om de gegevens, die hij aan de verantwoordelijke heeft
verstrekt in een gestructureerde, gangbare vorm te verkrijgen en die gegevens aan een
andere verantwoordelijke over te dragen.
8.3 De betrokkene kan het verzoek tot inzage, correctie, verwijdering, overdracht of verzoek tot
intrekking van de toestemming sturen naar het kantoor-/emailadres van de opdrachtgever.
De opdrachtgever zal zo spoedig mogelijk, maar uiterlijk binnen 4 weken, reageren op het verzoek.
8.4 De betrokkene heeft het recht om een klacht in te dienen bij de Autoriteit
Persoonsgegevens, indien hij van mening is dat de verantwoordelijke zijn verplichting
ingevolge de AVG niet nakomt.
3
9. Datalek
9.1 Zo spoedig mogelijk nadat verantwoordelijke kennis neemt van een incident of datalek van
gegevens dat nadelige gevolgen heeft voor betrokkene, stelt verantwoordelijke de
betrokkene/opdrachtgever hiervan op de hoogte via de bij verantwoordelijke bekende
contactgegevens van betrokkene/opdrachtgever en zal verantwoordelijke informatie
verstrekken over: de aard van het incident of het datalek, de getroffen gegevens, de
vastgestelde en verwachte gevolgen van het incident of datalek op de gegevens en de
maatregelen die verantwoordelijke heeft getroffen en zal treffen.
9.2 Verantwoordelijke zal, indien vereist ingevolge de AVG, het datalek melden bij de Autoriteit
Persoonsgegevens.
10. Verwerker
10.1 Indien verantwoordelijke de verwerking van de gegevens uitbesteedt aan een verwerker,
sluit verantwoordelijke met de betreffende verwerker een verwerkingsovereenkomst
conform het bepaalde in artikel van artikel 28 van de AVG.
11. Aansprakelijkheid
11.1 De aansprakelijkheid van de opdrachtnemer/verantwoordelijke, voortvloeiend uit of
verband houdend met de overeenkomst en deze Privacyverklaring wordt beheerst door de
Algemene Voorwaarden.
12. Duur, wijziging en beëindiging
12.1 Deze privacyverklaring is van toepassing zolang door opdrachtnemer/verantwoordelijke
werkzaamheden worden verricht ten behoeve van opdrachtgever/betrokkene.
12.2 Indien er een verandering plaatsvindt in de gegevens die worden verwerkt of de
toepasselijke regelgeving, zal deze privacyverklaring worden aangepast.
12.3 Indien verantwoordelijke op grond van een wettelijke bewaarplicht bepaalde gegevens
en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich
gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal
verantwoordelijke zorgdragen voor de vernietiging van deze gegevens of documenten,
computerdisks of andere gegevensdragers binnen 4 weken na beëindiging van de wettelijke
bewaarplicht.
12.4 Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal verantwoordelijke na
beëindiging van de overeenkomst geen gegevens houden noch gebruiken.
13. Nietigheid
13.1 Indien één of meerdere bepalingen uit deze privacyverklaring nietig zijn of vernietigd
worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van
deze privacyverklaring niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe
bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht
mogelijk benaderd.
14. Toepasselijk recht
14.1 Op deze privacyverklaring is Nederlands recht van toepassing.
4
ANNEX 1
GEGEVENS, DOELEINDEN EN CATEGORIEËN VAN BETROKKENEN
De Verantwoordelijke verwerkt de volgende gegevens in het kader van de werkzaamheden, waaronder
maar niet uitsluitend, kunnen vallen financiële, fiscale en juridische dienstverlening:
(1) Naam (initialen, voornamen en achternaam)
(2) Telefoonnummers (vast en mobiel)
(3) E-mailadres
(4) Geboortedatum/geboorteplaats
(5) Adres/Woonplaats
(6) Gegevens ID-bewijs
(7) Financiële gegevens, zowel zakelijk als privé
(8) BSN van Betrokkene
DOELEINDEN
De werkzaamheden waarvoor bovengenoemde gegevens mogen worden verwerkt, uitsluitend indien
noodzakelijk, zijn in ieder geval:
(1) De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan
verantwoordelijke een opdracht heeft verkregen van opdrachtgever;
(2) Informatievoorziening van opdrachtnemer/verantwoordelijke aan opdrachtgever.
CATEGORIEËN VAN BETROKKENEN
De gegevens die verwerkt worden betreffen in ieder geval, maar niet uitsluitend, de volgende categorieën
van betrokkenen:
(1) de opdrachtgever, de eigenaar/aandeelhouder van de opdrachtgever alsmede diens partner en
familieleden;
(2) Leveranciers van verantwoordelijke;
(3) Zakelijke relaties
BEWAARTERMIJNEN
Administratie De administratie van de verantwoordelijke, waaronder de facturen en andere bescheiden
waarop de persoonsgegevens van partijen vermeld zijn, wordt gedurende een periode van zeven jaar na afloop
van het boekjaar bewaard om te kunnen voldoen aan de fiscale bewaarplicht.
Overige contactgegevens
Overige contactgegevens worden gedurende één jaar na het laatste contact bewaard, tenzij u eerder een
verzoek bij ons indient om deze te verwijderen.
ANNEX 2
BEVELIGINGSMAATREGELEN
De verantwoordelijke heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:
Logische toegangscontrole d.m.v. persoonsgebonden userid en wachtwoord waaraan de volgende
eisen worden gesteld:
o Minimaal 8 karakters lang
o Minimaal 1 hoofdletter
o Minimaal 1 cijfer
o Mag niet gelijk zijn of lijken op gebruikersnaam en/of naam van medewerker
o Mag niet gebruikt zijn als 1 van de laatste 25 wachtwoorden
o Moet iedere 90 dagen veranderd worden
Deze toegangscontrole bepaalt tevens tot welke applicaties toegang wordt verleend. Daarmee
worden bevoegdheden toegewezen aan specifieke personen.
Sommige applicaties vragen daarnaast nog om een aparte toegangscontrole.
Zoveel mogelijk encryptie van persoonsgegevens tijdens elektronische overdracht naar externe
partijen
Er wordt continue aandacht besteed aan de gevaren van ransomware en de noodzaak tot
geheimhouding van eigen inlogcodes.
Met derden zijn/worden verwerkers overeenkomsten afgesloten.
Met de outsourcingspartner zijn dagelijkse back-up procedures afgesproken
Arbeidscontracten kennen een geheimhoudingsclausule
De beveiliging op datacenter niveau wordt continu gemonitord