Privacybeleid De Bink

Bij De Bink staat het beschermen van persoonsgegevens centraal en is het een onderdeel van onze dagelijkse werkzaamheden. Met ons privacybeleid willen wij u inzicht geven in hoe wij omgaan met persoonsgegevens. Wij voldoen aan de wet- en regelgeving, waaronder de Algemene verordening gegevensbescherming (AVG). Wij zijn ISO 27001 gecertificeerd en worden hiervoor ieder jaar geaudit. Wij kennen twee groepen van persoonsgegevens, namelijk interne en externe:

Interne

  1. De kortlopende persoonsgegevens. 
    Dit zijn de gegevens die wij dagelijks krijgen aangeleverd voor het verzenden van mailingen en postzaken.
  2. De langlopende persoonsgegevens. 
    Dit zijn de gegevens van klanten, prospects en medewerkers die wij in onze databases hebben opgeslagen.

Externe

  1. Standaard – Voor opdrachten sluiten we een verwerkersovereenkomst af. Voor vaste relaties maken we een verwerkersovereenkomst op maat.  
  2. Eenmalig – We hanteren een standaard overeenkomst voor eenmalige opdrachten.

Zonder verwerkingsovereenkomst en zonder doel van verwerking en afspraken m.b.t. vernietiging worden gegevens niet verwerkt. Wij houden een register van verwerkingen bij waarin de volgende gegevens staan opgenomen:

  • Categorie betrokkenen
  • Persoonsgegevens
  • Bijzondere persoonsgegevens
  • Bron
  • Waar verwerkt
  • Doelen van de verwerkingen
  • Rechtsgrond
  • Bewaartermijn
  • Toegang
  • Verstrekking aan derden

 

Wij doen er alles aan om de privacy van iedereen te waarborgen en gaan daarom zeer zorgvuldig om met persoonsgegevens. Dit brengt met zich mee dat wij in ieder geval:

Kortlopende persoonsgegevens

  • sollicitatiegegevens bewaren en uiterlijk 4 weken na het einde van de sollicitatieprocedure verwijderen. Wel kunt u toestemming geven om uw gegevens langer te bewaren. Bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie voor u komt.
  • adressenbestanden verwerken in overeenstemming met het doel waarvoor deze zijn verstrekt. In bijna alle gevallen is dat het verzenden van een mailing of post voor een opdracht;
  • adressenbestanden (veelal bestaande uit naam, adres en woonplaats) per opdracht verwerken;
  • ons bewust zijn van de risico’s die het verwerken van deze adresgegevens met zich meebrengt, waarvoor wij strakke gecontroleerde procedures hebben;
  • adressenbestanden alleen bij ons laten aanleveren via een speciaal beveiligde https-verbinding, die ervoor zorgt dat deze gegevens encrypted bij ons binnenkomen;
  • met onze klanten voor wie wij met regelmaat adressenbestanden verwerken een “Verwerkersovereenkomst” afsluiten;
  • adressenbestanden na twee maanden verwijderen, tenzij er andere afspraken zijn gemaakt. Na drie maanden zijn deze adressenbestanden tevens automatisch uit ons back-upsysteem vernietigd/verwijderd;
  • adressenbestanden beschermen door het nemen van technische en/of organisatorische maatregelen. Hierdoor kunnen wij garanderen dat wij er alles aan hebben gedaan om te voorkomen dat deze gegevens bij derden terechtkomen.

Langlopende persoonsgegevens

  • de persoonsgegevens gebruiken voor het doel waarvoor deze zijn verstrekt. Wij leggen gegevens vast als werkgever en als belastingbetaler;
  • met u communiceren en u informeren over lopende projecten of producties. Daarnaast gebruiken wij de gegevens om u te informeren over innovaties en bijzondere projecten via nieuwsbrieven;
  • de persoonsgegevens beperken tot alleen die gegevens welke wij minimaal nodig hebben voor het doel;
  • uw persoonsgegevens beschermen door het nemen van technische en/of organisatorische maatregelen. Hierdoor kunnen wij garanderen dat wij er alles aan hebben gedaan om te voorkomen dat uw persoonsgegevens bij derden terechtkomen;
  • uw gegevens in de regel niet aan andere partijen verstrekken, tenzij dit nodig is voor de uitvoering van uw opdracht of tenzij wij dit bij wet verplicht zijn.

 

Privacy-by-Design en Privacy-by-Default

Privacy-by-design – Wij zijn ISO 27001 gecertificeerd en hebben alle maatregelen genomen om de persoonsgegevens veilig op te slaan en weer te kunnen verwijderen. Alle ISO 27002 beheersmaatregelen die van toepassing zijn, maken deel uit van ons geborgde en gecertificeerde ISO 27001 systeem. We hebben zowel technisch als organisatorisch maatregelen genomen om een zorgvuldige omgang met persoonsgegevens te waarborgen. We hebben in een register van verwerkingen vastgelegd welke gegevens we opslaan en wat de verwerkersgrondslag is. We gebruiken privacy enhancing technologies of PET. We hebben ons ICT-systeem aangepast aan speciale eisen van opdrachtgevers die de hoogste eisen stellen op ‘Privacy-by-design en – by-default’. Ook andere opdrachtgevers profiteren hiervan. Privacy-by-default – In (online) ICT-systemen waarborgen wij privacy. Ook dit is in het register opgenomen. Daarnaast kennen we een restrictief socialmediabeleid.

Opslag data

Voor een optimale bescherming staan gegevens alleen opgeslagen op de eigen server en niet in de cloud. De back-up is lokaal en alle opslag op harde schijven is encrypted (versleuteld) uitgevoerd. Software is volgens de laatste (geautomatiseerde) patches en updates beveiligd. Daarnaast wordt de software beveiligd door middel van virusscanners, firewalls en kwetsbaarheden-checks. Medewerkers hebben alleen toegang op ‘need-to-know’, met login en wachtwoord en hiervan is een autorisatietabel die jaarlijks wordt nagelopen. Papieren met persoonsgegevens zijn achter slot en grendel opgeslagen.

Internet en cookies

Wij monitoren en optimaliseren onze websites, waarbij uw gegevens volledig geanonimiseerd worden verzameld. Alle mogelijkheden die Google aanbiedt om uw gegevens met Google te delen zijn uitgezet en wij maken geen gebruik van andere Google-diensten in combinatie met Google Analytics-cookies. Hiermee kunnen wij garanderen dat uw surfgedrag via onze site volledig anoniem en veilig is.

Verzoek op vergetelheid

In de Algemene verordening gegevensbescherming (AVG) is het recht op vergetelheid opgenomen. Mensen kunnen aan organisaties vragen om hun gegevens te wissen met een beroep op hun recht op vergetelheid. Tenzij er een wettelijke grond is (bijv. fiscale bewaarplicht) waarvoor we gegevens moeten bewaren. Er geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst de werkgever verplicht om persoonsgegevens (van medewerkers en klanten) een bepaalde periode te bewaren. Wij hanteren een periode van 8 jaar nadat men uit dienst is gegaan of nadat de klant voor het laatst bestellingen bij ons heeft verricht. U kunt uw verzoek vergeten te worden indienen bij onze functionaris gegevensbescherming via carl@bink.nl.

Andere verzoeken

Wij zijn verantwoordelijk voor de verwerking van uw persoonsgegevens en/of adressenbestanden. Indien u vragen heeft over ons privacybeleid of een klacht over onze verwerking, dan kunt u deze direct stellen c.q. indienen bij onze functionaris gegevensbescherming, carl@bink.nl.

Mocht u niet tevreden zijn met onze afhandeling van uw klacht, dan heeft u te allen tijde het recht een officiële klacht in te dienen bij de Autoriteit Persoonsgegevens. Dit is de toezichthoudende autoriteit op het gebied van privacy.

Verzoeken kunnen worden ingediend voor:

Het recht op dataportabiliteit | Recht om persoonsgegevens over te dragen.
Recht op inzage | Recht om persoonsgegevens die De Bink verwerkt in te zien.
Recht op rectificatie en aanvulling | Recht om persoonsgegevens die De Bink verwerkt te wijzigen.
Het recht op beperking van de verwerking | Recht om minder gegevens te laten verwerken.
Het recht op bezwaar | Recht om bezwaar te maken tegen de gegevensverwerking.

Functionaris Gegevensbescherming, 1 februari 2019
C. Smit