Privacybeleid

Privacy Statement CBKZ

Versie januari 2022

1. Privacybeleid
Dit privacy statement beschrijft de uitgangpunten op basis waarvan CBKZ haar privacybeleid heeft vormgegeven. Dit statement is voor iedereen toegankelijk en vormt de basis van waaruit onze overige documentatie op het gebied van bescherming van persoonsgegevens is opgesteld. Voorbeelden van documentatie zijn: verwerkersovereenkomsten, specifieke procedures, protocollen en het verwerkingsregister.

2. Communiceren met CBKZ
Wanneer u een e-mail of een ander bericht naar ons verzendt, is het mogelijk dat we die berichten bewaren. Soms vragen wij naar persoonlijke gegevens die voor de desbetreffende situatie relevant zijn. Dit maakt het mogelijk vragen te verwerken en verzoeken te beantwoorden. De gegevens worden opgeslagen op een beveiligde server. Wij combineren deze gegevens niet met andere persoonlijke gegevens waarover wij beschikken. Er wordt alleen informatie opgevraagd die noodzakelijk is voor het beoogde doel. In beginsel bewaren wij uw gegevens 2 jaar tenzij wettelijk anders bepaald.

3. Aanmelden en afmelden voor nieuwsbrief
Via onze website kunt u zich aanmelden voor onze nieuwsbrief. U ontvangt vervolgens een e-mail waarmee u de aanmelding kunt bevestigen. Pas dan worden de door u opgegeven persoonsgegevens in ons systeem opgeslagen. U geeft op deze manier actief toestemming voor het door ons versturen van een nieuwsbrief naar uw e-mailadres.

Bij het aanmelden voor de nieuwsbrief worden uw naam, e-mailadres, organisatie en branche gevraagd. Deze informatie wordt uitsluitend gebruikt voor het verzenden van (branche specifieke) nieuwsbrieven. U kunt zich afmelden voor de nieuwsbrief door onderaan de nieuwsbrief de link te volgen. Al uw gegevens worden dan verwijderd uit onze systemen.

4. Invullen van een digitaal formulier
Via onze website kunt u een (of meerdere) formulieren invullen. De informatie die u invoert, komt via een beveiligde SSL-verbinding direct terecht in de database van de website en wordt verstuurd naar één specifieke mailbox. Voor het beheer van deze database en mailbox is een protocol opgesteld. Na afhandeling van uw verzoek worden uw gegevens twee jaar bewaard, zodat we bij vervolgcontact eventueel kunnen zien welk contact er reeds heeft plaatsgevonden.

5. Aanmelden voor workshop of training
Indien u zich aanmeldt voor een van onze workshops of trainingen worden uw gegevens geregistreerd in onze interne database, zodat we contact met u kunnen opnemen en u verder kunnen voorzien van de nodige informatie. Voorafgaand of tijdens de workshop of training kunnen door ons relevante gegevens van u worden gedeeld met de overige deelnemers.

6. Indienen van een klacht
Wanneer u betrokken bent bij een klacht die door ons bureau wordt behandeld, verloopt de communicatie via telefoon, e-mail of post.  Tijdens deze klachtbehandeling worden ook persoonsgegevens uitgewisseld.  Deze informatie wordt door ons opgeslagen op een beveiligde server. Deze informatie wordt gebruikt voor het correct afhandelen van een klacht en ten behoeve van de communicatie met bij de klacht betrokken partijen.

7. Reacties
U kunt een reactie achterlaten op de website. We verzamelen de data getoond in het reactieformulier, uw IP-adres en de browser gebruikersagent string. Dit doen we ter voorkoming van spam.

Een geanonimiseerde string, gemaakt op basis van uw e-mailadres (dit wordt ook een hash genoemd) kan worden gestuurd naar de Gravatar service indien u dit gebruikt. De privacybeleidspagina kunt u vinden op: https://automattic.com/privacy/. Nadat uw reactie is goedgekeurd, is uw profielfoto zichtbaar op onze website. Deze wordt geplaatst bij uw reactie.

Wanneer u een reactie achterlaat op onze site, kunt u aangeven of uw naam, uw e-mailadres en website in een cookie opgeslagen mogen worden. Dit doen we voor uw gemak zodat u deze gegevens niet opnieuw hoeft in te vullen voor een nieuwe reactie. Deze cookies zijn een jaar lang geldig.

8. CBKZ als verwerkingssverantwoordelijke
Indien CBKZ opdrachtgever is tot het verwerken van persoonsgegevens is zij verwerkingsverantwoordelijke. In dat geval wordt er tussen beide partijen een verwerkers-overeenkomst opgesteld. Voor iedere situatie waarin CBKZ verwerkings-verantwoordelijke is en er persoonsgegevens worden verwerkt, wordt een specifieke verwerkersovereenkomst opgesteld. Deze overeenkomst wordt geregistreerd in het verwerkingsregister. Minimaal worden in deze overeenkomst vastgelegd: het onderwerp, de duur, de aard, het doel, de omgang met de data bij beëindiging, het soort persoonsgegevens, de categorieën van betrokkenen, de rechten en verplichtingen van de verwerkingsverantwoordelijke, de mogelijkheid voor de verwerkingsverantwoordelijke om te kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken, bijvoorbeeld door het uitvoeren van audits.

9. CBKZ als verwerker
Indien een andere partij opdracht geeft aan CBKZ tot het verwerken van persoonsgegevens is CBKZ verwerker. In dat geval dient de verwerkingsverantwoordelijke een overeenkomst op te stellen en deze te laten ondertekenen door CBKZ. Ook deze verwerkersovereenkomsten worden geregistreerd in ons verwerkingsregister.

10. CBKZ in overige rollen
Naast klantrelaties waarin CBKZ zowel de rol van verwerkingsverantwoordelijke als de rol van verwerker kan vervullen zijn tevens o.a. de onderstaande rollen of scenario’s van toepassing:

• CBKZ als werkgever voor haar werknemers;
• CBKZ als uitlener voor gedetacheerden;
• CBKZ als klant van o.a. de salarisadministrateur en hostingpartij;
• CBKZ in relatie tot de belastingdienst;
• CBKZ in relatie tot de Arbodienst.

De rolneming en verantwoordelijkheden binnen bovenstaande scenario’s zijn opgenomen in specifieke protocollen, in het beleidsdocument ‘Privacy en CBKZ’ of in specifieke verwerkersovereenkomsten.

11. Verwerkingen en grondslagen
Voor situaties waarbij gegevensverwerkingen plaatsvinden, worden overeenkomsten opgesteld waarin o.a. het doel van de verwerking en de grondslag van de verwerking worden vastgelegd. Verwerkingen dienen ten aanzien van de betrokkenen als rechtmatig en behoorlijk te gelden.

Voorbeelden van verwerkingsdoelen zijn: het betalen van salaris, het opbouwen van pensioenopbouw, het betalen van belastingen en premies of het re-integreren van een zieke medewerker. Voorbeelden van grondslagen zijn: het nakomen van een overeenkomst, het nakomen van wettelijke verplichtingen, het uitvoeren van een overheidstaak of het handelen in geval van levensbelang.

12. Rechten van betrokkenen
De betrokkene heeft de volgende rechten:

• Recht op informatie over de verwerkingen;
• Recht op inzage in gegevens;
• Recht op correctie van de gegevens als deze niet kloppen;
• Recht op verwijdering van de gegevens;
• Recht om vergeten te worden;
• Recht op beperking van de gegevensverwerking;
• Recht op verzet tegen de gegevensverwerking;
• Recht op overdracht van gegevens (dataportabiliteit);
• Recht op niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Deze rechten zijn gewaarborgd in het beleidsdocument van ons bureau en verwerkt in interne protocollen die de uitvoering van deze rechten beschrijven. Verzoeken kunnen worden ingediend bij de privacy-expert van CBKZ via privacy@cbkz.nl.

13. Technische veiligheidsmaatregelen
Binnen CBKZ zijn o.a. de volgende technische veiligheidsmaatregelen getroffen:

• Firewall, antivirus en AI email security;
• Beveiligde wifi hotspots;
• Automatische schermbeveiliging na 3 minuten;
• Tweestaps inlog bij benaderen Office365 en MailChimp.

Daarnaast kan het voorkomen dat er voor bepaalde verwerkingen specifieke veiligheidsmaatregelen zijn getroffen. In dat geval worden deze specifieke bepalingen opgenomen in de verwerkersovereenkomst.

14. Organisatorische veiligheidsmaatregelen
Binnen CBKZ zijn o.a. de volgende organisatorische veiligheidsmaatregelen getroffen:

• Clean desk policy;
• Protocol m.b.t. gebruik laptop en usb-sticks;
• Gedragsregels m.b.t. communicatie met klagers en beklaagden;
• Aanstelling privacy-expert.

Daarnaast kan het voorkomen dat er voor bepaalde verwerkingen specifieke veiligheidsmaatregelen zijn getroffen. In dat geval worden deze specifieke bepalingen opgenomen in de verwerkersovereenkomst.

15. Bijzondere of strafrechtelijke persoonsgegevens
In geval van het verwerken van bijzondere of strafrechtelijke persoonsgegevens is extra alertheid genoodzaakt. Eventuele extra veiligheidsmaatregelen zijn dan opgenomen in de specifieke verwerkersovereenkomst. Over het algemeen is er binnen de bedrijfsvoering van CBKZ geen sprake van verwerking van bijzondere of strafrechtelijke persoonsgegevens.

16. Gebruik van cookies op de website
De website www.cbkz.nl maakt gebruik van cookies. Een cookie is een klein bestand dat bij het bezoeken van onze website op uw computer wordt opgeslagen. We gebruiken deze cookies om inzicht te krijgen in het gebruik van de website (Google Analytics) en om persoonlijke te tonen bij reacties op onze blogs (Gravatar).

16.1 Google Analytics
Via onze website wordt een cookie geplaatst van Google. Hiermee krijgen we informatie over het gebruik van onze website. De resultaten komen beschikbaar via de dienst Google Analytics. De resultaten van Google Analytics helpen ons de website te verbeteren. De informatie die Google verzamelt, wordt zo veel mogelijk geanonimiseerd en is niet te herleiden tot uw computer of u als persoon. In onze rapportages is uw gedrag op de website niet specifiek voor uw IP-adres in te zien . De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google stelt zich te houden aan meerdere raamwerken van zelfregulering, waaronder het EU-US Privacy Shield Framework. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.

Google kan de verkregen informatie aan derden verschaffen als Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. We hebben Google geen toestemming gegeven om de verkregen informatie te gebruiken voor andere diensten van Google.

16.2 Gravatar
De profielfoto’s die worden getoond bij de blogs van www.cbkz.nl worden verzorgd door Gravatar. Hiervoor wordt er een trackingcookie geplaatst. In principe kan Gravatar meten welke sites u heeft bezocht doordat de profielfoto’s op de servers van Gravatar staan. Profielfoto’s worden rechtstreeks op uw computer geplaatst en vervolgens niet meer opgehaald van de servers van Gravatar. Tracking is hierdoor hoogstwaarschijnlijk beperkt.

17. Gebruik van externe diensten/partijen
O.a. de volgende partijen en programma’s ondersteunen ons in onze werkzaamheden: Digitale factuur, Google, Microsoft, Zivver, Mollie, Gravity Forms en MailChimp. Ook deze partijen zijn verplicht de AVG na te leven.

18. Functionaris Gegevensbescherming (FG)
Voor de bedrijfsvoering van CBKZ is geen Functionaris Gegevensbescherming noodzakelijk, omdat:

• we geen overheidsinstantie of overheidsorgaan zijn;
• er geen regelmatige en stelselmatige observaties van betrokkenen op grote schaal plaatsvinden;
• er geen grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten plaatsvinden.

Wel is er binnen CBKZ een privacy-expert aangesteld. Deze is verantwoordelijk voor de uitvoering en handhaving van het privacybeleid. De privacy-expert is geassocieerd lid van de FNFG en is gecertificeerd Functionaris Gegevensbescherming (FG) in de Zorg. Deze privacy-expert is te bereiken via: privacy@cbkz.nl.

19. Geheimhoudingsverklaring
Iedere medewerker van CBKZ heeft een geheimhoudingsverklaring getekend, waarin is vastgelegd dat hij/zij geheimhouding betracht inzake informatie met een vertrouwelijk karakter, zowel tijdens als na zijn/haar dienstverband bij CBKZ. Ook in het geval van detachering, is een geheimhoudingsclausule altijd onderdeel van de overeenkomst.

20. Feedback en melding datalek
Indien u feedback heeft op de manier waarop CBKZ omgaat met privacy, kunt u zich wenden tot de privacy-expert van CBKZ, te bereiken via: privacy@cbkz.nl. Tevens kunt u hier melding doen in geval van een datalek. CBKZ zal dan het protocol datalek volgen en de nodige actie ondernemen.

Gorinchem, januari 2022