Privacyverklaring VSVB administratie en advies
Wie is VSVB administratie en advies?
VSVB administratie en advies is een eenmanszaak gevestigd en kantoorhoudende te Schoonrewoerd aan de Steenovenweg 5 (Postadres: Postbus 225, 4140 AE Leerdam). Hierna “VSVB”.
Wie is de klant?
De klant is diegene met wie VSVB een overeenkomst voor dienstverlening is aangegaan. Ten behoeve van de klant kunnen door VSVB persoonsgegevens worden verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen; VSVB is dan verwerker. Ook kan het zijn dat VSVB alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; VSVB is dan verwerkingsverantwoordelijke.
Wat zijn persoonsgegevens?
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die in het kader van de overeenkomst voor dienstverlening wordt verwerkt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Ik ben geen klant maar jullie hebben wel persoonlijke gegevens van mij
Naast onze klanten verwerkt VSVB ook persoonlijke gegevens van leads, prospects, leveranciers, relaties, sollicitanten en uiteraard onze eigen gegevens. In zijn algemeenheid geldt dat de bepalingen die hieronder staan ook van toepassing zijn op de persoonlijke gegevens die VSVB verwerkt voor deze personen. Afwijkende bepalingen voor deze personen komen verderop aan de orde.
Wat verstaat VSVB onder verwerking of bewerking van persoonsgegevens?
Hieronder wordt verstaan: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Wie is verantwoordelijk voor de persoonsgegevens in de zin van de AVG1?
VSVB verwerkt o.a. persoonsgegevens voor en in opdracht van de klant. Als de persoonsgegevens alleen worden verwerkt zonder daarbij zelf te bepalen wat er mee gebeurt, dan blijft de klant verantwoordelijk voor de persoonsgegevens. De klant bepaalt dan voor welk doel en met welke middelen de persoonsgegevens worden verwerkt.
Ook kan VSVB verwerkingsverantwoordelijke zijn voor de persoonsgegevens van de klant, bijvoorbeeld bij het uitvoeren van samenstellingsopdrachten voor de klant. In dit geval stelt VSVB alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vast. Indien VSVB verwerkingsverantwoordelijke is, is de klant verplicht de AVG of andere wet- of regelgeving inzake verwerking of bewerking van persoonsgegevens na te leven.
Voor zover VSVB persoonsgegevens laat verwerken via een derde, bijvoorbeeld een softwareleverancier, is de derde sub-verwerker.
Welke persoonsgegevens verwerkt VSVB?
In de meeste gevallen zijn dit privacygevoelige persoonsgegevens. Dit zijn gegevens als:
- Naam, voornaam, voorletters, titulatuur, geslacht
- Adres en woonplaats
- Emailadres en telefoonnummer
- Geboortedata van de klant en diens gezin
- BSN nummer
- Inkomensgegevens en andere gegevens over de financiële of economische situatie van de klant.
Voor het verzorgen van belastingaangiften en toeslagen, (subsidie)aanvragen en de salarisadministratie is VSVB vanuit de wet verplicht het BSN-nummer te verwerken. Een volledige kopie van het identiteitsbewijs is daarnaast verplicht vanuit de loonbelasting. De Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht VSVB om de identiteit van de klant vast te stellen en een bewijs daarvan te bewaren. Het samenstellen van diverse soorten financiële- en adviesrapportages, belastingaangiften en loonstroken vormt de kern van de dienstverlening van VSVB. Hiermee wordt uiterst zorgvuldig omgegaan. Vertrouwelijkheid en geheimhouding naar derden is hiervoor het uitgangspunt. Dit geldt uiteraard ook voor inloggegevens zoals gebruikersnamen en wachtwoorden. De technische en organisatorische beveiliging is hierop afgestemd.
VSVB verwerkt geen gegevens over bijvoorbeeld ras, politieke opvattingen, geloofsovertuiging en medische informatie. Mocht er om een bijzondere reden noodzaak zijn dit wel te doen, dan zullen wij dit specifiek met de klant opnemen in de overeenkomst van dienstverlening.
Hoe verwerkt VSVB persoonsgegevens?
VSVB verwerkt persoonsgegevens uitsluitend op de manier die met de klant zijn afgesproken in de opdracht tot dienstverlening. Dit verwerken doen wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze opdracht.
De verwerking vindt plaats volgens de afspraken met de klant, tenzij VSVB op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij de klant daarvan onmiddellijk in kennis.
Ingeval VSVB verwerker is vindt de verwerking plaats onder verantwoordelijkheid van de klant. VSVB heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de voor de klant verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden. Ingeval VSVB verwerkingsverantwoordelijke is, zoals bij het uitvoeren van samenstellingsopdrachten voor de klant, zal VSVB de gegevens verwerken zoals VSVB dat juist acht als deskundige en in het licht van de overeengekomen opdracht. De klant dient er dan voor te zorgen dat hij voldoet aan de op hem als verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en dient zich te houden aan de afspraken die gemaakt zijn in de opdracht tot dienstverlening.
Als VSVB een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften of de voor de medewerkers geldende beroeps- en gedragsregels met betrekking tot verwerking van persoonsgegevens, dan leeft VSVB deze verplichtingen na.
De klant is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient de klant vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens. Wij zorgen ervoor dat wij voldoen aan de op ons van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens.
VSVB zal de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte (EU), tenzij VSVB hierover met de klant andere afspraken heeft gemaakt die schriftelijk zijn vastgelegd.
Wie heeft toegang tot de persoonsgegevens?
VSVB zorgen ervoor dat alleen onze medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop zijn eventuele sub-verwerkers. VSVB beperkt de toegang door onze medewerkers, waar mogelijk, tot die gegevens die noodzakelijk zijn voor hun werkzaamheden. VSVB zorgen er ook voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
VSVB kunnen andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de opdracht, bijvoorbeeld als deze sub-verwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van sub-verwerkers tot gevolg heeft dat deze persoonsgegevens gaan verwerken dan zal VSVB die sub-verwerkers (schriftelijk) dezelfde verplichtingen opleggen. Met het verlenen van een opdracht aan VSVB wordt instemming verleend voor het inschakelen van eventuele sub-verwerkers.
Inzage, wijziging of verwijdering van persoonsgegevens
Voor zover mogelijk voldoet VSVB aan verzoeken om inzage of wijziging of verwijdering van persoonsgegevens. Het verwijderen van persoonsgegevens is een recht vanuit de AVG, maar VSVB heeft te maken met wetgeving ten aanzien van bewaarplicht van gegevens en die wetgeving gaat voor. VSVB bewaart uw gegevens niet langer dan noodzakelijk is. In veel gevallen is een wettelijke plicht om gegevens te bewaren. In de meeste gevallen is deze wettelijke plicht 7 of 10 jaar. Mocht het voldoen aan verzoeken kosten met zich meebrengen voor ons of de sub-verwerker dan kunnen wij die kosten in rekening brengen.
Als VSVB een verzoek krijgt om persoonsgegevens ter beschikking te stellen dan doet VSVB dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt VSVB eerst of VSVB van mening is dat het verzoek bindend is, of dat VSVB op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt VSVB de klant op de hoogte van het verzoek. VSVB probeert dat op zodanig korte termijn te doen, dat het voor de klant mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als VSVB de klant op de hoogte mag stellen dan zal VSVB ook met de klant overleggen over de wijze waarop en welke gegevens VSVB ter beschikking zal stellen.
Beveiligingsmaatregelen
VSVB hebben passende beveiligingsmaatregelen genomen met een beveiligingsniveau dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. VSVB zal periodiek intern audits houden en steekproefsgewijs controles uitvoeren.
VSVB biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.
Als de klant de manier waarop wij de beveiligingsmaatregelen naleven wil laten inspecteren door een onafhankelijk deskundige, dan kan hiertoe een verzoek worden gedaan. VSVB zullen hierover samen met de klant afspraken maken. De kosten van een inspectie cq. audit zijn voor rekening van de klant. De klant stelt aan ons een kopie van het inspectierapport ter beschikking.
Datalekken
VSVB heeft een speciaal e-mail (avg@vsvb.nl) adres ingesteld waarop klanten, medewerkers, sub-verwerkers en derden incidenten kunnen melden die mogelijk een datalek2 zijn. VSVB pakt meldingen zo spoedig mogelijk op voor nader onderzoek en neemt die maatregelen die nodig zijn om verdere schade voor betrokkenen en VSVB te voorkomen. Zoals de wet vereist wordt een datalek dat ernstige gevolgen kan hebben, gemeld bij de Autoriteit persoonsgegevens en bij de perso(o)n(en) wiens persoonsgegevens in het datalek zijn betrokken.
Geheimhoudingsplicht
VSVB houdt verkregen persoonsgegevens geheim en verplichten onze medewerkers en eventuele sub-verwerkers ook tot geheimhouding. Medewerkers nemen met betrekking tot de aan hen toevertrouwde persoonsgegevens bovendien geheimhouding in acht zoals deze geldt op basis van hun eventuele beroeps- en gedragsregels.
Aansprakelijkheid
De klant staat er voor in dat de verwerking van persoonsgegevens conform onze overeenkomst van dienstverlening en deze bepalingen niet onrechtmatig is en geen inbreuk maakt op de rechten van andere betrokkenen zoals familie of medewerkers.
VSVB is niet aansprakelijk voor schade die het gevolg is van het door de klant niet naleven van de AVG of andere wet- of regelgeving. De klant vrijwaart ons ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die VSVB in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan ons worden opgelegd ten gevolge van het handelen van de klant.
De in een opdracht van dienstverlening en daarbij behorende algemene voorwaarden overeengekomen beperking van onze aansprakelijkheid is van kracht op de verplichtingen zoals hier opgenomen, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze privacyverklaring en/of de opdracht tot dienstverlening nooit tot overschrijding van de beperking kan leiden.
Algemene voorwaarden
Op al onze dienstverlening zijn onze algemene voorwaarden van toepassing. Door ondertekening van de opdracht tot dienstverlening verklaart de klant in het bezit te zijn van, bekend te zijn met en in te stemmen met onze algemene voorwaarden en met deze privacyverklaring.
Beëindiging en teruggave/vernietiging persoonsgegevens
Gezien de wettelijke bewaarplicht en andere wet- of (beroeps)regelgeving kan VSVB over het algemeen niet voldoen aan een eventueel verzoek van de klant tot vernietiging of teruggave van de persoonsgegevens bij einde van onze opdracht tot dienstverlening. Mocht dit wel mogelijk zijn dan zal VSVB aan dit verzoek meewerken.
De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de opdracht zijn voor rekening van de klant. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens.
Aanvullingen en wijzigingen privacyverklaring VSVB
VSVB zorgt ervoor dat deze privacyverklaring actueel is en passen de bepalingen van deze verklaring – indien nodig – aan. Indien deze bepalingen significante wijzigingen of aanvullingen ondergaan vanwege nieuwe of gewijzigde wetgeving zal VSVB onze klanten hierover informeren. Als VSVB niet meer kan voldoen aan een bepaald niveau van bescherming, kan dit een reden zijn om een opdracht tot dienstverlening te beëindigen.
Afwijkende bepalingen voor bepaalde natuurlijke personen
Voor persoonlijke gegevens van leads en prospects hanteert VSVB de regel dat VSVB eens per jaar alle persoonlijke gegevens verwijderen die al langer dan een jaar door ons worden verwerkt met het doel een opdracht tot dienstverlening te kunnen sluiten. Dit tenzij met de betrokken persoon een vervolgafspraak is overeengekomen en vastgelegd waaruit blijkt dat VSVB nog een jaar door kan gaan met verwerken.
Met sollicitanten maken wij de afspraak dat hun persoonlijke gegevens na sluiting van een vacature na maximaal 24 maanden worden verwijderd.
Voor persoonlijke gegevens van medewerkers, stagiaires, inleners, uitzendkrachten of zzp-ers bij VSVB geldt hetzelfde als voor klanten met dien verstande dat in plaats van de opdracht tot dienstverlening moet worden gelezen de arbeidsovereenkomst, de stage-overeenkomst, de inleenovereenkomst, de uitzendovereenkomst of de managementovereenkomst. Ook voor het bewaren van hun persoonlijke gegevens hanteert VSVB de wettelijke bewaartermijnen.
Slotbepalingen
Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
Op deze bepalingen is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze bepalingen.
Deze privacyverklaring maakt deel uit van onze opdrachten tot dienstverlening en zijn daarmee bindend voor partijen. Deze privacyverklaring gaat boven de bepalingen in onze algemene voorwaarden, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
Als één of meerdere hier genoemde bepalingen niet geldig blijken te zijn voor een klant, dan heeft dit geen gevolgen voor de geldigheid van de andere genoemde bepalingen. Wij treden dan met de klant in overleg om gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
Contact
Voor vragen over rechten en de manier waarop VSVB met persoonsgegevens omgaat, kan per e-mail via avg@vsvb.nl een informatieverzoek worden ingediend bij VSVB.
VSVB zal zo snel mogelijk reageren op vragen, maar tenminste binnen vier weken.
1) AVG is de Wet Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wbp per 25 mei 2018.
2) Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.