Beleid voor Gegevensbescherming
Laatst bijgewerkt 14-01-2021
Inhoud
1. Inleiding
In dit document wordt beschreven hoe Easymeeting BV voldoet aan de Algemene Verordening Gegevensbescherming.
2. Context
Easymeeting BV is een Besloten Vennootschap die als doel heeft "e;Het adviseren, alsmede de bemiddeling en consultancy van bedrijven en organisaties op het gebied van het beleggen van bijeenkomsten op externe accommodaties in binnen- en buitenland"e; middels het aanbieden van een online boekingsomgeving en reserveringstool.
Easymeeting BV heeft personeel in dienst.
Indien nodig, dan besteedt Easymeeting BV niet-kernactiviteiten uit aan een derde partij.
3. Beginselen en grondslagen voor verwerking van persoonsgegevens
Onze organisatie voert werkzaamheden uit in opdracht van haar klanten. De doelgroepen van Easymeeting BV zijn bedrijven. Easymeeting BV verwerkt in dit kader hoofdzakelijk gewone zakelijke persoonsgegevens in verband met het uitvoeren van een opdracht, waarbij een risico bestaat voor de rechten en vrijheden van betrokkenen.
Wij verwerken persoonsgegevens van onze klanten, omdat deze noodzakelijk zijn voor het uitvoeren van de dienstenovereenkomst. Voor deze persoonsgegevens zijn wij Verwerkingsverantwoordelijk.
Verder heeft Easymeeting BV zelf personeel in dienst. In dit kader verwerken wij persoonsgegevens van ons eigen personeel en dat doen wij, omdat deze noodzakelijk zijn om te voldoen aan wettelijke verplichtingen.
Wij maken gebruik van externe software om de gegevens van de klant te verwerken. Deze gegevens worden opgeslagen bij of via de softwareleverancier. Voor deze verwerking is met deze softwareleveranciers een verwerkersovereenkomst afgesloten.
Welke persoonsgegevens wij verwerken hangt af van de diensten, die de klant bij ons afneemt, en de omstandigheden waarin de dienst wordt afgenomen.
Veelal gaat het om de volgende categorieën van persoonsgegevens:
Alle verwerkingen van Easymeeting BV zijn opgenomen in een verwerkingsregister.
Minimale gegevensverwerking
Easymeeting BV heeft zich beperkt tot de gegevens, die noodzakelijk zijn voor genoemde doeleinden. Deze gegevens mogen niet voor andere doeleinden worden gebruikt, tenzij de klant hiervoor schriftelijke toestemming heeft gegeven.
Juistheid van de gegevens
Easymeeting BV zorgt dat de gegevens steeds actueel zijn gedurende de looptijd van de overeenkomst door de gegevens te toetsen bij een volgend klantcontact.
Wij bewaren NAW-gegevens en bereikbaarheidsgegevens in verband met het uitvoeren van de overeenkomst gedurende 5 jaar na de boeking.
Gegevens van de klant, die nodig zijn voor de afhandeling van de betaling, worden maximaal 7 jaar bewaard in verband met de belastingwet.
Gegevens van personeel bewaren wij conform de bewaartermijn van de arbeidswet.
Om de integriteit en de vertrouwelijkheid van gegevens te waarborgen hebben wij de volgende organisatorische en technische maatregelen genomen:
4. Inbreuk in verband met persoonsgegevens (datalek)
Alle beveiligingsincidenten moeten direct worden gedocumenteerd en bewijslast moet zeker worden gesteld. De beveiligingsincidenten worden geregistreerd in een incidentenregister.
Na een melding van een beveiligingsincident vindt direct een intern onderzoek plaats naar de oorzaak en de gevolgen van het incident. Tijdens het onderzoek zal worden vastgesteld of het beveiligingsincident een datalek betreft.
Een datalek is bijvoorbeeld:
De gevolgen van een datalek zijn tweeledig, namelijk:
Als uit het interne onderzoek blijkt dat het beveiligingsincident een datalek is met een risico voor de rechten en vrijheden van betrokkenen, dan meldt het privacy-aanspreekpunt de datalek aan de Autoriteit Persoonsgegevens. Deze melding vindt binnen 72 uur na constatering van het datalek plaats.
Bij een hoog risico voor de rechten en vrijheden van betrokkenen meldt het privacy-aanspreekpunt de datalek ook aan de betrokkenen zelf.
5. Rechten betrokkenen en informatieplicht
Een betrokkene heeft recht op inzage, rectificatie of verwijdering van zijn persoonsgegevens die wij van hem/haar hebben (behoudens uiteraard indien dit eventuele wettelijke verplichtingen doorkruist). Verder kan een betrokkene bezwaar maken tegen de verwerking van zijn persoonsgegevens (of een deel hiervan) door ons of door een van onze verwerkers. Ook heeft betrokkene het recht de door hem verstrekte gegevens te laten overdragen door onze organisatie aan hemzelf of direct aan een andere gewenste partij.
Wij komen binnen één maand na ontvangst tegemoet aan het verzoek tot uitoefening van het recht.
Op onze website staat onze privacyverklaring, waarin wij onze klanten en andere betrokkenen informeren over welke gegevens wij vastleggen, waarom en hoe lang wij deze gegevens vastleggen, dat de betrokkene zijn rechten kan uitoefenen en waar hij een klacht kan indienen.
6. Functionaris Gegevensbescherming
Onze organisatie heeft geen Functionaris Gegevensbescherming, omdat wij geen regelmatige of stelselmatige observatie op grote schaal van betrokkenen uitvoeren en ook geen grootschalige verwerking van bijzondere persoonsgegevens uitvoeren.
Wij verwerken alleen gewone zakelijke persoonsgegevens. Het eerste aanspreekpunt voor privacyaspecten bij onze organisatie is Erik Werners.
Daarnaast vinden wij het belangrijk om in voorkomende gevallen gebruik te maken van externe expertise op het gebied van de privacywetgeving.
7. Data Protection Impact Assessment (DPIA)
Het behoort niet tot de kerntaken van Easymeeting BV om:
Op basis van bovenstaande heeft Easymeeting BV besloten geen DPIA uit te voeren.
De categorieën persoonsgegevens die Easymeeting BV vastlegt voor de uitvoering van een overeenkomst of om te voldoen aan wettelijke verplichtingen zijn gegevens met een risico voor de rechten en vrijheden van betrokkenen. Bij een inbreuk in verband met persoonsgegevens (datalek) kan dit mogelijk gevolgen hebben voor de persoonlijke levenssfeer van de betrokkenen.
De hier bedoelde mogelijke gevolgen kunnen bijvoorbeeld zijn:
Daarom vinden wij het belangrijk deze gegevens te beschermen met de eerder beschreven technische en organisatorische maatregelen.
8. Verwerkingen door derden
Easymeeting BV laat verwerkingen uitvoeren door een derde partij binnen de Europese Unie. Het betreft hier vooral opslag van data in de Cloud. Met elke verwerker zijn afspraken gemaakt over de verwerking.
9. Naleving beleid en evaluatie privacy managementsysteem
Het naleven van dit beleid is een continu proces. De naleving van het beleid wordt minimaal 1x per jaar intern getoetst.
Daarnaast evalueren wij ons privacy managementsysteem als geheel. Hierbij stellen wij onszelf de volgende vragen: