PRIVACY PROTOCOL Wij hechten veel waarde aan de privacy en de veiligheid van onze klanten en personen die gebruik maken van onze dienstverlening en/of deelnemen aan onze trajecten (hierna gezamenlijk te noemen opdrachtgevers). In dit Privacy Protocol verstrekken we informatie over het gebruik van persoonsgegevens van Opdrachtgevers en de wijze waarop de persoonsgegevens en de privacy van de Opdrachtgevers wordt beschermd. Dit Privacy Protocol is van toepassing op alle persoonsgegevens die wij van Opdrachtgevers verwerken. In dit Privacy Protocol wordt gebruik gemaakt van de in artikel 1 van de Algemene Voorwaarden opgenomen definities en de begrippen zoals deze zijn gedefinieerd in de Algemene Verordening Gegevensbescherming (AVG). Bewerker: degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan haar rechtstreeks gezag te zijn onderworpen, waaronder de in artikel deze overeenkomst genoemde partijen (derden). Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Verantwoordelijke: de organisatie die het doel van en de middelen voor verwerking van persoonsgegevens vaststelt, in dit geval of een van de aan haar verbonden personen ( Opdrachtnemer ). Esther Jörg is bereikbaar via telefoonnummer 06-52305301 en per mail: contact@estherjorg.nl 1
Soort persoonsgegevens Bij de verwerking van Persoonsgegevens hanteert Opdrachtnemer het uitgangspunt dat de gegevens, gelet op het doel waarvoor ze worden verwerkt toereikend, ter zake dienend en niet bovenmatig dienen te zijn. Persoonsgegevens worden dus alleen verwerkt indien deze passen bij en nodig zijn voor de overeengekomen Diensten. Opdrachtnemer treft bovendien de mogelijke maatregelen om ervoor te zorgen dat de persoonsgegevens juist en nauwkeurig zijn en blijven. In het kader van de Dienst verwerkt Opdrachtnemer de volgende Persoonsgegevens: Voor en achternaam Geslacht Geboortedatum Adresgegevens Telefoonnummer (Pas)foto Daarnaast verwerkt Opdrachtnemer persoonlijke informatie van Opdrachtgever. Bijvoorbeeld op het gebied van arbeidsrelatie, persoonlijk welbevinden, ambities of problemen. In dit Privacy Protocol valt de persoonlijke informatie van Opdrachtgever eveneens onder de definitie van Persoonsgegevens. Doel en grondslag van de verwerking Opdrachtnemer verwerkt en gebruikt de Persoonsgegevens uitsluitend voor de uitvoering van de Overeenkomst. Tenzij opdrachtgever daar bezwaar tegen heeft gemaakt, zal Opdrachtnemer de volgende Persoonsgegevens opnemen in het klantenbestand van : voor- en achternaam, adresgegevens, emailadres en telefoonnummer. Dit bestand wordt gebruikt voor het versturen van nieuwsbrieven en andere interessante aanbiedingen en informatie over bijvoorbeeld nieuwe diensten en producten van Opdrachtnemer. Bewaartermijnen Opdrachtnemer bewaart de Persoonsgegevens niet langer dan noodzakelijk voor de verwezenlijking van de doeleinden. Zij zal de Persoonsgegevens in ieder geval uiterlijk 2 jaar na afloop van de Overeenkomst vernietigen, tenzij de Persoonsgegevens noodzakelijk zijn ter voldoening van een wettelijke bewaarplicht (bijvoorbeeld fiscale bewaartermijnen zoals gesteld in de Archiefwet). 2
3
Persoonsgegevens delen met derden Voor de uitvoering van haar werkzaamheden kan Opdrachtnemer gebruik maken van externe coaches, trainers, consultants of andere derde partijen ( Derde(n) ). Deze Derden verwerken de Persoonsgegevens uitsluitend in opdracht van Opdrachtnemer, en treden daarbij op als Bewerker. Met deze Derde heeft Opdrachtnemer een (bewerkers)overeenkomst gesloten waarin onder meer bepaald wordt dat deze Derde garandeert dat het Privacy Protocol te allen tijde volledig wordt nageleefd en vertrouwelijk met de Persoonsgegevens wordt omgegaan. Opdrachtnemer kan voor het verwerken van de Persoonsgegevens gebruik maken van andere dienstverleners, waaronder Google, MyLogin en TTI Success Inisghts Benelux. Zij treden op als Bewerker en verwerken de Persoonsgegevens uitsluitend in opdracht van Opdrachtnemer. Met deze bewerkers heeft Opdrachtnemer een bewerkersovereenkomst gesloten waarin de Bewerker onder andere wordt aangeeft de bepalingen conform Algemene Verordening Gegevensbescherming (AVG) na te leven. Beveiliging Opdrachtnemer doet er alles aan om de Persoonsgegevens op een zorgvuldige wijze te beschermen en te beveiligen. Zij legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking van de Persoonsgegevens, zoals aantasting, onbevoegde kennisneming, wijziging of verstrekking daarvan. Teneinde de beveiliging van de Persoonsgegevens in de systemen van Opdrachtnemer te waarborgen, heeft Opdrachtnemer de volgende maatregelen getroffen: Alle persoonsgegevens worden uitsluitend opgeslagen in Google Drive en niet op de eigen hardware van Opdrachtnemer of aan haar verbonden personen. Google Drive is alleen toegankelijk via een door Opdrachtnemer aangemaakt account, beveiligd met een username en wachtwoord. Uitsluitend medewerkers voor wie het vanuit hun functie noodzakelijk is, krijgen toegang tot de Persoonsgegevens. De Persoonsgegevens zijn afgeschermd voor alle andere personen. Het is niet toegestaan de Persoonsgegevens te kopiëren op eigen hardware of andere gegevensdragers (zoals USB stick). Medewerkers dienen geheimhouding te betrachten van alle persoonsgegevens die zij in verband met hun werkzaamheden ontvangen. Deze geheimhoudingsverplichting blijft ook na beëindiging van het dienstverband van de medewerker of de opdracht (in geval van Derden) onverminderd van kracht. Papieren dossier of andere papieren informatie wordt opgeslagen in een afsluitbare dossierkast. 4
Beveiligingsincidenten en datalekken Opdrachtnemer zal procedures in stand houden en maatregelen nemen di erop gericht zijn om eventuele beveiligingsincidenten en datalekken te voorkomen en redelijkerwijs te detecteren, daarop actie te ondernemen en te herstellen. Opdrachtnemer en de door haar ingeschakelde Derden zijn verplicht om beveiligingsincidenten te melden aan de Functionaris Persoonsgegevens van Opdrachtnemer. Onder een beveiligingsincident wordt bijvoorbeeld verstaan: Kwijtgeraakte gegevensdrager (bijv. USB stick) Gestolen laptop of telefoon Inbraak door een hacker Verzending van een email waarin de emailadressen van alle geadresseerden zichtbaar zijn Een malware besmetting Indien het datalek ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens, zal Opdrachtnemer het datalek melden bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl) Indien het datalek waarschijnlik ook ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de Inzage recht en verwijdering Opdrachtgever heeft te allen tijde het recht om inzicht te krijgen in de Persoonsgegevens die door Opdrachtnemer wordt verwerkt en op hem of haar betrekking hebben. Opdrachtgever kan zo nodig zijn of haar Persoonsgegevens laten wijzigen of verwijderen. Indien een Opdrachtgever van dit recht gebruik wil maken kan deze contact opnemen met de Functionaris Persoonsgegevens (Esther Jörg) Opdrachtnemer is gerechtigd om eventuele persoonlijke aantekeningen van de betrokken coaches, trainers of andere medewerkers te verwijderen uit de gegevens die aan de Opdrachtgever worden verstrekt. Wijzigingen Dit Privacy Protocol kan worden gewijzigd. Eventuele wijzigingen worden via de website www.estherjorg.nl bekend gemaakt. De laatste aanpassing heeft plaatsgevonden in mei 2018. 5