Privacy Statement (v2018.1)

Op deze pagina kunt u het Privacy Reglement van Stecal VOF vinden. Dit is een digitale kopie van het PDF bestand welke te vinden op de pagina met alle juridische kennisgevingen van Stecal VOF. Er kunnen geen rechten worden ontleend aan opmaak of vormfouten.

Stecal VOF
Dronensingel 3G
2411GT Bodegraven
0172-263100
info@stecal.nl

Het is belangrijk dat er veilig wordt omgegaan met uw persoonsgegevens. Om u hiervoor te beschermen bestaat de Algemene Verordening Gegevensbescherming, ook wel de AVG. Stecal VOF is net als iedere andere Europese onderneming gebonden aan deze wetgeving en vindt het in het belang van u, u zo goed mogelijk te informeren wat er met uw gegevens gebeurd. Om deze reden is dit privacyreglement opgesteld.

De dienstverlening van Stecal VOF is divers door de twee handelsnamen die in bezit zijn van Stecal VOF. De dienstverlenging wordt uitgevoerd in de zakelijke en particuliere markt.

Vanuit onze handelsnaam Webtilize Solutions worden persoonsgegevens verwerkt voor het ontwikkelen van websites, software, technische ICT installaties, webhosting met domeinnamen en alle aan daar gelieerde diensten.

Vanuit onze handelsnaam Administratiekantoor Terlouw worden persoonsgegevens verwerkt voor het doen van klantadministraties, boekhoudingen, belasting aangiftes (zowel zakelijk als particulier) en daar aan gelieerde diensten.

Dit reglement is van toepassing op iedere verwerking van persoonsgegevens binnen Stecal VOF en aan haar gelieerde ondernemingen of handelsnamen. Tevens is dit reglement onderhevig aan wijzigingen en zal tenminste jaarlijks opnieuw beoordeeld worden op volledigheid en correctheid.

Voor personen jonger dan 16 jaar is het enkel toegestaan persoonsgegevens aan Stecal VOf te verstrekken bij toestemming van ouders of een wettelijk vertegenwoordiger die deze privacy en cookie policy heeft gelezen.

1. Begripsomschrijving

In dit reglement wordt verstaan onder:

  • AVG: Algemene Verordening Gegevensbescherming;
  • Gebruikers: de medewerkers van Stecal VOF;
  • Geregistreerde: een klant of wettelijk vertegenwoordiger van deze klant waarvan persoonsregistraties zijn opgenomen door Stecal VOF;
  • Betrokkene: een klant of wettelijk vertegenwoordiger van deze klant waarvan persoonsregistraties zijn opgenomen door Stecal VOF;
  • Stecal VOF: de betreffende organisatie waarvoor dit reglement is opgesteld;
  • Persoonsgegevens: de gegevens zijn persoonsgegevens als de gegevens informatie bevatten over een natuurlijk persoon en die persoon identificeerbaar is;
  • Persoonsregistratie: de registratie van persoonsgegevens;
  • Verstrekken van gegevens: het bekend maken of ter beschikking stellen van persoonsgegevens, die in het persoonsregistratie zijn opgenomen, of die door verwerking daarvan al dan niet in verband staan met andere gegevens, zijn verkregen;
  • Verwerkingsverantwoordelijke: diegene die de persoonsregistratie verwerkt en verantwoordelijk hiervoor is, in zake deze bewoording is dat Stecal VOF;
  • Werknemer: een werknemer van de klant bij Stecal VOF;
  • Werkgever: een klant van Stecal VOF.

2. Doel

Voor het correct kunnen uitvoeren van de dienstverlening verwerkt Stecal VOF, anders genoemd de verwerkingsverantwoordelijke, persoonsgegevens. Stecal VOF verwerkt geen medische gegevens van een geregistreerde.

  • De persoonsregistratie heeft het doel tot vast leggen van gegevens van betrokkenen die noodzakelijk zijn voor de uitvoering van de door de werkgever aan de verwerkingsverantwoordelijke worden opgedragen dienstverlening.
  • De verwerkingsverantwoordelijke zal geen persoonsgegevens in de persoonsregistratie doen opnemen voor andere dan in artikel 2.1 opgenomen doeleinden. Het gebruik van persoonsgegevens vindt alleen plaats in overeenstemming met de bepalingen van dit reglement.

3. Verantwoordelijkheid

De verwerkingsverantwoordelijke is verantwoordelijk voor het nakomen van de bepalingen in dit reglement. Gebruikers die de persoonsgegevens verwerken worden geïnformeerd over hoe om te gaan met persoonsgegevens. Er worden uitsluitend persoonsgegevens opgeslagen van werknemers die in dienst zijn van werkgever of van direct betrokkenen.

Daarnaast werkt Stecal VOF vanuit haar dienstverlening met gegevens van derden om te voldoen aan de opdracht van de betrokkene of werkgever. Deze gegevens zullen nooit en nimmer zonder toestemming van de betrokkene en/of werkgever worden verstrekt aan andere partijen dan betrokkene en/of werkgever.

4. Verwerking en beveiliging

De verwerkingsverantwoordelijke zorgt ervoor dat de persoonsgegevens worden verwerkt in overeenstemming met de wetgeving. Er worden alleen persoonsgegevens verzameld die noodzakelijk zijn voor een juiste en volledige uitvoering van de dienstverlening van Stecal VOF.

  1. Gegevens worden verwerkt als:
    • er toestemming is verleend door betrokkene;
    • de verwerking noodzakelijk is om aan wettelijke verplichtingen te kunnen voldoen;
    • de verwerking noodzakelijk is voor het kunnen uitvoeren van de dienstverlening.
  2. De persoonsregistratie vindt plaats op een beveiligde server die extern is geplaatst in een beveiligde datacenter. Deze privé omgeving van Stecal VOF is door gebruikers te benaderen met een gebruikersnaam en wachtwoord. Daarnaast bevindt deze omgeving zich in een hoog gecertificeerd datacenter op Nederlands grondgebied en valt daarmee volledig onder de Nederlandse wetgeving waarin de vertrouwelijkheid van de data goed is gewaarborgd.
  3. De ICT-beheerder van verwerkingsverantwoordelijke heeft de gegevens ondergebracht in een datacenter die: NEN7510, ISO-9001, ISO-14001, ISO-27001 en BREAAM gecertificeerd is. Daarnaast is de verwerkingsverantwoordelijke aangesloten bij de DHPA, DDA, Nederland ICT en heeft een verklaring van SOC2 voor het voldoen aan strenge eisen op het gebied van ICT.
  4. Daarnaast wordt er ook persoonsregistratie gedaan op een beveiligde interne server die geplaatst is in een afgesloten ruimte. Deze privé omgeving van Stecal VOF is voorzien van 256-SHA encryptie en is door gebruikers te benaderen met een gebruikersnaam en wachtwoord. Deze privé omgeving is enkel te benaderen van uit de privé netwerkomgeving en is niet toegankelijk van buitenaf.
  5. In de persoonsregistratie worden in het beginsel geen andere persoonsgegevens van werkgevers en werknemers van betrokken opgenomen dan:
    • personalia
    • adresgegevens
    • telefoonnummers
    • e-mailadressen
    • webadressen
  6. Daarnaast worden van zakelijke werkgevers de volgende verplichte gegevens opgenomen om te zakelijk verkeer te onderhouden:
    • kvk-nummers
    • btw-nummers
  7. De in artikel 5.4 en 5.5 genoemde gegevens worden verkregen uit telefonisch contact, schriftelijke communicatie (e-mail of post), via websites of portalen of persoonlijk/advies contact.
  8. Er is een verwerkingsregister opgesteld waarin alle verwerkingen worden vermelding, inclusief het doel van de verwerking.
  9. Alle gebruikers die toegang hebben tot de geregistreerde persoonsgegevens hebben een geheimhoudingsverklaring ondertekend. Deze gebruikers hebben toegang tot de gegevens om hun werkzaamheden te kunnen uitvoeren. Andere gegevens die nodig zijn voor het uitvoeren van werkzaamheden of dienstverlening zullen nader worden opgevraagd en zal er verwezen worden naar deze privacyreglement.
  10. Er worden geen persoonsgegevens verwerkt gerelateerd aan zorg, medisch, politieke opvattingen, seksuele voorkeur, ras, godsdienst en levensovertuiging.
  11. Gegevens verkregen van betrokkene die afkomstig zijn uit andere bronnen om de dienstverlening te kunnen uitvoeren zullen nooit gebruikt worden voor andere doeleinden dan omschreven in de opdracht, overeenkomst of daaraan gelieerde documenten, opgesteld door Stecal VOF.
  12. Periodiek zal er een Data Protection Impact Assessment (DPIA) en Privacy Impact Assessment (PIA) worden uitgevoerd door Stecal VOF om privacy risico’s in kaart te brengen. Stecal VOF is als verwerkingsverantwoordelijke eindverantwoordelijk voor het goed functioneren, veiligheid en beveiliging van de persoonsregistratie.

5. Omgang met privacy gevoelige informatie – financiële gegevens

Stecal VOF streeft na om de privacy van geregistreerde gegevens te waarborgen en doet dit met grote zorgvuldigheid. Centraal staat het verwerken van financiële gegevens die verstrekt worden door werknemers van werkgever.

  1. Financiële overzichten worden waar mogelijk per e-mail verzonden. Financiële overzichten kunnen enkel verstrekt worden als het e-mailadres van betrokkene is opgenomen in de persoonsregistratie. Wanneer het niet gewenst is een e-mailadres te verstrekken zal er een mogelijkheid zijn om de financiële overzichten te verstrekken per post (persoonlijk geadresseerd) naar het persoonlijke adres van de betrokkene welke bekend is bij de verwerkingsverantwoordelijke.
  2. Aangezien financiële overzichten, vaak persoons en kritische gegevens bevatten, worden deze enkel en alleen ter beschikking gesteld aan de betrokkene. Deze gegevens worden enkel bij hoge uitzondering verstrekt aan derden, na toestemming van betrokkene. De toestemming kan alleen verkregen worden via een schriftelijke toestemming, via een in het persoonsregister opgenomen e-mailadres van betrokkene, anders schriftelijk ondertekend door betrokkene. Schriftelijke toestemmingen worden bewaard en intern beheerd, met aantekening in het register van persoonsgegevens.

6. Bewaartermijn

De gegevens worden niet langer bewaard dan voor het doel noodzakelijk is. Hierbij worden wettelijke voorschriften in acht genomen. Bij het verstrijken van de bewaartermijn, worden persoonsgegevens uit het bestand verwijderd zo ver dat mogelijk is. De verwerkingsverantwoordelijke mag de persoonsgegevens langer bewaren indien er omstandigheden zijn die daar toe aanleiding geven.

  1. Fysieke gegevens als bijvoorbeeld boekhoudingen of administraties worden na opdracht, beëindiging van de overeenkomst of tussentijdse afronding van de overeenkomst overgedragen aan werkgever.
    • Verwerkingsverantwoordelijke stelt de werkgever in de gelegenheid een keuze te maken in de manier van overdracht waarbij de privacy en veiligheid zo goed als mogelijk wordt gewaarborgd.
    • Verwerkingsverantwoordelijke hanteert, in het geval van fysieke financiële gegevens een termijn van reactie binnen 30 dagen. Bij geen reactie of het niet nakomen van de overdracht zullen de fysieke gegevens gedigitaliseerd worden en de fysieke gegevens vernietigd worden. Digitale dataportibiliteit blijft mogelijk, tot verzoek van verwijdering van deze gegevens.

7. Verstrekken van gegevens

De verwerkingsverantwoordelijke verstrekt slechts gegevens aan derden, rekening houdend met wat er in de AVG is vastgelegd, voor zover dit:

  • Wordt vereist ingevolge een wettelijke voorschrift;
  • Voortvloeit uit het doel van de registratie;
  • Plaatsvindt met toestemming (schriftelijk) van de betrokkene.

Persoonsgegevens worden enkel en alleen gedeeld met gebruikers van verwerkingsverantwoordelijke en met de samenwerkende freelancers of derden waarmee verwerkingsverantwoordelijke een samenwerkingsovereenkomst heeft, voor zover dit past binnen het doel van de registratie en voor het uitvoeren van de dienstverlening of werkzaamheden.

Wanneer persoonsgegevens door deze partijen in een ander systeem worden opgeslagen dan in het systeem van verwerkingsverantwoordelijke, zal hieraan een verwerkersovereenkomst ten grondslag liggen.

8. Inzage gegevens

De betrokkene heeft recht op inzage in de gegevens die over de betrokkene in het persoonsregistratie zijn opgenomen. Hiervoor dienst schriftelijk verzoek te worden gedaan. Deze inzage kan verleend door het tonen van de gegevens aan betrokkene. Hiervoor kan zowel een afspraak gemaakt worden als per e-mail plaatsvinden. Per e-mail is het niet mogelijk fysieke stukken ter inzage te hebben.

De verwerkingsverantwoordelijke zal binnen 30 dagen na aanvraag aan deze verplichting voldoen.

9. Recht op correctie of verwijdering 

  1. Betrokkene heeft het recht een verzoek in te dienen bij verwerkingsverantwoordelijke om vastgelegde persoonsgegevens of gegevens welke vermeld worden in het persoonsregister te corrigeren bij feitelijke onjuistheden of onvolledigheden. Dit verzoek zal schriftelijk moeten worden ingediend bij verwerkingsverantwoordelijke, zonder schriftelijk verzoek zal verwerkingsverantwoordelijke geen correctie uitvoeren. Daarnaast zal de verwerkingsverantwoordelijke in beraadnemen en honoreren wanneer het verzoek niet ongegrond of buitensporig is. De verwerkingsverantwoordelijke zal moeten aantonen dat het verzoek ongegrond of buitensporig is.
    • De verwerkingsverantwoordelijke zal binnen 30 dagen na aanvraag aan deze verplichting voldoen.
  2. De geregistreerde of diens wettelijke vertegenwoordiger heeft het recht om een schriftelijk verzoek in te dienen voor vernietiging van de tot zijn persoon herleidbare gegevens. Hiermee wordt de verleende toestemming tot bewaring van gegevens ingetrokken. Het verzoek kan slechts worden geweigerd indien bewaring op grond van een wettelijke voorschrift vereist, dan wel voor zover verwerkingsverantwoordelijke door dienstverlening tot bewaring is gehouden of indien inzake de dienstverlening een geschil aanhangig is gemaakt of dreigt gemaakt te worden.
    • De verwerkingsverantwoordelijke zal binnen 30 dagen na aanvraag aan deze verplichting voldoen. Alle betreffende gegevens worden vernietigd, hetzij geanonimiseerd dat herleiding redelijkerwijs onmogelijk is.

10. Recht op dataportibiliteit

Betrokkene heeft het recht om een schriftelijke aanvraag in te dienen bij verwerkingsverantwoordelijke om ervoor te zorgen dat betrokken hun gegevens kunnen ontvangen. Indien gewenst kunnen gegevens worden doorgegeven worden aan een andere organisatie. Overdracht van gegevens zullen enkel en alleen worden doorgegeven na schriftelijke toestemming van betrokkene. Dit verzoek kan worden geweigerd als er op grond van wettelijke voorschriften een bezwaar tegen dient.

11. Klachten

  1. Indien de geregistreerde of betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd, kan een klacht ingediend worden bij verwerkingsverantwoordelijke. De procedure voor klachten kan bij verwerkingsverantwoordelijke schriftelijk worden opgevraagd, anderzijds te vinden op de website van de verwerkingsverantwoordelijke.
  2. Geregistreerde of betrokkene kan zich wenden tot de Registratiekamer of de Autoriteit Persoonsgegevens (AP) met het verzoek te bemiddelen of te adviseren wanneer geregistreerde of betrokkene vindt dat er correcte naleving van dit privacyreglement plaatsvindt.
  3. Klachten kunnen per e-mail verzonden worden aan klacht@stecal.nl of per post aan het boven dit reglement genoemde adres. Klachten worden volgens de Algemene Voorwaarden van Stecal VOF verwerkt.

12. Online Privacy

  1. Op de websites en online applicaties van Stecal VOF of de aan haar gelieerde handelsnamen worden bezoekgegevens bijgehouden. Te allen tijde wordt verwezen naar dit privacyreglement. Tijdens het bijhouden van bezoekgegevens worden bijvoorbeeld IP-adressen verzameld en cookies toegepast en gebruikt. Deze worden gebruikt om trends te analyseren, het gebruik te volgen en demografische gegevens te verzamelen. Het doel hiervan is de websites of online applicaties te optimaliseren om de dienstverlening van Stecal VOF beter kan afstemmen of de vraag van de bezoekers. Daarnaast worden deze gegevens en trends geanalyseerd om misbruik te voorkomen en tegen te gaan.
  2. Daarnaast maakt Stecal VOF onderscheid tussen actief en passief verstrekte gegevens. Passief verstrekte gegevens zijn gegevens die aan de beheerder/hoster van website wordt verstrekt zonder dat daar enige bewustzijn van is. Wanneer een website of online applicatie van Stecal VOF wordt bezocht, worden een aantal technische gegevens verzameld:
    • het IP-adres van de computer;
    • het besturingssysteem dat gebruik wordt;
    • de internet browser waarmee wordt gesurft;
    • de laatste internetpagina die zijn bezocht voordat u op de website of online applicatie van Stecal VOF terecht kwam;
    • en de pagina’s die u hebt bezocht op de website of online applicatie van Stecal VOF.
  3. Stecal VOF verzamelt en verwerkt daarnaast gegevens die actief aan ons verstrekt worden. Hiervan is alleen sprake als er een formulier wordt ingevuld waarbij persoonsgegevens gevraagd worden.
  4. Cookies
    Cookies zijn kleine tekstbestanden die automatisch door de internet browser op uw computer worden geplaatst. Met behulp van een sessie cookie kan onder meer worden bijgehouden welke webpagina’s u bekijkt en welke opties u gebruikt. Met behulp van een permanente cookie kan de website u bij een volgend bezoek herkennen. Bij het inloggen op uw account maakt u automatisch of met een keuze gebruik van de optie om uw sessie-id te bewaren in een permanente cookie.
    U kunt uw internet browser zo instellen dat u wordt gewaarschuwd als er een cookie wordt geplaatst. Ook kan u het plaatsen van cookies volledig blokkeren. U kunt dan echter mogelijk niet van alle onderdelen van de website gebruikmaken.
  5. Zoekmachines en indexering
    Privacy gevoelige gegevens, als genoemd in dit reglement, kunnen in het beginsel niet door externe websites, zoekmachines of derden worden ingezien en geïndexeerd worden, tenzij u hier schriftelijk, anderzijds met een aan-vink mogelijkheid, toestemming voor verleend.
  6. Google Analytics
    De websites en online applicaties van Stecal VOF kunnen gebruik maken van Google Analytics, een webanalyse-service die wordt aangeboden door Google Inc. (“Google”). Google Analytics maakt gebruik van “cookies” (tekstbestandjes die op uw computer worden geplaatst) om de website te helpen analyseren hoe gebruikers de site gebruiken. De door het cookie gegenereerde informatie over uw gebruik van de website (met inbegrip van uw IP-adres) wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google gebruikt deze informatie om bij te houden hoe u de website gebruikt, rapporten over de website-activiteit op te stellen voor website-exploitanten en andere diensten aan te bieden met betrekking tot website-activiteit en internetgebruik.Google mag deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover deze derden de informatie namens Google verwerken. Google zal uw IP-adres niet combineren met andere gegevens waarover Google beschikt. U kunt het gebruik van cookies weigeren door in uw browser de daarvoor geëigende instellingen te kiezen. Wij wijzen u er echter op dat u in dat geval wellicht niet alle mogelijkheden van deze website kunt benutten.Door gebruik te maken van deze website geeft u toestemming voor het verwerken van de informatie door Google op de wijze en voor de doeleinden zoals hiervoor omschreven.
    Er wordt geen profiel opgebouwd rond bezoekers van de website.
  7. De verwerkingsverantwoordelijke behoudt zich het recht om deze privacy en cookie policy aan te passen. Deze privacy en cookie policy is afgestemd op het gebruik van de mogelijkheden op de websites en online applicaties van verwerkingsverantwoordelijke. Aanpassingen of veranderingen aan deze websites of online applicaties kunnen leiden tot wijzigingen in deze privacy en cookie policy.
  8. De verwerkingsverantwoordelijke is niet verantwoordelijk voor het privacy beleid van websites of applicaties waar u op terecht kunt komen doordat u via websites of online applicaties van verwerkingsverantwoordelijke wordt doorgelinkt.

13. Publicatie reglement

Dit reglement is openbaar en via de websites en online applicaties van Stecal VOF te vinden, in beginsel www.stecal.nl. Daarnaast kan het reglement ook worden opgevraagd en schriftelijk worden ontvangen. Dit kan door te mailen of telefonisch contact op te nemen via de contactgegevens welke genoemd staan aan het begin van dit reglement.

Voor zover andere doelen dan dienstverlening een doelstelling vormen van de registratie heeft Stecal VOF de plicht de geregistreerde vooraf te informeren omtrent de aard van de gegevens die over zijn persoon in de registratie worden opgenomen, alsmede de doeleinden die daarmee worden nagestreefd.

14. Wijzigingen van het reglement

Wijzigingen van dit reglement worden aangebracht door Stecal VOF en uitsluitend na goedkeuring van de directie worden gepubliceerd. Wijzigingen worden direct doorgevoerd op de website van Stecal VOF waar het volledige reglement is geplaatst. Wijzigingen kunnen eenzijdig worden gewijzigd.

Laatste aanpassing: 16 april 2018