Tosch verwerkt privacygevoelige persoonsgegevens ten behoeve van de bedrijfsactiviteiten. De persoonsgegevens worden verwerkt in overeenstemming met de daarvoor geldende regelgeving. In dit beleidsstuk staat wat wij concreet doen om persoonsgegevens te beschermen.
Welke persoonsgegevens?
De persoonsgegevens die wij verwerken zijn (niet-limitatief):
- (Achter)naam;
- Voorletter(s);
- Geboortedatum;
- Adresgegevens;
- Telefoonnummer;
- E-mailadres;
- Bankgegevens.
Wij houden in een verwerkingsregister een overzicht bij van de verwerking van persoonsgegevens binnen onze organisatie.
Verwerking persoonsgegevens en rechten van betrokkenen
Wij verwerken alleen persoonsgegevens voor de uitvoering van de overeenkomst en dan nog slechts zo beperkt mogelijk. We kunnen daarnaast ook gebruik maken van persoonsgegevens met de toestemming van betrokkene. De toestemming tot verwerking van persoonsgegevens kan op elk moment worden ingetrokken.
Ter ondersteuning van onze organisatie maken wij gebruik van derden. Met deze derden sluiten wij verwerkersovereenkomsten, waarin de bescherming van persoonsgegevens wordt gegarandeerd.
Wij zorgen er voor dat we kunnen voldoen aan verzoeken van betrokkenen tot overdracht, vergetelheid, inzage, rectificatie en aanvulling van persoonsgegevens. Voorts kan er tegen de verwerking van persoonsgegevens bezwaar worden gemaakt. Voor het vermelde in deze alinea zijn binnen onze organisatie – waar nodig in verband met de complexiteit van het proces – protocollen aanwezig. Binnen onze organisatie is expertise aanwezig om de betreffende verzoeken en bezwaren op correcte wijze te behandelen. Verzoeken en bezwaren kunnen per email worden ingediend. Er wordt binnen 1 maand gereageerd. De organisatie is zo ingericht dat aan gegronde verzoeken of bezwaren tegemoet kan worden gekomen.
Betrokkenen kunnen op eerste verzoek inzage krijgen in dit privacy beleid, waarin hun rechten zijn opgenomen.
Wij bewaren de persoonsgegevens niet langer dan nodig. Wanneer er geen aanleiding meer is om de gegevens te bewaren, zullen deze worden verwijderd.
Maatregelen ter bescherming van privacy
Wij richten onze organisatie zo in dat persoonsgegevens goed worden beschermd. Wij nemen daartoe de nodige technische en organisatorische maatregelen. Voorts is met iedere verwerker een verwerkersovereenkomst gesloten, waarin aan deze verwerker de verplichting tot het treffen van passende technische en organisatorische maatregelen is vastgelegd.
Technische maatregelen
Voor de toepassing van technische maatregelen werken we enkel met IT- en softwarespecialisten die op de hoogte zijn van de technische eisen verbonden aan de actuele privacyregelgeving. Wij geven hen de opdracht om een op het risico van onze verwerking afgestemd beveiligingsniveau te waarborgen, met inachtneming van de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.
Organisatorische maatregelen
We hebben de volgende organisatorische maatregelen getroffen.
Wij verzamelen niet meer gegevens dan nodig is voor het doel. Alleen bevoegde personen hebben toegang tot de persoonsgegevens en dan nog slechts voor zover dit nodig is voor de uitvoering van hun werk. Wij bewaren persoonsgegevens in een afsluitbare ruimte of kast of op een beschermde digitale plek. Documenten met persoonsgegevens worden vernietigd. Wij hanteren passende bewaartermijnen voor persoonsgegevens en leggen dit vast in een verwerkersregister.
Alle bij ons werkzame personen die toegang hebben tot persoonsgegevens zijn schriftelijk aan geheimhouding gebonden. Voor toegang tot persoonsgegevens werken wij met sterke wachtwoorden.
Het downloaden van software door medewerkers mag alleen als er overeenstemming over is bereikt. Linkjes en email-bijlagen van onbekenden mogen niet zomaar worden geopend, omdat hierin bedreigingen voor datalekken zijn gelegen. Onder uitgaande kantoormail is een disclaimer opgenomen. Privé email mag niet gebruikt worden tijdens kantoortijden. Wel in de pauze en buiten kantooruren, waarbij het gebruik tot een minimum beperkt dient te blijven.
Verder verwerken wij geen persoonsgegevens binnen landen die door de Europese Commissie niet gecertificeerd zijn.
Wij informeren ons personeel over het belang van de bescherming van persoonsgegevens. Wij trainen hen actief om datalekken te voorkomen. Preventie van datalekken vindt plaats door personeel te wijzen op punten in de organisatie waar er risico’s zijn voor datalekken, zoals bij het openen van bepaalde mailberichten. Verder is er een persoon binnen onze organisatie aangewezen die in het bijzonder verantwoordelijk is voor privacy.
Wij zorgen er voor dat het personeel in staat is om een datalek te herkennen en in dat geval weet wat het moet doen. Wij hebben daartoe een datalekprotocol opgesteld en verspreid binnen onze organisatie.
Leadinfo
Leadinfo is legaal te gebruiken onder de Algemene Verordening Gegevensbescherming (AVG of GDPR) die per 25 mei 2018 als Europese privacywet geldt. Leadinfo gebruikt het IP-adres van de bezoeker om daarbij bedrijfsgegevens te verkrijgen uit openbare bronnen zoals de Kamer van Koophandel. Het IP-adres is onder de AVG een persoonsgegeven, en gebruik daarvan vereist een grondslag onder deze wet.
Artikel 6 sub f AVG
De gebruikte grondslag is het “eigen gerechtvaardigd belang” (artikel 6 sub f AVG). Hierbij mogen wij zonder toestemming met persoonsgegevens werken mits dit een duidelijk belang dient en wij rekening houden met de privacy. Marketing en analytics gelden als een duidelijk legitiem belang, en Leadinfo gebruikt slechts zeer beperkt persoonsgegevens. IP-adressen worden niet bewaard en uitsluitend de algemene zakelijke informatie van ondernemingen wordt verstrekt aan gebruikers. Daarmee is adequaat rekening gehouden met de privacy.
Informatiebeveiliging
Tosch heeft als kernwaarde om veilig, snel en interactief te werken. Veiligheid staat bij ons voorop in alles wat wij doen. Daarom zijn wij ISO 27001 en NEN7510 gecertificeerd. ISO 27001 is een internationale norm die de informatiebeveiliging binnen organisaties op een structurele manier aantoont. Naast dit privacy beleid hebben wij intern nog een heel aantal meer beleid stukken omtrent informatiebeveiliging. Wij doen er op deze manier alles aan om uw en onze gegevens veilig te houden. Klik op onderstaande logo’s om het certificaat te bekijken.
Vragen over ons privacy beleid?
Mocht u vragen of opmerkingen hebben over ons privacy beleid of wil je inzage in ons beleid? Neem dan contact met ons op, wij helpen je graag verder. dan raden wij u aan contact op te nemen met ons kantoor. Dit kunt u doen door te mailen naar privacy@tosch.nl.
Responsible Disclosure
Bij Tosch vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in onze website heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze website beter te kunnen beschermen. Bekijk onze pagina over responsible disclosure.