Privacyreglement

Privacyreglement KMO Solutions

Overwegende dat het in verband met een goede bedrijfsvoering wenselijk is een regeling te treffen omtrent het verstrekken van gegevens en inlichtingen en de verplichting tot geheimhouding in het kader van de dienstverlening van KMO Solutions (hierna te noemen ‘KMO’).

Besluit: Preambule

Dit reglement beoogt het juiste gebruik van alle persoonsgegevens waarvan KMO of een van haar medewerkers kennis draagt alsmede alle tot een persoon te herleiden gegevens waarover zij de beschikking heeft, te regelen.
Onder juist gebruik wordt verstaan: die wijze van verzamelen, opslaan, bewerken, beschikbaar houden respectievelijk stellen van persoonsgegevens conform wettelijke voorschriften de beroepscode en normen van maatschappelijk fatsoen.
Voornoemde gegevens dienen slechts beschikbaar te zijn of te worden gesteld voor zover dit nodig is voor het doel waartoe zij worden beheerd.

1. Verwerkingsregister

KMO heeft conform artikel 30 lid 2 AVG een verwerkingsregister opgesteld.

1.1 Gegevens verwerker

Naam verwerker: KMO Solutions BV
Straat + nummer: Prins Willem-Alexanderlaan 723
Postcode: 7311 ST
Stad: Apeldoorn
Land: Nederland

1.2 Gegevens Functionaris Gegevensbescherming

Naam: E. Sanders
Zakelijk telefoonnr.: 055-5383400
Zakelijk e-mailadres: functionarisgegevensbescherming@kmosolutions.nl
Zakelijk adres: Prins Willem-Alexanderlaan 723, 7311 ST Apeldoorn
  1. Verwerkingsactiviteiten
Naam verwerkingsactiviteiten

1)    Regis’t® – Online applicatie in gebruik bij externe partij

2)    AFAS – Online applicatie voor facturatie, personeels- en financiële administratie

3)    Mailcamp – externe applicatie voor het beheren van mailadressen van de e-mailnieuwsbrieven van KMO

Doeleinde van de verwerking

1 en 3: Het verzamelen, opslaan, bewerken, beschikbaar houden respectievelijk stellen van bedrijfsgegevens en daaraan gerelateerde contactpersonen, met als doel het  ondersteunen van de contactpersonen bij het werken met onze applicaties alsmede de wettelijke toetsing van de RI&E van een organisatie op basis van de in de applicatie vastgelegde gegevens.

2a: Het verzamelen, opslaan, bewerken, beschikbaar houden respectievelijk stellen van bedrijfsgegevens en daaraan gerelateerde contactpersonen, met als doel het vastleggen van financiële afspraken en transacties.

2b: Voeren van een salarisadministratie voor eigen medewerkers.

Categorieën van persoonsgegevens

Voor alle verwerkingsactiviteiten geldt dat alleen de NAW-gegevens van de organisatie worden gevraagd en vastgelegd (KvK informatie) alsmede van de contactpersonen hun naamgegevens en zakelijk emailadres en/of telefoonnummer. Dit zijn zakelijke gegevens en geen persoonlijk identificeerbare informatie met betrekking tot natuurlijke personen.

Voor 2b geldt dat ook BSN en financiële gegevens worden vastgelegd.

Categorieën van betrokkenen Informatie uit de activiteiten 1, 2a en 3 zijn voor alle medewerkers van KMO toegankelijk.
Informatie uit 2b is alleen toegankelijk voor directie, MT-leden en administratief personeel.
Betreft het gevoelige gegevens? 1,2a en 3: Nee.
2b: Ja
  1. Technische en organisatorische maatregelen

De veilige opslag van persoonlijk identificeerbare informatie is voor KMO van het grootste belang. KMO neemt grote zorgvuldigheid in acht bij het versturen van informatie van computers naar servers van KMO. KMO hanteert in haar beveiligingsbeleid de volgende uitgangspunten:

  • De verbinding met de software loopt via SSL met een browser;
  • Toegang tot de software kan alleen met de juiste autorisatie;
  • De software krijgt periodiek een beveiligingstest;
  • Dubieuze landen zijn standaard uitgesloten van de server;
  • Het rekencentrum / data center beschikt over de volgende certificaten:
    • ISO 27001
    • ISO 9001
    • ISAE 3402 Type II SOC
    • PCI DSS
    • ISO 14001
    • OHSAS 18001
    • En is gevestigd in de EER.

KMO Solutions werkt volgens de principes Privacy by default en Privacy by design conform artikel 25 lid 1 en 2 AVG.

Er wordt door KMO een uiterst minimum aan persoonsgegevens verzameld om tenminste de gebruiker te kunnen begeleiden in het gebruik van de applicaties. Er worden alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat gesteld is door KMO binnen de Scope van dit reglement. Daarnaast wordt er rekening gehouden met privacybescherming bij de ontwikkeling van nieuwe producten.

 

2. Scope

Het verzamelen, opslaan, bewerken, beschikbaar houden respectievelijk stellen van persoonsgegevens en bedrijfsgegevens geschiedt met geen ander doel dan ter ondersteuning van een persoon bij het werken met onze applicaties alsmede de wettelijke toetsing van een organisatie op basis van de in de applicatie vastgelegde gegevens. Deze gegevens blijven in eerste instantie in de applicaties zelf, maar worden tevens vastgelegd in ondersteunende applicaties zoals AFAS online en KIS (KMO Informatie Systeem). Binnen AFAS en KIS kunnen aanvullend dieeteisen van personen worden vastgelegd die noodzakelijk zijn om allergieaanvallen te voorkomen.

Dit beginsel is de leidende gedachte in dit reglement. KMO schept de voorwaarden om de regels te kunnen toepassen. Dat wil zeggen dat zij zorg draagt voor beveiligd beheer en verwerking persoonlijke gegevens. Zij schept een klimaat waarin met zorg wordt omgegaan met persoonlijke gegevens en instrueert de medewerkers over onderhavige privacyreglement.

Artikel 1 In dit reglement wordt verstaan onder:

  • a) KMO: De Besloten Vennootschap KMO Solutions BV, statutair gevestigd te Apeldoorn;
  • b) de directie: de firmanten van onder a) genoemde vennootschap;
  • c) de geregistreerde: de identificeerbare natuurlijke persoon waarover persoonsgegevens verzameld en geregistreerd zijn;
  • d) persoonsgegevens: gegevens die naar hun aard feitelijke informatie omvatten over een persoon als gebruiker van onze softwaresystemen. Dit kan informatie betreffen welke openbaar toegankelijk is alsmede informatie die uit het systeemgebruik blijken.
  • e) registratie: het systematisch en voor bepaalde duur verzamelen, opslaan, bewerken en beheren van gegevensbestanden op welke wijze dan ook;
  • f) verstrekken van persoonsgegevens: mededeling doen, inzage verlenen, afschriften verschaffen dan wel elke andere wijze van het mogelijk maken van bekendmaking van de strekking of letterlijke inhoud van persoonsregistratie of gedeelten daarvan;
  • g) derden: een persoon of instantie buiten KMO, behoudens de geregistreerde;
  • h) wet en regelgeving: die wet en regelgeving die relevant is met betrekking tot uitvoering en toetsing van de RI&E.
  • i) overdracht: het overdragen van de persoonsgegevens aan een andere houder;
  • j) opdrachtgever: de natuurlijke of rechtspersoon die aan KMO opdracht heeft verstrekt tot het gebruik van KMO applicaties en verrichten van ondersteunende werkzaamheden en diensten, een en ander in de ruimste zin van het woord.

3. Algemene bepalingen

Artikel 2 Registratie van persoonsgegevens geschiedt uitsluitend op grond van de doelstelling en taken van KMO zoals de verwerking die noodzakelijk is voor de uitvoering van opdrachten als beschreven onder 1 | scope en/of ter uitvoering van een wettelijke plicht en daarmede samenhangende wettelijke bepalingen en algemeen verbindende voorschriften opgelegd aan KMO zelf (loonadministratie). De registratie beperkt zich tot die informatie welke direct ten dienste staat voor de uitvoering van de onder verantwoordelijkheid van KMO uit te voeren taken. De registratie van persoonsgegevens vindt plaats binnen een beveiligde omgeving waarvoor een dubbele authenticatie is vereist.

De autorisaties voor deze applicaties zijn als volgt ingeregeld: Beheer autorisatie  –  Geautoriseerden  –  Toegang tot gegevens. Indien van toepassing sluit KMO een bewerkersovereenkomst af met derden waarin de verantwoordelijkheid voor de gegevens en het recht op bewerking geregeld is. Persoonlijke aantekeningen behoren niet tot het dossier en worden gescheiden (beveiligd) bewaard. Deze aantekeningen zijn alleen voor eigen gebruik en worden vernietigd/verwijderd zodra ze hun functie hebben vervuld.

Artikel 3 Dit reglement is onderworpen aan de werking van de Wet Bescherming Persoonsgegevens en alle daarop betrekking hebbende besluiten, algemeen verbindende maatregelen en bepalingen alsmede de Wet structuur uitvoeringsorganisatie werk en inkomen.

Artikel 4 Ieder gegeven dat iets zegt omtrent een hoedanigheid van een bepaalde of een bepaalbare natuurlijke persoon, ongeacht of dit gegeven wordt gebruikt, valt onder dit reglement.

4. Bepaling betreffende minderjarigen

Artikel 5 Voor minderjarigen onder de leeftijd van 16 jaar en onder curatele gestelden moet de wettelijke vertegenwoordiger een beroep doen op de rechten in dit reglement vervat.

5. Bepaling betreffende vertegenwoordiging

Artikel 6 Indien de geregistreerde zich laat vertegenwoordigen door een gevolmachtigde dient deze te beschikken over een schriftelijke volmacht die getoond dient te worden ter inzage.

6. Bepaling betreffende doel

Artikel 7 Doel van de registratie persoons- en andere gegevens is te beschikken over uitsluitend die gegevens betreffende geregistreerde of diens werkgever die noodzakelijk zijn bij het verrichten van diensten zoals in scope beschreven staan.

7. Bepalingen betreffende verkrijging

Artikel 8 Alle gegevens die worden toegelaten tot de registratie:

  • gegevens die openbaar toegankelijk zijn;
  • gegevens die rechtstreeks mondeling of schriftelijk afkomstig zijn van de betrokkene of diens gevolmachtigde;
  • dan wel gegevens die voor zover nodig middels de KMO applicatie zijn verkregen.

Artikel 9 De persoonsgegevens worden zoveel mogelijk door KMO op hun juistheid gecontroleerd alvorens te worden opgeslagen.

8. Bepalingen betreffende verantwoordelijke en aansprakelijkheid

Artikel 10 Verantwoordelijke en bewerker van alle persoonsgegevens is KMO.

Artikel 11 KMO is aansprakelijk voor handelen door of onder verantwoordelijkheid van KMO in strijd met van toepassing zijnde wettelijke voorschriften omtrent privacybescherming of in strijd met dit reglement waar het persoonsgegevens betreft.

9. Bepalingen betreffende toegang tot gegevens

Artikel 12 Toegang tot de persoonsgegevens hebben die medewerkers van KMO die krachtens hun functie en taken direct dan wel indirect betrokken zijn bij de uitvoering van de onder verantwoordelijkheid van KMO uit te voeren contractuele taken betreffende geregistreerde.

10. Bepalingen betreffende verstrekken van persoonsgegevens aan derden

Artikel 13 Door KMO worden persoonsgegevens slechts aan derden verstrekt, voor zover zulks overeenstemt met het doel van de persoonsregistratie, zulks wordt vereist in gevolge een wettelijk voorschrift of geschiedt met toestemming van de geregistreerde of diens gevolmachtigde.

Artikel 14 Indien geen wettelijke voorschriften van toepassing zijn worden overige persoonsgegevens uitsluitend verstrekt na schriftelijke toestemming van de geregistreerde of diens gevolmachtigde.

11. Bepaling betreffende geheimhouding

Artikel 15 Alle medewerkers van KMO die kennis krijgen van gegevens uit de persoonsregistratie of delen ervan zijn verplicht tot geheimhouding, tenzij gegevensverstrekking in overeenstemming met het doel van de registratie is of er enig wettelijk voorschrift vereist is.

Artikel 16 Verstrekking van persoonsgegevens uit de persoonsregistratie aan een derde blijft achterwege voor zover uit hoofde van ambt, beroep, wettelijk voorschrift of dit reglement geheimhouding geboden is. Enkel ten behoeve van audits krijgt een externe auditor – na ondertekening van een geheimhoudingsverklaring – inzage.

12. Bepaling betreffende toestemming

Artikel 17 Indien voor de verstrekking van persoonsgegevens uit de persoonsregistratie toestemming van de geregistreerde of diens gevolmachtigde is vereist, kan deze uitsluitend schriftelijk worden gegeven. De toestemming kan betrekking hebben op een geval of op een beperkte categorie van gevallen en moet in het geschrift duidelijk zijn omschreven. De toestemming kan steeds schriftelijk worden ingetrokken.

13. Bepalingen betreffende beëindiging van gegevensbewaring

Artikel 18 KMO zal de geregistreerde persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel waarvoor deze gegevens zijn verzameld, tenzij op grond van wettelijk voorschrift anders is voorgeschreven. Indien er geen wettelijke of andersoortige noodzaak meer bestaat tot het bewaren van gegevens worden alle tot de persoon te herleiden gegevens ontoegankelijk gemaakt dan wel vernietigd. Bij beëindiging van de gesloten overeenkomst(en) worden alle tot de persoon van de cliënt te herleiden gegevens, data/ en of resultaten twee jaar na beëindiging van de dienstverlening verwijderd. De gegevens die noodzakelijk zijn voor de wettelijke bewaarplicht worden tien jaar bewaard.

Artikel 19 Slechts in die gevallen waarin de wet of dit reglement voorziet kan KMO over de in Artikel 18 genoemde gegevens beschikken.

14. Bepaling betreffende informatie aan geregistreerde

Artikel 20 Tenzij wettelijke of zwaarwegende maatschappelijke belangen zich daartegen verzetten wordt de geregistreerde of diens gevolmachtigde geïnformeerd omtrent het doel waarvoor zijn gegevens worden verzameld en verwerkt. Tevens wordt aan hem binnen een maand na gegevensverstrekking aan derden meegedeeld dat gegevensverstrekking aan derden heeft plaatsgevonden.

15. Bepalingen betreffende inzagerecht gegevens

Artikel 21 KMO is verplicht om aan eenieder waarvan zij over gegevens beschikt, in persoon dan wel aan een gevolmachtigde of aan diens wettelijke vertegenwoordiger op diens verzoek volledige inzage te geven in de betreffende gegevens.

Artikel 22 Inzage van gegevens geschiedt binnen 2 weken aan de persoon van wie het de gegevens betreft of diens wettelijk vertegenwoordiger. Indien het een aanvraag via een gevolmachtigde betreft geeft KMO binnen maximaal vier weken na aanvraag inzage. KMO verstrekt een volledige kopie van alle beschikbare gegevens, dan wel, voor zover de privacy van anderen hiermee niet geschaad wordt, door middel van inzage in de originele gegevens.

16. Bepalingen betreffende correctierecht

Artikel 23 Desgevraagd kan eenieder van wie KMO persoonsgegevens ter kennis heeft gekregen in persoon of bij gevolmachtigde een verzoek doen tot correctie van deze gegevens.

Artikel 24 Correctie zal plaatsvinden indien blijkt dat er sprake is van feitelijke onjuistheid, onvolledigheid of strijd met enige wettelijke bepaling.

Artikel 25 Correctie wordt eerst overwogen nadat een verzoek daartoe van de geregistreerde is ontvangen. Indien er gronden zijn om aan het correctieverzoek tegemoet te komen dient KMO binnen vier weken een afschrift van de gecorrigeerde gegevens aan de verzoeker toe te zenden.

Artikel 26 Weigering om tot de gevraagde correcties over te gaan deelt KMO binnen vier weken na ontvangst van het daartoe strekkende verzoek mede aan de geregistreerde.

Artikel 27 De weigering is met redenen omkleed.

Artikel 28 Het verzoek tot correctie wordt in het betreffende dossier opgenomen.

Artikel 29 Waar nodig doet KMO mededeling van de correctie van de gegevens aan derden belanghebbenden voor zover de wet dit toestaat of met toestemming van de geregistreerde.

17. Bepaling betreffende bekendmaking

Artikel 30 Inhoud c.q. strekking van de in dit reglement vervatte bepalingen worden aan ieder die dit aangaat bekend gemaakt. Op verzoek wordt kosteloos één exemplaar van het reglement aan de geregistreerde en andere belanghebbenden ter beschikking gesteld.

18. Bepalingen betreffende overdracht van persoonsgegevens

Artikel 31 Indien de opdrachtgever een overeenkomst sluit met een andere organisatie dan KMO om in diens opdracht werkzaamheden te verrichten en KMO verzoekt alle door haar verzamelde persoonsgegevens aan die andere organisatie over te dragen, is KMO niet verplicht aan dit verzoek gevolg te geven.

Artikel 32 KMO geeft slechts gevolg aan dit verzoek voor zover de geregistreerde hiermee instemt en voor zover de bescherming van de persoonsgegevens naar haar oordeel afdoende is gewaarborgd door de andere instelling.

Artikel 33 KMO zorgt voor de nodige informatie aan de geregistreerde omtrent de overdracht. KMO zorgt voor het verkrijgen van de vereiste toestemming van de geregistreerde.

19.  Slotbepalingen

Artikel 34 Inwerkingtreding. Dit reglement treedt in werking met ingang van 1 mei 2018.

Artikel 35 Dit reglement wordt aangehaald als: Privacyreglement KMO BV, versie mei 2018.

Artikel 36 Klachtenreglement en procedure. Dit reglement is onderhavig aan het klachtenreglement en de klachtenprocedure van KMO, versie februari 2017. Deze zijn verkrijgbaar via www.kmosolutions.nl of per post na een schriftelijk of telefonisch verzoek daartoe. (Artikel 10.1 van de Algemene voorwaarden op https://www.kmosolutions.nl/algemene-voorwaarden/#algemenevoorwaarden)

20. Beveiligingsbeleid

De veilige opslag van persoonlijk identificeerbare informatie is voor KMO van het grootste belang. KMO neemt grote zorgvuldigheid in acht bij het versturen van informatie van computers naar servers van KMO. KMO hanteert in haar beveiligingsbeleid de volgende uitgangspunten:

  • De verbinding met de software loopt via SSL met een browser;
  • Toegang tot de software kan alleen met de juiste autorisatie;
  • De software krijgt periodiek een beveiligingstest;
  • Dubieuze landen zijn standaard uitgesloten van de server;
  • Het rekencentrum / data center beschikt over de volgende certificaten:
    • ISO 27001
    • ISO 9001
    • ISAE 3402 Type II SOC
    • PCI DSS
    • ISO 14001
    • OHSAS 18001
    • En is gevestigd in de EER.

21. Gebruik van cookies

Cookies vergemakkelijken het gebruik van internet, omdat ze voorkeuren opslaan tijdens aanwezigheid op een website. De sites van KMO maken geen gebruik van cookies om persoonlijk identificeerbare informatie van de computer van een bezoeker te halen die niet oorspronkelijk als cookie verzonden was. Persoonlijk identificeerbare informatie die door cookies verzonden is, zal door KMO niet worden gebruikt voor promotionele of marketingdoeleinden, noch worden gedeeld met derden.
Het gebruik van cookies is op ieder moment uit te schakelen via het browsermenu. Het uitschakelen van cookies kan echter tot gevolg hebben dat bepaalde onderdelen van de sites niet goed functioneren.

22. Procedure Datalekken

We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt KMO dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan het AP.
KMO heeft een cyberrisicoverzekering afgesloten om begeleiding te krijgen bij de eerste respons bij (verdenking van) een datalek. Er is binnen één uur contact met een Respons Adviseur om te bespreken hoe er bijstand en juridisch advies geboden kan worden.


Contactgegevens Functionaris Gegevensbescherming

KMO heeft als verwerkingsverantwoordelijke een Functionaris Gegevensbescherming (FG) aangesteld. De FG is betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De taken van de functionaris zijn informeren, adviseren, toezicht houden, bewustwording creëren en optreden als contactpersoon van het AP.

De FG is te bereiken door middel van de volgende contactgegevens:

Naam: Mevr. E. Sanders
Telefoonnummer (zakelijk): 055-5383400
Adres (zakelijk): Prins Willem-Alexanderlaan 723, 7311 ST Apeldoorn
E-mailadres (zakelijk): functionarisgegevensbescherming@kmosolutions.nl

  • Delen via Linkedin
  • Delen via Facebook
  • Delen via Twitter