PRIVACY BELEID

 

Algemeen

Ingangsdatum:                       01-10-2019
Opgesteld door:                     De directie
Vastgesteld op:                       01-10-2019

Organisatie

Dit privacybeleid zal gelden voor de volgende organisatie:

  • HalloLex B.V.

Hierna worden ze samen aangeduid als:

Dit privacybeleid heeft betrekking op de bescherming van persoonsgegevens van alle betrokkenen wiens gegevens wij op de een of andere manier verwerken. Het gaat hier in ieder geval om alle medewerkers, klanten, leveranciers, bezoekers en externe relaties. Om ervoor te zorgen dat wij kunnen voldoen aan relevante wet- en regelgeving, is het belangrijk dat alle medewerkers op de hoogte zijn van het privacybeleid.

Het privacybeleid beschrijft op strategisch niveau de doelstellingen op het gebied van de bescherming van persoonsgegevens. Het geeft op die manier richting aan de gehele organisatie als het gaat om de verwerking van persoonsgegevens. Het privacybeleid helpt – met de juiste acties – veilig met persoonsgegevens om te gaan. Door het weergeven van taken, bevoegdheden en verantwoordelijkheden moet het voor een ieder duidelijk wat zijn of haar taak is binnen onze organisatie. Uiteindelijk is elke medewerker verantwoordelijk voor een juiste omgang met persoonsgegevens.

Uitgangspunten

HalloLex vindt het belangrijk om transparant te handelen, vooral in het kader van de verwerking van persoonsgegevens. Daarom gaan wij veilig en integer met de persoonsgegevens om en zijn wij compliant met de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens. Bij de werkzaamheden worden de algemene beginselen op het gebied van de verwerking van persoonsgegevens in acht genomen. Dit uitgangspunt zal worden weergegeven in een Privacy Verklaring die – onder andere via onze website – openbaar toegankelijk zal zijn. Voor wat betreft onze medewerkers zal intern een aanvullende Privacy Verklaring worden afgegeven.

Wij beperken het verwerken van persoonsgegevens tot de uitdrukkelijk omschreven doelen waarvoor ze verzameld zijn. De verwerkingen registreren wij ineen Verwerkingsregister, waarin ook de doelen, rechtsgronden en bewaartermijnen zullen worden omschreven.

Voor het behandelen van de rechten van de betrokkenen is een procedure ingericht. Daarvoor hanteren wij een Draaiboek Verzoek betrokkenen. Op deze manier kunnen wij ervoor zorgen dat de betrokkenen hun rechten kunnen uitoefenen, zoals wij ook in de Privacy Verklaringen hebben vermeld. Het betreft in het bijzonder:

  1. Recht op inzage
  2. Recht op rectificatie
  3. ‘Recht om vergeten te worden’
  4. Recht op beperking van de verwerking
  5. Mededeling van rectificatie, verwijdering of beperking
  6. Recht op overdraagbaarheid van je gegevens
  7. Intrekken toestemming
  8. Recht van bezwaar
  9. Klacht bij Autoriteit Persoonsgegevens of naar de rechter.

Taken en bevoegdheden binnen de organisatie

Wij hebben niet de plicht om een functionaris gegevensbescherming (FG) aan te stellen. Wel hebben wij gekozen voor een privacy manager met als taak toezicht te houden op de naleving van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, evenals toezicht te houden op de uitvoering van dit privacybeleid.

Algemene beginselen van de bescherming van persoonsgegevens

De verwerking moet voldoen aan de algemene beginselen van de bescherming van persoonsgegevens. De verwerking van persoonsgegevens moet aan de volgende eisen voldoen:

  • Verwerkingen moeten rechtmatig, eerlijk en transparant zijn ten opzichte van de betrokkenen.
  • Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld.
  • Persoonsgegevens mogen niet verder worden verwerkt op een met die doeleinden onverenigbare wijze. Verenigbaar met het oorspronkelijke doel zijn verwerkingen voor archivering, doeleinden van algemeen belang, wetenschappelijke en historische onderzoeksdoeleinden en statistische doeleinden
  • Persoonsgegevens moeten adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt.
  • Persoonsgegevens moeten accuraat en waar nodig up-to-date zijn.
  • Persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren dan voor verwezenlijking van de doeleinden waarvoor ze worden verwerkt, noodzakelijk is. Persoonsgegevens mogen langer worden bewaard voor archivering in het algemeen belang en voor historische, statistische of wetenschappelijke doeleinden.
  • Persoonsgegevens mogen alleen worden verwerkt op een manier die de veiligheid van de persoonsgegevens verzekert.

Externe partijen

Als uitgangspunt geldt dat wij de persoonsgegevens alleen zelf gebruiken.

In bepaalde gevallen kan het echter noodzakelijk zijn persoonsgegevens aan externe partijen door te geven. Bij het doorgeven van de persoonsgegevens aan externe partijen moet worden afgewogen of dat kan en zo ja, onder welke voorwaarden. Zo nodig worden verwerkersovereenkomsten gesloten.

Informatiebeveiliging en datalekken

Als uitgangspunt dienen persoonsgegevens beveiligd te worden met passende technische en organisatorische maatregelen.

  • Wij hebben aanvullende organisatorische beveiligingsmaatregelen getroffen, die bovendien zijn neergelegd in een apart document.

Als zich datalekken voordoen waarbij persoonsgegevens zijn betrokken worden deze, als dat nodig is, gemeld aan de Autoriteit Persoonsgegevens en de betrokken personen. Er kunnen bijzondere omstandigheden zijn waaronder melding niet plaatsvindt. Daarvoor hanteren wij een Draaiboek datalekken.

Afsluiting

Wij evalueren het privacybeleid jaarlijks en leggen bevindingen vast. Waar nodig vindt een bijstelling van het beleid plaats.