Privacybeleid

 

REGLEMENT VERWERKING PERSOONSGEGEVENS 

Artikel 1 Definities 

  1. 1.1  In dit reglement wordt verstaan onder: 
    1. (a)  AVG: Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming), publicatieblad nr. L119 van 4 mei 2016, p.1 e.v.; 
    2. (b)  COPY PARTNERS: COPY PARTNERS B.V. en elk van de met haar in een groep verbonden rechtspersonen, die ieder afzonderlijk onder de merknaam 'COPY PARTNERS' actief zijn op een bepaald terrein van de zakelijke dienstverlening (accountancy, belastingadvies en consultancy); 
    3. (c)  Klant: degene die aan COPY PARTNERS opdracht heeft gegeven tot het verrichten van werkzaamheden; 
    4. (d)  Betrokkene: de natuurlijke persoon die aan de hand van persoonsgegevens geïdentificeerd of identificeerbaar is. 
    5. (e)  Leverancier: degene die aan COPY PARTNERS diensten verleent of goederen levert; 
    6. (f)  Medewerker: degene die op basis van een arbeids- of andersoortige overeenkomst werkzaamheden ten behoeve van COPY PARTNERS verricht; 
    7. (g)  UAVG: Wet van 16 mei 2018, Stb. 2018, 144, houdende regels ter uitvoering van de AVG (Uitvoeringswet Algemene verordening gegevensbescherming). 
  2. 1.2  Overigens geldt dat alle in dit reglement opgenomen begrippen, die gelijkluidend zijn aan de in artikel 4 van de AVG gedefinieerde begrippen, de zelfde betekenis hebben als in dat artikel bepaald. 

Artikel 2 Toepasselijkheid 

  1. 2.1  Dit reglement is van toepassing op de verwerking van persoonsgegevens door COPY PARTNERS als verwerkingsverantwoordelijke. 
  2. 2.2  Dit reglement is niet van toepassing op de verwerking van persoonsgegevens door COPY PARTNERS als verwerker. In dat geval wordt de verhouding tussen COPY PARTNERS en de desbetreffende verwerkingsverantwoordelijke beheerst door een verwerkingsovereenkomst in de zin van artikel 28 lid 3 van de AVG. 
  3. 2.3  Dit reglement heeft tevens de betekenis van het in artikel 30 lid 1 van de AVG bedoelde register van verwerkingsactiviteiten. 

Artikel 3 Verwerkingsverantwoordelijke 

  1. 3.1  Als verwerkingsverantwoordelijke onder dit reglement geldt COPY PARTNERS B.V., statutair gevestigd te Eindhoven, ongeacht of de verwerking van persoonsgegevens door COPY PARTNERS B.V. of door een groepsmaatschappij van COPY PARTNERS B.V. geschiedt. 
  2. 3.2  COPY PARTNERS B.V. heeft als verwerkingsverantwoordelijke een functionaris voor gegevensbescherming voor COPY PARTNERS als geheel aangewezen met de titel 'Data Protection Officer'. 
  3. 3.3  Betrokkenen kunnen zich voor de uitoefening van hun rechten in het kader van dit reglement en voor alle overige aangelegenheden die verband houden met de verwerking van persoonsgegevens door COPY PARTNERS, ongeacht of die verwerking door COPY PARTNERS   B.V. of door een groepsmaatschappij van COPY PARTNERS  B.V. geschiedt, tot de in artikel 3.2 bedoelde functionaris wenden. De contactgegevens van die functionaris zijn: 

COPY PARTNERS B.V.
T.a.v. Data Protection 
Postbus 1382
2130 EL Hoofddorp
e-mail: [email protected] 

Artikel 4 Doel verwerking van persoonsgegevens
4.1 COPY PARTNERS verwerkt persoonsgegevens voor de navolgende doelen: 

  1. (a)  de uitvoering van overeenkomsten met Klanten; 
  2. (b)  de uitvoering van overeenkomsten met Leveranciers; 
  3. (c)  de uitvoering van overeenkomsten met Medewerkers; 
  4. (d)  de uitoefening van uit overeenkomsten voortvloeiende (vorderings)rechten; 
  5. (e)  het verrichten van marketingactiviteiten; 
  6. (f)  het verrichten van wervingsactiviteiten; 
  7. (g)  de voldoening aan op COPY PARTNERS rustende wettelijke verplichtingen; 
  8. (h)  het (specifieke) doel waarvoor persoonsgegevens met toestemming van 

Betrokkene worden verwerkt. 

 

4.2 De rechtsgronden: 

Verwerking van persoonsgegevens door COPY PARTNERS geschiedt op basis van de navolgende 

  • –  wat betreft de in artikel 4.1 onder (a) tot en met (d) genoemde doelen: artikel 6 lid 1 onder b) van de AVG (uitvoering overeenkomst); 
  • –  wat betreft het in artikel 4.1 onder (e) genoemde doel: artikel 6 lid 1 onder a) van de AVG (toestemming Betrokkene) of artikel 6 lid 1 onder f) van de AVG (behartiging gerechtvaardigd belang COPY PARTNERS); 
  • –  wat betreft het in artikel 4.1 onder (f) genoemde doel: artikel 6 lid 1 onder a) van de AVG (toestemming Betrokkene); 
  • –  wat betreft het in artikel 4.1 onder (g) genoemde doel: artikel 6 lid 1 onder c) van de AVG (voldoen aan wettelijke verplichtingen); 
  • –  wat betreft het in artikel 4.1 onder (h) genoemde doel: artikel 6 lid 1 onder a) van de AVG (toestemming Betrokkene). 

4.3 Indien de verwerking van persoonsgegevens door COPY PARTNERS berust op toestemming van de Betrokkene, heeft Betrokkene te allen tijde het recht de toestemming in te trekken. De intrekking van de toestemming geldt alleen voor de toekomst. 

Artikel 5 Categorieën van Betrokkenen en van persoonsgegevens 

5.1 COPY PARTNERS verwerkt persoonsgegevens van de navolgende categorieën van Betrokkenen, voor zover zij natuurlijke personen zijn: 

  1. (a)  Klanten; 
  2. (b)  Leveranciers; 
  3. (c)  Medewerkers; 
  4. (d)  Personen die toestemming hebben gegeven voor de verwerking van 

Persoonsgegevens met het oog op het verrichten van marketingactiviteiten of van wervingsactiviteiten; 

  1. (e)  Personen die toestemming hebben gegeven voor de verwerking van 

Persoonsgegevens met het oog op een ander (specifiek) doel. 

5.2 COPY PARTNERS verwerkt de navolgende categorieën van persoonsgegevens, doch uitsluitend voor zover de verwerking daarvan noodzakelijk is voor het desbetreffende doel: 

Identificatiegegevens 

  1. (a)  naam; 
  2. (b)  adres; 
  3. (c)  geboortedatum; 
  4. (d)  geboorteplaats; 
  5. (e)  burgerservicenummer; 
  6. (f)  identiteitsbewijsnummer; 
  7. (g)  telefoonnummer; 
  8. (h)  e-mailadres; 
  9. (i)  IP-adres; 

Transactiegegevens 

  1. (j)  bankrekeningnummer; 
  2. (k)  bijschrijvingen op, afschrijvingen van en overboekingen naar bankrekeningen; 

Financiële gegevens
(l) belastingaangiften; 

  1. (m)  financiële- en adviesrapportages; 
  2. (n)  facturen; 
  3. (o)  creditnota’s; 
  4. (p)  loonstroken; 
  5. (q)  betaalgedrag; 
  6. (r)  inkomen; 

Audiovisuele gegevens
(s) bewakingsbeelden gemaakt bij COPY PARTNERS-kantoren. 

Artikel 6 Verstrekking persoonsgegevens aan derden 

  1. 6.1  COPY PARTNERS verstrekt persoonsgegevens aan de navolgende ontvangers, doch uitsluitend voor zover de verstrekking daarvan noodzakelijk is voor het desbetreffende doel of COPY PARTNERS daartoe krachtens de wet gehouden is: 
    1. (a)  Belastingdienst; 
    2. (b)  Kamer van Koophandel via Digipoort; 
    3. (c)  Opsporingsinstanties; 
    4. (d)  Toezichthoudende autoriteiten. 
  2. 6.2  COPY PARTNERS zal Betrokkene informeren omtrent een verstrekking van persoonsgegevens aan de in artikel 6.1 genoemde categorieën van ontvangers, tenzij haar dit krachtens de wet verboden is. 

Artikel 7 Verwerking of doorgifte persoonsgegevens in of aan derde landen 

7.1 COPY PARTNERS verwerkt persoonsgegevens niet in en geeft Persoonsgegevens niet door aan een land buiten de Europese Unie of de Europese Economische Ruimte, waarvan niet bij besluit van de Europese Commissie is vastgesteld dat het een passend beschermingsniveau in de zin van artikel 45 lid 1 van de AVG waarborgt, tenzij: 

  1. (a)  Betrokkene daarvoor uitdrukkelijk en schriftelijk toestemming heeft verleend, of 
  2. (b)  passende waarborgen in de zin van artikel 46 lid 1 van de AVG bestaan. 

7.2 COPY PARTNERS zal Betrokkene informeren omtrent het voornemen persoonsgegevens in een derde land te verwerken of aan een derde land door te geven met vermelding van de in artikel 13 lid 1 onder (e) van de AVG bedoelde gegevens. 

Artikel 8 Bewaring van persoonsgegevens 

  1. 8.1  COPY PARTNERS bewaart persoonsgegevens niet langer dan voor het doel waarvoor de persoonsgegevens worden verwerkt noodzakelijk is en voorts met inachtneming van de ter zake geldende wettelijke bewaartermijnen. Daarna worden persoonsgegevens geanonimiseerd, gepseudonimiseerd of gewist. 
  2. 8.2  COPY PARTNERS kan persoonsgegevens langer bewaren dan in artikel 8.1 is bepaald, doch uitsluitend voor zover die persoonsgegevens voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden worden bewaard en worden verwerkt met inachtneming van het bepaalde in artikel 89 lid 1 van de AVG. 

Artikel 9 Beveiliging van persoonsgegevens 

  1. 9.1  COPY PARTNERS treft passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onbevoegde of onrechtmatige verwerking daarvan, daaronder begrepen onnodige verzameling en verdere verwerking daarvan, daarbij rekening houdend met hetgeen in artikel 32 leden 1 en 2 van de AVG wordt genoemd. Een algemene beschrijving van de hiervoor bedoelde maatregelen is in Bijlage A opgenomen. 
  2. 9.2  COPY PARTNERS treft maatregelen om ervoor te zorgen dat persoonsgegevens uitsluitend worden verwerkt door Medewerkers die daartoe uit hoofde van hun functie of taak bevoegd zijn en dat door Medewerkers niet meer persoonsgegevens worden verwerkt dan voor het desbetreffende doel noodzakelijk is. 

Artikel 10 Verwerkers 

  1. 10.1  COPY PARTNERS is bevoegd derden als verwerkers bij de verwerking van persoonsgegevens in te schakelen. De verwerkers die door COPY PARTNERS voor de verwerking van de Persoonsgegevens zijn ingeschakeld staan vermeld op Bijlage B. 
  2. 10.2  De rechtsverhouding tussen COPY PARTNERS en de in artikel 10.1 bedoelde verwerkers wordt beheerst door een tussen COPY PARTNERS en elk van die verwerkers gesloten verwerkingsovereenkomst in de zin van artikel 28 lid 3 van de AVG. 

Artikel 11 Rechten van Betrokkene 11.1 Betrokkene heeft recht op: 

  1. (a)  inzage van hem betreffende persoonsgegevens die door COPY PARTNERS worden verwerkt en van informatie als bedoeld in artikel 15 lid 1 van de AVG; 
  2. (b)  rectificatie of vervollediging van hem betreffende onjuiste of onvolledige persoonsgegevens die door COPY PARTNERS worden verwerkt conform artikel 16 van de AVG; 
  3. (c)  wissing van hem betreffende persoonsgegevens die door COPY PARTNERS worden verwerkt in de gevallen genoemd in artikel 17 lid 1 van de AVG; 
  4. (d)  beperking van de verwerking van hem betreffende persoonsgegevens door COPY PARTNERS in de gevallen genoemd in artikel 18 lid 1 van de AVG; 
  5. (e)  verkrijging van hem betreffende persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm en overdracht van die persoonsgegevens aan een andere verwerkingsverantwoordelijke, in de gevallen genoemd in artikel 20 lid 1 van de AVG. 
  1. 11.2  Betrokkene heeft voorts het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens en staking daarvan te verzoeken in de gevallen genoemd in artikel 21 leden 1 en 2 van de AVG. 
  2. 11.3  De uitoefening van de in de artikelen 11.1 en 11.2 genoemde rechten geschiedt door indiening van een daartoe strekkend verzoek (hierna: het 'verzoek') door of namens Betrokkene bij COPY PARTNERS. Het verzoek wordt gestuurd aan het in artikel 3.3 genoemde adres. 
  3. 11.4  Het verzoek dient gegevens te bevatten die het mogelijk maken Betrokkene te identificeren. Bij gebreke van dergelijke gegevens kan COPY PARTNERS verlangen dat Betrokkene zich identificeert. Die identificatie kan plaatsvinden op een van de kantoren van COPY PARTNERS. Het verzoek wordt geacht te zijn ontvangen, zodra de identiteit van Betrokkene vast staat. 
  4. 11.5  COPY PARTNERS neemt het verzoek zo spoedig mogelijk na ontvangst in behandeling en deelt Betrokkene binnen één maand nadien mede op welke wijze gevolg aan het verzoek is gegeven. Die termijn kan met twee maanden worden verlengd. Ingeval van verlenging, zal Betrokkene daarvan binnen één maand na ontvangst van het verzoek in kennis worden gesteld. 
  5. 11.6  Indien geen gevolg aan het verzoek wordt gegeven, deelt COPY PARTNERS dit binnen een maand na ontvangst van het verzoek onder opgaaf van redenen aan Betrokkene mede. In dat geval heeft Betrokkene de mogelijkheid een klacht bij de Autoriteit Persoonsgegevens in te dienen of een verzoekschrift als bedoeld in artikel 35 UAVG bij de rechtbank in te dienen. 
  6. 11.7  De indiening en behandeling van het verzoek, de verstrekking van informatie naar aanleiding van het verzoek en het treffen van maatregelen ter uitvoering van het verzoek zijn kosteloos. 
  7. 11.8  Indien een verzoek kennelijk ongegrond of buitensporig is, bijvoorbeeld omdat het herhaaldelijk wordt gedaan, is COPY PARTNERS bevoegd hetzij administratieve kosten in rekening te brengen hetzij geen gevolg aan het verzoek te geven. 

Artikel 12 Geschilbeslechting 

  1. 12.1  Indien Betrokkene het niet eens is met de beslissing van COPY PARTNERS geen gevolg aan het in artikel 11.3 bedoelde verzoek te geven of indien tussen Betrokkene en COPY PARTNERS anderszins geschil over de toepassing van dit reglement bestaat, heeft Betrokkene op grond van artikel 35 UAVG de mogelijkheid zich tot de Autoriteit Persoonsgegevens te wenden met het verzoek te bemiddelen. 
  2. 12.2  Indien Betrokkene van de in artikel 12.1 bedoelde mogelijkheid gebruik maakt, zal COPY PARTNERS alle medewerking aan een behandeling van het geschil door de Autoriteit Persoonsgegevens verlenen. 

Artikel 13 Kennisgevingen en mededelingen 

13.1 Alle kennisgevingen of mededelingen van COPY PARTNERS aan Betrokkene in het kader van dit reglement geschieden schriftelijk en worden gericht aan het (e-mail)adres van de Betrokkene zoals dat is opgenomen in de administratie van COPY PARTNERS, tenzij daartoe door Betrokkene uitdrukkelijk en schriftelijk een ander adres is opgegeven. 

13.2 Indien Betrokkene daarom verzoekt, kunnen de in artikel 13.1 bedoelde kennisgevingen of mededelingen ook mondeling door COPY PARTNERS aan Betrokkene worden gedaan, mits de identiteit van Betrokkene vast staat. 

Artikel 14 Slotbepaling 

  1. 14.1  Dit reglement is vastgesteld door het bestuur van COPY PARTNERS   B.V. en geldt met ingang van 1 januari 2019 voor COPY PARTNERS als geheel. 
  2. 14.2  Dit reglement kan te allen tijde bij daartoe strekkend besluit van het bestuur van COPY PARTNERS   B.V. worden gewijzigd. De wijziging van het reglement wordt schriftelijk vastgelegd en wordt bekend gemaakt op de wijze als bij het besluit tot wijziging te bepalen. 

3.                                    ____________________

 

Bijlage A Algemene beschrijving beveiligingsmaatregelen. 

COPY PARTNERS ICT voldoet voor de beveiliging van haar organisatie en infrastructuur aan de internationaal erkende standaard voor informatiebeveiliging: de ISO 27001-norm. De norm is van toepassing op de ICT-processen: informatie, informatiesystemen, netwerken, en op het IT-personeel dat de bedrijfsprocessen ondersteunt. 

Door het regelmatig uitvoeren van informatiebeveiligingscontroles en van in- en externe audits blijft het informatiebeveiligingsniveau van COPY PARTNERS hoog. COPY PARTNERS heeft alle beheersmaatregelen geselecteerd vanuit risicoanalyses en uit de baselines/beleid. Alle maatregelen uit de ISO 27001 norm zijn geïmplementeerd en de audits zijn uitgevoerd door COPY PARTNERS IT audit en BSI. 

Het afschrift het ISO 27001 certificaat en bijbehorende verklaring van toepasselijkheid kunnen worden opgevraagd bij de afdeling Quality & Riskmanagement via eerdergenoemd e- mailadres. 

De basis voor deze certificering ligt in het informatiebeveiligings- en privacy beleid van COPY PARTNERS. Dit beleid zorgt ervoor dat de organisatie van COPY PARTNERS blijft voldoen aan de ISO 27001-norm. Verantwoordelijk hiervoor is de afdeling Quality & Riskmanagement. Een team van Information Security & Privacy Officers is verantwoordelijk voor het rapporteren over beveiligingsincidenten en relevante ontwikkelingen op het gebied van informatiebeveiliging en privacy aan het multidisciplinair samengestelde Forum Informatiebeveiliging binnen COPY PARTNERS. 

Binnen het informatiebeveiligingsbeleid van COPY PARTNERS zijn verschillende beheersmaatregelen actief die zijn 

• • • • • • • 

Onderverdeeld in onderstaande categorieën

 

Beveiliging van de fysieke ICT-omgeving; Ontwikkeling en onderhoud van informatiesystemen; Beheer van bedrijfsmiddelen;
Medewerkers;
Beveiligde applicaties en toepassingen; Leveranciersrelaties;
Beheer van informatiebeveiligingsincidenten.