Neem contact met ons op

Privacybeleid

We herzien dit privacybeleid regelmatig. Soms kan het nodig zijn om wijzigingen of aanvullingen aan te brengen in het beleid die van invloed kunnen zijn op de manier waarop we uw gegevens verwerken. We zullen op deze pagina aangeven wanneer het privacybeleid is gewijzigd, dus controleer dit beleid regelmatig.

Dit privacybeleid is voor het laatst herzien en bijgewerkt in mei 2023.

1. INTERPRETATIE

1.1 DEFINITIES:

Geautomatiseerde besluitvorming (ADM):
Wanneer een besluit wordt genomen dat uitsluitend gebaseerd is op geautomatiseerde verwerking (inclusief profilering) en dat rechtsgevolgen heeft of een individu aanzienlijk beïnvloedt, is er sprake van geautomatiseerde besluitvorming. De AVG verbiedt geautomatiseerde besluitvorming (tenzij aan bepaalde voorwaarden wordt voldaan), maar niet geautomatiseerde verwerking.
Geautomatiseerde verwerking:
Elke vorm van geautomatiseerde verwerking van persoonsgegevens die bestaat uit het gebruik van persoonsgegevens om bepaalde persoonlijke aspecten van een individu te evalueren, in het bijzonder om aspecten te analyseren of te voorspellen die betrekking hebben op de prestaties van dat individu op het werk, de economische situatie, de gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of bewegingen. Profilering is een voorbeeld van geautomatiseerde verwerking.
Bedrijfsnaam:
Sona Business BV.
Bedrijfspersoneel:
Alle werknemers, arbeiders, aannemers, uitzendkrachten, adviseurs, directeuren, leden en anderen.
Toestemming:
Een overeenkomst die vrijwillig, specifiek en geïnformeerd moet zijn en een ondubbelzinnige uiting moet vormen van de wensen van de betrokkene, waarmee deze, door middel van een verklaring of een duidelijke positieve handeling, instemt met de verwerking van persoonsgegevens die op hem of haar betrekking hebben.
Gegevensbeheerder:
De persoon of organisatie die bepaalt wanneer, waarom en hoe persoonsgegevens worden verwerkt. Deze is verantwoordelijk voor het vaststellen van procedures en beleid in overeenstemming met de AVG. Wij zijn de verwerkingsverantwoordelijke voor alle persoonsgegevens met betrekking tot ons personeel, potentiële medewerkers/kandidaten en persoonsgegevens die wij gebruiken in de bedrijfsvoering voor onze eigen legitieme commerciële doeleinden.
Betrokkene:
Een levende, geïdentificeerde of identificeerbare persoon over wie wij persoonsgegevens bewaren. Betrokkenen kunnen staatsburgers of ingezetenen van elk land zijn en kunnen wettelijke rechten hebben met betrekking tot hun persoonsgegevens.
Gegevensprivacy-impactbeoordeling (DPIA):
Instrumenten en beoordelingen die worden gebruikt om risico's van een gegevensverwerkingsactiviteit te identificeren en te verminderen. Een DPIA kan worden uitgevoerd als onderdeel van Privacy by Design en moet worden uitgevoerd voor alle grote systeem- of bedrijfsveranderingsprogramma's waarbij persoonsgegevens worden verwerkt.
Functionaris voor gegevensbescherming (FG):
De persoon die in specifieke omstandigheden onder de AVG moet worden aangesteld. Indien er geen verplichte functionaris voor gegevensbescherming (DPO) is aangesteld, wordt met deze term een gegevensbeschermingsmanager bedoeld, of een andere vrijwillige aanstelling van een DPO, of wordt verwezen naar het gegevensbeschermingsteam van het bedrijf dat verantwoordelijk is voor de naleving van de gegevensbeschermingsvoorschriften.
EER:
de 28 landen van de EU, plus IJsland, Liechtenstein en Noorwegen.
Uitdrukkelijke toestemming:
Toestemming vereist een zeer duidelijke en specifieke verklaring (dus niet alleen een handeling).
Algemene Verordening Gegevensbescherming (AVG):
De Algemene Verordening Gegevensbescherming ((EU) 2016/679). Persoonsgegevens zijn onderworpen aan de wettelijke waarborgen zoals vastgelegd in de AVG.
Persoonsgegevens:
Persoonsgegevens omvatten alle informatie die een betrokkene identificeert of informatie die betrekking heeft op een betrokkene en die wij (direct of indirect) kunnen identificeren op basis van die gegevens alleen of in combinatie met andere identificatoren die wij bezitten of redelijkerwijs kunnen inzien. Persoonsgegevens omvatten gevoelige persoonsgegevens en gepseudonimiseerde persoonsgegevens, maar sluiten anonieme gegevens of gegevens uit waarvan de identiteit van een persoon permanent is verwijderd. Persoonsgegevens kunnen feitelijk zijn (bijvoorbeeld een naam, e-mailadres, locatie of geboortedatum) of een mening over de handelingen of het gedrag van die persoon.
Inbreuk op persoonsgegevens:
Elke handeling of nalatigheid die de veiligheid, vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens in gevaar brengt, of de fysieke, technische, administratieve of organisatorische beveiligingsmaatregelen die wij of onze externe dienstverleners hebben getroffen om deze te beschermen, vormt een datalek. Het verlies van, of de ongeoorloofde toegang tot, openbaarmaking van of verkrijging van persoonsgegevens, is een datalek.
Privacy door ontwerp:
Het op effectieve wijze implementeren van passende technische en organisatorische maatregelen om naleving van de AVG te waarborgen.
Privacyverklaringen (ook wel bekend als verklaringen over eerlijke gegevensverwerking):
Afzonderlijke kennisgevingen waarin informatie wordt uiteengezet die aan betrokkenen kan worden verstrekt wanneer het bedrijf gegevens over hen verzamelt. Deze kennisgevingen kunnen de vorm aannemen van algemene privacyverklaringen die van toepassing zijn op een specifieke groep personen (bijvoorbeeld privacyverklaringen voor werknemers, kandidaten of het privacybeleid van de website) of het kunnen op zichzelf staande, eenmalige privacyverklaringen zijn die betrekking hebben op verwerkingen die verband houden met een specifiek doel.
Verwerking of proces:
Elke activiteit waarbij persoonsgegevens worden gebruikt, valt onder verwerking. Dit omvat het verkrijgen, vastleggen of bewaren van de gegevens, of het uitvoeren van enige handeling of reeks handelingen met de gegevens, waaronder het organiseren, wijzigen, opvragen, gebruiken, openbaar maken, wissen of vernietigen ervan. Verwerking omvat ook het doorgeven of overdragen van persoonsgegevens aan derden.
Pseudonymisering of gepseudonymiseerd:
Het vervangen van informatie die een persoon direct of indirect identificeert door een of meer kunstmatige identificatoren of pseudoniemen, zodat de persoon op wie de gegevens betrekking hebben niet kan worden geïdentificeerd zonder gebruikmaking van aanvullende informatie die apart en veilig moet worden bewaard.
Gerelateerde beleidsregels:
Alle bedrijfsbeleidsregels, operationele procedures of processen die verband houden met deze privacyrichtlijn en die zijn ontworpen om persoonsgegevens te beschermen.
Gevoelige persoonsgegevens:
Informatie die de raciale of etnische afkomst, politieke opvattingen, religieuze of soortgelijke overtuigingen, vakbondslidmaatschap, fysieke of mentale gezondheidstoestand, seksueel leven, seksuele geaardheid, biometrische of genetische gegevens onthult, en persoonsgegevens met betrekking tot strafbare feiten en veroordelingen.

2. INLEIDING

Deze privacyrichtlijn beschrijft hoe wij omgaan met de persoonsgegevens van onze klanten, potentiële klanten, leveranciers, werknemers, potentiële werknemers, kandidaten, medewerkers en andere derden.

Deze privacyrichtlijn is van toepassing op alle persoonsgegevens die wij verwerken, ongeacht het medium waarop die gegevens zijn opgeslagen of of het nu gaat om voormalige of huidige werknemers, kandidaten, medewerkers, klanten, opdrachtgevers of contactpersonen van leveranciers, aandeelhouders, websitegebruikers of andere betrokkenen.

Deze privacyrichtlijn is van toepassing op al onze medewerkers. Al onze medewerkers dienen deze privacyrichtlijn te lezen, te begrijpen en na te leven bij de verwerking van persoonsgegevens namens ons en zullen een training volgen over de vereisten ervan. Deze privacyrichtlijn beschrijft wat wij verwachten om te voldoen aan de toepasselijke wetgeving. Naleving van deze privacyrichtlijn is verplicht. Gerelateerde beleidsdocumenten en privacyrichtlijnen kunnen beschikbaar zijn om te helpen bij de interpretatie van en het handelen in overeenstemming met deze privacyrichtlijn. Elke schending van deze privacyrichtlijn kan leiden tot disciplinaire maatregelen.

Deze privacyrichtlijn mag niet zonder voorafgaande toestemming van de functionaris voor gegevensbescherming (DPO) met derden, klanten of toezichthouders worden gedeeld.

3. TOEPASSINGSGEBIED

Wij erkennen dat de correcte en rechtmatige behandeling van persoonsgegevens het vertrouwen in de organisatie zal behouden en zal bijdragen aan een succesvolle bedrijfsvoering. Het beschermen van de vertrouwelijkheid en integriteit van persoonsgegevens is een cruciale verantwoordelijkheid die wij te allen tijde serieus nemen. Het bedrijf loopt het risico op boetes tot EUR 20 miljoen of 4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is en afhankelijk van de overtreding, indien de bepalingen van de AVG niet worden nageleefd.

Alle CEO's, directeuren, managers, afdelingshoofden, supervisors en senior medewerkers zijn verantwoordelijk voor het waarborgen dat al het personeel van het bedrijf voldoet aan deze privacyrichtlijn en dienen passende procedures, processen, controles en trainingen te implementeren om deze naleving te garanderen.

De functionaris voor gegevensbescherming (DPO) is verantwoordelijk voor het toezicht op deze privacystandaard en, waar van toepassing, voor het ontwikkelen van aanverwante beleidsregels en privacyrichtlijnen. De DPO is te bereiken via [contactgegevens]. data@sonabusiness.com.

Neem contact op met de functionaris voor gegevensbescherming (DPO) als u vragen heeft over de werking van deze privacyrichtlijn of de AVG, of als u zich zorgen maakt dat deze privacyrichtlijn niet wordt of niet is nageleefd. In het bijzonder dient u altijd contact op te nemen met de DPO in de volgende gevallen:

  1. Als u niet zeker bent van de wettelijke basis waarop wij ons beroepen voor de verwerking van persoonsgegevens (inclusief de legitieme belangen van het bedrijf) (zie paragraaf [5.1] hieronder);
  2. Als u van mening bent dat we op toestemming moeten vertrouwen en/of expliciete toestemming moeten vastleggen (zie paragraaf [5.2] hieronder);
  3. Als u van mening bent dat we privacyverklaringen of verklaringen over eerlijke gegevensverwerking moeten opstellen of delen (zie paragraaf [5.3] hieronder);
  4. Als u niet zeker bent over de bewaartermijn van de verwerkte persoonsgegevens (zie paragraaf [9] hieronder);
  5. Als u niet zeker weet welke beveiligingsmaatregelen of andere maatregelen nodig zijn om Persoonsgegevens te beschermen (zie paragraaf [10.1] hieronder);
  6. Indien er sprake is geweest van een inbreuk op persoonsgegevens (paragraaf [10.2] hieronder);
  7. Als u niet zeker weet op welke basis wij persoonsgegevens buiten de EER overdragen (zie paragraaf [11] hieronder);
  8. Als u hulp nodig heeft bij het uitoefenen van uw rechten of de rechten die door een betrokkene worden ingeroepen (zie paragraaf [12]);
  9. Wanneer u van mening bent dat wij een belangrijke nieuwe verwerkingsactiviteit uitvoeren, of een wijziging aanbrengen in een verwerkingsactiviteit, waarvoor waarschijnlijk een DPIA vereist is (zie paragraaf [13.4] hieronder), of wanneer wij van plan zijn persoonsgegevens te gebruiken voor andere doeleinden dan waarvoor ze zijn verzameld;
  10. Als u van mening bent dat wij van plan zijn activiteiten uit te voeren waarbij geautomatiseerde verwerking betrokken is, zoals profilering of geautomatiseerde besluitvorming (zie paragraaf [13.5] hieronder);
  11. Als u hulp of advies nodig heeft bij het naleven van de toepasselijke wetgeving wanneer wij direct marketingactiviteiten uitvoeren, of als u zich zorgen maakt over direct marketingactiviteiten waarbij het bedrijf mogelijk betrokken is (zie paragraaf [13.6] hieronder); of
  12. Als u hulp nodig heeft met contracten of andere zaken met betrekking tot het delen van persoonsgegevens met derden (waaronder leveranciers) (zie paragraaf [13.7] hieronder).

4. PRINCIPES INZAKE BESCHERMING VAN PERSOONSGEGEVENS

Wij houden ons aan de beginselen met betrekking tot de verwerking van persoonsgegevens zoals vastgelegd in de AVG, die vereisen dat persoonsgegevens:

  1. Op rechtmatige, eerlijke en transparante wijze verwerkt (Rechtmatigheid, Eerlijkheid en Transparantie).
  2. Gegevens worden uitsluitend verzameld voor specifieke, expliciete en rechtmatige doeleinden (Doelbeperking).
  3. Voldoende, relevant en beperkt tot wat noodzakelijk is in verband met de doeleinden waarvoor de gegevens worden verwerkt (dataminimalisatie).
  4. Nauwkeurig en waar nodig actueel gehouden (Nauwkeurigheid).
  5. Gegevens worden niet langer bewaard in een vorm die identificatie van de betrokkene mogelijk maakt dan noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt (Bewaarbeperking).
  6. Verwerkt op een manier die de veiligheid ervan waarborgt door middel van passende technische en organisatorische maatregelen ter bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onbedoeld verlies, vernietiging of beschadiging (Veiligheid, Integriteit en Vertrouwelijkheid).
  7. Niet overdragen naar een ander land zonder dat er passende waarborgen zijn getroffen (Overdrachtsbeperking).
  8. Beschikbaar gesteld aan betrokkenen en betrokkenen in staat gesteld bepaalde rechten uit te oefenen met betrekking tot hun persoonsgegevens (Rechten en verzoeken van betrokkenen).

Wij zijn verantwoordelijk voor en moeten kunnen aantonen dat we voldoen aan de hierboven genoemde beginselen inzake gegevensbescherming (Verantwoordelijkheid).

5. RECHTMATIGHEID, BILLIJKHEID, TRANSPARANTIE

5.1 RECHTMATIGHEID EN BILLIJKHEID

Persoonsgegevens moeten rechtmatig, eerlijk en transparant worden verwerkt ten aanzien van de betrokkene.

Wij verzamelen, verwerken en delen persoonsgegevens alleen op een eerlijke en rechtmatige manier en voor specifieke doeleinden. De AVG beperkt onze handelingen met betrekking tot persoonsgegevens tot bepaalde rechtmatige doeleinden. Deze beperkingen zijn niet bedoeld om de verwerking te belemmeren, maar om ervoor te zorgen dat wij persoonsgegevens eerlijk verwerken en zonder nadelige gevolgen voor de betrokkene.

De AVG staat verwerking toe voor specifieke doeleinden, waarvan sommige hieronder worden uiteengezet:

  1. De betrokkene heeft zijn of haar toestemming gegeven;
  2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene of met het oog op de uitvoering van een overeenkomst met de betrokkene;
  3. Om aan onze wettelijke verplichtingen te voldoen.;
  4. Om de vitale belangen van de betrokkene te beschermen;
  5. Om onze legitieme belangen na te streven voor doeleinden waarbij deze niet zwaarder wegen omdat de verwerking de belangen of fundamentele rechten en vrijheden van de betrokkene zou schaden. De doeleinden waarvoor wij persoonsgegevens verwerken op basis van legitieme belangen worden hieronder uiteengezet. Wij zijn ervan overtuigd dat wij legitieme belangen hebben vastgesteld, dat de verwerking noodzakelijk is om deze te bereiken en dat de verwerking in evenwicht is met de belangen, rechten en vrijheden van de betrokkene. Wij zijn er tevens van overtuigd dat wij de gegevens van een persoon alleen gebruiken op een manier die hij of zij redelijkerwijs zou verwachten en dat er geen minder ingrijpende manier is om hetzelfde resultaat te bereiken.
  6. Het uitvoeren van een specifieke taak in het algemeen belang, zoals vastgelegd in de wet.

Wij hebben vastgesteld dat de wettelijke grondslagen waarop wij ons beroepen voor de verwerking van persoonsgegevens als volgt zijn:

  • Bedrijfspersoneelsgegevens – Contract, d.w.z. we moeten persoonsgegevens verwerken om onze contractuele verplichtingen na te komen en/of de verwerking van gegevens is een gerechtvaardigd belang, d.w.z. voor de bedrijfsvoering.
  • Gegevens van potentiële medewerkers of kandidaten – Contract, d.w.z. we moeten persoonsgegevens verwerken om te beslissen of we een kandidaat aannemen, aanbevelen of voordragen en/of de verwerking van persoonsgegevens is een gerechtvaardigd belang, d.w.z. voor de bedrijfsvoering en omdat het voor zowel het bedrijf als de kandidaat voordelig is dat de kandidaat in de functie wordt aangesteld. We kunnen ook toestemming verkrijgen.
  • Cliënten en klanten – Contract, d.w.z. we moeten persoonsgegevens verwerken om onze contractuele verplichtingen jegens onze cliënten/klanten na te komen en/of de verwerking van persoonsgegevens is een gerechtvaardigd belang, d.w.z. om onze bedrijfsactiviteiten uit te voeren.
  • Leveranciers – Contract, d.w.z. we moeten persoonsgegevens verwerken om onze contractuele verplichtingen jegens leveranciers na te komen en/of de verwerking van persoonsgegevens is een gerechtvaardigd belang, d.w.z. voor de bedrijfsvoering.
  • Zakelijke contacten, marketingprospecten en potentiële klanten – Contract, d.w.z. we moeten persoonsgegevens verwerken om te bepalen of we een contractuele relatie met deze groep personen aangaan en/of de verwerking van persoonsgegevens is een gerechtvaardigd belang, d.w.z. voor de bedrijfsvoering. Marketing gericht op potentiële klanten en/of de verwerking van hun persoonsgegevens is een gerechtvaardigd belang, d.w.z. voor de bedrijfsvoering en dat belang is gunstig voor zowel het bedrijf als deze groep personen.

5.1.1 GEVOELIGE GEGEVENS

Wij verwerken uitsluitend gevoelige persoonsgegevens met betrekking tot personeel van het bedrijf, toekomstig personeel en kandidaten. Voor de verwerking van gevoelige persoonsgegevens moeten wij ook voldoen aan een specifieke voorwaarde van artikel 9 van de AVG. Het bedrijf voldoet aan voorwaarde B van artikel 9(2), in die zin dat de verwerking noodzakelijk is voor de uitvoering van de verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of van de betrokkene op het gebied van werkgelegenheid. Wij kunnen ook specifieke toestemming verkrijgen.

5.2 TOESTEMMING

Een gegevensverwerker mag persoonsgegevens alleen verwerken op basis van een of meer van de wettelijke grondslagen die in de AVG zijn vastgelegd, waaronder toestemming.

Een betrokkene stemt in met de verwerking van zijn of haar persoonsgegevens als hij of zij duidelijk instemt, hetzij door middel van een verklaring, hetzij door een positieve handeling. Toestemming vereist een actieve handeling; stilzwijgen, vooraf aangevinkte vakjes of inactiviteit zijn doorgaans niet voldoende. Indien toestemming wordt gegeven in een document dat ook andere zaken behandelt, dient deze toestemming gescheiden te worden gehouden van die andere zaken.

Betrokkenen moeten te allen tijde eenvoudig hun toestemming voor de verwerking kunnen intrekken en deze intrekking moet onmiddellijk worden gehonoreerd. Het kan nodig zijn om opnieuw toestemming te vragen als we persoonsgegevens willen verwerken voor een ander en onverenigbaar doel dat niet is bekendgemaakt toen de betrokkene voor het eerst toestemming gaf.

Tenzij we ons kunnen beroepen op een andere wettelijke grondslag voor de verwerking, is expliciete toestemming mogelijk vereist voor de verwerking van gevoelige persoonsgegevens, voor geautomatiseerde besluitvorming en voor grensoverschrijdende gegevensoverdracht. Meestal zullen we ons beroepen op een andere wettelijke grondslag zoals hierboven beschreven (en zullen we geen expliciete toestemming vereisen) voor de verwerking van de meeste soorten gevoelige gegevens. Indien expliciete toestemming vereist is, zullen we de betrokkene een kennisgeving over eerlijke verwerking sturen om deze toestemming te verkrijgen.

We zullen de verkregen toestemmingen vastleggen en een register bijhouden van alle toestemmingen, zodat het bedrijf kan aantonen dat aan de toestemmingsvereisten is voldaan.

5.3 TRANSPARANTIE (INFORMATIEVERSTREKKING AAN BETROKKENEN)

De AVG vereist dat gegevensverwerkers gedetailleerde, specifieke informatie verstrekken aan betrokkenen, afhankelijk van of de informatie rechtstreeks van de betrokkenen is verkregen of elders vandaan. Dergelijke informatie moet en zal worden verstrekt via passende privacyverklaringen of verklaringen over eerlijke gegevensverwerking, die beknopt, transparant, begrijpelijk, gemakkelijk toegankelijk en in duidelijke en eenvoudige taal moeten zijn, zodat een betrokkene ze gemakkelijk kan begrijpen.

Wanneer we persoonsgegevens rechtstreeks van betrokkenen verzamelen, bijvoorbeeld voor personeels- of arbeidsdoeleinden, zullen we de betrokkene alle informatie verstrekken die vereist is door de AVG. Dit omvat de identiteit van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming (DPO), en hoe en waarom we die persoonsgegevens zullen gebruiken, verwerken, openbaar maken, beschermen en bewaren. Dit gebeurt via een privacyverklaring die moet worden getoond wanneer de betrokkene voor het eerst de persoonsgegevens verstrekt.

Wanneer persoonsgegevens indirect worden verzameld (bijvoorbeeld via een derde partij of een openbaar beschikbare bron), zullen wij de betrokkene zo snel mogelijk na het verzamelen/ontvangen van de gegevens alle informatie verstrekken die vereist is door de AVG. Wij zullen tevens controleren of de persoonsgegevens door de derde partij zijn verzameld in overeenstemming met de AVG en op een basis die onze voorgenomen verwerking van die persoonsgegevens mogelijk maakt.

6. DOELBEPERKING

Persoonsgegevens mogen alleen worden verzameld voor specifieke, expliciete en rechtmatige doeleinden. Ze mogen niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden.

We zullen persoonsgegevens niet gebruiken voor nieuwe, andere of onverenigbare doeleinden dan die welke werden vermeld toen de gegevens voor het eerst werden verkregen, tenzij we de betrokkene op de hoogte hebben gesteld van de nieuwe doeleinden en deze, indien nodig, toestemming heeft gegeven.

7. DATA MINIMALISATIE

Persoonsgegevens moeten adequaat, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt.

We verwerken persoonsgegevens alleen wanneer de uitvoering van onze werkzaamheden dit vereist. We kunnen persoonsgegevens om geen enkele andere reden verwerken die verband houdt met onze werkzaamheden.

We verzamelen alleen persoonsgegevens die nodig zijn voor de uitoefening van onze functie en zullen geen overbodige gegevens verzamelen. We zorgen ervoor dat alle verzamelde persoonsgegevens adequaat en relevant zijn voor de beoogde doeleinden.

Wij zorgen ervoor dat persoonsgegevens worden verwijderd of geanonimiseerd wanneer deze niet langer nodig zijn voor de beoogde doeleinden.

8. NAUWKEURIGHEID

Persoonsgegevens moeten juist zijn en, indien nodig, actueel worden gehouden. Onjuistheden moeten onmiddellijk worden gecorrigeerd of verwijderd.

Wij zorgen ervoor dat de persoonsgegevens die wij gebruiken en bewaren nauwkeurig, volledig, actueel en relevant zijn voor het doel waarvoor wij ze hebben verzameld. Wij controleren de juistheid van alle persoonsgegevens op het moment van verzameling en vervolgens met regelmatige tussenpozen. Wij nemen alle redelijke maatregelen om onjuiste of verouderde persoonsgegevens te vernietigen of te corrigeren.

9. BEPERKING VAN DE OPSLAG

Persoonsgegevens mogen niet langer in een identificeerbare vorm worden bewaard dan noodzakelijk is voor de doeleinden waarvoor de gegevens worden verwerkt.

We bewaren persoonsgegevens niet langer in een vorm die de identificatie van de betrokkene mogelijk maakt dan nodig is voor het rechtmatige zakelijke doel of de doelen waarvoor we de gegevens oorspronkelijk hebben verzameld, inclusief het voldoen aan wettelijke, boekhoudkundige of rapportageverplichtingen.

Het bedrijf hanteert bewaarbeleid en -procedures om ervoor te zorgen dat persoonsgegevens na een redelijke termijn worden verwijderd, tenzij de wet voorschrijft dat dergelijke gegevens gedurende een minimale periode bewaard moeten blijven.

Wij zullen alle redelijke stappen ondernemen om alle persoonsgegevens die wij niet langer nodig hebben, te vernietigen of uit onze systemen te verwijderen in overeenstemming met de toepasselijke bewaartermijnen en -beleidsregels van het bedrijf. Dit houdt ook in dat wij derden, indien van toepassing, verzoeken dergelijke gegevens te verwijderen.

We zorgen ervoor dat betrokkenen worden geïnformeerd over de periode waarin gegevens worden bewaard en hoe die periode wordt vastgesteld in de toepasselijke privacyverklaring of verklaring inzake eerlijke gegevensverwerking.

10. BEVEILIGING, INTEGRITEIT EN VERTROUWELIJKHEID

10.1 BESCHERMING VAN PERSOONSGEGEVENS

Persoonsgegevens moeten worden beveiligd door middel van passende technische en organisatorische maatregelen tegen ongeoorloofde of onrechtmatige verwerking, en tegen onopzettelijk verlies, vernietiging of beschadiging.

We zullen passende beveiligingsmaatregelen ontwikkelen, implementeren en onderhouden, afgestemd op onze omvang, reikwijdte en bedrijfsactiviteiten, onze beschikbare middelen, de hoeveelheid persoonsgegevens die we bezitten of namens anderen bewaren, en de geïdentificeerde risico's (inclusief het gebruik van encryptie en pseudonimisering waar van toepassing). We zullen de effectiviteit van deze beveiligingsmaatregelen regelmatig evalueren en testen om de veiligheid van onze verwerking van persoonsgegevens te waarborgen. Wij zijn verantwoordelijk voor de bescherming van de persoonsgegevens die wij bewaren. We zullen redelijke en passende beveiligingsmaatregelen treffen tegen onrechtmatige of ongeoorloofde verwerking van persoonsgegevens en tegen het per ongeluk verliezen van of beschadigen van persoonsgegevens. We zullen bijzondere zorg besteden aan de bescherming van gevoelige persoonsgegevens tegen verlies en ongeoorloofde toegang, gebruik of openbaarmaking.

We zullen beleid implementeren om de veiligheid van alle persoonsgegevens te waarborgen, vanaf het moment van verzameling tot het moment van vernietiging. We zullen persoonsgegevens alleen overdragen aan externe dienstverleners die ermee instemmen de vereiste beleidsregels en procedures na te leven en die, indien gevraagd, adequate maatregelen zullen treffen.

Wij zullen de gegevensbeveiliging waarborgen door de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens te beschermen, zoals hieronder gedefinieerd:

  1. Vertrouwelijkheid betekent dat alleen personen die de persoonsgegevens nodig hebben en daartoe bevoegd zijn, er toegang toe hebben.
  2. Integriteit betekent dat persoonsgegevens nauwkeurig zijn en geschikt voor het doel waarvoor ze worden verwerkt.
  3. Beschikbaarheid betekent dat geautoriseerde gebruikers toegang hebben tot de persoonsgegevens wanneer zij deze nodig hebben voor geautoriseerde doeleinden.

Wij zullen een informatietechnologiebeleid handhaven en naleven en geen pogingen ondernemen om de administratieve, fysieke en technische beveiligingsmaatregelen die wij in overeenstemming met de AVG en relevante normen implementeren en handhaven ter bescherming van persoonsgegevens te omzeilen.

10.2 MELDING VAN EEN INBREUK OP PERSOONSGEGEVENS

De AVG vereist dat gegevensverwerkers elke inbreuk op persoonsgegevens melden aan de bevoegde toezichthouder en, in bepaalde gevallen, aan de betrokkene.

We hebben de volgende procedure ingesteld om te reageren op vermoedelijke inbreuken op persoonsgegevens en zullen de betrokkenen of de relevante toezichthouder op de hoogte stellen wanneer we daartoe wettelijk verplicht zijn.

Als u weet of vermoedt dat er een datalek met persoonsgegevens heeft plaatsgevonden, probeer de zaak dan niet zelf te onderzoeken. Neem onmiddellijk contact op met de persoon of het team dat is aangewezen als contactpersoon voor datalekken met persoonsgegevens, namelijk de functionaris voor gegevensbescherming (DPO). U dient al het bewijsmateriaal met betrekking tot het mogelijke datalek te bewaren.

11. BEPERKING VAN OVERDRACHT

De AVG beperkt de overdracht van gegevens naar landen buiten de EER om ervoor te zorgen dat de gegevensbescherming die de AVG aan individuen biedt, niet wordt ondermijnd. U draagt persoonsgegevens die in het ene land zijn ontstaan over de grens wanneer u die gegevens verzendt, bekijkt of opent in of naar een ander land.

U mag persoonsgegevens alleen buiten de EER overdragen als aan een van de volgende voorwaarden is voldaan:

  1. De Europese Commissie heeft een besluit uitgevaardigd waarin wordt bevestigd dat het land waarnaar wij de persoonsgegevens overdragen een adequaat niveau van bescherming van de rechten en vrijheden van de betrokkenen waarborgt;
  2. Er zijn passende waarborgen getroffen, zoals bindende bedrijfsregels (BCR), standaardcontractbepalingen die zijn goedgekeurd door de Europese Commissie, een goedgekeurde gedragscode of een certificeringsmechanisme, waarvan een kopie kan worden verkregen bij de functionaris voor gegevensbescherming (DPO).;
  3. De betrokkene heeft uitdrukkelijke toestemming gegeven voor de voorgestelde overdracht nadat hij/zij op de hoogte is gesteld van eventuele risico's; of
  4. De overdracht is noodzakelijk om een van de andere redenen die in de AVG worden genoemd, waaronder de uitvoering van een overeenkomst tussen ons en de betrokkene, redenen van algemeen belang, het vaststellen, uitoefenen of verdedigen van rechtsvorderingen of het beschermen van de vitale belangen van de betrokkene wanneer de betrokkene fysiek of juridisch niet in staat is toestemming te geven en, in sommige beperkte gevallen, voor ons gerechtvaardigd belang.

12. RECHTEN EN VERZOEKEN VAN DE BETROKKENE

Betrokkenen hebben rechten met betrekking tot de manier waarop wij hun persoonsgegevens verwerken. Deze rechten omvatten onder andere:

  1. U kunt uw toestemming voor de verwerking op elk gewenst moment intrekken;
  2. Bepaalde informatie ontvangen over de verwerkingsactiviteiten van de gegevensbeheerder;
  3. Verzoek om inzage in hun persoonsgegevens die wij bewaren;
  4. Voorkom dat wij hun persoonsgegevens gebruiken voor direct marketingdoeleinden;
  5. U kunt ons verzoeken uw persoonsgegevens te wissen als deze niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld of verwerkt, of om onjuiste gegevens te corrigeren of onvolledige gegevens aan te vullen.;
  6. Beperk de verwerking in specifieke omstandigheden;
  7. Bezwaarprocedures die gerechtvaardigd zijn op basis van onze legitieme belangen of in het algemeen belang;
  8. Vraag een kopie aan van een overeenkomst op grond waarvan persoonsgegevens buiten de EER worden overgedragen;
  9. Bezwaar maken tegen beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, inclusief profilering (ADM);
  10. Voorkom verwerking die waarschijnlijk schade of leed zal veroorzaken aan de betrokkene of iemand anders;
  11. U wordt op de hoogte gesteld van een datalek met betrekking tot persoonsgegevens, wat waarschijnlijk een groot risico vormt voor uw rechten en vrijheden;
  12. Dien een klacht in bij de toezichthoudende autoriteit; en
  13. Onder bepaalde omstandigheden kunnen zij hun persoonsgegevens ontvangen of verzoeken om deze in een gestructureerd, gangbaar en machineleesbaar formaat aan een derde partij te laten overdragen.

We zullen de identiteit verifiëren van een persoon die gegevens opvraagt op grond van een van de hierboven genoemde rechten. We zullen niet toestaan dat derden ons ertoe bewegen persoonsgegevens openbaar te maken zonder de juiste toestemming.

We sturen elk verzoek van een betrokkene dat we ontvangen onmiddellijk door naar de functionaris voor gegevensbescherming (DPO) en volgen de procedure van het bedrijf voor de afhandeling van verzoeken van betrokkenen.

13. VERANTWOORDELIJKHEID

13.1

De verantwoordelijke voor de gegevensverwerking zal op effectieve wijze passende technische en organisatorische maatregelen treffen om de naleving van de beginselen van gegevensbescherming te waarborgen. De verantwoordelijke voor de gegevensverwerking is verantwoordelijk voor de naleving van de beginselen van gegevensbescherming en moet deze naleving kunnen aantonen.

Het bedrijf moet over voldoende middelen en controlemechanismen beschikken om de naleving van de AVG te waarborgen en te documenteren, waaronder:

  1. Het aanstellen van een gekwalificeerde functionaris voor gegevensbescherming (DPO) en een leidinggevende die verantwoordelijk is voor gegevensbescherming;
  2. Het implementeren van privacy by design bij de verwerking van persoonsgegevens en het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA's) wanneer de verwerking een hoog risico vormt voor de rechten en vrijheden van de betrokkenen;
  3. Het integreren van gegevensbescherming in interne documenten, waaronder deze privacyrichtlijn, gerelateerde beleidsdocumenten, privacyverklaringen of kennisgevingen over eerlijke gegevensverwerking;
  4. Het bedrijf moet het personeel regelmatig trainen op het gebied van de AVG, deze privacyrichtlijn, aanverwante beleidsregels en gegevensbescherming, waaronder bijvoorbeeld de rechten van de betrokkene, toestemming, wettelijke grondslag, DPIA en datalekken. Het bedrijf moet een register bijhouden van de trainingsdeelname van het personeel; en
  5. De geïmplementeerde privacymaatregelen regelmatig testen en periodieke controles en audits uitvoeren om de naleving te beoordelen, waarbij de testresultaten worden gebruikt om aan te tonen dat er inspanningen worden geleverd om de naleving te verbeteren.

13.2 REGISTRATIE

De AVG verplicht ons om volledige en nauwkeurige gegevens bij te houden van al onze gegevensverwerkingsactiviteiten.

Wij zullen nauwkeurige bedrijfsgegevens bijhouden en onderhouden die onze gegevensverwerking weerspiegelen, inclusief registraties van de toestemmingen van betrokkenen en procedures voor het verkrijgen van toestemmingen.

Deze gegevens moeten minimaal de naam en contactgegevens van de gegevensbeheerder en de functionaris voor gegevensbescherming (DPO) bevatten, duidelijke beschrijvingen van de soorten persoonsgegevens, de typen betrokkenen, de verwerkingsactiviteiten, de verwerkingsdoeleinden, de derde partijen die de persoonsgegevens ontvangen, de opslaglocaties van de persoonsgegevens, de overdracht van persoonsgegevens, de bewaartermijn van de persoonsgegevens en een beschrijving van de getroffen beveiligingsmaatregelen. Om dergelijke gegevens te creëren, worden datakaarten gemaakt die de hierboven beschreven details en de bijbehorende gegevensstromen moeten bevatten.

13.3 TRAINING EN AUDIT

Wij zijn verplicht ervoor te zorgen dat al het personeel van het bedrijf een adequate training heeft gevolgd om te voldoen aan de wetgeving inzake gegevensbescherming. We moeten onze systemen en processen ook regelmatig testen om de naleving te controleren.

Het personeel van het bedrijf zal alle verplichte trainingen met betrekking tot gegevensbescherming volgen.

Alle medewerkers van het bedrijf zullen regelmatig alle systemen en processen onder hun beheer evalueren om ervoor te zorgen dat deze voldoen aan deze privacyrichtlijn en controleren of er adequate beheersmaatregelen en -middelen aanwezig zijn om een correct gebruik en bescherming van persoonsgegevens te waarborgen.

13.4 PRIVACY BY DESIGN EN IMPACTBEOORDELING GEGEVENSBESCHERMING (DPIA)

Wij zijn verplicht om 'Privacy by Design'-maatregelen te implementeren bij de verwerking van persoonsgegevens. Dit houdt in dat we passende technische en organisatorische maatregelen (zoals pseudonimisering) op een effectieve manier toepassen om te zorgen dat de beginselen van gegevensbescherming worden nageleefd.

We zullen beoordelen welke 'Privacy by Design'-maatregelen kunnen worden geïmplementeerd in alle programma's/systemen/processen die persoonsgegevens verwerken, rekening houdend met het volgende:

  1. De stand van de techniek;
  2. De implementatiekosten;
  3. De aard, omvang, context en doeleinden van de verwerking; en
  4. De risico's van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van de betrokkene die voortvloeien uit de verwerking.

Gegevensverwerkers moeten ook DPIA's uitvoeren met betrekking tot risicovolle verwerkingen.

Wij voeren altijd een DPIA uit (en bespreken de bevindingen met de functionaris voor gegevensbescherming) bij de implementatie van grote systeem- of bedrijfsveranderingsprogramma's waarbij persoonsgegevens worden verwerkt, waaronder:

  1. Het gebruik van nieuwe technologieën (programma's, systemen of processen), of het wijzigen van technologieën (programma's, systemen of processen);
  2. Geautomatiseerde verwerking, inclusief profilering en ADM;
  3. Grootschalige verwerking van gevoelige gegevens; en
  4. Grootschalige, systematische monitoring van een openbaar toegankelijk gebied.

Een DPIA moet het volgende bevatten:

  1. Een beschrijving van de verwerking, de doeleinden ervan en, indien van toepassing, de rechtmatige belangen van de gegevensverwerker;
  2. Een beoordeling van de noodzaak en proportionaliteit van de verwerking in verhouding tot het doel ervan;
  3. Een beoordeling van het risico voor individuen; en
  4. De getroffen risicobeperkende maatregelen en het bewijs van naleving hiervan.

13.5 GEAUTOMATISEERDE VERWERKING (INCLUSIEF PROFILERING) EN GEAUTOMATISEERDE BESLUITVORMING

Over het algemeen is ADM verboden wanneer een besluit een juridisch of vergelijkbaar significant effect heeft op een individu, tenzij:

  1. Een betrokkene heeft uitdrukkelijk toestemming gegeven;
  2. De verwerking is wettelijk toegestaan; of
  3. De verwerking is noodzakelijk voor de uitvoering van of het aangaan van een contract.

Als bepaalde soorten gevoelige gegevens worden verwerkt, zijn gronden (b) of (c) niet toegestaan, maar dergelijke gevoelige gegevens kunnen wel worden verwerkt wanneer dit noodzakelijk is (tenzij minder ingrijpende middelen kunnen worden gebruikt) voor een zwaarwegend publiek belang, zoals fraudepreventie.

Indien een besluit uitsluitend gebaseerd is op geautomatiseerde verwerking (inclusief profilering), dan zullen betrokkenen bij het eerste contact met ons worden geïnformeerd over hun recht om bezwaar te maken. Dit recht zal expliciet onder hun aandacht worden gebracht en duidelijk en afzonderlijk van andere informatie worden gepresenteerd. Bovendien moeten passende maatregelen worden getroffen om de rechten en vrijheden en de rechtmatige belangen van de betrokkene te beschermen.

We zullen de betrokkene ook informeren over de logica die ten grondslag ligt aan de besluitvorming of profilering, de betekenis en de verwachte gevolgen, en de betrokkene het recht geven om menselijke tussenkomst te vragen, zijn of haar standpunt kenbaar te maken of de beslissing aan te vechten.

Voordat geautomatiseerde verwerking (inclusief profilering) of ADM-activiteiten worden uitgevoerd, moet een DPIA worden uitgevoerd.

13.6 DIRECTE MARKETING

Bij het benaderen van onze klanten met marketingactiviteiten zijn we gebonden aan bepaalde regels en privacywetten.

Zo kan bijvoorbeeld de voorafgaande toestemming van een betrokkene vereist zijn voor elektronische direct marketing (bijvoorbeeld via e-mail, sms of geautomatiseerde telefoontjes). De beperkte uitzondering voor bestaande klanten en contactpersonen, bekend als 'soft opt-in', stelt organisaties in staat om marketing-sms'jes of -e-mails te versturen als ze de contactgegevens in het kader van zakelijke contacten met die persoon hebben verkregen, ze vergelijkbare producten of diensten aanbieden en ze de persoon de mogelijkheid hebben geboden om zich af te melden voor marketing bij het eerste verzamelen van de gegevens en bij elk volgend bericht.

Het recht om bezwaar te maken tegen direct marketing wordt expliciet en op een begrijpelijke manier aan de betrokkene aangeboden, zodat het duidelijk te onderscheiden is van andere informatie.

Een bezwaar van een betrokkene tegen direct marketing wordt onmiddellijk gehonoreerd. Als een klant zich op enig moment afmeldt, worden zijn of haar gegevens zo snel mogelijk verwijderd. Verwijdering houdt in dat er net genoeg informatie wordt bewaard om ervoor te zorgen dat marketingvoorkeuren in de toekomst worden gerespecteerd.

13.7 DELEN VAN PERSOONSGEGEVENS

Over het algemeen mogen we persoonsgegevens niet met derden delen, tenzij er bepaalde waarborgen en contractuele afspraken zijn gemaakt.

We delen de persoonsgegevens die we bewaren alleen met een andere werknemer, agent of vertegenwoordiger van onze groep (waaronder onze dochterondernemingen en onze uiteindelijke houdstermaatschappij, inclusief haar dochterondernemingen) als de ontvanger de informatie nodig heeft voor zijn of haar werk en de overdracht voldoet aan eventuele toepasselijke beperkingen voor grensoverschrijdende gegevensoverdracht.

Wij delen de persoonsgegevens die wij bewaren alleen met derden, zoals onze dienstverleners, indien:

  1. Zij hebben de informatie nodig om de overeengekomen diensten te kunnen leveren;
  2. Het delen van de persoonsgegevens is in overeenstemming met de privacyverklaring die aan de betrokkene is verstrekt en, indien vereist, is de toestemming van de betrokkene verkregen;
  3. De derde partij heeft ermee ingestemd te voldoen aan de vereiste normen, beleidsregels en procedures voor gegevensbeveiliging en adequate beveiligingsmaatregelen te treffen;
  4. De overdracht voldoet aan alle toepasselijke beperkingen voor grensoverschrijdende overdrachten; en
  5. Er is een volledig ondertekend schriftelijk contract verkregen dat GDPR-goedgekeurde clausules met betrekking tot derden bevat.

14. WIJZIGINGEN IN DEZE PRIVACYSTANDAARD

Wij behouden ons het recht voor om deze privacyrichtlijnen te allen tijde zonder voorafgaande kennisgeving te wijzigen.

Deze privacyrichtlijn vervangt geen toepasselijke nationale wet- en regelgeving inzake gegevensbescherming in landen waar het bedrijf actief is.

Snelle links
Producten
Connectiviteit
Mededeling
Mobiliteit
Wolk
Beleid
Neem contact met ons op
info@sonabusiness.com
Sociale media
Website gemaakt door Social Sparrow
©2025 Sona Business, Alle rechten voorbehouden

Wolk

Privécloud
Virtuele privéserver
Toegewijde server

Mobiliteit

Berichten
Mobiele data
FMC

Mededeling

Teams Direct Routing
Cloud Contact Center
Spraakoplossingen
Virtueel nummer

Connectiviteit

SD-WAN
IP-transit
Datacentrum
Breedband