BELEIDSDOCUMENT PRIVACY
Theseus Advies B.V., versie 2.2, 1 oktober 2021
Definities
Theseus Theseus Advies B.V.;
Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’);
Betrokkene Een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een indicator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of één of meer kenmerken die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Verwerken Het verwerken van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, afschermen, wissen of vernietigen van gegevens;
Relevantie en toepassingsgebied
Theseus ondersteunt opdrachtgevers (ondernemers, leidinggevenden) en hun medewerkers op basis van een overeenkomst van opdracht (“de onderliggende opdracht”) bij management- en ontwikkelingsvraagstukken. De onderliggende opdracht kan bestaan uit training, coaching en het ondersteunen bij management- en organisatievraagstukken.
Theseus verwerkt persoonsgegevens bij de uitvoering van de onderliggende opdracht. Dit betreft:
- Klantgegevens, zoals
- Naam, adres, woonplaats van de klant.
- Naam, telefoonnummer, emailadres contactpersoon.
- Gegevens van relaties (andere dienstverleners met wie wordt samengewerkt of die worden ingeschakeld), zoals
- Naam, adres, woonplaats van de relatie.
- Naam, telefoonnummer, emailadres contactpersoon.
- Gegevens van derden, zoals
- Naam en contactgegevens van werknemers van de klant in het kader van coaching of organisatievraagstukken.
De rechtsgronden voor de verwerking van persoonsgegevens
De rechtsgrond voor verwerking van persoonsgegevens is:
- M.b.t. klantgegevens: noodzakelijk voor de uitvoering van de overeenkomst.
- M.b.t. gegevens van relaties: toestemming
- M.b.t. gegevens van derden: noodzakelijk voor de uitvoering van de overeenkomst en/of de behartiging van de gerechtvaardigde belangen van de klant.
Rechten betrokkenen
Theseus informeert klanten en derden omtrent de verwerking van de persoonsgegevens en vraagt toestemming voor de verwerking van de gegevens van relaties.
De betrokkenen hebben verder het recht van inzage, rectificatie, wissing (onder meer wanneer de gegevens niet meer nodig zijn voor de onderliggende opdracht), beperking van de verwerking en overdraagbaarheid, e.e.a. conform de art. 13 t/m 20 AVG.
Uitgangspunten
Het uitgangspunt is dat Theseus persoonsgegevens uitsluitend verwerkt aan de uitvoering van de onderliggende opdracht. In die lijn zal Theseus:
- Niet meer persoonsgegevens verwerken dan noodzakelijk is in het kader van de uitvoering van de onderliggende opdracht.
- Onjuiste gegevens verwijderen of rectificeren.
- De bewaring van de gegevens beperken (zie hierna onder beveiligingsmaatregelen)
Gegevensmatrix
Theseus heeft een gegevensmatrix opgesteld waarin wordt aangegeven welke persoonsgegevens worden verwerkt. Deze gegevensmatrix is op verzoek beschikbaar. De matrix wordt regelmatig (minimaal 1 keer per jaar) getoetst en aangevuld.
Data Protection Impact Assessment (DPIA)
Theseus baseert haar besluit om geen DPIA uit te voeren als volgt:
- Theseus beoordeelt geen mensen op basis van persoonskenmerken
- Theseus neemt geen geautomatiseerde beslissingen (op basis van gegevens)
- Theseus voert geen stelselmatige en grootschalige monitoring uit
- Theseus verwerkt geen gevoelige gegevens
- Theseus voert geen grootschalige gegevensverwerking uit
- Theseus beschikt niet over een gegevensdatabase die gekoppeld is met andere databases
- Theseus maakt geen gebruik van nieuwe technologieën waarbij sprake is van nieuwe manieren om gegevens te verzamelen en te gebruiken
- Er is geen sprake van mogelijke blokkeringen van een recht, dienst of contract op basis persoonsgegevens
Daarnaast spelen de overwegingen dat
- Het verdien-/bedrijfsmodel van Theseus niet is gericht op het verwerken van persoonsgegevens
- Het streven is om het verwerken van persoonsgegevens tot een minimum te beperken
Beveiligingsmaatregelen
Organisatorische maatregelen
- In geval van interim werkzaamheden worden gegevens beheerd en bewerkt middels de systemen van de opdrachtgever;
- Aan voor Theseus werkzame personen is en wordt geheimhouding opgelegd;
- Gegevens worden niet langer bewaard dan nodig:
- persoonsgegevens met betrekking tot een specifieke opdracht worden na 6 maanden na afronding van de onderliggende opdracht verwijderd;
- algemene gegevens (NAW, contactpersoon en –gegevens) worden na 5 jaar na afronding van de laatste opdracht verwijderd.
- In de algemene voorwaarden bevestigen we dat de opdrachtgever verantwoordelijk is voor archivering. De klant slaat de relevante data op – Theseus is daarvoor niet verantwoordelijk;
- De managing partners zijn ieder voor zich verantwoordelijk voor de verwerking van persoonsgegevens in de door hen uitgevoerde opdrachten. Gezamenlijk zijn zij verantwoordelijk voor het privacy beleid;
- Privacy vormt een terugkerend thema op de overlegagenda.
Procedurele maatregelen
- Data op lokale schijven betreffen geen persoonsgegevens. Overige data (bedrijfsgegevens) worden maximaal 12 uur op lokale schijven bewaard, ten behoeve van de mobiele beschikbaarheid op de betreffende werkdag;
- Een actieve VPN-verbinding noch de toegang tot gegevens worden onbeheerd achtergelaten. De screen lock tool wordt gebruikt, zodat onbevoegden geen toegang of inzage hebben;
- Datalekken worden gedocumenteerd wanneer ze zich voordoen en gemeld indien de AVG daartoe verplicht.
Technische maatregelen
- Gegevens worden ‘in de cloud’ opgeslagen en bewerkt. Met de verwerkers TNS IT en [HLB] Kluwer zijn verwerkingsovereenkomsten van toepassing;
- Voor- en achternamen, in combinatie met telefoonnummers en privé mailadressen worden bewaard in de TNS-IT omgeving (Outlook) – niet op de SIM-kaarten van mobiele communicatie-apparatuur.
Verwerkers
TNS IT, opslag gegevens & verwerking gegevens middels Office applicaties. Verwerkingsovereenkomst ondertekend 18 05 22
HLB [nader te beschrijven]
De verwerkersovereenkomst met TNS IT is op verzoek in te zien.
Theseus baseert haar keuze voor TNS IT als verwerker van gegevens waarvoor Theseus verwerkingsverantwoordelijke is op een beoordeling van de veiligheids- en privacy maatregelen die TNS IT biedt. In een kort overzicht:
- De Security Flow en de Data Center Layout – deze documenten zijn op verzoek in te zien;
- Toegang tot het VPN-netwerk vindt plaats middels 2-Step verificatie;
- Voor elke bewerking wordt een beveiligde (encrypted) VPN-verbinding opgezet
- TNS-IT heeft haar veiligheids- en privacymaatregelen gecertificeerd
- Borg 4 klasse beveiliging
- NEN 7510 informatiebeveiliging (t.b.v. de zorg)
- ISO/IEC 27001 informatiebeveiliging
- ISO 9001 kwaliteitsmanagement
Daarnaast heeft Theseus in haar keuze voor TNS IT meegewogen dat de data op een door haar traceerbare en controleerbare locatie in Nederland worden verwerkt en dat – in geval van calamiteiten – de bereikbaarheid en servicegraad hoog zijn.