Privacy- en
beveiligingsbeleid

Inleiding

PIHR slaat persoonsgegevens van haar klanten op. Dat kunnen de gegevens van een ondernemer / eigenaar zijn, de bestuurder en gegevens van bij de cliënt werkzame medewerkers. De betrokken personen mogen er op vertrouwen dat PIHR  deze persoonsgegevens zorgvuldig en vertrouwelijk behandelt. Hiertoe worden wij ook verplicht door de wet- en regelgeving, met de name de Algemene Verordening Gegevensbescherming (AVG).

Dit beleid beschrijft hoe PIHR met privacy omgaat. Doel van dit beleid is om de organisatorische en technische maatregelen te nemen die in redelijkheid van PIHR verwacht mogen worden om te waarborgen dat zorgvuldig met de vastgelegde persoonsgegevens wordt omgegaan.

Grondslag en doel 

Persoonsgegevens worden voornamelijk verzameld en vastgelegd voor de facturering en / of het goed uitvoeren van de werkzaamheden die PIHR in opdracht van cliënten uitvoert en verder voor de naleving van eventuele wettelijke verplichtingen. Zie daarnaast ook het kopje ‘Website’ hierna. Tot slot kan PIHR persoonsgegevens langer dan strikt noodzakelijk bewaren indien dat wenselijk is in verband met onze aansprakelijkheidspositie (een zogenaamd ‘gerechtvaardigd belang’).

Bewaartermijnen 

Persoonsgegevens worden niet langer bewaard dan nodig is. Het gedurende een bepaalde periode bewaren van persoonsgegevens kan nodig zijn om ontvangen opdracht(en)/werkzaamheden goed te kunnen uitvoeren en / of om wettelijke verplichtingen te kunnen naleven (bijvoorbeeld in verband met de fiscale bewaarplicht).

Bij reguliere vaste cliënten blijven de contactgegevens en gegevens relevant voor de facturering in ons boekhoudsysteem staan, zolang het de verwachting is dat zij vaker diensten of producten bij PIHR zullen afnemen.

Tot slot bewaart PIHR persoonsgegevens van ex-cliënten voor zover en voor zo lang dat nodig is in verband met onze mogelijke aansprakelijkheidspositie.

Rechten van betrokkenen 

Op verzoek zal PIHR een betrokkene inzage geven in de persoonsgegevens die van hem / haar door ons zijn vastgelegd. In alle gevallen kunnen personen van PIHR vragen om onjuiste gegevens te corrigeren of de gegevens te verwijderen. Behoudens eventueel wettelijke verplichtingen zal PIHR dat dan ook op zo kort mogelijke termijn doen.

Beveiliging

PIHR heeft, rekening houdend met de gesignaleerde mogelijke risico’s, passende technische maatregelen getroffen om de verwerkingen van persoonsgegevens te beveiligen.

Ook organisatorisch heeft PIHR passende maatregelen genomen. Bij het opstarten van een computer worden de inlognaam en een wachtwoord ingevoerd. Ook vraagt bepaalde programmatuur om een inlognaam en wachtwoord. 

Melding incident persoonsgegevens (datalek)

Ondanks de getroffen maatregelen kan het gebeuren dat er zich een incident voordoet rond de  vastgelegde persoonsgegevens. Een datalek zal in bepaalde gevallen worden gemeld aan de Autoriteit Persoonsgegevens. Dit is aan de orde wanneer het lek leidt of kan leiden tot een aanzienlijke (kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het datalek zal daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor zijn of haar persoonlijke levenssfeer.

Uiteraard wordt een dergelijk incident grondig geëvalueerd en worden indien mogelijk nadere maatregelen genomen die herhaling van het incident zo goed mogelijk voorkomen.

PIHR legt inbreuken in verband met persoonsgegevens vast in een intern register.

Inschakelen derden

PIHR geeft  persoonsgegevens uitsluitend door aan (betrouwbaar te achten) derden wanneer dat wettelijke verplicht is, of omdat dit in het kader van de uitvoering van de opgedragen werkzaamheden noodzakelijk is en verder bijvoorbeeld indien dit nodig is voor de bedrijfsvoering; denk aan het verstrekken van gegevens aan de accountant. Met dergelijke derden worden schriftelijke afspraken gemaakt, waarin wordt overeengekomen dat ook deze derden zich houden aan de wet- en regelgeving. 

In geen geval zal PIHR de gegevens voor commerciële doeleinden aan derden verstrekken en ook niet aan ‘goede doelen.’

Wanneer PIHR  persoonsgegevens verwerkt in een online omgeving zal PIHR ook met de betreffende softwareleverancier de nodige afspraken maken. Onder meer zal PIHR vaststellen dat de betreffende partij de persoonsgegevens niet naar landen buiten de Europese Unie doorgeeft als die landen niet een privacybeschermingsniveau bieden dat minimaal gelijk is aan het niveau in Nederland.

Website

Op de website houdt PIHR gegevens bij over de bezoekersaantallen. Verder kunnen bezoekers van de website als ze een vraag hebben via het betreffende formulier contactgegevens achterlaten. 

PIHR zal de opgegeven contactgegevens uitsluitend gebruiken om contact op te kunnen nemen met de betreffende bezoeker.

De website van PIHR is voorzien van een SSL-certificaat en verder beveiligd met actuele software. 

Verwerkingsregister

Allerlei aspecten rond de diverse persoonsgegevens die onze organisatie verwerkt, worden door PIHR vastgelegd in een ‘verwerkingsregister van persoonsgegevens’. Hierin is in kaart gebracht welke categorieën persoonsgegevens van verschillende categorieën betrokkenen PIHR verwerkt om diverse redenen/ voor diverse doelen.

Doordat PIHR door middel van dit verwerkingsregister een goed beeld heeft van de vastleggingen / verwerkingen van alle persoonsgegevens heeft PIHR ook helder welke risico’s er rond de bescherming van die persoonsgegevens bestaan. Zo kan duidelijk worden bepaald en gemonitord of de technische en organisatorische maatregelen (nog) afdoende zijn c.q. of er nog aanvullende maatregelen moeten worden getroffen. 

Secundair doel van het verwerkingsregister is dat aan belanghebbenden (betrokkenen, verwerkingsverantwoordelijken, toezichthouders, etc.) verantwoording kan worden afgelegd over het adequaat omgaan met persoonsgegevens.