Heb je een vraag? Bel Mark 085 - 40 10 270

Privacy verklaring

Beleid voor Gegevensbescherming

2019

 

Inhoud

1.     Inleiding

2.     Context

3.     Beginselen en grondslagen voor verwerking van persoonsgegevens

Doelbinding en grondslagen

Rechtmatigheid, behoorlijkheid en transparantie

Minimale gegevensverwerking

Juistheid van de gegevens

Opslag en bewaartermijnen

Integriteit en vertrouwelijkheid

4.     Inbreuk in verband met persoonsgegevens (datalek)

Wat is een datalek?

Melden datalek.

5.     Rechten betrokkenen en informatieplicht

6.     Functionaris Gegevensbescherming

7.     Data Protection Impact Assessment (DPIA)

8.     Verwerkingen door derden

9.     Naleving

 

 

 

1.      Inleiding

In dit document wordt beschreven hoe WL Hospitality Group BV voldoet aan de Algemene Verordening Gegevensbescherming.

 

2.      Context

WL Hospitality Group BV is een Besloten Vennootschap die als doel heeft “Het adviseren, alsmede de bemiddeling en consultancy van bedrijven en organisaties op het gebied van het beleggen van bijeenkomsten op externe accomodaties in binnen- en buitenland”.

 

WL Hospitality Group BV  heeft personeel in dienst.

 

Indien nodig, dan besteedt WL Hospitality Group BV niet-kernactiviteiten uit aan een derde partij.

 

3.      Beginselen en grondslagen voor verwerking van persoonsgegevens

Doelbinding en grondslagen

Onze organisatie voert werkzaamheden uit in opdracht van haar klanten. De doelgroepen van WL Hospitality Group BV zijn bedrijven. WL Hospitality Group BV verwerkt in dit kader hoofdzakelijk gewone zakelijke persoonsgegevens in verband met het uitvoeren van een opdracht, waarbij een risico bestaat voor de rechten en vrijheden van betrokkenen.

 

Wij verwerken persoonsgegevens van onze klanten, omdat deze noodzakelijk zijn voor het uitvoeren van de dienstenovereenkomst. Voor deze persoonsgegevens zijn wij Verwerkingsverantwoordelijk.

 

Verder heeft WL Hospitality Group BV zelf personeel in dienst. In dit kader verwerken wij persoonsgegevens van ons eigen personeel en dat doen wij, omdat deze noodzakelijk zijn om te voldoen aan wettelijke verplichtingen.

 

 

Wij maken gebruik van externe software om de gegevens van de klant te verwerken. Deze gegevens worden opgeslagen bij of via de softwareleverancier. Voor deze verwerking is met deze softwareleveranciers een verwerkersovereenkomst afgesloten.

 

Rechtmatigheid, behoorlijkheid en transparantie

Welke persoonsgegevens wij verwerken hangt af van de diensten, die de klant bij ons afneemt, en de omstandigheden waarin de dienst wordt afgenomen.
Veelal gaat het om de volgende categorieën van persoonsgegevens:

·         Bedrijfsnaam

·         NAW-gegevens;

·         Geslacht;

·         Contactgegevens (e-mailadressen, telefoonnummers) en naam van contactpersonen;

·         Eventuele wensen van de klant;

·         Bankrekeningnummer

·         Gegevens over uw activiteiten op onze website, IP-adres, internetbrowser en apparaat type;

Alle verwerkingen van WL Hospitality Group BV zijn opgenomen in een verwerkingsregister.

 

Minimale gegevensverwerking 
WL Hospitality Group BV heeft zich beperkt tot de gegevens, die noodzakelijk zijn voor genoemde doeleinden. Deze gegevens mogen niet voor andere doeleinden worden gebruikt, tenzij de klant hiervoor schriftelijke toestemming heeft gegeven.

 

Juistheid van de gegevens
WL Hospitality Group BV zorgt dat de gegevens steeds actueel zijn gedurende de looptijd van de overeenkomst door de gegevens te toetsen bij een volgend klantcontact.

 

Opslag en bewaartermijnen

Wij bewaren NAW-gegevens en bereikbaarheidsgegevens in verband met het uitvoeren van de overeenkomst gedurende 5 jaar na de boeking.

Gegevens van de klant, die nodig zijn voor de afhandeling van de betaling, worden maximaal 7 jaar bewaard in verband met de belastingwet.

Gegevens van personeel bewaren wij conform de bewaartermijn van de arbeidswet.

 

 

 

Integriteit en vertrouwelijkheid

Om de integriteit en de vertrouwelijkheid van gegevens te waarborgen hebben wij de volgende organisatorische en technische maatregelen genomen:

·        Netwerkbeveiliging;

·        Scheiding van kantoornetwerk en netwerk van overige gebruikers;

·        Patchmanagement (automatisch updaten van besturingssysteem en software);

·        Virusscanner op iedere pc;

·        Behandelen van beveiligingsgebeurtenissen en -incidenten en periodieke analyse;

·        Clear desk en Clear screen;

·        Geheimhoudingsverklaring voor personeel;

·        Fysieke beveiliging en beveiliging van de omgeving van het kantoorpand;

·        Toegang op PC’s en applicaties (uniek accounts voor zover mogelijk);

·        Continue bewustzijn medewerkers;

·        Gebruik van een gecertificeerd papiervernietigingsbedrijf

4.       Inbreuk in verband met persoonsgegevens (datalek)

Alle beveiligingsincidenten moeten direct worden gedocumenteerd en bewijslast moet zeker worden gesteld. De beveiligingsincidenten worden geregistreerd in een incidentenregister.

 

Wat is een datalek?

Na een melding van een beveiligingsincident vindt direct een intern onderzoek plaats naar de oorzaak en de gevolgen van het incident. Tijdens het onderzoek zal worden vastgesteld of het beveiligingsincident een datalek betreft.

Een datalek is bijvoorbeeld:

·           Het verlies van een niet-versleutelde USB-stick;

·           Een verkeerd bezorgde brief, die is geopend;

·           Een gestolen laptop met niet-versleutelde gegevens;

·           Informatie op een bureau, die door onbevoegden wordt ingezien;

·           Een getekende machtiging van de klant in de openbare prullenbak.

 

 

 

De gevolgen van een datalek zijn tweeledig, namelijk:

·           De gevolgen van de inbreuk op de vertrouwelijkheid, de integriteit en/of de beschikbaarheid van gegevens zoals:

o    Onbevoegden hebben kennis kunnen nemen van de gegevens;

o    De gegevens kunnen op een onbehoorlijke of onrechtmatige manier worden misbruikt;

o    Er worden binnen de organisatie mogelijk onjuiste, onvolledige of achterhaalde persoonsgegevens gebruikt;

o    Er worden mogelijk onjuiste, onvolledige of achterhaalde persoonsgegevens hergebruikt voor andere doeleinden of doorgegeven aan andere organisaties;

o    Een essentiële dienst kan tijdelijk niet meer worden verleend aan de betrokkenen;

o    Een essentiële dienst kan permanent niet meer worden verleend aan de betrokkene.

·           De lichamelijke, materiële of immateriële schade voor de betrokkenen.

 

Melden datalek

Als uit het interne onderzoek blijkt dat het beveiligingsincident een datalek is met een risico voor de rechten en vrijheden van betrokkenen, dan meldt het privacy-aanspreekpunt de datalek aan de Autoriteit Persoonsgegevens. Deze melding vindt binnen 72 uur na constatering van het datalek plaats.
Bij een hoog risico voor de rechten en vrijheden van betrokkenen meldt het privacy-aanspreekpunt de datalek ook aan de betrokkenen zelf.

 

5.      Rechten betrokkenen en informatieplicht

Een betrokkene heeft recht op inzage, rectificatie of verwijdering van zijn persoonsgegevens die wij van hem/haar hebben (behoudens uiteraard indien dit eventuele wettelijke verplichtingen doorkruist). Verder kan een betrokkene bezwaar maken tegen de verwerking van zijn persoonsgegevens (of een deel hiervan) door ons of door een van onze verwerkers. Ook heeft betrokkene het recht de door hem verstrekte gegevens te laten overdragen door onze organisatie aan hemzelf of direct aan een andere gewenste partij.

 

Wij komen binnen één maand na ontvangst tegemoet aan het verzoek tot uitoefening van het recht.

 

Op onze website staat onze privacyverklaring, waarin wij onze klanten en andere betrokkenen informeren over welke gegevens wij vastleggen, waarom en hoe lang wij deze gegevens vastleggen, dat de betrokkene zijn rechten kan uitoefenen en waar hij een klacht kan indienen.

6.      Functionaris Gegevensbescherming

Onze organisatie heeft geen Functionaris Gegevensbescherming, omdat wij geen regelmatige of stelselmatige observatie op grote schaal van betrokkenen uitvoeren en ook geen grootschalige verwerking van bijzondere persoonsgegevens uitvoeren.
Wij verwerken alleen gewone zakelijke persoonsgegevens. Het eerste aanspreekpunt voor privacyaspecten bij onze organisatie is Erik Werners.
Daarnaast vinden wij het belangrijk om in voorkomende gevallen gebruik te maken van externe expertise op het gebied van de privacywetgeving.

 

7.      Data Protection Impact Assessment (DPIA)

Het behoort niet tot de kerntaken van WL Hospitality Group BV om:

·         systematische en uitgebreide beoordelingen van persoonlijke aspecten uit te voeren;

·         grootschalige verwerking van bijzondere categorieën van persoonsgegevens uit te voeren;

·         stelselmatige en grootschalige monitoring van openbare toegankelijke ruimten uit te voeren.

 

Op basis van bovenstaande heeft WL Hospitality Group BV besloten geen DPIA uit te voeren.

 

 

De categorieën persoonsgegevens die WL Hospitality Group BV vastlegt voor de uitvoering van een overeenkomst of om te voldoen aan wettelijke verplichtingen zijn gegevens met een risico voor de rechten en vrijheden van betrokkenen. Bij een inbreuk in verband met persoonsgegevens (datalek) kan dit mogelijk gevolgen hebben voor de persoonlijke levenssfeer van de betrokkenen.
De hier bedoelde mogelijke gevolgen kunnen bijvoorbeeld zijn:

·         Identiteitsdiefstal of -fraude;

·         Discriminatie;

·         Financiële verliezen;

·         Verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens;

·         Betrokkenen kunnen hun rechten en vrijheden niet uitoefenen;

·         Betrokkenen worden verhinderd controle over hun persoonsgegevens uit te oefenen.

 

Daarom vinden wij het belangrijk deze gegevens te beschermen met de eerder beschreven technische en organisatorische maatregelen.

 

8.      Verwerkingen door derden

WL Hospitality Group BV laat verwerkingen uitvoeren door een derde partij binnen de Europese Unie. Het betreft hier vooral opslag van data in de Cloud. Met elke verwerker zijn afspraken gemaakt over de verwerking.

 

 

 

9.      Naleving beleid en evaluatie privacy managementsysteem

Het naleven van dit beleid is een continu proces. De naleving van het beleid wordt minimaal 1x per jaar intern getoetst.

 

Daarnaast evalueren wij ons privacy managementsysteem als geheel. Hierbij stellen wij onszelf de volgende vragen:

·         Wat is er binnen en buiten mijn/ons bedrijf veranderd?

·         Wat betekent dat voor de vastlegging van persoonsgegevens?

·         Zijn de grondslag en doelen gewijzigd?

·         Past het beleid van gegevensbescherming nog bij de activiteiten van ons bedrijf?

·         Lopen wij inmiddels wel hoge privacyrisico’s of willen we nieuwe technieken voor het verwerken van persoonsgegevens in gebruik nemen en moet er dus alsnog een DPIA worden ingevuld?

·         Klopt het verwerkingsregister nog met de verwerkingen van ons bedrijf?

·         Zijn met alle Verwerkers Verwerkingsovereenkomsten afgesloten?

·         Is de privacyverklaring op de website nog actueel?

·         Zijn de technische en organisatorische maatregelen nog wel toereikend?

·         Zijn er inmiddels betere beveiligingstechnieken?