GDPR Provisions

PRIVACY VERKLARING / INFORMATIE ALGEMENE VERORDENING GEGEVENSBESCHERMING

Inhoudsopgave


Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Deze Europese wetgeving bepaald en beperkt de vrijheid van bedrijven en andere organisaties in hun gedrag rondom de vergaring, opslag en toekomstig gebruik van persoonsgegevens. Het betreffen hier dwingende rechten en plichten en wij zijn wij als bedrijf daarmee niet volledig vrij in het bepalen van onze gedragscode rondom persoonsgegevens. Deze pagina is daarmee niet enkel opgezet als juridische voorwaarden vanuit onze gedragscode, maar vooral ook als een informatiebron. Informatie voor jullie als onze Klanten en Personen waarvan de data op ons platform opgeslagen ligt. Hieronder lees je van een aantal belangrijke richtlijnen in de AVG hoe wij deze interpreteren, invullen en uitvoeren. Maar bovenal kun je hier ook terugvinden op welke manieren jij door ons in jouw rechten ondersteund wordt.


Partijen binnen de AVG

  • Data subject: dit is de natuurlijke persoon wiens persoonlijke gegevens het opslaan betreft. Het gaat hier om uitzendkrachten, consultants en ZZP-ers waarvan de opdrachten en bijbehorende uren en facturen worden beheerd op FlexForceMonkey.
  • Controller: dit is de rechtspersoon die persoonsdata vastlegt voor haar bedrijfsprocessen met het doel een overeenkomst met de data subject uit te kunnen voeren.
  • Processor: dit is de rechtspersoon die in opdracht van de controller een dienst of product levert en beheert met de doel persoonsgegevens te verwerken/bewerken.
  • Recipient: dit is de rechtspersoon / natuurlijk persoon die de persoonsgegevens ontvangt uit naam van de controller, via de processor.

FlexForceMonkey treedt in het hele proces rondom de persoonsgegevens van inleenkrachten en users op ons platform op als processor. Onze klanten bevinden zich in de rollen controller (bijvoorbeeld uitzendbureau’s, consultancies, brokers, etcetera) en recipient (inleners).


Persoonsgegevens moeten rechtmatig vastgelegd worden

Het is belangrijk om te beseffen dat persoonsgegevens enkel vastgelegd mogen worden voor een duidelijk doel. Dat doel moet dan ook nog eens helder afgestemd zijn tussen de Controller en de Data subject. Op dit punt moeten wij vertrouwen op het gedrag van onze klanten, de controllers. Zodra wij signalen krijgen over onrechtmatig opgeslagen data zullen wij direct een onderzoek instellen naar de betreffende controller. Hierbij zullen wij ook de Autoriteit Gegevensbescherming betrekken. Wij behouden ons het recht voor om eventuele vervolgacties te nemen zoals afsluiten van accounts en verwijderen van onrechtmatig verwerkte data, mocht ons onderzoek daartoe aanleiding geven.


Persoonsgegevens en hun bewaartermijn, direct- en vervolggebruik

Zodra persoonsgegevens rechtmatig op FlexForceMonkey zijn opgeslagen dienen wij er zorg voor te dragen dat deze beschermend worden behandeld. Hiervoor hebben wij verschillende maatregelen en richtlijnen in werking gesteld.

Wij slaan alle data op in de cloud omgevingen van Microsoft®. Met hun Azure platform bieden zij schaalbare technologie die wij volledig in jouw voordeel kunnen gebruiken. Het mooie van die techniek is dat die behoort tot de meest beveiligde omgevingen ter wereld met vele beschermingsprincipes die hier zijn na te lezen. Als klap op de vuurpijl staat één van hun datacenters ook nog eens gewoon in Amsterdam. Onze processen en data staan dus niet zomaar ergens, maar netjes binnen de EU, want in geval dat er in Amsterdam iets mis gaat schakelen we over naar de rekencapaciteit in Dublin. Beide locaties zijn AVG-gebied, dus daar hoeft niemand zich zorgen om te maken.

De data die wij opslaan en verwerken in opdracht van controllers wordt, zonder alternatieve afspraken in separate overeenkomsten, maximaal 7 jaar bewaard na laatste gebruik. Deze termijn klinkt lang, maar is gekozen in samenspel met de functie van ons platform. Wij hebben een auditeerbare functie in een commerciële transactie-keten met BTW gevoeligheden. Om die reden moet de data net zo lang beschikbaar blijven als binnen fiscale bewaartermijnen gangbaar is.

Alle data die beschikbaar is op FlexForceMonkey zetten wij in voor statistische analyses. Deze analyses gelden enkel voor algemene marktanalyse en/of om onze diensten te verbeteren. Alle data wordt hiervoor enkel volledig geanonimiseerd ingezet en bewaard.


Commerciële persoonsgegevens en persoonsgegevens voor bedrijfsvoering

Naast data die afkomstig is van Controllers die deze opslaan voor uitvoering van hun werk, ontvangen wij natuurlijk ook persoonsgegevens met het doel contact op te nemen in een commercieel traject. Het is natuurlijk verleidelijk om deze informatie door elkaar te laten lopen. Maar dat doen we dus niet:

  • Contactgegevens die wij met wederzijdse toestemming hebben verkregen in commercieel contact zijn zodanig vastgelegd dat wij zeker weten wanneer iemand die data heeft aangeleverd en voor welke uitingen we hem/haar mogen benaderen.
  • Contactgegevens van data subjecten in het kernproces van ons platform zullen wij nooit voor commerciële doeleinden inzetten, hier zullen wij enkel informatieve contactmomenten hebben die gaan over het gebruik van FlexForceMonkey.

Dit verschil is ook logisch, want als je even terugkijkt naar de bepaling over “verschillende rollen volgens de AVG”, is duidelijk dat FlexForceMonkey in geval van commercie de pet van Controller op zet, terwijl wij in geval van onze kernprocessen altijd Processor zijn.

Die commerciële uitingen doen wij enkel via email. In ieder contactmoment zal ook duidelijk uitgelegd staan hoe je jouw eigen informatie uit ons systeem kunt halen en niet meer benaderd wordt. In dat geval geldt de eerder benoemde bewaartermijn natuurlijk niet, maar gaan we naar het recht om direct ‘vergeten’ te worden.


Recht op inzage van data, correctie van data, vergeten worden en data portabiliteit

Het is een belangrijk recht dat jij als data subject ten allen tijden de macht hebt om in te grijpen op jouw persoonsgegevens. Daarom hebben wij duidelijk gekeken naar de bijbehorende rechten op inzage van data, correctie van data, het recht op vergeten worden en jouw recht op data portabiliteit.

Inzage van data is in het geval van users eenvoudig: alles wat er over jou is opgeslagen staat in je profiel dus kun je op ieder moment bekijken. Wanneer je als inleenkracht bent geregistreerd op FlexForceMonkey door een controller waarmee jij een contract hebt (zoals je uitzendbureau of werkgever binnen consultancy), kun jij aan die controller een overzicht van geregistreerde data opvragen. De verantwoordelijke beheerder kan dan via ons de data ophalen.

Het recht op correctie van data en vergeten worden kan op twee manieren uitgevoerd worden:

  • Door contact op te nemen met de processor waarmee jij de overeenkomst hebt die ertoe heeft geleid dat jouw data op FlexForceMonkey staat als inleenkracht of user.
  • Door binnen jouw user profiel de daarvoor beschikbare knoppen te gebruiken. Deze knoppen leiden tot een geverifieerd bericht op onze servicedesk die hiermee direct de gevraagde actie zullen uitvoeren.

Het kan natuurlijk wel zijn dat het uitoefenen van deze rechten leidt tot het niet meer kunnen uitvoeren van taken die in het proces nodig zijn. De gevolgen hiervan kunnen natuurlijk nooit de verantwoordelijkheid van FlexForceMonkey zijn, ondanks dat we ze zoveel mogelijk zullen proberen te beperken.

Het recht op data portabiliteit betekent dat je de gegevens die over jou zijn opgeslagen moet kunnen krijgen in een digitaal bestand dat bij een andere dienstverlener aangeboden moet kunnen worden om in te lezen. Ook hiervoor is een knop beschikbaar in het gebruikersprofiel om dit overzicht aan te vragen. Wanneer je dit als inleenkracht zonder eigen user ID wil doen, moet je dit opvragen bij jouw verantwoordelijke controller.

Voor al deze diensten zijn wij gerechtigd om een financiële vergoeding te vragen. Iets waar we naar streven dit niet te hoeven doen omdat wij de rechten en plichten rondom privacy een groot goed vinden. Echter wanneer we herhaald moeten voldoen aan dezelfde verzoeken behouden wij het recht voor alsnog een financiële vergoeding in te stellen. Wij zullen de gevallen waar dat speelt altijd vooraf op de hoogte brengen.


Wat zijn data lekken

Het is bepaald dat iedere vorm waarin persoonsdata onbedoeld beschikbaar komt voor derden, en iedere vorm waarin data onbruikbaar wordt voor de bedoelde controller of processor van de persoonsdata, wordt aangemerkt als data lekkage. Dit gaat dus verder dan enkel een criminele en doelgerichte inbreuk op de applicatie maar geld in alle onderstaande gevallen:

  • Onbedoelde inbreuk doordat iemand data op het scherm zichtbaar heeft laten staan terwijl de persoon is weggelopen van zijn/haar werkstation.
  • Een opslagmedium wordt onherstelbaar beschadigt of raakt kwijt door wat voor reden dan ook en een backup is niet beschikbaar.
  • Een gebruikersaccount slingert rond op een papiertje inclusief wachtwoord.
  • Een mobiel apparaat raakt zoek en via dat apparaat zou toegang tot de applicatie verkregen kunnen worden.
  • Een lijst met contactgegevens wordt anders opgeslagen dan is kenbaar gemaakt in deze privacy verklaring of onze algemene voorwaarden.
  • Een derde verschaft zichzelf willens en wetens illegaal toegang tot de applicatie.

Privacy by Design & Privacy by Default

Een belangrijk criterium in de AVG is het uitgangspunt van Privacy by Design & Privacy by Default. Wij geloven enorm in de combinatie van deze richtlijnen.

  • Privacy by Design: bij het ontwerpen van een proces en softwareapplicatie moet rekening worden gehouden met het uitgangspunt dat je zo min mogelijk persoonsgegevens nodig hebt om het proces te laten werken.
  • Privacy by Default: bij gebruik van een proces en softwareapplicatie moet je kritisch zijn welke informatie je werkelijk vastlegt en welke informatie je als gebruiker gecodeerd (en dus onbegrijpelijk voor anderen) en/of geanonimiseerd vastlegt.

Wij zien het als onze verantwoordelijkheid om in het design van FlexForceMonkey continu kritisch te zijn in de gegevens die we verlangen. Daarnaast adviseren wij onze klanten in het gebruik ook hun rol te nemen en daar waar mogelijk de data niet werkelijk vast te leggen. Zoals een geboortedatum als verplicht veld vullen met een vaste dummywaarde voor alle flexkrachten wanneer je deze niet werkelijk nodig hebt als cao-gegeven.


Geheimhouding van alle betrokken medewerkers

Wij zorgen ervoor dat alle mensen die iets met FlexForceMonkey te maken hebben, en al helemaal diegenen die toegang tot jouw data hebben in geval van beheer, een getekende geheimhouding hebben met afdwingbaar boetebeding.


Recht op onze best effort in bescherming

Van een softwarebedrijf dat jouw persoonsgegevens en jouw privacy serieus neemt, mag je verwachten dat er niet alleen rechten en plichten zijn rondom de transparantie van data, maar dat er ook alles aan gedaan wordt dat de data niet op straat komt te liggen.

Hiertoe hebben wij verschillende maatregelen in onze software genomen:

  • Encrypted databases zorgen ervoor dat je data niet in een regulier leesbaar formaat ligt opgeslagen maar dat deze versleuteld zijn. Iemand die inbreekt op onze database moet ook nog eens de versleutelingscode kennen, de deur zit dus zeg maar “dubbel op slot”.
  • De zwakste schakel zijn de inlogcodes van onze gebruikers. Dus hebben we gezorgd dat een gebruiker nog steeds maar toegang heeft tot een beperkt stukje data. We schermen data tussen relaties niet enkel van de buitenwereld af met een functionele muur, maar ook een technische. Wanneer iemand inbreekt via een user ID ligt dus niet meteen de hele database op straat maar gelden nog steeds de beperking van de vorig bullit op alle data van andere gebruikers.
  • Een strategisch partnership met Microsoft Azure zorgt ervoor dat we alle nieuwe ontwikkelingen op het gebied van beveiliging direct kunnen benutten in ons platform.

Naast softwarematige elementen werken wij ook continu aan het gedrag van onze mensen en bestaan er interne richtlijnen in het gebruik van mobiele apparaten, backups van werkdocumenten naar de cloud en inlogcodes op alle apparatuur waar persoonsgegevens mee verwerkt worden.


Data register FlexForceMonkey

In bijgevoegd bestand is de laatste versie beschikbaar van het data registratie register zoals de data op FlexForceMonkey worden vastgelegd.


Algemene voorwaarden als verwerkersovereenkomst

Binnen artikel 10 van onze algemene voorwaarden zijn de benodigde elementen voor een sluitende verwerkersovereenkomst opgenomen. Wanneer jullie interne procedures eisen dat er een getekende versie van een verwerkersovereenkomst beschikbaar is, kun je contact opnemen met onze Data Protection Officer.


Calamiteitenplan data lekkage

Intern hebben wij een duidelijke procedure vastgelegd rondom mogelijke data lekkages. Dee procedure kan natuurlijk vanuit verschillende aanleidingen starten. Zo kan onze hulp benodigd zijn voor behandeling van een datalek bij een gebruiker van ons platform, er kan een datalek bij ons intern worden vastgesteld of er kan een opmerkzaam gebruiken een door ons nog onopgemerkt lek bij ons melden.

In alle gevallen start voor iedereen buiten FlexForceMonkey die procedure met één simpele stap: contact zoeken met de Data Protection Officer.


Data Protection Officer

Binnen FlexForceMonkey is een Data Protection Officer aangesteld die eindverantwoordelijk is voor ons gedrag rondom jouw privacy.

Voor vragen en verdere uitvoering van rechten kun je direct contact opnemen:

Doede van Haperen

doede.van.haperen@flexforcemonkey.com

FlexForceMonkey newsletter
×

Stay up to date? Register now for our newsletter!

Go to form