Bepalingen AVG
PRIVACY VERKLARING / INFORMATIE ALGEMENE VERORDENING GEGEVENSBESCHERMING
Inhoudsopgave
- Partijen binnen de AVG
- Persoonsgegevens moeten rechtmatig vastgelegd worden
- Persoonsgegevens en hun bewaartermijn, direct- en vervolggebruik
- Commerciële persoonsgegevens en persoonsgegevens voor bedrijfsvoering
- Recht op inzage van data, correctie van data, vergeten worden en data portabiliteit
- Wat zijn data lekken
- Privacy by Design & Privacy by Default
- Geheimhouding van alle betrokken medewerkers
- Recht op onze best effort in bescherming
- Data register FlexForceMonkey
- Algemene voorwaarden als verwerkersovereenkomst
- Calamiteitenplan data lekkage
- Data Protection Officer
Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Deze Europese wetgeving
bepaald en beperkt de vrijheid van bedrijven en andere organisaties in hun gedrag rondom de vergaring, opslag en
toekomstig gebruik van persoonsgegevens. Het betreffen hier dwingende rechten en plichten en wij zijn wij als
bedrijf daarmee niet volledig vrij in het bepalen van onze gedragscode rondom persoonsgegevens. Deze pagina is
daarmee niet enkel opgezet als juridische voorwaarden vanuit onze gedragscode, maar vooral ook als een
informatiebron. Informatie voor jullie als onze Klanten en Personen waarvan de data op ons platform opgeslagen
ligt. Hieronder lees je van een aantal belangrijke richtlijnen in de AVG hoe wij deze interpreteren, invullen en
uitvoeren. Maar bovenal kun je hier ook terugvinden op welke manieren jij door ons in jouw rechten ondersteund
wordt.
Partijen binnen de AVG
- Data subject: dit is de natuurlijke persoon wiens persoonlijke gegevens het opslaan betreft. Het gaat
hier om uitzendkrachten, consultants en ZZP-ers waarvan de opdrachten en bijbehorende uren en facturen
worden beheerd op FlexForceMonkey. - Controller: dit is de rechtspersoon die persoonsdata vastlegt voor haar bedrijfsprocessen met het doel
een overeenkomst met de data subject uit te kunnen voeren. - Processor: dit is de rechtspersoon die in opdracht van de controller een dienst of product levert en
beheert met de doel persoonsgegevens te verwerken/bewerken. - Recipient: dit is de rechtspersoon / natuurlijk persoon die de persoonsgegevens ontvangt uit naam van de
controller, via de processor.
FlexForceMonkey treedt in het hele proces rondom de persoonsgegevens van inleenkrachten en users op ons platform
op als processor. Onze klanten bevinden zich in de rollen controller (bijvoorbeeld uitzendbureau’s,
consultancies, brokers, etcetera) en recipient (inleners).
Persoonsgegevens moeten rechtmatig vastgelegd worden
Het is belangrijk om te beseffen dat persoonsgegevens enkel vastgelegd mogen worden voor een duidelijk doel. Dat
doel moet dan ook nog eens helder afgestemd zijn tussen de Controller en de Data subject. Op dit punt moeten wij
vertrouwen op het gedrag van onze klanten, de controllers. Zodra wij signalen krijgen over onrechtmatig
opgeslagen data zullen wij direct een onderzoek instellen naar de betreffende controller. Hierbij zullen wij ook
de Autoriteit Gegevensbescherming betrekken. Wij behouden ons het recht voor om eventuele vervolgacties te nemen
zoals afsluiten van accounts en verwijderen van onrechtmatig verwerkte data, mocht ons onderzoek daartoe
aanleiding geven.
Persoonsgegevens en hun bewaartermijn, direct- en vervolggebruik
Zodra persoonsgegevens rechtmatig op FlexForceMonkey zijn opgeslagen dienen wij er zorg voor te dragen dat deze
beschermend worden behandeld. Hiervoor hebben wij verschillende maatregelen en richtlijnen in werking gesteld.
Wij slaan alle data op in de cloud omgevingen van Microsoft®. Met hun Azure platform bieden zij schaalbare technologie die
wij volledig in jouw voordeel kunnen gebruiken. Het mooie van die techniek is dat die behoort tot de meest
beveiligde omgevingen ter wereld met vele beschermingsprincipes die hier zijn na te lezen. Als klap op de
vuurpijl staat één van hun datacenters ook nog eens gewoon in Amsterdam. Onze processen en data staan dus niet
zomaar ergens, maar netjes binnen de EU, want in geval dat er in Amsterdam iets mis gaat schakelen we over naar
de rekencapaciteit in Dublin. Beide locaties zijn AVG-gebied, dus daar hoeft niemand zich zorgen om te maken.
De data die wij opslaan en verwerken in opdracht van controllers wordt, zonder alternatieve afspraken in
separate overeenkomsten, maximaal 7 jaar bewaard na laatste gebruik. Deze termijn klinkt lang, maar is gekozen
in samenspel met de functie van ons platform. Wij hebben een auditeerbare functie in een commerciële
transactie-keten met BTW gevoeligheden. Om die reden moet de data net zo lang beschikbaar blijven als binnen
fiscale bewaartermijnen gangbaar is.
Alle data die beschikbaar is op FlexForceMonkey zetten wij in voor statistische analyses. Deze analyses gelden
enkel voor algemene marktanalyse en/of om onze diensten te verbeteren. Alle data wordt hiervoor enkel volledig
geanonimiseerd ingezet en bewaard.
Commerciële persoonsgegevens en persoonsgegevens voor
bedrijfsvoering
Naast data die afkomstig is van Controllers die deze opslaan voor uitvoering van hun werk, ontvangen wij
natuurlijk ook persoonsgegevens met het doel contact op te nemen in een commercieel traject. Het is natuurlijk
verleidelijk om deze informatie door elkaar te laten lopen. Maar dat doen we dus niet:
- Contactgegevens die wij met wederzijdse toestemming hebben verkregen in commercieel contact zijn zodanig
vastgelegd dat wij zeker weten wanneer iemand die data heeft aangeleverd en voor welke uitingen we
hem/haar mogen benaderen. - Contactgegevens van data subjecten in het kernproces van ons platform zullen wij nooit voor commerciële
doeleinden inzetten, hier zullen wij enkel informatieve contactmomenten hebben die gaan over het gebruik
van FlexForceMonkey.
Dit verschil is ook logisch, want als je even terugkijkt naar de bepaling over “verschillende rollen volgens de
AVG”, is duidelijk dat FlexForceMonkey in geval van commercie de pet van Controller op zet, terwijl wij in geval
van onze kernprocessen altijd Processor zijn.
Die commerciële uitingen doen wij enkel via email. In ieder contactmoment zal ook duidelijk uitgelegd staan hoe
je jouw eigen informatie uit ons systeem kunt halen en niet meer benaderd wordt. In dat geval geldt de eerder
benoemde bewaartermijn natuurlijk niet, maar gaan we naar het recht om direct ‘vergeten’ te worden.
Recht op inzage van data, correctie van data, vergeten worden en data
portabiliteit
Het is een belangrijk recht dat jij als data subject ten allen tijden de macht hebt om in te grijpen op jouw
persoonsgegevens. Daarom hebben wij duidelijk gekeken naar de bijbehorende rechten op inzage van data, correctie
van data, het recht op vergeten worden en jouw recht op data portabiliteit.
Inzage van data is in het geval van users eenvoudig: alles wat er over jou is opgeslagen staat in je profiel dus
kun je op ieder moment bekijken. Wanneer je als inleenkracht bent geregistreerd op FlexForceMonkey door een
controller waarmee jij een contract hebt (zoals je uitzendbureau of werkgever binnen consultancy), kun jij aan
die controller een overzicht van geregistreerde data opvragen. De verantwoordelijke beheerder kan dan via ons de
data ophalen.
Het recht op correctie van data en vergeten worden kan op twee manieren uitgevoerd worden:
- Door contact op te nemen met de processor waarmee jij de overeenkomst hebt die ertoe heeft geleid dat
jouw data op FlexForceMonkey staat als inleenkracht of user. - Door binnen jouw user profiel de daarvoor beschikbare knoppen te gebruiken. Deze knoppen leiden tot een
geverifieerd bericht op onze servicedesk die hiermee direct de gevraagde actie zullen uitvoeren.
Het kan natuurlijk wel zijn dat het uitoefenen van deze rechten leidt tot het niet meer kunnen uitvoeren van
taken die in het proces nodig zijn. De gevolgen hiervan kunnen natuurlijk nooit de verantwoordelijkheid van
FlexForceMonkey zijn, ondanks dat we ze zoveel mogelijk zullen proberen te beperken.
Het recht op data portabiliteit betekent dat je de gegevens die over jou zijn opgeslagen moet kunnen krijgen in
een digitaal bestand dat bij een andere dienstverlener aangeboden moet kunnen worden om in te lezen. Ook
hiervoor is een knop beschikbaar in het gebruikersprofiel om dit overzicht aan te vragen. Wanneer je dit als
inleenkracht zonder eigen user ID wil doen, moet je dit opvragen bij jouw verantwoordelijke controller.
Voor al deze diensten zijn wij gerechtigd om een financiële vergoeding te vragen. Iets waar we naar streven dit
niet te hoeven doen omdat wij de rechten en plichten rondom privacy een groot goed vinden. Echter wanneer we
herhaald moeten voldoen aan dezelfde verzoeken behouden wij het recht voor alsnog een financiële vergoeding in
te stellen. Wij zullen de gevallen waar dat speelt altijd vooraf op de hoogte brengen.
Wat zijn data lekken
Het is bepaald dat iedere vorm waarin persoonsdata onbedoeld beschikbaar komt voor derden, en iedere vorm waarin
data onbruikbaar wordt voor de bedoelde controller of processor van de persoonsdata, wordt aangemerkt als data
lekkage. Dit gaat dus verder dan enkel een criminele en doelgerichte inbreuk op de applicatie maar geld in alle
onderstaande gevallen:
- Onbedoelde inbreuk doordat iemand data op het scherm zichtbaar heeft laten staan terwijl de persoon is
weggelopen van zijn/haar werkstation. - Een opslagmedium wordt onherstelbaar beschadigt of raakt kwijt door wat voor reden dan ook en een backup
is niet beschikbaar. - Een gebruikersaccount slingert rond op een papiertje inclusief wachtwoord.
- Een mobiel apparaat raakt zoek en via dat apparaat zou toegang tot de applicatie verkregen kunnen
worden. - Een lijst met contactgegevens wordt anders opgeslagen dan is kenbaar gemaakt in deze privacy verklaring
of onze algemene voorwaarden. - Een derde verschaft zichzelf willens en wetens illegaal toegang tot de applicatie.
Privacy by Design & Privacy by Default
Een belangrijk criterium in de AVG is het uitgangspunt van Privacy by Design & Privacy by Default. Wij
geloven enorm in de combinatie van deze richtlijnen.
- Privacy by Design: bij het ontwerpen van een proces en softwareapplicatie moet rekening worden gehouden
met het uitgangspunt dat je zo min mogelijk persoonsgegevens nodig hebt om het proces te laten werken. - Privacy by Default: bij gebruik van een proces en softwareapplicatie moet je kritisch zijn welke
informatie je werkelijk vastlegt en welke informatie je als gebruiker gecodeerd (en dus onbegrijpelijk
voor anderen) en/of geanonimiseerd vastlegt.
Wij zien het als onze verantwoordelijkheid om in het design van FlexForceMonkey continu kritisch te zijn in de
gegevens die we verlangen. Daarnaast adviseren wij onze klanten in het gebruik ook hun rol te nemen en daar waar
mogelijk de data niet werkelijk vast te leggen. Zoals een geboortedatum als verplicht veld vullen met een vaste
dummywaarde voor alle flexkrachten wanneer je deze niet werkelijk nodig hebt als cao-gegeven.
Geheimhouding van alle betrokken medewerkers
Wij zorgen ervoor dat alle mensen die iets met FlexForceMonkey te maken hebben, en al helemaal diegenen die
toegang tot jouw data hebben in geval van beheer, een getekende geheimhouding hebben met afdwingbaar
boetebeding.
Recht op onze best effort in bescherming
Van een softwarebedrijf dat jouw persoonsgegevens en jouw privacy serieus neemt, mag je verwachten dat er niet
alleen rechten en plichten zijn rondom de transparantie van data, maar dat er ook alles aan gedaan wordt dat de
data niet op straat komt te liggen.
Hiertoe hebben wij verschillende maatregelen in onze software genomen:
- Encrypted databases zorgen ervoor dat je data niet in een regulier leesbaar formaat ligt opgeslagen maar
dat deze versleuteld zijn. Iemand die inbreekt op onze database moet ook nog eens de versleutelingscode
kennen, de deur zit dus zeg maar “dubbel op slot”. - De zwakste schakel zijn de inlogcodes van onze gebruikers. Dus hebben we gezorgd dat een gebruiker nog
steeds maar toegang heeft tot een beperkt stukje data. We schermen data tussen relaties niet enkel van
de buitenwereld af met een functionele muur, maar ook een technische. Wanneer iemand inbreekt via een
user ID ligt dus niet meteen de hele database op straat maar gelden nog steeds de beperking van de vorig
bullit op alle data van andere gebruikers. - Een strategisch partnership met Microsoft Azure zorgt ervoor dat we alle nieuwe ontwikkelingen op het
gebied van beveiliging direct kunnen benutten in ons platform.
Naast softwarematige elementen werken wij ook continu aan het gedrag van onze mensen en bestaan er interne
richtlijnen in het gebruik van mobiele apparaten, backups van werkdocumenten naar de cloud en inlogcodes op alle
apparatuur waar persoonsgegevens mee verwerkt worden.
Data register FlexForceMonkey
In bijgevoegd bestand is de laatste versie beschikbaar van het data registratie register zoals de data op
FlexForceMonkey worden vastgelegd.
Algemene voorwaarden als verwerkersovereenkomst
Binnen artikel 10 van onze algemene voorwaarden zijn de benodigde elementen voor een sluitende
verwerkersovereenkomst opgenomen. Wanneer jullie interne procedures eisen dat er een getekende versie van een
verwerkersovereenkomst beschikbaar is, kun je contact opnemen met onze Data Protection Officer.
Calamiteitenplan data lekkage
Intern hebben wij een duidelijke procedure vastgelegd rondom mogelijke data lekkages. Dee procedure kan
natuurlijk vanuit verschillende aanleidingen starten. Zo kan onze hulp benodigd zijn voor behandeling van een
datalek bij een gebruiker van ons platform, er kan een datalek bij ons intern worden vastgesteld of er kan een
opmerkzaam gebruiken een door ons nog onopgemerkt lek bij ons melden.
In alle gevallen start voor iedereen buiten FlexForceMonkey die procedure met één simpele stap: contact zoeken
met de Data Protection Officer.
Data Protection Officer
Binnen FlexForceMonkey is een Data Protection Officer aangesteld die eindverantwoordelijk is voor ons gedrag
rondom jouw privacy.
Voor vragen en verdere uitvoering van rechten kun je direct contact opnemen:
Doede van Haperen