In dit Privacy Statement laat Refa ICT zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is. Privacy speelt een belangrijke rol in de relatie tussen de cliënt, de opdrachtgever en Refa ICT.

Refa ICT heeft de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar Refa ICT actief is. Refa ICT is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van haar cliënten, haar opdrachtgevers en andere betrokkenen. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen, grote uitdagingen op het terrein van veiligheid en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoonsgegevens omgaan, en de privacy waarborgen.

1. Wetgeving en definities
Op 25 mei 2018 vervalt de Wbp en treedt de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG), in werking, samen met de uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor versterking en uitbreiding van de privacyrechten met meer verantwoordelijkheden voor organisaties.
De volgende begrippen worden in de AVG gebruikt (Artikel 4, AVG):
Betrokkene:
De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.
Verwerker:
De persoon of organisatie die de persoonsgegevens verwerkt in opdracht van een andere persoon of organisatie.
Persoonsgegevens:
Alle gegevens die gaan over mensen en waaraan je een mens als individu kunt herkennen. Het gaat hierbij niet alleen om vertrouwelijke gegevens, zoals over iemands gezondheid, maar om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum). Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die gaan over gevoelige onderwerpen, zoals etnische achtergrond, politieke voorkeuren of het Burgerservicenummer (BSN).
Gegevensbeschermingseffectbeoordeling:
Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Privacy Impact Assessment (PIA).
Verwerkingsverantwoordelijke:
Een persoon of instantie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerking:
Een verwerking is alles wat je met een persoonsgegeven doet, zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander, en vernietigen.

2. Reikwijdte
Het reglement is van toepassing op alle verwerkingen van persoonsgegevens door Refa ICT.

3. Verwerker
Refa ICT is de verwerker voor de verwerkingen die namens de opdrachtgevers van Refa ICT worden uitgevoerd. Refa ICT heeft verwerkersovereenkomsten afgesloten met haar opdrachtgevers.

4. Doeleinden (Artikel 5, AVG) en Rechtmatige grondslag (Artikel 6, AVG)
Refa ICT verwerkt persoonsgegevens voor de volgende doeleinden:
• De uitvoering van een overeenkomst met een opdrachtgever
• Uitvoering van een wettelijke verplichting
• Relatiebeheer en marketingactiviteiten
Refa ICT verwerkt de persoonsgegevens uitsluitend voor bovengenoemde doeleinden. Refa ICT kan de gegevens aan derden ter beschikking stellen die zijn betrokken bij het verwerken en uitvoeren van de genoemde doelstellingen. Met deze derden heeft Refa ICT verwerkersovereenkomsten gesloten. Daarnaast kan Refa ICT voor zover dit toegestaan is op basis van de toepasselijke Europese of nationale regelgeving, de persoonsgegevens uitwisselen met aan haar gelieerde ondernemingen, en andere organisaties, die ook buiten de EER (Europese Economische Ruimte) gevestigd kunnen zijn, een en ander voor de doeleinden zoals genoemd in dit Privacy Statement.

5. Informatieplicht (Artikel 13,14, AVG)
Refa ICT informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan Refa ICT geven, worden zij op de hoogte gesteld van de manier waarop Refa ICT met persoonsgegevens om zal gaan.

6. Rechten van betrokkenen (Artikel 13 t/m 20, AVG)
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:
• Inzagerecht
• Recht op rectificatie
• Recht op vergetelheid
• Recht op beperking van de verwerking
• Recht op overdraagbaarheid van gegevens
• Recht op bezwaar

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden onder bijsluiting van een kopie van een geldig legitimatiebewijs. Refa ICT zal het verzoek doorzenden aan haar opdrachtgever. Deze heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal de opdrachtgever laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij onze opdrachtgever, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan Refa ICT aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

7. Profilering (Artikel 22, AVG)
Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag of locatie.
Refa ICT maakt geen gebruik van profilering.

8. Plichten van Refa ICT
Register van verwerkingen (Artikel 30, AVG)
Refa ICT is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan Refa ICT de verwerker is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt.

Beveiliging van de verwerkingen (artikel 32, AVG)
Refa ICT gaat uiterst zorgvuldig met de persoonsgegevens om en draagt, tezamen met eventuele verwerkers, zorg voor een passende organisatorische en technische beveiliging van haar bestanden waarin de persoonsgegevens worden opgeslagen. Op deze wijze stellen wij zeker dat deze gegevens alleen toegankelijk zijn voor personen die daar uit hoofde van hun functie toe bevoegd zijn en dat de gegevens alleen worden gebruikt voor de doeleinden waarvoor ze zijn verkregen.

Datalekken (Artikel 33,34, AVG)
We spreken van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden meldt Refa ICT dit conform afspraak in de verwerkersovereenkomst met haar opdrachtgever, aan haar opdrachtgever. De opdrachtgever is verantwoordelijk voor eventuele melding aan de AP en/of betrokkenen, tenzij anders overeengekomen. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

Gegevensbeschermingseffectbeoordeling (Artikel 35, AVG)
Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Refa ICT voert deze uit wanneer er een geautomatiseerde verwerking of een grootschalige verwerking plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

9. Bewaartermijnen
Ten aanzien van het bewaren van persoonsgegevens hanteert Refa ICT de wettelijk vastgestelde termijnen. Indien Refa ICT persoonsgegevens van opdrachtgevers heeft ontvangen wordt de bewaartermijn door de opdrachtgever vastgesteld.

10. Afsluiting
Externe links
Deze website kan links naar andere websites bevatten. Wij zijn niet verantwoordelijk voor het privacybeleid of de inhoud van deze andere websites. Wij raden u aan kennis te nemen van de privacyverklaringen op deze websites.

Cookies
Om onze dienstverlening te optimaliseren en te analyseren maken wij enkel gebruik van functionele ‘cookies’

Wijziging van het Privacy Statement
Indien Refa ICT een wijziging aanbrengt in dit Privacy Statement zullen wij u informeren via een mailing.

Vragen, opmerkingen of klachten
Wanneer u vragen heeft die niet in dit Privacy Statement zijn beantwoord, wanneer u suggesties of opmerkingen heeft over de inhoud daarvan, of wanneer u gebruik wilt maken van uw rechten dan kunt u ons dit laten weten door een brief te sturen naar Refa ICT, Salomonstraat 2, 1812 PA Alkmaar onder vermelding van ‘Privacy’, of per e-mail naar [email protected].