Privacy Policy

1. Introductie en doel van de privacyverklaring

[Bedrijfsnaam] hecht een groot belang aan de privacy en een zorgvuldige omgang met de persoonsgegevens van haar klanten en andere betrokkenen (hierna ook 'Betrokkenen'). In deze privacyverklaring wenst [Bedrijfsnaam] op een heldere, transparante, eenvoudige en correcte wijze uit te leggen hoe [Bedrijfsnaam] omgaat met de persoonsgegevens die zij verzamelt en verwerkt van de Betrokkenen, ongeacht of [Bedrijfsnaam] deze gegevens rechtstreeks dan wel via een derde partij verzamelt.

De privacyverklaring licht tevens toe voor welke doeleinden [Bedrijfsnaam] de persoonsgegevens van Betrokkenen verwerkt, welke categorieën persoonsgegevens worden verwerkt, welke rechten de Betrokkenen genieten inzake hun persoonsgegevens en hoe zij hun rechten kunnen uitoefenen.

[Bedrijfsnaam] verzoekt u vriendelijk om deze privacyverklaring goed door te nemen opdat u op voldoende wijze geïnformeerd bent over uw rechten en hoe u deze kan uitoefenen.

In deze privacyverklaring verwijst de term 'zelfstandige medewerkers' naar freelancers, consultants en andere zelfstandige professionals waarmee [Bedrijfsnaam] samenwerkt voor het uitvoeren van audits en andere diensten.

2. [Bedrijfsnaam] en haar activiteiten

[Bedrijfsnaam] is een organisatie die gespecialiseerd is in het uitvoeren van verschillende soorten audits, waaronder source code reviews, ontwikkelomgeving reviews, architectuur reviews, usability audits en troubleshooting. Hierbij krijgt [Bedrijfsnaam] toegang tot broncode, ontwikkelomgevingen en andere vertrouwelijke informatie van haar klanten. Om deze diensten te kunnen leveren, verzamelt en verwerkt [Bedrijfsnaam] bepaalde persoonsgegevens.

[Bedrijfsnaam] contacteren kan telefonisch op het nummer [telefoonnummer] of per email op [e-mailadres].

Een security- of privacy incident wordt bij voorkeur gemeld via [privacy@bedrijfsnaam.nl].

3. Welke persoonsgegevens worden door [Bedrijfsnaam] verzameld en verwerkt?

Door het bezoeken van de website, contact op te nemen en/of gebruik te maken van de diensten van [Bedrijfsnaam], is het mogelijk dat [Bedrijfsnaam] al dan niet – noodzakelijkerwijze – persoonsgegevens verzamelt en verwerkt.

Afhankelijk van de relatie met [Bedrijfsnaam] kunnen de volgende gegevens verzameld en verwerkt worden:

  • Bij het bezoeken van de website: het IP-adres van de bezoeker wordt tijdelijk herkend en (niet individueel) gebruikt met het oog op analyse en optimalisatie van de website, tevens gebruikt de website enkele cookies;
  • Bij het contacteren van [Bedrijfsnaam]: van de persoon die [Bedrijfsnaam] rechtstreeks contacteert, worden de contactgegevens (telefoonnummer, e-mailadres, ...) tijdelijk verwerkt, alsook enige identificatiegegevens (naam, functie, ...) die de persoon [Bedrijfsnaam] tijdens dit contact meedeelt;
  • Bij het aanvragen van een audit of andere dienst: van de vertegenwoordiger van de aanvrager kunnen naam, voornaam, functie, bedrijfsnaam en contactgegevens verzameld en verwerkt worden;
  • Bij het uitvoeren van de audit: gegevens van de betrokken medewerkers zoals naam, functie, contactgegevens, en in voorkomend geval toegangsgegevens tot systemen en code repositories.
  • Bij contact met zelfstandige medewerkers: van zelfstandige medewerkers die met [Bedrijfsnaam] contact opnemen voor mogelijke samenwerking of reeds samenwerken, worden naam, voornaam, contactgegevens, CV, expertise-informatie, BTW/KvK-nummer, bankgegevens, en informatie over kwalificaties, certificeringen en professionele ervaring verzameld en verwerkt voor zakelijke administratie, contractbeheer en opdrachttoewijzing.

Voor verwerkingen die [Bedrijfsnaam] noodzakelijkerwijze uitvoert in het kader van een goede dienstverlening omtrent de uitvoering van audits en ondersteuning van haar cliënteel, treedt [Bedrijfsnaam] op als verwerker. De klant die beroep doet op de diensten en/of producten van [Bedrijfsnaam] is in dat geval de verwerkingsverantwoordelijke.

4. Waarom verzamelt en verwerkt [Bedrijfsnaam] persoonsgegevens?

[Bedrijfsnaam] verzamelt en verwerkt de persoonsgegevens van Betrokkenen voor volgende doeleinden:

  • Het correct beantwoorden van personen wanneer deze in contact treden met [Bedrijfsnaam], hiertoe geniet [Bedrijfsnaam] over een gerechtvaardigd belang om persoonsgegevens te verwerken;
  • Het verbeteren van de werking van [Bedrijfsnaam] haar diensten, processen en toepassingen, hiertoe geniet [Bedrijfsnaam] over een gerechtvaardigd belang om persoonsgegevens te verwerken;
  • Het uitoefenen van de aangeboden diensten door [Bedrijfsnaam], zoals deze werden overeengekomen in één of meerdere overeenkomst(en), hiertoe verwerkt [Bedrijfsnaam] persoonsgegevens in uitvoering van desbetreffende overeenkomst(en);
  • Het beheren van de pool van zelfstandige medewerkers met wie [Bedrijfsnaam] samenwerkt, inclusief het evalueren van kwalificaties, expertise-matching voor specifieke audits, en administratie van contracten en betalingen;
  • Het navolgen van instructies vanuit politie en/of justitie wanneer deze [Bedrijfsnaam] verplichten om gegevens te verwerken, kortom vanuit een wettelijke verplichting.

5. Met wie deelt [Bedrijfsnaam] persoonsgegevens?

5.1 Intern – [Bedrijfsnaam]

[Bedrijfsnaam] neemt de nodige maatregelen opdat toegang tot persoonsgegevens binnen de organisatie beperkt is tot de medewerkers die effectief toegang nodig hebben in kader van hun functie.

5.2 Extern – derde partijen

[Bedrijfsnaam] maakt persoonsgegevens over aan volgende categorieën van derde partijen:

  • Zelfstandige medewerkers die de audit daadwerkelijk uitvoeren. Zij zijn gebonden aan strikte vertrouwelijkheid middels een NDA;
  • Organisaties en/of personen aan wie [Bedrijfsnaam] bepaalde diensten en/of functies heeft geoutsourcet, zoals onder meer leveranciers van IT-systemen, software, IT-support, vernietiging van vertrouwelijke documenten, enz.;
  • Organisaties en/of personen die integraal deel uitmaken van de werking van [Bedrijfsnaam], zoals onder meer externe consultants en medewerkers;
  • Organisaties die technologiediensten verlenen zoals Google (cookies).

[Bedrijfsnaam] benadrukt dat persoonsgegevens van betrokkenen uitsluitend worden gedeeld met deze derde partijen voor zover dit noodzakelijk is voor de uitvoering van de audit en gerelateerde diensten. [Bedrijfsnaam] deelt deze gegevens niet met derde partijen voor marketingdoeleinden, verkoop van gegevens, profilering of andere commerciële doeleinden. Derde partijen met wie gegevens worden gedeeld zijn voornamelijk freelancers en consultants die met [Bedrijfsnaam] samenwerken voor het uitvoeren van de audits, en zij zijn contractueel gebonden aan dezelfde privacystandaarden die [Bedrijfsnaam] hanteert.

6. Hoelang bewaart [Bedrijfsnaam] persoonsgegevens?

Als algemeen principe geldt dat [Bedrijfsnaam] de verzamelde en verwerkte persoonsgegevens niet langer bewaart dan strikt nodig is om de doeleinden te realiseren waarvoor de gegevens worden verzameld. Bovendien verwijdert [Bedrijfsnaam] enige persoonsgegevens, zonder onnodige vertraging, wanneer personen hierom verzoeken.

  • Broncode en andere technische documentatie worden verwijderd na afronding van de audit, tenzij anders overeengekomen voor opvolgingsaudits. In het geval van afgesproken opvolgingsaudits wordt de informatie bewaard tot na de laatste geplande audit.
  • Contactgegevens van klanten worden bewaard gedurende de contractuele relatie en tot maximaal vijf (5) jaar na de laatste interactie of dienstverlening, ten behoeve van administratie en klantenwerving.
  • Auditrapportages worden bewaard gedurende de looptijd van de overeenkomst en in het kader van eventuele vervolgaudits. Na beëindiging van de overeenkomst of na de laatste geplande audit worden deze rapportages nog maximaal twee (2) jaar bewaard, tenzij anders overeengekomen met de klant.
  • Gegevens van zelfstandige medewerkers worden bewaard gedurende de samenwerkingsrelatie en tot maximaal zeven (7) jaar na de laatste samenwerking, in verband met wettelijke bewaarplichten voor financiële administratie en mogelijke aansprakelijkheidskwesties.

Na afloop van de toepasselijke bewaartermijn worden de persoonsgegevens definitief verwijderd.

7. Rechten met betrekking tot de persoonsgegevens

Met betrekking tot zijn of haar persoonsgegevens hebben Betrokkenen steeds het recht:

Een verzoek tot inzage van zijn/haar persoonsgegevens in te dienen bij [Bedrijfsnaam]:

[Bedrijfsnaam] zal bevestigen of persoonsgegevens verwerkt worden of niet. In het voorkomend geval dat persoonsgegevens verwerkt worden, kunnen Betrokkenen in kwestie verzoeken van deze persoonsgegevens een uittreksel te krijgen. Worden meerdere kopieën opgevraagd, dan kan [Bedrijfsnaam] hier een vergoeding voor vragen.

Een verzoek tot rectificatie van zijn/haar persoonsgegevens in te dienen bij [Bedrijfsnaam]:

Indien de persoonsgegevens waarover [Bedrijfsnaam] beschikt inaccuraat of onvolledig zijn, kunnen de Betrokkenen verzoeken om dit te corrigeren dan wel aan te vullen. Indien gewenst door Betrokkenen, kan [Bedrijfsnaam] hen informeren over de derde partijen dewelke de inaccurate en/of onvolledige informatie in het verleden hebben ontvangen.

Een verzoek tot beperking van de verwerking van zijn/haar persoonsgegevens in te dienen bij [Bedrijfsnaam]:

Betrokkenen kunnen [Bedrijfsnaam] verzoeken om in bepaalde situaties, een deel of alle persoonsgegevens niet meer te verwerken. Indien gewenst door Betrokkenen, kan [Bedrijfsnaam] hen informeren over de derde partijen dewelke de informatie in het verleden hebben ontvangen.

Een verzoek tot algehele verwijdering van zijn/haar persoonsgegevens in te dienen bij [Bedrijfsnaam]:

Betrokkenen kunnen [Bedrijfsnaam] verzoeken om hun persoonsgegevens volledig te verwijderen. Dit is echter beperkt tot die situaties waar deze persoonsgegevens niet meer nodig zijn voor [Bedrijfsnaam] om haar dienstverlening uit te voeren. Indien gewenst door Betrokkenen, kan [Bedrijfsnaam] hen informeren over de derde partijen dewelke de informatie in het verleden hebben ontvangen.

Een verzoek tot bezwaar tegen de verwerking van zijn/haar persoonsgegevens in te dienen bij [Bedrijfsnaam]:

Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens door [Bedrijfsnaam], daar waar [Bedrijfsnaam] deze gegevens verwerkt vanuit een gerechtvaardigd belang waarbij Betrokkenen aantonen dat hun recht primeert boven het gerechtvaardigd belang van [Bedrijfsnaam], dan wel voor de situaties waar [Bedrijfsnaam] deze gegevens verwerkt voor marketingdoeleinden.

Een verzoek tot intrekking van toestemming om zijn/haar persoonsgegevens te verwerken in te dienen bij [Bedrijfsnaam]:

Betrokkenen kunnen in die situaties waar de verwerking van persoonsgegevens door [Bedrijfsnaam] gebaseerd is op de verkregen toestemming, deze toestemming steeds intrekken. Vanaf Betrokkenen hun toestemming hebben ingetrokken, zal [Bedrijfsnaam] deze persoonsgegevens niet meer verwerken.

Modaliteiten bij uitoefenen van rechten

De behandeling van verzoeken van betrokkenen is gebonden aan bepaalde modaliteiten, afhankelijk van de rol die [Bedrijfsnaam] vervult bij de verwerking van de persoonsgegevens:

  • Voor verwerkingen waarbij [Bedrijfsnaam] optreedt als verwerkingsverantwoordelijke (bijvoorbeeld voor gegevens van eigen medewerkers of van personen die rechtstreeks contact opnemen met [Bedrijfsnaam]), kan [Bedrijfsnaam] verzoeken rechtstreeks behandelen.
  • Voor verwerkingen waarbij [Bedrijfsnaam] optreedt als verwerker (bijvoorbeeld voor gegevens van medewerkers van de klant of andere betrokkenen waarvan [Bedrijfsnaam] gegevens verwerkt in opdracht van de klant), dient de betrokkene het verzoek te richten aan de verwerkingsverantwoordelijke (de klant van [Bedrijfsnaam]). De klant zal in dat geval [Bedrijfsnaam] contacteren indien de klant de hulp van [Bedrijfsnaam] nodig heeft om aan het verzoek te voldoen.

Indien een betrokkene een verzoek rechtstreeks richt aan [Bedrijfsnaam] terwijl [Bedrijfsnaam] optreedt als verwerker, zal [Bedrijfsnaam] de betrokkene doorverwijzen naar de verwerkingsverantwoordelijke. [Bedrijfsnaam] dient sowieso de identiteit van de aanvrager te kunnen verifiëren alvorens aan enig verzoek te voldoen.

Een klacht indienen bij de Gegevensbeschermingsautoriteit:

Indien Betrokkenen het oneens zijn met de verwerking van hun persoonsgegevens door [Bedrijfsnaam] en zij niet akkoord zijn met het antwoord en/of oplossing vanuit [Bedrijfsnaam], kunnen zij een klacht indienen bij de Gegevensbeschermingsautoriteit.

Gegevensbeschermingsautoriteit - [adres]

[e-mail van de autoriteit]

[website van de autoriteit]

Alle verzoeken voor de uitoefening van bovenstaande rechten moeten aan [Bedrijfsnaam] bezorgd worden door contact op te nemen met [Bedrijfsnaam] op de wijze zoals werd vermeld in artikel 2 van deze privacyverklaring.

8. De beveiliging van de persoonsgegevens

[Bedrijfsnaam] levert veel inspanningen om misbruik, verlies, onbevoegde toegang en andere ongewenste handelingen met de persoonsgegevens van Betrokkenen tegen te gaan. Hiertoe neemt [Bedrijfsnaam] de nodige en passende technische en organisatorische maatregelen zodat de verwerkingen voldoen aan de eisen van nationale en Europese wetgeving. [Bedrijfsnaam] verzekert op deze manier ook de bescherming van de rechten van Betrokkenen. [Bedrijfsnaam] zorgt ervoor dat deze maatregelen regelmatig worden opgevolgd en aangepast waar nodig.

Deze maatregelen omvatten onder meer:

  • Strikte NDA's met al onze medewerkers en freelancers
  • Toegangscontrole tot systemen op basis van 'need-to-know'
  • Versleuteling van alle gevoelige data
  • Multi-factor authenticatie voor toegang tot systemen, waar mogelijk
  • Regelmatige security updates van onze systemen
  • Interne audits van onze eigen processen

9. Uitwisseling van gegevens buiten de EER

[Bedrijfsnaam] probeert de doorgifte van persoonsgegevens aan derde partijen buiten de Europese Economische Ruimte (hierna: "EER") steeds te beperken.

Wanneer dit toch het geval zou zijn zorgt [Bedrijfsnaam] ervoor dat deze doorgifte in overeenstemming met de AVG (door o.a. de aanwezigheid van een adequaatheidsbesluit in het betreffende land of het inregelen van een gepast alternatief, desgevallend aanvullende maatregelen, etc.) gebeurt.

10. Wijzigingen aan de privacyverklaring

[Bedrijfsnaam] kan deze privacyverklaring van tijd tot tijd wijzigen, conform de beperkingen die gelden binnen de toepasselijke regelgeving inzake privacy en gegevensbescherming. Alle updates en wijzigingen worden onmiddellijk na de publicatie ervan van kracht. [Bedrijfsnaam] moedigt de Betrokkenen daarom aan om deze privacyverklaring op regelmatige tijdstippen te raadplegen, zodat hij/zij steeds op de hoogte blijft van veranderingen die een invloed kunnen hebben op hem/haar.

Versie: [datum]