Privacybeleid dd 24 mei 2018

Stichting Stimular hecht grote waarde aan de bescherming van de persoonsgegevens van haar medewerkers, klanten en relaties. Persoonlijke gegevens worden dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. Stichting Stimular houdt zich dan ook in alle gevallen aan de eisen die de Algemene Verordening Gegevensbeveiliging stelt.

In dit privacy beleid staat beschreven hoe Stichting Stimular persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staat in dit beleid beschreven. Het privacy beleid omvat alle on- en offline systemen waarin persoonsgegevens voorkomen en is van toepassing binnen de hele organisatie.

Stimular werkt alleen voor bedrijven en organisaties (business to business) en niet voor consumenten. Bij het opstellen van dit privacybeleid is daarom een splitsing gemaakt tussen gegevens van zakelijke contacten en gegevens van privť-personen (medewerkers/ bestuursleden) die wij beheren.

1. Toestemming en vereisten verwerking persoonsgegevens
Conform de Algemene Verordening Gegevensbeveiliging is het Stichting Stimular toegestaan persoonsgegevens te verwerken (categorie Bijzondere vereisten, vrijgestelde categorieŽn van verwerkingen: verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties). De Algemene Verordening Gegevensbeveiliging stelt eisen aan organisaties die gegevensbestanden beheren, zoals een klantenadministratie. Deze eisen zijn;
  • toewijzen van verantwoording;
  • uitsluitend gebruik van de gegevens voor het doel waarvoor ze verzameld zijn;
  • toestemming van de klant voor het verwerken van de gegevens;
  • inzage in de eigen opgeslagen gegevens;
  • juist en nauwkeurig bijhouden van de gegevens;
  • het recht op vergetelheid en vernietiging van gegevens;
  • een procedure beschikbaar hebben voor handelingen in geval een datalek optreedt.
2. Verantwoording
De directie van de Stichting is uiteindelijk verantwoordelijk voor de correcte omgang van persoonsgegevens. Daarnaast hebben alle vaste en tijdelijke medewerkers een gedeeltelijke, soms tijdelijke verantwoordelijkheid. Deze verantwoordelijkheid wordt manifest zodra de medewerker de beschikking krijgt over of toegang krijgen tot (lijsten met) gegevens van klanten of andere medewerkers.

3. Doel van verwerking
Gegevens van klanten (bedrijfsmatige persoonsgegevens) en (oud-)medewerkers (persoongegevens) worden uitsluitend verzameld voor het adequaat voeren van een bedrijf en het uitvoeren van onze projecten. Fotoís worden gemaakt voor communicatie van activiteiten via de website en andere sociale media. Stimular maakt geen statistische analyses van persoonsgegevens en verspreidt/verkoopt deze niet aan derden, tenzij dit uit wettelijk oogpunt verplicht is (bijv. de belastingdienst).

4. Toestemming medewerkers
Bij het (tijdelijk) in dienst treden bij Stimular geeft de medewerker/bestuurslid aan Stimular
  • Achternaam, voornaam en voorletters;
  • Geboortedatum en plaats;
  • Nationaliteit;
  • Huisadres;
  • Telefoonnummer en privť e-mailadres;
  • Noodnummer (partner/ouders)
  • Rekeningnummer en tennaamstelling bankrekening tbv. betaling loon;
  • Kopie paspoort tbv. wettelijke registraties
  • BSN nummer tbv. opgave voor belastingdienst
  • Vaardigheden (bijv. gevolgde relevante trainingen in het kader van ons werk)
  • Gezondheidsgegevens (alleen indien noodzakelijk);
  • Maken en verspreiden van foto- en beeldmateriaal. Medewerkers, en bestuursleden geven bij indiensttreding ofwel door het ondertekenen van dit privacybeleid toestemming voor het plaatsen van zijn/haar foto op onze website.
5. Toestemming klanten/ relaties
Bij het aangaan van een zakelijke relatie of het opvragen van een offerte/informatie geeft de klant aan Stimular impliciet toestemming voor het verwerken van de volgende gegevens:
  • Achternaam, voornaam en evt. voorletters, geslacht;
  • Bedrijfsgegevens (post en bezoekadres, website);
  • Algemeen telefoonnummer en/of doorkiesnummer en/of 06-nummer;
  • E-mailadres;
  • Functie.
Maken en verspreiden van fotoís en beeldmateriaal
In het kader van onze projecten worden ook regelmatig fotoís gemaakt van bedrijfssituaties, groepen klanten of individuele klanten. Stimular vraagt altijd mondeling, of via e-mail toestemming van de betreffende klant alvorens een dergelijke foto te gebruiken voor communicatie. Indien, in het uitzonderlijke geval , hier minderjarigen onder de leeftijd van 16 jaar op staan, wordt de toestemming gevraagd aan een van beide ouders of een van rechtswege toegewezen voogd.

Nb. Stimular verwerkt, beroepshalve, ook milieugegevens en bedrijfsgegevens van klanten. Deze gegevens vallen niet onder het privacyverklaring. Laat onverlet dat Stimular hier altijd wel vertrouwelijk mee omgaat.

6. Inzagerecht
Medewerkers kunnen hun eigen gegevens inzien en laten wijzigen. Klanten, relaties of wettige vertegenwoordigers daarvan (in geval van minderjarigen) mogen te allen tijde inzage vragen in gegevens die Stimular van hen bijhoudt. Inzageprocedure: Een verzoek tot inzage van gegevens moet (schriftelijk of per e-mail) worden gericht aan het secretariaat van de stichting (mail@stimular.nl). Het secretariaat draagt zorg voor een schriftelijk antwoord binnen zes weken. Dit kan alleen worden verstrekt indien geen twijfel bestaat over de identiteit van de aanvrager. Stimular is gerechtigd deze identiteit te controleren in voorkomende gevallen.

7. Recht op correctie
Als een medewerker, klant of relatie vaststelt dat er een feitelijke onjuistheid in de geregistreerde gegevens voorkomt, kan hij / zij dit aangeven bij het secretariaat. Het secretariaat draagt zorg voor correctie binnen zes weken.

8. Recht op vergetelheid
Een (oud-)medewerker, klant of relatie kan verzoeken om gegevens te wissen. Een dergelijk verzoek kan worden gericht aan het secretariaat. Het secretariaat draagt zorg het wissen binnen zes weken, mits dit mogelijk is in het kader van andere wettelijke verplichtingen die Stimular heeft. FinanciŽle aanspraken door Stimular jegens de medewerker, de klant of de relatie blijven echter in voorkomend geval bestaan. Minimale gegevens nodig voor de afhandeling van financiŽle verplichtingen blijven gehandhaafd tot volledige afhandeling van financiŽle vraagstukken is afgerond. Daarna worden ook de financiŽle gegevens gewist. Als een klant of relatie niet langer een zakelijke relatie met Stimular onderhoud, worden de gegevens wel bewaard in ons CRM systeem. Deze worden aangehouden in verband met toekomstige lustrums of acquisitie.

9. Procedure datalekken
Een datalek ontstaat zodra vertrouwelijke gegevens van personen:
  • bekend raken bij derden die geen recht op kennisname hebben;
  • gegevens onherstelbaar worden vernietigd;
  • gegevens verloren zijn geraakt en niet bekend is waar deze terecht zijn gekomen.

Zodra iemand een datalek vermoed in relatie tot gegevens van medewerkers, klanten en of relaties van Stichting Stimular wordt deze persoon verzocht melding van dit vermoeden te doen bij het secretariaat. Verzocht wordt de eerste melding telefonisch te doen. Aansluitend wordt van de melder gevraagd de melding ook kort in een mail te zetten en te sturen aan mail@stimular.nl. Na ontvangst van de melding zal het secretariaat zorgen dat een onderzoek wordt opgestart om vast te stellen welke gegevens daadwerkelijk betroffen zijn en een melding aan de autoriteit persoonsgegevens te sturen. Daarna zal Stimular de leden die door het datalek getroffen zijn telefonisch of schriftelijk (via e-mail) informeren. Verder zal Stimular actie ondernemen om verdere schade te beperken en herhaling te voorkomen.

Nb. Stimular verspreid kennis over duurzaamheid en heeft als doel dat ook derden deze kennis kunnen toepassen. Hiervoor kan het onderdeel van een opdracht zijn om klanten/relaties ook van elkaar te laten leren (bijvoorbeeld binnen een duurzaamheidskring). In dit geval wordt uitwisseling van zakelijke contactgegevens (zoals e-mailadressen en telefoonnummers) van deelnemers als wenselijk en noodzakelijk gezien en niet als datalek.

10. Opslag van gegevens
Stimular zorgt goed voor opgeslagen gegevens. Persoonsgegevens worden door Stimular bijgehouden in ons CRM-systeem. Deze opslag van gegevens is alleen toegankelijk via onze server en voorzien van een inlog en wachtwoord. De server zelf is voorzien van adequate beveiliging (denk aan een firewall en virusbeveiliging) .

Daarnaast slaat Stimular ook gegevens op van bedrijven en contactpersonen die een abonnement op een van onze online tools hebben (heden bijvoorbeeld de Milieubarometer of MVO-Balans). Deze worden opgeslagen in een afgeschermde digitale omgeving. Stimular en onze onderaannemer (heden Dreamsolution) dragen zorg voor een adequate afscherming van deze digitale omgeving. Hiervoor is een eindverwerkersovereenkomst afgesloten.

Derden die in opdracht van Stimular werken (boekhouder, accountant, ICT beheerder, softwareontwikkelaar e.d.) mogen gegevens inzien ten einde hun activiteiten te kunnen uitvoeren. Zij mogen noodzakelijke gegevens tevens op hun eigen computersystemen verwerken zo lang deze met gebruikerskenmerk en wachtwoord zijn beveiligd. Na afronden van de activiteit waarvoor deze gegevens noodzakelijk zijn, worden de gegevens vernietigd. Ook met hen heeft Stimular een eindverwerkersovereenkomst afgesloten.