Skip to main content

Privacybeleid  

De Transformatie Groep hecht veel waarde aan de bescherming van uw persoonsgegevens. In dit document willen we informatie geven over hoe wij omgaan met persoonsgegevens. Wij doen er alles aan om uw privacy te waarborgen en gaan daarom zorgvuldig om met uw persoonsgegevens. 

Dit brengt met zich mee dat wij in ieder geval: 

  • Uw persoonsgegevens verwerken met het doel waarvoor zij zijn verstrekt, deze doelen en type persoonsgegevens zijn beschreven in dit privacybeleid 
  • Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt 
  • Passende technische en organisatorische maatregelen hebben genomen zodat de beveiliging van uw persoonsgegevens gewaarborgd is 
  • Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt
  • Op de hoogte zijn van uw rechten omtrent uw persoonsgegevens, u hierop willen wijzen en deze respecteren 

Verwerkersovereenkomst

In het kader van de Algemene Verordening Persoonsgegeven (AVG) is het vanaf 25 mei 2018 verplicht om een verwerkersovereenkomst op te stellen tussen De Transformatie Groep en haar opdrachtgevers (coaching en leiderschapsprogramma’s). In deze overeenkomst is beschreven hoe om te gaan met persoonsgegevens en datalekken. De AVG stelt dat De Transformatie Groep zich met betrekking tot verwerking van Persoonsgegevens opstelt als “Verantwoordelijke”. Medewerkers van De Transformatie Groep en consultants die in opdracht van De Transformatie Groep opdrachten uitvoeren zijn “Verwerkers” van Persoonsgegevens. De Persoonsgegevens hebben in deze overeenkomst betrekking op contactpersonen en/of deelnemers met deelname aan de diensten aangeboden door De Transformatie Groep. In de bijlagen van dit document zijn verdere definities, maatregelen en het proces van melding van datalekken opgenomen.

1. Duur van deze overeenkomst

1.1 Deze Verwerkersovereenkomst is van kracht zolang er sprake is van een samenwerking tussen Opdrachtgever en De Transformatie Groep.
1.2 Na beëindiging van uitvoering van een opdracht zullen de lopende verplichtingen voor De Transformatie Groep, zoals het melden van Datalekken, waarbij Persoonsgegevens betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

2. Verwerken Persoonsgegevens

2.1 De Transformatie Groep houdt zich aan de wet en verwerkt Persoonsgegevens op zorgvuldige en transparante wijze. In bijlage B wordt nader toegelicht welke maatregelen hierop van toepassing zijn.
2.2 De Transformatie Groep heeft met haar medewerkers en consultants die in opdracht van De Transformatie Groep een dienst leveren afspraken gemaakt om deze verwerkersovereenkomst na te kunnen leven.
2.3 Bij bevestiging van een opdracht geeft Opdrachtgever toestemming om Persoonsgegevens van contactpersonen en deelnemers te bewaren.
2.4 Wanneer een deelnemer of contactpersoon zijn/haar rechten op privacy uitoefent werkt De Transformatie Groep daar binnen een termijn van 14 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
2.5 Persoonsgegevens van Deelnemers worden uiterlijk binnen één jaar na deelname op zorgvuldige wijze verwijderd, tenzij anders overeengekomen met de Opdrachtgever. Persoonsgegevens van Contactpersonen worden uiterlijk twee jaar na het laatste contactmoment verwijderd.

3. Beveiliging van Persoonsgegevens

3.1 De Transformatie Groep zorgt ervoor dat de Persoonsgegevens voldoende beveiligd zijn. Om verlies en onrechtmatige verwerkingen te voorkomen neemt De Transformatie Groep passende technische en organisatorische maatregelen zoals omschreven in bijlagen B en C.
3.2 In het geval dat een toezichthouder een audit uitvoert bij De Transformatie Groep verleent De Transformatie Groep medewerking en mag een inspectie of audit plaatsvinden om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de afspraken uit deze Verwerkersovereenkomst voldoet.

4. Exporteren gegevens

4.1 De Transformatie Groep zal geen Persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van Opdrachtgever

5. Geheimhouding

5.1 De Transformatie Groep zal verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

6. Datalekken

6.1 In geval van een ontdekking van een mogelijk Datalek wordt De Transformatie Groep binnen 24 uur ingelicht en wordt het proces doorlopen zoals aangegeven in bijlage C. De Transformatie Groep zal indien nodig een melding bij de Toezichthouder doen.
6.2 Na de melding van een Datalek zal De Transformatie Groep Opdrachtgever op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, de omvang van het Datalek proberen te beperken en te beëindigen om een soortgelijk incident in de toekomst te kunnen voorkomen.

7. Aansprakelijkheid

7.1 Wanneer Opdrachtgever onterecht toezeggingen (2.3) doet ten aanzien van Persoongegevens stelt De Transformatie Groep opdrachtgever aansprakelijk.
7.2 Indien De Transformatie Groep de verplichtingen in deze Verwerkersovereenkomst overtreedt, is De Transformatie Groep aansprakelijk voor de opgelegde boetes en/of schadevergoedingen door de toezichthouder, deelnemer(s) en/of contactpersonen opgelegd aan De Transformatie Groep.
7.3 Indien een consultant die in opdracht van De Transformatie Groep diensten levert de verplichtingen in de opgestelde Verwerkersovereenkomst tussen deze twee partijen niet nakomt is consultant aansprakelijk te stellen door De Transformatie Groep.
7.4 De Transformatie Groep is niet aansprakelijk voor aanspraken van andere personen en organisaties waar de Opdrachtgever een samenwerking mee is aangegaan.

9. Eigen Persoonsgegevens

9.1 Opdrachtgever zal eveneens zorgvuldig omgaan met Persoonsgegevens van medewerkers in dienst bij, of in uitvoering van opdrachten van De Transformatie Groep.

9.2 Opdrachtgever zorgt in dit kader eveneens voor het voldoen aan de verplichtingen gesteld in de AVG.

10. Slotbepalingen

10.1 Op deze Verwerkersovereenkomst is het Nederlandse recht van toepassing. 10.2 Over eventuele geschillen tussen ons bepaald de rechter in de rechtbank.

11. Klachten 

Mocht er een klacht zijn over de verwerking van uw persoonsgegevens dan vragen wij u hierover direct met ons contact op te nemen. U heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, dit is de toezichthoudende autoriteit op het gebied van privacybescherming. 

12. Vragen 

Als u naar aanleiding van ons Privacybeleid nog vragen of opmerkingen heeft kunt u contact opnemen met De Transformatie Groep 

Contact gegevens 

De Transformatie Groep
IJdok 31
1013 MM Amsterdam
+31 6 13529525
www.detransformatiegroep.nl 

Bijlagen

A. Begrippen

i. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon

ii. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

iii. Verwerkingsverantwoordelijke: een instantie dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (“Verantwoordelijke”);
iv. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Verwerker”);
v. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (“Verwerkersovereenkomst”);
vi. Inbreuk in verband het beveiliging persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
vii. Deelnemer: de natuurlijke personen op wie de Persoonsgegevens betrekking hebben, namelijk de deelnemers aan (E-learning, trainingen, advies- en coaching-trajecten of andersoortige diensten in opdracht van Opdrachtgever. Persoonsgegevens van Deelnemers dienen door De Transformatie Groep tot één jaar bewaard te worden om evaluaties en follow-ups van diensten te kunnen uitvoeren.
viii. Contactpersoon: de natuurlijke personen op wie de Persoonsgegevens betrekking hebben. Persoonsgegevens van Contactpersonen dienen door De Transformatie Groep tot twee jaar na het laatste contactmoment bewaard te worden voor relatiebeheer en acquisitie doeleinden.

B. Overzicht Beveiligingsmaatregelen

Technische beveiligingsmaatregelen

☐ Unieke inlogcode en wachtwoord (regelmatig aanpassen)
☐ Geen onbeveiligde externe harde schijven
☐ Geen onbeveiligde back-ups maken
☐ Uitsluitend gebruik van software pakketten en databases die aantoonbaar voldoen aan de vereisten van de AVG

Organisatorisch beveiligingsmaatregelen

☐ Clean desk policy
☐ Laptop niet onbemand achterlaten
☐ Laptop nooit achterlaten in de auto
☐ Oude documenten op juiste manier vernietigen
☐ Zorgvuldig gebruik van USB-sticks

C. Proces Melding van Datalekken

1. Geef een samenvatting van het beveiligingslek/beveiligingsincident/datalek: wat is er gebeurd? Vermeld hier ook de naam van het betrokken systeem.
2. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, IP-nummer, Burgerservicenummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.

3. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum -en maximumaantal personen. 

4. Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om opdrachtgeversgegevens, gegevens van internetgebruikers. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen, zoals kinderen.
5.Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?
6. Wat is de oorzaak (root cause) van het beveiligingsincident?
Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?
7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk aan.