Privacybeleid
D.d. 24 mei 2018, bijgewerkt 17 aug. 2023
Vereniging MPZ (Milieu Platform Zorg) hecht grote waarde aan de bescherming van de persoonsgegevens van haar medewerkers, klanten en relaties. Persoonlijke gegevens worden dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. MPZ houdt zich dan ook in alle gevallen aan de eisen die de Algemene Verordening Gegevensbeveiliging stelt.
In deze privacyverklaring staat beschreven hoe MPZ persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staat in deze verklaring beschreven. De privacyverklaring omvat alle on- en offline systemen waarin persoonsgegevens voorkomen en is van toepassing binnen de hele organisatie.
MPZ werkt alleen voor bedrijven en organisaties (business to business) en niet voor consumenten. Bij het opstellen van deze privacyverklaring is daarom een splitsing gemaakt tussen gegevens van zakelijke contacten en gegevens van privé-personen (medewerkers/ bestuursleden) die wij beheren.
1. Toestemming en vereisten verwerking persoonsgegevens
Conform de Algemene Verordening Gegevensbeveiliging is het MPZ toegestaan persoonsgegevens te verwerken (categorie Bijzondere vereisten, vrijgestelde categorieën van verwerkingen: verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties). De Algemene Verordening Gegevensbeveiliging stelt eisen aan organisaties die gegevensbestanden beheren, zoals een klantenadministratie. Deze eisen zijn;
- toewijzen van verantwoording;
- uitsluitend gebruik van de gegevens voor het doel waarvoor ze verzameld zijn;
- toestemming van de klant voor het verwerken van de gegevens;
- inzage in de eigen opgeslagen gegevens;
- juist en nauwkeurig bijhouden van de gegevens;
- het recht op vergetelheid en vernietiging van gegevens;
- een procedure beschikbaar hebben voor handelingen in geval een datalek optreedt.
2. Verantwoording
Het bestuur van MPZ is uiteindelijk verantwoordelijk voor de correcte omgang van persoonsgegevens. Daarnaast hebben alle vaste en tijdelijke medewerkers een gedeeltelijke, soms tijdelijke verantwoordelijkheid. Deze verantwoordelijkheid wordt manifest zodra de medewerker de beschikking krijgt over of toegang krijgen tot (lijsten met) gegevens van klanten of andere medewerkers.
3. Doel van verwerking
Gegevens van klanten (bedrijfsmatige persoonsgegevens) en (oud-)medewerkers (persoongegevens) worden uitsluitend verzameld voor het adequaat voeren van een bedrijf en het uitvoeren van onze projecten. Foto’s worden gemaakt voor communicatie van activiteiten via de website en andere sociale media. MPZ maakt geen statistische analyses van persoonsgegevens en verspreidt/verkoopt deze niet aan derden, tenzij dit uit wettelijk oogpunt verplicht is (bijv. de belastingdienst).
4. Toestemming medewerkers en bestuursleden
Bij (tijdelijk) in dienst treden bij MPZ geven medewerker aan MPZ onderstaande gegevens. Bestuursleden doen dat bij het aanvaarden van hun functie.
- Achternaam, voornaam en voorletters;
- Geboortedatum en plaats;
- Nationaliteit;
- Huisadres;
- Telefoonnummer en privé e-mailadres;
- Noodnummer (partner/ouders);
- Rekeningnummer en tenaamstelling bankrekening t.b.v. betaling loon;
- Kopie paspoort t.b.v. wettelijke registraties;
- BSN t.b.v. opgave voor belastingdienst;
- Vaardigheden (bijv. gevolgde relevante trainingen in het kader van ons werk);
- Gezondheidsgegevens (alleen indien noodzakelijk).
Medewerkers geven bij indiensttreding toestemming voor het plaatsen van zijn/haar foto in onze communicatie-uitingen (onder andere website, nieuwsbrieven, sociomedia). Bestuursleden doen dat door het aanvaarden van hun functie.
5. Toestemming klanten/ relaties
Bij het aangaan van een zakelijke relatie of het opvragen van een offerte/informatie geeft de klant aan MPZ impliciet toestemming voor het verwerken van de volgende gegevens:
- Achternaam, voornaam en evt. voorletters, geslacht;
- Bedrijfsgegevens (post en bezoekadres, website);
- Algemeen telefoonnummer en/of doorkiesnummer en/of 06-nummer;
- E-mailadres;
- Functie.
Maken en verspreiden van foto’s en beeldmateriaal
In het kader van onze projecten worden ook regelmatig foto’s gemaakt van bedrijfssituaties, groepen klanten of individuele klanten. MPZ vraagt altijd mondeling, of via e-mail toestemming van de betreffende klant alvorens een dergelijke foto te gebruiken voor communicatie. Indien, in het uitzonderlijke geval , hier minderjarigen onder de leeftijd van 16 jaar op staan, wordt de toestemming gevraagd aan een van beide ouders of een van rechtswege toegewezen voogd.
Verzenden van nieuwsbrieven
MPZ verzendt met Mailchimp nieuwsbrieven aan klanten. Op de gegevens die MPZ met Mailchimp uitwisselt zijn de Global Privacy Statements van Mailchimp van toepassing.
6. Inzagerecht
Medewerkers kunnen hun eigen gegevens inzien en laten wijzigen. Klanten, relaties of wettige vertegenwoordigers daarvan (in geval van minderjarigen) mogen te allen tijde inzage vragen in gegevens die MPZ van hen bijhoudt. Inzageprocedure: Een verzoek tot inzage van gegevens moet (schriftelijk of per e-mail) worden gericht aan het secretariaat van de stichting (info@milieuplatformzorg.nl. Het secretariaat draagt zorg voor een schriftelijk antwoord binnen zes weken. Dit kan alleen worden verstrekt indien geen twijfel bestaat over de identiteit van de aanvrager. MPZ is gerechtigd deze identiteit te controleren in voorkomende gevallen.
7. Recht op correctie
Als een medewerker, klant of relatie vaststelt dat er een feitelijke onjuistheid in de geregistreerde gegevens voorkomt, kan hij / zij dit aangeven bij het secretariaat. Het secretariaat draagt zorg voor correctie binnen zes weken.
8. Recht op vergetelheid
Een (oud-)medewerker, klant of relatie kan verzoeken om gegevens te wissen. Een dergelijk verzoek kan worden gericht aan het secretariaat. Het secretariaat draagt zorg het wissen binnen zes weken, mits dit mogelijk is in het kader van andere wettelijke verplichtingen die MPZ heeft. Financiële aanspraken door MPZ jegens de medewerker, de klant of de relatie blijven echter in voorkomend geval bestaan. Minimale gegevens nodig voor de afhandeling van financiële verplichtingen blijven gehandhaafd tot volledige afhandeling van financiële vraagstukken is afgerond. Daarna worden ook de financiële gegevens gewist. Als een klant of relatie niet langer een zakelijke relatie met MPZ onderhoud, worden de gegevens wel bewaard in ons CRM systeem. Deze worden aangehouden in verband met toekomstige lustrums of acquisitie.
9. Procedure datalekken
Een datalek ontstaat zodra vertrouwelijke gegevens van personen:
- bekend raken bij derden die geen recht op kennisname hebben;
- gegevens onherstelbaar worden vernietigd;
- gegevens verloren zijn geraakt en niet bekend is waar deze terecht zijn gekomen.
Zodra iemand een datalek vermoedt in relatie tot gegevens van medewerkers, klanten en of relaties van MPZ wordt deze persoon verzocht melding van dit vermoeden te doen bij het secretariaat. Verzocht wordt de eerste melding telefonisch te doen. Aansluitend wordt van de melder gevraagd de melding ook kort in een mail te zetten en te sturen aan info@miliueplatformzorg.nl Na ontvangst van de melding zal het secretariaat zorgen dat een onderzoek wordt opgestart om vast te stellen welke gegevens daadwerkelijk betroffen zijn en een melding aan de autoriteit persoonsgegevens te sturen. Daarna zal MPZ de leden die door het datalek getroffen zijn telefonisch of schriftelijk (via e-mail) informeren. Verder zal MPZ actie ondernemen om verdere schade te beperken en herhaling te voorkomen. Nb. MPZ verspreidt kennis over duurzaamheid en heeft als doel dat ook derden deze kennis kunnen toepassen. Hiervoor kan het onderdeel van een opdracht zijn om klanten/relaties ook van elkaar te laten leren (bijvoorbeeld binnen een duurzaamheidskring). In dit geval wordt uitwisseling van zakelijke contactgegevens (zoals e-mailadressen en telefoonnummers) van deelnemers als wenselijk en noodzakelijk gezien en niet als datalek.
10. Opslag van gegevens
MPZ zorgt goed voor opgeslagen gegevens. Persoonsgegevens worden door MPZ bijgehouden in ons CRM-systeem. Deze opslag van gegevens is alleen toegankelijk via onze server en voorzien van een inlog en wachtwoord. De server zelf is voorzien van adequate beveiliging (denk aan een firewall en virusbeveiliging) .Daarnaast slaat MPZ ook gegevens op van bedrijven en contactpersonen die een abonnement op een van onze online tools hebben (heden bijvoorbeeld de Milieubarometer). Deze worden opgeslagen in een afgeschermde digitale omgeving. MPZ en onze onderaannemer (heden Dreamsolution) dragen zorg voor een adequate afscherming van deze digitale omgeving. Hiervoor is een eindverwerkersovereenkomst afgesloten. Derden die in opdracht van MPZ werken (boekhouder, accountant, ICT beheerder, softwareontwikkelaar e.d.) mogen gegevens inzien ten einde hun activiteiten te kunnen uitvoeren. Zij mogen noodzakelijke gegevens tevens op hun eigen computersystemen verwerken zo lang deze met gebruikerskenmerk en wachtwoord zijn beveiligd. Na afronden van de activiteit waarvoor deze gegevens noodzakelijk zijn, worden de gegevens vernietigd. Ook met hen heeft MPZ een eindverwerkersovereenkomst afgesloten.