De ‘Data Guidelines’ van Bisnode

GettyImages-534572989.jpg

1. INLEIDING

Dit gegevensprivacybeleid (het "Beleid") zet de algemene principes uiteen die een onderneming ("Bisnode-onderneming") binnen de Bisnode Groep moet toepassen voor het verzamelen, gebruiken, bijhouden, opslaan en bekendmaken van Persoonsgegevens, inclusief Persoonsgegevens die betrekking hebben op huidige en prospectieve klanten, werknemers en leveranciers of die op andere wijze verkregen worden tijdens de operaties.

Elke Verwerking van Persoonsgegevens door Bisnode-ondernemingen zal gebeuren in overeenstemming met de Europese Richtlijn voor Gegevensbescherming (95/46/EC) en de nationale wetten die deze richtlijn implementeren.

Termen met hoofdletter in dit Beleid zullen de betekenis hebben uiteengezet in hoofdstuk 3 van dit Beleid tenzij ze afzonderlijk worden gedefinieerd.

2. REIKWIJDTE

Het doel van dit Beleid is een gemeenschappelijke basis te leggen voor Bisnode-ondernemingen bij het verwerken en beschermen van Persoonsgegevens. Dit beleid omvat elke Verwerking van Persoonsgegevens met betrekking tot informatie in elektronische vorm (inclusief e-mail en documenten aangemaakt met tekstverwerkingssoftware) en informatie op papieren dragers die verwijst naar afzonderlijke individuen.

Het bestaan en de naleving van dit Beleid ontslaan een Bisnode-onderneming niet van haar verplichting om de beleidsregels en procedures op te stellen die nodig zijn om te voldoen aan specifieke wettelijke eisen en bedrijfsbehoeften van toepassing in een bepaald rechtsgebied of in particuliere omstandigheden.

Wanneer nationale wetten bindende verplichtingen opleggen die strikter zijn dan opgelegd door dit Beleid, zullen de verplichtingen van de nationale wetten voorrang hebben en moeten deze worden gevolgd. Wanneer nationale wetten bindende verplichtingen opleggen die niet in dit Beleid aan bod komen, moeten de relevante nationale wetten worden gevolgd. Als er tegenstrijdige verplichtingen tussen dit Beleid en de nationale wetgeving, dient u overleg te plegen met de General Counsel & Secretary van Bisnode AB.

3. DEFINITIES

Controller betekent de natuurlijke of rechtspersoon of entiteit die alleen of samen met anderen de doelstellingen en middelen voor de verwerking van Persoonsgegevens bepaalt.

Persoonsgegevens betekent elke informatie betreffende een geïdentificeerde of, in sommige rechtsgebieden, identificeerbare natuurlijke persoon; een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, in het bijzonder door verwijzing naar een of meerdere factoren die specifiek zijn voor zijn/haar fysieke, fysiologische, mentale, economische, culturele of sociale identiteit of door  informatie zoals identificatienummer, bank- of kredietkaartgegevens, socialezekerheidsnummer, telefoon/faxnummer, e-mailadres en, adres.

Verwerking betekent elke verrichting of reeks van verrichtingen die wordt uitgevoerd op Persoonsgegevens, al dan niet geautomatiseerd, zoals het verzamelen, registreren, organiseren, opslaan, aanpassen of wijzigen, ophalen, raadplegen, gebruiken, bekendmaken door transmissie, verspreiden of anderszins beschikbaar stellen, groeperen of combineren, blokkeren, wissen of vernietigen.

Processor betekent een natuurlijke of rechtspersoon die Persoonsgegevens verwerkt voor rekening van de Controller.

Gevoelige Persoonsgegevens betekent een speciale categorie van Persoonsgegevens waarvoor extra bescherming vereist is. Wat als Gevoelige Persoonsgegevens beschouwd wordt, kan van land tot land verschillen, maar omvat doorgaans informatie betreffende ras, etnische oorsprong, seksuele geaardheid, politieke mening, vakbondslidmaatschap, religieuze of filosofische overtuiging, misdrijven, strafrechtelijke veroordelingen of gezondheids- en medische dossiers.

4. BELEID

4.1 Verwerking
Elke Bisnode-onderneming zal persoonsgegevens enkel verkrijgen via wettelijke en eerlijke middelen, waar aangewezen met het medeweten en de toestemming van het betrokken individu. Persoonsgegevens zullen worden verwerkt in overeenstemming met de toepasselijke wet en alle toepasselijke contractuele verplichtingen.

4.2 Informatie aan het individu
Elke Bisnode-onderneming zal, indien geëist door de toepasselijke wet, een contract of wanneer de Bisnode-onderneming vindt dat het redelijkerwijs praktisch en aangewezen is om zo te handelen, informatie verschaffen aan de betrokken individuen over de doelstellingen van de verwerking van Persoonsgegevens, de categorieën verzamelde en opgeslagen informatie, de identiteit van de Controller, en andere informatie voor zover dit noodzakelijk is om ervoor te zorgen dat Persoonsgegevens worden verwerkt in overeenstemming met dit Beleid en de toepasselijke wetgeving.

4.3  Toestemming van het individu
Als een Bisnode-onderneming wettelijk of contractueel verplicht is om de toestemming van een individu te vragen en te verkrijgen alvorens informatie die persoonsgegevens bevat te verzamelen, te gebruiken of bekend te maken voor bepaalde doeleinden, zal de Bisnode-onderneming die toestemming vragen en zich eraan houden. De Bisnode-onderneming zal erop toezien dat de toestemming voldoet aan de bindende wettelijke eisen met betrekking tot die toestemming, zoals bijvoorbeeld dat ze vrijwillig moet zijn en uitdrukkelijk gegeven.

4.4 Verwerking van Gevoelige Persoonsgegevens
Elke Bisnode-onderneming zal bijkomende maatregelen treffen voor specifieke soorten Persoonsgegevens gedefinieerd door de nationale wetgeving zoals Gevoelige Persoonsgegevens of die anderszins extra bescherming vereisen. Elke Bisnode-onderneming zal ook maatregelen treffen om te beantwoorden aan lokale gewoonten of verwachtingen met betrekking tot de verwerking van Gevoelige Persoonsgegevens.

4.5 Gebruik en bijhouden
Elke Bisnode-onderneming zal alleen Persoonsgegevens verwerken voor bedrijfsdoeleinden. Elke Bisnode-onderneming zal alleen Persoonsgegevens verwerken die nodig zijn voor de doeleinden waarvoor ze worden gebruikt, en zal Persoonsgegevens slechts zolang bijhouden als nodig is voor die doeleinden en anderszins om te voldoen aan de toepasselijk wettelijke bijhoudperiodes.

4.6  Beveiligen van Persoonsgegevens
Elke Bisnode-onderneming zal redelijke en aangepaste beveiligingen uitwerken om Persoonsgegevens te beschermen tegen ongeoorloofde gebruikmaking, bekendmaking, vernietiging en verandering.

4.7  Kwaliteit van Persoonsgegevens
Elke Bisnode-onderneming zal maatregelen treffen om ervoor te zorgen dat de kwaliteit van de verwerkte Persoonsgegevens naar haar beste weten nauwkeurig, volledig, actueel en anderszins betrouwbaar is voor de doeleinden waarvoor ze worden gebruikt.

4.8  Verzoek tot toegang en verbetering van Persoonsgegevens
Als een individu verzoekt om toegang te krijgen tot Persoonsgegevens die hem of haar betreffen, of verzoekt om fouten in zijn of haar Persoonsgegevens te verbeteren, en het bestaan van een relevante fout of vergetelheid kan aantonen, zal de Bisnode-onderneming dergelijk verzoek in aanmerking nemen en inwilligen, wanneer ze van oordeel is dat het passend is of wanneer de toepasselijke wet haar daartoe verplicht. Indien bepaald in de nationale wetgeving, kan een administratieve vergoeding worden gevraagd om een dergelijk verzoek uit te voeren.

4.9 Bekendmaking aan derde partijen
Elke Bisnode-onderneming zal Persoonsgegevens enkel bekendmaken aan derde partijen (inclusief andere Bisnode-ondernemingen) voor bedrijfsdoeleinden of wanneer anderszins vereist door de toepasselijke wet. Elke Bisnode-onderneming zal nagaan of, volgens de toepasselijke wet, de derde partij beschouwd wordt als een Controller of een Processor van de doorgestuurde Persoonsgegevens.

Elke Bisnode-onderneming zal een verwerkingsovereenkomst sluiten met elke Processor (inclusief andere Bisnode-ondernemingen) waarin de verantwoordelijkheden van elke partij met betrekking tot de doorgestuurde Persoonsgegevens worden uiteengezet. De gegevensverwerkingsovereenkomst zal garanderen dat de Processor de Persoonsgegevens vrijwaart tegen verdere bekendmaking en dat alleen Persoonsgegevens worden verwerkt in overeenstemming met de instructies van de Controller. Daarnaast zal de gegevensverwerkingsovereenkomst de Processor opdragen om passende technische en organisatorische maatregelen te treffen om de Persoonsgegevens te beschermen alsook procedures voor informatie bij gegevensinbreuken.

4.10  Internationale transfers
Elke Bisnode-onderneming zal alleen Persoonsgegevens overdragen aan, of toegang toestaan door entiteiten gevestigd in landen buiten de Europese Economische Ruimte in de mate dat zulke landen geacht worden een adequaat niveau van bescherming te bieden aan Persoonsgegevens. Een adequaat beschermingsniveau van Persoonsgegevens wordt aanwezig geacht als de Persoonsgegevens worden overgedragen aan een entiteit in de Verenigde Staten die de Safe Harbour-overeenkomst heeft ondertekend of als de transfer gebeurt volgens een contract dat de modelclausules bevat goedgekeurd door de Europese Unie om te garanderen de Persoonsgegevens die buiten de Europese Economische Ruimte worden overgedragen adequaat worden beschermd.

Voorafgaand aan elke transfer krachtens deze paragraaf 4.10, zal de overdragende Bisnode-onderneming de vereisten van de nationale wetgeving voor de verwerking en bescherming van Persoonsgegevens beoordelen om zeker te zijn dat voldaan wordt aan haar verplichtingen, en aan de verplichtingen van de geadresseerde in de andere landen met betrekking tot dergelijke vereisten.

4.11  Websites en cookies
Elke externe website ontwikkeld door een Bisnode-onderneming zal een online privacyverklaring bevatten die voldoet aan de vereisten van de toepasselijke wet. Elke externe website ontwikkeld door een Bisnode-onderneming zal ook een online cookiesbeleid implementeren en procedures bevatten voor het aanvaarden van cookies zoals verplicht door de toepasselijke wet.

5. MONITORING EN ENFORCEMENT

5.1 Interne monitoring en enforcement bij Bisnode
Elke Bisnode-onderneming zal haar werknemers die Persoonsgegevens verwerken (zoals HR-personeel, personeelsmanagers en supervisors, vertegenwoordigers van de klantendienst, marketing- en verkooppersoneel) bewust maken van dit Beleid en ervoor zorgen dat zij het naleven. Elke Bisnode-onderneming zal naar eigen oordeel, en waar toepasselijk, verantwoordelijk zijn om haar personeel de passende opleiding te geven met betrekking tot dit Beleid.

Daarnaast zal elke Bisnode-onderneming haar verkopers en/of zelfstandige onderaannemers of tijdelijke personeelsleden die Persoonsgegevens verwerken bewust maken van de inhoud van dit Beleid en ervoor zorgen dat ze het naleven.

Niet-naleving van dit Beleid kan leiden tot mogelijke disciplinaire sancties en/of de aansprakelijkheid van een Bisnode-onderneming meebrengen krachtens de toepasselijke wet of contractuele bepalingen.

5.2  Negatieve publiciteit met betrekking tot de verwerking van Persoonsgegevens
Elke Bisnode-onderneming zal onmiddellijk elke negatieve publiciteit betreffende de verwerking van Persoonsgegevens door een Bisnode-onderneming rapporteren aan de Group General Counsel & Secretary van Bisnode AB, samen met alle gekende details.

5.3  Gegevensbeschermingsautoriteiten en nationale wetgeving
Elke Bisnode-onderneming zal de eisen van de nationale wetgeving voor de verwerking van Persoonsgegevens onderzoeken, inclusief en zonder beperking elke verplichting om de gegevensbeschermingsautoriteiten te informeren, alsook om een data privacy officer aan te stellen.

6. ROLLEN EN VERANTWOORDELIJKHEID

De Bisnode Groep heeft gekozen voor een decentrale aanpak met lokale verantwoordelijkheid om dit Beleid toe te passen. Dat impliceert dat de CEO van elke Bisnode-onderneming ervoor verantwoordelijk is dat dit Beleid volledig wordt geïmplementeerd, beheerd en gecontroleerd binnen zijn/haar Bisnode-onderneming. De implementatie-, beheer- en controlefuncties voor dit Beleid kunnen worden gedelegeerd aan een lokale verantwoordelijke.

Deze verantwoordelijkheid omvat, maar is niet beperkt tot, het identificeren in welke mate de nationale wetten van het land waar de betrokken Bisnode-onderneming gevestigd striktere of andere eisen opleggen dan dit Beleid, en de verplichting dat dergelijke eisen worden nageleefd.

Afwijkingen van dit Beleid zullen worden gedocumenteerd door de betrokken Bisnode-onderneming.

7. VRAGEN OVER DIT BELEID

Alle vragen over dit Beleid, inclusief verzoeken om uitzonderingen of inhoudelijke veranderingen, dienen te worden gericht aan de Counsel & Secretary van Bisnode AB.