Privacybeleid

Voor VOICT is een zorgvuldige verwerking van persoonsgegevens van groot belang. Hierbij houden wij ons aan de eisen die de Algemene verordening gegevensbescherming (AVG) stelt. In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel.

ISO/IEC 27001 gecertificeerd

VOICT is ISO 27001 (informatiebeveiliging) gecertificeerd.
Klanten mogen verwachten dat we zorgvuldig omgaan met hun gegevens en dat deze gegevens beschermd zijn. Door gecertificeerd te zijn kunnen we ook aantonen dat we op een professionele wijze het Information Security Management hebben ingericht, bewaken en continue verbeteren.

ISO/IEC 27001 is een ISO standaard voor informatiebeveiliging waarin wordt beschreven hoe informatiebeveiliging procesmatig ingericht zou kunnen worden om de beveiligingsmaatregelen te effectueren. De standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.

Verantwoordelijkheid

De klant is de rechtspersoon die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Daarmee is de klant van VOICT – volgens de definitie van de AVG – de Verantwoordelijke. VOICT wordt aangemerkt als Verwerker die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt zonder dat VOICT onder rechtstreeks gezag staat van de klant. VOICT heeft geen weet aan welke overige wetgeving haar klanten dienen te voldoen en kan daar ook geen enkele verantwoordelijkheid voor nemen noch over afgeven.

VOICT legt de wederzijdse rechten en plichten tussen haar en haar klanten in het kader van de AVG vast in een zogenaamde Verwerkersovereenkomst.

Wet Beveiliging Netwerk- en Informatiesystemen (Wbni)

VOICT biedt haar product aan als een SaaS-dienst en kan aangemerkt worden als online cloud dienstverlener. Volgens de richtlijnen van de Wbni worden wij echter niet beschouwd als digitaledienstverlener in de zin van de wet. Wat overigens niet uitlsuit dat wij niet alles zullen doen wat in ons vermogen ligt om zoveel als redelijkerwijs mogelijk is te voldoen aan security-eisen.

Vastleggen en verwerking van gegevens

VOICT zal de gegevens van haar klanten behoorlijk en zorgvuldig verwerken in overeenstemming met de AVG. Wij bewaren en gebruiken uitsluitend die persoonsgegevens die rechtstreeks door of namens onze klanten in onze systemen, handmatig of geautomatiseerd, worden ingevoerd. Deze persoonsgegevens worden door VOICT niet gemanipuleerd, bewerkt of gekoppeld aan andere gegevens dan noodzakelijk voor een goede werking van het systeem, tenzij op nadrukkelijk verzoek van onze klanten anders bepaald. In principe leggen we alleen gegevens vast die noodzakelijk zijn voor de levering van goederen en diensten tussen leverancier en afnemer. Er worden geen zogenaamde bijzondere persoonsgegevens vastgelegd. Gegevens worden door VOICT niet verstrekt aan derden. Met iedere klant wordt separaat de bewaartermijnen van de data overeengekomen. Buiten de afgesproken bewaartermijnen wordt geen data door VOICT opgeslagen. Aangezien de persoonsgegevens noodzakelijk zijn voor de distributie van goederen gaan we er van uit dat er sprake is van ondubbelzinnige toestemming van de betrokkene(n). VOICT onderhoudt geen relatie met individuele geadresseerden. Verzoeken om wijziging of verwijdering van gegevens (het recht op vergetelheid) door geadresseerden dienen gericht te worden aan de klant. De klant kan vervolgens een verzoek richten om data van een geadresseerde te verwijderen. Hiervoor bestaat een standaard procedure.

Alle Data van onze producten is opgeslagen op eigen servers in Nederland. Er wordt geen gebruik gemaakt van Cloud-diensten buiten de EER.

Registratiesysteem

Gegevens worden binnen het SaaS-systeem van VOICT namens haar klant opgeslagen en beheerd. Hieronder vallen ook gebruikersnamen en wachtwoorden. Het beheer van gebruikersnamen en wachtwoorden is de verantwoordelijkheid van de klant. Hiervoor dient zij een zogenaamde super-user of applicatiebeheerder aan te wijzen. Na registratie bewaart VOICT de gebruikersnaam en persoonsgegevens, zoals naam, e-mailadres en wachtwoord. Wij bewaren deze gegevens zodat deze niet steeds opnieuw ingevuld behoeven te worden. Wij zullen de aan een gebruikersnaam gekoppelde gegevens niet aan derden verstrekken, tenzij dit wettelijk verplicht is of nadrukkelijk door de klant wordt verzocht. In alle gevallen zal de verstrekking aan derden slechts plaatsvinden via de klant. Binnen het systeem kunnen gegevens van opdrachtgevers en sub-contracters worden opgeslagen. Deze gegevens worden alleen gebruikt voor de (self)billing en financiële afwikkeling binnen het systeem of via een door de klant overeengekomen interface. Binnen het systeem kunnen remboursgegevens worden vastgelegd. Deze vastlegging is louter en alleen voor een goede afwikkeling van de remboursafdracht. Bankgegevens zijn binnen het systeem niet bekend. Op verzoek van de klant kunnen deze financiële gegevens via een interface beschikbaar gesteld worden aan een ander systeem teneinde een correcte afwikkeling te realiseren.

Gebruikersnaam en wachtwoord

Een gebruikersnaam is gekoppeld aan een wachtwoord. Gebruikers zijn zelf verantwoordelijk voor het zorgvuldig omgaan met het wachtwoord. Klanten van VOICT zijn verantwoordelijk voor het juiste gebruik en het stellen van een veiligheidsbeleid op dit gebied. Wij gaan er vanuit dat een persoon die zich aanmeldt met een gebruikersnaam en wachtwoord, bevoegd is tot het gebruik van de gebruikersnaam. Wanneer wordt vermoed dat het wachtwoord bij onbevoegden bekend is, kan de super-user het account blokkeren en/of een nieuw wachtwoord instellen. Gebruikersnamen zijn persoonlijk, het hanteren van zogenaamde functionele gebruikersnamen voor gebruik door meer dan één persoon wordt ontraden maar is een verantwoordelijkheid van de klant.

Beveiliging van persoonsgegevens

Wij maken gebruik van strikte veiligheidsprocedures, onder meer om te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevens. Wij maken met name gebruik van beveiligde verbindingen (Secure Sockets Layer of SSL) waarmee alle informatie tussen de gebruikers en onze webapplicaties wordt afgeschermd vanaf het moment dat de gebruiker zich aanmeldt (met gebruikersnaam en wachtwoord).

Meldplicht datalekken

Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Een datalek moet gemeld te worden bij het Autoriteit Persoonsgegevens als dit risico oplevert voor de rechten en vrijheden van de betrokkenen. Wij gaan er van uit dat de gegevens die in onze systemen t.b.v. de distributie zijn vastgelegd niet onder deze criteria vallen en derhalve niet aan de Autoriteit Persoonsgegevens noch aan betrokkenen gemeld hoeven te worden. In voorkomend geval zullen wij altijd onze klanten informeren.

Klikgedrag en bezoekgegevens

Binnen de applicaties van VOICT worden algemene bezoekgegevens bijgehouden en worden gebruikt voor statistische analyses van bezoek- en klikgedrag op de site/applicatie. In dit kader wordt van het IP-adres van de computer van de gebruiker slechts een deel geregistreerd en de overige gegevens zo veel als mogelijk geanonimiseerd. Voor het analyseren van dit gedrag wordt gebruik gemaakt van self-hosted (wat betekent dat deze data op onze eigen servers wordt opgeslagen) programma Matomo. Deze gegevens kunnen onder voorwaarden met onze opdrachtgevers gedeeld worden maar worden niet aan anderen verstrekt noch voor commerciële doeleinden aangewend.

Gebruik van cookies

Binnen de webapplicaties wordt gebruik gemaakt van cookies. Een cookie is een eenvoudig klein bestandje dat op de harde schijf van de computer wordt opgeslagen. Wij maken gebruik van tijdelijke cookies. Deze cookies bevatten geen persoonsgegevens en worden enkel gebruikt om het gebruik van de webapplicatie gemakkelijker te maken. Na inloggen met de gebruikersnaam en wachtwoord stuurt onze server een cookie om gedurende de rest van een sessie de gebruiker te kunnen herkennen. Middels dit cookie kunnen wij ook bijhouden welke pagina’s worden opgevraagd. Cookies worden verder niet voor andere (commerciële) doeleinden gebruikt.

Websites van derden

Deze verklaring is niet van toepassing op webapplicaties of sites van derden die door middel van links met onze applicaties zijn verbonden.

Mobiele apps

De wijze waarop wij omgaan met vastleggen en verwerken van gegevens gelden onverkort voor onze mobiele apps. Om in te loggen kan het e-mailadres gevraagd worden. Dit e-mailadres wordt alleen gebruikt voor de toegang tot het systeem en in de eventuele communicatie vanuit het systeem naar de gebruikers. Dit ter beslissing van de klant.

De mobiele app zal gegevens, inclusief gegevens die vanaf het toestel beschikbaar kunnen worden gesteld zoals GPS-data en foto’s, niet anders gebruiken dan dat voor de goede werking van het systeem vereist is.

Wijzigingen privacy verklaring

Wij behouden ons het recht voor om wijzigingen aan te brengen in deze verklaring.

Inzage en wijzigen van gegevens

Vragen over ons privacy beleid of vragen omtrent inzage en wijzigingen in (of verwijdering van) persoonsgegevens kunnen alleen door de klant bij ons worden ingediend.

ii Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands: godsdienst of levensovertuiging; ras; politieke gezindheid; gezondheid; seksuele leven; lidmaatschap van een vakvereniging; strafrechtelijke persoonsgegevens; en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod).