Privacyverklaring verwerker

Algemene Verordening Gegevensbescherming

Laatste update 13/05/2022

Door middel van deze Verklaring verbindt Carya Group (Verwerker) er zich eenzijdig toe om de Persoonsgegevens die zij verwerkt in het kader van haar dienstverlening voor haar klanten (Verwerkingsverantwoordelijke)te verwerken zoals hieronder wordt uiteengezet.

In functie van veranderende omstandigheden en samenwerkingsverbanden kan deze verklaring ook aangepast worden.

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
  • Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
  • Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lid-statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (“Verantwoordelijke”);
  • Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Verwerker”);
  • Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte Persoonsgegevens betrekking hebben;
  • Verklaring: deze verklaring inclusief de bijlagen;
  • Overeenkomst: de hoofdovereenkomst waar deze Verklaring uit voortvloeit;
  • Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);
  • Gegevensbeschermingseffectbeoordeling: het uitvoeren van een beoordeling, voorafgaand aan het uitvoeren van de verwerking, van het effect van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens.

2. Teruggave Persoonsgegevens en bewaartermijn

  • Na het beëindigen van de Overeenkomst geeft de Carya Group de Persoonsgegevens terug. Eventuele achter gebleven Persoonsgegevens zullen door de Carya Group op een zorgvuldige en veilige manier worden vernietigd.
  • De Persoonsgegevens die Carya Group verwerkt volgens deze Verklaring worden vernietigd op verzoek van de Klant.

3. Totstandkoming, duur en beëindiging van deze Verklaring

  • Deze Verklaring treedt in werking op de datum van publicatie op de website (op pagina https://www.caryagroup.eu/nl/privacyverklaring). Mogelijke wijzigingen worden eveneens op dezelfde webpagina gepubliceerd.
  • Deze Verklaring maakt integraal onderdeel uit van de Overeenkomst en zal gelden zolang de Overeenkomst duurt.
  • Indien de Overeenkomst eindigt, eindigen ook de verplichtingen die voortvloeien uit deze Verklaring.
  • Na beëindiging van de Overeenkomst zullen de lopende verplichtingen voor Carya Group, zoals het melden van Datalekken, waarbij de Persoonsgegevens van de Klant betrokken zijn, en de plicht tot geheimhouding blijven voortduren.

4. Verwerken Persoonsgegevens

  • Carya Group zal alleen Persoonsgegevens verwerken in opdracht van de Klant en heeft geen zeggenschap over de Persoonsgegevens. Carya Group volgt de instructies van de Klant hierover op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Klant Carya Group daarvan tevoren toestemming of opdracht voor geeft.
  • In Bijlage 1 (Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen) wordt opgenomen welke Persoonsgegevens Carya Group precies zal verwerken en voor welke verwerkingsdoeleinden.
  • Carya Group houdt zich aan de wet en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze.
  • De Persoonsgegevens door de Klant aan Carya Group verstrekt mogen door deze laatste gedeeld worden met filialen of bedrijven behorende tot dezelfde groep, met de door de Carya Group aangestelde sub-verwerkers of met bedrijven/filialen noodzakelijk voor de dienstverlening. De Klant beschikt over alle nodige toestemmingen om Carya Group data te laten delen met de in dit lid vermelde entiteiten.
  • De Klant verleent hierbij een algemene toestemming aan Carya Group om met sub-verwerkers samen te werken. Carya Group zal de Klant inlichten over de beoogde veranderingen inzake toevoeging of vervanging van verwerkers. De melding inzake sub-verwerkers verloopt via de website op volgende link: https://www.caryagroup.eu/nl/subverwerkers.
  • Tegen deze beoogde toevoeging of vervanging kan de Klant bezwaar maken. Dit bezwaar door de Klant dient aangetekend en binnen de 10 dagen (X+10/datum poststempel) na het versturen van de mededeling te gebeuren.
  • Wanneer Carya Group met toestemming van de Klant andere organisaties inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in deze Verklaring.
  • Wanneer de Klant een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt de Carya Group daar binnen een termijn van 21 dagen aan mee. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
  • Wanneer de Klant Carya Group verzoekt om informatie te verschaffen, dan zal Carya Group de informatie verstrekken die de Klant nodig heeft voor het uitvoeren van een Gegevensbeschermingseffectbeoordeling. De Klant heeft dit nodig om in te kunnen schatten wat het risico van de Verwerking is die de Carya Group namens de Klant uitvoert.

5. Beveiligen van Persoonsgegevens

  • Carya Group zorgt ervoor dat zij de Persoonsgegevens voldoende beveiligt. Om verlies en onrechtmatige verwerkingen te voorkomen neemt Carya Group passende technische en organisatorische maatregelen.
  • Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover worden opgenomen in Bijlage 2 (Overzicht met beveiligingsmaatregelen).
  • De controle op de algehele verwerking van Persoonsgegevens door Carya Group verloopt via zelfevaluatie. Op verzoek van de Klant zal de Carya Group een rapport verstrekken waarin de deze aantoont dat hij voldoet aan de wet en de afspraken uit deze Verklaring.
  • Wanneer een van de partijen vindt dat een wijziging in de te nemen beveiligingsmaatregelen noodzakelijk is, treden de partijen in overleg over de wijziging daarvan.
  • In de communicatie met Carya Group zoals maar niet beperkt tot het gebruik van het ticketing systeem zal de Klant geen persoonsgegevens ter beschikking stellen aan de Carya Group.

6. Geheimhouding

  • Carya Group zal de aan haar verstrekte Persoonsgegevens geheimhouden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
  • Carya Group zal ervoor zorgen dat ook haar personeel en ingeschakelde derden zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-) contracten op te nemen.

7. Datalekken

  • In geval van een ontdekking van een mogelijk Datalek zal Carya Group de Klant hierover binnen 48 uur informeren alsook aan de Klant, conform de van toepassing zijnde regelgeving, de nodige informatie verstrekken zodat deze laatste indien nodig een melding bij de Toezichthouder kan doen.
  • De meldingen aan de Klant worden gedaan om een algemeen beschikbaar nummers en emailadres tenzij de Klant hiervoor een specifiek telefoonnummer/e-mailadres heeft meegedeeld.
  • Na de melding van een Datalek aan de Klant, zal Carya Group de Klant op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, de maatregelen die Carya Group heeft getroffen om de omvang van het Datalek te beperken, te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
  • Carya Group zal geen melding van een Datalek doen bij de Toezichthouder en al evenmin zal Carya Group de Betrokkenen informeren over een Datalek. Dit is de verantwoordelijkheid van de Klant.
  • Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te kunnen voorkomen, komen voor rekening van degene die de kosten maakt.

Bijlage 1: Overzicht van verwerkte Persoonsgegevens

Verwerkersdoeleinden:

  • Leverancier, ontwikkelaar en het uitvoeren van onderhoud van een Dealer Management Systeem (DMS)
  • Aanbieden van support op geleverde systemen
  • Service desk dienstverlening
  • On-site ondersteuning
  • SQL-support services
  • Data Exchange monitoring (i.e. Centraal bewaken van uitgaande en inkomende bestandswisselingen)
  • Aanbieden van verschillende diensten en het leveren van support: beveiligde internettoegangen al dan niet uitgebreid met WIFI & VPN oplossingen…
  • Backup internet routing dienstverlening
  • Synchronisatie en delen van data
Categorieën van Persoonsgegevens

  • Persoonlijke identificatiegegevens (NAW, titel, telefoonnummer, email / werk-privé);
  • Identificatie gegevens, andere dan het RR, uitgegeven door de overheid (identiteitskaartnummer, rijbewijsnummer, nummerplaat, chassisnummer);
  • Beroepsactiviteit;
  • Persoonlijke kenmerken (leeftijd, geslacht, geboortedatum, nationaliteit…);
  • Vrije tijdsbestedingen (hobby’s, sport…);
  • Elektronische identificatiegegevens (IP-adressen, verbindingsmomenten…);
  • Gebruik informatica middelen (hardware en applicaties);
Categorieën van Betrokkenen

  • Persoonsgegevens van klanten van Verwerkersverantwoordelijke:
  • Persoonsgegevens van medewerkers van de Verwerkersverantwoordelijke:

Bijlage 2: Overzicht met beveiligingsmaatregelen

Hieronder een overzicht van de beveiligingsnormen die de Verwerkingsverantwoordelijke aan de Verwerker oplegt:

Technische beveiligingsmaatregelen

  • Up to date virus scan
  • Up to date firewall
  • Beveiligde USB-sticks
  • Accurate beveiliging van Gsm’s en tablets
  • Unieke inlogcode en wachtwoord per persoon
  • Afdwingen voldoende complexe paswoorden en beperkte gebruiks-termijn
  • Beveiligde e-mails (paswoord)
  • Geen onbeveiligde externe harde schijven
  • Beveiligde/ versleutelde verzending van data

Organisatorische beveiligingsmaatregelen

  • Clean desk policy
  • BYOD policy
  • E-mail en internet policy
  • Paswoord policy
  • Mobiele apparaten policy (BYOD)
  • Opleiding over zorgvuldig omgaan met persoonsgegevens
  • Opleiding over beveiliging