GDPR Informatie
Hoe we voldoen aan de Algemene Verordening Gegevensbescherming
Wat is de GDPR?
De Algemene Verordening Gegevensbescherming (AVG of GDPR) is een Europese wet die uw privacy beschermt. De wet bepaalt hoe organisaties met persoonsgegevens moeten omgaan.
shimmeringquill-spark houdt zich strikt aan de GDPR-richtlijnen. Op deze pagina leggen we uit hoe we dat doen.
Rechtmatige grondslag voor gegevensverwerking
We verwerken uw persoonsgegevens alleen als daar een rechtmatige grondslag voor is:
Overeenkomst (artikel 6.1.b GDPR)
We verwerken uw gegevens om onze pensioenadvies-diensten te kunnen leveren. Dit is noodzakelijk voor de uitvoering van de overeenkomst tussen u en ons.
Wettelijke verplichting (artikel 6.1.c GDPR)
Bepaalde gegevens bewaren we omdat de wet dat vereist, bijvoorbeeld voor belastingdoeleinden of bij bezwaarprocedures.
Gerechtvaardigd belang (artikel 6.1.f GDPR)
Voor websiteanalyse en communicatie-optimalisatie baseren we ons op gerechtvaardigd belang. Dit doen we alleen als het niet indruist tegen uw privacy.
Toestemming (artikel 6.1.a GDPR)
Voor bepaalde verwerkingen vragen we uw expliciete toestemming, bijvoorbeeld voor marketingcommunicatie. U kunt deze toestemming altijd intrekken.
Verwerking van bijzondere categorieƫn persoonsgegevens
Bij pensioenanalyses verwerken we soms bijzondere persoonsgegevens zoals medische informatie (bijvoorbeeld bij arbeidsongeschiktheid) of vakbondslidmaatschap (relevant voor pensioensectoren).
We doen dit alleen met uw expliciete toestemming (artikel 9.2.a GDPR) en alleen voor zover noodzakelijk voor de analyse.
Uw GDPR-rechten in detail
1. Recht op informatie (artikel 13-14)
U heeft recht op duidelijke informatie over welke gegevens we verzamelen en waarom. Deze informatie vindt u in ons privacybeleid.
2. Recht op inzage (artikel 15)
U kunt een overzicht opvragen van alle gegevens die we van u bewaren. We verstrekken dit binnen 30 dagen, gratis.
3. Recht op rectificatie (artikel 16)
Zijn gegevens onjuist of onvolledig? Dan kunt u vragen om correctie.
4. Recht op gegevenswissing (artikel 17)
U kunt vragen om verwijdering van uw gegevens. We voldoen hieraan, tenzij we wettelijk verplicht zijn de gegevens te bewaren (bijvoorbeeld boekhoudkundige stukken).
5. Recht op beperking van de verwerking (artikel 18)
U kunt vragen om tijdelijke beperking van de verwerking, bijvoorbeeld tijdens onderzoek naar de juistheid van de gegevens.
6. Recht op gegevensoverdraagbaarheid (artikel 20)
U kunt een kopie van uw gegevens opvragen in een gestructureerd, gangbaar formaat (bijvoorbeeld PDF of Excel).
7. Recht van bezwaar (artikel 21)
U kunt bezwaar maken tegen verwerkingen die gebaseerd zijn op gerechtvaardigd belang. We stoppen dan met die verwerking, tenzij we dwingende legitieme gronden hebben.
8. Recht om toestemming in te trekken (artikel 7.3)
Als een verwerking op uw toestemming is gebaseerd, kunt u die toestemming altijd intrekken.
Om deze rechten uit te oefenen, stuurt u een e-mail naar [email protected]
Beveiliging van gegevens (artikel 32)
We hebben passende technische en organisatorische maatregelen genomen om uw gegevens te beschermen:
- Encryptie van digitale bestanden
- HTTPS-beveiliging op onze website
- Toegangscontrole: alleen gemachtigde medewerkers hebben toegang
- Regelmatige back-ups in beveiligde omgevingen
- Geheimhoudingsverklaringen voor medewerkers
- Jaarlijkse beveiligingsaudits
Gegevensdoorgifte buiten de EU
We geven uw gegevens niet door aan partijen buiten de Europese Economische Ruimte (EER), tenzij dat noodzakelijk is en passende waarborgen zijn getroffen (bijvoorbeeld bij gebruik van cloudservices met EU-certificering).
Datalekken (artikel 33-34)
Mocht er ondanks onze beveiligingsmaatregelen toch een datalek plaatsvinden, dan:
- Melden we dit binnen 72 uur aan de Gegevensbeschermingsautoriteit
- Informeren we getroffen personen als het lek een hoog risico voor hun rechten vormt
- Nemen we onmiddellijk maatregelen om de schade te beperken
Tot nu toe hebben we nooit een datalek gehad.
Gegevensbeschermingseffectbeoordeling
Voor verwerkingen die een hoog risico voor uw privacy kunnen inhouden, voeren we een Data Protection Impact Assessment (DPIA) uit. Dit doen we bijvoorbeeld bij nieuwe systemen voor klantgegevens of bij uitbreiding van diensten.
Verwerkersovereenkomsten (artikel 28)
Alle externe partijen die in onze opdracht persoonsgegevens verwerken (zoals hostingproviders), hebben een verwerkersovereenkomst getekend. Hierin staat dat zij:
- Gegevens alleen verwerken volgens onze instructies
- Passende beveiligingsmaatregelen treffen
- Gegevens niet voor eigen doeleinden gebruiken
- Medewerking verlenen bij uitoefening van uw rechten
Geautomatiseerde besluitvorming en profilering
We maken geen gebruik van volledig geautomatiseerde besluitvorming of profilering die juridische gevolgen voor u heeft. Alle analyses en adviezen worden uitgevoerd door menselijke specialisten.
Klacht indienen
Bent u het niet eens met hoe we uw gegevens verwerken? U kunt contact opnemen met onze privacyverantwoordelijke via [email protected].
U heeft ook het recht om een klacht in te dienen bij de toezichthouder:
Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35
1000 Brussel
Belgiƫ
Tel: +32 2 274 48 00
E-mail: [email protected]
Website: www.gegevensbeschermingsautoriteit.be
Vragen?
Heeft u vragen over GDPR of over hoe we uw gegevens beschermen? Neem gerust contact op via [email protected]. We helpen u graag verder.