Privacy beleid Birch

 

Wij van Birch zijn ons ervan bewust dat u erop vertrouwt dat wij op een goede manier met uw gegevens omgaan. Om die reden zien wij het als onze verantwoordelijkheid om uw privacy te beschermen, en transparant te zijn over ons privacy beleid.

In dit document vindt u als eerste onze privacy procedure. Hierin staat vermeld welke gegevens wij van onze betrokkenen verzamelen, waarom we deze gegevens verzamelen en wat u kunt doen wanneer u uw privacy rechten wilt uitoefenen. Ook staat in deze procedure beschreven welke systemen en diensten wij gebruiken, en hoe ook daarbij uw privacy wordt gewaarborgd. Als tweede wordt een Privacy Impact Assessment (PIA) van Birch beschreven. Hier wordt beoordeeld welke privacy risico’s er voor betrokkenen zijn, en welke maatregelen wij nemen om deze risico’s te minimaliseren. Als derde treft u in dit document ons databeveiligingsbeleid. Denk hierbij aan de toegangscontrole die plaatsvindt om bepaalde gegevens te kunnen inzien, of fysieke beveiliging van uw gegevens.

Dit privacy beleid heeft betrekking op alle diensten die door Birch worden geleverd. Door gebruik te maken van de diensten van Birch stemt u in met dit privacy beleid.

Birch respecteert uiteraard de privacy van alle gebruikers van haar diensten, en draagt er zorg voor dat de persoonlijke informatie die u deelt op vertrouwelijke wijze wordt behandeld.

Wij controleren voortdurend of wij blijven voldoen aan dit privacy beleid. Bij vragen of opmerkingen over uw privacy bij Birch kunt u contact opnemen met ons:

 

Birch

‘De Breulburcht’

Breullaan 1H

3971 NG Driebergen

 

+31 6 506 22 998

c.lassooij@birch.nl

 

 

Privacy procedure

 

Verwerkingsregister

 

In het verwerkingsregister staat beschreven welke gegevens wij bezitten en verzamelen, wie deze gegevens kan inzien, en waarvoor we deze gegevens gebruiken. Daarnaast wordt beschreven wanneer we deze gegevens verwijderen.

 

Welke data Categorie Waarvoor Doelgroep Bewaartermijn
Naam, adres, woonplaats, telefoonnummer, IP nummer Contactgegevens Voor het verwerken van personeelsgegevens, salarisadministratie. Medewerkers Tot 5 jaar na de opdrachtverstrekking/ indiensttreding.
  Voor het communiceren met betrokkenen zoals opdrachtgevers en partner organisaties. Betrokken organisaties (opdrachtgevers, potentiële opdrachtgevers, partner organisaties etc. ) Tot 5 jaar na toezegging van gegevensverwerking.
  Voor het doorlopen van de sollicitatieprocedure Sollicitanten Tot 1 jaar na afsluiting sollicitatie traject.
IBAN nummer, KVK nummer, BTW nummer, Factuuradres Betaalgegevens Voor het verwerken van offertes, facturen.

 

Opdrachtgevers, Tot 7 jaar na de opdrachtverstrekking
    Voor het verwerken van salarisadministratie. Medewerkers Tot 7 jaar na uitdiensttreding.
Alle gegevens die verstrekt worden door betrokken personen en opdrachtgevers. Opdrachtgegevens Voor het vervullen van de opdracht zoals omschreven door de opdrachtgever. Opdrachtgevers Tot 5 jaar na de opdrachtverstrekking.
  Voor het verwerken van de gegevens van betrokken personen. Bijvoorbeeld voor deelname aan workshops/acadamy events. Betrokken personen

 

Wat u kan doen wanneer u uw privacy rechten willen uitoefenen

 

Birch biedt u de mogelijkheid om al uw persoonlijke gegevens die aan ons zijn verstrekt in te zien, te veranderen of te verwijderen. Uw verzoek tot inzage, verandering, gegevensoverdraging en verwijdering kunt u mailen naar c.lassooij@birch.nl.

 

Privacy Impact Assessment

 

De Privacy Impact Assessment (PIA) is bedoeld om het effect van een specifieke verwerking van persoonsgegevens te beoordelen op de privacy van de betrokkenen. In onderstaande tabel staat beschreven welke gegevens om welke reden bij Birch worden verwerkt, en welke impact deze verwerking heeft op de privacy van de betrokkenen. De risico’s zullen tegenover de waarborgen worden afgezet waarop de kolom “PIA nodig?” toelicht of hier aparte audits voor nodig zijn om veiligheid te waarborgen.

 

Verwerkingsstap Risico Kans Impact/

Gegevens

Maatregel(en) PIA nodig?
Opdrachtgegevens verwerken Opdracht gegevens worden verloren of zijn inzichtelijk voor de verkeerde partijen. Laag Groot: gevoelige gegevens kunnen leiden tot concurrentienadeel/integriteitsissues ·   Opdrachtgegevens opslaan in beveiligde cloud omgeving (Dropbox en Microsoft Power BI).

·     Medewerkers instrueren deze gegevens alleen te delen met project gerelateerde collega’s of betrokkenen bij opdrachtgevers.

·     Alleen project verantwoordelijke medewerkers toestemming geven voor de betreffende Dropbox map of PowerBI data.

Nee
Communicatie met netwerk partijen Contactgegevens van netwerk partijen worden inzichtelijk voor verkeerde partijen. Laag Medium: contactgegevens kunnen ongewenst gebruikt worden. ·     Contactgegevens opslaan in beveiligde cloud omgeving (Simplicate en Mailchimp).

·     Medewerkers instrueren deze gegevens alleen te delen met collega’s of betrokkenen bij opdrachtgevers met toestemming van netwerk partijen.

Nee

 

Databeveiligingsbeleid

 

Het databeveiligingsbeleid omschrijft op welke manier wordt voldaan aan de relevante beveiligingseisen voor Birch. Deze beveiligingseisen zijn noodzakelijk om te garanderen dat (kwetsbare) persoonsgegevens zo min mogelijk risico lopen om onrechtmatig verwerkt te worden, of kwijt te geraken. Het databeveiligingsbeleid is opgedeeld in verschillende categorieën die allen zullen worden behandeld in dit hoofdstuk.

 

Toegangscontrole

Een eerste methode om de data binnen Birch zo goed mogelijk te beveiligen is door het gebruik en beheer van authenticatiemiddelen. Dit houdt in dat toegang tot bepaalde ICT-voorzieningen wordt beveiligd met een gebruikersnaam en/of wachtwoord.

De authenticatiemiddelen kunnen persoonsgebonden zijn, hierbij valt te denken aan wachtwoorden voor persoonlijke e-mailaccounts. Deze persoonlijke authenticatiemiddelen zijn niet overdraagbaar naar andere personen. Een aantal authenticatiemiddelen zijn gebonden aan een apparaat, bijvoorbeeld bij wachtwoorden en gebruikersnamen die specifiek zijn gecreëerd voor het gebruik van de algemene laptop. Per apparaat is één persoon verantwoordelijk voor het beheer van het bijbehorende authenticatiemiddel. Deze persoon ziet bijvoorbeeld toe welke personen toegang mogen hebben tot het apparaat, en zorgt voor verspreiding van het authenticatiemiddel onder deze personen.

Voor de applicatie Power BI Pro geldt dat slechts enkele medewerkers toegang hebben tot de serviceapplicatie. De authenticatiemiddelen die hiervoor worden gebruikt, zijn hetzelfde als de gebruikersnaam en het wachtwoord voor het Office-account. Deze accounts kunnen eventueel gedeeld worden met andere medewerkers die toegang nodig hebben tot deze applicatie.

Middels het databeveiligingsprotocol wordt het personeel ingelicht over het belang van sterke wachtwoorden. Met name wachtwoorden voor apparaten moeten complex en lastig te achterhalen zijn. De persoon die dit wachtwoord beheert moet daarom toezien op de sterkte van het gekozen wachtwoord.

 

Logging

Logging is de registratie van alle handelingen rondom (gevoelige) persoonsgegevens. Door logging is het bijvoorbeeld mogelijk om te zien wanneer iemand een bepaald bestand heeft gewijzigd. De Dropbox die wordt gebruikt om bestanden op te slaan biedt de mogelijkheid aan teambeheerders en beheerders van het gebruikersbeheer om alle activiteiten binnen te Dropbox in te zien. Er is bijvoorbeeld inzicht in nieuwe aanmeldingen, gedeelde bestanden, wachtwoordwijzigingen en nieuwe gekoppelde apparaten. Meer informatie over logging binnen Dropbox is te vinden op hun website.[1]

 

Fysieke maatregelen

Er zijn ook fysieke maatregelen genomen om zowel fysieke als digitale persoonlijke gegevens te beschermen. Er is één algemene laptop die buiten kantooruren in het kantoor blijft liggen. Aan werknemers wordt geïnstrueerd om deze laptop veilig op te bergen in de daarvoor bestemde opslagkast. Fysiek opgeslagen persoonsgegevens zijn bijvoorbeeld kopieën van contracten en documenten van en voor opdrachtgevers. De meeste documenten met persoonsgegevens worden bewaard in een aparte ruimte binnen het kantoor. Zowel het kantoor zelf als het pand waarin het kantoor zich bevindt zijn voorzien van een slot. Er zijn twee verschillende sleutels nodig om toegang te verkrijgen tot het kantoor. Daarnaast is het kantoor voorzien van een inbraakalarm, die buiten kantooruren staat ingeschakeld. Op deze wijze heeft Birch alle mogelijke fysieke maatregelen genomen ten behoeve van de bescherming van persoonlijke data.

 

Encryptie van bestanden

Voor de opslag van digitale persoonsgegevens wordt een Dropbox gebruikt. Ieder project heeft zijn eigen map, waar alleen de betrokken werknemers toegang tot hebben. Door gezamenlijk in een Dropbox te werken kunnen medewerkers de bestanden met persoonsgegevens op een veilige manier gebruiken en delen. Dropbox is namelijk voorzien van verschillende beveiligingslagen. Hierbij valt te denken aan een sterke versleuteling, beveiligde gegevensoverdracht, netwerkconfiguratie en beveiligingsfuncties op het toepassingsniveau. Meer informatie over de versleuteling van bestanden is te vinden op de website van Dropbox.[2]

 

Controle

Er moet steekproefsgewijs worden gecontroleerd of het opgestelde privacy beleid uit dit document wordt nageleefd. Deze controle vindt halfjaarlijks plaats, en wordt uitgevoerd door Chris, Process Analist en Consultant van Birch.

Allereerst zal dit document grondig worden doorlopen. Indien nodig wordt het document aangepast of uitgebreid. Vervolgens worden documenten waarvan de bewaartermijn is verstreken verwijderd. Tijdens het wekelijkse teamoverleg wordt iedereen gevraagd om verouderde bestanden te verwijderen. Chris zal erop toezien dat iedereen begrijpt welke bestanden moeten worden verwijderd, en zal controleren of dit daadwerkelijk wordt gedaan. Ook zal tijdens het teamoverleg worden herhaald hoe er moet worden omgegaan met eventuele datalekken.

 

Kopieën en back-ups

Back-ups van onze bestanden worden automatisch gemaakt door de Dropbox waar wij in werken. Back-ups worden standaard 120 dagen behouden, waarna zij worden verwijderd. Het gehele beleid op het gebied van back-ups door Dropbox valt online te lezen.[3]

 

Beveiliging netwerkverbindingen

Alle medewerkers maken gebruik van een firewall. Daarnaast maakt onze website gebruik van de beter beveiligde TLS-verbinding. Op die manier zorgen we dat uw gegevens op het internet beveiligd zijn.

 

 

[1] https://www.dropbox.com/nl_NL/guide/admin/visibility-and-control/track-team-activity

[2] https://www.dropbox.com/business/trust/security/architecture

[3] https://www.dropbox.com/nl_NL/features/cloud-storage/file-backup