Privacybeleid dd 24 mei 2018

Stichting Stimular hecht grote waarde aan de bescherming van de persoonsgegevens van haar medewerkers, klanten en relaties. Persoonlijke gegevens worden dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. Stichting Stimular houdt zich dan ook in alle gevallen aan de eisen die de Algemene Verordening Gegevensbeveiliging stelt.

In dit privacy beleid staat beschreven hoe Stichting Stimular persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staat in dit beleid beschreven. Het privacy beleid omvat alle on- en offline systemen waarin persoonsgegevens voorkomen en is van toepassing binnen de hele organisatie.

Stimular werkt alleen voor bedrijven en organisaties (business to business) en niet voor consumenten. Bij het opstellen van dit privacybeleid is daarom een splitsing gemaakt tussen gegevens van zakelijke contacten en gegevens van privé-personen (medewerkers/ bestuursleden)die wij beheren.

1. Toestemming en vereisten verwerking persoonsgegevens
Conform de Algemene Verordening Gegevensbeveiliging is het Stichting Stimular toegestaan persoonsgegevens te verwerken (categorie Bijzondere vereisten, vrijgestelde categorieën van verwerkingen: verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties).
De Algemene Verordening Gegevensbeveiliging stelt eisen aan organisaties die gegevensbestanden beheren, zoals een klantenadministratie. Deze eisen zijn;

2. Verantwoording
De directie van de Stichting is uiteindelijk verantwoordelijk voor de correcte omgang van persoonsgegevens. Daarnaast hebben alle vaste en tijdelijke medewerkers een gedeeltelijke, soms tijdelijke verantwoordelijkheid. Deze verantwoordelijkheid wordt manifest zodra de medewerker de beschikking krijgt over of toegang krijgen tot (lijsten met) gegevens van klanten of andere medewerkers.

3. Doel van verwerking
Gegevens van klanten (bedrijfsmatige persoonsgegevens) en (oud-)medewerkers (persoongegevens) worden uitsluitend verzameld voor het adequaat voeren van een bedrijf en het uitvoeren van onze projecten.
Foto’s worden gemaakt voor communicatie van activiteiten via de website en andere sociale media.
Stimular maakt geen statistische analyses van persoonsgegevens en verspreidt/verkoopt deze niet aan derden, tenzij dit uit wettelijk oogpunt verplicht is (bijv. de belastingdienst).

4. Toestemming medewerkers
Bij het (tijdelijk) in dienst treden bij Stimular geeft de medewerker/bestuurslid aan Stimular toestemming voor het verwerken van de volgende gegevens:

5. Toestemming klanten/ relaties
Bij het aangaan van een zakelijke relatie of het opvragen van een offerte/informatie geeft de klant aan Stimular impliciet toestemming voor het verwerken van de volgende gegevens:

Maken en verspreiden van foto’s en beeldmateriaal
In het kader van onze projecten worden ook regelmatig foto’s gemaakt van bedrijfssituaties, groepen klanten of individuele klanten. Stimular vraagt altijd mondeling, of via e-mail toestemming van de betreffende klant alvorens een dergelijke foto te gebruiken voor communicatie.
Indien, in het uitzonderlijke geval , hier minderjarigen onder de leeftijd van 16 jaar op staan, wordt de toestemming gevraagd aan een van beide ouders of een van rechtswege toegewezen voogd.

Nb. Stimular verwerkt, beroepshalve, ook milieugegevens en bedrijfsgegevens van klanten. Deze gegevens vallen niet onder het privacyverklaring. Laat onverlet dat Stimular hier altijd wel vertrouwelijk mee omgaat.

6. Inzagerecht
Medewerkers kunnen hun eigen gegevens inzien en laten wijzigen.
Klanten, relaties of wettige vertegenwoordigers daarvan (in geval van minderjarigen) mogen te allen tijde inzage vragen in gegevens die Stimular van hen bijhoudt.
Inzageprocedure: Een verzoek tot inzage van gegevens moet (schriftelijk of per e-mail) worden gericht aan het secretariaat van de stichting (mail@stimular.nl). Het secretariaat draagt zorg voor een schriftelijk antwoord binnen zes weken. Dit kan alleen worden verstrekt indien geen twijfel bestaat over de identiteit van de aanvrager. Stimular is gerechtigd deze identiteit te controleren in voorkomende gevallen.

7. Recht op correctie
Als een medewerker, klant of relatie vaststelt dat er een feitelijke onjuistheid in de geregistreerde gegevens voorkomt, kan hij / zij dit aangeven bij het secretariaat. Het secretariaat draagt zorg voor correctie binnen zes weken.

8. Recht op vergetelheid
Een (oud-)medewerker, klant of relatie kan verzoeken om gegevens te wissen. Een dergelijk verzoek kan worden gericht aan het secretariaat. Het secretariaat draagt zorg het wissen binnen zes weken, mits dit mogelijk is in het kader van andere wettelijke verplichtingen die Stimular heeft.
Financiële aanspraken door Stimular jegens de medewerker, de klant of de relatie blijven echter in voorkomend geval bestaan. Minimale gegevens nodig voor de afhandeling van financiële verplichtingen blijven gehandhaafd tot volledige afhandeling van financiële vraagstukken is afgerond. Daarna worden ook de financiële gegevens gewist.

Als een klant of relatie niet langer een zakelijke relatie met Stimular onderhoud, worden de gegevens wel bewaard in ons CRM systeem. Deze worden aangehouden in verband met toekomstige lustrums of acquisitie.

9. Procedure datalekken
Een datalek ontstaat zodra vertrouwelijke gegevens van personen:

Zodra iemand een datalek vermoed in relatie tot gegevens van medewerkers, klanten en of relaties van Stichting Stimular wordt deze persoon verzocht melding van dit vermoeden te doen bij het secretariaat. Verzocht wordt de eerste melding telefonisch te doen. Aansluitend wordt van de melder gevraagd de melding ook kort in een mail te zetten en te sturen aan mail@stimular.nl.
Na ontvangst van de melding zal het secretariaat zorgen dat een onderzoek wordt opgestart om vast te stellen welke gegevens daadwerkelijk betroffen zijn en een melding aan de autoriteit persoonsgegevens te sturen. Daarna zal Stimular de leden die door het datalek getroffen zijn telefonisch of schriftelijk (via e-mail) informeren. Verder zal Stimular actie ondernemen om verdere schade te beperken en herhaling te voorkomen.

Nb. Stimular verspreid kennis over duurzaamheid en heeft als doel dat ook derden deze kennis kunnen toepassen. Hiervoor kan het onderdeel van een opdracht zijn om klanten/relaties ook van elkaar te laten leren (bijvoorbeeld binnen een duurzaamheidskring). In dit geval wordt uitwisseling van zakelijke contactgegevens (zoals e-mailadressen en telefoonnummers) van deelnemers als wenselijk en noodzakelijk gezien en niet als datalek.

10. Opslag van gegevens
Stimular zorgt goed voor opgeslagen gegevens.
Persoonsgegevens worden door Stimular bijgehouden in ons CRM-systeem. Deze opslag van gegevens is alleen toegankelijk via onze server en voorzien van een inlog en wachtwoord. De server zelf is voorzien van adequate beveiliging (denk aan een firewall en virusbeveiliging).

Daarnaast slaat Stimular ook gegevens op van bedrijven en contactpersonen die een abonnement op een van onze online tools hebben (heden bijvoorbeeld de Milieubarometer of MVO-Balans). Deze worden opgeslagen in een afgeschermde digitale omgeving. Stimular en onze onderaannemer (heden Dreamsolution) dragen zorg voor een adequate afscherming van deze digitale omgeving.
Hiervoor is een eindverwerkersovereenkomst afgesloten.

Derden die in opdracht van Stimular werken (boekhouder, accountant, ICT beheerder, softwareontwikkelaar e.d.) mogen gegevens inzien ten einde hun activiteiten te kunnen uitvoeren.
Zij mogen noodzakelijke gegevens tevens op hun eigen computersystemen verwerken zo lang deze met gebruikerskenmerk en wachtwoord zijn beveiligd. Na afronden van de activiteit waarvoor deze gegevens noodzakelijk zijn, worden de gegevens vernietigd. Ook met hen heeft Stimular een eindverwerkersovereenkomst afgesloten.