Privacybeleid

NCD (Nederlandse Vereniging voor Commissarissen en Directeuren) is een vereniging voor commissarissen en directeuren met als doel hét platform te zijn in Nederland voor verantwoord leiderschap, toezicht en bestuur. Dit privacybeleid is van toepassing op de gehele bedrijfsvoering van NCD.

Binnen NCD wordt op verschillende manieren en op verschillende locaties data verwerkt. Dit betreft ‘gewone’ data en persoonsgegevens. Alle data dient beschermd te worden. De bescherming van persoonsgegevens zoals voorgeschreven in de AVG maakt daar onderdeel van uit. Met dit beleid wordt de bescherming van data, persoonsgegevens en privacy gewaarborgd, beschermd en gehandhaafd. NCD is verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoonsgegevens van leden en niet-leden. Dit privacybeleid legt de basis daarvoor. Het privacybeleid vormt een algemeen kader, dat verder geconcretiseerd wordt in verschillende procedures, reglementen en werkinstructies.

Het beleid en de werkprocessen zijn ingericht volgens het principe ‘Privacy by Design’. Directie en medewerkers zijn op de hoogte van het belang van databescherming en het waarborgen van privacy. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen. Dit privacybeleid is in lijn met het algemene beleid van NCD en geldende nationale en Europese wet- en regelgeving.

Nieuwe technologische ontwikkelingen, innovatieve voorzieningen en globalisering stellen andere eisen aan de bescherming van gegevens en privacy. NCD is zich hiervan bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen te treffen op het gebied van informatiebeveiliging. In een apart informatiebeveiligingsbeleid wordt aangegeven op welke wijze dit geborgd is binnen NCD.

Het privacybeleid wordt jaarlijks geëvalueerd en indien nodig herzien. De Privacy Manager is het aanspreekpunt binnen de organisatie. Op dit moment is Blue Legal de externe Privacy Manager. Bij onduidelijkheden of vragen kan de Privacy Manager worden benaderd. De directie van NCD draagt de eindverantwoordelijkheid.

2. Wetgeving en definities.

Algemene en specifieke wet- & regelgeving Op 25 mei 2018 is de Wet Bescherming Persoonsgegevens (Wbp) komen te vervallen en is de Europese Verordening, de Algemene Verordening Gegevensbescherming (AVG), in werking getreden. Daarnaast zijn er nog een aantal onderwerpen verder uitgewerkt in de Uitvoeringswet AVG (UAVG), de Telecommunicatiewet, Wet op de Identificatieplicht en fiscale wet- en regelgeving en andere specifieke wet- en of regelgeving, gerelateerd aan branches, markten of bijzondere activiteiten van NCD.

Definities en verantwoordelijke

De begrippen zoals in artikel 4 van de AVG beschreven zullen in dit beleid dezelfde betekenis hebben. Voor de persoonsgegevens die NCD intern heeft en zelf verkrijgt, is zij aan te merken als de verantwoordelijke, in de zin van artikel 4 lid 7 van de AVG. Uitgangspunten privacywetgeving NCD handelt conform de geldende wet- & regelgeving en gaat dus op een zorgvuldige- en verantwoorde manier met persoonsgegevens om en respecteert ook de privacy van betrokkenen. Hierbij gelden de volgende uitgangspunten:

1. Rechtmatigheid, behoorlijkheid en transparantie
   Persoonsgegevens worden in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze verwerkt. De gegevensverwerkingsprocessen zijn transparant.
2. Grondslag en doelbinding NCD zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtmatige grondslag verwerkt.
3. Dataminimalisatie
   NCD verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. NCD streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
4. Bewaartermijn
   Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn voor NCD om werkzaamheden en taken goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.
5. Integriteit en vertrouwelijkheid NCD gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt NCD voor passende beveiliging van persoonsgegevens.
6. Delen met derden
   In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt NCD afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Deze afspraken voldoen aan de wet. NCD evalueert deze afspraken ieder jaar.
7. Subsidiariteit
   Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt inbreuk op de persoonlijke levenssfeer van de betrokkene zoveel mogelijk beperkt.
8. Proportionaliteit
   De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het doel van de verwerking.
9. Rechten van betrokkenen
   NCD honoreert alle rechten van betrokkenen.

3. Data.

Data en persoonsgegevens die aan NCD ter beschikking worden gesteld dienen te worden beschermd. Hiervoor is NCD aan te merken als de verantwoordelijke voor de verwerkingen die door of namens NCD worden uitgevoerd. Binnen NCD wordt veel gewerkt met persoonsgegevens van leden, niet-leden en klanten, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld voor, ten behoeve van en bij de leden voor het leveren van producten en diensten aan leden, waarvoor ook de uitwisseling van informatie met leveranciers en derden noodzakelijk is. De klant en andere betrokkene(n) moeten erop kunnen vertrouwen dat NCD zorgvuldig en veilig met de persoonsgegevens omgaat. Dit privacybeleid vormt de basis daarvoor. De data die NCD heeft opgeslagen en verwerkt staat overzichtelijk weergegeven in het verwerkingsregister dat is opgenomen in Bijlage 1. Hieruit is gebleken dat NCD ten behoeve van verschillende doeleinden meerdere categorieën van gegevens verwerkt. Dit houdt NCD up to date in haar verwerkingsregister. De bewaartermijnen van deze data, alsook de opslagplaats, worden tevens vermeld in het verwerkingsregister.

De data van NCD wordt lokaal opgeslagen en tevens beheerd en geback-upt door IT-beheerder Veneco, waarmee een verwerkersovereenkomst is gesloten. De data bevindt zich in Nederland en indien dat in de toekomst niet het geval zou zijn, houdt NCD er rekening mee dat de locaties waarop de data wordt gehost c.q. is opgeslagen zich allemaal binnen de Europese Economische Ruimte bevinden.

NCD zal in ieder geval de volgende algemene bewaartermijnen in acht nemen zoals die gelden conform de AVG:

• Marketingcontacten. Hier is geen maximale termijn aan gekoppeld. Wel dient NCD te kunnen rechtvaardigen waarom zij marketingcontacten bewaart.
• Klant- en leverancierscontacten. Voor de duur van de overeenkomst en de daaruit voortvloeiende verplichtingen (bijv. garantie en service). Hiervoor geldt de fiscale bewaartermijn van 7 jaar.
• Medewerkersgegevens ten behoeve van het personeelsdossier. Hiervoor zal de duur van de arbeidsovereenkomst gelden als bewaartermijn plus 5 jaar na uitdiensttreding.
• Overige:
  • Kopie identiteitsbewijs: maximaal 5 jaar na uitdiensttreding van de werknemer;
  • Sollicitatiegegevens: de richtlijn van de AVG is dat sollicitatiegegevens 4 weken na einde van de sollicitatieprocedure verwijderd zijn (bij het niet toewijzen van de functie). NCD handelt hiernaar. Indien de sollicitant opnieuw toestemming verleent, kunnen de sollicitatiegegevens opnieuw één jaar bewaard worden. Overigens is de termijn van 1 jaar die is afgegeven door de Autoriteit Persoonsgegevens een richtlijn en geen wet (dit is niet opgenomen in een artikel van de AVG). Om die reden geldt dat NCD altijd zal afwegen wat het belang is van NCD versus het privacybelang van de betrokkene.

Welke data

Naast gegevens van haar personeel, beschikt NCD over persoonsgegevens van haar leden. Dit betreft voornamelijk particulieren maar daarnaast ook contactpersonen van bedrijven. Deze contactpersonen zijn via het betreffende bedrijf lid van NCD. De volgende persoonsgegevens worden verwerkt:

• Naam;
• Organisatienaam (optioneel);
• E-mailadres;
• Telefoonnummer;
• Geslacht;
• Adres en woonplaats;
• Geboortedatum;
• Functie;
• Factuurgegevens (zakelijk);
• Betaalgegevens (zakelijk);
• Overige persoonsgegevens die door een klant van NCD vrijwillig aan NCD zijn verstrekt, bijvoorbeeld persoonsgegevens die door middel van cookies via de website zijn verzameld.

4. Verwerkingen.

De door NCD aangewezen Privacy Manager is verantwoordelijk voor het bijwerken van het verwerkingsregister. De Privacy Manager is tevens op de hoogte van alle ontwikkelingen op het gebied van privacy en gegevensbescherming.
De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. In de AVG valt o.a. onder een verwerking het verzamelen, vastleggen, ordenen, bewaren en delen van persoonsgegevens. Veel meer handelingen zijn echter een verwerking in de zin van de AVG. Om die reden kan daarvan geen limitatieve opsomming worden gegeven.
Door middel van het verwerkingsregister toont NCD aan op welke wijze en in welke mate zij gegevens verwerkt. Dit verwerkingsregister is bijgevoegd als Bijlage 1.

Doeleinden

Persoonsgegevens mogen alleen verzameld worden als daarvoor een duidelijk doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. Het doel van de verwerking wordt tevens opgenomen in het verwerkingsregister. Voor de uitvoering van sommige wetten zijn de doelen voor het verwerken in de wet al vastgelegd, net als de persoonsgegevens die gevraagd en verwerkt mogen worden.

Het hoofddoel van de verwerking is: Het in staat zijn de doelen van de vereniging na te streven, door middel van het kunnen delen van kennis en ervaring aan leden en niet-leden, zowel online door middel van het leerplatform als offline door middel van voor de leden georganiseerde evenementen.

Dit doel valt uiteen in een aantal ‘subdoelen’ per verwerking, die tevens concreet zijn aangeduid in het verwerkingsregister.

Rechtmatige grondslag

Voor elke verwerking van persoonsgegevens moet er een rechtmatige grondslag uit de wet van toepassing zijn. Dit kan op basis zijn van de AVG maar ook op basis van de voor NCD specifiek geldende wet- en/of regelgeving zijn.

De rechtmatige grondslag waarop NCD zich baseert zijn:

• Het nakomen van een wettelijke verplichting, zoals het identificeren van personeel ten behoeve van indiensttreding;
• Het uitvoeren van een overeenkomst waar de betrokkene onderdeel van is;
• Toestemming van de betrokkene voor de specifieke verwerking.

Bovenstaande rechtmatige grondslagen zijn in beginsel van toepassing op het hoofddoel van NCD voor het verwerken van gegevens zoals hierboven vermeld. De specifieke rechtmatige grondslagen staan tevens per verwerking genoemd in het verwerkingsregister van NCD.

Wijze van verwerking

De hoofdregel van de verwerking van persoonsgegevens is dat het alleen toegestaan is in overeenstemming met de wet, en op een zorgvuldige wijze. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. De wet gaat uit van subsidiariteit. Dit betekent dat verwerking alleen is toegestaan wanneer het doel niet op een andere manier kan worden bereikt.

In de wet wordt ook gesproken over proportionaliteit. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt als dit in verhouding staat tot het doel. Wanneer met geen, of minder (belastende), persoonsgegevens hetzelfde doel bereikt kan worden moet daar altijd voor gekozen worden.

Uiteraard zal NCD de persoonsgegevens enkel verwerken op een wijze die in overeenstemming is met de subsidiariteit en proportionaliteit. NCD zorgt ervoor dat de persoonsgegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht.

Doorgifte persoonsgegevens

Indien NCD persoonsgegevens doorgeeft aan een land buiten de Europese Economische Ruimte (EER), zal zij dit alleen doen op grond van duidelijke, actuele en door de Europese Commissie goedgekeurde afspraken, inhoudende dat het land buiten de EER een passend beschermingsniveau heeft.

5. Compliance.

Personeel In het kader van bewustwording van NCD en haar medewerkers met betrekking tot de omgang met persoonsgegevens, zal NCD haar medewerkers regelmatig instrueren en trainen met betrekking tot dit privacybeleid en de AVG. Dit zal zij onder andere doen door haar medewerkers een geheimhoudingsbepaling op te leggen in de arbeidsovereenkomst en medewerkers die met bijzondere data en/of veel persoonsgegevens omgaan, adequate instructies te geven en te trainen.

Veranderingen in de privacywetgeving zullen worden meegenomen in het beleid van NCD. Ook zal NCD ontwikkelingen op het gebied van privacy bij houden en implementeren in haar bedrijfsvoering voor zover wettelijk verplicht.

Bovendien is de toegang tot data binnen NCD afhankelijk van de functie. Er geldt dus een toegangsscheiding afhankelijk van de rol/functie van de betreffende medewerker. Dit is tevens zo ingericht in het systeem van AFAS waarvan NCD gebruik maakt.

Organisatorische maatregelen

De volgende maatregelen zijn middelen van NCD waarmee zij waarborgt dat zij voldoet aan de wettelijke AVG-verplichtingen:

1. Privacy Impact Assessment (PIA)
   Met een PIA worden de effecten en risico’s van nieuwe verwerkingen beoordeeld op de bescherming van de data. NCD voert een dergelijke beoordeling telkens uit wanneer er een nieuwe geautomatiseerde verwerking of een grootschalige verwerking plaatsvindt of op ieder ander moment wanneer NCD de effecten en risico’s van een verwerking wil inschatten.

2. Datalekken & datalekregister
   De Privacy Manager is verantwoordelijk voor het registreren van datalekken alsook de adequate afhandeling ervan. Het datalekregister is opgenomen in Bijlage 3 bij dit beleid.

Van een datalek is sprake wanneer persoonsgegevens in handen vallen van een derde die geen toegang tot die gegevens mag hebben. Wanneer het vermoeden bestaat dat er een datalek heeft plaatsgevonden, wordt de Privacy Manager daarover geïnformeerd en worden de vervolgstappen samen met de Privacy Manager afgestemd. Wanneer er een datalek heeft plaatsgevonden meldt NCD dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de Autoriteit Persoonsgegevens. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt NCD dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd en waar nodig worden aanpassingen gemaakt.

Een datalek wordt afgehandeld volgens bovengenoemde procedure en hierbij wordt alles gedaan om (mogelijke) negatieve gevolgen voor betrokkenen zoveel mogelijk te beperken.

3. Verwerkersovereenkomst
   Om te waarborgen dat een verwerker, die in opdracht van NCD persoonsgegevens verwerkt, zorgvuldig omgaat met de gegevens die NCD gedeeld heeft, zal er een verwerkersovereenkomst tussen NCD en de verwerker worden afgesloten. In deze overeenkomst zullen de concrete rechten en verplichtingen van NCD en de verwerker worden opgenomen.

6. Beveiliging, profilering en Big Data.

In welke mate en op welke wijze NCD haar data beveiligt, staat vastgelegd en uitgewerkt in een informatiebeveiligingsbeleid. NCD beveiligt alle persoonsgegevens. Dit moet voorkomen dat de persoonsgegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft.

In het kort komt het erop neer dat NCD de volgende technische en organisatorische beveiligingsmaatregelen heeft genomen:

• Inventarisatie en categorisering data
• Toegangsbeveiliging
• Bijzondere toegang tot bijzondere persoonsgegevens
• Back-up van gegevens
• Beveiligde server en beveiligd transport van data
• Instructie medewerkers

Profilering

Profilering vindt plaats wanneer er een geautomatiseerde verwerking van persoonsgegevens plaatsvindt waarbij aan de hand van persoonsgegevens naar bepaalde persoonlijke aspecten van een persoon wordt gekeken om deze persoon te categoriseren en te analyseren, of om zaken te kunnen voorspellen. Voorbeelden van persoonlijke aspecten kunnen zijn; financiële situatie, interesses, gedrag of locatie. NCD maakt géén gebruik van profilering. Dit heeft NCD ook opgenomen in een Privacy statement, zie Bijlage 2, die zij op haar website heeft geplaatst.

Big data en tracking

Bij het inzetten van big data en tracking mogen alleen gegevens verwerkt worden wanneer deze niet herleidbaar zijn tot een natuurlijk persoon en worden ze alleen verzameld voor onderzoek dat door, of namens, NCD wordt uitgevoerd. Wanneer de gegevens worden omgezet in een dataset zal alleen de data die echt nodig is voor het behalen van het doel gebruikt zullen worden.

7. Transparantie en communicatie

Wanneer gegevens van een betrokkene verwerkt worden, wordt hij door NCD op de hoogte gesteld van de manier waarop NCD met de data en persoonsgegevens om zal gaan.

Communicatie extern

NCD is verplicht om te communiceren dat zij conform AVG handelt en verplicht te communiceren richting leden en leveranciers welke gegevens zij verwerkt. Dit zal NCD doen door op haar website een Privacy Statement plaatsen die inzichtelijk is voor eenieder die de website gebruikt (zie Bijlage 2).

Verwijdering

NCD bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar werkzaamheden en taken, of voor zo lang als de wettelijke bewaartermijn in dat specifieke geval voorschrijft. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen

De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten: recht op informatie, inzagerecht, correctierecht, recht van verzet, recht om vergeten te worden en het recht op bezwaar. Betrokkenen worden gewezen op hun rechten in de privacy statement die op de website van NCD is geplaatst. NCD zal gehoor geven aan en handelen in overeenstemming met de rechten van de betrokkenen.

Indienen van verzoek

Om gebruik te maken van zijn rechten kan de betrokkene een verzoek indienen via privacy@ncd.nl. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. NCD heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal NCD laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij NCD, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan NCD aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene. Als NCD een wettelijke verplichting niet nakomt kan de betrokkene een klacht indienen. Deze zal via de klachtenregeling van NCD worden behandeld. In gevallen waar het beleid niets over zegt, beslist het bestuur van NCD.

8. Afsluiting.

De Privacy Manager controleert de naleving en uitvoering van dit beleid jaarlijks. De Privacy Manager zal het beleid daarbij evalueren en bijwerken/updaten. In geval van wetswijzigingen, zal de Privacy Manager bekijken of het privacybeleid en de daarbij horende documenten dienen te worden aangepast.

Aldus vastgesteld door het bestuur van NCD in juli 2022