ZonnepanelenDelen BV - Privacy beleid

1. Doel

ZonnepanelenDelen B.V. (hierna ‘ZPD’) verwerkt in haar bedrijfsprocessen persoonsgegevens. Dit betreft onder nadere persoonsgegevens van klanten, medewerkers, leveranciers en installateurs.

ZPD vindt het belangrijk dat met deze persoonsgegevens zorgvuldig wordt omgegaan en dat deze vertrouwelijk worden behandeld. De verwerking van persoonsgegevens dient met de grootste zorgvuldigheid te gebeuren om schade door misbruik aan klanten, medewerkers, alle andere betrokkenen en ZPD zelf te voorkomen.

Met dit beleidsdocument wordt vastgelegd hoe ZPD invulling geeft aan de rechten en verplichtingen uit de Algemene Verordening Gegevensbescherming (2016/679/EG, hierna ‘AVG’) en aanverwante wet- en regelgeving betreffende de bescherming van Persoonsgegevens.

2. Definities

Om de verschillende begrippen volgend uit de AVG binnen dit beleid te kunnen duiden, worden onderstaand de belangrijkste begrippen nader gedefinieerd.

Betrokkene: Ieder natuurlijke persoon van wie persoonsgegevens worden verwerkt.

Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de Betrokkene’). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Verwerken: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Verwerkingsverantwoordelijke: De natuurlijke of rechtspersoon, een overheidsinstantie, een dienst, of ander orgaan die alleen, of samen met anderen, het doel van en de middelen van verwerking van de persoonsgegevens vaststelt (in casu ZPD).

Register: Het register van verwerking als bedoeld in artikel 30 van de AVG.

3. Reikwijdte en Governance

Dit beleid is van toepassing op iedere Verwerking van Persoonsgegevens door ZPD.

De Directie is verantwoordelijk voor (de uitvoering van) het beleid. Het beleid wordt jaarlijks of indien daar aanleiding toe is geëvalueerd en zo nodig herzien. De Legal Counsel van ZPD ziet erop toe dat wordt gehandeld in overeenstemming met het beleid en de wet- en regelgeving met betrekking tot dit onderwerp.

4. Beginselen van Verwerking van Persoonsgegevens

Bij de Verwerking van Persoonsgegevens staan de volgende beginselen voorop:

Rechtmatigheid: Verwerking van Persoonsgegevens is rechtmatig (d.w.z. vindt uitsluitend plaats voor doeleinden die gebaseerd kunnen worden op één van de rechtsgrondslagen die in de AVG worden gegeven.[1]

Eerlijkheid en Transparantie: Verwerking van Persoonsgegevens is behoorlijk en transparant.

Doelbinding: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en vervolgens niet op onverenigbare wijze verder verwerkt.

Dataminimalisatie: Persoonsgegevens zijn adequaat en ter zake dienend en blijven beperkt tot datgene wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Juistheid: Persoonsgegevens zijn juist en worden zo nodig gewist of gerectificeerd.

Opslagbeperking: Persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de Betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de Persoonsgegevens worden bewaard noodzakelijk is.

Integriteit en vertrouwelijkheid: Persoonsgegevens worden door passende technische of organisatorische maatregelen op een dusdanige manier verwerkt dat een passende beveiliging gewaarborgd is.

Verantwoordingsplicht: Persoonsgegevens worden verwerkt onder de verantwoordelijkheid van ZPD, die ervoor zorgt en kan aantonen dat verwerking voldoet aan de bepalingen van de AVG.

_____________________________________

[1] Zie artikel 5 en 6 van de AVG voor de rechtmatigheid en de te onderscheiden grondslagen (waaronder uitvoering contract,

wettelijke verplichting of toestemming van de Betrokkene).

5. Register

De Legal Counsel houdt een Register bij waarin de verwerkingsactiviteiten staan waarvoor ZPD verantwoordelijk is. Het Register bevat:

  • een beschrijving van de categorieën van Betrokkenen en van de categorieën van Persoonsgegevens;
  • de verwerkingsdoeleinden;
  • de categorieën van ontvangers aan wie de Persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
  • indien van toepassing, doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie. Daarbij worden ook de documenten inzake de passende waarborgen vermeld;
  • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

6. Rechten van Betrokkenen

6.1. Recht op informatie over de Verwerking

Indien de Persoonsgegevens van de Betrokkene worden verkregen, dient informatie te worden gegeven over de volgende onderwerpen:

  • de grondslag van de Verwerking;
  • de verwerkers, en indien van toepassing het voornemen om de Persoonsgegevens te delen buiten Europa;
  • de retentieperiode (of de bepaling daarvan) en over de overige rechten van de Betrokkene (zie hierna, alsmede vermelding van recht tot intrekking, klachtrecht); en
  • de andere doeleinden van gebruik, indien van toepassing.

Voorgaande informatie hoeft niet te worden verstrekt, indien de Betrokkene al over deze informatie beschikt.

Indien de Persoonsgegevens niet van de Betrokkene zelf zijn verkregen, zal aan de Betrokkene aanvullend de volgende informatie worden verstrekt:

  • de bron waar de gegevens vandaan komen en of deze bron openbaar is.
  • indien de Persoonsgegevens voor een ander doeleinde verwerkt gaan worden zal aan de Betrokkene ook bovenstaande gegevens verstrekt moeten worden.

Ook hier geldt dat de informatie niet hoeft te worden gegeven als de Betrokkene al over de informatie beschikt, als het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen of als de Persoonsgegevens vertrouwelijk moeten blijven.

6.2. Recht van inzage

De Betrokkene heeft het recht van inzage in zijn/haar Persoonsgegevens.

6.3. Recht op beperking van de Verwerking

De Betrokkene heeft het recht om zijn/haar Persoonsgegevens in een Verwerking te laten beperken. Bij het ontvangen van een daartoe strekkend verzoek dient telkens te worden bepaald of dit kan worden uitgevoerd op rechtmatige gronden.

6.4. Recht van overdraagbaarheid (dataportabiliteit)

De Betrokkene heeft het recht de hem/haar betreffende Persoonsgegevens, die hij aan Verwerkingsverantwoordelijke heeft verstrekt, in een gangbare vorm te verkrijgen en over te dragen. In een dergelijke situatie ontvangt de Betrokkene alle gegevens en draagt dit over aan een andere verwerkingsverantwoordelijke.

6.5. Recht van bezwaar

De Betrokkene heeft het recht om bezwaar te maken tegen de Verwerking van hem/haar betreffende Persoonsgegevens. Bij het ontvangen van een daartoe strekkend verzoek dient telkens te worden bepaald of dit kan worden uitgevoerd op rechtmatige gronden.

6.6. Recht van rectificatie en het wissen van gegevens

De Betrokkene heeft het recht om zijn/haar Persoonsgegevens te laten rectificeren of wissen. Bij het ontvangen van een daartoe strekkend verzoek dient telkens te worden bepaald of dit kan worden uitgevoerd op rechtmatige gronden.

De AVG kent een kennisgevingsplicht in geval van rectificatie of wissen van gegevens, en in geval van verwerkingsbeperking; iedere ontvanger aan wie Persoonsgegevens zijn verstrekt, moet in kennis worden gesteld van elke rectificatie, wissen van Persoonsgegevens of beperking van de Verwerking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

7. Afhandelen van verzoeken van de Betrokkene

ZPD zal zo snel mogelijk gehoor geven aan de rechten van de Betrokkene en uiterlijk binnen vier weken na ontvangst van het verzoek informatie verstrekken over de wijze waarop aan het verzoek gehoor is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn, indien nodig, met nog eens twee maanden worden verlengd. Het voldoen aan het verzoek van de Betrokkene geschiedt kosteloos tenzij het verzoek ongegrond of buitensporig is. In dat laatste geval mag het verzoek ook om die reden worden afgewezen.

Indien wordt getwijfeld aan de identiteit van de natuurlijke persoon die het verzoek indient, mag aanvullende informatie worden opgevraagd ter bevestiging van de identiteit van de Betrokkene.

8. Klachten en schadevergoeding

De Betrokkene heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens indien hij/zij van mening is dat bij de Verwerking van zijn/haar Persoonsgegevens de AVG niet is nageleefd.

De Betrokkene heeft mogelijk recht op een schadevergoeding voor geleden schade indien een inbreuk wordt gepleegd op zijn of haar Persoonsgegevens.

9. Beveiliging en andere beheersmaatregelen

Bij iedere Verwerking van Persoonsgegevens worden passende technische en organisatorische beheersmaatregelen zoals beschreven in het Register in acht genomen, rekening houdend met de risico’s van de verwerking. De passende technische en organisatorische beheersmaatregelen worden periodiek geëvalueerd en daar waar nodig geactualiseerd.

Ter zake van iedere nieuwe Verwerking of voor iedere wijziging in de Verwerking van Persoonsgegevens wordt vooraf, tijdens en achteraf de kans (waarschijnlijkheid) en impact (ernst) van de risico’s van de Verwerkingen voor de Persoonsgegevens bepaald. Voor risico’s voor de rechten en vrijheden van Betrokkenen die als hoog ingeschat worden, worden privacy impact assessments (PIA’s, ook wel gegevensbeschermingseffectbeoordelingen) uitgevoerd. Indien wordt besloten dat er geen maatregelen worden genomen om de risico’s te mitigeren, moet de Autoriteit Persoonsgegevens voorafgaand aan de Verwerking geraadpleegd worden.

De beheersmaatregelen bestaan onder andere uit beveiliging van apparatuur, toegangsbeveiliging, informatiebeveiliging, awareness, mede strekkende tot voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van Persoonsgegevens en de apparatuur die voor de Verwerking wordt gebruikt. Er is een geheimhoudingsplicht ten aanzien van het beschermen van de Persoonsgegevens. Bij de ontwikkeling van nieuwe applicaties wordt rekening gehouden met de Betrokkenen en wordt er gekozen uit alternatieven die voor hen het minst bezwaarlijk zijn volgens de principes van ‘privacy-by-design’ en ‘privacy-by-default’.

Medewerkers hebben toegang tot Persoonsgegevens op basis van het ‘need-to-know’ principe. Dit betekent dat medewerkers alleen toegang tot Persoonsgegevens hebben als zij deze nodig hebben om hun werkzaamheden te kunnen uitvoeren.

Dataretentie

De Persoonsgegevens mogen niet langer worden bewaard dan strikt noodzakelijk voor het doel waarvoor de gegevens zijn verzameld. In het Register/de procedure dataretentie is per categorie Persoonsgegevens vastgesteld na welke termijn deze moeten worden vernietigd en er zijn procedures ingericht om dit ook te bewerkstelligen. Waar sprake is van een relatie met Verwerkers van Persoonsgegevens worden hierover afspraken gemaakt in een verwerkersovereenkomst.

10. Doorgeven van Persoonsgegevens aan derde landen

Indien Persoonsgegevens worden doorgegeven aan landen buiten de Europese Unie (EU), dan moet aan vergelijkbare regels worden voldaan als bij de bescherming van Persoonsgegevens in Nederland/EU. ZPD zal uitsluitend Persoonsgegevens doorgeven in het geval van een adequaat beveiligingsniveau.

11. Meldplicht datalekken

In het geval dat Persoonsgegevens van Betrokkene(n) onbewust of onrechtmatig zijn gelekt (datalek), moet de Autoriteit Persoonsgegevens binnen 72 uur na het moment van constateren op de hoogte gebracht zijn, indien de inbreuk naar verwachting een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Daarnaast kan een plicht ontstaan om de Betrokkene op de hoogte te stellen van de inbreuk. Het protocol datalekken is opgenomen in Bijlage 1 van dit privacybeleid.

12. Privacy Officer

De Privacy Officer (Legal Counsel) informeert en adviseert over de verplichtingen voortvloeiend uit de AVG en ziet toe op de naleving van deze verordening. De Privacy Officer heeft een adviserende rol bij het uitvoeren van PIA’s.

De Privacy Officer vervult ten minste de volgende taken:

Hierbij houdt de Privacy Officer bij de uitvoering van zijn taken rekening met het aan verwerkingen verbonden risico en met de aard, de omvang, de context en de verwerkingsdoeleinden.


Bijlage 2 - Privacy Statement

Deze website wordt beheerd door ZonnepanelenDelen B.V. ZonnepanelenDelen B.V. verwerkt persoonsgegevens bij de uitoefening van de werkzaamheden. De bescherming van uw persoonsgegevens is voor ons een groot goed. In dit document geven wij u meer informatie over de wijze waarop wij daar invulling aan geven.

Wat zijn persoonsgegevens?
Persoonsgegevens zijn kortgezegd gegevens die een natuurlijke persoon kunnen identificeren. Denk hierbij aan naam, adres en BSN-nummer. Echter ook andere gegevens kunnen op zichzelf staand of in samenhang met andere gegevens worden aangemerkt als persoonsgegevens.

Waarom verwerkt ZonnepanelenDelen B.V. uw persoonsgegevens?
ZonnepanelenDelen B.V. verzamelt en verwerkt gegevens over haar cliënten en bezoekers van deze website ten behoeve van haar bedrijfsvoering, om producten en diensten onder de aandacht te brengen en beschikbaar te stellen die voor u van belang kunnen zijn en om web-statistieken te ontwikkelen. Daarnaast verzamelt en bewerkt ZonnepanelenDelen B.V. persoonsgegevens van sollicitanten en medewerkers.

Welke persoonsgegevens verwerkt ZonnepanelenDelen B.V. en waarom?
ZonnepanelenDelen B.V. verwerkt uitsluitend persoonsgegevens als er voor deze verwerking een grondslag is in een met de persoon afgesloten overeenkomsten of wanneer dit noodzakelijk is vanuit wet- en regelgeving. Ook kunnen wij persoonsgegevens verwerken indien u hiervoor expliciet toestemming heeft gegeven.

Persoonsgegevens van cliënten
Van onze cliënten verwerken wij de volgende persoonsgegevens:

  • Naam, adres, telefoonnummer en e-mailadres
  • Gegevens die op een paspoort of vergelijkbaar ID-document zijn opgenomen
  • Beroep en, indien van toepassing, de functie die een persoon uitoefent in een onderneming
  • Nummer van bank- en effectenrekening
  • Gegevens met betrekking tot het login systeem van ZonnepanelenDelen B.V.

Bijzondere persoonsgegevens, waaronder:

  • Strafrechtelijke gegevens
  • Biometrische gegevens, voor zover deze blijken uit het ID-bewijs
  • Gegevens verkregen van derden:
  • Gegevens over ondernemingen en hun vertegenwoordigers via bijvoorbeeld de Kamer van Koophandel.
  • Gegevens uit publieke, openbare bronnen zoals BKR, faillissementsregisters, kranten, internet en sociale media.

Persoonsgegevens van bezoekers van de website
Over het algemeen kunt u onze website bezoeken zonder persoonsgegevens aan ons te verstrekken. Als u zich wenst in te schrijven via de website hebben wij een aantal van uw persoonlijke gegevens nodig. Wij gebruiken deze gegevens uitsluitend voor het doel waarvoor u ze aan ons verstrekt. Wij zullen u nooit ongevraagd informatie en/of diensten aanbieden. Wij zullen daarnaast deze persoonsgegevens niet langer bewaren dan het doel waarvoor u de gegevens heeft verstrekt.

De gegevens die we vastleggen zijn de volgende:

  • Geanonimiseerde IP-adressen
  • Gegevens over de het bezoek van de pagina, of zoekopdrachten op de pagina
  • Indien u zich via de website abonneert op de nieuwsbrief van ZonnepanelenDelen B.V., ontvangen wij daartoe uw e-mailadres
  • Cookies (zie voor meer informatie hieronder)

ZonnepanelenDelen B.V. tracht niet via deze website gevoelige persoonsgegevens te verzamelen, zoals informatie over politieke opvattingen, godsdienstige overtuiging, gezondheid of andere zaken. In gevallen waarin ZonnepanelenDelen B.V. wel zou trachten dergelijke gegevens te verzamelen, zal u vooraf om toestemming worden verzocht. Wij wijzen u erop dat u door het ongevraagd verstrekken van gevoelige persoonsgegevens aan ZonnepanelenDelen B.V. instemt met het hierboven beschreven gebruik van deze gegevens.

Persoonsgegevens van sollicitanten en medewerkers

Wij verwerken onder meer de volgende gegevens:

  • Naam, adres, telefoonnummer, e-mailadres en overige contactgegevens
  • Nationaliteit, geboortedatum en -plaats
  • Geslacht
  • Burgerlijke staat
  • Curriculum vitae, werkervaring, opleidingsgegevens, (kopie) getuigschriften en diploma’s, referenties
  • Bankrekeningnummer
  • Polis- of klantnummer zorgverzekeraar
  • Pasfoto
  • (Kopie) ID-bewijs of paspoort
  • BSN.

Wij verwerken uitsluitend bijzondere persoonsgegevens die zijn af te leiden uit uw identiteitsbewijs waarvan wij op grond van de wet een kopie moeten maken als u voor ons gaat werken.

De persoonsgegevens die wij van kandidaten, sollicitanten en werknemers ontvangen, verwerken wij voor de volgende doeleinden: om met u een werknemers-/werkgeversrelatie aan te gaan en te onderhouden en hiervoor een personeels-, financiële-, uren-, verzuim- en/of salarisadministratie te voeren, dan wel om een relatie gericht op het verwerven / uitvoeren van opdrachten aan te gaan en te onderhouden en hiervoor een financiële administratie te voeren, om u toegang te kunnen verlenen tot en gebruik te kunnen laten maken van ons kantoor, IT-infrastructuur en om aan geldende wet- en regelgeving te voldoen.

Cookies op de website

Met behulp van cookies bewaren we bepaalde niet-identificeerbare automatische informatie over de gebruikers van onze website. Cookies zijn kleine tekstbestanden die door de website automatisch aangeboden worden aan uw browser. Wij gebruiken cookies met een technische functionaliteit. Deze zorgen ervoor dat de website naar behoren werkt en dat bijvoorbeeld uw voorkeursinstellingen onthouden worden. Deze cookies worden ook gebruikt om de website goed te laten werken en deze te kunnen optimaliseren. Daarnaast plaatsen we cookies die uw surfgedrag bijhouden. De hiermee verzamelde gegevens worden gebruikt om de inhoud van de website optimaal af te stemmen op de wensen en de behoeftes van de bezoekers van onze websites.

Wij verwerken de volgende gegevens van gebruikers van onze website: IP-adres, gegevens over de datum en het tijdstip dat u onze websites en –pagina’s bezoekt, de pagina’s en onderdelen van de websites die u bezoekt (hoe lang en hoe vaak en in welke volgorde) en welke informatie u bekijkt.

In ons Cookiestatement dat op de website is te vinden, leest u welke cookies wij precies gebruiken en waarvoor. Hierin kunt u ook lezen hoe u categorieën van cookies uitschakelt zodat hiervan geen cookies meer worden opgeslagen. Daarnaast kunt u ook alle informatie die eerder is opgeslagen via de instellingen van uw browser verwijderen.

Hoe lang bewaart ZonnepanelenDelen B.V. uw persoonsgegevens?
Wij bewaren uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.

Kan ZonnepanelenDelen B.V. uw persoonsgegevens delen met derden?
Wij verstrekken uw gegevens uitsluitend indien dit nodig is voor de uitvoering van onze overeenkomst met u, om te voldoen aan een wettelijke verplichting of omdat u daarvoor toestemming heeft gegeven. Wij verstrekken uw gegevens niet aan derden voor commerciële doeleinden.

Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. Wij blijven verantwoordelijk voor deze verwerkingen.

Mocht het voor de dienstverlening aan u of voor de uitvoering van onze overeenkomst met u nodig zijn om persoonsgegevens door te geven aan partijen buiten de EER, dan zullen wij dat uitsluitend doen indien een passend niveau is gewaarborgd voor de bescherming van de persoonsgegevens of indien een specifieke afwijking van toepassing is.

Hoe beveiligt ZonnepanelenDelen B.V. uw persoonsgegevens?
Wij nemen de bescherming van uw persoonsgegevens uitermate serieus en nemen passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging van uw persoonsgegevens tegen te gaan.

Kunt u de vastgelegde persoonsgegevens inzien, aanpassen of verwijderen?
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door ZonnepanelenDelen B.V. en heeft u het recht op gegevensoverdraagbaarheid.

U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar info@zonnepanelendelen.nl Wij kunnen u verzoeken om een kopie legitimatiebewijs, zodat we ons ervan kunnen vergewissen dat het verzoek door of namens u wordt gedaan. We reageren zo snel mogelijk, maar in ieder geval binnen een maand, op uw verzoek.

Hoe kunt u een klacht indienen over de wijze waarop ZonnepanelenDelen B.V. met persoonsgegevens omgaat?
Indien u een vraag of klacht heeft over de wijze waarop ZonnepanelenDelen B.V. met uw persoonsgegevens omgaat, kunt u deze vraag of klacht richten aan de directie van ZonnepanelenDelen B.V.

U kunt u dat kenbaar maken via het e-mailadres info@zonnepanelendelen.nl of per gewone post:

ZonnepanelenDelen B.V. BV tav Privacy Officer
James Wattstraat 77, 1097 DL Amsterdam
Stuur uw klacht onder vermelding van het volgende “Klacht privacy”.

U heeft tevens de mogelijkheid om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Het indienen van een klacht kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons