Inwerkingtreding
Deze privacyverklaring is in werking getreden op 13 september 2020.
Wij vinden uw privacy belangrijk
Dit is de privacyverklaring van VREST B.V., Twekkeler Es 24, 7547 SM Enschede en gelieerde ondernemingen. VREST gaat zorgvuldig, veilig en vertrouwelijk met uw persoonsgegevens om. In deze Privacyverklaring staat waarom deze gegevens worden verwerkt en welke rechten hieraan verbonden zijn.
In dit document worden diverse termen gebruikt die hieronder kort worden toegelicht.
- Persoonsgegevens: Elk gegeven dat informatie bevat over een geïdentificeerde of identificeerbare natuurlijke persoon.
- Betrokkene: Degene van wie persoonsgegevens zijn opgenomen.
- Verwerking van persoonsgegevens: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens welke wordt gebruikt voor de uitoefening van de dienstverlening.
- VrestCloud: Vrest’s ‘Cloud’ gehoste producten / oplossingen / websites (Home ).
- SaaS-Product: Product waarvoor door Licentienemer een Licentie is afgenomen bij Licentieverlener en welke als ‘Software as a Service’ (software als online dienst) wordt aangeboden.
- DCPF: SaaS-Product, onderdeel van VrestCloud. Vrest’s Loopbaanportfoliosysteem, het softwareplatform met de centrale opslag van (persoonsgebonden) data en informatie welke een overzicht biedt van en inzicht geeft in de competenties van Gebruiker(s). De Gebruiker kan de eigen competenties beheren en aan andere belanghebbenden inzicht verstrekken, al naar gelang de door de Licentienemer afgenomen Producten en de daarvoor geldende EURA’s.
- EURA: De Gebruiker dient akkoord te gaan met de weergegeven voorwaarden in de EURA (End User Role Agreement) alvorens gebruik te kunnen maken van het DCPF. De gebruiker accepteert daarbij de op het product van toepassing zijnde specifieke rolgebaseerde rechten.
De privacyverklaring is van toepassing op alle verwerkingen van persoonsgegevens binnen VrestCloud. Hiertoe behoren:
- Websites
- SaaS-producten
- Downloads
De wederzijdse verplichtingen uit hoofde van de Algemene verordening gegevensbescherming, voortvloeiende uit een licentieovereenkomst tussen licentienemer en licentiegever (Vrest) inzake een SaaS-product, zijn nader vastgelegd in een separate, onlosmakelijk met de licentieovereenkomst verbonden, Verwerkersovereenkomst en worden in dit document niet verder uitgewerkt. Voorzover de Verwerkersovereenkomst conflicterend is met deze privacyverklaring prevaleert de Verwerkersovereenkomst boven onderhavig reglement.
Bij registratie of gebruik van VrestCloud stemt u in met de verzameling, overdracht, verwerking, opslag, ontsluiting en ander gebruik zoals omschreven in deze Privacyverklaring.
De reden waarom wij uw persoonsgegevens verwerken
Persoonsgegevens worden uitsluitend verwerkt indien dit geoorloofd is op basis van artikel 6 van de Algemene verordening gegevensbescherming (beter bekend als de AVG). Dit betekent dat deze verwerking ofwel noodzakelijk is ofwel dat wij uw expliciete toestemming daarvoor hebben. U heeft te allen tijde het recht om uw toestemming in te trekken.
- VrestCloud wordt ingezet ter ondersteuning en begeleiding van de persoonlijke ontwikkeling van professionals. Doel van de verwerking van persoonsgegevens binnen VrestCloud is het vastleggen van en het kunnen beschikken over gegevens, die noodzakelijk zijn voor de uitvoering van de dienstverlening.
- Met de persoonlijke gegevens die we verzamelen, kunnen we u op de hoogte houden van nieuwe productaankondigingen, software-updates en aankomende evenementen van Vrest.
Persoonsgegevens
Het gaat hierbij enerzijds om namen, adressen en woonplaatsen met mogelijk een aanvullend gegeven maar in principe niet afwijkend van gegevens voor communicatiedoeleinden. Anderzijds gaat het om voor de opdracht noodzakelijke aanvullende gegevens waarbij er niet meer gegevens worden doorgegeven dan noodzakelijk voor het uitvoeren van de opdracht.
Account en profiel informatie
Wij verzamelen informatie over u en eventueel uw organisatie als u u registreert voor een account, uw profiel creëert of wijzigt, overeenkomst(en) aangaat, gebruik maakt, toegang verkrijgt tot of anderszins interactie heeft met VrestCloud (inclusief maar niet gelimiteerd tot het uploaden, downloaden, samenwerken aan of delen van content).
Voor alle gebruikers zijn de volgende Persoonsgegevens nodig om een SAAS-product van VREST te kunnen laten functioneren:
- Voornaam, tussenvoegsel en achternaam: De voornaam, het eventuele tussenvoegsel en de achternaam van de gebruiker worden opgeslagen om een herkenbaar account voor de gebruiker aan te maken.
- Emailadres: Het e-mailadres van de gebruiker. Het e-mailadres wordt gebruikt voor communicatie vanuit de applicatie met de gebruiker en kan ingezet worden als gebruikersnaam.
Voor alle medisch professionals wordt dit aangevuld met:
- BIG-registratie: het BIG-registratie nummer van de gebruiker.
Overige Informatie die we verzamelen betreft:
- Contactinformatie zoals adres(sen), telefoonnummer(s).
- Gegevens betreffende de licentieovereenkomst op één of meer SaaS-producten.
- Factuurinformatie zoals factuuradres en contactpersonen en in geval van machtiging het bankrekeningnummer van de licentienemer. Indien anders wordt betaald dan door middel van een machtiging, worden geen creditcard nummers of bankrekeningnummers door ons verzameld, maar wel het soort creditcard en de betreffende bank.
- Profielinformatie zoals profielfoto, functie, titelatuur.
- Voorkeureninformatie, zoals inzake favorieten, startpagina, notificaties en marketing.
U kunt ons deze informatie zelf verstrekken door deze binnen VrestCloud in te voeren. In sommige gevallen kan een andere gebruiker (geautoriseerd beheerder) een account aanmaken namens u en voorzien van uw informatie, inclusief persoonlijke gegevens (vaak als uw organisatie / opleiding als licentienemer van u vraagt Vrest SaaS-producten te gebruiken). Wij verzamelen informatie onder regie van onze gebruikers en hebben in de regel geen direct relatie met de individuen wiens persoonlijke gegevens worden verwerkt. Als u informatie aanlevert van iemand anders dan moet u geautoriseerd zijn namens hen te handelen en moet u zich conformeren aan onderhavig document.
Content
Wij verzamelen en slaan content op die u creëert, invoert, aanbiedt ter verwerking, post, upload, verzendt, bewaart of toont bij het gebruik van onze SaaS-producten of websites. Tot deze content behoren persoonlijke gegevens of andere vertrouwelijke informatie waarvoor u zelf kiest deze op te nemen.
Het DCPF biedt gebruikers de mogelijkheid deze te vullen met relevante gegevens zoals ontvangen feedback, zelfreflectie(s), beoordelingen, gesprekken, resultaten, bekwaamheidsverklaringen, toevertrouwde handelingen en overige activiteiten.
Cookies
Dit zijn kleine tekstbestanden die automatisch op uw computer, tablet of mobiele telefoon worden opgeslagen bij uw bezoek aan een website. Sommige cookies worden geplaatst om een website goed te laten functioneren. Andere cookies worden geplaatst om het gebruik van een website te kunnen analyseren, op de website relevante informatie te tonen.
We plaatsen cookies zodat u kunt inloggen op VrestCloud en onze SaaS-producten gebruikersvriendelijker werken. Daarnaast plaatsen we cookies om onze VrestCloud continu te verbeteren en daarmee onze online dienstverlening en uw gebruiksgemak. Het al dan niet toestaan van cookies kunt u zelf wijzigen binnen de browser-instellingen.
Wanneer u geen toestemming geeft voor het verzamelen van cookies via onze website(s) registreren wij slechts de locatie van het door u gebruikte IP-adres, het type computer, de door u gebruikte browserversie, de bezochte pagina’s en de datum en het tijdstip van uw bezoek. Deze informatie wordt gebruikt voor evaluatie en verbetering van de website.
Andere toevoegingen
Wij verzamelen andere gegevens die u voorlegt ter verwerking via onze websites of als u deelneemt aan interactieve functionaliteit binnen VrestCloud, deelneemt aan een enquête, activiteit of evenement, solliciteert, incidentmeldingen en/of verzoeken aan support, communiceert met ons via sociale media van derden of anderszins met ons communiceert.
Toegang tot de persoonsgegevens
- Gebruikers van VrestCloud hebben alleen toegang tot de persoonsgegevens voor zover dat noodzakelijk is voor hun taakuitoefening.
- Een ieder die toegang heeft tot persoonsgegevens heeft een geheimhoudingsplicht ter zake van de gegevens, waarvan hij/zij op grond van die toegang heeft kennisgenomen.
- Derden die door Vrest zijn ingehuurd om werkzaamheden te verrichten, hebben toegang tot de verwerkingen van persoonsgegevens, voorzover dat noodzakelijk is voor hun taakuitoefening en worden gehouden aan hun geheimhoudingsplicht.
Bescherming van de persoonsgegevens
VREST verwerkt Persoonsgegevens op een behoorlijke, zorgvuldige en transparante manier, zoals de wet dat voorschrijft. De Persoonsgegevens zijn van de Betrokkene en worden alleen gebruikt voor de eerder beschreven doelen.
Vrest neemt diverse technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van niet-geautoriseerde toegang, niet-geautoriseerde bekendmaking of anderszins onrechtmatige verwerking. Dit betreffen onder meer:
- Alle gegevens staan op meerdere servers in beveiligde datacenters welke 24 uur, 7 dagen per week bewaakt en gemonitord worden. Alleen een beperkt aantal geautoriseerde personen hebben toegang tot deze servers welke fysiek op meerdere locaties in Oost-Nederland staan. De datacenters beschikken over de vereiste Security Management certificeringen.
- Elke laatste poging tot inloggen wordt gelogd.
- Uitgebreide toegangscontrole op meerdere niveau’s op elke pagina.
- Omgevingscontrole voor alle onderdelen, zowel op server als cliëntzijde (controle of het onderdeel wordt aangeroepen vanuit de applicatie en door de geautoriseerde gebruiker).
- De gegevens die worden uitgewisseld tussen de browser en de server worden standaard versleuteld met behulp van Secure Socket Layer (TLS).
- De online toegang voor het beheer van de servers is afgeschermd door middel van een firewall.
- Alle medewerkers van Verwerker hebben een geheimhoudingsplicht. Daarbij gaat het om medewerkers in de ruimste van het woord; dus ook eventuele stagiair(e)s en freelancers.
- Gebruikers dienen zich te identificeren door middel van veilige middelen voor authenticatie.
- Uitgebreide rechtenstructuur met gescheiden toegangscontrole op onderdelen en dossiers voor alle gebruikers.
- De gebruiker kan aan andere belanghebbenden inzicht verstrekken, al naar gelang de door de Verantwoordelijke afgenomen producten en de daarvoor geldende EURA’s. De Gebruiker dient akkoord te gaan met de weergegeven voorwaarden in de EURA (End User Role Agreement) alvorens gebruik te kunnen maken van VrestCloud. De gebruiker accepteert daarbij de op het product/dienst van toepassing zijnde specifieke rolgebaseerde rechten.
Verwerker heeft een passend beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens waarin, aantoonbaar naast bovengenoemde maatregelen, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen uiteengezet zijn.
Meldplicht datalek
Een datalek is een beveiligingsincident waarbij Persoonsgegevens verloren zijn gegaan of waarbij er mogelijk onrechtmatig verwerking van Persoonsgegevens niet kan worden uitgesloten. Hierover gelden de volgende afspraken:
- Ontdekt VREST dat er een datalek is of is geweest? En is er een aanzienlijke kans dat dit datalek nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens die VREST verwerkt? Dan laat VREST dit onmiddellijk aan u weten. Dit doet VREST uiterlijk binnen 48 uur nadat we het datalek hebben ontdekt.
- Vervolgens overlegt VREST met u over:
- de aard van het datalek;
- het risico dat u en VREST hiermee lopen, hebben gelopen of hadden kunnen lopen;
- de maatregelen die VREST treft of al getroffen heeft om het datalek op te lossen of om de gevolgen of schade zo veel mogelijk te beperken.
- Na onze melding bepalen we gezamenlijk of we de betreffende datalek moeten melden aan de Autoriteit Persoonsgegevens.
- Als de Autoriteit Persoonsgegevens een onderzoek naar het datalek start, dan laat VREST dit meteen aan u weten en werkt VREST mee aan een onderzoek van de Autoriteit Persoonsgegevens.
Subverwerkers
VREST maakt voor VrestCloud gebruik van subverwerker(s). VREST heeft Verwerkersovereenkomsten met subverwerker(s) en verplicht deze hiermee minimaal te voldoen aan dezelfde beveiligingseisen als VREST met u is overeengekomen. De monitoring van de beveiliging en prestaties van onze subverwerker(s) vindt plaats via ons information security management system als onderdeel van onze ISO 27001 | NEN 7510 certificering.
Opslag data
VrestCloud is ontworpen en geoptimaliseerd voor het hosten van Software As A Service en is volledig redundant uitgevoerd. De data wordt op fysiek gescheiden locaties opgeslagen (in onze drie datacenters) en is geïmplementeerd op een (server)infrastructuur welke zich bevindt op Nederlands grondgebied en valt onder Nederlandse wetgeving.
Bewaartermijn gegevens
- Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de in dit document beschreven doeleinden. Dit uiteraard met inachtneming van de eventuele wettelijke voorschriften.
- Indien van een SaaS-product de licentieovereenkomst wordt beëindigd eindigt de bewaartermijn.
- Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.
- De gebruiker van het DCPF houdt zeggenschap over de data. Dat wil zeggen als de licentienemer een ander is dan de gebruiker en deze de licentieovereenkomst beëindigt de gebruiker de data ter beschikking krijgt.
Verstrekking gegevens
Tenzij het verstrekken van deze persoonsgegevens aan derden noodzakelijk is gezien de aard van de overeengekomen te verlenen diensten, of indien er een wettelijke verplichting bestaat om de persoonsgegevens aan een derde te verstrekken, is voor verstrekking van persoonsgegevens aan derden de gerichte schriftelijke toestemming van de betrokkene vereist. VREST zal nooit uw gegevens doorsturen, verkopen of ruilen met derden voor marketing doeleinden.
Uw rechten
Wanneer uw persoonsgegevens door VREST verwerkt worden, heeft u bepaalde rechten. Waar mogelijk ondersteunt VREST hierin of kunt u als betrokkene deze rechten autonoom binnen het SAAS-product uitvoeren. U heeft het recht om:
- te verzoeken dat VREST u inzage verschaft in de persoonsgegevens die VREST van u verwerkt;
- te verzoeken dat VREST eventuele onjuiste en/of verouderde persoonsgegevens aanpast;
- te verzoeken dat VREST onvolledige persoonsgegevens aanvult;
- te verzoeken dat VREST uw persoonsgegevens verwijdert;
- te verzoeken dat VREST minder van uw persoonsgegevens verwerkt;
- te verzoeken dat VREST persoonsgegevens overdraagt naar een derde;
- bezwaar te maken tegen de verwerking van persoonsgegevens door VREST.
VREST zal alle verzoeken in overweging nemen en binnen een redelijk termijn antwoord geven. Indien VREST besluit uw verzoek niet te honoreren zal VREST u daarvan op de hoogte brengen. VREST kan bij een verzoek vragen om meer informatie, zodat wij uw identiteit kunnen bevestigen. Een dergelijk verzoek kan worden ingediend via onderstaand mailadres.
Verantwoordelijkheden van de Betrokkenen
Als Betrokkene voor de verwerking van Persoonsgegevens, moet u aan een aantal eisen voldoen:
a. U moet voldoen aan de wettelijke eisen die voor de verwerking van Persoonsgegevens gelden. Dat betekent dat u moet nagaan of je volgens de wet het recht hebt om bepaalde Persoonsgegevens vast te leggen. Dit is niet voor alle Persoonsgegevens toegestaan. Zo mag u bijvoorbeeld niet zomaar patiëntdata of andere gevoelige Persoonsgegevens opslaan.
b. U moet nagaan of de Persoonsgegevens die u wilt vastleggen, voldoende beschermd worden door de beveiligingsmaatregelen. Wij hebben ons beveiligingsbeleid afgestemd op het soort gegevens dat we beschreven hebben in deze Privacyverklaring. Wil je een ander soort gegevens vastleggen, dan kunnen wij niet garanderen dat onze veiligheidsmaatregelen daarvoor voldoende zijn.
c. U moet uw account zo goed mogelijk beveiligen. Hiervoor is het bijvoorbeeld van belang dat u een voldoende veilige methode voor authenticatie kiest en onderhoudt.
Voldoet u niet aan deze eisen en worden wij door anderen aansprakelijk gesteld voor schade die hierdoor ontstaan is? Dan stelt u ons schadeloos en vrijwaart u ons voor die aansprakelijkheid. VREST is alleen aansprakelijk voor schade die aan VREST toegerekend kan worden. In geval van schade dat verband houdt met de beveiliging van Persoonsgegevens is VREST hier niet aansprakelijk voor als VREST kan bewijzen dat we voldoende technische en organisatorische beveiligingsmaatregelen hebben genomen, zoals omschreven in deze Privacyverklaring.
Slotbepalingen
- Onverminderd eventuele wettelijke bepalingen is dit document van kracht gedurende de gehele looptijd van de verwerkingen van persoonsgegevens.
- Dit reglement kan gewijzigd worden bij besluit van VREST. We brengen u hiervan op de hoogte door herziening van de ingangsdatum welke bovenaan deze Privacyverklaring vermeld staat. Als er sprake is van materiële wijzigingen dan voorzien wij u van additionele kennisgeving (zoals het toevoegen van een kennisgeving op de VrestCloud homepage(s), login pagina’s of door u een e-mailnotificatie te sturen).
- Als u niet kunt instemmen met wijzigingen in deze privacyverklaring zult u moeten stoppen met het gebruik van VrestCloud en uw account laten déactiveren zoals hierboven is geschetst.
Vragen en contact functionarisgegevensbescherming
Voor eventuele vragen en/of klachten over het verwerken van uw persoonsgegevens, kunt u terecht bij onze functionaris gegevensbescherming via : security@vrest.nl.
Wij zullen ons best doen om vragen goed en duidelijk te beantwoorden en klachten zo goed mogelijk op te lossen.