Onze referenties

Privacybeleid

Voor VOICT is een zorgvuldige verwerking van persoonsgegevens van groot belang. Hierbij houden wij ons aan de eisen die de Wet Bescherming Persoonsgegevens stelt. Omdat onze verwerkingen binnen de wettelijke vrijstellingsregelingen vallen, zijn deze niet aangemeld bij het College Bescherming Persoonsgegevens. In deze privacyverklaring leggen wij uit welke persoonsgegevens wij verzamelen en gebruiken en met welk doel.

ISO/IEC 27001 gecertificeerd

VOICT is ISO 27001 (informatiebeveiliging) gecertificeerd.
Klanten mogen verwachten dat we zorgvuldig omgaan met hun gegevens en dat deze gegevens beschermd zijn. Door gecertificeerd te zijn kunnen we ook aantonen dat we op een professionele wijze het Information Security Management hebben ingericht, bewaken en continue verbeteren.

ISO/IEC 27001 is een ISO standaard voor informatiebeveiliging waarin wordt beschreven hoe informatiebeveiliging procesmatig ingericht zou kunnen worden om de beveiligingsmaatregelen te effectueren. De standaard specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.

Verantwoordelijkheid

De klant is de rechtspersoon die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Daarmee is de klant van VOICT - volgens de definitie van de Wet Bescherming Persoonsgegevens - de Verantwoordelijke. VOICT wordt aangemerkt als Bewerker die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt zonder dat VOICT onder rechtstreeks gezag staat van de klant. VOICT heeft geen weet aan welke overige wetgeving haar klanten dienen te voldoen en kan daar ook geen enkele verantwoordelijkheid voor nemen noch over afgeven.

Meldplicht

Ingevolge artikel 13 van het Vrijstellingsbesluit WBP is de Meldplicht (Artikel 27 van de Wet Bescherming Persoonsgegevens) niet van toepassing indien de verwerking van persoonsgegevens slechts geschiedt voor: o.a. het doen van leveringen en bestellingen of het verlenen van diensten; het verzorgen van het transport van te leveren goederen en diensten naar de betrokkenen; het onderhouden van contacten door de verantwoordelijke met de afnemers of leveranciers. (Art 13, a, d, e). De meldplicht van de gegevensverwerking aan het College Bescherming Persoonsgegevens (CBP) is daarmee niet verplicht. Dit ontslaat de Verantwoordelijke niet van de verplichting zich er van te verzekeren dat er geen andere bepalingen zijn waardoor zij – alsnog – onder de meldplicht vallen. Omdat VOICT wordt aangemerkt als Bewerker heeft zij geen meldplicht. Indien gewenst kunnen klanten met VOICT een zogenaamde Bewerkersovereenkomst aangaan waarin de wederzijdse rechten en plichten zijn vastgelegd in het kader van de WBP.

Vastleggen en verwerking van gegevens

VOICT zal de gegevens van haar klanten behoorlijk en zorgvuldig verwerken in overeenstemming met de Wet Bescherming Persoonsgegevens. Wij bewaren en gebruiken uitsluitend die persoonsgegevens die rechtstreeks door of namens onze klanten in onze systemen, handmatig of geautomatiseerd, worden ingevoerd. Deze persoonsgegevens worden door VOICT niet gemanipuleerd, bewerkt of gekoppeld aan andere gegevens dan noodzakelijk voor een goede werking van het systeem, tenzij op nadrukkelijk verzoek van onze klanten anders bepaald. In principe leggen we alleen gegevens vast die noodzakelijk zijn voor de levering van goederen en diensten tussen leverancier en afnemer. Er worden geen zogenaamde bijzondere persoonsgegevens vastgelegd. Gegevens worden door VOICT niet verstrekt aan derden. Gegevens die niet langer nodig zijn worden binnen de Wet Bescherming Persoonsgegevens gestelde termijn van 2 jaren verwijderd, tenzij klanten van VOICT i.v.m. andere wettelijke verplichtingen verzoeken om deze termijn te verlengen. Dit verzoek zal onderdeel uitmaken van de Overeenkomst en/of Service Level Agreement tussen VOICT en haar klanten. Aangezien de persoonsgegevens noodzakelijk zijn voor de distributie van goederen gaan we er van uit dat er sprake is van ondubbelzinnige toestemming van de betrokkene(n). VOICT onderhoudt geen relatie met individuele geadresseerden. Verzoeken om wijziging of verwijdering van gegevens door geadresseerden dienen gericht te worden aan de klant.

Registratiesysteem

Gegevens worden binnen het SaaS-systeem van VOICT namens haar klant opgeslagen en beheerd. Hieronder vallen ook gebruikersnamen en wachtwoorden. Het beheer van gebruikersnamen en wachtwoorden is de verantwoordelijkheid van de klant. Hiervoor dient zij een zogenaamde super-user of applicatiebeheerder aan te wijzen. Na registratie bewaart VOICT de gebruikersnaam en persoonsgegevens, zoals naam, e-mailadres en wachtwoord. Wij bewaren deze gegevens zodat deze niet steeds opnieuw ingevuld behoeven te worden. Wij zullen de aan een gebruikersnaam gekoppelde gegevens niet aan derden verstrekken, tenzij dit wettelijk verplicht is of nadrukkelijk door de klant wordt verzocht. In alle gevallen zal de verstrekking aan derden slechts plaatsvinden via de klant. Binnen het systeem kunnen gegevens van opdrachtgevers en sub-contracters worden opgeslagen. Deze gegevens worden alleen gebruikt voor de (self)billing en financiële afwikkeling binnen het systeem of via een door de klant overeengekomen interface. Binnen het systeem kunnen remboursgegevens worden vastgelegd. Deze vastlegging is louter en alleen voor een goede afwikkeling van de remboursafdracht. Bankgegevens zijn binnen het systeem niet bekend. Op verzoek van de klant kunnen deze financiële gegevens via een interface beschikbaar gesteld worden aan een ander systeem teneinde een correcte afwikkeling te realiseren.

Gebruikersnaam en wachtwoord

Een gebruikersnaam is gekoppeld aan een wachtwoord. Gebruikers zijn zelf verantwoordelijk voor het zorgvuldig omgaan met het wachtwoord. Klanten van VOICT zijn verantwoordelijk voor het juiste gebruik en het stellen van een veiligheidsbeleid op dit gebied. Wij gaan er vanuit dat een persoon die zich aanmeldt met een gebruikersnaam en wachtwoord, bevoegd is tot het gebruik van de gebruikersnaam. Wanneer wordt vermoed dat het wachtwoord bij onbevoegden bekend is, kan de super-user het account blokkeren en/of een nieuw wachtwoord instellen. Gebruikersnamen zijn persoonlijk, het hanteren van zogenaamde functionele gebruikersnamen voor gebruik door meer dan één persoon wordt ontraden maar is een verantwoordelijkheid van de klant.

Beveiliging van persoonsgegevens

Wij maken gebruik van strikte veiligheidsprocedures, onder meer om te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevens. Wij maken met name gebruik van beveiligde verbindingen (Secure Sockets Layer of SSL) waarmee alle informatie tussen de gebruikers en onze webapplicaties wordt afgeschermd vanaf het moment dat de gebruiker zich aanmeldt (met gebruikersnaam en wachtwoord).

Meldplicht datalekken

Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking (i.c. een inbreuk op de beveiliging zoals bedoeld in artikel 13 van de Wet Bescherming Persoonsgegevens). Een datalek hoeft alleen gemeld te worden bij het CBP als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens en/of als een datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van betrokkenen. Wij gaan er van uit dat de gegevens die in onze systemen t.b.v. de distributie zijn vastgelegd niet onder deze criteria vallen en derhalve niet aan het CBP noch aan betrokkenen gemeld hoeven te worden. In voorkomend geval zullen wij altijd onze klanten informeren.

Klikgedrag en bezoekgegevens

Binnen de applicaties van VOICT worden algemene bezoekgegevens bijgehouden. In dit kader kan met name het IP-adres van de computer van de gebruiker worden geregistreerd en worden gebruikt voor statistische analyses van bezoek- en klikgedrag op de site/applicatie. Wij proberen deze gegevens zo veel mogelijk te anonimiseren. Voor het analyseren van dit gedrag wordt gebruik gemaakt van self-hosted (wat betekent dat deze data op onze eigen servers wordt opgeslagen) programma Matomo. Deze gegevens kunnen onder voorwaarden met onze opdrachtgevers gedeeld worden maar worden niet aan anderen verstrekt noch voor commerciële doeleinden aangewend.

Gebruik van cookies

Binnen de webapplicaties wordt gebruik gemaakt van cookies. Een cookie is een eenvoudig klein bestandje dat op de harde schijf van de computer wordt opgeslagen. Wij maken gebruik van tijdelijke cookies. Deze cookies bevatten geen persoonsgegevens en worden enkel gebruikt om het gebruik van de webapplicatie gemakkelijker te maken. Na inloggen met de gebruikersnaam en wachtwoord stuurt onze server een cookie om gedurende de rest van een sessie de gebruiker te kunnen herkennen. Middels dit cookie kunnen wij ook bijhouden welke pagina’s worden opgevraagd. Cookies worden verder niet voor andere (commerciële) doeleinden gebruikt.

Websites van derden

Deze verklaring is niet van toepassing op webapplicaties of sites van derden die door middel van links met onze applicaties zijn verbonden.

Wijzigingen privacy verklaring

Wij behouden ons het recht voor om wijzigingen aan te brengen in deze verklaring.

Inzage en wijzigen van gegevens

Vragen over ons privacy beleid of vragen omtrent inzage en wijzigingen in (of verwijdering van) persoonsgegevens kunnen alleen door de klant bij ons worden ingediend.

ii Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands: godsdienst of levensovertuiging; ras; politieke gezindheid; gezondheid; seksuele leven; lidmaatschap van een vakvereniging; strafrechtelijke persoonsgegevens; en persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod).