Privacyverklaring

D.d. 24 mei 2018, bijgewerkt 17 aug. 2023

Stichting Stimular hecht grote waarde aan de bescherming van de persoonsgegevens van haar medewerkers, klanten en relaties. Persoonlijke gegevens worden dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. Stichting Stimular houdt zich dan ook in alle gevallen aan de eisen die de Algemene Verordening Gegevensbeveiliging stelt.

In deze privacyverklaring staat beschreven hoe Stichting Stimular persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staat in deze verklaring beschreven. De privacyverklaring omvat alle on- en offline systemen waarin persoonsgegevens voorkomen en is van toepassing binnen de hele organisatie.

Stimular werkt alleen voor bedrijven en organisaties (business to business) en niet voor consumenten. Bij het opstellen van deze privacyverklaring is daarom een splitsing gemaakt tussen gegevens van zakelijke contacten en gegevens van privé-personen (medewerkers/ bestuursleden) die wij beheren.

1. Toestemming en vereisten verwerking persoonsgegevens

Conform de Algemene Verordening Gegevensbeveiliging is het Stichting Stimular toegestaan persoonsgegevens te verwerken (categorie Bijzondere vereisten, vrijgestelde categorieën van verwerkingen: verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties). De Algemene Verordening Gegevensbeveiliging stelt eisen aan organisaties die gegevensbestanden beheren, zoals een klantenadministratie. Deze eisen zijn;

• toewijzen van verantwoording;
• uitsluitend gebruik van de gegevens voor het doel waarvoor ze verzameld zijn;
• toestemming van de klant voor het verwerken van de gegevens;
• inzage in de eigen opgeslagen gegevens;
• juist en nauwkeurig bijhouden van de gegevens;
• het recht op vergetelheid en vernietiging van gegevens;
• een procedure beschikbaar hebben voor handelingen in geval een datalek optreedt.

2. Verantwoording

De directie van de Stichting is uiteindelijk verantwoordelijk voor de correcte omgang van persoonsgegevens. Daarnaast hebben alle vaste en tijdelijke medewerkers een gedeeltelijke, soms tijdelijke verantwoordelijkheid. Deze verantwoordelijkheid wordt manifest zodra de medewerker de beschikking krijgt over of toegang krijgen tot (lijsten met) gegevens van klanten of andere medewerkers.

3. Doel van verwerking

Gegevens van klanten (bedrijfsmatige persoonsgegevens) en (oud-)medewerkers (persoongegevens) worden uitsluitend verzameld voor het adequaat voeren van een bedrijf en het uitvoeren van onze projecten. Foto’s worden gemaakt voor communicatie van activiteiten via de website en andere sociale media. Stimular maakt geen statistische analyses van persoonsgegevens en verspreidt/verkoopt deze niet aan derden, tenzij dit uit wettelijk oogpunt verplicht is (bijv. de belastingdienst).

4. Toestemming medewerkers en bestuursleden

Bij (tijdelijk) in dienst treden bij Stimular geven medewerker aan Stimular onderstaande gegevens. Bestuursleden doen dat bij het aanvaarden van hun functie.

• Achternaam, voornaam en voorletters;
• Geboortedatum en plaats;
• Nationaliteit;
• Huisadres;
• Telefoonnummer en privé e-mailadres;
• Noodnummer (partner/ouders);
• Rekeningnummer en tenaamstelling bankrekening t.b.v. betaling loon;
• Kopie paspoort t.b.v. wettelijke registraties;
• BSN t.b.v. opgave voor belastingdienst;
• Vaardigheden (bijv. gevolgde relevante trainingen in het kader van ons werk);
• Gezondheidsgegevens (alleen indien noodzakelijk).

Medewerkers geven bij indiensttreding toestemming voor het plaatsen van zijn/haar foto in onze communicatie-uitingen (onder andere website, nieuwsbrieven, sociomedia). Bestuursleden doen dat door het aanvaarden van hun functie.

5. Toestemming klanten/ relaties

Bij het aangaan van een zakelijke relatie of het opvragen van een offerte/informatie geeft de klant aan Stimular impliciet toestemming voor het verwerken van de volgende gegevens:

• Achternaam, voornaam en evt. voorletters, geslacht;
• Bedrijfsgegevens (post en bezoekadres, website);
• Algemeen telefoonnummer en/of doorkiesnummer en/of 06-nummer;
• E-mailadres;
• Functie.

Maken en verspreiden van foto’s en beeldmateriaal

In het kader van onze projecten worden ook regelmatig foto’s gemaakt van bedrijfssituaties, groepen klanten of individuele klanten. Stimular vraagt altijd mondeling, of via e-mail toestemming van de betreffende klant alvorens een dergelijke foto te gebruiken voor communicatie. Indien, in het uitzonderlijke geval , hier minderjarigen onder de leeftijd van 16 jaar op staan, wordt de toestemming gevraagd aan een van beide ouders of een van rechtswege toegewezen voogd.

Nb. Stimular verwerkt, beroepshalve, ook milieugegevens en bedrijfsgegevens van klanten. Deze gegevens vallen niet onder het privacyverklaring. Laat onverlet dat Stimular hier altijd wel vertrouwelijk mee omgaat.

Verzenden van nieuwsbrieven

Stimular verzendt met Mailchimp nieuwsbrieven aan klanten. Op de gegevens die Stimular met Mailchimp uitwisselt zijn de Global Privacy Statements van Mailchimp van toepassing. 

6. Inzagerecht

Medewerkers kunnen hun eigen gegevens inzien en laten wijzigen. Klanten, relaties of wettige vertegenwoordigers daarvan (in geval van minderjarigen) mogen te allen tijde inzage vragen in gegevens die Stimular van hen bijhoudt. Inzageprocedure: Een verzoek tot inzage van gegevens moet (schriftelijk of per e-mail) worden gericht aan het secretariaat van de stichting (mail@stimular.nl). Het secretariaat draagt zorg voor een schriftelijk antwoord binnen zes weken. Dit kan alleen worden verstrekt indien geen twijfel bestaat over de identiteit van de aanvrager. Stimular is gerechtigd deze identiteit te controleren in voorkomende gevallen.

7. Recht op correctie

Als een medewerker, klant of relatie vaststelt dat er een feitelijke onjuistheid in de geregistreerde gegevens voorkomt, kan hij / zij dit aangeven bij het secretariaat. Het secretariaat draagt zorg voor correctie binnen zes weken.

8. Recht op vergetelheid

Een (oud-)medewerker, klant of relatie kan verzoeken om gegevens te wissen. Een dergelijk verzoek kan worden gericht aan het secretariaat. Het secretariaat draagt zorg het wissen binnen zes weken, mits dit mogelijk is in het kader van andere wettelijke verplichtingen die Stimular heeft. Financiële aanspraken door Stimular jegens de medewerker, de klant of de relatie blijven echter in voorkomend geval bestaan. Minimale gegevens nodig voor de afhandeling van financiële verplichtingen blijven gehandhaafd tot volledige afhandeling van financiële vraagstukken is afgerond. Daarna worden ook de financiële gegevens gewist. Als een klant of relatie niet langer een zakelijke relatie met Stimular onderhoud, worden de gegevens wel bewaard in ons CRM systeem. Deze worden aangehouden in verband met toekomstige lustrums of acquisitie.

9. Procedure datalekken

Een datalek ontstaat zodra vertrouwelijke gegevens van personen:

• bekend raken bij derden die geen recht op kennisname hebben;
• gegevens onherstelbaar worden vernietigd;
• gegevens verloren zijn geraakt en niet bekend is waar deze terecht zijn gekomen.

Zodra iemand een datalek vermoedt in relatie tot gegevens van medewerkers, klanten en of relaties van Stichting Stimular wordt deze persoon verzocht melding van dit vermoeden te doen bij het secretariaat. Verzocht wordt de eerste melding telefonisch te doen. Aansluitend wordt van de melder gevraagd de melding ook kort in een mail te zetten en te sturen aan mail@stimular.nl. Na ontvangst van de melding zal het secretariaat zorgen dat een onderzoek wordt opgestart om vast te stellen welke gegevens daadwerkelijk betroffen zijn en een melding aan de autoriteit persoonsgegevens te sturen. Daarna zal Stimular de leden die door het datalek getroffen zijn telefonisch of schriftelijk (via e-mail) informeren. Verder zal Stimular actie ondernemen om verdere schade te beperken en herhaling te voorkomen.Nb. Stimular verspreidt kennis over duurzaamheid en heeft als doel dat ook derden deze kennis kunnen toepassen. Hiervoor kan het onderdeel van een opdracht zijn om klanten/relaties ook van elkaar te laten leren (bijvoorbeeld binnen een duurzaamheidskring). In dit geval wordt uitwisseling van zakelijke contactgegevens (zoals e-mailadressen en telefoonnummers) van deelnemers als wenselijk en noodzakelijk gezien en niet als datalek.

10. Opslag van gegevens

Stimular zorgt goed voor opgeslagen gegevens. Persoonsgegevens worden door Stimular bijgehouden in ons CRM-systeem. Deze opslag van gegevens is alleen toegankelijk via onze server en voorzien van een inlog en wachtwoord. De server zelf is voorzien van adequate beveiliging (denk aan een firewall en virusbeveiliging) .Daarnaast slaat Stimular ook gegevens op van bedrijven en contactpersonen die een abonnement op een van onze online tools hebben (heden bijvoorbeeld de Milieubarometer). Deze worden opgeslagen in een afgeschermde digitale omgeving. Stimular en onze onderaannemer (heden Dreamsolution) dragen zorg voor een adequate afscherming van deze digitale omgeving. Hiervoor is een eindverwerkersovereenkomst afgesloten.Derden die in opdracht van Stimular werken (boekhouder, accountant, ICT beheerder, softwareontwikkelaar e.d.) mogen gegevens inzien ten einde hun activiteiten te kunnen uitvoeren. Zij mogen noodzakelijke gegevens tevens op hun eigen computersystemen verwerken zo lang deze met gebruikerskenmerk en wachtwoord zijn beveiligd. Na afronden van de activiteit waarvoor deze gegevens noodzakelijk zijn, worden de gegevens vernietigd. Ook met hen heeft Stimular een eindverwerkersovereenkomst afgesloten.