In het kader van de Algemene Verordening Gegevensbescherming (verder te noemen: AVG), die per 25 mei 2018 in kracht treedt, heeft Emble B.V. dit beleidsplan opgesteld, met als doel de beschrijving van de bedrijfsprocessen en contractuele afspraken voor de ontvangst, het beheer en de verwerking van persoonsgegevens. De bedrijfsprocessen en contractuele afspraken, die in dit beleidsplan worden beschreven, zijn ingericht om te kunnen garanderen dat Emble B.V. zich in al haar werkzaamheden houdt en kan houden aan de richtlijnen en voorschriften, zoals zij in de AVG zijn vastgelegd.

Opslag en verwerking van persoonsgegevens

Voortvloeiend uit de aard van de werkzaamheden die Emble B.V. uitvoert worden relatief veel persoonsgegevens opgeslagen in de vorm van databases die meegeleverd worden bij webapplicaties die in ons beheer komen of door de opslag van persoonsgegevens in applicaties die gehost worden op servers waarover wij het beheer hebben of waartoe wij toegang hebben. Daarnaast kan het voorkomen dat persoonsgegevens geleverd worden door opdrachtnemers om direct contact mogelijk te maken bij ondersteuningsvraagstukken. De opslag en verwerking van deze persoonsgegevens wordt gereguleerd door middel van werkafspraken, contractuele bepalingen en technische voorzieningen voor de beveiliging van de persoonsgegevens, zoals hieronder beschreven. Werkafspraken t.b.v. de veiligheid van persoonsgegevens

Opslag van persoonsgegevens

Emble B.V. slaat voor eigen gebruik uitsluitend persoonsgegevens van opdrachtgevers, zakenrelaties en eigen medewerkers op. Onder zakenrelaties kunnen in het geval van ondersteuningsvraagstukken ook klanten van opdrachtgevers worden verstaan. Emble B.V. vraagt in het geval van ondersteuning van aan de opdrachtgever gelieerde derden expliciet aan de opdrachtgever toestemming voor het gebruik van diens persoonsgegevens en zal de persoonsgegevens pas opslaan en gebruiken wanneer de opdrachtgever hier ook daadwerkelijk toestemming voor verleent. Emble B.V. verwerkt geen persoonsgegevens voor andere doeleinden dan voor communicatie met opdrachtgevers en personen die bij een opdracht van een opdrachtgever betrokken zijn. Emble B.V. voert geen analytische of marketing-gerelateerde werkzaamheden uit met de in haar bezit zijnde persoonsgegevens.

Vermenigvuldigen en afdrukken van persoonsgegevens

Alle persoonsgegevens van derden die aan medewerkers, onderaannemers of op andere wijze met Emble B.V. samenwerkende partijen worden verstrekt, worden uitsluitend verstrekt met de uitdrukkelijke toestemming van de opdrachtgever en als het gebruik van de persoonsgegevens noodzakelijk is voor de uitvoer van de werkzaamheden. Emble B.V. verbiedt elke vorm van vermenigvuldiging van persoonsgegevens naar gegevensdragers die in niet in het bezit zijn of buiten de werkomgevingen zijn van Emble B.V. Indien persoonsgegevens afgedrukt worden, wordt de afdruk na gebruik onmiddellijk vernietigd in een papierversnipperaar. Daarnaast zorgt de medewerker ervoor dat de persoonsgegevens geenszins zichtbaar zijn voor derden wanneer een werkomgeving van Emble B.V. bezocht wordt door derden. 

Na voltooiing van de opdracht of na beëindiging van de overeenkomst worden alle persoonsgegevens die door de opdrachtgever zijn aangeleverd voor de uitvoer van de opdracht of overeenkomst verwijderd of vernietigd uit alle in het bezit van Emble B.V. zijnde gegevensdragers, zoals databases, backups, kopieën van applicaties en papieren documenten. Op verzoek van de opdrachtgever wordt de meest recente versie van de database(s) en de bestanden in de applicatie geëxporteerd, gecomprimeerd en via ons beveiligde bestanddelingssysteem overgedragen aan de opdrachtgever of eigenaar van de applicatie. De interne uitwisseling van persoonsgegevens vindt alleen plaats met strikte inachtname van de geldende wetgeving voor de bescherming van persoonsgegevens. Dit houdt in dat persoonsgegevens alleen via e-mail vanaf en naar het eigen domein van Emble B.V. of via chat- en opslagapplicaties in eigen beheer uitgewisseld worden. Alle applicaties die gebruikt worden door Emble B.V. voor werkzaamheden voor haar opdrachtgevers worden gehost door partijen in Nederland die over de voor de bescherming van de persoonsgegevens vereiste certificering beschikken, tenzij de opdrachtgever uitdrukkelijk toestemming geeft om hiervan af te wijken. Emble B.V. heeft een wachtwoordbeleid dat vereist dat voor alle applicaties robuuste en onvoorspelbare wachtwoorden worden gebruikt. Hiervoor wordt software ingezet die automatisch robuuste en onvoorspelbare wachtwoorden genereert. Emble draagt er zorg voor dat haar personeel alleen binnen haar eigen werkomgevingen toegang heeft tot werkmateriaal dat vertrouwelijk materiaal bevat, met uitzondering van het gebruik van werkmiddelen op externe locaties van opdrachtgevers. Alle backups in het beheer van Emble B.V. kunnen te allen tijde opgevraagd worden door de opdrachtgever en op verzoek van de opdrachtgever verwijderd worden.

Contractuele bepalingen t.b.v. de veiligheid van persoonsgegevens

Emble B.V. verplicht al haar medewerkers in de arbeidsovereenkomsten - die voorafgaand aan de indiensttreding van de medewerkers wederzijds worden ondertekend - tot geheimhouding van haar bedrijfsgegevens en de gegevens van cliënten. Emble B.V. sluit met alle samenwerkende partijen een geheimhoudingsverklaring (‘non-disclosure agreement’) voorafgaand aan de overdracht van werkmateriaal dat vertrouwelijke gegevens kan bevatten.

Technische voorzieningen t.b.v. de veiligheid van persoonsgegevens

Alle computers en mobiele telefoons die persoonsgegevens van derden opgeslagen hebben of kunnen opslaan en in het bezit zijn van Emble B.V. zijn versleuteld. Alle computers en mobiele telefoons die persoonsgegevens van derden opgeslagen hebben of kunnen opslaan en in het bezit zijn van Emble B.V. worden vergrendeld met wachtwoorden, pincodes of gezichts- of vingerafdrukvergrendeling wanneer ze niet in gebruik zijn. Alle computers en mobiele telefoons die persoonsgegevens van derden opgeslagen hebben of kunnen opslaan en in het bezit zijn van Emble B.V. worden voortdurend up-to-date gehouden op het gebied van veiligheidsupdates. Alle servers en applicaties die in het beheer zijn van Emble B.V. en waarvoor een onderhoudsovereenkomst is overeengekomen tussen Emble B.V. en de opdrachtgever worden voortdurend up-to-date gehouden op het gebied van veiligheidsupdates. Alle servers en applicaties die voor de bedrijfsprocessen van Emble B.V. worden ingezet worden voortdurend up-to-date gehouden op het gebied van veiligheidsupdates. Alle interne communicatie vindt plaats via beveiligde kanalen met SSL-versleuteling. Emble deelt alle data via bestandsuitwisselingssystemen (‘cloud’-omgevingen) in eigen beheer op beveiligde en adequaat gecertificeerde servers in Nederland. Emble B.V. maakt geen gebruik van bestandsuitwisselingssystemen als Dropbox of Wetransfer.

Melding datalek

Wanneer een datalek geconstateerd wordt en dit datalek volgens de bepalingen uit de AVG als ernstig beschouwd kan worden, stelt Emble B.V. de opdrachtgever die de persoonsgegevens verstrekt heeft binnen 24 uur nadat het datalek bij Emble bekend is geworden op de hoogte. Tegelijk met de melding van de aard en het tijdstip van het datalek legt Emble B.V. een omschrijving van de impact van het datalek en de beoogde oplossing voor het verhelpen van de (gevolgen van) het datalek voor aan de opdrachtgever.