Hier lees je alles over het privacy beleid van IPro Training NL B.V. hierna te noemen IPro Training NL. Adres Den Haag Spaces, Zuid-Hollandlaan 7, 2596 AL Den Haag verdieping 3 kamer 4. Wij adviseren u dit privacyreglement goed door te lezen zodat u op de hoogte bent van uw rechten en verplichtingen. IPro Training NL is de eigenaar van de Training Online Marketing (TOM).
Versie: 2020 – 1
Partijen nemen in aanmerking dat:
1.1. Voor de uitvoering van dit privacyreglement hebben de begrippen “verwerking”, “betrokkene”, “toezichthoudende autoriteit” en “persoonsgegevens” dezelfde betekenis als in de AVG.
2.1. IPro Training NL verwerkt de Persoonsgegevens overeenkomstig het bepaalde in deze overeenkomst.
2.2. Deze overeenkomst vervangt eventueel eerder gemaakte afspraken tussen partijen over de verwerking van de Persoonsgegevens.
2.3. In navolging van de artikelen 28 en 29 AVG
(a) worden de Persoonsgegevens slechts verwerkt in opdracht van de (potentiële) klant behoudens afwijkende wettelijke verplichtingen. De opdracht van de (potentiële) klant wordt geacht te zijn vervat in de Overeenkomst;
(b) zal IPro Training NL de Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de (potentiële) klant;
(c) is IPro Training NL verplicht zorg te dragen dat de tot verwerking van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door passende wettelijke verplichtingen tot vertrouwelijkheid gebonden zijn. Deze vertrouwelijkheidsplicht houdt tenminste nakoming in van de vertrouwelijkheidsplichten uit de Overeenkomst.
2.4. Partijen zullen de bepalingen uit de AVG en andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens naleven.
3.1. IPro Training NL verwerkt de Persoonsgegevens alleen ten behoeve van het uitvoeren van de Overeenkomst en het verlenen van de diensten onder de Overeenkomst, zoals weergegeven onder overweging A. Het is IPro Training NL niet toegestaan de Persoonsgegevens voor enig ander doel, ten eigen nutte, ten nutte van derden en/of voor eigen dan wel reclamedoeleinden van derden te verwerken of op andere wijze te verwerken dan door de (potentiële) klant is vastgesteld, tenzij IPro Training NL hiervoor toestemming heeft gekregen van de (potentiële) klant. Voor wat betreft deze gegevens is IPro Training NL als verantwoordelijke aan te merken. Onverminderd hetgeen is bepaald in artikel 3.2, staat IPro Training NL in voor een correcte verwerking van Persoonsgegevens door Partijen wanneer IPro Training NL Persoonsgegevens verkregen van de (potentiële) klant verrijkt met eigen van betrokkene verkregen Persoonsgegevens (studieresultaten) en de resultaten hiervan terugkoppelt aan de (potentiële) klant.
3.2. Partijen dragen zorg voor de naleving van de op de verwerking van de Persoonsgegevens toepasselijke wet- en regelgeving, waaronder de AVG. In dat kader voldoet de (potentiële) klant aan artikel 24 en 25 AVG vastgelegde verplichting. IPro Training NL treft in ieder geval de passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de Algemene Verordening Gegevensbescherming wordt uitgevoerd.
3.3. Partijen dragen zorg voor de naleving van de op de verwerking van de Persoonsgegevens toepasselijke wet- en regelgeving, waaronder de AVG. In dat kader voldoen Partijen aan artikel 28 en 32 AVG vastgelegde verplichting, om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Partijen verplichten zich om de beveiligingsmaatregelen periodiek te actualiseren en aan te passen aan de stand der techniek. IPro Training NL neemt, op aanwijzing van de (potentiële) klant in ieder geval de volgende maatregelen:
– Beveiligde verbinding IPro Training NL is alleen via een SSL beveiligde verbinding te bereiken. Dat betekent dat ingevulde gegevens dus versleuteld worden verstuurd, en niet door derden kunnen worden gelezen. We ondersteunen de volgende versies: TLS versies 1.0, 1.1 en 1.2 met 256-bit TLS RSA encryptie.
– Beveiligde interne infrastructuur. Nadat gegevens van de gebruiker naar IPro Training NL zijn verstuurd, komen ze in het servernetwerk van IPro Training NL terecht. Dat wordt beheerd door Amazon Web Services, de meest gerenommeerde webhosting provider met veel ervaring op het gebied van beveiliging. Binnen dat netwerk zijn ook alle verbindingen versleuteld met SSL. Ook is dit interne netwerk niet bereikbaar van buitenaf. Daarnaast kunnen onze eigen servers alleen bij de data die zij nodig hebben voor hun specifieke taak, dus een test- of emailserver kan niet bij de gegevens die voor de live-website nodig zijn. Zie ook: Amazon Web Services Security Center.
– Gegevensopslag binnen de EU. Alle servers van IPro Training NL staan fysiek in de EU, en zijn dus niet onderhevig aan de Amerikaanse Patriot Act. Voor meer informatie over de Europese wetgeving en de beveiliging van IPro Training NL, zie: Amazon Web Services EU Data Protection FAQ. – Versleutelde database harde schijven De harde schijven waarop de databases staan, en waarop de gegevens worden opgeslagen, zijn zelf ook versleuteld. Het versleutelen van de databasegegevens vereist een encryptiesleutel die ook alleen op onze eigen servers in het beveiligde netwerk staat. De gegevens in de databases zijn zonder die sleutel dus niet leesbaar. – IPro Training NL werkt conform ISO 27001
3.4. IPro Training NL zal de Persoonsgegevens niet langer bewaren dan noodzakelijk is voor het doel omschreven in artikel 3.1, dan wel om een op hem rustende wettelijke verplichting na te leven.
3.5. IPro Training NL staat ervoor in dat de verplichtingen die uit deze overeenkomst voor IPro Training NL voortvloeien ook zijn opgelegd aan al degenen die onder haar gezag vallen, waaronder ook werknemers van IPro Training NL. IPro Training NL zorgt daarbij voor de juiste autorisaties wat betreft toegang tot persoonsgegevens van de (potentiële) klant.
4.1. IPro Training NL verwerkt de Persoonsgegevens alleen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie/ Europese Economische ruimte is enkel toegestaan met voorafgaande schriftelijke toestemming van de (potentiële) klant. De (potentiële) klant kan de toestemming aan nadere redelijke voorwaarden verbinden. IPro Training NL informeert de (potentiële) klant over de landen waar zij de Persoonsgegevens verwerkt.
5.1. De (potentiële) klant geeft hierbij toestemming aan IPro Training NL voor het inschakelen van een sub verwerker. IPro Training NL licht de (potentiële) klant in over beoogde veranderingen inzake de toevoeging of vervanging van andere sub verwerkers, waarbij de (potentiële) klant de mogelijkheid wordt geboden tegen deze verandering bezwaar te maken.
5.2. Wanneer IPro Training NL met schriftelijke toestemming van de (potentiële) klant zijn verplichtingen onder deze overeenkomst uitbesteedt, dient IPro Training NL een schriftelijke sub overeenkomst aan te gaan waarin aan de sub verwerker dezelfde voorwaarden en verplichtingen, maar met name de verplichting om afdoende garanties te bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen, worden opgelegd als aan IPro Training NL in deze Overeenkomst. Indien de sub verwerker zijn verplichtingen jegens IPro Training NL niet nakomt, is IPro Training NL jegens de (potentiële) klant volledig verantwoordelijk voor de nakoming van de verplichtingen van de sub verwerker onder een dergelijke sub Overeenkomst. IPro Training NL verstrekt op eerste verzoek een kopie aan de (potentiële) klant van de Overeenkomst tussen IPro Training NL en sub verwerker, waarbij commercieel gevoelige informatie mag worden weggelaten.
5.3. Op de bepalingen met betrekking tot uitbesteding van deze Overeenkomst is Nederlands recht van toepassing.
5.4. IPro Training NL houdt een lijst bij van de sub Overeenkomsten die zijn overeengekomen onder deze Overeenkomst en waarvan de (potentiële) klant in kennis is gesteld, welke lijst minimaal eenmaal per jaar wordt bijgewerkt. Deze lijst zal beschikbaar worden gehouden ten behoeve van de toezichthoudende autoriteit.
6.1. In alle gevallen van een potentieel data lek of beveiligingslek zoals genoemd in de AVG informeert IPro Training NL de (potentiële) klant onverwijld doch uiterlijk binnen 36 uur na ontdekking hiervan.
6.2. IPro Training NL zal procedures in stand houden die erop gericht zijn om beveiligingsincidenten en datalekken redelijkerwijs te detecteren en daarop actie te ondernemen, daaronder begrepen maatregelen tot herstel. IPro Training NL zal aan de (potentiële) klant op eerste verzoek een kopie van de betreffende procedures overleggen.
6.3. Teneinde de (potentiële) klant in staat te stellen om aan de op hem rustende kennisgevingsverplichtingen te voldoen, stelt IPro Training NL de (potentiële) klant onverwijld in kennis van een inbreuk op de beveiliging zoals uiteengezet in artikel 6.2 hierboven. De kennisgeving aan de (potentiële) klant omvat in ieder geval:
(a) de aard van de inbreuk en, waar mogelijk, de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
(b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie over de inbreuk kan worden verkregen;
(c) de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de maatregelen die IPro Training NL heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen;
(d) een inschatting van het risico voor de rechten en vrijheden van betrokkene(n) dat is ontstaan als gevolg van de inbreuk.
6.4. Met betrekking tot iedere inbreuk zoals bedoeld onder 6.2 draagt IPro Training NL er zorg voor dat IPro Training NL alle medewerking aan de (potentiële) klant verleent die redelijkerwijs van IPro Training NL kan worden verwacht, inclusief het verschaffen van voldoende informatie en ondersteuning met betrekking tot onderzoeken van de toezichthoudende autoriteit:
(a) om de inbreuk te herstellen en te onderzoeken en toekomstige inbreuken te voorkomen;
(b) om de impact van de inbreuk op de privacy van de betrokkene(n) te beperken; en/of
(c) om de schade van de (potentiële) klant als gevolg van de inbreuk te beperken.
6.5. IPro Training NL houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van de Persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk. IPro Training NL zal dit overzicht op diens eerste verzoek aan de (potentiële) klant verstrekken.
6.6. IPro Training NL zal niet zonder voorafgaande schriftelijk instemming van de (potentiële) klant de toezichthoudende autoriteit en/of betrokkene(n) informeren over een inbreuk op de beveiliging.
7.1. IPro Training NL zal de (potentiële) klant onverwijld informeren over een verzoek van een betrokkene tot inzage, verbetering, aanvulling, wijziging, afscherming, verwijdering, beperking of verplaatsing. De (potentiële) klant handelt deze verzoeken vervolgens af.
7.2. IPro Training NL zal de (potentiële) klant waar nodig, bijstand verlenen voor het voldoen aan eventuele (wettelijke) meldplichten, verzoeken van betrokkenen gericht aan de (potentiële) klant het uitvoeren van gegevensbescherming effectbeoordelingen en andere eisen en plichten neergelegd in de relevante wet- en regelgeving.
8.1. Teneinde de (potentiële) klant in staat te stellen om aan de eventueel op hem rustende verplichting om een gegevensbescherming effectbeoordeling uit te voeren te voldoen, stelt IPro Training NL de (potentiële) klant op diens eerste verzoek en voorafgaand aan de verwerking van de Persoonsgegevens in kennis van:
(a) een systematische beschrijving van de beoogde verwerkingen;
(b) een inschatting van de risico’s voor de rechten en vrijheden van betrokkene(n) gelet op de aard, de omvang, de context en de doeleinden van de verwerking;
(c) de beoogde maatregelen om de onder (b) genoemde risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van de Persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkene(n) en andere personen in kwestie.
8.2. IPro Training NL zal de (potentiële) klant op diens eerste verzoek toestaan te toetsen of de verwerking van de Persoonsgegevens overeenkomstig de onder 8.1 gegeven beoordeling wordt uitgevoerd.
9.1. De (potentiële) klant heeft het recht om audits uit te voeren of uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Overeenkomst, en alles dat daarmee verband houdt.
9.2. Deze audit mag in ieder geval eens per jaar plaatsvinden. IPro Training NL zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs en medewerkers, zo tijdig mogelijk en binnen een redelijke termijn (uiterlijk twee weken, tenzij enig redelijk belang zich hiertegen verzet), ter beschikking stellen.
9.3. De bevindingen naar aanleiding van de uitgevoerde audit zullen door partijen in onderling overleg worden beoordeeld. Als de audit daartoe aanleiding geeft, dan zal IPro Training NL volgens de instructies van Verantwoordelijke aanpassingen verrichten.
9.4. De kosten van de audit worden gedragen door de Partij die ze maakt.
10.1. IPro Training NL zal ten aanzien van alle Persoonsgegevens die haar in het kader van de uitvoering van de Overeenkomst ter kennis of beschikking zijn gekomen en waarvan zij het vertrouwelijk karakter kent of redelijkerwijs kan vermoeden, strikte geheimhouding betrachten en op geen enkele wijze aan derden verstrekken, behoudens voor zover:
11.1. Alle (intellectuele) eigendomsrechten op alle bestanden van Persoonsgegevens, gegevensdragers en/of enig ander materiaal waarop Persoonsgegevens zijn opgeslagen, blijven te allen tijde berusten bij de (potentiële) klant.
12.1. Deze Overeenkomst treedt in werking zodra IPro Training NL de Persoonsgegevens gegevens ontvangt van de (potentiële) klant.
12.2. Deze Overeenkomst zal van kracht zijn zolang de Overeenkomst voortduurt. Bij beëindiging van de Overeenkomst eindigt deze Overeenkomst van rechtswege zonder dat enige nadere (rechts)handeling vereist is.
12.3. Tussentijdse opzegging van deze Overeenkomst door een der Partijen is niet mogelijk.
12.4. Bij beëindiging van deze Overeenkomst, om welke reden dan ook, zal IPro Training NL alle Persoonsgegevens van Verantwoordelijke kosteloos conform instructies vernietigen of retourneren op een gebruikelijke gegevensdrager, uitsluitend in die gevallen waarin de gegevens slechts verwerkt worden in opdracht van de (potentiële) klant.
12.5. Na beëindiging van deze Overeenkomst, om welke reden dan ook, blijven de bepalingen van kracht die naar hun aard bedoeld zijn om ook na afloop van de Overeenkomst tussen partijen te blijven gelden.
12.6. IPro Training NL bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk (naar het oordeel van de (potentiële) klant en in geen geval langer dan de duur van de Overeenkomst, tenzij opslag van de Persoonsgegevens wettelijk verplicht is in welk geval IPro Training NL de Persoonsgegevens niet langer bewaart dan de wettelijk verplichte termijn.
13.1. Partijen verplichten zich deze Overeenkomst aan te passen indien veranderende wet- en regelgeving dit noodzakelijk maakt. Afwijkingen en aanvullingen op deze Overeenkomst zijn slechts geldig indien deze uitdrukkelijk en schriftelijk zijn overeengekomen.
13.2. Indien er sprake is van strijdigheid tussen de bepalingen van deze Overeenkomst en de bepalingen van de Overeenkomst dan prevaleert het bepaalde in deze Overeenkomst.
13.3. De met uitvoering van deze Verwerkingsovereenkomst gemoeide kosten zijn reeds begrepen in de prijzen en vergoedingen zoals overeengekomen voor de Overeenkomst, tenzij IPro Training NL kan aantonen dat een datalek of aanvullende werkzaamheden of –kosten onder deze Overeenkomst voortkomen uit een doen of nalaten van de (potentiële) klant.
IPro Training NL verwerkt, in het kader van de Overeenkomst, de volgende persoonsgegevens in naam en in opdracht van de (potentiële) klant:
Email, geslacht, initialen, voornaam, achternaam, bedrijfsnaam, adresgegevens, geboorteplaats, telefoonnummer, geboortedatum, functie, afdeling, LinkedIn-profiel en foto.
De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
De verwerkte persoonsgegevens zijn afkomstig van de (digitale) inschrijving voor een training of een verzoek om informatie over een training.
