In deze privacyverklaring wordt uitgelegd welke persoonsgegevens ICT Group N.V. (“ICT”) en de met haar verbonden ondernemingen van u verzamelt via onze interactie met u en via onze diensten en producten, op welke wijze dat gebeurt, welke rol cookies daarbij spelen, waarvoor wij de persoonsgegevens gebruiken, hoe lang wij persoonsgegevens bewaren,  hoe u de door ons bewaarde persoonsgegevens kunt inzien en kunt aanpassen en hoe uw persoonsgegevens bij ons zijn beveiligd.

Onze bedrijfsgegevens zijn:

ICT Group N.V.
Kopenhagen 9
2993 LL Barendrecht
Nederland
Tel: +31 (0)88 9082000

e-mail: info@ict.nl

KvK nummer: 24186237

Vragen:

Bij vragen over het privacy- en cookiebeleid van ICT, uitoefening van uw rechten, of verzoeken met betrekking tot transparantie, kunt u met ICT contact opnemen per post en telefoon op basis van bovenstaande gegevens. Ook is het mogelijk een email te sturen aan Privacy@ict.nl.

Toepasselijkheid Algemene Verordening Gegevensbescherming (AVG)

Bij de verwerking van gegevens kan de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) van toepassing zijn. We spreken hier verder van AVG. De AVG is van toepassing wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, maar ook op de handmatige verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Om te bepalen of de AVG van toepassing is, zijn de volgende vragen van belang:

1. Worden gegevens verwerkt?
2. Zijn deze gegevens persoonsgegevens?
3. Worden deze gegevens geheel of gedeeltelijk geautomatiseerd verwerkt, of zijn ze opgenomen in een bestand, dan wel bestemd om opgenomen te worden in een bestand?
4. Valt de verwerking binnen het toepassingsbereik van de AVG?

Hoe verkrijgen wij persoonsgegevens?

Persoonsgegevens worden met ons gedeeld door medewerkers, potentiële medewerkers, klanten, prospects, leveranciers of als u contact met ons hebt.

Gebruikers van onze websites, e-mails, films en video’s en andere digitale communicatiekanalen geven een aantal persoonsgegevens rechtstreeks aan ons door.

Persoonsgegevens worden verzameld via bezoek aan onze websites ICT.eu, Freelance.ict.nl, WERKENBIJICT.BE, DVTK.org, en ICT-Hackathon.nl, door persoonsgegevens in te vullen of achter te laten op één van onze websites, door persoonsgegevens in te vullen of achter te laten op één van onze vestigingen of medewerkers of bij aanmelding voor gebruik van onze dienstverlening.

Persoonsgegevens worden door ons ook verkregen door bijvoorbeeld een ICT account aan te maken, door aanmelding voor evenementen en activiteiten (schriftelijk of via onze websites), door toestemming (opt-in) voor marketing- of recruitmentactiviteiten of door bereid te zijn in ons klantenbestand te worden opgenomen.

Een ander deel van de gegevens verkrijgen we door vast te leggen hoe u met onze producten omgaat, bijvoorbeeld door het gebruik van technologieën zoals cookies en het ontvangen van foutrapporten of gebruiksgegevens van software op uw apparaat.

Ook door overeenkomsten aan te gaan of door andere zakelijke activiteiten verkrijgen wij persoonsgegevens. Dit kunnen commerciële (project)overeenkomsten voor producten of diensten zijn, arbeidsovereenkomsten, detavast overeenkomsten, overeenkomsten van opdracht voor de inhuur van ZZP-ers of inleenkrachten, abonnementen of licenties.

Welke websites worden door ICT gehost?

ICT.eu – corporate en commerciële website

ICT.nl – corporate en commerciële website

Freelance.ict.nl. – website gericht op de werving van zelfstandigen

werkenbijict.nl – website gericht op werving van medewerkers

WERKENBIJICT.BE – website gericht op werving van medewerkers

DVTK.org – commerciële website

ICT-Hackathon.nl – website gericht op de werving van medewerkers

Welke persoonsgegevens worden door ons verwerkt?

Wij verzamelen de volgende persoonsgegevens:

• naam en adres
• geboortedatum en – plaats
• telefoonnummer
• e-mailadres
• IP-adres
• bankrekeningnummer
• gegevens van identiteitsbewijzen (pasfoto en burgerservicenummer (BSN))

Verwerkingsdoelen: waarvoor verwerken wij persoonsgegevens?

ICT gebruikt de gegevens die worden verwerkt voor:

• haar bedrijfsvoering
• recruitment
• levering van producten en diensten
• verbetering van producten en diensten
• aanbieden van evenementen

Bedrijfsvoering

ICT is werkzaam voor aannemers en levert professionals aan inleners. In dat geval is wettelijk vereist dat de aannemer of de inlener een aantal gegevens van het identiteitsbewijs van de professional verkrijgt, waaronder het BSN.

Bovendien is ICT als werkgever op grond van artikel 28 Wet op de Loonbelasting wettelijk verplicht om een kopie of scan van het identiteitsbewijs van haar personeel op te nemen in de loonadministratie.

Van het identiteitsbewijs wordt een kopie of scan gemaakt op het moment dat een werknemer bij ICT in dienst komt. Zo kunnen wij later aantonen dat onze werknemers zich goed gelegitimeerd hebben en dat zij legaal in Nederland waren. De kopieën van de door ICT verwerkte identiteitsbewijzen worden verder gebruikt voor controles op de werkvloer door bijvoorbeeld de Inspectie SZW.

Leveren en verbeteren van producten en diensten van ICT

Wij verzamelen (persoons)gegevens die wij via websites ontvangen om effectief te kunnen werken en onze klanten zo goed mogelijk over onze producten en diensten te informeren en aan te kunnen bieden.

Verder is gebruik van persoonsgegevens ook mogelijk voor communicatie met klanten en gebruikers, bijvoorbeeld voor het verstrekken van informatie over gebruikersaccounts, beveiligingsupdates en productinformatie.

Recruitment ten behoeve van ICT

Persoonsgegevens gebruiken we voor recruitment ten behoeve van ICT en met haar verbonden (groeps)ondernemingen. Deze persoonsgegevens kunnen we verstrekken aan deze ondernemingen.

ICT-evenementen

Voorafgaand aan een evenement vragen wij bezoekers om toestemming voor het maken van foto’s, video- en/of geluidsopnamen. Deze opnames worden bewaard (tot een maximum van 3 jaar) en mogen ook worden gebruikt voor interne/externe communicatie doeleinden van ICT Group, met behulp van online en offline middelen, zowel voor commerciële doeleinden als recruitment. Bezoekers en deelnemers aan dergelijke evenementen kunnen voorafgaand aan het evenement ook laten weten dat zij niet herkenbaar op foto’s, video- en/of geluidsopnamen van het evenement wensen voor te komen. Zij ontvangen dan een (gekleurde) sticker die zij op hun kleding kunnen plakken. Bij de verwerking van het materiaal houden wij rekening met hun bezwaren.

ICT websites en cookies

ICT maakt gebruik van cookies (kleine (tekst)bestanden die (door de aanbieder van een website) op de apparatuur van gebruikers of bezoekers van ICT websites worden opgeslagen, bijvoorbeeld op een computer, telefoon of tablet, en soortgelijke technologieën, met behulp waarvan onze diensten kunnen worden verleend en gegevens kunnen worden verzameld). Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of over (het apparaat van) de gebruiker”.

Met cookies kunnen wij onder andere:

1) de voorkeuren en instellingen van ICT website bezoekers opslaan

2) het voor ICT website bezoekers mogelijk maken om zich voor een bepaald doel aan te melden

3) op interesses gebaseerde advertenties en marketing aanbieden

4) een goede beveiliging realiseren (identificatie, bestrijding van fraude, verzorging van interne controle en bedrijfsveiligheid)

5) analyseren hoe onze websites en online diensten presteren. Ook onze apps maken voor soortgelijke doeleinden gebruik van andere id’s, zoals de reclame-id in Windows.

Bezoekers en gebruikers van ICT websites kunnen, nadat zij toestemming hebben gegeven voor het gebruik van cookies, deze cookies verwijderen via de instelling van de internetbrowser op de computer.

Toepasselijke wetten en regels voor het gebruik van cookies

Voor het gebruik van cookies gelden wettelijke regels. De hoofdregels voor het plaatsen van cookies staan in de Telecommunicatiewet (Tw). Op grond van artikel 11.7a van de Tw moet de aanbieder van een website de internetgebruikers informeren over het plaatsen en/of uitlezen van cookies op hun apparaat (zoals hun computer, laptop of smartphone). Vervolgens moet de aanbieder van een website de gebruikers daarvoor in veel gevallen om toestemming vragen.

Analytische cookies

Er zijn uitzonderingen op het toestemmingsvereiste. Bijvoorbeeld als de cookies technisch noodzakelijk zijn om de website goed te laten werken. Denk hierbij aan bepaalde analytische cookies, waardoor beter inzicht wordt verkregen in het functioneren van onze website. Op 11 maart 2015 is de Telecommunicatiewet aangepast. De aanbieder van een website heeft geen toestemming meer nodig voor het plaatsen van analytische cookies, mits die cookies alleen gebruikt worden om bezoekers te tellen. Indien analytische cookies niet worden gebruikt om mensen anders te behandelen, hebben ze nauwelijks gevolgen voor de privacy van bezoekers van een website. In dat geval toestemming van gebruikers van de website niet meer noodzakelijk.

Tracking cookies

Op tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) is ook de Wet bescherming persoonsgegevens (Wbp) van toepassing.

ICT maakt gebruik van tracking cookies op de websites ICT.eu en Freelance.ict.nl. Hiervoor wordt de website gebruiker om expliciete toestemming gevraagd. Indien geen toestemming wordt verleend, wordt de websitebezoeker gevraagd door te klikken voor meer informatie en kan de keuze worden gemaakt om cookies geheel of gedeeltelijk te activeren. Bij een keuze om geen of niet alle cookies is er mogelijk sprake van verminderde functionaliteit van de website.

Hoe worden persoonsgegevens bij ons bewaard?

Persoonsgegevens worden door ICT onder andere opgeslagen in de volgende databases:

• AFAS
• AllSolutions
• Connexys
• Pardot
• SalesForce
• Starred
• Teampass
• Tobania
• TopDesk

Deze lijst met de belangrijkste databases is gebaseerd op een inventarisatie op de datum waarop deze privacyverklaring werd opgemaakt en kan wijzigen.

Van een aantal van deze systemen hebben wij een zogenaamde “Privacy Impact Analysis” gemaakt om te kunnen vaststellen welke risico’s verbonden zijn met het gebruik van deze systemen.



Met wie kunnen uw persoonsgegevens worden gedeeld?

Persoonsgegevens worden doorgegeven aan:

• andere ICT-ondernemingen
• klanten, waarvoor ICT service en/of beheerfuncties vervult
• Facebook, Google en BiZo/LinkedIn, WordPress
• opdrachtgevers, leveranciers of onderaannemers, overheidsinstanties en andere zakelijke relaties.

Grondslag verstrekking persoonsgegevens

De verstrekking van de persoonsgegevens geschiedt op basis van:

• een gerechtvaardigd belang
• wettelijke verplichting en/of
• ter uitvoering van de overeenkomst in overeenstemming met de hiervoor genoemde doelen
• toestemming

ICT heeft in haar verwerkingsregister de van toepassing zijnde grondslag toegevoegd.

ICT hanteert de volgende uitingen als het verstrekken van toestemming:

• overhandigen visitekaartje op een event;
• verzoek tot informatie;
• offerte aanvraag;
• uitvoering van een opdracht;
• toestemming voor gebruik van gegevens per email.

Verwerking van persoonsgegevens

We sluiten met verwerkers van persoonsgegevens een verwerkersovereenkomst. Deze verwerkersovereenkomsten leggen we vast in een verwerkingsregister.

In dit verwerkingsregister zijn de volgende zaken opgenomen:

• de naam en contactgegevens van de verantwoordelijke;
• de doeleinden waarvoor gegevens worden verwerkt; 
• de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens); 
• de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers); 
• de categorieën ontvangers (aan wie worden de gegevens verstrekt?); 
• informatie over eventuele doorgifte van gegevens naar landen buiten de EU; 
• de bewaartermijnen van de gegevens; 
• de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, toegangscontrole, pseudonimisering).

Verwerkingsregister

Ten opzichte van de vereisten voor een verwerkingsregister, heeft ICT het volgende aangepast:

Aangezien ICT geen verplichting heeft tot het benoemen van een functionaris voor gegevensbescherming is deze niet opgenomen in het verwerkingenregister. ICT heeft in plaats daarvan de rollen van proceseigenaar en een applicatiebeheerder opgenomen in het verwerkingsregister. Hierbij wordt gesteld dat de eigenaar nooit dezelfde persoon kan zijn als een applicatiebeheerder, waardoor het “vier ogen”- principe wordt gerealiseerd.  De doeleinden waarvoor de persoonsgegevens worden verwerkt, heeft ICT vertaald naar het proces waarvoor de desbetreffende persoonsgegevens worden gebruikt. 

De categorieën van persoonsgegevens zijn gebaseerd op de categorieën in het bewaartermijnen overzicht. Hiermee is de bewaartermijn te definiëren. Geregistreerd staat, waar de gegevens worden gehost: NL, EU of buiten de EU.

Rechten van betrokkenen

ICT zal:

• betrokkenen de in redelijkheid noodzakelijke inlichtingen omtrent de verwerking van hun persoonsgegevens verschaffen
• betrokkenen een afschrift van of anderszins inzicht verschaffen in hun verwerkte persoonsgegevens
• op verzoek persoonsgegevens van betrokkenen verwijderen, corrigeren, aanvullen of afschermen, tenzij een wettelijke (bewaar) verplichting zich daar tegen verzet
• aantonen dat persoonsgegevens van betrokkenen verwijderd of gecorrigeerd zijn
• betrokkenen in staat stellen andere rechten onder de toepasselijke wetgeving uit te oefenen.

Bewaartermijnen

De bewaartermijnen van de gebruikelijke persoonsgegevens gekoppeld aan:

• sollicitanten. De bewaartermijn bedraagt vier weken nadat de sollicitatieprocedure is geëindigd.
• potentiële medewerkers. De bewaartermijn van persoonsgegevens van potentiële medewerkers bedraagt met expliciete toestemming van de betrokkene drie jaren.
• medewerkers. De bewaartermijn met betrekking tot persoonsgegevens van personen die voor ICT beschikbaar zijn voor detachering bedraagt zeven jaar in verband met de wettelijke bewaarplicht.
• ICT intranet. De bewaartermijn met betrekking tot persoonsgegevens van medewerkers op intranet van ICT en vergelijkbare IT-toepassingen bedraagt zeven jaar in verband met de wettelijke bewaarplicht.
• ingeleende personen. De bewaartermijn met betrekking tot persoonsgegevens van personen die door ICT worden ingeleend bedraagt zeven jaar in verband met de wettelijke bewaarplicht.
• klanten. De bewaartermijn met betrekking tot persoonsgegevens van klanten van ICT bedraagt zeven jaar in verband met de wettelijke bewaarplicht.
• leveranciers. De bewaartermijn met betrekking tot persoonsgegevens van leveranciers van ICT bedraagt zeven jaar in verband met de wettelijke bewaarplicht.
• prospects.  De bewaartermijn met betrekking tot persoonsgegevens van prospects van ICT bedraagt drie jaar.

Doorgeven van persoonsgegevens buiten Nederland

Als persoonsgegevens worden doorgegeven buiten Nederland, zullen we dat alleen doen, indien en voor zover dit wettelijk is toegestaan. Dat betekent bijvoorbeeld dat verwerkers van onze persoonsgegevens buiten de Europese Unie gevraagd wordt om zogenaamde “Standard/Model Contractual Clauses” op te stellen.

Uiteraard vragen wij aan onze verwerkers om de persoonsgegevens die zijn voor ons verwerken, op servers te bewaren, die zijn gelegen binnen de Europese Unie.

Hoe beschermen wij uw persoonsgegevens?

ICT doet het nodige om uw persoonsgegevens te beschermen. Hiervoor heeft ICT een informatiebeveiligingsbeleid ontwikkeld op basis van ISO27001. Dit Informatiebeveiligingsbeleid wordt meerdere keren per jaar gecontroleerd door een onafhankelijke instantie, met een ISO27001 certificaat als gevolg. Onderdeel van dit beleid is de uitvoering van een risico analyse per systeem waar data in wordt verzameld. Op basis van dit risicoprofiel heeft ICT specifieke maatregelen benoemd zoals onder andere Multi Way Authentication en encryptie.

Naast technische bescherming is ook de mens belangrijk. Al onze medewerkers hebben een geheimhoudingsclausule in hun contract. Daarnaast ICT investeert veel geld in het bewustzijn van haar medewerkers op het gebied van informatiebeveiliging en data privacy. Zo zijn er meerdere e-learning modules beschikbaar, worden regelmatig kennissessies gehouden, en wordt regelmatig een phishing test uitgevoerd om te zorgen dat onze medewerkers alert blijven.

Ook onze leveranciers houden wij scherp op dit gebied. Wederom op basis van risico wordt bepaald dat leveranciers net als ons dienen te beschikken over een informatiebeveiligingsbeleid welke door een onafhankelijke instantie getoetst wordt.

Aanpassing van beleid

ICT kan deze privacyverklaring van tijd tot tijd aanpassen. Op de ICT website kan via de hyperlink “Privacyverklaring” altijd de meest recente versie worden inzien. Indien en voor zover u persoonsgegevens aan ICT verstrekt, adviseren wij u de inhoud van deze privacyverklaring, die ook in de Engelse taal op de ICT website beschikbaar is, (“Privacy Statement”), met enige regelmaat te controleren.

Versie: 19 april 2018