PRIVACY VOORWAARDEN HERCULES CAPITAL MANAGEMENT BV

PRIVACY VOORWAARDEN HERCULES CAPITAL MANAGEMENT BV

ALGEMEEN:

Hercules Capital Management BV, statutair gevestigd te Nijmegen en kantoorhoudende aan Rooseveltstraat 2 te 0000XX Xxxxxxxxx aan de Rijn, dient in haar werkzaamheden aan wettelijke verplichtingen te voldoen. Hierdoor kent het vormgeven van de privacy rechtelijke positie van Hercules Capital Management BV een aantal bijzonderheden. Zo kan Hercules Capital Management BV zowel de rol van verwerker als Verwerkingsverantwoordelijke vervullen.

Hercules Capital Management B.V. treedt op als Verwerkingsverantwoordelijke, als:

a) u een particuliere klant bent;

b) Hercules Capital Management BV Persoonsgegevens verwerkt in het kader van (werkzaamheden voor) een wettelijke plicht;

c) Hercules Capital Management B.V. Persoonsgegevens verwerkt voor werkzaamheden waar zij onafhankelijk moet optreden;

d) de verwerking van Persoonsgegevens niet de primaire opdracht is maar hier uit voortvloeit.

In alle andere gevallen treedt Hercules Capital Management B.V. op als verwerker. In dat geval bepaalt u hoe en waarom wij Persoonsgegevens betreffende u en uw werknemers mogen verwerken.

Bijzonderheden als Verwerkingsverantwoordelijke:

Met betrekking tot de verwerkingen waarvoor Hercules Capital Management B.V. optreedt als verwerkingsverantwoordelijk dient zij betrokkenen te informeren. Dit is voor Hercules Capital Management B.V. echter heel lastig, gelet op het feit dat zij geen contact kan leggen met de betrokkenen (bijv. uw werknemers). Hercules Capital Management B.V. verzoekt u daarom om de betrokkenen te informeren over de verwerkingen die door Hercules Capital Management B.V. plaatsvinden. Voor zover u daar niet aan voldoet, stelt Hercules Capital Management B.V. zich op het standpunt dat het verstrekken van de informatie door Hercules Capital Management B.V. niet verplicht is omdat dit onmogelijk is of onevenredig veel inspanning van Hercules Capital Management

B.V. vergt. Omdat Hercules Capital Management B.V. in beginsel geen directe klantrelatie heeft met betrokkenen, kan Hercules Capital Management B.V. ook niet voldoen aan eventuele verzoeken die zij van betrokkenen ontvangt. Daarom zal Hercules Capital Management B.V., indien zij een verzoek van een betrokkene ontvangt waar zij geen afzonderlijke relatie mee heeft, dergelijke verzoeken zo snel mogelijk door te geven aan u als opdrachtgever. Het is dan uw verantwoordelijkheid om deze verzoeken te beoordelen en tijdig en correct af te handelen. Hercules Capital Management B.V. zal als Verwerkingsverantwoordelijke zelf datalekken beoordelen en waar nodig melden. Hercules Capital Management B.V. volgt in dat opzicht de standaard procedure conform de geldende privacywetgeving.

Hercules Capital Management als Verwerker:

Voor verwerkingen waarvoor Hercules Capital Management B.V. optreedt als verwerker, is de bijgevoegde verwerkersovereenkomst in bijlage 1 van toepassing.

Hercules Capital Management B.V. als Verwerkingsverantwoordelijke:

Voor verwerkingen waarvoor Hercules Capital Management B.V. optreedt als Verwerkingsverantwoordelijke, is bijlage 2 ‘ Hercules Capital Management B.V. als Verwerkingsverantwoordelijke’ van toepassing.

BIJLAGE 1: VERWERKERSOVEREENKOMST

1. Algemeen

In deze verwerkersovereenkomst wordt verstaan onder:

1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verwerkingsverantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaakt..

1.3 Persoonsgegevens: de categorieën Persoonsgegevens zoals omschreven in Annex 1.

1.4 Opdrachtgever: de natuurlijke persoon of rechtspersoon die aan Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden, eveneens Verwerkingsverantwoordelijke.

1.5 Verwerker: de besloten vennootschap met beperkte aansprakelijkheid Hercules Capital Management BV, statutair gevestigd te Nijmegen en kantoorhoudende aan xx Xxxxxxxxxxxxxxx 0, 0000XX Xxxxxxxxx xxx xx Xxxx.

1.6 Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten van Werkzaamheden door Verwerker ten behoeve van de Opdrachtgever, conform het bepaalde in de opdrachtbevestiging.

1.7 Verwerkingsverantwoordelijke: de Opdrachtgever die als natuurlijk persoon of rechtspersoon aan de Verwerker, opdracht heeft gegeven tot het verrichten van Werkzaamheden.

1.8 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

2. Toepasselijkheid Verwerkersovereenkomst

2.1 Deze verwerkingsovereenkomst is van toepassing op alle Persoonsgegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verwerkt voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen Persoonsgegevens.

2.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens zoals omschreven in Annex 1.

2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde Persoonsgegevens voor Verwerkingsverantwoordelijke.

2.4 Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 Algemene Verordening Persoonsgegevensbescherming (AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van de Persoonsgegevens zijn geregeld, waaronder ten aanzien van de beveiliging. Deze verwerkersovereenkomst is ten opzichte van Verwerkingsverantwoordelijke bindend voor Verwerker.

2.5 Deze verwerkingsovereenkomst maakt, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

2.6 Verwerker kan bij het uitvoeren van de opdracht optreden als Verwerkingsverantwoordelijke. Indien Verwerker optreedt als Verwerkingsverantwoordelijke, is deze verwerkersovereenkomst niet van toepassing. In dat geval is bijlage 2 ‘Hercules Capital Management B.V. als Verwerkingsverantwoordelijke’ van toepassing.

3. Reikwijdte verwerkersovereenkomst

3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verwerkingsverantwoordelijke aan Verwerker de opdracht gegeven om de Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke op de wijze zoals omschreven in Annex 1 in overeenstemming met de bepalingen van deze verwerkersovereenkomst.

3.2 Verwerker verwerkt de Persoonsgegevens uitsluitend in overeenstemming met deze verwerkersovereenkomst, met name met hetgeen is opgenomen in Annex 1. Verwerker bevestigt de Persoonsgegevens niet voor andere doeleinden te verwerken.

3.3 De zeggenschap over de Persoonsgegevens komt nooit bij Verwerker te rusten.

3.4 De Verwerkingsverantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens.

3.5 Verwerker verwerkt de Persoonsgegevens enkel in de Europese Economische Ruimte.

4. Aanleveren correcte Persoonsgegevens

4.1 Verwerkingsverantwoordelijke treft de nodige maatregelen opdat Persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.

5. Geheimhouding

5.1 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot Persoonsgegevens, verwerken de Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

5.2 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot Persoonsgegevens, zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.

6. Geen verdere verstrekking

6.1 Verwerker zal de Persoonsgegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verwerkingsverantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Persoonsgegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verwerkingsverantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving.

7. Beveiligingsmaatregelen

7.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen, zijn in Annex 2 vermeld.

7.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen.

7.3 De Persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (verder EER). Indien er Persoonsgegevens uitgewisseld moeten worden voor een juiste uitvoering van de Overeenkomst buiten de EER zal dit geschieden op basis van adequaatheidsbesluiten of passende waarborgen conform artikel 45, 46 AVG.

8. Toezicht op naleving

8.1 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de Persoonsgegevens door Verwerker of Sub-verwerkers.

Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen vijf werkdagen.

8.2 Verwerkingsverantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verwerkingsverantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verwerkingsverantwoordelijke.

8.3 Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verwerkingsverantwoordelijke dan wel een daartoe door Verwerkingsverantwoordelijke ingeschakelde derde in ieder geval:

8.3.1. alle relevante inlichtingen en documenten verstrekken;

8.3.2. toegang verlenen tot alle relevante gebouwen, informatiesystemen en Persoonsgegevens.

8.4 Verwerkingsverantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren.

Verwerker zal op kosten van Verwerkingsverantwoordelijke maatregelen nemen om de

geconstateerde xxxxxx’x en tekortkomingen op een voor Verwerkingsverantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.

9. Datalek

9.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de Persoonsgegevens, stelt Verwerker Verwerkingsverantwoordelijke hiervan op de hoogte via de bij Verwerker bekende Persoonsgegevens van Verwerkingsverantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen Persoonsgegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de Persoonsgegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.

9.2 Verwerker zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.

10. (Sub)verwerkers

10.1 Opdrachtgever geeft hierbij toestemming voor het inschakelen van de in Annex 1 opgenomen sub-verwerker(s) door Xxxxxxxxx. Opdrachtnemer zal Opdrachtgever direct informeren wanneer een overeenkomst met een sub-verwerker is beëindigd.

10.2 Verwerker informeert Verwerkingsverantwoordelijke over het voornemen andere sub- verwerkers dan opgenomen in Annex 1 in te schakelen. Verwerker geeft Verwerkingsverantwoordelijke een termijn van 7 werkdagen om bezwaar te maken tegen het inschakelen van de sub-verwerker. Verwerker zal de sub-verwerker pas inschakelen indien de termijn van 7 dagen is verstreken zonder dat Verwerkingsverantwoordelijke bezwaar heeft gemaakt, of indien Verwerkingsverantwoordelijke heeft aangegeven geen bezwaar te maken tegen het inschakelen van de sub-verwerker.

10.3 Verwerker draagt er zorg voor dat de sub-verwerker is onderworpen aan deze verwerkersovereenkomst dan wel aan een (sub)verwerkersovereenkomst die dezelfde plichten bevat als deze verwerkersovereenkomst.

11. Medewerkingsplichten en -rechten van betrokkenen

11.1 Verwerker zal Verwerkingsverantwoordelijke op verzoek medewerking verlenen in geval van een klacht, vraag of verzoek van een betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.

11.2 Verwerker zal Verwerkingsverantwoordelijke op diens verzoek en voor diens rekening bijstaan bij het uitvoeren van een impactanalyse m.b.t. gegevensbescherming.

11.3 Als Verwerker rechtstreeks van een betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Persoonsgegevens ontvangt, informeert Verwerker Verwerkingsverantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert zo snel mogelijk alle instructies uit die Verwerkingsverantwoordelijke schriftelijk aan Xxxxxxxxx geeft als gevolg van zodanig verzoek van betrokkene. Verwerker treft de noodzakelijke passende technische en organisatorische maatregelen die nodig zijn om te voldoen aan dergelijke instructies van Verwerkingsverantwoordelijke.

11.4 Indien instructies van Verwerkingsverantwoordelijke aan Verwerker strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verwerkingsverantwoordelijke.

11.5 Kosten voortvloeiend uit inzageverzoeken van Betrokkene(n), onderzoeken, audits of beslagleggingen door de Autoriteit Persoonsgegevens of een andere toezichthouder met betrekking tot Persoonsgegevens, zullen worden gedragen door Verwerkingsverantwoordelijke.

12. Duur, beëindiging, bewaartermijnen en wissen

12.1 Deze verwerkersovereenkomst zijn geldig zolang Xxxxxxxxx de opdracht heeft van Verwerkingsverantwoordelijke om Persoonsgegevens te verwerken op grond van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verwerkingsverantwoordelijke is deze verwerkersovereenkomst op deze relatie van toepassing.

12.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Verwerker bewaart gegevens niet langer dan wettelijk verplicht.

12.3 . Indien Verwerker na beëindiging van de Overeenkomst op grond van een wettelijke bewaarplicht bepaalde Persoonsgegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Persoonsgegevens bevinden gedurende een (wettelijke) termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze Persoonsgegevens of documenten, computerdisks of andere gegevensdragers binnen redelijke termijn na het verstrijken van de (wettelijke) bewaartermijn.

12.4 Bij beëindiging van de Overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker kan Verwerkingsverantwoordelijke binnen twee maanden na beëindiging van de Overeenkomst aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich Persoonsgegevens bevinden, te retourneren aan Verwerkingsverantwoordelijke, voor rekening van Verwerkingsverantwoordelijke. In geval van retournering zal Verwerker de Persoonsgegevens verstrekken in de vorm zoals bij Verwerker aanwezig. Voor zover de Persoonsgegevens zich in een computersysteem bevinden of in een andere vorm waardoor de Persoonsgegevens redelijkerwijs niet kunnen worden verstrekt aan Verwerkingsverantwoordelijke, zal Verwerker aan Verwerkingsverantwoordelijke een toegankelijke, leesbare kopie van de Persoonsgegevens verstrekken. Na het verstrijken van deze termijn zal Verwerker tot definitieve vernietiging van de Persoonsgegevens overgaan, tenzij Verwerker op grond van wet- en regelgeving gehouden is de Persoonsgegevens op te slaan.

12.5 Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het voorgaande lid bedoeld heeft plaatsgevonden.

12.6 Onverlet hetgeen voor het overige in dit artikel 12 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Persoonsgegevens houden noch gebruiken.

13. Nietigheid

13.1 Indien één of meerdere bepalingen uit deze verwerkersovereenkomst nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersovereenkomst niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

14. Toepasselijk recht en forumkeuze

14.1 Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

14.2 Alle geschillen in verband met de verwerkersovereenkomst of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank in Gelderland.

ANNEX 1: PERSOONSGEGEVENS, DOELEINDEN, CATEGORIEEN

VAN BETROKKENEN EN SUBVERWERKERS

1. Persoonsgegevens

De Verwerkingsverantwoordelijke laat de Verwerker onder meer de volgende Persoonsgegevens van Verwerkingsverantwoordelijke (en evt gezinsleden) door Verwerker verwerken in het kader van de opdracht, welke met Verwerkingsverantwoordelijke is overeengekomen:

A. N.A.W.-gegevens

B. Correspondentie- en/of contactgegevens (telefoonnummers, e-mailadressen, etc)

C. Geboortedatum

D. Burgerlijke staat en datum samenwonen of huwelijk

E. Beroep

F. Gegevens ID-bewijs (in verband met de Wwft)

G. BSN nummer

H. RSIN en BTW nummer

I. Financiële gegevens (bankrekeningnummer, schulden, bezittingen, facturen etc)

J. (10) NAW-Persoonsgegevens en BSN van personeelsleden van Verwerkingsverantwoordelijke

2. Doeleinden:

Verwerker zal de persoonsgegevens voor de volgende doeleinden verwerken conform de Overeenkomst, maar niet uitputtend:

a) het onderhoud, waaronder updates en releases van het door Verwerker dan wel (sub)Verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem;

b) het verzorgen dan wel ondersteunen van de financiële administratie;

c) het verzorgen van financiële planning;

d) het verzorgen van beleggingsadvies;

e) het verzorgen en ondersteunen bij de implementatie van financiële pakketten, incl. het verwerken van historische financiële data;

3. Categorieën:

De Persoonsgegevens die verwerkt kunnen worden betreffen onder meer de volgende categorieën van betrokkenen afhankelijk van de opdracht:

a) Opdrachtgever

b) Personeel van opdrachtgever

c) Klanten van opdrachtgever

4. Categorieën van (sub)verwerkers:

Verwerker kan, afhankelijk van de te leveren diensten, bij de verwerking gebruik maken van de volgende categorieën van sub-verwerkers:

a) Online CRM / ERP	Locatie:	NL
b) Online Boekhouding	Locatie:	NL
c) Online Dataverwerking	Locatie:	EER
d) Online Back-up provider	Locatie:	EER

ANNEX 2: BEVEILIGINGINGSMAATREGELEN

1. Integriteit:

Om de integriteit te garanderen zijn de volgende beveiligingsmaatregelen getroffen:

a) Controle op de doorgifte van persoonsgegevens.

b) Controle op de invoer van gegevens.

2. Vertrouwelijkheid:

Om de vertrouwelijkheid te garanderen zijn de volgende beveiligingsmaatregelen getroffen:

a) Controle op de fysieke toegang tot Persoonsgegevens;

b) Controle op de elektronische toegang tot Persoonsgegevens;

c) Controle op de interne toegang tot Persoonsgegevens.

3. Beschikbaarheid:

Om de beschikbaarheid te garanderen zijn de volgende beveiligingsmaatregelen getroffen:

a) Controle op de beschikbaarheid van de gebruikte systemen (bijv. door maken back-ups).

b) Toegang tot Persoonsgegevens kunnen herstellen (met middelen op deze persoonsgegevens na een incident snel te kunnen herstellen).

4. Testen, beoordelen en evalueren::

Op gezette tijden zal de doeltreffendheid van de technische en organisatorische maatregelen worden getest, beoordeeld en geëvalueerd. Hiertoe zijn de volgende beveiligingsmaatregelen getroffen:

a) naleven van een intern incidentenprotocol.

b) Controle van instructies van de Verwerkingsverantwoordelijke(n).

c) Maatregelen om privacy by design te bewerkstelligen.

d) Herstelmogelijkheden (middelen die de Verwerker in staat stellen om snel persoonsgegevens te kunnen herstellen na een incident).

e) Naleven van een informatiebeveiligingsbeleid, leveranciersbeleid, privacybeleid en gedragscode.

f) Herstelmogelijkheden (middelen die de Verwerker in staat stellen om snel persoonsgegevens te kunnen herstellen na een incident)Controle op de beschikbaarheid van de gebruikte systemen (bijv. door maken back-ups).

BIJLAGE 2:

HERCULES CAPITAL MANAGEMENT B.V. ALS VERWERKINGSVERANTWOORDELIJKE

1. Privacy verklaring

Een zorgvuldige omgang met persoonsgegevens is voor Verwerkingsverantwoordelijke, Hercules Capital Management B.V. en alle gelieerde vennootschappen (hierna zowel afzonderlijk als

gezamenlijk te noemen: ”Hercules Capital Management”) van groot belang. Persoonlijke gegevens worden dan ook zorgvuldig verwerkt en beveiligd. Hierbij houden wij ons aan de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens. Onze bedrijfsactiviteiten vinden plaats in Nederland en wij bewaren onze gegevens op servers in de Europese Economische Ruimte (EER).

Indien er persoonsgegevens uitgewisseld moeten worden voor een juiste uitvoering van de Overeenkomst buiten de EER zal dit geschieden op basis van adequaatheidsbesluiten of passende waarborgen conform de AVG.

2. Algemeen

De dienstverlening die u bij Hercules Capital Management afneemt via elektronische wegen of door het geven van een opdracht aan Hercules Capital Management, vormen de “Dienst”. Voor het gebruik van onze websites en contactmogelijkheden geldt een aparte privacyverklaring die u kunt raadplegen op onze website. Hercules Capital Management is verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens zodra Hercules Capital Management zelf het doel en de middelen bepaalt voor de verwerking. Bijvoorbeeld wanneer Hercules Capital Management verantwoordelijk is voor de naleving van wettelijke vereisten. Voor de dienstverlening waarbij u als opdrachtgever zelf het doel en de middelen bepaalt voor de verwerking van de persoonsgegevens is Hercules Capital Management aan te merken als verwerker, tenzij u als particuliere klant de Dienst afneemt. Deze privacyverklaring omvat alleen de verwerkingen betreffende de Dienst waarvoor Hercules Capital Management zelf het doel en de middelen bepaalt en daardoor als verwerkingsverantwoordelijke is aan te merken en wanneer u als particuliere klant de Dienst afneemt. Indien Hercules Capital Management verwerker is, en uzelf als klant verwerkingsverantwoordelijke bent is bijlage 1 ‘Verwerkersovereenkomst ‘ van toepassing. Hercules Capital Management kan bepalingen van deze privacyverklaring wijzigen. Als wij dat doen, dan laten wij u dit weten.

3. Rechtsgronden en doeleinden voor de verwerking van uw persoonsgegevens

Het doel van het overzicht is u in één oogopslag een beeld te geven van de gegevens die wij redelijkerwijs van u kunnen verwerken in het kader van onze dienstverlening waarbij Hercules Capital Management aan te merken is als verwerkingsverantwoordelijke. Hercules Capital Management verwerkt alleen persoonsgegevens voor welbepaalde doeleinden waarbij sprake is van een rechtmatige grondslag conform de privacywetgeving. Hercules Capital Management hanteert de volgende rechtsgronden en doeleinden voor de verwerking van persoonsgegevens:

3.1 Verwerking die noodzakelijk is voor het uitvoeren van een overeenkomst en de dienst

3.1.1 Aan- en verkoopbegeleiding (Fusies en Overnames):

Verwerking die noodzakelijk is voor het uitvoeren van een overeenkomst van dienst op het gebied van Corporate Finance, fusies en overnames.

Wanneer u als zakelijke klant, particuliere klant en/of potentiële koper of verkoper betrokken bent bij de aan- of verkoop van een onderneming aan derden of familie, op zoek bent naar (risicodragende) (her)financiering, de uitvoering van een waardebepaling of een second opinion door Hercules Capital Management, kunnen onder meer onderstaande gegevens van u worden verwerkt:

a) N.A.W.-gegevens

b) Correspondentie- en/of contactgegevens (telefoonnummers, e-mailadressen, etc)

c) Geboortedatum

d) Burgerlijke staat en datum samenwonen of huwelijk

e) Beroep

f) Gegevens ID-bewijs (in verband met de Wwft)

g) BSN nummer

h) RSIN en BTW nummer

i) Financiële gegevens (bankrekeningnummer, schulden, bezittingen, facturen etc)

j) NAW-Persoonsgegevens en BSN van personeelsleden van opdrachtgever

Deze gegevens kunnen deels en gedurende een bepaalde periode geanonimiseerd worden gedeeld met andere belanghebbenden waarbij in geval er sprake is van een due diligence (boekenonderzoek) veelal gebruik wordt gemaakt van een online dataroom als verwerker. Gegevens kunnen ook worden gedeeld met door u zelf aangegeven partijen.

3.1.2 Financiering & Structurering:

Verwerking die noodzakelijk is voor het uitvoeren van een overeenkomst van dienst op het gebied van Financiering en structurering.

Wanneer u als zakelijke klant, particuliere klant betrokken bent bij de (her)structurering en/of (her)financiering van uw zakelijk of privévermogen door Hercules Capital Management, kunnen onder meer onderstaande gegevens van u worden verwerkt.

a) N.A.W.-gegevens

b) Correspondentie- en/of contactgegevens (telefoonnummers, e-mailadressen, etc)

c) Geboortedatum

d) Burgerlijke staat en datum samenwonen of huwelijk

e) Beroep

f) Gegevens ID-bewijs (in verband met de Wwft)

g) BSN nummer

h) RSIN en BTW nummer

i) Financiële gegevens (bankrekeningnummer, schulden, bezittingen, facturen etc)

j) NAW-Persoonsgegevens en BSN van personeelsleden van opdrachtgever.

Gegevens kunnen hierbij worden gedeeld met door u zelf aangegeven partijen.

3.1.3 Vermogensadvies:

Verwerking die noodzakelijk is voor het uitvoeren van een overeenkomst van dienst op het gebied van Vermogensadvies.

Wanneer u als zakelijke klant, particuliere klant betrokken bent bij de (her)belegging van uw zakelijk of privévermogen door Hercules Capital Management, kunnen onder meer onderstaande gegevens van u worden verwerkt.

a) N.A.W.-gegevens

b) Correspondentie- en/of contactgegevens (telefoonnummers, e-mailadressen, etc)

c) Geboortedatum

d) Burgerlijke staat en datum samenwonen of huwelijk

e) Beroep

f) Gegevens ID-bewijs (in verband met de Wwft)

g) BSN nummer

h) RSIN en BTW nummer

i) Financiële gegevens (bankrekeningnummer, schulden, bezittingen, facturen etc)

j) NAW-Persoonsgegevens en BSN van personeelsleden van opdrachtgever.

Gegevens kunnen hierbij worden gedeeld met door u zelf aangegeven partijen.

Indien u niet bereid bent om de persoonsgegevens te verstrekken die wij voor deze doeleinden verwerken of niet wilt dat wij deze gegevens verwerken, dan kan dit tot gevolg hebben dat u de Dienst niet meer (goed) kan gebruiken. Wij kunnen ook uw toegang tot de Dienst blokkeren of beperken.

Daarnaast kunnen wij de overeenkomst of het gebruik van de Dienst beëindigen. Deze mogelijkheid staat ook in onze algemene voorwaarden. De reden hiervoor is dat wij deze gegevens verzamelen omdat dat nodig is om de Dienst goed te laten functioneren of om ervoor te zorgen dat wij de Dienst aan u kunnen verlenen.

3.2 Verwerking noodzakelijk om te voldoen aan een wettelijke verplichting

3.2.1 Het vaststellen van uw identiteit (Wwft)

Hercules Capital Management is wettelijk verplicht uw identiteit te verifiëren. Daarbij kunnen onder meer onderstaande gegevens van u worden verwerkt:

a) Voorna(a)m(en), achternaam, geslacht;

b) geboortedatum;

c) adresgegevens;

d) gegevens van uw identiteitsbewijs.

Hercules Capital Management is verplicht deze gegevens voor ten minste 5 jaar na beëindigen van de zakelijke relatie te bewaren.

3.2.2 Voeren van de interne administratie

Hercules Capital Management heeft een wettelijke verplichting tot het voeren van een interne administratie. Daarbij kunnen onder meer onderstaande gegevens worden verwerkt:

a) contactgegevens (o.a. naam, adres, woonplaats, telefoonnummer, e-mailadres);

b) BTW nummer;

Hercules Capital Management is verplicht deze gegevens minimaal 7 jaar te bewaren conform de fiscale bewaarplicht. Hercules Capital Management deelt gegevens met de belastingdienst vanwege de aangifteverplichting.

Hercules Capital Management is verwerkingsverantwoordelijke in het voorkomen of onderzoeken van daadwerkelijke of mogelijke fraude, inbraak, inbreuk of ander wangedrag dat betrekking heeft op onze Dienst of website.

lndien u niet bereid bent om de persoonsgegevens te verstrekken die wij voor deze doeleinden verwerken of niet wilt dat wij deze gegevens verwerken, dan kan dit tot gevolg hebben dat u de Dienst niet meer kan en mag gebruiken. Wij kunnen in dat geval ook uw toegang tot de Dienst blokkeren of beperken. Daarnaast kunnen wij de overeenkomst of het gebruik van de Dienst beëindigen. De mogelijkheid om de Dienst te beëindigen staat ook in onze algemene voorwaarden. De reden hiervoor is dat wij deze gegevens verzamelen, omdat wij deze gegevens nodig hebben om te voldoen aan onze wettelijke verplichtingen.

3.3 Verwerking die noodzakelijk is voor de gerechtvaardigde belangen van Hercules Capital Management

Hercules Capital Management verwerkt persoonsgegevens voor onderstaande doeleinden waarbij de verwerking noodzakelijk is voor de rechtvaardigde belangen van Hercules Capital Management:

a) het vragen van feedback en het ons in staat stellen onze Dienst, publicaties en producten te ontwikkelen, aan te passen en te verbeteren;

b) het analyseren van gebruikerseigenschappen en gebruikspatronen om beter te begrijpen hoe de Dienst wordt gebruikt teneinde deze effectiever te kunnen inzetten;

c) het sturen van marketing- en promotiemateriaal over onze producten en diensten. Als u niet (meer) wil dat de informatie wordt gebruikt voor direct marketing, dan kunt u contact met ons opnemen; U kunt zichzelf ook afmelden door de afmeldinginstructies te volgen die bij elke promotie-e-mail zijn opgenomen. Dit heeft geen invloed op ons recht en onze mogelijkheid om u Dienst- en account verwante e-mails te sturen of persoonsgegevens te gebruiken zoals beschreven in deze privacyverklaring.

Daarbij kunnen onder meer onderstaande gegevens van u worden verwerkt:

a) contactgegevens (o.a. naam, adres, woonplaats, telefoonnummer, e-mailadres);

Indien u niet bereid bent om de persoonsgegevens te verstrekken die wij voor deze doeleinden verwerken of niet wilt dat wij deze gegevens verwerken, dan kan dit tot gevolg hebben dat u de Dienst niet meer (goed) kunt gebruiken. Zo is het mogelijk dat wij uw toegang tot de Dienst blokkeren of beperken. De reden hiervoor is dat wij deze gegevens verzamelen omdat Hercules Capital

Management een zogenaamd “gerechtvaardigd belang” heeft. Daarnaast hebben wij de gegevens

nodig om misbruik van de Dienst te voorkomen of beveiligingsincidenten te voorkomen.

4 Hoelang bewaren we persoonsgegevens?

Hercules Capital Management bewaart persoonsgegevens niet langer dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor de gegevens worden verwerkt. Tenzij wij op grond van wet en / of regelgeving verplicht zijn om uw persoonsgegevens gedurende een bepaalde termijn te bewaren of tenzij in deze privacyverklaring anders staat aangegeven, is het uitgangspunt dat uw persoonsgegevens worden bewaard conform de fiscale bewaarplicht van minimaal 7 jaar.

5 Delen van persoonsgegevens

U kunt als klant meerdere diensten afnemen bij Hercules Capital Management. Indien dit het geval is kunnen wij intern uw gegevens hergebruiken om zo dubbele of verkeerde data te voorkomen. De langst geldende bewaartermijnen (afhankelijk van de dienst) worden gehanteerd o.b.v. in de wet en / of regelgeving vastgestelde termijnen.

5.1 Delen met Verwerkers

Wij kunnen derden, zoals hostingproviders, inschakelen om ons bij te staan bij het verlenen van de Dienst. Die derden kunnen, in het kader van hun rol bij het leveren van de Dienst, uw persoonsgegevens verwerken. In dit opzicht wordt een dergelijke derde hierna aangeduid als 'Verwerker'. In sommige gevallen kan de Verwerker uw persoonsgegevens namens ons verzamelen. Wij informeren Verwerkers dat zij persoonsgegevens die zij van ons verkrijgen alleen mogen gebruiken om het verlenen van de Dienst mogelijk te maken. Wij zijn niet verantwoordelijk voor eventuele aanvullende informatie die u zelf rechtstreeks aan Verwerkers verstrekt of voor de verstrekking van gegevens welke u op eigen initiatief uitwisselt door koppelingen te leggen tussen Verwerkers en andere partijen. Het is verstandig om uzelf goed te informeren over de Verwerker en zijn bedrijf, voordat u uw persoonsgegevens verstrekt.

5.2 Delen met uw toestemming

Wij kunnen ook persoonsgegevens delen met anderen als u ons daarvoor toestemming geeft. We kunnen bijvoorbeeld werken met andere partijen om specifieke diensten of aanbiedingen rechtstreeks aan u aan te bieden. Als u zich inschrijft voor deze diensten van derde partijen of marketingaanbiedingen, dan kunnen wij uw naam of contactgegevens verstrekken als die nodig zijn om die dienst te verlenen of contact met u op te nemen.

5.3 Onze wettelijke verantwoordelijkheid

Wij mogen ook persoonsgegevens met derden delen indien dit:

a) redelijkerwijs noodzakelijk of passend is om te voldoen aan verplichtingen uit de wet en/of regelgeving;

b) nodig is om te voldoen aan wettelijke verzoeken van autoriteiten;

c) nodig is om op eventuele aanspraken te reageren;

d) nodig is om de rechten, eigendom of veiligheid van ons, onze gebruikers, onze medewerkers of het publiek te beschermen;

e) nodig is om onszelf of onze gebruikers te beschermen tegen frauduleus, beledigend, ongepast of onwettig gebruik van de Dienst.

Wij zullen u onmiddellijk op de hoogte stellen van verzoeken die wij ontvangen van een overheidsinstantie en die gaan over uw persoonsgegevens, tenzij wij dit niet mogen op grond van de wet.

5.4 Geanonimiseerde Informatie:

Met anonimiseren van informatie wordt bedoeld dat de informatie dermate wordt veranderd dat identificatie van een natuurlijk persoons niet meer mogelijk is. Houdt u er rekening mee dat dergelijke informatie zonder uw toestemming gedeeld kan worden met derden.

6 Bescherming van persoonsgegevens

Wij zullen ervoor zorgen dat we passende technische en organisatorische beveiligingsmaatregelen nemen voor de verwerking van persoonsgegevens. Zo heeft u als opdrachtgever het recht dat Hercules Capital Management zorgvuldig omgaat met uw persoonsgegevens. Hercules Capital Management heeft daarom een intern beveiligingsbeleid en privacybeleid opgesteld en daarbij afgestemd op de privacy wetgeving. Dit beleid wordt geëffectueerd in overeenkomsten, gedragsregels en (beveiligings)maatregelen.

Wij volgen algemeen geaccepteerde standaarden ter bescherming van persoonsgegevens, zowel tijdens de overdracht daarvan en zodra we de persoonsgegevens hebben ontvangen. We hebben fysieke en elektronische procedures ingevoerd die zijn ontworpen om onbevoegde toegang, verlies of misbruik van persoonsgegevens zoveel mogelijk te voorkomen.

U moet er rekening mee houden dat onze Verwerkers verantwoordelijk zijn voor het verwerken, beheren of opslaan van (een deel van) de persoonsgegevens die we ontvangen. In de verwerkersovereenkomst die wij met deze Verwerkers hebben gesloten, hebben wij de Verwerkers verplicht om uw persoonsgegevens te beveiligen. Wij willen u er wel graag op wijzen dat absolute veiligheid voor het verzenden van persoonsgegevens via het internet of het opslaan van persoonsgegevens niet altijd gegarandeerd kan worden.

7 Welke rechten heeft u met betrekking tot het gebruik van persoonsgegevens?

Als betrokkene heeft u op grond van de wet een reeks rechten die u kunt uitoefenen. Wij zullen hier kort uw rechten toelichten en hoe u daar gebruik van kunt maken. Houd er rekening mee dat het uitoefenen van uw rechten tot gevolg kan hebben dat u de Dienst niet meer kan gebruiken of niet meer geleverd wordt (zoals omschreven in artikel 3).

U kunt de persoonsgegevens die in het kader van het verlenen van de Dienst worden verzameld, controleren, bijwerken, corrigeren of verwijderen.

Wij hebben bepaalde gevallen het recht om uw persoonsgegevens te bewaren. Dit kan als dit noodzakelijk of aanbevolen is om geschillen op te lossen, de toepasselijke gebruiksvoorwaarden te handhaven, voor technische en/of juridische vereisten en/of indien de Dienst dat vergt.

U kunt ons vragen om de verwerking van uw persoonsgegevens in de toekomst te beperken of te stoppen. Wij voldoen dan waar mogelijk aan uw verzoek. U kunt ons vragen om de persoonlijke informatie die wij over u verwerken over te dragen aan een ander. U moet dan wel specificeren welke informatie u overgedragen wenst te zien. Wij voldoen aan een dergelijk verzoek enkel als het gaat om informatie die is verwerkt op basis van artikel 3.1 van deze privacyverklaring, tenzij deze informatie ook persoonsgegevens bevat over andere (natuurlijke) personen.

U heeft het recht om bij de bevoegde privacy autoriteit een klacht in te dienen die verband houdt met onze verwerking van persoonsgegevens. Voor Nederland is deze autoriteit de Autoriteit Persoonsgegevens, die u kunt bereiken op xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx

8. Indienen van verzoeken

U kunt schriftelijk of per e-mail een aanvraag indienen om gebruik te maken van uw rechten. Een schriftelijk verzoek dient gedateerd en ondertekend ingediend te worden. Schriftelijke en digitale verzoeken bevatten ten minste:

a) dat het een verzoek betreft in het kader van “uitoefenen rechten betrokkene AVG”;

b) uw volledige naam en voorletters en het adres van de betrokkene;

c) een kopie van een geldig legitimatiebewijs van betrokkene (waarbij het BSN-nummer en de pasfoto onleesbaar zijn gemaakt);

d) de vermelding van een e-mail adres bestemd voor correspondentiedoeleinden;

e) een toelichting op het verzoek en van welk recht u gebruik wenst te maken;

f) dat een verzoek om beperking of correctie aangeeft welke wijzigingen u wenst door te voeren.

Het kopie identiteitsbewijs vragen wij om uitwisseling van uw persoonsgegevens met verkeerde personen te voorkomen. Het verzoek om inzage, correctie, overdracht, wissen of beperking kan worden ingediend via het postadres: Xxxxxxxxxxxxxxx 0, 0000XX Xxxxxxxxx xxx xx Xxxx of kan per e- mail worden gedaan aan: xxxx@xxxxxxxx-xxxxxxxxxxxxxxxxx.xxx

9. In behandeling nemen en afhandeling van verzoeken

Hercules Capital Management neemt alleen verzoeken in behandeling waarvoor zij aan te merken is als verwerkingsverantwoordelijke. Indien dit laatste niet het geval is, krijgt u het bericht dat het verzoek niet in behandeling wordt genomen. Ingeval Hercules Capital Management aan te merken is als Verwerker zendt zij het verzoek ter behandeling door naar de juiste Verwerkingsverantwoordelijke. U krijgt hiervan bericht. Indien het verzoek niet voldoet aan de gestelde voorwaarden (zie indienen van verzoeken) dan wordt u in de gelegenheid gesteld het verzoek binnen 2 weken aan te passen.

Wordt binnen deze termijn het verzoek niet aangepast dan ontvangt u een beslissing dat het verzoek niet in behandeling wordt genomen. Hercules Capital Management verstrekt u onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek wordt gegeven. Afhankelijk van de complexiteit van uw verzoek en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. Hercules Capital Management stelt u, indien van toepassing, binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging.

10. Contact

Als u vragen, problemen of opmerkingen heeft over deze privacyverklaring, kunt u contact met ons opnemen via e-mail op xxxx@xxxxxxxx-xxxxxxxxxxxxxxxxx.xxx