PRIVACYBELEID VOOR EXACT PAYMENT SERVICES B.V.
PRIVACYBELEID VOOR EXACT PAYMENT SERVICES B.V.
Laatst bijgewerkt: April 2024
Exact Payment Services B.V., een in Nederland geregistreerde vennootschap met registratienummer 72114452, statutair gevestigd te Xxxxxxxxxxxxxxxxx 00, 0000 XX Xxxxx, Xxxxxxxxx ("EPS"), onderdeel van Exact Group B.V., een in Nederland geregistreerde vennootschap met registratienummer 27234422, statutair gevestigd te Xxxxxxxxxxxxxxxxx 00, 0000 XX Xxxxx, samen met haar dochterondernemingen, divisies en gelieerde ondernemingen ("Exact"), erkent het belang van het beschermen en waarborgen van jouw privacy en de veiligheid van jouw bedrijfsgegevens wanneer je onze diensten gebruikt ("EPS Diensten").
Waar in dit Privacybeleid ("Privacybeleid") wordt verwezen naar persoonsgegevens, wordt bedoeld alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatienummer of een of meer factoren die specifiek zijn voor zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit (“Persoonsgegevens”). Waar wordt verwezen naar gegevens, wordt bedoeld elk soort gegevens die worden
opgeslagen, gebruikt en verwerkt bij het gebruik van EPS Diensten (“Gegevens”). Persoonsgegevens zijn opgenomen in Gegevens. Verwijzingen in dit Privacybeleid naar “EPS” hebben de betekenis die eraan wordt gegeven in de Overeenkomst (de “Overeenkomst” wordt hieronder gedefinieerd onder sectie A).
Dit Privacybeleid maakt onderscheid tussen twee soorten Persoonsgegevens:
• Persoonsgegevens die wij verwerken om de EPS Diensten aan jou te kunnen leveren en voor onze eigen
zakelijke doeleinden (“Jouw Persoonsgegevens”) en waarvoor EPS verwekingsverantwoordelijke is, en:
• Persoonsgegevens die wij uitsluitend voor jou verwerken als onderdeel van de EPS Diensten
(“Bedrijfsgegevens”).
In dit Privacybeleid staat onder welke voorwaarden wij Persoonsgegevens verwerken en welke maatregelen wij hebben genomen om Persoonsgegevens te beschermen.
WANNEER IS DIT PRIVACYBELEID VAN TOEPASSING?
Dit Privacybeleid is uitsluitend van toepassing op EPS Diensten die worden aangeboden door EPS en het omvat geen diensten met een afzonderlijk privacybeleid of zonder privacybeleid. Met EPS kunt je mogelijk andere producten en onlinediensten van derden met andere privacy praktijken aanschaffen, je ervoor inschrijven of gebruiken. Deze andere producten en onlinediensten hebben hun eigen respectieve voorwaarden en privacybeleid. Dit Privacybeleid niet van toepassing op andere diensten aangeboden door andere (Exact) bedrijven of personen, hieronder begrepen producten of websites die mogelijk aan jou worden getoond in de zoekresultaten, sites die EPS Diensten kunnen bevatten of andere sites die aan onze diensten zijn gekoppeld. De marketingsites van EPS of Exact en andere openbare websites die aan onze diensten en producten zijn verbonden, worden beheerst door de Privacyverklaring van Xxxxx.xxx, te vinden op privacy-statement.
A. UW PERSOONSGEGEVENS
Deze sectie A is uitsluitend van toepassing op de verwerking van Jouw Persoonsgegevens en niet op Bedrijfsgegevens. EPS is de verwerkingsverantwoordelijke met betrekking tot de verwerking van Jouw Persoonsgegevens.
Jouw Persoonsgegevens in de Exact Diensten
Voordat je de EPS Diensten aanschaft, je ervoor inschrijft of gebruikt, moet je de desbetreffende overeenkomst en voorwaarden voor die EPS Diensten (gezamenlijk: de “Overeenkomst”) zorgvuldig lezen. Hierin worden jouw rechten en die van EPS met betrekking tot het verzamelen en gebruiken van Jouw Persoonsgegevens globaal beschreven. Om de EPS Diensten aan jou te kunnen leveren verzamelen, bewaren, gebruiken en verwerken wij Jouw Persoonsgegevens zoals nader beschreven in dit Privacybeleid en de Overeenkomst.
Na het aangaan van de desbetreffende Overeenkomst voor de EPS Diensten, kunt je er altijd voor kiezen Jouw Persoonsgegevens niet aan EPS te verstrekken. In dat geval kan EPS niet garanderen dat de EPS Diensten voor jou worden verricht zoals vermeld in de Overeenkomst, aangezien je mogelijk Jouw Persoonsgegevens aan ons dient te verstrekken opdat wij je alle verschillende functionaliteiten van de EPS Diensten kunnen leveren.
Welke Gegevens verzamelt EPS en voor welk doel worden deze gebruikt?
Jouw Persoonsgegevens worden via meerdere kanalen verzameld. Wij verzamelen Jouw Persoonsgegevens wanneer je je inschrijft voor EPS Diensten, deze aanschaft of gebruikt en wanneer je contact opneemt met onze supportafdeling. Dit kunnen onder meer Persoonsgegevens zijn die aan ons zijn geleverd door een reseller van de EPS Diensten, of Persoonsgegevens die wij van jouw werkgever hebben ontvangen, bijvoorbeeld om jouw account aan te maken. Jouw Persoonsgegevens worden in de volgende categorieën ingedeeld:
• Contactgegevens: Wanneer je je inschrijft voor de EPS Diensten, kan het nodig zijn om jouw contactgegevens, zoals jouw naam, e-mailadres, fysieke adres en telefoonnummer, aan ons te verstrekken. Wij gebruiken jouw contactgegevens om onze Overeenkomst met je aan te gaan en na te komen en om met jou te communiceren, bijvoorbeeld om jou dienst gerelateerde berichten te sturen. Daarnaast kunnen wij jouw contactgegevens gebruiken om jou direct-marketingcommunicatie te sturen met betrekking tot andere producten en diensten die door ons worden geleverd. Waar nodig worden deze verstuurd wanneer je toestemming hebt gegeven. Je kunt je altijd afmelden voor elektronische direct-marketing door de aanwijzingen in de desbetreffende communicatie te volgen. In ons Preference Center kunt je eveneens aangeven welke communicatie je van ons wilt ontvangen of via de contact gegevens onderaan dit Privacybeleid.
• Communicatiegegevens: Wij registreren jouw IP-adres en unieke apparaat-ID en kunnen andere elektronische identificatiemiddelen toewijzen om de EPS Diensten correct te leveren of voor beveiligingsdoeleinden;
• Metadata: bij het uploaden van bestanden, foto's en video's wordt de informatie bij deze bestanden, de metadata verwerkt. Metadata hebben verschillende vormen afhankelijk van het soort gegevens waar ze betrekking op hebben, zoals de creatie- en wijzigingsdatum van een bestand, de titel en beschrijving van een afbeelding, de lengte en het formaat van een video, of de locatiegegevens van een foto;
• Supportgegevens: In het geval dat je een supportverzoek indient, moeten wij mogelijk de desbetreffende supportgegevens verzamelen om aan jouw supportverzoek te voldoen. Deze supportgegevens kunnen contact- of authenticatiegegevens omvatten, evenals personalisatie van chatsessies of andere gegevens die wij nodig hebben om aan jouw supportverzoek te voldoen. Voor sommige diensten kunnen wij gebruiksgegevens registreren om ons te helpen met jouw verzoek om support;
• Betalingsgegevens: Om de financiële transacties te voltooien, hebben wij mogelijk jouw bankgegevens, het belastingnummer van jouw organisatie of andere relevante gegevens van jou nodig;
• Betalings- en Transactiegegevens: Om de Wet op het financieel toezicht (Wft), het Besluit prudentiële regels Wft (Bpr), de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Sanctiewet 1977 (Sw) na te leven, houdt EPS toezicht op transacties waarvoor het de beschikking nodig heeft over de gegevens van de persoon of het bedrijf waarvan je geld ontving, de gegevens van de persoon of het bedrijf waarnaar je geld overmaakte, de datum en tijd van de transactie en de hoogte van het geldbedrag van de transactie.
• Identificatiegegevens: Om de regelgeving over Wft, Bpr, Wwft en Sw na te leven, moet EPS controleren of je op externe of interne sanctielijsten staat. Daartoe kan EPS je vragen om ons te voorzien van identificatiegegevens, zoals jouw burgerservicenummer of het nummer van jouw bedrijf bij de Kamer van Koophandel, om je te identificeren.
• Gebruiksgegevens: Wij kunnen statistische informatie over jouw gebruik van de EPS Diensten registreren voor onze bedrijfsvoering en om onze wettelijke belangen te behartigen, in het bijzonder om de gebruikerservaring te verbeteren en prestatieproblemen of andere storingen in de dienstverlening vast te stellen;
Naast de bovengenoemde doeleinden gebruiken wij Jouw Persoonsgegevens voor naleving van de toepasselijke wetgeving en bescherming van de legitieme bedrijfsbelangen en wettelijke rechten van EPS, met inbegrip van, maar niet uitsluitend, het gebruik in verband met juridische claims, naleving, wettelijke onderzoeksdoeleinden (waaronder openbaarmaking van dergelijke informatie in verband met juridische procedures of rechtszaken).
Uitwisseling en overdracht van Jouw Persoonsgegevens
Wij kunnen Jouw Persoonsgegevens verstrekken aan andere ondernemingen, partners en leveranciers van de Exact en aan andere organisaties die diensten leveren aan ons, bijvoorbeeld voor onze customer support, om technische bijstand te verlenen, om problemen op te lossen of om te voldoen aan wettelijke vereisten. Dergelijke derden kunnen beveiligingsleveranciers, app-centerpartners, helpdeskdiensten en andere verwerkers zijn.
Zie sectie B voor informatie over de sub-verwerkers die wij gebruiken om jouw Bedrijfsgegevens te verwerken.
Jouw Persoonsgegevens kunnen worden verwerkt buiten de Europese Economische Ruimte (“EER”). Wanneer Persoonsgegevens buiten de EER worden overgedragen, zullen we ervoor zorgen dat deze in dezelfde mate worden beschermd als binnen de EER. We zullen Persoonsgegevens overdragen naar landen met privacywetten die dezelfde bescherming bieden als de EER, zoals bepaald bij besluit van de Europese Commissie, of we zullen ervoor zorgen dat er passende standaardcontractbepalingen zijn voor die landen met privacywetten die geen adequate bescherming bieden. Als passende waarborg kunnen ook goedgekeurde bindende bedrijfsvoorschriften van onze leveranciers dienen. Om een kopie van het relevante overdrachtsmechanisme of aanvullende informatie over overdrachten te verkrijgen, stuur je jouw verzoek via de contactgegevens vermeld onderaan dit Privacybeleid.
Bewaren van jouw Persoonsgegevens
EPS bewaart Jouw Persoonsgegevens gedurende de termijn van de contractuele relatie die jij of jouw werkgever met ons heeft, en, voor zover toegestaan, na afloop van die relatie zo lang als nodig is voor de uitvoering van de doeleinden zoals beschreven in dit Privacybeleid. Jouw Bedrijfsgegevens worden bewaard gedurende de hieronder in sectie B genoemde periode. De wetgeving kan vereisen dat EPS bepaalde Persoonsgegevens gedurende een bepaalde periode bewaart. Betaaltransacties met betrekking tot de door jou gebruikte EPS Diensten, bijvoorbeeld, worden zeven jaar bewaard op grond van de toepasselijke belastingwetgeving. In andere gevallen kan EPS Jouw Persoonsgegevens gedurende een passende periode van zeven jaar na het beëindigen van de relatie met jou bewaren om onszelf te beschermen tegen juridische claims of om het beheer van ons bedrijf.
Jouw rechten met betrekking tot Jouw Persoonsgegevens
Je hebt een aantal rechten die gaan over Jouw Persoonsgegevens. Je hebt het recht om inzage in Jouw Persoonsgegevens, deze te corrigeren, de verwerking ervan te wissen of te beperken, of om ons te vragen een deel van Jouw Persoonsgegevens over te dragen aan andere organisaties. Mogelijk heb je ook het recht om bezwaar te maken tegen bepaalde verwerkingsactiviteiten, en voor zover wij jou om toestemming hebben gevraagd om jouw gegevens te verwerken, heb je het recht om deze toestemming in te trekken. Onze commerciële berichten (zoals onze nieuwsbrieven) bevatten de link ‘afmelden’ of een soortgelijke manier om je af te melden voor deze berichten.
Deze rechten kunnen in bepaalde situaties beperkt zijn, bijvoorbeeld wanneer wij kunnen aantonen dat wij
wettelijk verplicht zijn om jouw gegevens te verwerken. Als je jouw rechten wilt uitoefenen, kunt je schriftelijk contact met ons opnemen via de contactgegevens vermeld in dit Privacybeleid.
Geautomatiseerde besluitvorming en Jouw Persoonsgegevens
Voor het aangaan van de Overeenkomst met jouw onderneming voor de EPS Diensten maken wij geen gebruik van geautomatiseerde besluitvorming.
Het kan voorkomen dat we gebruikmaken van geautomatiseerde besluitvorming zonder menselijke tussenkomst. Dat is wettelijk toegestaan. Xxxxx besluiten worden genomen op basis van een volledig geautomatiseerd proces, zonder enige menselijke tussenkomst. Als we in de toekomst mochten overgaan op geautomatiseerde besluitvorming die juridische consequenties voor jou heeft of je in sterke mate aangaat, dan informeren wij je daar van tevoren over.
B. BEDRIJFSGEGEVENS
Deze sectie B is uitsluitend van toepassing op de verwerking van Bedrijfsgegevens en niet op Jouw Persoonsgegevens. Jij bent de verwerkingsverantwoordelijke voor de verwerking van de Bedrijfsgegevens. EPS treedt namens jou en in overeenstemming met jouw instructies op als verwerker, tenzij anders vereist door toepasselijke wetgeving waaraan EPS is onderworpen; in dat geval zal EPS jou voorafgaand aan de verwerking op de hoogte brengen van die wettelijke vereiste, tenzij deze wet een dergelijke kennisgeving verbiedt.
Aangezien jij de verwerkingsverantwoordelijke voor de Bedrijfsgegevens bent, is EPS niet verantwoordelijk voor de rechtmatigheid van de gegevensverwerking die wij namens jou uitvoeren. De verantwoordelijkheden en aansprakelijkheden voor de Bedrijfsgegevens zijn uiteengezet in de Overeenkomst. Bij strijdigheid met bepalingen in de Overeenkomst is deze sectie B leidend.
Verplichtingen en beperkingen van EPS betreffende inzage in en gebruik van jouw Bedrijfsgegevens
EPS zal jouw Bedrijfsgegevens alleen verwerken indien strikt noodzakelijk en in overeenstemming met jouw schriftelijke instructies.
Het is onze medewerkers niet toegestaan inzage te hebben in jouw Bedrijfsgegevens, tenzij jij ons daarvoor toestemming hebt gegeven en/of inzage door onze medewerkers (zoals customer support, adviseurs en beheerders) noodzakelijk is om de EPS Diensten uit te voeren, te verbeteren of te analyseren of om jouw gebruik van de EPS Diensten te ondersteunen. Onder de inzage die noodzakelijk is om de EPS Diensten uit te voeren en wettelijke verplichtingen na te leven, vallen (onder andere) Know Your Customer, KYC en het transactietoezicht naar aanleiding van de transactiemonitoring. Voordat wij jouw Bedrijfsgegevens verwerken, brengen wij je op de hoogte van bovengenoemde wettelijke verplichtingen, tenzij de relevante wet een dergelijke kennisgeving verbiedt.
Wanneer toestemming voor inzage is verleend, wordt deze inzage zorgvuldig beheerd en geregistreerd. Onze medewerkers zijn verplicht ons interne beveiligingsbeleid met betrekking tot de verwerking van Bedrijfsgegevens te volgen. De operationele processen en controles die de inzage en het gebruik van Bedrijfsgegevens door onze medewerkers in de EPS Diensten regelen, worden strikt onderhouden en regelmatig gecontroleerd door erkende accountantsorganisaties.
EPS zal onverwijld jouw aanvraag naleven om enige Bedrijfsgegevens te wijzigen, over te dragen of te verwijderen, tenzij de wetgeving van de Europese Unie of van een lidstaat van de Europese Unie vereist dat de gegevens bewaard blijven.
Hoe kunt je de inzage in en het gebruik van jouw Bedrijfsgegevens beheren?
Het gebruikersbeheer van de EPS Diensten, daaronder begrepen het verlenen van inzage en de toekenning en intrekking van goedkeuringen binnen jouw gebied van de EPS Diensten, is jouw eigen verantwoordelijkheid. De EPS Diensten kunnen bepaalde functionaliteiten bieden voor het aanmaken en deactiveren van gebruikers en het instellen van toestemming ter ondersteuning van scheiding van taken. Inloggegevens zijn persoonlijk voor de individuele gebruiker en mogen niet worden gedeeld met andere gebruikers.
Bewaren, verwijderen en opvragen van Bedrijfsgegevens
Alle Bedrijfsgegevens die in de EPS Diensten ingevoerd zijn worden gedurende de looptijd van de Overeenkomst opgeslagen en bewaard. Na beëindiging van de Overeenkomst zijn echter de Bedrijfsgegevens niet langer voor jou toegankelijk. Afhankelijk van jouw EPS Diensten kunnen jouw Bedrijfsgegevens gedurende een aanvullende respijtperiode worden bewaard. Deze respijtperiode varieert van 30 dagen tot 6 maanden, afhankelijk van jouw Exact en/of EPS Diensten. Tijdens de respijtperiode kan de Overeenkomst worden geheractiveerd zonder dat er Bedrijfsgegevens verloren gaan. Na de respijtperiode worden opgeslagen Bedrijfsgegevens permanent verwijderd. Voor alle duidelijkheid: wij hebben geen bewaar- of opslagverplichtingen met betrekking tot Bedrijfsgegevens die je tijdens het gebruik van de EPS Diensten 'on-premise' (op locatie) bewaart.
Medewerking verlenen
Op jouw verzoek en tegen redelijke kosten zullen wij je ondersteunen bij jouw verplichting als verwerkingsverantwoordelijke die de EPS Diensten gebruikt om te reageren op verzoeken van betrokkenen die hun rechten op grond van de toepasselijke wetgeving inzake gegevensbescherming willen uitoefenen (voor zover je dergelijke verzoeken niet al kunt afhandelen via de EPS Diensten). Bovendien zullen wij jou, op jouw verzoek en tegen redelijke kosten, rekening houdend met de aard van de verwerking en de informatie die EPS ter beschikking staat, ondersteunen bij jouw verplichtingen met betrekking tot gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingsprocedures met bevoegde gegevensbeschermingsautoriteiten.
Sub-verwerkers
Je stemt ermee in dat EPS sub-verwerkers inschakelt om (delen van) de EPS Diensten te leveren en de Bedrijfsgegevens te verwerken. Het is deze sub-verwerkers verboden om Persoonsgegevens voor andere dan in de Overeenkomst vermelde doeleinden te gebruiken en EPS waarborgt contractueel dat de sub-verwerkers en hun werknemers vertrouwelijkheid bewaren met betrekking tot de Persoonsgegevens en zich houden aan de noodzakelijke aanwijzingen en veiligheidsmaatregelen uit hoofde van dit Privacybeleid.
Een overzicht van huidige sub-verwerkers is beschikbaar op Exact sub-verwerkers . EPS kan dit overzicht bijwerken en nieuwe sub-verwerkers aanwijzen, op voorwaarde dat jij hiervan van tevoren op de hoogte wordt gesteld en je binnen tien werkdagen geen legitiem bezwaar maakt tegen deze wijzigingen. Legitieme bezwaren moeten redelijke en gedocumenteerde gronden bevatten met betrekking tot niet-naleving door een sub-verwerker van de wet- en regelgeving op het gebied van gegevensbescherming. Indien dergelijke bezwaren naar het redelijke oordeel van EPS legitiem zijn, zal EPS deze sub-verwerker niet inzetten in het kader van de verwerking van jouw Bedrijfsgegevens. In dergelijke gevallen kan EPS redelijke inspanningen leveren om jou gewijzigde EPS Diensten beschikbaar te stellen om te voorkomen dat jouw Bedrijfsgegevens worden verwerkt door de sub-verwerker tegen wie bezwaar is aangetekend. Indien EPS een dergelijke wijziging niet binnen een redelijke termijn beschikbaar kan stellen, kunt je, als jouw enige en exclusieve rechtsmiddel en door middel van een schriftelijke kennisgeving aan EPS, jouw gebruik van de desbetreffende EPS Diensten beëindigen in overeenstemming met de Overeenkomst of na volledige betaling van een wederzijds overeengekomen beëindigingsvergoeding.
Locatie van Bedrijfsgegevens
Afhankelijk van de door jou gebruikte EPS Diensten kunnen de Bedrijfsgegevens worden opgeslagen op servers van onze sub-verwerkers die zich in verschillende datacenters bevinden. Door de Overeenkomst aan te gaan, stem je ermee in dat jouw Bedrijfsgegevens worden opgeslagen op servers van onze sub-verwerkers zoals beschreven in dit Privacybeleid en/of de Overeenkomst. Houdt er rekening mee dat deze servers, afhankelijk van jouw EPS Diensten, zich buiten de EER kunnen bevinden. De huidige locatie van onze datacenters voor opslagdoeleinden wordt in de volgende tabel weergegeven.
Voor EPS klanten in: | Locatie van datacenter: |
Nederland | Ierland en Nederland |
De infrastructuur is geconfigureerd volgens een redundante configuratie. De Bedrijfsgegevens worden opgeslagen in een multi-tenantomgeving en alle datacenters garanderen een hoge beschikbaarheid. Wij kunnen, ter beveiliging van de Bedrijfsgegevens en om de beschikbaarheid en continuïteit van jouw EPS Diensten te verbeteren, deze Gegevens naar andere datacenters overdragen.
Door andere bedrijven ontwikkelde applicaties
Het Exact App Center is een elektronische markt voor mobiele- en webapplicaties waarvan sommige geïntegreerd zijn met de Exact Diensten. Toepassingen van derden die namens jou een verbinding tot stand brengen met de EPS Diensten, hanteren en verwerken Persoonsgegevens. Het is jouw verantwoordelijkheid om naleving van de toepasselijke wet- en regelgeving door jou en door derden die deze toepassingen uitvoeren, te waarborgen.
Wanneer applicaties door EPS zijn ontwikkeld, is dit Privacybeleid van toepassing.
Inbreuken op de beveiliging
Om Bedrijfsgegevens te beschermen tegen onbevoegd(e) toegang, gebruik, wijziging en onbedoeld(e) verlies of vernietiging, heeft EPS technische en organisatorische maatregelen getroffen om de verwerking van jouw Bedrijfsgegevens veilig te stellen (zie sectie C). In het geval van een inbreuk op de beveiliging die invloed heeft op de Bedrijfsgegevens, wordt je hiervan zonder onredelijke vertraging op de hoogte gebracht zodra de inbreuk is vastgesteld. Onder “inbreuk op de beveiliging” wordt verstaan: elke inbreuk op de beveiligingsmaatregelen zoals beschreven onder de kop “Beveiligingsmaatregelen ter bescherming van Persoonsgegevens” in sectie C die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Bedrijfsgegevens die zijn doorgezonden, opgeslagen of anderszins verwerkt.
Zodra wij jou op de hoogte brengen van een inbreuk op de beveiliging, zullen wij met jou samenwerken met betrekking tot dergelijke incidenten, zodat je het incident kunt onderzoeken en de bevoegde toezichthoudende autoriteiten en/of betrokkenen indien nodig op de hoogte kunt brengen. Voor zover deze inbreuk op de beveiliging werd veroorzaakt door niet-naleving door ons van de vereisten van de Overeenkomst en/of dit Privacybeleid, zullen wij redelijke inspanningen verrichten om de inbreuk op de beveiliging te identificeren en verder passende stappen te ondernemen in verband daarmee.
Kennisgevingen op grond van een inbreuk op de beveiliging moeten worden gericht aan de contactpersoon van jouw onderneming zoals vermeld in de Overeenkomst.
C. ALLE PERSOONSGEGVENS
Deze sectie C is van toepassing op de verwerking van alle Persoonsgegevens (hieronder begrepen Jouw Persoonsgegevens en Bedrijfsgegevens) door EPS.
Wetgeving inzake gegevensbescherming
Bescherming van de privacy en veiligheid van Persoonsgegevens is voor ons van het grootste belang, en wij verbinden ons ertoe alle toepasselijke wetgeving inzake gegevensbescherming die van toepassing is op de EPS Diensten en de verwerking van jouw Gegevens, zoals overeengekomen in de Overeenkomst, na te leven.
Verzoeken van rechtshandhavingsinstanties
Wij maken geen Persoonsgegevens bekend aan derden (met inbegrip van rechtshandhavingsinstanties, andere overheidsinstanties of civielrechtelijke partijen), behoudens het bepaalde in dit Privacybeleid en hiervoor onder “Sub-verwerkers” beschreven, zoals aangegeven door jou of zoals vereist door de wet, door een verordening of een rechterlijk bevel.
Geheimhouding
EPS zal alle Persoonsgegevens strikt vertrouwelijk behandelen en al haar werknemers, agenten en/of sub- verwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van de vertrouwelijke aard van die Persoonsgegevens. EPS zorgt ervoor dat al die personen of partijen gebonden zijn aan soortgelijke geheimhoudingsverplichtingen.
Veiligheidsmaatregelen voor de bescherming van Persoonsgegevens
EPS treft technische en organisatorische maatregelen voor de beveiliging van de verwerking van de Persoonsgegevens. Deze maatregelen omvatten, maar zijn niet beperkt tot:
• het voorkomen dat onbevoegde personen toegang krijgen tot gegevensverwerkingssystemen (fysieke toegangscontrole);
• het voorkomen dat verwerkingssystemen zonder toestemming worden gebruikt (logische toegangscontrole);
• waarborgen dat personen die bevoegd zijn om een gegevensverwerkingssysteem te gebruiken, alleen toegang krijgen tot Persoonsgegevens voor zover zij hiertoe bevoegd zijn overeenkomstig hun toegangsrechten en dat Persoonsgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of gewist tijdens de verwerking of het gebruik en na opslag (toegangscontrole tot gegevens);
• waarborgen dat Persoonsgegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of gewist tijdens elektronisch(e) overdracht, verkeer of opslag op opslagmedia, en dat voor elke overdracht van Persoonsgegevens de doelentiteiten door middel van faciliteiten voor datatransport kunnen worden vastgesteld en geverifieerd (controle op gegevensoverdracht);
• waarborgen dat er maatregelen worden geïmplementeerd voor latere controle of Persoonsgegevens zijn ingevoerd, gewijzigd of verwijderd (gewist), en door wie (inputcontrole);
• waarborgen dat Persoonsgegevens uitsluitend worden verwerkt in overeenstemming met de instructies (taakcontrole);
• waarborgen dat Persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies (beschikbaarheidcontrole);
• waarborgen dat Persoonsgegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt (controle op scheiding).
Het internet is op zichzelf geen veilige omgeving en wij kunnen geen absolute zekerheid bieden dat jouw Gegevens te allen tijde veilig zijn. Het overdragen van Persoonsgegevens via internet is op eigen risico en je moet uitsluitend gebruik maken van de EPS Diensten of Persoonsgegevens naar en binnen de EPS Diensten overdragen door middel van een beveiligde omgeving. EPS adviseert je nadrukkelijk om verbinding te maken met EPS Diensten via beveiligde en versleutelde kanalen (https). De kanalen zijn beveiligd op basis van de huidige beste praktijken en kunnen worden geverifieerd op xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/ . Alle aanbevelingen om de beveiliging te verbeteren of veiligheidskwesties te verminderen worden onmiddellijk onderzocht en uitgevoerd, indien van toepassing. Je moet ervoor zorgen dat de juiste URL gebruikt wordt voor de EPS Diensten en dat het certificaat geldig is en aan EPS is toegewezen.
Ondanks bovengenoemde maatregelen bent je als Verantwoordelijke in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming verantwoordelijk voor het invoeren van gepaste veiligheidsmaatregelen voor Persoonsgegevens die worden verwerkt bij het gebruik van de EPS Diensten.
Wijzigingen
Wij behouden ons het recht voor om dit Privacybeleid te wijzigen. Wijzigingen in dit Privacybeleid zijn van kracht na publicatie op onze website en/of in onze customerportals en wij zullen de datum “laatst bijgewerkt” bovenaan dit Privacybeleid aanpassen. Je moet deze website en onze customerportals regelmatig controleren met het oog op recente wijzigingen. Wanneer je de EPS Diensten blijft gebruiken wordt dit beschouwd als aanvaarding van het gewijzigde Privacybeleid.
Audits en documentatie
De beschikbaarheid en veiligheid van de Exact Diensten worden jaarlijks gecontroleerd door onafhankelijke accountants en er is een control framework opgezet om gedefinieerde risico's op deze gebieden te beheersen.
Je hebt het recht om, maximaal één keer per contractjaar en op jouw kosten, de naleving van sectie B in dit Privacybeleid door EPS te controleren, uitsluitend indien je naar jouw redelijke inzicht van mening bent dat EPS een materiële verplichting van deze sectie B niet is nagekomen, of als een bevoegde gegevensbeschermingsautoriteit dit verlangt. Behoudens een gemotiveerd schriftelijk verzoek van jou en de goedkeuring van EPS, wordt een dergelijke audit uitgevoerd door: i) EPS of ii) een gekwalificeerde, onafhankelijke externe beveiligingsauditor (de
“Auditor”) die in het bezit is van de vereiste beroepskwalificaties en gehouden is aan een geheimhoudingsplicht. Voor de uitvoering van een dergelijke audit kan de Auditor tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de bedrijfsactiviteiten, in het bijzonder voor de algemene IT-beveiliging, van EPS de gebouwen van EPS betreden en de werkprocedures, inrichting en technische infrastructuur van EPS onderzoeken.
Ter beoordeling van EPS of op jouw specifieke verzoek, kan EPS ook bewijs leveren van de geschiktheid van de technische en organisatorische maatregelen zoals beschreven in dit Privacybeleid door middel van actuele certificeringen door derden, voor zover beschikbaar. Hiertoe kan EPS ook actuele attesten, rapporten of uittreksels daarvan van onafhankelijke instanties (bijvoorbeeld externe auditors, interne audit, de functionaris gegevensbescherming, de afdeling IT-beveiliging of kwaliteitscontroleurs) voorleggen of een geschikte certificering door middel van een IT-beveiliging of gegevensbescherming audit.
VRAGEN EN KLACHTEN
Als je vragen of klachten hebt over hoe wij omgaan met de verwerking van Persoonsgegevens of over dit Privacybeleid, kunt je deze voorleggen door een verzoek in te dienen in de Exact Diensten waar jouw EPS Diensten aan gekoppeld zijn of via de contactgegevens hieronder. Je hebt altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
CONTACT
Je kunt contact opnemen met EPS via dezelfde kanalen die je gebruikt om de supportafdeling te bereiken voor de Exact Diensten waar jouw EPS diensten aan zijn gekoppeld.
Exact Online:
Nederland: xxxxxxx@xxxxxxxxxxx.xx
Exact Online Support Portal xxxxx://xxxxxxx.xxxxxxxxxxx.xxx/
Overige Diensten van Exact:
Toegang tot Exact customerportal: xxxxx://xxxxxxxxx.xxxxx.xxx/
De supportafdeling is bereikbaar via het volgende telefoonnummer: +31 (0)15 - 711 51 00
Functionaris voor Gegevensbescherming
EPS heeft een functionaris voor gegevensbescherming aangesteld waarmee je contact kunt opnemen als je vragen of opmerkingen hebt over het Privacybeleid van EPS of een van jouw rechten wilt uitoefenen. Stuur ons een e-mail via: xxx@xxxxx.xxx
Adres: Xxxxxxxxxxxxxxxxx 00, 0000 XX Xxxxx
Telefoonnummer: x00(0)000000000