Breaking news: view our certificates and awards page

Breaking news: view our certificates and awards page

Privacy

Gegevensbescherming

1. Doel

1. Dit beleid definieert vereisten om naleving te waarborgen van wetten en regelgeving die van toepassing zijn op ATPI’s verzameling, gebruik, verwerking en overdracht van persoonsgegevens wereldwijd.

2. Toepassingsgebied

2.1 ATPI verbindt zich ertoe de toepasselijke wetgeving inzake gegevensbescherming na te leven in de landen waar het (de “Vennootschap“) actief is. Vanwege verschillen binnen deze rechtsgebieden heeft het bedrijf dit gegevensbeschermingsbeleid aangenomen dat een gemeenschappelijke kern van waarden, beleid en procedures creëert die bedoeld zijn om generieke naleving te bereiken, aangevuld (waar van toepassing) met aanvullende instructies en richtlijnen die van toepassing zijn in die rechtsgebieden met unieke

2.2 Dit beleid is gebaseerd op EU-verordening 2016/679 en de Algemene Verordening Gegevensbescherming (AVG), die een robuust generiek model biedt voor privacy. Het bedrijf heeft ook een Intragroep Gegevensoverdracht Overeenkomst (IGDTA) opgesteld gebaseerd op de erkende EU-modelclausules, om geautoriseerd te worden voor wereldwijde overdracht en daaropvolgende subverwerking van gegevens door het gehele wereldwijde netwerk van groepsmaatschappijen.

2.3 Dit beleid is van toepassing op alle voltijds- en deeltijdmedewerkers van het bedrijf, uitzendkrachten en alle leveranciers en klanten die persoonsgegevens ontvangen van het bedrijf, toegang hebben tot persoonsgegevens die door het bedrijf worden verzameld of verwerkt, of die informatie verstrekken aan het bedrijf, ongeacht geografische locatie.

2.4 Als beleidsverplichting zal het bedrijf geen persoonsgegevens verwerken zonder een erkende wettelijke grondslag voor dergelijke verwerking. Om naleving van gegevensbeschermingswetten te waarborgen, zal het bedrijf correct zijn status vaststellen voor alle gegevensverwerking als ofwel een verwerkingsverantwoordelijke of gegevensverwerker die handelt voor een andere gegevens

3. Naleving door de groep

3.1 Het gegevensnaleving programma van het bedrijf zal worden overzien door de functionaris voor gegevensbescherming van het bedrijf, bijgestaan door lokaal aangestelde nalevingsmedewerkers en interne verantwoordelijkheden kunnen worden gedelegeerd door de FG.

3.2 De FG zal het internationale gegevensbeschermingsbeleid en procedures van het bedrijf en IGDTA implementeren, evenals alle taken die vereist zijn door gegevensbeschermingswetten, waaronder:

3.2.1 Vaststellen of melding aan een of meer gegevensbeschermingsautoriteiten vereist is als gevolg van de gegevensverwerkingsactiviteiten van het bedrijf, vervolgens alle vereiste meldingen doen en dergelijke meldingen bijhouden

3.2.2 Ontwerpen en implementeren van doorlopende programma’s voor het trainen van medewerkers om naleving van gegevensbescherming te waarborgen

3.2.3 Het opstellen (met betrokkenheid van de IT- en juridische afdelingen) van procedures en standaard contractuele bepalingen voor het verkrijgen van naleving van dit beleid door groepsmaatschappijen, klanten, leveranciers en derden die Persoonsgegevens ontvangen van het Bedrijf, toegang hebben tot Persoonsgegevens die verzameld of verwerkt zijn door het Bedrijf, of die informatie verstrekken aan het Bedrijf, ongeacht de geografische locatie.

3.2.4 Vaststellen van mechanismen voor periodieke audits van naleving van dit beleid, implementeren van procedures en van toepassing zijnde

3.2.5 Vaststellen, onderhouden en bedienen van een systeem voor snelle en juiste reacties op verzoeken van betrokkenen om hun rechten uit te oefenen

3.2.6 Vaststellen, onderhouden en bedienen van een systeem voor de snelle en juiste openbaarmaking aan de relevante autoriteiten en/of betrokkenen van elk verlies van persoonsgegevens.

3.2.7 Informeren van senior managers, functionarissen en directeuren van het bedrijf over de potentiële civiele en strafrechtelijke sancties voor bedrijven en personen die kunnen worden opgelegd aan het bedrijf en/of zijn medewerkers voor overtreding van toepasselijke gegevensbeschermingswetten

3.2.8 Waarborgen dat de risicomanagementplannen met betrekking tot gegevensbescherming effectief en adequaat worden geïmplementeerd

3.2.9 Waarborgen dat adequate zekerheid betreffende de effectiviteit van gegevensbeschermingsprocedures en audits wordt verstrekt aan de raad van bestuur, het management en anderen

4. Principes voor gegevensbescherming

4.1 Het bedrijf heeft de volgende principes aangenomen om het gebruik, de verzameling, verwerking en overdracht van persoonsgegevens te regelen, behalve zoals specifiek bepaald door dit beleid of zoals vereist door toepasselijke wetten:

4.1.1 Persoonsgegevens mogen alleen eerlijk en rechtmatig worden verwerkt

4.1.2 Persoonsgegevens mogen alleen worden verkregen voor gespecificeerde, expliciete, rechtmatige en legitieme doeleinden, en mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden.

4.1.3 Persoonsgegevens moeten adequaat, relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden verzameld en/of verwerkt

4.1.4 Persoonsgegevens mogen niet worden verzameld of verwerkt tenzij een wettelijke grondslag voor verwerking correct is vastgesteld

4.2 Er worden passende fysieke, technische en procedurele maatregelen genomen om:

4.2.1 Voorkomen en/of identificeren van ongeautoriseerde of onrechtmatige verzameling, verwerking en overdracht van persoonsgegevens; en

4.2.2 Voorkomen van accidenteel verlies of vernietiging van, of schade aan, persoonsgegevens

5. Overdrachten aan derden

5.1 Persoonsgegevens mogen niet worden overgedragen aan een andere entiteit, land of gebied, tenzij redelijke en juiste stappen zijn ondernomen om het vereiste niveau van gegevensbescherming vast te stellen en te handhaven

5.2 Persoonsgegevens mogen alleen aan derden worden gecommuniceerd om redenen die consistent zijn met de doeleinden waarvoor de gegevens oorspronkelijk werden verzameld of andere doeleinden die door de wet zijn geautoriseerd.

5.3 Alle overdrachten van persoonsgegevens aan derden voor verdere verwerking zijn onderworpen aan schriftelijke overeenkomsten, een wettelijke grondslag voor overdracht, of onder de IGDTA van het bedrijf voor interne gegevensoverdrachten.

5.4 EU ( VK) persoonsgegevens mogen niet worden overgedragen naar een land of gebied buiten de Europese Economische Ruimte (EER) tenzij de overdracht wordt gedaan naar een land of gebied dat door de EU wordt erkend als hebbende een adequaat niveau van gegevensbeveiliging, of naar de Verenigde Staten onder het US Data Privacy Framework.

5.5 Behoudens de bepalingen van het bovenstaande kunnen Persoonsgegevens worden doorgegeven wanneer een van de volgende situaties van toepassing is:

5.5.1 De Betrokkene heeft toestemming gegeven voor de voorgestelde overdracht;

5.5.2 De doorgifte is noodzakelijk voor de uitvoering van een contract tussen de Betrokkene (persoonlijk of via zijn werkgever als klant van het Bedrijf) en het Bedrijf;

5.5.3 De doorgifte is noodzakelijk voor het sluiten of uitvoeren van een overeenkomst die in het belang van de Betrokkene is gesloten tussen het Bedrijf en een derde of de werkgever van de Betrokkene;

5.5.4 De overdracht is noodzakelijk of wettelijk vereist om belangrijke redenen van algemeen belang, of voor de vaststelling, uitoefening of verdediging van rechtsvorderingen;

5.5.5 De overdracht is wettelijk verplicht;

5.5.6 De overdracht is noodzakelijk om de vitale belangen van de betrokkene te beschermen

6. Preventie van niet-conforme IT-systemen

6.1 De Chief Information Security Officer (CISO) van het bedrijf stelt een procedure vast voor het beoordelen van de impact van elke nieuwe of bestaande technologie op de privacy en beveiliging van persoonsgegevens

6.2 Geen nieuw systeem of nieuwe versie van een bestaand systeem mag beschikbaar worden gesteld voor gebruik totdat de FG schriftelijke bevestiging heeft verkregen van de CISO dat er geen schending zou zijn van enige gegevensbeschermingswet

7. Bronnen van persoonlijke gegevens

7.1 Persoonsgegevens mogen alleen van de betrokkene worden verzameld tenzij de aard van het bedrijfsdoel verzameling van de gegevens van andere personen of bronnen noodzakelijk maakt

7.2 Als persoonsgegevens worden verzameld van iemand anders dan de betrokkene, moet de bedrijfseenheid die de gegevens verzamelt schriftelijke bevestiging hebben van de leverancier van de gegevens dat er een wettelijke grondslag is voor de verwerking en de overdracht van de persoonsgegevens aan het bedrijf.

8. Rechten van de betrokkenen

8.1 Betrokkenen hebben het recht om informatie te verkrijgen over hun eigen Persoonsgegevens die door het Bedrijf worden bewaard door een schriftelijk verzoek in te dienen in het formaat
hier
waarbij het verzoek zal worden geregistreerd.

8.2 Het Bedrijf zal binnen 40 dagen na de datum van het schriftelijke verzoek, of binnen een kortere termijn indien vereist door de toepasselijke wetgeving inzake gegevensbescherming, reageren op een bovenstaand verzoek.

8.3 Betrokkenen hebben het recht om van het Bedrijf te verlangen dat het onjuiste, misleidende, verouderde of onvolledige Persoonsgegevens die over hen worden bewaard, corrigeert of aanvult.

9. Gevoelige gegevens (speciale categorie)

9.1 Gevoelige Persoonsgegevens mogen niet worden verwerkt tenzij:

9.1.1 Dergelijke Verwerking is specifiek toegestaan of wettelijk verplicht.

9.1.2 De Betrokkene geeft uitdrukkelijk en ondubbelzinnig toestemming.

9.1.3 Wanneer de Betrokkene fysiek of juridisch niet in staat is om Toestemming te geven, maar de Verwerking noodzakelijk is om een vitaal belang van de Betrokkene te beschermen. Deze vrijstelling kan bijvoorbeeld van toepassing zijn als er dringende medische zorg nodig is.

9.1.4 Gegevens met betrekking tot strafbare feiten mogen alleen worden verwerkt door of onder controle van de juridische afdeling.

10. Gegevenskwaliteitsborging

10.1 Persoonsgegevens mogen alleen worden bewaard voor de periode die nodig is voor het toegestane gebruik. Het bedrijf heeft een gegevensbewaringsbeleid opgesteld waarin de termijnen voor het verwijderen van gegevens zijn vastgelegd.

10.2 Persoonsgegevens worden gewist als de opslag ervan in strijd is met een wet inzake gegevensbescherming of als kennis van de gegevens niet langer vereist is voor het Bedrijf, of op verzoek van de Betrokkene.

11. Verwerking binnen de groep

11.1 Als het Bedrijf vertrouwt op een andere groepsmaatschappij om te helpen bij zijn Verwerkingsactiviteiten, zal het Bedrijf een Overeenkomst Gegevensoverdracht aangaan op basis van de EU Modelclausules met die andere groepsmaatschappij om ervoor te zorgen dat de verantwoordelijkheid voor de gegevens duidelijk wordt geïdentificeerd, aangezien beide partijen kunnen worden beschouwd als Verwerkingsverantwoordelijken.

11.2 Waar de andere groepsmaatschappij zich in het buitenland bevindt, worden de groepsmaatschappijen die betrokken zijn bij de verwerking respectievelijk bekend als een gegevensexporteur en een gegevensimporteur, hoewel er meer dan één gegevensimporteur betrokken kan zijn bij de verwerking.

12. Externe verwerkers.

12.1 Evenzo, waar het bedrijf vertrouwt op derden om te helpen bij zijn verwerkingsactiviteiten, zal het bedrijf een gegevensverwerker kiezen die voldoende beveiligingsmaatregelen biedt en redelijke stappen onderneemt om naleving van die maatregelen te waarborgen, en in het geval van een derde partij binnen de VS, dat zij ook geregistreerd zijn voor het US Data Privacy Framework (voorheen bekend als de Privacy Shield).

13. Schriftelijke contracten voor externe verwerkers.

13.1 Het Bedrijf zal een schriftelijke overeenkomst aangaan met elke Gegevensverwerker die vereist dat deze voldoet aan de Gegevensbeschermingswetten en beveiligingsvereisten die aan het Bedrijf worden opgelegd onder lokale wetgeving.

14. Audits van derde gegevensverwerkers.

14.1 Als onderdeel van het interne gegevensauditproces van het bedrijf voert het bedrijf periodieke controles uit op verwerking door externe gegevensverwerkers, en in het bijzonder betreffende de overdracht procedures voor de gegevens, vooral met betrekking tot beveiligingsmaatregelen.

15. Kennisgeving aan directeuren, managers en functionarissen van mogelijke sancties wegens niet-naleving

15.1 De FG stelt directeuren, managers en andere functionarissen van het bedrijf op de hoogte dat:

15.1.1 Niet-naleving van de relevante wetgeving inzake gegevensbescherming kan leiden tot strafrechtelijke en civielrechtelijke aansprakelijkheid, waaronder boetes, gevangenisstraffen en schadevergoedingen; en

15.1.2 Zij kunnen persoonlijk aansprakelijk worden gesteld wanneer een overtreding door het Bedrijf met hun instemming of medeplichtigheid is begaan of aan hun nalatigheid te wijten is.

16. Gegevensbeveiliging

16.1 Het bedrijf heeft een gegevensbeveiligingsmanagementbeleid geïmplementeerd, waaronder het fysieke, technische en organisatorische maatregelen aanneemt om de beveiliging van persoonsgegevens te waarborgen, inclusief het voorkomen van hun wijziging, verlies, schade, ongeautoriseerde verwerking of toegang, rekening houdend met de aard van de gegevens en de risico’s waaraan zij worden blootgesteld door menselijk handelen of de fysieke of natuurlijke omgeving. Deze maatregelen worden gedocumenteerd in het beleid voor gegevensbeveiligingsbeheer, dat minstens één keer per jaar wordt herzien, of wanneer nodig om belangrijke wijzigingen in de beveiligingsregelingen weer te geven.

16.2 Adequate beveiligingsmaatregelen moeten alle volgende elementen omvatten:

16.2.1 Voorkomen dat ongeautoriseerde personen toegang krijgen tot gegevensverwerkingssystemen waarin persoonsgegevens worden verwerkt

16.2.2 Voorkomen dat personen die gerechtigd zijn een gegevensverwerkingssysteem te gebruiken toegang krijgen tot gegevens buiten hun behoeften en autorisaties

16.2.3 Waarborgen dat persoonsgegevens tijdens elektronische transmissie tijdens transport of tijdens opslag op een gegevensdrager niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd zonder autorisatie

16.2.4 Waarborgen dat persoonsgegevens worden beschermd tegen ongewenste vernietiging of verlies

16.2.5 Ervoor zorgen dat Gegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen en zullen worden verwerkt.

16.2.6 Ervoor zorgen dat Gegevens niet langer worden bewaard dan bepaald in het Beleid Gegevensbewaring, onder meer door te eisen dat Gegevens die aan derden worden overgedragen, worden geretourneerd of vernietigd.

17. Nalevingsmeting.

17.1 De FG stelt een schema vast voor en implementeert een privacy nalevingsaudit voor alle bedrijfseenheden. De FG werkt samen met de bedrijfseenheden om een plan en schema op te stellen voor het corrigeren van geïdentificeerde tekortkomingen binnen een vaste, redelijke termijn

17.2 Elke bedrijfseenheid van het bedrijf beoordeelt jaarlijks zijn gegevensverzameling, gegevensverwerking en gegevensbeveiligingspraktijken en bepaalt welke persoonsgegevens de bedrijfseenheid verzamelt, inclusief die in handmatige systemen die “Relevante Archiefsystemen” vormen.

17.3 De informatie verzameld in deze jaarlijkse beoordeling wordt geleverd aan de FG voor beoordeling en juiste actie inclusief, zonder beperking, het volgende:

17.3.1 Aanbevelingen doen voor verbetering van beleid en procedures om naleving van dit beleid en toepasselijke wetgeving te verbeteren

17.3.2 Voldoen aan de vereisten voor zelfcertificering van naleving binnen lokale gegevensbeschermingsautoriteiten, en naleving van het eigen beleid van het bedrijf

18. Implementatie.

18.1 Dit beleid is beschikbaar voor medewerkers en anderen via de website van het bedrijf.

18.2 Dit beleid kan op elk moment worden herzien maar ten minste jaarlijks door de FG. Kennisgeving van significante herzieningen wordt verstrekt aan medewerkers via het bedrijfsnalevingssysteem en aan anderen via de website van het bedrijf.

Nikki Matthews
General Counsel Functionaris voor gegevensbescherming
December 2024

Bijlage A

Woordenlijst

Toestemming: Toestemming betekent “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de Betrokkene aangeeft in te stemmen met de verwerking van hem betreffende Persoonsgegevens”.

Toestemming kan echter op verschillende manieren worden verkregen. Dit kunnen clausules in arbeidscontracten zijn, selectievakjes op aanvraag- of aankoopformulieren en klikvakjes op online formulieren waar Persoonsgegevens worden ingevoerd.

In de meeste landen van de Europese Unie moet toestemming voor de verwerking van gevoelige persoonsgegevens duidelijk en ondubbelzinnig zijn. Dit betekent over het algemeen dat er een bepaalde vorm van specifieke, actieve toestemming) nodig is. Deze vereiste wordt soms minder eenduidig gevonden buiten de EU.

Gegevens: Gegevens (al dan niet met een beginhoofdletter) zoals gebruikt in dit Gegevensbeschermingsbeleid betekent informatie die:

  • wordt verwerkt door middel van apparatuur die automatisch werkt volgens instructies die voor dat doel zijn gegeven;
  • wordt geregistreerd met de bedoeling dat het door middel van dergelijke apparatuur wordt verwerkt;
  • is geregistreerd als onderdeel van een Relevant Archiveringssysteem of met de intentie dat het onderdeel zou moeten zijn van een Relevant Archiveringssysteem;
  • niet onder een van bovenstaande valt, maar deel uitmaakt van een gemakkelijk toegankelijk dossier over een individu.

Gegevens omvatten daarom alle digitale gegevens door computer of geautomatiseerde apparatuur, telefoonopnames en alle handmatige informatie die deel uitmaakt van een Relevant Archiveringssysteem.

Gegevensverantwoordelijke: Een Gegevensverantwoordelijke is een persoon die (alleen of samen met anderen) bepaalt voor welke doeleinden en op welke manier Persoonsgegevens worden of zullen worden verwerkt. Over het algemeen is het bedrijf zelf in de meeste gevallen de Gegevensbeheerder.

Gegevensexporteur;
Gegevensexporteur betekent de verwerkingsverantwoordelijke of gegevensverwerker die persoonsgegevens naar het buitenland overdraagt.

Gegevensimporteur;
Gegevensimporteur betekent de verwerkingsverantwoordelijke of gegevensverwerker die ermee instemt van de gegevensexporteur persoonsgegevens te ontvangen voor verdere verwerking in overeenstemming met de voorwaarden van dit beleid en de relevante gegevensoverdracht overeenkomst.

Gegevensverwerker: Gegevensverwerker betekent elke persoon, anders dan een werknemer van de Gegevensverwerker, die de Gegevens verwerkt namens de Gegevensverwerker. Een bedrijf kan een Gegevensverwerker zijn als het als zodanig is gedefinieerd in de contractuele voorwaarden met de Gegevensverwerker.

Gegevensbeschermingsautoriteit: Een instantie die belast is met de bescherming van gegevens en privacy. De autoriteiten zijn opgericht om informatierechten te handhaven in zowel het publieke als het private belang.

Wetten inzake gegevensbescherming: De Data Protection Act 2018 en de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679); alle wetgeving op het gebied van gegevensbescherming buiten de EU binnen landen waarin ATPI actief is; en Electronic Communications (EC Directive) Regulations 2003 en alle herzieningen daarvan.

Gegevensbeveiliging: Maatregelen die de verwerkingsverantwoordelijke en verwerker moeten implementeren voor naleving van de gegevensbeschermingsprincipes door ontwerp en standaard en om een beveiligingsniveau te waarborgen dat geschikt is voor het risico voor de rechten en vrijheden van individuen, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, reikwijdte, context en doeleinden van verwerking.

Betrokkene: Data Subject betekent de persoon waarop de Gegevens betrekking hebben. Betrokkenen zijn onder andere klanten en webgebruikers, personen op contactlijsten/e-mailinglijsten of marketingdatabases, werknemers, aannemers en leveranciers.

EU-VS Privacy Shield: Een raamwerk dat is opgezet door het Amerikaanse ministerie van Handel en de Europese Commissie om trans-Atlantische uitwisseling van gegevensbescherming voor commerciële doeleinden mogelijk te maken. Het EU-VS-privacyschild stelt bedrijven uit de EU en de VS in staat om te voldoen aan de vereisten voor gegevensbescherming wanneer ze persoonlijke gegevens overdragen van de EU naar de VS.

Persoonsgegevens: Persoonsgegevens zijn Gegevens met betrekking tot een levende persoon die kan worden geïdentificeerd aan de hand van die Gegevens of van die Gegevens en andere informatie die in het bezit is van of waarschijnlijk in het bezit zal komen van een Gegevensverwerker of een Verantwoordelijke. Persoonlijke gegevens omvatten geen informatie die is geanonimiseerd, gecodeerd of anderszins ontdaan van identificatoren, of informatie die openbaar beschikbaar is tenzij gecombineerd met andere niet-openbare persoonlijke informatie.

Verwerking: Verwerking omvat een breed scala aan handelingen met betrekking tot Gegevens, waaronder het verkrijgen, vastleggen of bewaren van de Gegevens of het uitvoeren van een bewerking of reeks bewerkingen op de Gegevens, waaronder:

  • Organisatie, aanpassing of wijziging;
  • Openbaarmaking door verzending, verspreiding of anderszins; en
  • Uitlijnen, combineren, blokkeren, wissen of vernietigen.

“Verwerkt” wordt dienovereenkomstig geïnterpreteerd.

Relevant archiefsysteem: Relevant archiefsysteem: elk geheel van informatie met betrekking tot individuen, ongeacht of dit geheel wordt bijgehouden in manuele of elektronische bestanden, dat zodanig is gestructureerd, hetzij door verwijzing naar individuen, hetzij door verwijzing naar criteria met betrekking tot individuen, dat specifieke informatie met betrekking tot een bepaald individu gemakkelijk toegankelijk is.

Daarom vallen alle digitale Databases en/of georganiseerde handmatige bestanden met betrekking tot identificeerbare levende individuen onder de wet- en regelgeving inzake gegevensbescherming, terwijl een Database met puur statistische of financiële informatie (die niet direct of indirect in verband kan worden gebracht met identificeerbare levende individuen) dat niet doet.

Gevoelige gegevens: Gevoelige gegevens zijn Persoonsgegevens die informatie bevatten over de Betrokkenen:

  • Ras of etnische afstamming;
  • Religieuze overtuigingen of andere overtuigingen van soortgelijke aard;
  • Politieke meningen;
  • Lichamelijke of geestelijke gezondheid of toestand;
  • Seksuele geschiedenis of geaardheid;
  • Lidmaatschap van een vakbond;
  • Het plegen of vermeend plegen van een strafbaar feit en alle daarmee verband houdende gerechtelijke procedures.

Technologie: Technologie moet ruim worden geïnterpreteerd en omvat alle middelen voor het verzamelen of verwerken van gegevens, inclusief maar niet beperkt tot computers en netwerken, telecommunicatiesystemen, video- en audio-opnameapparaten, biometrische apparaten, gesloten televisiecircuits, enz.

Link naar DSA-aanvraagformulier
Link naar GDPR Privacyverklaring