Privacy

Gegevensbescherming

1. Dit beleid definieert vereisten om naleving te waarborgen van wetten en regelgeving die van toepassing zijn op ATPI’s verzameling, gebruik, verwerking en overdracht van persoonsgegevens wereldwijd.

2. Toepassingsgebied

2.1 ATPI zet zich in om te voldoen aan de toepasselijke wetgeving inzake gegevensbescherming in de landen waar het (het “Bedrijf”) actief is. Vanwege verschillen binnen deze rechtsgebieden heeft het Bedrijf dit Gegevensbeschermingsbeleid aangenomen, dat een gemeenschappelijke kern van waarden, beleidslijnen en procedures creëert, bedoeld om algemene naleving te bereiken, aangevuld (waar van toepassing) met aanvullende instructies en richtlijnen die van toepassing zijn in die rechtsgebieden met unieke vereisten.

2.2 Dit beleid is gebaseerd op EU-verordening 2016/679 en de General Data Protection Regulation (GDPR), die een robuust generiek model biedt voor naleving van de privacywetgeving. Het Bedrijf heeft ook een Intra Group Data Transfer Agreement (IGDTA) opgesteld, gebaseerd op de erkende EU-modelclausules, om wereldwijde overdracht en daaropvolgende subverwerking van gegevens in zijn gehele wereldwijde netwerk van groepsmaatschappijen te autoriseren.

2.3 Dit beleid is van toepassing op alle voltijds- en deeltijdmedewerkers van het bedrijf, uitzendkrachten en alle leveranciers en klanten die persoonsgegevens ontvangen van het bedrijf, toegang hebben tot persoonsgegevens die door het bedrijf worden verzameld of verwerkt, of die informatie verstrekken aan het bedrijf, ongeacht geografische locatie.

2.4 Als beleidsverbintenis zal het Bedrijf geen persoonsgegevens verwerken zonder een erkende wettelijke basis voor dergelijke verwerking. Om naleving van de wetgeving inzake gegevensbescherming te waarborgen, zal het Bedrijf zijn status voor alle gegevensverwerking correct vaststellen als hetzij een verwerkingsverantwoordelijke, hetzij een verwerker.

3. Naleving door de groep

3.1 Het gegevensbeschermingsprogramma van het Bedrijf zal worden overzien door de Functionaris voor Gegevensbescherming van het bedrijf, bijgestaan door een Manager Gegevensbescherming en lokaal aangestelde nalevingsmedewerkers en interne auditors. Verantwoordelijkheden kunnen worden gedelegeerd door de FG.

3.2 De FG zal het internationale gegevensbeschermingsbeleid en procedures van het bedrijf en IGDTA implementeren, evenals alle taken die vereist zijn door gegevensbeschermingswetten, waaronder:

3.2.1 Bepalen of kennisgeving aan een of meer Gegevensbeschermingsautoriteiten vereist is als gevolg van de Gegevensverwerkingsactiviteiten van het Bedrijf, vervolgens de vereiste kennisgevingen doen en dergelijke kennisgevingen actueel houden.

3.2.2 Het ontwerpen en implementeren van doorlopende programma’s voor het trainen van medewerkers om naleving van de wetgeving op het gebied van gegevensbescherming te waarborgen.

3.2.3 Het opstellen (met betrokkenheid van de IT- en juridische afdelingen) van procedures en standaard contractuele bepalingen voor het verkrijgen van naleving van dit beleid door groepsmaatschappijen, klanten, leveranciers en derden die Persoonsgegevens ontvangen van het Bedrijf, toegang hebben tot Persoonsgegevens die verzameld of verwerkt zijn door het Bedrijf, of die informatie verstrekken aan het Bedrijf, ongeacht de geografische locatie.

3.2.4 Het instellen van mechanismen voor periodieke controles op de naleving van dit beleid, de uitvoeringsprocedures en de toepasselijke wetgeving.

3.2.5 Het opzetten, onderhouden en beheren van een systeem voor snelle en passende reacties op betrokkenen die hun rechten willen uitoefenen.

3.2.6 Het opzetten, onderhouden en beheren van een systeem voor snelle en passende openbaarmaking aan de relevante autoriteiten en/of betrokkenen zoals vereist onder de wetgeving inzake gegevensbescherming.

3.2.7 Het informeren van senior managers, functionarissen en directeuren van het Bedrijf over de mogelijke civiel- en strafrechtelijke boetes voor bedrijven en personen die kunnen worden opgelegd aan het Bedrijf en/of zijn werknemers voor overtreding van de toepasselijke wetgeving inzake gegevensbescherming.

3.2.8 Ervoor zorgen dat de risicobeheerplannen met betrekking tot gegevensbescherming effectief en snel worden geïmplementeerd.

3.2.9 Ervoor zorgen dat het bestuur, het management en andere belanghebbenden voldoende zekerheid krijgen over de effectiviteit van de procedures en audits op het gebied van gegevensbescherming.

4. Principes voor gegevensbescherming

4.1 Het bedrijf heeft de volgende principes aangenomen om het gebruik, de verzameling, verwerking en overdracht van persoonsgegevens te regelen, behalve zoals specifiek bepaald door dit beleid of zoals vereist door toepasselijke wetten:

4.1.1 Persoonsgegevens mogen alleen eerlijk en rechtmatig worden verwerkt.

4.1.2 Persoonsgegevens mogen alleen worden verkregen voor gespecificeerde, expliciete, rechtmatige en legitieme doeleinden, en mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden.

4.1.3 Persoonsgegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot de doeleinden waarvoor ze worden verzameld en/of verwerkt.

4.1.4 Persoonsgegevens mogen niet worden verzameld of verwerkt tenzij een wettelijke basis voor verwerking correct is vastgesteld.

4.2 Er worden passende fysieke, technische en procedurele maatregelen genomen om:

4.2.1 Voorkomen en/of identificeren van ongeautoriseerde of onrechtmatige verzameling, verwerking en overdracht van persoonsgegevens; en

4.2.2 Voorkomen van accidenteel verlies of vernietiging van, of schade aan, persoonsgegevens

5. Overdrachten aan derden

5.1 Persoonsgegevens mogen niet worden overgedragen aan een andere entiteit, land of gebied, tenzij redelijke en passende stappen zijn ondernomen om het vereiste niveau van gegevensbeveiliging tot stand te brengen en te handhaven.

5.2 Persoonsgegevens mogen alleen aan derden worden gecommuniceerd om redenen die consistent zijn met de doeleinden waarvoor de gegevens oorspronkelijk werden verzameld of andere doeleinden die door de wet zijn geautoriseerd.

5.3 Alle overdrachten van persoonsgegevens aan derden voor verdere verwerking zijn onderworpen aan schriftelijke overeenkomsten, een wettelijke basis voor overdracht, of onder de IGDTA van het Bedrijf voor interne gegevensoverdrachten en in volledige overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

5.4 EU ( VK) persoonsgegevens mogen niet worden overgedragen naar een land of gebied buiten de Europese Economische Ruimte (EER) tenzij de overdracht wordt gedaan naar een land of gebied dat door de EU wordt erkend als hebbende een adequaat niveau van gegevensbeveiliging, of naar de Verenigde Staten onder het US Data Privacy Framework.

6. Preventie van niet-conforme IT-systemen

6.1 De Chief Information Security Officer (CISO) van het Bedrijf zal een procedure opstellen voor het beoordelen van de impact van nieuwe of bestaande technologie op de privacy en beveiliging van persoonsgegevens.

6.2 Geen nieuw systeem of nieuwe versie van een bestaand systeem mag beschikbaar worden gesteld voor gebruik totdat de FG schriftelijke bevestiging heeft verkregen van de CISO dat er geen inbreuk zou zijn op enige wetgeving inzake gegevensbescherming.

7. Bronnen van persoonlijke gegevens

7.1 Persoonsgegevens mogen alleen worden verzameld bij de betrokkene, tenzij de aard van het bedrijfsdoel het verzamelen van de gegevens van andere personen of instanties noodzakelijk maakt.

7.2 Als persoonsgegevens worden verzameld van iemand anders dan de betrokkene, moet de bedrijfseenheid die de gegevens verzamelt schriftelijke bevestiging hebben van de leverancier van de gegevens dat er een wettelijke grondslag is voor de verwerking en de overdracht van de persoonsgegevens aan het bedrijf.

8. Rechten van de betrokkenen

Het Bedrijf zal, in overeenstemming met de wetgeving inzake gegevensbescherming, reageren op elk verzoek om toegang tot gegevens/klacht van betrokkenen dat aan het Bedrijf wordt gericht. Om het indienen van een dergelijk verzoek/klacht te vergemakkelijken, heeft het Bedrijf een formulier opgesteld dat hier te vinden is.

9. Kwaliteitsborging van gegevens

9.1 Persoonsgegevens mogen slechts worden bewaard voor de periode die noodzakelijk is voor toegestane doeleinden. Het bedrijf heeft een gegevensbewaringsbeleid opgesteld waarin de termijnen voor het verwijderen van gegevens zijn vastgelegd.

9.2 Persoonsgegevens moeten worden gewist als de opslag ervan in strijd is met enige wetgeving inzake gegevensbescherming of als kennis van de gegevens niet langer vereist is door het Bedrijf, of op verzoek van de betrokkene.

10. Verwerking binnen de groep

10.1 Wanneer het Bedrijf vertrouwt op een ander groepsbedrijf om te assisteren bij zijn verwerkingsactiviteiten, zal het Bedrijf een Gegevensoverdrachtsovereenkomst aangaan op basis van de EU-modelclausules (of toepasselijke modelclausules zoals vereist onder de wetgeving inzake gegevensbescherming) met dat andere groepsbedrijf om ervoor te zorgen dat de verantwoordelijkheid voor de gegevens duidelijk wordt geïdentificeerd, aangezien beide partijen kunnen worden beschouwd als verwerkingsverantwoordelijken.

10.2 Wanneer het andere groepsbedrijf zich in het buitenland bevindt, worden de bij de verwerking betrokken groepsbedrijven respectievelijk aangeduid als gegevensexporteur en gegevensimporteur, hoewel er mogelijk meer dan één gegevensimporteur bij de verwerking betrokken kan zijn.

11. Externe verwerkers

Op vergelijkbare wijze zal het Bedrijf, wanneer het vertrouwt op derden om te assisteren bij zijn verwerkingsactiviteiten, een verwerker kiezen die voldoende beveiligingsmaatregelen biedt en redelijke stappen onderneemt om naleving van die maatregelen te waarborgen.

12. Schriftelijke contracten voor externe verwerkers

12.1 Het Bedrijf zal een schriftelijk contract aangaan met elke verwerker, waarin wordt vereist dat deze voldoet aan de wetgeving inzake gegevensbescherming en beveiligingsvereisten die aan het Bedrijf worden opgelegd onder lokale wetgeving.

13. Audits van externe gegevensverwerkers

13.1 Als onderdeel van het interne gegevensauditproces van het Bedrijf, zal het Bedrijf periodieke controles uitvoeren op de verwerking door externe verwerkers, en in het bijzonder met betrekking tot de overdrachtsprocedures voor de gegevens, vooral met betrekking tot beveiligingsmaatregelen.

14. Gegevensbeveiliging

14.1 Het Bedrijf heeft een Gegevensbeveiligingsbeheerbeleid geïmplementeerd, op grond waarvan het fysieke, technische en organisatorische maatregelen zal nemen om de beveiliging van persoonsgegevens te waarborgen, inclusief het voorkomen van wijziging, verlies, beschadiging, ongeoorloofde verwerking of toegang, rekening houdend met de aard van de gegevens en de risico’s waaraan ze worden blootgesteld door menselijk handelen of de fysieke of natuurlijke omgeving. Deze maatregelen worden gedocumenteerd in het beleid voor gegevensbeveiligingsbeheer, dat minstens één keer per jaar wordt herzien, of wanneer nodig om belangrijke wijzigingen in de beveiligingsregelingen weer te geven.

14.2 Adequate beveiligingsmaatregelen moeten al het volgende omvatten:

14.2.1 Het voorkomen dat onbevoegde personen toegang krijgen tot gegevensverwerkingssystemen waarin persoonsgegevens worden verwerkt.

14.2.2 Het voorkomen dat personen die bevoegd zijn om een gegevensverwerkingssysteem te gebruiken, toegang krijgen tot gegevens buiten hun behoeften en autorisaties om.

14.2.3 Ervoor zorgen dat persoonsgegevens tijdens elektronische overdracht tijdens transport of tijdens opslag op een gegevensdrager niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd.

14.2.4 Ervoor zorgen dat persoonsgegevens worden beschermd tegen ongewenste vernietiging of verlies.

14.2.5 Ervoor zorgen dat gegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden en zullen worden verwerkt.

14.2.6 Ervoor zorgen dat gegevens niet langer worden bewaard dan bepaald in het Gegevensbewaarbeleid, inclusief door te eisen dat gegevens die aan derden zijn overgedragen, worden teruggegeven of vernietigd.

15. Nalevingsmeting

15.1 De FG zal een schema opstellen voor en implementeren van een privacy-nalevingsaudit voor alle bedrijfsonderdelen. De FG zal, in samenwerking met de bedrijfsonderdelen, een plan en schema opstellen voor het corrigeren van eventuele geïdentificeerde tekortkomingen binnen een vaste, redelijke termijn.

Elk bedrijfsonderdeel van het Bedrijf zal jaarlijks zijn praktijken voor gegevensverzameling, gegevensverwerking en gegevensbeveiliging beoordelen en bepalen welke persoonsgegevens het bedrijfsonderdeel verzamelt, inclusief die welke worden bewaard in handmatige systemen die “Relevante Archiveringssystemen” vormen.

15.2 De informatie die in deze jaarlijkse beoordeling wordt verzameld, zal worden overgedragen aan de FG voor beoordeling en passende actie, waaronder, zonder beperking, het volgende:

15.2.1 Het doen van aanbevelingen voor verbetering van beleidslijnen en procedures om de naleving van dit beleid en de toepasselijke wetgeving te verbeteren.

15.2.2 Het voldoen aan de vereisten voor zelfcertificering van naleving binnen lokale gegevensbeschermingsautoriteiten, en naleving van de eigen IGDTA van het Bedrijf.

16. Gebruik van kunstmatige intelligentie

16.1 Microsoft Copilot wordt ingezet voor intern gebruik door werknemers van de organisatie. Copilot verwerkt persoonsgegevens uitsluitend om intelligente assistentie te bieden, antwoorden te genereren en productiviteit te ondersteunen binnen goedgekeurde bedrijfssystemen. Het kan toegang krijgen tot informatie die werknemers kiezen om te verbinden, zoals documenten, e-mails, agenda’s, contacten of browsergeschiedenis, strikt met het doel om werkgerelateerde verzoeken te vervullen. Copilot verzamelt of deelt niet zelfstandig persoonsgegevens buiten deze geautoriseerde interacties. Alle verwerking is onderworpen aan de toepasselijke wetgeving inzake gegevensbescherming, waaronder de AVG, en wordt beheerst door Microsoft’s privacy- en beveiligingsnormen. Werknemers behouden de controle over hun gegevens en kunnen machtigingen, verbonden diensten en geheugenfuncties beheren binnen de instellingen van Copilot.

Elk gebruik van kunstmatige intelligentie binnen het Bedrijf zal strikt in overeenstemming met de wetgeving inzake gegevensbescherming en in lijn met het Beleid inzake kunstmatige intelligentie worden uitgevoerd.

17. Implementatie

17.1 Dit beleid zal beschikbaar zijn voor werknemers en anderen via de website van het Bedrijf.

17.2 Dit beleid kan op elk moment worden herzien, maar ten minste jaarlijks door de FG. Mededelingen over belangrijke herzieningen worden gedaan aan werknemers via het nalevingssysteem van het bedrijf en aan anderen via de website van het bedrijf.

Nikki Matthews
General Counsel Functionaris voor gegevensbescherming
Januari 2026

Bijlage

A Woordenlijst

Toestemming: Toestemming betekent “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de Betrokkene aangeeft in te stemmen met de verwerking van hem betreffende Persoonsgegevens”.

Toestemming kan echter op verschillende manieren worden verkregen. Dit kunnen clausules in arbeidscontracten zijn, selectievakjes op aanvraag- of aankoopformulieren en klikvakjes op online formulieren waar Persoonsgegevens worden ingevoerd.

In de meeste landen van de Europese Unie moet toestemming voor de verwerking van gevoelige persoonsgegevens duidelijk en ondubbelzinnig zijn. Dit betekent over het algemeen dat er een bepaalde vorm van specifieke, actieve toestemming) nodig is. Deze vereiste wordt soms minder eenduidig gevonden buiten de EU.

Gegevens: Gegevens (al dan niet met een beginhoofdletter) zoals gebruikt in dit Beleid betekent informatie die ofwel:

  • wordt verwerkt door middel van apparatuur die automatisch werkt volgens instructies die voor dat doel zijn gegeven;
  • wordt geregistreerd met de bedoeling dat het door middel van dergelijke apparatuur wordt verwerkt;
  • is geregistreerd als onderdeel van een Relevant Archiveringssysteem of met de intentie dat het onderdeel zou moeten zijn van een Relevant Archiveringssysteem;
  • niet onder een van bovenstaande valt, maar deel uitmaakt van een gemakkelijk toegankelijk dossier over een individu.

Gegevens omvatten daarom alle digitale gegevens door computer of geautomatiseerde apparatuur, telefoonopnames en alle handmatige informatie die deel uitmaakt van een Relevant Archiveringssysteem.

Verwerkingsverantwoordelijke: Verwerkingsverantwoordelijke betekent een persoon die (alleen of samen met anderen) de doeleinden bepaalt waarvoor en de wijze waarop persoonsgegevens worden of zullen worden verwerkt. In de meeste gevallen zal het Bedrijf zelf de verwerkingsverantwoordelijke zijn.

Gegevensexporteur: Gegevensexporteur betekent de verwerkingsverantwoordelijke of verwerker die de persoonsgegevens naar het buitenland overdraagt.

Gegevensimporteur: Gegevensimporteur betekent de verwerkingsverantwoordelijke of verwerker die ermee instemt om van de gegevensexporteur persoonsgegevens te ontvangen voor verdere verwerking in overeenstemming met de voorwaarden van dit beleid en de relevante gegevensoverdrachtsovereenkomst.

Gegevensverwerker: Gegevensverwerker betekent elke persoon, anders dan een werknemer van de Gegevensverwerker, die de Gegevens verwerkt namens de Gegevensverwerker. Een bedrijf kan een Gegevensverwerker zijn als het als zodanig is gedefinieerd in de contractuele voorwaarden met de Gegevensverwerker.

Gegevensbeschermingsautoriteit: Een instantie die belast is met de bescherming van gegevens en privacy. De autoriteiten zijn opgericht om informatierechten te handhaven in zowel het publieke als het private belang.

Wetgeving inzake gegevensbescherming: De Wet Bescherming Persoonsgegevens 2018 en de Algemene Verordening Gegevensbescherming (verordening EU 2016/679); alle wetgeving inzake gegevensbescherming buiten de EU binnen landen waarin ATPI actief is; en de Elektronische Communicatie (EG-richtlijn) Verordeningen 2003 en alle herzieningen daarvan.

Gegevensbeveiliging: Maatregelen die de verwerkingsverantwoordelijke en verwerker moeten implementeren voor naleving van de gegevensbeschermingsprincipes door ontwerp en standaard en om een beveiligingsniveau te waarborgen dat geschikt is voor het risico voor de rechten en vrijheden van individuen, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, reikwijdte, context en doeleinden van verwerking.

Betrokkene: Data Subject betekent de persoon waarop de Gegevens betrekking hebben. Betrokkenen zijn onder andere klanten en webgebruikers, personen op contactlijsten/e-mailinglijsten of marketingdatabases, werknemers, aannemers en leveranciers.

Persoonsgegevens: Persoonsgegevens zijn Gegevens met betrekking tot een levende persoon die kan worden geïdentificeerd aan de hand van die Gegevens of van die Gegevens en andere informatie die in het bezit is van of waarschijnlijk in het bezit zal komen van een Gegevensverwerker of een Verantwoordelijke. Persoonsgegevens omvatten geen informatie die is geanonimiseerd, gecodeerd of anderszins ontdaan van zijn identificatoren, of informatie die openbaar beschikbaar is, tenzij gecombineerd met andere niet-openbare persoonlijke informatie.

Verwerking: Verwerking omvat een breed scala aan handelingen met betrekking tot Gegevens, waaronder het verkrijgen, vastleggen of bewaren van de Gegevens of het uitvoeren van een bewerking of reeks bewerkingen op de Gegevens, waaronder:

  • Organisatie, aanpassing of wijziging;
  • Openbaarmaking door verzending, verspreiding of anderszins; en
  • Afstemming, combinatie, blokkering, wissing, of ‘Verwerkt’ moet dienovereenkomstig worden geïnterpreteerd.

Relevant Filing System: Relevant Filing System betekent elke verzameling informatie met betrekking tot individuen,

of deze nu in handmatige of elektronische bestanden wordt bewaard, gestructureerd, hetzij met verwijzing naar individuen, hetzij met verwijzing naar criteria met betrekking tot individuen, op een zodanige wijze dat specifieke informatie met betrekking tot een bepaald individu gemakkelijk toegankelijk is.

Daarom vallen alle digitale databases en/of georganiseerde handmatige bestanden met betrekking tot identificeerbare levende personen binnen het toepassingsgebied van de wetten en voorschriften inzake gegevensbescherming, terwijl een database met zuiver statistische of financiële informatie (die noch direct noch indirect in verband kan worden gebracht met identificeerbare levende personen) hier niet onder valt.

Gevoelige gegevens: Gevoelige gegevens betekent persoonsgegevens die informatie bevatten over de betrokkene met betrekking tot:

  • Ras of etnische afstamming;
  • Religieuze overtuigingen of andere overtuigingen van soortgelijke aard;
  • Politieke meningen;
  • Lichamelijke of geestelijke gezondheid of toestand;
  • Seksuele geschiedenis of geaardheid;
  • Lidmaatschap van een vakbond;
  • Het plegen of vermeend plegen van een strafbaar feit en alle gerelateerde rechtszaken

Technologie: Technologie moet ruim worden geïnterpreteerd en omvat alle middelen voor het verzamelen of verwerken van gegevens, inclusief maar niet beperkt tot computers en netwerken, telecommunicatiesystemen, video- en audio-opnameapparaten, biometrische apparaten, gesloten televisiecircuits, enz.

Link naar DSA-aanvraagformulier
Link naar GDPR Privacyverklaring