Privacystatement
Governance Kompas

Versie 1.0, mei 2023

Algemeen

  • Dit privacystatement is van toepassing op het gebruik van persoonsgegevens door Governance Kompas in het kader van haar werkzaamheden. Bijvoorbeeld advisering, interimwerk en het geven van onderwijs.
  • In dit privacystatement leest u welke gegevens er worden verwerkt, voor welke doeleinden en op basis van welke rechtsgronden. Ook benoemt het statement welke partijen persoonsgegevens kunnen ontvangen en welke bewaartermijnen Governance Kompas hanteert. Daarnaast betracht Governance Kompas geheimhouding als zij met de persoonsgegevens omgaat.
  • Governance Kompas geldt als verwerkingsverantwoordelijke voor het gegevensgebruik, behalve in het geval van interimwerk (bestuurder, directeur, manager, bestuurssecretaris). Bij interimwerk treedt de opdrachtgever (zoals een zorginstelling) op als verwerkingsverantwoordelijke. Zie hierover meer in detail onder de kop “interimwerk“.
  • Op basis van de AVG heeft u rechten. Bijvoorbeeld het recht om bezwaar te maken tegen nieuwsbrieven. Lees in het privacystatement hoe Governance Kompas deze rechten faciliteert.

Identiteit en contactgegevens

  1. Governance Kompas B.V. is gevestigd aan de Van Humboldtstraat 111 te (3514 GN) Utrecht, ingeschreven in het handelsregister onder nummer: 74613383.
  2. Voor vragen over dit privacystatement of verzoeken op basis van de Algemene Verordening Gegevensbescherming (“AVG”), kunt u een e-mailbericht sturen naar Sophie Bijloos: info@governancekompas.nl. Telefonisch contact is mogelijk via: +3132378090.

Categorieën van persoonsgegevens

  1. Governance Kompas verwerkt de volgende soorten persoonsgegevens:
    1. Naam, achternaam, titel, beroep en/of functie, specialisatie en/of interessegebiedenvoorkeuren, geboortedatum, aanspreekvorm en geslacht;
    2. Contactgegevens, inclusief e-mailadressen en telefoonnummers, en adresgegevens, organisatienaam;
    3. Financiële gegevens zoals bankrekeningnummers en betaalmethoden;
    4. Overige gegevens die aan Governance Kompas door de betrokkene worden verstrekt of die Governance Kompas over de betrokkene verkrijgt;
    5. Persoonsgegevens waar Governance Kompas toegang tot heeft vanwege interimwerk in de zorgsector.
  2. De gegevens genoemd bij (a) t/m (e) zijn onderdeel van de debiteuren- en crediteurenadminstratie resp. in- en verkoopadministratie van Governance Kompas. Daarnaast kunnen de gegevens zijn opgenomen in dossiers, zoals adviesdossiers. Bovendien houdt Governance Kompas een administratie bij van welke onderwijsdeelnemers staan ingeschreven, voor welke cursus en in welke periode. Deze gegevens zijn noodzakelijk om een overeenkomst te sluiten met Governance Kompas of om gebruik te kunnen maken van haar dienstverlening, zoals een leerprogramma, coachingstraject, intervisiebegeleiding of advisering.
  3. De gegevens genoemd bij (e) worden door de opdrachtgever aan Governance Kompas verstrekt. Bijvoorbeeld doordat Governance Kompas toegang heeft tot het IT-systeem van opdrachtgever vanwege de uitvoering van interimwerk. Deze persoonsgegevens bestaan meestal uit gegevens over personeelsleden die bij de opdrachtgever werken.
  4. Governance Kompas beschikt over de persoonsgegevens omdat deze door de betrokkene of zijn/haar organisatie zijn verstrekt (omdat zij een zakelijke relatie zijn), in het kader van de dienstverlening met Governance Kompas zijn verkregen, door derde partijen aan Governance Kompas kenbaar zijn gemaakt, of via openbare bronnen bekend zijn geworden.

Verwerkingsdoeleinden en rechtsgronden

  1. De doelen waarvoor Governance Kompas als verwerkingsverantwoordelijke gegevens verwerkt zijn:
  1. Het kunnen leveren van haar diensten, bestaande uit bijvoorbeeld advisering, coaching, inrichting van governance, intervisiebegeleiding en het geven van onderwijs zoals leerprogramma’s, waaronder begrepen het uitvoeren van conflict-of-interests checks alsook het afhandeling van cursusaanmeldingen, betalingen en/of facturen. Hieronder valt tevens de mogelijkheid om cursisten cursusmateriaal en certificaten toe te kunnen sturen;
  2. Het onderhoud van contact met personen waarmee Governance Kompas een zakelijke relatie heeft (gehad) of zou kunnen hebben (zoals prospects). Bijvoorbeeld in het kader van marketingactiviteiten activiteiten als e-mailings gericht aan personen die een leerprogramma van Governance Kompas hebben gevolgd, alsook communicatie-activiteiten zoals klanttevredenheidonderzoeken of cursus- en docentenevaluaties.
  3. Het naleven van verplichtingen die voortvloeien uit relevante gedragscodes of eisen van beroepsorganisaties zoals het Centraal Register Kort Beroepsonderwijs (CRKBO), Nederlandse Vereniging van Toezichthouders in Zorg en Welzijn (NVTZ) en de NVZD – Vereniging van bestuurders in de zorg.
  4. Het kunnen naleven van wettelijke plichten, zoals fiscale verplichtingen en wettelijke plichten om klanten te identificeren (‘know-your-customer’).
  1. De rechtsgronden op basis waarvan Governance Kompas de persoonsgegevens mag verwerken zijn:
    • de uitvoering van een overeenkomst waarbij de betrokkene partij is, zoals een cursist, waaronder begrepen de precontractuele fase;
    • het gerechtvaardigde belang van Governance Kompas om contact te onderhouden met zakelijke relaties en prospects, voor service- of marketingdoelen, waaronder begrepen het belang om de dienstverlening te verbeteren;
    • de uitvoering van wettelijke verplichting die op Governance Kompas als verwerkingsverantwoordelijke rust, zoals fiscale verplichtingen.
  2. Als in opdracht van Governance Kompas foto’s van cursus- of onderwijsbijeenkomsten worden gemaakt, dan zal Governance Kompas deze slechts publiceren met toestemming van de betreffende betrokkenen voor zover zij herkenbaar zichtbaar zijn op de foto’s. Ter bescherming van de privacy van de cursusdeelnemers mag Governance Kompas foto’s bewerkt publiceren, bijvoorbeeld door middel van het vervagen van hun gezichten zodat zij niet meer identificeerbaar zijn.
  3. Governance Kompas maakt geen gebruik van geautomatiseerde besluitvorming, waaronder profiling.

Ontvangers

  1. Governance Kompas deelt persoonsgegevens alleen met derde-partijen voor zover noodzakelijk voor haar dienstverlening. Bijvoorbeeld bij het inschakelen van een andere derde partij namens en in opdracht van Governance Kompas, zoals een IT-leverancier of een leverancier van digitale nieuwsbrieven, maar ook het verstrekken van uw persoonsgegevens aan onafhankelijke onderzoeksbureaus dat belast zijn met audits waaraan Governance Kompas dient deel te nemen.
  2. Daarnaast kan Governance Kompas persoonsgegevens verstrekken aan een derde partij, zoals een toezichthouder of een andere met openbaar gezag beklede instantie, voor zover daartoe een wettelijke verplichting bestaat.
  3. Met de derde partij die namens en in opdracht van Governance Kompas uw persoonsgegevens verwerkt, wordt een verwerkersovereenkomst gesloten waardoor die derde partij eveneens gehouden is tot naleving van de AVG.
  4. Door Governance Kompas ingeschakelde derde partijen, die als verwerkingsverantwoordelijke diensten aanbieden, zijn voor de (verdere) verwerking van uw persoonsgegevens zelf verantwoordelijk voor de naleving van de AVG. Hierbij valt te denken aan bijvoorbeeld een andere consultant.

Archief en bewaartermijnen

  1. Governance Kompas hanteert een digitaal archief, voor zover dit mogelijk is. Hierbij geldt de volgende werkwijze met betrekking tot advieswerk, waaronder begrepen juridisch advies:
    • Governance Kompas bepaalt of een adviesdossier wordt afgesloten, namelijk zodra de ‘bemoeienis’ met de kwestie is geëindigd;
    • Op verzoek van de opdrachtgever worden (originele) stukken geretourneerd. Een kopie van de stukken blijven bewaard in het archiefdossier dat 5 jaar wordt bewaard.
  2. Governance Kompas dient te voldoen aan de wettelijke bewaar- en verjaringstermijnen. Daarom worden alle bij de administratie behorende boeken, bescheiden en andere gegevensdragers worden dus volgens de wettelijke bewaartermijn bewaard:
    • Adviesdossiers: 5 jaar na het archiveren van het dossier;
    • Administratieve gegevens: 7 jaar op basis van het Burgerlijk Wetboek en fiscale wetgeving zoals de Algemene wet inzake rijksbelastingen;
    • Overeenkomsten en daaraan gerelateerde stukken: 20 jaar in verband met verjaringstermijnen.
  3. Opdrachtgevers kunnen uiterlijk 5 jaar na archivering van een adviesdossier hieruit stukken bij Governance Kompas opvragen. Persoonsgegevens die zijn ontvangen t.b.v. een offerte worden verwijderd zodra er geen aanvaarding tot stand komt.

Geheimhouding van persoonsgegevens en vertrouwelijke informatie

  1. Governance Kompas, inclusief eventueel door haar ingeschakelde derden, betracht geheimhouding ten aanzien van persoonsgegevens en overige informatie, zoals hieronder beschreven.
  2. Governance Kompas waarborgt dat de personen, indien van toepassing, die zij in dienst heeft c.q. werkzaamheden voor haar verrichten, contractueel zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen. Het voorgaande geldt ook voor eventuele (sub-)verwerkers die Governance Kompas kan inschakelen. Deze personen en partijen, waaronder Governance Kompas zelf, houden de persoonsgegevens geheim ten opzichte van derden en gebruiken deze niet anders dan voor het verlenen van de dienstverlening. Het voorgaande geldt niet als Governance Kompas toestemming heeft verkregen de gegevens te mogen delen of als zij verplicht is dit te doen op basis van een wettelijke verplichtingen.
  3. In aanvulling op de geheimhoudingsafspraak hierboven, betracht Governance Kompas geheimhouding ten aanzien van de informatie die haar opdrachtgever versterkt of waartoe de opdrachtgever Governance Kompas toegang tot verleend, en waarvan Governance Kompas weet redelijkerwijs dient te weten dat deze van vertrouwelijke aard zijn. Bijvoorbeeld bedrijfsgevoelige informatie over bedrijfssituaties, werkprocessen, klantengroepen en strategieën. Informatie wordt in ieder geval als vertrouwelijk beschouwd indien deze zodanig zijn aangeduid.
  4. Deze vertrouwelijke informatie wordt door Governance Kompas slechts gebruikt voor het kunnen verlenen van haar dienstverlening. Governance Kompas zal maatregelen treffen om te voorkomen dat derden (niet-zijnde eventueel ingeschakeld personeel of externe krachten) inzage krijgen in de vertrouwelijke informatie. Deze vertrouwelijkheid wordt gewaarborgd rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen informatie.

De voorgaande geheimhoudingsafspraak geldt niet ten aanzien van informatie die Governance Kompas op legale wijze heeft bereikt buiten opdrachtgever om, zoals informatie uit openbare bronnen. Daarnaast kan opdrachtgever Governance Kompas toestemming geven de geheimhouding te doorbreken. Bovendien mag Governance Kompas de geheimhouding doorbreken indien de wet dit verplicht.

  1. Met betrekking tot advieswerk zwijgt Governance Kompas over de bijzonderheden van de door haar behandelde zaken, de persoon van haar opdrachtgever en de aard en omvang van diens belangen. Deze geheimhouding kan worden doorbroken met toestemming van de opdrachtgever.

Interimwerk: opdrachtgever als verwerkingsverantwoordelijke

  1. Governance Kompas verricht interimwerk. Bijvoorbeeld als bestuurder, directeur, manager, bestuurssecretaris bij organisaties in de zorgsector.
  2. Voor zover dergelijke organisaties Governance Kompas toegang verlenen tot het eigen IT-systeem of andere IT-middelen, geldt de organisatie als verwerkingsverantwoordelijke. Bijvoorbeeld als Governance Kompas inzage dient te hebben in gegevens over personeel van de organisatie.
  3. Governance Kompas gebruikt deze persoonsgegevens slechts voor de uitvoering van haar opdracht en binnen de IT-omgeving en bijbehorende privacybeleid van de betreffende organisatie. Voor zover dit niet uit het privacybeleid volgt, dient de betreffende organisatie in ieder geval de volgende informatie aan Governance Kompas te verstrekken voorafgaand aan de opdracht:
    • Het doel waarvoor de gegevens mogen worden verwerkt, alsook uitleg over het soort persoonsgegevens en de categorieën van betrokkenen zoals personeelsleden;
    • De wijze waarop de persoonsgegevens gebruikt moeten worden met oog op informatiebeveiliging. Bijvoorbeeld door gebruikmaking van een door de organisatie ingestelde beveiligde verbinding en digitale werkomgeving;
    • De periode waarbinnen de persoonsgegevens gebruikt mogen worden en wat Governance Kompas moet doen als deze duur verstreken is. Bijvoorbeeld het verwijderen van eventuele kopieën van de gegevens.
  4. Daarnaast spreken Governance Kompas en opdrachtgever het volgende af:
    • Governance Kompas gebruikt de persoonsgegevens binnen de door opdrachtgever toegestane bandbreedte van verwerkingen. Hiervan wordt slechts afgeweken als dit moet vanwege een wettelijke plicht waaraan Governance Kompas gebonden is. De opdrachtgever wordt door Governance Kompas geïnformeerd over zo’n plicht, tenzij dat niet mag;
    • Governance Kompas legt de geheimhoudingsverplichting (zie onder de kop “Geheimhouding” in dit privacystatement) ook op aan eventuele derden die zij inschakelt voor de uitvoering van de opdracht;
    • Governance Kompas heeft de beveiligingsmaatregelen getroffen zoals de AVG dat voorschrijft. Zo gebruikt Governance Kompas, waar redelijkerwijs mogelijk: sterke wachtwoorden, privacyscreens, schermvergrendeling, meerfactorauthenticatie en versleuteling van e-mailbijlagen. Daarnaast worden persoonsgegevens van de organisatie niet geraadpleegd met behulp van openbare wifi-netwerken en worden laptops niet onbeheerd achtergelaten. Daarnaast gebruikt Governance Kompas voor anti-virusprogramma’s en worden veiligheidsupdates tijdig doorgevoerd. Gegevens worden niet op externe gegevensdragers zoals USB-sticks opgeslagen.
    • Governance Kompas verleent aan de organisatie voor zover mogelijk bijstand om te kunnen voldoen aan een AVG-verzoek van een betrokkene. Bijvoorbeeld als een personeelslid zijn/haar AVG-rechten uitoefent. Als zo’n betrokkene bij Governance Kompas een AVG-verzoek indient, bijvoorbeeld een verzoek tot inzage in de eigen persoonsgegevens, dan stuurt Governance Kompas de betrokkene door naar de organisatie.
    • Governance Kompas verleent voor zover mogelijk en relevant, bijstand aan de organisatie in verband met de AVG-beveiligingseisen, het melden van datalekken en het uitvoeren van een data protection impact assessment (DPIA).
    • Als Governance Kompas een beveiligingsincident constateert met de persoonsgegevens die de organisatie aan haar ter beschikking heeft gesteld, dan meldt zij dit zo snel als redelijkerwijs mogelijk bij de organisatie.
    • De organisatie mag bij Governance Kompas audits uitvoeren ter controle van de naleving van de AVG, mits deze audits minstens 3 maanden van tevoren zijn aangekondigd. De datum van de audit wordt in gezamenlijkheid vastgesteld. De auditkosten komen geheel voor rekening van de organisatie en omvatten mede de tijd die Governance Kompas dient te besteden aan de audit.
  5. De organisatie die Governance Kompas opdracht geeft tot interimwerk is verantwoordelijk voor de rechtmatigheid van de gegevensverwerkingen door Governance Kompas en de naleving van de wettelijke voorschriften, zoals de AVG. Daarom garandeert de organisatie dat de gevraagde gegevensverwerkingen in lijn zijn met de AVG een geen inbreuk maken op rechten, bijvoorbeeld van betrokkenen. Governance Kompas is jegens de opdrachtgever nooit aansprakelijk voor schade, hoe ook genaamd en uit welke hoofde dan ook, gerelateerd aan persoonsgegevens ontstaan als gevolg van de interimwerkzaamheden. Deze uitsluiting van aansprakelijkheid vervalt slechts als de schade gerelateerd aan persoonsgegevens door Governance Kompas is veroorzaakt door opzet of grove schuld in de zin van de jurisprudentie over de beperkende werking van de redelijkheid en billijkheid.

Uw AVG-rechten

  1. Als betrokkene heeft u op basis van de AVG diverse rechten ten aanzien van uw persoonsgegevens. Het gaat om het recht om inzage van en rectificatie c.q. wissing of beperking van uw gegevens. Daarnaast heeft u een recht om tegen de verwerking bezwaar te maken. Dat recht is relevant indien Governance Kompas digitale nieuwsbrieven verstuurt. Hiertegen kunt u bezwaar maken door u uit te schrijven van de nieuwsbrief.
  2. Het recht van bezwaar is ook relevant als een onafhankelijk onderzoeksbureau uw gegevens wenst op te vragen vanwege een audit waaraan Governance Kompas gebonden is. In dat geval kunt u uw bezwaar richten door een e-mail te sturen naar Governance Kompas met uw verzoek.
  3. Governance Kompas kan uw AVG-verzoek in behandeling nemen in het geval zij als verwerkingsverantwoordelijke optreedt. Verricht Governance Kompas interimwerk, dan dient u uw AVG-verzoek te rechten tot de organisatie waarvoor Governance Kompas het interimwerk verricht.
  4. Tot slot heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

***

info@governancekompas.nl
030-2378090
KvK nummer 74613383
Reknr NL21 INGB 0009 2569 34
Privacystatement
Algemene voorwaarden