Verwerkersovereenkomst
De Alert Group verwerkt persoonsgegevens in opdracht van de klant omdat de klant een overeenkomst met de Alert Group heeft. De Alert Group en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkers-overeenkomst te sluiten.
Gezien de beperkte verwerking van persoonsgegevens (Naam, adres, telefoonnummer, email of camerabeelden waarop identificeerbare personen zijn waar te nemen). Met de daarbij behorende standaard dienstverlening (Contact opnemen met een waarschuwingsadres n.a.v. een alarmeringen en het weergeven van camera beelden) ), heeft de Alert Group de verwerkings-overeenkomst opgenomen in de Algemene Voorwaarden en de al afgesloten overeenkomst met de klant.
De Alert Group is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. De Alert Group en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. De Alert Group zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
Wie is verantwoordelijk voor de verwerking van persoonsgegevens?
Alle onderdelen van de Alert Group verwerken persoonsgegevens. De Alert Group bestaat uit de volgende onderdelen:
- Alert Security B.V.
- Alert Security II B.V.
- Alert Security III B.V.
- Alert Security IV B.V.
- Alert Facility B.V.
- Alert Recherche B.V.
- Alert Security Holding B.V.
- Viewcontrol B.V.
- Viewcontrol Holding B.V.
Wilt u weten welk onderdeel van de Alert Group verantwoordelijk is voor de verwerking van uw persoonsgegevens? Neem dan contact met ons op.
Instructies verwerking
De verwerking bestaat uit het registreren van naam, adres, telefoonnummer en email van de door de klant en/of installateur ingevoerde data. De Alert Group zal deze gegevens niet toevoegen, aanpassen of verwijderen zonder dat de klant en/of installateur daar specifieke instructie voor gegeven heeft. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die de Alert Group uitvoert.
Geheimhoudingsplicht
De Alert Group is zich bewust dat de informatie die de klant met de Alert Group deelt, een geheim en bedrijfsgevoelig karakter heeft. Alle medewerkers van de Alert Group zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan. Alle medewerkers (ook degenen die geen beveiligings- of recherche-werkzaamheden uitvoeren) worden door de afdeling Korpscheftaken van de politie gescreend op betrouwbaarheid. Voor elke medewerker wordt er apart toestemming aangevraagd bij de korpschef.
Medewerkers met toegang tot klantgegevens
Binnen de Alert Group kunnen uw persoonsgegevens alleen worden gebruikt door medewerkers die hier gelet op hun functie toegang toe moeten hebben om uitvoering te geven aan de overeenkomst met de klant.
Beveiliging
De Alert Group neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De Alert Group is daarvoor BORG 2.0 gecertificeerd, ISO27001 maakt een onderdeel uit van deze certificering. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met de Alert Group tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant de Alert Group direct op de hoogte stellen van deze bindende aanwijzing. de Alert Group zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als de Alert Group niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van de Alert Group, dan is de Alert Group aansprakelijk.
Subverwerkers
De Alert Group maakt gebruik van subverwerkers indien dit nodig is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting. Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een bewerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. De Alert Group blijft verantwoordelijk voor deze verwerkingen. Alle subverwerkers waar de Alert Group gebruik van maakt bevinden zich uitsluitend in Nederland en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters waar gebruik van wordt gemaakt zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door de Alert Group en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
Privacyrechten
De Alert Group heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal De Alert Group de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. De Alert Group zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. De Alert Group zal, voor zover dat binnen de gebruikte applicaties mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. De Alert Group zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal de Alert Group de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie. Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij de Alert Group, zonder dat de klant dit vooraf heeft besproken met de Alert Group, dan is de klant aansprakelijk voor de door de Alert Group geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt de Alert Group de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Melding aan de klant
Indien blijkt dat bij de Alert Group sprake is van een beveiligingsincident of datalek zal de Alert Group de klant daarover zo spoedig mogelijk informeren nadat de Alert Group bekend is geworden met het datalek. Om dit te realiseren zorgt de Alert Group ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht de Alert Group van haar opdrachtnemers dat zij de Alert Group in staat stelt om hier aan te kunnen voldoen.
Informatie verstrekken
De Alert Group probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal de Alert Group de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door de Alert Group ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd. Voortgang en maatregelen
De Alert Group zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. De Alert Group maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt de Alert Group de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden. De Alert Group registreert alle security incidenten en handelt deze volgens een vaste procedure af. De registratie en afhandeling van security incidenten wordt getoetst met een audit in het kader van de eerder genoemde certificeringen.
Gegevens verwijderen
De Alert Group zal, na afloop van de overeenkomst, alle klantgegevens verwijderen zoals volgens de wettelijke termijn voorgeschreven wordt. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. De Alert Group verplicht zich daar gehoor aan te geven.