Privacyreglement en verwerkerovereenkomst
Privacyreglement Mobility Backoffice 2018
Onderdeel 1 ALGEMENE BEPALINGEN
Artikel 1 Begrippen
In dit reglement wordt bij en in aanvulling op de Algemene Verordening Gegevensbescherming (AVG) verstaan onder:
• De wet: de Algemene Verordening Gegevensbescherming (AVG);
• Mobility Backoffice BV: Serviceprovider ten behoeve van registratie, monitoring en administratie van projecten en programma's op het gebied van duurzame mobiliteit, gevestigd te Huizen en kantoorhoudend te 1271 XL Huizen aan het adres Botterstraat 47;
• Het reglement: dit reglement, inclusief bijlagen;
• Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
• Verwerking van persoonsgegevens: elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in
ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door
middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen,
alsmede het afschermen, uitwisselen of vernietigen van gegevens;
• Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd of verspreid is op
een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
• Verantwoordelijke: Mobility Backoffice BV;
• Verwerker: degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn
onderworpen;
• Personeel: personen in dienst van of werkzaam ten behoeve van Verantwoordelijke;
• Betrokkene: degene op wie een persoonsgegeven betrekking heeft;
• Beheerder: degene die onder verantwoordelijkheid van Verantwoordelijke is belast met de dagelijkse zorg voor de verwerking van
persoonsgegevens, van de juistheid van de ingevoerde gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens;
• Gebruiker: degene die onder verantwoordelijkheid van de Beheerder bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te
verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen;
• Afnemer: de instelling, organisatie of onderneming waarmee Mobility Backoffice een overeenkomst van dienstverlening heeft gesloten;
• Smartphone app: de meertalige IOS of Androidapplicatie die volledig automatisch en op de achtergrond reis- en ritgegevens van Betrokkene
verzamelt, gps- en snelheidsdata converteert naar bruikbare informatie, deze weergeeft in de app en in een webbrowser en
de communicatie faciliteert tussen Betrokkene en Verantwoordelijke.
• Overeenkomst van dienstverlening: de tussen Mobility Backoffice en Afnemer gesloten overeenkomst betreffende het faciliteren van
huidige en toekomstige Deelnemers voor gebruikmaking van de faciliteiten van Mobility Backoffice;
• Technische werkzaamheden: werkzaamheden die verband houden met onderhoud en reparatie van apparatuur en programmatuur;
• Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens.
Artikel 2 Reikwijdte
Dit reglement is van toepassing op alle geautomatiseerde verwerkingen van persoonsgegevens van personen die door Afnemer binnen de
overeenkomst van dienstverlening worden aangewezen als Deelnemer, alsmede op de daaraan ten grondslag liggende gegevens/ documenten
die in een bestand zijn opgenomen.
Artikel 3 Beheer van persoonsgegevens
Per afzonderlijke verwerking of samenhangende verwerking is in de bijlage aangegeven wie de Beheerder en wie de Verwerker.
Onderdeel 2 DOELBINDING
Artikel 4 Doelstelling van de verwerking
Per afzonderlijke verwerking of samenhangende verwerking is in de bijlage het doel dan wel het samenhangend doel geformuleerd.
Artikel 5 Rechtmatige grondslag voor verwerking
De rechtmatige grondslag voor de verwerking is gelegen in a ) de uitvoering van de overeenkomst van dienstverlening tussen Mobility
Backoffice en Afnemer en b ) de ondubbelzinnige toestemming die de Betrokkene aan Mobility Backoffice rechtstreeks dan wel via Afnemer
aan Mobility Backoffice heeft verleend.
Artikel 6 Categorieën van personen van wie persoonsgegevens worden verwerkt
Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlage aangegeven van welke categorieën van personen
persoonsgegevens worden verwerkt.
Artikel 7 Soorten van opgenomen persoonsgegevens en de wijze van verkrijging
1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlage aangegeven welke soorten van persoonsgegevens ten
hoogste worden verwerkt en op welke wijze deze gegevens worden verkregen.
2. Persoonsgegevens worden zo veel mogelijk verzameld bij de Betrokkene zelf.
3. Persoonsgegevens worden niet verzameld bij derden zonder ondubbelzinnige toestemming van Betrokkene.
4. Persoonsgegevens worden in overeenstemming met de Wet op behoorlijke en zorgvuldige wijze verwerkt.
5. De Beheerder treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de persoonsgegevens.
Artikel 8 Verwijdering van opgenomen persoonsgegevens
1. Persoonsgegevens die niet langer voor het doel noodzakelijk zijn, worden zo spoedig mogelijk verwijderd.
2. Na beëindiging van de overeenkomst tot dienstverlening worden de gegevens maximaal zeven (7) jaar bewaard, tenzij de gegevens in
verband met wettelijke verplichtingen langer bewaard moeten blijven.
3. Verwijdering impliceert vernietiging of een zodanige bewerking dat het niet meer mogelijk is om de persoon te identificeren.
Onderdeel 3 RECHTSTREEKSE TOEGANG TOT EN VERSTREKKING VAN PERSOONSGEGEVENS
Artikel 9 Rechtstreekse toegang tot persoonsgegevens
1. Uitsluitend de Beheerder en de door de Beheerder aangewezen Gebruikers hebben, met het oog op de dagelijkse zorg voor het goed
functioneren van de verwerking, rechtstreekse toegang tot Persoonsgegevens.
2. De personen, bedoeld onder lid 1, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht
geldt, zijn verplicht tot geheimhouding van de Persoonsgegevens, waarvan zij kennisnemen, behoudens voor zover enig wettelijk
voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
Artikel 10 Technische werkzaamheden
Personen die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle Persoonsgegevens
waarvan zij kennis hebben kunnen nemen.
Artikel 11 Verstrekking van Persoonsgegevens
1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlage aangegeven aan welke personen binnen en buiten de
organisatie welke Persoonsgegevens kunnen worden verstrekt, gelet op het doel en de grondslag van de verwerking.
2. De Verantwoordelijke informeert derden, die op vastgestelde wijze bepaalde Persoonsgegevens verwerken, over de daaraan gestelde
voorwaarden en beperkingen. De Verantwoordelijke is aansprakelijk voor de schade die de Betrokkene lijdt door onrechtmatig gebruik
door derden van door de Verantwoordelijk rechtmatig aan die derden verstrekte Persoonsgegevens, tenzij de schade niet aan
de Verantwoordelijke kan worden toegerekend.
Artikel 12 Verdere verwerking van Persoonsgegevens
1. De te verwerken Persoonsgegevens worden slechts verder verwerkt op een wijze die niet onverenigbaar is met het doel waarvoor ze
zijn verkregen. Daarbij wordt tenminste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen
van de verdere verwerking voor Betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van
de persoonlijke levenssfeer.
2. Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan
de Verantwoordelijke onderworpen is of wanneer dat geschiedt met ondubbelzinnige toestemming van de Betrokkene.
Onderdeel 4 PLICHTEN VAN VERANTWOORDELIJKE, BEHEERDER EN VERWERKER
Artikel 13 Beveiliging
1. De Verantwoordelijke stelt in een beveiligingsplan richtlijnen op voor de technische en organisatorische beveiliging van de verwerking
van Persoonsgegevens. De Verantwoordelijke doet het vastgestelde beveiligingsplan toekomen aan de Beheerder. De Beheerder
verwerkt overeenkomstig de richtlijnen van dit plan.
2. Indien gebruik wordt gemaakt van de diensten van een Verwerker, legt de Verantwoordelijke de wederzijdse verplichtingen met betrekking
tot de omgang met Persoonsgegevens schriftelijk in een overeenkomst met die Verwerker vast. De Verwerker verwerkt overeenkomstig
diens overeengekomen verplichtingen.
Artikel 14 Informatieplicht
1. Indien de Verantwoordelijke Persoonsgegevens verkrijgt bij Betrokkene zelf, deelt hij Betrokkene vóór het moment van verkrijging
zijn identiteit mee alsmede het doel van de verwerking waarvoor de gegevens zijn bestemd, tenzij de Betrokkene hiervan reeds op de
hoogte is.
2. Indien de Verantwoordelijke Persoonsgegevens verkrijgt van een derde of door observatie van Betrokkene, deelt de Verantwoordelijke
de Betrokkene op het moment van vastlegging zijn identiteit mee alsmede het doel van de verwerking waarvoor de gegevens zijn
bestemd.
3. De Verantwoordelijke verstrek de in de leden 1 en 2 bedoelde informatie op een zodanige wijze dat de Betrokkene er daadwerkelijk
de beschikking over krijgt.
Onderdeel 5 RECHTEN VAN DE BETROKKENE
Artikel 15 Algemeen
1. Iedere Betrokkene heeft recht op informatie, inzage en correctie alsmede recht van verzet, zoals geformuleerd in de volgende artikelen
van dit onderdeel. Het uitoefenen van rechten kan geschieden met inachtneming van het navolgende.
2. Aan het uitoefenen van rechten zijn voor de Betrokkene geen kosten verbonden.
3. Betrokkene kan zich bij uitoefening van die rechten laten bijstaan.
4. De beheerder wijst Betrokkene op de mogelijkheden van rechtsbescherming en toezicht en de rol daarin van de Autoriteit Persoonsgegevens.
Artikel 16 Recht op informatie
De Verantwoordelijke informeert Betrokkene op diens verzoek tijdig en volledig over de doelen waarvoor en de manieren waarop Persoonsgegevens
van hem worden verwerkt, over de regels die daarvoor gelden, over de rechten die Betrokkene ten aanzien daarvan heeft
en hoe hij die kan uitoefenen. Daarbij wordt Betrokkene ook geïnformeerd over de plaats waar de documenten, waarin bedoelde regels
zijn opgenomen, kunnen worden ingezien dan wel opgevraagd.
Artikel 17 Recht op inzage
1. De Beheerder deelt eenieder op diens verzoek, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek,
schriftelijk mee of hem betreffende Persoonsgegevens worden verwerkt.
2. Indien dat het geval is, verstrekt de Beheerder de verzoeker desgewenst, zo spoedig mogelijk, maar uiterlijk binnen vier weken na
ontvangst van het verzoek, schriftelijk een volledig overzicht daarvan met informatie over het doel of de doelen van de gegevensverwerking,
de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers
van de gegevens alsmede de herkomst van de gegevens. Indien de verzoeker dat wenst, verstrekt de beheerder tevens informatie
over de systematiek van de geautomatiseerde gegevensverwerking.
3. De verzoeker heeft recht op een kopie van de gegevens die over hem zijn vastgelegd. Hij hoeft hiervoor niet te betalen.
4. Indien een gewichtig belang van de verzoeker dit eist, voldoet de Beheerder aan het verzoek in een andere dan schriftelijke vorm, die
aan dat belang is aangepast.
5. De Beheerder draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
6. De Beheerder kan weigeren aan een verzoek te voldoen, indien en voor zover dit noodzakelijk is in verband met:
• de opsporing van en vervolging van strafbare feiten;
• gewichtige belangen van anderen dan de verzoeker, de Verantwoordelijke daaronder begrepen.
Artikel 18 Recht op correctie en vergetelheid: verbetering, aanvulling, verwijdering en/of afscherming
1. Op schriftelijk verzoek van een Betrokkene gaat de Beheerder over tot verbetering, aanvulling, of afscherming van de met betrekking
tot de verzoeker verwerkte Persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking
onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het
verzoek behelst de aan te brengen wijzigingen.
2. De Beheerder deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee
of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, omkleedt hij dat met redenen.
3. De Beheerder draagt er zorg voor dat een beslissing tot verbetering, aanvulling of afscherming zo spoedig mogelijk wordt uitgevoerd.
4. De Beheerder informeert in geval van verbetering, aanvulling afscherming derden daarover en verzekert zich ervan dat die derden
hun bestanden dienovereenkomstig aanpassen. De Beheerder deelt de verzoeker mee aan welke derden hij die informatie heeft verstrekt.
5. De Beheerder verwijdert gegevens van een Betrokkene op diens eerste verzoek indien:
• de persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze zijn verzameld;
• Betrokkene zijn toestemming intrekt;
• Betrokkene bezwaar maakt tegen verwerking in de vorm van direct marketing of de rechten van Betrokkene zwaarder wegen
dan het belang van de Beheerder;
• de Beheerder de gegevens onrechtmatig verwerkt;
• de wettelijke bewaartermijn verlopen is;
• de Betrokkene jonger dan 16 jaar is en gegevens zijn verzameld via een app of website.
Artikel 19 Recht op dataportabiliteit
1. Op schriftelijk verzoek van een Betrokkene verstrekt Beheerder zijn gegevens in een vorm die het voor Betrokkene makkelijk
maakt om zijn gegevens te hergebruiken en door te geven aan een andere organisatie. De gegevens worden in een gestructureerd,
veelgebruikt en machine leesbaar formaat vertrekt.
Artikel 20 Recht van verzet
1. Indien de rechtmatige grondslag voor een bepaalde verwerking is gelegen in het gerechtvaardigde belang van de Verantwoordelijke,
kan de Betrokkene bij de Beheerder te allen tijde bezwaar aantekenen tegen die verwerking in verband met zijn bijzondere persoonlijke
omstandigheden.
2. Binnen vier weken na ontvangst van het bezwaar beoordeelt de Verantwoordelijke of dit verzet gerechtvaardigd is.
3. De Beheerder beëindigt de verwerking terstond, indien de Verantwoordelijke het verzet gerechtvaardigd acht. Verzet tegen de verwerking
voor commerciële of charitatieve doelen is altijd gerechtvaardigd.
Artikel 21 Klachtenprocedure
1. Elke Betrokkene heeft het recht bij de Verantwoordelijke of bij de Autoriteit Persoonsgegevens een klacht in te dienen
• tegen een beslissing op een verzoek als bedoeld in de artikelen 16, 17 en18;
• tegen een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel 19;
• tegen de wijze waarop de Verantwoordelijke, de beheerder of de Verwerker de in dit reglement opgenomen regels uitvoert.
2. De Verantwoordelijke reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst, schriftelijk en met redenen omkleed
op de klacht.
3. Betrokkene kan zich bij de indiening en behandeling van zijn klacht laten bijstaan.
4. De Verantwoordelijke kan het advies van de Autoriteit Persoonsgegevens inwinnen.
5. De Verantwoordelijke kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of gedeeltelijk terecht.
6. Indien de Verantwoordelijke de klacht niet of slechts gedeeltelijk honoreert, kan de Betrokkene een klacht indienen bij de Autoriteit
Persoonsgegevens. De Verantwoordelijke informeert de Betrokkene, wiens klacht hij niet of slechts gedeeltelijk honoreert, over die
mogelijkheid en over het adres van de Autoriteit.
7. Indien de Verantwoordelijke oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om:
• (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder a.): het verzoek van Betrokkene alsnog geheel of gedeeltelijk
te honoreren;
• (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder b.): het verzet van Betrokkene alsnog te honoreren;
• (indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c.): alsnog uitvoering te geven aan de in het
reglement opgenomen regels, hetgeen kan inhouden een handelen of een nalaten, waaronder begrepen een herstellen of een
stoppen;
• de schade die Betrokkene heeft geleden, waaronder eventuele immateriële schade, te vergoeden.
8. De Verantwoordelijke maakt zijn oordeel schriftelijk aan Betrokkene kenbaar.
9. Indien de Verantwoordelijke niet binnen zes weken na het indienen van de klacht reageert, kan Betrokkene een klacht indienen bij de
Autoriteit Persoonsgegevens.
Artikel 22 Toezicht op de naleving
De Autoriteit Persoonsgegevens is op grond van de wet bevoegd toe te zien op de naleving van de in dit reglement krachtens de wet opgenomen
bepalingen.
Onderdeel 6 OVERIGE BEPALINGEN
Artikel 23 Scholing
De Verantwoordelijke draagt zorg voor een regelmatige scholing van de Beheerder en de Gebruikers om te verzekeren dat ze de processen
van persoonsverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.
Artikel 24 Onvoorzien
In gevallen waarin het reglement niet voorziet beslist de Verantwoordelijke.
Artikel 25 Wijzigingen en aanvullingen
Wijzigingen in doel van de verwerking en in soort en inhoud, gebruik en wijze van verkrijging van de Persoonsgegevens dienen te leiden tot
wijziging van dit reglement.
Artikel 26 Inwerkingtreding en citeertitel
1. Dit reglement treedt in werking op 25 mei 2018.
2. Dit reglement kan worden aangehaald als Privacyreglement Mobility Backoffice 18-1
Bijlagen
Bijlage 1. Lijst met verwerkte (categorieën van) persoonsgegevens
Bijlage 2: Overzicht verwerkingen en -doelen met wijze van vertrekking en vermelding van de betreffende Beheerder en Verwerker
Bijlage 1 Lijst met verwerkte (categorieën van) persoonsgegevens
1. Insightly CRM Platform: | 2. Webshop en Mailchimp | 3. Uw Deelfiets | 4. Livemobility app/desktop: |
---|---|---|---|
Bedrijfsnaam Bedrijfsadres Type bedrijf Aantal medewerkers bedrijf Naam contactpersoon e-mailadres Telefoonnummer Datum opname in systeem Beheerder contact Soort overeenkomst Link met andere contacten Link met organisaties Link met prospects Link met deelnemers Contacthistorie e-mails Notities Bestanden Gebeurtenissen |
Voornaam Achternaam e-mailadres Bedrijfsadres Woonadres Modaliteit Aantal spitspunten Datum laatste gebruik app |
Voornaam Achternaam e-mailadres Telefoonnummer |
Voornaam Achternaam Gebruikersnaam Wachtwoord Telefoonnummer Huisadres Bedrijfsnaam Bedrijfsadres Bedrijfscode e-mailadres Geolocatie Modaliteit Kenteken auto Type treinabonnement Ritnummer Ritsoort Datum vertrek Vertrektijd Datum aankomst Aankomsttijd Vertreklocatie Aankomstlocatie Weeknummer Status rit Spitsmijding j/n Afgelegde km's Duur rit Bespaarde CO2 Kosten Verbrande Kcal Aantal spitspunten |
Bijlage 2 Overzicht verwerkingen en -doelen met wijze van vertrekking en vermelding van de betreffende Beheerder en Verwerker
Verwerking | Verwerkingsdoel | Wijze van verstrekking | Beheerder/Serviceprovider | Verwerker |
---|---|---|---|---|
Insightly CRM | Vastlegging van gegevens en contacthistorie m.b.t. prospectbedrijven c.q. deelnemende bedrijven en partnerbedrijven aan Beter op weg |
Schriftelijke rapportages t.b.v. Opdrachtgevers, interne overzichten |
Insightly Inc. San Francisco, Ca. Servicedesk en Accountmanagement Beter op weg |
Mobility Backoffice BV Botterstraat 47 1271 XL HUIZEN |
Livemobility app en desktop |
Vastlegging van verplaatsingsgegevens van deelnemers aan Beter op weg t.b.v. het vaststellen van gerealiseerde spitsmijdingen, vergaarde spitspunten en het berekenen van bespaarde CO2, gemaakte kosten en verbrande Kcal |
Digitale rapportages aan individuele deelnemers in de vorm van periodieke overzichten en dashboards |
Mobility Backoffice BV Botterstraat 47 1271 XL HUIZEN |
Livemobility Projects B.V. Prins Hendrikkade 48G , 1012 AC Amsterdam |
Webshop Beter op weg |
Presenteren van goederen en diensten partnerbedrijven, het laten bestellen van deze goederen en diensten en het bijhouden c.q. afboeken van de verzamelde spitspunten |
Vouchers welke kunnen worden ingewisseld bij de partnerbedrijven |
Servicedesk en Communicatie Beter op weg servicedesk@beteropweg.com |
Livemobility Projects B.V. Prins Hendrikkade 48G , 1012 AC Amsterdam |
Mailchimp | Het verzenden van gepersonaliseerde e-mails en nieuwsbrieven aan deelnemers van Beter op weg |
Via een webapplicatie van een verwerker |
Livemobility Projects B.V. Prins Hendrikkade 48G , 1012 AC Amsterdam |
Mailchimp Inc. Atlanta, Georgia |
Uw Deelfiets | Vastlegging van gegevens, reserveringen en verhuringen van gebruikers van deelfietsen |
Via een app van een verwerker |
2move4u Elisa van Calcarstraat 22135LP Hoofddorp |
Donkey Republic Copenhagen, Denmark |
U kunt de privacyverklaring en de verwerkersovereenkomst natuurlijk ook downloaden