Privacy Verklaring

 

Privacybeleid Keystone Accountants B.V. (versie 1.0 – maart 2018)

Wie is Keystone Accountants B.V.

Keystone Accountants B.V. (hierna te noemen Keystone) is gevestigd en kantoorhoudende te Druten, Hooistraat 32 (6651 AD DRUTEN).

Wie is de klant?

De klant is degene met wie Keystone een overeenkomst voor dienstverlening is aangegaan, waarvoor privacygevoelige gegevens van de klant, diens familie of dienst medewerkers worden verwerkt.

U bent geen klant maar wij hebben wel persoonlijke gegevens van u?

Naast onze klanten verwerken wij ook persoonlijke gegevens van leads, prospects, leveranciers, relaties, sollicitanten en uiteraard onze eigen medewerkers. In zijn algemeenheid geldt dat de bepalingen die hieronder staan, ook van toepassing zijn op de persoonlijke gegevens die wij verwerken voor deze personen. Afwijkende bepalingen voor deze personen komen verder in deze verklaring aan de orde.

Wie is verantwoordelijk voor de persoonsgegevens in de zin van de AVG?

Keystone verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. Als wij de persoonsgegevens alleen verwerken zonder daarbij zelf te bepalen wat er mee gebeurt, dan blijft de klant verantwoordelijk voor de persoonsgegevens. De klant bepaalt dan voor welk doel en met welke middelen de persoonsgegevens worden verwerkt. In de meeste gevallen is Keystone verantwoordelijk voor de persoonsgegevens van de klant. Voor zover wij persoonsgegevens laten verwerken via een derde, bijvoorbeeld een softwareleverancier, is de derde sub-verwerker.

Welke persoonsgegevens verwerken wij?

In de meeste gevallen zijn dit privacygevoelige persoonsgegevens. Dit zijn gegevens als:

  • Naam, voornaam, voorletters, titulatuur, geslacht
  • Adres en woonplaats
  • E-mailadres en telefoonnummer
  • Geboortedata van de klant en diens gezin
  • BSN nummer
  • Inkomensgegevens en andere gegevens over de financiële en economische situatie van de klant

Voor het (laten) verzorgen van belastingaangiften en toeslagen en (subsidie)aanvragen is Keystone vanuit de wet verplicht het BSN-nummer te verwerken. De Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht Keystone om de identiteit van de klant vast te stellen en een bewijs daarvan te bewaren. Met deze gegevens wordt uiterst zorgvuldig omgegaan. Vertrouwelijkheid en geheimhouding naar derden is hiervoor het uitgangspunt. Dit geldt uiteraard ook voor inloggegevens zoals gebruikersnamen en wachtwoorden. De technische en organisatorische beveiliging is hierop afgestemd.

Wij verwerken geen gegevens over bijvoorbeeld ras, politieke opvattingen, geloofsovertuiging en medische informatie. Mocht er om een bijzondere reden noodzaak zijn dit wel te doen, dan zullen wij dit specifiek met de klant opnemen in de opdrachtbevestiging.

Hoe verwerken wij persoonsgegevens?

Wij verwerken persoonsgegevens uitsluitend op de manier die wij met de klant hebben afgesproken in de opdrachtbevestiging. Dit verwerken doen wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze opdracht. De verwerking vindt plaats volgens schriftelijke instructies van de klant, tenzij wij op grond van de wet- of regelgeving verplicht zijn anders te handelen. Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij de klant daarvan onmiddellijk in kennis. Ingeval wij verantwoordelijke zijn, zullen wij de gegevens verwerken zoals wij dat juist achten als deskundige en in het licht van de overeengekomen opdracht. Als wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften of de voor de medewerkers geldende gedrags- en beroepsregels met betrekking tot verwerking van persoonsgegevens, dan leven wij deze verplichtingen na.

De klant is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient de klant vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens. Wij zorgen ervoor dat wij voldoen aan de op ons van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens.

Wij zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte (EU) tenzij wij hierover met de klant andere afspraken hebben gemaakt die schriftelijk zijn vastgelegd.

Wij zorgen ervoor dat alleen onze medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop zijn eventuele sub-verwerkers. Wij beperken de toegang door onze medewerkers, waar mogelijk, tot die gegevens die noodzakelijk zijn voor hun werkzaamheden. Wij zorgen er ook voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

Wij kunnen andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de opdracht, bijvoorbeeld als deze sub-verwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van sub-verwerkers tot gevolg heeft dat deze persoonsgegevens gaan verwerken dan zullen wij die subverwerkers (schriftelijk) dezelfde verplichtingen opleggen. Met het verlenen van een opdracht aan Keystone wordt instemming verleend voor het inschakelen van eventuele sub-verwerkers.

Inzage, wijziging of verwijdering van persoonsgegevens

Voor zover mogelijk voldoen wij aan verzoeken om inzage of wijziging of verwijdering van persoonsgegevens. Het verwijderen van persoonsgegevens is een recht vanuit de AVG, maar wij hebben te maken met wetgeving ten aanzien van bewaarplicht van gegevens en die wetgeving gaat voor. De wettelijke bewaartermijn is 7 jaar. Mocht het voldoen aan verzoeken kosten met zich meebrengen voor ons of de sub-verwerker, dan kunnen wij die kosten in rekening brengen.

Als wij een verzoek krijgen om persoonsgegevens ter beschikking te stellen dan doen wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen wij eerst of wij van mening zijn dat het verzoek bindend is, of dat wij op grond van gedrags- en beroepsregels aan het verzoek moeten voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen wij de klant op de hoogte van het verzoek.

Wij proberen dat op zodanig korte termijn te doen, dat het voor de klant mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als wij de klant op de hoogte mogen stellen dan zullen wij ook met de klant overleggen over de wijze waarop en welke gegevens wij ter beschikking zullen stellen.

Beveiligingsmaatregelen

Wij hebben passende beveiligingsmaatregelen genomen met een beveiligingsniveau dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Keystone zal periodiek intern audits houden en steekproefsgewijs controles uitvoeren.

Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Als de klant de manier waarop wij de beveiligingsmaatregelen naleven wil laten inspecteren door een onafhankelijk deskundige, dan kan hiertoe een verzoek worden gedaan. Wij zullen hierover samen met de klant afspraken maken. De kosten van een inspectie c.q. audit zijn voor rekening van de klant. De klant stelt aan ons een kopie van het inspectierapport ter beschikking.

Datalekken

Klanten, medewerkers, sub-verwerkers en derden kunnen incidenten die mogelijk een datalek zijn melden bij het e-mailadres van Keystone. Het e-mail adres is: info@keystoneaccountants.nl

Keystone pakt meldingen zo spoedig mogelijk op voor nader onderzoek en neemt die maatregelen die nodig zijn om verdere schade voor betrokkenen en Keystone te voorkomen. Zoals de wet vereist wordt een datalek dat ernstige gevolgen kan hebben binnen 72 uur gemeld bij de Autoriteit persoonsgegevens en bij de persoon / personen wiens persoonsgegevens in het datalek zijn betrokken.

Geheimhoudingsplicht

Wij houden verkregen persoonsgegevens geheim en verplichten onze medewerkers en eventuele sub-verwerkers ook tot geheimhouding. Medewerkers nemen met betrekking tot de aan hen toevertrouwde persoonsgegevens bovendien geheimhouding in acht zoals deze geldt op basis van hun eventuele gedrags-en beroepsregels.

Aansprakelijkheid

De klant staat er voor in dat de verwerking van persoonsgegevens conform onze opdrachtbevestiging is en dat deze bepaling niet onrechtmatig is en geen inbreuk maakt op de rechten van andere betrokkenen zoals familie of medewerkers.