Privacy Policy

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), of in het Engels: de General Data Protection Regulation (GDPR), van kracht. Vanaf dat moment geldt dezelfde privacywetgeving voor alle landen die deel uitmaken van de Europese Unie (EU). Centagon B.V. verplicht zich tot naleving van deze verordening en geeft hieraan uiting door middel van deze privacy statement.

Deze verklaring biedt een toelichting over hoe

Centagon B.V.
Provincialeweg 66,
5503 HH Veldhoven
Nederland

(hierna vermeld als 'wij', 'ons' of 'Centagon') verwerkt van zijn webbezoekers en welke rechten u heeft met betrekking tot uw persoonlijke gegevens (hierna vermeld als: 'u' en 'uw data') via de website.

De DDMA (Data Driven Marketing Association, Amsterdam 2010) is dé toonaangevende branchevereniging voor marketing en data. Wanneer een lid van de DDMA voldoet aan de Europese privacy-wetgeving (AVG, 25 mei 2018) en werkt volgens de opgestelde gedragscodes mag het Privacy Waarborg keurmerk worden gevoerd. Dit waarborg garandeert dat de leden zorgvuldig omgaan met persoonsgegevens.

Uit de audit-procedure van de DDMA Privacy Autoriteit zijn rapportages voortgekomen (DDMA Privacy & Security check) waaruit blijkt dat Centagon B.V. vanaf mei 2018 gerechtigd is het Privacy Waarborg keurmerk te voeren.

Dit waarborg biedt de belangrijke garantie voor alle opdrachtgevers van Centagon B.V. dat de verwerking van persoonsgegevens plaatsvindt conform de geldende wetgeving en binnen de strikte gedragscodes van de DDMA.

Voor vragen of aanvullende informatie omtrent het Privacy Waarborg keurmerk en/of de Algemene Verordening Gegevensbescherming (AVG) kunt u contact opnemen met Walter van Houten.

Centagon B.V. informeert alle werknemers die direct of indirect toegang hebben tot persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG) en gaat met elke individuele medewerker een formele overeenkomst aan waarin deze verklaart op de hoogte te zijn van de richtlijnen zoals gesteld in de AVG en zoals geformuleerd in deze Privacy Policy en in alle voorkomende situaties overeenkomstig te handelen met deze richtlijnen.

Onder een ‘betrokkene’ wordt de persoon verstaan van wie persoonsgegevens worden opgeslagen en/of verwerkt.

2.1 Recht op data-portabiliteit (Artikel 20 AVG)

Betrokken hebben recht op overdraagbaarheid van digitale persoonsgegevens. Op eerste verzoek zullen verzamelde persoonsgegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat worden verstrekt.

2.2 Recht op vergetelheid (Artikel 17 AVG)

Onder navolgende voorwaarden hebben betrokkenen recht om te vragen om het wissen van verzamelde persoonsgegevens:

1. Niet meer nodig Centagon B.V. heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor Centagon B.V. ze heeft verzameld of waarvoor Centagon B.V. ze verwerkt

2. Intrekken toestemming De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan Centagon B.V. voor het gebruik van zijn gegevens, maar trekt die toestemming nu in

3. Bezwaar De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van Centagon B.V. om de persoonsgegevens te verwerken.

4. Onrechtmatige verwerking Centagon B.V. verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking

5. Wettelijk bepaalde bewaartermijn Centagon B.V. is wettelijk verplicht om de gegevens na bepaalde tijd te wissen

6. Kinderen De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website.

Het recht op vergetelheid is niet van toepassing wanneer:

• de verwerking noodzakelijk is om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn
• Centagon B.V. de gegevens verwerkt omdat er een wettelijke verplichting is om dat te doen
• Centagon B.V. de gegevens verwerkt om om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen
• Centagon B.V. de gegevens verwerkt voor een taak van algemeen belang op het gebied van de volksgezondheid
• Centagon B.V. de gegevens in het algemeen belang dient te archiveren
• de gegevens noodzakelijk zijn voor een rechtsvordering.

2.3 Recht op inzage (Artikel 15 AVG)

Bij een verzoek om inzage van persoongegevens zal Centagon B.V. betrokkenen informeren omtrent:

de reden waarom Centagon B.V. bepaalde gegevens worden verzameld en verwerkt welke soorten persoonsgevens Centagon B.V. verzamelt aan welke organisaties Centagon B.V. de persoonsgegevens doorgeeft, ook aan organisaties in andere landen of aan internationale organisaties (indien van toepassing) de termijn waarbinnen Centagon B.V. de persoonsgegevens bewaart en de criteria die Centagon B.V hanteert om een bewaartermijn te bepalen de privacyrechten die betrokkene heeft; het recht om persoonsgegevens te wissen, het recht tot het verzoek om minder persoonsgegevens te verwerken en het recht om bezwaar te maken als Centagon B.V. persoonsgegevens verwerkt het recht dat betrokkene heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens van welke organisatie Centagon B.V. persoonsgegevens heeft ontvangen wanneer deze niet door Centagon B.V. zijn verzameld (indien van toepassing) op basis van welke logica Centagon B.V. een geautomatiseerd besluit over een betrokkene neemt.

2.4 Recht op rectificatie en aanvulling (Artikel 16 AVG)

Centagon B.V. draagt de verantwoordelijkheid om persoonsgegevens die worden verwerkt juist zijn. Betrokken hebben het recht persoonsgegevens te rectificeren of aan te vullen.

Centagon B.V. zal op eerste verzoek persoonsgegevens rectificeren en/of aanvullen wanneer betrokkene aannemelijk maakt dat deze gegegevens incorrect en/of incompleet zijn Centagon B.V. zal aanpassingen en/of aanvullingen doorgeven aan andere organisaties aan wie betreffende persoonsgegevens zijn verstrekt (indien van toepassing) Centagon B.V. zal betrokkene informeren aan welke andere organisaties rectificaties en/of aanvullingen op persoonsgegevens zijn verstrekt (indien van toepassing).

2.5 Recht op beperking van verwerking (Artikel 18 AVG)

Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:

Gegevens zijn mogelijk onjuist Wanneer betrokkenen aangeeft dat Centagon B.V. onjuiste persoonsgegevens verwerkt zullen deze gegevens niet worden verwerkt totdat Centagon B.V. een verificatie op de juistheid daarvan heeft uitgevoerd. De verwerking is onrechtmatig Centagon is niet gerechtigd bepaalde gegevens te verwerken maar betrokkene wil niet dat deze gegevens worden gewist Gegevens zijn niet meer nodig Centagon B.V. heeft de persoonsgegevens niet meer nodig voor het doel waarvoor ze zijn verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering (bijvoorbeeld een juridische procedure waarbij hij betrokken is) Betrokkene maakt bezwaar Wanneer een betrokkene bezwaar maakt tegen het verwerken van zijn persoonsgegevens zal Centagon B.V. verwerking van deze gegevens staken tenzij Centagon B.V. dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of de aangevoerde gronden voor verwerking zwaarder wegen zal Centagon B.V. de gegevens niet verwerken Betrokkene doet beroep Indien een betrokkene beroep doet op het recht van beperking van verwerking en betreffende persoonsgegevens zijn doorgegeven aan andere organisaties zal Centagon B.V. deze organisaties informeren omtrent het beroep en om een gelijke beperking van verwerking verzoeken (indien van toepassing) Centagon B.V. informeert Centagon B.V. zal betrokkene informeren aan welke andere organisaties een verzoek om beperkte verwerking van persoonsgegevens is verstrekt (indien van toepassing).

2.6 Recht op een menselijke blik

In voorkomende situaties kan het zijn dat Centagon B.V. een besluit neemt op basis van automatisch verwerkte gegevens, zoals bijvoorbeeld bij profilering. Indien dergelijke besluitvorming voor een betrokkene consequenties heeft bestaat het recht voor betrokkene om een nieuw besluit te eisen dat is gebaseerd op een menselijke, niet geautomatiseerde, beoordeling

2.7 Recht van bezwaar

• Indien Centagon B.V. persoonsgegevens verwerkt op basis van een algemeen of gerechtvaardigd belang heeft betrokkene het recht op bezwaar te maken tegen verwerking van diens gegevens.

• Indien een betrokkenen bezwaar maakt tegen het verwerken van diens gegevens zal Centagon B.V. verdere verwerking staken tenzij dwingende gerechtvaardigde gronden voor de verwerking kunnen worden aangevoerd die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene, of gronden die te maken hebben met een rechtsvordering. Tot het moment waarop duidelijk is of deze gronden dwingend gerechtvaardigd zijn zullen de gegevens niet worden verwerkt

• Indien persoonsgegevens worden gebruikt voor direct marketing heeft betrokkene het recht hiertegen bezwaar te maken. Dit geldt evenzeer in geval van profilering voor deze marketingdoeleinden. Indien betrokkenen bezwaar maakt tegen het verwerken van persoonsgegevens voor direct marketing zal Centagon B.V. deze verwerking direct staken

• Centagon B.V. zal betrokkene op het eerste moment van contact informeren over het recht op bezwaar. Deze informatie zal duidelijk en gescheiden van andere informatie worden aangeboden.

Wij hebben passende technische en organisatorische maatregelen getroffen om uw persoonlijke gegevens te beschermen tegen onopzettelijke of onwettelijke vernietiging of onopzettelijk verlies, aanpassing, ongeautoriseerde openbaring of toegang en tegen alle overige vormen van onwettelijke verwerking.

3.1 Informatieplicht

Centagon B.V. stelt zich ten doel, en is middels de AVG wettelijk verplicht, om nieuwe en bestaande betrokkenen duidelijk te informeren met welk doel persoonsgegevens worden verzameld en verwerkt.

Centagon B.V. publiceert deze Privacy Policy via haar eigen website (www.centagon.com) en via de website van Opptylab (www.opptylab.com) en biedt zodoende een volledig en actueel inzicht in de rechten van betrokkenen ten aanzien van het verzamelen en verwerken van persoonsgegevens. Eventueel kunnen in aanvulling daarop pop-ups worden getoond met een toestemmingsvraag

3.2 Verantwoordingsplicht

Centagon B.V. stelt zich ten doel, en is middels de AVG wettelijk verplicht, om aan te kunnen tonen dat het verwerken van persoonsgegevens voldoet aan belangrijkste beginselen van verwerking:

• rechtmatigheid
• transparantie
• doelbinding
• juistheid

Daarnaast draagt Centagon B.V. de verantwoording om de juiste technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen en deze inzichtelijk te maken op het moment dat de Autoriteit Persoonsgegevens daarom verzoekt. Centagon B.V. is niet verplicht, en zal geen, register van verwerkingsactiviteiten onderhouden met als onderbouwing de beoordelingen dat Centagon B.V. minder dan 250 werknemers in dienst heeft, de verwerking van persoonsgegevens niet incidenteel is, geen persoonsgegevens worden verwerkt die een hoog risico inhouden voor de rechten en vrijheden van betrokkenen van wie gegevens worden verzameld en verwerkt en geen persoonsgegevens worden verzameld en verwerkt die worden gerekend onder ‘bijzondere persoonsgegevens’ zoals godsdienst, gezondheid, politieke voorkeur en/of strafrechtelijke gegevens.

Centagon B.V. is niet verplicht tot, en zal geen, Data Protection Impact Assessment (DPIA) uitvoeren met als onderbouwing de beoordeling dat geen gegevens met een hoog privacyrisico worden verzameld of verwerkt. Onder gegevens met een hoog privacyrisico worden in dit verband gerekend het systematisch en uitvoerig evalueren van persoonlijke aspecten (w.o. profiling), het op grote schaal verwerken van bijzondere persoonsgegevens of het op grote schaal en systematisch volgen van mensen in een publiek toegankelijk gebied (zoals cameratoezicht).

Centagon B.V. heeft zich verplicht om bij het ontwerpen van diensten en producten een sterke focus te hebben op het beschermen van persoonsgegevens. Een belangrijk onderdeel daarvan is minimaliseren van de hoeveelheid persoonsgegevens die verzameld wordt tot een aard en omvang die het beoogde doel dient en zich in alle redelijkheid en billijkheid daarmee verhoudt. Een ander criterium dat wordt gerekend on Privacy by Design is het bepalen van de termijn waarbinnen de persoonsgegevens worden opgeslagen en het communiceren daarvan met betrokkene. Centagon geeft uiting aan het begrip Privacy by Default door bij elke ontwikkeling van een applicatie of de inrichting van een online campagne het uitgangsprincipe te hanteren waarbij uitsluitend die persoonsgegevens worden verzameld en verwerkt die voor een specifiek doel relevant zijn.

Centagon B.V. is geen publieke organisatie of overheidsinstantie en heeft geen kernactiviteit waarbij op grote schaal individuen worden gevolgd. Daardoor voldoet daarmee Centagon B.V. niet aan de criteria die de AVG stelt met betrekking tot de verplichting om een Functionaris voor Gegevensbescherming (FG) te benoemen.

Centagon B.V. verplicht zich tot het voldoen aan de meldplicht datalekken zoals deze per 1 januari 2016 geldt voor bedrijven en overheden. Wanneer Centagon B.V. een ernstig datalek ontdekt, of hierop wordt gewezen, zal direct een melding worden gedaan bij de Autoriteit Persoonsgegevens via het meldloket datalekken en bij de opdrachtgever. Centagon B.V. verwerkt datalekken en/of kwetsbaarheden conform de richtlijn die is beschreven in het document ‘Leidraad om te komen tot een praktijk van Responsible Disclosure’ van het N.C.S.C (National Cyber Security Centrum) / Ministerie van Veiligheid en Justitie:

7.1 Doelstelling Responsible Disclosure

Het doel van responsible disclosure is het bijdragen aan de veiligheid van ICT systemen en het beheersen van de kwetsbaarheid van ICT-systemen door kwetsbaarheden op verantwoorde wijze te melden en deze meldingen zorgvuldig af te handelen, zodat schade zo veel als mogelijk kan worden voorkomen of beperkt. Centraal bij het werken met responsible disclosure staat het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen. Bij responsible disclosure staat voorop dat partijen zich over en weer houden aan afspraken over het melden van de kwetsbaarheid en de omgang hiermee. Een partij die een responsible disclosure policy vaststelt kan zich bijvoorbeeld binden aan het principe om geen aangifte te doen als aan de volgens het beleid geldende spelregels wordt voldaan. Bij de praktijk van responsible disclosure zijn primair de melder en de organisatie, die eigenaar/beheerder van het systeem is, betrokken. Het is van belang om zo min mogelijk schakels te hebben tussen de persoon die de kwetsbaarheid meldt en de organisatie die verantwoordelijk is voor het oplossen van het probleem. De melder en de organisatie kunnen echter gezamenlijk besluiten om het Nationaal Cyber Security Centrum (NCSC) of andere partijen binnen de ICT-security-community in te lichten over de kwetsbaarheid, zeker bij een nog niet bekende kwetsbaarheid, om ook elders (vervolg)schade te voorkomen of te beperken.

7.2 Verantwoordelijkheden

Met het voeren van een beleid voor responsible disclosure wordt beoogd dat in gezamenlijkheid door melder en organisatie een bijdrage wordt geleverd aan het verminderen van kwetsbaarheden in informatiesystemen. De respectievelijke verantwoordelijkheden worden gedragen door Centagon B.V. en de melder. Het uitdragen van responsible disclosure begint bij - Centagon B.V. die eigenaar is van informatiesystemen. De eigenaar/leverancier is immers primair verantwoordelijk voor de informatiebeveiliging van deze systemen. Door het opstellen van een eigen beleid voor responsible disclosure maakt Centagon B.V. duidelijk op welke wijze zij wil omgaan met meldingen van kwetsbaarheden:

• Centagon B.V. maakt het laagdrempelig voor een melder om een melding te doen. Dit kan door een gestandaardiseerde wijze, bijvoorbeeld een online formulier, te gebruiken voor het doen van meldingen. Hierbij kan de organisatie de afweging maken om anonieme meldingen in ontvangst te nemen
• Centagon B.V. heeft voldoende capaciteit om adequaat op meldingen te kunnen reageren
• Centagon B.V. zal de melding over een kwetsbaarheid in ontvangst nemen en er zorg voor dragen dat deze zo snel mogelijk terecht komt bij de Security Officer
• Centagon B.V. zal een ontvangstbevestiging van de melding sturen naar de melder (tenzij anoniem en derhalve geen contactgegevens beschikbaar zijn). Vervolgens treden -Centagon B.V. en de melder in contact over het verdere proces.
• Centagon B.V. bepaalt in overleg met de melder of een bekendmaking zal plaatsvinden en zo ja op welke termijn. Een redelijke standaardtermijn die kan worden gehanteerd voor kwetsbaarheden in software is 60 dagen.
• Als een kwetsbaarheid niet of moeilijk op te lossen is, of indien er hoge kosten mee gemoeid zijn, kunnen melder en Centagon B.V. afspreken om de kwetsbaarheid niet openbaar te maken.
• Centagon B.V. houdt de melder en overige betrokkenen op de hoogte van de voortgang van het proces.
• Centagon B.V. kan in overleg met de melder afspreken om de bredere ICT-community te informeren over de kwetsbaarheid indien het aannemelijk is dat de kwetsbaarheid ook op andere plaatsen aanwezig is.

De spil in het kunnen voeren van een praktijk van responsible disclosure is de melder. De melder heeft op enigerlei wijze een kwetsbaarheid weten te constateren en wil bijdragen aan de veiligheid van informatiesystemen door deze kwetsbaarheid openbaar te maken en de kwetsbaarheid bij Centagon B.V. te laten verhelpen. Melders erkennen hiermee dat zij een belangrijke maatschappelijke verantwoordelijkheid hebben en nemen die door kwetsbaarheden op verantwoorde wijze te openbaren. Om tot een succesvolle praktijk van responsible disclosure te komen, gelden voor de melder de volgende bouwstenen:

• De melder is verantwoordelijk voor het eigen handelen en zorgt ervoor dat de melding primair bij de (systeem/informatie)eigenaar wordt gedaan.
• De melder zal een melding zo snel als mogelijk doen, om te voorkomen dat kwaadwillenden de kwetsbaarheid ook vinden en er misbruik van maken.
• De melder zal de melding op een vertrouwelijke manier bij de organisatie doen om te voorkomen dat anderen ook toegang kunnen krijgen tot deze informatie.
• De melder zal niet op onevenredige wijze handelen:
  • door gebruik te maken van social engineering om zich op die wijze toegang te verschaffen tot het systeem.
  • door een eigen backdoor in een informatiesysteem plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • door een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • door gegevens van het systeem te kopiëren, te wijzigen of te verwijderen.
  • door veranderingen in het systeem aan te brengen.
  • door herhaaldelijk toegang tot het systeem te verkrijgen of de toegang te delen met anderen.
  • door gebruik te maken van het zogeheten “bruteforcen” van toegang tot systemen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.
• Als melder en organisatie overeen komen dat de kwetsbaarheid openbaar wordt gemaakt dan maakt een melder het pas openbaar als alle betrokken organisaties goed zijn geïnformeerd en zij aangegeven hebben dat de kwetsbaarheid is opgelost, conform de gemaakte afspraken.

Het interne voorschrift luidt dat interne verwerkers van persoonsgegevens deze data uitsluitend mogen verwerken via het beveiligd netwerk en de beveiligde applicaties waarmee de data worden verwerkt. Het wordt hen strengste verboden persoonsgegevens op een andere wijze dan dat op te slaan (bijvoorbeeld PC, laptop, datadragers zoals USB-stick, CD-ROM/DVD of externe harddisk), te verzenden (bijvoorbeeld email, SharePoint, WeTransfer), kopiebestanden te maken of op enige wijze te verwerken waarbij de beveiliging van de persoonsgegevens in het geding zou kunnen komen.

Centagon heeft een protocol beschreven en dit intern gecommuniceerd waarin is vastgelegd hoe werknemers dienen te handelen in geval van verlies of diefstal van apparatuur en/of data.

Centagon B.V. verwerkt zelf en uitsluitend de verzamelde gegevens. In geen enkele situatie wordt deze gegevensverwerking uitbesteed aan een verwerker. Om die reden bestaat geen reden tot het opstellen, onderhouden en bekrachtigen van een verwerkersovereenkomst zoals bedoeld in Artikel 28, lid 3 van de AVG)

Centagon B.V. verwerkt zelf en uitsluitend de verzamelde gegevens. In geen enkele situatie wordt deze gegevensverwerking uitbesteed aan een verwerker. Om die reden bestaat geen reden tot het opstellen, onderhouden en bekrachtigen van een verwerkersovereenkomst zoals bedoeld in Artikel 28, lid 3 van de AVG)

entagon B.V. handelt in lijn met de voorschriften zoals gesteld in de AVG door uitsluitend persoonsgegevens te verzamelen en te verwerken waarvoor een wettelijke grondslag bestaat. De verwerking van ‘bijzondere’ en ‘strafrechtelijke’ persoonsgegevens is daardoor in principe uitgesloten, tenzij sprake is van een wettelijke uitzondering. Centagon B.V. verwerkt uitsluitend persoonsgegevens conform de grondslagen zoals geformuleerd in de AVG, te weten:

De betrokken persoon heeft toestemming verleend; de toestemming is vrijelijk gegeven door betrokkene, er is ondubbelzinnig toestemming verleend, betrokkene is geïnformeerd over de identiteit van de gegevensverwerkende organisatie en over het doel waarvoor de toestemming wordt gevraagd, er is helderheid over welke persoongegevens worden verzameld en gebruikt, betrokkene is geïnformeerd over het recht de toestemming weer in te trekken. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting De gegevensverwerking is noodzakelijk ter bescherming van vitale belangen De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Centagon B.V. heeft een informatiebeveiligingsbeleid beschreven en geeft hieraan uitvoering. In geval van aangetoonde relevantie kan hierin op verzoek inzicht worden geboden.

Daarnaast heeft Centagon B.V. een incidentmanagement response proces beschreven waaraan uitvoering wordt gegeven. Ook hierin kan, In geval van aangetoonde relevantie, op verzoek inzicht worden geboden.

Indien u vragen of klachten heeft verzoeken wij u vriendelijk contact met ons op te nemen..