Verwerkersovereenkomst
Gedragscode CMC Worldwide B.V. met betrekking tot het gegevensbeschermingsbeleid
INLEIDING
De bescherming van de persoonlijke data is uiterst belangrijk. CMC Worldwide B.V. (hierna genoemd CMC) wilt daarom haar klanten en debiteuren zoveel mogelijk informeren over haar gegevensbeschermingsbeleid welke zij toepast conform de Europese regelgeving AVG – Algemene verordening gegevensbescherming - ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). CMC verbindt zich ertoe de gegevens veilig, wettelijk en als een goede huisvader te beheren en te gebruiken, om zo een correcte behandeling van de dossiers te garanderen.
Hieronder wordt de informatie weergegeven over welke gegevens CMC verzamelt, waarom, hoelang en in welke mate betrokkenen hierover controle hebben.
1. DEFINITIE VAN “GEGEVENSVERWERKING”
De AVG geeft een definitie van zowel “verwerking” als van “persoonsgegevens”:
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Zoals de wet voorschrijft, verwerkt CMC geen gevoelige gegevens zoals onder andere gegevens over raciale of etnische afkomst, politieke opvattingen, seksuele voorkeuren en gezondheid.
De verwerkingsverantwoordelijke is CMC Worldwide B.V. (hierna weer CMC genoemd) statutaire gevestigd aan het Hanzeplein 11, 8017 JD, te Zwolle, Nederland. Zowel bij incasso na subrogatie, als bij incasso op mandaat bepaalt CMC zelf welke gegevens zij verwerkt, waarbij zij zelf gedurende een mandaat gegevens verzamelen met haar eigen middelen en met een door CMC te bepalen doel (bv. een adresopzoeking uitvoeren om een sommatie te zenden, om een huisbezoek uit te voeren of een loonoverdracht te leggen; het verrijken van ontvangen data via zowel interne verrijking alsook via externe data quality partners; het zelf instaan voor het beantwoorden van vragen van betrokken debiteuren; het zelf afhandelen van klachten komende van overheidsinstanties of consumentenorganisaties.
2. DE DOOR DEZE CODE BESCHERMDE PERSONEN
Deze gedragscode geldt voor zowel particuliere debiteuren alsook klanten van CMC voor zover het natuurlijke personen betreft. Dit betreft dus zowel consumentendebiteuren als zakelijke debiteuren als klanten, voor zover over natuurlijke personen gaat. Deze gedragscode is ook van toepassing wanneer er een bezoek wordt gebracht aan ons kantoor, bij adresbezoeken van onze mandatarissen, bij gebruik van onze websites en eventuele apps. CMC en de aan CMC gelieerde derde partijen zullen hun verplichtingen nakomen en de rechten van betrokkenen eerbiedigen telkens wanneer wij en/of onze partners gegevens verwerken.
3. FINALITEIT VAN DE GEGEVENSVERWERKING
CMC verwerkt enkel de persoonsgegevens die noodzakelijk zijn om het beoogde doel te realiseren. Wat invorderingsdossiers oftewel incassodossiers betreft, betreft dit de gegevens die noodzakelijk zijn om een vordering dienstig te innen, desgevallend via een insolventieprocedure dan wel gerechtelijke procedure (zoals adres en telefoonnummer van betrokkene of diens gemandateerde en bijvoorbeeld niet de uiterlijke kenmerken van iemand). Ook is de verwerking van een aantal gegevens verboden zoals m.b.t. de gezondheidstoestand van betrokkene: de enkele informatie opnemen dat iemand “gehospitaliseerd” is en daardoor tijdelijk een betaalafspraak niet kan nakomen of een ziekenhuisfactuur innen waarop voornamelijk betaalgegevens staan, kan wel; verwerken dat iemand lijdt aan een bepaalde ziekte is dan weer te concreet en kan niet.
Het gebruik ervan is -meer concreet- in volgende gevallen toegestaan:
- In het kader van de voorbereiding of uitvoering van een contract, zoals in het geval waarbij CMC gesubrogeerd wordt in de rechten en plichten van de oorspronkelijke schuldeiser. In dit geval treedt CMC in de rechten en plichten van de oorspronkelijke schuldeiser, waardoor deze zélf schuldeiser wordt;
- Om te voldoen aan de wettelijke bepalingen (in de ruime zin) waaraan CMC is onderworpen;
- Wanneer CMC daarvoor een gerechtvaardigd belang heeft, waar dit steeds proportioneel dient toegepast te worden. Een voorbeeld hiervan is het geval waarbij CMC een dossier op mandaat beheert. Een mandaat (ook volmacht of lastgeving genoemd) is een overeenkomst waarbij de opdrachtgever een persoon of bedrijf (CMC in dit geval) belast met het verrichten van rechtshandelingen (bijvoorbeeld het afsluiten van betalingsregeling m.b.t een vordering van de opdrachtgever-schuldeiser).
- Wanneer CMC toestemming heeft gekregen om de gegevens op te slaan en/of te verwerken.
4. WIJZE WAAROP DE GEGEVENS BEVEILIGD WORDEN
- CMC leidt haar medewerkers op om correct om te gaan met vertrouwelijke gegevens.
- Ook wordt bij privacygevoelige projecten een inschatting gemaakt op het vlak van veiligheid en de bescherming van persoonsgegevens.
- Voor het informatiebeveiligingsbeleid zijn specifieke personen bevoegd.
- CMC doet beroep op interne en/of externe gespecialiseerde partners die instaan voor de veiligheid van haar netwerk, infrastructuur en informatiesystemen. Ook gebruikt CMC technische en organisatorische maatregelen om persoonsgegevens te beschermen, zoals: beveiliging met een password, firewalls, antivirus, intrusie- en anomaliedetectie en toegangscontroles voor haar werknemers.
- In het geval er beroep wordt gedaan op een verwerker van persoonsgegevens (bijvoorbeeld een zelfstandige of bedrijf die (huis)bezoeken verricht, een IT-support onderneming) dan zal CMC een verwerkingsovereenkomst aangaan met de betreffende verwerker, waarin vermeld staat dat de verwerker enkel zal handelen na instructie van CMC en aan dezelfde verplichtingen onderworpen is.
- Mocht er zich een inbreuk voordoen op de verwerking van persoonsgegevens van een betrokkene, dewelke waarschijnlijk een hoog risico inhoudt voor deze zijn/haar rechten en vrijheden, dan zal CMC, als verwerkingsverantwoordelijke, de betrokkene -in een duidelijke en eenvoudig begrijpbare taal- informeren over de aard van de inbreuk, de waarschijnlijke gevolgen ervan alsook over de getroffen of nog te nemen maatregelen en het contactpunt waar meer informatie kan verkregen worden. In dit geval, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Gegevensbeschermingsautoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
- CMC hanteert een risico gebaseerde benadering: dit houdt in dat zij beschermende maatregelen neemt in verhouding met het risiconiveau van de gegevensverwerkingsactiviteiten.
5. GEGEVENSBESCHERMINGSEFFECTBEOORDELING
Wanneer een voorgenomen verwerking van persoonsgegevens gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, wordt er een voorafgaande gegevensbeschermingseffectbeoordeling (DPIA genoemd, naar “data protection impact assessment”) uitgevoerd.
Het gebruik van nieuwe technologieën kan een aanwijzing zijn dat er weleens sprake zou kunnen zijn van een dergelijk hoog risico. Dit is temeer het geval indien CMC een verschillende behandeling (bijvoorbeeld. incassotrajecten; aanmaansystemen) ontwikkelt dewelke gelinkt zijn aan een groep van personen (bijvoorbeeld verschillend incassotraject naar gelang van de regio of leeftijd van betrokkenen of antecedenten bij deze of gene invorderingsmaatschappij of het al dan niet voordien hebben doorlopen van een insolventieprocedure).
Zulke gegevensbeschermingseffectbeoordeling houdt meer bepaald in:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
- de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
- deze gedragscode wordt bij de gegevensbeschermingseffectbeoordeling in acht genomen.
6. COMMUNICATIE VAN GEGEVENS NAAR DERDEN TOE
CMC geeft geen persoonsgegevens door aan derden, tenzij :
- Dit nodig is voor de dienstverlening binnen het kader van haar doel (aanzuivering van het dossier). Voor sommige aspecten van CMC’s diensten wordt gewerkt met derde partijen. Hierbij moet gedacht worden aan externe IT-diensten die CMC’s informaticasysteem onderhouden, printing partners, mandatarissen die huisbezoeken verrichten of advocaten en gerechtsdeurwaarders waarop CMC een beroep kan doen. CMC ziet erop toe dat deze derde partijen, net zoals CMC, de gegevens veilig, respectvol en als goede huisvader beheren. Bovendien vallen zij eveneens onder hun respectievelijke deontologieën.
- Er een wettelijke verplichting is. Het meest voorkomende voorbeeld hiervan betreft de inbeslagname van stukken door overheidsinspecteurs die hiertoe gemachtigd zijn in het kader van onderzoeken naar de naleving van de wet.
- CMC de toelating ervoor heeft kregen. Een veel voorkomend geval betreft advocaten van betrokkenen (die wettelijk geacht worden een mandaat van betrokkene te hebben).
- Voor onderzoeken: In sommige gevallen gebruikt CMC anonieme gegevens voor onderzoek en desgevallend rapportering naar de overheid of voor persberichten. Deze gegevens zijn nooit terug te brengen naar een bepaald individu.
7. DE RECHTEN EN ACTIEMOGELIJKHEDEN VAN BETROKKENEN
Het recht van inzage en kopie
Betrokkenen hebben het recht op (gratis) inzage tot de gegevens die henzelf betreffen. Deze zijn opvraagbaar:
- Of CMC persoonsgegevens verwerkt;
- Waarvoor CMC die verwerkt;
- Welke categorieën van persoonsgegevens CMC verwerkt;
- Met welke categorieën van derden CMC persoonsgegevens deelt;
- Wat de oorsprong is van de verwerkte gegevens;
- Welke logica CMC gebruikt als zij bepaalde persoonsgegevens automatisch verwerken. Men kan het recht van inzage schriftelijk uitoefenen via een schrijven naar de verwerkingsverantwoordelijke. Om het recht van inzage uit te oefenen, en om elke ongeoorloofde openbaarmaking van persoonsgegevens te voorkomen, dient CMC een identiteitsbewijs te ontvangen. CMC vraagt dan ook om een kopie van de voorzijde van de identiteitskaart van aanvrager-betrokkene toe te voegen aan de aanvraag. CMC zal onverwijld, en ten laatste binnen 4 weken, op een verzoek van betrokkene reageren. Deze periode begint te lopen wanneer de aanvraag schriftelijk ontvangen werd en alle dienstige informatie om te voldoen aan de aanvraag in handen van de verwerkingsverantwoordelijke is. De verwerkingsverantwoordelijke verstrekt de betrokkene eveneens een kopie van de persoonsgegevens die worden verwerkt. Indien er enige reden is om aan te nemen dat de CMC de aanvraag niet correct behandelt, kan de directie van CMC geconsulteerd worden, dewelke toeziet op naleving van haar deontologie. De directie onderzoekt elke mogelijke klacht ten gronde. Nadat een klacht is geregistreerd, wordt een ontvangstbericht overgemaakt aan degene die ze heeft ingediend. Als blijkt dat de klacht terecht is, wordt CMC verzocht om een oplossing te bieden, die aan de klager wordt meegedeeld. Voor de volledigheid informeert CMC u dat, indien er niet gereageerd wordt op de aanvraag, er geweigerd wordt te reageren of indien het antwoord niet voldoet aan de verwachtingen, u steeds het recht heeft een klacht neer te leggen bij de Gegevensbeschermingsautoriteit, die dan zal tussenkomen.
Recht op verbetering, verwijdering en recht om niet uitsluitend te worden beoordeeld op basis van geautomatiseerde verwerking
Betrokkenen hebben het recht om onvolledige, foutieve, ongepaste of verouderde persoonsgegevens te laten verwijderen of wijzigen. Daarvoor kan CMC direct voor gecontacteerd worden. CMC zal deze informatie vervolgens, indien de aanvraag correct is, aanpassen of verwijderen. CMC zal waken over de bijwerking van gegevens van de betrokkenen, opdat deze actueel en correct blijven. Om gegevens actueel te houden, verzoeken wij aan betrokkenen om elke wijziging aan CMC te melden, zoals een verhuis of wijziging e-mailadres. Vaak betreft dit een verplichting die reeds in het onderliggend in te vorderen contract vervat ligt. De betrokkene heeft tenslotte in principe het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft.
8. REGISTER VAN DE VERWERKINGSACTIVITEITEN
CMC houdt een register bij van alle verwerkingsactiviteiten. In dit register wordt opgenomen: welke gegevens worden verwerkt, met welk doel deze gegevens worden verwerkt, wie de ontvangers van de gegevens zijn, waar ze bewaard worden, hoe ze beveiligd worden en welke het bewaartermijn is.
9. BEWAARTERMIJN VAN PERSOONSGEGEVENS
De persoonsgegevens worden enkel bijgehouden voor zover als, en zolang als, nodig voor het doel waarvoor ze verzameld werden (invordering van onbetaalde vorderingen). Daar de bevrijdende verjaring 5 jaar betreft (art. 3:310 BW) en dat in die periode zowel het dossier nog kan betwist worden als eventuele aansprakelijkheden, wordt in een maximale bewaartermijn van 20 jaar na aanzuivering of einde mandaat voorzien. De betrokkenen hebben, rekening houdend met de hierboven vermelde paragraaf, het recht op het wissen van gegevens indien het bewaren van de gegevens niet meer noodzakelijk is gelet op het doel van de verwerking, onrechtmatig is of indien dit dient te gebeuren op grond van een wettelijke plicht. Die gearchiveerde gegevens zijn gedurende die laatstgenoemde bewaarperiode slechts beperkt toegankelijk.
10. WEBSITES
CMC haar websites (cmcww.com, trustitsoftware.com, debiteurentool.be en aanverwanten) kunnen bezocht worden zonder persoonsgegevens mee te delen. In geval dat betrokkenen interageren over de status van hun dossier en zelfs betalingsfaciliteiten voorstellen, gebeurt dit dan enkel via individueel toegekende beveiligde codes.
11. CONTACT MET CMC
Contact opnemen met CMC kan schriftelijk, telefonisch, elektronisch of via de respectievelijke websites gebeuren. Recht van inzage van gegevens van betrokkene alsook verzoeken tot rechtzetting of verwijdering dienen schriftelijk te gebeuren zoals onder punt 7 vermeld.
12. CONTROLE EN WIJZIGINGEN De persoonsgegevens die CMC via deze diverse kanalen verzamelt (bijvoorbeeld via schriftelijke of telefonische reacties van betrokkene, via huisbezoek) worden opgenomen in haar bestanden. Betrokkenen kunnen steeds de laatste versie ervan opvragen bij CMC. Deze gedragscode heeft, in geval van tegenstrijdigheid, voorrang op oudere gedragscodes.