MeerServices heeft als rol het aanbieden van automatiseringsdiensten en telecommunicatiediensten voor zowel particulieren als zakelijke klanten. We zijn hierin zowel verwerker als verwerkingsverantwoordelijke.

MeerServices hecht veel waarde aan de bescherming van uw persoonsgegevens. In deze Privacy policy willen we heldere en transparante informatie geven over hoe wij omgaan met persoonsgegevens.

Wij doen er alles aan om uw privacy te waarborgen en gaan daarom zorgvuldig om met persoonsgegevens. MeerServices houdt zich in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming.  Dit brengt met zich mee dat wij in ieder geval:

– Uw persoonsgegevens verwerken in overeenstemming met het doel waarvoor deze zijn verstrekt, deze doelen en type persoonsgegevens zijn beschreven in dit Privacy policy;

– Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

– Vragen om uw uitdrukkelijke toestemming als wij deze nodig hebben voor de verwerking van uw persoonsgegevens;

– Passende technische en organisatorische maatregelen hebben genomen zodat de beveiliging van uw persoonsgegevens gewaarborgd is;

– Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;

– Op de hoogte zijn van uw rechten omtrent uw persoonsgegevens, u hierop willen wijzen en deze respecteren.

Als MeerServices zijn wij verantwoordelijk voor de verwerking van uw persoonsgegevens. Indien u na het doornemen van ons Privacy policy, of in algemenere zin, vragen heeft hierover of contact met ons wenst op te nemen kan dit via de contactgegevens bovenaan dit document.

MeerServices voert werkzaamheden en diensten uit in opdracht van een opdrachtgever. MeerServices heeft toegang tot persoonsgegevens van die opdrachtgever. Wij hebben 15 medewerkers in dienst. De sectoren waarin wij opereren is het MKB en de Retail markt. Onze producten en diensten zijn omschreven op onze website www.meerservices.nl

MeerServices werkt met een CRM-ERP pakket welke specifiek op maat is geschreven en ontwikkeld voor de branche waarin wij opereren. Hierin is een beoordeling gemaakt welk soort persoonsgegevens noodzakelijk zijn voor de diensten en producten die wij aanbieden. De records die gebruikt worden bevatten contactgegevens en overige dossiergegevens of profielen die nuttig zijn voor het gebruik van het product of de dienst. Binnen onze organisatie is een persoon aangewezen als contactpersoon en verantwoordelijke voor dataprotectie. Deze is te bereiken op het emailadres dat boven aan dit document is vermeld.

Het CRM-ERP MSWMenuX programma wordt beschermt door een Firewall, 2Fact-Authentication beveiliging, OS user beveiliging, VPN, VLAN en MSWMenuX gebruikersdatabase met specifieke rechten.

MeerServices heeft een intern beleid en visie op de bescherming van persoonsgegevens. Tevens zijn onze medewerkers getraind in een veilige omgang met data. Dit is vastgelegd in het document beleid bescherming persoonsgegevens (privacy verklaring).

MeerServices heeft een procedure voor datalekken. Wie, wanneer en hoe er moet worden geïnformeerd  als er een beveiligingsincident is, als iemand zijn laptop, telefoon etc. kwijtraakt of per ongeluk in een phishing mail trapt. Dit is vastgelegd in ons document datalekkenprotocol.

1. Inleiding

Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Het kan gaan om een kwijtgeraakte USB-stick of een gestolen laptop met persoonsgegevens, maar ook om een inbraak in een datasysteem of per ongeluk verstrekte toegang tot gegevens aan personen of instanties die daartoe geen toegang zouden mogen hebben. Het verzenden van een e-mail aan een adressenbestand waarin alle e-mailadressen voor iedereen zichtbaar zijn is ook al een datalek.

Als sprake is van een ernstig datalek, dan zijn we verplicht om dit te melden aan de Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens) en soms ook aan de betrokkenen. Om te zorgen voor een eenduidig beleid en om te voorkomen dat datalekken die wel gemeld hadden moeten worden, dat niet worden en dat datalekken die niet gemeld hoeven te worden, dat wel worden, heeft MeerServices ervoor gekozen de meldingen centraal te laten verlopen via het meldpunt datalek MeerServices.

2. Het meldpunt datalek MeerServices

De leden van het meldpunt datalek MeerServices zijn:

• privacy@meerservices.nl; Ilse Timmers

De meldingen kunnen worden ingediend bij:

• Het vermelde adres en telefoonnummer bovenaan dit document van het meldpunt datalek MeerServices.

3. Het protocol

3.1 Onmiddellijk nadat een werknemer ontdekt of ter oren komt dat sprake kan zijn van verlies of onrechtmatige verwerking van persoonsgegevens binnen MeerServices meldt hij dat aan het meldpunt datalek MeerServices

3.2 Het meldpunt datalek MeerServices beslist of sprake is van een (mogelijk) datalek en of dit (mogelijke) datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en/of bij de betrokkenen.

3.3 Het meldpunt datalek MeerServices draagt zorg voor de melding aan de Autoriteit Persoonsgegevens en/of de betrokkenen. Het is de werknemer niet toegestaan om het (mogelijke) datalek zelf aan de Autoriteit Persoonsgegevens en/of de betrokkenen te melden.

3.4 Als de werknemer het niet eens is met de beslissing van het meldpunt datalek MeerServices om het (mogelijke) datalek wel – of niet te melden aan de Autoriteit Persoonsgegevens en/of de betrokkenen, dan kan hij zich richten tot de directie.

Binnen MeerServices is in kaart gebracht welke derden partijen (zoals hosting en telecomprovider providers) nodig zijn voor onze dienstverlening aan opdrachtgevers. Deze zijn geborgd in CRM/ERP programma MSWMenuX onder Per.Factuur Contracten. Al deze leveranciers hebben een verwerkers overeenkomst. Deze lijst wordt up-to-date bijgehouden. Er is een beoordeling gemaakt van de beveiligingsmaatregelen van deze leveranciers en subverwerkers. Dit is geborgd in een contractadministratie van het MSWMenuX CRM/ERP programma.

Limitering gebruik van persoonsgegegevens
Binnen het MSWMenuX CRM/ERP programma zijn er regels voor wie er toegang heeft tot persoonsgegevens van opdrachtgever, deze medewerkers hebben voor geheimhouding getekend en er is beschreven beleid wie toegang heeft tot persoonsgegevens. Deze geheimhoudingsverklaring is aanwezig. Persoonsgegevens kunnen op verzoek van een opdracht worden geretourneerd en worden verstrekt in een machine leesbaar formaat aan de opdrachtgever. Wij zullen uw gegevens zeven jaar bewaren. De periode van zeven jaar komt overeen met de periode waarbinnen wij verplicht zijn onze administratie te bewaren voor de Belastingdienst. Na afloop van deze periode zullen wij uw persoonsgegevens verwijderen. Indien er langer dan zeven jaar geen relatie is geweest met u als klant zullen uw gegevens worden verwijderd.

Beveiliging persoonsgegevens
Ten behoeven van bepaalde leveranciers is er binnen MeerServices in kaart gebracht bij welke leveranciers bijzondere persoonsgegevens worden verwerkt. Wij verwerken geen bijzondere persoonsgegeven. *(Bijzondere gegevens zijn bijvoorbeeld gegevens over gezondheid, geloof, ras of etnische afkomst, politieke opvattingen, geloofsovertuigingen, seksueel gedrag of seksuele gerichtheid, biometrische gegevens, strafrechtelijke gegevens, vakbondslidmaatschap of BSN nummer)

Binnen MeerServices is het aantal betrokken personen over wie persoonsgegevens bekend zijn (in opdracht van de verschillende opdrachtgevers) 10 personen. MeerServices omschrijft in een overeenkomst (Contract+Nr.) waarvoor opdrachtgevers de diensten of producten van MeerServices gebruikt. MeerServices heeft in een data protectiebeleid (informatiebeveiligingsbeleid) opgenomen op welke wijze versleuteling en back-up is ingesteld. MeerServices heeft een dienst (Webportal) ingericht zodat opdrachtgever toegang heeft tot zijn eigen persoonsgegevens.

Informatiebeveiligingsbeleid
Certificatie speelt een belangrijke rol bij het nemen van de juiste voorzorgsmaatregelen. Het belangrijkste certificaat binnen de IT op het gebied van databescherming is de norm voor informatiebeveiliging, ISO/IEC 27001. ISO/IEC 27001 certificatie wordt steeds belangrijker voor ondernemers en instellingen. MeerServices streeft er naar de ISO-certificatie te verkrijgen.

Het management heeft het commitment om het beleid te implementeren. Hiervoor is er een risicoanalyse gemaakt. Binnen MeerServices worden alle betrokken medewerkers bewust gemaakt van de risico’s. Tevens zijn er richtlijnen opgesteld samen met de betrokken medewerkers gecombineerd met een lange termijn planning, waarin duidelijk omschreven is wat MeerServices de komende jaren bereikt wil hebben met betrekking tot het bewustzijnsniveau.

Binnen dit beleid  meten wij of de getroffen maatregelen succes hebben gehad en de risico’s effectief en op een efficiënte manier tot het gewenste niveau geminimaliseerd zijn. Regelmatig worden de toegangsrechten gecontroleerd.

Informatieverplichting – data processor statement.
MeerServices heeft een omschrijving gemaakt van de beveiligingsmaatregelen die door ons zijn genomen zodat opdrachtgever zelf een inschatting kan maken of die maatregelen voldoende zijn voor het voorgenomen gebruik. Deze is samengevat in de verwerkersovereenkomst.

Beveiligingsincidenten zoals kwijtgeraakte laptop ’s of andere incidenten worden bijgehouden en opdrachtgevers worden daarover geïnformeerd. Hiervoor hebben wij in het MSWMenuX een incidentenregister.

Rechten data subjects en verantwoording
MeerServices controleert regelmatig haar leveranciers/sub-verwerkers of de door hen genomen beveiligingsmaatregelen nog up-to-date zijn.