Unit4

Beleid inzake de controle en beveiliging van klantgegevens

1.0 Inleiding

1.1 Dit beleid beschrijft de aanpak van Unit4 binnen de Unit4-groep voor het verzamelen, opslaan, verwerken en verwijderen van alle gegevens die verband houden met klanten van Unit4 ("Klantgegevens"), ongeacht of deze klanten voormalige, huidige of potentiële klanten zijn en ongeacht of zij particulieren, zelfstandigen, samenwerkingsverbanden of bedrijven zijn ("Klanten").

1.2 Dit beleid is opgesteld om:

  • (a) het risico voor Unit4 te verlagen bij het behandelen en verwerken van Klantgegevens (d.w.z. het risico verlagen dat er gegevens verloren gaan, waaronder als gevolg van diefstal);
  • (b) het opzetten van controleerbare en aantoonbare controles van Klantgegevens;
  • (c) te zorgen voor naleving van de wettelijke beginselen, waaronder dat Klantgegevens:
    • (i) niet langer worden bewaard dan noodzakelijk wordt geacht voor het doel waarvoor ze verzameld zijn; en
    • (ii) niet worden verwerkt voor andere doelen dan waarvoor deze zijn verzameld; en
  • (d) een gezamenlijke aanpak voor de groepsmaatschappijen van Unit4 op te stellen, waarbij waar nodig uiteraard prioriteit gegeven wordt aan de lokale wetgeving in de verschillende landen.

2.0 Voor wie geldt dit beleid?

2.1 Dit beleid geldt voor alle werknemers, adviseurs, arbeiders en tijdelijk personeel van Unit4 die betrokken zijn bij het verzamelen, verwerken en gebruiken van Klantgegevens.

2.2 Het is belangrijk dat iedereen dit beleid naleeft om de Klanten te garanderen dat Unit4 passende maatregelen treft bij het behandelen van Klantgegevens.

2.3 U dient bestaande geregistreerde Klantgegevens te herzien. Indien u op dit moment Klantgegevens hebt, dient u dit onmiddellijk te bespreken met uw manager om vast te stellen of deze verwijderd dienen te worden uit de systemen van Unit4.

2.4 Indien u vragen of opmerkingen over dit beleid hebt, kunt u contact opnemen met uw lokale kwaliteitsmanager (indien van toepassing) of de afdeling juridische zaken in Sliedrecht.

3.0 Wanneer moeten er klantgegevens worden verzameld?

3.1 Volgens het beleid van Unit4 is het verkrijgen van Klantgegevens, en met name "dynamische gegevens", een "uiterste redmiddel" en dient Unit4 uitsluitend Klantgegevens te verkrijgen of te bewaren als dit essentieel is om een ondersteunings- of technisch probleem op te lossen of een overeenkomst met de Klant uit te voeren of als dit nodig is voor de ontwikkeling, verificatie of validatie van een product.

3.2 Volgens het beleid van Unit4 dienen "gevoelige persoonsgegevens" (die betrekking hebben op iemands ras, etnische afstamming, politieke overtuiging, godsdienst of vergelijkbare overtuiging, lidmaatschap van een vakbond, lichamelijke of geestelijke gezondheid of gesteldheid, seksleven of het begaan of vermeende begaan van een strafbaar feit of een procedure wegens een daadwerkelijk of vermeend strafbaar feit, de beschikking in een dergelijke procedure of de uitspraak van een rechtbank in een dergelijke procedure) te worden vermeden. Als gegevens van dit type worden verzameld, dienen deze duidelijk als "Gevoelig" te worden gemarkeerd.

4.0 Ik moet klantgegevens verzamelen - hoe doe ik dit?

4.1 Als u Klantgegevens dient te verzamelen voor het oplossen van een ondersteunings- of technisch probleem of het uitvoeren van een overeenkomst, dient u de Klantgegevens direct van de Klant te verkrijgen en niet van een derde (tenzij de Klant hier toestemming voor geeft). U dient de volgende praktische punten na te leven:

(a) indien mogelijk dient u de Klant te vragen om alleen "testgegevens” in te dienen (d.w.z. geen "dynamische gegevens"). Het soort gegevens dat wordt verstrekt dient duidelijk te worden aangeven als “testgegevens” of “dynamische gegevens”. U dient een e-mail of een andere schriftelijke bevestiging van de Klant te verkrijgen dat de Klantgegevens "testgegevens" zijn. Indien u geen schriftelijke bevestiging kunt krijgen, dient u ervan uit te gaan dat de Klantgegevens "dynamische gegevens” zijn. Waar mogelijk dient u nooit gegevens te accepteren met persoonlijke bankrekeningen of creditcardgegevens en dient u de Klanten te vragen om dergelijke gegevens te versleutelen of te verwijderen voordat ze deze aan ons geven.

(b) u dient de Klant in kennis te stellen van:

  • (i) het doel of de doelen waarvoor Unit4 zijn gegevens verzamelt en zal gebruiken;
  • (ii) de identiteit van uw Unit4-bedrijf als de 'gegevensverwerker' voor wettelijke doeleinden en hoe er contact met uw Unit4-bedrijf kan worden opgenomen;
  • (iii) hoe Unit4 zijn gegevens opslaat;
  • (iv) zijn recht op toegang tot kopieën van hun gegevens en indien nodig op het laten corrigeren van zijn gegevens; en
  • (v) zijn recht om Unit4 op enig moment te vragen om te stoppen met het gebruik van zijn gegevens.

(c) als de Klant Klantgegevens digitaal verschaft, dient u te trachten om ervoor te zorgen dat de Klant deze verschaft via:

  • (i) Secure FTP-methodes (File Transfer Protocol) – de supportdesk en de Technische dienst hebben passende middelen om deze te verschaffen;
  • (ii) verwisselbare media, bijv. cd/dvd/harde schijf/tapemedia die per beveiligde of aangetekende post verzonden zijn; en/of
  • (iii) versleutelde e-mail als er geen andere methodes beschikbaar zijn, of in geval van urgentie van de Klant;

(d) u dient toestemming te krijgen van uw lokale kwaliteitsmanager (indien van toepassing), uw bedrijfsmanager of de afdeling juridische zaken in Sliedrecht voordat u bekende "dynamische gegevens” accepteert; en

(e) u dient te overwegen of u de Klantgegevens naar andere bedrijven binnen de Unit4-groep dient te verzenden (bijvoorbeeld om de gevraagde bestelling of dienst te kunnen leveren). Indien u de gegevens binnen de Unit4-groep of buiten de Europese Economische Ruimte dient over te dragen, dient u dit op het moment dat u de gegevens verzamelt uit te leggen aan de Klant en zijn instemming voor deze overdracht te verkrijgen. Gevoelige persoonsgegevens (zoals beschreven in artikel 3.2) mogen nooit buiten de Europese Economische Ruimte worden overgedragen. Als er nieuwe vereisten voor gegevensoverdracht zijn, dient er opnieuw toestemming van de Klant te worden verkregen.

4.2 Als de Klantgegevens zijn verzameld, mag Unit4 deze alleen bewaren zolang hier een zakelijke reden voor is of zoals vereist wordt conform geldende periodes voor gegevensbewaring. Indien u vragen over deze periodes voor gegevensbewaring hebt, kunt u contact opnemen met uw lokale kwaliteitsmanager (indien van toepassing) of de afdeling juridische zaken in Sliedrecht.

5.0 Ik heb klantgegevens verzameld, zijn er beperkingen voor het gebruik hiervan?

5.1 Ja. Klantgegevens dienen:

(a) uitsluitend bezocht en gebruikt te worden als u een goedgekeurde zakelijke reden hebt om dit te doen;

(b) niet:

  • (i) gebruikt te worden voor digitale direct marketing (bijvoorbeeld per e-mail, per fax, telefonisch en/of per sms) zonder voorafgaande toestemming van de Klant;
  • (ii) te worden gebruikt voor uw persoonlijke doeleinden; of
  • (iii) te worden gedeeld met een derde (tenzij de Klant hiermee heeft ingestemd).

5.2 Als u een zakelijke reden hebt om Klantgegevens te bezoeken en te gebruiken, dient u:

(a) Klantgegevens uitsluitend te gebruiken voor het doel waarvoor ze verzameld zijn; en

(b) toestemming van de Klant te verkrijgen als u de Klantgegevens voor een nieuw doel nodig hebt.

6.0 Ik dien klantgegevens mee te nemen buiten het kantoor, is dit toegestaan?

6.1 Volgens het beleid van Unit4 mogen Klantgegevens (ongeacht of dit "dynamische gegevens" of "testgegevens” zijn) niet op laptops, memorysticks, usb-sticks, cd's of andere opslagmedia mee worden genomen buiten het kantoor of de locatie zonder voorafgaande schriftelijke toestemming van de Klant en uw manager. Deze instemming dient verkregen te worden naast uw verplichtingen conform artikel 3 hierboven.

6.2 Als u toestemming hebt verkregen, dient u ervoor te zorgen dat:

(a) de Klantgegevens en de opslagmedia waar deze op staan niet achterblijven in een open auto of zonder toezicht op een plek waar anderen deze kunnen bekijken of meenemen; en

(b) alle beveiligingssystemen op de opslagmedia waarop Klantgegevens staan (zoals wachtwoordbeveiliging) worden geactiveerd.

7.0 Ik hoef de klantgegevens niet langer te bewaren, wat moet ik doen?

7.1 Alle Klantgegevens dienen direct na de voltooiing van het doel waarvoor deze zijn verzameld te worden verwijderd of aan de Klant te worden geretourneerd, tenzij:

(a) de Klant Unit4 uitdrukkelijk vraagt deze te bewaren; of

(b) Unit4 deze dient te bewaren conform geldende periodes voor gegevensbewaring. Indien u vragen over deze periodes voor gegevensbewaring hebt, kunt u contact opnemen met uw lokale kwaliteitsmanager (indien van toepassing) of de afdeling juridische zaken in Sliedrecht.

7.2 Alle Klantgegevens die Unit4 bewaart, dienen uitsluitend opgeslagen te worden in afgesloten machineruimtes (bij voorkeur in kluizen) en dienen indien mogelijk niet opgeslagen te worden op laptops of andere mobiele opslagmedia van Unit4.

8.0 Ik heb een bericht ontvangen van een klant die om een kopie vraagt van de gegevens die Unit4 bewaart, wat moet ik doen?

8.1 Als een Klant vraagt om een kopie van zijn Klantgegevens, dient u dit verzoek te escaleren naar uw lokale kwaliteitsmanager (indien van toepassing) of de afdeling juridische zaken in Sliedrecht.