Privacybeleid

Register van verwerkingsactiviteiten – versie 19 juli 2018

 

  1. Verwerkingsverantwoordelijke

Training te velde

Edwin te Velde

Monnikeraklaan 27

3544 TH Utrecht

Tel. 0611333719

Email edwin@trainingtevelde.nl

KvK Utrecht 68146817

 

In het vervolg van dit document wordt Training te velde afgekort tot TTV.

 

  1. Categorieën van personen van wie gegevens worden verwerkt

Indien gesproken wordt over “de website” worden zowel https://hardlopen-leidscherijn.nl als https://fit-utrecht.nl bedoeld, beide zijn een WordPress website.

Cliënten van TTV

Cliënten die worden begeleid bij of naar een gezonder beweegpatroon

Clienten van Fit het Zelf (= samenwerking Training te velde met Gewichtsconsulent Leidsche Rijn (GCL))

Cliënten die worden begeleid naar een gezonder eet- en beweeg-patroon, passend bij hun persoonlijke situatie, waarbij TTV en GCL samenwerken.

Standaard zijn deze betrokkenen een cliënt van TTV (het bedrijf waarbij Fit het Zelf als handelsnaam geregistreerd staat).

GCL ondersteunt bij het beheer van de website en email van Training te velde. Daarom heeft GCL toegang tot de gegevens die met deze website en via de email worden verzameld. Deze gegevens zullen niet worden gebruikt door GCL.

GCL is aangesloten bij de Beroepsvereniging Gewichtsconsulenten Nederland (BGN). Daarom moet zij voldoen aan de inhoudelijke eisen van begeleiding die de BGN stelt

Een deel van de cliënten is voor de adviezen van GCL verzekerd via een aanvullende zorgverzekering.

Betrokkenen die verzekerd zijn voor het advies van GCL, zijn cliënt van GCL (voor dat deel van de uren voedingsadvies dat verzekerd is) en van TTV (voor de overige uren).

Verzekeraars stellen eisen aan de inhoud van facturen.

De gegevens betreffende Fit het Zelf-cliënten zijn dezelfde soort gegevens als die van de GCL-cliënten. De informatie in dit document is dus voor beide categorieën cliënten van toepassing.

 

Mensen die komen/zijn geweest voor een proeftraining of een kennismakingsgesprek

Mensen die een afspraak willen maken voor een vrijblijvende proeftraining of kennismakingsgesprek, geven hun bereikbaarheidsgegevens en beschrijven soms in een email/contactformulier (of WhatsApp/SMS/Facebook Messenger) hun persoonlijke problemen. Wanneer telefonisch contact wordt opgenomen, maakt TTV aantekeningen.

Tijdens het kennismakingsgesprek maakt TTV aantekeningen, die persoonlijke gegevens bevatten.

 

Mensen die ooit contact hebben opgenomen, maar geen afspraak hebben gemaakt

Mensen die contact opnemen, geven hun bereikbaarheidsgegevens en beschrijven soms in een email/contactformulier (of WhatsApp/SMS/Facebook Messenger) hun persoonlijke problemen. Wanneer telefonisch contact wordt opgenomen, maakt TTV aantekeningen.

 

Mensen die de website bezoeken via Google: gegevens worden anoniem verwerkt

Mensen die via Google Analytics de website van TTV bezoeken.

TTV gebruikt Google Analytics cookies t.b.v. gebruikersoptimalisatie. Met het bedrijf Google is een verwerkingsovereenkomst afgesloten. De gegevens die worden verzameld, worden anoniem verwerkt en zijn dus niet terug te voeren op het individu.

 

(Voormalig) cliënten die een review schrijven op de website

(Voormalig) cliënten die een review schrijven op de website, vullen hun mailadres en naam in. De naam betreft meestal alleen de voornaam. Het mailadres is alleen na inloggen in de WordPress-omgeving zichtbaar. Alleen TTV kan inloggen. Het hostingbedrijf (one.com) heeft toegang tot de gegevens van de website.

 

 

  1. Wettelijke basis voor verwerking van de gegevens

 

Bijzondere gegevens: gezondheidsgegevens

TTV beroept zich op de volgende wettelijke uitzondering voor het verwerken van gezondheidsgegevens:

8. de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard.

De diensten van TTV hebben (mede) tot doel om chronische ziektes en blessures te voorkomen. De adviezen van TTV zijn gebaseerd op de richtlijnen van de Gezondheidsraad.

Daarnaast wordt met cliënten een overeenkomst afgesloten, waarin ze akkoord gaan met het privacybeleid (dus uitdrukkelijk toestemming geven voor de verwerking van zijn/haar persoonsgegevens, inclusief gezondheidsgegevens indien dit relevant is voor de af te nemen diensten).

 

Gegevens categorieën A t/m F, afkomstig van cliënten

De gegevens zijn noodzakelijk voor uitvoering van de overeengekomen dienst, als iemand cliënt is. De gegevens, genoemd onder paragraaf 4, categorie A t/m D zijn noodzakelijk voor een goede persoonlijke begeleiding van cliënten en de uitvoering van de trainingen (bepalen of het minimum danwel het maximum aantal deelnemers is bereikt).

Daarnaast wordt met cliënten een overeenkomst afgesloten, waarin ze akkoord gaan met het privacybeleid (dus uitdrukkelijk toestemming geven voor de verwerking van zijn/haar persoonsgegevens.

 

Gegevens categorieën A t/m F, afkomstig van mensen die op kennismakingsgesprek komen

Mensen die op kennismakingsgesprek komen, delen gegevens, waaronder soms gezondheidsgegevens. Er vanuit gaande dat de persoon cliënt wordt, zijn deze gegevens noodzakelijk vanuit het gerechtvaardigd belang van TTV en vanuit het belang van de potentiële cliënt: het zal te zijner tijd nodig zijn voor het uitvoeren van de dienst. Zodra de persoon heeft laten weten geen cliënt te willen/kunnen worden, vervalt deze grondslag. Betreffende gegevens worden dan zo spoedig mogelijk en binnen 1 maand vernietigd.

 

Gegevens afkomstig van mensen die (nog) geen cliënt zijn en (nog) geen kennismakingsgesprek hebben gehad

De gegevens van mensen die nog geen client zijn, zijn noodzakelijk vanuit het gerechtvaardigd belang van TTV en vanuit het belang van de potentiële cliënt. Het gaat erom dat het mogelijk is om met de betreffende persoon een afspraak voor een kennismakingsgesprek of eerste consult te kunnen maken of te kunnen communiceren over een kennisvraag over voeding of afvallen. Dus dat betreft de gegevens naam, telefoonnummer en/of emailadres. Ook komt het soms voor dat iemand over zijn/haar gezondheid schrijft. Die informatie kan nodig zijn om te kunnen beoordelen of het verantwoord is dat iemand cliënt wordt (m.n. of i.v.m. een medische situatie een diëtist nodig is).

Bij het verzenden van een bericht via het contactformulier, wordt gewaarborgd dat de persoon geïnformeerd wordt over het privacybeleid en daarmee akkoord gaat.

 

Het is niet mogelijk om voorafgaand aan dat iemand een email stuurt, te vragen om akkoord te gaan met het privacybeleid. In het algemeen betreffen de gegevens “gerechtvaardigd belang” en hoeft daarvoor dus geen toestemming te worden gevraagd. Het zou kunnen dat iemand er gezondheidsgegevens bij zet. TTV kan dat niet voorkomen en zal zelf niet via de email om gezondheidsgegevens vragen. Ditzelfde geldt voor WhatsApp, SMS en Facebook Messenger.

 

Gegevens die onderdeel moeten uitmaken van de aanwezigheidsregistratie

Gegevens in het programma Fitmanager.

 

Gegevens die onderdeel moeten uitmaken van de fiscale administratie

(Waaronder gegevens in het programma Moneybird.)

Wettelijke verplichting tot administratie i.v.m. belastingaangifte.

 

Fitmanager

Ondubbelzinnige toestemming.

Bij het verzenden van een aanmelding voor de nieuwsbrief, wordt gewaarborgd dat de persoon geïnformeerd wordt over het privacybeleid en daarmee akkoord gaat.

 

Review op website

Ondubbelzinnige toestemming.

Alleen (voormalig) cliënten schrijven een review op de website. Aan alle cliënten wordt gevraagd om akkoord te gaan met het privacybeleid. In het privacybeleid wordt ook ingegaan op het bewaren van informatie betreffende de review.

Theoretisch kan iemand die geen cliënt is (geweest) ook een review plaatsen. Als dat gebeurt, worden de gegevens direct verwijderd.

 

Gegevens voor toepassen van Google Analytics

TTV gebruikt Google Analytics cookies t.b.v. gebruikersoptimalisatie. De gegevens die worden verzameld, worden anoniem verwerkt en zijn dus niet terug te voeren op het individu. In het Google-account is de optie “gegevens delen” uitgeschakeld. Er wordt geen gebruik gemaakt van andere Google diensten in combinatie met Google Analytics cookies.

 

  1. Categorieën van persoonsgegevens

De gegevens worden verwerkt overeenkomstig de doelen waarvoor ze verzameld zijn.

 

  1. Identificatiegegevens

 

Nr. Soort gegeven Doelen gegevensverzameling
A.1 NAW-gegevens (naam) Aanwezigheid training
A.1 NAW-gegevens (naam, adres, woonplaats) Verplicht op de factuur
A.2 Telefoonnummer Bereikbaarheid
A.3 Emailadres(sen) 1. Bereikbaarheid
A.4 Geboortedatum 1. Verplicht op factuur als cliënt verzekerd is
A.5 Polisnummer/relatienummer

Verzekeraar

Op factuur als cliënt verzekerd is, i.v.m. behandelen factuur door verzekeraar

 

 

 

  1. Fysieke gegevens en gegevens betreffende de gezondheid

 

TTV verricht geen medische handelingen. Gegevens betreffende de gezondheid zijn nodig om

– te beoordelen of begeleiding door TTV verantwoord is, of dat doorverwijzing naar een (sport)arts of diëtist nodig is.

– cliënten te kunnen begeleiden bij het bewegingsadvies op een manier die past bij de persoonlijke situatie.

 

Nr. Soort gegeven Doelen gegevensverzameling
B.1 Ziektes 1. Om te kunnen beoordelen of cliënt op een verantwoorde manier kan deelnemen aan een beweegactiviteit van TTV
B.2 Fysieke klachten 1. Om te kunnen beoordelen of cliënt op een verantwoorde manier kan deelnemen aan een beweegactiviteit van TTV
B.3 Andere hulpverleners m.b.t. overgewicht Indien een cliënt contact heeft met andere hulpverleners over het overgewicht, kan het nodig zijn (direct of via cliënt) af te stemmen, zodat de betreffende hulpverlener rekening kan houden met de begeleiding die de cliënt krijgt bij TTV en om zo nodig tegenstrijdige adviezen te voorkomen. Rechtstreeks contact tussen TTV en een andere hulpverlener komt zelden voor en vindt alleen plaats na toestemming hiervoor van de cliënt.

 

 

  1. Leefgewoonten

 

Nr. Soort gegeven Doelen gegevensverzameling
C.1 Beweeggewoonten Noodzakelijk om cliënt te kunnen begeleiden naar een leefstijl met voldoende beweging

 

 

  1. Digitale communicatie

 

In berichten in de vorm van e-mails, ingevulde contactformulieren, WhatsApp-, SMS- en Facebook Messengerberichten kunnen gegevens staan zoals bij de vorige categorieën genoemd.

Nr. Soort gegeven Doelen gegevensverzameling
D.1 Emails 1. Communicatie over het maken van afspraken
2. Uitwisselen van gegevens zoals in de vorige categorieën genoemd, als dat voor de begeleiding van de cliënt noodzakelijk is
D.2 WhatsApp- , SMS-en Facebook Messenger-berichten Zoals bij D.1
D.3 Berichten ingevuld op het contactformulier op de website (wordt ontvangen als e-mail) Zoals bij D.1

 

 

  1. Gegevens voor marketingdoeleinden

 

Onderstaande doelen hebben als uiteindelijk doel een grotere omzet van het bedrijf.

Nr. Soort gegeven Doelen gegevensverzameling
E.1 Geanonimiseerd IP-adres van en acties op website van GCL door bezoeker die via Google op de website aan het kijken is Inzicht krijgen in het aantal bezoekers, de locatie van bezoekers en hun gedrag op de website (d.m.v. Google analytics), met als doel een gebruiksvriendelijkere website, meer bezoekers op de website en het verwerven van meer klanten via Google.
E.2 Naam en emailadres van geïnteresseerden in de nieuwsbrief Het kunnen sturen van een nieuwsbrief aan geïnteresseerden, met behulp van het programma Fitmanager.
E.3 (Voor)naam, en tekst van review van mensen die een review op de website plaatsen Het verzamelen van echte reviews op de website. Het kunnen tonen van ervaringen aan potentiële cliënten, waarmee ze kunnen inschatten of begeleiding door TTV bij hen past.

 

 

  1. Gegevens nodig voor fiscale administratie

 

Nr. Soort gegeven Doelen gegevensverzameling
H.1 Bankrekeningnummer met tenaamstelling, ingevoerd in het boekhoudprogramma Moneybird Om aan de wettelijke eisen voor een administratie te voldoen, wordt gebruik gemaakt van het boekhoudprogramma Moneybird
H.3 tenaamstelling, ingevoerd in het klantregistratiesysteem Fitmanager Om aan de wettelijke eisen voor een administratie te voldoen, wordt gebruik gemaakt van het klantregistratiesysteem Fitmanager
H3 (=A1) NAW-gegevens Staan op de facturen, die worden bewaard i.v.m. financiële administratie.

 

 

 

  1. Bewaarbeleid

De digitale gegevens worden opgeslagen in de cloud. Deze zijn in te zien vanaf computers op het adres van TTV. De emails, WhatsApp- en SMS-berichten zijn in te zien in de gsm van Edwin te Velde.

Gegevens die in het contact- of aanmeldformulier worden ingevuld, worden per email verzonden aan TTV. Deze worden niet opgeslagen op de WordPress website.

 

5.A Bewaartermijnen

 

Nr. Soort gegeven Bewaartermijn
1.A Deze gegevens van (voormalige) cliënten:
– NAW-gegevens- Geboortedatum als deze op de factuur staat

– Polisnummer als deze op factuur staat

– Bankrekeningnummer

7 jaar i.v.m. wettelijke eis voor fiscale gegevens. De NAW-gegevens op de factuur worden bewaard, zowel digitaal als op papier. Een excel (Numbers) met naam, factuurnummer, -data en -bedrag, rekeningafschriften en de gegevens in het boekhoudprogramma Ficsbook worden ook 7 jaar bewaard. Daarna wordt het binnen 1 maand vernietigd. De NAW-gegevens op andere plaatsen worden niet zo lang bewaard.
1.B Alle gegevens van (voormalige) cliënten, behalve de gegevens waarvoor de wettelijke bewaartermijn van 7 jaar geldt 1. Indien mondeling of schriftelijk tussen de cliënt en GCL de begeleiding is beëindigd, worden binnen 1 maand nadat alle betalingen zijn voldaan de gegevens vernietigd.

Bereikbaarheidsgegevens worden nog bewaard als iemand heeft toegezegd een review te plaatsen, zodat het nog mogelijk is een herinnering daarvoor te sturen, totdat de review is geplaatst.

Inhoudelijke plannen kunnen geanonimiseerd bewaard worden.

2. Indien een cliënt geen contact meer opneemt en niet reageert op vragen van GCL, worden alle gegevens maximaal 6 maanden bewaard, mits alle betalingen zijn voldaan.
3. Indien een cliënt heeft aangegeven (vanwege persoonlijke omstandigheden) langere tijd niet te komen, maar in de toekomst wel weer wil komen, worden alle gegevens maximaal 1 jaar bewaard, mits alle betalingen zijn voldaan.
2. Alle gegevens van degenen die op kennismakingsgesprek komen of zijn geweest (face-to-face of telefonisch) en (nog) geen cliënt zijn 1. Indien iemand tijdens of na het kennismakingsgesprek laat weten dat hij/zij geen cliënt wordt, worden alle gegevens
binnen 1 maand nadat dat gemeld is, vernietigd.
2. Indien iemand na het kennismakingsgesprek geen contact meer opneemt en niet reageert op vragen van GCL, worden alle gegevens maximaal 6 maanden (na datum kennismakingsgesprek) bewaard.
3. Alle gegevens via een contactformulier op de website of via email, WhatsApp, SMS of Facebook Messenger zijn ontvangen, van degenen met wie (nog) geen face-to-face afspraak is gemaakt Maximaal 6 maanden na het laatste moment waarop gegevens zijn ontvangen, worden deze vernietigd.
4. (Voor)naam en tekst van review van (voormalig) cliënten die via een formulier op de website een review op de website plaatsen De gegevens van iemand die een review op de website heeft geplaatst, worden bewaard op de website. De naam is zichtbaar. De meeste mensen vullen alleen een voornaam in.

De gegevens blijven op de website staan, zo lang als de website bestaat, of totdat de betreffende persoon een verzoek heeft gedaan tot verwijdering (zie paragraaf 5.C).

5. Voornaam en emailadres zoals opgeslagen in Fitmanager Worden bewaard zolang TTV gebruik maakt van Fitmanager, of totdat de betreffende persoon zelf de gegevens heeft verwijderd.
6. Geanonimiseerde IP-adres van en acties op website van GCL door bezoeker die via Google op de website aan het kijken is Zo lang als Google het bewaart.

 

5.B Vragen om toestemming van betrokkenen

De gegevensverwerking van gegevens betreffende cliënten is noodzakelijk voor de uitvoering van een overeenkomst. Toestemming vragen is dus niet nodig.

Toch worden cliënten op de hoogte gebracht van het privacybeleid en gevraagd akkoord te gaan.

 

Nr. Soort betrokkene Manier waarop om toestemming voor verwerking van gegevens wordt gevraagd
1. Cliënten 1. Cliënten worden d.m.v. een uitleg van het privacybeleid op de website van GCL geïnformeerd over het bewaarbeleid van TTV.

Ze krijgen tijdens het kennismakingsgesprek een document mee om geïnformeerd te worden en te tekenen en leveren dat ondertekend in aan het begin van het eerste consult (intake). Het document bestaat uit een vak ter ondertekening, waarin getekend wordt voor:

Ik laat me begeleiden naar een gezondere leefstijl door TTV (= tekenen voor het ontvangen van een dienst)

Ik ben op de hoogte van de algemene voorwaarden en het privacybeleid van TTV en ga daarmee akkoord

Onder het tekenvak staat een korte toelichting op:

Algemene voorwaarden

Het privacybeleid

Ook wordt in het document vermeld waar op de website van TTV de algemene voorwaarden en privacybeleid ingezien kunnen worden.

2. Als een cliënt eenmalig een face-to-face contact heeft, dan wordt het privacybeleid mondeling toegelicht en er wordt mondeling om akkoord gevraagd.
3. Als een cliënt nooit face-to-face contact heeft (begeleiding via digitale communicatie, zoals email, WhatsApp, SMS, Skype en/of FaceTime), wordt een PDF-document met links naar de URL’s van algemene voorwaarden en privacybeleid en vak ter ondertekening verstuurd per email. Gevraagd wordt om met een reply te bevestigen dat het gelezen en akkoord is.
2. Degenen met wie een kennismakingsgesprek plaatsvindt (face-to-face of telefonisch) Tijdens het kennismakingsgesprek wordt het privacybeleid mondeling toegelicht en er wordt mondeling om akkoord gevraagd. Als iemand overweegt of besluit om zich te laten begeleiden door TTV, krijgt diegene de algemene voorwaarden en privacybeleid op papier mee (zie ook punt 1.1 hierboven).

Als het kennismakingsgesprek telefonisch heeft plaatsgevonden, wordt een PDF-document met links naar de URL’s van algemene voorwaarden en privacybeleid en vak ter ondertekening verstuurd per email, voorafgaand aan het eerste consult.

3.A Degenen die een contactformulier op de website invullen In het algemeen betreffen deze gegevens “gerechtvaardigd belang” en daarvoor wordt dus geen toestemming gevraagd.

Omdat er ook gezondheidsgegevens in het contactformulier ingevuld kunnen worden, wordt bij het verzenden van een bericht via het contactformulier, gewaarborgd dat de persoon geïnformeerd wordt over het privacybeleid en daarmee akkoord gaat. (met link naar pagina van privacybeleid).

3.B Degenen die via email, WhatsApp, SMS of Facebook Messenger een bericht hebben gestuurd, met wie (nog) geen face-to-face afspraak is gemaakt Het is niet mogelijk om voorafgaand aan dat iemand een email stuurt, te vragen om akkoord te gaan met het privacybeleid. In het algemeen betreffen de gegevens “gerechtvaardigd belang” en hoeft daarvoor dus geen toestemming te worden gevraagd. Het zou kunnen dat iemand er gezondheidsgegevens bij zet. GCL kan dat niet voorkomen en zal zelf niet via de email om gezondheidsgegevens vragen.

Ditzelfde geldt voor WhatsApp, SMS en Facebook Messenger.

4. (Voormalig) cliënten die een review op de website plaatsen Alleen (voormalig) cliënten schrijven een review op de website. Aan alle cliënten wordt gevraagd om akkoord te gaan met het privacybeleid. In het privacybeleid wordt ook ingegaan op het bewaren van informatie betreffende de review.

Theoretisch kan iemand die geen cliënt is (geweest) ook een review plaatsen. Als dat gebeurt, worden de gegevens direct verwijderd.

5. Degenen die zich inschrijven voor de Fitmanager-nieuwsbrief Mensen vullen hun voornaam en emailadres in omdat ze weten dat het nodig is om een nieuwsbrief te kunnen ontvangen.

Bij het invullen van het mailadres op het aanmeldformulier, wordt gewaarborgd dat de persoon geïnformeerd wordt over het privacybeleid en daarmee akkoord gaat.

6. Degenen die via Google naar de website gaan Conform Google-standaarden

 

5.C Voldoen aan rechten van betrokkenen

Als de betrokkene vraagt om inzicht in zijn/haar gegevens, of om deze aan te passen, over te dragen aan iemand anders of te verwijderen, voldoet TTV zo spoedig mogelijk aan dit verzoek. Zo spoedig mogelijk is in principe binnen 1 werkdag, tenzij dat niet mogelijk (bijvoorbeeld vakantie, ziekte). Dan wordt het gedaan zodra het mogelijk is. In ieder geval binnen 1 maand.

Het verzoek kan plaatsvinden via email/contactformulier, WhatsApp, SMS, per brief, telefonisch en mondeling face-to-face.

Het is onmogelijk dat de persoon zelf de gegevens aanpast, die digitaal bij GCL zijn opgeslagen. Aanpassen kan wel door een verzoek daartoe in te dienen bij TTV.

Om snel te kunnen reageren worden persoonsgegevens zowel digitaal als op in een file per persoon opgeslagen. Digitale communicatie (email/contactformulier, WhatsApp en SMS) wordt niet in een persoonlijke file opgeslagen, omdat die heel snel te selecteren is op een specifieke persoon.

 

Nr. Soort gegeven Mogelijkheid tot inzicht/verwijderen/aanpassen/overdragen van gegevens
1.A – NAW-gegevens

– Geboortedatum als deze op de factuur staat

– Polisnummer als deze op factuur staat

– Bankrekeningnummer

Niet mogelijk i.v.m. wettelijke eis voor fiscale gegevens om deze 7 jaar te bewaren. Daarna wordt het vernietigd. Geboortedatum en polisnummer staan op de factuur als betreffende persoon verzekerd is. Deze gegevens worden daardoor op de factuur ook 7 jaar bewaard.
1.B Alle gegevens van een cliënt, behalve de gegevens waarvoor de wettelijke bewaartermijn van 7 jaar geldt Zie tekst boven deze tabel.
2. Alle gegevens van degenen die op kennismakingsgesprek komen of zijn geweest (face-to-face of telefonisch) Zie tekst boven deze tabel.
3. Alle gegevens via een contactformulier op de website zijn ontvangen, van degenen met wie (nog) geen face-to-face afspraak is gemaakt Zie tekst boven deze tabel.
4. (Voor)naam en tekst van review van (voormalig) cliënten die via een formulier op de website een review op de website plaatsen Zie tekst boven deze tabel.
5. Voornaam en emailadres zoals opgeslagen in Fitmanager mailinglijst Degene die op die mailinglijst staat, kan zijn/haar gegevens verwijderen. Zodra een aanmelding bevestigd is, krijgt degene die zich heeft aangemeld een email met daarin de ingevulde informatie en deze zin: “Als je mijn e-mails niet meer wilt ontvangen, dan kun je je op elk moment afmelden: “Hier afmelden”-link. Dan verschijnt een pagina met het betreffende mailadres ingevuld en een “Afmelden”-button.

Ook kan de persoon zijn/haar gegevens verwijderen d.m.v. een klik op de link onderaan elke email-nieuwsbrief.

6. Geanonimiseerde IP-adres van degenen die via Google op de website aan het kijken zijn Via Google

 

  1. Maatregelen ter beveiliging van de gegevens

6.A Impact van een data-lek

De impact van onrechtmatig verkrijgen of gebruiken van persoonsgegevens (“datalek”):

 

Nr. Soort gegeven Impact bij onrechtmatig verkrijgen en gebruiken
1. Categorie B (gegevens over iemands gezondheid vallen onder de “bijzondere persoonsgegevens”) Verhoogd risico van misbruik die (potentieel grote) impact op de betrokkene heeft
2. Categorieën C t/m F Grotere impact omdat het privacygevoelige informatie betreft. Vormt niet direct een bedreiging voor iemands vrijheid, financiën, relaties of gezondheid
3. Overige categorieën Beperkte impact

 

 

6.B Technische maatregelen om persoonsgegevens te beveiligen

 

Nr. Technische maatregel
1. De digitale gegevens, die zijn opgeslagen in de cloud, zijn beschermd met een wachtwoord, onder account Edwin te Velde.

 

Het wachtwoord voldoet aan de volgende eigenschappen:

– Uniek (wordt nergens anders voor gebruikt)

– Bevat minimaal 9 tekens

– Bevat minimaal 1 cijfer, 1 hoofdletter en 1 speciaal teken

– Wordt minimaal 1x per jaar veranderd

2. De software en de virusscan op de Android computer is up-to-date.
3. De WordPress-website, het thema van de website en de plugins zijn up-to-date.
4.A De gsm van Edwin te Velde beschikt over up-to-date software en een pincode.
5. De wifi-verbinding voldoet aan de WPA2-norm.

Voor bezoekers (privé en zakelijk) is een apart gast-wifi-account beschikbaar, die afgeschermd is van het interne netwerk.

6. De website maakt gebruik van HTTPS (gegevens worden versleuteld). Dit zorgt ervoor dat de door de website-bezoeker ingevoerde gegevens versleuteld worden ‘getransporteerd’ binnen het web.
7. Backups van de website worden door one.com opgeslagen op een veilige locatie.
8. Alle emailverbindingen maken gebruik van IMAPS en SMTPS.

 

9. Op alle clouddiensten is two-factor-authentication ingesteld

 

6.C Organisatorische maatregelen om persoonsgegevens te beveiligen

 

Veilig bewaren digitale gegevens

Persoonsgegevens zullen nooit op een USB-stick, laptop, tablet, telefoon of andere mobiele data-opslag worden bewaard en worden meegenomen naar een andere lokatie, met uitzondering van de telefoon van Edwin te Velde, waarop Fitmanager, email-, WhatsApp-, SMS- en Facebook en Messengerberichten in te zien zijn. De telefoon wordt nooit onbeheerd achter gelaten en is voorzien van TouchID- & codebeveiliging.

 

Bijzondere persoonsgegevens (betreffende iemands gezondheid) niet via digitale communicatiekanalen

TTV vraagt niet via email, WhatsApp, SMS of Facebook Messenger naar informatie betreffende iemands gezondheid. (Aanstaande) cliënten wordt (tijdens het kennismakingsgesprek) geadviseerd om gegevens betreffende hun gezondheid niet via digitale communicatiekanalen te versturen.

 

Niet langer dan nodig bewaren

De eerder genoemde bewaartermijnen zijn opgesteld vanuit het principe om persoonsgegevens niet langer te bewaren dan nodig is. Dat verkleint de kans op het lekken van bepaalde gegevens.

 

Om ervoor te zorgen dat in de praktijk voldaan wordt aan de bewaartermijnen, wordt het vernietigen van gegevens op de volgende manier georganiseerd:

– 1 keer per maand is een moment waarop

– bepaald wordt of er gegevens zijn die opgeslagen moeten worden in de file/ordner “Clientdossiers/bewaartermijn 6 maanden of 1 jaar” en wordt in de titel (digitaal) en op de scheidingsstrook (of het enkele papier van het kennismakingsgesprek) genoteerd op welke datum het vernietigd moet zijn.

– het overschrijden van de bewaartermijn wordt gecontroleerd en zo nodig worden dan de gegevens vernietigd.

– Voor de termijnen 6 maanden en 1 jaar is per persoon in de file/ordner “Clientdossiers/bewaartermijn 6 maanden of 1 jaar” een subfile, zowel op papier als digitaal.

– Vernietiging van fiscale gegevens vindt plaats per kalenderjaar. In de maand januari worden de fiscale gegevens die dan meer dan 7 jaar oud zijn, vernietigd.

– De cliëntfacturen zijn digitaal in een file per persoon opgeslagen. Na betaling van de laatste factuur, worden alle facturen van de betreffende persoon opgeslagen in de file van het fiscale jaar waarin de laatste factuur is betaald (file “Facturen/Afgerond [kalenderjaar]”). Daardoor kan het voorkomen dat een factuur een kalenderjaar langer wordt bewaard dan verplicht is. Aangezien op dezelfde plek toch nog een actuelere factuur bewaard moet worden, maakt dat niet uit.

– De papieren cliëntfacturen zijn opgeslagen in het betreffende kalenderjaar en zullen dus vernietigd worden nadat ze 7 jaar oud zijn.

– Persoonlijke gegevens zitten in principe alleen in de files/ordners “facturen”. Toch worden ook de files/ordners “Belasting” (met overige fiscale gegevens) vernietigd na 7 jaar.

– Digitaal vernietigen betekent dat het ook uit de digitale “prullenbak” wordt verwijderd.

 

 

Checklist vernietigen papieren gegevens Checklist vernietigen digitale gegevens
Niet-fiscale gegevens
Persoonlijke file in ordner “Clientdossiers/bewaartermijn 6 maanden of 1 jaar”, met datum waarop het vernietigd moet zijn op de scheidingsstrook. Persoonlijke file in file “Clientdossiers/bewaartermijn 6 maanden of 1 jaar”, met datum waarop het vernietigd moet zijn in de titel.
Persoonlijke file in ordners betreffende “Huidige cliënten en kennismakingsgesprekken” van cliënten die recent zijn gestopt en mensen die na een kennismakingsgesprek geen cliënt worden. Persoonlijke file in file “Clientdossiers” van cliënten die recent zijn gestopt.
Persoonsgegevens in het adresboek (omdat GCL iedereen die contact opneemt daarin zet, is het adresboek ook een “checklist” voor het verwijderen van digitale communicatie met betreffende personen)
Digitale communicatie met betreffende persoon:

email/contactformulier, WhatsApp, SMS en Facebook Messenger

Ook uit “digitale prullenbak”.
Fiscale gegevens
Het gehele kalenderjaar dat meer dan 7 jaar oud is in de ordner “Facturen [kalenderjaren]” Het gehele kalenderjaar dat meer dan 7 jaar oud is in de file “Facturen/Afgerond [kalenderjaar]”, met daarin de persoonlijke files met facturen.
Het gehele kalenderjaar dat meer dan 7 jaar oud is in de ordner “Belasting [kalenderjaren]” De file “Belasting/[kalenderjaar]”, met daarin o.a. overzichten met factuurgegevens (Excel/Numbers) en PDF-rekeningafschriften.
Boekhouding (Fitmanager) van het betreffende kalenderjaar.
Boekhouding (Moneybird) van het betreffende kalenderjaar.
Ook uit “digitale prullenbak”.

 

6.D Verwerkers digitale gegevens buiten TTV

Met verschillende verwerkers is een verwerkersovereenkomst afgesloten.

 

  1. Fitmanager

TTV maakt gebruik van het online boekhoudprogramma Fitmanager, van het bedrijf OUT2MOVE B.V, waarmee op 18 april 2018 een verwerkersovereenkomst is afgesloten.

  1. Moneybird

Een verwerkersovereenkomst met Moneybird BV is afgesloten op 8 mei 2018.

 

  1. Google

Zie algemene “Google Ads Data Processing Terms”. Het amendement gegevensverwerking voor dit account is geaccepteerd op 26 maart 2018.

 

  1. WordPress hosting partij: one.com

De hosting partij (one.com) heeft toegang tot de gegevens op de website. Een verwerkersovereenkomst is afgesloten in 2018.

 

  1. Gewichtconsulent Leidsche Rijn

Gegevens van cliënten die aan een programma van Fit het Zelf deelnemen, worden uitgewisseld tussen Gewichtconsulent Leidsche Rijn en TTV indien dat nodig is om een kwalitatief goed persoonlijk advies te geven.

Cliënten zijn voor de samenwerking Fit het Zelf standaard cliënt van Training te velde (het bedrijf waar de handelsnaam geregistreerd is). Daardoor is TTV verwerkingsverantwoordelijke. Echter, omdat beide bedrijven toegang hebben tot de gegevens die worden verzameld via de website https://fit-utrecht.nl (geregistreerd bij GCL) en via de email, de verzekerde cliënten voor een deel cliënt zijn van GCL en persoonsgegevens over en weer worden uitgewisseld, is er voor gekozen om 2 verwerkersovereenkomsten te sluiten (één met GCL als verwerkingsverantwoordelijke en één met Training te velde als verwerkingsverantwoordelijke).

 

6.E Datalekken

Indien sprake is van een datalek, wordt binnen 72 uur contact opgenomen met de autoriteit persoonsgegevens en de betrokken personen.

Cresta WhatsApp Chat
Send via WhatsApp