Vertrouwelijkheids- & Privacyverklaring
Stichting Raad voor Accreditatie

Inleiding

De Stichting Raad voor Accreditatie (RvA) verwerkt bedrijfsvertrouwelijke informatie en persoonsgegevens om uitvoering te geven aan haar bij wet toegekende taak; het accrediteren van organisaties die certificeren, inspecteren en testen. De RvA acht informatieveiligheid voor haar klanten van groot belang en heeft een wettelijke verantwoordelijkheid om uw informatie vertrouwelijk te behandelen. In deze verklaring lichten wij toe hoe wij omgaan met uw persoonsgegevens en de gegevens van uw organisatie.

Vertrouwelijkheid

Wettelijke verantwoordelijkheid met betrekking tot vertrouwelijkheid

Als nationale accreditatie-instantie en zelfstandig bestuursorgaan heeft de RvA een wettelijke verantwoordelijkheid om zorgvuldig met gegevens van organisaties die een accreditatie aanvragen, of geaccrediteerd zijn, om te gaan. Organisaties kunnen er daarom onder meer op rekenen dat de RvA:

  • technische en organisatorische maatregelen neemt om vertrouwelijke informatie te beschermen
  • werkt volgens de Baseline Informatiebeveiliging Overheid (BIO)
  • werkt volgens de regels van de Algemene verordening gegevensbescherming (AVG)

Bedrijfs- en persoonsgegevens

Indien u contact heeft met de RvA kan u gevraagd worden om gegevens te delen. Dit kunnen bijvoorbeeld gegevens zijn over uw werkwijzen of kwaliteitsmanagementsysteem bij het indienen van een aanvraag voor accreditatie, of persoonsgegevens bij het doen van een sollicitatie. De RvA behandelt alle gegevens vertrouwelijk. Voor persoonsgegevens past de RvA specifiek beleid toe dat is aangepast aan de Algemene verordening gegevensbescherming. Meer informatie over de verwerking van persoonsgegevens vindt u in het gedeelte over Privacy hieronder.

Baseline Informatiebeveiliging Overheid

Ter bescherming van bedrijfs- en persoonsgegevens, werkt de RvA volgens de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op NEN ISO/IEC 27001:2017 en de NEN ISO/IEC 27002:2017. In dit kader heeft de RvA onder andere specifieke aandacht voor toegangsbeheer, vertrouwelijkheidsrelaties met (ICT-)leveranciers en beschermingsmaatregelen. Het werken volgens de BIO zorgt voor bescherming van zowel vertrouwelijkheid, als beschikbaarheid en integriteit.

Uniform vertrouwelijkheidsbeleid

Als zelfstandig bestuursorgaan behandelt de RvA alle organisaties op dezelfde manier met uniform beleid ten aanzien van vertrouwelijkheid; iedere organisatie heeft recht op dezelfde (betrouwbare) waarborgen. Het sluiten van individuele geheimhoudings- en verwerkersovereenkomsten is in de publiekrechtelijke verhouding tussen de RvA en haar klanten, niet mogelijk.

Privacy

Onderstaande informatie heeft betrekking op de verwerking van persoonsgegevens door de RvA. Wij lichten hierbij toe wat persoonsgegevens zijn, voor welke doelen wij persoonsgegevens verwerken, op welke wijze wij dat doen, en welke beveiligingsmaatregelen daarbij worden getroffen. Ook wordt aangegeven hoe u gebruik kunt maken van uw privacyrechten, zoals het recht op inzage.

Wat is een persoonsgegeven?

Onder persoonsgegevens verstaan we de informatie die herleidbaar is tot een natuurlijk persoon, bijvoorbeeld een naam, huisadres of een e-mailadres, maar ook het IP-adres van uw computer. De privacywetgeving helpt de privacy van burgers te beschermen en geldt ook voor persoonsgegevens die via internet worden verzameld.

Op de website van de Autoriteit Persoonsgegevens vindt u meer informatie over de definitie van persoonsgegevens.

Voor welke grondslag en doelen verwerken wij uw persoonsgegevens?

De RvA kan op diverse wijzen uw persoonsgegevens verkrijgen. Middels deze privacyverklaring maken wij voor u inzichtelijk welke soort persoonsgegevens dit zijn, op basis van welke grondslag dit door ons wordt verwerkt en voor welk doel.

Uitvoering wettelijke taak RvA

De RvA verwerkt persoonsgegevens voor de uitvoering van haar wettelijke taak en behandeling van aanvragen. Het gaat hierbij om o.a. gegevens van de contactpersoon binnen de betreffende organisatie. Het betreft in dit geval een naam, telefoonnummer en e-mailadres.

Sollicitanten

Indien u bij onze organisatie solliciteert, geeft u uw persoonsgegevens telefonisch, via de website, per post of per e-mail aan ons door. Wij kunnen uw persoonsgegevens ook verkrijgen via een derde partij (bijvoorbeeld een uitzendbureau of recruitmentbureau). Het gaat hierbij om uw NAW-gegevens, telefoonnummer, e-mailadres en de persoonsgegevens uit uw CV/sollicitatiebrief. Deze persoonsgegevens worden verwerkt voor het verwerven van personeel voor onze organisatie. Wij hebben voor deze verwerking een gerechtvaardigd belang, namelijk het werven van competent personeel dat goed aansluit bij de functie en bij de organisatie.

Contact via de website

Het is mogelijk om via de website van de RvA uw contactgegevens/persoonsgegevens aan ons door te geven, zodat wij contact met u kunnen opnemen. Het gaat hier bijvoorbeeld om het invullen van het contactformulier of het klachtenformulier. Het gaat hierbij om uw naam, e-mailadres en telefoonnummer. Deze persoonsgegevens worden met uw toestemming verwerkt met het doel om contact met u te kunnen opnemen voor bijvoorbeeld het beantwoorden van een vraag of het maken van een afspraak. Als het contact leidt tot een overeenkomst, worden de persoonsgegevens verwerkt om hier uitvoering aan te kunnen geven.

Nieuwsbrief

Indien u zich aanmeldt voor het ontvangen van onze nieuwsbrief, verwerken wij uw naam en e-mailadres met uw toestemming om u de nieuwsbrief te kunnen toezenden. Voor de nieuwsbrief kunt u zich op elk gewenst moment weer afmelden.

Welke persoonsgegevens verwerken wij?

Het verwerken van persoonsgegevens is nodig om de wettelijke taak uit te voeren. De RvA informeert u in beginsel als zij gegevens van u gaat verwerken. Wij verwerken uitsluitend gegevens die u aan ons verstrekt of waarvan u weet dat de RvA deze van u heeft.

De RvA verwerkt (mogelijk) de volgende persoonsgegevens van u:

  • Voor- en achternaam
  • Adresgegevens
  • Geboortedatum
  • Telefoonnummer
  • Emailadres
  • Persoonsgegevens uit CV/sollicitatiebrief

Hoe gaan wij met uw persoonsgegevens om?

De RvA zorgt voor passende beveiliging van uw persoonsgegevens die zij onder zich heeft, in lijn met de daarvoor geldende wettelijke eisen en richtlijnen, waaronder de Baseline Informatiebeveiliging Overheid (gebaseerd op ISO 27001 en 27002).

De RvA verwerkt uitsluitend persoonsgegevens voor het doel waarvoor het wordt verzameld. Er worden niet meer persoonsgegevens verwerkt dan noodzakelijk voor het doel. De RvA voert geen geautomatiseerde besluitvorming uit.

Alle medewerkers van de RvA hebben een geheimhoudingsverklaring ondertekend en zijn gehouden aan regels met betrekking tot de omgang met informatie waaronder persoonsgegevens.

Wanneer en met wie worden uw persoonsgegevens gedeeld?

De RvA neemt de grootste zorgvuldigheid en terughoudendheid in acht als het gaat om het verstrekken van persoonsgegevens aan derde partijen.

Het accrediteren van bedrijven en instellingen, kan met zich meebrengen dat de RvA gegevens, inclusief uw persoonsgegevens, deelt met onder haar verantwoordelijkheid vallende derden. Deze derden zijn vaak natuurlijke personen die vanuit hun specifieke expertise door de RvA worden aangezocht om, namens het bestuur van de RvA, accreditatiebeoordelingen uit te voeren.

De RvA maakt voor de uitvoering van haar dienstverlening en het verwerken van persoonsgegevens gebruik van de dienstverlening van derde partijen. Deze derde partijen schakelen wij in voor bijvoorbeeld ICT-ondersteuning en telefoondiensten. Deze partijen mogen de persoonsgegevens niet gebruiken voor andere/eigen doeleinden, zijn contractueel verplicht zorgvuldig met uw persoonsgegevens om te gaan, zijn aan een geheimhoudingsplicht gebonden en voldoen aan de eisen die voortvloeien uit de AVG. Met alle derde partijen heeft de RvA een verwerkersovereenkomst gesloten.

Verder kunnen persoonsgegevens worden gedeeld met derden als daar een wettelijke verplichting aan ten grondslag ligt, bijvoorbeeld op bevel van de politie, of gegevens voor de uitvoering van de belastingwetgeving en de pensioenwet.

Hoe lang worden uw persoonsgegevens bewaard?

De RvA bewaart uw persoonsgegevens die zij verwerkt niet langer dan noodzakelijk is voor het doel van de gegevensverwerking dan wel op grond van de Archiefwet is vereist.

De persoonsgegevens die de RvA verkrijgt ten behoeve van een sollicitatieprocedure worden, als de RvA geen (arbeids)overeenkomst met u aangaat, uiterlijk 4 weken na het einde van de sollicitatieprocedure verwijderd. Als u toestemming geeft om de persoonsgegevens langer te bewaren, worden de persoonsgegevens uiterlijk 1 jaar bewaard. Als u een open sollicitatie stuurt en er op dat moment geen openstaande vacature is, zal de RvA hierover contact met u opnemen. Met uw toestemming worden uw persoonsgegevens dan maximaal 1 jaar bewaard met het oog op mogelijke toekomstige vacatures.

Als u staat ingeschreven voor de nieuwsbrief, blijven uw persoonsgegevens bewaard gedurende deze aanmelding. U kunt zich op elk moment hiervoor afmelden door contact met ons op te nemen. Na afmelding worden uw persoonsgegevens binnen redelijke termijn verwijderd.

De persoonsgegevens die nodig zijn voor de uitvoering van de overeenkomst die u of uw organisatie heeft gesloten met de RvA, blijven bewaard zolang dit wettelijk (fiscaal, archiefwet) verplicht is.

Indien het contact niet heeft geleid tot een overeenkomst, worden de persoonsgegevens binnen redelijke termijn verwijderd.

Welke privacyrechten heeft u?

In de volgende situaties kunt u een verzoek doen:

  • U wilt weten welke persoonsgegevens we van u verwerken (artikel 15 AVG).
  • U wilt uw persoonsgegevens laten aanpassen (artikel 16 AVG).
  • U wilt persoonsgegevens laten verwijderen (niet altijd mogelijk, artikel 17 AVG).
  • U wilt dat we uw persoonsgegevens beperkt verwerken (artikel 18 AVG).
  • U wilt bezwaar maken (artikel 21 AVG).

Contact over uw rechten

Een verzoek doen betreffende uw privacyrechten kunt doen via email: privacy@rva.nl.
U kunt ook een verzoek doen via de post:

Raad voor Accreditatie
Verzoek privacyrechten
Postbus 2768
3500 GT  UTRECHT

Als u een verzoek ten uitvoering van uw rechten, zoals hierboven beschreven, indient, kan het zijn dat de RvA u vraagt om u te identificeren. Uw contactgegevens die u hierbij afgeeft worden gebruikt om uw verzoek te kunnen verwerken. U kunt binnen 1 maand een reactie van de RvA ontvangen.

Bij de Autoriteit Persoonsgegevens kunt u een klacht indienen over de wijze waarop de RvA uw persoonsgegevens verwerkt.

Functionaris Gegevensbescherming

De RvA heeft een Functionaris Gegevensbescherming (FG) aangewezen en aangemeld bij de Autoriteit Persoonsgegevens. De FG is onafhankelijk en houdt intern toezicht op de naleving en toepassing van de AVG en de Uitvoeringswet AVG. De FG van de RvA is te bereiken via privacy@rva.nl.

Cookiebeleid

De RvA gebruikt functionele, analytische en tracking cookies. Een cookie is een klein tekstbestand dat bij het eerste bezoek aan deze website wordt opgeslagen in de browser van uw computer, tablet of smartphone. De RvA gebruikt cookies met een puur technische functionaliteit. Deze zorgen ervoor dat de website naar behoren werkt en dat bijvoorbeeld uw voorkeursinstellingen onthouden worden. Deze cookies worden ook gebruikt om de website goed te laten werken en te kunnen optimaliseren.

Ook worden analytische cookies bewaard. Deze cookies worden gebruikt om de website en de daarbij behorende statistieken te analyseren, waardoor de website kan worden geoptimaliseerd. Om de bezoekersstatistieken van de website bij te houden, wordt gebruik gemaakt van Matomo. De cookies worden alleen gebruikt om het aantal bezoekers aan de website bij te houden.

Daarnaast plaatsen we cookies die uw surfgedrag bijhouden zodat we op maat gemaakte content kunnen aanbieden. Bij uw eerste bezoek aan onze website hebben wij u al geïnformeerd over deze cookies en toestemming gevraagd voor het plaatsen ervan. U kunt alle opgeslagen cookies verwijderen via de instellingen van uw browser. Ook kunt u uw internetbrowser zo instellen dat deze geen cookies meer opslaat.

Versiedatum
Privacyverklaring versie april 2022