Privacyverklaring

Deze privacyverklaring geeft weer wat wij doen met de persoonsgegevens van onze externe relaties, zoals geregistreerde klanten met een klantportaalaccount, bezoekers, sollicitanten en bezoekers van de website. Om onze (wettelijke) taken uit te kunnen voeren is het nodig om persoonsgegevens te verwerken. Persoonsgegevens zijn gegevens die informatie verstrekken over een individueel persoon, zoals contactgegevens, financiële gegevens en in veel gevallen ook de keurings- en analysegegevens. Voor meer informatie kunt u contact opnemen met onze Functionaris Gegevensbescherming.

Persoonsgegevens

Als wij persoonsgegevens verwerken, doen wij dat altijd zorgvuldig en in overeenstemming met de betreffende wetgeving en ons privacybeleid.
De basisbeginselen van ons privacybeleid zijn:

  • We zijn transparant over wat wij doen met uw gegevens en hoe u bijvoorbeeld uw recht op inzage en bezwaar kunt uitoefenen.
  • We gebruiken de gegevens alleen voor het doel waarvoor wij ze hebben verzameld (zoals uitvoering wettelijke en statutaire taak, procesoptimalisatie en communicatiedoeleinden).
  • We verzamelen, gebruiken en bewaren niet meer gegevens dan wij nodig hebben om het doel te bereiken waarvoor wij de gegevens hebben verkregen en alleen als er geen andere manier is om hetzelfde doel te bereiken.
  • We gebruiken de gegevens alleen voor zover daarvoor een in de wet dan wel de statuten vermelde grond bestaat.
  • We nemen passende beveiligingsmaatregelen tegen verlies van, onbevoegde toegang tot of ongewenste wijziging van de persoonsgegevens.
  • We verstrekken persoonsgegevens alleen aan derden als dat past binnen de doelstelling waarvoor wij ze verzameld hebben en nadat wij voldoende waarborgen krijgen voor de bescherming van de gegevens.

Beveiligen persoonsgegevens

Wij nemen alle passende beveiligingsmaatregelen om de persoonsgegevens te beschermen tegen onrechtmatige toegang of wijziging, openbaarmaking of vernietiging van persoonsgegevens. Als ondanks de beveiligingsmaatregelen er toch sprake is van een beveiligingsincident dat waarschijnlijk nadelige gevolgen heeft voor u, zullen wij u zo snel mogelijk informeren over het incident. We informeren u dan ook over de maatregelen die wij hebben genomen om de gevolgen te beperken en herhaling in de toekomst te voorkomen.

Waar slaan we de gegevens op?

De persoonlijke gegevens die wij over u verzamelen, worden opgeslagen binnen Europese Economische Ruimte (EER).

Geautomatiseerde besluitvorming

Wij nemen geen besluiten op basis van uitsluitend geautomatiseerde verwerkingen over zaken die (aanzienlijke) rechtsgevolgen kunnen hebben. Het gaat hier om besluiten genomen door computerprogramma’s of -systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van NAK) tussen zit.

Delen van persoonsgegevens met derden

Wij leveren geen persoonsgegevens aan derden anders dan wanneer dit noodzakelijk is voor de uitvoering van onze (wettelijke) taak, dan wel om te voldoen aan een wettelijke verplichting dan wel na uw uitdrukkelijke toestemming daarvoor. Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een overeenkomst om te zorgen voor minimaal eenzelfde niveau van beveiliging en borging op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van uw gegevens als wij hanteren.

Gegevens inzien, aanpassen of verwijderen

U heeft het recht om uw persoonsgegevens in te zien en het verzoek te doen om ze te (laten) corrigeren of te (laten) verwijderen. Daarnaast heeft u het recht om een gegeven toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens. U kunt een verzoek tot inzage, correctie, verwijdering van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen per e-mail aan privacy@nak.nl
Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij u zich te komen legitimeren. We reageren binnen vier weken op een dergelijk verzoek.
Mocht u dat wensen dan kunt een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens.

Doelgroepspecifieke privacyverklaringen

Aanvullend op deze algemene privacyverklaring zijn er ook de doelgroepspecifieke privacyverklaringen:

Geregistreerde klanten met een klantportaalaccount

  • Geregistreerd als rechtspersoon dan wel natuurlijk persoon

    Gegevens over een rechtspersoon zijn geen persoonsgegevens. Echter van elke geregistreerde rechtspersoon verwerken we gegevens van de contactpersonen en dat zijn wel persoonsgegevens.
    Over contactpersonen van geregistreerde rechtspersonen verwerken we de contactgegevens zoals naam van de organisatie waarvoor u werkt of die u vertegenwoordigt, persoonsnaam, functie, zakelijk e-mailadres, zakelijk telefoonnummer, de door u aan ons verstrekte informatie en de toegekende bevoegdheden in het Klantportaal.
    De inhoud van de gegevens kunt u inzien via Klantportaal. Via de hoofdcontactpersoon van uw bedrijf kunt u gegevens laten wijzigen of verwijderen.
    Naast deze voor u zichtbare persoonsgegevens registreren (loggen) we welke gegevens u op welk moment invoert, wijzigt of verwijdert. Deze gegevens worden door ons bewaard.
    De contactgegevens bewaren we zolang als dat nodig is voor het beheer en een correcte werking van de processen. Het is uw verantwoordelijkheid dat deze gegevens correct zijn en blijven.
    Zolang u geregistreerd bent bij de NAK zijn de contactgegevens, keuringsgegevens, facturen etc. beschikbaar in uw Klantportaal.
    Na opheffing van het geregistreerd zijn, zijn de gegevens nog 1 maand voor de hoofdcontactpersoon zichtbaar en indien van toepassing te downloaden (denk hierbij aan de facturen). De gegevens bewaren wij voor onbepaalde tijd voor het doen van analyses ten behoeve van het verbeteren van het keuringssysteem en het genereren en analyseren van data ten behoeve van de verbetering van de teelt en het gebruik van het pootaardappelen en zaaizaden.

 

  • Aanvulling voor geregistreerde als natuurlijk persoon

    Alle gegevens die we verwerken die te relateren zijn aan een natuurlijk persoon zijn persoonsgegevens. Dit maakt dat de keuringsgegevens (zoals bijv. keuringsresultaten, analyse-, monsternamegegevens etc.) die we verzamelen over percelen of partijen van natuurlijk personen ook persoonsgegevens zijn en dat dus de privacywetgeving ook op die gegevens van toepassing is.

 

  • Aanvulling op delen van persoonsgegevens met derden

    Het kan zijn dat medewerkers van de Rijksoverheid, Raad voor Accreditatie, accountant, of personen werkend in opdracht van de Rijksoverheid uw gegevens bij ons inzien of opvragen in het kader van onderzoek of rapportage. Zolang wij daar wettelijk of contractueel toe verplicht zijn zullen wij die gegevens met hen delen voor het doel waarvoor ze gevraagd worden.

Website- en Klantportaalbezoekers

De NAK website maakt gebruik van cookies. Dit zijn kleine bestanden die via uw browser op uw computer worden opgeslagen. U kunt uw browser zo instellen, dat cookies alleen na uw toestemming, of zelfs in het geheel niet, op uw computer worden opgeslagen.
De NAK website maakt alleen gebruik van zogenaamde tracking cookies. Deze cookie voldoet aan de richtlijnen van de Telecommunicatiewet. Deze cookies worden gebruikt voor webstatistieken om de kwaliteit van onze website te verbeteren. Voor het plaatsen hiervan is vooraf geen toestemming nodig.
De NAK gebruikt Google Analytics voor het analyseren van de webstatistieken. Hierbij wordt uw IP-adres geanonimiseerd, we delen géén site-statistieken met Google en we maken géén gebruik van andere Google-diensten in combinatie met Google Analytics cookies.

Bezoekers

Welke informatie verzamelen wij?

Wanneer u ons bezoekt registreren we bij de receptie uw naam, de organisatie welke u vertegenwoordigt, op welk moment u met wie een afspraak heeft.

 

Hoe gebruiken wij die informatie en op basis van welke wettelijke grondslag doen we dat?

We verwerken de persoonsgegevens als hierboven genoemd om het voor de receptioniste mogelijk te maken om degene met wie u de afspraak heeft op de juiste wijze te kunnen informeren.

De gegevens welke bij de receptie bekend zijn worden de werkdag nadat u bent ontvangen vernietigd. Degene met wie een afspraak heeft (gehad) zal deze gegevens en de gegevens welke tijdens de ontmoeting en daarna zijn gegenereerd zolang bewaren als hij/zij dat nodig acht. In voorkomend geval kunt u voor meer informatie terecht bij degene met wie u de afspraak heeft gehad.

Sollicitanten

Welke informatie verzamelen wij?

Wij verzamelen en verwerken persoonlijke gegevens over u wanneer u solliciteert bij ons. Wij hanteren daarbij de sollicitatiecode van de Nederlandse Vereniging voor Personeelsmanagement & Organisatieontwikkeling (NVP).
De persoonlijke gegevens die wij verwerken zijn:

  • Uw naam, woonadres, e-mailadres en/of telefoonnummers.
  • Uw opleidingsgeschiedenis en arbeidsverleden.
  • Andere informatie in uw curriculum vitae of andere documenten of informatie die u aan ons verstrekt.
  • Informatie uit het selectieproces.
  • Referenties en beoordelingen met betrekking tot uw werk voor vorige werkgevers.
  • Informatie om uw identiteit en recht op werk te bevestigen.
  • Details van eventuele niet-uitgezeten strafrechtelijke veroordelingen.
  • Informatie over uw feedback over onze organisatie.
  • Alle andere informatie die u mogelijk aan ons verstrekt.

 

Waar komt die informatie vandaan?

Wij verkrijgen deze informatie rechtstreeks van u, van ons personeel, via onze systemen en apparatuur, evenals van derden zoals wervingsbureaus, bedrijven voor antecedentenonderzoek of voormalige werkgevers. We kunnen deze ook verkrijgen via uw openbare profielen die online beschikbaar zijn.

 

Hoe gebruiken wij die informatie en op basis van welke wettelijke grondslag doen we dat?

We verwerken de persoonsgegevens als hierboven genoemd om de volgende redenen:

  • om de juiste afweging te maken over uw geschiktheid voor de functie waarop u solliciteerde.
  • om te voldoen aan zijn wettelijke en regelgevende verplichtingen.
  • om beslissingen te maken.
  • om uw bericht te kunnen opvolgen en u over de vervolgstappen te kunnen informeren.

De gegevens bewaren we zolang ze nodig zijn voor de sollicitatieprocedure. Zolang er geen andere afspraken met u zijn gemaakt worden de gegevens binnen een maand na afronding van de sollicitatieprocedure vernietigd.

Contact

Als u naar aanleiding van deze privacyverklaring contact met ons wilt opnemen, dan kan dat via deze contactgegevens:
Telefonisch: (0527) 635350 (maandag tot en met vrijdag van 8.00-17.00 uur)
E-mail: via privacy@nak.nl
Post: NAK, Postbus 1115, 8300 BC Emmeloord

J.C. de Kroon is de Functionaris Gegevensbescherming van de NAK. Hij is te bereiken via e-mail: privacy@nak.nl .

Wijzigingen privacy statement

De NAK behoudt zich het recht voor om wijzigingen aan te brengen in dit privacy statement. Bekijk regelmatig dit privacy statement, zodat u van de wijzigingen op de hoogte bent.

Informatiebeveiliging

Bij urgente veiligheidszaken kunt u contact opnemen met informatie Security Officer van de NAK (iSO). De iSO is bereikbaar via isecurity@nak.nl. U kunt ook per mail een terugbelverzoek indienen als u dat liever heeft/veiliger vindt. In onderling overleg wordt dan de gewenste wijze van informatieoverdracht afgesproken. Voor minder urgente veiligheidszaken kunt u op de gebruikelijke wijze contact opnemen met de NAK.

Responsible Disclosure

De NAK streeft een hoog niveau van beveiliging na. Het kan echter onverhoopt voorkomen dat er een zwakke plek in het NAK-systeem zit. Als u een kwetsbaarheid ontdekt, kunt u deze volgens onderstaande afspraken aan de NAK melden. U mag de NAK houden aan dit beleid ten aanzien van Responsible Disclosure.

Kwetsbaarheden in ICT-systemen van de NAK

De NAK hoort graag als u een kwetsbaarheid in de ICT-systemen van de NAK heeft gevonden, zodat de NAK de benodigde maatregelen kan treffen. De NAK werkt graag samen met u om de veiligheid van de ICT-systemen te verbeteren en vraagt u daarom:

  • Zo snel mogelijk na ontdekking van de kwetsbaarheid uw bevindingen aan de NAK door te geven via isecurity@nak.nl. Over bevindingen met mogelijk grote risico’s of grote impact hebben we graag overleg over de wijze van informatieoverdracht om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat we dit zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Uw contactgegevens in uw e-mail te vermelden, zodat de iSO met u in contact kan komen om samen te werken aan een veilig resultaat. Minimaal vereist zijn een e-mailadres of telefoonnummer.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat dit is opgelost.
  • Verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
  • U te realiseren dat bekendmaking van eventuele informatie uit NAK-systemen in voorkomende gevallen strafbaar is en kan leiden tot vervolging en/of een schadeclaim.

Vermijd in elk geval

  • Het plaatsen van malware of enige software op het NAK-systeem.
  • Het kopiëren, wijzigen of verwijderen van gegevens of configuraties van een systeem. Een alternatief hiervoor is het maken van een directorylisting of screenshot.
  • Het gebruik van het zogeheten ‘bruteforcen’ om toegang tot systemen te verkrijgen.
  • Het gebruik van ‘denial-of-service’ aanvallen of ‘social engineering’.
  • Het verder uitnutten van de kwetsbaarheid dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Het aanbrengen van veranderingen in het NAK-systeem anders dan noodzakelijk om de kwetsbaarheid vast te stellen.
  • Het gebruik van geautomatiseerde scantools en stuur geen niet-geverifieerde output van dergelijke tools. Scantools genereren vaak ‘false positives’. Alleen door de melder geverifieerde beveiligingsfouten worden door de NAK in behandeling genomen.

U mag het volgende van de NAK verwachten

  • Als uw melding aan de bovenstaande voorwaarden voldoet, verbindt de NAK geen juridische consequenties aan deze melding. De NAK behandelt uw melding strikt vertrouwelijk en deelt geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • De NAK stuurt u binnen 2 werkdagen een ontvangstbevestiging.
  • De NAK reageert binnen 5 werkdagen op uw melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • De NAK houdt u van de voortgang op de hoogte.
  • De NAK lost het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepaalt de NAK wanneer en op welke wijze hierover wordt gepubliceerd.
  • Als een kwetsbaarheid niet of moeilijk op te lossen is of indien er hoge kosten mee gemoeid zijn, kan in onderling overleg worden afgesproken om de kwetsbaarheid niet openbaar te maken.
  • De NAK houdt zich het recht voor indien een kwetsbaarheid vermoedelijk ook op andere plaatsen en bij andere organisaties aanwezig zal zijn, informatie over de kwetsbaarheid met de ICT-community te delen.
  • In onderling overleg kan de NAK, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Als dank voor uw hulp biedt de NAK een beloning voor elke melding van een nog onbekend en serieus NAK-beveiligingsprobleem. De beloning zal nooit in geldelijke vorm zijn.

Deze tekst is opgesteld in lijn met de Coordinated Vulnerability Disclosure van het Nationaal Cyber Security Centrum.