Privacyverklaring

Uw gegevens, ons belang……..

Security & Investigation Group BV is een recherchebureau met een zogenaamde POB vergunning, afgegeven door het Ministerie van Justitie en Veiligheid.

Security & Investigation Group BV is zich bewust van zorgvuldige
omgang met uw persoonsgegevens. Uw persoonsgegevens worden dan ook zorgvuldig verwerkt en beveiligd.
De Algemene Verordening Gegevensbescherming (AVG) is hierin leidend.
Verantwoordelijkheid voor de verwerking van uw persoonsgegevens
Soms verkrijgen we persoonsgegevens van onze opdrachtgevers.
Ook kan het zijn dat uw persoonsgegevens in een rechercheonderzoek, of andere werkzaamheden worden verkregen. Uw persoonsgegevens kunnen ook
verstrekt worden aan derden. Dit doen we eigenlijk alleen maar als wij daar van u toestemming voor hebben gekregen. Verstrekking aan derden kan zonder uw toestemming alleen in het geval dat wij daar een wettelijke
verplichting toe hebben.

Met welk doel gebruiken we uw persoonsgegevens
Security & Investigation Group BV gebruikt uw gegevens voor de navolgende doeleinden:
▪ voor de juiste uitvoering van (recherche)onderzoeken en beveiligingsopdrachten
▪ voor het verstrekken van juiste persoonsinformatie aan onze opdrachtgevers en andere
belanghebbenden.
▪ voor instellingen en/of bedrijven waar wij op grond van wettelijke verplichtingen gehouden zijn uw
gegevens te bewaren.

Welke gegevens verwerken wij
Security & Investigation Group BV verwerkt in ieder geval de volgende persoonsgegevens van u, voor zover die bij ons bekend zijn (geworden):
▪ naam, adres en woonplaats gegevens.
▪ uw contactgegevens (b.v. uw mailadres, telefoonnummer)
▪ gegevens die betrekking hebben op uw persoon en die u ons zelf (uit eigener beweging) aan ons verstrekt.
Het kan zijn dat wij ook bijzondere persoonsgegevens van u verwerken, zoals bijvoorbeeld financiële informatie of strafrechtelijke gegevens.

Hoe weet u welke persoonsgegevens wij bewaren
Security & Investigation Group BV bewaart uw persoonsgegevens digitaal. Als u wilt weten welke persoonsgegevens wij van u hebben bewaard, heeft u de mogelijkheid deze op te vragen en/of in te zien. U heeft hierbij het recht om persoonsgegevens te corrigeren, aan te vullen, te laten verwijderen, maar ook om bezwaar te maken tegen het bewaren ervan. In de meeste gevallen heeft u toestemming gegeven dat wij uw persoonsgegevens bewaren. In dat geval kunt u uw toestemming hiervoor (te allen tijde) intrekken.

Wij behandelen uw verzoek hiertoe uitsluitend schriftelijk, het liefst per mail aan:
Security & Investigation Group BV, info@sig-bv.nl

Op basis van uw verzoek nemen wij binnen 2 (werk)dagen contact met u op.

Hoe lang bewaren wij uw persoonsgegevens
Security & Investigation Group BV bewaart uw persoonsgegevens niet langer dan strikt noodzakelijk is. Security & Investigation Group BV bewaart alleen de noodzakelijke persoonspersoonsgegevens van u. Ook bewaart
Security & Investigation Group BV uw persoonsgegevens alleen voor de doeleinden zoals die eerder in dit privacy statement zijn genoemd.

Wilt u weten waarvoor en hoe lang wij uw persoonsgegevens bewaren, vraag het ons gerust.
Veilig bewaren van uw persoonsgegevens Security & Investigation Group BV is zich bewust van de risico’s van het (digitaal) bewaren van uw persoonsgegevens. Security & Investigation Group BV heeft belangrijke organisatorische en technische beveiligingsmaatregelen getroffen om de risico’s dat er iets misgaat met uw persoonsgegevens te verkleinen.

Ons personeel is kent het belang van de vertrouwelijkheid van uw persoonsgegevens. Onze computers zijn beveiligd tegen hacken en met deugdelijke virusdetectie. Wij werken met toegangsbeveiliging.
Niet alleen op onze computers, maar ook op onze gebouwen.

Klachten
Bent u niet tevreden over de wijze waarop wij met uw persoonsgegevens omgaan, dan vragen wij u dit met ons te bespreken. 

Neem hiertoe contact op met Security & Investigation Group BV. 
Wij zijn altijd bereid om uit te leggen hoe wij met uw persoonsgegevens omgaan. Wij zullen uw vraag en/of klacht uiterst zorgvuldig behandelen.

U kunt ook contact opnemen met de Autoriteit Persoonsgegevens, de Nederlandse toezicht autoriteit. 

Protocol meldplicht datalekken

Vanaf 1 januari 2016 geldt de meldplicht datalekken voor iedere organisatie. 
Bij het invoeren van een procedure voor deze meldplicht kan de onderstaande checklist een hulpmiddel zijn.

Inbreuk op de beveiliging.

Zijn persoonsgegevens verloren gegaan of is sprake van onrechtmatige verwerking
(beveiligingsincident)?
• ➢ Vernietiging of verlies (brand datacenter, ongewild verwijderen van een
bestand zonder back-up)
• ➢ Aantasting, onbevoegde kennisneming, onjuiste verstrekking (verloren USB
stick, gestolen laptop, malware, hack, e-mail naar verkeerde ontvanger)
Incidentenbeheer
Detecteren van beveiligingsincidenten
Geautomatiseerde controle op hacks, malware e.d.
Melden van ieder intern beveiligingsincident bij een vast aanspreekpunt.
➢ Bijvoorbeeld een team van een IT specialist, een jurist en een PR medewerker
➢ Zorg voor interne procedures en training/awareness
Afspraken over melden van externe beveiligingsincidenten
➢ Bij wie en hoe snel moeten bewerkers beveiligingsincidenten melden?
➢ Controle op de naleving Onderzoeken van het incident

Wat is precies met de gegevens gebeurd?

Wat is de aard van de getroffen persoonsgegevens?
• ➢ Bijzondere persoonsgegevens: godsdienst of levensovertuiging, ras, politieke
gezindheid, gezondheid, seksuele leven, lidmaatschap vakbond en strafrechtelijke
gegevens.
• ➢ Persoonsgegevens van gevoelige aard: financieel of economisch (schulden),
stigmatiserend (verslaving, naaktfoto’s, specifieke problemen), inloggegevens,
gegevens die bruikbaar zijn voor identiteitsfraude (kopie ID, BSN, handtekening,
biometrische gegevens), gegevens die vallen onder beroepsgeheim.

Wat is de omvang van het incident? 

➢ Aantal getroffen personen.
➢ Hoeveelheid gegevens per getroffen persoon.
➢ Worden de getroffen gegevens binnen een keten gedeeld?
Wat is de impact op de betrokkenen (klanten/prospects/personeel)?
• ➢ Is sprake van kwetsbare groepen (kinderen, zieken, verstandelijk beperkten,
bedreigde personen)?
• ➢ Is er kans op financieel nadeel? Repareren van de inbreuk

Maatregelen treffen om de gevolgen van het incident te beperken.
Voorkomen van soortgelijke incidenten in de toekomst.
Meldplicht Autoriteit Persoonsgegevens
Melden is verplicht indien sprake is van (een aanzienlijke kans op) ernstige
nadelige gevolgen voor de bescherming van persoonsgegevens.

Zelf afwegen aan de hand van de aard van de gegevens, de omvang van het
incident en de impact op de betrokkenen (zie hiervoor bij onderzoeken van het
incident). 
Daarbij kan het beslis schema uit de Beleidsregels meldplicht datalekken handig zijn:
‘Onverwijld’: binnen 72 uur - daarna kan de melding evt. aangevuld of ingetrokken worden.

Via het meld loket datalekken van de Autoriteit Persoonsgegevens (AP) Informeren betrokkenen.
De personen die zijn getroffen door het datalek dienen te worden geïnformeerd indien de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de
persoonlijke levenssfeer.
Alleen in geval van meldplicht AP.
Informeren hoeft niet indien de getroffen persoonsgegevens onbegrijpelijk of
ontoegankelijk zijn gemaakt (versleuteling of remote wissen)
• ➢ Bij vernietiging (geen back-up) of aantasting (wijziging) van gegevens helpen
deze beschermingsmaatregelen niet.
• ➢ Alle persoonsgegevens moeten zijn versleuteld op moment van de inbreuk.
• ➢ De versleuteling moet adequaat zijn (standaardalgoritme, sleutel niet gelekt en toekomstvast) - check publicaties ENISA (EU Agency for Network and Information
Security) en NCSC (Nationaal Cyber Security Centrum).
Afweging ongunstige gevolgen persoonlijke levenssfeer. 

• ➢ Kan betrokkene last krijgen van de inbreuk, materiële of immateriële schade
lijden (aard gegevens, impact, kwetsbare groep)?
• ➢ Kan betrokkene zichzelf beter beschermen als hij de inbreuk kent?

Bij zwaarwegende belangen kan informatie aan betrokkenen achterwege blijven.
AP kan alsnog verlangen dat betrokkenen worden geïnformeerd.
De informatie moet betrokkenen in staat stellen om de inbreuk op hun
persoonlijke levenssfeer zoveel mogelijk te beperken Registratie beveiligingsincidenten.

Overzicht bijhouden van alle incidenten die gemeld moeten worden aan het AP.
Bewaar het overzicht minimaal één jaar en bij niet informeren betrokkenen drie
jaar.

Communicatie en reputatie
Denk na over de wijze van communiceren met betrokkenen en de pers.
Hoe kan worden omgegaan met signalen van buitenaf over een mogelijk datalek?

Is het inschakelen van externe deskundigen gewenst?
Verzekering meldplicht datalekken of cyberverzekering

Let op dekking voor aansprakelijkheidstelling door derden, ‘eigen kosten’ (kosten onderzoek, PR, informeren klanten, evt. opzetten klanten call center, inschakelen experts) en boetes.