U maakt gebruik van Internet Explorer 11. Deze browser wordt niet meer ondersteund.

Voor een optimale gebruikerservaring adviseren we u een andere browser te installeren. QV eHerkenning ondersteunt de laatste versies van: Edge, Chrome, Firefox en Safari.

Shape
Banner
EH

Privacyverklaring QuoVadis eHerkenning

1. Inleiding

Wij begrijpen dat uw privacy belangrijk voor u is en dat u belang hecht aan de manier waarop uw persoonsgegevens
worden gebruikt. Wij eerbiedigen en respecteren de privacy van iedere gebruiker van QuoVadis eHerkenning en
verzamelen en gebruiken persoonsgegevens alleen zoals in deze privacyverklaring beschreven, in
overeenstemming met onze verplichtingen en met inachtneming van uw rechten op grond van de algemene
verordening gegevensbescherming (Verordening (EU) 2016/679) (de ‘AVG’). Lees deze privacyverklaring
zorgvuldig door en zorg dat u ze begrijpt.

Dit beleid is van toepassing wanneer wij optreden als verwerkingsverantwoordelijke met betrekking tot de
persoonsgegevens van QuoVadis eHerkenning gebruikers; met andere woorden wanneer we de doeleinden en
middelen van de verwerking van die persoonsgegevens bepalen.

2. Informatie over ons

QuoVadis eHerkenning is een product van Unifiedpost Services B.V., een besloten vennootschap naar Nederlands recht
met maatschappelijke zetel te Albert Einsteinweg 4, 8218 NH Lelystad, Nederland en met Kamer van Koophandel
nummer 92019226, waarnaar hierna wordt verwezen met ‘Unifiedpost Services, ‘we’ of ‘ons’.

Vragen over deze privacyverklaring kunt u richten aan:

Functionaris voor gegevensbescherming:               Mathias Baert
E-mailadres:                                                                  gdpr@unifiedpost.com
Postadres:                                                                      Postbus 18, 8200 AA Lelystad, Nederland

3. Wat zijn persoonsgegevens?

Persoonsgegevens worden in de algemene verordening gegevensbescherming (Verordening (EU) 2016/679) (de ‘AVG’) gedefinieerd als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator.

Persoonsgegevens zijn, eenvoudiger gezegd, alle informatie over u die het mogelijk maakt u te identificeren. Persoonsgegevens omvatten voor de hand liggende informatie zoals uw naam en contactgegevens, maar ook minder voor de hand liggende informatie zoals identificatienummers, elektronische locatiegegevens en andere online-identificatoren.

De persoonsgegevens die we gebruiken, zijn vermeld in punt 5 van deze privacyverklaring.

4. Wat zijn mijn rechten?

Krachtens de AVG hebt u de volgende rechten, die we altijd zullen respecteren:

  • Het recht om te worden geïnformeerd over de verzameling en het gebruik van uw persoonsgegevens. In deze privacyverklaring zou u alles moeten vinden wat u dient te weten. Als u meer informatie wenst of vragen hebt, kunt u echter altijd contact met ons opnemen. Zie punt 11 voor onze contactgegevens.
  • Het recht van inzage in de persoonsgegevens die we over u bewaren. In punt 10 leest u hoe u dit recht kunt uitoefenen.
  • Het recht om uw persoonsgegevens waarover we beschikken te laten rectificeren indien ze onnauwkeurig of onvolledig zijn. Neem voor meer informatie contact met ons op via de contactgegevens in punt 11.
  • Het recht op vergetelheid, d.w.z. het recht om ons te verzoeken uw persoonsgegevens waarover we beschikken, te wissen of anderszins te verwijderen. Neem voor meer informatie contact met ons op via de contactgegevens in punt 11.
  • Het recht op beperking (d.w.z. voorkoming) van de verwerking van uw persoonsgegevens.
  • Het recht om te allen tijde uw toestemming voor een bepaalde gegevensverwerkingsactiviteit in te trekken.
  • Rechten in geautomatiseerde besluitvorming en profilering: We gebruiken uw persoonsgegevens niet op deze manier.

Voor zover de rechtsgrond van onze verwerking van uw persoonlijke gegevens toestemming is, hebt u te allen tijde het recht om die toestemming in te trekken. De intrekking heeft geen invloed op de rechtmatigheid van de verwerking vóór de intrekking.

Voor meer informatie over ons gebruik van uw persoonsgegevens of de uitoefening van uw rechten zoals hierboven uiteengezet, kunt u contact met ons opnemen via de contactgegevens in punt 11. Indien u van mening bent dat onze verwerking van uw persoonsgegevens in strijd is met wetgeving inzake gegevensbescherming, hebt u het wettelijke recht om een klacht in te dienen bij een toezichthoudende autoriteit die verantwoordelijk is voor gegevensbescherming. U kunt dit doen in de EU-lidstaat waar u gewoonlijk verblijft, waar u uw werkplek hebt of waar de beweerde inbreuk is begaan. Omdat we graag de kans krijgen uw problemen op te lossen, vragen we u echter eerst contact met ons op te nemen via de contactgegevens in punt 11.

5. Welke persoonsgegevens verwerken we?

In dit punt vindt u de volgende informatie:

  • De algemene categorieën van persoonsgegevens die we kunnen verwerken;
  • De doeleinden waarvoor we persoonsgegevens kunnen verwerken; en
  • De rechtsgronden voor de verwerking.

Afhankelijk van het betrouwbaarheidsniveau van uw eHerkenningsmiddel kunnen we sommige of alle van de volgende persoonsgegevens verzamelen:

Accountgegevens
We kunnen uw accountgegevens (‘accountgegevens’) verwerken. De accountgegevens omvatten uw e-mailadres en telefoonnummer. De accountgegevens kunnen worden verwerkt om onze diensten te verstrekken (inloggen met uw eHerkenningsmiddel en met u communiceren). De rechtsgrond voor deze verwerking is de uitvoering van een overeenkomst.

Identiteitsgegevens
We kunnen uw persoonsgegevens verwerken die bij het gebruik van onze diensten zijn verstrekt (‘identiteitsgegevens’). Die persoonsgegevens worden door u of de organisatie waarvoor u moet inloggen verstrekt. Al naargelang het betrouwbaarheidsniveau van uw eHerkenningsmiddel, kunnen de identiteitsgegevens al de informatie bevatten die beschikbaar is op uw officiële identiteitsdocument zoals uw naam, geboortedatum en Burgerservicenummer (BSN). De identiteitsgegevens kunnen worden verwerkt om uw identiteit te bewijzen. De rechtsgrond voor de verwerking is de uitvoering van een overeenkomst.
We kunnen uw identiteitsgegevens, indien u hiervoor toestemming hebt gegeven delen met de dienst(verlener) waarbij u inlogt met uw eherkenningsmiddel. De rechtsgrond voor de verwerking is uw toestemming.

Biometrische gegevens (bijzondere persoonsgegevenscategorie)
Als onderdeel van het online identiteitsverificatieproces kunnen we biometrische gegevens verwerken via een selfie of video om de foto die is genomen van het officiële identificatiedocument dat door u wordt gepresenteerd, te vergelijken met de controle op levendheid. Deze biometrische gegevens worden aangemaakt en gebruikt voor de duur van dit vergelijkingsproces. De rechtsgrond voor deze verwerking is uw uitdrukkelijke toestemming. Als u uw toestemming niet hebt gegeven, kunt u geen gebruik maken van het online identiteitsverificatieproces.

Burgerservicenummer (BSN)
DigiCert heeft in relatie tot eHerkenning voor eenmanszaken of Europees gebruik (eIDAS), waar het BSN het unieke identificerende kenmerk is, een wettelijke grondslag voor het verwerken van het BSN.

In alle andere situaties adviseren wij bij aanlevering van een kopie identiteitsbewijs het BSN af te schermen, naast pasfoto en nationaliteit.

Metagegevens
We kunnen metagegevens met persoonsgegevens verwerken die door DigiCert zijn verzameld voor het inlogproces, de evaluatie en verbetering van de QuoVadis eHerkenning dienstverlening. De rechtsgrond voor de verwerking van dergelijke gegevens is een gerechtvaardigd belang van ons.

Andere
We kunnen de in deze privacyverklaring genoemde persoonsgegevens verwerken wanneer dat nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, hetzij in een gerechtelijke procedure, hetzij in een administratieve of buitengerechtelijke procedure. De rechtsgrond voor deze verwerking is een gerechtvaardigd belang van ons, namelijk de bescherming en uitoefening van onze wettelijke rechten, uw wettelijke rechten en de wettelijke rechten van anderen.
We de in dit document vermelde persoonsgegevens verwerken wanneer dat nodig is om een verzekeringsdekking te verkrijgen of te behouden, risico’s te beheren of professioneel advies in te winnen. De rechtsgrond voor deze verwerking is een gerechtvaardigd belang van ons, namelijk de afdoende bescherming van ons bedrijf tegen risico’s.
We zullen uw persoonsgegevens alleen gebruiken voor het doel (de doelen) waarvoor ze oorspronkelijk zijn verzameld, tenzij we redelijkerwijs van mening zijn dat een ander doel verenigbaar is met dat oorspronkelijke doel (die oorspronkelijke doelen) en we uw persoonsgegevens voor dat andere doel moeten gebruiken. Als we uw persoonsgegevens op deze manier gebruiken en u wilt dat we uitleggen hoe het nieuwe doel verenigbaar is met het oorspronkelijke doel, neem dan contact met ons op via de contactgegevens in punt 11. Indien we uw persoonsgegevens moeten gebruiken voor een doel dat geen verband houdt of onverenigbaar is met het doel of de doelen waarvoor ze oorspronkelijk zijn verzameld, zullen we u daarvan in kennis stellen en zullen we uitleggen op basis van welke rechtsgrond we dat mogen doen. In sommige omstandigheden kunnen we, indien wettelijk toegestaan of vereist, uw persoonsgegevens verwerken zonder uw medeweten of toestemming. Dit zal alleen gebeuren binnen de grenzen van de AVG (of andere toepasselijke wetgeving inzake gegevensbescherming) en met inachtneming van uw wettelijke rechten.
Bezorg ons geen persoonsgegevens van iemand anders, tenzij we u dit vragen.

6. Deelt u mijn persoonsgegevens?

Gebruik van een of meer verwerkers
We zijn vrij om een beroep te doen op gegevensverwerkers (elk lid van de DigiCert-groep kan een verwerker zijn). Een verwerker is de natuurlijke of rechtspersoon die uw persoonsgegevens verwerkt op verzoek van en namens ons, de verwerkingsverantwoordelijke. De verwerker is verplicht ervoor te zorgen dat de persoonsgegevens worden beveiligd en dat ze vertrouwelijk blijven. De verwerker zal altijd volgens onze instructies handelen. We vertrouwen op verwerkers voor hostingdoeleinden en identiteitscontroles.
Met het oog op de optimale bescherming van uw persoonsgegevens hebben we de nodige contractuele afspraken gemaakt met onze verwerkers om ervoor te zorgen dat ze de hoogste privacynormen toepassen. In ieder geval moeten de verwerkers ervoor zorgen dat de persoonsgegevens worden beveiligd en dat ze vertrouwelijk blijven.

Doorgifte van persoonsgegevens aan derden
Naast de specifieke openbaarmakingen van persoonlijke gegevens die hier worden uiteengezet, kunnen we uw persoonlijke gegevens bekendmaken waar dergelijke openbaarmaking noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan wij zijn onderworpen. We kunnen uw persoonlijke gegevens ook vrijgeven wanneer een dergelijke openbaarmaking noodzakelijk is voor het instellen, uitoefenen of verdedigen van juridische claims, hetzij in gerechtelijke procedures, hetzij in een administratieve of buitengerechtelijke procedure.

7. Internationale doorgifte van uw persoonsgegevens
We zullen uw persoonsgegevens zoveel als mogelijk binnen de Europese Economische Ruimte (de ‘EER’) opslaan of doorgeven. De EER bestaat uit alle EU-lidstaten plus Noorwegen, IJsland en Liechtenstein. Tevens kunnen we ook persoonsgegevens opslaan of doorgeven aan verwerkers in het Verenigd Koninkrijk. Dit betekent dat uw persoonsgegevens volledig zullen worden beschermd volgens de gegevensbeschermingswetgeving, de AVG en/of gelijkwaardige wettelijke normen.

8. Hoelang bewaart u mijn persoonsgegevens?

We bewaren uw persoonsgegevens niet langer dan noodzakelijk is in het licht van de reden(en) waarvoor ze oorspronkelijk zijn verzameld.

Wij hanteren de volgende bewaartermijn voor alle (categorieën) van persoonsgegevens: 7 jaar na beëindiging overeenkomst.

Uitzonderingen hierop zijn:

  1. ontvangen kopie identiteitsbewijs: maximaal 4 weken
  2. (nog) niet verwerkte aanvragen/wijzigingsverzoeken: maximaal 4 weken
  3. telefoongesprekken: maximaal 21 dagen
  4. biometrische gegevens: maximaal 7 dagen

Niettegenstaande de andere bepalingen van dit punt, kunnen we uw persoonsgegevens bewaren indien dat noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan we onderworpen zijn.

9. Beveiliging van persoonsgegevens

De veiligheid van uw persoonsgegevens is voor ons van essentieel belang. Om uw gegevens te beschermen, treffen we passende technische en organisatorische maatregelen.

Versleuteling
We versleutelen alle gegevens die we opslaan met verschillende sleutels. Wanneer u online persoonsgegevens verstrekt, gebruiken we de industrienorm voor versleuteling op het internet – Transport Layer Security- (TLS) technologie – om de door u verstrekte gegevens te beschermen. Deze standaard versleutelt gegevens wanneer ze van uw apparaat naar onze server worden verzonden. We gebruiken ook digitale certificaten om te garanderen dat u verbonden bent met authentieke kanalen.

Gegevensopslag
Alle (persoonlijke) gegevens, of ze nu actief of gearchiveerd worden gebruikt, worden opgeslagen op een server. We gebruiken beveiligde servers om de gegevens op te slaan. Zie punt 7 voor landen waar de beveiligde servers waarop we gegevens opslaan kunnen staan.

Beperkte toegang
Intern wordt de toegang tot de persoonsgegevens strikt beperkt tot personen die ervan op de hoogte moeten zijn. Alleen bevoegde personeelsleden zullen toegang kunnen krijgen tot de persoonsgegevens en hun activiteiten zullen worden gemonitord om misbruik te voorkomen.

 

10. Hoe krijg ik toegang tot mijn persoonsgegevens?

Als u wilt weten welke persoonsgegevens we over u hebben, kunt u ons de details van die persoonsgegevens en een kopie ervan vragen (voor zover er persoonsgegevens over u worden bewaard). Dit wordt een ‘inzageverzoek van een betrokkene’ genoemd.

Alle inzageverzoeken van betrokkenen moeten schriftelijk worden ingediend en worden verzonden naar het in punt 11 (Hoe kan ik mijn rechten uitoefenen?) vermelde e-mailadres of postadres.

Normaal zijn er geen kosten verbonden aan een inzageverzoek van een betrokkene. Indien uw verzoek “kennelijk ongegrond of buitensporig” is (bv. indien u herhaalde verzoeken indient), kan een vergoeding worden aangerekend om de administratieve kosten te dekken die we maken om aan uw verzoek te voldoen.

We beantwoorden uw inzageverzoek binnen vijftien werkdagen en in elk geval niet later dan één maand na bevestigde ontvangst ervan. Normaal streven we ernaar u binnen die termijn een volledig antwoord te geven, met inbegrip van een kopie van uw persoonsgegevens. In sommige gevallen, met name wanneer uw verzoek complexer is, kan echter meer tijd nodig zijn, tot maximaal drie maanden na de datum waarop we uw verzoek hebben ontvangen. We zullen u volledig op de hoogte houden van onze vorderingen.

11. Hoe kan ik mijn rechten uitoefenen?

U heeft het recht om uw persoonsgegevens in te zien en te corrigeren Dit kunt u zelf doen via de persoonlijke profielpagina
van uw account. Daarnaast heeft u het recht om uw persoonsgegevens te verwijderen, uw eventuele toestemming
voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens
door Unifiedpost Services.

Wilt u gebruik maken van uw recht op verwijderen en/of bezwaar of heeft u andere vragen/opmerkingen over de
gegevensverwerking, stuur dan een gespecificeerd verzoek naar eherkenning@qv-eherkenning.nl.

We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek. Afhankelijk van uw verzoek kunnen er kosten in
rekening worden gebracht.

12. Wijzigingen in deze privacyverklaring

We behouden ons het recht voor om deze privacyverklaring van tijd tot tijd te wijzigen. Dit moet bijvoorbeeld als de wet verandert of als een wijziging in de functionaliteiten van QuoVadis eHerkenning gevolgen heeft voor de bescherming van persoonsgegevens en privacy.

Wijzigingen zullen op onze websites worden gepubliceerd. Wij adviseren u dan ook regelmatig op deze pagina te kijken of er aanpassingen zijn doorgevoerd.