Inleiding

Brooks pakkingen moet bepaalde informatie over personen verzamelen en gebruiken.

Dit kunnen klanten, leveranciers, zakelijke contacten, werknemers en andere mensen zijn met wie de organisatie een relatie heeft of met wie ze contact moet opnemen.

Het beleid beschrijft hoe deze persoonlijke gegevens moeten worden verzameld, behandeld en opgeslagen om te voldoen aan de normen voor gegevensbescherming van het bedrijf - en aan de wet.

Waarom dit beleid bestaat

Dit gegevensbeschermingsbeleid zorgt ervoor dat Brooks Espressomachines:

  • Voldoet aan de wet op gegevensbescherming en volgt goede praktijken;

  • Beschermt de rechten van medewerkers, klanten en partners;

  • Is open over hoe het de gegevens van individuen opslaat en verwerkt;

  • Beschermt zichzelf tegen de risico's van datalekken;

Wet bescherming persoonsgegevens

De Algemene Verordening Gegevensbescherming beschrijft hoe organisaties - waaronder Brooks Espressomachines - persoonlijke informatie moeten verzamelen, verwerken en opslaan.

Deze regels gelden ongeacht of gegevens elektronisch, op papier of op andere materialen zijn opgeslagen.

Om aan de wet te voldoen, moet persoonlijke informatie eerlijk worden verzameld en gebruikt, veilig worden opgeslagen en niet onwettig worden vrijgegeven.

De Algemene Verordening Gegevensbescherming is gebaseerd op acht belangrijke principes. Deze zeggen dat persoonlijke gegevens:

  1. Eerlijk en rechtmatig worden verwerkt;

  2. Alleen worden verkregen voor specifieke, wettige doeleinden;

  3. Wees adequaat, relevant en niet overdreven;

  4. Nauwkeurig en up-to-date zijn;

  5. Niet langer worden vastgehouden dan nodig is;

  6. Verwerkt in overeenstemming met de rechten van de betrokkenen;

  7. Op de juiste manier worden beschermd;

  8. Niet worden overgedragen buiten de Europese Economische Ruimte (EER), tenzij dat land of gebied ook een passend beschermingsniveau waarborgt;

Mensen, risico's en verantwoordelijkheden

Reikwijdte van het beleid

Dit beleid is van toepassing op:

  • Het hoofdkantoor van Brooks Espressomachines;

  • Alle vestigingen van Brooks Espressomachines;

  • Alle medewerkers en vrijwilligers van Brooks Espressomachines;

  • Alle aannemers, leveranciers en andere personen die namens Brooks Espressomachines werken;

Het is van toepassing op alle gegevens die het bedrijf heeft met betrekking tot identificeerbare individuen, zelfs als die informatie technisch gezien buiten de Data Protection Act 1998 valt. Dit kan omvatten:

  • Namen van personen;

  • Postadressen;

  • E-mailadressen;

  • Telefoonnummers;

  • Alle andere informatie met betrekking tot individuen;

Risico's gegevensbescherming

Dit beleid helpt Brooks Espressomachines te beschermen tegen enkele zeer reële risico's voor de gegevensbeveiliging, waaronder:

  • Schendingen van vertrouwelijkheid. Bijvoorbeeld informatie die ongepast wordt doorgegeven;

  • Geen keuze bieden. Alle personen moeten bijvoorbeeld vrij kunnen kiezen hoe het bedrijf gegevens over hen gebruikt.

  • Reputatieschade. Het bedrijf kan er bijvoorbeeld onder lijden als hackers met succes toegang krijgen tot gevoelige gegevens.

Verantwoordelijkheden

Iedereen die werkt voor of met Brooks Espressomachines heeft een bepaalde verantwoordelijkheid om ervoor te zorgen dat gegevens op de juiste manier worden verzameld, opgeslagen en behandeld.

Elk team dat persoonlijke gegevens verwerkt, moet ervoor zorgen dat deze worden behandeld en verwerkt in overeenstemming met dit beleid en de principes voor gegevensbescherming.

Deze mensen zijn er echter uiteindelijk verantwoordelijk voor dat Brooks Espressomachines aan haar wettelijke verplichtingen voldoet.

Het Bureau voor gegevensbescherming, (naam van de functionaris voor gegevensbescherming invullen), is verantwoordelijk voor:

  • Het bestuur op de hoogte houden van de verantwoordelijkheden, risico's en problemen op het gebied van gegevensbescherming.

  • Herzien van alle procedures voor gegevensbescherming en aanverwant beleid, volgens een overeengekomen schema.

  • Gegevensbeschermingstraining en -advies regelen voor de mensen die onder dit beleid vallen.

  • Vragen afhandelen over gegevensbescherming van medewerkers en anderen die onder dit beleid vallen.

  • Het afhandelen van verzoeken van individuen om de gegevens in te zien die Brooks Espressomachines over hen bewaart (ook wel `toegangsverzoeken` genoemd).

  • Controleren en goedkeuren van contracten of overeenkomsten met derden die mogelijk omgaan met gevoelige gegevens van het bedrijf.

Brooks Espressomachines is verantwoordelijk voor:

  • Ervoor zorgen dat alle systemen, diensten en apparatuur die worden gebruikt voor de opslag van gegevens voldoen aan aanvaardbare beveiligingsnormen.

  • Regelmatige controles en scans uitvoeren om ervoor te zorgen dat beveiligingshardware en -software goed werken.

  • Het evalueren van diensten van derden die het bedrijf overweegt te gebruiken om gegevens op te slaan of te verwerken. Bijvoorbeeld cloud computing-diensten.

  • Het goedkeuren van gegevensbeschermingsverklaringen bij communicatie zoals e-mails en brieven.

  • Vragen over gegevensbescherming van journalisten of mediakanalen zoals kranten beantwoorden.

  • Waar nodig samenwerken met andere medewerkers om ervoor te zorgen dat marketinginitiatieven voldoen aan de principes voor gegevensbescherming.

Algemene personeelsrichtlijnen

De enige mensen die toegang hebben tot gegevens die onder dit beleid vallen, zijn degenen die de gegevens nodig hebben voor hun werk.

Gegevens mogen niet informeel worden gedeeld. Wanneer toegang tot vertrouwelijke informatie nodig is, kunnen werknemers dit aanvragen bij hun lijnmanagers.

Brooks Espressomachines zal training geven aan alle medewerkers om hen te helpen begrijpen wat hun verantwoordelijkheden zijn bij het omgaan met gegevens.

Werknemers moeten alle gegevens veilig bewaren door verstandige voorzorgsmaatregelen te nemen en de onderstaande richtlijnen te volgen.

In het bijzonder moeten sterke wachtwoorden worden gebruikt en deze mogen nooit worden gedeeld.

Persoonlijke gegevens mogen niet worden doorgegeven aan onbevoegden, noch binnen het bedrijf, noch daarbuiten.

Gegevens moeten regelmatig worden gecontroleerd en bijgewerkt als ze verouderd blijken te zijn. Als ze niet langer nodig zijn, moeten ze worden verwijderd.

Werknemers moeten hulp vragen aan hun lijnmanager of de functionaris voor gegevensbescherming als ze twijfelen over een aspect van gegevensbescherming.

Gegevensopslag

Deze regels beschrijven hoe en waar gegevens veilig moeten worden opgeslagen. Vragen over het veilig opslaan van gegevens kun je stellen aan het hostingbedrijf of de gegevensbeheerder.

Als gegevens op papier worden opgeslagen, moeten ze worden bewaard op een veilige plaats waar onbevoegden ze niet kunnen zien.

Deze richtlijnen gelden ook voor gegevens die meestal elektronisch worden opgeslagen, maar om de een of andere reden zijn afgedrukt:

  • Als het niet nodig is, moet het papier van dossiers in een afgesloten lade of archiefkast worden bewaard.

  • Werknemers moeten ervoor zorgen dat papier en print-outs niet worden achtergelaten waar onbevoegden ze kunnen zien, zoals op een printer.

  • Afdrukken van gegevens moeten worden versnipperd en veilig worden weggegooid als ze niet langer nodig zijn.

Wanneer gegevens elektronisch worden opgeslagen, moeten ze worden beschermd tegen ongeoorloofde toegang, onbedoelde verwijdering en kwaadwillige hackpogingen:

  • Gegevens worden beschermd door sterke wachtwoorden die regelmatig worden gewijzigd en nooit worden gedeeld tussen werknemers.

  • Gegevens worden opgeslagen op speciale schijven en servers en mogen alleen worden geüpload naar een goedgekeurde cloud computing-dienst.

  • Servers met persoonlijke gegevens staan op een beveiligde locatie, uit de buurt van algemene kantoorruimtes.

  • Er wordt regelmatig een back-up van de gegevens gemaakt. Deze back-ups worden regelmatig getest volgens de standaard back-upprocedures van het bedrijf.

  • Gegevens worden nooit rechtstreeks opgeslagen op laptops of andere mobiele apparaten zoals tablets of smartphones.

  • Alle servers en computers met gegevens worden beschermd door goedgekeurde beveiligingssoftware en een firewall.

Gebruik van gegevens

Persoonlijke gegevens hebben geen waarde voor Brooks Espressomachines tenzij het bedrijf er gebruik van kan maken. Wanneer persoonlijke gegevens worden geraadpleegd en gebruikt, lopen ze echter het grootste risico op verlies, corruptie of diefstal:

  • Als werknemers met persoonlijke gegevens werken, moeten ze ervoor zorgen dat de schermen van hun computers altijd vergrendeld zijn als ze onbeheerd worden achtergelaten.

  • Persoonlijke gegevens worden niet informeel gedeeld. In het bijzonder mogen ze nooit per e-mail worden verstuurd, aangezien deze vorm van communicatie niet veilig is.

  • Gegevens worden gecodeerd voordat ze elektronisch worden verzonden. De IT-manager kan uitleggen hoe gegevens naar geautoriseerde externe contacten kunnen worden verzonden.

  • Persoonlijke gegevens worden nooit doorgegeven buiten de Europese Economische Ruimte.

  • Werknemers slaan geen kopieën van persoonlijke gegevens op hun eigen computer op. Open altijd de centrale kopie van alle gegevens en werk deze bij.

Nauwkeurigheid van gegevens

De wet verplicht Brooks Espressomachines redelijke stappen te ondernemen om ervoor te zorgen dat de gegevens accuraat en up-to-date blijven.

Hoe belangrijker het is dat de persoonlijke gegevens juist zijn, hoe meer moeite Brooks Espressomachines doet om de nauwkeurigheid te garanderen.

Het is de verantwoordelijkheid van alle werknemers die met gegevens werken om redelijke stappen te ondernemen om ervoor te zorgen dat deze zo nauwkeurig en actueel mogelijk zijn.

  • Gegevens worden op zo weinig mogelijk plaatsen bewaard als nodig is. Medewerkers zullen geen onnodige extra gegevenssets aanmaken.

  • Medewerkers zullen elke gelegenheid aangrijpen om ervoor te zorgen dat gegevens worden bijgewerkt. Bijvoorbeeld door de gegevens van een klant te bevestigen als hij of zij belt.

  • Brooks Espressomachines zal het betrokkenen gemakkelijk maken om de informatie die Brooks Espressomachines over hen bijhoudt, bij te werken. Bijvoorbeeld via de website van het bedrijf.

  • Gegevens worden bijgewerkt wanneer onnauwkeurigheden worden ontdekt. Als een klant bijvoorbeeld niet meer bereikbaar is op zijn opgeslagen telefoonnummer, moet deze uit de database worden verwijderd.

Verzoeken om toegang

Alle personen op wie de persoonsgegevens van Brooks Espressomachines betrekking hebben, hebben recht op:

  • Vraag welke informatie het bedrijf over hen bewaart en waarom.

  • Vraag hoe je er toegang toe krijgt.

  • Laat je informeren over hoe je het up-to-date kunt houden.

  • Geïnformeerd worden over hoe het bedrijf zijn verplichtingen inzake gegevensbescherming nakomt.

Als een persoon contact opneemt met het bedrijf om deze informatie op te vragen, wordt dit een verzoek om toegang genoemd.

Verzoeken van personen om toegang tot de gegevens moeten per e-mail worden gericht aan de gegevensbeheerder op het volgende adres [at] brooks-espressomachines.com. De voor de verwerking verantwoordelijke kan een standaardformulier voor verzoeken verstrekken, hoewel personen dit niet hoeven te gebruiken.