a

Privacyverklaring IT Crowdsource B.V.

Verwerkingsverantwoordelijke en contactgegevens

IT Crowdsource B.V. (hierna “IT Crowdsource” of “wij”) is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens zoals beschreven in deze privacyverklaring. IT Crowdsource is een ICT-dienstverlener die diensten aanbiedt op het gebied van consultancy, hosting, Software-as-a-Service (SaaS), softwareontwikkeling, detachering van IT-professionals en beveiligingsdiensten. Ons kantoor is gevestigd in Nederland. Voor vragen over deze privacyverklaring of de verwerking van uw gegevens kunt u contact met ons opnemen:

  • Adres: Seeligsingel 1, 4811 CN, Breda, Nederland
  • E-mail: info@itcrowdsource.com
  • Telefoon: +31850014220

We hechten veel waarde aan uw privacy en behandelen persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG). IT Crowdsource heeft momenteel geen functionaris voor gegevensbescherming (FG) aangesteld, maar u kunt met alle privacygerelateerde vragen terecht bij bovenstaand contactpunt.

Toepassingsgebied en rol van IT Crowdsource

Deze privacyverklaring is van toepassing op alle verwerkingen van persoonsgegevens waarvoor IT Crowdsource het doel en de middelen bepaalt, dus waarbij wij als verwerkingsverantwoordelijke optreden. Dit betreft bijvoorbeeld de gegevensverwerkingen voor onze eigen bedrijfsvoering, website en marketing.

IT Crowdsource als verwerker: In het kader van onze ICT-dienstverlening kan IT Crowdsource ook persoonsgegevens verwerken in opdracht van klanten. In die gevallen treden wij op als verwerker en verwerkt IT Crowdsource de gegevens alleen ten behoeve van en volgens de instructies van de betreffende klant (de verwerkingsverantwoordelijke). Denk hierbij aan situaties waarin wij klantgegevens hosten of beheren als onderdeel van onze hosting-, SaaS- of securitydiensten. Wanneer wij als verwerker optreden, is deze privacyverklaring niet rechtstreeks van toepassing op die verwerkingen – in plaats daarvan zal de privacyverklaring van de betreffende klant gelden. We zorgen er in dergelijke gevallen wel voor dat er een verwerkersovereenkomst met de klant is gesloten, waarin onder andere passende waarborgen, beveiligingsmaatregelen en afspraken over geheimhouding zijn vastgelegd. Indien u vragen heeft over gegevensverwerkingen die wij namens een klant uitvoeren, kunt u zich in principe wenden tot die klant (de verwerkingsverantwoordelijke). Mocht u toch een dergelijk verzoek bij ons indienen, dan zullen wij dit – voor zover toegestaan – doorgeleiden naar de betreffende klant.

Wij bedienen klanten in alle sectoren. Dit betekent dat wij in onze rol als verwerker uiteenlopende soorten persoonsgegevens kunnen tegenkomen, mogelijk ook gevoelige of bijzondere gegevens (bijvoorbeeld gezondheidsgegevens in een zorgproject). In alle gevallen gaan wij hier uiterst zorgvuldig mee om en treffen wij de benodigde maatregelen zoals bij wet vereist en zoals overeengekomen in de verwerkersovereenkomst.

Welke persoonsgegevens verwerken wij?

IT Crowdsource verwerkt verschillende categorieën van persoonsgegevens, afhankelijk van de relatie die we met u hebben (bijv. klant, websitebezoeker) en de diensten die u afneemt. We beperken ons tot de gegevens die noodzakelijk zijn voor de hieronder beschreven doeleinden.
Het kan daarbij onder andere gaan om:

  • Contactgegevens: naam, adres, telefoonnummer, e-mailadres en eventueel functie/title van contactpersonen.
  • Bedrijfsgegevens: naam en contactgegevens van het bedrijf of de organisatie waarvoor u werkt, KvK-nummer, BTW-nummer en vergelijkbare gegevens voor zakelijke klanten/leveranciers (voor zover deze als persoonsgegeven gelden, bijvoorbeeld bij een eenmanszaak).
  • Identificatie- en accountgegevens: inloggegevens (gebruikersnaam, wachtwoord) voor door ons geleverde (SaaS-)applicaties of portals, indien van toepassing, en eventueel klantnummers of andere interne identificatoren.
  • Technische gegevens: IP-adres, MAC-adres, apparaat-ID’s, toestel- of browserinformatie, gebruikte softwareversies, logbestanden van systeem- of netwerkactiviteiten, en andere technische identificatoren die worden gegenereerd bij het gebruik van onze websites, diensten of IT-systemen.
  • Locatiegegevens: geografische locatie (bijvoorbeeld benaderde locatie afgeleid van uw IP-adres, of GPS-locatie als u een door ons geleverde mobiele applicatie met locatietoegang gebruikt). Deze verwerken wij alleen indien relevant voor de geleverde dienst of beveiliging.
  • Financiële gegevens: bankrekeningnummers (IBAN), factuur- en betalingsgegevens, kredietwaardigheidsinformatie (indien wij op rekening leveren), en andere administratieve gegevens die nodig zijn voor facturatie en betalingen.
  • Gegevens verkregen via cookies en tracking: zie ook Cookies en tracking hieronder. Dit omvat gegevens zoals unieke cookie-ID’s, surf- en klikgedrag op onze website, duur en tijdstippen van websitebezoek, en interacties met onze online advertenties of nieuwsbrieven. Via tools als Google Analytics en advertentietrackers (zoals de Facebook/Instagram Pixel en LinkedIn Insight Tag) verkrijgen wij bijvoorbeeld informatie over welke pagina’s worden bezocht, hoe u op onze site bent gekomen en welke campagnes effectief zijn. Dit soort gegevens kunnen indirect herleidbaar zijn tot een persoon (bijvoorbeeld via een combinatie van IP-adres en cookie-ID).
  • Bijzondere persoonsgegevens: In principe is het niet onze bedoeling om bijzondere categorieën van persoonsgegevens te verzamelen (zoals gegevens over gezondheid, etniciteit, religie, vakbondslidmaatschap, strafrechtelijke gegevens, etc.). We vragen u ook om dergelijke gevoelige informatie niet met ons te delen tenzij dit strikt noodzakelijk is. Mocht het toch voorkomen dat wij bijzondere persoonsgegevens verwerken, dan zullen wij dit alleen doen indien daar een specifieke wettelijke grondslag voor is (zie ook hieronder bij Doeleinden en grondslagen) en met toepassing van extra beschermingsmaatregelen. Een voorbeeld kan zijn dat u vrijwillig informatie over uw gezondheid verstrekt in het kader van een toegangsvoorziening of als dit nodig is voor een bepaalde consultancydienst; in zo’n geval zullen wij uw expliciete toestemming vragen of op een andere toegestane grondslag vertrouwen en de informatie strikt vertrouwelijk behandelen.

Bron van de gegevens: In de meeste gevallen verkrijgen wij de persoonsgegevens rechtstreeks van u zelf, bijvoorbeeld wanneer u een offerte aanvraagt, een overeenkomst sluit, contact met ons opneemt of onze website bezoekt (waarbij u bepaalde gegevens invult of cookies accepteert). Soms krijgen wij gegevens van derden: bijvoorbeeld van uw werkgever of opdrachtgever (als u eindgebruiker bent van onze diensten via uw bedrijf), van publieke bronnen (zoals het Handelsregister voor bedrijfsgegevens), of van partners waarmee wij samenwerken. In alle gevallen zorgen wij ervoor dat de verkrijging en verwerking van de gegevens rechtmatig is en passen wij deze privacyverklaring toe.

Doeleinden en grondslagen van verwerking

Wij verwerken uw persoonsgegevens uitsluitend voor duidelijk omschreven doelen en baseren ons daarbij op een geldige rechtsgrond zoals vereist onder de AVG. Hieronder lichten wij de doeleinden toe waarvoor IT Crowdsource gegevens verwerkt, met daarachter (tussen haakjes) de wettelijke grondslag waarop die verwerking rust:

  • Levering van diensten en uitvoering van overeenkomsten: We gebruiken gegevens om onze ICT-diensten te kunnen verlenen en de overeenkomsten die we met u of uw organisatie hebben correct uit te voeren. Dit omvat bijvoorbeeld het leveren van consultancyadvies, het hosten van uw applicaties of data, het onderhouden van software, het ter beschikking stellen van SaaS-platformen, het inzetten van onze medewerkers op locatie (detachering), of het uitvoeren van beveiligingsopdrachten. Hierbij horen ook alle bijbehorende klantenservice- en supportactiviteiten. (Grondslag: noodzakelijk voor de uitvoering van de overeenkomst, art. 6(1)(b) AVG).
  • Klantenbeheer en relatieonderhoud: Om onze klantrelatie goed te onderhouden, verwerken we contactgegevens en communicaties. We houden bijvoorbeeld bij met wie we contact hebben binnen uw organisatie, correspondentie (e-mails, notities van telefoongesprekken), en afspraken. Ook verwerken we gegevens voor accountmanagement, het opstellen en beheren van contracten, en om u op de hoogte te houden van wijzigingen in onze diensten. (Grondslag: uitvoering van de overeenkomst voor bestaande klanten, of ons gerechtvaardigd belang bij een effectief relatiebeheer, art. 6(1)(f) AVG).
  • Facturatie en administratie: We verwerken persoonsgegevens voor financiële administratie, facturatie en betalingsverkeer. Denk aan het opmaken en versturen van facturen, het bijhouden van betalingen, en het verwerken van financiële gegevens in onze boekhouding. Ook slaan wij bepaalde gegevens op om te voldoen aan fiscale bewaarplichten. (Grondslag: uitvoering van de overeenkomst voor het factureren, art. 6(1)(b); en voor het deel wettelijke boekhoud- en belastingverplichtingen, art. 6(1)(c) AVG – wettelijke verplichting).
  • Marketing en communicatie: Met uw toestemming gebruiken wij uw gegevens voor marketingdoeleinden, zoals het versturen van nieuwsbrieven, aanbiedingen of informatie over nieuwe diensten van IT Crowdsource. Bijvoorbeeld, als u zich aanmeldt voor onze nieuwsbrief of whitepapers downloadt, verwerken wij uw naam en e-mailadres om u dergelijke communicatie te sturen. Ook kunnen we (met toestemming) gegevens over uw gebruik van onze website en diensten analyseren om u gerichtere content of aanbiedingen te tonen die aansluiten bij uw interesses. Tevens maken wij gebruik van online advertentieplatformen (Facebook/Instagram, LinkedIn, Google Ads) om u op die platforms relevante advertenties te kunnen tonen; daarbij kunnen wij e-mailadressen of andere identifierende gegevens uploaden in versleutelde vorm om doelgroepen aan te maken, of gebruikmaken van trackingpixels om bij te houden welke inhoud u interessant vond. U kunt zich op ieder moment afmelden voor marketing e-mails via de uitschrijflink in elk bericht of door contact met ons op te nemen. (Grondslag: uw toestemming, art. 6(1)(a) AVG; of in bepaalde gevallen ons gerechtvaardigd belang in zakelijke klantrelaties, art. 6(1)(f), bijvoorbeeld voor het aanbieden van vergelijkbare diensten aan bestaande klanten, binnen de grenzen van de telecommunicatiewetgeving. U hebt altijd het recht van bezwaar tegen direct marketing, zie Uw rechten.)
  • Verbetering van diensten en innovatie: We verwerken gegevens om onze dienstverlening te analyseren en verbeteren. Bijvoorbeeld kunnen we gebruiksgegevens, feedback of incidentmeldingen analyseren om de prestaties van onze software of infrastructuur te verbeteren, of om nieuwe functionaliteiten te ontwikkelen. Ook kunnen we interne statistieken en rapportages opstellen (bijvoorbeeld uit Google Analytics of onze helpdesk-systemen) om inzicht te krijgen in het gebruik van onze producten en de tevredenheid van klanten. Waar mogelijk gebruiken we hiervoor gepseudonimiseerde of geaggregeerde gegevens. (Grondslag: ons gerechtvaardigd belang bij verbetering van onze diensten en bedrijfsvoering, art. 6(1)(f) AVG.)
  • Beveiliging en misbruikpreventie: Ten behoeve van de beveiliging van onze netwerken, systemen, producten en gebruikers verwerken wij bepaalde gegevens. Dit omvat bijvoorbeeld het monitoren van logbestanden en IP-adressen om ongeautoriseerde toegang of malware-aanvallen te detecteren, authenticatie van gebruikers van onze systemen, en het gebruik van cameratoezicht op onze locaties (voor fysieke beveiliging) indien van toepassing. Ook kunnen we contact- of identiteitsgegevens verwerken om fraude of misbruik van onze diensten te onderzoeken en te voorkomen. (Grondslag: gerechtvaardigd belang bij beveiliging van onze onderneming, onze klanten en het algemeen, art. 6(1)(f) AVG; en in sommige gevallen een wettelijke verplichting om datalekken te detecteren of te melden, art. 6(1)(c) AVG.)
  • Naleving van wet- en regelgeving: We kunnen persoonsgegevens verwerken om te voldoen aan allerlei wettelijke verplichtingen die op ons rusten. Hieronder valt bijvoorbeeld het voldoen aan fiscale en administratieve verplichtingen (zoals de wettelijke bewaartermijn voor financiële administratie), het voldoen aan verzoeken van bevoegde autoriteiten of gerechtelijke bevelen, het voldoen aan exportcontrole- en sanctieregels indien relevant, en het voeren van een deugdelijke administratie volgens de normen van bijv. de Belastingdienst. Indien de wet het vereist, zullen we uw gegevens verstrekken aan overheidsinstanties (bijvoorbeeld aan opsporingsinstanties zoals politie of justitie), maar alleen na zorgvuldige verificatie van zo’n verzoek. (Grondslag: wettelijke verplichting, art. 6(1)(c) AVG.)
  • Overige interne bedrijfsvoering: Tot slot kunnen er beperkte gevallen zijn waarin wij gegevens verwerken voor andere interne bedrijfsdoeleinden die verenigbaar zijn met de oorspronkelijke doeleinden. Bijvoorbeeld het beheren van leveranciersrelaties (waarbij we contactgegevens van leveranciers of partners verwerken), of het behandelen van geschillen, audits en juridische claims waarbij relevante persoonsgegevens nodig kunnen zijn (bijv. correspondentie). (Grondslag: afhankelijk van de context – een combinatie van uitvoering overeenkomst, wettelijke verplichting en/of gerechtvaardigd belang, zoals ons belang om onze rechten te verdedigen in geval van een geschil, art. 6(1)(f) AVG.)

Voor zover wij in uitzonderlijke gevallen bijzondere persoonsgegevens verwerken, baseren wij ons op de in artikel 9 AVG genoemde grondslagen. Afhankelijk van de situatie kan dat bijvoorbeeld uw uitdrukkelijke toestemming zijn (art. 9(2)(a)), of dat de verwerking noodzakelijk is in het kader van arbeidsrecht of sociaal zekerheidsrecht (bijvoorbeeld gezondheidsgegevens van onze eigen zieke werknemer, art. 9(2)(b)), of omdat de gegevens door u duidelijk openbaar zijn gemaakt (art. 9(2)(e)), of noodzakelijk voor het vaststellen, uitoefenen of onderbouwen van een rechtsvordering (art. 9(2)(f)). We zullen u waar nodig informeren over de specifieke grondslag indien bijzondere persoonsgegevens worden verwerkt.

Mocht IT Crowdsource voornemens zijn uw persoonsgegevens voor een ander, onverenigbaar doel te gaan gebruiken, dan zullen wij u daar vooraf over informeren en zo nodig om toestemming vragen.

Cookies en tracking

Onze website en online diensten maken gebruik van cookies en vergelijkbare technologieën om een goed functionerende site te garanderen, gebruik te analyseren en onze marketingactiviteiten te ondersteunen. Cookies zijn kleine tekstbestanden die op uw apparaat worden opgeslagen. Bij het eerste bezoek informeren wij u hierover via een cookiemelding en vragen wij, waar vereist, om uw toestemming.

Soorten cookies: We gebruiken zowel strikt noodzakelijke cookies (voor technische werking van de site en beveiliging, deze plaatsen we zonder toestemming omdat ze geen of geringe impact op privacy hebben) als optionele cookies waarvoor we uw toestemming vragen. Tot de laatste categorie behoren:

  • Analytische cookies: Deze helpen ons om het gebruik van onze website te begrijpen en te verbeteren. We maken bijvoorbeeld gebruik van Google Analytics. Via Google Analytics verzamelen we geanonimiseerde/statistische informatie over bezoekersaantallen, bezochte pagina’s, verkeersbronnen, e.d. We hebben Google Analytics privacy-vriendelijk ingesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens, wat onder meer inhoudt dat IP-adressen worden geanonimiseerd voordat ze door Google worden opgeslagen. Wij hebben tevens een verwerkersovereenkomst met Google gesloten. De informatie die Google verzamelt (inclusief uw verkorte IP-adres en informatie over uw apparaat/gebruik) kan worden overgebracht naar Google-servers buiten de EER (zie Internationale doorgifte). Google gebruikt deze informatie om bij te houden hoe wij de website gebruiken en rapporten over de website-activiteit te verstrekken. Wij ontvangen daarbij geen informatie van Google die u direct identificeert; alle statistieken zijn geaggregeerd. U kunt ervoor kiezen om analytische cookies te weigeren via onze cookie-instellingen.
  • Tracking- en advertentiecookies: Deze cookies worden gebruikt om advertenties te tonen die relevant voor u zijn, zowel op onze eigen website als op externe platforms. Wij maken gebruik van trackingtools zoals de Facebook Pixel (ook gebruikt voor Instagram), de LinkedIn Insight Tag, en mogelijk vergelijkbare tools van andere advertentieplatforms. Deze tools plaatsen cookies of lezen informatie op uw apparaat om uw surfgedrag te volgen en koppelen dit aan uw profiel op die sociale media platformen, voor zover u daar een account heeft. Op die manier kunnen wij u gerichte advertenties tonen op Facebook, Instagram, LinkedIn en mogelijk andere websites, en kunnen wij het rendement van onze advertentiecampagnes meten (bijvoorbeeld of u op een advertentie heeft geklikt en vervolgens een contactformulier op onze site heeft ingevuld). De gegevens die via deze trackers worden verzameld, kunnen onder meer uw IP-adres, browser/device identificatoren, bekeken pagina’s, en interacties met onze advertenties bevatten. Deze partijen (zoals Meta/Facebook en LinkedIn) handelen bij het plaatsen van dergelijke cookies in principe als gezamenlijke verwerkingsverantwoordelijke of onafhankelijke verwerkingsverantwoordelijke – zie hun eigen privacy-verklaringen voor meer informatie over hoe zij de verkregen gegevens gebruiken. We plaatsen trackingcookies uitsluitend nadat u hiervoor expliciet toestemming heeft gegeven via onze cookiebanner. U kunt uw toestemming op elk moment intrekken of aanpassen via de cookie-instellingen op onze website of door cookies te verwijderen uit uw browser.

Houd er rekening mee dat als u cookies weigert of verwijdert, bepaalde functionaliteiten van onze website mogelijk niet optimaal werken. Voor meer details over welke cookies wij gebruiken en hun bewaartermijnen, verwijzen wij naar ons Cookiebeleid (indien apart beschikbaar) of kunt u contact met ons opnemen.

Delen van persoonsgegevens met derden

IT Crowdsource verkoopt of verhuurt uw persoonsgegevens niet aan derde partijen voor hun eigen marketingdoeleinden. We verstreken uw gegevens uitsluitend aan derden voor zover dit nodig is voor de in deze verklaring beschreven doeleinden, of als wij wettelijk verplicht zijn om dat te doen.

Categorieën ontvangers: De partijen aan wie wij gegevens verstrekken, vallen globaal in de volgende categorieën:

  • Dienstverleners (verwerkers): We schakelen derde partijen in om diensten voor ons uit te voeren, zoals cloud- en hostingproviders (voor het onderbrengen van data en applicaties), e-mail- en nieuwsbrief-verzendsystemen, analytics- en advertentiepartners (zoals Google en Meta voor de hierboven besproken tools), IT-beheerders, beveiligingsspecialisten, betalingsdienstverleners (voor verwerking van betalingen), en overige leveranciers die ons helpen bij de bedrijfsvoering. Deze partijen verwerken persoonsgegevens uitsluitend in onze opdracht en niet voor hun eigen doeleinden. Met al onze verwerkers sluiten wij een verwerkersovereenkomst af waarin zij onder meer worden verplicht tot zorgvuldige omgang met uw data, het nemen van adequate beveiligingsmaatregelen en geheimhouding. IT Crowdsource blijft verantwoordelijk voor de verwerkingen die deze partijen voor ons uitvoeren.
  • Overheids- en toezichthoudende instanties: Indien wij daartoe wettelijk verplicht zijn, kunnen wij persoonsgegevens verstrekken aan bevoegde autoriteiten, zoals de Belastingdienst (bij controle van onze boekhouding) of opsporingsinstanties en toezichthouders (bijvoorbeeld de politie, justitie of de Autoriteit Persoonsgegevens). In dergelijke gevallen beoordelen wij strikt of de verzoekende partij wettelijk recht heeft op de gevraagde informatie en verstrekken we niet meer dan noodzakelijk.
  • Zakelijke transferees: Mocht IT Crowdsource in de toekomst betrokken raken bij een fusie, overname of verkoop van (een deel van) het bedrijf, dan kan het nodig zijn om gegevens te delen met de betrokken derde partijen (zoals een overnemende partij of due diligence-onderzoekers). Dit zal waar mogelijk geanonimiseerd gebeuren of anders onder strikte geheimhouding en alleen voor zover noodzakelijk voor de transactie. Als persoonsgegevens daadwerkelijk worden overgedragen aan een nieuwe entiteit, zullen we u hierover informeren en ervoor zorgen dat uw privacy-rechten gewaarborgd blijven.

Buiten deze gevallen zullen wij uw gegevens niet met derden delen, tenzij u ons daar zelf opdracht toe geeft of toestemming voor verleent. Als wij incidenteel samenwerken met andere partijen (bijvoorbeeld bij een gezamenlijke evenement of webinar) dan zullen we u duidelijk informeren welke gegevens er gedeeld worden en met welk doel, zodat u een bewuste keuze kunt maken.

Internationale doorgifte van gegevens

Het kan voorkomen dat uw persoonsgegevens worden doorgestuurd naar of opgeslagen in een land buiten de Europese Economische Ruimte (EER). In het bijzonder maken wij gebruik van enkele leveranciers en platforms die buiten de EER gevestigd zijn of gegevens opslaan, zoals de Verenigde Staten. Een voorbeeld is het gebruik van Google en Meta/Facebook: de via hun diensten verzamelde gegevens kunnen worden verwerkt op servers in de VS.

De AVG stelt strikte eisen aan doorgifte van persoonsgegevens naar derde landen (landen buiten de EER die geen adequaatheidsbesluit van de Europese Commissie hebben). IT Crowdsource neemt passende maatregelen om te zorgen dat zo’n internationale doorgifte rechtmatig is en een adequaat niveau van bescherming krijgt. Enkele waarborgen die wij toepassen:

  • Adequaatheidsbeslissing: Voor sommige landen heeft de Europese Commissie vastgesteld dat zij een voldoende beschermingsniveau bieden. Als wij gegevens naar zo’n land sturen, baseren wij ons op dat adequaatheidsbesluit. (Voorbeeld: vanaf 2023 geldt er een adequaatheidsbesluit voor doorgifte naar organisaties in de VS die gecertificeerd zijn onder het EU-US Data Privacy Framework.)
  • Standaardcontractbepalingen (Standard Contractual Clauses, SCC’s): Wanneer er geen adequaatheidsbeslissing voor het betreffende land is, sluiten wij – indien we persoonsgegevens doorgeven – met de ontvanger in dat land een contract op basis van de door de Europese Commissie goedgekeurde standaardcontractbepalingen. Deze SCC’s verplichten de ontvanger om de Europese privacy-standaarden na te leven en aanvullende technische en organisatorische maatregelen te treffen waar nodig.
  • Aanvullende maatregelen: Waar passend beoordelen wij per geval of aanvullende beveiligingsmaatregelen nodig zijn, bijvoorbeeld versleuteling van gegevens in transit en at rest, pseudonimisering van gegevens voordat ze worden doorgegeven, of strikte toegangsbeperkingen, om zo het risico voor de betrokkenen te minimaliseren.

We controleren tevens of ontvangers buiten de EER (zoals onze Amerikaanse leveranciers) zich houden aan de overeengekomen waarborgen. Als onderdeel van onze contractuele afspraken eisen wij dat zij melden als zij niet langer aan de bescherming kunnen voldoen.

Indien u vragen heeft over de concrete export van uw persoonsgegevens of indien u een kopie van de relevante beveiligingsmaatregelen (zoals een kopie van de standaardcontractbepalingen) wilt ontvangen, kunt u contact met ons opnemen. We verstrekken geen bedrijfsvertrouwelijke details, maar we kunnen u globaal inzicht geven in de getroffen maatregelen. U moet zich er bewust van zijn dat, ondanks deze waarborgen, uw gegevens in het buitenland mogelijk onderhevig kunnen zijn aan toezichtwetgeving van dat land; wij trachten echter binnen de mogelijkheden dit zo goed mogelijk te ondervangen.

Verwerkersovereenkomsten

IT Crowdsource neemt zijn verantwoordelijkheid als het gaat om het verwerken van persoonsgegevens in samenwerking met andere partijen. Daarom sluiten wij in de volgende gevallen altijd een verwerkersovereenkomst (ook wel gegevensverwerkingsovereenkomst genoemd):

  • Met onze klanten: Wanneer wij in het kader van onze dienstverlening optreden als verwerker voor een klant (zie ook Toepassingsgebied en rol), zorgen wij dat er met die klant een verwerkersovereenkomst wordt afgesloten. Hierin leggen we onder meer vast welke categorieën van gegevens wij verwerken, voor welke doelen, hoe wij beveiliging en geheimhouding garanderen, hoe wij omgaan met datalekken en verzoeken van betrokkenen, en dat wij de gegevens niet voor eigen doeleinden zullen gebruiken. Zo’n overeenkomst voldoet aan de eisen van artikel 28 AVG. Veel van onze klanten (zeker grotere organisaties) hebben hun eigen verwerkersovereenkomst of -clausules; indien nodig stemmen wij onze overeenkomsten hierop af zodat ze wederzijds voldoen aan de AVG.
  • Met onze leveranciers en subverwerkers: Evenzo, als wij persoonsgegevens laten verwerken door een derde partij in onze opdracht (bijvoorbeeld een cloudprovider, een IT-onderaannemer of een softwareleverancier die toegang heeft tot data), dan sluiten wij met die partij een verwerkersovereenkomst. Hierin stellen wij dezelfde eisen aan die verwerker als die waaraan wij zelf naar onze klanten toe gebonden zijn. De verwerker moet voldoende waarborgen bieden op het gebied van beveiliging en vertrouwelijkheid, en mag de gegevens niet voor andere doeleinden verwerken. Ook bedingen wij dat subverwerkers niet zonder onze toestemming mogen worden ingeschakeld, en dat gegevens op ons verzoek teruggegeven of verwijderd worden aan het einde van de samenwerking.

Door dit stelsel van verwerkersovereenkomsten zorgen we voor een doorlopende bescherming van persoonsgegevens over de hele keten. Onze klanten kunnen er zo op vertrouwen dat hun data in goede handen is bij IT Crowdsource en eventuele sub-verwerkers, en wij zorgen er tegelijkertijd voor dat onze eigen verplichtingen richting klanten worden doorgelegd naar onze leveranciers.

Profilering en geautomatiseerde besluitvorming

Profilering houdt in dat er op basis van persoonsgegevens bepaalde kenmerken, interesses of gedragingen van personen geanalyseerd en voorspeld worden, vaak met behulp van geautomatiseerde middelen. Geautomatiseerde besluitvorming betekent dat er een besluit over iemand wordt genomen door een algoritme of systeem zonder dat daar (direct) een menselijke tussenkomst aan te pas komt, en dat dit besluit voor de persoon juridisch of anderszins significant is. Onder de AVG heeft u het recht op een menselijke blik bij besluiten die u aanzienlijk treffen.

IT Crowdsource maakt in beperkte mate gebruik van profilering, maar niet op een wijze die juridische of vergelijkbaar significante gevolgen voor u heeft, en wij doen momenteel geen volledig geautomatiseerde besluitvorming zonder menselijke interventie die dergelijke gevolgen heeft. Wat bedoelen we hiermee?

  • Wij kunnen uw gegevens analyseren om u beter van dienst te zijn of om onze marketing af te stemmen op uw interesses. Bijvoorbeeld kunnen we profilering toepassen in marketingsegmentatie: we delen klanten of prospects in op basis van sector, bedrijfsomvang of eerder afgenomen diensten, zodat we gerichte aanbiedingen of relevante informatie kunnen geven. Ook het gebruik van advertentietracking (zoals beschreven onder Cookies en tracking) zou men als een vorm van profilering kunnen zien – er wordt immers op basis van uw online gedrag bepaald welke advertentie u te zien krijgt. Deze vormen van profilering hebben echter geen significante impact op u als persoon in de zin van de wet; ze beogen u alleen passende commerciële communicatie te bieden. U hebt te allen tijde het recht om bezwaar te maken tegen dergelijke profilering voor direct marketing (zie Uw rechten), wat wij uiteraard zullen respecteren.
  • IT Crowdsource neemt geen besluiten die voor u rechtsgevolgen hebben of u in aanmerkelijke mate treffen, enkel op basis van automatisch verwerkte gegevens. Concreet: we laten geen algoritme zelfstandig beslissen over bijvoorbeeld het al dan niet aangaan van een contract met u, het bepalen van prijzen specifiek voor u, of het weigeren van dienstverlening, zonder dat daar een mens bij betrokken is. Eventuele belangrijke besluiten worden altijd door onze medewerkers genomen, eventueel met ondersteuning van geautomatiseerde analyses.

Mocht dit in de toekomst veranderen (bijvoorbeeld door inzet van nieuwe technologieën of AI die wel dergelijke besluiten zou nemen), dan zullen we u daarvan op de hoogte stellen en zo nodig vooraf uw toestemming vragen of andere wettelijke vereisten volgen. U houdt bovendien het recht om in zo’n geval inzage te krijgen in de logica van het besluit en om uw standpunt kenbaar te maken of het besluit aan te vechten.

Beveiliging van uw gegevens

Wij nemen de beveiliging van uw persoonsgegevens zeer serieus. IT Crowdsource heeft passende technische en organisatorische maatregelen getroffen om uw gegevens te beschermen tegen verlies, misbruik en ongeoorloofde toegang, wijziging of openbaarmaking. Enkele van de maatregelen die wij in dit kader hebben genomen, zijn:

  • Beveiligde IT-infrastructuur: Onze systemen en netwerken zijn beveiligd volgens actuele standaarden. We maken waar mogelijk gebruik van versleuteling (encryptie) – bijvoorbeeld voor de overdracht van data (TLS/SSL versleutelde verbindingen op onze website en online diensten) en voor gevoelige gegevens in onze databases. Onze servers zijn voorzien van firewalls, up-to-date antivirus/anti-malware bescherming en inbraakdetectiesystemen.
  • Toegangscontrole: Persoonsgegevens zijn bij ons alleen toegankelijk voor medewerkers die deze nodig hebben voor hun werkzaamheden (“need to know”-principe). Toegang tot systemen en gegevens is beveiligd met sterke wachtwoorden en waar passend met multi-factor authenticatie. Alle medewerkers en eventuele derden met toegang tot gegevens zijn contractueel verplicht tot geheimhouding.
  • Organisatorische maatregelen: We hebben intern beleid en procedures rondom gegevensbescherming. Medewerkers worden getraind en bewustgemaakt van privacy- en beveiligingsrichtlijnen. We hanteren procedures voor het beoordelen van onze verwerkingen (bijvoorbeeld via Data Protection Impact Assessments wanneer nodig) en voor het afhandelen van incidenten.
  • Datalek-protocol: Ondanks alle voorzorg kan er onverhoopt toch iets misgaan. We hebben daarom een procedure voor het omgaan met datalekken (beveiligingsincidenten). Indien zich een datalek voordoet dat risico’s oplevert voor uw rechten en vrijheden, zullen wij dit melden aan de Autoriteit Persoonsgegevens binnen de wettelijk vereiste termijn en – indien vereist – ook aan u als betrokkene. We documenteren alle beveiligingsincidenten, ook als melding niet verplicht is, om hiervan te leren en toekomstige incidenten te voorkomen.

We evalueren periodiek onze beveiligingsmaatregelen en passen deze aan waar nodig, bijvoorbeeld als er wijzigingen zijn in de wet, technologie of de gevoeligheid van de data die wij verwerken. Mocht u vragen hebben over de beveiliging van uw persoonsgegevens, neem dan gerust contact met ons op via de in het begin van deze verklaring genoemde contactgegevens.

Bewaartermijnen

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor we ze verzameld hebben, tenzij er een wettelijke plicht bestaat die langer bewaren vereist. Dit betekent in de praktijk het volgende:

  • Gegevens die we verwerken op basis van uw toestemming bewaren we zolang als we uw toestemming hebben en deze niet is ingetrokken, of zolang als noodzakelijk voor het doel. Bijvoorbeeld: voor de nieuwsbrief blijven uw gegevens bewaard totdat u zich afmeldt (intrekt) of nadat er gedurende een bepaalde periode (bijv. 12 maanden) geen interactie meer is geweest.
  • Klantgegevens en contractgegevens: Persoonsgegevens van klanten (zoals contact- en contractinformatie) bewaren we gedurende de looptijd van de overeenkomst. Na beëindiging van de klantrelatie bewaren we relevante gegevens doorgaans nog gedurende 5 jaar voor eventuele vragen, garantie-/nazorg en juridische doeleinden (bijv. om eventuele geschillen of vorderingen af te wikkelen, gezien de verjaringstermijnen), tenzij we op grond van een wettelijke plicht of een door u ingediend bezwaar gegevens eerder verwijderen.
  • Financiële administratie: Wettelijk zijn wij verplicht bepaalde financiële administratie (waaronder facturen, betaalgegevens, contracten) 7 jaar te bewaren na het einde van het boekjaar, om te voldoen aan fiscale bewaarplichten. Deze documenten kunnen persoonsgegevens bevatten (bijv. naam contactpersoon op een factuur). Dergelijke gegevens zullen we niet eerder verwijderen, ook niet op verzoek, voor zover zij onder deze wettelijke bewaarplicht vallen.
  • Persoonsgegevens van potentiële klanten (prospects) en offerteaanvragen: Als u contact met ons heeft opgenomen voor informatie, een offerte heeft aangevraagd of op andere wijze interesse heeft getoond in onze diensten, maar er komt geen overeenkomst tot stand, dan bewaren we uw contactgegevens en correspondentie tot maximaal 2 jaar na het laatste contactmoment. Dit doen we om eventueel op een later moment alsnog samenwerking te kunnen aangaan of om te reageren op vervolgvragen. Uiteraard zullen we dergelijke gegevens op uw verzoek eerder verwijderen of niet langer gebruiken voor actieve benadering.
  • Log- en beveiligingsgegevens: Logs van onze systemen (bijv. toegangslogs, foutlogs) waarin IP-adressen of gebruikers-ID’s kunnen voorkomen, bewaren we doorgaans ** enkele maanden tot maximaal 1 jaar**, afhankelijk van de noodzaak. Korte bewaartermijnen (zoals 3 tot 6 maanden) hanteren we voor detail-logs die alleen voor probleemoplossing of beveiligingsanalyse nodig zijn; samengevatte veiligheidsrapportages bewaren we langer. Als logs incidenten bevatten, kunnen we specifieke relevante entries langer bewaren in het kader van onderzoek of bewijs.
  • Cookies: Cookies zelf hebben meestal eigen vervaltermijnen (sommige verdwijnen zodra u uw browser sluit, andere kunnen enkele dagen tot jaren actief blijven als u ze niet wist). In onze systemen bewaren wij gegevens gekoppeld aan cookie-ID’s (bijv. analytische gegevens) voor een periode die in lijn is met de aanbevelingen van de tools die we gebruiken (Google Analytics bijvoorbeeld hanteert standaard een bewaarperiode van 14 maanden voor gebruikers- en gebeurtenisgegevens). Gegevens uit advertentiecookies bewaren wij zolang uw toestemming daarvoor geldt en u de cookies niet verwijdert; vaak ontvangen wij echter vanuit de advertentieplatforms alleen geaggregeerde rapportages en geen direct herleidbare gegevens.

Na afloop van de toepasselijke bewaartermijn zullen wij de persoonsgegevens verwijderen of anonimiseren. Anonimiseren houdt in dat alle identificerende elementen uit de data worden verwijderd, zodat deze niet langer aan u te koppelen zijn. Geanonimiseerde gegevens (bijvoorbeeld geaggregeerde statistieken) mogen wij mogelijk langer bewaren, omdat ze niet als persoonsgegevens worden aangemerkt.

Houd er rekening mee dat in sommige gevallen uitzonderingen op bovengenoemde termijnen kunnen gelden, bijvoorbeeld als u een klacht of geschil met ons heeft lopen (in welk geval we relevante gegevens langer bewaren tot de zaak is afgehandeld), of als er een wettelijke verplichting tot langere bewaring bestaat. We beoordelen dit per geval zorgvuldig.

Uw rechten

Als betrokkene (degene van wie wij persoonsgegevens verwerken) heeft u diverse rechten onder de AVG. U kunt ons benaderen om – binnen de wettelijke grenzen – onderstaande rechten uit te oefenen. We zullen op uw verzoek binnen uiterlijk één maand reageren (die termijn kunnen we indien nodig verlengen met nog eens twee maanden, maar dan informeren we u tijdig daarover):

  • Recht op inzage: U heeft het recht om te vragen welke persoonsgegevens wij van u hebben vastgelegd en om een kopie daarvan te ontvangen. Zo kunt u controleren welke gegevens wij van u verwerken en of wij dat op rechtmatige wijze doen.
  • Recht op rectificatie: U mag ons verzoeken om onjuiste of onvolledige gegevens te verbeteren of aan te vullen. Wij streven ernaar dat uw gegevens kloppen; mocht u iets ontdekken dat aangepast moet worden, laat het ons weten.
  • Recht op gegevenswissing: U heeft in een aantal gevallen het recht om ons te vragen uw persoonsgegevens te verwijderen (“recht op vergetelheid”). Bijvoorbeeld wanneer de gegevens niet langer nodig zijn voor de doeleinden, u eerder gegeven toestemming intrekt en we geen andere grondslag hebben, of wanneer u gegrond bezwaar maakt tegen verwerking. Let op: volledig verwijderen is niet altijd mogelijk, bijvoorbeeld als wij wettelijk verplicht zijn bepaalde gegevens te bewaren (zie Bewaartermijnen). We zullen u informeren als een verwijderingsverzoek niet (volledig) kan worden gehonoreerd.
  • Recht op beperking van de verwerking: U kunt in bepaalde situaties vragen dat we de verwerking van uw gegevens tijdelijk opschorten. Dit kunt u bijvoorbeeld doen als u de juistheid van uw gegevens betwist (gedurende de periode dat wij dit controleren), of als u vindt dat we de gegevens niet meer nodig hebben maar u liever wilt dat we ze niet wissen omdat u ze nog nodig heeft voor een rechtsvordering. Bij beperking zorgen we ervoor dat uw gegevens alleen nog worden bewaard en niet actief verwerkt.
  • Recht op overdraagbaarheid: Voor zover van toepassing (dit recht geldt voor gegevens die u zelf aan ons hebt verstrekt en die wij met uw toestemming of ter uitvoering van een contract geautomatiseerd verwerken), heeft u het recht om uw persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat van ons te ontvangen, zodat u deze aan een andere dienstverlener kunt doorgeven. Dit wordt ook wel dataportabiliteit genoemd. Waar technisch mogelijk, kunnen wij op uw verzoek de gegevens ook rechtstreeks aan een door u aangewezen nieuwe verwerker doorsturen.
  • Recht van bezwaar: U mag bezwaar maken tegen verwerkingen die gebaseerd zijn op ons gerechtvaardigd belang (art. 6(1)(f) AVG) of op de vervulling van een taak van algemeen belang (art. 6(1)(e), hoewel wij die laatste grondslag niet gebruiken). Wanneer u bezwaar maakt, zullen wij de verwerking staken tenzij wij dwingende gerechtvaardigde gronden kunnen aanvoeren die zwaarder wegen dan uw belangen, rechten en vrijheden, of die verband houden met een rechtsvordering. Als u bezwaar maakt tegen verwerking voor direct marketing, zullen wij de betreffende verwerking in alle gevallen zo snel mogelijk stopzetten. Dit betekent bijvoorbeeld dat als u aangeeft geen nieuwsbrieven of gepersonaliseerde aanbiedingen meer te willen, wij uw voorkeur direct zullen verwerken en u niet langer dergelijk marketingmateriaal sturen.
  • Recht om toestemming in te trekken: Wanneer een verwerking van uw persoonsgegevens is gebaseerd op uw toestemming, heeft u altijd het recht om die gegeven toestemming weer in te trekken. Dit heeft geen terugwerkende kracht – de intrekking geldt dus pas vanaf het moment dat u het intrekt – maar we zullen dan wel per direct stoppen met de betreffende verwerking. Voorbeelden: u kunt zich uitschrijven van een nieuwsbrief (intrekking van toestemming voor marketing), of uw cookie-voorkeuren aanpassen om analytische/tracking cookies uit te zetten (intrekking van cookie-toestemming). Er is geen negatieve consequentie aan het intrekken van toestemming verbonden; het kan alleen betekenen dat wij bepaalde diensten dan niet meer (volledig) kunnen leveren als die afhankelijk waren van uw toestemming.

Om uw rechten uit te oefenen kunt u contact met ons opnemen via de in deze privacyverklaring genoemde contactgegevens (bij voorkeur per e-mail voor de snelste afhandeling). Om te voorkomen dat wij gegevens aan de verkeerde persoon verstrekken of ongepaste wijzigingen doen, kunnen wij u vragen om aanvullende informatie ter verificatie van uw identiteit. In principe kost het u niets om een verzoek in te dienen, tenzij uw verzoek kennelijk ongegrond of buitensporig is (in dat geval mogen wij onder de AVG een redelijke vergoeding vragen of het verzoek weigeren, maar dit komt zelden voor).

Let op: Als wij uw gegevens verwerken namens een klant (dus in de rol van verwerker, zie Toepassingsgebied en rol), dan kunnen wij uw verzoek mogelijk niet zelf afhandelen. We zullen in dat geval uw verzoek doorsturen naar de betreffende klant die verwerkingsverantwoordelijke is.
U kunt uw rechten in zulke gevallen het beste rechtstreeks uitoefenen bij die organisatie. Uiteraard bieden wij onze klanten daarbij de nodige ondersteuning om tijdig op uw verzoek te reageren.

Klachtenprocedure

Wij doen ons best om zorgvuldig met uw persoonsgegevens om te gaan en uw rechten te respecteren. Mocht u toch een klacht hebben over hoe wij uw persoonsgegevens verwerken, dan horen wij dat graag. U kunt in eerste instantie contact opnemen met ons via de hierboven vermelde contactgegevens. We zullen uw klacht serieus nemen en samen met u proberen deze op te lossen.

Indien u meent dat wij niet adequaat op uw verzoek of klacht reageren, of als u liever niet rechtstreeks met ons uw klacht bespreekt, heeft u altijd het recht om een klacht in te dienen bij de toezichthoudende autoriteit. Voor Nederland is dit de Autoriteit Persoonsgegevens (AP).

U kunt de Autoriteit Persoonsgegevens bereiken via hun website (www.autoriteitpersoonsgegevens.nl) voor informatie over hoe een klacht in te dienen. De AP heeft een online meldformulier voor privacy-klachten. Ook kunt u schriftelijk een klacht indienen: Autoriteit Persoonsgegevens, Postbus 93374, 2509 AJ Den Haag. Telefonisch is de AP bereikbaar op tel. 088 – 1805 250 (ma-do 10:00-12:00).

Naast het recht om naar de Autoriteit Persoonsgegevens te gaan, heeft u ook het recht om naar de rechter te stappen als u van mening bent dat uw rechten zijn geschonden. Wij hopen echter dat het nooit zover hoeft te komen en dat wij in goed overleg uw zorgen kunnen wegnemen.

Wijzigingen in deze privacyverklaring

Wet- en regelgeving en onze bedrijfsprocessen kunnen veranderen. IT Crowdsource kan deze privacyverklaring dan ook van tijd tot tijd aanpassen. Bij materiële wijzigingen zullen we ons best doen u actief te informeren (bijvoorbeeld via onze website of per e-mail), maar we raden u ook aan om periodiek deze verklaring te raadplegen. Onderaan vermelden wij steeds de datum van de laatste wijziging.

Deze privacyverklaring is voor het laatst bijgewerkt op 4 juni 2025.