Verwerkingsovereenkomst gegevens
Overeenkomstig artikel 28(3) van Verordening 2016/679 (Algemene Verordening Gegevensbescherming) betreffende de verwerking van persoonsgegevens door de Verwerker tussen de gebruiker van IPA PeopleSuite en IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hierna “de Verwerker” genoemd elk afzonderlijk een “Partij” en samen de “Partijen” Zijn de volgende standaard contractuele bepalingen (de “Bepalingen”) overeengekomen om te voldoen aan de Algemene Verordening Gegevensbescherming en om de bescherming van de privacy en de fundamentele rechten en vrijheden van natuurlijke personen te waarborgen 2. Inleiding Deze Bepalingen beschrijven de rechten en verplichtingen van de Verwerker bij de uitvoering van de verwerking van persoonsgegevens namens de Verwerkingsverantwoordelijke. Deze Bepalingen zijn opgesteld met het oog op de naleving door de Partijen van artikel 28(3) van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming). In verband met de levering van diensten aan de Verwerkingsverantwoordelijke verwerkt de Verwerker persoonsgegevens namens de Verwerkingsverantwoordelijke in overeenstemming met deze Bepalingen. Deze Bepalingen prevaleren boven soortgelijke bepalingen in andere overeenkomsten tussen de Partijen. Aan deze Bepalingen zijn vier bijlagen toegevoegd en de bijlagen maken een integraal onderdeel van de Bepalingen uit. Bijlage A bevat gedetailleerde informatie over de verwerking van persoonsgegevens, waaronder het doel en de aard van de verwerking, het type persoonsgegevens, de categorieën betrokkenen en de duur van de verwerking. Bijlage B bevat de voorwaarden van de Verwerkingsverantwoordelijke voor het gebruik van subverwerkers door de Verwerker en een lijst van subverwerkers die door de Verwerkingsverantwoordelijke zijn goedgekeurd. Bijlage C bevat de instructies van de Verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens door de Verwerker, een beschrijving van de beveiligingsmaatregelen die de Verwerker minimaal moet implementeren, en de wijze waarop toezicht op de Verwerker en eventuele subverwerkers wordt uitgevoerd. Bijlage D bevat bepalingen met betrekking tot andere activiteiten die niet door de Bepalingen worden gedekt. De Bepalingen met bijlagen moeten schriftelijk worden bewaard, inclusief elektronisch, door beide Partijen. Deze Bepalingen ontslaan de Verwerker niet van verplichtingen die de Verwerker worden opgelegd onder de Algemene Verordening Gegevensbescherming of enige andere wetgeving. 3. Rechten en verplichtingen van de Verwerkingsverantwoordelijke De Verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de Algemene Verordening Gegevensbescherming (zie artikel 24 van de Verordening), gegevensbeschermingsbepalingen in andere EU-wetgeving of nationale wetgeving van EER-lidstaten, en deze Bepalingen. De Verwerkingsverantwoordelijke heeft het recht en de plicht om beslissingen te nemen over het doel en de middelen waarmee persoonsgegevens mogen worden verwerkt. De Verwerkingsverantwoordelijke is verantwoordelijk voor, onder andere, het waarborgen dat er een rechtsgrond bestaat voor de verwerking van persoonsgegevens die de Verwerker moet uitvoeren. 4. De Verwerker handelt volgens instructies De Verwerker mag persoonsgegevens alleen verwerken op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, tenzij dit vereist is door EU-wetgeving of nationale wetgeving van EER-lidstaten waaraan de Verwerker is onderworpen. Dergelijke instructies moeten worden gespecificeerd in Bijlagen A en C. Verdere instructies kunnen ook door de Verwerkingsverantwoordelijke worden gegeven terwijl de verwerking van persoonsgegevens plaatsvindt, maar de instructies moeten altijd worden gedocumenteerd en schriftelijk worden vastgelegd, inclusief elektronisch, samen met deze Bepalingen. De Verwerker dient de Verwerkingsverantwoordelijke onmiddellijk te informeren indien, naar zijn mening, een instructie in strijd is met de Algemene Verordening Gegevensbescherming of gegevensbeschermingsbepalingen in andere EU-wetgeving of nationale wetgeving van EER-lidstaten. 5. Vertrouwelijkheid De Verwerker mag alleen toegang verlenen tot persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt aan personen die onder de autoriteit van de Verwerker vallen en die zich hebben verbonden tot vertrouwelijkheid of die onder een passende wettelijke verplichting van vertrouwelijkheid vallen, en alleen voor zover nodig. De lijst van personen met toegang moet continu worden herzien. Op basis van deze herziening kan de toegang tot persoonsgegevens worden ingetrokken indien deze niet langer noodzakelijk is, en de persoonsgegevens mogen daarna niet langer toegankelijk zijn voor die personen. Op verzoek van de Verwerkingsverantwoordelijke dient de Verwerker te kunnen aantonen dat de betrokken personen die onder de autoriteit van de Verwerker vallen, gebonden zijn aan de bovengenoemde vertrouwelijkheidsverplichting. 6. Beveiliging van verwerking Artikel 32 van de Algemene Verordening Gegevensbescherming bepaalt dat, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van verwerking evenals de risico’s van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, de Verwerkingsverantwoordelijke en de Verwerker passende technische en organisatorische maatregelen moeten implementeren om een niveau van beveiliging te waarborgen dat past bij het risico. De Verwerkingsverantwoordelijke moet de risico’s voor de rechten en vrijheden van natuurlijke personen die door de verwerking worden veroorzaakt, beoordelen en maatregelen implementeren om deze risico’s aan te pakken. Afhankelijk van hun relevantie kan dit het volgende omvatten: Pseudonimisatie en versleuteling van persoonsgegevens Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te waarborgen Het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysieke of technische gebeurtenis Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen voor het waarborgen van de beveiliging van de verwerking Overeenkomstig artikel 32 van de Verordening moet de Verwerker ook – onafhankelijk van de Verwerkingsverantwoordelijke – de risico’s voor de rechten en vrijheden van natuurlijke personen die door de verwerking worden veroorzaakt, beoordelen en maatregelen implementeren om deze risico’s aan te pakken. Voor het doel van deze beoordeling moet de Verwerkingsverantwoordelijke de nodige informatie aan de Verwerker verstrekken om deze in staat te stellen dergelijke risico’s te identificeren en te beoordelen. Bovendien dient de Verwerker de Verwerkingsverantwoordelijke te helpen bij het waarborgen van de naleving van de verplichtingen van de Verwerkingsverantwoordelijke overeenkomstig artikel 32 van de Verordening door, onder andere, de nodige informatie betreffende de technische en organisatorische beveiligingsmaatregelen die al door de Verwerker zijn geïmplementeerd overeenkomstig artikel 32 en alle andere informatie die noodzakelijk is voor de naleving van de verplichtingen van de Verwerkingsverantwoordelijke op grond van artikel 32, beschikbaar te stellen. Indien uit de beoordeling van de Verwerkingsverantwoordelijke blijkt dat het aanpakken van de geïdentificeerde risico’s de implementatie van aanvullende maatregelen vereist boven die welke al door de Verwerker zijn geïmplementeerd, dient de Verwerkingsverantwoordelijke deze aanvullende maatregelen te specificeren in Bijlage C. 7. Gebruik van subverwerkers De Verwerker dient de voorwaarden genoemd in artikel 28(2) en (4) van de Algemene Verordening Gegevensbescherming na te leven om gebruik te maken van een andere verwerker (een subverwerker). De Verwerker mag daarom geen gebruik maken van een subverwerker voor de uitvoering van deze Overeenkomst zonder voorafgaande algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerker heeft de algemene toestemming van de Verwerkingsverantwoordelijke voor het gebruik van subverwerkers. De Verwerker dient de Verwerkingsverantwoordelijke schriftelijk te informeren over voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers met ten minste 1 maand opzegtermijn en daardoor de Verwerkingsverantwoordelijke de mogelijkheid te bieden dergelijke wijzigingen te betwisten voordat de betrokken subverwerker(s) worden gebruikt. Längere opzegtermijnen voor specifieke verwerkingsactiviteiten kunnen worden gespecificeerd in Bijlage B. De lijst van subverwerkers die al door de Verwerkingsverantwoordelijke zijn goedgekeurd, is te vinden in Bijlage B. Indien de Verwerker gebruik maakt van een subverwerker in verband met de uitvoering van specifieke verwerkingsactiviteiten namens de Verwerkingsverantwoordelijke, dient de Verwerker, bij wijze van een contract of een andere rechtsvorm volgens EU-recht of nationale wetgeving van EER-lidstaten, dezelfde gegevensbeschermingsverplichtingen die zijn vastgelegd in deze Bepalingen aan de subverwerker op te leggen, waardoor in het bijzonder voldoende garanties worden gegeven dat de subverwerker passende technische en organisatorische maatregelen zal implementeren zodanig dat de verwerking voldoet aan de vereisten van deze Bepalingen en de Algemene Verordening Gegevensbescherming. De Verwerker is daarom verantwoordelijk voor het eisen dat de subverwerker zich minimaal aan de verplichtingen van de Verwerker onder deze Bepalingen en de Algemene Verordening Gegevensbescherming houdt. Subverwerkerovereenkomst(en) en eventuele daaropvolgende wijzigingen moeten – op verzoek van de Verwerkingsverantwoordelijke – aan de Verwerkingsverantwoordelijke worden verstrekt, waardoor de Verwerkingsverantwoordelijke in staat wordt gesteld ervoor te zorgen dat gelijkwaardige gegevensbeschermingsverplichtingen als vastgelegd in deze Bepalingen aan de subverwerker zijn opgelegd. Bepalingen met betrekking tot commerciële voorwaarden die geen invloed hebben op de juridische inhoud van de gegevensbescherming van de subverwerkerovereenkomst, moeten niet aan de Verwerkingsverantwoordelijke worden verstrekt. Indien de subverwerker zijn gegevensbeschermingsverplichtingen niet nakomt, blijft de Verwerker volledig aansprakelijk naar de Verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van de subverwerker. Dit doet geen afbreuk aan de rechten van de betrokkenen onder de Algemene Verordening Gegevensbescherming, met name met betrekking tot artikelen 79 en 82, jegens de Verwerkingsverantwoordelijke en de Verwerker, inclusief de subverwerker. 8. Overdracht naar derde landen of internationale organisaties Elke overdracht van persoonsgegevens naar derde landen of internationale organisaties mag door de Verwerker alleen op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke geschieden en dient altijd plaats te vinden in overeenstemming met hoofdstuk V van de Algemene Verordening Gegevensbescherming. Indien overdracht van persoonsgegevens naar derde landen of internationale organisaties vereist is onder EU-recht of nationale wetgeving van EER-lidstaten waaraan de Verwerker is onderworpen, en de Verwerker hiervoor geen instructie van de Verwerkingsverantwoordelijke heeft ontvangen, dient de Verwerker de Verwerkingsverantwoordelijke van deze wettelijke vereiste te informeren alvorens te verwerken, tenzij dergelijke wetgeving dergelijke informatie om belangrijke redenen van algemeen belang verbiedt. Zonder gedocumenteerde instructie van de Verwerkingsverantwoordelijke mag de Verwerker binnen het kader van deze Bepalingen daarom niet: persoonsgegevens overdragen aan een verwerkingsverantwoordelijke of verwerker in een derde land of een internationale organisatie verwerking van persoonsgegevens toevertrouwen aan een subverwerker in een derde land persoonsgegevens verwerken in een derde land De instructies van de Verwerkingsverantwoordelijke met betrekking tot de overdracht van persoonsgegevens naar een derde land, inclusief de overdrachtsbasis onder hoofdstuk V van de Algemene Verordening Gegevensbescherming waarop de overdracht is gebaseerd, moeten worden gespecificeerd in Bijlage C.6. Deze Bepalingen mogen niet worden verward met standaard contractuele clausules zoals bedoeld in artikel 46(2)(c) en (d) van de Algemene Verordening Gegevensbescherming, en deze Bepalingen vormen geen overdrachtsgrondslag onder hoofdstuk V van de Algemene Verordening Gegevensbescherming. 9. Ondersteuning aan de Verwerkingsverantwoordelijke Rekening houdend met de aard van de verwerking, dient de Verwerker, voor zover mogelijk, de Verwerkingsverantwoordelijke te bijstaan met passende technische en organisatorische maatregelen bij het voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten zoals uiteengezet in hoofdstuk III van de Algemene Verordening Gegevensbescherming. Dit houdt in dat de Verwerker, voor zover mogelijk, de Verwerkingsverantwoordelijke dient bij te staan bij het waarborgen van de naleving van: de verplichting om informatie te verstrekken bij het verzamelen van persoonsgegevens van de betrokkenen de verplichting om informatie te verstrekken indien persoonsgegevens niet van de betrokkenen zijn verkregen het recht van inzage het recht op rectificatie het recht op wissing (“het recht om vergeten te worden”) het recht op beperking van verwerking de verplichting tot kennisgeving met betrekking tot rectificatie of wissing van persoonsgegevens of beperking van verwerking het recht op gegevensoverdraagbaarheid het recht om bezwaar te maken het recht om niet te worden onderworpen aan uitsluitend op geautomatiseerde verwerking, inclusief profilering, gebaseerde beslissingen Naast de verplichting van de Verwerker om de Verwerkingsverantwoordelijke te bijstaan overeenkomstig Clausule 6.3, dient de Verwerker bovendien, rekening houdend met de aard van de verwerking en de beschikbare informatie voor de Verwerker, de Verwerkingsverantwoordelijke bij te staan met: de verplichting van de Verwerkingsverantwoordelijke om, zonder onnodige vertraging en, waar mogelijk, niet later dan 72 uur na bekendwording, een inbreuk in verband met persoonsgegevens te melden aan de bevoegde toezichthoudende autoriteit (Denemarken: Datatilsynet), tenzij de inbreuk in verband met persoonsgegevens waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen de verplichting van de Verwerkingsverantwoordelijke om een inbreuk in verband met persoonsgegevens zonder onnodige vertraging aan de betrokkene te melden, wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen de verplichting van de Verwerkingsverantwoordelijke om, voorafgaand aan de verwerking, een beoordeling uit te voeren van de impact van de voorziene verwerkingsactiviteiten op de bescherming van persoonsgegevens (een gegevensbeschermingseffectbeoordeling) de verplichting van de Verwerkingsverantwoordelijke om, voorafgaand aan de verwerking, overleg te plegen met de bevoegde toezichthoudende autoriteit (Denemarken: Datatilsynet) wanneer een gegevensbeschermingseffectbeoordeling aantoont dat de verwerking een hoog risico met zich mee zou brengen indien er geen maatregelen door de Verwerkingsverantwoordelijke worden genomen om het risico te verminderen 10. Kennisgeving van inbreuk in verband met persoonsgegevens De Verwerker dient de Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte te stellen nadat hij er zich van bewust is dat er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. De kennisgeving van de Verwerker aan de Verwerkingsverantwoordelijke dient zonder onnodige vertraging en, waar mogelijk, niet later dan 24 uur na bekendwording van de inbreuk plaats te vinden, zodat de Verwerkingsverantwoordelijke kan voldoen aan zijn verplichting om de inbreuk in verband met persoonsgegevens te melden aan de bevoegde toezichthoudende autoriteit, cf. artikel 33 van de Algemene Verordening Gegevensbescherming. In overeenstemming met Clausule 9.2(a) dient de Verwerker de Verwerkingsverantwoordelijke te ondersteunen bij het maken van de melding aan de bevoegde toezichthoudende autoriteit. Dit betekent dat de Verwerker moet helpen bij het verstrekken van de volgende informatie, die overeenkomstig artikel 33(3) moet worden opgenomen in de melding van de inbreuk door de Verwerkingsverantwoordelijke aan de bevoegde toezichthoudende autoriteit: de aard van de inbreuk in verband met persoonsgegevens, waaronder, indien mogelijk, de categorieën en het geschatte aantal betrokkenen, evenals de categorieën en het geschatte aantal persoonsgegevensrecords de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens de maatregelen die door de Verwerkingsverantwoordelijke zijn getroffen of voorgesteld om de inbreuk in verband met persoonsgegevens aan te pakken, inclusief, waar mogelijk, maatregelen om de mogelijke nadelige effecten ervan te beperken De Partijen dienen in Bijlage C te specificeren welke informatie door de Verwerker moet worden verstrekt in het kader van zijn ondersteuning aan de Verwerkingsverantwoordelijke bij de verplichting van de Verwerkingsverantwoordelijke om inbreuken in verband met persoonsgegevens te melden aan de bevoegde toezichthoudende autoriteit. 11. Verwijdering en teruggave van gegevens Bij beëindiging van de levering van diensten met betrekking tot de verwerking van persoonsgegevens, is de Verwerker verplicht alle persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt te verwijderen en te bevestigen aan de Verwerkingsverantwoordelijke dat de gegevens zijn verwijderd, tenzij EU-recht of nationale wetgeving van EER-lidstaten de opslag van persoonsgegevens vereist. 12. Audit, inclusief inspectie De Verwerker dient de Verwerkingsverantwoordelijke alle noodzakelijke informatie te verstrekken om naleving van artikel 28 van de Algemene Verordening Gegevensbescherming en deze Bepalingen aan te tonen en dient audits, inclusief inspecties, door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemandateerde auditor mogelijk te maken en eraan bij te dragen. De procedures voor audits door de Verwerkingsverantwoordelijke, inclusief inspecties, van de Verwerker en subverwerkers zijn gespecificeerd in Bijlage C. De Verwerker is verplicht toezichthoudende autoriteiten, die overeenkomstig de toepasselijke wetgeving toegang hebben tot de faciliteiten van de Verwerkingsverantwoordelijke of de Verwerker, of vertegenwoordigers die namens de toezichthoudende autoriteit optreden, toegang te verlenen tot de fysieke faciliteiten van de Verwerker na voorlegging van een gepaste identificatie. 13. Inwerkingtreding en beëindiging De Bepalingen treden in werking op de datum van ondertekening door beide Partijen. Beide Partijen kunnen eisen dat de Bepalingen worden heronderhandeld indien veranderingen in de wetgeving of onwerkbaarheden in de Bepalingen aanleiding geven daartoe. De Bepalingen zijn van toepassing zolang de Verwerker diensten verleent met betrekking tot de verwerking van persoonsgegevens. Gedurende deze periode kunnen de Bepalingen niet worden beëindigd tenzij andere bepalingen die de levering van diensten met betrekking tot de verwerking van persoonsgegevens regelen, worden overeengekomen tussen de Partijen. Indien de levering van diensten met betrekking tot de verwerking van persoonsgegevens ophoudt en de persoonsgegevens zijn verwijderd of geretourneerd aan de Verwerkingsverantwoordelijke overeenkomstig Clausule 11.1 en Bijlage C.4, kunnen de Bepalingen door een van de Partijen per schriftelijke kennisgeving worden beëindigd. Bijlage A – Informatie over de verwerking A.1. Het doel van de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke Het doel van de verwerking van persoonsgegevens is de werking van de Dienst die door de Verwerker op basis van een overeenkomst aan de Verwerkingsverantwoordelijke ter beschikking wordt gesteld. In de Dienst kunnen, op basis van door de Verwerkingsverantwoordelijke ingevoerde informatie en reacties van gebruikers op vragen, persoonlijkheidsanalyses, teamleideranalyses en rolstijl-analyses en variaties daarvan worden opgesteld. A.2. De verwerking door de Verwerker van persoonsgegevens namens de Verwerkingsverantwoordelijke betreft voornamelijk (de aard van de verwerking) Opstellen van persoonlijkheidsanalyses en het opslaan hiervan Gebruik van niet-persoonlijk identificeerbare en geanonimiseerde informatie voor statistieken en verbetering van de Dienst. A.3. De verwerking omvat de volgende typen persoonsgegevens betreffende de betrokkenen Naam, (mogelijke) titel, geboortedatum, contactgegevens (waaronder e-mailadres) Reacties op vragen voor het doel van persoonlijkheidsanalyse Persoonlijkheidsanalyse A.4. De verwerking omvat de volgende categorieën van betrokkenen De beheerders van de Verwerkingsverantwoordelijke Gebruikers, die werknemers van de Verwerkingsverantwoordelijke kunnen zijn of kandidaten voor een functie bij de Verwerkingsverantwoordelijke of kandidaten voor een functie bij een klant van de Verwerkingsverantwoordelijke A.5. De verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke mag beginnen na de inwerkingtreding van deze Bepalingen. De verwerking heeft de volgende duur De verwerking van persoonsgegevens vindt plaats zolang de Verwerkingsverantwoordelijke gebruik maakt van de Dienst van de Verwerker. Bijlage B – Subverwerkers B.1. Goedgekeurde subverwerkers Bij de inwerkingtreding van de Bepalingen heeft de Verwerkingsverantwoordelijke het gebruik van de volgende subverwerkers goedgekeurd: skyPIM A/S 21396648 Boulevarden 19E 7100 Vejle Hosting en technische operatie van de Dienst. Land van verwerking: Denemarken, Duitsland. Bij de inwerkingtreding van de Bepalingen heeft de Verwerkingsverantwoordelijke het gebruik van bovengenoemde subverwerkers voor de beschreven verwerkingsactiviteit goedgekeurd. De Verwerker mag – zonder de schriftelijke goedkeuring van de Verwerkingsverantwoordelijke – geen subverwerker gebruiken voor een andere verwerkingsactiviteit dan die beschreven en overeengekomen of een andere subverwerker gebruiken voor deze verwerkingsactiviteit. Bijlage C – Instructies betreffende de verwerking van persoonsgegevens C.1. Onderwerp van de verwerking/instructie De verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke bestaat uit het volgende: Op basis van het gebruik van de Dienst door de Verwerkingsverantwoordelijke die beschikbaar wordt gesteld krachtens de overeenkomst gesloten tussen de Verwerkingsverantwoordelijke en de Verwerker, verzamelt de Verwerker informatie over de Verwerkingsverantwoordelijke of de gebruikers van de Verwerkingsverantwoordelijke wanneer dergelijke informatie in de Dienst wordt ingevoerd en, op basis daarvan, stelt persoonlijkheidsanalyses op voor gebruik door de Verwerkingsverantwoordelijke en worden dergelijke analyses ook door de Verwerkingsverantwoordelijke opgeslagen. C.2. Beveiliging van verwerking Het beveiligingsniveau moet weerspiegelen: Dat de verwerking geen gevoelige persoonsgegevens betreft, maar informatie die door de betrokkenen als enigszins gevoelig kan worden ervaren. De Verwerker is vervolgens gerechtigd en verplicht om beslissingen te nemen over welke technische en organisatorische beveiligingsmaatregelen moeten worden geïmplementeerd om het noodzakelijke beveiligingsniveau te waarborgen. Indien de Verwerkingsverantwoordelijke andere of aanvullende beveiligingsmaatregelen gewenst acht, inclusief waar dit is gebaseerd op audit/inspectie, is de Verwerkingsverantwoordelijke verantwoordelijk voor eventuele extra kosten voor de Verwerker die dit met zich mee kan brengen. C.3 Ondersteuning aan de Verwerkingsverantwoordelijke Waar de Verwerker ondersteuning verleent aan de Verwerkingsverantwoordelijke bij het vervullen van de verplichtingen van de Verwerkingsverantwoordelijke, is de Verwerker gerechtigd vergoeding in rekening te brengen voor dergelijke werkzaamheden volgens zijn toepasselijke uurtarief. C.6 Instructie betreffende overdracht van persoonsgegevens naar derde landen Indien de Verwerkingsverantwoordelijke in deze Bepalingen of achteraf geen gedocumenteerde instructie geeft betreffende de overdracht van persoonsgegevens naar een derde land, is de Verwerker niet gerechtigd binnen het kader van deze Bepalingen dergelijke overdrachten uit te voeren. C.7 Procedures voor audits door de Verwerkingsverantwoordelijke, inclusief inspecties, van de verwerking van persoonsgegevens die aan de Verwerker/subverwerkers zijn toevertrouwd Op verzoek van de Verwerkingsverantwoordelijke dient de Verwerker, op kosten van de Verwerkingsverantwoordelijke, een auditverklaring van een onafhankelijke derde partij te verkrijgen betreffende de naleving door de Verwerker/subverwerker van de Algemene Verordening Gegevensbescherming, gegevensbeschermingsbepalingen in andere EU-wetgeving of nationale wetgeving van EER-lidstaten en deze Bepalingen. De Partijen komen overeen dat de volgende types auditverklaringen kunnen worden gebruikt overeenkomstig deze Bepalingen: ISAE 3000 auditverklaring of een andere vergelijkbare soort assurance verklaring. De Verwerkingsverantwoordelijke of een vertegenwoordiger van de Verwerkingsverantwoordelijke dient bovendien toegang te hebben om inspecties uit te voeren, inclusief fysieke inspecties, van de locaties van waaruit de Verwerker/subverwerker persoonsgegevens verwerkt, inclusief fysieke locaties en systemen die worden gebruikt voor of in verband met de verwerking. Dergelijke inspecties mogen worden uitgevoerd wanneer de Verwerkingsverantwoordelijke dit noodzakelijk acht. Eventuele kosten van de Verwerker en subverwerker in verband met toezicht op de verwerking van persoonsgegevens bij de Verwerker of subverwerkers of fysieke inspectie van de locaties van de Verwerker of subverwerker zijn voor rekening van de Verwerkingsverantwoordelijke. [1] Verwijzingen naar “Lidstaat” in deze Bepalingen moeten worden begrepen als verwijzingen naar “EER-lidstaten”.
Voorwaarden
IPA VOORWAARDEN & CONDITIES Deze Voorwaarden & Condities zijn van toepassing op de diensten van IPA Nordic ApS ("IPA") geleverd aan de Klant. 1. Gebruiksrecht 1.1 Door een overeenkomst aan te gaan met IPA, verkrijgt de Klant het recht, in overeenstemming met deze Voorwaarden & Condities, om gebruik te maken van de service van IPA in de overeengekomen versie ("de Service"). Tenzij anders specifiek overeengekomen, is de Klant gerechtigd de Service intern binnen zijn bedrijf te gebruiken, inclusief wanneer de Klant wervingswerkzaamheden uitvoert voor derden, op voorwaarde dat de Klant gebruikers buiten zijn bedrijf, die kandidaat zijn voor een baan bij de Klant of bij een bedrijf waarvoor de Klant wervingswerkzaamheden uitvoert, toegang kan verlenen om de Service te gebruiken in verband met het beantwoorden van vragen, zie clausule 1.2. 1.2 De Klant is gerechtigd de Service te gebruiken zoals bedoeld en kan werknemers en anderen (“Gebruikers van de Klant”) toegang geven tot de Service en gerelateerde analyses zoals verschaft. Gebruikers kunnen gewone gebruikers zijn die vragen beantwoorden voor gebruik in de Service of beheerders met toegang tot het dashboard en voorbereide analyses. 1.3 De beheerders van de Klant moeten in dienst zijn van het bedrijf van de Klant en moeten te allen tijde gecertificeerd zijn in het gebruik van de analyses waarvoor de Klant toegang heeft via de Service. IPA biedt certificering in de analyses die onder de Service vallen, zoals gespecificeerd op de website van IPA of anderszins gecommuniceerd. 2. Implementatie 2.1 IPA of een van de partners van IPA implementeert de Service voor de Klant, hetgeen betekent dat de Klant toegang kan krijgen tot de Service zoals overeengekomen op het overeengekomen tijdstip. 2.2 IPA of de partner van IPA is gerechtigd binnen redelijke mate veranderingen door te voeren in de overeengekomen implementatietijd, mits dergelijke veranderingen aan de Klant worden gecommuniceerd. 2.3 De Klant dient, indien relevant, deel te nemen aan de implementatie, inclusief het verstrekken van de nodige en correcte informatie aan IPA of de partner van IPA die nodig is voor de implementatie en het verlenen van toegang tot IT-bronnen indien nodig. 3. Operationele Details 3.1 De Service wordt gehost en online toegankelijk gemaakt voor de Klant. IPA zal trachten ervoor te zorgen dat de Service te allen tijde beschikbaar is voor de Klant, maar garandeert geen specifieke uptime. 3.2 De Klant is verantwoordelijk voor het verstrekken van de apparatuur, applicaties en netwerkverbindingen die nodig zijn voor het gebruik van de Service. Op verzoek van de Klant zal IPA informatie verstrekken over eventuele specifieke specificaties voor apparatuur, applicaties, etc. 3.3 IPA kan, zonder aansprakelijkheid, tijdelijk of gedeeltelijk de toegang van de Klant of de Gebruikers van de Klant tot de Service opschorten: a) indien nodig voor onderhoud, reparatie of bijwerking van de Service. Dergelijke opschorting zal, voor zover mogelijk, buiten normale kantooruren worden uitgevoerd en zal vooraf aan de Klant worden gemeld, hoewel het in bepaalde situaties noodzakelijk kan zijn om de toegang zonder waarschuwing op te schorten, zelfs tijdens normale kantooruren. b) als er reden is om aan te nemen dat de toegang van de Klant of de Gebruikers van de Klant door derden wordt misbruikt. Herstel van toegang kan vereisen dat de gebruikersnamen en/of wachtwoorden van de Gebruikers van de Klant worden gewijzigd. c) als de handelingen of omstandigheden van de Klant, waarvoor de Klant anderszins verantwoordelijk is, schade hebben veroorzaakt of naar verwachting schade zullen veroorzaken aan de Service, inclusief aan andere klanten of gebruikers van de Service, of als redelijkerwijs wordt aangenomen dat de Service wordt gebruikt voor onwettige doeleinden. De toegang tot de Service zal worden hersteld zodra deze problemen tot tevredenheid van IPA zijn opgelost. d) als de Klant niet voldoet aan de certificeringseis voor beheerders, zie clausule 1.3, en er 60 dagen niet is voldaan aan de vereiste. e) als de Klant in gebreke blijft met betalingen aan IPA. 3.4 Indien IPA de toegang opschort zoals beschreven in clausule 3.3, zal IPA de Klant zo snel mogelijk op de hoogte stellen, inclusief de reden voor de opschorting en wanneer en onder welke voorwaarden de toegang kan worden hersteld. Dergelijke opschorting vormt geen contractbreuk en geeft de Klant geen recht op terugbetaling of andere verhaalsmogelijkheden voor contractbreuk. 3.5 De Klant is verantwoordelijk voor het waarborgen van back-ups van gegevens die in de Service worden verwerkt. IPA kan, op basis van een aparte overeenkomst, de Klant assisteren bij het maken van back-ups en het herstellen van gegevens uit back-ups. IPA heeft recht op vergoeding voor dergelijke werkzaamheden op basis van de geldende uurtarieven van IPA en eventuele kosten van derden. 4. Gebruik van de Service 4.1 De Klant is verantwoordelijk voor het invoeren van eigen informatie in de Service en ervoor te zorgen dat de gegevens correct en geldig zijn. IPA is niet verantwoordelijk voor de geschiktheid van de Service en het gebruik ervan voor de doelen van de Klant. Deze verantwoordelijkheid ligt uitsluitend bij de Klant. 4.2 IPA is verantwoordelijk voor het verzekeren dat de service van IPA in overeenstemming is met Deense wetgeving. De Klant is verantwoordelijk voor het verzekeren dat het gebruik van de Service, inclusief gegevensverwerking, rechtmatig is en voldoet aan alle wettelijke vereisten, inclusief gegevensbescherming, en voor enig gebruik van de Service onder de toegewezen gebruikersnamen en wachtwoorden aan de Klant en de Gebruikers van de Klant. 4.3 De Klant en de Gebruikers van de Klant moeten te allen tijde hun gebruikersnamen en wachtwoorden voor de Service beschermen. Indien de Klant op de hoogte is van of vermoedt dat er misbruik van toegang plaatsvindt of dat derden gebruikersnamen of wachtwoorden hebben verkregen, moet de Klant onmiddellijk IPA informeren. 4.4 IPA is gerechtigd het gebruik van de Service te monitoren en informatie uit de Service in geanonimiseerde vorm voor statistische doeleinden en onderhoud van de Service te gebruiken. 5. Wijzigingen in de Dienst 5.1 IPA is gerechtigd om wijzigingen aan te brengen in de Service en het ontwerp ervan. IPA zal trachten de Klant op de hoogte te stellen van dergelijke wijzigingen met een opzegtermijn van ten minste 30 dagen voordat de wijzigingen van kracht worden, hoewel in sommige gevallen de opzegtermijn korter kan zijn, bijvoorbeeld voor beveiligingsgerelateerde wijzigingen. 5.2 Indien IPA aanzienlijke wijzigingen aanbrengt in de Service, zodanig dat deze niet langer als dezelfde service kan worden beschouwd (bijv. indien fundamentele of vaak gebruikte functies worden verwijderd), kan de Klant de overeenkomst met een opzegtermijn van 30 dagen beëindigen en ontvangt de Klant een evenredige terugbetaling van eventuele vooruitbetaalde vergoedingen voor de periode na beëindiging. 6. Overige Adviesdiensten 6.1 IPA verleent adviesdiensten naast implementatie, zoals afzonderlijk overeengekomen. Adviesdiensten worden verleend volgens goede praktijk zonder resultaatsverantwoordelijkheid, en de Klant is verantwoordelijk voor het verzekeren dat de dienst geschikt is voor zijn doeleinden. 6.2 Dergelijke adviesdiensten worden als geleverd beschouwd wanneer IPA de voltooiing bevestigt of wanneer de Klant de resultaten begint te gebruiken. 7. Prijzen en Betaling 7.1 De Klant betaalt voor toegang tot de Service voor een periode van twaalf maanden vooruit vanaf de implementatiedatum, tenzij anders overeengekomen. 7.2 Implementatiediensten worden gefactureerd door IPA of de partner van IPA bij levering. Certificatiediensten kunnen worden gefactureerd bij bestelling door de Klant. Andere adviesdiensten worden gefactureerd bij levering of maandelijks achteraf. 7.3 De facturen van IPA zijn betaalbaar 14 dagen na uitgifte. Bij te late betaling wordt een rente van 2% per maand in rekening gebracht. 7.4 Eventuele overeengekomen gereduceerde prijzen gelden voor 12 maanden vanaf de datum van de overeenkomst, waarna de standaardprijslijst van IPA van toepassing is. 7.5 IPA kan zijn prijslijst één keer per jaar aanpassen volgens de netto prijsindex en bovendien als gevolg van wetswijzigingen of wijzigingen in producten van derden die vereist zijn voor levering. IPA zal ten minste 30 dagen van tevoren kennisgeven van dergelijke wijzigingen. 8. Intellectuele Eigendomsrechten 8.1 IPA bezit en behoudt alle eigendomsrechten en intellectuele eigendomsrechten, inclusief auteursrechten, van de Service en gerelateerde materialen, zoals handleidingen en gidsen. De Service en gerelateerde materialen kunnen elementen of componenten bevatten waarvoor derden intellectuele eigendomsrechten hebben. In zulke gevallen beschikt IPA over de nodige rechten om de Service en gerelateerde materialen aan de Klant beschikbaar te stellen. 8.2 De Klant, op basis van de overeenkomst, zie clausule 1, en gedurende de looptijd daarvan, verkrijgt een gebruiksrecht voor de Service en gerelateerde materialen zoals beschikbaar gesteld door IPA voor de bedoelde doeleinden. De Klant verwerft geen rechten anders dan het genoemde gebruiksrecht op processen of soortgelijke elementen die in de Service zijn opgenomen. 8.3 De Klant verkrijgt een onbeperkt gebruiksrecht voor materialen geproduceerd via de Service op basis van de gegevens van de Klant en het gebruik van de Service. Dit omvat het recht om dergelijke materialen te wijzigen en te reproduceren. 8.4 De Klant behoudt eigendom en intellectuele eigendomsrechten voor gegevens die in de Service zijn ingevoerd. De Klant verleent IPA een niet-exclusief, royaltyvrij recht om dergelijke gegevens te gebruiken voor het uitvoeren van de Overeenkomst. 8.5 Voor adviesdiensten, inclusief de resultaten daarvan, geleverd door IPA aan de Klant, behoudt IPA het eigendom en de intellectuele eigendomsrechten, met respect voor de rechten en vertrouwelijkheid van de Klant. De Klant krijgt een gebruiksrecht gedurende de Overeenkomst om de adviesdiensten en resultaten intern binnen zijn bedrijf toe te passen. 9. Vertrouwelijkheid 9.1 Elke Partij moet de vertrouwelijkheid van de interne informatie van de andere Partij handhaven, inclusief handelsgeheimen en overeenkomsten, en mag dergelijke informatie niet gebruiken of openbaar maken voor andere doeleinden dan bedoeld in verband met het verstrekken van informatie, zonder voorafgaande toestemming. IPA handhaaft ook de vertrouwelijkheid van persoonlijke gegevens die door de Klant in de Service zijn ingevoerd zoals beschreven in de gegevensverwerkingsovereenkomst tussen de Partijen. 9.2 Ondanks clausule 9.1 mag IPA de informatie van de Klant, inclusief interne informatie, openbaar maken aan subcontractors van IPA zoals nodig voor het leveren van de diensten van IPA, mits dergelijke subcontractors zijn gebonden aan vergelijkbare vertrouwelijkheidsverplichtingen. De Partijen zijn ook gerechtigd om informatie openbaar te maken als dat vereist is door een gerechtelijke uitspraak of een geldige verzoek van de autoriteiten. 9.3 Vertrouwelijkheidsverplichtingen zijn niet van toepassing op informatie die openbaar toegankelijk is, van derden is ontvangen zonder vertrouwelijkheidsverplichtingen, onafhankelijk is verkregen zonder gebruik te maken van de informatie van de andere Partij, of onafhankelijk is ontwikkeld. 9.4 De vertrouwelijkheidsbepalingen in deze clausule blijven van kracht gedurende 5 jaar na beëindiging van de Overeenkomst, ongeacht de reden van beëindiging. 10. Gegevensverwerking 10.1 IPA verwerkt persoonsgegevens in de Service, inclusief gegevens ingevoerd door de Klant. De verwerking van persoonsgegevens wordt geregeld in de gegevensverwerkingsovereenkomst tussen de Klant en IPA. 11. Contractbreuk 11.1 Indien de Klant tekortkomingen in de diensten van IPA wenst te claimen, moet dit onmiddellijk gebeuren, en voor advies- of implementatiediensten, uiterlijk 30 dagen na levering. IPA is altijd gerechtigd tot herlevering. 11.2 Indien een Partij de Overeenkomst wezenlijk schendt en de schending niet is verholpen binnen 30 dagen na melding door de niet-materieel tekortschietende Partij, is de niet-materieel tekortschietende Partij gerechtigd om de Overeenkomst schriftelijk te beëindigen. 12. Aansprakelijkheid 12.1 De Partijen zijn tegenover elkaar aansprakelijk onder Deens recht met de volgende beperkingen. 12.2 De totale aansprakelijkheid van IPA tegenover de Klant zal nooit hoger zijn dan de door de Klant aan IPA betaalde vergoedingen voor de Service binnen de 6 maanden voorafgaand aan de claim. IPA is nooit aansprakelijk voor indirecte verliezen, inclusief maar niet beperkt tot gederfde winsten, gederfde inkomsten, verwachte besparingen, of verlies van goodwill. 12.3 De beperking in clausule 12.2 is niet van toepassing in gevallen van grove nalatigheid of opzet. 13. Overmacht 13.1 Geen van beide Partijen is verantwoordelijk voor het nakomen van verplichtingen onder de Overeenkomst indien niet-nakoming te wijten is aan overmacht, gedefinieerd als omstandigheden buiten de redelijke controle van de Partij, inclusief overmacht van een onderaannemer, welke de Partij niet had kunnen voorzien ten tijde van het aangaan van de Overeenkomst. Indien een overmachtsituatie langer dan 30 dagen aanhoudt, kan de niet-getroffen Partij de Overeenkomst zonder opzegging beëindigen. 14. Beëindiging van de Overeenkomst 14.1 De Klant kan te allen tijde de Overeenkomst met een opzegtermijn van 12 maanden tegen het einde van een kalendermaand beëindigen. Beëindiging kan niet plaatsvinden vóór 12 maanden; de minimale totale periode is derhalve 24 maanden. IPA kan de Overeenkomst met ten minste 12 maanden opzegtermijn tegen het einde van een kalendermaand beëindigen. 14.2 Vooruitbetaalde vergoedingen zijn niet-restitueerbaar bij beëindiging door de Klant. Indien IPA de Overeenkomst beëindigt, zal een evenredige terugbetaling van vooruitbetaalde vergoedingen worden gedaan, overeenstemmend met de periode na beëindiging. 15. Overdracht van Gegevens aan de Klant 15.1 Op verzoek van de Klant zal IPA assisteren bij het overdragen van alle Klantgegevens in de Service aan de Klant of een aangewezen derde partij in een algemeen gebruikt formaat, mits de Klant hierom vraagt uiterlijk bij beëindiging van de Overeenkomst. 15.2 IPA kan kosten in rekening brengen voor de tijd besteed aan assistentie bij gegevensoverdracht volgens de geldende uurtarieven van IPA en kosten. IPA kan ook eventuele openstaande betalingen en een redelijke voorschot voor assistentie vragen. 16. Marketing 16.1 IPA is gerechtigd om de naam en het handelsmerk van de Klant te gebruiken als referentie in algemene fysieke en/of digitale marketingmaterialen. 16.2 Indien IPA potentiële klanten wil doorverwijzen voor referentiegesprekken of -bijeenkomsten met de Klant, moet dit apart worden overeengekomen. 17. Onderaannemers 17.1 IPA kan onderaannemers gebruiken voor het nakomen van zijn verplichtingen aan de Klant. IPA is verantwoordelijk voor de diensten van onderaannemers alsof het die van haarzelf waren. Onderaannemers moeten de vertrouwelijkheid van de informatie van de Klant handhaven, zie clausule 9.1. 18. Overdracht 18.1 Geen van beide Partijen mag zijn rechten of verplichtingen onder de Overeenkomst aan derden overdragen zonder de schriftelijke toestemming van de andere Partij. Dergelijke toestemming zal niet onredelijk worden onthouden. IPA mag echter rechten en verplichtingen overdragen in verband met een volledige of gedeeltelijke verkoop of bedrijfsrestructurering. 19. Wijzigingen 19.1 De Overeenkomst mag alleen door de Partijen schriftelijk worden gewijzigd, tenzij anders vermeld in de Overeenkomst. 20. Geschillenbeslechting 20.1 In geval van een geschil voortvloeiend uit de Overeenkomst moeten de Partijen trachten dit in der minne op te lossen. Indien niet opgelost binnen redelijke tijd, kan elke Partij het geschil voorleggen aan de gewone Deense rechtbanken met de jurisdictie van IPA als locatie. 20.2 De Overeenkomst wordt beheerst door Deens recht, met uitzondering van Deense regels over conflicten van wetten.
Gegevensbeveiliging en Ethiek
Gegevensbeveiliging en ethiek in het gebruik van IPA Nordic Persoonlijkheidsanalyses – informatie voor testdeelnemers IPA Nordic en de individuen die onze analyses gebruiken, verplichten zich tot naleving van een aantal regels en richtlijnen met betrekking tot de verwerking van persoonsgegevens en de ethiek van het gebruik van werkgerelateerde persoonlijkheidsanalyses. Als testdeelnemer heeft u, onder de wet op de verwerking van persoonsgegevens, onder andere de volgende rechten: Uw analyseresultaat moet vertrouwelijk worden gehouden en mag alleen met uw toestemming worden bekendgemaakt. Uw analyseresultaat mag niet langer dan een bepaalde periode worden opgeslagen. U heeft het recht om op elk moment te vragen dat uw analyseresultaten worden geanonimiseerd. IPA Nordic heeft in samenwerking met een aantal andere beoordelingsleveranciers en belangengroepen een reeks kwaliteitsvereisten opgesteld met betrekking tot professionele persoonlijke beoordeling in publieke en private bedrijven. Deze kwaliteitsvereisten omvatten de ethische richtlijnen van de Deense Psychologenvereniging voor het gebruik van persoonlijkheidsanalyses in de bedrijfsomgeving en hebben betrekking op zowel de kwaliteit van het beoordelingsinstrument zelf als op de eerlijkheid in verband met feedback en interpretatie/gebruik van uw analyseresultaten. Bijvoorbeeld, het is bepaald dat: U expliciete kennis moet hebben van de inhoud van wat wordt gerapporteerd en hoe het wordt gerapporteerd vanuit het beoordelingsproces. U moet worden geïnformeerd over de gevolgen van het afzien van de beoordeling voordat u besluit of u deze al dan niet doet. Het analyseresultaat moet worden beschouwd als een reeks hypothesen die de basis vormen voor verdere dialoog, en beslissingen of adviezen mogen nooit uitsluitend gebaseerd zijn op het analyseresultaat. De persoon die feedback geeft over de analyse moet communiceren met respect voor u en eventuele andere betrokken partijen. Mondelinge en schriftelijke rapportage van analyseresultaten en de inhoud van het feedbackgesprek mogen alleen informatie bevatten die relevant is voor het doel waarvoor u bent beoordeeld. Er moet consistentie zijn tussen de keuze van de analyse en het doel van de test, en de persoon die de test afneemt moet grondige kennis hebben van de test, waaronder het bewustzijn van de sterke en zwakke punten. Er moet documentatie bestaan voor de validiteit van de gebruikte analyse, en uw testresultaten moeten worden geëvalueerd op basis van vergelijking met testresultaten van een relevante groep. Alle personen die bevoegd zijn om IPA Nordic's persoonlijkheidsanalyse te gebruiken, worden getraind en geëxamineerd in het gebruik van de tests door IPA Nordic en hebben hun bevoegdheid verkregen op voorwaarde dat bovenstaande richtlijnen worden nageleefd. Met betrekking tot vereisten met betrekking tot de kwaliteit van het testinstrument voert IPA Nordic continu validatie en documentatie uit van de geldigheid van de tests en biedt continu een bijgewerkt vergelijkingsbasis voor individuele testresultaten. De kwaliteit van het testinstrument in deze gebieden is van wederzijds belang voor zowel u als de persoon die u test: hoge kwaliteit bestrijdt verkeerde interpretaties en willekeurigheid in de beoordeling van uw testresultaten. U kunt zich vertrouwd maken met de volledige bewoording van de wet op de verwerking van persoonsgegevens en de kwaliteitsvereisten voor persoonlijke beoordeling waaraan IPA Nordic zich houdt door de onderstaande links te volgen. Als u verder leest op deze pagina, zal IPA Nordic verdere toelichting geven op aspecten met betrekking tot de vertrouwelijkheid en opslag van uw testreacties en proberen enkele van de vragen te verduidelijken die u als testdeelnemer mogelijk heeft in verband met de voorwaarden van uw test. De Deense Gegevensbeschermingsautoriteit (hier vindt u “de wet op de verwerking van persoonsgegevens”) www.personvurdering.dk (ethische richtlijnen en kwaliteitsvereisten) Hoe lang worden er gegevens over mij opgeslagen? Uw naam en contactgegevens worden automatisch 6 maanden na uw inlog uit de database van het systeem verwijderd. Daarna heeft het bedrijf dat u test geen mogelijkheid meer om u of uw testresultaten opnieuw op te halen in het systeem. Als het bedrijf rapporten afdrukt en deze opslaat voor later gebruik, moet de persoon die verantwoordelijk is voor het testen u informeren hoe lang deze papieren worden opgeslagen voordat ze worden vernietigd. Aangezien testresultaten beperkte geldigheid hebben, is er zelden rechtvaardiging om ze langer dan 6 maanden op te slaan. Houd er ook rekening mee dat u op elk moment het recht heeft om uw testresultaten te laten verwijderen, ongeacht of ze op papier of in elektronische vorm zijn. Als u uw testresultaten wilt laten verwijderen, moet u contact opnemen met de persoon die u heeft getest. Wie heeft er toegang tot mijn testresultaten? De enige persoon die automatisch toegang heeft tot uw persoonlijke testresultaten in het systeem is de persoon die u test en die u een testlink per e-mail heeft gestuurd. Het systeem stelt deze persoon in staat een of meer andere gebruikers toegang tot uw testresultaten te geven, bijvoorbeeld als het testproces plaatsvindt in samenwerking tussen meerdere mensen, of als de persoon geen feedback kan geven en de taak moet doorgeven aan een collega. Voor afdrukken vanuit het systeem gelden dezelfde regels voor opslag en vertrouwelijkheid als voor elektronische gegevens. De toegang moet beperkt blijven tot vertrouwd personeel, en uw testresultaten moeten veilig onder slot worden bewaard. De vertrouwelijkheid van uw testresultaten – dat wil zeggen welke personen/bedrijven toegang hebben tot uw testresultaten, welke personen erover worden geïnformeerd en in welke mate – moet in alle gevallen aan u worden gespecificeerd door de persoon die verantwoordelijk is voor uw test. Elke latere openbaarmaking van informatie over u aan personen of bedrijven die aanvankelijk niet aan u zijn gespecificeerd, mag alleen plaatsvinden met uw voorafgaande toestemming. De persoon/personen en het bedrijf/bedrijven die verantwoordelijk zijn voor uw test en feedback zijn verantwoordelijk voor het waarborgen dat wetgeving met betrekking tot vertrouwelijkheid en opslag wordt nageleefd met betrekking tot geautoriseerde toegang en afdrukken van testresultaten. Overtredingen zullen gevolgen hebben voor het recht van de testgebruiker om de persoonlijkheidstests van IPA Nordic te gebruiken en kunnen worden gemeld aan de Deense Gegevensbeschermingsautoriteit. Hoe is elektronische toegang tot mijn testresultaten beveiligd? Het is de verantwoordelijkheid van IPA Nordic om beveiligingsmaatregelen te implementeren om te zorgen voor toegang tot gegevens met betrekking tot elektronische opslag in ons datasysteem. IPA Nordic moet ervoor zorgen dat alleen geautoriseerde personen toegang kunnen krijgen tot het systeem en dat communicatie tussen uw computer en de servers van het systeem niet kan worden onderschept door derden. Het systeem is in alle stadia beveiligd met wachtwoorden, wat volledige controle garandeert over wie toegang heeft tot wat en in welke mate. Als extra beveiligingsmaatregel is alle communicatie tussen het systeem en uw computer versleuteld. De versleuteling vindt plaats met behulp van zogenaamd SSL (Secure Socket Layer), gesymboliseerd door een klein hangslotje in de rechterbenedenhoek van de browser. SSL-versleuteling zorgt ervoor dat de gegevens die tussen uw computer en de server van IPA Nordic worden verzonden, zinloos zijn voor iedereen die deze communicatie onderweg zou kunnen onderscheppen. Het zorgt er ook voor dat berichten die u van onze server ontvangt, niet afkomstig zijn van een derde partij. U kunt er dus zeker van zijn dat u daadwerkelijk bent ingelogd op de website van IPA Nordic en dat uw gegevens niet ergens anders terechtkomen. SSL-versleuteling is beschikbaar in verschillende sterkten. IPA Nordic gebruikt een encryptiesterkte (256-bit) die momenteel als praktisch onbreekbaar wordt beschouwd. Als u een zeer oude browserversie gebruikt, ondersteunt deze mogelijk slechts een zwakkere encryptiestandaard (128-bit), die evenwel ook voldoet aan de vereisten van de Deense Gegevensbeschermingsautoriteit voor het soort gegevens dat in dit systeem wordt verwerkt. Als u echter een oudere browserversie heeft, moet u overwegen te upgraden naar een nieuwere versie, aangezien een hoger beveiligingsniveau u ook in andere contexten ten goede zal komen. Ik moet toestemming geven voor het opnemen van mijn reacties in de statistieken van IPA Nordic. Waarvoor zal IPA Nordic dit gebruiken en welke informatie wordt opgenomen in de statistieken? Wanneer u een test voltooit, worden uw reacties overgebracht naar de statistische database van IPA Nordic. Alle reacties die u in verband met de test geeft – behalve uw naam, gebruikersnaam, wachtwoord en contactgegevens – worden in deze database opgeslagen. Dit omvat geslacht, leeftijd, opleidingsniveau, functietitel (optioneel), functieniveau, enzovoorts. Deze gegevens worden gebruikt om gemiddelden vast te stellen voor verschillende bevolkingsgroepen en zijn noodzakelijk voor ons werk om de kwaliteit van de tests te waarborgen en hun verdere ontwikkeling. Het is niet mogelijk u persoonlijk te identificeren in deze database, en deze is alleen toegankelijk voor die individuen bij IPA Nordic die werken aan het waarborgen van de statistische kwaliteit van de tests. Omdat de gegevens alleen in geanonimiseerde vorm in deze database bestaan, is het niet mogelijk om een verwijdering van reacties voor een geïdentificeerd individu aan te geven, en in tegenstelling tot uw persoonlijke testreactie, kunnen wij uw testreacties niet terugtrekken uit onze statistieken zodra de test is voltooid. We hopen dat u antwoorden heeft gevonden op eventuele vragen die u mogelijk heeft over de voorwaarden van testen of de bescherming van uw testreacties en vertrouwen voelt in het gebruik van ons systeem. Als u verdere vragen heeft over gegevensbeveiliging, vertrouwelijkheid of ethiek, kunt u direct contact opnemen met IPA Nordic. U kunt contact met hen opnemen via het e-mailadres steen@ipanordic.dk.
