Dit Privacy Statement beschrijft van welke privacy strategie 4Insurance -en de aan haar gelieerde ondernemingen- gebruik maakt. We raden u aan om dit Privacy Statement aandachtig door te nemen.

Uitgangspunt

In de Algemene Verordening Gegevensbescherming (AVG), en aanvullend in de overige relevante wet- en regelgeving met betrekking tot privacybescherming, zijn regels gesteld over de wijze waarop persoonsgegevens moeten worden verwerkt. 4insurance doet al het mogelijke om de privacy van haar klanten, relaties, gebruikers en overige betrokkenen te beschermen. Wij verwerken dan ook alleen die persoonsgegevens, die voor het aanbieden, het inrichten en het onderhouden van onze producten en diensten noodzakelijk zijn.

Begrippen

  • Persoonsgegevens: 

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”).

  • Verwerken:

Alles wat er met persoonsgegevens kan worden gedaan, zoals het verzamelen, het opslaan, het gebruiken en het verwijderen van persoonsgegevens uit onze administratie.

  • Verwerkingsverantwoordelijke:

De partij, die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

  • Verwerker:

De partij, die de gegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke.

Verwerken van de persoonsgegevens

4Insurance biedt het volgende aanbod van producten en diensten:

  • AWI Connect
  • Eindklantenportals
  • Sluitstraten en op maat gemaakte portals
  • Dossiermanagementsystemen
  • Fleet-/ lease applicaties
  • Hosting van applicaties en data

De volgende categorieën van persoonsgegevens kunnen met betrekking tot de relaties, contactpersonen en gebruikers tenminste verwerkt worden bij het aanbod van de producten en diensten van 4Insurance:

  • Voor- en achternamen, emailadres, telefoon;
  • Geslacht;                                                                                                                                                                                            
  • ID-nummer en het ID-kopiebewijs;
  • Bankgegevens;
  • Burgerlijke staat;
  • Gezinssamenstelling;
  • Leeftijd;
  • Inkomen;
  • Gebruiksnaam en wachtwoord.

Gegevens van relaties en contactpersonen worden verwerkt in diverse documenten zoals: Offertes, Contracten/Polissen, Orders, Facturen, en Correspondentie met de klant. Deze informatie wordt middels interfaces met onder andere (niet limitatief); Fish, FRISS, UBO opgehaald ter controle op integriteit, betrouwbaarheid en volledigheid.

Afhankelijk van de klantbehoeften kunnen ook persoonsgegevens over bijvoorbeeld de gezondheid worden verwerkt. Hiervoor is een juridische grondslag nodig, zoals het voldoen aan de toestemmingsvereiste.

4Insurance vervult zowel de rol van verwerkingsverantwoordelijke als die van verwerker.

In relatie met haar opdrachtgevers en klanten vervult zij de rol van verwerker.

4Insurance maakt ook gebruik van derden (subverwerkers), waaraan zij werkzaamheden binnen het kader van haar dienstverlening uitbesteedt.

Rechtmatig handelen

4Insurance handelt zowel naar haar werknemers als naar haar opdrachtgevers/klanten en naar haar subverwerkers in overeenstemming met de AVG en de overige relevante wet- en regelgeving met betrekking tot de privacybescherming. Indien nodig wordt toestemming gevraagd aan betrokkenen voor de verwerking van de persoonsgegevens.

Bewaartermijnen

Persoonsgegevens worden bewaard in overeenstemming met de wettelijke bewaartermijnen, of, indien afwezig, in overeenstemming met de doeleinden, waarvoor de persoonsgegevens verwerkt worden.

Persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.

Informatiebeveiliging

4Insurance heeft privacybescherming en informatiebeveiliging hoog in het vaandel staan. Onderstaand volgen de maatregelen die 4Insurance getroffen heeft om haar gegevens te beveiligen. De maatregelen bestaan uit organisatorische en technische maatregelen.

Organisatorische maatregelen

  1. Onze medewerkers krijgen alléén toegang tot de persoonsgegevens die ze nodig hebben voor het vervullen van hun functie.
  2. Voor het verkrijgen van toegang tot persoonsgegevens zijn meerdere (onafhankelijke) lagen van beveiliging toegepast. Een aantal voorbeelden van die maatregelen zijn:
    1. Multi-factor (≥2) authentication
    2. Het gebruik van VPN t.b.v. versleuteling van netwerkverkeer.
  3. Persoonsgegevens mogen in ons bedrijf nooit op andere plekken opgeslagen worden dan afgesproken. Hiervoor zijn interne procedures opgesteld.
  4. Onze medewerkers hebben een geheimhoudingsverklaring getekend.
  5. We maken gebruik van een password managementsysteem. Hiermee kunnen we een beveiligingsbeleid m.b.t het gebruik van wachtwoord-gebaseerde accounts aan onze medewerkers opleggen en controleren.
  6. Medewerkers hebben een eigen laptop. Deze apparatuur wordt nooit met anderen gedeeld.
  7. We zorgen ervoor dat medewerkers die ons bedrijf verlaten geen toegang meer hebben tot gegevens.
  8. De software die we gebruiken voor het aanbieden van onze diensten voldoet aan de eisen in de wet.
  9. Het bewustzijn bij medewerkers betreffende veilig werken wordt gestimuleerd, zoals het vragen van aandacht voor het niet openen van verdachte e-mails, het niet klikken op verdachte links, bij het langdurig verlaten werkplek uitloggen. De AVG is een periodiek terugkerend onderwerp in interne kennissessies.
  10. Het bewaren van zaken achter slot en grendel (anders dan digitaal).
  11. We hanteren een clean desk policy.
  12. Rechten en rollen: vastgelegd is wie wat mag inzien, bijv. op bepaalde plekken op de schijf waar o.a. medewerker info wordt vastgelegd.

    Technische maatregelen

  13. Versleuteling: Bepaalde bestanden van diverse applicaties worden versleuteld opgeslagen.
  14. Multi-factor (≥2) authentication waar nodig.
  15. Toegangsbeveiliging: Voor toegang in de door 4Insurance geleverde systemen is een inlognaam en wachtwoord vereist. Deze kunnen op elk gewenst moment gewijzigd worden.
  16. Autorisatie: Binnen de geleverde systemen wordt autorisatie uitgebreid toegepast, zodat alléén bevoegden gegevens in kunnen zien.
  17. Gegevens minimalisatie: Wordt in combinatie met autorisatie uitgebreid toegepast.
  18. Pseudonimisering of anonimisering van persoonsgegevens.
  19. Server apparatuur staat in een speciale ruimte welke geconditioneerd en secure is.

Privacy by Design en Privacy by Default worden toegepast bij de ontwikkeling van nieuwe producten en diensten.

Omdat doorgaans de software van 4Insurance wordt geïnstalleerd in de omgeving van de verwerkersverantwoordelijke bij de AWI subverwerker, is deze ook indirect verantwoordelijk voor de beveiliging van deze omgeving.
 

C. Informatie over de door ons gebruikte datacenters via Webwizz (subverwerker)

Wij laten voor ons onze servers en overige apparatuur uitsluitend plaatsen in de meeste moderne datacenters. Deze datacenters bieden voor ons de juiste beveiliging tegen inbraak, brand, stroomuitval en overige calamiteiten. Deze datacenters hebben de onderstaande maatregelen genomen om te voldoen aan deze eisen en zijn ISO gecertificeerd. Ook de hosting partner is ISO gecertificeerd.

Voor apparatuur suites in het datacenter geldt:

  1. Deze hebben voor de toevoer van elektriciteit naar onze apparatuur gescheiden feeds. Elke feed heeft op zijn beurt een eigen UPS-systeem.
  2. De door ons gebruikte elektriciteit feeds hebben ruim voldoende overcapaciteit.
  3. Elektriciteitstoevoer wordt gegarandeerd door het gebruik van UPS-systemen en noodstroomaggregaten. Voor langdurige verstoringen in het elektriciteitsnetwerk zijn leveringsafspraken voor het aanvullen van de brandstof voor deze noodstroomaggregaten aanwezig
  4. Apparatuur is geplaatst op verhoogde datavloeren.
  5. De datacenters beschikken over redundant uitgeruste klimaatbeheersing.
  6. Er zijn voldoende maatregelen aanwezig om fysieke inbraak tot deze locaties te voorkomen of vertragen.
    Een aantal voorbeelden hiervan zijn:

    1. Beveiligd hekwerk
    2. Gravelbakken
    3. Extra verdikte muren
  7. Deze datacenters beschikken over geavanceerde branddetectie- en blussystemen.
  8. De datacenters zijn 24 uur per dag toegankelijk voor onze medewerkers onder strikte security regelgeving.
  9. Ons apparatuur staat in afgesloten racks.
  10. We maken uitsluitende gebruik van Nederlandse datacenters.
  11. Er is permanente camerabewaking.

Er zijn strikte aanmeldprocedures om toegang te krijgen:

  1. Alleen personen die op de vooraf aangelegde toegangslijst staan hebben toegang.
  2. Bij binnenkomst wordt de identiteit van de bezoeker gecontroleerd door vakbekwaam beveiligingspersoneel.
  3. Er gelden strikte aanmeldprocedures voor werkbezoeken.

4Insurance is bereid minimaal een keer per twee jaar een Security Health Check te laten uitvoeren door een extern bedrijf. De management rapportage op grond van de uitgevoerde check is de leidraad voor het continue verbeteren van de beveiliging.

Stopzetten samenwerking met 4Insurance

Bij beëindiging van de samenwerking met de verwerkersverantwoordelijke (de 4Insurance relatie), zal de software inclusief alle data verwijderd worden van de 4Insurancesystemen -die worden gehost- voor de relatie. Daarvan leveren wij een proces-verbaal op, mede opgesteld door onze hostingprovider. ANVA is de leidende backoffice (applicatie/database) waarin alle financiële transacties vastliggen en daarmee deze dus wettelijk behouden blijft voor de verwerkersverantwoordelijke (de 4Insurance relatie). 4Insurance met onder andere AWI Connect de frontoffice-applicatie slechts volgt (wij lezen en schrijven in ANVA), wij na beëindiging dus niet gebonden zijn aan fiscale regels want de data is van de verwerkersverantwoordelijke.

Binnen de 4Insurance software zijn de volgende vormen van beëindigen denkbaar:

  • Opzegging polis van de eindklant (zakelijk of particulier)
  • Beëindiging aanstelling van een persoon/medewerker/agent
  • Beëindiging contract tussen klant en 4Insurance

En gegevens van diverse gebruikers:

  • Klant van 4Insurance, de Volmacht/Service Provider en haar agenten

Rechten van betrokkenen

Voor zover 4insurance de verantwoordelijke is van Uw persoonsgegevens, kan iedere betrokkene 4insurance verzoeken om zijn/haar persoonsgegevens te wijzigen, te verbeteren, aan te vullen, te verwijderen of af te schermen.

De verantwoordelijke geeft betrokkene binnen uiterlijk 4 weken antwoord. Wanneer de verantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, geeft hij uitleg over waarom het verzoek zonder gevolg is gebleven.

Interessant voor anderen? Deel het artikel:

Wil je meer weten over de gemakken van AWI Connect?

Maak een afspraak