Onze brochure
Onze brochure

Gegevensbeschermingsbeleid

Gegevensbeschermingsbeleid van Façade Creations Ltd

Invoering

Façade Creations Ltd zet zich in voor de bescherming van de privacy en veiligheid van persoonsgegevens in overeenstemming met de Britse Algemene Verordening Gegevensbescherming (AVG) en de Data Protection Act 2018 , evenals alle andere toepasselijke wetgeving inzake gegevensbescherming. We houden ons ook aan de relevante bepalingen van de Companies Act 2006 , met name met betrekking tot de juiste archivering en beveiliging van bedrijfsgegevens. Dit beleid beschrijft hoe Façade Creations persoonsgegevens verzamelt, gebruikt, opslaat en beveiligt in lijn met onze activiteiten als bedrijf dat gespecialiseerd is in het ontwerpen, produceren en installeren van op maat gemaakte aluminium gevels . Het omvat persoonsgegevens van onze medewerkers, klanten, leveranciers, websitegebruikers en andere belanghebbenden, en legt de rechten uit die individuen hebben met betrekking tot hun gegevens.

Gegevensbeheerder

Façade Creations Ltd is de "verantwoordelijke voor de verwerking" en bepaalt hoe en waarom persoonsgegevens binnen onze organisatie worden verwerkt. Voor vragen, verzoeken of opmerkingen met betrekking tot persoonsgegevens of dit beleid kunt u contact opnemen met onze functionaris voor gegevensbescherming

Rollen en verantwoordelijkheden

De uiteindelijke verantwoordelijkheid voor de naleving van de gegevensbeschermingswetgeving bij Façade Creations ligt bij onze directeur, Hashim Choksi , die toezicht houdt op en de naleving van dit gegevensbeschermingsbeleid waarborgt. We hebben momenteel geen formele functionaris voor gegevensbescherming (FG) aangesteld, omdat we hiertoe wettelijk niet verplicht zijn gezien de aard en omvang van onze verwerking. De verantwoordelijkheden op het gebied van gegevensbescherming worden echter intern gedragen door het senior management. Alle medewerkers ontvangen basistraining over de AVG en gegevensbescherming als onderdeel van hun introductieprogramma en doorlopende training. Van medewerkers wordt verwacht dat zij dit beleid begrijpen en naleven, en dat zij eventuele problemen met de gegevensbescherming melden aan het management. Regelmatige controles en audits (zie Controle & Updates hieronder) worden uitgevoerd om de naleving te waarborgen en eventuele tekortkomingen aan te pakken.

Definities

Voor de toepassing van dit beleid gelden de volgende definities:

  • Persoonsgegevens: Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon (ook wel de "betrokkene" genoemd). Dit omvat voor de hand liggende identificatoren zoals iemands naam, contactgegevens (e-mail, telefoonnummer, adres), maar ook identificatoren zoals personeelsnummer, IP-adres of alle andere informatie die aan een persoon kan worden gekoppeld.
  • Verwerking: Elke handeling die wordt uitgevoerd op persoonsgegevens, zowel geautomatiseerd als handmatig. Verwerking omvat het verzamelen, registreren, ordenen, opslaan, wijzigen, opvragen, gebruiken, openbaar maken, verzenden, combineren, beperken, wissen of vernietigen van persoonsgegevens.
  • Betrokkene: De persoon op wie de persoonsgegevens betrekking hebben. Onze medewerkers, klanten en websitegebruikers kunnen bijvoorbeeld allemaal betrokkene zijn in het kader van dit beleid.
  • Verantwoordelijke voor de gegevensverwerking: De entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt (in dit geval Façade Creations Ltd).
  • Gegevensverwerker: Een derde partij (anders dan onze eigen medewerkers) die persoonsgegevens verwerkt namens de gegevensbeheerder, op basis van de instructies van de gegevensbeheerder. (Een cloudserviceprovider die onze gegevens host, kan bijvoorbeeld als gegevensverwerker optreden.)

Gegevensverzameling en -verwerking

Wij verzamelen en verwerken persoonsgegevens uitsluitend voor specifieke, expliciete en legitieme doeleinden die noodzakelijk zijn voor onze bedrijfsactiviteiten. Hieronder vindt u een overzicht van de soorten persoonsgegevens die wij verwerken, evenals de doeleinden en wettelijke grondslagen voor de verwerking van elk type:

  1. Personeelsgegevens (HR-gegevens)Doel: Het werven, in dienst nemen en beheren van ons personeel en het voldoen aan wettelijke verplichtingen als werkgever. Dit omvat de verwerking van gegevens voor personeelsadministratie, salarisadministratie, secundaire arbeidsvoorwaarden, functioneringsgesprekken en naleving van de Arbo-wetgeving.
    Gegevenscategorieën: Persoonlijke gegevens van werknemers (naam, contactgegevens, geboortedatum, burgerservicenummer), sollicitatieformulieren en arbeidsgegevens (cv, referenties, arbeidsovereenkomsten, functies en dienstdata), salaris- en bankgegevens voor salarisbetalingen en eventuele benodigde certificaten of documenten die het recht op werk aantonen. Indien nodig kunnen we ook gegevens bewaren over trainingen, functioneringsgesprekken en disciplinaire procedures. Juridische grondslag
    : Contractuele noodzaak (om de arbeidsovereenkomst na te komen, bijvoorbeeld het betalen van salarissen); Wettelijke verplichting (om te voldoen aan de arbeidswetgeving, belastingvoorschriften en wettelijke registratieverplichtingen, zoals de loonadministratie van de Belastingdienst en de vereisten van de Companies Act 2006); en Legitieme belangen (om ons personeelsbestand efficiënt te beheren en de bedrijfscontinuïteit te waarborgen, waarbij deze belangen worden afgewogen tegen de rechten van werknemers).
  2. Klant- en projectgegevensDoel: Het beheren van de relaties met onze klanten en het leveren van onze diensten op het gebied van gevelontwerp en -installatie. Dit omvat het beantwoorden van vragen, het verstrekken van offertes, het aangaan van contracten, het uitvoeren van projecten en het voldoen aan wettelijke en contractuele verplichtingen (bijv. Arbo-voorschriften, bouwvoorschriften).
    Gegevenscategorieën: Contactgegevens van klanten (namen, functies, bedrijfsadressen, telefoonnummers, e-mailadressen); projectgerelateerde informatie verstrekt door klanten (projectvereisten, specificaties, locatieadressen); communicatie met klanten; en contractuele en financiële gegevens (offertes, contracten, facturen, betalingsgegevens).
    Juridische grondslag: Contractuele noodzaak (het nemen van stappen op verzoek van de klant voorafgaand aan het aangaan van een contract, en het uitvoeren van onze contracten voor ontwerp, levering en installatie van gevels); Wettelijke verplichting (naleving van wetten zoals bouwvoorschriften, bouwcodes, belastingwetgeving met betrekking tot klanttransacties); en Legitieme belangen (het waarborgen van effectief projectmanagement, het onderhouden van klantrelaties en het communiceren met klanten in het kader van onze bedrijfsactiviteiten – bijvoorbeeld het verstrekken van projectupdates – op een manier die klanten redelijkerwijs zouden verwachten). In bepaalde gevallen kunnen we ook op toestemming – bijvoorbeeld als een potentiële klant zich aanmeldt voor het ontvangen van marketingnieuwsbrieven (zie Marketingcommunicatie hieronder).
  3. Gegevens van leveranciers en aannemersDoel: Het beheren van de inkoop van goederen en diensten, het coördineren met onze onderaannemers en leveranciers, en het nakomen van onze verplichtingen met betrekking tot de betaling en documentatie van deze transacties. Dit omvat gegevens met betrekking tot onze leveranciers, onderaannemers, consultants en andere derden waarmee we samenwerken aan projecten.
    Gegevenscategorieën: Contactgegevens van leveranciers of aannemers (naam contactpersoon, bedrijfsnaam, adres, e-mailadres, telefoonnummer); contracten en overeenkomsten; bank- en betalingsgegevens (rekeningnummers, bankcodes of IBAN, btw-nummer of bedrijfsnummer) die nodig zijn voor betalingen; en relevante kwalificaties of verzekeringsgegevens (bijv. bewijs van beroepsaansprakelijkheidsverzekering of certificeringen indien vereist door onze screeningprocedure voor aannemers).
    Juridische grondslag: Contractuele noodzaak (om contracten aan te gaan en uit te voeren met onze leveranciers en onderaannemers, bijv. het plaatsen van inkooporders, het betalen van facturen); wettelijke verplichting (bijv. het bewaren van transactiegegevens voor belasting- en auditdoeleinden, het naleven van anti-fraude- of anti-omkopingswetgeving indien van toepassing); en gerechtvaardigde belangen (zoals het screenen van leveranciers op kwaliteit en betrouwbaarheid, het waarborgen van de efficiëntie van de projecttoeleveringsketen en het handhaven van de bedrijfscontinuïteit). Deze belangen worden afgewogen tegen eventuele gevolgen voor de privacy, en doorgaans zijn de gegevens die we in deze context verzamelen bedrijfsgericht en niet al te persoonlijk.
  4. MarketingcommunicatiegegevensDoel: Het versturen van updates, nieuws of marketingberichten over onze diensten aan personen die zich hiervoor hebben aangemeld. Dit helpt ons bij de promotie van ons bedrijf en om geïnteresseerden op de hoogte te houden van ons aanbod (bijv. nieuwe geveloplossingen, projectcases of evenementen).
    Gegevenscategorieën: Namen en contactgegevens (zoals e-mailadres en bedrijfsnaam) van klanten of potentiële klanten die interesse hebben getoond in onze diensten of zich hebben ingeschreven voor onze mailinglijst. We kunnen ook communicatievoorkeuren (bijv. toestemmingsgegevens, voorkeurscontactmethode) en interactiegeschiedenis (bijv. openingspercentages van e-mails of aanwezigheid bij evenementen) vastleggen, op geaggregeerd niveau.
    Juridische basis: Toestemming – We baseren ons op expliciete toestemming voor alle e-mailmarketingcommunicatie. Personen worden alleen aan onze marketingmailinglijst toegevoegd als ze ons daarvoor expliciet toestemming hebben gegeven (bijv. door een vakje op een formulier aan te vinken of zich via onze website aan te melden). We versturen geen massamarketingmails zonder toestemming. Betrokkenen hebben het recht om hun toestemming te allen tijde in te trekken. Elke marketingmail die we versturen bevat een om je af te melden . Je kunt ook te allen tijde contact met ons opnemen om je van onze marketinglijsten te laten verwijderen. We zullen afmeldverzoeken zo snel mogelijk inwilligen.
  5. Websitegebruikersgegevens en cookiesDoel: Om onze bedrijfswebsite te beheren en te verbeteren en te begrijpen hoe gebruikers ermee omgaan. Wanneer u onze website (www.facadecreations.co.uk) bezoekt, verzamelen we bepaalde gegevens via cookies en vergelijkbare technologieën voor functionaliteit en analyses.
    Gegevenscategorieën: We gebruiken cookies voor essentiële websitefunctionaliteit (zoals sessiebeheer, waarmee uw voorkeuren worden onthouden of u ingelogd blijft indien van toepassing) en voor basisanalyses. De analysegegevens (bijv. via Google Analytics) worden doorgaans geaggregeerd en geanonimiseerd, waardoor we websiteverkeer en gebruikspatronen kunnen volgen zonder individuele bezoekers direct te identificeren. We verzamelen geen persoonlijk identificeerbare informatie via analysecookies en we gebruiken geen cookies voor reclamedoeleinden. Als onze website contact- of aanvraagformulieren bevat, worden de persoonsgegevens die u verstrekt (bijv. naam, e-mailadres, telefoonnummer en aanvraagdetails) alleen gebruikt om op uw verzoek te reageren (als onderdeel van de hierboven genoemde klantgegevens) en verwerkt in overeenstemming met dit beleid.
    Juridische grondslag: Legitieme belangen – Het is in ons belang om ervoor te zorgen dat onze website goed functioneert en om het gebruik ervan te begrijpen voor verbetering, op een manier die de privacy van gebruikers respecteert (analysegegevens worden geanonimiseerd). We vragen ook om toestemming wanneer dit wettelijk vereist is (bij uw eerste bezoek tonen we een cookie-melding waarin we toestemming vragen voor niet-essentiële cookies). U kunt niet-essentiële cookies op elk moment uitschakelen via de instellingen van uw browser; houd er echter rekening mee dat dit bepaalde functionaliteiten van de website kan beïnvloeden.

Gegevens delen en overdragen

Wij behandelen persoonsgegevens vertrouwelijk en delen deze niet met derden, tenzij dit noodzakelijk is voor het bereiken van het doel waarvoor de gegevens zijn verzameld, of tenzij wij hiertoe wettelijk verplicht zijn. Wanneer delen noodzakelijk is, passen wij het principe van dataminimalisatie toe en delen wij alleen de informatie die nodig is. De belangrijkste gevallen waarin wij persoonsgegevens kunnen delen zijn:

  • OnderAannemers en leveranciers: We delen relevante gegevens met onze onderaannemers, subadviseurs en leveranciers indien nodig voor de uitvoering van projecten. Zo kunnen we bijvoorbeeld een onderaannemer toegang geven tot de locatie of namen van werknemers verstrekken in verband met gezondheid en veiligheid, of contactgegevens van de klant delen met een transportpartner om een ​​verzending te coördineren. In alle gevallen ontvangen derden alleen de gegevens die nodig zijn voor hun specifieke taak en wordt van hen verwacht dat ze deze gegevens veilig behandelen.
  • Professionele adviseurs: We kunnen gegevens delen met onze verzekeraars , accountants , advocaten of andere professionele adviseurs. Een verzekeraar kan bijvoorbeeld details ontvangen over een claim die persoonsgegevens bevat, of onze accountants kunnen betalingsinformatie van werknemers en contractanten inzien bij het uitvoeren van salarisadministratie of financiële audits. Deze partijen zijn gebonden aan professionele geheimhouding of contractuele afspraken met betrekking tot gegevensbescherming.
  • Consultants en zakenpartners: Als we externe consultants of joint venture-partners inschakelen voor een project, moeten we mogelijk bepaalde gegevens delen (bijvoorbeeld contactgegevens van het projectteam, relevante ervaringsprofielen) om de samenwerking te vergemakkelijken. Dergelijke gegevensdeling zal, indien van toepassing, worden geregeld door geheimhoudingsovereenkomsten en overeenkomsten voor gegevensverwerking.
  • Wettelijke en regelgevende vereisten: We zullen persoonsgegevens verstrekken aan overheidsinstanties, toezichthouders, wetshandhavingsinstanties of rechtbanken indien dit wettelijk vereist is. Zo kunnen we bijvoorbeeld informatie moeten verstrekken aan de Britse belastingdienst (HMRC) voor belastingdoeleinden, aan het Information Commissioner's Office (ICO) in geval van een klachtonderzoek, of om te voldoen aan een gerechtelijk bevel of dagvaarding. In alle gevallen zullen we de rechtmatigheid van het verzoek controleren en alleen de gegevens delen die wettelijk noodzakelijk zijn.

Façade Creations geen persoonsgegevens aan derden voor marketingdoeleinden of andere doeleinden.

Internationale overdrachten: Als in het VK gevestigd bedrijf slaan we gegevens voornamelijk op en verwerken we deze binnen het VK. We maken echter gebruik van een aantal gerenommeerde clouddiensten (bijvoorbeeld Microsoft 365 voor e-mail- en documentopslag, Google Analytics-tools en Xero voor de boekhouding), wat kan betekenen dat gegevens worden opgeslagen op servers buiten het VK. Wanneer persoonsgegevens buiten het VK (of de Europese Economische Ruimte) worden overgedragen – bijvoorbeeld naar datacenters in de Verenigde Staten of elders – zorgen we ervoor dat er wettelijke waarborgen zijn. Deze waarborgen kunnen bestaan ​​uit standaardcontractbepalingen (SCC's) of een adequaatheidsbesluit van de Britse overheid. We zorgen er ook voor dat onze dienstverleners gecertificeerd zijn of contractueel gebonden zijn aan gegevensbeschermingsnormen die gelijkwaardig zijn aan de AVG. We screenen externe dienstverleners zorgvuldig op hun naleving van de gegevensbeschermingswetgeving en werken alleen met internationaal erkende bedrijven met sterke beveiligingspraktijken. Ons doel is dat persoonsgegevens overal waar ze worden verwerkt dezelfde mate van bescherming

Gegevensbeveiliging

Façade Creations neemt passende technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. We evalueren en verbeteren onze beveiligingsprocedures voortdurend in lijn met de industrienormen. Belangrijke maatregelen die we hebben getroffen zijn onder andere:

  • Beveiligde opslag: Persoonsgegevens in elektronische vorm worden opgeslagen op beveiligde systemen met toegangscontrole. We gebruiken encryptie voor gevoelige gegevens, zowel in rust als tijdens transport (zo maken onze databases en laptops bijvoorbeeld gebruik van schijfversleuteling). Servers zijn beveiligd met wachtwoorden en firewalls, en cloudopslag (bijvoorbeeld SharePoint/OneDrive binnen Microsoft 365) is versleuteld en wordt gemonitord. Papieren dossiers met persoonsgegevens worden bewaard in afgesloten kasten of beveiligde kantoorruimtes met beperkte toegang.
  • Toegangscontrole: We beperken de toegang tot persoonsgegevens strikt tot geautoriseerd personeel dat deze nodig heeft voor de uitvoering van hun werkzaamheden. Verschillende toegangsniveaus worden toegekend op basis van de rol (principe van minimale bevoegdheden). Zo zijn HR-gegevens alleen toegankelijk voor geautoriseerd HR- en managementpersoneel; projectgegevens zijn toegankelijk voor het projectteam en relevante beheerders. Alle medewerkers zijn verplicht om sterke, unieke wachtwoorden te gebruiken voor bedrijfssystemen en multifactorauthenticatie is waar mogelijk ingeschakeld voor toegang op afstand.
  • Beveiligde communicatie: Wanneer we persoonsgegevens aan derden doorgeven (zoals salarisgegevens aan onze accountant of projectgegevens aan een onderaannemer), maken we gebruik van beveiligde kanalen. E-mails worden standaard via versleutelde TLS-verbindingen verzonden en we gebruiken wachtwoordbeveiliging of versleuteling voor bestanden die bijzonder gevoelige gegevens bevatten. We raden het gebruik van onbeveiligde kanalen voor de overdracht van persoonsgegevens ten zeerste af.
  • Fysieke beveiliging: Onze kantoren zijn beveiligd om ongeautoriseerde toegang te voorkomen. Toegang tot kantoren en archiefruimtes is beperkt tot personeel (via sleutels of toegangskaarten) en bezoekers worden begeleid. Documenten of apparaten met persoonsgegevens worden niet onbeheerd achtergelaten in openbare ruimtes. We vernietigen papieren documenten met persoonsgegevens door middel van shreddertechnologie en hanteren een 'clean desk'-beleid om de blootstelling van gevoelige documenten te minimaliseren.
  • Apparaat- en IT-beveiliging: Alle laptops en apparaten van het bedrijf zijn voorzien van actuele antivirus-/antimalwaresoftware en worden regelmatig bijgewerkt met de nieuwste beveiligingsupdates. We hanteren een IT-assetmanagementproces om bedrijfsapparaten te volgen en te zorgen voor een veilige verwijdering wanneer apparaten buiten gebruik worden gesteld. Draagbare schijven of USB-opslag met persoonlijke gegevens worden versleuteld of waar mogelijk vermeden.
  • Diensten van derden: We maken gebruik van vertrouwde cloud- en IT-dienstverleners (zoals Microsoft en Xero) ter ondersteuning van onze bedrijfsactiviteiten. Voordat we een provider inschakelen die persoonsgegevens verwerkt, beoordelen we hun beveiligingscertificeringen en privacybeleid om ervoor te zorgen dat ze voldoen aan de AVG-normen. We sluiten gegevensverwerkingsovereenkomsten met dergelijke providers om te garanderen dat zij zich ertoe verbinden de gegevens namens ons te beschermen.
  • Monitoring en testen: We voeren regelmatig beveiligingsaudits en risicobeoordelingen van onze systemen uit. De toegangsrechten van medewerkers worden periodiek gecontroleerd om ervoor te zorgen dat alleen de noodzakelijke toegang behouden blijft. We bieden medewerkers ook doorlopende training in de beste praktijken op het gebied van cyberbeveiliging (zoals het herkennen van phishingpogingen en het beschermen van informatie).

Door bovenstaande maatregelen te implementeren, streven we ernaar een hoog beveiligingsniveau te handhaven en het risico op datalekken of ongeoorloofde openbaarmaking van gegevens te verkleinen.

Gegevensbewaring

We bewaren persoonsgegevens alleen zo lang als nodig is om de doeleinden waarvoor ze zijn verzameld te bereiken en om te voldoen aan wettelijke, boekhoudkundige of rapportageverplichtingen. De bewaartermijnen worden bepaald op basis van het type gegevens en de toepasselijke wettelijke/reglementaire verplichtingen. Ons algemene bewaarbeleid is als volgt:

  • Personeelsdossiers: We bewaren persoonsgegevens van werknemers tot 6 jaar na beëindiging van het dienstverband , conform de wettelijke verjaringstermijnen voor arbeidsrechtelijke vorderingen in het Verenigd Koninkrijk en de eisen van de Britse belastingdienst (HMRC). Dit omvat het bewaren van basisidentificatiegegevens, arbeidsovereenkomsten en loonadministratie gedurende zes jaar na beëindiging van het dienstverband. Bepaalde gegevens kunnen langer worden bewaard indien nodig (bijvoorbeeld informatie over pensioenregelingen of letselschadedossiers kunnen langer worden bewaard op grond van specifieke regelgeving), maar we bewaren geen volledige personeelsdossiers voor onbepaalde tijd.
  • Financiële gegevens: Financiële gegevens die persoonsgegevens kunnen bevatten (bijv. facturen, betalingsbewijzen, onkostennota's) worden 6 jaar na afloop van het boekjaar bewaard om te voldoen aan de belastingregels van de Britse belastingdienst (HMRC) en de bewaarplicht van de Companies Act 2006. Dit zorgt ervoor dat we documentatie hebben in geval van audits of financiële onderzoeken. Na 6 jaar worden dergelijke gegevens veilig vernietigd, tenzij een langere bewaartermijn wettelijk vereist is voor specifieke items.
  • Project- en klantdossiers: Projectgerelateerde documenten (waaronder correspondentie met de klant, contracten, projectplannen, enz.) worden bewaard gedurende de looptijd van het project en doorgaans 6 tot 10 jaar na voltooiing. De exacte periode hangt af van contractuele verplichtingen en aansprakelijkheidsaspecten – contracten specificeren bijvoorbeeld vaak dat bepaalde documenten gedurende een bepaalde periode bewaard moeten worden. In de bouwsector is een periode van 6 tot 12 jaar gebruikelijk (12 jaar indien verzegeld). Wij hanteren een algemene richtlijn van 10 jaar voor grote projectdossiers om eventuele aansprakelijkheid voor verborgen gebreken af ​​te dekken. Deze dossiers worden veilig gearchiveerd en alleen geraadpleegd indien nodig voor naslagdoeleinden of juridische redenen.
  • Aanvragen en gegevens van potentiële klanten: Als iemand een aanvraag indient maar geen contract met ons afsluit, bewaren we de correspondentie en contactgegevens tot 2 jaar na de laatste interactie. Dit stelt ons in staat om potentiële klanten te benaderen of eerdere communicatie te analyseren. Na 2 jaar inactiviteit (of direct op verzoek) verwijderen of anonimiseren we de aanvraaggegevens. Voor personen die toestemming hebben gegeven voor het ontvangen van marketingcommunicatie, bewaren we hun gegevens totdat ze zich afmelden of hun toestemming intrekken. Op dat moment verwijderen we hen onmiddellijk van onze actieve mailinglijsten (waarbij we een lijst met geblokkeerde adressen bijhouden om ervoor te zorgen dat we verzoeken om geen contact te ontvangen respecteren).
  • Overige categorieën: Camerabeelden (indien we ooit camerabewaking op ons terrein installeren) worden doorgaans kort bewaard (bijvoorbeeld 30 dagen), tenzij ze nodig zijn voor een onderzoek. Wervingsgegevens (sollicitanten) van kandidaten die we niet aannemen, worden meestal maximaal 6 maanden bewaard, tenzij de kandidaat toestemming geeft voor een langere bewaartermijn voor toekomstige vacatures.

In alle gevallen zullen we, zodra de bewaartermijn is verstreken, de persoonsgegevens veilig verwijderen anonimiseren (zodat ze niet langer aan een persoon kunnen worden gekoppeld). Veilige verwijdering kan inhouden dat elektronische bestanden permanent worden gewist met behulp van geschikte softwaretools en dat fysieke documenten worden vernietigd. We hanteren een bewaartermijn voor gegevens en controleren periodiek de gegevens die we bewaren om ervoor te zorgen dat we persoonsgegevens niet langer bewaren dan nodig.

Individuele rechten

Betrokkenen (personen van wie wij gegevens bewaren) hebben een aantal rechten onder de Britse AVG (Algemene Verordening Gegevensbescherming). Façade Creations respecteert en waarborgt deze rechten. Samengevat hebben personen het recht om:

  • Recht op inzage: U kunt bevestiging vragen of wij uw persoonsgegevens verwerken en, zo ja, een kopie opvragen van de persoonsgegevens die wij over u bewaren, evenals informatie over hoe wij deze gebruiken. Dit wordt doorgaans een 'verzoek om inzage' genoemd. Wij zullen de informatie op een beknopte en transparante manier verstrekken, normaal gesproken binnen één maand na ontvangst van een geldig verzoek.
  • Recht op rectificatie: Als persoonsgegevens die wij over u bewaren onjuist of onvolledig zijn, heeft u het recht om ons te verzoeken deze te corrigeren of bij te werken. Na verificatie zullen wij de onjuistheden onmiddellijk corrigeren.
  • Recht op verwijdering: U hebt het recht om in bepaalde omstandigheden te verzoeken om verwijdering van uw persoonsgegevens – bijvoorbeeld als de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, of als u uw toestemming intrekt en wij geen andere wettelijke grondslag hebben voor de verwerking. Dit wordt soms het ‘recht om vergeten te worden’ genoemd. Houd er rekening mee dat dit recht niet absoluut is; we kunnen bepaalde informatie moeten bewaren als we daartoe wettelijk verplicht zijn of een zwaarwegend gerechtvaardigd belang hebben (we zullen u hiervan op de hoogte stellen).
  • Recht op beperking van de verwerking: U kunt ons onder bepaalde voorwaarden vragen de verwerking van uw gegevens te beperken. Bijvoorbeeld als u de juistheid van de gegevens betwist of bezwaar hebt gemaakt tegen onze verwerking (zie hieronder), kunt u een beperking aanvragen totdat de kwestie is opgelost. Wanneer de verwerking is beperkt, blijven we uw gegevens opslaan, maar gebruiken of delen we deze niet, behalve in beperkte omstandigheden (zoals met uw toestemming of voor juridische procedures).
  • Recht van bezwaar: Wanneer wij uw persoonsgegevens verwerken op basis van gerechtvaardigde belangen , heeft u het recht om bezwaar te maken tegen die verwerking. Als u bezwaar maakt, zullen wij de verwerking van de betreffende gegevens stopzetten, tenzij wij dwingende gerechtvaardigde gronden voor de verwerking kunnen aantonen die zwaarder wegen dan uw rechten, of de verwerking noodzakelijk is voor de vaststelling, uitoefening of verdediging van rechtsvorderingen. U heeft ook een onvoorwaardelijk recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens voor direct marketingdoeleinden – als u bezwaar maakt, zullen wij dergelijk gebruik onmiddellijk stopzetten.
  • Recht op dataportabiliteit: Indien u gegevens aan ons heeft verstrekt en de verwerking daarvan geautomatiseerd plaatsvindt op basis van uw toestemming of ter uitvoering van een overeenkomst, heeft u het recht om een ​​kopie van die gegevens in een gangbaar, machineleesbaar formaat op te vragen en/of deze te laten overdragen aan een andere gegevensverwerker (indien technisch mogelijk). Dit recht geldt in de eerste plaats voor gegevens die u actief heeft verstrekt. Wij zullen u zo goed mogelijk bijstaan ​​bij dergelijke verzoeken.

Om gebruik te maken van een van deze rechten, kunt u contact met ons opnemen via info@facadecreations.co.uk met een beschrijving van uw verzoek. Mogelijk moeten we uw identiteit verifiëren om te voorkomen dat we gegevens aan de verkeerde persoon verstrekken. In sommige gevallen kunnen we om verduidelijking vragen over de reikwijdte van uw verzoek (bijvoorbeeld als u meerdere keren contact met ons heeft gehad). We zullen zo snel mogelijk, en uiterlijk binnen een maand na ontvangst, op alle geldige verzoeken reageren. Als we meer tijd nodig hebben (tot maximaal twee maanden extra voor complexe verzoeken), zullen we u informeren over de verlenging en de redenen daarvoor. Over het algemeen brengen we geen kosten in rekening voor het behandelen van verzoeken, tenzij een verzoek kennelijk ongegrond of buitensporig is. In dat geval kunnen we redelijke kosten in rekening brengen of het verzoek weigeren (met een onderbouwing).

Procedure bij datalekken

Ondanks onze robuuste beveiligingsmaatregelen is een datalek (een incident dat leidt tot accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens) nog steeds mogelijk. Façade Creations heeft een duidelijk plan voor de afhandeling van datalekken om ervoor te zorgen dat dergelijke incidenten snel en effectief worden afgehandeld. Onze procedure is als volgt:

  1. Detecteren en inperken: Medewerkers zijn getraind om elk vermoedelijk datalek (bijvoorbeeld een verloren apparaat, verdachte systeemactiviteit of een per ongeluk verstuurde e-mail naar een verkeerde ontvanger) onmiddellijk aan het management te melden. Zodra een potentieel datalek is gemeld of gedetecteerd, zullen we snel actie ondernemen om in te dammen – bijvoorbeeld door een gecompromitteerd systeem te isoleren, onterecht verstuurde e-mails terug te halen of toegangsgegevens te wijzigen om verdere ongeautoriseerde toegang te voorkomen. We houden ook een logboek bij van het incident, het tijdstip en de genomen acties.
  2. Beoordeling: Het verantwoordelijke team (onder leiding van het senior management en de IT-afdeling, inclusief onze functionaris voor gegevensbescherming) onderzoekt en beoordeelt de omvang en ernst van het datalek. We bepalen welke persoonsgegevens betrokken zijn, hoeveel personen getroffen zijn, wat de mogelijke gevolgen voor deze personen zijn en of de gegevens zijn hersteld of nog steeds openbaar toegankelijk zijn. Deze risicobeoordeling wordt snel uitgevoerd, omdat deze bepalend is voor onze volgende stappen met betrekking tot de melding.
  3. Melding: Als de inbreuk waarschijnlijk een risico vormt voor de rechten en vrijheden van personen (bijvoorbeeld risico op identiteitsdiefstal, financieel verlies, persoonlijke veiligheid of andere aanzienlijke schade), zullen we het Britse Information Commissioner 's Office (ICO) binnen 72 uur na constatering van de inbreuk op de hoogte stellen, zoals wettelijk vereist. Onze melding aan het ICO zal details bevatten over de aard van de inbreuk, de categorieën en het geschatte aantal betrokken personen en gegevens, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken. Als de termijn van 72 uur verstrijkt en we nog niet alle informatie hebben verzameld, zullen we een eerste melding indienen en later meer details verstrekken zodra deze beschikbaar zijn. Daarnaast zullen we, als de inbreuk waarschijnlijk een hoog risico voor de betrokken personen (bijvoorbeeld het lekken van gevoelige informatie die kan leiden tot fraude of schade), deze personen ook zonder onnodige vertraging en in duidelijke bewoordingen informeren over wat er is gebeurd en welke stappen zij moeten nemen om zichzelf te beschermen. We zullen de betrokken personen adviseren over het beperken van eventuele negatieve gevolgen (zoals het opnieuw instellen van wachtwoorden, het in de gaten houden van verdachte activiteiten, enz.). Als het datalek geen significante risico's met zich meebrengt (bijvoorbeeld als de gegevens versleuteld waren of snel hersteld konden worden), hoeven we individuen mogelijk niet op de hoogte te stellen, maar we documenteren het incident wel intern.
  4. Evaluatie en preventie: Na de afhandeling van het incident voeren we een evaluatie achteraf uit om de oorzaak volledig te begrijpen en verbeterpunten te identificeren. We nemen alle noodzakelijke maatregelen om soortgelijke incidenten in de toekomst te voorkomen, zoals het herzien van procedures, het versterken van beveiligingsmaatregelen of het verzorgen van extra personeelstrainingen. Alle datalekken en bijna-datalekken worden geregistreerd in ons interne datalekregister, samen met details over onze reactie en de resultaten, conform onze verantwoordingsverplichtingen.

Wij beschouwen elk datalek als een ernstige zaak. Door deze procedure te volgen, willen we de schade voor individuen minimaliseren en leren van incidenten om onze gegevensbeschermingsmaatregelen voortdurend te verbeteren.

Overzicht en updates

We herzien dit gegevensbeschermingsbeleid regelmatig om ervoor te zorgen dat het actueel blijft in het licht van veranderende wetgeving en onze bedrijfsactiviteiten. Het beleid wordt minimaal jaarlijks . Herzieningen vinden ook plaats in geval van belangrijke wijzigingen, bijvoorbeeld bij de introductie van nieuwe gegevensverwerkingsactiviteiten, wijzigingen in de regelgeving of belangrijke bevindingen uit een gegevensbeschermingsaudit of een onderzoek naar een datalek.

Wijzigingen in het beleid worden goedgekeurd door de bedrijfsleiding. De directeur (Hashim Choksi) is verantwoordelijk voor de formele goedkeuring van eventuele herzieningen en voor het toezicht op de naleving van dit beleid binnen de gehele organisatie. Wanneer er wijzigingen worden aangebracht, wordt het herziene beleid op onze website geplaatst en wordt de datum van de laatste update dienovereenkomstig aangepast. Bij substantiële wijzigingen kunnen we medewerkers of andere betrokkenen ook rechtstreeks op de hoogte stellen (bijvoorbeeld via e-mail of een interne memo), met name als de wijzigingen van invloed zijn op de manier waarop we hun gegevens verwerken of op hun rechten.

We voeren ook periodieke audits en compliance-controles uit op het gebied van gegevensbescherming (intern of met behulp van externe adviseurs) om ervoor te zorgen dat onze daadwerkelijke werkwijzen in overeenstemming zijn met dit beleid. Eventuele bevindingen uit dergelijke audits zullen worden gebruikt om onze processen te verbeteren en kunnen leiden tot beleidsaanpassingen of aanvullende trainingen.

Door ons beleid en onze werkwijzen regelmatig te herzien en bij te werken, bevestigt Façade Creations haar toewijding aan hoge normen voor gegevensbescherming en past zij zich proactief aan nieuwe ontwikkelingen aan.

ICO en klachten

Wij willen dat mensen erop kunnen vertrouwen dat wij op een verantwoorde manier met hun persoonsgegevens omgaan. Als u zich zorgen maakt of klachten heeft over ons gegevensbeschermingsbeleid, raden wij u aan rechtstreeks contact met ons op te nemen, zodat we het probleem kunnen oplossen. Daarnaast heeft u het recht om een ​​klacht in te dienen bij de Britse toezichthoudende autoriteit voor gegevensbescherming, het Information Commissioner 's Office (ICO) . U kunt contact opnemen met het ICO via hun website (ico.org.uk) of telefonisch.

In onze privacyverklaringen (bijvoorbeeld op onze website en in contractuele gegevensbeschermingsclausules) vermelden we informatie over het recht van individuen om contact op te nemen met de ICO. We zullen volledig met de ICO samenwerken in geval van een onderzoek. Uiteraard hopen we eventuele zorgen rechtstreeks met u op te lossen – uw vertrouwen is voor ons van groot belang.

Neem contact met ons op

Heeft u vragen over dit privacybeleid of wilt u gebruikmaken van uw rechten met betrekking tot gegevensbescherming? Neem dan gerust contact met ons op

E-mail: info@facadecreations.co.uk
Postadres: Vragen over gegevensbescherming – Façade Creations Ltd, 124 City Road, Londen, EC1V 2NX, Verenigd Koninkrijk

Wij helpen u graag verder en streven ernaar om alle legitieme verzoeken zo spoedig mogelijk te beantwoorden.

Façade Creations Ltd – Geregistreerd in Engeland en Wales (bedrijfsnummer 16267073)

 

Laatst bijgewerkt: oktober 2025