Privacy Policy

1 Welkom bij Novelist

Welkom! Bedankt voor je bezoek aan Novelist. Novelist is een handelsnaam van Amdax B.V. Het gebruik van de woorden "AMDAX", “Novelist”, "wij", "ons" of "onze" verwijst naar Amdax B.V. Deze Privacy Verklaring legt uit welke Persoonsgegevens (zoals hieronder gedefinieerd) wij verzamelen, waarom wij deze verzamelen, hoe wij deze gebruiken en openbaar maken. Bovendien worden in het GDPR Beleid (zoals hieronder gedefinieerd) dat als bijlage bij dit Privacy Verklaring is gevoegd, de GDPR-gerelateerde vereisten in meer detail beschreven.

Jouw privacy is belangrijk voor ons, dus of je nu een nieuwe of een oude klant bent van Novelist neem de tijd om onze beleidsregels en werkwijzen te leren kennen en ermee vertrouwd te raken. Je kan deze Privacy Verklaring gerust afdrukken en bewaren, maar houd er rekening me dat wij het recht voorbehouden om ons beleid en onze werkwijzen op elk moment te wijzigen. Geen zorgen, de meest recente versie van deze Privacy Verklaring is altijd op onze website vinden.

2 Persoonsgegevens die wij verzamelen

Zoals gebruikt in deze Privacy Verklaring betekent "Persoonsgegevens" informatie die een persoon identificeert of redelijkerwijs in staat is een individu direct of indirect te identificeren, evenals informatie die in verband wordt gebracht met een geïdentificeerde of redelijkerwijs identificeerbaar persoon.

Deze Privacy Verklaring beschrijft hoe Persoonsgegevens worden verzameld, verwerkt en opgeslagen en hoe wij voldoen aan de toepasselijke wetgeving en de door Novelist vastgestelde normen voor gegevensbescherming.

2.1 Persoonsgegevens die wij van jou verzamelen

Wij kunnen de volgende categorieën Persoonsgegevens rechtstreeks van jou verzamelen:

  • identificatiegegevens, zoals naam, e-mail, telefoonnummer, postadres, overheidsidentificatienummers (waaronder een burgerservicenummer of  een gelijkwaardig, rijbewijsnummer, paspoortnummer);
  • commerciële informatie, zoals handelsactiviteit, orderactiviteit, stortingen, opnames, rekeningsaldi;
  • financiële informatie, zoals bankrekeninginformatie, herkomst van vermogen, bankcode (routing nummer);
  • correspondentie, met inbegrip van informatie verstrekt bij de opening van een rekening en klantenondersteuning;
  • zintuiglijke informatie, zoals beelden die zijn verzameld voor identiteitsverificatie, geluidsopnamen die zijn achtergelaten op antwoordapparaten;
  • werkgerelateerde informatie, zoals functietitel, naam van de werkgever; en
  • bedrijfsinformatie, zoals de statutaire naam van het bedrijf, het identificatienummer van de werkgever of een vergelijkbaar door de overheid toegekend identificatienummer, bewijs van juridisch bestaan (waaronder statuten, oprichtingsakte, bedrijfsvergunning, trustakte of een vergelijkbaar juridisch document).

2.2 Persoonsgegevens die wij automatisch verzamelen

Wij kunnen de volgende categorieën Persoonsgegevens automatisch verzamelen door het gebruik van onze diensten:

  • online identificatoren, zoals IP-adres; domeinnaam;
  • apparaatgegevens, zoals hardware, besturingssysteem, browser;
  • gebruiksgegevens, zoals systeemactiviteit, interne en externe informatie met betrekking tot Novelist-pagina's die u bezoekt, clickstream-informatie; en
  • geolocatiegegevens.

Onze automatische verzameling van Persoonsgegevens kan het gebruik van cookies met zich meebrengen (zie hieronder).

2.3 Persoonsgegevens die wij van derden verzamelen

Wij kunnen de volgende categorieën Persoonsgegevens over jou verzamelen en/of verifiëren bij derden:

  • identificatiegegevens, zoals naam, e-mail, telefoonnummer, postadres, overheidsidentificatienummers (waaronder het burgerservicenummer of een gelijkwaardig nummer, rijbewijsnummer, paspoortnummer);
  • financiële informatie, zoals bankrekeninginformatie, herkomst van vermogen, bankcode (routingnummer);
  • transactie-informatie, zoals openbare blockchaingegevens (bitcoin, ether en andere digitale activa zijn niet anoniem). Wij kunnen jouw openbare digitale activa-adres koppelen aan andere Persoonsgegevens over u en kunnen u mogelijk identificeren aan de hand van een blockchain-transactie omdat - in sommige omstandigheden - Persoonsgegevens die op een blockchain zijn gepubliceerd (zoals jouw digitale activa-adres en IP-adres) kunnen worden gecorreleerd met Persoonsgegevens die wij mogelijk hebben. Bovendien kan het door het gebruik van data-analysetechnieken op een bepaalde blockchain mogelijk zijn om andere Persoonsgegevens over u te identificeren; en
  • aanvullende informatie, zoals gevraagd door en naar goeddunken van ons compliance team (waaronder mogelijk strafbladen of vermeende criminele activiteiten).

Persoonsgegevens die jij tijdens het registratieproces verstrekt, kunnen worden bewaard, zelfs indien jouw registratie onvolledig is of wordt geannuleerd.

2.4 Nauwkeurigheid en bewaring van persoonsgegevens

Wij nemen redelijke en praktische maatregelen om ervoor te zorgen dat jouw Persoonsgegevens (i) nauwkeurig zijn met betrekking tot de doeleinden waarvoor zij worden gebruikt, en (ii) niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van het doel waarvoor zij worden gebruikt.

 

 

3 Hoe wij jouw persoonsgegevens gebruiken

De Persoonsgegevens die wij verzamelen en de hierboven beschreven praktijken hebben tot doel jou de best mogelijke ervaring te bieden, je te beschermen tegen risico's gerelateerd aan oneigenlijk gebruik en fraude, en ons te helpen Novelist te onderhouden en te verbeteren. Wij kunnen jouw Persoonsgegevens gebruiken om:

A.     Jou te voorzien van onze diensten. Wij gebruiken jouw Persoonsgegevens om je te voorzien van onze diensten overeenkomstig de voorwaarden van jouw overeenkomst met ons. Bijvoorbeeld, om fiat overschrijvingen van of naar jouw rekening te vergemakkelijken, moeten wij jouw bankrekeninginformatie kennen.

B.    Voldoen aan wettelijke en regelgevende vereisten. Wij verwerken jouw Persoonsgegevens zoals vereist door de toepasselijke wet- en regelgeving. Zo hebben wij bijvoorbeeld vereisten voor identiteitscontrole om te voldoen aan onze verplichtingen onder anti-witwas wetten.

C.     Opsporen en voorkomen van fraude. Wij verwerken jouw Persoonsgegevens om fraude met jouw account op te sporen en te voorkomen, wat vooral belangrijk is gezien de onomkeerbare aard van crypto activa-transacties.

D.    De veiligheid en integriteit van onze diensten te beschermen. Wij gebruiken jouw Persoonsgegevens om onze mentaliteit waarin veiligheid voorop staat te versterken. Het waarborgen van de veiligheid van jouw account en het platform vereist dat wij jouw Persoonsgegevens verwerken, waaronder informatie over uw apparaat, jouw activiteiten op het platform en andere relevante gegevens.

E.     U te voorzien van klantenondersteuning. Wij verwerken jouw Persoonsgegevens telkens wanneer u contact opneemt met ons klantenserviceteam.

F.     Optimaliseren en verbeteren van onze diensten. Wij gebruiken jouw Persoonsgegevens om te begrijpen hoe onze producten en diensten worden gebruikt om ons te helpen onze diensten te verbeteren en nieuwe producten te ontwikkelen.

G.    Onze producten aan u te verkopen. Wij kunnen contact met u opnemen over onze producten en diensten. Wij zullen dit alleen doen met jouw toestemming, die op elk moment kan worden ingetrokken.

H.    Andere zakelijke doeleinden. Wij kunnen jouw Persoonsgegevens voor aanvullende doeleinden gebruiken indien dat doel aan jou bekend is gemaakt voordat wij deze Persoonsgegevens verzamelen of indien wij jouw toestemming daarvoor hebben verkregen.

4 Hoe wij jouw persoonsgegevens delen

Wij zullen jouw Persoonsgegevens niet met derden delen, behalve zoals hieronder beschreven:

A.     Dienstverleners. Wij kunnen jouw Persoonsgegevens delen met externe dienstverleners voor zakelijke of commerciële doeleinden. Jouw Persoonsgegevens kunnen worden gedeeld zodat zij ons diensten kunnen verlenen, waaronder identiteitsverificatie, fraudedetectie en -preventie, detectie van veiligheidsdreigingen, betalingsverwerking, klantenondersteuning, gegevensanalyse, informatietechnologie, reclame, marketing, gegevensverwerking, netwerkinfrastructuur, opslag, transactiemonitoring en belastingrapportage. Wij delen jouw Persoonsgegevens alleen met deze dienstverleners zodat zij ons diensten kunnen verlenen, en wij verbieden onze dienstverleners om jouw Persoonsgegevens voor andere doeleinden te gebruiken of openbaar te maken. Onze externe dienstverleners zijn onderworpen aan strikte geheimhoudingsverplichtingen.

B.    Wetshandhaving. Wij kunnen genoodzaakt zijn jouw Persoonsgegevens te delen met wetshandhavingsinstanties, overheidsfunctionarissen en/of toezichthouders.

C.     Bedrijfstransacties. Wij kunnen Persoonsgegevens openbaar maken in het geval van een voorgestelde of voltooide fusie, overname, reorganisatie, verkoop van activa, of soortgelijke zakelijke transactie, of in het geval van een faillissement of ontbinding.

D.    Professionele adviseurs. Wij kunnen jouw Persoonsgegevens delen met onze professionele adviseurs, waaronder juridische, boekhoudkundige of andere adviesdiensten ten behoeve van audits, zakelijke doeleinden of om te voldoen aan onze wettelijke verplichtingen.

E.     Toestemming. Wij kunnen jouw Persoonsgegevens met jouw toestemming delen of openbaar maken.

Indien wij beslissen om het doel waarvoor jouw Persoonsgegevens wordt verzameld en gebruikt te wijzigen, zullen wij deze Privacyverklaring aanpassen.

5 Cookies

Wanneer jij Novelist bezoekt, kunnen wij gebruik maken van de standaard praktijk van het plaatsen van kleine gegevensbestanden, genaamd cookies, flash cookies, pixel tags, of andere tracking tools ("Cookies") op jouw computer of andere apparaten die worden gebruikt om Novelist te bezoeken. Wij gebruiken Cookies om:

  • ons the helpen jou als klant te herkennen;
  • informatie te verzamelen over jouw gebruik van Novelist om onze diensten en inhoud beter op jou af te stemmen en te verbeteren;
  • informatie te verzamelen over jouw computer of andere toegangsapparatuur om ervoor te zorgen dat onze procedure voor aanvaarding van cliënten en ons programma voor de bestrijding van het witwassen van geld worden nageleefd; 
  • ervoor te zorgen dat de veiligheid van jouw rekening niet in gevaar is gebracht door het opsporen van onregelmatige, verdachte of mogelijk frauduleuze rekeningactiviteiten; en
  • onze reclamecampagnes te beoordelen en te verbeteren.

Je kan meer te weten komen over cookies door een bezoek te brengen aan http://www.allaboutcookies.org, waar je aanvullende nuttige informatie vindt over Cookies en hoe u Cookies kunt blokkeren op verschillende soorten browsers en mobiele apparaten. Houdt u er rekening mee dat als u Cookies weigert, u niet in staat zult zijn om sommige of alle delen van de software van Novelist te gebruiken.

6 Direct marketing

Behoudens de toepasselijke wet- en regelgeving kunnen wij jou van tijd tot tijd direct marketingmateriaal toesturen ter promotie van diensten, producten, faciliteiten of activiteiten met gebruikmaking van de informatie die wij van jou hebben verzameld of die op jou betrekking heeft. Je kan je ook afmelden voor dergelijke communicatie door de instructies te volgen die in elk marketingbericht worden vermeld. Het is ons beleid om jouw Persoonsgegevens niet aan derden te verstrekken voor hun directe marketingdoeleinden zonder jouw toestemming

7 Informatie beveiliging

We kunnen geen absolute veiligheid garanderen, maar we doen er alles aan om Novelist en jou te beschermen tegen ongeoorloofde toegang tot of ongeoorloofde wijziging, openbaarmaking of vernietiging van de Persoonsgegevens die we verzamelen en opslaan. Maatregelen die we nemen omvatten:

  • versleuteling van de communicatie op de Novelist -website met SSL;
  • vereisen van twee-factor authenticatie voor alle sessies;
  • periodieke herziening van onze praktijken voor het verzamelen, opslaan en verwerken van Persoonsgegevens; en 
  • beperkte toegang tot jouw Persoonsgegevens op een "need-to-know"-basis voor onze werknemers, opdrachtnemers en vertegenwoordigers die onderworpen zijn aan strikte contractuele geheimhoudingsverplichtingen en die aan disciplinaire maatregelen kunnen worden onderworpen of waarvan de samenwerking kan worden beëindigd indien zij deze verplichtingen niet naleven.

8 Neem contact met ons op

Indien je vragen of opmerkingen hebt over deze Privacy Verklaring of onze verwerking van jouw Persoonsgegevens, aarzel dan niet om ons te e-mailen op: dpo@amdax.com, ons te bellen op ons telefoonnummer (te vinden op onze website), of ons te schrijven op: Novelist, Gustav Mahlerplein 45, 1082 MS Amsterdam, Nederland.

Indien je een Europese ingezetene bent en van mening bent dat wij dergelijke kwesties niet adequaat hebben opgelost, heb je het recht contact op te nemen met de plaatselijke toezichthoudende autoriteit.

 

Bijlage I - Beleid inzake de algemene verordening gegevensbescherming

Wij houden ons aan de EU-wetgeving inzake gegevensbescherming zoals vermeld in de Algemene Verordening Gegevensbescherming (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ("GDPR"). De GDPR beschrijft hoe bedrijven, zoals Novelist, persoonsgegevens moeten verzamelen, verwerken en opslaan.  Deze regels zijn van toepassing ongeacht of de gegevens elektronisch, op papier of op een andere manier worden verwerkt.

Hieronder vind je ons GDPR-beleid, waarin wordt uiteengezet hoe wij de GDPR implementeren. Dit GDPR-beleid zorgt ervoor dat Novelist:

  • voldoet aan de wet- en regelgeving inzake de bescherming van persoonsgegevens;
  • de rechten van klanten, werknemers, partners en leveranciers beschermt;
  • transparant is in de wijze waarop zij persoonsgegevens opslaat en verwerkt; en
  • het risico van een inbreuk met betrekking tot persoonsgegevens zoveel als redelijkerwijs mogelijk beperkt.

Gegevensbeschermingsrisico's

Dit GDPR-beleid helpt Novelist te beschermen tegen gegevensbeveiligingsrisico's zoals:

  • het risico van een vertrouwensbreuk, bijvoorbeeld omdat de gegevens op onrechtmatige wijze openbaar zijn gemaakt;
  • het risico dat de rechten van een persoon niet worden geëerbiedigd, bijvoorbeeld het recht op toegang tot of rectificatie van zijn of haar persoonsgegevens; en
  • het risico van reputatieschade, bijvoorbeeld omdat hackers zich op onrechtmatige wijze toegang hebben verschaft tot privacygevoelige informatie.

Verantwoordelijkheden

Iedereen die bij of voor Novelist werkt, heeft de verantwoordelijkheid om ervoor te zorgen dat het verzamelen, verwerken en bewaren van gegevens op de juiste manier gebeurt. Iedereen binnen Novelist die in contact komt met persoonsgegevens moet garanderen dat de verwerking van deze gegevens in overeenstemming is met dit GDPR-beleid en de gegevensbeschermingsbeginselen. 

Definities

De definities die wij in onze Privacy Verklaring gebruiken, zijn in overeenstemming met de definities die in de GDPR worden gebruikt.

persoonsgegevens: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 

 

betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbare natuurlijke persoon wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online-identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het beperken, uitwissen of vernietigen van gegevens. 

 

verwerkingsverantwoordelijke: een natuurlijke of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor deze verwerking worden bepaald door de EU-wetgeving of de nationale wetgeving, kan de voor de verwerking verantwoordelijke of de specifieke criteria voor zijn benoeming worden aangewezen door de EU-wetgeving of de nationale wetgeving.

 

verwerker: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander lichaam dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt.

 

Beginselen betreffende de verwerking van persoonsgegevens

Om aan de wet- en regelgeving te voldoen, moeten de volgende beginselen inzake de verwerking van persoonsgegevens in acht worden genomen:

  • De persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (rechtmatigheid, billijkheid en transparantie).
  • De persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden (doelbinding).
  • De persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot hetgeen noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt (gegevensminimalisering).
  • De persoonsgegevens moeten nauwkeurig zijn en zo nodig worden bijgewerkt; alle redelijke maatregelen moeten worden genomen om te zorgen dat persoonsgegevens die onjuist zijn, met het oog op de doeleinden waarvoor zij worden verwerkt, onverwijld worden gewist of gecorrigeerd (juistheid).
  • De persoonsgegevens mogen in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt (beperking van de opslag);
  • Door het nemen van passende technische of organisatorische maatregelen moeten persoonsgegevens op zodanige wijze worden verwerkt dat een passende beveiliging van de persoonsgegevens wordt gewaarborgd, waaronder bescherming tegen onder meer ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid). Novelist heeft hiertoe verschillende maatregelen genomen.

Regelmaat

Persoonsgegevens mogen alleen worden verwerkt indien aan ten minste een van de volgende voorwaarden is voldaan:

  • De betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden.
  • De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene maatregelen te nemen voorafgaand aan het sluiten van een overeenkomst.
  • De verwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke is onderworpen.
  • De verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of een andere natuurlijke persoon.
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke is opgedragen.
  • De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde, behalve wanneer deze belangen moeten wijken voor de belangen of de grondrechten en fundamentele vrijheden van de betrokkene, die bescherming van persoonsgegevens vereisen, met name wanneer de betrokkene een kind is.

Indien de rechtmatigheid van de verwerking "toestemming" is (eerste bullet hierboven), moet Novelist kunnen aantonen dat de betrokkene toestemming heeft gegeven, bijvoorbeeld door middel van een schriftelijke vastlegging. De toestemming moet door de betrokkene op een vrije, specifieke, geïnformeerde en ondubbelzinnige wijze zijn gegeven.

Toestemming om persoonsgegevens te verwerken kan door de betrokkene worden ingetrokken. Een dergelijke intrekking heeft geen terugwerkende kracht. De verwerking moet worden stopgezet na intrekking van de toestemming, tenzij de verwerking kan worden gebaseerd op een andere grondslag als bedoeld in de bovenstaande lijst.

Transparantie

Novelist verstrekt de betrokkene de volgende informatie:

  • de identiteit en de contactgegevens van Novelist;
  • de doeleinden van de verwerking van de persoonsgegevens, alsmede de rechtsgrondslag voor de verwerking;
  • de ontvangers of categorieën ontvangers van de persoonsgegevens;
  • indien van toepassing, het voornemen om de persoonsgegevens door te geven aan een derde land of een internationale organisatie;
  • de termijn gedurende welke de persoonsgegevens zullen worden bewaard, of, indien dat niet mogelijk is, de criteria voor de vaststelling van die termijn;
  • informatie over het recht van de betrokkene om Novelist te verzoeken om inzage in en rectificatie of wissing van de hem betreffende persoonsgegevens of beperking van de verwerking, alsmede het recht om bezwaar te maken tegen de verwerking en het recht op gegevensoverdraagbaarheid;
  • dat de betrokkene het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit; en
  • of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is of een noodzakelijke voorwaarde voor het sluiten van een overeenkomst, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn indien deze gegevens niet worden verstrekt.

Bovenstaande informatie wordt schriftelijk of via andere middelen, waaronder eventueel elektronische, verstrekt.

Recht op inzage van de betrokkene

De betrokkene heeft het recht om van Novelist informatie te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, indien dat het geval is, om toegang te krijgen tot die persoonsgegevens, met inbegrip van de informatie vermeld in de rubriek Transparantie (hierboven).

Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht te worden geïnformeerd over de passende waarborgen met betrekking tot de doorgifte.

Op verzoek van de betrokkene verstrekt Novelist de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om extra kopieën verzoekt, kan Novelist een redelijke vergoeding vragen op basis van de administratieve kosten. Indien de betrokkene zijn verzoek langs elektronische weg indient en niet om een andere leveringsmethode verzoekt, wordt de informatie in een conventionele elektronische vorm verstrekt.

Voor onze procedure met betrekking tot de verwerking van verzoeken van betrokkenen verwijzen wij naar bijlage II - Procedure in verband met de rechten van betrokkenen.

Beperking van het doel

Novelist verzamelt en verwerkt persoonsgegevens alleen voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Novelist zal de persoonsgegevens niet voor een ander doel gebruiken dan het vooraf bepaalde doel, tenzij het gebruik verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Of er al dan niet sprake is van verenigbaarheid hangt af van:

  • het verband tussen de doeleinden waarvoor de gegevens zijn verzameld en de doeleinden van de verdere verwerking;
  • de context waarin de gegevens zijn verzameld en de redelijke verwachtingen van de betrokken partijen met betrekking tot het verdere gebruik ervan;
  • de aard van de gegevens en de gevolgen van verdere verwerking voor de betrokkenen; en
  • de door de voor de verwerking verantwoordelijke toegepaste waarborgen om een eerlijke verwerking te waarborgen en ongepaste gevolgen voor de betrokkenen te voorkomen

Minimale gegevensverwerking

Novelist verwerkt persoonsgegevens alleen voor zover dat noodzakelijk is voor de verwerkingsdoeleinden. Dit betekent dat Novelist alleen die persoonsgegevens gebruikt die noodzakelijk zijn om het doel te bereiken. Ook wordt rekening gehouden met subsidiariteit: als het doel ook op een andere manier, met minder inbreuk op de privacy, kan worden bereikt, zal Novelist deze andere manier gebruiken.

Juistheid

De GDPR vereist dat Novelist redelijke maatregelen neemt om ervoor te zorgen dat de gegevens accuraat en correct zijn. Hoe belangrijker de persoonsgegevens zijn, hoe meer inspanning Novelist moet leveren om de juistheid ervan te verzekeren.

Het is de verantwoordelijkheid van Novelist om redelijke maatregelen te nemen om ervoor te zorgen dat de gegevens zo nauwkeurig en accuraat zijn als redelijkerwijs mogelijk is. Daartoe nemen zij de volgende maatregelen:

  • de gegevens worden op zo weinig mogelijk verschillende plaatsen opgeslagen. Op die manier is het gemakkelijker om de gegevens te onderhouden;
  • de medewerkers zullen elke gelegenheid aangrijpen om de gegevens bij te werken, bijvoorbeeld in het (dagelijkse) contact met de klant;
  • indien onjuistheden in de gegevens worden geconstateerd, dienen de gegevens dienovereenkomstig te worden aangepast. Indien bijvoorbeeld een klant of leverancier niet meer bereikbaar is op het bij Novelist bekende telefoonnummer, zal deze uit de database worden verwijderd en/of worden vervangen door een correct telefoonnummer.

De betrokkene kan Novelist ook verzoeken om onjuiste persoonsgegevens onverwijld te rectificeren. Rekening houdend met de doeleinden van de verwerking, heeft de betrokkene het recht om onvolledige persoonsgegevens aan te vullen. 

Voor onze procedure met betrekking tot de verwerking van verzoeken van betrokkenen verwijzen wij naar bijlage II - Procedure in verband met de rechten van betrokkenen.

Opslagbeperking

Novelist bewaart de persoonsgegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt.

De betrokkene kan Novelist ook verzoeken om zijn of haar persoonsgegevens te wissen. Novelist moet de persoonsgegevens dan zonder onredelijke vertraging wissen, bijvoorbeeld wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt.

Voor onze procedure met betrekking tot de verwerking van verzoeken van betrokkenen verwijzen wij naar bijlage II - Procedure in verband met de rechten van betrokkenen. 

 

Andere algemene richtsnoeren

De volgende andere algemene richtlijnen zijn van toepassing binnen Novelist:

  • Werknemers of andere personen die voor Novelist werken, hebben alleen toegang tot persoonsgegevens die zij nodig hebben voor de uitvoering van hun werk.
  • Werknemers beschermen persoonsgegevens door redelijke voorzorgsmaatregelen te nemen.
  • Werknemers gebruiken sterke wachtwoorden en delen hun wachtwoord niet met anderen. Een sterk wachtwoord bevat de volgende elementen:
    • Minstens 1 hoofdletter;
    • Minstens 1 kleine letter;
    • Minstens 1 cijfer;
    • Minstens 1 symbool;
    • Minstens 8 tekens;
  • Medewerkers verstrekken geen gegevens aan onbevoegden, zowel binnen als buiten de Novelist -organisatie.
  • Medewerkers werken de gegevens periodiek bij als blijkt dat ze niet meer juist zijn.

Passende beschermingsmaatregelen

In deze rubriek worden de beschermingsmaatregelen beschreven die Novelist heeft genomen met het oog op de bescherming van persoonsgegevens.  

Elektronische opslag van gegevens

Wanneer gegevens elektronisch worden opgeslagen, moeten zij worden beschermd tegen ongeoorloofde toegang, accidentele verwijdering van gegevens en kwaadwillige hacking van de elektronische opslaglocatie. De volgende veronderstellingen zijn van toepassing op elektronische opslag:

  • Toegangsbeveiliging: authenticatie (wie) en autorisatie (mocht de persoon) zijn essentieel. De authenticatie en autorisatie van iedere medewerker moet worden vastgelegd, zodat wanneer de medewerker Novelist verlaat, zijn of haar rechten uit de Novelist systemen kunnen worden teruggetrokken. Alle gegevens worden beschermd met een combinatie van login en een sterk wachtwoord, dat periodiek wordt gewijzigd en niet wordt gedeeld met onbevoegde personen. Wanneer gegevens worden opgeslagen op een externe drager (zoals een USB), dient deze drager te worden bewaard in een afgesloten kast met slot. Als externe gegevensdragers niet meer worden gebruikt, moeten ze worden vernietigd of geformatteerd. Bij het formatteren moet de drager meerdere malen worden geformatteerd om te voorkomen dat na het formatteren gegevens kunnen worden gereconstrueerd.
  • Beheer van technische kwetsbaarheden: alle servers en computers worden beschermd met beveiligingssoftware, virusscanners, anti-malware en/of een firewall. Alle software, inclusief browsers, virusscanners en besturingssystemen worden up to date gehouden. Data moet altijd worden opgeslagen op daarvoor bestemde schijven/servers en mag alleen worden geüpload naar door Novelist goedgekeurde cloud computing servers, (managed) hosting partijen of software van derden. Systemen die "end-of-support" of "end-of-life" zijn worden door Novelist vervangen voor andere systemen. Op deze manier wordt voorkomen dat gewerkt wordt met systemen waarvoor geen ondersteuning meer beschikbaar is en waarbij de beveiliging niet op orde is.
  • Continuïteitsbeheer: persoonsgegevens kunnen verloren gaan als gevolg van natuurrampen, ongevallen, defecte apparatuur of opzettelijke handelingen. Om dit risico te beperken, worden van alle relevante gegevens back-ups gemaakt. De frequentie en de bewaartermijn van de back-ups moeten afgestemd zijn op de gegevens waarvan een back-up wordt gemaakt. Wat de opslaglocatie betreft, wordt de back-up niet bewaard op dezelfde locatie als waar de oorspronkelijke gegevens zijn opgeslagen. 

Papieren opslag van gegevens

Op papier opgeslagen gegevens worden opgeslagen op een plaats waar onbevoegden de papieren niet kunnen bekijken, reproduceren of meenemen. De volgende beginselen zijn van toepassing op de opslag van papier:

  • Als de papieren niet worden gebruikt, moeten zij worden bewaard in een gesloten kast met een slot;
  • Als de papieropslag niet meer wordt gebruikt, moet deze worden vernietigd met de papiervernietiger of worden weggegooid in afsluitbare vuilnisbakken voor vertrouwelijke documenten, waarvan de inhoud door een gespecialiseerd bedrijf wordt verwijderd en vernietigd.
  • Aan het einde van elke werkdag moet iedere werknemer vertrouwelijke papieren opbergen.

Bijzondere persoonsgegevens

Novelist verwerkt in beginsel geen bijzondere categorieën van persoonsgegevens als bedoeld in de GDPR. Bijzondere categorieën van persoonsgegevens omvatten iemands ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond, en genetische gegevens, biometrische gegevens voor de unieke identificatie van een persoon, of gegevens over gezondheid of met betrekking tot iemands seksuele geaardheid. Niettemin zullen, indien bijzondere persoonsgegevens worden verwerkt, dit alleen onder de volgende voorwaarden gebeuren:

  • Novelist heeft uitdrukkelijk toestemming gevraagd aan de betrokkene;
  • De gegevens zijn verstrekt door de betrokken persoon;
  • Er is voldaan aan een uitzondering die in de GDPR is opgenomen.

Incidenten op het gebied van informatiebeveiliging

Novelist heeft de volgende procedure vastgesteld voor de tijdige en doeltreffende afhandeling van informatiebeveiligingsincidenten en beveiligingslekken zodra deze worden gemeld. De lessen die uit de afgehandelde incidenten worden getrokken, worden gebruikt om de beveiliging waar mogelijk structureel te verbeteren.

Indien een follow-up procedure naar aanleiding van een informatiebeveiligingsincident juridische (civiel- of strafrechtelijke) maatregelen omvat, wordt het bewijsmateriaal verzameld, opgeslagen en gepresenteerd in overeenstemming met de voor het desbetreffende rechtsgebied vastgestelde regels voor bewijsvoering. Het bestuur van Novelist is verantwoordelijk voor deze taken en laat zich, indien nodig, bijstaan door externe deskundigheid hiervoor.

Na een informatiebeveiligingsincident beoordeelt het bestuur van Novelist de risico's voor de betrokkenen. Ook wordt overwogen of het incident moet worden gemeld aan de betrokkene(n) en/of de betrokken toezichthouder.

Inbreuk in verband met persoonsgegevens

Volgens de GDPR is er sprake van een "inbreuk in verband met persoonsgegevens" in het geval van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Verslag aan het College Bescherming Persoonsgegevens

Indien een inbreuk met persoonsgegevens heeft plaatsgevonden, meldt Novelist dit zonder onredelijke vertraging en zo mogelijk niet later dan 72 uur nadat zij er kennis van heeft genomen, aan het College Bescherming Persoonsgegevens (en ook aan de AFM indien de inbreuk ook kwalificeert als een 'incident' 'in overeenstemming met het incidentenverklaring van Novelist), tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico zou vormen voor de rechten en vrijheden van natuurlijke personen.

Of de inbreuk in verband met persoonsgegevens een risico vormt voor de rechten en vrijheden van natuurlijke personen, hangt af van de volgende factoren:

  • de aard van de inbreuk (bijvoorbeeld onrechtmatige toegang tot of onrechtmatig verlies van persoonsgegevens);
  • De aard, de gevoeligheid en de hoeveelheid van de persoonsgegevens;
  • Eenvoudige identificatie van personen (hoe gemakkelijk is het om een natuurlijke persoon te identificeren aan de hand van de gegevens);
  • De ernst van de gevolgen voor individuen;
  • bijzondere kenmerken van het individu (kinderen en kwetsbare groepen houden een hoger risico in); en
  • Het aantal getroffen mensen.

Indien de melding aan het College Bescherming Persoonsgegevens niet binnen 72 uur plaatsvindt, geeft Novelist een goede verklaring voor de vertraging.

In de kennisgeving wordt ten minste het volgende beschreven of meegedeeld:

  • De aard van de inbreuk in verband met persoonsgegevens, zo mogelijk met vermelding van de betrokken categorieën betrokkenen en bestanden met persoonsgegevens, en bij benadering het aantal betrokkenen en bestanden met persoonsgegevens;
  • De naam en contactgegevens van een contactpersoon voor meer informatie;
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
  • De door Novelist voorgestelde of genomen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken, met inbegrip van, in voorkomend geval, de maatregelen om eventuele negatieve gevolgen daarvan te beperken.

Mededeling aan de betrokkene(n)

Indien de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, stelt Novelist de betrokkene onmiddellijk in kennis van de inbreuk in verband met persoonsgegevens.

De mededeling aan de betrokkene bevat een beschrijving, in duidelijke en eenvoudige taal, van de informatie die aan de Nederlandse autoriteit voor gegevensbescherming is verstrekt (zie hierboven).

De mededeling aan de betrokkene is niet vereist indien aan een van de volgende voorwaarden is voldaan:

  • Novelist heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name maatregelen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals encryptie;
  • Novelist heeft met terugwerkende kracht maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen;
  • De mededeling zou onevenredige inspanningen vergen. In dat geval vervangt een openbare aankondiging of een soortgelijke maatregel de betrokkenen met dezelfde doeltreffendheid.

Het College Bescherming Persoonsgegevens kan Novelist verplichten om de betrokkene op de hoogte te stellen van de inbreuk.

Procedure in geval van inbreuk op persoonsgegevens.

De volgende procedure wordt binnen de organisatie gevolgd met betrekking tot een inbreuk in verband met persoonsgegevens:

  • Indien ontdekt door een werknemer: iedere werknemer die een inbreuk met betrekking tot persoonsgegevens vermoedt, moet dit onmiddellijk aan het management melden;
  • Bij ontdekking door een cliënt: een cliënt stuurt een bericht of neemt telefonisch contact met ons op. De persoon bij Novelist die de melding van de cliënt ontvangt, moet dit onmiddellijk melden aan de directie;
  • Indien ontdekt door een derde partij: een derde partij stuurt een bericht of neemt telefonisch contact met ons op. De persoon bij Novelist die de melding van de derde ontvangt, moet dit onmiddellijk melden aan de directie;
  • Het management (en eventueel een betrokken derde) onderzoekt de omvang en de technische aspecten van de inbreuk:
    • Welke inbreuk op de veiligheidsmaatregelen heeft er plaatsgevonden en wanneer?
    • Welk deel van het IT-systeem is betrokken en/of welke apparatuur? Bijvoorbeeld, waar is apparatuur verloren gegaan/gestolen?
    • Om welke gegevens gaat het (mogelijk)?
    • Wat zijn de (verwachte) gevolgen van het incident?
  • Het management (en eventueel een betrokken derde) zorgt ervoor dat maatregelen worden genomen om de veiligheid te herstellen;
  • Novelist houdt een registratie bij van de inbreuk (feiten, gegevens en communicatie met betrekking tot de inbreuk). Ook andere interne veiligheidsincidenten worden geregistreerd, ongeacht of de inbreuk wordt gemeld aan de toezichthouder en/of de betrokkene(n).

Uitbesteding van gegevensverwerking

Verwerkers inschakelen

Novelist besteedt de verwerking van persoonsgegevens ook uit aan verwerkers. Novelist ziet erop toe dat deze verwerkers voldoende waarborgen bieden ten aanzien van technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerking van persoonsgegevens.

Novelist sluit met elke verwerker een verwerkersovereenkomst, waarin staat dat de verwerking plaatsvindt in overeenstemming met de GDPR, dat de verwerker voldoende technische en organisatorische beveiligingsmaatregelen heeft getroffen, en dat de verwerker Novelist informeert over eventuele informatiebeveiligingsincidenten.

Internationaal dataverkeer

Omdat Novelist gebruik maakt van een of meer verwerkers, is het mogelijk dat gegevens worden doorgegeven aan landen buiten Nederland. Binnen de Europese Unie en de Europese Economische Ruimte is het niveau van gegevensbescherming vergelijkbaar en kunnen persoonsgegevens zonder problemen worden doorgegeven, mits Novelist en de verwerker aan alle overige wettelijke verplichtingen voldoen.

Gegevensverkeer naar landen buiten de Europese Unie en de Europese Economische Ruimte is wettelijk alleen toegestaan als dat land een passend beschermingsniveau waarborgt. De Europese Commissie heeft een lijst gepubliceerd van landen die een passend beschermingsniveau bieden. Een van de landen op de lijst is de Verenigde Staten, maar alleen voor doorgifte van gegevens op basis van het 'EU-VS privacyschild'. Bedrijven in de VS kunnen zich sinds 1 augustus 2016 laten certificeren onder het privacyschild, waarna ze in een register worden opgenomen. Elk gecertificeerd bedrijf in de VS wordt geacht een passend beschermingsniveau te hebben voor de duur van de certificering.

Gegevensverkeer met landen zonder passend beschermingsniveau is alleen mogelijk onder bepaalde voorwaarden, zoals vermeld in de GDPR, bijvoorbeeld met uitdrukkelijke toestemming van de betrokkene(n).

Bijlage II - Procedure in verband met de rechten van de betrokkenen

Onder de GDPR hebben personen wier gegevens worden verwerkt verschillende rechten met betrekking tot een dergelijke verwerking. Novelist heeft een procedure opgezet zodat verzoeken van cliënten die hun rechten uitoefenen correct kunnen worden afgehandeld. Onder de GDPR hebben de betrokkenen de volgende rechten:

  • Recht op inzage
  • Recht op rectificatie en wijziging
  • Recht van bezwaar
  • Recht op beperking van de verwerking
  • Recht op gegevensoverdraagbaarheid
  • Recht op wissen (recht om te worden vergeten)
  • Recht met betrekking tot geautomatiseerde besluitvorming en profilering

Met betrekking tot al deze rechten kan een betrokkene zich beroepen op zijn of haar recht door contact op te nemen met Novelist (bijvoorbeeld telefonisch, persoonlijk of per e-mail). Wij zullen eerst nagaan of de persoon die het verzoek indient daadwerkelijk de betrokkene is, bijvoorbeeld door te vragen om identificatie. Indien dit is aangetoond, zal Novelist overgaan tot de betreffende procedure.

Novelist zal zo snel mogelijk, maar in elk geval niet later dan 1 maand na het verzoek, reageren. Indien de verwerking van het verzoek van de betrokkene meer tijd vergt, zal Novelist de betrokkene daarvan in kennis stellen.

Recht op inzage

Novelist zal de volgende informatie schriftelijk en op een veilige manier aan de betrokkene verstrekken:

  • De verwerkingsdoeleinden;
  • De betrokken categorieën persoonsgegevens;
  • de ontvangers of categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, in het bijzonder ontvangers in derde landen of internationale organisaties;
  • Indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die periode te bepalen;
  • Dat de betrokkene het recht heeft om Novelist te verzoeken persoonsgegevens te rectificeren of te wissen, of de verwerking van hem betreffende persoonsgegevens te beperken, en het recht heeft om bezwaar te maken tegen een dergelijke verwerking;
  • dat de betrokkene het recht heeft om een klacht in te dienen bij een toezichthoudende autoriteit;
  • Indien de persoonsgegevens niet bij de betrokkene zijn verzameld, alle beschikbare informatie over de bron van die gegevens;
  • het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering als bedoeld in de GDPR, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsook over het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

De betrokkene kan Novelist ook verzoeken om inzage in de persoonsgegevens die van hem of haar worden verwerkt. Novelist verstrekt de betrokkene dan een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om extra kopieën verzoekt, kan Novelist een redelijke vergoeding vragen op basis van de administratieve kosten. Indien de betrokkene zijn verzoek langs elektronische weg indient en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt (indien mogelijk en/of noodzakelijk ook beveiligd).

Recht op rectificatie

Een betrokkene kan Novelist verzoeken om rectificatie van zijn of haar persoonsgegevens. Novelist zal de betrokkene vragen welke informatie onjuist en/of onvolledig is en hoe deze informatie moet worden gecorrigeerd. 

Eventuele wijzigingen worden duidelijk gedocumenteerd door Novelist en ter beoordeling en goedkeuring voorgelegd aan de betrokken persoon. Indien goedkeuring wordt ontvangen, wordt het document toegevoegd aan het dossier van de betrokken persoon en moeten de gegevens worden gecorrigeerd in overeenstemming met deze documentatie.

Indien Novelist onjuiste of onvolledige persoonsgegevens aan derden heeft verstrekt, zal Novelist de gecorrigeerde gegevens aan de betrokken derde partij doorgeven. Op verzoek van de betrokkene deelt Novelist hem de naam van deze derde mee.  

Recht van bezwaar

De betrokkene heeft te allen tijde het recht om op gronden die verband houden met zijn of haar bijzondere situatie bezwaar te maken tegen de verwerking van hem of haar betreffende persoonsgegevens. Novelist zal de betrokkene vragen tegen welke verwerking van welke persoonsgegevens de betrokkene specifiek bezwaar maakt. Tenzij Novelist dwingende legitieme gronden heeft voor de verwerking van de persoonsgegevens die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene, of voor de vaststelling, uitoefening of verdediging van een rechtsvordering, zal Novelist de verwerking waartegen de betrokkene bezwaar maakt, stopzetten. Zolang niet duidelijk is of de gronden van Novelist zwaarder wegen dan de rechten van de betrokkene, mag Novelist de desbetreffende gegevens niet verwerken. Novelist zal dan een verwerkingslimiet vaststellen. Indien de betrokkene bezwaar maakt tegen de verwerking van persoonsgegevens voor direct marketing, zal Novelist de verwerking voor marketingdoeleinden onmiddellijk stopzetten.

Indien Novelist persoonsgegevens aan derden heeft verstrekt, stelt Novelist deze derden ervan in kennis dat de betrokkene bezwaar heeft gemaakt tegen de verwerking van zijn of haar persoonsgegevens. Indien een persoon daarom verzoekt, deelt Novelist de betrokkene de naam van deze derde partij mee.

Recht op beperking van de verwerking

De betrokkene heeft het recht om van Novelist beperking van de verwerking te verkrijgen indien een van de volgende gevallen van toepassing is:

  • Gegevens kunnen onjuist zijn: indien de betrokkene aangeeft dat Novelist onjuiste persoonsgegevens gebruikt, mag Novelist deze gegevens niet gebruiken zolang Novelist nog niet heeft geverifieerd of de gegevens juist zijn.
  • De verwerking is onwettig: Het is Novelist niet toegestaan bepaalde gegevens te verwerken en de betrokkene wil niet dat Novelist de persoonsgegevens wist. Bijvoorbeeld omdat hij of zij de gegevens op een later moment wil opvragen.
  • Gegevens zijn niet langer nodig: Novelist heeft de persoonsgegevens niet langer nodig voor het doel waarvoor Novelist ze heeft verzameld, maar de betrokkene heeft de persoonsgegevens nog wel nodig voor juridische stappen.
  • De betrokkene maakt bezwaar: De betrokkene heeft bezwaar gemaakt tegen de verwerking van zijn persoonsgegevens en Novelist is bezig te bepalen of de legitieme gronden van Novelist zwaarder wegen dan die van de betrokkene. 

Indien Novelist persoonsgegevens aan derden heeft verstrekt, stelt Novelist deze derden ervan in kennis dat de betrokkene bezwaar heeft gemaakt tegen de verwerking van zijn of haar persoonsgegevens. Indien een persoon daarom verzoekt, deelt Novelist de betrokkene de naam van deze derde partij mee.

Recht op gegevensoverdraagbaarheid

Het recht op gegevensoverdraagbaarheid houdt in dat mensen het recht hebben om de persoonsgegevens die Novelist van hen heeft, te ontvangen, bijvoorbeeld om de gegevens gemakkelijk aan een derde partij te kunnen overdragen. Betrokkenen kunnen ook verzoeken de gegevens rechtstreeks aan een derde partij over te dragen (indien dit technisch mogelijk is).

Novelist zal vragen met betrekking tot welke persoonsgegevens hij of zij het verzoek tot dataportabiliteit doet . Het recht van de betrokkene heeft alleen betrekking op digitale gegevens (geen fysieke bestanden) die Novelist verwerkt met toestemming van de betrokkene of die worden verwerkt ter uitvoering van een overeenkomst met de betrokkene. Daarnaast hoeven alleen gegevens beschikbaar te worden gesteld die cliënten aan Novelist hebben verstrekt (rechtstreeks of door gebruik te maken van de diensten of producten van Novelist). Het recht op dataportabiliteit heeft geen betrekking op afgeleide gegevens die Novelist zelf heeft gegenereerd, zoals een profiel dat Novelist van de betrokkene heeft opgesteld. De betrokkene heeft echter wel het recht om deze gegevens in te zien (zie hierboven).

Novelist verstrekt de gegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat.

Recht op wissen (recht om te worden vergeten)

De betrokkene heeft het recht Novelist te verzoeken de door Novelist verwerkte persoonsgegevens te wissen. Novelist zal de betrokkene vragen aan te geven welke persoonsgegevens de betrokkene gewist wenst te zien. De persoonsgegevens worden gewist indien een van de volgende gronden van toepassing is:

  • de persoonsgegevens niet langer nodig zijn voor het doel waarvoor zij zijn verzameld en er geen andere reden is om deze persoonsgegevens te bewaren;
  • het doel van de verwerking van de persoonsgegevens is gebaseerd op de toestemming van de betrokkene en van de betrokkene die zijn toestemming intrekt;
  • de betrokkene bezwaar maakt tegen de verwerking en Novelist geen dwingende redenen heeft om de gegevens te verwerken;
  • de persoonsgegevens op onwettige wijze zijn verwerkt;
  • de persoonsgegevens moeten worden gewist om te voldoen aan een in de Europese of nationale wetgeving vastgestelde wettelijke verplichting.

Novelist zal het verzoek van de betrokkene zonder onnodige vertraging inwilligen, tenzij verwerking noodzakelijk is:

  • voor de uitoefening van het recht op vrije meningsuiting en informatie;
  • om te voldoen aan een wettelijke verplichting die verwerking in verband met het algemeen belang vereist;
  • in verband met een gerechtelijke procedure;
  • om redenen van algemeen belang op het gebied van de volksgezondheid.

Indien Novelist persoonsgegevens aan derden heeft verstrekt, zal Novelist deze derden ervan in kennis stellen dat de betrokkene om de verwijdering van persoonsgegevens heeft verzocht. Indien een persoon hierom verzoekt, zal Novelist de betrokkene de naam van deze derde partij meedelen.

Recht om niet aan geautomatiseerde besluitvorming te worden onderworpen

De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, met inbegrip van profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Indien de betrokkene zich op dit recht beroept, zal Novelist de verwerking van persoonsgegevens beoordelen. Novelist zal de betrokkene vragen aan te geven met betrekking tot welke beslissing Novelist heeft genomen, hij of zij het verzoek doet. Indien Novelist het verzoek honoreert, zal Novelist de verwerking van persoonsgegevens opnieuw beoordelen en een nieuw besluit nemen.