PRIVACY-VERKLARING VAN AOC

AOC wil uw privacy zo goed mogelijk beschermen. In deze privacy-verklaring kunt u lezen welke persoonlijke gegevens AOC van u verzamelt en hoe deze worden verwerkt. Deze privacy-verklaring is van toepassing op persoonlijke gegevens die worden verwerkt wanneer u de AOC-website bezoekt. AOC voert met behulp van de persoonlijke gegevens die u met ons deelt verdere verbeteringen uit aan onze producten en diensten en uw ervaring. De bedoeling van deze privacy-verklaring is u een helder overzicht te geven van de wijze waarop AOC de persoonlijke gegevens die u verstrekt, gebruikt, en van uw rechten en mogelijkheden voor het beheren van uw persoonlijke gegevens en van de wijze waarop AOC uw privacy beschermd. De verklaring vermeldt ook welke persoonlijke gegevens AOC verzamelt wanneer u onze websites of winkels bezoekt of onze (mobiele) apps en software-producten gebruikt, en ook de wijze waarop AOC uw persoonlijke gegevens gebruikt en met welke externe partijen deze gegevens worden gedeeld. In deze privacy-verklaring kunt u ook vinden voor welke doeleinden uw persoonlijke gegevens kunnen door AOC of door ermee gelieerde bedrijven worden gebruikt.

Wijzigingen

AOC behoudt zich het recht voor veranderingen aan te brengen in zijn privacy-verklaring, bijvoorbeeld als gevolg van veranderingen in de wetgeving. U kunt op deze pagina ook de meest recente versie.

Contact-informatie

AOC maakt onderdeel uit van de TPV Technology Group en is gevestigd aan het Prins Bernhardplein 200 8, 1097 JB in Amsterdam, Nederland. Het algemene e-mailadres is: info@tpv-tech.com. Voor alle correspondentie over privacy-gerelateerde zaken kunt u contact opnemen met de data-privacy-functionaris van AOC die u kunt bereiken via privacy@tpv-tech.com of per telefoon op +31 020 504 6931.

Deze privacy-verklaring is bijgewerkt op 25 mei 2018.

AOC als controleur

Ten aanzien van deze website treedt AOC op als data-controleur, en bepaalt aldus het doel van en de middelen voor het verwerken van persoonlijke gegevens, en de bepalingen van deze privacy-verklaring zijn van toepassing. Als hieronder wordt gerefereerd aan AOC, betekent dat ook een preferentie aan zijn dochterondernemingen. Deze dochterondernemingen van AOC zijn gevestigd in diverse landen in de Europese Unie en zij zijn verantwoordelijk voor het verwerken van uw persoonlijke gegevens, als u gebruik maakt van de diensten van die ondernemingen in die landen.

Inleiding tot en reikwijdte van deze privacy-verklaring

AOC voert met behulp van de persoonlijke gegevens die u met ons deelt, verdere verbeteringen uit aan onze producten en diensten en het doel daarvan is ook u

een optimale ervaring te bieden. Door middel van deze privacy-verklaring geeft AOC u inzicht in de wijze waarop het bedrijf uw persoonlijke gegevens gebruikt en beveiligt en biedt u de mogelijkheid zelf uw persoonlijke gegevens te beheren. Er wordt inzicht gegeven in welke persoonlijke gegevens over u worden verzameld wanneer u onze websites bezoekt of gebruik maakt van onze diensten en producten, apps en toepassingen, en met welke externe partijen AOC uw persoonlijke gegevens deelt. AOC gebruikt uw persoonlijke gegevens voor de doeleinden die hieronder worden beschreven.

Persoonlijke gegevens die over uw worden verzameld

Onder de term "persoonlijke gegevens" zoals die in deze privacy-verklaring wordt gebruikt, valt alle informatie over een geïdentificeerd of te identificeren natuurlijke persoon, in het bijzonder door middel van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiemiddel of een of meer elementen die karakteristiek zijn voor de fysieke, fysiologische, genetische, psychologische, economische, culturele of maatschappelijke identiteit van die natuurlijke persoon. AOC verzamelt diverse typen persoonlijke gegevens, waaronder de volgende (indien van toepassing):

Automatisch verzamelde informatie

AOC verzamelt ook persoonlijke gegevens door middel van zijn websites end apps, bijvoorbeeld:

 Websites: gegevens over uw bezoek en uw surf-gedrag. Wanneer u een van de AOC-websites bezoekt, worden gegevens van uw browser naar AOC's servers gestuurd. Zo verzamelt AOC persoonlijke gegevens, zoals:

o uw IP-adres;

o datum, tijd en tijdsduur van het bezoek;

o de doorverwijzende URL (de site waar de bezoeker vandaan kwam);

o de pagina's die op onze website zijn bezocht;

o en informatie over het toestel en de browser (zoals het browser-type en de versie, het besturingssysteem, enz.

o Cookies en vergelijkbare technieken: AOC en zijn partners passen technieken toe voor het verzamelen en opslaan van gegevens tijdens uw bezoek aan en gebruik van zijn websites, zo als het verzenden van een of meer cookies of andere vergelijkbare technieken naar uw toestel. Op de AOC Cookie-pagina kunt u meer informatie vinden over het gebruik van cookies en andere vergelijkbare technieken en over de wijze waarop u ze kunt uitschakelen.

o Locatiegegevens: Als u een dienst gebruikt op uw mobiele toestel waarbij uw locatie is ingeschakeld, geven wij u voorafgaand een kennisgeving voor het verkrijgen van toestemming voor het verzamelen en verwerken van uw actuele locatiegegevens, bijvoorbeeld via GPS-signalen die door het mobiele toestel worden verzonden. U kunt u meestal het verzenden van uw locatie uitschakelen via de instellingen van uw toestel. Wij informeren u altijd wanneer wij locatiegegevens gebruiken.

Bronnen van informatie

De meeste van de persoonlijke gegevens die over u AOC verzamelt, is informatie die u vrijwillig hebt verstrekt, bijvoorbeeld via onze website, diensten of producten, enz. Andere bronnen door middel waarvan uw persoonlijke gegevens worden verkregen, zijn:

• andere onderdelen van AOC; en

• externe partijen (zoals, kredietbeoordelingsbureaus, instanties voor wetshandhaving / wetgeving en gegevensmakelaars, enz.), die ook openbaar beschikbare brongegevens kunnen verstrekken.

AOC geeft u een kopie van de persoonlijke gegevens die in deze context zijn verwerkt.

Gebruik van persoonlijke gegevens

De persoonlijke gegevens die AOC verzamelt, bijvoorbeeld wanneer u zich registreert voor de website, worden gebruikt voor identificatie en verificatie. AOC maakt een profiel voor u aan met de informatie die nodig is voor het aan u verstrekken van producten en diensten. Deze kunnen ook worden gecombineerd met persoonlijke gegevens die zijn verkregen via andere interne en externe bronnen. Deze persoonlijke gegevens kunnen worden gebruikt voor de volgende doeleinden:

1. Verbetering van producten en diensten: uw persoonlijke gegevens worden verwerkt met het doel een profiel van u aan te maken en te begrijpen hoe u onze producten en diensten gebruikt, waardoor AOC betere en relevantere producten en diensten kan ontwikkelen en de website(s) kan verbeteren. Gegevens op deze wijze verwerken is noodzakelijk voor het legitieme belang van AOC u en andere klanten betere producten en diensten te bieden.

2. Klanten diensten verlenen: in het geval van contact met de klantenservice worden persoonlijke gegevens verwerkt, bijvoorbeeld de gegevens van uw bestelling en historische gegevens over contacten met u, zodat wij uw verzoek kunnen verwerken en u service kunnen bieden. De legitimiteit van deze verwerking van gegevens is gelegen in de noodzaak van de verwerking ten behoeve van de uitvoering van een contract met een onderneming van AOC, of als wij moeten voldoen aan een wettelijke verplichting. Als er geen noodzaak is op een van deze gronden, wordt de verwerking noodzakelijk geacht voor de doeleinden van het legitieme belang van AOC te waarborgen dat de best mogelijke service wordt verleend.

3. Marketing: Als u inschrijft voor nieuwsbrieven, de website gebruikt, online producten of diensten aanschaft of ons feedback geeft, wordt er een profiel van u aangemaakt. Het op deze manier verwerken is noodzakelijk voor het legitieme belang van AOC de juiste bestanden over u te genereren. Uw profiel zal worden aangemaakt in overeenstemming met uw voorkeuren, met het doel u een goede gepersonaliseerde ervaring te bieden, u gepersonaliseerde marketing-gegevens en nieuwsbrieven te sturen en ten behoeve van onderzoeken. De wijze waarop uw persoonlijke gegevens voor deze doeleinden worden gebruikt, wordt hieronder beschreven.

o Retargeting (re-marketing): Websites en apps van AOC kunnen technieken voor retargeting (re-marketing) gebruiken, met het doel bezoekers, die al geïnteresseerd waren in de producten en / of diensten, advertenties op websites van zakelijke partners te tonen. Voor zover retargeting (re-marketing) plaatsvindt, wordt dit gedaan op basis van uw expliciete toestemming.

o Advertenties: werkt samen met externe partners, zoals SSP's en DSP's die met behulp van tracking-technieken namens AOC advertenties plaatsen op internet. Deze partners verzamelen persoonlijke informatie over uw bezoeken aan de websites of apps van AOC en uw interactie met betrekking tot, bijvoorbeeld, advertenties. Zij zullen deze gegevens uitsluitend verzamelen voor zover u toestemming hebt gegeven voor het plaatsen van cookies voor marketing-doeleinden. Zie ook het cookie-beleid.

4. Kwaliteit van gegevens, profiling: als uw persoonlijke gegevens zijn verkregen via diverse bronnen, zullen deze gegevens in bepaalde gevallen worden samengevoegd zodat u onze producten en diensten beter begrijpt (bijvoorbeeld, gegevens die u direct hebt verstrekt, kunnen worden gecombineerd met gegevens

die automatisch worden verzameld, zoals metadata, IP-adressen, browser-gegevens, informatie die op wettige wijze is verkregen van externe partijen, en dergelijke) Hiermee kunnen u meer gepersonaliseerde marketing-berichten worden gezonden of creatievere marketingcampagnes worden gecreëerd. Verwerking op deze wijze is noodzakelijk voor het legitieme belang van AOC ervoor te zorgen dat u de meest geschikte aanbiedingen van zijn producten ontvangt en uw beleving wordt gepersonaliseerd. U kunt door contact op te nemen met AOC ons laten weten dat u niet wilt dat persoonlijke gegevens worden gecombineerd met informatie die uit andere bronnen wordt verkregen.

5. Analyses: met behulp van persoonlijke gegevens van u worden analyses en onderzoeken uitgevoerd. Gegevens op deze wijze verwerken is noodzakelijk voor het legitieme belang van AOC klanten beter te begrijpen en ervoor te zorgen dat diensten beter aansluiten bij de behoeften van zijn klanten. Het gaat hierbij om analyses waarin

gegevens (zoals persoonlijke gegevens en / of gevoelige gegevens die zijn verkregen via het gebruik van een AOC-app of browsing-historie) worden gecombineerd en opgeslagen met het doel:

a) meer te weten te komen over klanten en voorkeuren;

b) patronen en trends te herkennen;

c) gegevens, content en aanbiedingen te kunnen leveren die zijn toegesneden op de behoeften van de klant;

d) algemeen en statistisch onderzoek te doen;

e) nieuwe producten en services te ontwikkelen;

f) toezicht te houden op het functioneren van producten en services en / of het gebruik van gebruikte technologie te verbeteren;

g) gepersonaliseerde marketing-berichten te verzenden;

h) u online-advertenties te tonen.

6. Analyse van AOC zelf: door uw persoonlijke gegevens te anonimiseren en samen te voegen met andere persoonlijke gegevens van klanten, de verkopen en de aanbodketen en de financiën te analyseren, te bepalen hoe AOC presteert en waar verbeteringen kunnen worden uitgevoerd. Het op deze wijze verwerken van persoonlijke gegevens is noodzakelijk voor het legitieme belang van AOC te meten hoe het bedrijf presteert en te bepalen hoe we verbeteringen kunnen worden uitgevoerd.

AOC zal u toestemming vragen als het bedrijf persoonlijke gegevens van u wenst te gebruiken voor andere doeleinden dan die in deze privacy-verklaring worden vermeld. AOC zal uw persoonlijke gegevens pas voor andere

doeleinden gebruiken wanneer daarvoor toestemming is ontvangen.

Persoonlijke gegevens verstrekken?

AOC gaat zorgvuldig en vertrouwelijk met uw persoonlijke informatie om en deelt deze niet met anderen dan die, welke hieronder worden genoemd.

Business-units van AOC

Iedere business-unit of AOC waarmee u contact hebt, mag voor registratie- en verificatiedoeleinden een beperkt deel van de persoonlijke gegevens die u verstrekt bij de registratie (uw naam, e-mailadres, wachtwoord en geboortedatum) delen met andere componenten van AOC. Het op deze manier verwerken is noodzakelijk voor het legitieme belang van AOC een contract met u te kunnen sluiten. Iedere business-unit mag informatie uit uw profieldelen met andere entiteiten van AOC of TPV, als

beide entiteiten verantwoordelijk zijn voor uw persoonlijke gegevens, of als de andere entiteiten functioneren als onze verwerkers. Daarom heeft ieder onderdeel van de AOC-groep toegang tot alle gegevens waarvoor zij verantwoordelijk is, zodat zij aan de wet kan voldoen. Ieder onderdeel van de AOC-groep mag uw persoonlijke gegevens en geanonimiseerde en geassembleerde gegevens met andere business-units van AOC delen (zoals het moederbedrijf

van de groep en / of, indien noodzakelijk, andere onderdelen van AOC, voor trend-analyses, is noodzakelijk voor de doeleinden van hun legitieme belang in het analyseren van hun prestaties.

Met service-providers

Persoonlijke gegevens, die u verstrekt wanneer u inschrijft voor registratie bij AOC (uw naam, e-mailadres

wachtwoord en geboortedatum), kan AOC alleen delen met leveranciers van cloud-services, zodat u snel overal kunt inloggen. Indien noodzakelijk, zullen uw persoonlijke gegevens ook worden gedeeld met externe partijen die uw persoonlijke gegevens namens AOC verwerken, voor de doeleinden en op de legitieme gronden die hier onder worden beschreven. Dit kunnen externe partijen zijn op de gebieden van hosting, transport, beheer van betalingsverkeer en fraudebestrijding, kredietbeoordelingsbureaus en analyse-platforms. Er zijn strikte

afspraken gemaakt met deze externe partijen ten aanzien van de verwerking van uw persoonlijke gegevens, waaronder het exclusieve gebruik van uw persoonlijke gegevens in overeenstemming met de instructies van AOC en met de wet

Juridische instanties of toezichthoudende autoriteiten

AOC zal persoonlijke gegevens vrijgegeven als het bedrijf daartoe verplicht is bij wet of op basis van een vonnis van de rechtbank, ter bescherming van uw belangen, voor onderzoeken door autoriteiten op het gebied van rechtshandhaving en wetgeving, met het doel

de eigendom en de wettelijke rechten van AOC te beschermen en te verdedigen en de persoonlijke veiligheid van gebruikers van de

diensten van AOC te waarborgen.

Bewaarperioden

AOC zal uw persoonlijke gegevens bewaren gedurende 39 maanden vanaf uw laatste contact met ons, zoals de datum dat uw account is gewist, laatste aankoop, de laatste keer dat u een van onze apps hebt gebruikt, of enige andere wijze van interactie of contact, tenzij een langere of kortere opslagperiode bij wet vereist is, dit noodzakelijk is in verband met wettelijke processen, of op andere wijze vereist voor een bepaald doel krachtens de van toepassing zijnde wetgeving.

Hieronder vindt u voorbeelden die aangeven hoe lang AOC uw persoonlijke gegevens met betrekking tot een bepaald

doel opslaat:

• Persoonlijke gegevens die worden verkregen bij aankoop, worden bewaard op basis van de eisen van de belastingwetgeving (bijv. 7 jaar in Nederland);

• als u verzoekt uw persoonlijke gegevens te wissen, zal AOC proberen uw persoonlijke gegevens te wissen binnen maximaal een maand na de datum van het verzoek;

• Persoonlijke gegevens die betrekking hebben op promotionele activiteiten, zullen niet langer dan een maand het afloop van de aanbieding worden bewaard.

Verwerking van gegevens buiten de EU en EEA

Tenzij anders vermeld zullen uw persoonlijke gegevens worden opgeslagen en verwerkt binnen de Europese

Unie. Zo nu en dan zullen uw persoonlijke gegevens misschien worden verwerkt buiten de European Economic Area ('EEA'), in een land dat niet de door Europese wetgeving voorgeschreven beveiliging biedt, niet op het niveau van het land waar u gewoonlijk uw producten en / of diensten gebruikt. Dit kan zich voordoen, bijvoorbeeld, als degene die de gegevens verwerkt zich buiten de EEA bevindt, of de verwerking uitbesteed aan bedrijven die zich buiten de EEA bevinden, zoals leveranciers van cloud-oplossingen. AOC zal in dergelijke gevallen de stappen nemen die noodzakelijk zijn om ervoor te zorgen dat uw persoonlijke gegevens voldoende zijn beveiligd, zoals het uitvoeren van veiligheidsbeoordelingen en het opstellen van afspraken over het verwerkende bedrijf met ontvangers, om ervoor te zorgen dat zij dezelfde en vergelijkbare technische en organisatorische maatregelen nemen als AOC, zodat uw gegevens voldoende zijn beveiligd.

Gegevens van kinderen

AOC verwerkt, als data-controleur, geen persoonlijke gegevens van kinderen van een leeftijd jonger dan 16 jaar. Als dit onbedoeld gebeurt, zullen stappen worden genomen deze gegevens zo snel mogelijk te verwijderen, tenzij de wet vereist dat deze gegevens worden bewaard. Als het bekend dat een kind ouder is dan 16, maar door de wet wordt gezien als minderjarige, zal toestemming van de ouder / voogd worden gevraagd voordat de persoonlijke gegevens van dat kind zullen worden gebruikt.

Uw rechten

AOC voldoet volledig aan de verplichtingen die zijn vastgelegd in de General Data Protection Regulation, waarbij het beginsel van transparantie het belangrijkste is. Voor dit doel heeft AOC middelen geïmplementeerd om ervoor te zorgen dat u alle rechten kunt uitoefenen in verband met de verwerking van uw persoonlijke gegevens.

Recht van inspectie, rectificatie, verwijdering

Als u producten of diensten gebruikt of een account hebt aangemaakt, kunt u uw persoonlijke gegevens via die websites inzien, als de functionaliteit voorhanden is. Als uw persoonlijke gegevens niet beschikbaar zijn via de relevante website, kunt u kosteloos een aanvraag indienen voor toegang tot deze informatie.

Bij ontvangst van uw verzoek en gegevens ter controle van uw identiteit, wordt u een kopie verstrekt

van de persoonlijke gegevens die van u worden bewaard, de oorsprong van de gegevens, de doelen waarvoor de persoonlijke gegevens worden gebruikt, de ontvangers en de wet waarop dit is gebaseerd. U zult ook kunnen aangeven dat er bepaalde veranderingen in persoonlijke gegevens moeten worden aangebracht, als u meent dat de gegevens onjuist of irrelevant zijn. U kunt uw persoonlijke gegevens ook laten blokkeren, wissen of volledig laten verwijderen (het recht te worden vergeten). U kunt ook schriftelijk contact met ons opnemen als u bezwaar wilt maken tegen een bepaald gebruik van uw persoonlijke gegevens, als u het gebruik ervan wilt beperken of als u wilt verzoeken dat uw persoonlijke gegevens in een bruikbare elektronische indeling worden verstrekt of

de gegevens wilt laten overdragen aan een externe partij (recht van overdraagbaarheid van gegevens). Aan al deze toepassingen wordt door AOC voldaan binnen het kader van de wettelijke verplichtingen.

Veranderingen in dit beleid

AOC zal regelmatig deze online privacy- verklaring bijwerken zodat deze gemakkelijk vindbaar, foutloos en up-to-date blijft, en om het voor te zorgen dat voldoende informatie beschikbaar is over uw rechten en de wijze(n) waarop AOC de gegevens verwerkt, zijn geïmplementeerd in overeenstemming met de wet en aan de wet blijven voldoen. Als er grote veranderingen in deze privacy-verklaring worden aangebracht, zult u daarvan via de websites worden geïnformeerd, er zal daar een bijgewerkte versie van de privacy-verklaring worden gepubliceerd. AOC deel met u op een goede wijze samenwerken en altijd een geschikte oplossing vinden voor klachten over of zorgen om uw privacy. Als u van mening bent dat wij u niet kunnen helpen met uw klacht of uw zorgen, dan hebt u het recht een klacht in te dienen via de website van uw toezichthoudende autoriteit.

TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN Inleiding

AOC heeft krachtens art. 28 GDPR de verplichting de implementatie van voldoende technische en organisatorische beveiligingsmaatregelen te waarborgen. AOC moet waarborgen dat de juiste technische en organisatorische beveiligingsmaatregelen worden geïmplementeerd ter beveiliging van uw persoonlijke gegevens tegen ongeautoriseerde en onwettige verwerking en onbedoelde verliezen, vernietiging of beschadiging.

I. Bescherming van de maatregelen die ervoor moeten zorgen dat uitsluitend geautoriseerd personeel toegang hebben tot de

Verwerking van persoonlijke gegevens

AOC bepaalt met behulp van een autorisatiebeleid wie toegang moet hebben tot welke gegevens. Op basis van dit systeem hebben werknemers geen toegang tot meer gegevens dan strikt noodzakelijk is voor hun taak.

II. Beschrijving van de maatregelen ter bescherming van persoonlijke gegevens tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, ongeautoriseerde of onwettige opslag, verwerking, toegang of openbaarmaking.

Organisatie van informatiebeveiliging en communicatieprocessen

 AOC heeft een informatiebeleidsplan ingesteld waarin een coördinator van informatiebeveiliging is benoemd die risico's herkent die verband houden met de verwerking van persoonlijke gegevens, het veiligheidsbewustzijn bevordert, voorzieningen controleert en maatregelen neemt die waarborgen dat aan het beleid van informatiebeveiliging wordt voldaan.

 Incidenten op het gebied van informatiebeveiliging worden gedocumenteerd en gebruikt voor het optimaliseren van het informatiebeveiligingsbeleid.

 AOC heeft een proces opgezet voor communicatie over incidenten op het gebied van informatiebeveiliging

(gegevensinbreukprocedure).

Personeelsleden

• Met werknemers wordt overeenstemming bereikt over vertrouwelijkheidsverklaringen en er worden overeenkomsten over informatiebeveiliging opgesteld.

 AOC bevordert bewustzijn en training met betrekking tot informatiebeveiliging.

 Werknemers hebben geen toegang tot meer gegevens dan strikt noodzakelijk is voor hun taak, gebaseerd op het autorisatiesysteem.

Fysieke beveiliging en continuïteit van middelen

 Persoonlijke gegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf.

 Persoonlijke gegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen voor fysieke beveiliging van de apparatuur en de waarborging van continuïteit van dienstverlening.

 Ten behoeve van de continuïteit van de dienstverlening worden periodiek back-ups gemaakt. Deze back-ups worden vertrouwelijk behandeld en opgeslagen in een gesloten omgeving.

 De locaties waar gegevens worden verwerkt, worden beveiligd door middel van sloten, alarmsystemen en videobewaking en worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico's. AOC heeft bedrijfscontinuïteitsplannen waar noodlocaties een onderdeel van uitmaken.

Netwerk-, server- en applicatiebeveiliging en onderhoud daarvan

• De netwerkomgeving waarin gegevens worden verwerkt, wordt streng beveiligd. Verkeersstromen worden gescheiden en er worden maatregelen geïmplementeerd tegen misbruik en aanvallen.

• De omgeving waarin persoonlijke gegevens worden verwerkt, wordt bewaakt.

• De digitale diensten en producten waarin persoonlijke gegevens worden verwerkt, zijn ingesteld op basis van systeemplanning, beveiligingscontrole en acceptatie. Veranderingen in applicaties worden getest op kwetsbaarheden voordat ze in productie worden genomen.

• Op systemen worden periodiek op basis van patch-management de laatste (beveiligings-)patches geïnstalleerd.

• Gegevens die binnen applicaties worden verwerkt, worden naar risico ingedeeld.

• Er worden periodiek penetratietests en kwetsbaarheidsbeoordelingen uitgevoerd.

• Informatie die niet langer wordt gebruikt, wordt verwijderd.

• Er worden cryptografische maatregelen toegepast op wachtwoorden zodat deze gegevens veilig worden opgeslagen.

• Er worden versleutelde verbindingen gebruikt voor inlog- processen. De uitwisseling van persoonlijke gegevens met externe partijen vindt versleuteld plaats.

III. Beschrijving van de maatregelen ter herkenning van zwakke punten ten aanzien van de Verwerking van Persoonlijke

Gegevens in de systemen

De systemen van AOC worden periodiek gecontroleerd op veiligheid In aanvulling daarop biedt het beveiligingsbeleid van AOC

interne processen voor het herkennen van kwetsbaarheden.

Rapportage

De verwerker werkt deze informatie voortdurend bij en informeert gebruikers over veranderingen in de maatregelen die worden genomen ter bescherming van persoonlijke gegevens tegen gebruik via de AOC-website. Neem in het geval dat u beveiligingsrisico's waarneemt, contact op met de helpdesk van AOC.

Informatie over Inbreuk op Gegevens en / of incidenten met betrekking tot beveiliging

De wijze waarop bewaking en herkenning van inbreuk op gegevens plaats vindt:

AOC bewaakt zijn diensten 24/7 en heeft maatregelen genomen ter voorkoming en herkenning van ongeautoriseerde of onwettige toegang tot gegevens. Signalen die wijzen op gevallen van Inbreuk op Gegevens worden beoordeeld door de beveiligingfunctionaris van AOC, die analyseert of er sprake kan zijn van een Inbreuk op Gegevens, het type van inbreuk op gegevens analyseert en vaststelt of dit een Inbreuk op Gegevens betreft die valt onder zijn rol als verwerker of zijn rol als controleur.

De wijze waarop informatie wordt gedeeld:

Als er zich een geval van Inbreuk op Gegevens voordoet ten aanzien van persoonlijke gegevens die AOC verwerkt als verwerker, wordt de controleur, in beginsel binnen 24 uur na detectie van een geval van Inbreuk op Gegevens per e-mail door of namens AOC geïnformeerd. Afhankelijk van de situatie kan informatie ook worden gedeeld via onze website en officiële social-mediakanalen en / of officiële distributeurs en / of commerciële vertegenwoordigers.

Als een geval van Inbreuk op Gegevens zich voordoet met betrekking tot persoonlijke gegevens die AOC verwerkt als controleur, zal de Nederlandse autoriteit voor gegevensbescherming binnen 72 uur na detectie van een Gegevenslek worden geïnformeerd, en in het geval van nadelige gevolgen voor gegevensonderwerpen, zullen deze ook worden geïnformeerd op de wijze die de wet bepaalt, zodat zij maatregelen kunnen nemen.

Voor vervolgacties of vragen kunt u per telefoon of e-mail contact opnemen met onze helpdesk, volgens de gegevens die in de privacy-verklaring staan.

AOC deelt de volgende informatie wanneer er zich een geval van Inbreuk op Gegevens voordoet:

• De kenmerken van het incident, zoals: datum en tijd van vaststelling, samenvatting van het incident, kenmerk en aard van het incident (op welk gedeelte van de beveiliging het betrekking heeft, hoe het heeft plaatsgevonden, heeft het betrekking op lezen, kopiëren, veranderde, wissen / vernietigen en / of stelen van persoonlijke gegevens);

• De oorzaak van het beveiligingsincident;

• De maatregelen die zijn genomen ter voorkoming van mogelijke / verdere schade;

• vaststelling van de betrokkenen die gevolgen kunnen ondervinden van het incident en de mate waarin zij gevolgen ondervinden;

• De omvang van de groep van belanghebbenden;

• De aard van de persoonlijke gegevens die gevolgen ondervinden van het incident (in het bijzonder, speciale gegevens, of gegevens van een gevoelige aard, inclusief toegang of identificatiegegevens of financiële gegevens).

Als er zich een specifieke situatie voordoet kan AOC een (eerste) kennisgeving van een geval van Inbreuk op Gegevens doen uitgaan naar de Nederlandse

Autoriteit voor Gegevensbescherming