Privacyverklaring

Doelen en grondslagen

BDO verwerkt alleen persoonsgegevens voor specifiek vastgestelde doelen en op basis van een rechtmatige grondslag. In het overzicht hieronder ziet u welke doelen BDO heeft bij het verwerken van persoonsgegevens en op basis van welke grondslag BDO die gegevens verwerkt.

Indien de verwerking van persoonsgegevens door BDO berust op toestemming van de betrokkene, heeft de betrokkene te allen tijde het recht de toestemming in te trekken. De intrekking van de toestemming geldt alleen voor toekomstige verwerkingen.

BDO verwerkt de navolgende soorten persoonsgegevens, doch uitsluitend voor zover de verwerking daarvan noodzakelijk is voor het desbetreffende doel (zie doeleinden hierboven):

Identificatiegegevens

• naam;
• adres;
• geboortedatum;
• geboorteplaats;
• burgerservicenummer;
• identiteitsbewijsnummer;
• telefoonnummer;
• e-mailadres;
• IP-adres;

Transactiegegevens

• bankrekeningnummer;
• bijschrijvingen op, afschrijvingen van en overboekingen naar bankrekeningen;

Financiële gegevens

• belastingaangiften;
• financiële- en adviesrapportages;
• facturen;
• creditnota’s;
• loonstroken;
• betaalgedrag;
• inkomen;

Audiovisuele gegevens

• bewakingsbeelden gemaakt bij BDO-kantoren.

Mocht u informatie willen over de persoonsgegevens die BDO van u verwerkt, dan verstrekken wij u dat graag. Dit doen we nadat voor ons voldoende duidelijk is wie u bent (identificeren) en dat u ook daadwerkelijk de persoon bent die u zegt te zijn (authenticeren). Deze identificatie zal plaatsvinden op één van de BDO-vestigingen.

U heeft naast het recht om informatie op te vragen ook een aantal andere wettelijk bepaalde rechten met betrekking tot uw persoonsgegevens. Hieronder leest u welke rechten u heeft:

• Recht op inzage in door ons van u vastgelegde persoonsgegevens;
• Recht op indienen van een verzoek tot correctie of verwijdering van uw persoonsgegevens;
• Recht om bezwaar te maken (verzet) tegen bepaalde wijze van gebruik van uw persoonsgegevens.
• Recht op beperking van (toekomstige) verwerking van uw persoonsgegevens.
• Recht om ons te vragen uw gegevens over te dragen aan u of een andere organisatie.

BDO zal te allen tijde uw verzoek beoordelen en honoreren naargelang dit is toegestaan op basis van wet- en regelgeving. U kunt eventuele vragen en/of verzoeken, die verband houden met de verwerking van persoonsgegevens door BDO, indienen bij onze Data Protection Officer via onderstaande contactgegevens:

BDO Holding B.V.
T.a.v. Data Protection Officer
Postbus 182
5600 AD Eindhoven

[email protected]

U krijgt van ons binnen één maand een schriftelijke reactie op uw verzoek.

Indien u het niet eens bent met een beslissing van BDO over de verwerking van uw persoonsgegevens, staan wij te allen tijde open voor overleg. Daarnaast heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, indien u het niet eens bent met een beslissing van BDO over de verwerking van uw persoonsgegevens.

BDO bewaart uw persoonsgegevens niet langer dan noodzakelijk is voor de afgesproken dienstverlening en in lijn met geldende wet- en regelgeving. In ons record en retentiebeleid hebben wij concrete termijnen vastgesteld voor het wissen van gegevens en/of periodieke toetsing hiervan. Zo dragen wij zorg voor het naleven van de juiste bewaartermijnen.

Delen van gegevens

BDO deelt uw persoonsgegevens in beginsel niet met andere partijen (derden), tenzij daar een wettelijke grondslag voor is. Hieronder volgen een aantal voorbeelden van omstandigheden waarin wij uw gegevens mogelijk zullen delen:

• Het kan voorkomen dat politie, justitie of toezichthouders op grond van de wet gegevens bij ons opvragen. Ook kan een rechter ons verplichten om gegevens te verstrekken of in te laten zien.
• Het kan het nodig zijn uw gegevens te delen binnen het BDO-netwerk of met zorgvuldig geselecteerde relaties om onze dienstverlening uit te kunnen voeren. Denk hierbij aan de relaties die namens ons gegevens verwerken.  

(Sub)verwerkers

Voor het kunnen uitvoeren van onze dienstverlening maken we gebruik van een aantal partners. Deze partners worden ook wel onze (sub)verwerkers of samenwerkingspartners genoemd. Het is mogelijk dat uw persoonsgegevens bij een van deze partners zijn opgeslagen, dan wel anders door hen worden verwerkt. BDO heeft met deze partners contractuele afspraken gemaakt hoe zij met uw persoonsgegevens om dienen te gaan.

BDO heeft partners in de volgende categorieën:

• Ontwerpen, onderhouden en verbeteren van IT-systemen en applicaties;
• Infrastructure as a Service dienstverleners op het gebied van datacenters en dataopslag en datacommunicatie;
• Marketingactiviteiten en -evenementen en klantcommunicatiebeheer;
• Het opstellen van rapporten en statistieken, het drukken van publicaties en het ontwerpen van producten;
• Juridische diensten, controlediensten en andere bijzondere diensten die worden verleend door advocaten, notarissen, trustees, auditors en andere professionele adviseurs.
• Het verlenen van gespecialiseerde diensten zoals het archiveren van fysieke documenten.
• Software as a Service dienstverleners op het gebied van accountancy en financiële software zoals online boekhouddiensten en online salarisadministratie.

In het bijzonder maakt BDO gebruik van de volgende (sub)verwerkers.

Doorgifte van gegevens buiten de EU

BDO slaat uw gegevens in beginsel op binnen de grenzen van de EU. Wanneer in het kader van de dienstverlening gegevens worden gedeeld buiten de EU, dan waarborgt BDO een passend beveiligingsniveau en treffen wij (indien noodzakelijk) passende waarborgen ter bescherming van uw persoonsgegevens. U zult door ons altijd op de hoogte worden gebracht als wij uw gegevens delen buiten de EU.

Voorbeelden van maatregelen die BDO treft in geval van doorgifte buiten de EU zijn:  

• Voor doorgiften binnen het BDO netwerk, zowel binnen als buiten de EU, gebruiken wij ‘Bindende bedrijfsvoorschriften’ (Binding Corporate Rules). Dit is een interne gedragscode voor het gegevensverkeer binnen het BDO netwerk, welke is goedgekeurd door de bevoegde toezichthoudende autoriteit.
• Voor doorgiften naar relaties buiten de EU hanteren wij ‘modelcontracten’ eventueel aangevuld met aanvullende maatregelen.

Doorgiften buiten de EU kunnen ook plaatsvinden wanneer er een adequaatheidsbesluit aanwezig is of wanneer u daartoe toestemming heeft verleend.

BDO neemt alle technische en organisatorische maatregelen die redelijkerwijs van haar verwacht mogen worden om uw persoonsgegevens te beveiligen. Uiteraard zijn deze maatregelen volledig in lijn met de geldende wet- en regelgeving en de huidige stand van de techniek.

Bij indiensttreding worden nieuwe medewerkers gewezen op de regels en procedures binnen de organisatie, in het bijzonder aangaande de geldende beveiligingsregels en procedures. Er wordt regelmatig aandacht besteed aan het vergroten van het beveiligings- en privacy bewustzijn bij de medewerkers.

De afdeling Digital Technology Services (DTS) van BDO Holding B.V. is sinds januari van 2015 officieel ISO27001 gecertificeerd. Begin 2023 zijn de processen van BDO Cyber Security van de Line of Service BDO Advisory B.V. toegevoegd aan de scope van de certificering. Daarmee voldoen de processen van afdeling DTS en BDO Cyber Security aan de internationale norm voor informatiebeveiliging. De scope van het certificaat is: “Ontwikkelen, onderhouden en ondersteunen van klantportalen en digitale dossiers alsmede het beheren van ICT infrastructuren en de geleverde cybersecurity dienstverlening onderverdeeld in de categorieën Assess & Assure, Consult & Implement en Security & Compliance.” 

Wilt u meer weten over de beveiligingsmaatregelen die BDO treft of onze ISO27001-certificering? Neem dan contact op met onze afdeling Quality & Risk Management via mail of telefoonnummer (040) 269 81 11.

Als u meer wilt weten over het beleid van BDO ten aanzien van privacy en gegevensverwerking en over de manier waarop wij uw persoonsgegevens gebruiken, kunt u contact opnemen via onderstaande gegevens:

BDO Holding B.V.
T.a.v. Data Protection Officer
Postbus 182
5600 AD Eindhoven

[email protected]