Algemeen Privacy Statement EY Nederland
Versie juni 2024
Dit Privacy Statement informeert u over de manier waarop EY uw persoonsgegevens verwerkt en over uw privacyrechten. Hieronder zijn de belangrijkste punten uit ons Privacy Statement samengevat. Voor meer informatie kunt u doorklikken via de kopjes onder de samenvatting. Ook kunt u door hier te klikken, het volledige Privacy Statement als één geheel in pdf downloaden.
Overzicht Algemeen Privacy Statement EY Nederland
Dit Privacy Statement informeert over verwerking van uw persoonsgegevens waarvoor de in Nederland gevestigde entiteiten van het EY-netwerk van Ernst & Young Global Limited (afzonderlijk of gezamenlijk: "EY", “wij”, “ons” en "onze") (mede) verantwoordelijk zijn. Een lijst van de entiteiten vindt u via deze link.
Wij verwerken uw persoonsgegevens voor:
- EY-Interne processen
- voor het beheer van onze EY-kantoren met toebehoren (facilitair);
- voor het werven van nieuwe werknemers;
- voor diverse EY-activiteiten die wij organiseren, zoals vergaderingen, conferenties, evenementen en leersessies; en
- voor het uitvoeren van klantacceptatieprocessen, zoals conflict checks en anti-witwas en financiering van terrorisme maatregelen;
- EY-Marketing activiteiten
- het aanbieden, onderhouden en verbeteren van onze websites, onze apps en voor onze activiteiten op social media;
- het informeren over en het promoten van de EY-dienstverlening;
- het informeren over, organiseren van en uitnodigen voor diverse EY-activiteiten.
- Het verlenen van onze diensten in algemene zin en specifiek binnen onze service lines: (i) Assurance, (ii) Tax, (iii) Consulting, (iv) en Strategy and Transactions (SaT);
- Het beheer van onze zakelijke relaties: met onze klanten, door ons ingeschakelde dienstverleners en overige zakelijke contactpersonen;
- Het onderhouden van contact met en organiseren van evenementen voor voormalige medewerkers (EY alumni), en aanverwante verwerkingen.
In relatie tot onze verwerking van uw persoonsgegevens, beschikt u als betrokkene over diverse privacyrechten. U heeft het recht:
- Om uw toestemming in te trekken wanneer wij persoonsgegevens verwerken op grond van uw toestemming (recht op intrekken toestemming);
- Op inzage in uw persoonsgegevens (recht op inzage);
- Op rectificatie van persoonsgegevens wanneer zij onjuist, onvolledig of niet relevant zijn (recht op rectificatie);
- Op wissing van persoonsgegevens wanneer wij deze gegevens niet (langer) mogen verwerken (recht op gegevenswissing);
- Dat wij bepaalde persoonsgegevens over u doorgeven aan u of een door u aangewezen partij (recht op dataportabiliteit);
- Om bezwaar te maken tegen verwerking van uw persoonsgegevens in bepaalde omstandigheden (recht van bezwaar);
- Dat wij persoonsgegevens op uw verzoek over u bewaren alhoewel wij deze anders niet (langer) mogen verwerken of wanneer dit ter discussie staat (recht op beperking van de verwerking);
- Om onder omstandigheden niet te worden onderworpen aan een besluit dat uitsluitend gebaseerd is op een geautomatiseerde verwerking, zonder menselijke tussenkomst (recht m.b.t. geautomatiseerde besluitvorming);
- Om een klacht in te dienen bij een bevoegde toezichthouder wanneer u vindt dat sprake is van een privacy-inbreuk (klachtrecht).
Zie deze link voor meer informatie over uw privacyrechten. Onze contactgegevens kunt u hier vinden.
-
1. Wat is de relatie tussen dit Privacy Statement en andere stukken?
1.1 Andere Privacy Statements van EY
Dit Privacy Statement geeft een algemene omschrijving van hoe EY persoonsgegevens verwerkt waarvoor zij verantwoordelijk is, en welke rechten u daarbij heeft. Dit Privacy Statement vormt daarmee een aanvulling/nadere uitwerking van het algemene Privacy Statement van EY op mondiaal niveau (zie deze link), en prevaleert ten opzichte daarvan.
Voor sommige EY-activiteiten gelden in aanvulling op dit Privacy Statement nog specifiekere Privacy Statements. Bijvoorbeeld wanneer de verwerking verhoogde impact op uw privacy kan hebben, zoals bij cameratoezicht (zie www.ey.nl/cameratoezicht), in relatie tot werving en selectie of met betrekking tot direct marketing en events (zie deze link). In dat geval wordt u hierover apart geïnformeerd. De specifieke Privacy Statements gelden in principe in aanvulling op dit algemene Privacy Statement en prevaleren ten opzichte van dit algemene Privacy Statement.
1.2 Privacy Statements van andere partijen
Dit Privacy Statement is niet van toepassing op dienstverlening van derden waarvoor deze derden zelf verantwoordelijk zijn. Denk bijvoorbeeld aan internetsites van derden die door middel van hyperlinks met onze websites zijn verbonden, of aan onze cliënten die persoonsgegevens die wij nodig hebben voor onze dienstverlening ook voor eigen doeleinden verwerken. Voor informatie over hoe deze derden omgaan met uw persoonsgegevens verwijzen wij u naar de privacy statements en/of overige informatie zoals beschikbaar gesteld door deze partijen zelf.
-
2. Waarvoor gebruiken wij welke persoonsgegevens?
-
2.1 Algemeen
EY kan op diverse manieren persoonsgegevens over u verwerken. U kunt doorklikken op één of meer van de onderwerpen hieronder voor meer informatie over:
- De categorie personen over wie wij per onderwerp persoonsgegevens verwerken;
- De doeleinden van de verwerking;
- Wat voor persoonsgegevens wij daarbij verwerken; en
- Op welke rechtsgrond wij deze verwerking baseren.
2.1.1 Gerechtvaardigde belangen
Soms is aangegeven dat wij persoonsgegevens over u verwerken op grond van de rechtsgrond “gerechtvaardigde belangen”. Dit houdt in dat een belangenafweging is gemaakt tussen de belangen die zijn gebaat bij de verwerking enerzijds en uw privacybelangen anderzijds, en dat de belangen in het voordeel van de verwerking zwaarder wegen. De gerelateerde belangen zijn hieronder per onderwerp opgenomen. Indien u hierover nadere informatie wenst te ontvangen, kunt u contact met ons opnemen.
2.1.2 Minderjarigen en andere personen met wettelijk vertegenwoordiger
Wij richten onze diensten en verwerkingen in principe niet op personen onder de leeftijd van 16 jaar. Ook richten wij ons niet op personen die onder curatele zijn gesteld of ten aanzien van wie een bewind of mentorschap is ingesteld. Indien we ons in een uitzonderlijke situatie toch richten op dergelijke personen met een wettelijk vertegenwoordiger, dan zal EY rekening houden met de kwetsbare positie van deze personen. Ook zal de manier waarop wordt geïnformeerd over de verwerking worden afgestemd op de doelgroep en zal waar nodig de toestemming van de wettelijk vertegenwoordiger worden verzocht.
-
2.2 EY-Interne processen
-
2.2.1 Bezoek aan EY-kantoren (facilitair)
- De betrokken personen. Wij verwerken persoonsgegevens over bezoekers van EY-kantoren.
- Doeleinden van de verwerking. Wanneer u een EY-kantoor bezoekt, verwerken wij (indien van toepassing) uw persoonsgegevens voor de volgende doeleinden:
- Bieden en optimaliseren van bepaalde faciliteiten (o.a. toegang tot vergaderruimten of Wifi);
- Toegangsregistratie, -controle en -beheer;
- Netwerkbeheer en -beveiliging (bij gebruik van Wifi);
- Verifiëren dat toegangsbadges worden geretourneerd;
- Onderzoeken van veiligheidsincidenten;
- Contacteren bij noodgevallen;
- Beveiliging en bescherming van onze gebouwen, zaken, werknemers en gegevens (bij camerabeveiliging – zie www.ey.nl/cameratoezicht);
- Onderzoek, analyse en statistiek;
- Interne controle en bedrijfsvoering;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. Wanneer u een EY-kantoor bezoekt, kunnen wij de volgende persoonsgegevens over u verwerken:
- Naam, geslacht en titulatuur;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie);
- Gegevens over aanwezigheid (locatie, aankomst- en vertrektijd);
- IP-adres, bezochte websites en andere gegevens bij gebruik van Wifi;
- Gegevens over een bezoek (soort afspraak, EY-contactpersoon, eventuele andere genodigden);
- Het nummer van de toegangspas waarmee u toegang krijgt tot het EY-gebouw en bepaalde ruimtes daarbinnen;
- Beweging, CO2-gehalte, geluid, temperatuur, luchtvochtigheid en licht in bepaalde ruimtes.
In bepaalde ruimtes hebben wij ook beweging- en geluidsensoren, meting van CO2-gehalte, geluid, temperatuur, luchtvochtigheid en licht.
Gevoelige gegevens:
Wij verwerken in principe geen gevoelige persoonsgegevens over bezoekers van onze kantoren. Dit kan anders zijn wanneer u gevoelige gegevens aan ons verstrekt die wij nodig hebben om tegemoet te komen aan een verzoek van u. Denk bijvoorbeeld aan het doorgeven dat een parkeerplaats voor mindervaliden is vereist.- Rechtsgrond verwerking. Wij baseren het gebruik van uw persoonsgegevens bij uw bezoek aan een EY-kantoor op één van de volgende rechtsgronden:
- Gerechtvaardigde belangen: Ons gerechtvaardigde belang bij: de bescherming en beveiliging van onze kantoren, personeelsleden, goederen en vertrouwelijke informatie, en de doeleinden hierboven genoemd.
- Toestemming: Uw (uitdrukkelijke) toestemming voor het verwerken van bepaalde aanvullende gegevens, zoals gevoelige gegevens wanneer door u verstrekt en noodzakelijk in het kader van het faciliteren van een bezoek.
-
2.2.2 EY-activiteiten (zoals: vergaderingen en evenementen)
- De betrokken personen. Wij verwerken persoonsgegevens over (aangemelde) deelnemers van EY-activiteiten, zoals: vergaderingen, conferenties, evenementen en leersessies.
- Doeleinden van de verwerking. Wij verwerken persoonsgegevens over deelnemers aan EY-activiteiten voor de volgende doeleinden:
- Het informeren en communiceren over de evenementen;
- Het organiseren en faciliteren van de evenementen;
- Het maken van beeld- en geluidsopnames voor communicatie- en marketingdoeleinden;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Interne controle en bedrijfsvoering;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In het kader van evenementenbeheer kunnen wij de volgende persoonsgegevens verwerken:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Financiële gegevens (kaartnummer, IBAN/bankrekeningnummer, bedrag);
- Communicatiegegevens over een evenement;
- Gegevens over aanwezigheid bij een evenement (soort event, locatie, datum, andere genodigden);
- Eventuele beeld- en geluidsopnames van het evenement.
Gevoelige gegevens
Het is niet onze bedoeling om in het kader van evenementenbeheer gevoelige persoonsgegevens over u te verwerken. Wel zijn deelnemers aan EY-evenementen op externe locaties verplicht om een identiteitsbewijs met foto mee te brengen om te voorkomen dat onbevoegde personen toegang krijgen tot deze evenementen, en kunnen wij beeld- en geluidsopnames van evenementen gebruiken voor communicatie- en marketingdoeleinden, waaruit onbedoeld gevoelige persoonsgegevens kunnen worden afgeleid. Verder kan het zijn dat u zelf gevoelige gegevens aan ons doorgeeft, bijvoorbeeld wanneer u speciale dieetwensen doorgeeft waaruit uw religieuze overtuiging of voedselallergieën kunnen worden afgeleid.- Rechtsgronden verwerking. Wij baseren het gebruik van uw persoonsgegevens in het kader van evenementenbeheer op één van de volgende rechtsgronden:
- Toestemming: Uw (uitdrukkelijke) toestemming, bijvoorbeeld wanneer u aangeeft dat u over toekomstige events op de hoogte wilt worden gehouden of wanneer u speciale dieetwensen doorgeeft.
- Gerechtvaardigde belangen: Ons gerechtvaardigde belang bij het organiseren van evenementen en de bijkomende verwerking van persoonsgegevens, waaronder het informeren en communiceren daarover en de andere hierboven genoemde doeleinden voor de verwerking; en ons gerechtvaardigde belang om te voorkomen dat onbevoegde personen toegang krijgen tot de evenementen, ter bescherming en beveiliging van de aanwezige personen, zaken en gegevens.
-
2.2.3 Klantacceptatieprocessen
In het kader van onze klantacceptatieprocessen verwerken wij persoonsgegevens voor bijvoorbeeld conflict checks (ter voorkoming van belangenverstrengeling), anti-witwas en financiering van terrorisme maatregelen, berichtgeving in de publieke media, sanctielijsten en onafhankelijkheidscontroles.
- De betrokken personen. Wij verwerken persoonsgegevens over bestuurders, het sleutelpersoneel van de betrokken organisaties, naaste geassocieerden en familieleden van Politically Exposed Persons (PEP’s) (een naaste geassocieerde is bijv. iemand met een nauwe zakelijke band met een PEP) en de uiteindelijke begunstigde natuurlijke personen van organisaties (“Ultimate beneficial owners”).
- Doeleinden van de verwerking. In het kader van onze klantacceptatieprocessen verwerken wij persoonsgegevens voor de volgende doeleinden:
- Het voldoen aan toezichtsvereisten en wettelijke verplichtingen waaraan wij onderworpen zijn, waaronder op het gebied van het voorkomen en tegengaan van witwassen en financiering van terrorisme;
- Het voorkomen van belangenverstrengeling;
- Risicobeheer en kwaliteitsbeoordeling;
- Interne financieel-administratieve doeleinden, IT-doeleinden en overige ondersteunende diensten van administratieve aard.
- Persoonsgegevens die worden verwerkt. In het kader van onze klantacceptatieprocessen kunnen we de volgende persoonsgegevens verwerken:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Kopie identiteitsbewijs (paspoort, identiteitskaart of rijbewijs, zonder nationaal identificatienummer);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Financiële gegevens (kaartnummer, IBAN/bankrekeningnummer, bedrag);
- Communicatiegegevens;
- Loggegevens.
Gevoelige gegevens
In het kader van onze klantacceptatieprocessen kunnen wij ook gevoelige persoonsgegevens verwerken. Denk bijvoorbeeld aan gegevens over iemands politieke voorkeuren in het kader van onderzoek naar of iemand een politiek prominent figuur is of verwerking van strafrechtelijke gegevens in het kader van naleving van regelgeving ter voorkoming van witwassen en financiering van terrorisme.- Rechtsgronden verwerking. Wij baseren het gebruik van uw persoonsgegevens in het kader van onze interne processen op één van de volgende rechtsgronden:
- Gerechtvaardigde belangen: Ons gerechtvaardigde belang bij het verwerken van persoonsgegevens van onze interne processen, is uiteenlopend en valt samen met de hiervoor genoemde doeleinden voor de verwerking.
- Wettelijke verplichting: Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens verwerken om te voldoen aan verplichtingen die op ons rusten in het kader van het voorkomen en tegengaan van witwassen van geld en financiering van terrorisme.
-
-
2.3 EY Marketing activiteiten
-
2.3.1 Website, apps en social media
Wij verwerken persoonsgegevens voor het aanbieden, onderhouden en verbeteren van onze websites, onze apps en voor onze activiteiten op social media. Onder “onze websites” vallen de volgende domeinen:- https://www.ey.com/nl_nl; en
- https://www.ey.com/en_nl.
- De betrokken personen. Wij verwerken persoonsgegevens over personen die onze websites bezoeken (“websitebezoekers”), apps gebruiken (“app-gebruikers”) en gebruikmaken van social media buttons op onze websites of met ons linken via social media (“social media-gebruikers”).
- Doeleinden van de verwerking. In het kader van onze websites, apps en social media verwerken we persoonsgegevens over websitebezoekers, appgebruikers en social media-gebruikers voor de volgende doeleinden:
- Communicatie, werving en selectie en marketing;
- Analyse van websitebezoeken (o.a. benchmarking en ter bepaling van aan wat voor organisatie u op wat voor manier verbonden bent);
- Personalisering van de website content;
- Ondersteuning van social media tools en plug-ins;
- Controle en toepassing van toepasselijke gebruikersvoorwaarden;
- Onderhoud, beheer en beveiliging van onze websites en apps;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Interne controle en bedrijfsvoering;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In het kader van onze website, apps en social media, kunnen wij verder de volgende persoonsgegevens ov u verwerken die u verstrekt, afhankelijk van bijvoorbeeld welke webpagina’s u bezoekt en de instellingen van uw apparaat en browser:
- Naam, geslacht, titulatuur en functietitel;
- Bedrijf of organisatie;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Inloggegevens;
- Social medium-naam;
- Persoonlijke voorkeuren en interesses.
Automatisch verzamelde informatie:- IP-adres;
- Type apparaat en uniek identificatienummer van het apparaat (MAC-adres);
- Browsertype;
- Globale geografische locatie (bijvoorbeeld locatie op land- of stadsniveau);
- Andere technische informatie, zoals m.b.t de interactie tussen uw apparaat en onze website, de webpagina's die zijn bezocht, de aangeklikte links en loggegevens;
- Voor de automatisch verzamelde informatie wordt gebruik gemaakt van cookies en soortgelijke trackingtechnologie, zoals nader toegelicht in het EY Cookiebeleid.
Gevoelige gegevens:
In het kader van onze website, apps en social media verwerken wij in principe niet bedoeld gevoelige informatie. Als wij in bepaalde gevallen toch gericht gevoelige gegevens verwerken, wordt u hierover separaat geïnformeerd en waar nodig om uitdrukkelijke toestemming gevraagd.- Rechtsgrond verwerking. Wij baseren het gebruik van uw persoonsgegevens in het kader onze website, apps en social media op één van de volgende rechtsgronden:
- Toestemming. Soms baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Dit geldt bijvoorbeeld wanneer u zich via onze websites opgeeft voor een nieuwsbrief.
- Gerechtvaardigde belang. Ons gerechtvaardigde belang bij het aanbieden en gebruik maken van onze website, apps en social media; en de andere hierboven genoemde doeleinden voor de verwerking.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
- Toelichting. EY maakt gebruik van verschillende social media platforms, bijvoorbeeld in het kader van werving en selectie en voor marketingdoeleinden. EY is daarbij verantwoordelijk voor onder meer de inhoud van de berichten, maar niet voor het beheer van de social media platforms. Voor nadere informatie over hoe daarbij om wordt gegaan met uw persoonsgegevens, verwijzen wij u daarom graag naar de informatie die daarover beschikbaar wordt gesteld op de website van de aanbieders van deze platforms. Hieronder hebben wij de links opgenomen naar het privacybeleid van diverse aanbieders van social media platforms, waarvan wij gebruik kunnen maken:
Op onze websites implementeren we zogenaamde social media plug-ins (zoals "vind-ik-leuk" en deelknoppen). Wanneer u een pagina bezoekt waarop een of meer van dergelijke knoppen worden weergegeven, maakt uw browser een directe verbinding met de relevante sociale netwerk server en laadt de knop vanaf daar. Tegelijkertijd weet de social media-aanbieder dat de betreffende pagina op onze website is bezocht. We hebben geen invloed op de gegevens die de aanbieders van social media verzamelen op basis van de knoppen. Als u het verzamelen van gegevens op basis van de knoppen wilt voorkomen, logt u uit bij uw social media-accounts voordat u onze websites bezoekt en schakelt u de opslag van cookies uit in uw browserinstellingen.
-
2.3.2 Informeren over EY-dienstverlening en uitnodigen voor diverse EY-activiteiten
Wij verwerken persoonsgegevens voor het informeren over en promoten van de EY-dienstverlening van de vier service lines binnen EY (Assurance, Tax, Consulting en Strategy and Transactions) en voor het informeren over, organiseren van en uitnodigen (onder andere via nieuwsbrieven) voor diverse EY-activiteiten.
- De betrokken personen. Wij verwerken persoonsgegevens over prospects en cliënten voor de EY-dienstverlening en (potentiële) deelnemers van de EY-activiteiten.
- Doeleinden van de verwerking. Wij verwerken persoonsgegevens over prospects en cliënten voor de EY-dienstverlening en (potentiële) deelnemers aan EY-activiteiten voor de volgende doeleinden:
- Het informeren en promoten van EY-dienstverlening;
- Het informeren en communiceren over EY-activiteiten;
- Onderzoek, analyse en statistiek;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In dit kader kunnen wij de volgende persoonsgegevens verwerken:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Gegevens over aanwezigheid bij een evenement (soort event, locatie, datum, andere genodigden);
- Speciale dieetwensen.
- Rechtsgronden verwerking. Wij baseren het gebruik van uw persoonsgegevens in dit kader op één van de volgende rechtsgronden:
- Gerechtvaardigde belangen: Ons gerechtvaardigde belang bij het verwerken van persoonsgegevens in het kader van het informeren over EY-dienstverlening, het uitnodigen voor diverse EY-activiteiten en de andere hierboven genoemde doeleinden voor de verwerking (bijvoorbeeld wanneer er nog geen sprake is van een relatie met EY of verleende toestemming van uw kant).
- Toestemming: Uw (uitdrukkelijke) toestemming, bijvoorbeeld wanneer u aangeeft dat u over EY-dienstverlening of EY-activiteiten op de hoogte wilt worden gehouden bijvoorbeeld via onze nieuwsbrief of wanneer u speciale dieetwensen doorgeeft.
Meer informatie over het verwerken van persoonsgegevens in het kader van direct marketing en events vindt u hier.
- De betrokken personen. Wij verwerken persoonsgegevens over prospects en cliënten voor de EY-dienstverlening en (potentiële) deelnemers van de EY-activiteiten.
-
-
2.4 EY dienstverlening
-
2.4.1. Dienstverlening algemeen / zakelijke relaties
Op wat voor manier wij persoonsgegevens verwerken bij onze dienstverlening, hangt voor een groot deel af van het soort dienstverlening dat het betreft. Zie deze link voor een overzicht van onze diensten.Hieronder is in algemene zin weergegeven op wat voor manier wij persoonsgegevens verwerken bij onze dienstverlening aan cliënten. Voor de vier hoofdcategorieën (“Service Lines”) binnen onze dienstverlening – Assurance, Tax, Consulting en Strategy and Transactions – hebben we dit daarna verder globaal uitgewerkt.- De betrokken personen. In het kader van onze dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
- Prospect: (contactpersonen van) een beoogde cliënt van EY;
- Cliënt: (contactpersonen van) een cliënt van EY;
- Vroegere cliënt: (contactpersonen van) een vroegere cliënt van EY;
- Klant-van-de-cliënt: klanten van een cliënt van EY;
- Betrokken personen dienstverlening: andere personen die zijn betrokken bij de uitvoering van onze dienstverlening aan de cliënt;
- Aan de cliënt verbonden personen: andere personen over wie de cliënt van EY persoonsgegevens verwerkt, welke persoonsgegevens wij ook nodig hebben voor onze dienstverlening aan de cliënt.
- Doeleinden van de verwerking. In het kader van onze dienstverlening verwerken wij in het algemeen voor de volgende doeleinden persoonsgegevens:
- Het benaderen, contacteren en maken van offertes voor prospects;
- Het onderhouden van contact met (voormalige) cliënten en prospects;
- Het verlenen van diensten aan (voormalige) cliënten;
- Analyse en evaluatie van de frequentie en kwaliteit van de interacties tussen EY en (contactpersonen van) de (voormalige) cliënten en prospects;
- Administratieve doeleinden, waaronder financieel;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In het kader van dienstverlening aan onze cliënten verwerken wij in het algemeen de volgende persoonsgegevens:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Burgerlijke staat en gezinssamenstelling;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Financiële gegevens (kaartnummer, IBAN/bankrekeningnummer, bedragen);
- Administratienummer;
- Communicatiegegevens.
In het kader van onze dienstverlening kunnen wij verder over bestuurders en het sleutelpersoneel van de betrokken organisaties nog andere persoonsgegevens verwerken, zoals met betrekking tot: verificatie van iemands identiteit (naam en adres) en de uiteindelijke begunstigde natuurlijke personen van rechtspersonen (“Ultimate Benificial Owners”).
Gevoelige gegevens:
In het kader van onze dienstverlening aan cliënten verwerken wij in principe niet bedoeld gevoelige informatie, anders dan financiële gegevens voor zover nodig voor het uitvoeren van onze diensten. Afhankelijk van de specifieke dienstverlening kan dit anders zijn, bijvoorbeeld bij dienstverlening aan ziekenhuizen.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens voor onze dienstverlening op één van de volgende rechtsgronden:
- Uitvoering overeenkomst. Voor zover de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokken persoon partij is, baseren wij de verwerking op deze grond. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens van een individu die direct met ons een contract heeft ondertekend.
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij de uitvoering van onze dienstverlening en het nastreven van de hierboven genoemde doeleinden. Dit is hieronder per categorie dienstverlening verder toegelicht.
- Toestemming. Incidenteel baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Indien dat het geval is, wordt u hier apart over geïnformeerd.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht. Ook kunnen wij wettelijk verplicht zijn om verdachte transacties en andere activiteiten te melden aan bepaalde overheidsinstanties op grond van regelgeving ter voorkoming van het witwassen van geld, terrorismefinanciering, of handel met voorwetenschap; of aanverwante regelgeving.
- De betrokken personen. In het kader van onze dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
-
2.4.2. Dienstverlening ➟ Assurance
Onze Assurance-dienstverlening is erop gericht dat onze cliënten betrouwbare en heldere informatie leveren aan investeerders en andere stakeholders. Zo ondersteunen we cliënten bijvoorbeeld bij het samenstellen en beoordelen van de jaarrekening. Ook bieden we binnen deze Service Line advies inzake impactmetingen (natuurlijk en sociaal kapitaal), risico’s in leveranciersketens, compliance-vraagstukken rond gezondheid en veiligheid, stakeholderdialogen en waardecreatie-modellen. We staan onze cliënten terzijde met feedback, adresseren belangrijke thema’s en voorzien de auditcommissies van duidelijke perspectieven.- De betrokken personen. In het kader van onze Assurance-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
- Prospect: (contactpersonen van) een beoogde cliënt van EY;
- Cliënt: (contactpersonen van) een cliënt van EY;
- Vroegere cliënt: (contactpersonen van) een vroegere cliënt van EY;
- Klant-van-de-cliënt: klanten van een cliënt van EY;
- Betrokken personen dienstverlening: andere personen die zijn betrokken bij de uitvoering van onze dienstverlening aan de cliënt;
- Aan de cliënt verbonden personen: andere personen over wie de cliënt van EY persoonsgegevens verwerkt, welke persoonsgegevens wij dan ook verwerken voor onze dienstverlening aan de cliënt. Denk hier onder meer aan medewerkers van de cliënt, afnemers en leveranciers van de cliënt, aandeelhouders van de cliënt en de klant-van-de-klant-van-de cliënt.
- Doeleinden van de verwerking. In het kader van onze Assurance-dienstverlening verwerken wij in het algemeen voor de volgende doeleinden persoonsgegevens:
- Het benaderen, contacteren en maken van offertes voor prospects;
- Het onderhouden van contact met (voormalige) cliënten;
- Het verlenen van diensten aan (voormalige) cliënten, waaronder controle van de jaarrekening en het uitvoeren van een audit;
- Administratieve doeleinden, waaronder financieel;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. Bij het verlenen van Assurance-diensten verwerkt EY informatie die persoonsgegevens omvat, zoals salarisadministratiegegevens, verslagen van de raad van bestuur en andere documenten die betrekking hebben op de auditactiviteiten van de cliënt of gelieerde entiteiten. Voorbeelden van categorieën persoonsgegevens daarbij worden verwerkt, zijn:
- Naam, geslacht en titulatuur;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Administratienummer;
- Kenteken bedrijfswagen;
- Communicatiegegevens;
- Gegevens over gezondheid en afwezigheid, bijv. medische verklaringen en informatie over ziekteverlof, verlof of ouderschapsverlof;
- Financiële gegevens (informatie over financiële voorwaarden, zoals bankrekeninggegevens, salarisgegevens en andere voordelen, verzekeringsgegevens en het kenteken van een bedrijfswagen;
- Informatie over verzekeringen en bedrijfspensioenen.
Gevoelige gegevens:
In het kader van onze Assurance dienstverlening verwerken wij in principe niet bedoeld gevoelige informatie, anders dan voornoemde financiële gegevens en nationale identificatienummers voor zover gebaseerd op een wettelijke grondslag. Dit kan echter anders zijn al naar gelang het soort opdracht het betreft, bijvoorbeeld bij dienstverlening aan ziekenhuizen.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens voor onze Assurance-dienstverlening op één van de volgende rechtsgronden:
- Uitvoering overeenkomst. Voor zover de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een Assurance-overeenkomst waarbij de betrokken persoon partij is, baseren wij de verwerking op deze grond. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens van een individu die direct met ons een contract heeft ondertekend.
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij de uitvoering van onze dienstverlening en het nastreven van de hierboven genoemde doeleinden. Bij de Assurance-dienstverlening weegt ook het belang van de cliënt mee om diens aandeelhouders en andere partijen te informeren.
- Toestemming. Incidenteel baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Indien dat het geval is, wordt u hier apart over geïnformeerd.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
- De betrokken personen. In het kader van onze Assurance-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
-
2.4.3. Dienstverlening ➟ Tax dienstverlening
Onze Tax-dienstverlening – de fiscale advies- en aangiftepraktijk – helpt cliënten hun fiscale positie te beheersen en te voldoen aan verplichtingen op het gebied van wet- en regelgeving en rapportage. We adviseren bijvoorbeeld over de fiscale structuur die het beste past bij het profiel van cliënten en verzorgen diensten op het gebied van compliance en fiscale planning. Samen met cliënten evalueren, beoordelen en verbeteren we belastingprocessen, interne en externe controles, risicomanagement en automatisering van die processen. Ook helpen we onze cliënten in dit kader bij de keuze en implementatie van technologische vernieuwingen.- De betrokken personen. In het kader van onze Tax-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
- Prospect: (contactpersonen van) een beoogde cliënt van EY;
- Cliënt: (contactpersonen van) een cliënt van EY;
- Vroegere cliënt: (contactpersonen van) een vroegere cliënt van EY;
- Klant-van-de-cliënt: klanten van een cliënt van EY;
- Betrokken personen dienstverlening: andere personen die zijn betrokken bij de uitvoering van onze dienstverlening aan de cliënt;
- Aan de cliënt verbonden personen: andere personen over wie de cliënt van EY persoonsgegevens verwerkt, welke persoonsgegevens wij dan ook verwerken voor onze dienstverlening aan de cliënt.
- Doeleinden van de verwerking. In het kader van onze Tax-dienstverlening verwerken wij in het algemeen voor de volgende doeleinden persoonsgegevens:
- Het benaderen, contacteren en maken van offertes voor prospects;
- Het onderhouden van contact met (voormalige) cliënten;
- Het verlenen van diensten aan (voormalige) cliënten;
- Administratieve doeleinden, waaronder financieel;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In het kader van onze Tax-dienstverlening aan onze cliënten verwerken wij in het algemeen de volgende persoonsgegevens:
- Naam, geslacht en titulatuur en leeftijd/geboortedatum;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Nationaliteit en geboorteplaats;
- Burgerlijke staat en gezinssamenstelling;
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Financiële gegevens (kaartnummer, IBAN/bankrekeningnummer, bedrag, transactionele data; maar ook salaris en andere inkomstengegevens, uitgaven, bezittingen, schulden, rechten en verplichtingen, waarde woning, etc.);
- Administratienummer;
- Communicatiegegevens;
- Belastinggegevens, waaronder nationale identificatienummers en belastingaangiftebestanden: aanspraken, data ingevuld en verzonden, en opmerkingen over belastingaangiften;
- Gegevens m.b.t. belastingverevening: aanspraken, ingevulde gegevens, verrekeningsbedragen en betaalde belastingen;
- Archieven die worden gebruikt voor het verzamelen van de land-specifieke informatie over de inkomstenbelasting van de belastingbetaler (en indien nodig de gezinsleden), waaronder gegevens m.b.t. opleiding, werk, incidenteel medische gegevens, juridische geschiedenis en andere gegevens die nodig zijn bij het verlenen van de Tax-diensten;
- Werkdocumenten die worden gebruikt om cliëntinformatie te bewerken die uit archieven of andere middelen komen; loongegevens van werkgevers; inkomstenbron op basis van opdrachten en reisdata;
- Huidige, eerdere of toekomstige reisinformatie over het individu, inclusief bezochte locaties en werkdagactiviteiten die op elke locatie plaatsvonden;
- Officiële en persoonlijke documenten (geboorteaktes, huwelijksaktes, opleidingsdocumenten en diploma's en paspoortkopieën waar mogelijk zonder nationaal identificatienummer);
- Financial reporting oversight role (FROR) questionnaires;
- Onderzoeksgegevens voor vragenlijsten over financiële rapportage, met vermelding van werkstatus, werkgever- en functieomschrijving;
- Opdrachtgegevens: details over de huidige werk- en leefomstandigheden, inclusief land en stad van werkopdracht, afdeling die salaris en opdrachtkosten bekostigt;
- Immigratiegegevens: vragenlijsten voor werkvergunningen, status van werkvergunning, kopie van aanvraagformulier, kopie van werkvergunning, kopie van visum, kopie paspoort en andere immigratiedocumenten.
Gevoelige gegevens:
In het kader van onze Tax dienstverlening verwerken wij in principe niet bedoeld gevoelige informatie, anders dan (i) voornoemde financiële gegevens waaronder ook in verband met de inkeerregeling van de Belastingdienst, (ii) nationale identificatienummers bij aangiftewerkzaamheden voor natuurlijke personen en andere rapportage verplichtingen die EY heeft en voor zover gebaseerd op een wettelijke grondslag, en (iii) incidenteel ook medische gegevens in het kader van het verwerken van zorgkosten bij aangiftewerkzaamheden voor natuurlijke personen. Al naar gelang het soort opdracht het betreft, kunnen incidenteel ook andere soorten gevoelige gegevens worden verwerkt. In dat geval zal worden gewaarborgd dat ook deze verwerking in overeenstemming met de privacyregels plaatsvindt.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens voor onze Tax-dienstverlening op één van de volgende rechtsgronden:
- Uitvoering overeenkomst. Voor zover de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokken persoon partij is, baseren wij de verwerking op deze grond. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens van degene die ons contract met de cliënt heeft ondertekend.
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij de uitvoering van onze Tax-dienstverlening en het nastreven van de hierboven genoemde doeleinden. Bij de Tax-dienstverlening weegt ook het belang van de cliënt mee om hun fiscale positie te beheersen en te voldoen aan verplichtingen op het gebied van wet- en regelgeving en rapportage.
- Toestemming. Incidenteel baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Indien dat het geval is, wordt u hier apart over geïnformeerd.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust.
- De betrokken personen. In het kader van onze Tax-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
-
2.4.4. Dienstverlening ➟ Consulting
Onze Consulting-diensten – adviesdiensten – zijn met name gericht op grote, complexe strategische veranderingen, groei, optimalisatie en bescherming in diverse bedrijfssectoren en de publieke sector. Het uitgangspunt is resultaatverbetering. Thema’s zijn bijvoorbeeld de inrichting van een adequatere toeleveringsketen, beter cliëntmanagement of transformatie in de IT.- De betrokken personen. In het kader van onze Consulting-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
- Prospect: (contactpersonen van) een beoogde cliënt van EY;
- Cliënt: (contactpersonen van) een cliënt van EY;
- Vroegere cliënt: (contactpersonen van) een vroegere cliënt van EY;
- Klant-van-de-cliënt: klanten van een cliënt van EY;
- Betrokken personen dienstverlening: andere personen die zijn betrokken bij de uitvoering van onze dienstverlening aan de cliënt;
- Aan de cliënt verbonden personen: andere personen over wie de cliënt van EY persoonsgegevens verwerkt, welke persoonsgegevens wij dan ook verwerken voor onze dienstverlening aan de cliënt.
- Doeleinden van de verwerking. In het kader van onze Consulting-dienstverlening verwerken wij in het algemeen voor de volgende doeleinden persoonsgegevens:
- Het benaderen, contacteren en maken van offertes voor prospects;
- Het onderhouden van contact met (voormalige) cliënten;
- Het verlenen van diensten aan (voormalige) cliënten;
- Administratieve doeleinden, waaronder financieel;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. Bij het verlenen van Consulting-diensten verwerkt EY een breed scala aan persoonsgegevens. Wat voor persoonsgegevens het betreft hangt erg af van de specifieke dienst en de sector waarin de cliënt van de EY actief is. Het aanbieden van cyberbeveiligingsdiensten aan een bank omvat bijvoorbeeld de verwerking van andere soorten persoonsgegevens dan wanneer een cliënt in de farmaceutische sector wordt geholpen bij het bouwen van een betere manier om onderzoeksgegevens met betrekking tot de gezondheid van mensen bij te houden. Voorbeelden van categorieën persoonsgegevens die EY voor Advisory-dienstverlening worden verwerkt zijn:
- Naam, geslacht en titulatuur en leeftijd/geboortedatum;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Burgerlijke staat en gezinssamenstelling;
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Administratienummer;
- Communicatiegegevens;
- HR- en leveranciersgegevens van EY-cliënten, waaronder persoonsgegevens van werknemers of leveranciers van de cliënt, zoals naam, contactgegevens, geboortedatum, nationale identificatienummers, arbeidscontracten en servicecontracten;
- Financiële gegevens, zoals informatie over lonen en salarissen, informatie over pensioenen, uitkeringen en verzekeringen, maar bijvoorbeeld ook gegevens m.b.t. bankrekeningnummers, transacties en kredieten in het kader van de analyse van betalingstransacties voor een bank;
- Cliëntgegevens waaronder m.b.t. geslacht, bij onderzoek naar de cliëntervaring.
Gevoelige gegevens:
In het kader van onze Consulting dienstverlening verwerken wij in principe niet bedoeld gevoelige informatie, anders dan voornoemde financiële gegevens en nationale identificatienummers voor zover gebaseerd op een wettelijke grondslag. Dit kan echter anders zijn al naar gelang het soort opdracht dat het betreft; denk bijvoorbeeld aan medische gegevens die op geaggregeerd niveau worden verwerkt bij een audit van een zorgverzekeraar. In dat geval zal worden gewaarborgd dat ook deze verwerking in overeenstemming met de privacyregels plaatsvindt.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens voor onze Consulting-dienstverlening op één van de volgende rechtsgronden:
- Uitvoering overeenkomst. Voor zover de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokken persoon partij is, baseren wij de verwerking op deze grond. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens van degene die ons contract met de cliënt heeft ondertekend.
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij de uitvoering van onze Consulting-dienstverlening en het nastreven van de hierboven genoemde doeleinden. Bij de Consulting-dienstverlening weegt ook het belang van de cliënt mee om diens diensten/bedrijfsvoering te optimaliseren of anderszins te veranderen.
- Toestemming. Incidenteel baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Indien dat het geval is, wordt u hier apart over geïnformeerd.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
- De betrokken personen. In het kader van onze Consulting-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
-
2.4.5. Dienstverlening ➟ Strategy and Transactions (SaT)
Met onze Strategy and Transactions (SaT) dienstverlening helpen wij in het algemeen ondernemingen bij het creëren van maatschappelijke en economische waarde met weloverwogen beslissingen over het strategisch beheer van kapitaal en transacties. De focus ligt op de wijze waarop cliënten hun kapitaal in een snel veranderende wereld kunnen investeren, vergroten, optimaliseren en veiligstellen, zodat het vertrouwen van investeerders en andere stakeholders op peil blijft of groeit.- De betrokken personen. In het kader van onze SaT-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
- Prospect: (contactpersonen van) een beoogde cliënt van EY;
- Cliënt: (contactpersonen van) een cliënt van EY;
- Vroegere cliënt: (contactpersonen van) een vroegere cliënt van EY;
- Klant-van-de-cliënt: klanten van een cliënt van EY;
- Betrokken personen dienstverlening: andere personen die zijn betrokken bij de uitvoering van onze dienstverlening aan de cliënt;
- Aan de cliënt verbonden personen: andere personen over wie de cliënt van EY persoonsgegevens verwerkt, welke persoonsgegevens wij dan ook verwerken voor onze dienstverlening aan de cliënt.
- Doeleinden van de verwerking. In het kader van onze SaT-dienstverlening verwerken wij in het algemeen voor de volgende doeleinden persoonsgegevens:
- Het benaderen, contacteren en maken van offertes voor prospects;
- Het onderhouden van contact met (voormalige) cliënten;
- Het verlenen van diensten aan (voormalige) cliënten;
- Administratieve doeleinden, waaronder financieel;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In de eerste plaats verwerken wij in het kader van onze SaT-dienstverlening informatie over kopers, verkopers en feitelijke of potentiële targets (partij of zaak waar cliënt mogelijk in kan investeren of desinvesteren en aanverwante dienstverlening). Denk daarbij aan persoonsgegevens in het kader van de algemene loonadministratie, arbeidsovereenkomsten, pensioenregelingen, verzekeringsclaims, cliëntenlijsten, consumentencontracten en bedrijfsregisters. Voorbeelden van categorieën persoonsgegevens die EY voor SaT-dienstverlening worden verwerkt zijn:
- Naam, geslacht en titulatuur en leeftijd/geboortedatum;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Burgerlijke staat en gezinssamenstelling;
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- HR statistieken (vakantiedagen e.d.);
- Financiële gegevens (kaartnummer, IBAN/bankrekeningnummer, bedrag, salarisgegevens);
- Administratienummer;
- Communicatiegegevens.
Gevoelige gegevens:
In het kader van onze SaT-dienstverlening aan cliënten verwerken wij in principe niet bedoeld gevoelige informatie, anders dan financiële gegevens zoals salarisgegevens en polis-gegevens m.b.t. pensioenen, voor zover nodig voor het uitvoeren van onze diensten. Dit kan echter anders zijn al naar gelang het soort opdracht dat het betreft; denk bijvoorbeeld aan opdrachten in de zorgsector. Ook kunnen binnen EY Parthenon in het kader van primary research bijzondere persoonsgegevens worden verwerkt. In dergelijke gevallen zal worden gewaarborgd dat ook deze verwerking in overeenstemming met de privacyregels plaatsvindt.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens voor onze SaT-dienstverlening op één van de volgende rechtsgronden:
- Uitvoering overeenkomst. Voor zover de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokken persoon partij is, baseren wij de verwerking op deze grond. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens van een individu die direct met ons een contract heeft ondertekend.
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij de uitvoering van onze dienstverlening en het nastreven van de hierboven genoemde doeleinden. Bij de SaT-dienstverlening weegt ook het belang van de cliënt bij het strategisch beheer van kapitaal en transacties mee.
- Toestemming. Incidenteel baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Indien dat het geval is, wordt u hier apart over geïnformeerd.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
- De betrokken personen. In het kader van onze SaT-dienstverlening aan cliënten verwerken wij in het algemeen persoonsgegevens over de:
-
-
2.5 Zakelijke relaties
-
2.5.1. Door EY ingeschakelde dienstverleners
Voor het kunnen leveren van onze diensten en voor het operationeel houden van onze organisatie, maken wij gebruik van de diensten van diverse soorten dienstverleners. Denk bijvoorbeeld aan IT-dienstverleners in het kader van onze websites en software tools (EY maakt voor een groot deel gebruik van Microsoft als leverancier), en aan een facilitaire dienstverlener in het kader van de facilitaire organisatie binnen onze kantoorpanden.- De betrokken personen. Bij het inschakelen van dienstverleners door ons, verwerken wij gegevens over de volgende categorieën personen:
- Beoogde dienstverlener: (contactpersonen van) een dienstverlener die EY mogelijk wil gaan inschakelen;
- Dienstverlener: (contactpersonen van) een dienstverlener die door EY is ingeschakeld;
- Vroegere dienstverlener: (contactpersonen van) een dienstverlener die EY in het verleden heeft ingeschakeld;
- Personen betrokken bij uitvoering dienstverlening: andere personen die zijn betrokken bij de dienstverlening die een dienstverlener aan ons biedt, zoals onderaannemers;
- Personen onderwerp van uitvoering dienstverlening: andere personen over wie EY persoonsgegevens verwerkt zoals omschreven in dit Privacy Statement, waarbij de dienstverlener wordt betrokken.
- Doeleinden van de verwerking. Bij het inschakelen van dienstverleners door ons, verwerken wij voor de volgende doeleinden persoonsgegeven:
- Het benaderen van mogelijke dienstverleners;
- Het onderhouden van contact met (mogelijke/voormalige) dienstverleners;
- Het ontvangen van diensten van (mogelijke/voormalige) dienstverleners;
- Administratieve doeleinden, waaronder financieel;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Interne controle en bedrijfsvoering;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. Bij het inschakelen van dienstverleners door ons, verwerken wij bijvoorbeeld de volgende persoonsgegevens:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Nationaliteit en geboorteplaats;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Financiële gegevens (kaartnummer, IBAN/bankrekeningnummer, bedragen);
- Administratienummer;
- Communicatiegegevens.
Gevoelige gegevens:
We verzamelen niet bedoeld gevoelige persoonsgegevens over u..- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens bij het inschakelen van dienstverleners op één van de volgende rechtsgronden:
- Uitvoering overeenkomst. Voor zover de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokken persoon partij is, baseren wij de verwerking op deze grond. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens van een individu die direct met ons de dienstverleningsovereenkomst heeft ondertekend.
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij het ontvangen van de dienstverlening en het nastreven van de hierboven genoemde doeleinden.
- Toestemming. Soms baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Dit geldt bijvoorbeeld voor dienstverleners die hebben aangegeven één van onze nieuwsbrieven te willen ontvangen.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
- De betrokken personen. Bij het inschakelen van dienstverleners door ons, verwerken wij gegevens over de volgende categorieën personen:
-
2.5.2. Overige zakelijke contactpersonen
Naast persoonsgegevens die wij verwerken in het kader van het verlenen en ontvangen van diensten, verwerken wij ook anderszins persoonsgegevens over zakelijke contactpersonen (“overig zakelijk contact”). Denk bijvoorbeeld aan bezoekers van een event dat wij hebben georganiseerd en partijen met wie we samenwerken of contact mee hebben zonder dat zij diensten aan ons leveren of wij aan hen.- De betrokken personen. In het kader van “overig zakelijk contact”, verwerken wij over de volgende categorieën personen gegevens::
- (Contactpersonen bij) partijen met wie we samenwerken of waarmee we contact hebben zonder dat zij diensten aan ons leveren of wij aan hen;
- (Contactpersonen bij) partijen met wie wij anderszins zakelijk contact hebben.
- Doeleinden van de verwerking. In het kader van “overig zakelijk contact”, verwerken wij voor de volgende doeleinden persoonsgegevens:
- Het benaderen en onderhouden van contact (relatiemanagement);
- Marketing en business development;
- Onderzoek, analyse en statistiek;
- Interne controle en bedrijfsvoering;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. In het kader van overig zakelijk contact, verwerken wij bijvoorbeeld de volgende persoonsgegevens:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Nationaliteit;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Marketingvoorkeuren;
- Communicatiegegevens.
Gevoelige gegevens:
We verzamelen niet bedoeld gevoelige persoonsgegevens over u.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens in het kader van “overig zakelijk contact” op één van de volgende rechtsgronden:
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij het maken en onderhouden van contact met onze zakelijke contactpersonen, en het verder nastreven van de hierboven genoemde doeleinden.
- Toestemming. Soms baseren wij verwerking van persoonsgegevens op de (uitdrukkelijke) toestemming van de betrokken persoon. Dit geldt bijvoorbeeld voor het bijhouden van iemands voorkeuren met betrekking tot onze mailings, zoals onze nieuwsbrieven.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
Meer informatie over het verwerken van persoonsgegevens in het kader van direct marketing en events vindt u hier.
- De betrokken personen. In het kader van “overig zakelijk contact”, verwerken wij over de volgende categorieën personen gegevens::
-
-
2.6 Sollicitanten
Wanneer personen solliciteren naar een functie binnen EY, verwerken wij op de volgende wijze persoonsgegevens over hen.
- De betrokken personen. In het kader van de verwerking van persoonsgegevens van “sollicitanten”, verwerken wij persoonsgegevens van personen die solliciteren naar een functie binnen EY.
- Doeleinden van de verwerking. Van sollicitanten verwerken wij voor de volgende doeleinden persoonsgegeven:
- Het organiseren van recruitment evenementen;
- Het verwerken, beoordelen en beheren van sollicitaties;
- Het onderhouden van contact met sollicitanten;
- Het inplannen en afnemen van (online) interviews;
- Het doen van een aanbod;
- Het uitvoeren van een pre employment screening.
- Persoonsgegevens die worden verwerkt. Van sollicitanten verwerken wij onder andere de volgende persoonsgegevens:
- Naam, contactgegevens;
- CV, werkervaring, vaardigheden en opleiding;
- Informatie verkregen uit sollicitatiegesprekken en beoordelingen;
- Gebruikersnaam en wachtwoord om in te loggen in het sollicitatiesysteem;
- Gegevens die de sollicitant op vrijwillige basis verstrekt.
Gevoelige gegevens:
Gedurende de sollicitatieprocedure kan het noodzakelijk zijn om gevoelige persoonsgegevens, zoals salarisgegevens en uitkomsten van een pre employment screening, te verwerken.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens in het kader van werving en selectie op één van de volgende rechtsgronden:
- Gerechtvaardigde belangen. Ons gerechtvaardigd belang om nieuw talent aan te trekken, om sollicitaties voor functies bij EY te verwerken en te beheren, met inbegrip van het screenen en selecteren van kandidaten en het in dienst nemen van succesvolle kandidaten door het doen van een aanbod en het uitvoeren van een pre employment screening.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Bijvoorbeeld om te controleren of iemand in Nederland mag werken.
- Bewaartermijn.
- Indien sollicitant bij ons in dienst treedt zullen de relevante persoonsgegevens opgenomen worden in het personeelsdossier;
- Indien sollicitant niet wordt aangenomen zullen wij de persoonsgegevens maximaal 4 weken na het afronden van de sollicitatieprocedure bewaren, tenzij sollicitant toestemming heeft gegeven voor het bewaren van de persoonsgegevens gedurende een periode van maximaal 1 jaar.
- Indien sollicitant ervoor kiest om te worden opgenomen in de talentpool en een profiel aanmaakt in Yello of SuccesFactors worden de persoonsgegevens voor een periode van maximaal 1 jaar bewaard, welke termijn gaat lopen na een periode van inactiviteit.
-
2.7 Alumni
Wanneer personen werkzaamheden voor ons hebben verricht (al dan niet op basis van een arbeidsovereenkomst), verwerken wij op de volgende wijze gegevens over hen.
- De betrokken personen. In het kader van de verwerking van persoonsgegevens van “alumni”, verwerken wij persoonsgegevens over de volgende categorieën personen; hierna gezamenlijk aangeduid als “alumni”:
- Voormalige EY-medewerkers;
- Voormalige partners bij EY;
- Voormalige werknemers bij EY;
- Voormalige medewerkers die hun werkzaamheden voor EY als zelfstandige verrichten (ZZP’ers);
- Voormalige medewerkers die via een uitzendbureau of detacheringsbureau werkzaam zijn voor EY;
- Voormalige stagiaires, werkstudenten en vrijwilligers.
- Gegevens over (voormalige) gezinsleden van voormalige EY-medewerkers.
- Voormalige EY-medewerkers;
- Doeleinden van de verwerking. Van alumni verwerken wij voor de volgende doeleinden persoonsgegeven:
- Het vaststellen, regelen en uitbetalen van financiële aanspraken;
- Het onderhouden van contact op individueel niveau;
- Het onderhouden van algemeen contact, bijvoorbeeld via nieuwsbrieven voor alumni;
- Het organiseren van events en andere activiteiten voor alumni;
- Marketing en bedrijfsontwikkeling;
- Onderzoek, analyse en statistiek;
- Interne controle en bedrijfsvoering;
- Het afhandelen van eventuele verzoeken, klachten en geschillen;
- Het vaststellen, uitoefenen of verdedigen van onze rechten;
- Het voldoen aan wettelijke verplichtingen en beroepsregelgeving, en verzoeken van bevoegde overheidsinstanties.
- Persoonsgegevens die worden verwerkt. Van alumni verwerken wij bijvoorbeeld de volgende persoonsgegevens:
- Naam, geslacht, titulatuur en leeftijd/geboortedatum;
- Nationaliteit;
- Contactgegevens (bijv. adres, telefoonnummer, e-mailadres, website; werk en/of privé);
- Zakelijke gegevens (organisatie, functie, namen zakelijke relaties);
- Gegevens nodig in het kader van pensioen en/of andere uitkeringen waarop een alumni recht heeft;
- Gegevens over algemene communicatie (bijv. nieuwsbrieven) die alumni wensen te ontvangen;
- Gegevens over events en andere activiteiten waaraan alumni wensen deel te nemen;
- Communicatiegegevens indien met een alumni contact wordt onderhouden.
Gevoelige gegevens:
We verwerken over alumni zo min mogelijk gevoelige persoonsgegevens en alleen voor zover we ons daarbij kunnen beroepen op een toepasselijke wettelijke uitzondering.- Rechtsgrond verwerking. Wij baseren het gebruik van persoonsgegevens van alumni op één van de volgende rechtsgronden:
- Gerechtvaardigde belangen. Ons gerechtvaardigde belang bij de verwerking van persoonsgegevens over alumni zoals gespecificeerd in de hierboven genoemde doeleinden.
- Wettelijke verplichting. Soms verwerken wij persoonsgegevens niet op eigen initiatief, maar om te voldoen aan een wettelijke verplichting die op ons rust. Dit is bijvoorbeeld het geval wanneer wij persoonsgegevens langer bewaren om te voldoen aan een wettelijke bewaarplicht.
- Toestemming. Soms verwerken wij persoonsgegevens over alumni op grond van hun toestemming. Wanneer alumni zich aanmelden voor bepaalde events of communicaties, verwerken wij hun persoonsgegevens bijvoorbeeld op basis van toestemming.
- De betrokken personen. In het kader van de verwerking van persoonsgegevens van “alumni”, verwerken wij persoonsgegevens over de volgende categorieën personen; hierna gezamenlijk aangeduid als “alumni”:
-
-
3. Hoe verkrijgen wij uw persoonsgegevens?
-
3.1 Wijze van verkrijging
Wij verkrijgen uw persoonsgegevens op diverse wijze:
- Door u verstrekt. Sommige persoonsgegevens verkrijgen wij direct van uzelf. Denk hier bijvoorbeeld aan gegevens in uw berichten aan ons en de gegevens die u invult in een webformulier of online portal.
- Intern verkregen. Het kan zijn dat wij persoonsgegevens over u verkrijgen vanuit andere EY-systemen. Denk bijvoorbeeld voor cliënten aan de gegevens die zijn opgenomen in ons CRM-systeem.
- Verkregen van derde partijen. Wij kunnen ook persoonsgegevens over u verkrijgen van andere personen of externe partijen. Denk hier bijvoorbeeld aan collega’s van u of andere partijen die zijn betrokken bij onze onderlinge relatie, openbare registers van bedrijfsdirecteuren en deelnemingen, kredietinformatiebureaus en berichtgeving in de publieke media.
- Automatisch verkregen. Sommige persoonsgegevens verkrijgen wij automatisch, bijvoorbeeld door gebruikmaking van cookies en vergelijkbare technieken. Zie over cookies en vergelijkbare technieken nader het EY Cookiebeleid.
- Afgeleid. Bepaalde persoonsgegevens verkrijgen wij niet direct, maar kunnen wij afleiden uit de gegevens waarover wij wel reeds beschikken. Denk bijvoorbeeld aan gegevens over uw voorkeuren en interesses.
-
3.2 Verplichte verstrekking persoonsgegevens
In principe bent u niet verplicht enige informatie over uzelf aan ons te verstrekken. Wel kan het zo zijn dat het niet verstrekken van bepaalde gegevens een negatieve invloed heeft op bijvoorbeeld onze dienstverlening aan u of de functionaliteit van onze diensten die u gebruikt. Zo kan uw handtekening vereist zijn voor het aangaan van een overeenkomst en werken bepaalde onderdelen van onze websites minder goed wanneer cookies worden geblokkeerd.
Indien het verstrekken van bepaalde persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst met ons te sluiten, dan zullen we hierover apart informeren voor zover dat niet op voorhand duidelijk is. Ook zullen wij u dan op de hoogte stellen van de mogelijke gevolgen wanneer deze gegevens niet worden verstrekt.
-
-
4. Met wie delen wij uw persoonsgegevens?
-
4.1 Voorwaarden voor het delen van uw persoonsgegevens
Derde-partijen mogen persoonsgegevens over u die wij met hen delen niet gebruiken voor hun eigen direct marketing doeleinden. Daarbij delen wij uw persoonsgegevens alleen met derde partijen als:
- Dit noodzakelijk is voor de dienstverlening of betrokkenheid van de derde partij. Onderaannemers krijgen bijvoorbeeld in principe alleen toegang tot de persoonsgegevens die zij nodig hebben voor hun deel van de dienstverlening.
- De personen die binnen deze derde partij toegang hebben tot de persoonsgegevens, verplicht zijn om de persoonsgegevens vertrouwelijk te behandelen. Waar nodig is dit contractueel ook zo afgesproken.
- Deze derde partij verplicht is om te voldoen aan de toepasselijke regelgeving op het gebied van persoonsgegevensbescherming, bijvoorbeeld omdat wij met deze partij een overeenkomst hebben gesloten of omdat onze Algemene Voorwaarden van toepassing zijn. Dit houdt onder meer in dat vereist is dat deze partij passende technische en organisatorische beveiligingsmaatregelen treft, en dat eventuele doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte adequaat wordt gelegitimeerd.
-
4.2 Partijen met wie wij uw persoonsgegevens delen
Wij kunnen uw persoonsgegevens op need-to-know-basis delen met de onderstaande partijen. “Need-to-know” houdt daarbij in dat een partij alleen toegang krijgt tot persoonsgegevens als en voor zover dat nodig is voor de werkzaamheden die deze partij uitvoert.
- Daartoe geautoriseerde personen, werkzaam voor de relevante EY-entiteit, die zijn betrokken bij desbetreffende verwerkingsactiviteit. Denk onder meer aan de leden van het team waarmee u contact heeft.
- Daartoe geautoriseerde personen, werkzaam voor gelieerde entiteiten binnen het EY-netwerk, die zijn betrokken bij desbetreffende verwerkingsactiviteit. Denk onder meer aan helpdesk medewerkers.
- Daartoe geautoriseerde personen, werkzaam voor door EY ingeschakelde dienstverleners / onderaannemers, die zijn betrokken bij desbetreffende verwerkingsactiviteit. Denk onder meer aan service providers en aanbieders van diensten voor identiteitscontrole.
- Daartoe geautoriseerde personen, werkzaam voor een partij die tevens betrokken is bij de verwerking van uw persoonsgegevens. Denk hier aan verzekeraars en professionele adviseurs, zoals advocatenkantoren, belastingadviseurs of accountants.
- Bevoegde overheidsinstanties. Denk onder meer aan rechtbanken, politie, wetshandhavingsinstanties, belasting-, douane- en accijnsautoriteiten, en audit-regulatoren.
-
-
5. Hoe beveiligen wij uw persoonsgegevens?
-
5.1 Beveiligingsmaatregelen
Wij vinden bescherming van uw privacy en persoonsgegevens zeer belangrijk. EY heeft daarom passende technische en organisatorische maatregelen geïmplementeerd ter bescherming en beveiliging van persoonsgegevens, om inbreuken op de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens te voorkomen. Alle EY-medewerkers en andere personen die door EY worden ingeschakeld voor het verwerken van de persoonsgegevens, zijn daarbij verplicht om de vertrouwelijkheid van de persoonsgegevens te respecteren.
-
5.2 Beleid
EY heeft intern beleid en procedures waarin nader is beschreven hoe wij een passend niveau van technische en organisatorische beveiliging waarborgen. Daarnaast geldt binnen EY een procedure datalekken, waarin uiteen is gezet hoe wij omgaan met (mogelijke) datalekken. Zo zullen wij bijvoorbeeld de bevoegde toezichthouder en getroffen betrokkenen informeren wanneer dit vereist is onder het toepasselijke recht.
Meer informatie over de manier waarop wij uw persoonsgegevens beschermen is te vinden in de brochure “Protecting your data” (Engelstalig), zie deze link.
-
-
6. Naar welke landen geven wij uw persoonsgegevens door?
-
6.1 Doorgifte
Partijen die betrokken zijn bij de verwerking van uw persoonsgegevens zijn mogelijk gevestigd in een ander land. Dit kunnen externe partijen zijn of andere entiteiten binnen het EY-netwerk. Als deze partijen buiten de Europese Economische Ruimte (EER) zijn gevestigd, wordt de doorgifte op de hieronder weergegeven manier gelegitimeerd.
Zie deze link voor een overzicht van de EER-landen.
-
6.2 Doorgifte buiten de EER maar binnen het EY-netwerk
Wij hebben diverse passende technische en organisatorische maatregelen getroffen om de beveiliging en integriteit van gegevens te waarborgen die worden doorgegeven binnen het EY-netwerk. Zo heeft EY in de eerste plaats bindende bedrijfsvoorschriften (Binding Corporate Rules; “BCRs”) geïmplementeerd, op grond waarvan de mondiale doorgifte binnen het EY-netwerk van persoonsgegevens vanuit de EER gelegitimeerd is onder het Europese privacyrecht. Op grond van de BCRs gelden dezelfde vereisten op het gebied van gegevensbescherming voor alle entiteiten binnen het EY-netwerk. U kunt de BCRs raadplegen via deze link.
-
6.3 Doorgifte buiten de EER en buiten het EY-netwerk
Doorgifte van uw persoonsgegevens naar een derde partij buiten de EER kan in de eerste plaats gelegitimeerd zijn op basis van een adequaatheidsbesluit van de Europese Commissie, op grond waarvan is vastgesteld dat desbetreffend (deel binnen het) derde land een passend niveau van gegevensbescherming biedt. Zie deze link voor een overzicht van de geldende adequaatheidsbesluiten.
Als uw persoonsgegevens worden doorgegeven naar een land buiten de EER waarvoor geen adequaatheidsbesluit geldt, wordt door ons een toepasselijk modelcontract (Standard Contractual Clauses) overeengekomen met de relevante partij. Dit is een standaard contract om de bescherming van uw persoonsgegevens te waarborgen, dat is goedgekeurd door de Europese Commissie, waarvan de bijlagen door partijen worden ingevuld. Zie deze link voor de diverse modelcontracten.
U kunt contact met ons opnemen als u aanvullende informatie wenst te ontvangen over de manier waarop wij doorgifte van uw persoonsgegevens naar landen buiten de EER legitimeren. Onze contactgegevens staan onderaan dit Privacy Statement.
-
-
7. Hoe bepalen wij hoelang wij uw persoonsgegevens bewaren?
-
7.1 Hoofdregel
In principe bewaren wij uw persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor we de persoonsgegevens verwerken. Op de algemene bewaartermijnen kunnen echter uitzonderingen gelden.
-
7.2 Uitzondering: andere bewaartermijn
Als u bepaalde privacyrechten uitoefent kan het zijn dat EY uw persoonsgegevens eerder verwijdert dan de algemene regel is op basis van het bewaarbeleid, of juist langer bewaart. Zie voor meer informatie daarover het kopje hieronder getiteld “Wat zijn uw privacyrechten”?
-
7.3 Uitzondering: langere bewaartermijn
In bepaalde situaties verwerken wij uw persoonsgegevens langer dan noodzakelijk is voor het doel van de verwerking. Dit is bijvoorbeeld het geval wanneer wij uw persoonsgegevens langer moeten verwerken:
- Bewaarplicht. Om te voldoen aan een minimale bewaartermijn of andere wettelijke verplichting die op ons rust op basis van EU-recht of het recht van een EU-lidstaat;
- Procedure. uw persoonsgegevens nodig zijn in het kader van een juridische procedure; of
- Vrijheid van meningsuiting. Wanneer verdere verwerking van uw persoonsgegevens noodzakelijk is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie.
-
7.4 EY bewaarbeleid
-
-
8. Wat zijn uw privacyrechten?
Op basis van de Algemene Verordening Gegevensbescherming (“AVG”; (EU) 2016/679) heeft u diverse privacyrechten. In hoeverre u deze rechten kunt uitoefenen, kan afhangen van de omstandigheden van de verwerking, zoals de manier waarop EY de persoonsgegevens verwerkt en de juridische grondslag daarvoor. Als een specifiek Privacy Statement van toepassing is, kan dit daarin nader zijn gespecificeerd. In andere gevallen zult u hierover afzonderlijk door ons worden geïnformeerd, bijvoorbeeld wanneer u hierover contact met ons opneemt of in reactie op een verzoek tot uitoefening van een privacyrecht.
Hieronder hebben wij een overzicht van uw privacyrechten onder de AVG opgenomen. Zie voor meer informatie hierover deze webpagina van de Autoriteit Persoonsgegevens, de toezichthouder op privacygebied in Nederland.
-
8.1 Een omschrijving van uw privacyrechten
-
8.1.1 Recht op toestemming in te trekken
Indien EY uw (uitdrukkelijke) toestemming heeft gevraagd en gekregen voor bepaalde verwerking van uw persoonsgegevens, kunt u die toestemming op elk moment weer intrekken. Het intrekken van uw toestemming heeft geen invloed op de rechtmatigheid van de verwerking voordat u uw toestemming introk. Het gevolg van het intrekken van uw toestemming is dat EY deze persoonsgegevens niet meer zal verwerken voor het doel waarvoor u toestemming verleende. Wel kan het zo zijn dat EY de persoonsgegevens nog voor een ander doel blijft verwerken, zoals voor de uitvoering van een overeenkomst met u of om te voldoen aan een minimale bewaartermijn. Indien dat het geval is, wordt u daarover geïnformeerd.
-
8.1.2 Recht van inzage
U heeft het recht om inzage te krijgen in de manier waarop wij uw persoonsgegevens verwerken. U heeft daarmee in de eerste plaats recht op een kopie van de persoonsgegevens, alhoewel in principe niet op een kopie van de stukken waarin deze persoonsgegevens zijn opgenomen. In de tweede plaats heeft u recht op nadere informatie over de manier waarop wij uw persoonsgegevens verwerken. Denk bijvoorbeeld aan de doeleinden waarvoor wij uw persoonsgegevens verwerken, hoe wij hier aan komen, en met wie wij deze delen.
-
8.1.3 Recht op rectificatie
Het recht op rectificatie houdt in dat u er onder omstandigheden recht op heeft dat EY uw persoonsgegevens wijzigt of aanvult. U heeft dit recht wanneer wij persoonsgegevens over u verwerken die:
- feitelijk onjuist zijn;
- onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld; of
- op een andere manier in strijd met een toepasselijke wet worden gebruikt.
Het rectificatierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee u het niet eens bent. Wel kan EY in dat geval overwegen om uw mening hierover toe te voegen aan de persoonsgegevens.
-
8.1.4 Recht op gegevenswissing
Onder omstandigheden heeft u er recht op dat wij persoonsgegevens die wij over u verwerken wissen. U kunt dit recht hebben in de volgende gevallen:
- Toestemming ingetrokken. Wij verwerkten de persoonsgegevens op basis van uw (uitdrukkelijke) toestemming, maar u heeft deze toestemming ingetrokken.
- Succesvol bezwaar. U heeft succesvol bezwaar gemaakt tegen de verwerking van deze persoonsgegevens door EY (zie hieronder over het recht van bezwaar).
- Gegevens niet meer nodig. EY heeft uw persoonsgegevens niet meer nodig voor de doeleinden waarvoor EY deze verwerkte.
- Onrechtmatige verwerking. EY verwerkt uw persoonsgegevens onrechtmatig, bijvoorbeeld omdat EY hiervoor geen geldige grondslag (meer) heeft.
- Verplichte wissing. De persoonsgegevens moeten door EY worden gewist om te voldoen aan een wettelijke verplichting.
- Apps en websites bij kinderen. De persoon over wie de gegevens gaan is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (“dienst van de informatiemaatschappij”).
-
8.1.5 Recht op beperking van de verwerking
Het recht op beperking van de verwerking houdt in dat EY persoonsgegevens over u op uw verzoek wel blijft opslaan, maar daar in principe verder niets mee mag doen. U heeft dit recht kort gezegd wanneer EY geen rechtsgrond (meer) heeft voor de verwerking van uw persoonsgegevens of als dit ter discussie staat. Meer precies geldt dit recht in de volgende situaties:
- De verwerking is onrechtmatig. EY mag bepaalde persoonsgegevens over u niet (meer) verwerken, maar u wilt niet dat EY de gegevens wist. Bijvoorbeeld omdat u deze gegevens later nog wilt opvragen.
- Persoonsgegevens zijn niet meer nodig. EY heeft persoonsgegevens over u niet meer nodig voor het doel waarvoor EY deze verwerkte, maar u heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld in het kader van een geschil.
- Aanhangig bezwaar. U heeft bezwaar ingediend tegen de verwerking door EY van persoonsgegevens over u (zie hieronder over het recht van bezwaar). Tijdens de periode dat wij uw bezwaar beoordelen mogen wij deze persoonsgegevens op uw verzoek niet verder verwerken.
- Betwisting juistheid persoonsgegevens. U betwist de juistheid van bepaalde persoonsgegevens die wij over u verwerken (bijvoorbeeld via uw recht op rectificatie; zie hierboven). Tijdens de periode dat wij de betwisting beoordelen mogen wij deze persoonsgegevens op uw verzoek niet verder verwerken.
-
8.1.6 Recht op overdraagbaarheid van gegevens
Het recht op overdraagbaarheid van gegevens wordt ook wel het recht op dataportabiliteit genoemd. Dit recht houdt in dat EY persoonsgegevens over u onder omstandigheden moet verstrekken in een vorm waarmee u er iets mee kunt (“een gestructureerde, gangbare en machineleesbare vorm”). U kunt daarbij aangeven of u deze persoonsgegevens graag zelf ontvangt, of dat u er de voorkeur aan geeft dat EY deze persoonsgegevens direct doorgeeft aan een andere partij die u daarvoor aanwijst.
-
8.1.7 Recht van bezwaar
U kunt bezwaar maken tegen verwerking door EY van persoonsgegevens over u. Onder omstandigheden dient EY aan dit bezwaar gehoor te geven. EY zal deze persoonsgegevens dan niet meer verwerken voor het doel waartegen u bezwaar heeft gemaakt. Wel kan het zo zijn dat EY de persoonsgegevens nog voor een ander doel blijft verwerken, zoals voor de uitvoering van een overeenkomst met u of om te voldoen aan een minimale bewaartermijn. Indien dat het geval is, wordt u daarover geïnformeerd.
Wanneer wij uw persoonsgegevens verwerken voor direct marketing doeleinden, zullen wij altijd voldoen aan een bezwaarverzoek. Denk hier bijvoorbeeld aan het afmelden voor nieuwsbrieven of andere direct marketing communicatie.
-
8.1.8 Recht m.b.t. geautomatiseerde individuele besluitvorming
Betrokkenen hebben onder omstandigheden het recht om niet te worden onderworpen aan een besluit dat uitsluitend gebaseerd is op een geautomatiseerde verwerking, zonder menselijke tussenkomst. Ook profilering kan hieronder vallen. Betrokkenen hebben dit recht wanneer voor hen aan het geautomatiseerde besluit rechtsgevolgen zijn verbonden of wanneer dat hen anderszins in aanmerkelijke mate treft. Het verbod is van toepassing, ongeacht of de betrokkene dit recht al dan niet actief uitoefent.
-
8.1.9 Klachtrecht
U heeft altijd het recht om een klacht in te dienen bij een bevoegde toezichthouder wanneer u vindt dat sprake is van een privacy-inbreuk. Het gaat dan met name om de toezichthouder op privacygebied in het land binnen de Europese Economische Ruimte:
- waar u gewoonlijk verblijft;
- waar u werkt; of
- waar de beweerde privacy-inbreuk is begaan.
De contactgegevens van deze toezichthouders kunt u vinden op deze webpagina.
Het klachtrecht geldt onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte. Daarbij dient de toezichthoudende autoriteit waarbij de klacht is ingediend, u te informeren over de voortgang en het resultaat van uw klacht, en van een mogelijke voorziening in rechte.
-
-
8.2 Het gebruiken van uw privacyrechten
U kunt uw privacyrechten gebruiken door contact met ons op te nemen via de onderstaande contactgegevens. Wij verzoeken u om daarbij de volgende informatie te vermelden:
- Uw volledige voor- en achternaam.
- Een omschrijving van wat u verzoekt. Wilt u dat wij persoonsgegevens over u wissen, of wilt u juist dat we deze blijven bewaren maar u daarvan ook een kopie geven? Bij het omschrijven van uw verzoek mag u verwijzen naar de privacyrechten die wij hierboven hebben omschreven, maar dat hoeft niet. Als u niet zelf noemt welk privacyrecht u gebruikt, dan zullen wij dat voor u invullen.
- Een omschrijving van waarover uw verzoek gaat. Gaat het bijvoorbeeld om gebruik van uw financiële gegevens voor diverse doeleinden? Of gaat het juist om gebruik van al uw persoonsgegevens maar alleen voor marketingdoeleinden? Hoe duidelijker u omschrijft waarover uw verzoek gaat, hoe beter wij dit verzoek kunnen afhandelen.
-
8.3 Nadat u een verzoek hebt ingediend
Nadat u een verzoek bij ons hebt ingediend waarin u aangeeft een privacyrecht te willen uitoefenen, ontvangt u eerst een ontvangstbevestiging van ons. Vervolgens kan het zo zijn dat wij vragen om aanvullende informatie, bijvoorbeeld om uw identiteit te verifiëren. Een andere mogelijkheid is dat wij direct inhoudelijk op uw verzoek reageren. Wij geven dan aan of wij wel of niet voldoen aan uw verzoek, en – zo nee – waarom niet.
Wij handelen alle privacyverzoeken onverwijld en in principe uiterlijk binnen één maand na ontvangst af. Toch kan het zo zijn dat wij langer de tijd nodig hebben, bijvoorbeeld gezien de complexiteit en het aantal verzoeken dat wij ontvangen. In dat geval informeren wij u dat wij tot maximaal twee maanden extra de tijd nodig hebben. Wij informeren u hierover zo spoedig mogelijk en uiterlijk een maand na ontvangst van uw verzoek en zullen dan uiterlijk binnen drie maanden na ontvangst van uw verzoek daar inhoudelijk op reageren.
-
-
9. Wie is verantwoordelijk voor de verwerking van uw persoonsgegevens?
-
9.1 Verantwoordelijke EY-entiteit
Dit Privacy Statement informeert over verwerking van uw persoonsgegevens waarvoor de in Nederland gevestigde entiteiten van het EY-netwerk van Ernst & Young Global Limited (afzonderlijk of gezamenlijk: "EY", “wij”, “ons” en "onze") (mede) verantwoordelijk zijn. Een lijst van de entiteiten waarom het gaat is raadpleegbaar via deze link. Welke van deze entiteiten (mede/hoofdzakelijk) verantwoordelijk is voor de verwerking van uw persoonsgegevens, hangt af van de situatie. Vaak zijn meerdere EY-entiteiten betrokken, bijvoorbeeld omdat de ene EY-entiteit gebruik maakt van systemen/diensten die door een andere EY-entiteit zijn ontwikkeld.
In het algemeen geldt onderstaande:
Categorie verwerking
Betrokken persoon
(Hoofdzakelijke) verantwoordelijke EY-entiteit
EY Interne processen
Bezoekers EY-kantoren
EY-entiteit waarvoor de bezoeker op bezoek komt
Deelnemers EY-activiteiten (vergaderingen, conferenties, evenementen en leersessies, e.d.)
EY-entiteit die een EY activiteit organiseert
Personen over wie persoonsgegevens worden verwerkt in het kader van onze interne processen
EY-entiteit verantwoordelijk voor de verwerking van persoonsgegevens waaraan de verwerking voor interne processen is gekoppeld
EY Marketing activiteiten
Websitebezoekers
EY-entiteit die domeinhouder van de website is en de website beheert
App-gebruikers
EY-entiteit die de app heeft ontwikkeld en beheert
Social media-gebruikers
EY-entiteit die de social media account beheert of de website/app waarin de social media button is geïntegreerd
EY Marketing activiteiten
Prospects, cliënten of (potentiële) deelnemers EY-activiteiten
EY-entiteit die de EY-dienst aanbiedt of de EY- activiteit organiseert
EY-dienstverlening
Prospects en (vroegere) cliënten
EY-entiteit met wie (mogelijk) een contract wordt gesloten of is gesloten
Klant van de cliënt
EY-entiteit met wie de cliënt een contract heeft gesloten
Personen betrokken bij uitvoering dienstverlening
EY-entiteit met wie de cliënt een contract heeft gesloten
Aan de cliënt verbonden personen
EY-entiteit met wie de cliënt een contract heeft gesloten
Overige zakelijke relaties
(Beoogde/vroegere) dienstverlener
EY-entiteit met wie de dienstverlener een contract heeft gesloten of mogelijk zal sluiten
Personen betrokken bij uitvoering dienstverlening
EY-entiteit met wie de dienstverlener een contract heeft gesloten
Personen onderwerp van uitvoering dienstverlening
EY-entiteit met wie de dienstverlener een contract heeft gesloten
Personen aangemeld voor nieuwsbrieven of andere communicatie
EY-entiteit uit wiens naam de communicatie wordt verzonden
(Contactpersonen bij) partijen met wie we samenwerken of waarmee we contact hebben zonder dat zij diensten aan ons leveren of wij aan hen
EY-entiteit die contact heeft met desbetreffende partij
(Contactpersonen bij) partijen met wie wij anderszins zakelijk contact hebben
EY-entiteit die contact heeft met desbetreffende partij
Alumni
Voormalige EY-medewerkers en (voormalige) gezinsleden van voormalige EY-medewerkers
EY-entiteit die het contact met alumni onderhoudt/organiseert
Bij het indienen van vragen of verzoeken hoeft u niet eerst zelf uit te zoeken welke EY-entiteit verantwoordelijk is voor de verwerking van persoonsgegevens waar het u om gaat. Als u het verzoek via onderstaande contactgegevens indient, zorgen wij voor de juiste doorgeleiding daarvan.
-
9.2 EY als verwerker
Soms verwerken wij in het kader van onze dienstverlening ook persoonsgegevens ten behoeve van een cliënt. In dat geval is deze cliënt voor de verwerking van uw persoonsgegevens verantwoordelijk, en niet wij. Wel blijven wij dan verantwoordelijk voor de verwerking van uw persoonsgegevens in het kader van onze interne processen.
-
-
10. Hoe kunt u contact met ons opnemen?
Als u vragen of opmerkingen heeft over onze verwerking van uw persoonsgegevens, kunt u contact opnemen met onze Functionaris Gegevensbescherming (FG) per e-mail via privacy.nl@nl.ey.com of telefonisch via 088-4078895. De FG is onze “interne toezichthouder” op het gebied van gegevensbescherming. Zie deze webpagina van de Autoriteit Persoonsgegevens voor meer uitleg over de rol en functie van de FG.
-
11. Wijzigingen
Van tijd tot tijd kunnen wij dit Privacy Statement wijzigen. De laatste versie is altijd te raadplegen via deze pagina. Over belangrijke wijzigingen wordt extra geïnformeerd.