UITSLUITEND DE NVH LEDEN WERKEN BINDEND VOLGENS DE GEDRAGSCODE:

BIS Consumerdata Bureau voor Kredietinformaties W.G.J. Jansen B.V. Dun & Bradstreet B.V. Experian Nederland B.V. Graydon Nederland B.V.

I.S. Nederland B.V. Informatiebureau "Nobel" Informatieteam B.V. Modint B.V. Risk Solutions

Overwegingen

De Nederlandse Vereniging van (Handels)informatiebureaus, verder te noemen De vereniging,

in overweging nemende,

• dat de Wet bescherming persoonsgegevens (Stb. 2000, 302) regels stelt inzake de bescherming van persoonsgegevens;
• dat deze wet direct voortvloeit uit de Europese Richtlijn 95/46/EC die beoogt waarborgen te geven ter bescherming van de fundamentele rechten en vrijheden, inzonderheid het recht op bescherming van de persoonlijke levenssfeer;
• dat artikel 25 van voornoemde wet de mogelijkheid biedt aan een organisatie, gelet op de bijzondere kenmerken van de sector van de samenleving waarin die organisatie werkzaam is, een gedragscode op te stellen indien de organisatie voldoende representatief is voor die sector;
• dat ondernemingen, werkzaam op het gebied van het verstrekken van (handels)informatie in het kader van hun bedrijfsuitoefening gegevens verwerken over rechtspersonen en/of natuurlijke personen en het belangrijk vinden dat met die (persoons)gegevens zorgvuldig wordt omgegaan;
• dat deze ondernemingen met betrekking tot deze verwerking volledige openheid willen betrachten teneinde de doorzichtigheid voor alle betrokkenen te maximaliseren;
• dat de vereniging, als representatieve vereniging die de belangen behartigt van (handels)informatiebureaus met vestiging in Nederland en een gezamenlijk marktaandeel van meer dan 90%, het dienstig acht ter concretisering van en in aanvulling op de wet bindende regels te stellen in de vorm van een gedragscode voor de in deze sector werkzame leden van de vereniging;
• dat de vereniging de Gedragscode heeft aangepast aan de Wet bescherming persoonsgegevens, waarvoor op 14 augustus 2003 een goedkeurende verklaring is afgegeven door het College bescherming persoonsgegevens (CBP) voor een periode van vijf jaar;
• dat de vereniging op grond van de ervaringen uit de praktijk van (handels)informatiebureaus de gedragscode op onderdelen heeft aangepast en daarvoor opnieuw de goedkeuring van het CBP heeft gevraagd, maar dat het CBP deze niet heeft verleend;
• dat de vereniging nochtans van mening is dat het vaststellen van een gedragscode die bindend is voor de aangesloten leden een duidelijke meerwaarde heeft, in het bijzonder door de instellening van een Raad van Advies,

heeft gelet op:

• de Wet bescherming persoonsgegevens (Stb.2000, 302)

besloten dat de navolgende gedragscode, na goedkeuring door de leden in een buitengewone ledenvergadering van 25 maart 2009, bindend is voor haar leden.


Paragraaf 1: Algemene Bepalingen


Artikel 1: Begripsbepaling

In deze gedragscode wordt verstaan onder:

• de wet : Wet bescherming persoonsgegevens (Stb. 2000, 302);
  
  
• persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
  
  
• verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
  
  
• bestand: elk gestructureerd geheel van (persoons)gegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen en/of zaken;
  
  
• verantwoordelijke: het (handels)informatiebureau, dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
  
  
• bewerker: degene die ten behoeve van het (handels)informatiebureau persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen;
  
  
• betrokkene: degene op wie een persoonsgegeven betrekking heeft;
  
  
• derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
  
  
• ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
  
  
• derde land: een land gelegen buiten de Europese Economische Ruimte (EER);
  
  
• toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
  
  
• vereniging: De Nederlandse Vereniging van (Handels)informatiebureaus (NVH);
  
  
• College bescherming persoonsgegevens: het College als bedoeld in artikel 51 van de wet;
  
  
• verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
  
  
• verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens;
  
  
• (handels)informatiebureau: een onderneming die zich bedrijfsmatig en/of voor commerciële doeleinden bezig houdt met het verwerken van gegevens over natuurlijke en/of rechtspersonen; daarbij richt een handelsinformatiebureau zich vooral, doch niet uitsluitend, op rechtspersonen en informatiebureaus zich vooral, doch niet uitsluitend, op natuurlijke personen.
  
  
• opdrachtgever: de natuurlijke of rechtspersoon die het (handels)informatiebureau opdracht heeft gegeven om (persoons)gegevens te verwerken;
  
  
• credit-scoring: geautomatiseerde verwerking van zakelijke en/of persoonsgegevens, eventueel gecombineerd met statistische- en/of demografische gegevens op postcodeniveau teneinde middels een logisch en transparant rekenmodel met wegingsfactoren een kredietprofiel te schetsen;
  
  
• Raad van Toezicht: de onafhankelijke raad als ingesteld bij artikel 5 van de statuten van de vereniging en belast met de afhandeling van klachten en geschillen.
  
  

Paragraaf 2: Principes van de gegevensverwerking

Artikel 2: Omschrijving van de sector

• De gedragscode is van toepassing op (handels)informatiebureaus die lid zijn van de Nederlandse Vereniging van (Handels)informatiebureaus.
  
  
• Leden kunnen zijn natuurlijke of rechtspersonen (met vestiging in Nederland) werkzaam als (handels)informatiebureau in Nederland, die zich als zodanig bezighoudt met het bedrijfsmatig ten behoeve van derden verwerken van (persoons)gegevens over:
  • bedrijven en instellingen of
  • particulieren.

Artikel 3: Doel van de verwerking van persoonsgegevens

• De leden van de vereniging verwerken persoonsgegevens met als doel het verstrekken van gegevens over natuurlijke en/of rechtspersonen, al dan niet samengevat in een creditscore, ter ondersteuning van de voorbereiding en/of afwikkeling van door opdrachtgevers te nemen beslissingen over:
  • het selecteren van potentiële handelspartners;
  • het al dan niet aangaan resp. continueren van handelstransacties;
  • het vaststellen van condities waaronder deze transacties plaatsvinden, met name bij het leveren op krediet of het verstrekken van (handels)kredieten;
  • het beëindigen van handelsrelaties;
  • het bepalen van verhaalsmogelijkheden en kredietwaardigheid;
  • het uitzoeken van contactinformatie;
  • de juistheid van opleidingen, diploma’s en cv’s van (potentiële) personeelsleden in het kader van pre- en inemployment screening;
  
  
  
• De hiergenoemde doeleinden bieden de rechtmatige grondslag voor de verwerking, aangezien de verwerking van persoonsgegevens noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. Daarbij zal dit belang worden afgewogen tegen het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer. Indien het belang van de betrokkene prevaleert zal de verwerking worden beëindigd.
  
  
• Indien persoonsgegevens worden verwerkt in het kader van pre- en inemployment screening geschiedt dit met de uitdrukkelijke toestemming van de betrokkene, hetgeen tot uitdrukking komt in een door de betrokkene verleende machtiging.
  
  
• Indien een lid de persoonsgegevens mede verwerkt voor marketingdoeleinden kan betrokkene daartegen te allen tijde kosteloos verzet aantekenen. In geval van verzet treft het lid maatregelen om deze vorm van verwerking terstond te beëindigen. Het lid zal betrokkene telkens wanneer hij zich voor marketing doeleinden met een boodschap tot de betrokkene wendt, deze wijzen op de mogelijkheid van verzet.

Artikel 4: Wijze van verkrijgen van gegevens

• De verwerkte gegevens kunnen, met inachtneming van de beginselen van behoorlijkheid en zorgvuldigheid afkomstig zijn:
  • van of namens de betrokkene;
  • van derden die als opdrachtgevers met de betrokkene een financiële of zakelijke relatie onderhouden of hebben onderhouden en die deze gegevens in het kader van het doel van de verwerking hebben verstrekt;
  • van derden die met de betrokkene een arbeidsrechtelijke relatie onderhouden of hebben onderhouden en die deze gegevens met toestemming van de betrokkene in het kader van het doel van de verwerking hebben verstrekt;
  • andere bronnen als buren, naamgenoten, verenigingen e.d., uitsluitend voor zover het gegevens betreft omtrent adres, telefoonnummers en andere gegevens die noodzakelijk zijn om een betrokkene te kunnen benaderen;
  • uit openbare registers zoals Handelsregister van de Kamers van Koophandel (in al haar leverings- en verschijningsvormen); VRIS, Jaarrekeningensysteem van Vereniging Kamers van Koophandel (VVK); Kadaster; Centraal Insolventieregister (CIR); Curatele Register;
  • openbare bronnen, zoals Griffies der Arrondissementsrechtbanken (faillissementen, surséances van betaling, schuldsaneringen); Nederlandse Staatscourant; dag-, week-, maand- en vakbladen; telefoonboeken; internet;
  • documentverificatie- en signaleringsregisters;
  • internationale equivalenten van bovenomschreven bronnen;
  • door combinatie van op de betrokkene betrekking hebbende gegevens.
  
  
  
• De verwerking van persoonsgegevens geschiedt zodanig dat er uit kan blijken van welke aard de bron is waaruit de gegevens zijn verkregen.

Artikel 5: Verwerkte persoonsgegevens

• Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op het doel waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
  
  
• De navolgende soorten persoonsgegevens kunnen worden verwerkt:
  
  • naam, adres, postbusnummer, postcode, woonplaats, geboortedatum of leeftijd, geboorteplaats of geboorteland, geslacht, burgerlijke staat, gezinssamenstelling, titulatuur, telefoonnummer, telexnummer, faxnummer, e-mail adres en andere voor identificatie en communicatie van belang zijnde gegevens;
  • huidige en vroegere functies, beroep en/of zakelijke activiteiten;
  • naam van huidige en vorige werkgevers;
  • overzicht van inkomen, schulden en bezittingen waaronder roerende en onroerende goederen;
  • gegevens met betrekking tot solvabiliteit, kredietwaardigheid en betalingsgedrag;
  • gerechtelijke aankondigingen, zoals executoriaal beslag, dagvaardingen en betekening van vonnissen;
  • gerechtelijke vonnissen terzake van faillissement, surséance van betaling en schuldsaneringen ingevolge Nederlandse en buitenlandse wetgeving, zoals de Wet Schuldsanering Natuurlijke Personen (WSNP);
  • andere voor het doel van de verwerking noodzakelijke gegevens.
  
  
  
• De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en de volledigheid van de verwerkte persoonsgegevens.
  
  
• Indien er een redelijk vermoeden bestaat dat de persoonsgegevens niet meer up-to-date zijn, dient de verantwoordelijke deze persoonsgegevens op hun juistheid te onderzoeken en zonodig te verbeteren, aan te vullen, te verwijderen dan wel af te schermen.

Artikel 6: Bijzondere gegevens

• Er worden geen persoonsgegevens verwerkt betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging.
  
  
• De bepalingen in het eerste lid zijn niet van toepassing:
  • indien de gegevens worden verstrekt door of namens de betrokkene en deze noodzakelijk zijn voor het doel van de verwerking;
  • voor zover het gegevens omtrent ras betreft, indien de gegevens onvermijdelijk zijn met het oog op de identificatie van de betrokkene.
  
  
  
• Gegevens van strafrechtelijke of tuchtrechtelijke aard worden in het algemeen niet verwerkt. Hiervan zijn evenwel uitgezonderd gegevens aangaande financieel-economische delicten (zoals o.m. fraude, flessentrekkerij, oplichting en valsheid in geschrifte) voor zover slechts afkomstig uit openbare bronnen en voorzover hun vastlegging noodzakelijk is voor een verantwoorde uitoefening van het (handels)informatiebureau. Het informatiebureau zal in dat geval de noodzaak van een voorafgaand onderzoek melden bij het College bescherming persoonsgegevens.

Artikel 7: Melding

• Het (handels)informatiebureau zal de verwerking van persoonsgegevens melden bij het College bescherming persoonsgegevens door inzending van een daartoe bij het College verkrijgbaar formulier, tenzij bij of krachtens de wet anders is bepaald.

Artikel 8: Bewaartermijn

• Persoonsgegevens worden uiterlijk acht jaar na eerste verwerking, dan wel acht jaar nadat zij voor het laatst op hun juistheid zijn onderzocht, verwijderd, met uitzondering van die persoonsgegevens die ook gedurende een langere periode noodzakelijk voor een juist en/of volledig oordeel of advies aangaande betrokkene gelet op het doel van de verwerking en indien deze termijn in overeenstemming is met de in diverse nationale en internationale wetten vastgelegde termijnen.
  
  
• Persoonsgegevens die worden verwijderd, dienen te worden vernietigd, zodanig dat zij niet meer toegankelijk zijn of toegankelijk gemaakt kunnen worden.

Paragraaf 3: Verstrekken van gegevens

Artikel 9: Verstrekken van gegevens aan ontvangers

• Alle persoonsgegevens die de verantwoordelijke mondeling, schriftelijk, via datacommunicatie of gegevensdragers ongeacht de lay-out en al of niet in gecomprimeerde formaten als resultaat van geautomatiseerde verwerking (bijv. credit scoring) verstrekt aan een opdrachtgever, worden slechts verstrekt op diens verzoek en in overeenstemming met het in artikel 3 genoemde doel.
  
  
• Verstrekking vindt niet plaats indien de verantwoordelijke weet of redelijkerwijs kan aannemen dat de gegevens:
  
  • in ruimere kring bekend worden gemaakt of worden benut;
  • worden gebruikt voor doeleinden die niet in overeenstemming zijn met het doel van de verwerking.
  
  
  
• Indien er een redelijk vermoeden bestaat dat de persoonsgegevens niet meer up-to-date zijn, vindt verstrekking daarvan eerst plaats nadat de gegevens op hun juistheid zijn onderzocht.

Artikel 10: Verenigbaar gebruik

• Persoonsgegevens worden voor het in artikel 3 van de gedragscode genoemde gerechtvaardigde doel verkregen en niet verder verwerkt op een wijze die onverenigbaar is met het doel waarvoor ze zijn verkregen.
  
  
• Bij de beoordeling of er sprake is van verenigbaar gebruik houdt de verantwoordelijke in elk geval rekening met de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen, de aard van de betreffende gegevens, de gevolgen van de beoogde verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de mate waarin jegens betrokkene wordt voorzien in passende waarborgen.

Paragraaf 4: Informatieplicht

Artikel 11: Informatieplicht

• In geval van geautomatiseerde verwerking van persoonsgegevens of van handmatige verwerking van persoonsgegevens in een bestand, zal het lid betrokkene informeren omtrent zijn identiteit, alsmede van het doel van de verwerking:
  • indien persoonsgegevens worden verkregen bij de betrokkene: vóór het moment van verkrijging;
  • indien persoonsgegevens worden verkregen op een andere wijze:
    
    • op het moment van vastlegging, of
    • uiterlijk op het moment van de eerste verstrekking, wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, tenzij de verantwoordelijke op goede gronden mag aannemen dat de betrokkene van de verwerking reeds op de hoogte is.
  
  
• De verplichting, bedoeld in het eerste lid, kan buiten toepassing worden gelaten voor zover dit noodzakelijk is in het gewichtige belang van anderen dan de betrokkene, de verantwoordelijke daaronder begrepen. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

Paragraaf 5: Inzage en correctie

Artikel 12: Inzagerecht van betrokkene

• De verantwoordelijke deelt een ieder op diens verzoek na deugdelijke vaststelling van diens identiteit schriftelijk binnen vier weken mede of hem betreffende persoonsgegevens zijn verwerkt.
  
  
• Indien zodanige gegevens worden verwerkt zal de verzoeker desverlangd schriftelijk binnen vier weken een volledig overzicht van alle gegevens worden gegeven, met inlichtingen omtrent de aard van de bronnen waaruit de gegevens afkomstig zijn. Verder zal een omschrijving van het doel of de doeleinden worden verstrekt, alsmede informatie over de (categorieën van) gegevens en de (categorieën van) ontvangers.
  
  
• Desgevraagd geeft de verantwoordelijke uitleg over de totstandkoming van een credit score. Hierbij wordt, met inachtneming van mogelijke bedrijfsgeheimen rond het proces, uitleg gegeven over de logica van het gehanteerde systeem, de betekenis van de gebruikte getallen en/of symbolen zoals weergegeven op het overzicht alsmede een beschrijving van de belangrijkste factoren die een rol hebben gespeeld bij de uiteindelijke berekening van de score.
  
  
• De verantwoordelijke kan voor het verstrekken van het overzicht een redelijke vergoeding in rekening brengen, tot maximaal het bedrag dat krachtens de wet daarvoor in rekening mag worden gebracht.
  
  
• De verplichtingen, bedoeld in dit artikel, kunnen buiten toepassing worden gelaten voor zover dit noodzakelijk is in het belang van:
  • de voorkoming, opsporing en vervolging van strafbare feiten;
  • anderen dan de verzoeker, de verantwoordelijke daaronder begrepen.

Artikel 13: Verbetering, aanvulling, verwijdering of afscherming

• Naar aanleiding van een bericht, resp. een daartoe strekkend verzoek van betrokkene zal de verantwoordelijke (persoons)gegevens die feitelijk onjuist, onvolledig, het doel van de verwerking niet dienen en/of in strijd met een wettelijk voorschrift zijn verwerkt, zo spoedig mogelijk na vaststelling daarvan verbeteren, aanvullen, verwijderen of afschermen.
  
  
• Ingeval de door betrokkene verstrekte gegevens en/of toelichting naar het oordeel van de verantwoordelijke geen of onvoldoende grond vormen voor onmiddellijke verbetering, aanvulling, verwijdering of afscherming als bedoeld in het eerste lid, doch anderszins aanleiding geven tot twijfel omtrent de juistheid, resp. de volledigheid van de met betrekking tot de betrokkene verwerkte gegevens, is de verantwoordelijke gehouden terzake van die gegevens nader aanvullend onderzoek in te stellen.
  
  
• Betrokkene ontvangt binnen 4 weken na ontvangst van een bericht, resp. verzoek als bedoeld in het eerste lid schriftelijk mededeling van de verantwoordelijke omtrent de al dan niet verbeterde, aangevulde en/of verwijderde (persoons)gegevens, onder verwijzing naar de Raad van Toezicht voor het indienen van een klacht.
  
  
• Ingeval de verantwoordelijke overgaat tot verbetering, aanvulling, verwijdering of afscherming van gegevens naar aanleiding van een bericht, resp. verzoek van betrokkene als bedoeld in het eerste lid, is de verantwoordelijke gehouden om diegenen aan wie gegevens over betrokkene zijn verstrekt, mededeling te doen van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk is dan wel een onevenredige inspanning kost.
  
  
• Om aan de in het vierde lid bedoelde verplichtingen te kunnen voldoen, is de verantwoordelijke gehouden een adequate registratie te voeren van elk verzoek om en elke verstrekking van (persoons)gegevens, met inbegrip van de identiteit van de aanvrager, resp. de ontvanger. Deze protocolgegevens worden minimaal één jaar en ten hoogste vijf jaar bewaard

Paragraaf 6: Klachten en geschillen

Artikel 14: Raad van Toezicht

• Er is een onafhankelijke Raad van Toezicht met als taak:
  
  • het doen van uitspraken in geval van geschil tussen een belanghebbende en een verantwoordelijke, zijnde lid van de vereniging, over de wijze waarop invulling wordt gegeven aan deze gedragscode en de wet;
  • het in behandeling nemen van klachten gericht tegen een lid van de vereniging.
  
  
  
• De betrokkene is verplicht een klacht of geschil eerst voor te leggen aan de betreffende verantwoordelijke. Indien deze niet reageert binnen een termijn van vier weken dan wel niet naar tevredenheid van de betrokkene kan deze zich wenden tot de Raad van Toezicht.
  
  
• Gedurende de tijd dat de klacht of het geschil bij de Raad van Toezicht in behandeling is, dient het lid zich van de verstrekking van de gewraakte, de betrokkene betreffende persoonsgegevens aan andere of nieuwe ontvangers te onthouden.
  
  
• De Raad van Toezicht is bevoegd partijen bij het geschil, dan wel belanghebbende bij een klacht, te horen. De leden van de vereniging verplichten zich tot medewerking aan de werkzaamheden van de Raad van Toezicht.
  
  
• Verzoeken als bedoeld in het eerste lid neemt de Raad van Toezicht onverwijld in behandeling onder gelijktijdige kennisgeving daarvan aan de wederpartij.
  
  
• De Raad van Toezicht doet, na beide partijen gehoord te hebben, zo spoedig mogelijk uitspraak met inachtneming van de bepalingen van de wet, van de statuten van de vereniging, het Reglement van de Raad van Toezicht en van deze gedragscode en bericht de belanghebbende en de verantwoordelijke terzake bij aangetekend schrijven.
  
  
• De verantwoordelijke is gehouden een uitspraak van de Raad van Toezicht met inachtneming van de daarbij gegeven richtlijn op te volgen binnen één week na de datum van de desbetreffende uitspraak. Tegen een uitspraak van de Raad is geen beroep mogelijk.
  
  
• Een belanghebbende zich ook tot de rechtbank wenden met het schriftelijk verzoek de verantwoordelijke te bevelen alsnog een verzoek als bedoeld in de artikelen 12, tweede lid of artikel 13, derde en vierde lid, toe of af te wijzen dan wel een verzet als bedoeld in artikelen 3, vierde lid, te honoreren. Het verzoekschrift moet worden ingediend binnen zes weken na ontvangst van het antwoord van de verantwoordelijke. Indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, moet het verzoekschrift worden ingediend binnen zes weken na afloop van die termijn.
  
  
• Een belanghebbende kan zich ook binnen de termijnen als aangegeven in het vorige lid tot het College bescherming persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke.

Paragraaf 7: Bijzondere onderwerpen

Artikel 15: Internationale aspecten

• Deze gedragscode is mede van toepassing op de verwerking van persoonsgegevens in een derde land wanneer de verantwoordelijke in Nederland is gevestigd.
  
  
• De verantwoordelijke geeft persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, slechts aan een derde land door indien dat land een passend beschermingsniveau waarborgt dan wel indien een van de uitzonderingen in artikel 77 van de wet van toepassing is.

Artikel 16: Beveiliging

• De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Gelijke plicht rust op de bewerker voor het geheel of het gedeelte van de apparatuur die hij onder zich heeft.
  
  
• Binnen de organisatie van de verantwoordelijke hebben toegang tot de bestanden met persoonsgegevens uitsluitend degenen die daartoe door de verantwoordelijke gemachtigd zijn. De verantwoordelijke zal de namen van deze gemachtigden in een daartoe aan te leggen register vermelden.
  
  
• De gemachtigden dienen tegenover de verantwoordelijke schriftelijk te verklaren bekend te zijn met de inhoud van deze gedragscode en overeenkomstig de bepalingen ervan te zullen handelen.
  
  
• De personen voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Paragraaf 8: Slotbepaling

Artikel 17: Afschriften gedragscode

Deze gedragscode ligt, evenals de statuten van de vereniging en het Reglement van de Raad van Toezicht, ter inzage bij het secretariaat van de vereniging en op de kantoren van de leden van de vereniging. Afschriften kunnen worden besteld bij het secretariaat van de vereniging. Daarnaast zijn de documenten gepubliceerd op de website van de vereniging: www.nvhinfo.nl.

Versie 14 april 2010



Enkele adressen:

Secretariaat Nederlandse Vereniging van Handelsinformatiebureaus
Laan van Meerdervoort 1094,
2564 AX 's-Gravenhage
Tel: 070 - 306 09 55
Fax: 070 - 358 92 04

Raad van Toezicht NVH
Laan van Meerdervoort 1094,
2564 AX 's-Gravenhage
Tel: 070 - 306 09 55
Fax: 070 - 358 92 04

College Bescherming Persoonsgegevens
Prins Clauslaan 20
Postbus 93374
2509 AJ Den Haag
Tel: 070 - 381 13 00
Fax: 070 - 381 13 01