Veelgestelde vragen over verwerkingsverplichtingen

1. Beschikt uw bedrijf over een gepubliceerde privacyverklaring die ter inzage beschikbaar is?

• De officiële privacyverklaring van HP is beschikbaar op alle webpagina's van hp.com. Een lijst met verklaringen in verschillende talen vindt u HIER.

2. Houdt u een verwerkingsadministratie bij voor alle uitgevoerde activiteiten?

• HP houdt een voortdurend bijgewerkte administratie bij voor alle verwerkingsactiviteiten. We hebben privacybeheer- en administratieprogramma's geïmplementeerd om een administratie op te zetten en bij te houden voor vele nalevingsactiviteiten, zoals administratie van verwerking, privacyeffectbeoordelingen en privacy by design.

3. Vanaf welke geografische locaties levert u diensten? Draagt u persoonlijke gegevens over aan landen buiten de EER?

• HP is een wereldwijd bedrijf en veel van onze bedrijfsprocessen zijn gebaseerd op een wereldwijd operationeel model. Persoonlijke gegevens die aan HP zijn gegeven, worden mogelijk overgedragen over provincie- en landsgrenzen voor gegevensconsolidatie-, opslag- en klantgegevensbeheerdoeleinden. Toegang tot of overdracht van persoonsgegevens over provincie- of landsgrenzen moet voldoen aan de toepasselijke lokale wetgeving en contractuele eisen. HP neemt deel aan verschillende programma's waarbij internationale overdracht van persoonlijke gegevens naar HP organisaties wereldwijd plaatsvindt. U kunt meer te weten komen over onze deelname aan deze programma's door te gaan naar de HP privacyverklaring.

4. Gebruikt u rechtmatige methoden voor gegevensoverdracht?

• HP gebruikt rechtmatige methoden voor gegevensoverdracht in naleving met de AVG.
  • Als gegevensbeheerder heeft HP bindende bedrijfsvoorschriften goedgekeurd die als doel hebben voldoende garanties te bieden dat de persoonlijke gegevens van HP werknemers, leveranciers, consumenten en klanten zijn veiliggesteld wanneer deze aan een HP organisatie worden overgedragen. HP is een van de nog geen 100 bedrijven wereldwijd waarvan de bindende bedrijfsvoorschriften door gegevensbeschermingsautoriteiten van de EU worden erkend. Meer informatie over de bindende bedrijfsvoorschriften van HP vindt u HIER.
  • De Economische Samenwerking Azië-Stille Oceaan (APEC), bestaande uit 21 economieën, hanteert een systeem voor grensoverschrijdende privacyregels (CBPR) waarbij privacy bij de overdracht van persoonlijke gegevens in de regio is beschermd. HP's privacybeleid voldoet aan het APEC CBPR-systeem inzake transparantie, aansprakelijkheid en keuzemogelijkheden ten aanzien van het verzamelen en gebruiken van persoonlijke gegevens. Meer informatie over HP's deelname aan CBPR vindt u HIER.
  • HP heeft ook een zelfcertificering onder het EU/VS-privacyschild. Meer informatie over HP's deelname aan het privacyschild vindt u HIER.
  • U kunt meer te weten komen over onze deelname aan deze programma's door te gaan naar de HP privacyverklaring.

5. Hebt u een toegewezen functionaris op het gebied van gegevensprivacy of iets gelijkwaardigs?

• De Chief Privacy and Data Protection Officer wordt ondersteund door het Privacy Office en heeft als taak naleving met de AVG en andere wetten inzake gegevensbescherming wereldwijd te waarborgen. Vertegenwoordigers van het Privacy Office van HP bevinden zich in de Europese Unie en fungeren als aanspreekpunt voor betrokkenen en gegevensbeschermingsautoriteiten van de EU.

6. Beschikt u over een formeel vastgelegd beheerplan voor beveiligingsincidenten, zoals inbreuk op persoonlijke gegevens?

• HP heeft beveiligings- en privacyprocedures opgesteld en gebruikt deze voor betere gegevensbescherming, fysieke beveiliging en meer privacybewustzijn.
• Beveiligingsincidenten, hetzij fysieke, technologische of gegevensgerelateerde, worden hoofdzakelijk door een wereldwijd incidentrapportageproces behandeld. Nadat er een incidentenrapport is ontvangen, wijst het team dit toe aan de verantwoordelijke partij binnen HP en alle betrokkenen volgen de vastgestelde procedures voor elk type incident. Deze procedures zijn opgesteld op basis van best practices in de branche, wettelijke vereisten en klantgerichte specificaties in elk contract.
• Alle gevallen van cyberveiligheidsincidenten moeten worden gemeld aan HP Cybersecurity via een 24-uurs online proces. HP beschikt over een vastgesteld escalatieproces voor het beheer van beveiligingsincidenten. Over het algemeen implementeert HP na de melding van een incident echter direct een corrigerend actieprotocol en voert HP een grondig onderzoek uit om vast te stellen of er ongeoorloofde toegang heeft plaatsgevonden. Als er ongeoorloofde toegang tot persoonlijke gegevens is vastgesteld, wordt het incident geëscaleerd naar het HP Privacy Office, Global Legal Affairs en andere interne HP stakeholders die beslissingen maken over oplossingen en meldingen.

7. Beschikt u over mogelijkheden om uw klanten te helpen met gegevensverzoeken en over een formeel vastgesteld proces voor het omgaan met de uitoefening van de rechten van een gegevenssubject?

• Individuen kunnen hun rechten uitoefenen en privacyverzoeken en klachten indienen via Contact opnemen met HP Privacy Office.
• Indien HP persoonlijke gegevens namens klanten verwerkt, afhankelijk van bepaalde beperkingen, helpt HP deze klanten met het voldoen aan hun verplichtingen ten aanzien van verzoeken van gegevenssubjecten voor het uitoefenen van hun rechten conform contractuele eisen.

8. Beschikt uw bedrijf over een beleid/standaard inzake gegevensbescherming die voldoet aan de toepasselijke wetgeving inzake gegevensbescherming van het rechtsgebied waarin uw bedrijf opereert?

• HP heeft al jaren lang een toonaangevende positie op het gebied van privacy en gegevensbescherming; met ons uitgebreide portfolio van producten, software en beveiligingsservices kunnen we onze klanten ondersteunen bij hun inspanningen om persoonlijke gegevens te beschermen en aan nalevingen te voldoen. HP heeft interne beleidsmaatregelen die zijn gericht op de beveiliging, toegankelijkheid en nauwkeurigheid van persoonlijke gegevens en die het delen ervan verbieden zonder hiervoor de juiste stappen te doorlopen. Het is belangrijk voor HP om de privacy- en beveiligingsvereisten van klanten te doorgronden en processen te ontwikkelen om producten en services zodanig te leveren dat aan alle nalevingsvereisten wordt voldaan.

9. Biedt uw bedrijf privacytraining aan werknemers?

• Werknemers en contractors van HP krijgen elk jaar bedrijfsethiektrainingen, waarin privacy en gegevensbescherming een grote rol speelt. Er kan tevens extra verplichte training nodig zijn voor bepaalde functies waarin regelmatig met persoonlijke gegevens wordt omgegaan of indien nodig optionele training ter ondersteuning van specifieke bedrijfsactiviteiten.

10. Zijn leveranciers van HP verplicht persoonlijke gegevens te beschermen wanneer zij namens HP handelen?

• HP stelt het verplicht dat derde partijen die namens HP persoonlijke gegevens verwerken, waaronder leveranciers en partners, contractueel gebonden zijn om persoonlijke gegevens die zij van HP ontvangen te beschermen en dat deze alleen mogen worden gebruikt voor het verlenen van services zoals geïnstrueerd door HP. HP heeft ook een risicogebaseerde nalevingsbeoordling ingevoerd voor leveranciers die gegevens van HP of klanten behandelen.

11. Gebruikt u privacyeffectbeoordelingen en het principe van privacy by design bij het ontwikkelen van systemen en producten?

• Wij passen het principe privacy by design toe bij onze activiteiten om ervoor te zorgen dat alle HP producten, services, websites, systemen en applicaties zijn ontworpen en pas worden geïmplementeerd nadat alle gevolgen op het gebied van privacy zorgvuldig zijn overwogen. Een ander proces dat cruciaal is, zijn privacyeffectbeoordelingen, waarbij we een risicoanalyse uitvoeren voor de rechten van individuen en besluitvorming vastleggen voor bepaalde verwerkingsactiviteiten.

12. Wat doet HP om de inspanningen van klanten te ondersteunen ter bescherming van persoonlijke gegevens en ter naleving van hun voorschriften?

• Wij passen beveiligingsmaatregelen toe met betrekking tot gegevens die we voor onze klanten verwerken. Als aanbieder van beherende en technische services voor printers en persoonlijke systemen spant HP zich in om aan onze verplichtingen te voldoen en alle persoonlijke gegevens te beschermen die we voor onze klanten verwerken. We passen een aantal van onze services voor klanten aan op basis van de ISO 27001-certificeringsstandaard, door bijvoorbeeld het bereik van de certificering uit te breiden zodat deze Managed Print Services en Device-as-a-Service omvat.
• HP heeft een raamwerk voor privacycontrole ingevoerd waarin meer dan 100 afzonderlijke activiteiten in verband met AVG-naleving zijn vastgelegd. Dit controleraamwerk vormt de kern van onze privacy- en gegevensbeschermingsprogramma. Het controleraamwerk is beoordeeld door een onafhankelijke derde partij op juridische vereisten en branchestandaarden.