Privacy bij Lease a Bike | Hoe wij jouw data beschermen

Highlights Privacy

Bij Lease a Bike nemen wij uw privacy serieus. Privacy zit in ons DNA en we ontwerpen ons platform, websites en onze oplossingen zo dat we jouw privacy en die van jouw medewerkers respecteren voor een zorgeloze fietslease.

Enkele belangrijke aandachtspunten op het gebied van privacy zijn:

1. Periodiek beoordelen van onze privacy naleving

Wij respecteren de privacy van onze eigen medewerkers, onze klanten en partners en hun medewerkers. Daarom nemen wij privacy zeer serieus. We voeren jaarlijks een IT-risicobeoordeling en Business Impact Assessment (BIA) uit om ervoor te zorgen dat security en privacy maatregelen worden geïmplementeerd die voldoen aan de nieuwste privacywetgeving en de stand van zaken op het gebied van cybersecurity-bedreigingen.

2. Security en privacy by design ontwerp gegarandeerd

Voor alle nieuwe digitale (IT systeem)initiatieven en wijzigingen in bestaande processen of (nieuwe) derde partijen is een verplichte security en privacy by design intake en beoordeling van kracht om ervoor te zorgen dat privacy en security by design worden geïmplementeerd voor de persoonlijke en/of vertrouwelijke gegevens die (nieuw) worden verzameld en/of verwerkt.

3. Dataminimalisatie toegepast

Voor de (persoons)gegevens die via ons platform worden verzameld en verwerkt voor het fietsleasetraject is dataminimalisatie toegepast. Dit betekent dat wij alleen de minimale noodzakelijke (persoons)gegevens verzamelen en verwerken die wij nodig hebben voor het fietsleaseproces.

4. Persoonlijke gegevens in Europese Economische Ruimte (EER)

Wij willen alle persoonsgegevens opslaan op een plek die voldoende privacywaarborgen biedt. Daarom streven wij ernaar dat alle persoonlijke gegevens in de Europese Economische Ruimte (EER) zijn opgeslagen.

5. Periodieke controle Privacyverklaring, Gebruiksvoorwaarden, Cookieverklaring / toolbar

Een belangrijk aspect van privacy is om jou op een transparante en volledige manier te informeren over welke persoonsgegevens worden verzameld, hoe wij de persoonsgegevens verwerken, hoe wij de persoonsgegevens beschermen etc. De belangrijkste documenten hiervoor zijn de Privacyverklaring, Gebruiksvoorwaarden, Cookieverklaring en Cookie-toolbar. Deze documenten worden periodiek beoordeeld door de Functionaris Gegevensbescherming (als onderdeel van de privacy controles) om te bevestigen dat deze nog steeds in overeenstemming zijn met de nieuwste privacywetgeving en jurisprudentie, evenals onze interne (Pon Holdings) privacyvereisten.

6. Sterk leveranciersmanagement

Leveranciers zijn de achilleshiel, omdat je niet de volledige controle over hen hebt. Daarom richten we ons op het contracteren van enkel adequate externe leveranciers en hebben we sterke controles op leveranciersbeheer geïmplementeerd. Alle nieuwe derde partijen worden gescreend als onderdeel van de security en privacy by design intake en beoordeling om te bepalen welke maatregelen nodig zijn (zoals gegevensverwerkersovereenkomst, aanvullende security maatregelen) en de follow-up te monitoren voordat deze live gaat.

7. Gegevensbewaring ingericht

Bij het bewaren van persoonsgegevens gaat het om het tijdig verwijderen van de gegevens wanneer deze niet meer nodig zijn voor het fietsleaseproces of relevante wetgeving. Wij controleren daarom periodiek of het dataretentiebeleid in de verschillende landen nog actueel is en voeren een beoordeling uit om in kaart te brengen welke (persoons)gegevens verwijderd kunnen worden.

8. Professionele software voor privacybeheer aanwezig

Wij zijn, als verwerkingsverantwoordelijke voor het fietsleaseplatform, verantwoordelijk voor de privacyprocessen, zoals het hebben van een verwerkingsregister, het afhandelen van verzoeken om de rechten van betrokkenen, de afhandeling van (potentiële) datalekken, security en privacy by design intakes en beoordeling uitvoeren. Daarom hebben wij voor deze processen professionele software (zoals OneTrust) geïmplementeerd die zorgen voor een adequate, tijdige en volledige registratie, verwerking en monitoring van de opvolging.

Wilt u meer informatie over privacy, neem dan contact op met jouw accountmanager.

Veelgestelde vragen Privacy

: A1: Lease a Bike is onderdeel van BMS Groep en Pon Holdings. Lease a Bike heeft een Functionaris Gegevensbescherming aangesteld die deel uitmaakt van het Pon Security and Privacy (S&P) Office. Het Pon S&P Office is een onafhankelijke afdeling binnen de Pon Holdings groep die alle bedrijven binnen de groep begeleiding biedt, beoordeelt en controleert of alle bedrijven voldoen aan de security en privacy vereisten en relevante privacywetgeving. Het monitoren omvat ook periodieke privacy audits. Daarnaast heeft Lease a Bike een eigen Privacy Officer die rapporteert aan Lease a Bike management en het bestuur van Pon Holdings over de privacy status en monitort de voortgang van verbeteracties.

Aanvullend beschikt Lease a Bike over een SOC 2 ® type 2 waaruit blijkt dat de relevante privacy maatregelen zijn geïmplementeerd (zie hoogtepunten SOC 2 assurance).
: A2: Nee. Hoewel deze vraag begrijpelijk is, werken aanbieders van fietsleasemobiliteit niet met een verwerkersovereenkomst. Er is namelijk sprake van een ‘verwerkingsverantwoordelijke’ - ‘verwerkingsverantwoordelijke’ relatie tussen de werkgever en Lease a Bike. Daarom is een verwerkersovereenkomst met Lease a Bike niet noodzakelijk. Meer details worden uitgelegd in de volgende vraag.
: A3: De werkgever heeft een “verwerkingsverantwoordelijke - verwerkingsverantwoordelijke” relatie met Lease a Bike omdat:
De werkgever is verwerkersverantwoordelijke omdat de werkgever:
Het hoofddoel (waarom) bepaalt: de werkgever bepaalt de medewerkers van het bedrijf die kunnen deelnemen aan de fietslease;
De “middelen” (hoe) bepaalt door de scope van de fietslease te bepalen, bijvoorbeeld:
Goedkeuren van leaseaanvragen van jouw medewerkers in het fietsleaseplatform;
Aantal fietsen, maximale prijs en type fietsen;
Of de medewerker vrij is in het kiezen van een servicebudget of dat het minimumbudget verhoogd kan worden voordat het contract wordt getekend;
Hoeveel fietsen kunnen individuele werknemers voor zichzelf of voor hun hele gezin leasen?
Wij als Lease a Bike zijn ook een verwerkingsverantwoordelijke aangezien wij:
De (persoons)gegevens rechtstreeks bij jouw medewerker opvragen en de (persoons)gegevens verwerken in het fietsleaseplatform conform de “Doeleinden” (waarom) zoals meegedeeld aan de medewerker via de Privacyverklaring;
Jouw medewerker vragen akkoord te gaan met de Gebruiksvoorwaarden van het fietsleaseplatform en zo een directe contractuele relatie met de medewerker aangaan.
De “middelen” (hoe) bepalen van de verwerking (bijvoorbeeld de soorten gegevens die moeten worden verwerkt, bewaartermijnen, wie toegang krijgt, locatie van de gegevens, betrokken derde partijen), zoals overeengekomen in de Gebruiksvoorwaarden en waar de werknemers over geïnformeerd zijn in de Privacyverklaring aan jouw medewerker tijdens hun registratie op het Lease a Bike portaal.
Handelen in de rol als verwerkingsverantwoordelijke, bijvoorbeeld door het bijhouden van een verwerkingsregister, het afhandelen van de verzoeken om rechten van betrokkenen van uw medewerkers, het afhandelen en rapporteren van datalekken.
Voordelen voor de werkgever zijn dat:
Lease a Bike volledig verantwoordelijk is om de security en privacy op peil te houden. Daarom beschikken wij over een SOC 2 ® type 2 assurance-rapport. Dit rapport biedt u als werkgever zekerheid over de geïmplementeerde security en privacy maatregelen.
Lease a Bike verantwoordelijk is voor het afhandelen van allerlei privacy gerelateerde verplichtingen, zoals het afhandelen van verzoeken om rechten van betrokkenen, het opzetten van een verwerkingsregister, wat jou als werkgever weer tijd scheelt.
Niet jij als werkgever, maar Lease a Bike is volledig verantwoordelijk voor eventuele privacygerelateerde boetes van de gegevensbeschermingsautoriteiten.
Het fietsleaseproces en -platform hoeven niet te voldoen aan de branchespecifieke regelgeving waar jouw bedrijf opereert. Er is dus geen extra inspanning van u vereist om de compliance te controleren
We hebben ook een gedetailleerd document waarin het bovenstaande in meer detail wordt uitgelegd. Wilt u meer informatie, neem dan contact op met jouw accountmanager.
: A4: Ja, we hebben een bijlage die kan worden toegevoegd aan de samenwerkingsovereenkomst om meer in detail te definiëren wat de verantwoordelijkheden zijn tussen jou als werkgever en ons. Let op: dit is niet verplicht vanuit de privacywetgeving en is alleen van toepassing als jij als werkgever dit wilt. Neem contact op met jouw accountmanager voor meer informatie.
: A5: Nee. De door uw medewerkers verstrekte (persoons)gegevens worden door de medewerker rechtstreeks aan ons verstrekt tijdens de registratie op het fietsleaseplatform. Het kan zijn dat de (persoons)gegevens zelfs niet bij jou als werkgever bekend zijn. Onder de gegevens kunnen namelijk ook een privé e-mailadres of een privé telefoonnummer vallen. Daarom kunnen wij niet de gegevens aan jou als werkgever overhandigen na het beëindigen van het contract. Uiteraard worden de (persoons)gegevens verwijderd conform het (wettelijke) retentiebeleid.
: A6: Nee. Het fietsleaseproces en het fietsleaseplatform vallen buiten de bedrijfsprocessen van de werkgever. Een belangrijke reden hiervoor is dat het aan jouw werknemer is om te besluiten om deel te nemen aan het fietsleaseproces en niet aan jou als werkgever. Het fietsleaseproces hoeft daarom niet te voldoen aan de sectorspecifieke regelgeving (zoals de banksector, telecom, overheid en gezondheidszorg). Uiteraard nemen security en privacy uitermate serieus en hebben daarom een SOC 2 assurance voor ons fietsleaseproces en -platform.