Gegevensbeveiliging

Wij gaan zorgvuldig om met de gegevens die organisaties invoeren in de Milieubarometer. Op deze pagina lees je hoe toegang tot de applicatie is geregeld, waar gegevens worden opgeslagen en welke maatregelen wij nemen om informatie te beschermen.

De Milieubarometer voldoet aan gangbare beveiligingsstandaarden en ondersteunt organisaties bij het veilig beheren van hun milieu- en energiegegevens.

Toegang en gebruikersbeheer

Werkt de Milieubarometer met een persoonlijk gebruikersaccounts?
- Ja, je kan kosteloos een onbeperkt aantal gebruikers toevoegen aan een account.

Kunnen gebruikersrechten en rollen worden ingesteld per gebruiker of functie?
- Ja, er zijn vijf niveaus van rechten: beheerder, alle rechten, invulrechten, leesrechten of geen rechten. Op deze online helppagina vind je een tabel met de mogelijkheden voor de verschillende rechten.

Hoe is de toegang tot de Milieubarometer geregeld?
- Met een e-mailadres en een wachtwoord.

Ondersteunt de Milieubarometer twee-factor authenticatie (TFA)?
- Ja, voor het beveiligen van je account is tweestapsverificatie beschikbaar. Iedere gebruiker kan dit zelf aanzetten. Zie onderaan de online helppagina

Is Single Sign-On (SSO) mogelijk?
- Nee, dit is niet mogelijk

Privacy en persoonsgegevens

Welke persoonsgegevens worden binnen de Milieubarometer verwerkt?
- Verplichte persoonsgegevens: voornaam, achternaam en e-mailadres.
- Optionele persoonsgegevens: telefoonnummer en functie

Voor welke doeleinden worden persoonsgegevens verwerkt?
- Contact met de helpdesk
- Informeren naar gebruikservaringen
- Versturen van e-mails zoals nieuwsbrieven en wijzigingen
- Versturen van facturen

Hoe gaat Stimular om met correctie of verwijdering van persoonsgegevens?
- Tenzij de gebruiker daar opdracht toe geeft, verwijdert of wijzigt Stimular geen gegevens in een actief Milieubarometerabonnement, de gebruiker is daar zelf toe in staat en voor verantwoordelijk.

- Persoonlijke gegevens (naam, emailadres, telefoonnummer) worden uit het systeem verwijderd 32 dagen nadat iemand geen toegang meer heeft tot een actief abonnement. (Hetzij omdat zijn Milieubarometerbonnement(en) is/zijn beëindigd, hetzij omdat de persoon geen gebruiksrechten meer heeft op enige Milieubarometer.)

Met wie worden persoonsgegevens gedeeld?
Contactgegevens, abonnementsgegevens en vertrouwelijke bedrijfsdata die zijn ingevuld, worden niet aan derden (dus andere partijen dan Stimular en Dreamsolution) verstrekt tenzij:

- Dit wettelijk wordt vereist;
- Het noodzakelijk is voor het versturen van facturen en nieuwsbrieven, kortom voor het contact met jou als klant.
- Het noodzakelijk is voor het voeren van gerechtelijke procedures;
- Het noodzakelijk is voor het verrichten van accountantscontrole;
- De abonnee daar zelf toestemming voor geeft (bijvoorbeeld via het startformulier van een gemeente, brancheorganisatie of adviseur).

Hosting, opslag en gegevenslocatie

Worden gegevens binnen de Europese Economische Ruimte (EER) verwerkt of opgeslagen?
- Ja, dit gebeurd op een server die in Nederland staat.

Is er een overzicht beschikbaar van subverwerkers of betrokken leveranciers?
- Stimular heeft verwerkersovereenkomsten gesloten met de bedrijven die betrokken zijn bij het ontwikkelen (Dreamsolution) en in de lucht houden van de Milieubarometer en het versturen van de nieuwsbrief (Mailchimp) en facturen (WeFact) aan Milieubarometer gebruikers. In deze verwerkersovereenkomsten is vastgelegd dat de verwerkers veilig en zorgvuldig met jouw gegevens omgaan en deze gegevens niet gebruiken voor enig ander doel dan het goed laten functioneren van de Milieubarometer.

Hoe lang blijven bedrijfsgegevens opgeslagen als een account is beëindigd?
- Bedrijfsgegevens en ingevulde data worden 400 dagen na beëindigen van een abonnement bewaard (binnen die periode kan een abonnement dan ook gereactiveerd worden met behoud van data). Daarna worden alle gegevens uit het systeem verwijderd. (Voormalige) gebruikers kunnen Stimular altijd verzoeken om de gegevens eerder te verwijderen. Stimular zal zo’n verzoek zo snel mogelijk (binnen een week) uitvoeren.

Logging, monitoring en incidenten

Hoe gaat Stimular om met beveiligingsincidenten en datalekken?
- Na ontvangst van de melding zal Stimular zorgen dat een onderzoek wordt opgestart om vast te stellen welke gegevens daadwerkelijk betroffen zijn en als nodig een melding aan de autoriteit persoonsgegevens te sturen. Daarna zal Stimular de leden die door het datalek getroffen zijn telefonisch of schriftelijk (via e-mail) informeren. Verder zal Stimular actie ondernemen om verdere schade te beperken en herhaling te voorkomen. Zie punt 9 van de privacyverklaring van stichting Stimular.