Privacy Statement

1. Algemeen

Het Financiële Rapportages Coöperatief B.A. (hierna: FRC) respecteert jouw persoonsgegevens en draagt er zorg voor dat de persoonlijke informatie die aan ons wordt verstrekt of die wij anderszins verkrijgen vertrouwelijk wordt behandeld. Dit Privacy Statement is van toepassing op alle partijen van wie wij persoonsgegevens verwerken (waaronder maar niet beperkt tot: opdrachtnemers, opdrachtgevers, intermediairs, gebruikers van onze diensten, leveranciers, websitebezoekers, sollicitanten en overige partijen van wie wij persoonsgegevens verwerken in het kader van onze dienstverlening), met uitzondering van werknemers die werk verrichten voor FRC.

2. Verwerkingsverantwoordelijke: Financiële Rapportages Coöperatief B.A.

FRC is een coöperatie van ABN AMRO Bank N.V., ING Bank N.V. en Coöperatieve Centrale Raiffeisen-Boerenleenbank B.A. (Rabobank Nederland). FRC is verantwoordelijk voor de implementatie en exploitatie van het rapportageproces op basis van de methodiek van Standard Business Reporting (SBR). FRC is bekend onder de naam 'SBR Nexus'.

FRC is statutair gevestigd te Amsterdam en kantoorhoudende aan de Hollandse Kade 25 te (1391 JD) Abcoude. De coöperatie staat ingeschreven bij de Kamer van Koophandel onder nummer 34375187.

3. Activiteiten en toepassingsbereik privacy statement

FRC ontwikkelt en beheert de Bancaire Infrastructurele Voorzieningen (BIV). Daarmee worden SBR-rapportages zoals SBR Jaarrekeningen, Commercieel vastgoed taxaties, etc. op geautomatiseerde wijze ontvangen, gevalideerd en doorgezonden naar de ontvangende partijen. De gebruiker bepaalt zelf naar welke ontvangende partij een SBR-rapportage via de BIV wordt toegezonden.

Naast de BIV ontwikkelt en beheert FRC een aantal applicaties ter ondersteuning van dit proces. Voor deze applicaties dienen gebruikersaccounts te worden aangemaakt. FRC is verwerkingsverantwoordelijke in de zin van de AVG met betrekking tot accounts aangemaakt voor de volgende applicaties::

  • Mijn Data, Mijn Business (www.mijndatamijnbusiness.nl): in deze applicatie kan een gebruiker data aanleveren, inzicht verkrijgen in het datadeelproces, zijn data bewaren in een cloud en deze aangeleverde data zelf doorsturen aan uitvragende partijen, zoals banken of brancheorganisaties.
  • SBR Direct (www.sbrdirect.nl): in deze applicatie kan een gebruiker een SBR Jaarrekening opstellen.
  • Aansluitportaal (aansluiten.frcportaal.nl): in deze applicatie kunnen gebruikers zich registreren op de 'whitelist'.
  • Aanleverportaal (btp-frcportaal.nl): in deze applicatie kunnen gebruikers data aanleveren.

FRC is verwerkingsverantwoordelijke met betrekking tot de persoonsgegevens die een gebruiker invoert voor het aanmaken van een account voor het gebruik van een van de hiervoor genoemde applicaties. FRC is echter geen verwerkingsverantwoordelijke, maar slechts verwerker ten aanzien van de gegevens die de gebruiker uploadt.

FRC is tevens verwerker voor gegevens die zonder tussenkomst van bovenstaande applicaties via de infrastructuur van FRC worden verwerkt. Dit geldt bijvoorbeeld voor gegevens die rechtstreeks uit aangesloten software via de BIV worden verzonden naar een ontvangende partij.

4. Welke persoonsgegevens worden verwerkt

Algemeen
Bij het verwerken van persoonsgegevens gaat FRC zorgvuldig te werk. FRC verwerkt alleen gegevens die nodig zijn voor het realiseren van de doeleinden, zoals genoemd in artikel 5 van dit Privacy Statement. FRC verwerkt mogelijk de volgende persoonsgegevens voor deze doeleinden:

- NAW-gegevens, e-mailadres en telefoonnummer;
- identiteitsbewijs;
- bankrekeningnummer en overige betaalgegevens noodzakelijk om de overeenkomst te kunnen uitvoeren;
- overige informatie noodzakelijk voor de in artikel 5 genoemde doeleinden.

BIV
Bij het aanleveren van SBR-rapportages via de BIV slaat FRC in beginsel geen persoonsgegevens uit de SBR-rapportages op. Wij bewaren uitsluitend meta-data (dit zijn gegevens die bepaalde karakteristieken beschrijven) over het verzonden bericht op de BIV, zoals bijvoorbeeld datum, tijdstip van verzending etc. De SBR-rapportages worden niet langer bewaard op de BIV dan tijdens de zeer korte tijd die nodig is voor het elektronisch en beveiligd verzenden naar de geselecteerde bank.

Mijn Data, Mijn Business
Voor het gebruik van Mijn Data, Mijn Business dient een account te worden aangemaakt. Maak je een account aan, dan verwerken wij je naam, adres, e-mailadres en telefoonnummer ten behoeve van de registratie en authenticatie.

Documenten en/of bestanden die jij opslaat in jouw Mijn Data, Mijn Business account, kunnen mogelijk persoonsgegevens bevatten. Is dit het geval, dan worden natuurlijk ook al deze persoonsgegevens verwerkt. Door het uploaden van deze documenten en/of bestanden word jij geacht toestemming te hebben verleend voor het verwerken van deze gegevens. FRC bewaart ook meta-data over deze documenten.

Websitebezoekers
Van bezoekers van de website van FRC die een bericht sturen aan de supportdesk van FRC (support@sbrnexus.nl) worden de volgende gegevens verzameld en verwerkt: naam, e- mailadres, telefoonnummer en de vraag of opmerking teneinde deze te kunnen behandelen.

5. Doeleinden verwerking persoonsgegevens

FRC verwerkt persoonsgegevens voor:

  • het uitvoeren van de dienstverlening aan opdrachtgevers (zijnde ondernemers, maar ook de door hen ingeschakelde intermediairs, zoals accountants). Via de (IT-)systemen van FRC kunnen SBR-rapportages worden verzonden  naar een ontvangende partij indien de opdrachtgever hiertoe een instructie heeft gegeven. Dit is een geautomatiseerd proces;
  • het registreren en authentiseren van intermediairs die gebruikmaken van de aanlevering via een softwarekoppeling ('whitelist');
  • het authentiseren van ondernemers en/of intermediairs die zich aanmelden en registreren op SBR Direct en het aansluitportaal (aansluiten.frcportaal.nl);
  • het versturen van mailingen over meldingen, updates en marketingactiviteiten. Mits je hiervoor uiteraard expliciet toestemming hebt gegeven;
  • het verrichten van statistische analyses over het bezoek aan de websites van FRC. Dat zijn www.sbrnexus.nl, www.sbrdirect.nl en www.frcportaal.nl;
  • het voldoen aan wet- en regelgeving en gedragscodes.

6. Grondslag verwerking persoonsgegevens

FRC verwerkt de hierboven genoemde persoonsgegevens uitsluitend op basis van één (of meerdere) grondslagen als bedoeld in artikel 6 van de AVG:

  • wettelijke verplichting;
  • uitvoering van een overeenkomst;
  • verkregen toestemming van de betrokkene(n);
  • gerechtvaardigd belang.

7. Jouw rechten

FRC gaat veilig en zorgvuldig met de gegevens van gebruikers van haar applicaties om. Je hebt het recht om de gegevens die wij van jou hebben in te zien, aan te passen, te wissen, te beperken of over te dragen aan iemand anders. Ook heb je het recht om eerder gegeven toestemming in te trekken.

Je gegevens kun je ook eenvoudig zelf aanpassen in de applicaties van FRC waarvoor je je geregistreerd hebt.

Om een verzoek met betrekking tot een van onderstaande rechten in te dienen kun je contact met ons opnemen door een e-mail te sturen naar: privacy@sbrnexus.nl. Wij zullen dan uiterlijk binnen 8 werkdagen reageren op je verzoek.

We moeten zeker weten dat we de persoonsgegevens aan de juiste persoon verstrekken. In dit kader zijn wij verplicht om jouw identiteit te controleren, zodat niet iemand anders toegang krijgt tot jouw gegevens. In dit kader kunnen wij jou verzoeken mee te werken aan deze verificatie. FRC neemt alleen verzoeken in behandeling die betrekking hebben op jouw eigen persoonsgegevens.

Recht op inzage
Wil je weten welke gegevens we van jou verwerken? Je kunt altijd een overzicht van je gegevens bij ons opvragen. Je kunt hiervoor een verzoek tot inzage in jouw persoonsgegevens indienen.

Jouw gegevens corrigeren of aanvullen (rectificatie)
Kloppen de persoonsgegevens die wij van jou gebruiken niet meer of zijn ze niet volledig? Wil je je gegevens corrigeren? Dan kun je een verzoek tot rectificatie indienen.

Zijn jouw persoonsgegevens in de SBR rapportage onjuist? Geef dit ook door aan de ondernemer of intermediair die verantwoordelijk is voor het invullen van uw gegevens in de SBR rapportage.

Je persoonsgegevens verwijderen (vergetelheid)
Je kunt ons onder bepaalde omstandigheden verzoeken om je gegevens uit onze systemen te verwijderen. Dit heeft mogelijk wel tot gevolg dat we onze diensten niet langer aan je kunnen leveren.

Verzet aantekenen tegen verwerking van je gegevens
In verschillende situaties kun je bezwaar maken tegen de (verdere) verwerking van je gegevens. Bijvoorbeeld op grond van je persoonlijke omstandigheden. Na beoordeling laten we je weten of en hoe we aan jouw verzoek kunnen voldoen.

Verwerking van jouw persoonsgegevens tijdelijk stopzetten (beperking).
Wil je de verwerking van je gegevens tijdelijk stil laten zetten? Neem dan contact met ons op.

Je gegevens overdragen (dataportabiliteit)
Als je je persoonsgegevens wilt overdragen, kun je van ons een kopie krijgen van de gegevens die wij van jouw opgeslagen hebben.

Klacht indienen
Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Daarvoor verwijzen wij je naar de website www.autoriteitpersoonsgegevens.nl.

8. Verstrekken van gegevens aan derden

FRC deelt alleen jouw persoonsgegevens met derden voor zover noodzakelijk voor de dienstverlening met inachtneming van de hiervoor genoemde doeleinden.

Bij het verwerken van persoonsgegevens en de opslag daarvan, maakt FRC gebruik van de diensten van een (of meerdere) (sub)verwerker(s). Dit is een derde partij die persoonsgegevens verwerkt op basis van de gemaakte afspraken. Met deze verwerker(s) heeft FRC een verwerkersovereenkomst gesloten.

Alle documenten en/of bestanden die jij vervolgens opslaat in jouw Mijn Data, Mijn Business account (bijvoorbeeld taxaties, jaarrekeningen en andere financiële gegevens), zullen worden bewaard in een cloud zodat deze voor jou toegankelijk zijn. Deze cloud wordt beheerd door een door FRC ingeschakelde partij, de verwerker. Indien deze documenten en/of bestanden persoonsgegevens bevatten, zullen deze persoonsgegevens derhalve ook worden verwerkt door de verwerker. Afspraken over de veiligheid van jouw persoonsgegevens zijn opgenomen in de verwerkersovereenkomst gesloten met deze verwerker.

Documenten en/of bestanden opgeslagen in jouw Mijn Data, Mijn Business account, zullen niet worden verstrekt aan derden (met uitzondering van de verwerker), tenzij jij uitdrukkelijk FRC hiertoe opdracht hebt gegeven.

Jouw persoonsgegevens worden door FRC in beginsel niet doorgegeven buiten de Europese Unie. Indien doorgifte toch noodzakelijk mocht zijn, draagt FRC ervoor zorg dat de doorgifte alleen plaatsvindt naar landen met een passend beschermingsniveau of als sprake is van passende waarborgen in de zin van de AVG.

9. Bescherming van persoonsgegevens

FRC en haar verwerkers hebben passende technische en organisatorische maatregelen getroffen om jouw persoonsgegevens te beveiligen en te beschermen. Bijvoorbeeld door middel van versleuteling van gegevens en de beveiliging van het berichtenverkeer door middel van HTTPS-protocol en SSL-codering (Secure Sockets Layer).

10. Bewaartermijnen

Wij bewaren persoonsgegevens in beginsel niet langer dan strikt noodzakelijk dan wel op grond van wet- en regelgeving is vereist. Hieronder volgt een opsomming van de verschillende bewaartermijnen die worden gehanteerd door FRC:

- persoonsgegevens benodigd voor het aanmaken van een persoonlijk account voor enige applicatie genoemd in dit Privacy Statement: worden verwijderd vier jaar nadat deze dienst door of voor jou is geëindigd;
- persoonsgegevens noodzakelijk voor mailings, meldingen en andere updates over marketingactiviteiten: tot het moment dat je je hiervoor uitschrijft;
- websitebezoek: IP-adressen die worden verzameld bij een websitebezoek worden bewaard door Google gedurende 38maanden (of een andere door Google vastgestelde termijn). Indien en voor zover gegevens worden doorgestuurd naar (servers van) Google in de Verenigde Staten, geldt dat Google zich heeft gecertificeerd op grond van het EU-US Privacy Shield en op die basis een passend beschermingsniveau biedt;
- SBR jaarrekening: bij gebruik van SBR Direct hanteert FRC voor de SBR jaarrekening een bewaartermijn van maximaal zes maanden. Die bewaartermijn is onderverdeeld in:
a) een bewaartermijn van maximaal drie maanden vanaf de datum van registratie in SBR Direct tot verzending van de SBR jaarrekening naar de aangesloten bank. In die periode kunnen gegevens die nodig zijn voor het samenstellen van een SBR jaarrekening worden ingevoerd en opgeslagen; en
b) een bewaartermijn van drie maanden vanaf de datum van verzending van de definitieve versie van de SBR jaarrekening naar een aangesloten bank. Na ommekomst van deze bewaartermijn zal de SBR jaarrekening worden verwijderd.

Documenten en/of bestanden opgeslagen door jou in jouw Mijn Data, Mijn Business account, kunnen in beginsel gedurende vier jaar worden bewaard in de cloud, tenzij jij deze eerder verwijdert. FRC kan ook op jouw verzoek documenten geüpload in de cloud (eerder) verwijderen.

In alle gevallen geldt dat wij bovengenoemde termijnen hanteren, tenzij sprake is van zwaarwegende belangen om persoonsgegevens langer te bewaren (bijvoorbeeld: in geval van (verwachte) juridische geschillen) of deze nog nodig zijn voor een van de andere doelen als genoemd in dit Privacy Statement.

11. Cookies

FRC verzamelt en analyseert via haar websites bepaalde gegevens over het bezoek aan deze websites. Bijvoorbeeld de bezoekfrequentie, browsertype, IP-adres, bezochte pagina's en de duur van de gebruikerssessie. Deze gegevens gebruikt FRC om de werking van de verschillende internetpagina's te verbeteren en de website beter op gebruikerswensen aan te passen. De gegevens worden niet doorgegeven aan derden. Alleen FRC en haar verwerkers hebben toegang tot de gegevens.

FRC maakt bij haar websites gebruik van een authenticatie cookie. Dit is een cookie die gedurende een browsersessie de sessie-id opslaat. Je wachtwoord wordt niet opgeslagen. De cookie zorgt ervoor dat je gedurende een bezoek aan de website niet steeds opnieuw hoeft in te loggen. Bij het verlaten van de browser wordt deze cookie verwijderd.

12. Links naar andere websites

Op www.sbrnexus.nl zie je links naar websites van derden. Hoewel deze websites met zorg zijn geselecteerd, draagt FRC geen verantwoordelijkheid voor de omgang met je persoonsgegevens door deze derden. Lees hiervoor het privacy statement van de website die je bezoekt.

13. Wijzigingen in privacy statement

FRC behoudt zich het recht voor dit privacy statement te wijzigen. Wanneer de tekst wordt aangevuld of gewijzigd, zal dit kenbaar worden gemaakt in het privacy statement.

Contact met ons opnemen

Heb je opmerkingen of vragen over je privacy of ons privacybeleid, dan kun je met ons contact opnemen via: privacy@sbrnexus.nl.

Laatst gewijzigd op: 9 juli 2020, versie 1.1.