Privacyverklaring

In deze privacyverklaring wordt uitgelegd hoe Bureau van Dijk Editions Electroniques Sàrl ("Bureau van Dijk", "we", "wij", "ons", "onze"), een bedrijf van Moody’s Corporation met vestigingsadres Louizalaan 250, 1050 Brussel, België, persoonsgegevens verwerkt met betrekking tot de volgende producten:

(de 'producten'). 

'Persoonsgegevens' zijn gegevens waarmee levende individuen kunnen worden geïdentificeerd of die kunnen worden gebruikt om levende individuen te identificeren.

1. Over de producten

Onze klanten zijn onder meer financiële instellingen, accountantsbureaus en juridisch adviseurs, en daarnaast bedrijven in verscheidene branches en sectoren. Klanten gebruiken de producten voor doeleinden op het vlak van compliance, risicobeoordeling en business intelligence, waaronder:

• Naleving van wetten en voorschriften, zoals verplichtingen ten aanzien van 'KYC' (Know Your Customer), sanctiescreening, bestrijding van witwassen en controles tegen omkoping en corruptie.
• Beoordeling van risico's, zoals bedrijfskredietrisico's, leveranciersrisico's en aanschafrisico's.
• Zaken met betrekking tot business intelligence, zoals informatie over de meest recente fusies en overnames, directe buitenlandse investeringen en octrooien die in handen zijn van bedrijven.
• Daarnaast kunnen sommige producten door klanten worden gebruikt voor bedrijfsontwikkelingsdoeleinden. 

Wij verzamelen de persoonsgegevens die aanwezig zijn in de producten van verschillende bronnen, waaronder externe leveranciers. Het is de verantwoordelijkheid van onze klanten om ervoor te zorgen dat hun gebruik van de producten in overeenstemming is met de geldende wetten en voorschriften.

2. Persoonsgegevens in de producten

Hoewel de producten vooral gericht zijn op ondernemingen, bevatten ze ook informatie over belangrijke personen die gekoppeld zijn aan bedrijven, zoals eigenaars, bestuurders, aandeelhouders, managers en professionele adviseurs, en octrooihouders (in het geval van Orbis Intellectual Property).

De producten bevatten onder meer de volgende typen persoonsgegevens:

• Naam
• Contactgegevens die worden verstrekt in aan bedrijven gerelateerde records. Het gaat hier veelal om contactgegevens van een bedrijf, maar er kan ook sprake zijn van contactgegevens van personen als die zijn opgenomen in records die aan een bedrijf zijn gerelateerd.
• Aanhef (heer/mevrouw)
• Functies binnen het bedrijf
• Leeftijd
• Nationaliteit en/of nummers van identiteitsdocumenten
• Status als gediskwalificeerde bestuurder

Hieronder wordt een volledige lijst weergegeven met typen persoonsgegevens die aanwezig kunnen zijn in de verschillende producten:

3. Waarom de producten persoonsgegevens bevatten

Klanten die basiscontroles uitvoeren, zoals KYC en controles voor de bestrijding van witwassen, moeten kunnen begrijpen met wie ze te maken hebben en de aan hen verstrekte informatie kunnen verifiëren.

Elk gegevensveld dat is opgenomen in de producten, is noodzakelijk voor deze basisdoeleinden. 

Bijvoorbeeld:

• Zonder naam en contactgegevens kunnen klanten geen zoekopdrachten uitvoeren om de identiteit van personen te bevestigen.
• Zonder geboortejaar of -datum kunnen personen met dezelfde of een vergelijkbare naam eenvoudig door elkaar worden gehaald, met identiteitsverwisselingen tot gevolg.
• Ook zonder nationaliteit en/of nummers van identiteitsdocumenten kunnen personen met dezelfde of een vergelijkbare naam eenvoudig door elkaar worden gehaald, met identiteitsverwisselingen tot gevolg. Nummers van identiteitsdocumenten worden door klanten ook gebruikt om kopieën van identiteitsdocumenten te controleren die personen aan hen hebben verstrekt voor KYC-doeleinden.

4. Bronnen van persoonsgegevens in de producten

Hieronder beschrijven we de bronnen van persoonsgegevens die aanwezig zijn in de producten:

• Openbaar beschikbare bronnen: de meeste persoonsgegevens zijn afkomstig uit openbaar beschikbare informatie, zoals nationale databases met bedrijfsgegevens, de eigen websites van bedrijven en hun jaarverslagen. De informatie kan rechtstreeks van ons afkomstig zijn, maar ook niet rechtstreeks via informatieverstrekkers worden verkregen.
• Rechtstreekse interacties: sommige gegevens die niet in het openbare domein aanwezig zijn, worden rechtstreeks door ons ter beschikking gesteld via correspondentie met de bedrijven die in de producten zijn opgenomen.

5. Gebruik van persoonsgegevens in de producten

Hieronder wordt beschreven op welke manieren persoonsgegevens worden gebruikt en gedeeld in de producten:

1. Gebruik door klanten: zoals hierboven wordt beschreven, gebruiken onze klanten de producten voor doeleinden op het vlak van compliance, risicobeoordeling en business development. Wij zijn niet verantwoordelijk voor de manier waarop klanten persoonsgegevens in de producten gebruiken.
2. Gebruik door interne klanten: aan Moody's Corporation gelieerde ondernemingen gebruiken de Producten zoals onze klanten, voor dezelfde klantdoeleinden als hierboven beschreven, inclusief compliance en risicobeoordeling.
3. Afstemming van gegevens met informatieverstrekkers: wij delen persoonsgegevens weer met de informatieverstrekkers van wie wij persoonsgegevens betrekken als onderdeel van het bijwerk- en correctieproces.
4. Gebruik binnen Moody’s Corporation: Bureau van Dijk is onderdeel van Moody’s Corporation. Sommige medewerkers van Moody’s die werken aan de producten (bijvoorbeeld voor IT-ondersteuning, verkoop, juridische zaken en compliance), hebben toegang tot de producten en de gegevens daarin voor zover dat noodzakelijk is voor het uitvoeren van hun taken.
5. Bedrijfsoverdracht: als Bureau van Dijk deel uitmaakt van een bedrijfsreorganisatie, verkoop, fusie of acquisitie, kunnen de persoonsgegevens in de producten worden vrijgegeven als onderdeel van de overeenkomst, met inachtneming van contractuele voorwaarden om de vertrouwelijkheid te waarborgen en te garanderen dat de persoonsgegevens uitsluitend worden gebruikt zoals beschreven in deze privacyverklaring.
6. Wettelijke of gereglementeerde vrijgave: wij kunnen persoonsgegevens die aanwezig zijn in de producten vrijgeven als redelijkerwijs wordt vereist om dat te doen, bijvoorbeeld om te voldoen aan de vereisten van de geldende wet- en regelgeving of op verzoek van regelgevende instanties, rechtbanken of overheidsinstellingen, of om onze wettelijke rechten uit te oefenen of te verdedigen.

    

6. Aanvullende informatie voor de Europese Unie en het Verenigd Koninkrijk

Wij verwerken persoonsgegevens in de producten binnen het kader van de legitieme belangen van de Algemene Verordening Gegevensbescherming ("AVG") van de EU, omdat het zowel in ons belang als in het belang van onze klanten is om beperkte persoonsgegevens over aan bedrijven gerelateerde personen te verwerken:

• De persoonsgegevens, zoals naam, contactgegevens, geboortedatum en gegevens over bestuursmandaten/-functies, zijn beperkt, relevant, proportioneel en noodzakelijk voor de verwerkingsdoeleinden.
• De betreffende gegevenssubjecten, zoals eigenaars, bestuurders, aandeelhouders, managers en professionele adviseurs van de bedrijven die worden vermeld in de producten, zijn niet-kwetsbare volwassenen in de uitoefening van hun beroepsfunctie.
• De producten worden gebruikt door klanten voor extreem belangrijke doeleinden zoals naleving van wet- en regelgeving en risicobeoordelingen, waaronder naleving van wetten en voorschriften met betrekking tot KYC, bestrijding van witwaspraktijken en controles tegen omkoping en corruptie, sanctiescreening, transferprijsbepaling, bedrijfskredietrisico's, leveranciersrisico's en aanschafrisico's. Deze toepassingen dienen grotere publieke belangen voor het ondersteunen van economische stabiliteit en het terugdringen van financiële criminaliteit. Sommige producten kunnen ook worden gebruikt voor bedrijfsontwikkelingsdoeleinden. Dit wordt als minder belangrijk beschouwd dan naleving van wetten en risicobeoordelingen, maar is wel erkend als legitiem belang in het kader van de AVG.
• De verwerking blijft naar alle waarschijnlijkheid binnen de redelijke verwachtingen van de personen op wie de gegevens betrekking hebben, gezien de professionele rol die zij vervullen met betrekking tot de bedrijven die worden vermeld in de producten.
• De informatie wordt uiteindelijk verkregen uit openbaar beschikbare informatie (zoals nationale databases met bedrijfsgegevens, eigen websites van bedrijven en hun jaarverslagen) of in sommige gevallen rechtstreeks van de bedrijven via directe correspondentie.
• Wij treffen de nodige maatregelen om de nauwkeurigheid en integriteit van de gegevens te waarborgen, door bijvoorbeeld gegevens uit meerdere gegevensbronnen met elkaar te vergelijken, gegevens als 'niet actueel' te markeren als deze niet in de afgelopen week zijn bijgewerkt en de personen op wie de gegevens betrekking hebben, de mogelijkheid te bieden om hun persoonsgegevens (indien nodig) in te zien en te corrigeren.
• Wij treffen de nodige beveiligingsmaatregelen om de persoonsgegevens te beschermen, waaronder fysieke beveiligingsmaatregelen, 'hardening' van systemen, patchmanagement, kwetsbaarheidsbeheer, toegangscontroles, de implementatie van antivirus- en antimalwareoplossingen en beleidsvoorschriften en procedures voor datalekken.

De persoonsgegevens worden in de producten opgeslagen zo lang als redelijkerwijs noodzakelijk is voor het realiseren van de doeleinden waarvoor deze gegevens werden verzameld, met inbegrip van het doel om te voldoen aan de wettelijke, reglementaire, fiscale, boekhoudkundige en rapportagevereisten. Om de juiste bewaarperiode voor persoonsgegevens te bepalen, houden wij rekening met de hoeveelheid, aard en gevoeligheid van de persoonsgegevens, het mogelijke risico op schade als gevolg van onbevoegd gebruik of vrijgave, en de geldende wettelijke, reglementaire, fiscale, boekhoudkundige en andere vereisten.

De persoonsgegevens worden opgeslagen in de EU. Voor het overdragen van persoonsgegevens buiten de EER binnen Moody’s Corporation gebruiken we contractuele bepalingen die voldoen aan de EU-normen om ervoor te zorgen dat er een equivalent niveau van gegevensbescherming wordt toegepast. Een kopie van deze bepalingen kunt u opvragen door een e-mail te sturen naar privacy@bvdinfo.com.

Als u toegang wilt krijgen tot uw persoonsgegevens in de producten en uw recht op rectificatie, bezwaar, beperking, verwijdering en digitaal testament wilt uitoefenen, kunt u hier contact met ons opnemen.

U hebt tevens het recht om een klacht in te dienen bij uw lokale gegevensbeschermingsautoriteit als u zich zorgen maakt over de manier waarop wij uw persoonsgegevens verwerken. Wij hopen echter dat we eventuele vragen en problemen kunnen oplossen en vragen u dan ook om eerst rechtstreeks contact met ons op te nemen.

7. Aanvullende informatie voor Californië

In Californië is de 'California Consumer Privacy Act' (CCPA) (burgerlijk wetboek § 1798.100) van kracht, die de inwoners van Californië specifieke rechten met betrekking tot persoonsgegevens biedt. Het gaat om de volgende rechten:

• Het opvragen van informatie over de manier waarop wij persoonsgegevens hebben verzameld en gebruikt in de afgelopen twaalf (12) maanden, waaronder: (i) de categorieën van de verzamelde persoonsgegevens, (ii) het zakelijke of commerciële doel voor het verzamelen of verkopen van persoonsgegevens, (iii) de categorieën van de bronnen waaruit de persoonsgegevens worden verzameld, en (iv) de categorieën van derden met wie wij persoonsgegevens delen of aan wie wij persoonsgegevens verkopen. Inwoners van Californië kunnen twee afzonderlijke lijsten opvragen met (a) de categorieën van hun persoonsgegevens die wij hebben verkocht en (b) de categorieën van hun persoonsgegevens die wij hebben gedeeld in het kader van een zakelijk doel.
• Inwoners van Californië kunnen een kopie van hun persoonsgegevens opvragen in een veel gebruikte en door een machine leesbare indeling.
• Behoudens bepaalde uitzonderingen kunnen inwoners van Californië ons verzoeken om hun persoonsgegevens te verwijderen.
• Inwoners van Californië kunnen ons ook verzoeken om hun persoonsgegevens niet te verkopen aan derden, zoals hierna wordt beschreven.

Voor het uitoefenen van de hierboven beschreven rechten kan het nodig zijn dat wij uw identiteit of bevoegdheid verifiëren om het verzoek in te kunnen dienen en te bevestigen dat de persoonsgegevens op u betrekking hebben. Alleen uzelf of een bij de staatssecretaris van California geregistreerde persoon die u machtigt om namens u op te treden, kan een verifieerbaar consumentenverzoek voor uw persoonsgegevens indienen. Wij zullen u niet discrimineren vanwege het uitoefenen van uw privacyrechten in het kader van de CCPA of de geldende wetgeving.

In de afgelopen twaalf (12) maanden hebben wij de hierboven beschreven categorieën van persoonsgegevens van inwoners van Californië verzameld. Wij hebben dergelijke persoonsgegevens in de afgelopen twaalf (12) maanden ook vrijgegeven aan derden voor de hierboven beschreven doeleinden.

In de afgelopen twaalf (12) maanden hebben we producten en diensten verkocht waarin persoonsgegevens waren opgenomen van inwoners van Californië die tot de categorieën leidinggevenden, functionarissen, managers, investeerders, individuele aandeelhouders of organisaties behoren. Inwoners van Californië hebben het recht om de verkoop van hun persoonsgegevens aan derden te blokkeren. U kunt van dit recht gebruikmaken door op www.bvdinfo.com/en-us/california-consumer-privacy-act te klikken om de webpagina "Do Not Sell My Personal Information" (Mijn persoonsgegevens niet verkopen) te openen en de instructies op die pagina te volgen. Op de startpagina van Bureau van Dijk is ook een koppeling naar deze webpagina beschikbaar.

8. Aanvullende informatie voor Brazilië

Als u vragen of opmerkingen hebt over uw rechten onder de Braziliaanse Lei Geral de Proteção de Dados (LGPD), neemt u contact op met onze functionaris voor gegevensbescherming. U kunt dit doen door een e-mail te sturen naar: privacy@moodys.com.

9. Contactgegevens en vragen

Als u vragen hebt over onze privacyprocedures of contact met ons wilt opnemen, kunt u ons een e-mailbericht sturen via privacy@bvdinfo.com.

10. Wijzigingen in deze privacyverklaring

Hier kunt u altijd de meest recente versie van deze privacyverklaring vinden. U kunt de 'ingangsdatum' boven aan de pagina controleren om te zien wanneer deze privacyverklaring voor het laatst werd gewijzigd.