PwC en persoonsgegevens

versie oktober 2017

PwC neemt het beschermen van persoonsgegevens zeer serieus. De Algemene Verordening Gegevensbescherming (‘AVG’) hebben wij aangegrepen om ons programma voor databescherming en dataveiligheid opnieuw in te richten. De nieuwe Europese wetgeving heeft een plaats in onze interne procedures, in de opleiding van medewerkers en in de inrichting van processen, systemen en relevante (interne) documentatie.

De basis van hoe wij met persoonsgegevens omgaan, hebben we vaststaan in onze gedragscode (PwC Code of Conduct) die op alle PwC’ers van toepassing is:

“We beschermen persoonlijke informatie en andere vertrouwelijke informatie in elke vorm. We verzamelen, bewaren, gebruiken, verzenden en verwijderen persoonlijke en vertrouwelijke informatie op een transparante manier die vertrouwen bevordert. We verzamelen, gebruiken en bewaren persoonlijke informatie, klantinformatie en andere vertrouwelijke informatie alleen als we hiervoor een gegronde reden hebben. Toegang tot deze informatie wordt alleen verleend als dat nodig is. Onze vertrouwelijkheidsplicht eindigt niet als we bij PwC vertrekken; we blijven de vertrouwelijkheid van informatie zelfs na ons vertrek respecteren.”

Dit gedrag hebben wij uitgewerkt in een aantal regels, voor zowel het ontvangen als het versturen of delen van gegevens.

Wij beschermen de gegevens die wij ontvangen

• Een medewerker die aan een opdracht werkt, houdt de gegevens die hij of zij ontvangt geheim.
• We gebruiken de gegevens alleen voor het doel waarvoor wij ze ontvangen. Daarom krijgen alleen die collega’s die de gegevens nodig hebben om hun taak uit te oefenen, toegang tot deze gegevens (need to know-principe).
• We verwijderen persoonsgegevens direct na het afronden van de opdracht, tenzij de wet of beroepsregels ons verplichten ze te bewaren (bijvoorbeeld voor het aanhouden van een dossier).

Wij beschermen de gegevens die wij versturen of met derden delen

• Als we persoonsgegevens moeten versturen naar landen buiten de Europese Economische Ruimte, handelen we in lijn met toepasselijke wetgeving voor de transfer van persoonsgegevens. We sturen alleen persoonsgegevens wanneer we vereiste, passende waarborgen hebben.
• Als wij externe dienstverleners of andere derden inschakelen die toegang hebben tot persoonsgegevens van onze klanten, dan sluiten we met die partij een (sub-)verwerkersovereenkomst. Wij werken met derde partijen die voldoen aan onze beveiligingsvereisten.

Wij hanteren strenge standaarden

• PwC hanteert een wereldwijd informatiebeveiligingsbeleid (Information Security Policy) waaraan iedere PwC Territory moet voldoen. Dit beleid is gebaseerd op de meest gangbare sectorstandaarden (COBIT, ISF, NIST, ISO) en de Europese privacywetgeving.
• Via de nieuwste technologieën en encryptie worden klant- en persoonsgegevens beveiligd tegen datalekken, ongeautoriseerde toegang of onrechtmatige verwerking.
• PwC heeft een procedure voor het melden van een datalek conform de Wet Meldplicht datalekken.