Inleiding
De Algemene Verordening Gegevensbescherming heeft grote invloed op het gebruik van persoonlijke gegevens binnen MoveYou. Er zijn echter nog veel open normen te vinden in de privacywetgeving. Wanneer spreken we van een 'hoog' risico? Wanneer "twijfelt" MoveYou aan de identiteit van een klant en wat zijn "passende maatregelen"? Dit zijn slechts enkele van de vragen die dagelijks kunnen opduiken. Dit privacybeleid geeft invulling aan deze begrippen door middel van juridisch onderbouwde kaders en criteria met als doel één gedragslijn bij MoveYou. MoveYou ontleent de bevoegdheid om hierover beleid te schrijven aan artikel 24(2) GDPR.
MoveYou is er zich van bewust dat haar diensten in zekere mate inbreuk maken op de privacy van haar gebruikers, het traject van gebruikers wordt immers gevolgd. Opgemerkt dient te worden dat gebruikers vrijwillig gebruik maken van de diensten van MoveYou door middel van registratie, waarbij hen vooraf gedegen informatie wordt verstrekt. Dit document legt uit hoe MoveYou de privacy van haar gebruikers en medewerkers beschermt, hoe zij wenst om te gaan met persoonsgegevens en hoe enkele open normen uit de GDPR worden geïmplementeerd. Kortom; Dit document bevat geen herhaling van reeds bekende wetgeving, maar een interpretatie van de open normen en antwoorden op de vraag hoe MoveYou wenst om te gaan met persoonsgegevens.
Ter verduidelijking: dit beleid is niet bedoeld om klanten of medewerkers te informeren over de omgang met hun persoonlijke gegevens. De privacyverklaring voor klanten is te vinden op de website en voor medewerkers in de personeelsgids.
Principes
Bij MoveYou draait alles om data. Bij het omgaan met data heeft MoveYou een set kernwaarden, die ook zijn verankerd in het ethisch beleid. De kernwaarden zijn eenvoudig:
- Transparantie
- Voorzichtigheid
- Geen discriminatie
- Gebruik kunstmatige intelligentie alleen voor het voorspellen van reisgedrag en kredietcontrole
Werknemers
Beveiliging van persoonsgegevens begint bij medewerkers. Hoe zorgt MoveYou ervoor dat medewerkers zorgvuldig omgaan met persoonsgegevens?
- Een adequaat aannamebeleid (waar nodig een verklaring omtrent gedrag) Medewerkers kennen een strikte geheimhoudingsovereenkomst waarvoor ze tekenen bij indiensttreding. Ze tekenen ook voor het lezen van de personeelsgids, waarin dit beleid en de 10 gouden regels zijn opgenomen.
- Een interne privacyverklaring waarin wordt uitgelegd hoe er wordt omgegaan met de persoonlijke gegevens van onze medewerkers. MoveYou is ervan overtuigd dat als er goed voor de medewerkers wordt gezorgd, dit ook gevolgen heeft voor de omgang met de persoonlijke gegevens van onze klanten.
- De 10 gouden regels voor werknemers zoals opgenomen in onze personeelsgids:
- Wees je ervan bewust dat je met de persoonlijke gegevens van iemand anders werkt en handel daarnaar. Behandel de gegevens precies zoals je zelf zou willen dat anderen met jouw gegevens omgaan.
- Zorg ervoor dat je het beleid en de regels van MoveYou met betrekking tot persoonlijke gegevens bestudeert .
- Realiseer je dat klanten het recht hebben om hun persoonlijke gegevens in te zien, inclusief jouw e-mail als die erin staat. Als je over klanten schrijft, schrijf het dan zo dat die e-mail morgen ook op de voorpagina van The Telegraph kan verschijnen.
- Integriteit is de sleutel; deel niet zomaar gegevens met anderen. Dit geldt niet alleen binnen MoveYou, maar ook buiten de organisatie.
- Zorg voor een goed wachtwoord. Een wachtwoordzin is nog beter. Vervang letters door cijfers en symbolen. Iets als "M0bilityi$futur€22", maar dan natuurlijk anders!
- Spreek je collega's aan als je ziet dat er niet zorgvuldig wordt omgegaan met persoonlijke gegevens van klanten. Omgekeerd, sta open voor feedback en verandering.
- Twijfelt u of u correct omgaat met persoonlijke gegevens? Vraag het de directie of de functionaris voor gegevensbescherming via fg@moveyou.com.
- Vermoed je een datalek? Bestudeer het datalekprotocol (onderdeel van de personeelsgids) en meld het zo snel mogelijk!
- Opgeruimd staat netjes! Laat geen papierwerk rondslingeren op je bureau en sluit je computer af als je je werkplek verlaat.
- Last but zeker not least: Denk mee! Heb jij ideeën over hoe we samen nog beter met gegevens kunnen omgaan? Mis je nog informatie? Deel het!
Maatregelen
De volgende maatregelen worden geïmplementeerd om de veiligheid van de persoonlijke gegevens van onze klanten en werknemers te waarborgen:
- Fysieke toegangsbeveiliging in - en rond het pand door middel van:
- Camera's
- Toegang door middel van gezichtsherkenning
- Toegang tot enkele belangrijke gebieden via vingerafdrukken
- Dagelijkse back-ups op Amazon servers
- Autorisatiematrix op de software en computerschijven
- Controle van verleende toegang tot gebouwen en software
- Privacybewustzijn en beveiligingstraining.
- Richtlijnen voor het gebruik van ICT-hulpmiddelen
- Geheimhoudingsovereenkomsten voor werknemers
- Service Level Agreements
- Screening van personeel (referenties en verklaring omtrent gedrag waar nodig)
- Bepalen van rollen, verantwoordelijkheden en afspraken met externe partijen over bijvoorbeeld aansprakelijkheid
- Uitvoering van EPIA's en jaarlijkse evaluatie
- Verplichte jaarlijkse ethische commissie en tijdens de ontwikkeling van nieuwe diensten en producten
- Wachtwoordbeleid
- Gegevens coderen
- Multifactor authenticatie
- Periodiek hacken en pentesten
- Procedure datalekken
MoveYou streeft ernaar om na verloop van tijd ISO-certificering te behalen. Daarnaast heeft MoveYou de wens om multifactor authenticatie te bieden voor het eindgebruikersgedeelte van de app.
Transparantie
Op basis van art. 13 en 14 GDPR is MoveYou verplicht om belanghebbenden te informeren over een aantal zaken met betrekking tot het gebruik van persoonsgegevens. MoveYou heeft op haar website een privacy statement ontworpen. Gebruikers worden gewezen op de privacyverklaring wanneer zij zich registreren en gaan ermee akkoord de privacyverklaring te lezen alvorens gebruik te maken van de diensten. MoveYou kan echter niet voldoen aan volledige transparantie vanwege concurrentiebelangen. Immers; als MoveYou zou openbaren welke (openbare) bronnen worden gebruikt om klanten te volgen, zou zij daarmee haar bedrijfsgeheim prijsgeven. Omdat dit niet geheel in lijn is met de transparantieverplichting onder de GDPR, streeft MoveYou ernaar zo transparant mogelijk te zijn en is de lijst niet uitputtend, maar geeft wel enkele voorbeelden. Dit alles om artikel 14 lid 5 sub B GDPR te waarborgen. Mocht een klant aandringen op het ontvangen van een volledige lijst, dan zal MoveYou een afspraak maken met de aanvrager om samen de mogelijkheden te bespreken. MoveYou heeft de intentie om op termijn, naast de schriftelijke privacyverklaring, deze ook op beeldmateriaal te tonen door middel van een video op de website.
Klanten & medereizigers
Met elke Klant en Medereiziger worden afspraken gemaakt over het delen van gegevens. Cliënten en Co-riders zijn niet te beschouwen als verwerkers (want handelend onder eigen gezag en naam1), maar als verwerkingsverantwoordelijken in de zin van de GDPR. MoveYou kwalificeert ook als verwerkingsverantwoordelijke en niet als verwerker namens de andere partij om dezelfde redenen als hierboven genoemd. Daarnaast bepaalt MoveYou zelf de doeleinden en middelen en heeft verder veel feitelijke invloed op de verwerking van gegevens. Tot slot wordt in de apps altijd kenbaar gemaakt dat deze wordt aangedreven door MoveYou, waardoor zowel Opdrachtgever, Medereiziger als MoveYou betrokken zijn als (onafhankelijke) verwerkingsverantwoordelijken in de zin van de GDPR. Om die reden is een verwerkersovereenkomst als bedoeld in Art. 28 GDPR niet verplicht. Omdat de wetgeving en jurisprudentie op het gebied van gegevensuitwisselingsovereenkomsten in andere situaties dan verwerkingen, nog niet uitgekristalliseerd is en er in sommige gevallen sprake kan zijn van gezamenlijke verantwoordelijkheid zoals bedoeld in Art. 26 GDPR, worden met elke klant afspraken gemaakt over het delen van gegevens. Hiervoor heeft MoveYou standaardclausules die deel uitmaken van het hoofdcontract, die zijn beoordeeld door de juridische afdeling. Als er afspraken worden gemaakt die afwijken van deze standaardclausules of als de dienstverlening afwijkt van het reguliere, wordt de overeenkomst voorgelegd aan de juridische afdeling.
1 In tegenstelling tot wat wordt vermeld in art. 28(1) GDPR.
Ethische en privacyeffectbeoordeling
De GDPR verplicht verwerkingsverantwoordelijken om een gegevensbeschermingseffectbeoordeling van de verwerking uit te voeren, vooral wanneer het gaat om het gebruik van nieuwe technologieën. Daarnaast is een gegevensbeschermingseffectbeoordeling (hierna: DPIA) vereist in het geval van een systematische en alomvattende beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de natuurlijke persoon of die de natuurlijke persoon op een vergelijkbare manier wezenlijk treffen.
Gezien het gebruik van kunstmatige intelligentie, usertracking en kredietcontroles voert MoveYou deze DPIA uit. Het is onmogelijk om dit op een begrijpelijke manier uit te voeren voor het platform als geheel. Daarom wordt de risicoanalyse uitgevoerd op de volgende diensten afzonderlijk:
- Brandstof
- Laden
- Parkeren
- Gedeeld vervoer/OV
- Achteraf betalen (privé en zakelijk) o Mobiliteitsgegevens
MoveYou kiest ervoor om niet alleen de wettelijk verplichte componenten in kaart te brengen, maar ook ethische kwesties aan te pakken. De diensten raken immers niet alleen de privacy van de gebruikers, maar roepen ook veel maatschappelijke en ethische vragen op. Om die reden gebruikt MoveYou de naam Ethical & Privacy Impact Assessment (EPIA) voor de DPIA. EPIA's staan verplicht op de agenda van de verplichte ethische commissie en worden halfjaarlijks geëvalueerd.
Ethische commissie
Gezien de gevoeligheid en maatschappelijke opvattingen over het volgen van gebruikers en kunstmatige intelligentie wil MoveYou dit niet klakkeloos inzetten, hoewel registratie geheel vrijwillig is. Daarom heeft MoveYou een ethische commissie ingesteld die jaarlijks de producten en diensten van MoveYou onder de loep neemt en bespreekt of deze op dat moment nog ethisch aanvaardbaar zijn. De commissie doet dit aan de hand van de EPIA. Naast de jaarlijkse toetsing komt de commissie ook bij elkaar als er nieuwe diensten en producten worden ontwikkeld en deze worden vroeg in het proces geraadpleegd als onderdeel van de "privacy by design" verplichting2. De ethische commissie bestaat uit 5 wisselende leden, niet zijnde medewerkers van MoveYou, die door het management van MoveYou worden geïnformeerd over de dienst en het product in kwestie. Door middel van stemming komt er een zwaarwegend advies uit waar het management alleen gemotiveerd aan voorbij kan gaan.
Functionaris voor gegevensbescherming
De AVG vereist dat verwerkingsverantwoordelijken een functionaris voor gegevensbescherming (DPO) aanstellen indien zij voornamelijk verantwoordelijk zijn voor verwerkingen die regelmatige en systematische observatie van betrokkenen vereisen (3). Gezien de core business van MoveYou is om deze reden DPO, bedrijfsjurist Elles Caroline Boer, aangesteld.
Protocol datalekken
MoveYou werkt dagelijks met persoonlijke gegevens. Ondanks de zorgvuldigheid en de beveiligingsmaatregelen die worden genomen kan het wel eens misgaan. In dit protocol lees je wat een datalek precies is, hoe je het kunt voorkomen en hoe je moet handelen als je denkt dat je een datalek hebt ontdekt.
Wat is een datalek?
Je spreekt van een datalek wanneer gegevens onbedoeld zijn verwijderd, verloren gegaan of gewijzigd. Maar ook wanneer er toegang is geweest door anderen of gegevens in handen zijn gekomen van personen terwijl dit niet de bedoeling was. Wist je dat iets al heel snel als een datalek kan worden beschouwd? Een verkeerde ontvanger van een e-mail of brief, een afdruk die bij de printer is blijven liggen of verborgen bijlagen, filters en tabbladen in een verzonden Excel. Het kan ons allemaal overkomen.
Wat moet je doen?
Meld een vermoedelijk datalek zo snel mogelijk aan het management en beantwoord de onderstaande vragen. Sommige datalekken moeten worden gemeld bij de toezichthoudende autoriteit, het College Bescherming Persoonsgegevens (hierna: CBP). Dit moet snel gebeuren, namelijk binnen 72 uur. Het is daarom belangrijk dat je elk datalek zo snel mogelijk meldt. De DPO (de interne toezichthouder, in ons geval Elles Caroline Boer) bekijkt eerst of het een datalek is en vervolgens of het een groot risico vormt voor de betrokkenen en of zij geïnformeerd moeten worden. Wil je weten hoe de DPO een datalek beoordeelt? Dat kun je hieronder lezen.
Dit is niet de enige reden om meldingen te doen. MoveYou is wettelijk verplicht om alle datalekken bij te houden (4). Op die manier kan de AP ons aansprakelijk stellen als we een datalek niet hebben gemeld terwijl dat wel had gemoeten.
(3) Art. 37(5) onder B GDPR.
(4) Art. 33(5) GDPR.
Vragenlijst bij het melden van een (vermoedelijk) datalek aan de DPO:
- Wanneer en hoe laat vond de (vermoedelijke) inbreuk plaats?
- Welke soorten persoonlijke gegevens zijn gelekt? Bijvoorbeeld naam, sofinummer, financiële gegevens, (kopieën) van identiteitsbewijzen, foto's.
- Waren de gelekte gegevens versleuteld en zo ja, hoe?
- Hoe groot is (ongeveer) de groep mensen van wie de gegevens zijn gelekt?
- Op welke manier is het lek ontstaan? Geef een zo volledig mogelijke beschrijving van het incident; wat gebeurde er?
- Was het lek naar derden of individuen? Zo ja, is dit een leverancier of partner van MoveYou?
- Wat hebt u na het incident gedaan om het datalek of incident te herstellen of te beperken?
- Wat kunnen mogelijke gevolgen zijn voor de gegevens? Bijvoorbeeld onbevoegde toegang, een dienst kan (tijdelijk) niet worden geleverd, de gegevens kunnen niet langer nauwkeurig zijn of de gegevens kunnen op een ongepaste of onwettige manier worden gebruikt.
- Is het mogelijk om de gelekte persoonlijke gegevens op afstand te wissen of ontoegankelijk te maken? Zo ja, is dit al gebeurd?
- Wat is de potentiële schade voor de betrokkenen? (Denk bijvoorbeeld aan discriminatie, reputatieschade, identiteitsdiefstal of fraude of financiële verliezen).
- Is het incident nu opgelost?
- Is het mogelijk om aanvullende technische en/of organisatorische maatregelen te nemen om een soortgelijk incident te voorkomen? Zo ja, welke technische en/of organisatorische maatregelen?
- Als er meer informatie nodig is, wat is dan uw naam en op welk zakelijk telefoonnummer bent u bereikbaar?
Hoe kun je het voorkomen?
Dit is erg voor de hand liggend, maar door altijd de ontvangers van je brief of e-mail dubbel te controleren. En door extra goed te kijken naar de inhoud en eventuele bijlagen. Wees je er gewoon van bewust dat je met persoonlijke gegevens werkt en handel daarnaar.
Datalek bij partners
Het kan gebeuren dat gegevens uitlekken naar een partij waarmee we samenwerken of aan wie we werk hebben uitbesteed. In de contracten met die partners hebben we afspraken gemaakt over wat te doen bij een datalek. In de meeste gevallen is afgesproken dat er contact wordt opgenomen met de DPO van MoveYou.
Inbreuk op beoordelingsgegevens
De GDPR zegt het volgende over het melden van een datalek: "Als zich een inbreuk in verband met persoonsgegevens heeft voorgedaan, meldt de voor de verwerking verantwoordelijke dit zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat hij er kennis van heeft genomen, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen."
Wat is een risico?
Er is sprake van een risico als het datalek kan leiden tot fysieke, materiële of immateriële schade voor de personen van wie de gegevens zijn gelekt. Voorbeelden van dergelijke schade zijn discriminatie, identiteitsdiefstal of fraude, financieel verlies en reputatieschade. Wanneer het datalek betrekking heeft op persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijkt, of op persoonsgegevens die genetische gegevens of gegevens met betrekking tot de gezondheid of het seksleven bevatten, of op strafrechtelijke veroordelingen en overtredingen of daarmee verband houdende veiligheidsmaatregelen, moet dergelijke schade als waarschijnlijk worden beschouwd.
De DPA heeft richtlijnen uitgegeven over hoe dit risico te beoordelen. Als de persoonsgegevens naar een onjuiste, maar betrouwbare ontvanger zijn gestuurd, kan dit betekenen dat het datalek niet langer een risico vormt. Betrouwbaar' betekent volgens de DPA dat met redelijke zekerheid gezegd kan worden dat de onjuiste ontvanger geen kwaad in de zin heeft. Bijvoorbeeld dat de ontvanger niets doet met de per ongeluk ontvangen gegevens en eventuele instructies opvolgt, zoals vernietigen of terugsturen. Het CBP geeft op haar website aan dat bijvoorbeeld een partij waarmee een zakelijke relatie bestaat, zoals een vaste leverancier of partner, als betrouwbaar kan worden beschouwd. Bij het beoordelen van een risico als gevolg van een datalek, wordt het advies van de DPA opgevolgd.
Op basis van de bovenstaande criteria beslist de DPO of een incident een datalek is en of het moet worden gemeld aan de DPA.
Een datalek melden aan de betrokkene
Niet alle datalekken die aan de DPA worden gemeld, moeten ook aan de betrokkene(n) worden gemeld; alleen als de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene(n), moet de datalek aan de betrokkene(n) worden gemeld.
Een datalek hoeft niet aan de betrokkene te worden gemeld als :
- Passende technische en organisatorische maatregelen om de risico's te beperken zijn onverwijld, maar uiterlijk binnen 24 uur, genomen;
- Er zijn onverwijld, maar uiterlijk binnen 24 uur, maatregelen genomen om het hoge risico voor de rechten en vrijheden van de betrokkenen tot een minimum te beperken;
- Het doen van de mededeling zou een onevenredige inspanning vergen. In plaats daarvan volstaat een openbare aankondiging of een vergelijkbare maatregel om betrokkenen te informeren.
Rechten van betrokkenen
Onder de Algemene Verordening Gegevensbescherming hebben betrokkenen verschillende rechten met betrekking tot hun persoonsgegevens. De rechten, eventuele beperkingen op deze rechten en weigeringsgronden worden hieronder besproken.
Betrokkenen kunnen de volgende verzoeken of bezwaren indienen bij MoveYou:
- Recht op informatie (art. 13 en 14 GDPR)
- Recht op toegang (art. 15 GDPR)
- Recht op rectificatie en/of aanvulling (art. 16 GDPR)o Recht om vergeten te worden (art. 17 GDPR)
- Recht op beperking van de verwerking (art. GDPR) o Recht op bezwaar (art. 21 GDPR)
- Recht op gegevensoverdraagbaarheid (art. 20 GDPR)
Deze grondrechten zijn erg belangrijk, maar ze zijn niet absoluut. Dit betekent dat soms een ander (grond)recht zwaarder weegt of dat er (wettelijke) gronden zijn om deze rechten te beperken of te ontzeggen.
Beperkingen
Doel van het toegangsrecht
Het recht op inzage door de betrokkene houdt niet in dat MoveYou verplicht is een kopie te verstrekken van de documenten die de persoonsgegevens bevatten. MoveYou kan dit doen, maar kan ook kiezen voor een andere vorm, mits met deze wijze van verstrekking aan het doel van toegang wordt voldaan. Het doel van Art. 15 GDPR is zodat de betrokkene kennis kan nemen van de verwerking en de rechtmatigheid ervan kan controleren. Uiteraard wil MoveYou klanten tegemoet komen die simpelweg een kopie van bepaalde items willen ontvangen (en de rechtmatigheid niet willen controleren), maar dit is een vorm van klantenservice die niet onderhevig is aan afhandelingstermijnen en andere wettelijke formaliteiten.
Rechten en vrijheden van anderen
Wanneer aan een verzoek wordt voldaan, worden namen van derden (zoals werknemers of andere gebruikers) geanonimiseerd of niet verstrekt om hun rechten en vrijheden te beschermen.
Bewijslast
Indien de betrokkene van mening is dat de verstrekte documentatie onvolledig is en MoveYou heeft verklaard dat na onderzoek is gebleken dat een bepaald document niet (meer) beschikbaar is en dit niet onaannemelijk lijkt, is het aan de aanvrager om aannemelijk te maken dat het tegendeel waar is.
Andere gronden voor weigering
Een verzoek kan (gedeeltelijk) worden geweigerd vanwege het belang van de nationale veiligheid, de openbare veiligheid, het voorkomen, opsporen en vervolgen van strafbare feiten en voor de bescherming van de betrokken persoon of rechten en vrijheden van anderen of andere beperkingen genoemd in art. 23 GDPR.
MoveYou kan een verzoek weigeren indien het kennelijk buitensporig is of een vergoeding in rekening brengen indien dit het geval is. Gezien de hoeveelheid gegevens waarover MoveYou beschikt en de verwerkingstijd, worden meer dan twee verzoeken per kalenderjaar als buitensporig beschouwd. Een verzoek kan ook geweigerd worden als niet voldaan is aan randvoorwaarden, zoals identificatie (hierover later meer).
Tot slot kan een verzoek worden geweigerd als er sprake is van vermoedelijk misbruik van recht. Er is sprake van misbruik van recht als een dergelijke bevoegdheid wordt gebruikt voor een ander doel dan waarvoor deze is gegeven, dus het doel van het verzoek kan relevant zijn bij de beoordeling of er sprake is van misbruik van recht. In geval van twijfel zal om een uitleg van het doel worden gevraagd. Voorbeelden van misbruik van recht zijn verzoeken die tot doel hebben het ontslag van een werknemer aan te vechten, zijn onschuld te bewijzen of een rechtszaak te beginnen.
Identificatiebeleid
Wanneer een betrokkene een verzoek doet onder de GDPR, wordt de identiteit geverifieerd om er zeker van te zijn dat het verzoek betrekking heeft op de juiste persoon. MoveYou vraagt uitdrukkelijk niet om een kopie van een identiteitsbewijs om onrechtmatige verwerking te voorkomen. In de meeste gevallen beschikt MoveYou al over een grote hoeveelheid persoonsgegevens van de aanvrager. In dat geval worden, bij voorkeur telefonisch, een aantal verificatievragen gesteld, zoals adres, kenteken, geboortedatum, om vast te stellen dat het juiste profiel aan de juiste persoon wordt gekoppeld. Indien de MoveYou medewerker twijfelt aan de identiteit van de sollicitant, bijvoorbeeld omdat de stem niet overeenkomt met de leeftijd of het geslacht of wanneer de verificatievragen twijfelachtig worden beantwoord, nodigt de MoveYou medewerker de sollicitant uit om een geldig legitimatiebewijs te tonen op het kantoor in Franeker of Amsterdam. Indien de omstandigheden dit niet toelaten, zal getracht worden de aanvrager via videobellen een identiteitsbewijs te laten tonen.
Monitoringplan
Om de privacy van gebruikers en medewerkers te waarborgen, wordt het volgende controleplan gebruikt. Hierover wordt direct en indien nodig jaarlijks gerapporteerd aan het management.