Laatste update: september 2023
Algemene informatie
Prometric LLC is een vennootschap met beperkte aansprakelijkheid uit Delaware, VS, met de hoofdvestiging op 1501 South Clinton Street, Baltimore, Maryland 21224 USA (hierna "Bedrijf", "ons" of "we"). Prometric kan optreden als de gegevensbeheerder of als gegevensverwerker, afhankelijk van de relatie met de betrokkene.
Deze Privacyverklaring (“Verklaring”) is opgesteld en geïmplementeerd in overeenstemming met de hierin uiteengezette principes, om onze praktijken met betrekking tot de verzameling en verwerking van Persoonlijke Gegevens van testkandidaten, klanten, aannemers en partners te beschrijven. Prometric besteedt bijzondere aandacht aan het respect voor privacy en Persoonlijke Gegevens en verplicht zich te voldoen aan deze Verklaring en aan de toepasselijke wetgeving.
In het bijzonder verplicht het Bedrijf zich te voldoen aan alle gegevensbeschermingswetten waar het bedrijf actief is, waaronder:
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (“AVG”);
- De California Consumer Privacy Act van 2018 (“CCPA”), zoals gewijzigd door de California Privacy Rights Act van 2020 (“CPPA”);
- De Personal Information Protection Law van de Volksrepubliek China (“PIPL”);
- Andere relevante gegevensbeschermingsregelingen waar het Bedrijf actief is.
“Toepasselijke wetgeving” verwijst naar de relevante nationale gegevensbeschermingswet of toepasselijke regeling met betrekking tot gegevensbescherming.
“Persoonlijke Gegevens” betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.
“Verwerking” betekent elke bewerking of set van bewerkingen die wordt uitgevoerd op Persoonlijke Gegevens of op sets van Persoonlijke Gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door middel van overdracht, verspreiding of op andere wijze beschikbaar stellen, uitlijning of combinatie, beperking, verwijdering of vernietiging.
1. Welke soorten Persoonlijke Gegevens verzamelen we?
Prometric verzamelt de volgende Persoonlijke Gegevens, afhankelijk van uw relatie met het Bedrijf en de Toepasselijke wetgeving:
- Contactgegevens, waaronder naam, adres, telefoonnummer, land-specifiek identificatienummer, e-mailadres, inlog- en wachtwoordinformatie
- Geboortedatum
- Geslacht
- Details over het plannen van tests voor kandidaten
- Details over testbeoordelingen, inclusief ID-nummer van de testkandidaat, afgenomen examens en wanneer, scores gerelateerd aan die examens, hoe vaak een examen of een bepaald gedeelte van examens is afgenomen
- Sociale zekerheidsnummers waar vereist door de testsponsor voor kandidaten (VS)
- Betalings- en financiële instellinginformatie
- Verblijfplaats en nationaliteit
- Foto
- Handtekening
- Video-opnamen
- Audio-opnamen (voor zover toegestaan door de wet en alleen in specifieke rechtsgebieden)
- Informatie van identificatie-, verificatie- of geschiktheidsdocumenten
- Transactie- en Relatie-informatie, inclusief elementen die de testpatronen van kandidaten, testlocaties, testresultaten en informatie over het gebruik van Prometric-websites en -toepassingen onthullen.
Daarnaast kan Prometric speciale categorieën van Persoonlijke Gegevens verwerken, zoals toegestaan door de Toepasselijke wetgeving, die kunnen omvatten:
- Biometrie (vingerafdrukafbeeldingen en -sjablonen, gezichtsafbeeldingen en -sjablonen)
- Gezondheidsinformatie of medische gegevens met betrekking tot verzoeken van testkandidaten voor testvoorzieningen
- Ras of etniciteit, zoals toegestaan door de Toepasselijke wetgeving
2. Hoe verzamelen we uw Persoonlijke Gegevens?
In de meeste gevallen verzamelt Prometric dergelijke Persoonlijke Gegevens rechtstreeks van de individuele betrokkene.
Echter, in andere gevallen kunnen we informatie ontvangen van testsponsors of van derde partijen die gegevens leveren om ons te helpen onze klanten beter te begrijpen. Wanneer een kandidaat de website van Prometric bezoekt, zich registreert of een examen aflegt, onze toepassingen gebruikt of contact met ons opneemt, verzamelen we ook transactie-informatie voor klantenservicedoeleinden.
Alle Persoonlijke Gegevens die door Prometric via onze mobiele toepassingen worden verzameld, zijn beschermd en worden verwerkt in overeenstemming met de voorwaarden van deze Verklaring. We bieden ook automatische ("push") meldingen alleen aan degenen die zich aanmelden om dergelijke meldingen van ons te ontvangen. Geen enkele persoon is verplicht om locatie-informatie aan Prometric te verstrekken of om pushmeldingen in te schakelen om een van onze mobiele toepassingen te gebruiken.
Verzameling van Biometrische Gegevens
Het Biometrisch Geactiveerde Check-In Systeem en het remote proctoring platform van Prometric (bekend als ProProctor) zijn ontworpen om de veiligheid en integriteit van het testproces te verbeteren op een manier die de privacy van de testkandidaat beschermt terwijl de identiteit van de testkandidaat wordt bevestigd. Deze technologieën worden gebruikt voor identiteitsverificatie, om fraude en misrepresentatie te detecteren en te voorkomen, om de integriteit van het testproces te waarborgen en de veiligheid van testcentra en op afstand toezicht gehouden examens te verbeteren.
3. Waarom verzamelen we uw Persoonlijke Gegevens?
Namens onze testsponsors verzamelt Prometric uw Persoonlijke Gegevens voor de volgende doeleinden:
- Het plannen van testexamens
- Identiteitsverificatie
- Het afnemen van tests en betalingen
- Het beheren van klantenserviceverzoeken
- Het detecteren en voorkomen van fraude en misrepresentatie door ongeautoriseerde kandidaten
- Het uitvoeren van data-analyse om de integriteit van het testproces te waarborgen
- Het rapporteren van testresultaten aan de kandidaat en de testsponsor
- Het uitvoeren van marketingactiviteiten, onder voorbehoud van de Toepasselijke wetgeving
Voor leveranciers en andere derde partijen verzamelt Prometric uw Persoonlijke Gegevens voor de volgende doeleinden:
- Leveranciersbeheer en administratie
- Factuurverwerking
- Ken uw leverancier due diligence en andere wettelijke vereisten
4. Wat zijn de juridische bases voor de verwerking van uw Persoonlijke Gegevens?
Persoonlijke Gegevens worden over het algemeen verzameld en verwerkt op basis van de volgende juridische gronden:
- Uw toestemming voor de verzameling en verwerking van speciale categorieën van Persoonlijke Gegevens.
- Uw toestemming indien vereist door de Toepasselijke wetgeving voor grensoverschrijdende gegevensoverdracht.
- De uitvoering van een contract dat het registreren en plannen voor een test, het afnemen van die test, fraudepreventie en de verwerking van de resultaten omvat.
- Voor legitieme zakelijke doeleinden, zoals factuurverwerking en financieel accountbeheer, back-updoeleinden om de continuïteit van de bedrijfsvoering te faciliteren, testcentrumbeheer, bedrijfsplanning, contractbeheer, verbetering van de testdiensten die aan onze klanten worden aangeboden, het voorstellen van gerelateerde diensten en producten aan bestaande testkandidaten, websitebeheer, uitvoering, analyse, beveiliging en fraudepreventie, corporate governance, planning voor rampenherstel, auditing en rapportage
- Voldoen aan wettelijke of regelgevende verplichtingen.
5. Openbaarmaking van Persoonlijke Gegevens
Persoonlijke Gegevens kunnen worden gedeeld met andere dochterondernemingen van het Bedrijf, overheidsinstanties of derde partijen om legitieme zakelijke redenen die verband houden met de geleverde diensten of zoals anderszins toegestaan of vereist door de Toepasselijke wetgeving.
Het Bedrijf kan Persoonlijke Gegevens delen:
- Binnen onze groep, zoals dochterondernemingen
- Met onze dochterondernemingen en geautoriseerde testcentra
- Met zakenpartners, zoals testsponsors en dienstverleners, om verzoeken te faciliteren en onze diensten te verbeteren
- Met overheidsinstanties en publieke autoriteiten wanneer nodig of vereist door de autoriteit
Biometrische gegevens mogen alleen aan een derde partij worden bekendgemaakt:
- Voor een onderzoek met betrekking tot vermeend wangedrag uitsluitend voor de doeleinden van een onderzoek naar fraude, ongeautoriseerd testen of ander wangedrag van testkandidaten.
- In verband met wettelijke verzoeken van regelgevende, juridische of overheidsinstanties met jurisdictie en/of autoriteit om dergelijke verzoeken te doen.
We sluiten contracten af zoals vereist door de Toepasselijke wetgeving met onze derde partijen om ervoor te zorgen dat Persoonlijke Gegevens worden verwerkt in overeenstemming met deze Verklaring en enige andere passende vertrouwelijkheids- en beveiligingsmaatregelen.
6. Hoe slaan we uw Persoonlijke Gegevens op?
Afhankelijk van de aard van uw relatie met Prometric en volgens de Toepasselijke wetgeving, slaan we uw Persoonlijke Gegevens op in onze veilige Oracle-cloudinfrastructuur met servers in Ashburn, Virginia, Verenigde Staten.
Prometric volgt een uitgebreid Records Management Program en een gerelateerd retentieschema waaraan het zich houdt voor de doeleinden van retentie, opslag en vernietiging van alle records die tijdens zijn bedrijfsvoering zijn aangemaakt, inclusief die welke Persoonlijke Gegevens bevatten. We implementeren ook een Data Management-strategie die gegevens segmenteert op basis van regionaal gelegen dataservers.
Onder voorbehoud van de Toepasselijke wetgeving zal ons Bedrijf uw Persoonlijke Gegevens bewaren voor de duur van de verwerking, voor de kortste periode van:
- vijf (5) jaar vanaf de datum van de laatste dienst, test of beoordeling; of
- de vervaldatum van het doel waarvoor de Persoonlijke Gegevens zijn verzameld; of
- de wetten van de relevante jurisdictie waar de Persoonlijke Gegevens zijn verzameld.
Prometric zal Persoonlijke Gegevens niet langer bewaren dan nodig voor de hierboven genoemde doeleinden. Prometric kan echter Persoonlijke Gegevens langer bewaren indien nodig om te voldoen aan de Toepasselijke wetgeving of indien nodig om zijn rechten te beschermen of uit te oefenen.
Opslag van Biometrische Gegevens
Alle biometrische gegevens die in computergebaseerde testcentra worden verzameld, worden veilig overgedragen naar en veilig opgeslagen binnen het beveiligde datacenter van Prometric in de Europese Unie en worden bewaard volgens de Toepasselijke wetgeving in de jurisdictie waar ze zijn verzameld. Biometrische gegevens worden opgeslagen en beveiligd in Microsoft Azure voor een periode van dertig (30) dagen.
7. Overdrachten van Persoonlijke Gegevens
In sommige gevallen kan het gebruik van derde partijen de overdracht van Persoonlijke Gegevens naar andere landen met zich meebrengen. Onze bedrijfsprocessen vereisen vaak de overdracht van Persoonlijke Gegevens tussen het Bedrijf en zijn verbonden entiteiten internationaal.
Als Persoonlijke Gegevens binnen de EU/EER worden verwerkt, en in het geval dat Persoonlijke Gegevens worden bekendgemaakt aan derde partijen of in een land dat niet wordt beschouwd als het bieden van een voldoende niveau van bescherming volgens de Toepasselijke wetgeving, zal het Bedrijf ervoor zorgen:
- De implementatie van standaard contractuele clausules zoals goedgekeurd door de EU-Commissie;
- De aanneming van passende organisatorische, technische en juridische waarborgen om de genoemde overdracht te regelen en om het noodzakelijke en adequate niveau van bescherming onder de Toepasselijke wetgeving te waarborgen.
- Indien nodig, zal de situatie van de overdracht en de wetgeving van het derde land worden geëvalueerd, en indien vereist, een gegevensoverdrachtsimpactbeoordeling worden uitgevoerd om te bepalen of aanvullende maatregelen moeten worden genomen.
Voor Persoonlijke Gegevens die niet binnen de EU/EER worden verwerkt, en in het geval dat Persoonlijke Gegevens worden bekendgemaakt aan derde partijen die zich buiten de jurisdictie van de betrokkene bevinden, zal het Bedrijf ervoor zorgen dat de nodige waarborgen aanwezig zijn om Persoonlijke Gegevens te beschermen door passende juridische mechanismen te implementeren, waaronder, indien relevant, standaard contractuele clausules en/of het verkrijgen van passende toestemming van de betrokkenen. Die mechanismen kunnen verschillen afhankelijk van het land en de relevante Toepasselijke wetgeving.
8. Wat zijn uw rechten?
Afhankelijk van de jurisdictie en de Toepasselijke wetgeving, kunt u de volgende rechten hebben met betrekking tot uw Persoonlijke Gegevens:
- Recht op toegang
- Recht op rectificatie
- Recht op verwijdering
- Recht om verwerking te beperken
- Recht om bezwaar te maken tegen verwerking
- Recht op gegevensoverdraagbaarheid
- Recht om te beslissen hoe uw Persoonlijke Gegevens postuum worden gebruikt
De uitoefening van dergelijke rechten is onderworpen aan beperkingen die zijn vastgesteld door de Toepasselijke wetgeving en relevante richtlijnen van Toezichthoudende Autoriteiten.
Om uw rechten uit te oefenen, kan de betrokkene contact opnemen met het Bedrijf zoals beschreven in de sectie “Hoe contact met ons op te nemen.” We kunnen om identificatiebewijs vragen om op het verzoek te reageren. Als we uw verzoek niet kunnen honoreren (weigering of beperking), zullen we onze beslissing schriftelijk rechtvaardigen.
California Privacy Rechten
California Civil Code Sectie 1798 staat inwoners van Californië toe om bedrijven waarmee ze een gevestigde zakelijke relatie hebben te vragen om bepaalde informatie over het delen van Persoonlijke Gegevens met derde partijen voor direct marketingdoeleinden. Prometric deelt geen enkele Persoonlijke Gegevens van consumenten uit Californië met derde partijen voor marketingdoeleinden zonder toestemming. Als u een testkandidaat bent, zal Prometric uw Persoonlijke Gegevens aan uw testsponsor verstrekken, die de informatie kan gebruiken in overeenstemming met zijn eigen privacybeleid.
9. Hoe beschermen we uw Persoonlijke Gegevens?
Prometric implementeert een verscheidenheid aan beveiligingsmaatregelen, zoals technische, fysieke en administratieve waarborgen om alle Persoonlijke Gegevens te beschermen tegen beveiligingsincidenten of ongeautoriseerde openbaarmaking, en meer in het algemeen tegen een Persoonlijke Gegevensinbreuk. Deze beveiligingsmaatregelen worden erkend als passende beveiligingsnormen in de industrie en omvatten onder andere toegangscontroles, wachtwoorden, encryptie, strikte tijdslimieten voor verwijdering, logmechanismen en regelmatige beveiligingsbeoordelingen.
In het geval van een Persoonlijke Gegevensinbreuk die mogelijk uw persoonlijke gegevens beïnvloedt, volgt Prometric zijn Incident Response Plan en zal snel passende maatregelen nemen om de risico's voor de betrokkenen te mitigeren. Dergelijke maatregelen kunnen onder meer het notificeren van de relevante Toezichthoudende Autoriteit en de getroffen betrokkenen omvatten, terwijl de relevante details van het incident en mitigerende maatregelen worden verstrekt zoals mogelijk vereist onder de Toepasselijke wetgeving (d.w.z. AVG of PIPL).
Het Informatiebeveiligingsprogramma van Prometric wordt meerdere keren per jaar beoordeeld door verschillende derde partijen om ervoor te zorgen dat het voldoet aan of de hoogste benchmarks voor beveiliging en gegevensprivacy en -bescherming overtreft. Daarnaast zijn werknemers en aannemers verplicht om elke bekende of vermoedelijke situatie van misbruik, verlies of ongeautoriseerde toegang onmiddellijk te melden.
10. Verwerking van Persoonlijke Gegevens onder de Personal Information Protection Law van de Volksrepubliek China (‘PIPL’)
Deze sectie is van toepassing wanneer Persoonlijke Gegevens zich binnen de grenzen van de Volksrepubliek China (PRC) bevinden of wanneer Persoonlijke Gegevens worden verwerkt door een van onze bedrijven die zich in de PRC bevinden.
In overeenstemming met Artikel 13 van de PIPL kunnen Persoonlijke Gegevens worden verzameld voor de volgende doeleinden:
- Gebaseerd op de toestemming van individuen;
- Voor de uitvoering van contracten, voor legitieme zakelijke belangen;
- Om wettelijke taken en verantwoordelijkheden of wettelijke verplichtingen na te komen;
- Om openbaar beschikbare gegevens te verwerken;
- Om te voldoen aan wettelijke vereisten.
Volgends de vereisten die zijn uiteengezet in Artikel 23 van de PIPL en de inhoud vermeld in Sectie 4, zal de overdracht en het delen van uw Persoonlijke Gegevens met een derde partij niet plaatsvinden zonder (1) uw specifieke toestemming indien van toepassing, of (2) om de wettelijke taken onder de Toepasselijke wetgeving na te komen.
Op basis van de doeleinden die in deze Verklaring zijn voorgeschreven, kunnen Persoonlijke Gegevens worden overgedragen naar een land of regio buiten uw verblijfplaats voor Verwerking. Op dat moment zal het Bedrijf de veiligheid van de Persoonlijke Gegevens beschermen in overeenstemming met de Toepasselijke wetgeving, waaronder maar niet beperkt tot het implementeren van toegangscontroles, wachtwoorden, encryptienormen, strikte tijdslimieten voor retentieperiodes, logmechanismen en regelmatige beveiligingsbeoordelingen.
Het Bedrijf zal u volledig informeren over de grensoverschrijdende gegevensoverdracht in overeenstemming met Artikel 39 van de PIPL voorafgaand aan het overdragen van uw Persoonlijke Gegevens buiten de PRC en zal uw toestemming verkrijgen, u informerend over het volgende: de naam van de ontvanger, de contactinformatie, het doel van de Verwerking, de methode van Verwerking, het type Persoonlijke Gegevens, en u herinneren aan de methoden en procedures waarmee u uw rechten onder de PIPL kunt uitoefenen. We zullen uw expliciete en aparte toestemming vragen om dit te doen.
Voor zover nodig, zal het Bedrijf een risico-evaluatie van de grensoverschrijdende gegevensoverdracht uitvoeren in overeenstemming met de Toepasselijke wetgeving als Persoonlijke Gegevens buiten de PRC worden overgedragen.
Onder de PIPL wordt Gevoelige Persoonlijke Gegevens gedefinieerd als Persoonlijke Gegevens die, eenmaal gelekt of illegaal gebruikt, gemakkelijk schade kunnen veroorzaken aan de waardigheid van natuurlijke personen, ernstige schade aan de persoonlijke of eigendomsbeveiliging, inclusief informatie over biometrische kenmerken, religieuze overtuigingen, speciaal aangewezen status, medische gezondheid, financiële rekeningen, individuele locatiebepaling, enzovoort, evenals de Persoonlijke Gegevens van minderjarigen onder de 14 jaar.
In overeenstemming met de PIPL en zoals gedetailleerd in Sectie 2, is de verwerking van Gevoelige Persoonlijke Gegevens onderhevig aan de aparte toestemming van het individu en wordt uitgevoerd voor een specifiek zakelijke gerelateerd doel.
Prometric zal geen Persoonlijke Gegevens van minderjarigen onder de 14 jaar verzamelen zonder de aparte toestemming van de ouder of andere voogd. We zullen Persoonlijke Gegevens over een kind alleen gebruiken of openbaarmaken voor zover toegestaan door de wet, overeenkomstig de toepasselijke wetten en verordeningen, om ouderlijke toestemming te vragen of om een kind te beschermen.
In het geval van een Persoonlijke Gegevensinbreuk, zal Prometric civiele aansprakelijkheden dragen jegens de betrokkene indien het de rechten van de betrokkene met betrekking tot zijn of haar Persoonlijke Gegevens schendt, onverminderd de administratieve, strafrechtelijke of andere wettelijke aansprakelijkheden die door de Gegevensbeheerder onder de PIPL moeten worden aanvaard.
11. Wijzigingen in de Privacyverklaring
Het Bedrijf kan zijn Verklaring moeten bijwerken om te voldoen aan nieuwe of andere privacypraktijken. Een bijgewerkte versie van deze verklaring zal beschikbaar worden gesteld via een geschikt kanaal en is van toepassing op gegevens die zijn verzameld na de ingangsdatum.
12. Hoe contact met ons op te nemen
Voor vragen, opmerkingen of zorgen over deze Verklaring, of om gebruik te maken van de privacyrechten die zijn toegestaan door de Toepasselijke wetgeving met betrekking tot Persoonlijke Gegevens, kunt u contact opnemen met onze Functionaris Gegevensbescherming op het volgende adres: joseph.srouji@contractor.prometric.com
U kunt ook een verzoek indienen met betrekking tot uw persoonlijke gegevens door op de volgende link te klikken en alle vereiste velden in het formulier in te vullen: Verzoeken om Persoonlijke Gegevens
U kunt ons ook per post bereiken op:
Prometric Privacy Program Manager
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA
Na het doorlopen van het interne klachtenproces van Prometric, kan een examenkandidaat, als hij of zij niet tevreden is met de oplossing, een klacht indienen bij de Better Business Bureau van Greater Maryland (“BBB”), een alternatieve geschillenbeslechtingsprovider gevestigd in de Verenigde Staten.
BBB-website: http://www.bbb.org/greater-maryland/
BBB-telefoon: 410-347-3990
BBB-fax: 410-347-3936
Betrokkenen hebben ook het recht om een klacht in te dienen bij de bevoegde Toezichthoudende Autoriteit in hun relevante jurisdictie of kunnen juridische stappen ondernemen volgens de Toepasselijke wetgeving.