PRIVACYBELEID

Phished BV doet er alles aan om uw persoonsgegevens te beschermen, in overeenstemming met de toepasselijke wetgeving.

1. De verantwoordelijke

Phished BV (hierna Phished, ‘wij’, ‘ons’ of ‘onze’) met maatschappelijke zetel te Bondgenotenlaan 138, 3000 Leuven, België en met registratienummer 0735.908.019, is de verantwoordelijke voor de verwerking van uw persoonsgegevens.

2. De persoonsgegevens die we verwerken

Afhankelijk van uw functie verzamelen we de volgende gegevens:

  • Klanten: algemene identificatiegegevens (zoals naam, titel / functie, adres, gsm- of telefoonnummer, e-mail, toegewezen identificatiegegevens), financiële identificatiegegevens (zoals identificatie- en bankrekeningnummers), financiële transacties (zoals betaalde of te betalen bedragen), vergoedingen, professionele activiteiten (waaronder het bedrijf, de aard van de activiteit, de aard van de gebruikte goederen / diensten, zakelijke relaties), contracten en overeenkomsten met Phished, alle andere persoonsgegevens die men rechtmatig aan Phished heeft verstrekt. De bron van deze persoonsgegevens bent u of uw werkgever.
  • Partners: algemene identificatiegegevens (zoals naam, titel / functie, adres, gsm- of telefoonnummer, e-mail, toegewezen identificatiegegevens), financiële identificatiegegevens (zoals identificatie- en bankrekeningnummers), financiële transacties (zoals betaalde of te betalen bedragen), vergoedingen, professionele activiteiten (waaronder het bedrijf, de aard van de activiteit, de aard van de gebruikte goederen / diensten, zakelijke relaties), contracten en overeenkomsten met Phished, alle andere persoonsgegevens die men rechtmatig aan Phished heeft verstrekt. De bron van deze persoonsgegevens bent u of uw werkgever.
  • Prospects: algemene identificatiegegevens (zoals naam, titel / functie, adres, gsm- of telefoonnummer, e-mail), professionele activiteiten (waaronder de aard van de activiteit, de aard van de gebruikte goederen / diensten, zakelijke relaties), alle andere persoonsgegevens die men rechtmatig aan Phished heeft verstrekt. De bron van deze persoonsgegevens bent u of uw werkgever.
  • Leveranciers: algemene identificatiegegevens (zoals naam, titel / functie, adres, gsm- of telefoonnummer, e-mail, toegewezen identificatiegegevens), financiële identificatiegegevens (zoals identificatie- en bankrekeningnummers), financiële transacties (zoals betaalde of te betalen bedragen), vergoedingen, professionele activiteiten (waaronder de aard van de activiteit, de aard van de gebruikte goederen / diensten), contracten en overeenkomsten met Phished, alle andere persoonsgegevens die men rechtmatig aan Phished heeft verstrekt. De bron van deze persoonsgegevens bent u of uw werkgever.
  • Sollicitanten: alle persoonsgegevens die men rechtmatig aan Phished heeft verstrekt (zoals een cv en / of sollicitatiebrief);
  • Websitebezoekers: persoonsgegevens verzameld via cookies (zie ons cookiebeleid);
  • Gebruikers van sociale media: reclame via de door hen verstrekte persoonsgegevens op socialemediakanalen.

Bij de uitoefening van haar activiteiten is Phished tevens een verwerker van persoonsgegevens (bijvoorbeeld bij het versturen van een phishing-simulatie naar een door de klant opgegeven doelgroep). De verwerking van persoonsgegevens door Phished, als verwerker, maakt onderdeel uit van de overeenkomsten tussen Phished en de verwerkingsverantwoordelijke(n) en maakt geen onderdeel uit van dit privacybeleid.

Als u ons persoonsgegevens van een derde partij verstrekt, zoals uw personeel, freelancers, klanten, leveranciers, partners, dan garandeert u Phished dat u (a) dergelijke persoonsgegevens rechtmatig van de derde partij hebt verkregen en deze rechtmatig aan Phished hebt verstrekt , (b) Phished persoonsgegevens hebt verstrekt die nauwkeurig en up-to-date zijn, (c) genoemde persoon relevante informatie hebt verstrekt over het bestaan en de inhoud van dit beleid.

3. Doeleinden

Wij verwerken de persoonsgegevens voor de volgende doeleinden:

3.1 Uitvoering van de overeenkomst: het aanmaken van een persoonlijk account en / of profiel, het correct uitvoeren en nakomen van de overeenkomsten (inclusief communicatie), facturatie, klantenservice en support: zodat we u kunnen helpen bij vragen en / of problemen.

3.2 Aankopen via website: de juiste uitvoering en naleving van de overeenkomsten omtrent aankopen via de website (inclusief communicatie), het verwerken van bestellingen en eventuele dienst na verkoop, facturatie.

3.3 Direct marketing: Het versturen van meldingen via e-mail en / of nieuwsbrieven. Indien u deze berichten niet langer wenst te ontvangen, kunt u gebruik maken van de voorziene opt-out. Daarna ontvangt u niet langer de ongewenste directmarketingberichten en verwerken wij uw persoonsgegevens niet meer voor deze directmarketingdoeleinden.

3.4. Beheer van sollicitanten

3.5. Noodzakelijk voor het functioneren van ons bedrijf: om onze diensten te verbeteren en te optimaliseren (o.a. door middel van cookies en advertenties via social media), om de website te onderhouden en te verbeteren (o.a. door middel van cookies), om de veiligheid van onze website en diensten te waarborgen, om misbruik of oneigenlijk gebruik van onze diensten te voorkomen, om persoonsgegevens op te slaan als bewijsmateriaal of ten behoeve van gerechtelijke, administratieve of buitengerechtelijke procedures, om persoonsgegevens op te slaan met als doel verzekeringsdekking te verkrijgen of te behouden, risico's te beheersen of deskundig advies in te winnen, om persoonsgegevens op te slaan om aanwezigheid bij / deelname aan evenementen te verzekeren.

3.6. Om te voldoen aan wettelijke verplichtingen: (bijvoorbeeld in verband met anti-witwas- en terrorismebestrijdingswetgeving).

3.7. In het algemeen: u bent niet verplicht uw persoonsgegevens met ons te delen, maar indien u de gevraagde persoonsgegevens niet met ons deelt, is het mogelijk dat wij u niet de gewenste diensten en/of producten kunnen leveren.

4. Rechtsgrondslag voor de verwerking van de persoonsgegevens

De verwerking van persoonsgegevens onder paragraaf 3.1 en 3.2 is gebaseerd op de uitvoering van een contract waarbij de betrokkene partij is of teneinde op verzoek van de betrokkene stappen te ondernemen voordat een contract wordt aangegaan.

De verwerking van persoonsgegevens van prospects onder paragraaf 3.3 en de verwerking van persoonsgegevens door middel van cookies (anders dan strikt noodzakelijke en functionele cookies) onder paragraaf 3.5 is gebaseerd op de toestemming van de betrokkene.

De verwerking van persoonsgegevens van prospects onder paragraaf 3.3 voor klanten en het eerste contact met prospects, evenals de andere verwerking van persoonsgegevens onder paragraaf 3.4 en 3.5 is gebaseerd op onze legitieme belangen (alleen wanneer het legitieme belang van ons bedrijf prevaleert boven de belangen van de betrokkenen). De belangen worden uiteengezet onder paragraaf 3.3 - 3.5.

De verwerking van persoonsgegevens van prospects onder paragraaf 3.6 is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan wij zijn onderworpen.

5. De persoonsgegevens delen met anderen / internationale uitwisselingen

We verstrekken alleen relevante aspecten van persoonsgegevens aan derden als die partijen contractueel gebonden zijn aan Phished of namens of onder contract met Phished handelen. Uiteraard hebben wij met deze partijen afspraken gemaakt over de bescherming van uw persoonsgegevens.

We kunnen uw persoonsgegevens echter vrijgeven wanneer dergelijke openbaarmaking noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan we zijn onderworpen, of om uw (cruciale) belangen te beschermen. We kunnen uw persoonsgegevens ook vrijgeven wanneer een dergelijke openbaarmaking nodig is om juridische claims vast te stellen, uit te oefenen of te verdedigen, in gerechtelijke procedures of in administratieve of buitengerechtelijke procedures.

Wij verstrekken geen persoonsgegevens aan bedrijven buiten de Europese Economische Ruimte, tenzij er sprake is van een adequaatheidsbesluit of van standaardbepalingen, passende waarborgen, bindende bedrijfsregels of uitwisselingen als bedoeld in artikel 49 (1) AVG.

Bij een gehele of gedeeltelijke reorganisatie, fusie, splitsing, verwerving of verkoop van activa zijn wij gerechtigd persoonsgegevens over te dragen aan de betreffende derde partij.

U accepteert dat persoonsgegevens die u indient voor publicatie via onze website of diensten wereldwijd beschikbaar kunnen zijn via internet. We kunnen het gebruik (of misbruik) van dergelijke persoonlijke informatie door anderen niet voorkomen.

6. Opslag en verwijdering van persoonsgegevens

We bewaren persoonsgegevens alleen zolang als nodig is voor het bereiken van het hierboven uiteengezette doel. Omdat de bewaartermijn afhankelijk is van het doel, maar ook van het soort persoonsgegevens, variëren deze bewaartermijnen.

7. Uw rechten

We hebben uw rechten samengevat in deze paragraaf. Omdat sommige van deze rechten complex zijn, zijn niet alle details opgenomen in onze samenvattingen. Lees daarom de relevante wetten en regelgevende richtlijnen voor een volledige uitleg van deze rechten.

7.1. Recht van toegang: u hebt het recht om te bevestigen of wij uw persoonsgegevens al dan niet mogen verwerken en, wanneer we dat doen, toegang te hebben tot de persoonsgegevens, samen met de aanvullende informatie vermeld in artikel 15 AVG. Het waarborgen van de rechten en vrijheden van anderen wordt niet aangetast, wij zullen u een kopie van uw persoonsgegevens verstrekken.

7.2. Recht op rectificatie: u hebt het recht om onjuiste en / of onvolledige persoonsgegevens te laten corrigeren en / of aanvullen.

7.3. Recht om te verwijderen: u hebt het recht om uw persoonsgegevens te laten verwijderen in de omstandigheden vermeld in artikel 17 (1) AVG, zoals wanneer u uw toestemming voor op toestemming gebaseerde verwerking intrekt of bezwaar maakt tegen de verwerking voor directmarketingdoeleinden.

Phished zal uw persoonsgegevens dan zonder onnodige vertraging verwijderen, tenzij de uitsluitingen vermeld in artikel 17 (3) AVG van toepassing zijn. Zo hoeft Phished uw gegevens niet te verwijderen als de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting.

7.4. Recht op beperking van verwerking: u hebt het recht om de verwerking van uw persoonsgegevens te beperken in de omstandigheden vermeld in artikel 18 (1) AVG, zoals in het geval dat u de juistheid van de persoonlijke gegevens betwist.

7.5. Recht op overdraagbaarheid van gegevens: u hebt het recht om uw persoonsgegevens die u ons hebt verstrekt, in een gestructureerd, algemeen gebruikt en machineleesbaar formaat te ontvangen en om dergelijke gegevens naar een andere verwerkingsverantwoordelijke te verzenden indien (a) de verwerking gebaseerd is op toestemming of noodzakelijk is voor de uitvoering van een contract waarbij u partij bent of om op uw verzoek stappen te ondernemen voorafgaand aan het aangaan van een contract, en (b) dergelijke verwerking is geautomatiseerd. Dit recht is echter niet van toepassing indien dit de rechten en vrijheden van anderen zou schaden.

7.6. Recht om toestemming in te trekken: voor zover de rechtsgrond voor onze verwerking van uw persoonsgegevens gebaseerd is op toestemming, hebt u het recht om deze toestemming te allen tijde in te trekken. Het intrekken van de toestemming doet geen afbreuk aan de rechtmatigheid van de verwerking vóór de intrekking ervan.

7.7. Recht om een klacht in te dienen bij de toezichthoudende autoriteit: als u van mening bent dat onze verwerking van uw persoonsgegevens in strijd is met de wetgeving inzake gegevensbescherming, als u het niet eens bent met het standpunt van Phished of als u opmerkingen hebt over het gebruik van uw persoonsgegevens, hebt u het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit.

7.8. Recht om bezwaar te maken tegen verwerking: u hebt te allen tijde het recht om bezwaar te maken tegen onze verwerking van uw persoonsgegevens voor directmarketingdoeleinden. Praktisch kunt u dit doen via de ‘opt-out’-optie. Daarna ontvangt u niet langer de ongewenste directmarketingberichten en verwerken wij uw persoonsgegevens niet meer voor deze directmarketingdoeleinden. Uiteraard is het mogelijk dat wij nog contact met u opnemen in verband met de uitvoering van de overeenkomst.

U hebt ook het recht om bezwaar te maken tegen onze verwerking van uw persoonsgegevens op basis van artikel 6 (e) of (f) AVG om redenen die verband houden met uw specifieke situatie. Als u bezwaar maakt, zullen we uw persoonsgegevens niet langer verwerken, tenzij we dwingende legitieme redenen voor de verwerking kunnen aantonen die uw belangen, rechten en vrijheden overschrijden, of de verwerking noodzakelijk is om juridische claims vast te stellen, uit te oefenen of te verdedigen.

Daarnaast hebt u het recht om bezwaar te maken tegen onze verwerking van uw persoonsgegevens voor wetenschappelijke, historische of statistische (onderzoeks)doeleinden om redenen die verband houden met uw specifieke situatie, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak die wordt uitgevoerd om redenen van publiek belang.

8. Contact

Als u contact met ons wilt opnemen betreffende dit beleid, kunt u dit doen via een mail naar onze DPO: [email protected].

Als u contact met ons opneemt omdat u één van uw rechten wilt uitoefenen (zie paragraaf 7), verzoeken wij u vriendelijk om duidelijk aan te geven van welk recht u gebruik wilt maken. Wees zo specifiek mogelijk bij het uitoefenen van uw rechten.

9. Cookies

U kunt meer lezen over ons gebruik van cookies via de volgende link.

PRIVACY POLICY FOR RECIPIENTS

Phished BV (hereinafter “Phished” , “we”, “us” or “our”) is committed to processing your personal data in compliance with the General Data Protection Regulation (EU) 2016/679 (hereinafter “GDPR”) and other applicable legislation.

Phished will process your personal data for and on behalf of its customer, the organisation who will be using our services. Phished therefore qualifies as the processor of your personal data; and the customer qualifies as the controller

The controller may have its own privacy policy regarding the processing of your personal data by Phished, in which case these policies should be read together. In case of contradiction, the policy of the Controller prevails (as certain specific agreements may have been made with the Controller).

1. The controller

Your organisation (hereinafter “the Controller” or “the Customer”) appointed you as part of the target audience for the performance of the following services (hereinafter “Services”) by Phished:

  • performing simulated phishing attacks on the logged employees of the Customer (in its broadest sense, hereinafter “Employees”) (and systems of the Customer);
  • training the Employees by means of e-learning;
  • the automatic delivery (via web portal) of detailed reports regarding the results hereof.

The Customer and Phished have concluded an agreement on the performance of these Services

2. The processor

Phished BV with registered office at Bondgenotenlaan 138, 3000 Leuven, Belgium and registered number 0735.908.019, is the processor for the processing of your personal data in order to execute the Services.

3. Contact

In case you want to contact us regarding this policy, you can contact us via mail to our DPO: [email protected].

If you want to exercise one of your rights (see section 8), we kindly request to contact the Customer.

4. The personal data we process

We process the following of your personal data:

  • name
  • email address;
  • language;
  • position at the company;
  • open/click/report behaviour and results.

Optional :

  • department within the company;
  • location within and/or of the company;
  • mobile phone or telephone number.
  • E-mail data (see below) (depending on settings in the Phished account).

This data is provided to us by the Customer, who (a) lawfully obtained such personal data from you and lawfully provided it to Phished, (b) provided Phished with personal data that is accurate and up to date, and (c) will provide you with relevant information about the processing activities.

5. Purposes

We process the personal data because it is necessary for the performance of the Services. In this regard we process your personal data for the following purposes on behalf of the Customer:

  • making the Phished software available in accordance with the agreements between Phished and the Customer (including, but not limited to, creating a recipient account for you and ensuring the proper functioning of the Phished software);
  • increasing the awareness level of the dangers of phishing via the Phished software and tracking the users of the software, including (but not limited to):
    • sending and receiving communications via email, text or voice message (depending on the settings) (e.g. notification of phishing simulation or a suspected real phishing e-mail).
      • These do not constitute direct marketing. Nevertheless, if you no longer wish to receive these communications, please contact the Customer, who may give its permission to stop these communications. However, we do not recommend this as you will no longer benefit from our training and the Customer benefits best from training when as many of its Employees as possible are participating.
      • If the Customer chose the option “handle reports in application” or “handle reports in application & forward reports to email” in the Phished account and possible phishing e-mails are reported:
        • via the Phished Report Button in Gmail: Phished will only process Gmail message bodies (incl. attachments), metadata, headers and settings, to identify a mail as a phishing simulation from Phished or as a potential phishing threat when reported via the Phished Report Button. This data is encrypted and the processing will also adhere to the Google API Services User Data Policy (Policy), incl. Limited Use requirements.
        • via the Phished Report Button in Outlook: Phished will only process Outlook message bodies (incl. attachments), metadata, headers and language settings, to identify a mail as a phishing simulation from Phished or as a potential phishing threat when reported via the Phished Report Button. This data is encrypted.
        • by forwarding them: Phished will only process the message bodies (incl. attachments) and headers to identify a mail as a phishing simulation from Phished or as a potential phishing threat when forwarded. This data is encrypted.
      • If the Customer chose the option “forward reports to email” in the Phished account and possible phishing e-mails are reported to Phished via the Phished Report Button in Gmail or Outlook or by forwarding, Phished will not process these e-mails..
    • organizing continuous performance management: keeping track of personal objectives, 1on1s and feedback for you.
    • measuring engagement on a continuous basis via the Phished Academy, using e.g. either PHISHED’s set of questions or a self-chosen set of questions.
    • storage of phishing results.
    • keeping phishing results available for the Customer via statistics.
    • adjustments of the phishing simulations.

Phished will not process your personal data for any other purpose than for the performance of the Services and/or for the fulfilment of the responsibilities laid down in the agreement entered into between Phished and the Customer. Phished will only process your personal data on behalf of the Customer and in accordance with the documented instructions of the Customer.

6. Sharing the personal data with others/international transfers

We only disclose relevant aspects of personal data to third parties if those parties are contractually bound to Phished or act on behalf of or under contract to Phished. Naturally, we have made agreements with these parties regarding the protection of your personal data.

Phished may disclose personal data when such disclosure is necessary to comply with a legal obligation to which we are subject, or to protect (vital) interests. We may also disclose the personal data when such disclosure is necessary to establish, exercise or defend legal claims, in court proceedings or in administrative or extra-judicial proceedings.

We do not provide personal data to companies outside the European Economic Area, unless there is an adequacy decision, standard provisions, appropriate safeguards, binding corporate rules or transfers referred to in Article 49 (1) GDPR.

In the event of a full or partial reorganisation, merger, demerger, acquisition or sale of assets, we are entitled to transfer the personal data to the relevant third party.

7. Storage and deletion of personal data

The personal data will be retained for the duration of the contract between Phished and the Customer and they will be deleted through e.g. anonymization, after 6 months of inactivity following termination of this contract. Unless otherwise agreed upon between Phished and the Customer, we are allowed to further use anonymized aggregated data, which does not constitute personal data, to improve our services.

In any case, you, as a data subject, or the Customer may contact us at any time regarding a request to anonymize or delete certain personal data (for example if you are no longer working for the Customer).

8. Your data protection rights

Your requests concerning the exercise of your data protection rights should be addressed to the Customer. Nevertheless, for clarity, we’ve summarised your rights in this section. As some of these rights are complex, not all details are included in this summary. Therefore, you can read the relevant laws and regulatory guidelines for a full explanation of these rights or contact the Customer .

8.1. Right of access and a copy of your personal data: you have the right to be informed on whether or not the Customer processes your personal data and, where it does, to have access to the personal data, together with the additional information mentioned in article 15 GDPR. Safeguarding the rights and freedoms of others is not affected, the Customer shall provide you with a copy of your personal data.

8.2. Right of rectification: you have the right to have incorrect and/or incomplete personal data corrected and/or completed.

8.3. Right to erase: you have the right to have your personal data deleted in the circumstances mentioned in article 17 (1) GDPR, such as when you withdraw your consent for consent-based processing.

8.4. Right to restrict processing: you have the right to restrict the processing of your personal data in the circumstances mentioned in article 18 (1) GDPR, such as in case you contest the accuracy of the personal data.

8.5. Right to data portability: you have the right to receive the personal data concerning you, which you provided to the Customer, in a structured, commonly used and machine-readable format and to transmit such data to another controller if (a) the processing is based on consent or necessary for the performance of a contract to which you are a party or in order to take steps at your request prior to entering into a contract, and (b) such processing is automated. However, this right does not apply where this would harm the rights and freedoms of others.

8.6. Right to withdraw consent: insofar as the legal basis for the processing of your personal data is consent, you have the right to withdraw this consent at any time. The withdrawal of consent does not affect the lawfulness of the processing before its withdrawal.

8.7. Right to lodge a complaint with the supervisory authority: if you believe that the processing of your personal data violates data protection laws, if you do not agree with the Customer’s position or if you have any comments regarding the exercise of your rights, you have the right to file a complaint with the competent supervisory authority.

8.8. Right to object to processing: you have the right to object to the processing of your personal data for direct marketing purposes at any time as long as the exclusions mentioned in article 17 (3) GDPR do not apply (for example if processing is necessary in order to comply with a legal obligation). As mentioned above, any communication you receive from Phished does not qualify as direct marketing.

You also have the right to object to the processing of your personal data based on Article 6 (e) or (f) GDPR for reasons relating to your specific situation. In addition, you have the right to object to the processing of your personal data for scientific, historical or statistical (research) purposes for reasons relating to your specific situation.

9. Cookies

You can read more about our use of cookies via the following link.

10. Updates

Phished reserves the right to make changes and / or updates to this Privacy Policy to reflect technological advancements, legal and regulatory changes and good business practices.