1. Algemeen
Dit document geeft de algemene beleidsuitgangspunten over privacy (bescherming van persoonsgegevens) binnen BV DiaLogisch, (hierna “Dialogisch”) weer, gebaseerd op de GDPR (General Data Protection Regulation – EU Verordening 2016/679 E.P.).
Met het beschrijven van maatregelen in dit beleidsdocument neemt Dialogisch haar verantwoordelijkheid om de kwaliteit van de beveiliging van de persoonsgegevens te optimaliseren.
Dit beleidsdocument dient als norm voor het verwerken van de persoonsgegevens onder de verantwoordelijkheid van Dialogisch en is geschreven voor iedereen die een beleidsfunctie heeft binnen Dialogisch. Het beleidshandboek wordt gebruikt voor het ontwerpen van procedures en richtlijnen voor medewerkers en externen, zoals ICT-leveranciers, …. De relevante onderdelen van dit beleidsdocument worden verwerkt in verwerkersovereenkomsten of privacyverklaringen voor medewerkers/onderaannemers, personeel, vrijwilligers, cliënteel, leveranciers, sollicitanten, enz.
2. Toepassingsgebied en doelstellingen van het beleid
Voor haar bedrijfsdoeleinden dient Dialogisch bepaalde informatie over personen te verzamelen en te gebruiken. Dit kunnen klanten, zakencontacten, medewerkers (zowel medewerkers in dienstverband, als in onderaanneming, alsook medewerkers via andere overeenkomsten) of andere mensen zijn die met Dialogisch in contact komen.
Dit beleid heeft betrekking op de verwerking van persoonsgegevens onder de verantwoordelijkheid van Dialogisch en dit zowel m.b.t. interne bedrijfsprocessen, als processen die zijn uitbesteed aan derden.
Het beleid is van toepassing op geheel of gedeeltelijk geautomatiseerde/systematische verwerking van persoonsgegevens, alsook op niet-geautomatiseerde verwerking van persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van Dialogisch.
De doelstellingen van het beleid zijn als volgt:
- Normen stellen: huidig beleidsdocument betreft de basis voor de beveiliging van persoonsgegevens.
- Kader bieden: het beleid biedt een kader om verwerking van (ook toekomstige) persoonsgegevens te toetsen aan een norm of een overeengekomen ‘best practice’.
- Taken, bevoegdheden en verantwoordelijkheden in de organisatie vastleggen.
- Verantwoordelijkheid nemen: de zaakvoerder dient de uitgangspunten en de organisatie voor het verwerken van persoonsgegevens vast te leggen voor Dialogisch en dit uit te dragen.
- Implementatie van het beleid door duidelijk keuzes in maatregelen te maken en actieve controle toe te passen op de uitvoering van beleidsmaatregelen.
- Bewustwording creëren van het belang en de noodzaak om persoonsgegevens te beschermen bij de (externe) medewerkers van Dialogisch.
- Compliant zijn met de Belgische en Europese wetgeving.
3. Principes verwerking persoonsgegevens
Het uitgangspunt voor het gegevensverwerkingsbeleid van Dialogisch is dat persoonsgegevens in overeenstemming met de huidige vigerende wet- en regelgeving op zorgvuldige en behoorlijke wijze worden verwerkt. Daarbij wordt gestreefd naar een balans tussen het belang van Dialogisch om persoonsgegevens te verwerken en het belang van de betrokkene om eigen keuzes te maken m.b.t. zijn of haar gegevens.
Dialogisch stelt volgende principe voorop om hieraan te voldoen:
- Elke verwerking van persoonsgegevens is gebaseerd op één van de wettelijke grondslagen zoals genoemd in de GDPR.
- Persoonsgegevens worden alleen verwerkt voor duidelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking geformuleerd.
- De hoeveelheid en het soort gegevens blijft beperkt tot de persoonsgegevens die noodzakelijk zijn voor het specifieke doeleinde.
- De verwerking van persoonsgegevens gebeurt op de minst ingrijpende wijze en dient in redelijke verhouding te staan tot het beoogde doeleinde.
- Er worden maatregelen getroffen om zoveel mogelijk te waarborgen dat de te verwerken persoonsgegevens correct en up-to-date zijn.
- Persoonsgegevens worden adequaat beveiligd.
- Persoonsgegevens worden niet langer verwerkt dan noodzakelijk is voor de doeleinden van de verwerking. Hierbij worden de van toepassing zijnde bewaar- en vernietigingstermijnen in acht genomen.
- Er wordt een register van verwerkingsactiviteiten opgesteld.
- Privacy by design[1] en privacy by default[2] worden gehanteerd.
Iedere betrokkene heeft recht op inzage respectievelijk rectificatie, gegevenswissing en beperking van de verwerking en overdraagbaarheid. (Zie titel 8)
[1]Privacy by design betekent ‘aandacht voor privacy gedurende de gehele levenscyclus van een systeem, vanaf het ontwerpen tot aan het verwijderen van het systeem.
[2]Privacy by default betekent ‘instellingen van een product of dienst standaard op de meest privacyvriendelijke stand zetten’’.
4. Organisatie m.b.t. verwerking persoonsgegevens
Mevrouw Petra Peltenburg, zaakvoerder van de BV Dialogisch, betreft de eindverantwoordelijke binnen Dialogisch voor de verwerking van persoonsgegevens. Zij is primair verantwoordelijk voor een zorgvuldige verwerking van persoonsgegevens binnen de bedrijfsprocessen. Zij fungeert als formeel beslissingsplatform voor informatieveiligheid en is bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten:
- Risicoanalyse en bijhorende methodiek;
- Het ontwikkelen van het informatieveiligheidsbeleid en de bijhorende richtlijnen
- De implementatie van beveiligingsmaatregelen
- De structurele reactie op informatieveiligheidsproblemen en -adviezen
De feitelijke verwerking wordt door onderaannemers/medewerkers/personeelsleden van Dialogisch uitgevoerd. De verwerking van persoonsgegevens dient te worden gezien als een gedelegeerde verantwoordelijkheid van de zaakvoerder naar de verschillende afdelingen. Het is de taak van de onderaannemers/medewerkers/personeelsleden om dit beleid met alle relevante partijen te bespreken.
Zorgvuldig omgaan met persoonsgegevens is een verantwoordelijkheid van iedereen (intern/extern) die gegevens verwerkt (bv. inkijkt, registreert, wijzigt, …). Onder zorgvuldig omgaan met persoonsgegevens wordt onder andere verstaan:
- Hanteren van clean desk/clean screen;
- Geen bedrijfsdocumenten met data in de auto laten liggen;
- Signaleren en proactief melden van risico’s m.b.t. privacy aan de zaakvoerder van BV Dialogisch;
- Enz.
Van alle onderaannemers, medewerkers en al het personeel van Dialogisch wordt verwacht dat zij integer gedragen m.b.t. verwerking van persoonsgegevens. Het is ontoelaatbaar dat door al dan niet opzettelijk gedrag situaties ontstaan die kunnen leiden tot schade of reputatieverlies van Dialogisch of van betrokkenen. Om deze redenen zijn privacyverklaringen en verwerkersovereenkomsten opgesteld en geïmplementeerd en wordt continu aandacht besteed aan awareness.
5. Implementatie van het beleid
Het waarborgen van privacy is een continu kwaliteitsproces. Dialogisch tracht dit naar best vermogen te implementeren volgens de volgende kwaliteitscyclus:
- PLAN: De kwaliteitscyclus start met het opstellen van een beleid, gebaseerd op de wet- en regelgeving en normen vanuit de branche. Daarnaast worden richtlijnen en standaarden opgesteld. Het beleid wordt elk jaar herzien en indien nodig tussentijds bijgesteld.
- DO: Vervolgens wordt het beleid vertaald naar concrete plannen. Er worden bewustwordingsacties opgezet en maatregelen getroffen. Uitvoering van deze acties maakt onderdeel uit van het dagelijks werkproces.
- CHECK: Ten derde worden er controles uitgevoerd op de naleving van het beleid, dit door o.a. periodiek overleg te voeren en jaarlijks te rapporteren. Het doel van controle is om de bescherming van persoonsgegevens te borgen en compliant te zijn aan wet- en regelgeving.
- ACT: Als laatste stap in de cyclus worden de processen geëvalueerd en worden er verbetervoorstellen voorgesteld.
6. Behoorlijke en zorgvuldige verwerking van persoonsgegevens
6.1. Verwerkingen
Het verwerken van persoonsgegevens dient gebaseerd te zijn op een (of meerdere) van de wettelijke gronden zoals omschreven in de GDPR. De wettelijke gronden zijn als volgt:
- De betrokkene heeft toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens voor een of meer specifieke doeleinden;
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen;
- De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
- De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene minderjarig is.
- Iedere mogelijke toekomstige uitbreiding van de wettelijke gronden bepaald in de GDPR.
Elke verwerking wordt gemeld bij de eindverantwoordelijke (al dan niet automatisch via registratie van de Loopbaancheques). De eindverantwoordelijke houdt conform de GDPR een register van verwerkingsactiviteiten bij.
Daarnaast worden de principes van privacy by design en privacy by default, zoals beschreven in de GDPR, gehanteerd (zie ook p. 3, titel 3, voetnoten 1 en 2).
Bijzondere persoonsgegevens[1] worden niet verwerkt, tenzij noodzakelijk (bv. op grond van een wettelijke verplichting, indien expliciete toestemming is gegeven, in zaken van levensbelang, …). Indien bijzondere persoonsgegevens worden verwerkt, dan zijn deze gescheiden en worden deze zwaarder beveiligd dan andere persoonsgegevens.
[1] Bijzondere persoonsgegevens zijn cfr. artikel 9 GDPR: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, genetische- en biometrische gegevens, gegevens over gezondheid, gegevens m.b.t. seksueel gedrag/seksuele geaardheid en alle mogelijke toekomstige uitbreidingen van dit begrip.
6.2. Bescherming van gegevens
Dialogisch treft passende organisatorische en technische maatregelen ter bescherming en bevordering van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens en ter voorkoming van verlies, inbreuk en onrechtmatige verwerking van persoonsgegevens, zoals:
Bv.:
- Bewaartermijnen: persoonsgegevens mogen niet langer worden bewaard dan vereist voor het doel waarvoor zij gebruikt of verzameld worden. Bewaartermijnen kunnen wettelijk of door Dialogisch worden vastgesteld. Persoonsgegevens dienen vernietigd te worden zodra de bewaartermijn is verstreken;
- Het hanteren van toegangscontroles tot onze locaties en autorisaties voor beperkte groepen medewerkers;
- Camerabewaking;
- Logging van gegevensgebruik.
6.3. Verwerkersovereenkomst
Dialogisch kan processen en diensten uitbesteden aan derden. Het uitbesteden van processen en diensten brengen risico’s met zich mee m.b.t. gegevensverwerking en informatiebeveiliging. Dialogisch blijft verantwoordelijk voor de verwerking van die gegevens. Om de verantwoordelijkheid te kunnen managen wordt bij elke uitbesteding waarbij persoonsgegevens in het spel zijn een verwerkersovereenkomst afgesloten.
Dialogisch is verantwoordelijk om deze overeenkomsten af te sluiten en te beheren.
7. Incidenten
7.1. Beveiligingsincidenten en datalekken
Incidenten (een beveiligingsincident of datalek) kunnen voorkomen en daar dient adequaat op te worden gereageerd. Een beveiligingsincident is een gebeurtenis waardoor mogelijk afbreuk is gedaan aan de integriteit, vertrouwelijkheid of beschikbaarheid van gegevens. Een datalek is toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, al dan niet onrechtmatig. Bij een datalek is het zeker dat persoonsgegevens verloren zijn gegaan of dat onrechtmatige verwerking niet kan worden uitgesloten.
7.2. Melding en registratie
Beveiligingsincidenten en datalekken dienen gemeld te worden via e-mail aan het mailadres petra.peltenburg@dialogisch.be. Elk incident wordt geregistreerd. De bewaartermijn voor een incident is 3 jaar.
Dialogisch dient binnen de 72 uur een melding te doen bij de toezichthoudende autoriteit (Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel, contact@apd-gba.be) als er sprake is van een datalek. De melding aan de toezichthoudende autoriteit kan en mag uitsluitend door de eindverantwoordelijke gedaan worden.
Conform de GDPR dient Dialogisch de betrokkene(n) te informeren over de datalek. Dit dient te gebeuren indien het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene.
8. Rechten van betrokkenen
8.1. Recht op informatie (transparante communicatie)
Het personeel, medewerkers, vrijwilligers, klanten, leveranciers, enz. moeten er op kunnen vertrouwen dat zijn of haar persoonsgegevens veilig en zorgvuldig worden verwerkt. Dat vertrouwen wordt gecreëerd door inzichtelijk te maken op welke wijze gegevens worden verwerkt en beheerd. Hierbij wordt duidelijk:
- welke gegevens worden verzameld;
- wat het doel is om deze gegevens te verzamelen;
- wat er vervolgens met deze gegevens gebeurt;
- wie toegang heeft tot de gegevens;
- welke rechten betrokkenen hebben.
De informatie wordt op een zodanige wijze verstrekt dat de betrokkene de inhoud ervan begrijpt.
8.2. Recht van inzage van persoonsgegevens
Conform de GDPR heeft iedere betrokkene het recht om op te vragen welke persoonsgegevens van hem of haar voor welke doeleinden worden verwerkt.
8.3. Recht op verbetering van persoonsgegevens
Conform de GDPR heeft de betrokkene het recht om onverwijld zijn of haar persoonsgegevens te laten verbeteren, te wijzigen of aan te vullen, als deze feitelijk onjuist, onvolledig of niet ter zake zijn.
8.4. Recht op gegevenswissing
Conform de GDPR heeft de betrokkene het recht om zonder onredelijke vertraging zijn persoonsgegevens te doen wissen in een van de volgende gevallen:
- De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
- De betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a) GDPR, of artikel 9, lid 2, punt a) GDPR, berust, in, en er is geen andere rechtsgrond voor de verwerking;
- De betrokkene maakt overeenkomstig artikel 21, lid 1 GDPR, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2 GDPR;
- De persoonsgegevens zijn onrechtmatig verwerkt;
- De persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
- De persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in de GDPR.
8.5. Recht op beperking van gegevensverwerking
Conform de GDPR heeft iedere betrokkene het recht om bij Dialogisch de beperking van de verwerking te verkrijgen in een van de volgende gevallen:
- De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;
- De verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
- De verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- De betrokkene heeft overeenkomstig artikel 21, lid 1 GDPR bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
8.6. Recht op overdraagbaarheid van gegevens
Conform de GDPR heeft de betrokkene het recht de hem betreffende persoonsgegeven die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:
- De verwerking berust op toestemming uit hoofde van artikel 5, lid 11, punt a) GDPR, of artikel 9, lid 2, punt a) GDPR, of op een overeenkomst uit hoofde van artikel 6, lid 1, punt b) GDPR; en de verwerking via geautomatiseerde procedés wordt verricht.
8.7. Indienen verzoek (recht van bezwaar)
Een verzoek tot inzage, verbetering, gegevenswissing, beperking of overdraagbaarheid kan schriftelijk worden gestuurd naar BV DiaLogisch, Liefkenshoek 22, 2270 Herenthout, t.a.v. de eindverantwoordelijke mevr. Petra Peltenburg of per e-mail naar petra.peltenburg@dialogisch.be.
Dialogisch reageert schriftelijk en uiterlijk binnen 4 weken op het verzoek. Dialogisch draag hierbij zorg voor een deugdelijke vaststelling van de identiteit van degene die het verzoek indient. Zodra het verzoek gerechtvaardigd is, neemt Dialogisch onverwijld maatregelen die nodig zijn om aan het verzoek te voldoen.
Bij een besluit over een verzoek kan de betrokkene schriftelijk bezwaar indienen als hij of zij van mening is dat de wettelijke bepalingen betreffende de bescherming van persoonsgegevens niet correct zijn gehandhaafd. Indien de betrokkene niet akkoord gaat met het antwoord van Dialogisch hierop, dan heeft de betrokkene de mogelijkheid verdere gerechtelijke stappen te ondernemen.
9. Slotbepaling
Dit beleid is vastgesteld op 22 februari 2021.
Aanpassingen van dit beleid worden aangekondigd via de website van Dialogisch (www.dialogisch.be), waarop de meest recente versie gepubliceerd is.
Voor vragen en/of opmerkingen m.b.t. dit beleid kunt u terecht bij de eindverantwoordelijke, mevr. Petra Peltenburg (e-mail: petra.peltenburg@dialogisch.be).