Privacybeleid inzake de bescherming van persoonsgegevens

1.  Privanot

Privanot is een vereniging zonder winstoogmerk met als statutaire missie het verlenen van al dan niet gedeelde diensten van functionaris voor gegevensbescherming, evenals alle andere diensten met betrekking tot de bescherming van persoonsgegevens en informatiebeveiliging.

Contactgegevens

Privanot vzw
BCE 0749.562.550
Bergstraat 30, 1000 Brussel
info@privanot.be
02/500.14.15

Als onderdeel van de door Privanot verleende diensten verwerkt Privanot persoonsgegevens (de “gegevens”). Afhankelijk van deze diensten, zoals hieronder gespecificeerd volgens de verwerkingshypothesen, kan Privanot gegevens verwerken als verwerkingsverantwoordelijke of als verwerker.

2.  Beleidsdoelstelling

Doel van dit beleid is de betrokken personen te informeren over de manier waarop Privanot gegevens verwerkt. Zo voldoet de vereniging aan haar informatieplicht zoals opgelegd door:

  • de Algemene Verordening Gegevensbescherming (EU) 2016/679 – de “GDPR” en/of,
  • de Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en/of,
  • de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Dit document geeft antwoorden op de volgende vragen:

  • In welk kader en volgens welke regels verwerkt Privanot uw gegevens
    • Doelen en bronnen van de gegevens
    • Gegevenscategorieën en bewaartermijnen
    • Rechtmatigheid van gegevensverwerking
    • Ontvangers van de gegevens
  • Welke maatregelen voor de bescherming van de gegevens heeft Privanot genomen?
  • Welke rechten hebben de betrokken personen en hoe kunnen ze deze uitoefenen?

3.  Verwerkingen in kader van het gebruik van de website www.privanot.be

Privanot is verantwoordelijk voor de verwerking van de gegevens via de website.

Via de website www.privanot.be kunnen verschillende soorten cookies worden verzameld waarvan de verwerking wordt toegelicht in het cookiebeleid van de vzw.

Er worden geen andere gegevens verwerkt wanneer u www.privanot.be bezoekt.

4.  Transversale verwerking door Privanot als verwerkingsverantwoordelijke

a.    Doelen  

Privanot verwerkt gegevens voor de volgende doeleinden:

  • het beheer van het cliënteel als onderdeel van de contractuele relatie, inclusief communicatie, prijsbepaling, facturering en boekhouding;
  • het beheer van de kandidaten en de medewerkers.

b.    Cliënteelbeheer

De gegevens die worden verwerkt voor het cliënteelbeheer worden rechtstreeks bij de betrokken persoon verzameld, of bij de werkgever als de betrokken persoon een contactpersoon heeft aangewezen.

De volgende categorieën gegevens worden verwerkt:

  • identificatiegegevens (familienaam, voornaam enz.),
  • contactgegevens (e-mail, adres enz.),
  • indien van toepassing, economische, financiële en professionele gegevens.

Privanot verwerkt voornoemde gegevenscategorieën in het kader van de uitvoering van een overeenkomst met de betrokkenen of voor de behartiging van haar rechtmatige belangen om contractuele relaties te beheren en met contactpersonen te communiceren in het kader van de verleende diensten.

Gegevens worden bewaard tot 10 jaar na het einde van de contractuele relatie, in overeenstemming met de verjaringstermijn voor persoonlijke rechtsvorderingen.

Gegevens worden niet aan derden doorgegeven.

c.    Beheer van sollicitanten en medewerkers

De gegevens die voor het beheer van personeelszaken en sollicitaties worden verwerkt, worden rechtstreeks verzameld bij de betrokken persoon of bij officiële sociale instanties die instaan voor het beheer van de arbeidsrelaties.

De volgende categorieën persoonsgegevens worden verwerkt:

  • identificatiegegevens (familienaam, voornaam, burgerlijke staat, nationaal nummer voor de medewerkers enz.),
  • contactgegevens,
  • professionele gegevens (curriculum vitae enz.),
  • medische gegevens voor de medewerkers (medische attesten enz.),
  • gezinsgegevens voor de medewerkers (gezinssamenstelling enz.),
  • gegevens over de werktijden van de medewerkers en het gebruik van de IT-apparatuur die hen ter beschikking is gesteld (identificatiefactoren enz.).

Privanot verwerkt voornoemde gegevenscategorieën in het kader van de uitvoering van de arbeidsovereenkomst om te voldoen aan haar sociaalrechtelijke verplichtingen of eenvoudigweg om haar gerechtvaardigde belangen in het kader van een aanwerving te vervullen.

De gegevens worden tot 5 jaar na het einde van de contractuele relatie bewaard, in overeenstemming met de verjaringstermijn voor sociale zaken. Bij wijze van uitzondering worden de dossiers van niet-geselecteerde sollicitanten slechts 3 jaar na het einde van het aanwervingsproces bewaard.

Bepaalde gegevens van medewerkers worden doorgegeven aan officiële socialezekerheidsinstanties.

5.  Verwerking door Privanot in verband met het verlenen van de dienst van functionaris voor gegevensbescherming

Privanot verleent de al dan niet gedeelde diensten van functionaris voor gegevensbescherming in overeenstemming met de wettelijke verplichtingen die gelden voor het beroep. Privanot wordt naar aanleiding van de dienstverlening beschouwd als verwerkingsverantwoordelijke.

De doeleinden die Privanot vooropstelt bij het verwerken van gegevens zijn :

  • in het algemeen, de uitvoering van de wettelijke taken die toekomen aan de functionaris voor gegevensbescherming,
  • meer specifiek, de toegang tot bepaalde gegevens tijdens audits of bij het verstrekken van advies over specifieke dossiers.

De gegevens worden verzameld bij de verwerkingsverantwoordelijke die Privanot heeft aangesteld als functionaris voor gegevensbescherming.

De categorieën van verwerkte gegevens hebben betrekking op de verwerkingsverantwoordelijke en zijn medewerkers, de klanten van de verwerkingsverantwoordelijke en/of elke andere persoon die in contact staat met de verwerkingsverantwoordelijke of met de persoon die rechtstreeks dan wel onrechtstreeks betrokken is bij de dossiers van de verwerkingsverantwoordelijke.

Alle categorieën van gegevens kunnen hierbij betrokken zijn, in het bijzonder gegevens met betrekking tot de organisatorische en beveiligingsmaatregelen die door de medewerkers van de verwerkingsverantwoordelijke of zijn verwerker zijn getroffen of gegevens met betrekking tot de bestanden van de cliënten van de verwerkingsverantwoordelijke. Anderzijds zorgt Privanot ervoor dat er alleen toegang is tot gegevens die noodzakelijk zijn voor het uitvoeren van haar taken en vraagt zij aan de verwerkingsverantwoordelijke om de meest vertrouwelijke gegevens niet toegankelijk te maken, zoals gegevens uit officiële bronnen.

Privanot verwerkt de bovenstaande gegevenscategorieën in het kader van de uitvoering van haar wettelijke opdracht als functionaris voor gegevensbescherming.

De gegevens worden bewaard tot 10 jaar na het einde van de opdracht die aan Privanot is toevertrouwd, in overeenstemming met de verjaringstermijn voor persoonlijke rechtsvorderingen.

De gegevens worden niet aan derden doorgegeven.

6.  Verwerking door Privanot in verband met het verlenen van consultancydiensten

Privanot verleent consultancydiensten inzake de bescherming van persoonsgegevens en de informatiebeveiliging. Privanot fungeert als verwerker voor de verwerkingen van persoonsgegevens die ze in deze context eventueel zou worden gevraagd uit te voeren.

Privanot verwerkt persoonsgegevens voor de volgende doeleinden:

  • in het algemeen, de goede uitvoering van de opdracht die haar is toevertrouwd,
  • meer specifiek, toegang tot bepaalde persoonsgegevens naar aanleiding van het verstrekken van advies over specifieke dossiers.

De gegevens worden verzameld bij de cliënt van Privanot.

De categorieën van de verwerkte gegevens betreffen de cliënt van Privanot en zijn medewerkers, de eigen cliënten van Privanot en/of elke andere persoon die met Privanot in contact staat.

Privanot zorgt ervoor dat er alleen toegang is tot de gegevens die ze nodig heeft om haar taken uit te voeren.

Privanot verwerkt de gegevens om haar gerechtvaardigde belangen als consultant op het gebied van gegevensbescherming en informatiebeveiliging te behartigen.

De gegevens worden niet opgeslagen en niet aan derden doorgegeven.

7.  Verwerking door Privanot in het kader van de “Phishing Defence Service” (PDS)

Dankzij het gebruik van de PDS-software die door Privanot ter beschikking wordt gesteld, kan elke werkgever die cliënt is van Privanot zijn medewerkers bewust maken rond de risico’s van phishing. De medewerkers ontvangen e-mails waarin phishing wordt gesimuleerd en moeten online bewustmakingssessies over cybercriminaliteit bijwonen.

In het kader van de PDS-dienstverlening fungeert Privanot als verwerker voor de werkgever. Privanot moet namens de werkgever de gegevens in verband met de medewerkers verwerken in het kader van het beheer van de PDS-sensibiliseringsdienst en aan de werkgever een activiteitenverslag voorleggen. De gegevens van de betrokken medewerkers worden verzameld bij de werkgever of naar aanleiding van het gebruik van de software.

De volgende categorieën gegevens worden verwerkt:

  • identificatiegegevens (voornaam, achternaam, professioneel e-mailadres),
  • professionele gegevens (naam van werkgever, activiteitensector),
  • gegevens gekoppeld aan de phishingsimulaties (ontvangen phishing e-mails, gerapporteerde phishing e-mails),
  • gegevens met betrekking tot sensibiliseringsactiviteiten (resultaten, bijgewoonde sessies enz.).

De verwerkingen die resulteren uit het gebruik van de software zijn noodzakelijk om de rechtmatige belangen van de werkgever te behartigen, zoals de bescherming tegen cybercriminaliteit.

Privanot geeft geen gegevens door aan derden en bewaart deze alleen zolang medewerkers de software gebruiken.

8.  Welke gegevensbeschermingsmaatregelen heeft Privanot ingevoerd?

Privanot verwerkt alle gegevens op een vertrouwelijke manier.

Wanneer Privanot fungeert als functionaris voor gegevensbescherming, houdt ze zich strikt aan haar wettelijke verplichting inzake beroepsgeheim. Privanot beschikt over een reglement van interne orde aan de hand waarvan ze ervoor kan zorgen dat de voorwaarden van onafhankelijkheid en afwezigheid van belangenconflicten waarin de opdracht van functionaris voor gegevensbescherming moet verlopen, worden nageleefd.

Privanot neemt alle redelijke maatregelen om de bescherming van de verwerkte persoonsgegevens te waarborgen (vertrouwelijkheid, integriteit, beschikbaarheid). Privanot streeft ernaar passende technische en organisatorische maatregelen te nemen om een ongeoorloofde verwerking van persoonsgegevens te voorkomen.

Privanot gebruikt software voor dossierbeheer waarvan de veiligheid is getoetst (Skedify, Omnitracker enz.) en doet een beroep op betrouwbare verwerkers, zoals de Koninklijke Federatie van het Belgisch Notariaat, voor het beheer van haar IT-apparatuur en de opslag van de gegevens.

Privanot deelt aan haar cliënteel alle informatie mee die nodig is om aan te tonen dat zij voldoet aan haar verplichtingen op het gebied van gegevensbescherming.

In het bijzonder zijn de volgende beschermingsmaatregelen genomen:

  • instructies voor de medewerkers met betrekking tot de bescherming van persoonsgegevens en het gebruik van de IT-apparatuur,
  • instructies voor verwerkers die de gegevens moeten verwerken en een strikte contractuele omkadering,
  • fysieke beveiligingsmaatregelen zoals de installatie van een alarmsysteem of videobewakingscamera’s,
  • back-up en opslag van gegevens in de Europese Economische Ruimte,
  • IT-beveiligingsmaatregelen zoals het installeren van antivirus- en antimalwaresoftware en het gebruik van wachtwoorden voor gegevenstoegang.

Deze maatregelen worden regelmatig opnieuw beoordeeld.

9.  Welke rechten hebben de betrokken personen en hoe kunnen ze die uitoefenen?

Wanneer Privanot fungeert als verwerkingsverantwoordelijke, kunnen de betrokken personen hun rechten inzake de bescherming van persoonsgegevens rechtstreeks bij Privanot uitoefenen.

Zo hebben de betrokken personen het recht om duidelijke informatie te krijgen over de verwerking van hun persoonsgegevens. Dit beleid is erop gericht om aan deze verplichting te voldoen.

De betrokken personen hebben overigens ook het recht om aanvullende informatie op te vragen bij Privanot in verband met de verwerking van hun persoonsgegevens. Dit is hun recht op inzage.

Onder bepaalde voorwaarden hebben betrokkenen ook het recht om hun gegevens te verbeteren en te wissen, evenals het recht van bezwaar of van intrekking van de toestemming voor het gebruik ervan.

Bovendien kunnen de betrokkenen in geval van een geschil omtrent de verwerking van hun gegevens aan Privanot vragen om bepaalde verwerkingen op te schorten. Dit is hun recht op beperking.

Tot slot hebben ze het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit of gerechtelijke stappen te ondernemen als ze vinden dat hun rechten niet zijn gerespecteerd.