General Data Protection Regulation

 

GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie moet u vanaf mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt (of u dit nu in uw datacenter of in de cloud buiten de EU beheert).

1. Wat houdt GDPR in?

De nieuwe GDPR-wetgeving introduceert eengemaakte regels over de beveiliging én de opslag van persoonlijke gegevens. Het gaat hier zowel om de persoonlijke gegevens van klanten als van je eigen werknemers.

De wet geldt voor de hele Europese Unie en bestaat uit twee delen. Langs de ene kant heb je de Regulation waar de bedrijfswereld zich aan moet houden en daarnaast heb je de Directive die van toepassing is voor overheidsdiensten zoals politie en justitie. Een belangrijk onderscheid.

2. Over welke gegevens gaat het?

Persoonlijke gegevens zoals naam, geslacht, geboortedatum, adres,…

Online gegevens zoals zoekgeschiedenis, cookies, e-mail,…

Financiële gegevens zoals bankrekening, inkomen, belastingen,…

Juridische informatie zoals veroordelingen, boetes,…

Sociale media zoals Facebook, LinkedIn, Twitter,…

GPS-gegevens zoals reisinformatie, GPS,…

Medische gegevens zoals vaccinaties, ziekenhuisinfo,…

Etnische gegevens zoals culturele voorkeuren, religies,…

Winkelgedrag zoals winkelaankopen, direct marketing,…

3. De gevolgen voor je bedrijf en hoe voorbereiden?

De wetgeving gaat in vanaf mei 2018 en geldt voor iedereen die goederen of diensten aanbiedt in de Europese Unie. Vanaf dan moet je als bedrijf dus kunnen aantonen dat je voldoet aan de nieuwe wet. Dit gaat zowel over de manierGDPR 2 300×180 – GDPR in mensentaal van verzamelen van persoonlijke gegevens als over het opslaan in datacenters of in een cloud buiten de EU. Voor de meeste bedrijven is dit een enorme aanpassing.

Gelukkig heeft de privacycommissie enkele richtlijnen opgesteld om je bedrijf zo goed mogelijk voor te bereiden.

Transparantie: Je moet op een begrijpelijke manier uitleggen hoe de data wordt verzameld en verwerkt.

Recht om vergeten te worden: Wanneer een persoon aan jouw bedrijf vraagt om de persoonsgegevens te wissen dan ben je dit verplicht. Ook als de data al gedeeld werd met derde partijen.

Meldplicht: Is er een datalek? Je bent verplicht om dit binnen de 72 uur te melden, tenzij je kan aantonen dat het geen gevaar vormt voor de persoonsgegevens.

Data-overdracht: Burgers kunnen hun gegevens overdragen van de ene dienstverlener naar de andere. Voorbeeld: internetprovider.

4. Wat zijn de sancties?

Als je niet voldoet aan de GDPR-wetgeving dan hangen er hoge boetes boven je hoofd. Bij een ‘lichte schending’ kan het gaan over 2% van je jaarlijkse omzet. De maximale boete kan oplopen tot €20 miljoen of 4% van je jaarlijkse omzet.

5. Een toezichthouder binnen je bedrijf

Omdat de GDPR-richtlijnen een grote impact hebben op je bedrijf – en de sancties niet mals zijn – moet je een verantwoordelijke aanstellen. Dit noemen we een DPO, ofwel Data Protection Officer. Deze persoon kent de nieuwe wetgeving heel goed en controleert of alles nauwkeurig wordt opgevolgd.

De DPO kan een DPIA ofte Data Protection Impact Assessment uitvoeren. Dit is een instrument waarmee je de privacyrisico’s van een gegevensverwerking in kaart kan brengen. Hoewel wij een DPIA ten zeerste aanraden, is het enkel verplicht wanneer de gegevensverwerking een hoog privacyrisico oplevert. Na het uitvoeren van de DPIA kan de DPO aanpassingen doen of adviseren om de risico’s te verkleinen of weg te werken.

De DPO moet er dus op toekijken dat jouw bedrijf de data verwerkt en bewaart volgens de GDPR-regels. Wat heel belangrijk is, is dat de DPO geen eindverantwoordelijkheid heeft en dus niet aansprakelijk is. Wanneer de regels niet worden nageleefd heeft het bedrijf de volledige aansprakelijkheid.

DATA PROTECTION Notice – GDPR

Secorex BVBA

Inleiding
Secorex BVBA maatschappelijke zetel Lange leemstraat 7a– 2018 Antwerpen, en ingeschreven in de Kruispuntbank van Ondernemingen met ondernemingsnummer 0652.912.047, hecht veel belang aan een veilige, transparante en vertrouwelijke verzameling en verwerking van de persoonsgegevens. In het bijzonder willen wij de gegevens van de bij ons clienteel  en andere partijen waarvoor wij natuurlijke persoonsgegevens verwerken, beschermen tegen onder meer verlies, lekken, fouten, onterechte toegangen of onrechtmatige verwerkingen.
Wij willen u door middel van deze Data Protection Notice informeren over de verzameling en verwerking van de persoonsgegevens.
Wij vragen dat u deze Data Protection Notice aandachtig leest, vermits deze essentiële informatie bevat over hoe wij persoonsgegevens verwerken en informatie geeft over de doelstellingen van de verwerking.
Door het meedelen van uw persoonsgegevens verklaart u uitdrukkelijk kennis te hebben genomen van deze Data Protection Notice en gaat u er eveneens uitdrukkelijk mee akkoord, alsook met de verwerking zelf.
Toepassingsgebied
Deze Data Protection Notice heeft betrekking op alle diensten die door ons worden verstrekt en in het algemeen op alle activiteiten die wij uitvoeren.
RELATIE – VERWERKINGSVERANTWOORDELIJKE – VerwerkER en haar verbintenissen
In de relatie tussen Secorex  en de aangesloten onderneming of particulier s de klant de verwerkingsverantwoordelijke en Secorex de verwerker van de persoonsgegevens.
Bij de verzameling en verwerking van uw persoonsgegevens respecteren wij de Belgische regelgeving inzake bescherming van persoonsgegevens, evenals de Algemene Verordening Gegevensbescherming (“GDPR”) vanaf haar inwerkingtreding op 25 mei 2018.
Persoonsgegevens
Secorex verwerkt alle persoonsgegevens die u ons conform uw toetredingsovereenkomst dient over te maken in het kader van wettelijke verplichtingen en de opdrachten die u als onderneming ten aanzien van ons bedrijf of dient toe te vertrouwen.
Wij wijzen u erop dat u de verantwoordelijkheid draagt voor alle gegevens die u ons verstrekt en dat wij vertrouwen op de juistheid ervan. Indien uw gegevens niet meer up-to-date zouden zijn, bent u verplicht om ons dit per kerende te melden.

Verwerkingsdoeleinden en rechtsgrond
Klantgegevens
In het kader van onze dienstverlening en onze activiteiten verzamelen en verwerken wij de identiteits- en contactgegevens van ons clienteel en andere nuttige contactpersonen. De doeleinden voor deze verwerkingen zijn de uitvoering van de overeenkomsten met onze klanten-ondernemingen, het klantenbeheer, het geschillenbeheer, de werkplanning, de boekhouding en direct marketingactiviteiten zoals het toesturen van promotionele of commerciële informatie. De rechtsgronden zijn de uitvoering van de overeenkomst, het vervullen van wettelijke en reglementaire verplichtingen en/of ons gerechtvaardigd belang.
Rechten 

Recht op toegang en inzage: u heeft het recht om kennis te nemen van de gegevens die wij over u hebben en na te gaan waarvoor deze worden aangewend.
Recht op rectificatie: u heeft het recht om rectificatie (verbetering) van uw onjuiste persoonsgegevens te verkrijgen, evenals om onvolledige persoonsgegevens te vervolledigen.
Recht op gegevenswissing of beperking: u heeft het recht om ons te verzoeken uw persoonsgegevens te wissen of de verwerking ervan te beperken in de omstandigheden en onder de voorwaarden zoals bepaald door de Algemene Verordening Gegevensbescherming. Wij kunnen de gegevenswissing of beperking weigeren van enige persoonsgegevens die voor ons noodzakelijk zijn voor het uitvoeren van een wettelijke verplichting, de uitvoering van de overeenkomst of ons gerechtvaardigd belang, en dit zolang deze gegevens noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld.
Recht op overdraagbaarheid van gegevens: u heeft het recht de persoonsgegevens die u ons heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. U heeft het recht deze gegevens over te dragen aan een andere verantwoordelijke voor de verwerking.
Recht van bezwaar: u heeft het recht bezwaar te maken tegen de verwerking van uw persoonsgegevens wegens ernstige en legitieme motieven. Gelieve er evenwel rekening mee te houden dat u zich niet kan verzetten tegen de verwerking van persoonsgegevens die voor ons noodzakelijk zijn voor het uitvoeren van een wettelijke verplichting, de uitvoering van de overeenkomst of ons gerechtvaardigd belang, en dit zolang deze gegevens noodzakelijk zijn voor de doeleinden waarvoor zij werden verzameld.
Recht van intrekking van de toestemming: Indien de verwerking van de persoonsgegevens is gebaseerd op de voorafgaande toestemming, beschikt u over het recht deze toestemming in te trekken. Deze persoonsgegevens zullen dan enkel nog verwerkt worden indien wij hiervoor over een andere rechtsgrond beschikken.
Automatische beslissingen en profilering: wij bevestigen dat de verwerking van de persoonsgegevens geen profilering omvat en dat u niet aan volledige geautomatiseerde beslissingen wordt onderworpen.

U kan voormelde rechten uitoefenen door u te wenden tot ons sociaal secretariaat via de kanalen die wij ter beschikking stellen.
Wij stellen alles in het werk om op een zorgvuldige en legitieme manier om te gaan met uw persoonsgegevens in overeenstemming met de toepasselijke regelgeving. Indien u desalniettemin van oordeel bent dat uw rechten geschonden zouden zijn en u binnen onze onderneming voor uw bezorgdheden geen gehoor zou vinden, staat het u vrij een klacht in te dienen bij:
Commissie voor de Bescherming van de Persoonlijke Levenssfeer
Drukpersstraat 35, 1000 Brussel
Tel. 02 274 48 00
Fax. 02 274 48 35
E-mail: commission@privacycommission.be
U kan zich bijkomend richten tot een rechtbank wanneer u meent dat u schade zou lijden als gevolg van de verwerking van uw persoonsgegevens.
Doorgifte aan derden
Bepaalde persoonsgegevens die door ons worden verzameld, zullen worden doorgegeven aan en mogelijk verwerkt worden door derde dienstverleners, zoals onze IT-leverancier, boekhouder, revisor, evenals door de overheid.
Het is mogelijk dat één of meer van bovenvermelde derde partijen gelokaliseerd zijn buiten de Europese Economische Ruimte (“EER”). Er zullen evenwel alleen persoonsgegevens worden doorgestuurd naar derde landen met een passend beschermingsniveau.
De werknemers, managers en/of vertegenwoordigers van de hierboven vermelde dienstverleners of instellingen en de gespecialiseerde dienstverleners door hen aangesteld, dienen de vertrouwelijke aard van uw persoonsgegevens te respecteren en kunnen deze gegevens enkel gebruiken voor de doeleinden in het kader waarvan zij werden verstrekt.
Technische en organisatorische maatregelen
Wij nemen de nodige technische en organisatorische maatregelen om uw persoonsgegevens volgens een afdoend veiligheidsniveau te verwerken en deze te beschermen tegen vernietiging, verlies, vervalsing, wijziging, niet-toegestane toegang of kennisgeving per vergissing aan derden, evenals elke andere niet toegestane verwerking van deze gegevens.
In geen geval kan Secorex  aansprakelijk worden geacht voor enige directe of indirecte schade die voortvloeit uit een foutief of onrechtmatig gebruik door een derde van de persoonsgegevens.
Toegang door derden
Met het oog op de verwerking van uw persoonsgegevens, verlenen wij toegang tot uw persoonsgegevens aan onze werknemers, medewerkers en aangestelden. Wij garanderen een gelijkaardig niveau van bescherming door contractuele verplichtingen tegenstelbaar te maken aan deze werknemers, medewerkers en aangestelden, die gelijkaardig zijn aan deze Data Protection Notice.
Nog vragen?
Indien u na het lezen van deze Data Protection Notice verdere vragen of opmerkingen heeft met betrekking tot de verzameling en verwerking van uw persoonsgegevens, kan u contact opnemen Secorex BVBA, hetzij per post (Lange leemstraat 7a, 2018 Antwerpen, Contacpersoon : Chaima Amansor (Zaakvoerder), hetzij per e-mail aan info@secorex.be ).