Verklaring van bescherming van persoonsgegevens voor de activiteit van DPO- Extern

Inleiding

Als externe functionaris voor gegevensbescherming (Data Protection Officer, DPO) zetten wij ons in om de vertrouwelijkheid, integriteit en veiligheid van de persoonlijke gegevens van onze klanten te waarborgen. Het is onze missie om ervoor te zorgen dat onze klanten voldoen aan de regelgeving voor gegevensbescherming, in het bijzonder de General Data Protection Regulation (GDPR).

Wie zijn wij?

CABRI.EU SRL is verantwoordelijk voor de verwerking van uw persoonsgegevens.

Persoonlijke gegevens die we verwerken

  • Algemene identificatie- en contactgegevens: namen; adres; e-mail en telefoon; geslacht; datum
  • Videobewakingsgegevens: om veiligheidsredenen zijn sommige van onze gebouwen uitgerust met een videobewakingssysteem;
  • Nuttige informatie voor het monitoren van inbreuken op klantgegevens en verzoeken om rechten uit te oefenen

Verantwoordelijkheden

Als externe DPO hebben we de volgende verantwoordelijkheden:

  • Onze klanten adviseren over kwesties met betrekking tot gegevensbescherming.
  • De gegevensverwerkingsactiviteiten van onze klanten controleren.
  • Reageren op verzoeken van de betrokken personen.
  • Werk samen met de toezichthoudende autoriteiten.

Onze doeleinden (waarom verwerken we uw gegevens?)

Als functionaris voor gegevensbescherming (Data Protection Officer, DPO) is het onze taak om ervoor te zorgen dat de regelgeving inzake gegevensbescherming, zoals de General Data Protection Regulation (GDPR), wordt nageleefd.

Dit zijn enkele van onze verantwoordelijkheden:

1.    Advies en bewustmaking :
  • Het bedrijf adviseren over best practices in de bescherming van persoonlijke gegevens.
    • Medewerkers en belanghebbenden bewust maken van de vertrouwelijkheid van gegevens.
2.    Controle en audits :
  • Toezicht houden op gegevensverwerkingsactiviteiten binnen de organisatie.
    • Uitvoeren van audits om ervoor te zorgen dat processen voldoen aan de voorschriften.
3.    Incidentbeheer :
  • In het geval van een datalek coördineren we de reactie en de kennisgeving aan de bevoegde autoriteiten en de betrokken personen.
4.    Werken met de toezichthoudende autoriteiten :
  • Wij zijn het contactpunt met de gegevensbeschermingsautoriteiten.
    • We werken met hen samen tijdens onderzoeken of inspecties.
5.    Documentatie en rapporten :
  • We houden up-to-date documentatie bij over gegevensverwerkingsactiviteiten.
    • We stellen rapporten op voor het management en de relevante autoriteiten.

Wettelijke basis

De rechtsgrondslag voor verwerking is wat wettelijk de uitvoering ervan toestaat, wat een organisatie het recht geeft om persoonsgegevens te verzamelen of te gebruiken. Het kan ook de “wettelijke basis” voor verwerking worden genoemd.

Om te kunnen worden geïmplementeerd, moet alle gegevensverwerking gebaseerd zijn op een van de rechtsgrondslagen die zijn vastgelegd in de General Data Protection Regulation (GDPR). Het bepalen van de juiste rechtsgrondslag is een belangrijke stap voor organisaties.

Dit zijn de belangrijkste rechtsgrondslagen van de RGPD:

1.    Toestemming :
  • De verwerking kan worden gebaseerd op de uitdrukkelijke en geïnformeerde toestemming van de betrokkene.
    • Toestemming moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn.
2.    Uitvoering van een contract :
  • De verwerking kan gebaseerd zijn op de uitvoering van een contract met de betrokkene.
  • Bijvoorbeeld het beheren van klantgegevens als onderdeel van een verkoopcontract.
3.    Wettelijke verplichting :
  • De verwerking kan worden gerechtvaardigd door een wettelijke verplichting waaraan de organisatie is onderworpen.
    • Bijvoorbeeld het bewaren van belastinggegevens in overeenstemming met de wet.
4.    Bescherming van vitale belangen :
  • Behandeling kan noodzakelijk zijn om iemands leven of lichamelijke integriteit te beschermen.
5.    Publieke missie :
  • Overheidsinstanties kunnen deze rechtsgrondslag gebruiken voor de verwerkingen die zij uitvoeren.
    • Bijvoorbeeld openbare gezondheidsdiensten.
6.    Legitiem belang :
  • De organisatie kan de verwerking baseren op haar legitieme belangen, mits aan bepaalde vereisten wordt voldaan.
    • Het moet een evenwicht vinden tussen zijn eigen belangen en de fundamentele rechten van individuen.

Wie heeft toegang tot persoonlijke gegevens

  • Het personeel van SRL CABRI.EU
  • Het personeel van SRL ARLIOZ.BE.

Onderaannemer

CABRI.EU maakt gebruik van de volgende onderaannemers:

  1. SRL ARLIOZ, voor het technisch beheer van klantendossiers en RGPD- advies
  2. OVH (Frankrijk) voor website hosting
  3. Microsoft INC voor de cloud.
  4. Proximus en VOO voor telecommunicatie
  5. SRL Tout-Elec Beveiliging voor gebouwbeveiliging en huisautomatisering
  6. SA Fiscale bijstand voor boekhouding
  7. De URPC voor HRM
  8. BELFIUS, ING en CBC voor banken en verzekeringsmaatschappijen
  9. Cheques Ondernemingen voor door hen gefinancierde projecten

Technische en organisatorische maatregelen

Technische en organisatorische maatregelen zijn essentieel om veiligheid en naleving te garanderen op het gebied van de bescherming van persoonsgegevens.

CABRI.EU heeft passende technische en organisatorische maatregelen genomen om uw gegevens te beschermen tegen onbevoegde toegang, onbevoegde openbaarmaking, kwaadwillige en onbedoelde vernietiging, onrechtmatig gebruik, enz:

1.    Technische maatregelen:
  • Encryptie van vertrouwelijke gegevens: Encryptie maakt gegevens onleesbaar zonder de juiste sleutel.
  • Hostingbeveiliging: Gebruik van dedicated servers in plaats van gedeelde servers om de beveiliging te versterken.
  • Identificatie en authenticatie: Implementatie van procedures om de identiteit van gebruikers te verifiëren.
  • Beveiligde gegevensstromen: Gebruik van protocollen zoals TSL/SSL, HTTPS en SFTP om gegevensuitwisselingen te beveiligen.
  • We houden kwetsbaarheden voortdurend in de gaten en passen beveiligingspatches toe wanneer dat nodig is.
2.    Organisatorische maatregelen:
  • Autorisatiebeheer: de toegang tot gegevens controleren.
  • Kennis van gegevens: register voor het in kaart brengen en verwerken van gegevens.
  • Bewustmaking en training: werknemers trainen in goede veiligheidspraktijken.
  • Juridische zekerheid: een vertrouwelijkheidsbeleid opstellen en arbeidscontracten beheren
  • Er is een beveiligingsbeleid voor gebouwen en IT-infrastructuur geïmplementeerd;
  • Medewerkers ondertekenen een geheimhoudingsverklaring;

In de praktijk overlappen deze twee categorieën maatregelen elkaar vaak, aangezien organisatorische maatregelen gebaseerd zijn op de naleving van procedures waarbij technische maatregelen worden geactiveerd. Het doel is om een optimale en passende bescherming van persoonsgegevens te garanderen.

Melding van een inbreuk in verband met persoonsgegevens

Als externe DPO nemen we elke inbreuk op persoonsgegevens zeer serieus. Dit zijn de stappen die je moet volgen in het geval van een inbreuk:

1.    Opsporing en beoordeling :
  • Zodra we ons bewust worden van een datalek, beoordelen we de impact ervan op de rechten en vrijheden van de betrokken personen.
    • We stellen de aard van de inbreuk vast (verlies, onbevoegde toegang, wijziging, enz.).
2.    Kennisgeving aan de Controledienst :
  • In overeenstemming met Artikel 33 van de GDPR stellen we de bevoegde toezichthoudende autoriteit (de Belgische Gegevensbeschermingsautoriteit) binnen 72 uur na het ontdekken van de inbreuk op de hoogte.
    • Als de inbreuk geen risico inhoudt voor de rechten en vrijheden van individuen, documenteren we het incident toch intern.
3.    Mededeling aan betrokken personen :
  • Als de inbreuk waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van individuen, zullen we de betrokken individuen ook informeren.
    • We geven duidelijke informatie over de aard van de overtreding, de maatregelen die zijn genomen om de overtreding te verhelpen en het advies dat moet worden opgevolgd.
4.    Werken met klanten:
  • We werken nauw samen met onze klanten om de situatie op te lossen en de gevolgen tot een minimum te beperken.
    • Indien nodig helpen we hen bij de communicatie met de betrokkenen.
5.    Documentatie:
  • We documenteren elke fase van het kennisgevingsproces, inclusief de genomen corrigerende maatregelen.
    • Deze documentatie is essentieel om onze naleving aan te tonen in het geval van een audit.

Bewaartermijnen voor uw gegevens

De bewaartermijn voor persoonlijke gegevens is een essentieel element in de naleving van de regelgeving voor gegevensbescherming.

Hier is belangrijke informatie over dit onderwerp:

1.    Levenscyclus van gegevens :

o Voor elke gegevensverwerking volgen persoonsgegevens een

levenscyclus die uit drie fasen bestaat:

  1. Actieve opslag: In deze fase worden de gegevens gebruikt om het oorspronkelijke doel van de verwerking te bereiken. In een bedrijf worden de gegevens van een afgewezen sollicitant bijvoorbeeld maximaal 2 jaar bewaard (tenzij de sollicitant om verwijdering verzoekt) door de personeelsafdeling.
    1. Tussentijdse archivering: de gegevens worden niet langer gebruikt om het oorspronkelijke doel te bereiken, maar zijn nog wel van administratief belang (bijvoorbeeld voor het beheer van een geschil) of moeten worden bewaard om aan een wettelijke verplichting te voldoen.
    1. Permanente archivering: Sommige informatie wordt permanent gearchiveerd vanwege de historische of juridische waarde.
2.    Bepaling van de houdbaarheid :
  • De definitie van de bewaarperiode maakt deel uit van de nalevingsanalyse die de gegevensbeheerder moet uitvoeren.
  • In sommige gevallen is de duur vastgelegd in regelgeving
  • Voor andere verwerkingsactiviteiten moet de duur worden bepaald op basis van het doel van de verwerkingsactiviteit.

De rechten die u hebt over uw gegevens

Als externe DPO erkennen en respecteren we de rechten van personen van wie persoonsgegevens worden verwerkt. Dit zijn de belangrijkste rechten die betrokkenen kunnen uitoefenen:

1. Recht op toegang :
  • Iedereen heeft het recht om te weten of zijn of haar persoonlijke gegevens worden verwerkt en om een kopie van die gegevens te krijgen.
    • We zetten ons in om duidelijke en transparante informatie te verstrekken over de verwerking van gegevens.
2. Recht op correctie :
  • Als persoonlijke gegevens onjuist of onvolledig zijn, hebben betrokkenen het recht om correctie te vragen.
    • We verwerken deze verzoeken onmiddellijk en werken de gegevens dienovereenkomstig bij.
3. Recht om vergeten te worden :
  • Betrokkenen kunnen in bepaalde omstandigheden verzoeken om verwijdering van hun persoonlijke gegevens.
    • We verwijderen gegevens in overeenstemming met de wettelijke vereisten en het bewaarbeleid.
4. Recht op gegevensoverdraagbaarheid :
  • Betrokkenen hebben het recht om hun persoonlijke gegevens in een gestructureerd, machineleesbaar formaat te ontvangen.
    • Waar van toepassing vergemakkelijken we de overdraagbaarheid van gegevens.
5. Recht van bezwaar :
  • Betrokkenen kunnen op legitieme gronden bezwaar maken tegen de verwerking van hun persoonsgegevens.
    • We onderzoeken deze bezwaren zorgvuldig en passen zo nodig onze werkwijze aan.
15. Recht om een klacht in te dienen :
  • Als een persoon van mening is dat zijn rechten op het gebied van gegevensbescherming zijn geschonden, kan hij een klacht indienen bij de bevoegde toezichthoudende autoriteit.

Als u uw rechten wilt uitoefenen of een vraag hebt over de manier waarop wij uw persoonlijke gegevens verwerken, neem dan contact met ons op. Onze contactgegevens vindt u bovenaan deze verklaring.

Overdracht van uw persoonlijke gegevens

  • Er worden geen gegevens doorgegeven buiten de Europese Unie.
  • Daarnaast worden onze websites (www.cabri.eu, www.mondpo.be) gehost in Frankrijk.
  • Voor gegevens die buiten de Europese Unie worden verwerkt en opgeslagen, worden garanties voor adequate bescherming van uw persoonlijke gegevens geïmplementeerd, inclusief codering.
  • Verwerking omvat geen geautomatiseerde besluitvorming

Neem contact op met

Als u vragen of zorgen hebt over de bescherming van persoonsgegevens, neem dan contact met ons op via dpo@cabri.eu.

Wijziging van de privacyverklaring

We zetten ons in om je persoonlijke gegevens te beschermen in overeenstemming met de huidige regelgeving, waaronder de General Data Protection Regulation (GDPR). Onze verklaring over gegevensbescherming kan van tijd tot tijd worden bijgewerkt om juridische, technologische of organisatorische ontwikkelingen te weerspiegelen.

Mogelijke wijzigingen

  • We kunnen om verschillende redenen wijzigingen aanbrengen in de gegevensbeschermingsverklaring, zoals wijzigingen in onze activiteiten, juridische updates of verbeteringen in onze vertrouwelijkheidspraktijken.
  • Deze wijzigingen kunnen betrekking hebben op de doeleinden van de verwerking, de verzamelde gegevenscategorieën, de rechtsgrondslagen, enz.

Toegang tot updates

  • Updates van de gegevensbeschermingsverklaring worden op onze website gepubliceerd.
  • U kunt de meest recente versie van de verklaring op elk gewenst moment raadplegen door naar de pagina Verklaring gegevensbescherming te gaan.
  • De datum van de laatste update wordt duidelijk aangegeven op deze pagina.

We raden u aan onze verklaring over gegevensbescherming regelmatig te raadplegen om op de hoogte te blijven van eventuele wijzigingen. Als je vragen hebt, aarzel dan niet om contact met ons op te nemen via dpo@cabri.eu. 05 03 24