Algemene Privacy Policy

1. Doelstelling

Deze Algemene Privacy Policy beoogt passende waarborgen te bepalen voor de verwerking van persoonsgegevens (zoals hieronder gedefinieerd) door:

De Schoonmakerij bvba

Sluizeken 1

9000 Gent

Ondernemingsnummer: 0884.352.364

Deze policy bepaalt alle relevante informatie en instructies voor iedereen die in de uitoefening van zijn functie bij De Schoonmakerij persoonsgegevens verwerkt zoals omschreven in deze policy, en dit naast andere relevante policies in dat verband zoals onder andere Privacyverklaring Website.

Deze Privacy Policy is opgesteld om de naleving te verzekeren van de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van richtlijn 95/46/EG (Algemene Verordening inzake Gegevensbescherming, of AVG).

Deze policy beoogt geen sterkere bescherming te voorzien dan wat vereist wordt door de toepasselijke wetgeving.

2. Toepassingsgebied

Deze policy is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van De Schoonmakerij en is opgesteld om de naleving van de AVG en de (Belgische) uitvoeringswetgeving te verzekeren.

Deze policy werd opgesteld voor iedere afdeling en iedere persoon die in de uitoefening van zijn functie bij De Schoonmakerij persoonsgegevens verwerkt. Deze werknemers worden verwacht de bepalingen van deze Algemene Privacy Policy strikt na te leven.

Persoonsgegevens zijn gegevens betreffende natuurlijke personen, bijvoorbeeld:

  • Huidig personeel
  • Potentieel personeel (sollicitanten)
  • Voormalig personeel
  • Contractors/consultants/freelancers
  • Uitzendkrachten
  • Bestuurders en aandeelhouders
  • Contactpersonen bij klanten
  • Contactpersonen bij leveranciers
  • Prospecten
  • Familieleden van werknemers
  • Enzovoort.

3. Definities

De AVG bevat een lijst met definities, waarvan de belangrijkste hieronder worden uiteengezet:

  • “Verwerkingsverantwoordelijke” betekent een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van deze policy is De Schoonmakerij een Verwerkingsverantwoordelijke;
  • “Werknemer”: Omwille van praktische redenen wordt ‘werknemer’ in deze policy in een ruime zin begrepen en omvat het iedere tegenwoordige of voormalige werknemer, uitzendkracht, vrijwilliger, expat, stagiair of iedere andere tijdelijke werknemer;
  • “Europese Economische Ruimte (“EER”)” omvat momenteel de volgende landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Liechtenstein, Litouwen, Luxemburg, Malta, Nederland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië, Verenigd Koninkrijk, Zweden;
  • “Persoonsgegevens” omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”);
  • “Betrokkene” betekent een identificeerbaar persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
  • “Gevoelige persoonsgegevens” omvatten persoonsgegevens waaruit volgende gegevens over iemand blijken:
    • raciale of etnische afkomst;
    • politieke overtuiging;
    • godsdienst of levensbeschouwelijke overtuigingen;
    • lidmaatschap van een vakbond;
    • gegevens over gezondheid of seksueel gedrag;
    • gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
  • “Verwerking” wordt in de AVG omschreven als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’. Dit duidt op een ruime opvatting van de term ‘verwerking’.
  • “Inbreuk in verband met persoonsgegevens” wordt in de AVG omschreven als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.

4. Beginselen betreffende de verwerking van persoonsgegevens

De Schoonmakerij eerbiedigt de persoonlijke levenssfeer van de hierboven vermelde betrokkenen van wie persoonsgegevens worden verwerkt, en zet zich in om hun persoonsgegevens te beschermen in overeenstemming met de AVG. De naleving van de AVG ligt in lijn met de wens van De Schoonmakerij om haar werknemers en iedere andere betrokkene te informeren over de verwerking van hun persoonsgegevens, en hun privacy-rechten te erkennen en te eerbiedigen.

De Schoonmakerij neemt volgende beginselen in acht bij de verwerking van persoonsgegevens:

  • Persoonsgegevens moeten ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant worden verwerkt;
  • Persoonsgegevens moeten voor welbepaalde en gerechtvaardigde doeleinden worden verzameld; de persoonsgegevens mogen niet verder verwerkt worden op een wijze die onverenigbaar is met die doeleinden;
  • De persoonsgegevens zullen toereikend, terzake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt;
  • De persoonsgegevens moeten juist zijn en indien nodig geactualiseerd worden. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die onjuist of onvolledig zijn, onverwijld te verbeteren of te wissen;
  • De persoonsgegevens mogen enkel worden bewaard zolang als nodig is voor de doeleinden waarvoor ze worden verwerkt. Deze doeleinden worden in deze policy uiteengezet;
  • De persoonsgegevens zullen worden verwijderd of aangepast volgend op een gegrond verzoek van de betrokkene;
  • De persoonsgegevens zullen worden verwerkt in overeenstemming met de wettelijke rechten van de betrokkene zoals omschreven in deze policy of zoals wettelijk wordt voorzien;
  • Er moeten passende technische en organisatorische maatregelen worden genomen om ongeoorloofde toegang, onrechtmatige verwerking en ongeoorloofd of onopzettelijk verlies, vernietiging of beschadiging van de persoonsgegevens te vermijden. Bij een niet-naleving zoals omschreven in voorgaande zin, en/of in geval van een onopzettelijk informatielek, zal De Schoonmakerij passende maatregelen nemen om de schending te beëindigen/het informatielek weg te werken en verantwoordelijkheden vast te stellen in overeenstemming met de AVG en zal indien nodig meewerken met de bevoegde autoriteiten, voor zover deze betrokken zouden worden bij een dergelijke schending of informatielek.

Werknemers worden geacht in hun dagdagelijkse bezigheden deze principes na te leven.

Concreet betekent dit dat werknemers te allen tijde:

  • de juistheid van persoonsgegevens moeten verifiëren en deze moeten verbeteren waar nodig;
  • enkel persoonsgegevens kunnen verwerken voor zover noodzakelijk in de uitvoering van taken;
  • geen persoonsgegevens mogen doorgeven aan derden tenzij deze persoon daartoe gemachtigd is;
  • zich geen toegang mogen verschaffen tot informatie waartoe ze niet gerechtigd zijn of geen toegang hebben gekregen;
  • geen persoonsgegevens bewaren buiten het netwerk van De Schoonmakerij tenzij mits toelating van de werkgever en voor zover noodzakelijk.

5. Informatie over de verwerkingen onder de verantwoordelijkheid van De Schoonmakerij

De Schoonmakerij verwerkt de persoonsgegevens van de hierboven vermelde betrokkenen enkel indien het daartoe over een rechtsgrond beschikt.

De Schoonmakerij zal persoonsgegevens op rechtmatige wijze verwerken en dit op basis van één van de volgende (relevante) rechtsgronden:

  • omdat het noodzakelijk is voor de uitvoering van de overeenkomst waarbij de betrokkene partij is of met het oog op het nemen van maatregelen op het verzoek van de betrokkene voorafgaand aan de sluiting van een overeenkomst, bijvoorbeeld de arbeidsovereenkomst met werknemers;
  • omdat het noodzakelijk is om te voldoen aan de wettelijke verplichtingen van De Schoonmakerij;
  • omdat het noodzakelijk is voor de doeleinden van de nagestreefde legitieme belangen door De Schoonmakerij of door een derde partij, uitgezonderd wanneer zulke belangen worden opgeheven door de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, in het bijzonder wanneer de betrokkene een kind is.
  • Deze laatste rechtsgrond, die veel zal moeten worden gebruikt, vereist daarom een afweging tussen de belangen van De Schoonmakerij  enerzijds en de belangen van de personen wiens gegevens worden verwerkt anderzijds.

De Schoonmakerij kan ook andere rechtsgronden gebruiken, maar deze zijn minder relevant:

  • Wanneer de betrokkene zijn vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor één of meerdere specifieke doeleinden;
  • In gevallen waar er een reëel of potentieel mogelijk nadeel is doordat een betrokkene zijn toestemming niet verleent, is de toestemming niet geldig, aangezien deze niet vrij is en ook niet vrij kan worden gegeven (bijv. gedurende een arbeidsrelatie);
  • Wanneer de verwerking noodzakelijk is teneinde de vitale belangen van de betrokkene te beschermen of van een andere natuurlijke persoon (dat beperkt moet worden geïnterpreteerd), bijv. in het geval van een medische urgentie.

De Schoonmakerij zal in beginsel voor elke verwerkingsactiviteit zich slechts op één rechtsgrond beroepen.

Occasioneel zal De Schoonmakerij ook gevoelige gegevens moeten verwerken, bijv. in het kader van de arbeidsrelatie. De verwerking van gevoelige persoonsgegevens is in beginsel verboden. Beperkte uitzonderingen bestaan, zoals:

  • de betrokkene heeft expliciete toestemming gegeven voor de verwerking van deze persoonsgegevens voor één of meerdere specifieke doeleinden, uitgezonderd wanneer de wet vooropstelt dat het verbod niet kan worden opgeheven door de betrokkene (wat vaak het geval is in de arbeidsrelatie waar verschillende lokale wetten voorzien dat toestemming enkel kan worden gegeven wanneer dit in het voordeel is van de werknemer);
  • de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van De Schoonmakerij of van de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht voor zover het is toegestaan door de wet of een collectieve overeenkomst die passende waarborgen biedt voor fundamentele rechten en de belangen van de betrokkene;
  • de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
  • de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van iemands arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen of het beheer van systemen van gezondheidszorg of sociale diensten en diensten op basis van de wet of overeenkomstig een overeenkomst met een professionele gezondheidswerker en onder de verantwoordelijkheid van een beroepsbeoefenaar die onderworpen is aan het beroepsgeheim.

Voor meer informatie over de concrete categorieën van persoonsgegevens en de doeleinden waarvoor De Schoonmakerij persoonsgegevens verwerkt, wordt verwezen naar:

  • de Privacykennisgeving voor werknemers;
  • de Privacyverklaring op de website, met inbegrip van de informatie aan sollicitanten.

6. Beveiliging/vertrouwelijkheid

De Schoonmakerij verbindt zich ertoe om passende technische, fysieke en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen de ongeoorloofde toegang, onrechtmatige verwerking, onopzettelijk verlies of aantasting en ongeoorloofde vernietiging ervan.

6.1 Apparatuur en informatiebeveiliging

Om ongeoorloofde toegang tot persoonsgegevens door derden te voorkomen, worden alle elektronische persoonsgegevens in handen van De Schoonmakerij bewaard in systemen die beschermd zijn met veilige up-to-date netwerkarchitectuur, uitgerust met firewalls en toegangsdetectieapparatuur. Er bestaat een “back up” van de gegevens opgeslagen op de servers zodat de gevolgen van een onopzettelijke verwijdering, vernietiging of verlies vermeden kunnen worden. De servers bevinden zich in inrichtingen met een hoge graad van beveiliging, waarbij toegang door onbevoegden vermeden wordt en er branddetectie- en reactiesystemen in werking zijn. Slechts een beperkt aantal werknemers van De Schoonmakerij heeft toegang tot deze servers.

6.2 Toegangsbeveiliging

De beveiliging van persoonsgegevens in verband met De Schoonmakerij is van groot belang. De Schoonmakerij verbindt zich ertoe om de integriteit van persoonsgegevens te vrijwaren en de ongeoorloofde toegang tot informatie in de databanken van De Schoonmakerij te voorkomen. Deze maatregelen zijn ontworpen en bedoeld om gegevensfraude te voorkomen, om onbekende en ongeoorloofde toegang tot onze computersystemen en informatie af te weren, en om passende bescherming te bieden aan persoonsgegevens in handen van De Schoonmakerij. Alle personeelsdossiers worden op vertrouwelijke wijze in de HR afdeling bijgehouden in beveiligde en vergrendelde dossierkasten of ruimten. Toegang tot de geautomatiseerde databanken wordt gecontroleerd door inloggegevens en vereist de identificatie door middel van een paswoord vooraleer toegang wordt verleend. Gebruikers hebben toegang tot gegevens in de mate van het nodige om hun functie uit te voeren. De veiligheidsaspecten van onze software en ontwikkelde procedures worden gebruikt om persoonsgegevens te beschermen tegen verlies, misbruik, en ongeoorloofde toegang, verstrekking, wijziging of vernietiging.

Van werknemers wordt dan ook steeds verwacht om:

  • kasten af te sluiten waarin persoonlijke gegevens bewaard worden;
  • de computer af te sluiten en te beveiligen met een sterk paswoord;
  • gedrukte/geprinte documenten die persoonsgegevens bevatten onmiddellijk weg te nemen van de printer en niet ergens in de gebouwen te laten liggen noch mee naar huis te nemen en daar te bewaren.

6.3 Opleiding

De Schoonmakerij is verantwoordelijk om passende opleidingen te geven over de opgesomde rechtmatig voorgehouden doeleinden om persoonsgegevens te verwerken, over de noodzaak om nauwkeurige en geactualiseerde gegevens te houden, over de rechtmatige doeleinden voor het verzamelen, behandelen en verwerken van persoonsgegevens die doorgestuurd worden vanuit de EER naar een derde land, en ten slotte over de noodzaak om gegevens waartoe werknemers toegang hebben, vertrouwelijk te houden. Gemachtigde gebruikers zullen deze policy naleven en De Schoonmakerij zal passende maatregelen nemen in overeenstemming met de toepasselijke wetgeving indien persoonsgegevens werden geraadpleegd, verwerkt of gebruikt op een manier die in strijd is met de vereisten van deze policy.

7. Gegevensbescherming door ontwerp (‘By Design’) en door standaardinstellingen (‘By Default’)

7. Algemeen beginsel

Bij het werken aan nieuwe initiatieven of lopende projecten (bedrijfsinitiatieven, nieuwe systemen, hulpmiddelen of applicaties) heeft De Schoonmakerij een verantwoordelijkheid om te verzekeren dat gegevensbeschermingsvereisten worden geïntegreerd vanaf de ontwerpfase (zogenaamd ‘Privacy by Design’) tot de werking (zogenaamd ‘Privacy by Default’). Verder moet De Schoonmakerij verzekeren en kunnen aantonen dat gegevens worden verwerkt in overeenstemming met de vereisten van de gegevensbeschermingswetgeving.

7.2 Gegevensbeschermingseffectbeoordeling (‘GEB’)

Indien de verwerking waarschijnlijk gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, zal De Schoonmakerij een gegevensbeschermingseffectbeoordeling uitvoeren om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de beoordeling zal rekening worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen. Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de bevoegde toezichthoudende autoriteit plaats te vinden.

In het algemeen kan De Schoonmakerij ervan uitgaan dat wanneer een verwerking beantwoordt aan 2 van de 9 hieronder vermelde criteria, een GEB moet worden uitgevoerd:

  1. Evaluatie of scoretoekenning, waaronder profilering en voorspelling, in het bijzonder m.b.t. de beoordeling van een betrokkene op het werk, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of beweging;
  2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg: verwerking die tot doel heeft beslissingen te nemen over betrokkenen die “rechtsgevolgen hebben met betrekking tot de natuurlijke persoon” of die “op vergelijkbare wijze aanzienlijk de natuurlijke persoon beïnvloeden”;
  3. Stelselmatige monitoring; verwerking gebruikt om betrokkenen te observeren, te monitoren of te controleren, met inbegrip van gegevens verzameld door netwerken of “een stelselmatige monitoring van een publiek toegankelijke ruimte”;
  4. Gevoelige persoonsgegevens of gegevens van zeer persoonlijke aard;
  5. Verwerking van persoonsgegevens op grote schaal;
  6. Matching of samenvoeging van datasets, bijvoorbeeld afkomstig van twee of meerdere gegevensverwerkingsactiviteiten uitgevoerd voor verschillende doeleinden en/of door verschillende gegevensverwerkingsverantwoordelijken op een manier dat het de redelijke verwachtingen van de betrokkene te buiten zou gaan;
  7. Gegevens m.b.t. kwetsbare betrokkenen, zoals werknemers;
  8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen, zoals een combinatie van het gebruik van vingerafdruk en gezichtsherkenning voor een verbeterde toegangscontrole enz.;
  9. Wanneer de verwerking zelf “de betrokkene verhindert een recht uit te oefenen of een dienst of contract te gebruiken”.

De lokale toezichthoudende autoriteiten kunnen een lijst uitvaardigen van verwerkingsactiviteiten waarvoor al dan niet een GEB vereist is. De lijst van de Gegevensbeschermingsautoriteit in België kan hier worden geraadpleegd: https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2018.pdf

8. Rechten van betrokkenen

8.1 Procedure

De Schoonmakerij moet de uitoefening van de rechten van de betrokkenen wiens persoonsgegevens zij verwerkt, faciliteren.

De Schoonmakerij kan, wanneer zij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een verzoek indient, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

De Schoonmakerij moet onverwijld informatie bezorgen aan de betrokkene over het gevolg dat aan een verzoek is gegeven onder deze bepalingen en in ieder geval binnen 1 maand na ontvangst van het verzoek. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens 2 maanden worden verlengd. De Schoonmakerij moet de betrokkene binnen 1 maand na ontvangst van het verzoek in kennis stellen van een dergelijke verlenging, samen met de redenen voor de vertraging.

Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

Het treffen van de maatregelen bedoeld in de deze artikelen geschiedt kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag De Schoonmakerij ofwel: a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel b) weigeren gevolg te geven aan het verzoek.

8.2 Welke rechten?

Betrokkenen hebben recht op/om:

  • Toegang tot en kopiëren van persoonsgegevens: uitsluitsel te verkrijgen over het al dan niet verwerken van hem of haar betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de hierboven vermelde informatie. De Schoonmakerij verstrekt eveneens een kopie van de gegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan De Schoonmakerij op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Dit recht mag geen afbreuk doen aan de rechten en vrijheden van anderen. Informatie met betrekking tot andere natuurlijke personen kan daarom niet (volledig) worden opgevraagd of gekopieerd. De rechten van De Schoonmakerij kunnen ook van belang zijn: De Schoonmakerij kan niet worden verplicht om vertrouwelijke bedrijfsinformatie te verstrekken.
  • Persoonsgegevens te laten rectificeren: onverwijld rectificatie van hem of haar betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht het vervolledigen van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
  • Persoonsgegevens te laten wissen: Een betrokkene kan De Schoonmakerij verzoeken om gegevens te wissen in de volgende gevallen:
    1. de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
    2. de betrokkene trekt de toestemming waarop de verwerking berust, in, en er is geen andere rechtsgrond voor de verwerking;
    3. de betrokkene maakt bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking voor doeleinden inzake direct marketing;
    4. de persoonsgegevens zijn onrechtmatig verwerkt;
    5. de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting.

Dit recht op wissing is niet van toepassing voor zover verwerking nodig is:

  1. voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
  2. voor het nakomen van een wettelijke verplichting of
  3. voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
  • Toestemming in te trekken: Indien De Schoonmakerij zich uitsluitend heeft gebaseerd op toestemming als een rechtsgrond voor verwerking, kan de betrokkene op ieder moment zijn toestemming intrekken. Dit beïnvloedt echter niet de rechtmatigheid van de verwerkingsactiviteiten die hebben plaatsgevonden vóór deze intrekking.
  • Verwerking van persoonsgegevens te beperken, indien bijvoorbeeld de juistheid van de persoonsgegevens wordt betwist.
  • Gegevensoverdraagbaarheid: een betrokkene kan de hem of haar betreffende persoonsgegevens verkrijgen, die hij of zij aan De Schoonmakerij heeft verstrekt, in een gestructureerde, gangbare en machine-leesbare vorm, en heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door De Schoonmakerij, indien de verwerking berust op toestemming of op een overeenkomst en de verwerking via geautomatiseerde procedés wordt verricht. Dit recht mag geen afbreuk doen aan de rechten en vrijheden van andere personen.
  • Bezwaar te maken tegen verwerking van hem of haar betreffende persoonsgegevens op basis van de legitieme belangen, met inbegrip van profilering op basis van die bepalingen of verwerking voor doeleinden inzake direct marketing. In het geval van een gerechtvaardigd bezwaar zal De Schoonmakerij onmiddellijk de verwerking moeten staken, tenzij er dwingende gronden voor de verwerking zijn of wanneer De Schoonmakerij de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
  • Niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, d.w.z. een besluitvorming die uitsluitend is gebaseerd op geautomatiseerde verwerking, waaronder profilering, waaraan voor hem of haar rechtsgevolgen zijn verbonden of dat hem of haar anderszins in aanmerkelijke mate treft, tenzij dit is toegestaan door de wet of dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, in welk geval ten minste het recht op menselijk tussenkomst door De Schoonmakerij moet worden verstrekt.

De betrokkene kan bezwaren maken bij de Belgische toezichthoudende autoriteit:

Gegevensbeschermingsautoriteit
Drukpersstraat 35, 1000 Brussel
+32 (0)2 274 48 00
+32 (0)2 274 48 35
contact(at)apd-gba.be

9. Bewaring van persoonsgegevens

De Schoonmakerij zal persoonsgegevens niet langer bewaren dan noodzakelijk voor de doeleinden waarvoor ze verwerkt worden. Met het oog daarop heeft De Schoonmakerij een retentiebeleid uitgewerkt, gebaseerd op de in kaart gebrachte verwerkingsactiviteiten.

In principe worden e-mails bij De Schoonmakerij bewaard gedurende 7 jaar.

Elke werknemer die de controle heeft over persoonsgegevens met inbegrip van gegevens die de werknemer verwerkt of creëert, ontvangen en verzonden e-mails, gearchiveerde e-mails, persoonlijke files en files die geüpload werden naar gedeelde drives, is verantwoordelijk voor de naleving van dit retentiebeleid en dient bijgevolg gegevens en bestanden te verwijderen van zodra de toepasselijke bewaartermijn is verstreken.

10. Overdracht van gegevens

Persoonsgegevens mogen worden doorgegeven aan verbonden entiteiten of externe dienstverleners indien de bekendmaking ervan kadert binnen één van de verwerkingsdoeleinden waarop de gegevensverwerking wordt gebaseerd en indien de bekendmaking rechtmatig en eerlijk wordt geacht voor de betrokkene. Meer bepaald kan De Schoonmakerij de gegevens van de betrokkene bekendmaken indien dit noodzakelijk is voor haar rechtmatige belangen als onderneming of voor de belangen van een derde (maar De Schoonmakerij zal zich hier alsnog van onthouden wanneer de privacy-rechten van de betrokkene zwaarder doorwegen).

De Schoonmakerij kan ook persoonsgegevens bekendmaken:

  • indien de betrokkene zijn/haar toestemming geeft;
  • indien dit wettelijk verplicht is; en
  • in verband met strafrechtelijke onderzoeken of andere onderzoeken door de overheid.

HR-gerelateerde omstandigheden waarin persoonsgegevens openbaar kunnen worden gemaakt, omvatten de bekendmaking aan:

  • organisaties die namens De Schoonmakerij persoonsgegevens verwerken, zoals het sociaal secretariaat, verzekeringsmaatschappijen en andere dienstverleners, de bank en organisaties die de IT systemen en gegevens beheren;
  • externe ontvangers van elektronische communicatie (zoals e-mails) die persoonsgegevens van betrokkenen bevatten.

Indien de bekendmaking aan een externe dienstverlener vereist is, zal De Schoonmakerij enkel beroep doen op verwerkers die voldoende waarborgen bieden om passende technische en organisatorische maatregelen te implementeren waardoor de gegevensverwerking in overstemming met de AVG wordt uitgevoerd en de rechten van de betrokkenen worden beschermd. Hierbij zullen in toepassing van de AVG overeenkomsten worden gesloten tussen De Schoonmakerij en eender welke externe dienstverlener.

Elke werknemer die verantwoordelijk is voor het aangaan van dergelijke diensten, moet advies inwinnen bij de juridische afdeling die zal instaan voor het afsluiten van de juiste contractuele afspraken.

11. Inbreuk in verband met persoonsgegevens

11.1 Melding van inbreuken in verband met persoonsgegevens

Iedereen die in de uitoefening van zijn/haar functie bij De Schoonmakerij persoonsgegevens (van collega’s, sollicitanten, klanten, derden enzovoort) verwerkt, moet er zorg voor dragen om (opzettelijke of onopzettelijke) incidenten te vermijden die de privacy van de betrokkenen kunnen aantasten.

In geval van een inbreuk op persoonsgegevens zoals hieronder omschreven en zoals opgenomen in de lijst met definities in deze Algemene Privacy Policy, is het van fundamenteel belang dat er zo snel mogelijk passende maatregelen worden genomen om het risico op schade voor de betrokkene en uiteindelijk ook voor De Schoonmakerij zelf (reputatieschade, opgelegde sancties, …) te minimaliseren.

De Schoonmakerij is verplicht om onmiddellijk de bevoegde nationale toezichthoudende autoriteit in kennis te stellen van elke inbreuk in verband met persoonsgegevens waarbij er ernstige negatieve gevolgen zijn of kunnen zijn betreffende de bescherming van persoonsgegevens. De Schoonmakerij moet een inbreuk in verband met persoonsgegevens binnen de 72 uur nadat zij er kennis van heeft genomen melden aan de toezichthoudende autoriteit. In sommige gevallen zal De Schoonmakerij ook de betrokkene(n) die geïmpacteerd zijn door de inbreuk, moeten inlichten.

11.2 Wat is een inbreuk op persoonsgegevens?

Een inbreuk op persoonsgegevens is een inbreuk op de beveiliging. Echter niet elke inbreuk op de beveiliging vormt ook een inbreuk in verband met persoonsgegevens. In het algemeen kunnen inbreuken op persoonsgegevens onderverdeeld worden als volgt:

  • “Inbreuk op de vertrouwelijkheid” – in geval van een niet-geautoriseerde of toevallige verspreiding of toegang tot persoonsgegevens;
  • “Inbreuk op beschikbaarheid” – in geval van een toevallig of niet-geautoriseerd verlies van toegang tot of beschadiging van persoonsgegevens;
  • “Inbreuk op integriteit” – in geval van een toevallige of niet-geautoriseerde wijziging van persoonsgegevens.

In sommige gevallen kan een inbreuk op persoonsgegevens zowel betrekking hebben op de vertrouwelijkheid, de beschikbaarheid en de integriteit tegelijkertijd of in combinatie. Er is bijvoorbeeld sprake van een inbreuk op de beveiliging bij de diefstal of het verlies van een USB stick, mobiel toestel of een laptop of bij indringing door een hacker van ongeacht welk systeem dat persoonsgegevens bevat.

11.3 Interne rapportering

In ieder geval zijn alle individuen die informatie van De Schoonmakerij raadplegen, gebruiken of beheren verantwoordelijk om iedere inbreuk op de beveiliging en incidenten in verband met informatiebeveiliging onmiddellijk te melden aan De Schoonmakerij zodat er onmiddellijk geanalyseerd kan worden of de inbreuk gemeld moet worden.

Het verslag dient een volledige en gedetailleerde beschrijving te bevatten van het incident, met inbegrip van de identiteit van de persoon die melding maakt, om welk soort incident het gaat, of de gegevens betrekking hebben op personen en hoeveel personen erbij betrokken zijn.

De contactgegevens voor de rapportering zijn:

  • E-mailadres: katrien@deschoonmakerij.be
  • Telefoonnummer: 09/279 06 05

11.4 Onderzoek en risicoanalyse

Afhankelijk van het type incident zal de onderneming het incident onderzoeken. Indien mogelijk zal er binnen de 24 uur nadat het incident gemeld is, een onderzoek worden opgestart.

Het onderzoek zal uitwijzen wat de aard van het incident is, het type van de betrokken gegevens en of er persoonsgegevens bij betrokken zijn (en zo ja, wie de betrokkenen zijn en hoeveel persoonlijke bestanden er werden getroffen).

Het onderzoek zal analyseren in welke mate het systeem werd aangetast of wat de gevoeligheid van de betrokken gegevens is en er zal een risicoanalyse worden uitgevoerd over wat de mogelijke gevolgen van het incident kunnen zijn, bijvoorbeeld of betrokkenen benadeeld zijn of de toegang tot gegevens of IT diensten verstoord zijn.

11.5 Beheer en herstel

De zaakvoerder bepaalt het passende verloop en de vereiste middelen om de impact van het incident te beperken. Dit vereist mogelijk het afzonderen van een deel van het netwerk, het verwittigen van relevante medewerkers of het uitschakelen van bepaalde apparatuur.

Er worden passende maatregelen genomen om het verlies van systemen of gegevens te herstellen en de normale operationele werkzaamheden te hervatten. Dit omvat mogelijk het trachten te herstellen van verloren apparatuur, het terugvallen op “back up” mechanismen om aangetaste of gestolen gegevens te herstellen en het wijzigen van aangetaste paswoorden.

Advies van (externe) experten kan worden ingewonnen om het incident onverwijld en gepast op te lossen.

11.6 Melding

Vervolgens zal de onderneming op basis van de ernst van de inbreuk een beslissing nemen of de verantwoordelijke Toezichthoudende Autoriteit wettelijk in kennis moeten worden gesteld.

Wanneer de beslissing wordt genomen om de Toezichthoudende Autoriteit op de hoogte te brengen van een bepaald incident, en eventueel de betrokkene(n) zelf ook, zal de volgende beoordeling worden gemaakt:

11.7 Beoordeling

Eenmaal het incident is afgehandeld, moet er een grondige analyse plaatsvinden. Het verslag beschrijft de oorsprong van het incident en de elementen die ertoe hebben bijgedragen, het chronologisch verloop van de gebeurtenissen, de reactieve maatregelen, aanbevelingen en geleerde lessen om domeinen te identificeren die verbeterd moeten worden. Aanbevolen wijzigingen aan systemen, policies en procedures zullen zo snel mogelijke daarna gedocumenteerd en geïmplementeerd worden.

12. Handhaving van deze policy, sancties

De Schoonmakerij zorgt ervoor dat deze Algemene Privacy Policy in acht wordt genomen en behoorlijk wordt geïmplementeerd. Alle personen die toegang hebben tot persoonsgegevens moeten deze policy naleven.

Schending van de toepasselijke wetgeving betreffende gegevensbescherming kan ertoe leiden dat De Schoonmakerij boetes of schadeclaims kan opgelegd krijgen door de toezichthoudende autoriteiten of door de bevoegde rechtbank. Indien deze schade rechtstreeks voortvloeit uit een schending van deze policy door een werknemer, dan zal dit kunnen gesanctioneerd worden met de nodige disciplinaire maatregelen, zoals vermeld in het arbeidsreglement, met inbegrip van, maar niet beperkt tot ontslag.

13. Kennisgeving van deze policy

De Schoonmakerij zal een periodieke opleiding voorzien over deze Algemene Privacy Policy. Hiervoor geldt een verplichte aanwezigheid.

Bovendien zal De Schoonmakerij deze policy meedelen aan de huidige en nieuwe werknemers door deze op het personeelsportaal (op de website) te plaatsen.

14. Wijzigingen aan het beleid

De Schoonmakerij behoudt zich het recht voor om indien nodig deze policy te wijzigen, bijvoorbeeld om te voldoen aan nieuwe wettelijke verplichtingen, richtlijnen of eisen gesteld door de toezichthoudende autoriteiten. De Schoonmakerij zal de betrokkenen informeren over iedere materiële wijziging aan deze Algemene Privacy Policy.