Beleid gegevensbescherming Loogo IT

» - «

Versie: 28/05/2020

  1. Inleiding: Het beleid voor gegevensbescherming LOOGO IT
  2. De uitvoering van het beleid voor gegevensbescherming
  3. De scope van het beleid gegevensbescherming

3.1    Materieel toepassingsgebied   

3.2    Functioneel toepassingsgebied   

3.3    Organisationeel toepassingsgebied   

  1. Beleidsdoelstellingen voor gegevensbescherming
  2. De beleidstaken en bijhorende bedrijfsprocessen
  3. De organisatie van gegevensbescherming
  4. De functionaris voor de gegevensbescherming (DPO)
  5. Contactpunt Gegevensbeschermingsautoriteit

 

1.   Inleiding: Het beleid voor gegevensbescherming LOOGO IT

Voor LOOGO IT is het beschermen van de persoonlijke levenssfeer van de klanten een belangrijk strategisch doel en bovenal een wettelijke verplichting die LOOGO IT hoog in het vaandel draagt.

Met deze beleidstekst willen we toelichten op welke manier we de rechten en vrijheden van de klanten, medewerkers en andere personen (‘betrokkenen’) vrijwaren wanneer we persoonsgegevens verwerken, zowel op papier als in de digitale informatieomgeving.

We besteden hierbij bijzondere aandacht aan meer risicovolle verwerkingen van persoonsgegevens, zoals het uitwisselen van deze gegevens met andere actoren, het verwerken van de gegevens buiten het strikte kader van de relatie.

Het doel van deze beleidstekst is in de eerste plaats strategisch. We willen duidelijke doelstellingen formuleren, waarbij we ons in de eerste plaats laten inspireren door het wetgevend kader, meer in het bijzonder verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Hoewel deze verordening het algemene kader schept voor de verwerking van persoonsgegevens, hebben we hierbij ook oog voor andere relevante wetgeving.

Daarnaast is deze beleidstekst tactisch. We lichten toe op welke manier we de organisatie van gegevensbescherming voorzien voor LOOGO IT. We bespreken de uitvoeringsmodaliteiten van dit beleid voor gegevensbescherming. We gaan bovendien verder in op alle verantwoordelijkheden die gepaard gaan met de uitvoering van het beleid gegevensbescherming.

 

2.   De uitvoering van het beleid voor gegevensbescherming

Het beleid voor gegevensbescherming wordt geïmplementeerd aan de hand van een implementatieplan. Na de implementatiefase zal dit beleid verder worden opgevolgd via permanente controles en verbeterplannen.

Na 25 mei 2018 zal dit beleid jaarlijks of bij belangrijke wijzigingen aangepast worden door de zaakvoerder van LOOGO IT. Daarbij toetsen we de nieuwe regelgevende kaders af met deze beleidstekst. Op korte termijn hebben we oog voor de (EU) ePrivacy verordening en de (EU) richtlijn voor de beveiliging van informatienetwerken en -systemen.

 

3.   De scope van het beleid gegevensbescherming

3.1  Materieel toepassingsgebied

Het beleid is van toepassing op alle persoonsgegevens die LOOGO IT verwerkt. We verstaan hieronder de gegevens van onze klanten en leveranciers. Op dit moment is er geen personeel werkzaam bij Loogo IT.

 

3.2  Functioneel toepassingsgebied

Het beleid is van toepassing op alle verwerkingsdoelen. Zowel gegevens die worden verwerkt voor (niet limitatief) de dienstverlening naar de klant, rapporteringsdoeleinden, gemachtigde extramurale gegevensstromen, financiële gegevens, persoonsgegevens die verwerkt worden in het kader van kwaliteitscontroles of risicobeoordelingen, alsook andere verwerkingen van persoonsgegevens, behoren tot de scope van het beleid voor gegevensbescherming.

 

3.3  Organisationeel toepassingsgebied

Deze beleidstekst is geschreven voor iedereen die in opdracht van LOOGO IT persoonsgegevens verwerkt. Zowel de zaakvoerder, als elke andere medewerker of leverancier.
Het beleid gegevensbescherming is voor LOOGO IT het uitgangspunt in haar samenwerking met andere partijen.

 

4.   Beleidsdoelstellingen voor gegevensbescherming

Kwaliteit van dienstverlening is een topprioriteit voor LOOGO IT. Een belangrijk aspect hierbij is een kwaliteitsvolle verwerking van persoonsgegevens. De zaakvoerder van LOOGO IT streeft aan de hand van dit beleid na dat de rechten en vrijheden van eenieder gevrijwaard zijn bij de verwerking van persoonsgegevens. Het uitschrijven van dit beleid heeft als doel om het correct omgaan met persoonsgegevens aan te tonen. Het bespreekt hierbij de beleidsdoelstellingen en formaliseert deze. Het verduidelijkt de cultuur van gegevensverwerking met respect voor eenieders rechten en vrijheden.

Concreet streven we volgende doelstellingen na: LOOGO IT…

  1. Is transparant over de persoonsgegevens die het verwerkt en het verwerkingsdoel, zowel naar de betrokkene als naar de toezichthouder. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk. Het transparantieprincipe is ook van toepassing wanneer de persoonsgegevens worden uitgewisseld.
  2. Verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van haar taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. Dit betekent onder meer dat de verwerking in overeenstemming is met de wettelijke en statutaire doelen van LOOGO IT. Dit wordt telkens geëvalueerd bij een nieuw verwerkingsdoel.
  3. Verwerkt enkel de persoonsgegevens die strikt noodzakelijk voor de uitvoering van de activiteiten. Zo worden identificatoren die horen bij de persoonsgegevens tot een minimum herleid.
  4. Kijkt toe op de integriteit van de persoonsgegevens gedurende de ganse verwerkingscyclus.
  5. Bewaart gegevens niet langer dan noodzakelijk. De noodzakelijkheid is afgetoetst tegenover wettelijke verplichtingen en de rechten en vrijheden van de betrokkene.
  6. Voorkomt inbreuken die voortvloeien uit het verwerken van persoonsgegevens. Informatieveiligheid, gegevensbescherming bij ontwerp en privacy-vriendelijke standaardinstellingen zijn hiervoor hulpmiddelen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake.
  7. Is in staat om alle geldende rechten van een betrokkene, zoals het recht op inzage, afschrift en eventueel ook schrapping uit te voeren. LOOGO IT bewaakt hierbij over de eventuele beperkingen die op deze rechten van toepassing zijn.
  8. Waakt er actief over dat bij het verwerken van de persoonsgegevens voor een welbepaald doel, de rechten en vrijheden van de betrokkene gevrijwaard blijven.
  9. Verwerkt gegevens in lijn met de rechten en vrijheden die gelden in de Europese Economische Ruimte en controleert de toepassing hiervan wanneer de gegevens worden uitgewisseld daarbuiten. LOOGO IT leeft bijgevolg alle wettelijke en normerende kaders na (i.e. zowel Vlaamse, Federale als Europese regels) bij het verwerken van persoonsgegevens en heeft daartoe haar verantwoordelijkheid over de persoonsgegevens en die van andere duidelijk in kaart gebracht. LOOGO IT monitort daarenboven ook de in de sector geldende gedragscodes en past deze toe.
  10. Kan aantonen dat het alle beleidsdoelstellingen naleeft, conform de wettelijke bepalingen. Deze verantwoordingsplicht wordt bewaakt door interne toezicht en controle en is uitvoerbaar volgens de wettelijk geldende principes.

 

5.   De beleidstaken en bijhorende bedrijfsprocessen

Om de beleidsdoelstellingen te bereiken zijn een aantal taken vastgelegd. Deze taken zijn in lijn met alle wettelijke verplichtingen die LOOGO IT dient na te streven (het aantoonbaarheidsprincipe). Daarnaast is de lijst van taken, zoals hieronder beschreven, geïnspireerd op praktijken van de Goede Huisvader.

Elke taak die hieronder wordt beschreven, wordt ondersteund door een bedrijfsproces. De algemene verantwoordelijkheid voor het uitvoeren van deze taken berust bij het directiecomité van LOOGO IT. De specifieke taken en de delegatie van de taken zijn opgenomen in het volgende hoofdstuk.

De beleidstaken zijn hieronder opgelijst en worden kort besproken.

LOOGO IT…

  1. Houdt permanent een register bij van de verwerkingsactiviteiten waarbij persoonsgegevens van alle categorieën van betrokkenen (i.e. medewerkers, klanten, …) worden verwerkt. Dit omvat een overzicht bij van alle verwerkingsdoelen en de hierbij horende categorieën van persoonsgegevens. Voor elk verwerkingsdoel wordt in dit register onder meer ook opgenomen welke categorieën van, het al dan niet uitwisselen van deze gegevens en de categorieën van ontvangers, met een specifieke vermelding wanneer deze worden uitgewisseld buiten de Europese Economische Ruimte en de passende waarborgen die hierbij vereist zijn. Ook de bewaartermijn en de technische en organisatorische maatregelen zijn hierin opgenomen. Deze wettelijke elementen worden aangevuld met een aanduiding van de verwerkingsgrond.
    Het verwerkingsregister wordt bijgewerkt voorafgaand aan het inrichten van nieuwe verwerkingsdoelen en bijhorende bedrijfsprocessen. Op dat moment wordt het afgetoetst aan de wettelijke en statutaire taken van LOOGO IT. Elke verdere verwerking van de persoonsgegevens, bijvoorbeeld voor onderzoek en kwaliteit, ondergaat eveneens een toets van het doel, de doelbinding en gegevensminimalisatie. We waken hierbij over de verenigbaarheid van het nieuwe doel met het oorspronkelijke doel.
    De volledigheid van het verwerkingsregister wordt bewaakt. LOOGO IT houdt het verwerkingsregister bij in digitale vorm en is opvraagbaar volgens de wettelijke bepalingen (i.e. door de Gegevensbeschermingsautoriteit).
  2. Stelt een lijst op van criteria die kunnen worden gebruikt om te identificeren of een verwerking een verhoogd risico inhoudt voor de betrokkene. Wanneer een verwerking in het register van verwerkingsactiviteiten aan de vooropgestelde criteria voldoet, wordt een gegevensbeschermingseffectenbeoordeling uitgevoerd voorafgaand aan de verwerking. Op basis van deze analyse worden maatregelen genomen zodat tijdens de verwerking het risico op een inbreuk beperkt wordt. Indien de risico’s die horen bij de verwerking een te hoog risico blijven inhouden, ook nadat de maatregelen zijn toegepast, worden voorgelegd aan de Gegevensbeschermingsautoriteit. LOOGO IT beheert naast de lijst van criteria voor het uitvoeren van deze analyse, ook het bedrijfsproces voor het initiëren, bewaken, bijwerken en uitvoeren ervan.
  3. Beheert de contractuele bepalingen met verwerkers, waarin onder meer de instructies die horen bij de verwerking worden opgelijst, alsook alle verplichtingen waaraan de verwerker moet voldoen in het kader van het naleven van wet- en regelgeving, waaronder de bepalingen rond informatieveiligheid. LOOGO IT voert actief toezicht uit op deze contractuele bepalingen. Daar waar de verwerking plaatsvindt onder een gemeenschappelijke verantwoordelijkheid, worden duidelijke afspraken gemaakt met het oog op de toepassing van de rechten van de betrokkene en de informatieplicht, tenzij deze verantwoordelijkheid in de wet- en regelgeving is opgenomen. Daarnaast worden ieders verantwoordelijkheden duidelijk gedocumenteerd en gecommuniceerd naar de betrokkene.
  4. Voorziet de nodige bedrijfsprocessen die ervoor zorgen dat de betrokkene wordt geïnformeerd over de verwerking. De verstrekte informatie omvat alle wettelijk opgelegde elementen, waaronder volgende niet limitatieve opsomming: de functionaris voor de gegevensverwerking, het verwerkingsdoel en de ontvangers van de gegevens. Daarnaast zijn bedrijfsprocessen gedocumenteerd die de rechten van de betrokkene (het recht op informatie, inzage, afschrift, rectificatie, gegevens wissen, overdraagbaarheid, beperking van de verwerking, bezwaar op verwerking, kennisgeving). Deze bedrijfsprocessen houden rekening met de beperkingen die van toepassing zijn uit hoofde van de verordening 2016/679).
  5. Zorgt voor maatregelen ter identificatie van inbreuken (preventief), het melden ervan door de personen die deelnemen aan het verwerkingsproces en de afhandeling ervan. Onder de maatregelen die te maken hebben met de afhandeling worden begrepen: het incident afhandelingsproces, de interne communicatie, de registratie van inbreuken in een intern register, de communicatie naar de Gegevensbeschermingsautoriteit en de betrokkene, inclusief de criteria die bepalen wanneer deze communicatie moet plaatsvinden.

 

6.   De organisatie van gegevensbescherming

Verantwoordelijkheid over persoonsgegevensDe verantwoordelijkheid voor het uitvoeren van de beleidstaken in het kader van gegevensbescherming ligt bij de zaakvoerder. Hij is verantwoordelijk voor het bekrachtigen van de beleidsdoelen en de hierbij horende taken. Elke beoordeling van risico’s vindt plaats onder verantwoordelijkheid van de zaakvoerders alsook de uitvoering van de bijhorende maatregelen. De zaakvoerder zijn daarnaast ook eindverantwoordelijk voor alle verplichtingen uit hoofde van de wet- en regelgeving, waaronder de bepalingen in de verordening 2016/679.

7.   De functionaris voor de gegevensbescherming (DPO)

Loogo IT is van oordeel dat er geen DPO benodigd is, gezien er aan geen van onderstaande criteria wordt voldaan:

  • Het bedrijf doet op grote schaal verwerkingen waarbij personen geobserveerd worden (bv. bewakingscamera’s in openbare ruimten of het online tracken van personen)
  • De organisatie verwerkt grootschalig bijzondere categorieën van gegevens of gegevens met betrekking tot strafrechtelijke feiten
  • Publieke autoriteiten of overheidsinstanties

 

8.  Contactpunt Gegevensbeschermingsautoriteit

Gezien er geen DPO werd aangesteld is de zaakvoerder van LOOGO IT het contactpunt voor de Gegevensbeschermingsautoriteit. Deze is te bereiken via:

info@loogo.be

+32 496 10 61 92