Gegevensverwerkingsbeleid Helga’s Poezenhuis Opvang

                   (Hulplijn Dier in Nood VZW)

 

 1. Algemeen

Dit document geeft de algemene beleidsuitgangspunten over privacy (bescherming van persoonsgegevens) binnen VZW Hulplijn Dier in Nood, met handelsnaam ‘Helga’s Poezenhuis Opvang’ (hierna “HPHO”) weer, gebaseerd op de GDPR (General Data Protection Regulation – EU Verordening 2016/679 E.P.).

Met het beschrijven van maatregelen in dit beleidsdocument neemt HPHO haar verantwoordelijkheid om de kwaliteit van de beveiliging van de persoonsgegevens te optimaliseren.

Dit beleidsdocument dient als norm voor het verwerken van de persoonsgegevens onder de verantwoordelijkheid van HPHO en is geschreven voor iedereen die een beleidsfunctie heeft binnen HPHO. Het beleidshandboek wordt gebruikt voor het ontwerpen van procedures en richtlijnen voor medewerkers en externen, zoals ICT-leveranciers, …. De relevante onderdelen van dit beleidsdocument worden verwerkt in verwerkersovereenkomsten of privacyverklaringen voor personeel/medewerkers/vrijwilligers, cliënteel, leveranciers, sollicitanten, enz.

2. Toepassingsgebied en doelstellingen van het beleid

Voor haar bedrijfsdoeleinden dient HPHO bepaalde informatie over personen te verzamelen en te gebruiken. Dit kunnen klanten, leveranciers, zakencontacten, medewerkers (zowel medewerkers in dienstverband als medewerkers via andere overeenkomst zoals zelfstandige samenwerkingsverbanden, stagiairs, vrijwilligers, …), schenkers of andere mensen zijn die met ons in contact komen.

Dit beleid heeft betrekking op de verwerking van persoonsgegevens onder de verantwoordelijkheid van HPHO en dit zowel m.b.t. interne bedrijfsprocessen, als processen die zijn uitbesteed aan derden.

Het beleid is van toepassing op geheel of gedeeltelijk geautomatiseerde/systematische verwerking van persoonsgegevens, alsook op niet-geautomatiseerde verwerking van persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van HPHO .

De doelstellingen van het beleid zijn als volgt:

- Normen stellen: huidig beleidsdocument betreft de basis voor de beveiliging van persoonsgegevens.

- Kader bieden: het beleid biedt een kader om verwerking van (ook toekomstige) persoonsgegevens te toetsen aan een norm of een overeengekomen ‘best practice’.

- Taken, bevoegdheden en verantwoordelijkheden in de organisatie vastleggen.

- Verantwoordelijkheid nemen: de directie dient de uitgangspunten en de organisatie voor het verwerken van persoonsgegevens vast te leggen voor HPHO en dit uit te dragen.

- Implementatie van het beleid door duidelijk keuzes in maatregelen te maken en actieve controle toe te passen op de uitvoering van beleidsmaatregelen.

- Bewustwording creëren van het belang en de noodzaak om persoonsgegevens te beschermen bij de (externe) medewerkers van HPHO .

- Compliant zijn met de Belgische en Europese wetgeving.

3. Principes verwerking persoonsgegevens

Het uitgangspunt voor het gegevensverwerkingsbeleid van HPHO is dat persoonsgegevens in overeenstemming met de huidige vigerende wet- en regelgeving op zorgvuldige en behoorlijke wijze worden verwerkt. Daarbij wordt gestreefd naar een balans tussen het belang van HPHO om persoonsgegevens te verwerken en het belang van de betrokkene om eigen keuzes te maken m.b.t. zijn of haar gegevens.

HPHO stelt volgende principe voorop om hieraan te voldoen:

- Elke verwerking van persoonsgegevens is gebaseerd op één van de wettelijke grondslagen zoals genoemd in de GDPR.

- Persoonsgegevens worden alleen verwerkt voor duidelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking geformuleerd.

- De hoeveelheid en het soort gegevens blijft beperkt tot de persoonsgegevens die noodzakelijk zijn voor het specifieke doeleinde.

- De verwerking van persoonsgegevens gebeurt op de minst ingrijpende wijze en dient in redelijke verhouding te staan tot het beoogde doeleinde.

- Er worden maatregelen getroffen om zoveel mogelijk te waarborgen dat de te verwerken persoonsgegevens correct en up-to-date zijn.

- Persoonsgegevens worden adequaat beveiligd.

- Persoonsgegevens worden niet langer verwerkt dan noodzakelijk is voor de doeleinden van de verwerking. Hierbij worden de van toepassing zijnde bewaar- en vernietigingstermijnen in acht genomen.

- Er wordt een register van verwerkingsactiviteiten opgesteld.

- Privacy by design1 en privacy by default2 worden gehanteerd.

- Iedere betrokkene heeft recht op inzage respectievelijk rectificatie, gegevenswissing en beperking van de verwerking en overdraagbaarheid. (Zie titel 8)

4. Organisatie m.b.t. verwerking persoonsgegevens

Mevrouw Helga Gillé en mevrouw Inneke Vander Aa, bestuurders van de VZW Hulplijn Dier in Nood, betreffen de eindverantwoordelijke binnen HPHO voor de verwerking van persoonsgegevens. Zij zijn primair verantwoordelijk voor een zorgvuldige verwerking van persoonsgegevens binnen de bedrijfsprocessen. Zij fungeren als formeel beslissingsplatform voor informatieveiligheid en zijn bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten:

- Risicoanalyse en bijhorende methodiek;

- Het ontwikkelen van het informatieveiligheidsbeleid en de bijhorende richtlijnen

- De implementatie van beveiligingsmaatregelen

- De structurele reactie op informatieveiligheidsproblemen en -adviezen

De feitelijke verwerking wordt binnen verschillende afdelingen door personeelsleden/medewerkers/vrijwilligers van HPHO uitgevoerd. De verwerking van persoonsgegevens dient te worden gezien als een gedelegeerde verantwoordelijkheid van de bestuurders naar de verschillende afdelingen. Het is de taak van de personeelsleden/medewerkers/vrijwilligers om dit beleid met alle relevante partijen te bespreken.

Zorgvuldig omgaan met persoonsgegevens is een verantwoordelijkheid van iedereen (intern / extern) die gegevens verwerkt (bv. inkijkt, registreert, wijzigt, …). Onder zorgvuldig omgaan met persoonsgegevens wordt onder andere verstaan:

- Hanteren van clean desk/clean screen;

- Geen bedrijfsgoederen met data in de auto laten liggen;

- Signaleren en proactief melden van risico’s m.b.t. privacy aan de leidinggevende;

- enz.

Van al het personeel / alle medewerkers en vrijwilligers van HPHO wordt verwacht dat zij integer gedragen m.b.t. verwerking van persoonsgegevens. Het is ontoelaatbaar dat door al dan niet opzettelijk gedrag situaties ontstaan die kunnen leiden tot schade of reputatieverlies van HPHO of van betrokkenen. Om deze redenen zijn privacyverklaringen opgesteld en geïmplementeerd en wordt continu aandacht besteed aan awareness.

5. Implementatie van het beleid

Het waarborgen van privacy is een continu kwaliteitsproces. HPHO tracht dit naar best vermogen te implementeren volgens de volgende kwaliteitscyclus:

1. PLAN: De kwaliteitscyclus start met het opstellen van een beleid, gebaseerd op de wet- en regelgeving en normen vanuit de branche. Daarnaast worden richtlijnen en standaarden opgesteld. Het beleid wordt elk jaar herzien en indien nodig tussentijds bijgesteld.

2. DO: Vervolgens wordt het beleid vertaald naar concrete plannen. Er worden bewustwordingsacties opgezet, metingen verricht en maatregelen getroffen. Uitvoering van deze acties maakt onderdeel uit van het dagelijks werkproces.

3. CHECK: Ten derde worden er controles uitgevoerd op de naleving van het beleid, dit door o.a. periodiek overleg te voeren en jaarlijks te rapporteren. Het doel van controle is om de bescherming van persoonsgegevens te borgen en compliant te zijn aan wet- en regelgeving. De bevindingen van de controles worden gerapporteerd aan de eindverantwoordelijke.

4. ACT: Als laatste stap in de cyclus worden de processen geëvalueerd en worden er verbetervoorstellen voorgesteld.

6. Behoorlijke en zorgvuldige verwerking van persoonsgegevens

6.1 VERWERKINGEN

Het verwerken van persoonsgegevens dient gebaseerd te zijn op een (of meerdere) van de wettelijke gronden zoals omschreven in de GDPR. De wettelijke gronden zijn als volgt:

a) De betrokkene heeft toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens voor een of meer specifieke doeleinden; 

b) De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen;

c) De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

d) De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

e) De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

f) De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

g) Iedere mogelijke toekomstige uitbreiding van de wettelijke gronden bepaald in de GDPR.

De verantwoordelijke van het bedrijfsproces omschrijft vooraf de doeleinden voor de verwerking. Elke verwerking wordt gemeld bij de eindverantwoordelijke(n). De eindverantwoordelijke toetst vervolgens of de verwerking noodzakelijk is en of de doeleinden rechtsgeldig zijn. De eindverantwoordelijke houdt conform de GDPR een register van verwerkingsactiviteiten bij.

Daarnaast worden de principes van privacy by design en privacy by default, zoals beschreven in de GDPR, gehanteerd (zie ook p. 2, titel 3, voetnoten 1 en 2).

Bijzondere persoonsgegevens3 worden niet verwerkt, tenzij noodzakelijk (bv. op grond van een wettelijke verplichting, indien expliciete toestemming is gegeven, in zaken van levensbelang, …). Indien bijzondere persoonsgegevens worden verwerkt, dan zijn deze gescheiden en worden deze zwaarder beveiligd dan andere persoonsgegevens.

6.2 BESCHERMING VAN GEGEVENS

HPHO treft passende organisatorische en technische maatregelen ter bescherming en bevordering van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens en ter voorkoming van verlies, inbreuk en onrechtmatige verwerking van persoonsgegevens, zoals:

Bv.:

- Bewaartermijnen:

Persoonsgegevens mogen niet langer worden bewaard dan vereist voor het doel waarvoor zij gebruikt of verzameld worden. Bewaartermijnen kunnen wettelijk of door HPHO worden vastgesteld. Persoonsgegevens dienen vernietigd te worden zodra de bewaartermijn is verstreken;

- het hanteren van toegangscontroles tot onze locaties en autorisaties voor beperkte groepen medewerkers;

- Camerabewaking;

- Logging van gegevensgebruik.

6.3 VERWERKERSOVEREENKOMST

HPHO kan processen en diensten uitbesteden aan derden. Het uitbesteden van processen en diensten brengen risico’s met zich mee m.b.t. gegevensverwerking en informatiebeveiliging. HPHO blijft verantwoordelijk voor de verwerking van die gegevens. Om de verantwoordelijkheid te kunnen managen wordt bij elke uitbesteding waarbij persoonsgegevens in het spel zijn een verwerkersovereenkomst afgesloten.

HPHO is verantwoordelijk om deze overeenkomsten af te sluiten en te beheren.

7. Incidenten

7.1 Beveiligingsincidenten en datalekken

Incidenten (een beveiligingsincident of datalek) kunnen voorkomen en daar dient adequaat op te worden gereageerd. Een beveiligingsincident is een gebeurtenis waardoor mogelijk afbreuk is gedaan aan de integriteit, vertrouwelijkheid of beschikbaarheid van gegevens. Een datalek is toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, al dan niet onrechtmatig. Bij een datalek is het zeker dat persoonsgegevens verloren zijn gegaan of dat onrechtmatige verwerking niet kan worden uitgesloten.

7.2 Melding en registratie

Beveiligingsincidenten en datalekken dienen gemeld te worden via e-mail aan het mailadres info@hpho.be / helga.gille@telenet.be. Elk incident wordt geregistreerd. De bewaartermijn voor een incident is 3 jaar.

HPHO dient binnen de 72 uur een melding te doen bij de toezichthoudende autoriteit (Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel, contact@apd-gba.be) als er sprake is van een datalek. De melding aan de toezichthoudende autoriteit kan en mag uitsluitend door de eindverantwoordelijke gedaan worden.

Conform de GDPR dient HPHO de betrokkene(n) te informeren over de datalek. Dit dient te gebeuren indien het datalek ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene.

8. Rechten van betrokkenen

8.1 RECHT OP INFORMATIE (TRANSPARANTE COMMUNICATIE)

Het personeel, medewerkers, vrijwilligers, klanten, leveranciers, enz. moeten er op kunnen vertrouwen dat zijn of haar persoonsgegevens veilig en zorgvuldig worden verwerkt. Dat vertrouwen wordt gecreëerd door inzichtelijk te maken op welke wijze gegevens worden verwerkt en beheerd. Hierbij wordt duidelijk:

- welke gegevens worden verzameld;

- wat het doel is om deze gegevens te verzamelen;

- wat er vervolgens met deze gegevens gebeurt;

- wie toegang heeft tot de gegevens;

- welke rechten betrokkenen hebben.

De informatie wordt op een zodanige wijze verstrekt dat de betrokkene de inhoud ervan begrijpt.

8.2 RECHT VAN INZAGE VAN PERSOONSGEGEVENS

Conform de GDPR heeft iedere betrokkene het recht om op te vragen welke persoonsgegevens van hem of haar voor welke doeleinden worden verwerkt.

8.3 RECHT OP VERBETERING VAN PERSOONSGEGEVENS

Conform de GDPR heeft de betrokkene het recht om onverwijld zijn of haar persoonsgegevens te laten verbeteren, te wijzigen of aan te vullen, als deze feitelijk onjuist, onvolledig of niet ter zake zijn.

8.4 RECHT OP GEGEVENSWISSING

Conform de GDPR heeft de betrokkene het recht om zonder onredelijke vertraging zijn persoonsgegevens te doen wissen in een van de volgende gevallen:

- De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

- De betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a) GDPR, of artikel 9, lid 2, punt a) GDPR, berust, in, en er is geen andere rechtsgrond voor de verwerking;

- De betrokkene maakt overeenkomstig artikel 21, lid 1 GDPR, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2 GDPR; 

- De persoonsgegevens zijn onrechtmatig verwerkt;

- De persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

- De persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in de GDPR.

8.5 RECHT OP BEPERKING VAN DE GEGEVENSVERWERKING

Conform de GDPR heeft iedere betrokkene het recht om bij HPHO de beperking van de verwerking te verkrijgen in een van de volgende gevallen:

- De juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren;

- De verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;

- De verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

- De betrokkene heeft overeenkomstig artikel 21, lid 1 GDPR bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.

8.6 RECHT OP OVERDRAAGBAARHEID VAN GEGEVENS

Conform de GDPR heeft de betrokkene het recht de hem betreffende persoonsgegeven die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en leesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:

- De verwerking berust op toestemming uit hoofde van artikel 5, lid 11, punt a) GDPR, of artikel 9, lid 2, punt a) GDPR, of op een overeenkomst uit hoofde van artikel 6, lid 1, punt b) GDPR; en de verwerking via geautomatiseerde procedés wordt verricht.

8.7 INDIENEN VERZOEK (RECHT VAN BEZWAAR)

Een verzoek tot inzage, verbetering, gegevenswissing, beperking of overdraagbaarheid kan schriftelijk worden gestuurd naar VZW Dier in Nood (Helga’s Poezenhuis Opvang), Heidestraat 18 3140  Keerbergen t.a.v. de eindverantwoordelijken mevr. Helga Gillé en mevr. Inneke Vander Aa of per email naar info@hpho.be / info@helga-poezenhuis-opvang.be.

HPHO reageert schriftelijk en uiterlijk binnen 4 weken op het verzoek. HPHO draag hierbij zorg voor een deugdelijke vaststelling van de identiteit van degene die het verzoek indient. Zodra het verzoek gerechtvaardigd is, neemt HPHO onverwijld maatregelen die nodig zijn om aan het verzoek te voldoen.

Bij een besluit over een verzoek kan de betrokkene schriftelijk bezwaar indienen als hij of zij van mening is dat de wettelijke bepalingen betreffende de bescherming van persoonsgegevens niet correct zijn gehandhaafd. Indien de betrokkene niet akkoord gaat met het antwoord van HPHO hierop, dan heeft de betrokkene de mogelijkheid verdere gerechtelijke stappen te ondernemen.

9. Slotbepaling

Dit beleid is vastgesteld op 1/6/2018.

Aanpassingen van dit beleid worden aangekondigd via de website van HPHO (http://www.helgapoezenhuis-opvang.be), waarop de meest recente versie gepubliceerd is.

Voor vragen en/of opmerkingen m.b.t. dit beleid kunt u terecht bij de eindverantwoordelijken, mevr. Helga Gillé en mevr. Inneke Vander Aa (e-mail: info@hpho.be / info@helga-poezenhuis-opvang.be).

 

 

1Privacy by design betekent ‘aandacht voor privacy gedurende de gehele levenscyclus van een systeem, vanaf het ontwerpen tot aan het verwijderen van het systeem.

2Privacy by default betekent ‘instellingen van een product of dienst standaard op de meest privacyvriendelijke stand zetten’’. 

3 Bijzondere persoonsgegevens zijn cfr. artikel 9 GDPR: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap vakbond, genetische- en biometrische gegevens, gegevens over gezondheid, gegevens m.b.t. seksueel gedrag/seksuele geaardheid en alle mogelijke toekomstige uitbreidingen van dit begrip.