Privacy policy

Waarborg− en Sociaal Fonds Horeca
Beleid inzake verwerking en bescherming van
persoonsgegevens

Onderwerp en doelstellingen

Het beleid inzake de verwerking en bescherming van persoonsgegevens (hierna “policy″ genoemd) beoogt de bescherming van de grondrechten en de fundamentele vrijheden van de natuurlijke personen waarvan het Waarborg en Sociaal Fonds Horeca (hierna “het Fonds″ genoemd) persoonsgegevens verwerkt, en met name hun recht op bescherming van persoonsgegevens.

Deze privacy policy is conform met de Europese Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming - hierna AVG genoemd).

 

Toepassingsgebied

Deze privacy policy legt regels vast voor iedereen die in het kader van zijn rol binnen of in relatie tot het Fonds persoonsgegevens verwerkt. Het betreft hier medewerkers van het Fonds (werknemers, interimarissen, consultants, …), maar ook leveranciers, de regionale vormingscentra, advocaten, gerechtsdeurwaarders, het Fonds tot vergoeding van de in geval van Sluiting van Ondernemingen ontslagen werknemers.

De bedoelde verwerking betreft een bewerking of een geheel van bewerkingen met betrekking tot (een geheel van) persoonsgegevens. Het feit of de verwerking geautomatiseerd verloopt doet hierbij niet ter zake.

Dit beleid is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.

 

Beginselen inzake de verwerking van persoonsgegevens

Het Fonds is als verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de hiernavolgende beginselen en dient de naleving ervan te kunnen aantonen (Verantwoordingsplicht).

Rechtmatigheid, behoorlijkheid en transparantie

Het Fonds verwerkt de persoonsgegevens op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Het Fonds baseert zich voor de verwerking op één van volgende rechtsgronden:

  1. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
  2. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op het Fonds rust;
  3. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van het Fonds of van een derde.

Minimale gegevensverwerking

Het Fonds verwerkt persoonsgegevens die toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden hiervoor omschreven.

Doelbinding

Het Fonds zal persoonsgegevens enkel verwerken voor de hierna uitdrukkelijk omschreven en gerechtvaardigde doeleinden:

De verdere verwerking voor statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd.

Juistheid

Het Fonds verwerkt persoonsgegevens die juist zijn en indien nodig worden geactualiseerd. Het Fonds zal alle redelijke maatregelen nemen om onjuiste persoonsgegevens onverwijld te wissen of te rectificeren.

Opslagbeperking

Het Fonds streeft er naar persoonsgegevens te bewaren in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden van de verwerking.

Het Fonds zal passende technische en organisatorische maatregelen treffen om de rechten en vrijheden van de betrokkene te beschermen indien het voor statistische doeleinden persoonsgegevens voor langere perioden wil verwerken.

Integriteit en vertrouwelijkheid

Het Fonds neemt passende technische of organisatorische maatregelen zodat
1º een passende beveiliging van de persoonsgegevens is gewaarborgd en
2º de persoonsgegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

 

Register

Het Fonds houdt een schriftelijk register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden.

Elke verwerker houdt een schriftelijk register bij van de verwerkingsactiviteiten die hij ten behoeve van het Fonds verricht.

 

Functionaris voor gegevensbescherming

Het Fonds heeft L4-Consulting bvba aangewezen als functionaris voor gegevensbescherming (hierna “DPO” genoemd).

De DPO vervult ten minste de volgende taken:

  1. het Fonds en de werknemers die persoonsgegevens verwerken, informeren en adviseren over hun verplichtingen uit hoofde van de AVG en andere gegevensbeschermingsbepalingen;
  2. toezien op naleving van de AVG en andere gegevensbeschermingsbepalingen en van het beleid van het Fonds met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
  3. indien gevraagd, advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering;
  4. met de gegevensbeschermingsautoriteit samenwerken;
  5. optreden als contactpunt voor de gegevensbeschermingsautoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging in het kader van een gegevensbeschermingseffectbeoordeling en, waar passend, overleg plegen over enige andere aangelegenheid.

Het Fonds zorgt ervoor dat de DPO naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

Het Fonds ondersteunt de DPO bij de vervulling van zijn taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.

De DPO houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

Betrokkenen kunnen met de DPO contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van de AVG en dit via e-mail op volgend adres: L4-Consulting@proximus.be.

De DPO is met betrekking tot de uitvoering van zijn taken tot geheimhouding of vertrouwelijkheid gehouden.

 

Categorieën van verwerkte persoonsgegevens en van betrokkenen

De persoonsgegevens die door het Fonds worden verwerkt en de betrokkenen waarvan de persoonsgegevens worden verwerkt zijn de volgende:

PERSOONSGEGEVENS BETREFFENDE WERKNEMERS

Voor verwerkingen in het kader van het beheer van het aanvullend sectorpensioen
Voor actieve aangeslotenen : identificatiegegevens (zoals naam, voornaam, geboortedatum, rijksregisternummer, leeftijd, geslacht), contactgegevens (zoals adres, e-mailadres en telefoonnummer), bancaire gegevens (zoals rekeningnummer), gegevens inzake gezinsstatus (zoals burgerlijke staat, naam, voornaam, geboortedatum van partner en kinderen), salarisgegevens (zoals loon), gegevens over de loopbaan (identificatiegegevens van huidige en vorige werkgevers in de sector, periodes van tewerkstelling, periodes van afwezigheid bv ingevolge ziekte), datum van overlijden, beslaggerelateerde persoonsgegevens.

Voor passieve aangeslotenen : identificatiegegevens (zoals naam, voornaam, geboortedatum, rijksregisternummer, leeftijd, geslacht), contactgegevens (zoals adres, e-mailadres en telefoonnummer), gegevens inzake gezinsstatus (zoals burgerlijke staat, naam, voornaam, geboortedatum van partner en kinderen), salarisgegevens (zoals loon voor periodes van tewerkstelling in de sector), gegevens over de loopbaan (identificatiegegevens van werkgevers in de sector, periodes van tewerkstelling, periodes van afwezigheid bv ingevolge ziekte), datum van overlijden, beslaggerelateerde persoonsgegevens.

Voor begunstigden: identificatiegegevens (zoals naam, voornaam, geboortedatum), contactgegevens (zoals adres, e-mailadres en telefoonnummer).

Voor verwerkingen in het kader van de betaling van de eindejaarspremie
Voor werknemers van de sector Horeca: identificatiegegevens (zoals naam, voornaam, geboortedatum, rijksregisternummer, leeftijd, geslacht), contactgegevens (zoals adres, e-mailadres en telefoonnummer), bancaire gegevens (zoals rekeningnummer), salarisgegevens (zoals loon), gegevens over de loopbaan (identificatiegegevens van huidige en vorige werkgevers in de sector, periodes van tewerkstelling, periodes van afwezigheid bv ingevolge ziekte), datum van overlijden, beslaggerelateerde persoonsgegevens.

Voormelde persoonsgegevens worden ook verwerkt voor werknemers die de sector hebben verlaten maar nog aanspraak kunnen maken op betaling van (een deel van) de eindejaarspremie.

Voor verwerkingen in het kader van de betaling van de syndicale premie
Voor werknemers van de sector Horeca: identificatiegegevens (zoals naam, voornaam, geboortedatum, rijksregisternummer, leeftijd, geslacht), contactgegevens (zoals adres, e-mailadres en telefoonnummer), bancaire gegevens (zoals rekeningnummer), gegevens over de loopbaan (identificatiegegevens van huidige en vorige werkgevers in de sector), datum van overlijden, beslaggerelateerde persoonsgegevens.

Voormelde persoonsgegevens worden ook verwerkt voor werknemers die de sector hebben verlaten maar nog aanspraak kunnen maken op betaling van (een deel van) de syndicale premie.

Voor verwerkingen in het kader van de betaling van de SWTtoelage
Voor voormalige werknemers van de sector Horeca die genieten van een SWT-toelage : identificatiegegevens (zoals naam, voornaam, geboortedatum, rijksregisternummer, leeftijd, geslacht), contactgegevens (zoals adres, e-mailadres en telefoonnummer), bancaire gegevens (zoals rekeningnummer), gegevens inzake gezinsstatus (zoals burgerlijke staat, aantal kinderen), salaris- en inkomstengegevens (zoals loon), gegevens over de loopbaan (identificatiegegevens van huidige en vorige werkgevers in de sector, periodes van tewerkstelling), datum van overlijden, beslaggerelateerde persoonsgegevens.

Voor verwerkingen in het kader van vorming
Voor werknemers in de horecasector: Het identificatienummer van de sociale zekerheid, de naam, de voornaam, het geslacht, de leeftijd, de geboortedatum, de overlijdensdatum, het adres, e-mailadres, het taalregime van de gemeente, gegevens over de loopbaan, het aantal gepresteerde en gelijkgestelde dagen, opleidingsgegevens, gegevens betreffende het prestatieniveau.

Voor verwerkingen in het kader van syndicale vorming : rijksregisternummer, naam, voornaam, gemandateerde bij een vakorganisatie, loonkost.

 

PERSOONSGEGEVENS VAN WERKGEVERSNATUURLIJKE PERSONEN

Voor werkgevers in de horecasector: identificatiegegevens van de werkgever-natuurlijke persoon (naam, voornaam), contactgegevens (zoals telefoonnummer, adres), identificatiegegevens van de onderneming (zoals inschrijvingsnummer van de ondernemer , het ondernemingsnummer, de benaming, de NACE-code, de rechtsvorm), contactgegevens (zoals telefoonnummer, adres) de taalcode, de belangrijkheidscode, de periode van aansluiting en het kengetal van de horeca, (datum) faillissement.

Het Fonds verwerkt in beperkte mate bijzondere categorieën van persoonsgegevens zoals gegevens over de gezondheid (bijvoorbeeld afwezigheden wegens ziekte of ongeval).

 

Doorgiften van persoonsgegevens

Persoonsgegevens kunnen door het Fonds worden doorgegeven aan volgende niet limitatieve lijst van ontvangers

Het Fonds zal geen persoonsgegevens doorgeven aan derde landen buiten de Europese Unie. Doorgifte aan
een verwerker binnen de Europese Unie is slechts mogelijk voor zover het Fonds en de verwerker aan de in de
AVG neergelegde voorwaarden voldoen. Dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit
het derde land aan een ander derde land.


Bewaartermijnen

Wij bewaren uw gegevens minstens tot wanneer u de sector verlaat en tot wanneer de termijn voor het bijhouden van boekhoudkundige stukken is verlopen (in principe 7 jaar). In bepaalde specifieke gevallen, Bv beslag op loon, faillissement, geschil aanhangig voor de rechtbank kan de bewaartermijn afwijken.


Door het Fonds te verstrekken informatie

De betrokkene heeft recht op bepaalde informatie van het Fonds. Deze informatie wordt schriftelijk verstrekt.
Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat
zijn identiteit bewezen is.

Het Fonds verstrekt aan de betrokkene steeds de volgende informatie:

a. de identiteit en de contactgegevens van het Fonds;

b. de contactgegevens van de DPO;

c. de verwerkingsdoeleinden en de rechtsgrond voor de verwerking;

d. de periode gedurende dewelke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;

e. het recht op inzage, rectificatie en wissing van de persoonsgegevens, het recht op beperking van de verwerking, het recht op bezwaar tegen de  verwerking en op gegevensoverdraagbaarheid;

f. indien de betrokkene zijn toestemming heeft gegeven voor de verwerking, dat hij het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

g. dat de betrokkene het recht heeft klacht in te dienen bij de toezichthoudende autoriteit – in België is dit de Privacy Commissie (vanaf 25 mei 2018 de Gegevensbeschermingsautoriteit genoemd)

h. de gerechtvaardigde belangen van het Fonds of van een derde (voor zover van toepassing)

i. of het Fonds de persoonsgegevens zal doorgeven aan een derde land en of er al dan niet een adequaatheidsbesluit van de Commissie bestaat. Indien geen dergelijk besluit bestaat: welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.

Wanneer persoonsgegevens betreffende een betrokkene bij die persoon zelf worden verzameld, verstrekt
het Fonds volgende aanvullende informatie:

a. de ontvangers of categorieën van ontvangers van de persoonsgegevens;

b. dat de verstrekking van persoonsgegevens een wettelijke/contractuele verplichting is;

c. dat de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn

wanneer deze gegevens niet worden verstrekt.

Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt het Fonds de volgende
aanvullende informatie:

a. de categorieën van persoonsgegevens;

b. dat de persoonsgegevens afkomstig zijn van de KSZ via het secundaire netwerk.

Wanneer persoonsgegevens bij die persoon worden verzameld verstrekt het Fonds de informatie bij het verkrijgen van de persoonsgegevens.

In het andere geval, verstrekt het Fonds de informatie binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens.

Indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, wordt de aanvullende informatie verstrekt uiterlijk op het moment van het eerste contact met de betrokkene.

Indien de persoonsgegevens aan een andere ontvanger zullen worden verstrekt, wordt de aanvullende informatie meegedeeld uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

De informatieplicht is niet van toepassing indien betrokkene reeds over de informatie beschikt.

 

Rechten van betrokkenen

Recht van inzage van de betrokkene
De betrokkene heeft het recht om van het Fonds uitsluitsel te verkrijgen over het al dan niet verwerken van
hem betreffende persoonsgegevens en om inzage te krijgen in die gegevens. De betrokkene heeft ook recht op
de volgende informatie:

a. de verwerkingsdoeleinden;

b. de betrokken categorieën van persoonsgegevens;

c. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt. Wanneer persoonsgegevens worden doorgegeven aan een derde land, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen inzake de doorgifte.

d. indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e. dat de betrokkene het recht heeft het Fonds te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f. dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;

g. wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens.

Recht op rectificatie
De betrokkene heeft het recht om van het Fonds onverwijld rectificatie van de hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht op vervollediging van onvolledige persoonsgegevens.

Recht op gegevenswissing („recht op vergetelheid”)
De betrokkene heeft het recht van het Fonds zonder onredelijke vertraging wissing van hem betreffende
persoonsgegevens te verkrijgen en het Fonds is verplicht persoonsgegevens zonder onredelijke vertraging te
wissen wanneer:

a. de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verwerkt;

b. de betrokkene de toestemming waarop de verwerking berust, intrekt, en er is geen andere rechtsgrond voor de verwerking;

c. de betrokkene bezwaar maakt tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;

d. de persoonsgegevens onrechtmatig zijn verwerkt;

e. de persoonsgegevens gewist moeten worden om te voldoen aan een wettelijke verplichting die op het Fonds rust.

Wanneer het Fonds de persoonsgegevens openbaar heeft gemaakt en deze moet wissen, neemt het, rekening
houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, om verwerkers die
de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene het Fonds heeft verzocht
om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

In specifieke omstandigheden, zoals voor de instelling, uitoefening of onderbouwing van een rechtsvordering
of voor het nakomen van een wettelijke verwerkingsverplichting van het Fonds, geldt het recht op wissing niet.

Recht op beperking van de verwerking
De betrokkene heeft het recht van het Fonds de beperking van de verwerking te verkrijgen indien een van de
volgende elementen van toepassing is:

a. de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die het Fonds in staat stelt de juistheid van de persoonsgegevens te controleren;

b. de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;

c. het Fonds heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

d. de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van het Fonds zwaarder wegen dan die van de betrokkene.

Een betrokkene die een beperking van de verwerking heeft verkregen, wordt door het Fonds op de hoogte
gebracht voordat de beperking van de verwerking wordt opgeheven.

Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking
Het Fonds stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of
wissing van persoonsgegevens of beperking van de verwerking tenzij dit onmogelijk blijkt of onevenredig veel
inspanning vergt. Het Fonds verstrekt de betrokkene informatie over deze ontvangers indien hij hierom
verzoekt.

Recht op overdraagbaarheid van gegevens
De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan het Fonds heeft verstrekt, in
een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan
een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door het Fonds
aan wie de persoonsgegevens waren verstrekt, onder de voorwaarde dat:

Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid heeft de betrokkene het recht dat de
persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van het Fonds naar de andere
verwerkingsverantwoordelijke worden doorgezonden.

Recht van bezwaar
De betrokkene heeft te allen tijde het recht om, wegens redenen die verband houden met zijn specifieke
situatie, bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens. Het Fonds staakt dan
de verwerking van de persoonsgegevens tenzij het dwingende gerechtvaardigde gronden voor de verwerking
aanvoert

Recht om klacht in te dienen bij de toezichthoudende overheid
De betrokkene heeft recht om klacht in te dienen bij de Gegevensbeschermingsautoriteit, Drukpersstraat 35,
1000 Brussel.

Beantwoording door het Fonds van verzoeken
Wanneer de betrokkene een verzoek tot uitoefening van zijn rechten elektronisch indient, wordt de informatie
indien mogelijk elektronisch verstrekt, tenzij de betrokkene anders verzoekt. Dit gebeurt in principe kosteloos,
tenzij wanneer de verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege
hun repetitieve karakter.

Het Fonds verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de
betrokkene om bijkomende kopieën verzoekt, kan het Fonds op basis van de administratieve kosten een
redelijke vergoeding aanrekenen.

Het Fonds beantwoordt het verzoek van betrokkene binnen de maand na het verzoek.

Die termijn kan met twee maanden worden verlengd. Het Fonds stelt de betrokkene binnen één maand na
ontvangst van het verzoek in kennis van een dergelijke verlenging.

Wanneer het Fonds geen gevolg geeft aan het verzoek van de betrokkene

 

Beveiliging van de verwerking

Het Fonds en de verwerkers nemen zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking
passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te
waarborgen. Die maatregelen worden jaarlijks geëvalueerd en indien nodig geactualiseerd.

Beoordeling passend beveiligingsniveau

Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de
verwerkingsrisico's, vooral als gevolg van

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden
gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico
inhoudt voor de rechten en vrijheden van natuurlijke personen voert het Fonds vóór de verwerking een
beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van
persoonsgegevens.

Het Fonds wint bij het uitvoeren van een gegevensbeschermingseffectbeoordeling het advies van de DPO in.

Wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou
opleveren indien het Fonds geen maatregelen neemt om het risico te beperken, raadpleegt het Fonds
voorafgaand aan de verwerking de Gegevensbeschermingsautoriteit.

Indien nodig en ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen
inhouden, verricht het Fonds een toetsing om te beoordelen of de verwerking overeenkomstig de
gegevensbeschermingseffectbeoordeling wordt uitgevoerd.

Maatregelen

Bij het nemen van de passende technische en organisatorische maatregelen houdt het Fonds rekening met

- de stand van de techniek,
- de uitvoeringskosten,
- de aard, de omvang, de context en de verwerkingsdoeleinden
- de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen

Het Fonds neemt maatregelen zodat er in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk
zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor

- de hoeveelheid verzamelde persoonsgegevens,
- de mate waarin zij worden verwerkt,
- de termijn waarvoor zij worden opgeslagen en
- de toegankelijkheid daarvan.

Deze maatregelen zorgen er met name voor dat persoonsgegevens in beginsel niet zonder menselijke
tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Het Fonds treft maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder zijn gezag
en toegang heeft tot persoonsgegevens, deze slechts in opdracht van het Fonds verwerkt.

Waar passend omvatten de technische en organisatorische maatregelen onder meer :

a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen

 

Verwerkers

Wanneer een verwerking ten behoeve van het Fonds wordt verricht door een verwerker, doet het Fonds
uitsluitend een beroep op verwerkers die voldoende garanties bieden op het vlak van passende technische en
organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming
van de rechten van de betrokkene is gewaarborgd.

Elke verwerker waarborgt dat zijn medewerkers (werknemers, consultants, …) die gemachtigd werden de
persoonsgegevens te verwerken zich er schriftelijk toe hebben verbonden vertrouwelijkheid in acht te nemen
en een kopie van deze policy hebben ontvangen.

Voor zover mogelijk dient een verwerker het Fonds bijstand te verlenen

- om verzoeken van betrokkenen tot uitoefening van hun rechten te beantwoorden en
- bij een gegevensbeschermingseffectbeoordeling.

De verwerker stelt aan het Fonds alle informatie ter beschikking die nodig is om de nakoming van de
voormelde verplichtingen aan te tonen.

De verwerker maakt audits door het Fonds of een door het Fonds gemachtigde controleur mogelijk en draagt
er tevens aan bij.

De verwerker en eenieder die onder het gezag van de verwerker handelt en toegang heeft tot
persoonsgegevens, verwerkt deze uitsluitend in opdracht van het Fonds. Indien een verwerker in strijd met de
AVG de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker met betrekking tot die
verwerking als verwerkingsverantwoordelijke beschouwd.

Het Fonds geeft een algemene schriftelijke toestemming voor het in dienst nemen van andere verwerkers
binnen de Europese Unie. De verwerker zal het Fonds moeten informeren over een beoogde toevoeging of
vervanging van een verwerker. Het Fonds krijgt de mogelijkheid tegen deze veranderingen bezwaar te maken.
Wanneer een verwerker een andere verwerker in dienst neemt om voor rekening van het Fonds specifieke
verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde
gegevensbeschermingsverplichtingen opgelegd als die welke tussen het Fonds en de verwerker zijn
opgenomen.

Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste
verwerker ten aanzien van het Fonds volledig aansprakelijk voor het nakomen van de verplichtingen van die
andere verwerker.

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, informeert de verwerker hiervan
onmiddellijk na de kennisname ervan het Fonds.
Na afloop van de verwerkingsdiensten zal , naargelang de keuze van het Fonds, de verwerker alle
persoonsgegevens wissen of deze aan het Fonds terugbezorgen, en bestaande kopieën verwijderen, tenzij
opslag van de persoonsgegevens wettelijk is verplicht.

De verwerking door een verwerker wordt geregeld in een overeenkomst die de verwerker ten aanzien van het
Fonds bindt.

 

Melding van een inbreuk aan de Gegevensbeschermingsautoriteit

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt het Fonds deze zonder
onredelijke vertraging en, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de
Gegevensbeschermingsautoriteit, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de
rechten en vrijheden van natuurlijke personen.

Indien de melding niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

De verwerker informeert het Fonds onmiddellijk zodra hij kennis heeft genomen van een inbreuk in verband
met persoonsgegevens.

Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder
onredelijke vertraging in stappen worden verstrekt.

Het Fonds documenteert alle inbreuken in verband met persoonsgegevens (feiten, gevolgen, corrigerende
maatregelen).

 

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten
en vrijheden van natuurlijke personen, informeert het Fonds de betrokkene onmiddellijk over de inbreuk. Deze
informatie bevat een omschrijving, van

a) de naam en de contactgegevens van de DPO of een ander contactpunt waar meer informatie kanworden verkregen

b) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens

c) de maatregelen die het Fonds treft/zal treffen, inclusief de maatregelen om de nadelige gevolgen vande inbreuk te beperken.

De mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:

a) het Fonds heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk betrekking heeft. Het betreft met name maatregelen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

b) het Fonds heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;

c) de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

 

Toezichthoudende autoriteit

De autoriteit die in België toezicht houdt op de naleving van de AVG is de Privacy Commissie, vanaf 25 mei
2018, Gegevensbeschermingsautoriteit genoemd.

 

Recht om klacht in te dienen bij een toezichthoudende autoriteit

Iedere betrokkene heeft het recht een klacht in te dienen bij de Gegevensbeschermingsautoriteit indien hij van
mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op de AVG.

 

Recht om een voorziening in rechte in te stellen tegen het Fonds of een verwerker

Elke betrokkene heeft het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is
dat zijn rechten uit hoofde van de AVG geschonden zijn ten gevolge van een verwerking van zijn
persoonsgegevens die niet aan de AVG voldoet.

 

Aansprakelijkheid

Het Fonds is aansprakelijk voor de schade die wordt veroorzaakt door een verwerking die inbreuk maakt op de
AVG

Een verwerker is eveneens aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met de rechtmatige instructies van het Fonds is gehandeld.

Het Fonds of zijn verwerker wordt van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

 

Administratieve geldboeten

Inbreuken op de bepalingen van de AVG zijn onderworpen aan administratieve geldboeten.

Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan
wordt voor elk concreet geval rekening gehouden met onder meer:

a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking;

b) het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

c) de opzettelijke of nalatige aard van de inbreuk;

d) de door het Fonds of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

e) de mate waarin het Fonds of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd;

f) eerdere relevante inbreuken door het Fonds of de verwerker;

g) de mate waarin er met de gegevensbeschermingsautoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

h) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;


Bijlage 1 : Definities

Voor de toepassing van dit privacybeleid wordt verstaan onder:

1) „Persoonsgegevens”:

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als
identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd,
met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een
online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische,
genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

2) „Verwerking”:

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen,
ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door
middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren,
afschermen, wissen of vernietigen van gegevens.

3) „Beperken van de verwerking”:

Het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te
beperken.

4) „Profilering”:

Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van
persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met
name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren,
interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

5) „Pseudonimisering”:

Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een
specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits
deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden
genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare
natuurlijke persoon worden gekoppeld.

6) „Bestand”:

Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit
geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid.

7) „Verwerkingsverantwoordelijke”:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat,
alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens
vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het
lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie het Fonds is of volgens welke criteria
deze wordt aangewezen.

8) „Verwerker”:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten
behoeve van het Fonds persoonsgegevens verwerkt.

9) „Ontvanger”:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet
een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk
persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het
lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die
overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van
toepassing zijn.

10) „Derde”:

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde
de betrokkene, noch het Fonds, noch de verwerker, noch de personen die onder rechtstreeks gezag van het
Fonds of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

11) „Toestemming” van de betrokkene:

Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van
een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens
aanvaardt.

12) „Inbreuk in verband met persoonsgegevens”:

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de
wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of
anderszins verwerkte gegevens.

13) „Gegevens over gezondheid”:

Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon,
waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand
wordt gegeven.

14) „Vertegenwoordiger”:

Een in de Unie gevestigde natuurlijke persoon of rechtspersoon die schriftelijk door het Fonds of de verwerker
is aangewezen om het Fonds of de verwerker te vertegenwoordigen in verband met hun respectieve
verplichtingen krachtens deze verordening.

15) „Onderneming”:

Een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm
ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een
economische activiteit uitoefenen.

16) „Toezichthoudende autoriteit”:

Een door een lidstaat ingestelde onafhankelijke overheidsinstantie. Voor België is dit de Privacy Commissie,
vanaf 25 mei 2018 Gegevensbeschermingsautoriteit genoemd.

17) “Bijzondere categorieën van persoonsgegevens”:

Volgende gegevens worden als bijzondere categorieën van persoonsgegevens aangemerkt waarvan de
verwerking in principe verboden is :

Uitzonderijk kan de verwerkingsverantwoordelijke toch bijzondere categorieën van persoonsgegevens
verwerken, onder meer wanneer

én wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een eroepsbeoefenaar die aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens op wettelijke basis of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.