Aan de hand van bijgaande verklaring wenst Eunomia aan te geven dat wij streven naar een kwalitatief niveau van gegevens- en databeveiliging, rekening houdende met de Europese en nationale regelgeving inzake privacy en bescherming van persoonsgegevens (AVG of GDPR genaamd).

Algemeen

Eunomia hecht een groot belang aan de bescherming van privacy en persoonsgegevens. Als onderneming zal Eunomia alle redelijke inspanningen leveren om de persoonsgegevens die haar door de klant werden toevertrouwd op een behoorlijke en zorgvuldige wijze te verwerken. Eunomia neemt hiertoe naar best vermogen de hierna beschreven redelijke, passende technische en organisatorische beveiligingsmaatregelen.

Identificatie van de persoonsgegevens

Diverse persoonsgegevens worden op rechtstreekse wijze verzameld. Het gaat hierbij onder meer om standaardidentificatiegegevens zoals naam, voornaam en functie binnen een bedrijf, om contactgegevens zoals telefoonnummer, faxnummer, e-mailadres en om gegevens voor facturatiedoeleinden zoals bankrekeningnummer. In voorkomend geval worden deze gegevens rechtstreeks overhandigd door het invullen van documenten, het elektronisch of telefonisch meedelen ervan of het overhandigen van visitekaartjes. Hierbij wordt verondersteld dat er uitdrukkelijke toestemming wordt gegeven voor het opslaan van de aangeleverde persoonsgegevens.

Diverse persoonsgegevens worden eveneens onrechtstreeks verzameld. Het kan hierbij gaan om publieke gegevens die onderworpen zijn aan publicatieplicht (cf. benoemingen) of gegevens die door de betrokkene zelf publiekelijk zijn gemaakt (cf. publicatie website). Dergelijke publiek toegankelijke persoonsgegevens kunnen desgevallend worden opgeslagen. Toestemming hiervoor wordt verondersteld gezien deze gegevens uitdrukkelijk publiekelijk werden gemaakt.

Er worden geen bijzondere categorieën van persoonsgegevens bijgehouden zonder bijkomende toestemming.

Verantwoording van de verwerking

Om bepaalde diensten op kwalitatieve wijze te kunnen aanbieden heeft Eunomia diverse specifieke persoonsgegevens nodig, dit onder meer met het oog op het correct kunnen uitvoeren van de vooropgestelde dienstverlening, om te voldoen aan wettelijke vereisten, in het kader van risicobeheer en kwaliteitscontrole of in het kader van relatiebeheer en beheer van klantendossiers. Eunomia verbindt er zich toe om uw persoonsgegevens niet door te geven aan derde partijen zonder uitdrukkelijke toestemming. Uw persoonsgegevens worden minstens gedurende de wettelijk verplichte bewaartermijnen bewaard of desgevallend zolang als nodig is om de vooropgestelde doelen te verwezenlijken.

Rechten van de betrokkene

In de mate dat het beantwoorden van verzoeken om uitoefening van de rechten van betrokkenen, zoals bepaald in de AVG, dit vereist, zal Eunomia, in zoverre men niet zelf over de mogelijkheid beschikt, op schriftelijk verzoek naar best vermogen overgaan tot het schriftelijk verstrekken van alle benodigde informatie, voor zover beschikbaar, en tot het verbeteren, aanvullen, verwijderen, overdragen of afschermen van persoonsgegevens, dit voor zover dit redelijkerwijze mogelijk is en binnen een redelijke termijn, rekening houdende met de wettelijke bepalingen van de AVG. Voor zover deze dienstverlening toepasselijk, passend en mogelijk is, zullen de betrokken partijen de modaliteiten en desgevallend vergoeding hiervan overeenkomen.

Overzicht technische en organisatorische maatregelen

Hieronder vindt u een niet-limitatief overzicht van reeds uitgevoerde en in uitvoering zijnde maatregelen waarmee Eunomia de bescherming van privacy en persoonsgegevens nastreeft.

Op technisch-infrastructureel vlak:

Een systeem van logische beveiliging op basis van een firewall, proxy server en virusscanner overeenkomstig de geldende industrienormen

Het hanteren van een paswoordpolicy nl. unieke logincodes en persoonlijk wachtwoord dat regelmatig wordt aangepast

Systematisch maken van beveiligde back-ups om te beschermen tegen dataverlies

Afscherming van fysieke toegang tot persoonsgegevens voor personen die hier uit hoofde van hun takenpakket geen toegang toe moeten hebben

Geen gebruik maken van onbeveiligde harde schijven

Gebruik maken van encryptietechnieken bij de opslag van persoonsgegevens

Controle op de toegang van lokalen en bedrijfsruimten via een beveiligd toegangsbeheer en alarmsystemen

Fysieke beveiliging van computerlokalen en serverlokalen waar software en data zich bevinden. De concrete beveiliging omvat onder meer een beveiligd toegangsbeheer, alarmsysteem, stroomonderbrekingsinstallatie en brandbeveiligingssyteem

Het automatisch overschakelen naar een andere server op basis van redundante systemen op fysiek gescheiden locaties met gescheiden internetconnectiviteit. Daarbij worden regelmatige “fail-over testen” voorzien

Gebruik van technieken voor identiteitscontrole op basis van dubbele authenticatie of gebruik van eID

Maatregelen die ervoor zorgen dat de transmissie van persoonsgegevens op een beveiligde manier verloopt en dat deze gegevens bij de elektronische transmissie of tijdens hun transport of opslag op gegevensdragers niet door onbevoegden gelezen, gekopieerd, gewijzigd of verwijderd kunnen worden

Een geformaliseerd releasemanagement bij de ontwikkeling van nieuwe software en bij wijzigingen aan de softwareapplicaties via releaseplanning, change management, testing met scheiding van ontwikkelings-, acceptatie- en productieomgevingen

Opmaak van een dataverwerkingsregister met alle verwerkingsactiviteiten van persoonsgegevens volgens het model ter beschikking gesteld door de Gegevens Beschermingsautoriteit

Aanduiding van een Data Protection Officer (DPO) die zal toezien en waken over de toepassing van de regels opgelegd door GDPR

Op organisatorisch vlak:

Het hanteren van een algemeen informatiebeleid voor personeel i.v.m. privacy

Het organiseren van periodieke trainingen & awareness voor het personeel omtrent het omgaan met persoonsgegevens

Het opstellen van interne procedures i.v.m. indienst en uitdienst van medewerkers die persoonsgegevens beheren

Het vastleggen van vertrouwelijkheidsclausules met medewerkers die persoonsgegevens beheren

Het opstellen van een interne policy en richtlijnen i.v.m. het vertrouwelijk omgaan met persoonsgegevens

Het opstellen van interne procedures in geval van incidenten (gegevenslek, …)

Het toepassen van een persoonlijke registratie en identificatiesystemen voor het monitoren van toegang tot de gebouwen zodat onbevoegden geen toegang krijgen tot de lokalen van de onderneming

Het aanduiden van een verantwoordelijke voor informatiebeveiliging

Het op regelmatige tijdstippen plannen en uitvoeren van interne veiligheidscontroles en –audits

Het hanteren van een clean desk-policy binnen de onderneming waarbij vertrouwelijke gegevens maximaal worden afgeschermd voor onbevoegde personen

Het gebruik van papierversnipperaars of andere middelen om vertrouwelijke gegevens desgevallend te vernietigen

Het toepassen van een vastgelegde procedure omtrent het verwijderen van persoonsgegevens die zich bevinden op afgedankte apparatuur en opslagmedia (bv. op laptops en smartphones) en op apparatuur die terug ingediend wordt door medewerkers die de onderneming verlaten

Op juridisch vlak:

Toepassing van een procedure van Data Breach Notification waarbij eventuele datalekken op een geformaliseerde en correcte wijze – conform GDPR – gecommuniceerd worden aan de juiste partijen. Daarbij worden ook de nodige maatregelen voorzien opdat eventuele schade zoveel mogelijk kan beperkt worden

In de arbeidsovereenkomsten, in het arbeidsreglement e.a. interne policies voor onze interne medewerkers zijn bepalingen opgenomen met betrekking tot de geheimhouding en bescherming van de persoonlijke levenssfeer inzake gegevens die ons in het kader van onze opdracht werden toevertrouwd. Deze documenten worden bijgewerkt waar nodig om te voldoen aan GDPR vereisten

Opmaak van een verwerkingsovereenkomst die volledig voldoet aan de vereisten vooropgesteld door GDPR

Herziening van alle clausules die betrekking hebben op privacy, beveiliging en bescherming van persoonsgegevens in contracten en andere documenten die met klanten uitgewisseld worden

Neem contact op voor eventuele vragen via email: dpo@eunomia.be.