Privacybeleid

bijgewerkt op 27 mei 2019

ALGEMEEN PRIVACYBELEID CARE

Als Verwerkingsverantwoordelijke verwerkt CARE persoonsgegevens, inclusief gevoelige en gezondheidsgegevens. CARE hecht daarom het grootste belang aan de naleving van privacywet- en regelgeving.

1. Inleiding, context en werkingssfeer

CARE zet zich in om de privacy van persoonsgegevens die in het kader van zijn bedrijfsactiviteiten worden verkregen of gebruikt te handhaven en de toepasselijke wet- en regelgeving inzake de verwerking van Persoonsgegevens en Gevoelige Persoonsgegevens na te leven.

Dit beleid moet verzekeren dat Persoonsgegevens worden beheerd in overeenstemming met:

  • de Algemene Verordening Gegevensbescherming (“AVG”);
  • de Belgische wetten die van toepassing zijn op verwerkingsactiviteiten (waaronder de Wet van 31 juli 2018);
  • de algemene instructies en adviezen van de Belgische Gegevensbeschermingsautoriteit.

Dit beleid is vastgesteld door de functionaris voor gegevensbescherming (DPO) van CARE en is gevalideerd en ingevoerd door de bedrijfsleiding van CARE. De DPO van CARE ziet erop toe dat dit beleid actueel gehouden en met de betrokken stakeholders binnen CARE en derden gedeeld wordt.

1.1 Context

De activiteiten CARE omvatten verwerkingsactiviteiten. In het kader van deze activiteiten is CARE genoodzaakt Persoonsgegevens te verwerken en verplicht ze te verwerken in overeenstemming met de toepasselijke wet- en regelgeving inzake gegevensbescherming. Te dien einde heeft CARE verschillende beleidslijnen en procedures geïmplementeerd om de Persoonsgegevens te beheren en te beveiligen en om de rechten van de Betrokkene te beschermen.

In dit beleid worden alle documenten en principes samengevat die zijn opgesteld om erop toe te zien dat de wet- en regelgeving inzake gegevensbescherming binnen CARE wordt nageleefd.

Dit document beschrijft dus:

  • de beginselen voor gegevensbescherming tot de naleving waarvan CARE zich verbindt;
  • de governance van gegevensprivacy die binnen CARE is ingesteld;
  • de documenten die zijn vastgesteld om toe te zien op de naleving van de wet- en regelgeving inzake gegevensbescherming;
  • de meldingsplicht in geval van een inbreuk op Persoonsgegevens.

1.2. Werkingssfeer

dit beleid is van toepassing op iedere activiteit van CARE, wanneer CARE gevoelige of persoonsgegevens verzamelt, opslaat of gebruikt.

“Persoonsgegevens” betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’) die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Persoonsgegevens kunnen bijgevolg:

  •  betrekking hebben op klanten, gebruikers van de applicaties en oplossingen van CARE, artsen, derden of medewerkers (hetzij intern of extern), aannemers;
  • al dan niet gestructureerd zijn;
  •  fysiek of numeriek zijn.

Persoonsgegevens worden met name verwerkt wanneer CARE de applicatie ter beschikking stelt van gebruikers en artsen, wanneer het Persoonsgegevens verzamelt om wetenschappelijk onderzoek of statistische analyses uit te voeren.

2. Beginselen inzake Persoonsgegevens

In overeenstemming met de AVG is CARE verplicht beginselen inzake gegevensbescherming toe te passen gedurende de hele levenscyclus van de Persoonsgegevens, met inbegrip van de verzameling, verwerking, opslag, doorgifte en verwijdering.

Persoonsgegevens moeten:

  • worden verwerkt op een wijze die rechtmatig, behoorlijken transparant is ten aanzien van de Betrokkene;
  • worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
  • toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt;
  • juist zijn en zo nodig  worden geactualiseerd;
  • worden bewaard in een vorm die het mogelijk maakt de Betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de Persoonsgegevens worden verwerkt noodzakelijk is;
  • op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is.

3. Model voor datagovernance

CARE heeft een operationeel model voor datagovernance ingesteld om de Persoonsgegevens correct te verwerken en te beheren. In het kader van deze governance worden de belangrijkste actoren en verantwoordelijkheden met betrekking tot de privacy van gegevens geïdentificeerd.     

3.1. Belangrijkste actoren:

  • DPO van CARE                                            
  • Veiligheidsfunctionaris
  • Bedrijfsleiding

3.2 Functies en verantwoordelijkheden van de belangrijkste actoren

i. De DPO van CARE

De DPO van CARE is verantwoordelijk voor privacykwesties. Zijn taken en verantwoordelijkheden zijn vastgelegd in de Opdrachtbrief van 15 maart 2019  

en omvatten de volgende zaken. De DPO van CARE:

  • is, op centraal niveau, de belangrijkste contactpersoon voor kwesties die de Betrokkene aanbelangen, waaronder het uitoefenen van de rechten van de Betrokkene;
  • houdt toezicht op de naleving van de AVG;
  • biedt begeleiding en ondersteuning inzake specifieke aangelegenheden met het oog op de activiteiten van CARE;
  • ontwikkelt algemene procedures, richtsnoeren en sjablonen voor de activiteiten van CARE;
  • maakt medewerkers bewust en traint het personeel dat betrokken is bij gegevensverwerkingen en het meest wordt blootgesteld, op centraal niveau;
  • ondersteunt en beheert een algemeen register voor gegevensbescherming (dat moet worden opgesteld door iedere Verwerkingsverantwoordelijke en alle gebruikte toepassingen van gegevensverwerking en actuele informatie over doeleinden moet bevatten);
  • treedt op als aanspreekpunt voor de gegevensbescherming in België.

ii. Aard van de tussenkomsten van de DPO van CARE:

De DPO is betrokken bij meerdere aangelegenheden rond gegevensprivacy. De aard van zijn/haar tussenkomst kan variëren naargelang het onderwerp:

  • betrokken worden bij lokaal uitgerolde projecten waarbij persoonsgegevens worden verwerkt;
  •  projecten goedkeuren waarvan Gegevensprivacy deel uitmaakt om erop toe te zien dat ieder project of proces in overeenstemming is met het Beleid en de plaatselijk geldende vereisten;
  • uitvoeren van en adviseren over Gegevensbeschermingseffectbeoordelingen (DPIA);
  • toezicht houden, met de ondersteuning van de DPO van de CARE Group, op de uitvoering van een plan voor privacycontrole, om er regelmatig op toe te zien dat toepassingen en processen op het gebied van gegevensverwerking voldoen aan de lokale wetgeving inzake Gegevensprivacy;
  • een register bijhouden van de lokale gegevensverwerking;
  • erop toezien dat certificaten van de vernietiging van persoonsgegevens passend worden verzameld.
  •  

iii. De Veiligheidsfunctionaris van CARE

De Veiligheidsfunctionaris van CARE wordt aangesteld door de bedrijfsleiding van CARE. Hij staat in voor de uitvoering van de AVG en voor de controle op het bestaan van controlemaatregelen voor privacy bij Gegevenseigenaars. De Veiligheidsfunctionaris van CARE treedt op als eerste verdedigingslinie. Hij coördineert, ontwerpt, implementeert en controleert controlemaatregelen. De Veiligheidsfunctionaris van CARE is de leider op het gebied van gegevenstransformatie en het centrale aanspreekpunt voor alle gegevensinitiatieven.

De Veiligheidsfunctionaris van CARE is met name verantwoordelijk voor:

  • het bevorderen en toepassen van (technische en organisatorische) veiligheidsmaatregelen;
  • het bevorderen en toepassen van algemene beginselen inzake gegevensbeheer (met inbegrip van beoordelingen) en het documenteren van daarmee verband houdende procedures.

De werkzaamheden die worden geleid door de Veiligheidsfunctionaris en de DPO van CARE vullen elkaar aan om aangelegenheden rond gegevensbeheer integraal aan te pakken. Tussen de twee functies moeten synergieën tot stand worden gebracht om een efficiënte gegevensaanpak te hanteren.

iv.Gegevenseigenaar

De Gegevenseigenaar is de bedrijfsexpert van CARE die verantwoordelijk is voor een of meer gegevensdomeinen binnen de organisatie van CARE. Hij heeft een uitstekend inzicht in de vereisten voor gegevensbeheer. De Gegevenseigenaar moet worden geïnformeerd over werkzaamheden in het kader van de AVG om rekening te houden met mogelijke effecten op zijn gegevenssets. Dit betekent onder andere dat de Gegevenseigenaar:

  • bijdraagt aan de werkzaamheden op het gebied van gegevensprivacy waarbij zijn of haar sets van Persoonsgegevens betrokken zijn;
  • erop toeziet dat gegevensverwerkingswerkzaamheden onder zijn of haar verantwoordelijkheid naar behoren van verwijzingen voorzien en gedocumenteerd worden;
  • erop toeziet dat de beleidslijnen en procedures voor gegevensprivacy naar behoren worden uitgevoerd binnen de organisatie van CARE;

Meer bepaald omvatten de verplichtingen van de Gegevenseigenaar de volgende zaken:

  • bewaringsperioden voor Persoonsgegevens en de verwijdering van gegevens:
    • Een bijdrage leveren, op verzoek van de DPO, om de bewaarperiode voor bedrijfsgegevens te identificeren en de voorschriften voor bewaring te identificeren die toegepast moeten worden
  • Beveiliging van persoonsgegevens
    • De DPO onmiddellijk op de hoogte brengen van geïdentificeerde of vermoedelijke incidenten of inbreuken in verband met persoonsgegevens
    • Bijdragen aan de plannen voor correctie en beveiliging in geval van een inbreuk in verband met persoonsgegevens
  • Opleiding & bewustzijn
    • Op de hoogte zijn van nieuwe verplichtingen, beslissingen of projecten met betrekking tot de bescherming van persoonsgegevens
    • De cultuur van “bescherming van persoonsgegevens” verspreiden binnen de organisatie van CARE;
    • Alle nieuwe (interne en externe) medewerkers bewust maken van de grenzen die de AVG stelt
  • Privacy by design / Privacy by default
    • Een bijdrage leveren om te identificeren of nieuwe projecten voldoen aan de beginselen van de AVG inzake het beheer van gegevensbewaring, beveiliging, gegevensverzameling enz.

3.3 Documentatie

1. Lijst met beleidslijnen en procedures inzake gegevensprivacy

CAREs heeft een volledige set documentatie opgesteld om de naleving van de AVG binnen de entiteiten van CAREs te waarborgen. De verschillende documenten moeten lokaal worden aangepast om de naleving van de lokale wet- en regelgeving inzake gegevensbescherming te verzekeren.

Naam van het document Doel van het document
Procedure voor de rechten van de Betrokkene Procedure om alle verzoeken van de Betrokkene (om rechten uit te oefenen, inclusief het recht op schadevergoeding) te beheren
Beleid inzake gegevensdoorgifte Beleid dat beschrijft hoe toegezien moet worden op de bescherming van persoonsgegevens wanneer ze worden doorgegeven buiten de EU/EER
Beleid inzake gegevensbewaring Beleid dat beschrijft wat de beginselen voor gegevensbewaring zijn en hoe de verwijdering van persoonsgegevens moet worden beheerd
Procedure voor inbreuken op gegevens Procedure die beschrijft hoe een inbreuk in verband met persoonsgegevens moet worden beheerd, hoe de inbreuk moet worden aangepakt en hoe er indien nodig met de betrokkenen en de Autoriteiten op het gebied van Gegevensbescherming moet worden gecommuniceerd over de inbreuk
Toestemmingsbeleid Beleid dat beschrijft wanneer toestemming vereist is en hoe die moet worden verkregen
Beleid & procedure voor gegevensminimalisering Dit document moet zorgen dat het beginsel van gegevensminimalisering naar behoren is geïntegreerd in alle persoonsgegevensverwerkingen van CAREs.

2. Lijst met sjablonen

Naam van het document Doel van het document
Register van de verwerkingsactiviteiten In dit document worden alle verwerkingen opgesomd die door CAREs worden uitgevoerd, in zijn hoedanigheid van zowel Verwerkingsverantwoordelijke& als Gegevensverwerker

3. Updates

Deze documenten zullen regelmatig worden geëvalueerd door de DPO, in samenwerking met de betrokken afdelingen, met inbegrip van Risk Management, Compliance en Security, om erop toe te zien dat de documenten correct worden uitgevoerd en in overeenstemming zijn met de regelgeving en de vereisten van de Groep.

4. Controlemaatregelen & beoordeling

4.1. Beoordeling volwassenheidsniveau

De bedrijfsleiding van CARE draagt de DPO van CARE regelmatig op een beoordeling van het volwassenheidsniveau uit te voeren.

4.2 Gegevensbeschermingseffectbeoordeling (DPIA)

Een DPIA moet worden uitgevoerd wanneer de toepasselijke wet- en regelgeving dit vereist. Iedere nieuwe activiteit of verwerking moet op voorhand worden gecontroleerd door de DPO en vormt, indien nodig, het voorwerp van een DPIA.

5. Beheer van een Persoonsgegevensinbreuk en melding van de Inbreuk

Een inbreuk in verband met Persoonsgegevens is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.

Iedere inbreuk in verband met Persoonsgegevens dient te worden beheerd volgens de procedure voor inbreuken in verband met Persoonsgegevens van CARE.

In sommige situaties moet de inbreuk intern en extern worden gemeld:

  • Intern:
    • Iedere inbreuk in verband met Persoonsgegevens dient zonder onredelijke vertraging te worden gemeld aan de DPO van CARE.
  • Extern:
    • Wanneer er waarschijnlijk een groot risico bestaat  voor de rechten en vrijheden van de Betrokkenen, moet de Autoriteit op het gebied van Gegevensbescherming worden geïnformeerd, uiterlijk 72 uur nadat er kennis is genomen van de inbreuk;
    • Wanneer er waarschijnlijk een groot risico bestaat voor de rechten en vrijheden van de Betrokkenen, dienen de Betrokkenen direct op de hoogte te worden gebracht van de inbreuk.

Contact: DPO : marc.loveniers@d-lawfirm.be