BELEIDSNOTA GEGEVENSVERWERKING EN BESCHERMING
1 Doelstelling
Deze beleidsnota omschrijft op welke manier PensioPlus omgaat met persoonsgegevens en zorgt voor de bescherming van deze persoonsgegevens.
Deze beleidsnota is opgesteld om de naleving te verzekeren van de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van richtlijn 95/46/EG (Algemene Verordening inzake Gegevensbescherming (AVG of GDPR)), alsook de toepasselijke Belgische wet- en regelgeving omtrent gegevensbescherming.
Deze beleidsnota beoogt geen sterkere bescherming te voorzien dan wat vereist wordt door de toepasselijke wetgeving inzake gegevensbescherming.
2 Toepassingsgebied
PensioPlus verwerkt Persoonsgegevens in het kader van:
- haar ledenbeheer;
- haar personeelsbeheer;
- het beheer van haar netwerkcontacten.
Deze beleidsnota is enerzijds opgesteld om de betrokkenen (leden, personeelsleden en netwerkcontacten) inzicht te geven in het gegevens- en beschermingsbeleid dat door PensioPlus wordt gevoerd. Anderzijds is deze beleidsnota ook een belangrijk instrument voor iedere persoon die in de uitoefening van zijn functie bij PensioPlus Persoonsgegevens verwerkt of er toegang toe heeft.
3 Definities
"Werknemers" betekent de personeelsleden van PensioPlus.
"Leden" betekent de personen die een verzoek tot lidmaatschap hebben ingediend bij PensioPlus en door PensioPlus als lid werden aanvaard; wanneer het rechtspersonen betreft, worden hier ook de contactpersonen van de leden onder begrepen.
“Netwerkcontacten” betekent natuurlijke personen waarmee PensioPlus op de één of de andere manier contacten heeft in het kader van haar maatschappelijk doel bijv. voor lobby-werk, organisatie van informatiesessies, organisatie van werkgroepen, contacten met stakeholders,... en waarvan zij in dit kader een beperkt aantal Persoonsgegevens bijhoudt (zoals de naam en de contactgegevens).
“PensioPlus” betekent de vereniging zonder winstoogmerk, opgericht in 1975 onder de naam “Belgische Vereniging voor Pensioeninstellingen”, die de instellingen voor bedrijfspensioenvoorziening (IBP’s) en de inrichters van een sectoraal aanvullend pensioenplan verenigt, waarvan de naam in 2015 werd gewijzigd naar PensioPlus.
”Europese Economische Ruimte (“EER”)” omvat momenteel de volgende landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Liechtenstein, Litouwen, Luxemburg, Malta, Nederland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië, Verenigd Koninkrijk, Zweden.
"Gemachtigde Gebruikers" betekent personen die in het kader van de uitoefening van hun functie bij PensioPlus gemachtigd zijn om persoonsgegevens te verwerken. Het gaat hier o.a. om de personeelsleden van PensioPlus.
”Gevoelige Persoonsgegevens” zijn Persoonsgegevens waaruit volgende gegevens over iemand blijken:
- raciale of etnische afkomst;
- politieke overtuiging;
- godsdienst of levensbeschouwelijke overtuigingen;
- lidmaatschap van een vakbond;
- gegevens over gezondheid of seksueel gedrag;
- gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband
houdende veiligheidsmaatregelen.
“Inbreuk” staat voor een ‘inbreuk in verband met Persoonsgegevens’ zoals in de GDPR omschreven als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.
“Persoonsgegevens” omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. In het kader van de uitvoering van een (arbeids)overeenkomst en/of de behartiging van gerechtvaardigde belangen gaat het over de Persoonsgegevens van Werknemers, Leden en Netwerkcontacten.
“Verwerker” betekent een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van PensioPlus persoonsgegevens verwerkt.
”Verwerking” wordt in de GDPR omschreven als ‘een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Het gaat bijgevolg om een ruime opvatting van de term ‘verwerking’.
”Verwerkingsverantwoordelijke” betekent een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel en de middelen voor de verwerking van Persoonsgegevens vaststelt. Voor de verwerkingsactiviteiten die het uitvoert, handelt PensioPlus in de hoedanigheid van Verwerkingsverantwoordelijke.
"Wet- en Regelgeving inzake Gegevensbescherming" betekent de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (Algemene Verordening inzake Gegevensbescherming (AVG of GDPR)), alsook de overige toepasselijke Europese en Belgische wet- en regelgeving omtrent gegevensbescherming.
4 Beginselen betreffende de verwerking van Persoonsgegevens
PensioPlus eerbiedigt de persoonlijke levenssfeer van haar Werknemers, Leden en Netwerkcontacten van wie Persoonsgegevens worden verwerkt in het kader van personeelsbeheer, ledenbeheer en beheer van Netwerkcontacten. PensioPlus zet zich in om hun Persoonsgegevens te beschermen in overeenstemming met de GDPR en de Wet- en Regelgeving inzake Gegevensbescherming.
PensioPlus neemt hierbij onder meer de volgende beginselen in acht:
Rechtmatige gegevensverwerking - PensioPlus verwerkt de Persoonsgegevens op een rechtmatige wijze in het kader van het personeelsbeheer en het ledenbeheer enerzijds (uitvoering van de overeenkomst gesloten met de Werknemers resp. Leden; en van het beheer van de Netwerkcontacten (gerechtvaardigde belangen).
Doeleinden en doelbinding - PensioPlus verwerkt de Persoonsgegevens voor de volgende legitieme doeleinden: het ledenbeheer, het personeelsbeheer en/of het beheer van de Netwerkcontacten.
Minimale gegevensverwerking - PensioPlus beperkt de verwerking van de Persoonsgegevens tot wat noodzakelijk is in het kader van het ledenbeheer, het personeelsbeheer en/of het beheer van de netwerkcontacten.
Juistheid van de Persoonsgegevens - PensioPlus neemt alle redelijke maatregelen om ervoor te zorgen dat de Persoonsgegevens juist zijn en dat zij onverwijld worden verbeterd en/of gewist indien deze niet langer juist blijken te zijn.
Beperking van verwerking en bewaring - PensioPlus zal de Persoonsgegevens niet langer verwerken en bewaren dan noodzakelijk voor de hierboven vermelde doeleinden.
Beveiligingsmaatregelingen - PensioPlus neemt passende technische en/of organisatorische maatregelen voor de beveiliging van de Persoonsgegevens van de Werknemers, de Leden en de Netwerkcontacten en om een schending en/of informatielek (zoals ongeoorloofde toegang, onrechtmatige verwerking en ongeoorloofd of onopzettelijk verlies, vernietiging of beschadiging van de Persoonsgegevens) te vermijden. Deze maatregelen worden regelmatig geëvalueerd en indien nodig geactualiseerd. Bij een schending en/of informatielek, zoals hiervoor omschreven, neemt PensioPlus passende maatregelen om de omvang en de gevolgen ervan vast te stellen, dit zo snel mogelijk weg te werken en desgevallend de impact ervan voor de Werknemers, Leden en Netwerkcontacten te beperken (zie verder - punt 13).
5 Categorieën van verwerkte Persoonsgegevens
5.1 WerknemersDe Persoonsgegevens in verband met de Werknemers omvatten de volgende gegevens, beperkt tot de specifieke gegevens die nodig zijn voor het beheer en de uitvoering van de arbeidsovereenkomst en het personeelsbeheer:
- Voornaam en naam;
- Privéadres;
- Rekeningnummer;
- Loongegevens in de ruimste zin van het woord;
- Loopbaangegevens;
- Tijdsregistratie en aanwezigheidsregistratie.
5.2 LedenDe Persoonsgegevens in verband met de Leden omvatten de volgende gegevens, beperkt tot de specifieke gegevens die nodig zijn voor het beheer en de uitvoering van de overeenkomst en het ledenbeheer:
- Voornaam en naam;
- Geslacht;
- Professioneel telefoonnummer en gsm-nummer;
- Professioneel e-mailadres;
- Taal;
- Onderneming of instelling waarvoor het Lid werkt of vertegenwoordigd.
5.3 NetwerkcontactenDe Persoonsgegevens in verband met de Netwerkcontacten omvatten de volgende gegevens, beperkt tot de specifieke gegevens die nodig zijn voor de behartiging van gerechtvaardigde belangen en het beheren van de Netwerkcontacten:
- Voornaam en naam;
- Professioneel telefoonnummer en gsm-nummer;
- Professioneel e-mailadres;
- Taal;
- Onderneming / instelling / organisatie.
5.4 Gevoelige PersoonsgegevensPensioPlus kan, indien noodzakelijk in het kader van het personeelsbeheer gevoelige Persoonsgegevens verwerken (zoals bijv. periodes van arbeidsongeschiktheid).
6 Doeleinden van de verwerking van Persoonsgegevens
6.1 WerknemersPensioPlus verwerkt de Persoonsgegevens van de Werknemers, al dan niet in elektronische of geautomatiseerde vorm, voor legitieme doeleinden in het kader van personeelszaken, voor zakelijke doeleinden en in het kader van veiligheid. Deze doeleinden omvatten, maar zijn niet beperkt tot:
- naleving van alle wettelijke, regelgevende en administratieve verplichtingen en toepassing van arbeidsrechtelijke en fiscale regelgevingen;
- personeelsadministratie, met inbegrip van de administratie van de lonen, voordelen, het beheer en de uitvoering van groepsverzekeringen, de ziekteverzekering of hospitalisatieverzekering of enig ander vergoedingsstelsel, en de terugbetaling van kosten;
- tijdsregistratie en aanwezigheidsregistratie;
- personeelsmanagement en implementatie van het personeelsbeleid van PensioPlus, met inbegrip van de evaluaties van het personeel, opleiding, al dan niet door middel van software voor deze doeleinden;
- werkplanning, zowel administratief als organisatorisch;
- beheer en planning van zakenreizen;
- communicatie aan en relaties met werknemers beheren;
- opleiding of vorming;
- beheer van personeelsbezetting;
- beheer van de procedure voor beëindiging van de arbeidsrelatie;
- het voeren van disciplinaire onderzoeken;
- het beheren van klachten en vorderingen van werknemers;
- beheer van audit en compliance aangelegenheden;
- toezicht houden op de naleving van het beleid van PensioPlus, met inbegrip van, maar niet beperkt tot: arbeidsreglement, wagen policy, hospitalisatie policy, groepsverzekering;
- beheer van toegangscontroles (meer specifiek het gebouw, met inbegrip van de parking), evenals beheer van de telefoons, het wagenpark, de mobiele telefoons en het computernetwerk.
6.2 LedenPensioPlus verwerkt de Persoonsgegevens van de Leden, al dan niet in elektronische of geautomatiseerde vorm, enkel voor de legitieme doeleinden in het kader van het ledenbeheer. Dit kan onder meer omvatten, zonder daartoe beperkt te zijn:
- het versturen van uitnodigen voor seminaries, infosessies, lunchcauserieën, vergaderingen van de bestuursorganen, werkgroepen en andere activiteiten georganiseerd door PensioPlus;
- het versturen van nieuwsberichten.
6.3 NetwerkcontactenPensioPlus verwerkt de Persoonsgegevens van de Netwerkcontacten, enkel voor de legitieme doeleinden in het kader van het beheer van Netwerkcontaten. Dit kan onder meer omvatten, zonder daartoe beperkt te zijn:
- het organiseren van lobbyactiviteiten in het kader van het maatschappelijk doel van PensioPlus;
- het organiseren van infosessies, lunchcauserieën, vergaderingen van de bestuursorganen, werkgroepen,... en andere activiteiten georganiseerd door PensioPlus.
De Persoonsgegeven worden door PensioPlus niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden vermeld onder punt 6.1, 6.2 en 6.3.
7 Beveiliging/vertrouwelijkheid
PensioPlus verbindt er zich ertoe om passende technische en organisatorische maatregelen te nemen, rekening houdend met de risico's die verbonden zijn aan de gegevensverwerking, om de Persoonsgegevens te beschermen tegen de ongeoorloofde toegang, onrechtmatige verwerking, onopzettelijk verlies of aantasting en ongeoorloofde vernietiging ervan.
7.1 Apparatuur en informatiebeveiliging
Om ongeoorloofde toegang tot Persoonsgegevens door derden te voorkomen, worden alle elektronische Persoonsgegevens in handen van PensioPlus bewaard in systemen die beschermd zijn met veilige up-to-date netwerkarchitectuur, uitgerust met firewalls en toegangsdetectieapparatuur. Er bestaat een “back up” van de gegevens opgeslagen op de servers zodat de gevolgen van een onopzettelijke verwijdering, vernietiging of verlies vermeden kunnen worden. De servers bevinden zich in inrichtingen met een hoge graad van beveiliging, waarbij toegang door onbevoegden vermeden wordt.
PensioPlus werkt hiervoor samen met ICT providers die de nodige veiligheidsgaranties bieden (zoals bijvoorbeeld een ISO 27000 klasse certificaat).
7.2 Toegangsbeveiliging
PensioPlus acht de beveiliging van de Persoonsgegevens die worden verzameld, bewaard en verwerkt in het kader van het ledenbeheer, personeelsbeheer en beheer van Netwerkcontacten van groot belang. Zij verbinden zich ertoe om de integriteit van de Persoonsgegevens te vrijwaren en de ongeoorloofde toegang ertoe te voorkomen.
Gepaste maatregelen worden genomen om gegevensfraude te voorkomen, om onbekende en ongeoorloofde toegang tot de computersystemen en informatie af te weren, en om passende bescherming te bieden aan de Persoonsgegevens in handen van PensioPlus. Toegang tot de geautomatiseerde databanken wordt gecontroleerd door inloggegevens en vereist de identificatie door middel van een paswoord vooraleer toegang wordt verleend. Gemachtigde Gebruikers hebben slechts toegang tot gegevens in de mate van het nodige om hun functie uit te voeren.
De veiligheidsaspecten van de software en procedures zijn erop gericht om Persoonsgegevens te beschermen tegen verlies, misbruik, en ongeoorloofde toegang, verstrekking, wijziging of vernietiging.
7.3 Opleiding
PensioPlus zorgt ervoor dat passende opleidingen worden georganiseerd voor de Gemachtigde Gebruikers over o.a.: de rechtmatige doeleinden om de Persoonsgegevens te verwerken; de noodzaak om te beschikken over correcte en geactualiseerde gegevens , de verplichting om de Persoonsgegevens waartoe Gemachtigde Gebruikers toegang hebben, vertrouwelijk te behandelen, de procedures die moeten worden gevolgd bij (mogelijke) Inbreuken in verband met Persoonsgegevens,...
De Gemachtigde Gebruikers zullen er zich toe verbinden om de vertrouwelijkheid van de Persoonsgegevens te respecteren en deze beleidsnota na te leven. PensioPlus zal passende maatregelen nemen in overeenstemming met de Wet- en Regelgeving inzake Gegevensbescherming indien Persoonsgegevens werden geraadpleegd, verwerkt of gebruikt op een manier die strijdig is met de vereisten van deze beleidsnota.
7.4 Algemene instructies
Alle Gemachtigde Gebruikers zijn ertoe gehouden om het nodige te doen om deze beleidsnota na te leven opdat PensioPlus als Verwerkingsverantwoordelijke voldoet aan de Wet- en Regelgeving inzake Gegevensbescherming. PensioPlus verbindt zich ertoe om de Persoonsgegevens van de Werknemers, Leden en Netwerkcontacten te beschermen bij het gebruik of de verwerking ervan. Bijgevolg moeten de Gemachtigde Gebruikers het belang van een juiste en rechtmatige behandeling van Persoonsgegevens erkennen, en moeten zij op een uiterst voorzichtige wijze omgaan met deze gegevens onder meer door middel van een strikte naleving van deze beleidsnota.
Uiterlijk op het moment dat de Gemachtigde Gebruikers voor het eerst toegang krijgen tot de Persoonsgegevens en de machtiging om deze volgens de instructies van PensioPlus te verwerken, ontvangen zij deze beleidsnota en wordt deze hen verder toegelicht. Zij zullen slechts toegang krijgen tot de Persoonsgegevens en de voormelde machtiging tot verwerking van de Persoonsgegevens, nadat zij er zich toe hebben verbonden de persoonsgegevens vertrouwelijk te zullen behandelen en deze beleidsnota te zullen naleven.
8 Informatieverstrekking omtrent de gegevensverwerking
Elke Werknemer, Lid en Netwerkcontact heeft het recht om informatie te verkrijgen over de aard van zijn/haar Persoonsgegevens die worden verwerkt en bewaard. Deze informatie wordt op de volgende wijze verstrekt.
8.1 WerknemersOp het moment dat in dienst treedt van PensioPlus, zullen zij via een “privacy kennisgeving voor werknemers” de wettelijk vereiste informatie omtrent de gegevensverwerking ontvangen, zoals onder meer:
- de gegevens van PensioPlus;
- de verwerkingsdoeleinden waarvoor hun Persoonsgegevens worden verwerkt;
- de rechtsgronden van de verwerking;
- de mogelijke derde partijen die betrokken zijn of kunnen worden bij de activiteiten van PensioPlus en in dit kader ook Persoonsgegevens kunnen verwerken (Verwerkers) en/of Persoonsgegevens ontvangen (ontvangers);
- de regels omtrent de periode tijdens dewelke de Persoonsgegevens zullen worden verwerkt en/of opgeslagen (duur);
- de mogelijkheid om een klacht in te dienen bij de Gegevensbeschermingsautoriteit;
- de rechten van de Werknemers betreffende inzage, rectificatie, wissing, beperking en overdracht van de Persoonsgegevens.
8.2 LedenOp het moment dat iemand Lid wordt van PensioPlus, zullen zij via een “privacy kennisgeving voor leden” de wettelijk vereiste informatie omtrent de gegevensverwerking ontvangen, zoals onder meer:
- de gegevens van PensioPlus;
- de verwerkingsdoeleinden waarvoor de gegevens worden verwerkt;
- de rechtsgronden van de verwerking;
- de mogelijke derde partijen die betrokken zijn of kunnen worden bij de activiteiten van PensioPlus en in dit kader ook Persoonsgegevens kunnen verwerken (Verwerkers) en/of Persoonsgegevens ontvangen (ontvangers);
- de regels omtrent de periode tijdens dewelke de Persoonsgegevens zullen worden verwerkt en/of opgeslagen (duur);
- de mogelijkheid om een klacht in te dienen bij de Gegevensbeschermingsautoriteit;
- de rechten van de Leden betreffende inzage, rectificatie, wissing, beperking en overdracht van de Persoonsgegevens.
9 Rechten van de Werknemers, de Leden en de Netwerkcontacten in het kader van de gegevensverwerking
PensioPlus faciliteert de uitoefening van de hierna vermelde rechten van de Werknemers, de Leden en de Netwerkcontacten betreffende, respectievelijk, de gegevensverwerking in het kader van het Personeelsbeheer, het Ledenbeheer en het beheer van de Netwerkcontacten. Zij zullen niet weigeren gevolg te geven aan het verzoek van de Werknemer, het Lid of het Netwerkcontact om diens rechten uit te oefenen, tenzij zij kunnen aantonen niet in staat te zijn de betrokkene te identificeren. Wanneer PensioPlus redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient, kunnen zij om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit.
PensioPlus verstrekt de Werknemer, het Lid of het Netwerkcontact onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met twee maanden worden verlengd. PensioPlus stelt de Werknemer, het Lid of het Netwerkcontact binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de Werknemer, het Lid of het Netwerkcontact zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt tenzij de Werknemer, het Lid of het Netwerkcontact anderszins verzoekt.
De hier bedoelde maatregelen (informatieverstrekking, verbetering of wissing van Persoonsgegevens, gegevensoverdracht etc.) zijn kosteloos voor de verzoekende Werknemer, het verzoekende Lid of het verzoekende Netwerkcontact. Wanneer verzoeken echter kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag PensioPlus ofwel: a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel b) weigeren gevolg te geven aan het verzoek.
9.1 Recht van inzage van de Werknemer, het Lid of het NetwerkcontactIedere Werknemer, Lid of Netwerkcontact heeft het recht om inzage te vragen. Wanneer een Werknemer, Lid of Netwerkcontact dit recht uitoefent, is PensioPlus er wettelijk toe gehouden om hem/haar deze informatie te verstrekken, met inbegrip van:
- een omschrijving en kopie van de Persoonsgegevens;
- het informeren van de verzoeker/verzoekster waarom PensioPlus deze gegevens verwerkt.
9.2 Rectificatie, beperking en wissingIndien de Persoonsgegevens onjuist of onvolledig zouden zijn, kan de Werknemer, het Lid of het Netwerkcontact verzoeken dat de gegevens gerectificeerd worden.
In bepaalde omstandigheden kan de Werknemer, het Lid of het Netwerkcontact, overeenkomstig de Wet- en Regelgeving Gegevensbescherming, verzoeken om zijn/haar Persoonsgegevens te wissen, onder andere wanneer deze niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld of verwerkt, of indien de de Werknemer, het Lid of het Netwerkcontact een gerechtvaardigd bezwaar uit tegen de verwerking. In bepaalde gevallen kan PensioPlus echter weigeren om deze Persoonsgegevens te wissen, bijvoorbeeld voor het instellen, uitoefenen of onderbouwen van een rechtsvordering.
In bepaalde omstandigheden, bijvoorbeeld wanneer de juistheid van de Persoonsgegevens wordt betwist of wanneer de Werknemer, het Lid of het Netwerkcontact zich heeft verzet tegen de verwerking, kan hij/zij verzoeken dat de verwerking van zijn/haar Persoonsgegevens wordt beperkt, wat inhoudt dat de betrokken Persoonsgegevens als dusdanig worden gemarkeerd en dit duidelijk zichtbaar moet zijn in het bestand.
9.3 Beperken van en bezwaar maken tegen de verwerking en doorgifte van Persoonsgegevens De Werknemer, het Lid of het Netwerkcontact hebben overeenkomstig de Wet- en Regelgeving Gegevensbescherming onder bepaalde voorwaarden het recht om bezwaar te maken tegen de verwerking van zijn/haar Persoonsgegevens. PensioPlus moet de verwerking van de Persoonsgegevens niet staken indien de dwingende gerechtvaardigde gronden voor de verdere verwerking zwaarder wegen dan de belangen, rechten en vrijheden van de bezwaar makende Werknemer, of het bezwaar makende Lid of Netwerkcontact, indien deze Persoonsgegevens nodig zijn om een rechtsvordering te onderbouwen.
9.4 Gegevensoverdraagbaarheid Indien nodig en van toepassing heeft de Werknemer, het Lid of het Netwerkcontact het recht om de hem/haar betreffende Persoonsgegevens die hij/zij aan PensioPlus heeft verstrekt te verkrijgen en aan een andere Verwerkingsverantwoordelijke over te dragen. De Werknemer, het Lid of het Netwerkcontact kan PensioPlus ook verzoeken om de Persoonsgegevens rechtstreeks naar de andere Verwerkingsverantwoordelijke door te sturen indien dit technisch mogelijk is. Dit recht mag echter geen afbreuk doen aan de rechten en vrijheden van anderen.
9.5 Klacht Indien de Werknemer, het Lid of het Netwerkcontact klachten heeft in verband met de verwerking van zijn/haar Persoonsgegevens, dan kan hij/zij dit in eerste instantie melden aan:
Marc Van den Bosch - 02 706 85 47.
De Werknemer, het Lid of het Netwerkcontact heeft ook de mogelijkheid een klacht in te dienen bij de Gegevensbeschermingsautoriteit.
10 Bewaring van Persoonsgegevens
De Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor de in deze beleidsnota uiteengezette doeleinden.
- Voor werknemers zolang de wettelijke bepalingen terzake dit vereisen. Hiervoor wordt ook verwezen naar de Algemene Voorwaarden van SD Works bekendgemaakt bij email van 26/04/2018 en ter goedkeuring aan PensioPlus voorgelegd.
- Voor leden zolang ze lid zijn
- Voor netwerkcontacten zolang als nuttig in het kader van de verwezenlijking van de “missie” van PensioPlus als beschreven op de Website (www. Pensioplus.be). In ieder geval zo lang als contact relevant kan zijn in het kader van de activiteiten van PensioPlus of zolang zij deel uitmaken van een organisatie waarmee inderdaad dergelijke relevante en nodige contacten worden gevoerd bijv. in het kader van het lobby-werk van PensioPlus.
PensioPlus zorgt ervoor dat de Persoonsgegevens tijdig worden gewist en neemt de nodige maatregelen om ervoor te zorgen dat deze Persoonsgegevens ook worden gewist bij de Verwerkers die hierover beschikken. De wissing van de Persoonsgegevens gebeurt zonder onredelijke vertraging.
11 Doorgifte van gegevens buiten de EER
In principe worden de Persoonsgegeven door PensioPlus niet doorgegeven aan een land buiten de EER.
Indien PensioPlus toch Persoonsgegevens zou doorgeven aan een land buiten de EER, dan zal zij in ieder geval passende waarborgen bieden door middel van het toepassen van één van de volgende methoden:
- De Ontvanger van de gegevens is gevestigd in een land waarvan de Europese Commissie erkend dat het voldoende bescherming biedt; of
- De ontvanger van de gegevens verklaart zich akkoord om de Persoonsgegevens te verwerken in overeenstemming met de door de Europese Commissie goedgekeurde ‘Standaard Contractuele Clausules’ (SCC) voor gegevensverantwoordelijken of Verwerkers.
12 Doorgifte aan derden
Persoonsgegevens mogen worden doorgegeven aan derden indien de bekendmaking ervan kadert in de in deze beleidsnota uiteengezette doeleinden voor gegevensverwerking én indien de bekendmaking rechtmatig en eerlijk wordt geacht voor de Werknemer, het Lid of het Netwerkcontact.
PensioPlus kan ook Persoonsgegevens bekendmaken:
- indien de Werknemer, het Lid of het Netwerkcontact zijn/haar toestemming geeft;
- indien dit wettelijk verplicht is; en
- in verband met strafrechtelijke onderzoeken of andere onderzoeken door de overheid.
In het kader van het personeelsbeheer kunnen de Persoonsgegevens van de Werknemers door PensioPlus o.a. worden meegedeeld aan of worden verwerkt door:
- de socialezekerheidsadministratie;
- de fiscale administratie;
- het sociaal secretariaat;
- de externe dienst voor preventie en bescherming op het werk;
- de leasingmaatschappij voor bedrijfswagens;
- de verzekeringsmaatschappijen waarmee PensioPlus een verzekeringscontract heeft afgesloten (met inbegrip van de verzekeringsmaatschappijen voor arbeidsongevallen, ziekteverzekering, groepsverzekering, inkomensverzekering en premievrijstelling);
- de verzekeringsmakelaar(s);
- de dienstverleners in het kader van zakenreizen;
- wetshandhavingsinstanties in overeenstemming met de relevante wetgeving;
- IT bedrijven of dienstverleners voor softwareprogramma’s met betrekking tot personeelszaken.
In het kader van het ledenbeheer kunnen de Persoonsgegevens door PensioPlus o.a. worden meegedeeld aan of worden verwerkt door derden zoals IT bedrijven of dienstverleners voor softwareprogramma’s met betrekking tot het ledenbeheer en opslag van elektronische gegevens (servers, etc.).
Wanneer de Persoonsgegevens worden doorgegeven aan een Verwerker, die deze gegevens verwerkt in opdracht van PensioPlus, dan doet PensioPlus enkel een beroep op Verwerkers die voldoende waarborgen bieden omtrent het instellen van passende technische en organisatorische maatregelen waardoor de gegevensverwerking wordt uitgevoerd in overeenstemming met de GDPR en de rechten van de Werknemer, het Lid of het Netwerkcontact worden beschermd. PensioPlus sluit een schriftelijke overeenkomst met de Verwerker, die minstens de door de Wet- en Regelgeving Gegevensbescherming opgelegde gegevens bevat. Deze overeenkomst bepaalt uitdrukkelijk dat de Verwerker de Persoonsgegevens uitsluitend kan verwerken op basis van de schriftelijke instructies van PensioPlus en voorziet de waarborg van de Verwerker dat de personen die hij machtigt tot het verwerken van de Persoonsgegevens de vertrouwelijke aard van deze gegevens zullen respecteren. Daarnaast bepaalt de overeenkomst uitdrukkelijk of het de Verwerker toegestaan is om met onderaannemers (sub-verwerkers) te werken en met welke voorwaarden in dat geval rekening moet worden gehouden.
Voorafgaand aan het sluiten van een overeenkomst met een Verwerker onderzoekt PensioPlus of de Verwerker voldoende waarborgen kan geven dat hij de gegevensverwerking zal uitvoeren overeenkomstig de Wet- en Regelgeving Gegevensbescherming (due dilligence). Tijdens de uitvoering van de overeenkomst volgt PensioPlus de naleving van de Wet- en Regelgeving Gegevensbescherming door de Verwerker op (cf. audits, rapportering, ...).
13 Inbreuk in verband met Persoonsgegevens
13.1 Melding van inbreuken in verband met PersoonsgegevensDe Gemachtigde Gebruikers moeten er in de uitoefening van hun taken in het kader van het beheer en de uitvoering van het Pensioenplan voor waken zij dat (opzettelijke of onopzettelijke) incidenten die de privacy van de betrokkenen kunnen aantasten, vermijden.
In geval van een Inbreuk is het van fundamenteel belang dat er zo snel mogelijk passende maatregelen worden genomen om het risico op schade voor de Werknemer, het Lid of het Netwerkcontact, alsook voor PensioPlus (reputatieschade, opgelegde sancties,...), te minimaliseren.
In geval de Inbreuk ernstige negatieve gevolgen heeft of kan hebben inzake de bescherming van de betrokken Persoonsgegevens, dan moet deze overeenkomstig de GDPR binnen de 72 uur nadat PensioPlus er kennis van neemt, worden gemeld aan de Gegevensbeschermingsautoriteit. PensioPlus staat in voor deze melding. In bepaalde gevallen zal PensioPlus ook de betrokken Werknemer, het Lid of het Netwerkcontact die geïmpacteerd zijn door deze inbreuk inlichten, en dit zonder redelijke vertraging.
13.2 Wanneer is er sprake van een Inbreuk?Er zal bijvoorbeeld sprake zijn van een Inbreuk bij diefstal of verlies van een USB stick, mobiel toestel of een laptop die/dat Persoonsgegevens bevat of een applicatie die toegang geeft tot Persoonsgegevens; bij indringing door een hacker van ongeacht welk systeem dat Persoonsgegevens bevat; bij verzending van pensioenfiches of communicatie omtrent pensioenprestaties aan de verkeerde geadresseerde;... Niet elke inbreuk op de beveiliging vormt echter ook een Inbreuk. Het schema hieronder toont wanneer een inbreuk op de beveiliging moet beschouwd worden als een Inbreuk die aan de Gegevensbeschermingsautoriteit en/of aan de betrokken Werknemer, het Lid of het Netwerkcontact moet worden gemeld.
In ieder geval zijn de Gemachtigde Gebruikers, alsook alle andere personen die informatie van PensioPlus raadplegen, gebruiken of beheren, verantwoordelijk om elk incident in verband met informatiebeveiliging en elke Inbreuk onmiddellijk te melden aan
Marc Van den Bosch - 02 706 85 47, zodat de gevolgen onmiddellijk kunnen worden onderzocht, de nodige maatregelen kunnen worden genomen en er kan worden bekeken of het een Inbreuk betreft die moet gemeld worden aan de Gegevensbeschermingsautoriteit en/of de betrokken Werknemer, het Lid of het Netwerkcontact.
Wanneer de melding per e-mail gebeurt, is het van belang dat er uitdrukkelijk wordt aangegeven in het onderwerp-veld van de e-mail dat dit gaat om een bericht met hoge urgentie en een mogelijke inbreuk i.v.m. de Persoonsgegevens. Indien Marc Van den Bosch niet onmiddellijk telefonisch kan worden bereikt, dient hij in ieder geval ook per e-mail te worden ingelicht. Het verslag dient een volledige en gedetailleerde beschrijving te bevatten van het incident, met inbegrip van de identiteit van de persoon die melding maakt, om welk soort incident of inbreuk het gaat, of de gegevens betrekking hebben op personen en hoeveel personen erbij betrokken zijn.
In elke overeenkomst met een Verwerker wordt bepaald dat de Verwerker elke Inbreuk onmiddellijk dient te melden aan PensioPlus.
13.3 Onderzoek en risicoanalyseIn principe zal er binnen de 24 uur nadat een incident of een Inbreuk door PensioPlus wordt vastgesteld of door een Verwerker, een Gemachtigde Gebruiker, een ontvanger, een Werknemer, een Lid, een Netwerkcontact, een derde,... wordt gemeld, een onderzoek worden opgestart door PensioPlus.
Het onderzoek zal nagaan wat de aard van het incident is, het type van betrokken gegevens en of er Persoonsgegevens bij betrokken zijn, en zo ja, wie de betrokkenen Werknemer, het Lid of het Netwerkcontact is. Dit onderzoek zal uitwijzen of het al dan niet een Inbreuk betreft.
Indien het gaat om een Inbreuk wordt in ieder geval ook een risicoanalyse uitgevoerd om te bepalen wat de mogelijke gevolgen van de Inbreuk (kunnen) zijn, en in het bijzonder de (mogelijke) impact voor de betrokken Werknemer, het Lid of het Netwerkcontact.
13.4 Beheer en herstelPensioPlus zorgt ervoor dat de passende maatregelen worden genomen om de impact van de Inbreuk te beperken en ervoor te zorgen dat dergelijke Inbreuk in de toekomst niet opnieuw gebeurt. Indien nodig, wordt het advies van (externe) experten ingewonnen om de Inbreuk onverwijld en gepast op te lossen en de impact ervan te beperken.
13.5 MeldingVervolgens zal PensioPlus op basis van de ernst van de Inbreuk een beslissing nemen of de Gegevensbeschermingsautoriteit wettelijk in kennis moeten worden gesteld.
Wanneer de beslissing wordt genomen om de Inbreuk aan de Gegevensbeschermingsautoriteit te melden, en eventueel ook aan de betrokken Werknemer, het Lid of het Netwerkcontact, zal de volgende beoordeling worden gemaakt:
PensioPlus benadrukt nogmaals dat wanneer een Gemachtigde Gebruiker, een Werknemer, een Lid of een Netwerkcontact of elke andere persoon die een incident vaststelt, het van uiterst belang is om dit onmiddellijk te melden, zodat PensioPlus kan beoordelen of er al dan niet een (mogelijke) Inbreuk heeft plaatsgevonden en tijdig de nodige maatregelen en acties (waaronder de eventuele melding aan de Gegevensbeschermingsautoriteit binnen de 72 uur) kan nemen. 13.6 Documenteren van InbreukenPensioPlus documenteert alle Inbreuken op basis van een verslag. Dit verslag beschrijft de oorsprong van het Inbreuk en de elementen die ertoe hebben bijgedragen, het chronologisch verloop van de gebeurtenissen, de corrigerende maatregelen, aanbevelingen en geleerde lessen om domeinen te identificeren die verbeterd moeten worden. Aanbevolen wijzigingen aan systemen, beleidslijnen en procedures zullen zo snel mogelijk daarna verder worden uitgewerkt en geïmplementeerd.
14 Handhaving van deze beleidsnota, sancties
PensioPlus zorgt ervoor dat deze Beleidsnota Gegevensbescherming in acht wordt genomen en behoorlijk wordt geïmplementeerd. Alle personen die toegang hebben tot de Persoonsgegevens moeten deze beleidsnota naleven.
Schending van de Wet- en Regelgeving inzake Gegevensbescherming kan ertoe leiden dat PensioPlus boetes of schadeclaims kunnen opgelegd krijgen door de Gegevensbeschermingsautoriteit of door de bevoegde rechtbank. Indien deze schade rechtstreeks voortvloeit uit een schending van deze beleidsnota door een Gemachtigde Gebruiker, dan zal deze kunnen gesanctioneerd worden met de nodige tuchtmaatregelen.
15 Kennisgeving van deze beleidsnota
Deze beleidsnota kan worden geconsulteerd op de website
www.pensioplus.be.
16 Wijzigingen aan het beleid
PensioPlus houdt zich het recht voor om indien nodig deze beleidsnota te wijzigen, bijvoorbeeld om te voldoen aan nieuwe wettelijke verplichtingen, richtlijnen of eisen gesteld door de Gegevensbeschermingsautoriteit. PensioPlus zal de Gemachtigde Gebruikers informeren over iedere materiële wijziging aan deze beleidsnota.
* * *
Deze Beleidsnota Gegevensverwerking en -beschermingsbeleid werd opgesteld op 23 mei 2018.