Gegevensbeschermingsbeleid
Caluwé Demandé Pralines N.V. en zijn dochter firma’s waarvan ze eigenaar of partner is ( Caluwé Artisan Shops bvba - deze lijst is niet gelimiteerd of kan gewijzigd worden)
1. Het belang van gegevensbescherming
Caluwé Demandé Pralines NV hecht grote waarde aan het juist beschermen van de gegevens die zij verwerkt, in het bijzonder persoonsgegevens. Middels dit beleid wil Caluwé Demandé Pralines NV op strategisch niveau vastleggen op welke wijze gegevens beschermd worden, welke verantwoordelijkheden hierrond zijn toegewezen en welke prioriteiten Caluwé Demandé Pralines NV heeft bepaald rond de bescherming van gegevens.
In het bijzonder wil Caluwé Demandé Pralines NV de gegevens van klanten en de persoonsgegevens die zij ter beschikking stellen, beschermen tegen:
- Verlies : gegevens zijn niet meer beschikbaar
- Lekken : gegevens komen in de verkeerde handen terecht
- Fouten : gegevens zijn niet correct vb. verouderd of onvolledig
- Niet toegankelijk : op het moment van verwerking zijn gegevens niet toegankelijk
- Onterecht inkijken : ingekeken door personen die hiertoe niet gemachtigd zijn
- Het niet kunnen nagaan wie de gegevens inkeek, wijzigde of verwijderde
- Verwerkingen die niet in lijn liggen met regelgeving, richtlijnen en normen.
De bestuurders willen in dit beleid een beroep doen op iedereen die betrokken is bij de elektronische en papieren verwerking, om samen, vanuit een gemeenschappelijke visie en vanuit een gezamenlijke wil om kwaliteitsvolle dienstverlening aan te bieden, de verwerking van persoonsgegevens correct te laten verlopen.
Dit beleidshandboek gaat dieper in op de bescherming van de persoonlijke levenssfeer en meer in het bijzonder, de informationele privacy. Dit beleidshandboek dient als norm voor het verwerken van persoonsgegevens van betrokkenen door Caluwé Demandé Pralines NV. het is een leidraad voor alle verwerkingsprocessen en biedt een referentienorm voor audit en controle. Het beleidshandboek biedt elke belanghebbende, medewerker of betrokkene, inzage in het gegevensbeschermingsbeleid en de manier waarop Caluwé Demandé Pralines NV omgaat met persoonsgegevens.
Het beleidshandboek is tevens geschreven voor iedereen die een functie heeft binnen Caluwé Demandé Pralines NV en waarvan de functie een verwerking van persoonsgegevens inhoudt. Dit beleidshandboek dient als basis voor het opstellen van richtlijnen en procedures voor medewerkers en externen. De relevante onderdelen van dit beleidshandboek worden verwerkt in (verwerkers) overeenkomsten met personeel, leveranciers en klanten.
2. De organisatie van gegevensbescherming
Bevoegdheid
Als verantwoordelijke voor de verwerking, ligt de bevoegdheid van dit beleid bij Caluwé Demandé Pralines NV en de gedelegeerd bestuurders van elke dochterfirma, die verantwoordelijk is voor het formuleren en vaststellen van, en het toezien op, de naleving van de beleidsprincipes binnen de organisatie.
Verantwoordelijke
Caluwé Demandé Pralines NV en elk van zijn dochterfirma’s fungeert als enig en formeel beslissingsplatform voor de gegevensbescherming. Caluwé Demandé Pralines NV en elk van zijn dochterfirma’s is bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten:
- Opmaak van risicoanalyses en bijhorende methodiek
- Het ontwikkelen van het gegevensbeschermingsbeleid en de bijhorende richtlijnen
- De implementatie van beveiligingsmaatregelen
- De structurele aanpak van problemen in verband met gegevensbescherming en de opmaak van adviezen om deze te remediëren.
DE DPO
De inhoudelijke opvolging van het beleid inzake gegevensbescherming ligt bij de Data Protection Officer (DPO). Hij/zij voert deze taak uit volgens de bepaling voorzien in de GDPR. Caluwé Demandé Pralines NV en zijn dochterfirma’s geeft de identiteit en eventuele wijzigingen van de DPO door aan de bevoegde gegevensbeschermingsautoriteit. De functie van DPO zal gedragen worden door de gedelegeerd bestuurd van elke afzonderlijke juridische identiteit.
De DPO is op niet limitatieve wijze belast met :
- Adviezen en aanbevelingen voorleggen aan het bestuur van elke juridische identiteit
- Bevorderen van de bewustwording van alle actoren binnen elke juridische identiteit
- Toe te zien op de naleving van het gegevensbeschermingsbeleid
- De nodige documentatie en begeleiding te voorzien bij de opmaak van het verwerkingsregister
- De specifieke taken uit te voeren die aan de DPO zijn toegekend in het kader van de GDPR
- De registratie van overtredingen en advies tot remediëring
De Medewerker
Iedereen, intern of extern, die persoonsgegevens bewerkt, doet dit volgens de beleidsprincipes uit dit beleidshandboek. De gebruiker verwerkt persoonsgegevens in overeenstemming met de discretieplicht en conform de volgende principes :
- Is verantwoordelijk voor de verwerking van de persoonsgegevens die hij/zij verwerkt
- Voert de veiligheidsrichtlijnen uit tijdens de verwerkingsopdracht
- Verwerkt enkel die gegevens die horen bij de taak
- Draagt zorg voor de gegevens
- Meldt inbreuken
- Respecteert desgevallend het beroepsgeheim of contractueel overeengekomen vertrouwelijkheidsclausule
ICT – leverancier
Draagt zorg voor :
- De identiteit van veiligheidsrisico’s bij geleverde toepassingen
- Adviseert Caluwé Demandé Pralines NV en zijn dochterfirma’s op de te nemen veiligheidsvoorzieningen
- De communicatie over het eigen veiligheidsniveau en de afhandeling van de veiligheidsincidenten.
3. Scope van het gegevensbeschermingsbeleid
Dit beleid is van toepassing voor de gehele levensduur van informatie binnen Caluwé Demandé Pralines NV en zijn dochterfirma’s, van het verkrijgen van informatie tot de uiteindelijke verwijdering van informatie binnen de organisatie.
Dit beleid geldt voor het geheel van de organisatie van Caluwé Demandé Pralines NV en zijn dochterfirma’s
- Het kantoor
- Alle personeelsleden van Caluwé Demandé Pralines NV en zijn dochterfirma’s zowel intern als extern, tewerkgesteld voor bepaalde of onbepaalde duur, voor zover zij betrokken zijn bij de verwerking van persoonsgegevens.
- Alle bedrijfsmiddelen en informatie verwerkende systemen beheerd door Caluwé Demandé Pralines NV en zijn dochterondernemingen evenals beheerd door derden ten behoeve van de informatieverwerking zoals datacenters, databases, cloudapplicaties, …
- Alle verwerkingsactiviteiten, uitgevoerd als verwerkingsverantwoordelijke of verwerker.
Voor bepaalde domeinen of processen binnen Caluwé Demandé Pralines NV of zijn dochterfirma’s kunnen aanvullende richtlijnen of procedures worden uitgewerkt, die in detail beschrijven welke maatregelen genomen worden om het gewenste niveau van bescherming te bereiken. Dit beleid is het uitgangspunt waar alle andere procedures of richtlijnen onder vallen.
Gezien de belangrijke rol van de ICT leveranciers bij het opzetten van de ICT omgeving om gegevens te verwerken, legt het beleidshandboek hiervoor ook de beleidsprincipes vast.
4. Het beheer van risico’s
Caluwé Demandé Pralines NV en zijn dochterfirma’s brengt de risico’s inzake gegevensbescherming in kaart van een analyse uitgevoerd bij de implementatie van de GDPR wetgeving en verwerkt in het verwerkingsregister. Hierbij werd rekening gehouden met :
- De richtsnoeren met betrekking tot informatiebeveiliging door persoonsgegevens, zoals deze werden gepubliceerd door de Commissie van Bescherming van de Persoonlijke Levenssfeer
- De algemene verordening gegevensbescherming
De analyse bracht operationele en tactische risico’s in kaart. Deze werden besproken samen met de bestuurders van Caluwé Demandé Pralines NV en zijn dochterfirma’s. De bevindingen werden opgenomen in het verwerkingsregister en gaven bovendien aanleiding tot vier mogelijke risicobehandelingen:
- Accepteren : een risico wordt geaccepteerd, er worden geen aanvullende maatregelen genomen.
- Overdragen : een risico wordt overgedragen, waardoor de verantwoordelijkheid niet langer bij de firma rust
- Beperken : de nodige maatregelen worden genomen om een risico te beperken, zodat het risico wordt teruggebracht tot een niveau waarop het te accepteren is
- Uitsluiten : de nodige maatregelen worden genomen om te voorkomen dat een risico zich überhaupt kan voordoen
De intentie bestaat om de risicoanalyse minstens jaarlijks te herzien. Dit maakt deel uit van de werkzaamheden van de DPO.
De actiepunten die prioritair zijn in functie van de risicoanalyse worden vermeld in hoofdstuk 6.
5. Beleidsdoelstellingen gegevensbescherming
Caluwé Demandé Pralines NV en zijn dochterfirma’s zowel in haar rol als verwerkingsverantwoordelijke als verwerker:
- Is transparant over de verwerking van persoonsgegevens en het verwerkingsdoel zowel naar betrokkene als toezichthouder. De gevoerde communicatie is eenvoudig toegankelijk, begrijpelijk en eerlijk. Het transparantiebegrip is tevens van toepassing wanneer de persoonsgegevens worden uitgewisseld.
- Verwerkt enkel persoonsgegevens die relevant zijn voor het verwerkingsdoel. Elke taak waarbij persoonsgegevens worden verwerkt, dient rechtmatig te gebeuren. Dit betekent onder meer dat de verwerking in overeenstemming dient te zijn met de wettelijke en statutaire doelen. Dit wordt telkens geëvalueerd bij een nieuw verwerkingsdoel, waar nodig aan de hand van een gegevensbeschermingseffectbeoordeling.
- Verwerkt enkel persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de activiteiten. Zo worden identificatoren die horen bij de persoonsgegevens tot een minimum herleid.
- Kijkt toe op de integriteit van de persoonsgegevens tijdens de volledige verwerkingscyclus.
- Bewaart de persoonsgegevens niet langer dan noodzakelijk, rekening houdend met de wettelijke verplichtingen en de rechten van de betrokkene.
- Voorkomt inbreuken bij de verwerking van persoonsgegevens. Informatieveiligheid, gegevensbescherming bij ontwerp en privacy vriendelijke standaardinstellingen worden in ieder geval toegepast. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake
- Is in staat om aan alle geldende rechten van een betrokkene gevolg te geven, maar behoudt anderzijds het recht de eventuele beperkingen die op deze rechten van toepassing zijn, in te roepen,
- Waakt er actief over bij de verwerking van persoonsgegevens voor een welbepaald doel, de rechten en vrijheden van een betrokkene gevrijwaard blijven.
- Verwerkt persoonsgegevens in lijn met alle Europese en nationale wetgevende en normerende kaders en controleert de toepassing hiervan wanneer de persoonsgegevens worden uitgewisseld buiten de Europese Economische Ruimte
- Kan aantonen dat het alle beleidsdoelstellingen naleeft, conform de wettelijk bepalingen. Deze verantwoordingsplicht wordt bewaakt door intern toezicht en controle en is uitvoerbaar volgens de wettelijk geldende principes.
Opgemaakt te Wommelgem op 01 juni 2018.
Koen Caluwé
Gedelegeerd Bestuurder