Privacybeleid EPB LIPA BVBA

A. RATIO VAN HET BELEID

EPB LIPA BVBA komt in het kader van haar activiteiten in contact met persoonsgegevens. Om deze reden wenst EPB LIPA BVBA een zorgzaam privacybeleid te voeren, waarbij de principes van de Algemene Verordening Gegevensbescherming (hierna “de GDPR”) steeds gerespecteerd worden (hierna “het Privacybeleid”).

Het garanderen van de correcte verwerking van persoonsgegevens en het welslagen van de beveiliging ervan hangt sterk af van een correcte informatieverstrekking aan de verschillende actoren.

Om die reden voorziet EPB LIPA BVBA in een Privacybeleid teneinde elke persoon, zowel intern als extern, die tussenkomt in de verwerking van persoonsgegevens (hierna “Medewerker(s)”), voldoende te informeren over zijn verplichtingen en verantwoordelijkheden tijdens deze verwerking.

Het Privacybeleid van EPB LIPA BVBA is in voornamelijk gericht de rechtmatige verwerking van persoonsgegevens en op het beschermen tegen volgende risico’s:

  • verlies: gegevens zijn niet meer beschikbaar
  • lekken: gegevens komen in verkeerde handen terecht
  • fouten: gegevens zijn niet correct, bijvoorbeeld verouderd of onvolledig
  • niet toegankelijk: op het moment van de zorg zijn gegevens niet toegankelijk
  • onterecht inkijken: ingekeken door personen die hiertoe niet gemachtigd zijn
  • het niet kunnen nagaan wie de gegevens inkeek, wijzigde of verwijderde
  • verwerkingen die niet in lijn liggen met regelgeving, richtlijnen en normen

Daarnaast is het Privacybeleid een draaiboek dat de Medewerkers in staat stelt om te gaan met de verzoeken van betrokkenen tot de uitoefening van hun rechten, gegevenslekken en andere privacy gerelateerde verplichtingen.

B. PRINCIPES DIE VAN TOEPASSING ZIJN BIJ DE VERWERKING MET PERSOONSGEGEVENS

De centrale principes die in de GDPR opgenomen zijn, worden door EPB LIPA BVBA onderschreven. Hieronder worden deze principes kort toegelicht.

Rechtmatigheid: Er is enkel sprake van een rechtmatige verwerking van persoonsgegevens, wanneer deze verwerking een geldige grondslag heeft. Deze grondslag kan een wettelijke verplichting, een overeenkomst, een algemeen belang of een gerechtvaardigd belang (van EPB LIPA BVBA of een derde) zijn. Indien geen van deze redenen kan ingeroepen worden, moet er expliciete toestemming van de betrokkenen worden verkregen.

Transparantie: Dit houdt in dat de betrokkene over de verwerking van zijn persoonsgegevens geïnformeerd moet worden en dat deze informatie en de communicatie in verband met de verwerking van persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn, en moet duidelijke en eenvoudige taal worden gebruikt.

Doelbinding van de verwerking: EPB LIPA BVBA mag persoonsgegevens enkel verwerken voor specifieke, legitieme en vooraf bepaalde doeleinden waarvoor ze verzameld werden.

Minimale gegevensverwerking: Volgens dit beginsel moeten persoonsgegevens toereikend, relevant en beperkt zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.

Juistheid: Persoonsgegevens moeten juist zijn en zo nodig worden bijgewerkt. Alle redelijke maatregelen moeten worden genomen om onnauwkeurige of onvolledige persoonsgegevens uit te wissen of te verbeteren.

Opslagbeperking: Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

Integriteit en vertrouwelijkheid: EPB LIPA BVBA moet voor de verwerking van persoonsgegevens voorzien in passende, technische en organisatorische maatregelen om een afdoend veiligheidsniveau in te richten. Dit houdt een bescherming in tegen iedere niet toegelaten of onwettige verwerking, tegen verlies, vernietiging of kwaliteitsverlies van de persoonsgegevens.

EPB LIPA BVBA heeft hierbij een verantwoordingsverplichting. Dit houdt in dat EPB LIPA BVBA dient te kunnen aantonen dat zij deze principes te allen tijde in acht genomen heeft wanneer er overgegaan werd tot de verwerking van persoonsgegevens.

Het is dan ook noodzakelijk dat alle Medewerkers van EPB LIPA BVBA meewerken aan de naleving van deze principes en steeds handelen in overeenstemming met deze principes en de bepalingen van dit Privacybeleid.

C. CONTACTPERSOON

Binnen EPB LIPA BVBA wordt één contactpersoon aangeduid die intern verantwoordelijk is voor (de naleving van) het Privacybeleid, het omgaan met de verzoeken van betrokken en de gegevenslekken (hierna de “Contactpersoon”).

Indien het geval van vragen of klachten omtrent het Privacybeleid, kan hiervoor contact opgenomen worden met de Contactpersoon. Indien een Medewerker een verzoek van een betrokkene ontvangt of wanneer u een gegevenslek vaststelt, dient de Contactpersoon hiervan onverwijld op de hoogte te gebracht te worden.

De Contactpersoon binnen EPB LIPA BVBA is Lien Van Droogenbroeck.

D. OMGANG MET PERSOONSGEGEVENS BINNEN EPB LIPA BVBA

1. Algemeen beleid omtrent de omgang met persoonsgegevens en de mededeling ervan
Het Privacybeleid geldt voor alle informatie ongeacht de vorm waarin deze wordt (1) kenbaar gemaakt (op papier, in elektronische vorm, via mondelinge communicatie, …), (2) opgeslagen (tekst, administratieve systemen, gegevensbanken, websites, toets- en leerplatformen, ...) en (3) verspreid (e-mail, website, fax, telefoon, …).

Elke Medewerker is verantwoordelijk voor de informatie die hij/zij beheert en voor de informatie die hij/zij opvraagt voor de uitvoering van zijn/haar taken. Het gebruik is beperkt tot wat voor de uitvoering van de professionele opdracht vereist is.

Het recht om gegevens die door EPB LIPA BVBA worden verzameld, verder te verwerken, wordt gegarandeerd via diverse processen waarbij de basisprincipes die gelden in het kader van de verwerking van persoonsgegevens toegepast worden.

Als algemene regel geldt dat EPB LIPA BVBA geen persoonsgegevens aan derden communiceert. Enkel bij uitdrukkelijk verzoek van gemachtigde autoriteiten (zoals politie, gerecht,…) of in geval van toestemming en/of opdracht van de betrokkene, worden deze gegevens aan andere partijen meegedeeld. Medewerkers zorgen er dan ook voor dat persoonsgegevens steeds tegen niet-geautoriseerde raadplegingen of andere verwerking beschermd zijn.

De Medewerkers waken er dan ook over dat ook derden en externe Medewerkers de bepalingen met betrekking tot de bescherming van persoonsgegevens naleven. Hierbij zullen zij – indien nodig en in de mate van het mogelijke – derden en externe Medewerkers op de hoogte brengen van de relevante verplichtingen inzake de bescherming van persoonsgegevens.
2. IN GEVAL VAN VERWERKER Beleid ten aanzien van gegevens over klanten
Medewerkers zullen de persoonsgegevens van klanten enkel gebruiken in het kader van hun professionele activiteiten. Daarnaast dienen Medewerkers steeds rekening te houden met de rechtmatigheid van en de doeleinden waarvoor de verwerking toegestaan is.

Dit betekent dat de verwerking van de persoonsgegevens de verwerking van persoonsgegevens door de Medewerker principieel enkel toegestaan is in volgende gevallen:

  • de verwerking is vereist voor de uitvoering van de overeenkomst tussen EPB LIPA BVBA en de klant, bijvoorbeeld de levering van de goederen of diensten, het verlenen van support en de facturatie;
  • de verwerking is noodzakelijk voor de gerechtvaardigde belangen van EPB LIPA BVBA of een derde. In voorkomend geval zal de Medewerker slechts na akkoord en in overleg met de Contactpersoon hiertoe overgaan, behoudens eerdere instructie/overleg hierover;
  • de betrokkene heeft zijn/haar toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens, bijvoorbeeld om de te antwoorden op vragen die zij ontvangt via het invulformulier op haar website;
  • de verwerking is verplicht op grond van een verplichting in hoofde van EPB LIPA BVBA

3. Verantwoordelijkheid
De Medewerker blijft steeds verantwoordelijk voor de informatie die zij gebruikt in haar werkzaamheden, ongeacht de vorm waarin deze informatie wordt opgeslagen. De Medewerker moet dus zorgen voor een goede bescherming ervan. Zodra de informatie niet meer wordt gebruikt door de Medewerker, moet hij/zij zorgen voor de archivering of verwijdering ervan.

E. BEVEILIGINGSMAATREGELEN EN VERPLICHTINGEN

1. Bepalen van beveiligingsmaatregelen
De beveiligingsmaatregelen worden steeds bepaald aan de hand van een risicobeoordeling.

Om te bepalen in welke mate de verwerking van persoonsgegevens een risico inhoudt, dient rekening gehouden te worden met (1) de waarschijnlijkheid van een incident en (2) de mogelijke impact van dergelijk incident (voor de rechten van de betrokkene), bijvoorbeeld het verlies van economische waarde, de aantasting van het imago, een inbreuk op de wetgeving,…

De maatregelen die genomen worden, staan steeds in functie van het risico dat gerelateerd is aan de verwerking.

De Medewerker zal de Contactpersoon informeren over de risico’s en/of niet passende of adequate beveiligingsmaatregelen die hij vaststelt en om gepaste instructies met betrekking tot deze risico’s vragen. De Medewerker past in onderling overleg met de Contactpersoon technische, procedurele, communicatieve en organisatorische maatregelen toe waardoor de persoonsgegevens beveiligd en beschermd zijn tegen eventuele risico’s die al dan niet inherent zijn aan de verwerking ervan.
2. Organisatorische maatregelen en fysieke beveiliging
a) Toegangsbeleid
De toegang tot de kantoren is voorbehouden tot geautoriseerde personen.

Bij het binnenlaten van bezoekers, dient de Medewerker dient steeds de identiteit van de bezoeker en de noodzakelijkheid van de toegang te controleren.
b) Vertrouwelijkheid
Alle persoonsgegevens waarover EPB LIPA BVBA beschikt dienen door de Medewerker als vertrouwelijk aanzien te worden.

De Medewerker dient steeds rekening te houden met deze vertrouwelijkheid bij het gebruik en verwerking van deze gegevens.
c) Bewaarbeleid – Meenemen (van een kopie) van de persoonsgegevens
(1) Bewaarbeleid
Alle gegevens dienen in de daarvoor voorziene mappen opgeslagen te worden. De Medewerker zal zo min mogelijk persoonsgegevens opslaan op het lokale geheugen van de aan hem/haar toegewezen pc.

De Medewerkers dienen de bewaartermijn van de persoonsgegevens steeds te respecteren. Iedere Medewerker zal nagaan of de bewaartermijn van persoonsgegevens niet verstreken is. Indien dit het geval zou zijn, meldt hij/zij dit aan de Contactpersoon.
(2) Meenemen van persoonsgegevens
In principe mogen geen persoonsgegevens buiten EPB LIPA BVBA bijgehouden worden (zoals bv. op een persoonlijke PC, op ICT-middelen die geen eigendom zijn van EPB LIPA BVBA, opslag in de (persoonlijke) cloud,…). Het is wel toegestaan voor thuiswerk maar enkel gedurende de tijd dat dit strikt noodzakelijk is, wanneer de omstandigheden dit vereisen en in zoverre de nodige beveiligingsmaatregelen genomen worden. Zodra niet meer voldaan is aan die voorwaarden moet die informatie, naar gelang van het geval, teruggebracht, verwijderd of vernietigd worden.

Speciale aandacht wordt gevraagd voor draagbare media die vertrouwelijke informatie bevatten, zoals een kopie/back-up opgeslagen op een laptop of een USB-stick. Deze media moeten steeds veilig opgeborgen worden. Bij vernietiging en eventueel hergebruik ervan, moet erop gelet worden dat ze geen vertrouwelijke informatie meer bevatten. Bij twijfel kan altijd advies ingewonnen worden bij de IT-verantwoordelijke. In geval van verlies of diefstal, dient het stappenplan onder titel F gevolgd te worden.
d) Clear Desk
Het is niet toegelaten gevoelige informatie en/of persoonsgegevens onbewaakt op de bureau te laten liggen. Het is verplicht om deze informatie ontoegankelijk te maken voor onbevoegden. Persoonsgegevens en andere vertrouwelijke informatie mogen niet onbewaakt worden achtergelaten op het bureau.

Het clear desk beleid houdt de toepassing van drie basisregels in:

1. Wanneer de Medewerker op kantoor aanwezig is: de Medewerker probeert enkel de documenten die hij die dag nodig heeft op zijn bureau te laten liggen.
2. Wanneer de Medewerker tijdelijk zijn/haar bureau verlaat: indien de Medewerker aan vergaderingen deelneemt, moet hij/zij controleren of er geen vertrouwelijke informatie aanwezig is op zijn/haar bureau die niet onbewaakt mag worden achtergelaten. Indien dit wel het geval is, moet hij/zij deze informatie veilig opbergen.
3. Wanneer de Medewerker zijn/haar bureau verlaat: het is de taak van de Medewerker om ervoor te zorgen dat alle bovenvermelde informatie op een veilige plaats wordt opgeborgen en dat zijn bureau is opgeruimd alvorens de kantoren te verlaten. Het behoort tot de verantwoordelijkheid van de Medewerker om de nodige veiligheidsmaatregelen te nemen in zijn/haar bureau.
e) Gebruik apparatuur – verbod op Bring your own device
(1) Gebruik apparatuur
Medewerkers dienen hun werkzaamheden steeds uit te voeren op apparatuur die door EPB LIPA BVBA ter beschikking gesteld wordt.

De medewerker zal deze apparatuur steeds behandelen als een goede huisvader.
(2) Verbod Bring your own device
Het is in principe niet toegestaan om werkzaamheden uit te voeren op apparatuur dat niet ter beschikking gesteld werd door EPB LIPA BVBA, behoudens uitdrukkelijke toestemming van de Contactpersoon.

Behoudens uitzonderingen, mogen Medewerkers hun professionele werkzaamheden dan ook niet uitvoeren op eigen apparatuur (verbod op bring your own device).
3. Technische beveiliging
a) Toegang tot de personsgegevens
EPB LIPA BVBA verleent haar Medewerkers volledige toegang tot het beheerssysteem teneinde een goede dienstverlening aan haar klanten te kunnen garanderen. EPB LIPA BVBA bezorgt de inloggegevens – m.n. de gebruikersnaam en het wachtwoord – aan de Medewerker waarmee zij kunnen inloggen op het netwerk, de pc’s, het beheerssysteem, de software, etc.

Deze inloggegevens zijn strikt persoonlijke en mogen in geen geval meegedeeld worden aan andere personen, met inbegrip van andere Medewerkers van EPB LIPA BVBA.

Indien EPB LIPA BVBA vaststelt dat een Medewerker in strijd met het Privacybeleid handelt, kan EPB LIPA BVBA de toegangsrechten van de Medewerker beperken of volledig intrekken.
b) Wachtwoordbeleid
De Medewerker dient zijn/haar toegang tot de gevoelige informatie te beschermen met een goed gekozen wachtwoord. Voor wachtwoorden gelden de volgende regels:

1. het wachtwoord moet regelmatig gewijzigd worden en in elk geval onmiddellijk als dit door EPB LIPA BVBA gevraagd wordt (zoals bv. na vaststelling van een inbraak of wanneer het wachtwoord te zwak is);
2. kies voor alle toepassingen een complex wachtwoord dat voldoet aan het EPB LIPA BVBA wachtwoordbeleid,
3. wanneer er nog maar een licht vermoeden is van misbruik van de inloggegevens, moet het wachtwoord zo snel mogelijk gewijzigd worden;
4. wachtwoorden van anderen proberen te kraken, te raden of te achterhalen is verboden;
5. het is niet toegelaten om wachtwoorden in zichtbare (zoals bv. op Post-its, in onbeschermde bestanden,…) vorm op te slaan;
6. er dient omzichtig omgegaan te worden bij het ingeven van wachtwoorden (bijvoorbeeld niet als iemand toekijkt, …);
7. er dient voorzichtig omgegaan te worden bij het ingeven van wachtwoorden op niet-gecontroleerde locaties of netwerken (zoals bv. op cybercafés, op andere (open/publieke) draadloze netwerken,…);
8. gebruik de inloggegevens enkel en alleen voor toegang tot het de toepassingen en het netwerk van EPB LIPA BVBA. Gebruik op het internet en op privé-ICT-middelen andere loginnamen en wachtwoorden.

Iedere gebruiker is verantwoordelijk en aansprakelijk voor alles wat onder zijn/haar inloggegevens gebeurt.
c) E-mail, online communicatie en gebruik van het internet
Voor beroepsmatige online communicaties aanvaardt EPB LIPA BVBA enkel het gebruik van de e-mail, online communicatiediensten en internetdiensten die eigen zijn aan EPB LIPA BVBA. Andere online communicatiemiddelen (zoals blogs, WhatsApp, etc.) en andere internetdiensten (zoals Facebook, Linkedin, Twitter, Instagram, etc.) mogen enkel worden gebruikt na akkoord en in overleg met de Contactpersoon.

De Medewerker verbindt zich ertoe de slechte werking of het misbruik van de e-mail, online communicatie en internet functionaliteiten (zoals virussen, malware, pogingen tot hacking en phishing), ongeacht of dit op het niveau van de centrale computers, het netwerk, software, beheerssysteem, de website of de lokale computers is, onmiddellijk aan de Contactpersoon mee te delen.

Gelet op de inherente risico’s verbonden aan het gebruik van e-mail, geldt volgend beleid:

  • De verzender van een e-mail is verantwoordelijk voor de inhoud van dit bericht. Het is de Medewerkers strikt verboden om e-mails te verzenden waarvan de inhoud onwettig zou zijn en/of in strijd met het fatsoen en de zeden (zoals e-mails met een aanstootgevende, politieke, racistische, discriminerende inhoud);
  • Er mogen geen persoonsgegevens zonder afdoende veiligheidsmechanismen via e-mail en online communicatie middelen worden overgemaakt. Alvorens gevoelige bestanden via e mail (en andere online communicatiemiddelen) te versturen, dient de Medewerker – in de mate van het mogelijke – ervoor te zorgen dat deze bestanden vercijferd zijn;
  • Het gebruik van e-mail en online communicatie middelen voor persoonlijke doeleinden is verboden;
  • Bij langdurige afwezigheid van de Medewerker (meerdere dagen) dient een automatisch antwoord ingesteld te worden zodat correspondenten op de hoogte zijn van de langdurige afwezigheid ("out of office");
  • Het is verboden om ontvangen e-mails systematisch door te sturen naar externe bestemmelingen (e-mail adres of online communicatiemiddel buiten EPB LIPA BVBA), omdat ook professionele en gevoelige informatie automatisch verstuurd worden naar deze externe bestemmelingen.

EPB LIPA BVBA stelt internet in de eerste plaats ter beschikking voor professionele doeleinden. Het verkennen van internet voor persoonlijke vorming en ontwikkeling wordt aanvaard mits het in beperkte mate gebeurt. In dat opzicht dient de Medewerker zich ervan bewust te zijn van de volgende beleidslijnen:

  • EPB LIPA BVBA houdt zich het recht voor om de toegang tot internet (websites en diensten) te beperken;
  • surfen op internet houdt risico’s in en de kans op een aanval via bepaalde sites is realistisch. De Medewerker moet:
    • o steeds bewust zijn dat hij/zij EPB LIPA BVBA vertegenwoordigt op internet. Veel websites houden een spoor bij van bezoek en kunnen soms de herkomst en de elektronische identiteit vaststellen van de persoon en van EPB LIPA BVBA;
    • de configuratie van de webbrowser en de beveiligingssoftware (antivirus, antispam, firewall) zoals ingesteld door EPB LIPA BVBA ongewijzigd houden.
  • het is verboden websites te raadplegen waarvan de inhoud indruist tegen de goede zeden of de waardigheid van een persoon kan schaden, alsook racistische websites, websites die discriminatie voorstaan op basis van geslacht, seksuele geaardheid, handicap, religie of politieke overtuiging;
  • het is verboden om internet te gebruiken voor illegale activiteiten, ongeacht de aard ervan;
  • bij het downloaden van bestanden beperkt de Medewerker zich tot het strikt noodzakelijke in het kader van zijn beroepsactiviteiten;
  • een Medewerker maakt geen gebruik van onveilige online file-sharing diensten die toelaten om veel en/of grote bestanden te delen en op te laden (zoals Dropbox, iCloud, GoogleDrive, Box, WeTransfer, etc.), tenzij hij/zij hiervoor toestemming verkregen heeft van de Contactpersoon. De Medewerker moet voorafgaandelijk nagaan bij de Contactpersoon welke online file-sharing diensten wel veilig en toegelaten zijn of welke tools de Medewerker moet gebruiken om bestanden veilig uit te wisselen.

De Medewerker zal zich er steeds van vergewissen dat hij/zij voor het uitvoeren van zijn/haar werkzaamheden, of indien zij gebruik maakt van apparatuur die door EPB LIPA BVBA ter beschikking gesteld werd, enkel verbinding maakt met veilige netwerkverbindingen.

EPB LIPA BVBA houdt zich het recht voor om het gebruik van e-mail, online communicatiemiddelen en internet te controleren teneinde:

  • ongeoorloofde feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden te voorkomen;
  • de economische, handels- en financiële belangen van EPB LIPA BVBA die vertrouwelijk zijn te beschermen alsook het tegengaan van ermee in strijd zijnde praktijken;
  • de veiligheid en/of de goede technische werking van het geheel van IT-netwerksystemen van de EPB LIPA BVBA garanderen, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de EPB LIPA BVBA;
  • het te goeder trouw naleven van de in de EPB LIPA BVBA geldende regels en beginselen inzake het gebruik van de technologie te garanderen;
    de naleving van de verplichtingen in het kader van de verwerking van persoonsgegevens te garanderen.

d) Logbeheer
De gebeurtenissen op de server, het netwerk en desktops/laptops worden geregistreerd in logbestanden. Logging stelt EPB LIPA BVBA in staat om bepaalde handelingen te volgen en te controleren.

De organisatie van logbeheer waarborgt een traceerbaarheid van de gebruikte persoonsgegevens: de gebruikte toepassingen, de verrichte bewerkingen en de gebruikte informatie garanderen. Dit garandeert de link tussen de Medewerker en de gebeurtenis.
4. Documentatie
De documentatie van de verwerking van persoonsgegevens is onderdeel van de verantwoordingsplicht van EPB LIPA BVBA.

Om de persoonsgegevens op een doeltreffende wijze te beveiligen, dienen de diverse verwerkingen van de verschillende categorieën steeds gestructureerd en gedocumenteerd worden. Dit maakt de lokalisatie van de persoonsgegevens, de beoordeling van de risico’s en de beveiliging van de verwerking van deze gegevens mogelijk.

Dit wordt onder meer bereikt door het bijhouden van een register van verwerkingsactiviteiten.

De Contactpersoon is de enige persoon die wijzigingen mag aanbrengen aan het register van verwerkingsactiviteiten.

Medewerkers dienen – in de mate van het mogelijke – actief bij te dragen aan de documentatie van de verwerking van persoonsgegevens.

F. BEHEER VAN INCIDENTEN

1. Stappenplan
Onder deze titel wordt uiteengezet op welke wijze EPB LIPA BVBA beveiligings- en gegevenslekken tracht op te sporen en wijze waarop er met dergelijke incidenten wordt omgegaan.

In het geval dat er zich een incident voordoet, zullen alle Medewerkers actief meewerken aan de analyse en de oplossing van het incident.

De Medewerker zal alle informatie omtrent het incident, m.i.v. het voorval ervan, steeds als vertrouwelijk beschouwen.
2. Ontdekking/vaststelling/opsporing van een beveiligings- of gegevenslek
EPB LIPA BVBA heeft voorzien in monitoring van het netwerk teneinde beveiligings- of gegevenslekken op te sporen.

Medewerkers zullen in de mate van het mogelijke beveiligings- of gegevenslekken trachten op te sporen. Tijdens het uitvoeren van hun werkzaamheden, zullen Medewerkers minstens waken over de beveiliging van de informaticasystemen en gegevenslekken.

Van zodra een Medewerker een beveiligings- of gegevenslek vaststelt, neemt hij/zij onmiddellijk contact op met de Contactpersoon en/of de IT-verantwoordelijke.

Teneinde EPB LIPA BVBA in de mogelijkheid te stellen bewijsmateriaal te verzamelen, zal de Medewerker het incident niet zelf oplossen, tenzij er zich maatregelen aandringen die op geen enkele wijze uitgesteld kunnen worden om (grotere) schade te vermijden. Behoudens dergelijke uitzonderlijke omstandigheden, zullen incidenten steeds in samenspraak met de Contactpersoon opgelost worden.

Verder dient iedere Medewerker alle gebeurtenissen en zwakheden omtrent het informaticasysteem of de verwerking van persoonsgegevens kenbaar maken aan de Contactpersoon zodat EPB LIPA BVBA tijdig en adequaat corrigerende maatregelen kan nemen.
3. Analyse van het beveiligings- of gegevenslek
De Contactpersoon zal in overleg met de IT-verantwoordelijke het beveiligings- of gegevenslek onderzoeken, waarbij zij volgende analyse dienen te maken:

Actueel

Hierbij wordt nagegaan of er nog steeds sprake is van verstrekking van ongeautoriseerde toegang, wijziging, verlies van toegang, etc. van persoonsgegevens.

In voorkomend geval zullen de Contactpersoon en de IT-verantwoordelijke – in de mate van het mogelijke en in zoverre dit nog nuttig is – alle mogelijke bewijsmiddelen omtrent het gegevenslek. Vervolgens worden onmiddellijk (tijdelijke) voorzorgsmaatregelen genomen om verdere onregelmatigheden te voorkomen.

Type incident

EPB LIPA BVBA dient na te gaan of er sprake is van een beveiligings- dan wel een gegevenslek.

Een beveiligingslek en/of -incident is iedere ongeautoriseerde toegang, gebruik, verandering, openbaring, verlies of vernietiging van informatie en informatiesystemen zonder dat dit betrekking heeft op persoonsgegevens.

Er is sprake van een gegevenslek wanneer het lek of incident betrekking heeft op doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens

Indien er sprake is van een gegevenslek, kan er sprake zijn van volgende inbreuken:

  • inbreuk op de vertrouwelijkheid, m.n. wanneer er een niet-geautoriseerde of accidentele mededeling van of toegang tot de persoonsgegevens was;
  • inbreuk op de integriteit, d.i. wanneer er een niet-geautoriseerde of accidentele wijziging van de persoonsgegevens heeft voorgedaan;
  • inbreuk op de toegankelijkheid van de gegevens, namelijk wanneer er sprake is van niet-geautoriseerd(e) of accidenteel (accidentele) verlies van toegang tot of vernietiging van de persoonsgegevens.

Indien er sprake is van een gegevenslek, dienen de stappen uiteengezet onder titel F.4 te worden gevolgd.
4. Beheer van een gegevenslek
a) Beoordeling van verplichting tot notificatie
(1) Risico als ‘trigger’ voor de meldplicht
De notificatie van een gegevenslek is niet verplicht in alle omstandigheden.

De melding van een gegevenslek aan de Gegevensbeschermingsautoriteit is niet vereist indien het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

De melding van een gegevenslek aan de betrokkenen is niet vereist indien het gegevenslek geen hoog risico voor de rechten van de betrokkene inhoudt.

De beoordeling van het risico houdt rekening met de specifieke omstandigheden van het incident, in het bijzonder de ernst van het potentiële impact en de waarschijnlijkheid van het voorkomen van dergelijk incident.
(2) Criteria die relevant zijn bij de beoordeling van het risico
Het type van inbreuk
Het type van inbreuk kan het niveau van het risico beïnvloeden, waarbij er van wordt uitgegaan dat het verlies – in principe – meer verregaande gevolgen heeft dan de niet-geautoriseerde mededeling van de persoonsgegevens.

De aard, gevoeligheid en volume van persoonsgegevens
Dit dient steeds beoordeeld te worden in het kader van het concrete geval.

In principe kan er vanuit gegaan worden dat de mededeling van de adresgegevens vermoedelijk niet tot aanzienlijke schade voor de betrokkene leidt, behoudens in specifieke gevallen. Incidenten m.b.t. gezondheids-, identiteits- of financiële gegevens (en zeker de combinatie ervan) zullen eerder tot schade voor de betrokken individuen leiden. Een inbreuk die betrekking heeft op een zeer hoge hoeveelheid (niet-gevoelige) persoonsgegevens kan eveneens een belangrijk gevolg hebben op de daarmee corresponderende grote hoeveelheid individuen.

De mogelijkheid om individuen eenvoudig te identificeren
Er is sprake van een hoger risico voor het getroffen individu indien het eenvoudig is om hem/haar te identificeren.

De ernst van de gevolgen voor de individuen
Afhankelijk van de aard van de getroffen persoonsgegevens kan de potentiele schade die voortvloeit uit een gegevenslek zeer ernstige gevolgen hebben, m.n. ernstige lichamelijke, materiële of immateriële schade (de verwerking kan o.m. leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel).

Bijzondere kenmerken van de betrokkene (bv. kinderen, kwetsbare personen)
Specifieke karakteristieken van de betrokkene kunnen leiden tot een hoger risico.

Bijzondere kenmerken van de verwerkingsverantwoordelijke

Het aantal getroffen persoonsgegevens.
b) Notificatie van het gegevenslek
(1) Melding aan de betrokkene
Indien het gegevenslek een hoog risico voor de rechten van de betrokkene inhoudt, dient EPB LIPA BVBA – in de gevallen waarin zij verwerkingsverantwoordelijke is, nl. voor haar klanten-, personeels- of leveranciersbestand – het gegevenslek in principe aan de betrokkenen wiens gegevens erdoor getroffen zijn te melden.

Dergelijke melding dient evenwel niet te gebeuren in volgende gevallen:

  • EPB LIPA BVBA heeft de persoonsgegevens waarop de inbreuk betrekking onbegrijpelijk gemaakt voor onbevoegden (zoals een versleuteling);
  • EPB LIPA BVBA heeft achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen.
  • de (individuele) melding aan de betrokkenen vergt een onevenredige inspanning, waarbij dergelijke melding vervangen dient te worden door een openbare of gelijkaardige maatregel waarbij de betrokkenen even doeltreffend worden geïnformeerd.

(2) Melding aan de gegevensbeschermingsautoriteit: een risico
Indien er geen sprake is van een hoog risico, doch wel nog steeds van een risico, is EPB LIPA BVBA verplicht het gegevenslek aan de Gegevensbeschermingsautoriteit te melden.

Indien het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient EPB LIPA BVBA niet tot de melding ervan aan de Gegevensbeschermingsautoriteit over te gaan.
(3) Melding aan verwerkingsverantwoordelijke
Indien EPB LIPA BVBA optreedt als verwerker, zal zij het gegevenslek analyseren en beoordelen (zie hoger).

Vervolgens zal EPB LIPA BVBA het gegevenslek en alle informatie die voortvloeit uit de analyse en beoordeling ervan zo snel als mogelijk aan de verwerkingsverantwoordelijke melden.
(4) Gebruik modeldocumenten
Indien een melding van een gegevenslek verplicht is, zal de Contactpersoon hiervoor gebruik maken van de toepasselijke modeldocumenten.
c) Tijdstip mededeling
De melding aan de Gegevensbeschermingsautoriteit dient te gebeuren binnen de 72 uur nadat EPB LIPA BVBA het gegevenslek ontdekt heeft. Indien de melding niet gebeurt binnen deze termijn, dient de laattijdigheid ervan gemotiveerd worden.

De melding aan de betrokkene dient zo snel mogelijk te gebeuren.

Indien EPB LIPA BVBA verwerker is, zal zij zo snel mogelijk het gegevenslek melden aan haar klant (de verwerkingsverantwoordelijke).
5. Oplossen van het incident
EPB LIPA BVBA zal het beveiligings- of gegevenslek binnen de kortste termijn proberen op te lossen.

Hierbij zal EPB LIPA BVBA steeds oplossingen en maatregelen implementeren die toekomstige, identieke gegevenslekken voorkomen.
6. Documentatie
De Contactpersoon zal ieder beveiligings- en gegevenslek documenteren in het daarvoor voorziene register.

In dit register wordt volgende informatie gedocumenteerd:

Steeds

  • Soort incident: beveiligings- of gegevenslek
  • Tijdstip vaststelling incident
  • Status van het incident
  • Oplossing – omschrijving van de genomen maatregelen

In geval van een gegevenslek

  • Gegevenscategorie
  • Hoedanigheid (verwerkingsverantwoordelijke of verwerker)
  • Benadering van het aantal betrokken
  • Beoordeling van het risico
  • Beoordeling van verplichting van melding aan de

Gegevensbeschermingsautoriteit, de betrokkene (indien EPB LIPA BVBA gegevensverantwoordelijke is) of aan de verwerkingsverantwoordelijke (indien EPB LIPA BVBA de verwerker is).
Tijdstip van de melding en de tijdigheid van de melding.
G. EVALUATIE EN WIJZIGING VAN PRIVACYBELEID
EPB LIPA BVBA zal onderhavig Privacybeleid op regelmatige tijdstippen evalueren, alsook in geval van belangrijke wijzigingen binnen de EPB LIPA BVBA.

Indien dit nodig zou zijn, zal EPB LIPA BVBA haar Medewerkers betrekken in de evaluatie van het Privacybeleid.

Indien het Privacybeleid gewijzigd zou worden, brengt EPB LIPA BVBA haar Medewerkers hiervan op de hoogte.

Het meest recente Privacybeleid is steeds van toepassing.