1. Introductie

Om de kernactiviteiten van Start To Sleep uit te voeren, zijn persoonsgegevens nodig.
Organisaties die persoonsgegevens verwerken, moeten voldoen aan een aantal wettelijke vereisten. Naleving van de wetgeving inzake gegevensbescherming is van het grootste belang voor Start To Sleep. Om aan te tonen dat Start To Sleep zijn verantwoordelijkheden op het gebied van persoonlijke gegevens serieus neemt, heeft Start To Sleep een Personal data protection policy / privacy policy opgesteld. Dit beleid beschrijft de principes die moeten worden gerespecteerd wanneer persoonlijke gegevens (van klanten, kandidaten en medewerkers van Start To Sleep) worden verwerkt.

2.   Reikwijdte van de policy

Dit beleid is van toepassing voor de gehele levensduur van informatie binnen Start To Sleep, van het verkrijgen van informatie tot de uiteindelijke verwijdering van informatie binnen de organisatie.

Dit beleid geldt voor Start To Sleep BV en meerbepaald:

  • Het kantoor van Start To Sleep
  • Alle personeelsleden van Start To Sleep, zowel interne medewerkers als externen die tewerkgesteld zijn binnen Start To Sleep voor bepaalde of onbepaalde duur.
  • Alle bedrijfsmiddelen en informatieverwerkende systemen beheerd door Start To Sleep evenals systemen beheerd door externen ten behoeve van informatieverwerkingen voor Start To Sleep zoals databases, informatie ongeacht de drager ervan, netwerken, datacenters, etc.
  • Alle verwerkingsactiviteiten, zowel als verwerkingsverantwoordelijke als verwerker.

Voor bepaalde domeinen of processen binnen Start To Sleep kunnen aanvullende richtlijnen of procedures worden uitgewerkt die in detail omschrijven welke maatregelen genomen worden om het gewenste niveau van gegevensbescherming te bereiken. Dit beleid is de kapstok waaronder alle andere richtlijnen of procedures vallen.

Gezien de belangrijke rol van de ICT-leveranciers bij het opzetten en onderhouden van de ICT-omgeving om gegevens te verwerken in opdracht van Start To Sleep als Verwerkingsveraanwoordelijke, legt dit beleid hiervoor ook belangrijke beleidsprincipes vast.

Dit beleid zal gecommuniceerd worden aan alle actoren die opgenomen zijn in de reikwijdte van dit beleid.

3.   Wetgeving inzake privacy en bescherming van persoonsgegevens

3.1. General Data Protection Regulation (GDPR)

De General Data Protection Regulation (GDPR) is een van de belangrijkste regelgeving die invloed heeft op de manier waarop Start To Sleep zijn informatieverwerkingsactiviteiten uitvoert. Aanzienlijke boetes zijn van toepassing indien er een inbreuk tegen deze regelgeving wordt vastgesteld. De GDPR heeft als doel de persoonlijke gegevens van (Europese) betrokkenen te beschermen. Het beleid van Start To Sleep dient er net voor om ervoor te zorgen dat onze naleving van de GDPR en andere relevante wetgeving te allen tijde duidelijk en aantoonbaar is.

3.2. Definities

De volgende definities van in totaal 26 GDPR definities werden in dit beleid hernomen gezien hun belang en hun fundamenteel karakter
Persoonlijke gegevens worden gedefinieerd als:

“Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (‘gegevenssubject’); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.”

De volgende speciale categorieën persoonlijke gegevens kunnen niet worden verwerkt tenzij de betrokkenen hun uitdrukkelijke toestemming hebben gegeven of indien verwerking is vereist door een andere wet:

“Persoonlijke gegevens waaruit de raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuiging of lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens, biometrische gegevens met het oog op het uniek identificeren van een natuurlijke persoon, gezondheidsgegevens of gegevens betreffende het geslacht van een natuurlijke persoon leven of seksuele geaardheid”.

Verwerking wordt gedefinieerd als:

“Elke bewerking of reeks handelingen die wordt uitgevoerd op persoonlijke gegevens of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door overdracht, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, verwijdering of vernietiging.”

(Data) Controller (Verwerkingsverantwoordelijke) (= Start To Sleep voor sommige activiteiten) wordt gedefinieerd als:

“De natuurlijke of rechtspersoon, overheidsinstantie, instantie of andere instantie die, alleen of samen met anderen, de doeleinden en middelen voor de verwerking van persoonsgegevens bepaalt.”

(Data) Processor (Verwerker) (= Start To Sleep voor andere activiteiten) wordt gedefinieerd als:

“Een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of andere instantie die persoonsgegevens namens de voor de verwerking verantwoordelijke verwerkt.”

Opmerking: de persoonlijke gegevensinventaris (PDI) van Start To Sleep registreert voor elke finaliteit/proces of deze fungeert als controller of processor.

4. Beleidsdoelstellingen mbt privacy en de bescherming van persoonsgegevens

Start To Sleep, zowel in haar rol als verwerkingsverantwoordelijke:

  1. Is transparant over de persoonsgegevens die het verwerkt en het verwerkingsdoel, zowel naar de betrokkene, de klanten als naar de toezichthouders. De gevoerde communicatie is eerlijk, eenvoudig toegankelijk en begrijpelijk. Het transparantieprincipe is ook van toepassing wanneer de persoonsgegevens worden uitgewisseld.
  2. Verwerkt enkel de gegevens die relevant zijn voor het uitvoeren van haar taken. Elke taak waarbij persoonsgegevens worden verwerkt, is rechtmatig. Dit betekent onder meer dat de verwerking in overeenstemming is met de wettelijke en statutaire doelen van Start To Sleep. Dit wordt telkens geëvalueerd bij een nieuw verwerkingsdoel, waar nodig aan de hand van een gegevensbeschermignseffectbeoordeling.
  3. Verwerkt enkel de persoonsgegevens die strikt noodzakelijk voor de uitvoering van de activiteiten.
  4. Kijkt toe op de integriteit van de persoonsgegevens gedurende de volledige verwerkingscyclus.
  5. Bewaart gegevens niet langer dan noodzakelijk. De noodzakelijkheid is afgetoetst tegenover wettelijke verplichtingen en de rechten en vrijheden van de betrokkene.
  6. Voorkomt inbreuken die voortvloeien uit het verwerken van persoonsgegevens. Informatieveiligheid, gegevensbescherming bij ontwerp en privacy-vriendelijke standaardinstellingen zijn hiervoor hulpmiddelen. Wanneer een inbreuk plaatsvindt, wordt hierover gerapporteerd in lijn met de regelgeving ter zake.
  7. Is in staat om alle geldende rechten van een betrokkene, zoals het recht op inzage, afschrift en eventueel ook schrapping uit te voeren. Start To Sleep waakt hierbij over de eventuele beperkingen die op deze rechten van toepassing zijn.
  8. Waakt er actief over dat bij het verwerken van de persoonsgegevens voor een welbepaald doel, de rechten en vrijheden (bijvoorbeeld recht op verzekerbaarheid, recht op zorg) van de betrokkene gevrijwaard blijven.
  9. Verwerkt gegevens in lijn met de rechten en vrijheden die gelden in de Europese Economische Ruimte en controleert de toepassing hiervan wanneer de gegevens worden uitgewisseld daarbuiten. Start To Sleep leeft bijgevolg alle wettelijke en normerende kaders na (i.e. zowel Vlaamse, Federale als Europese regels) bij het verwerken van persoonsgegevens en heeft daartoe haar verantwoordelijkheid over de persoonsgegevens en die van andere duidelijk in kaart gebracht. Start To Sleep monitort daarenboven ook de in de sector geldende gedragscodes en past deze toe.
  10. Kan aantonen dat het alle beleidsdoelstellingen naleeft, conform de wettelijke bepalingen. Deze verantwoordingsplicht wordt bewaakt door interne toezicht en controle en is uitvoerbaar volgens de wettelijk geldende principes.

5.   Beleidsvereisten mbt privacy en de bescherming van persoonsgegevens

5.1 Principes mbt tot verwerking van persoonsgegevens

De volgende principes zijn van toepassing op de persoonsgegevens die Start to Sleep verwerkt in het kader van haar bedrijfsactiviteiten.

5.1.1 Finaliteitsprincipe

De persoonsgegevens mogen alleen voor gedefinieerde doeleinden worden verwerkt. De gegevensverwerkingsactiviteiten en hun doel, inclusief secundaire doeleinden (zoals nieuwsbrieven of marketing die geen verband houden met de diensten waarvoor een contract is getekend),worden in de het verwerkingsregister opgenomen dat deel uit maakt van het personal data register.

5.1.2 Legitimiteitsprincipe

De gegevensverwerkingsactiviteiten mbt persoonsgegevens moeten worden gemotiveerd. De rechtsgrondslagen die kunnen worden gebruikt om de verwerking van persoonlijke en speciale categorieën van persoonsgegevens te rechtvaardigen zijn gedefinieerd in de GDPR. Deze zijn ook opgenomen in het personal data register.

5.1.3 Proportionaliteitsprincipe

Dit principe behelst het respecteren van 2 aspecten die door Start To Sleep gerespecteerd worden.

1. Data-minimalisatie: De gebruikte persoonlijke gegevenscategorieën voor elke gegevensverwerkingsactiviteit worden geïdentificeerd. Er wordt geanalyseerd of alle persoonlijke gegevens nodig zijn om het gedefinieerde doel te verkrijgen.

2. Retentieminimalisatie: Persoonlijke gegevens moeten worden verwijderd wanneer deze niet langer nodig zijn. Er zullen retentieperioden gedefinieerd worden voor alle types persoonsgegevens en deze zullen aan het einde van de bewaarperiode verwijderd worden.

5.1.4 Transparantieprincipe

Start To Sleep dient transparant zijn ten aanzien van de betrokkene (n) met betrekking tot de gegevensverwerkingsactiviteiten die op de betrokkenen in kwestie van toepassing zijn. Dit betekent dat het recht op informatie, toegang en rectificatie gerespecteerd dienen te worden.

5.1.5 Nauwkeurigheidsprincipe

Start To Sleep zal er over waken dat de persoonsgegevens up-to-date en correct zijn.

5.1.6 Vertrouwelijkheidsprincipe

Start To Sleep behandelt de informatie verstrekt door haar clienten op het platform als vertrouwelijk en vestigt tevens het medisch en beroepsgeheim op deze informatie. Ze zal ook het nodige in werking stellen om de confidentialiteit, integriteit en beschikbaarheid van de informatie adequaat te beschermen.

5.1.7 Verantwoordelijkheidsprincipe

Start To Sleep draagt haar verantwoordelijkheid door de naleving objectief te kunnen aantonen adhv voldoende bewijsmaterialen. Start to Sleep draagt de privacy binnen haar organisatie hoog in het vaandal en respecteert de rechten en vrijheden van de betrokkenen.

5.2 Rechten van betrokkenen

De GDPR verankert de rechten van betrokkenen van wie de persoonsgegevens door bedrijven verwerkt worden. In de volgende secties worden alle toepasselijke rechten opgenomen als onderdeel van dit beleid.

5.2.1 Recht op informatie

De betrokkene heeft het recht om te vragen op welke basis Start To Sleep de persoonsgegevens verwerkt

De betrokkenen moeten worden geïnformeerd/op de hoogte worden gebracht wanneer hun persoonlijke gegevens verzameld worden. Deze kennisgeving omvat ten minste:

  1. a) De identiteit van de verantwoordelijke voor de verwerking en de betrokken verwerkers.
    b) Het doel van gegevensverwerking.
    c) De identiteit van alle natuurlijke en rechtspersonen die persoonsgegevens van de betrokkene ontvangen.
    d) De rechten van de betrokkene, onder welke voorwaarden en hoe deze kunnen worden uitgeoefend.
    e) De bewaartermijnen van hun gegevens.

Start To Sleep zal een privacy verklaring opstellen en publiceren alsook specifieke privacy kennisgevingen teneinde de betrokkenen goed en op het juiste moment te informeren over de gegevensverwerkingsactiviteiten van Start To Sleep en hun rechten.

5.2.2 Recht op toegang

De betrokkene heeft het recht om toegang te krijgen tot de persoonsgegevens die Start To Sleep verwerkt.

5.2.3 Recht op rechtzetting (rectificatie)

Wanneer de persoonsgegevens niet correct zijn, heeft de betrokkene het recht om deze te laten corrigeren.

5.2.4 Recht om te vergeten te worden (wissen)

De betrokken heeft het recht om Start To Sleep te verplichten om persoonsgegevens over hen zonder onnodige vertraging te wissen, wanneer een van de volgende situaties van toepassing is:

  • Indien de persoonlijke gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.
  • Waneer de toestemming van de betrokkene ingetrokken is en er geen andere wettelijke grond voor de verwerking bestaat.
  • Bij bezwaar van de betrokkenen tegen de verwerking van de persoonsgegevens.
  • Bij onrechtmatige verwerking van de persoonsgegevens

5.2.5 Recht op verwerkingsbeperking

De betrokkene kan het recht op een beperking van de verwerking van zijn persoonsgegevens uitoefenen in een van de volgende omstandigheden:

  • Gedurende het beslissingsproces in geval van aantekening van het bezwaar tegen een bepaalde verwerking.
  • Wanneer de betrokkene de juistheid van de gegevens betwist, totdat de juistheid ervan geverifieerd is.
  • Dit kan dienst doen als alternatief voor het recht om vergeten te worden in omstandigheden waarbij de verwerking onwettig is.
  • Wanneer de betrokkene de gegevens nodig heeft voor juridische claims, maar deze niet langer voor Start To Sleep vereist zijn.

Start To Sleep zal deze verzoeken weigeren of toestaan. Indien er een verwerkingsbeperking van kracht wordt voor deze specifieke betrokkenen, mogen de gegevens van deze betrokkenen nog steeds worden opgeslagen. Deze mogen echter niet verwerkt worden zonder toestemming van de betrokkene, tenzij om juridische redenen (in welk geval de betrokkene op de hoogte moet worden gebracht). Andere organisaties die de gegevens namens Start To Sleep verwerken dienen op de hoogte gebracht te worden.

5.2.6 Recht op overdraagbaarheid van gegevens

De betrokkene heeft het recht om te vragen dat hun persoonlijke gegevens aan hen worden verstrekt in een “gestructureerd, algemeen gebruikt en machinaal leesbaar formaat” en om die gegevens over te dragen aan een andere partij. Dit is van toepassing op persoonsgegevens waarvoor de verwerking is gebaseerd op de toestemming van de betrokkene.

5.2.7 Recht op bezwaar

De betrokkene heeft het recht om bezwaar te maken tegen verwerking op basis van de volgende wettelijke rechtvaardigingen, waaronder profilering

  • Voor de uitvoering van een taak die wordt uitgevoerd in het algemeen belang of bij de uitoefening van het openbaar gezag door de voor de verwerking verantwoordelijke.
  • Ten behoeve van de legitieme belangen van de verantwoordelijke.

De betrokkene heeft ook het recht om bezwaar aan te tekenen:

  • Wanneer persoonsgegevens worden verwerkt voor direct marketingdoeleinden. Ze hebben het recht om op elk moment bezwaar aan te tekenen (=opt-out) voor de verwerking van hun persoonsgegevens voor de desbetreffende marketingdoeleinden, waaronder profilering voor zover deze gerelateerd is aan dergelijke direct marketing.
  • Wanneer de betrokkene bezwaar maakt tegen de verwerking voor direct marketingdoeleinden, zullen de persoonsgegevens voor deze doeleinden niet langer verwerkt en dus gebruikt worden.

Na ontvangst van een bezwaar, dient de verwerkingsgrond van de persoonsgegevens gemotiveerd te worden en de verwerking op te schorten totdat dit gebeurd is. Indien er een bezwaar wordt ingediend tegen het gebruik voor direct marketing mogen de gegevens onder geen beding langer verwerkt worden voor deze doeleinden. Dit betekent niet dat deze gegevens niet voor andere doeleinden nog steeds verwerkt mogen worden.

5.2.8 Recht om niet onderworpen te zijn aan automatische besluitvorming en profilering

Betrokkenen hebben het recht om niet het onderwerp te zijn van geautomatiseerde besluitvorming, waarbij de beslissing een significant effect op hen heeft. Er zijn uitzonderingen op dit recht, namelijk als de beslissing:

  • Is noodzakelijk voor een contract.
  • Is wettelijk toegestaan.
  • Is gebaseerd op uitdrukkelijke toestemming van de betrokkene.

Bij het beoordelen van dit soort verzoeken moet worden beoordeeld of bovenstaande uitzonderingen van toepassing zijn of niet.

5.3 Expliciete toestemming (consent) Rechten van betrokkenen

Expliciete toestemming kan worden gebruikt om de verwerking van persoonsgegevens te legitimeren en moet van een betrokkene worden verkregen om speciale categorieën gegevens te verzamelen en te verwerken en om persoonsgegevens te gebruiken voor secundaire doeleinden, zoals onderzoek, nieuwsbrieven of marketing die geen betrekking hebben op aan de diensten waarvoor een contract werd ondertekend.

Transparante informatie (= kennisgeving) over ons gebruik van hun persoonlijke gegevens moet aan betrokkenen worden verstrekt op het moment dat toestemming wordt verkregen. Tevens moeten hun rechten met betrekking tot hun gegevens worden toegelicht, zoals het recht om toestemming in te trekken. Het intrekken van de toestemming dient voor de betrokkenen even eenvoudig te zijn als het geven van hun toestemming. Start To Sleep zal deze informatie in begrijpbare taal communiceren en vrij van kosten toegankelijk maken.

5.4 Data Protection Impact Assessments

In het kader van een goed risico beheer ten aanzien van persoonlijke gegevens zullen er Data Protection Impact Assessments (DPIA’s) uitgevoerd worden wanneer uit een drempelbeoordeling blijkt dat er hoge verwachte risico’s zijn voor de betrokkenen.

5.5 Transfer van persoonlijke gegevens

Overdrachten van persoonsgegevens buiten de Europese Unie moeten zorgvuldig worden geëvalueerd voordat de overdracht plaatsvindt om ervoor te zorgen dat ze binnen de door de GDPR gestelde grenzen blijven. De zaakvoerder of een GDPR expert aangesteld door de zaakvoerder moet de internationale gegevensoverdrachten altijd valideren en goedkeuren.

5.6 Meldingsplicht bij schendingen

Het is het beleid van Start To Sleep om eerlijk en evenredig te zijn wanneer wordt gekeken naar de maatregelen die moeten worden genomen om de betrokken partijen te informeren over inbreuken op persoonsgegevens. In overeenstemming met de GDPR, waar bekend is dat een overtreding heeft plaatsgevonden die waarschijnlijk zal resulteren in een risico voor de rechten en vrijheden van personen, wordt de Data Protection Authority (DPA) ook Gegevensbeschermingsautoriteit (GBA) genoemd binnen 72 uur op de hoogte gebracht en zullen de betrokkenen op de hoogte worden gebracht zonder onnodige vertraging.

5.7 Geautomatiseerde beslissingen / profilering

Profilering, binnen de context van de GDPR, moet worden gezien als een geautomatiseerde verwerking van persoonlijke gegevens die leidt tot geautomatiseerde beslissingen zonder menselijke tussenkomst. Start To Sleep zal dergelijke geautomatiseerde beslissingen niet nemen.

6. Compliance met vereisten

De Niet-naleving van dit beleid kan ernstige privacy risico’s met zich meebrengen ten aanzien van de betrokkennen en het imago en de reputatie van Start To Sleep

Wanneer het beleid en de bijbehorende procedures niet worden nageleefd, kunnen relevante sancties worden ingesteld.

Elke medewerker die gevraagd wordt een activiteit uit te voeren die in strijd is met dit beleid, moet zo snel mogelijk schriftelijk of mondeling melden bij de zaakvoerder

7.   Begrippen en terminologie

Bevoegdheid

 

 

Als verantwoordelijke voor de verwerking, ligt de bevoegdheid van dit beleid bij Start To Sleep, vertegenwoordigd door haar bestuurder. De bestuurder is verantwoordelijk voor het formuleren en vaststellen van, en het toezien op, de naleving van de beleidsprincipes binnen Star To Sleep
Verantwoordelijke uitvoerder De zaakvoerder fungeert als formeel beslissingsplatform voor gegevensbescherming. Deze is bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten:

  • De risicoanalyse en bijhorende methodiek;
  • Het ontwikkelen van het gegevensbeschermingsbeleid en de bijhorende richtlijnen;
  • De implementatie van beveiligingsmaatregelen (i.e. de inhoud van het veiligheidsplan)
  • De structurele reactie op gegevensbeschermingsproblemen en –adviezen (binnen de 3 maanden);
De DPO Er is geen DPO aangesteld. Indien er toch zou blijken dat er een DPO noodzakelijk is zal deze de volgende activiteiten uitvoeren. De DPO is verantwoordelijk voor de inhoudelijke opvolging van het Personal data protection policy. Hij voert deze taak uit volgens de bepalingen in de GDPR[1]. Start To Sleep zal de identiteit (en eventuele wijzigingen) van de DPO kenbaar maken aan de gegevensbeschermingsautoriteit (GBA). De DPO rapporteert aan de zaakvoerder en is meer in het bijzonder belast met:

  • Adviezen en aanbevelingen voorleggen aan de zaakvoerder
  • Bevorderen van de bewustwording van alle actoren binnen Start To Sleep
  • Ziet toe op de naleving van het Personal data protection policy.  binnen Start To Sleep.
  • Documenteert het nodige rond de Personal data protection policy, zoals een veiligheidsplan en het verwerkingsregister
  • Voert de specifieke taken uit die aan de DPO zijn toegekend in het kader van de GDPR[2]
  • Registreert overtredingen en maakt deze, samen met een advies, over aan het directiecomité.
De medewerker Iedereen (intern of extern) die gegevens verwerkt (bijvoorbeeld inkijkt, registreert, wijzigt, …), doet dit volgens de beleidsprincipes uit dit Personal data protection policy. De gebruiker verwerkt gegevens in overeenstemming met de discretieplicht, en conform volgende principes:

  • Is verantwoordelijk voor de gegevens die hij/zij verwerkt
  • Voert de veiligheidsrichtlijnen uit tijdens zijn/haar verwerkingsopdracht.
  • Verwerkt enkel die gegevens die horen bij de taak
  • Draagt zorg voor de gegevens
  • Meldt inbreuken
ICT-medewerker De ICT-medewerker zijn, naast hun verantwoordelijkheden voor de gebruiker, verantwoordelijk voor:

  • De implementatie van de technische maatregelen
  • De veiligheidsinstellingen te implementeren in lijn met dit beleidshandboek.
  • De veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van ICT-middelen te melden aan de DPO of zaakvoerder indien er geen DPO aangesteld werd.
  • Te fungeren als expert. Vanuit deze rol neemt hij/zij deel aan de identificatie zowel als aan de remediëring van de gegevensbeschermingsrisico’s
  • De gedragscode na te leven.

 

ICT-leverancier

 

De ICT-leverancier heeft dezelfde verantwoordelijkheden als deze van een ICT-medewerker. Bijkomstig:

  • Wijst hij op veiligheidsrisico’s van geleverde toepassingen
  • Wijst de leverancier op de op te nemen veiligheidstaken

Streeft de leverancier zelf een transparant gegevensbeschermingsbeleid na door te communiceren over het eigen actuele veiligheidsniveau en bij de afhandeling van veiligheidsincidenten.

[2] Artikel 39 in de GDPR