Overslaan naar inhoud

GDPR Policy

1 Wijzigingstabel2 Doel van deze GDPR-policy3 Toepassingsgebied4 Definities5 Beginselen van gegevensverwerking6 Categorieën persoonsgegevens7 Rechten van betrokkenen8 Technische & organisatorische beveiligingsmaatregelen9 Datalekken – Meldprocedure10 Externe verwerkers11 Geheimhouding12 Handhaving & sancties13 Slotbepalingen

1 Wijzigingstabel

Versie

Datum

Wijziging

Reden

Auteur

Goedgekeurd door

1.0

05/04/2026

Initiële versie

Opstart

Bart Scheerlinck

Bart Scheerlinck

2 Doel van deze GDPR-policy

Deze GDPR-policy bepaalt hoe KeurNu VZW persoonsgegevens verwerkt, beveiligt en beschermt in overeenstemming met:

· de Algemene Verordening Gegevensbescherming (EU 2016/679),

· de Belgische Privacywet,

· de ISO/IEC 17020-normen voor inspectieorganismen.

Het doel van deze policy is:

· een rechtmatige, transparante en veilige verwerking van persoonsgegevens;

· bescherming van gegevens van klanten, werknemers en stakeholders;

· voorkomen van datalekken;

· naleving van wettelijke verplichtingen.

3 Toepassingsgebied

Deze policy is van toepassing op:

· alle medewerkers van KeurNu VZW;

· inspecteurs en technische medewerkers;

· administratieve medewerkers en directie;

· externe partijen die in opdracht werken van KeurNu of die in aanraking kunnen komen met informatie van KeurNu.

4 Definities

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare persoon.

Verwerking: elke bewerking met persoonsgegevens (bv. opslaan, raadplegen, verwijderen).

Verwerkingsverantwoordelijke: KeurNu VZW.

Verwerker: een externe partij die data verwerkt in opdracht van KeurNu.

Datalek: inbreuk die leidt tot verlies, toegang, vernietiging of wijziging van persoonsgegevens.

5 Beginselen van gegevensverwerking

KeurNu verwerkt enkel persoonsgegevens die noodzakelijk zijn voor haar werking. De verwerking voldoet aan de volgende principes:

5.1 Rechtmatigheid

Verwerking gebeurt enkel op basis van:

· wettelijke verplichtingen (AREI, inspectieverslagen),

· uitvoering van de arbeidsovereenkomst,

· gerechtvaardigd belang (veiligheid, planning),

· toestemming (waar vereist).

5.2 Doelbinding

Gegevens worden enkel verwerkt voor welbepaalde doeleinden:

· uitvoeren van inspecties,

· klantenadministratie,

· personeelsbeheer,

· veiligheids- en kwaliteitsdoeleinden.

5.3 Minimale gegevensverwerking

Alleen strikt noodzakelijke gegevens worden bijgehouden.

5.4 Juistheid

Gegevens worden actueel gehouden; medewerkers melden fouten onmiddellijk.

5.5 Bewaartermijnen

· Inspectieverslagen: conform wettelijke termijnen (AREI/KB).

· Personeelsgegevens: gedurende tewerkstelling + wettelijke bewaarplicht.

5.6 Integriteit en vertrouwelijkheid

· Versleuteling via BitLocker en Microsoft 365-beveiliging;

· MFA op alle accounts en applicaties;

· strikte toegangscontrole.

6 Categorieën persoonsgegevens

KeurNu verwerkt onder andere:

6.1 Werknemersgegevens

· Identiteitsgegevens

· Adresgegevens

· Contractgegevens

· Aanwezigheidsgegevens

· Opleidings- en competentiedata

6.2 Klant- en inspectiedata

· Locatie van installaties

· Inspectiehistoriek

· Foto’s en attesten

· Technische installatiedata

6.3 Bijzondere categorieën persoonsgegevens (indien van toepassing)

· Medische gegevens (arbeidsgeneeskunde)

· Gegevens in kader van arbeidsongevallen

Deze worden extra beschermd.

7 Rechten van betrokkenen

Betrokkenen hebben recht op:

· inzage;

· rechtzetting;

· gegevenswissing (behalve waar wettelijke bewaarplicht geldt);

· beperking van verwerking;

· bezwaar;

· dataportabiliteit waar mogelijk.

Aanvragen worden binnen 30 dagen behandeld via het officiële GDPR-kanaal.

8 Technische & organisatorische beveiligingsmaatregelen

8.1 Toegangsbeveiliging

· MFA verplicht voor alle platformen.

· Toegang volgens "least privilege"-principe.

· Afgebakende SharePoint-groepen per rol.

8.2 Encryptie

· BitLocker op alle laptops.

· Versleuteling van gegevens in transit en in rust.

8.3 Malwarebescherming

· Microsoft Defender & Webroot actieve bescherming.

· Automatische updates & patching.

8.4 Bescherming van documenten

· SharePoint: documenten alleen inzichtbaar, niet downloadbaar.

· DLP-regels voorkomen delen van gevoelige informatie.

· Inspectieverslagen via beveiligde Odoo → Google Drive koppeling.

8.5 Logging en monitoring

· Logging via Microsoft 365 Defender.

· Monitoring van verdachte logins en netwerkactiviteiten.

· Noodmeldingen bij anomalieën.

9 Datalekken – Meldprocedure

Een datalek moet worden gemeld volgens onderstaand proces:

1. Eerste melding aan de kwaliteitsverantwoordelijke

2. Impactanalyse binnen 24u

3. Indien nodig: melding aan GBA (Gegevens Beschermings Autoriteit) binnen 72u

4. Preventieve acties

5. Documentatie in incidentenregister door de kwaliteitsverantwoordelijke

10 Externe verwerkers

KeurNu werkt samen met externe partijen waaronder:

· Odoo (inspectiesoftware),

· Microsoft (cloud, M365),

· Google Drive (verslagen),

· Exact Online (administratie),

· Mediwet (preventiedienst).

Met alle verwerkers worden verwerkersovereenkomsten afgesloten.

11 Geheimhouding

Alle medewerkers verbinden zich ertoe:

· vertrouwelijk om te gaan met klant- en personeelsgegevens;

· informatie niet te delen met onbevoegden;

· geen privékanalen te gebruiken voor bedrijfsdata;

· geheimhouding te respecteren ook na uitdiensttreding.

12 Handhaving & sancties

Overtredingen kunnen leiden tot:

· waarschuwing,

· tuchtmaatregelen,

· beperkte toegang,

· beëindiging van de arbeidsovereenkomst,

· aangifte aan bevoegde autoriteiten.

13 Slotbepalingen

Deze policy:

· maakt deel uit van de interne policies van KeurNu VZW;

· wordt jaarlijks geëvalueerd;

wordt aangepast bij wijzigingen in wetgeving of systemen.