GDPR

GDPR staat voor General Data Protection Regulation in het Engels. In het Nederlands luidt het AVG, of voluit Algemene Verordening Gegevensbescherming. Binnen de GDPR fungeert Forest zowel als verantwoordelijke en als verwerker. Ontdek wat dit voor jou als Forest-klant betekent, waarom onze nieuwe maatregelen voor jou positief zijn, en welke verantwoordelijkheden je zelf draagt.

Disclaimer: deze samenvatting van GDPR-verantwoordelijkheden en -maatregelen werd opgesteld om een idee te geven van de stappen die we nemen om aan de GDPR te voldoen. Dit zijn echter niet de enige acties die we ondernemen. Al onze maatregelen worden vermeld in onze privacyverklaring.

De GDPR (in de praktijk van kracht vanaf 25 mei 2018) vervangt de databeschermingsrichtlijn uit 1995, die in België werd omgezet middels aanpassing van de Privacywet ter bescherming van de persoonsgegevens uit 1992. Die sloot niet meer aan op de huidige digitale wereld. Deze verordening betreft ook een andere benadering van privacy, namelijk om EU-burgers meer controle over hun persoonlijke gegevens te bieden en om te zorgen voor meer databescherming doorheen Europa. Deze webpagina schetst de rollen en verantwoordelijkheden van Forest binnen dit wettelijk kader.

De wettekst van de Europese unie vind je hier.

Verwerkingsverantwoordelijke vs. verwerker: wat is het verschil?

De GDPR stelt dat wij, als dienstverlener, persoonlijke gegevens van gebruikers beheren en verwerken. Om te begrijpen welke verantwoordelijkheden daarbij komen kijken, is het belangrijk om te weten wat verwerkingsverantwoordelijken en verwerkers zijn.

Dit lezen we in Artikel 4 van de GDPR:

  • Verwerkingsverantwoordelijke: entiteit die het doel en de middelen bepaalt bij het verwerken van persoonlijke gegevens, ook wel controller genaamd.
  • Verwerker: entiteit die data verwerkt ten behoeve van de verwerkingsverantwoordelijke, ook wel processor genaamd.

Een paar praktische voorbeelden:

  • Een verwerkingsverantwoordelijke kan je dokter zijn, die je medisch dossier bijhoudt, een bakker die je adresgegevens voor een klantenkaart gebruikt of bedrijven die gegevens over hun medewerkers opslaan voor bijvoorbeeld de loonadministratie. Wanneer bedrijven klantgegevens opslaan, fungeren ook zij als gegevensbeheerders.
  • Een verwerker kan elke dienstverlener zijn die, net zoals Forest, gegevens verwerkt namens een verwerkingsverantwoordelijke. Forest fungeert dus als verwerker wanneer wij klantgegevens verwerken in opdracht van onze klanten.

Op deze manier is Forest een bedrijf dat zowel verwerkingsverantwoordelijke als verwerker is. Net zoals bijvoorbeeld bij een sociaal secretariaat, is Forest als verwerkingsverantwoordelijke verantwoordelijk over de gegevens van haar eigen personeel, maar treden wij daarnaast op als verwerker voor onze klanten.

De dubbele rol van Forest als verantwoordelijke en verwerker

Forest als verwerkingsverantwoordelijke

Het beheer van gegevens die personen aan Forest geven, en doelen en middelen voor verwerking bepalen.

Met betrekking tot eigen klanten, prospecten, zakelijke partners, dienstverleners, freelancers en personeel.

 

Forest als verwerker

Gegevens die Forest in opdracht van haar klanten moet verwerken.

Met betrekking tot klanten die in dit geval optreden als verwerkingsverantwoordelijke, aangezien Forest voor hen persoonsgegevens verwerkt.

 

De volgende documenten kan Forest voorleggen in haar beide rollen:

  • Privacybeleid
  • Cookiebeleid
  • Privacyformulier voor betrokkenen, bijvoorbeeld wanneer klanten Forest vragen om persoonlijke gegevens van hen of hun eigen klanten te verwijderen of wijzigen
  • Verwerkersovereenkomst voor gegevensverwerking met onze klanten
  • Verwerkersovereenkomst voor gegevensverwerking met eigen leveranciers
  • Dataregister met een overzicht van al onze verwerkingsactiviteiten
  • Incidentenregister: een intern document om incidenten (datalekken) te documenteren.

Kortom, nu en in de toekomst blijft Forest een betrouwbare partner voor administratieve hulp en office management, zeker wanneer dit het verwerken van persoonsgegevens inhoudt. We zullen steeds de nodige documenten en maatregelen bezitten om dat te bewijzen.

Verantwoordelijkheden om te voldoen aan de GDPR – zowel voor Forest als voor jou, de Forest-klant

Forest als verwerkingsverantwoordelijke én verwerker heeft een aantal plichten waaraan ze moet voldoen.

Toch is het belangrijk om te benadrukken dat, wanneer jij als Forest-klant persoonlijke gegevens van jouw eigen klanten of personeel bezorgt aan Forest, je ten opzichte van hen nog steeds optreedt als een verwerkingsverantwoordelijke. In dit geval krijg jij dan de exclusieve verantwoordelijkheid om te voldoen aan de GDPR en fungeert Forest enkel als verwerker van deze gegevens.

Onderstaand overzicht is dus ook voor jou als Forest-klant van toepassing. Het geeft je meteen ook een idee van onze acties die we ondernamen om GDPR compliant te zijn.

 

Rechtmatige, behoorlijke en transparante verwerking

De gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt ten aanzien van de klant.

  • In de praktijk: De GDPR staat geen gegevensverwerking toe zonder wettelijke basis. Zo is het verboden om persoonsgegevens van klanten aan derden te verkopen. De voornaamste rechtsgrond (wettelijke basis) voor Forest om persoonsgegevens te verwerken, is contractuele verplichting waarbij de verwerking noodzakelijk is voor de uitvoering van een overeenkomst.

 

Juistheid

De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Persoonlijke gegevens moeten dus correct en actueel zijn.

  • In de praktijk: wanneer jouw persoonlijke gegevens wijzigen (bijvoorbeeld wanneer je verhuist), mag je ons vragen om die informatie aan te passen.

 

Integriteit en vertrouwelijkheid

Gegevens moeten verwerkt worden op een manier die de gepaste beveiliging van persoonsgegevens waarborgt, beschermt tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit door gebruik te maken van passende, technische en organisatorische maatregelen, passend bij het risico en de categorie van persoonsgegevens.

  • In de praktijk: we gebruiken een intern incidentenregister om eventuele inbreuken op de beveiliging of bepaalde incidenten te documenteren. Eerst en vooral kunnen we hieruit leren om nadien beter te voorkomen, maar ook om dit bij een controle van de toezichthoudende autoriteit (Gegevensbeschermingsautoriteit in België) te kunnen voorleggen.

 

Welbepaald doeleinde, minimale gegevensverwerking & beperkte bewaartermijn

Dit bepaalt dat de persoonsgegevens moeten worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een manier die onverenigbaar is met die doeleinden.

Minimale gegevensverwerking houdt in dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.

De gegevens moeten daarnaast niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

  • In de praktijk: ons bijgewerkt privacybeleid zal naar de GDPR verwijzen en informatie bevatten over het type persoonsgegevens dat we verzamelen, hoe we die gebruiken en hoe lang we ze bewaren.

 

Recht om vergeten te worden

Als gebruiker van onze Forest-diensten of potentiële klant heb je het recht (en is het voor de verwerkingsverantwoordelijke de plicht) om je gegevens ten allen tijde te wijzigen of te laten verwijderen, zelfs als je ons eerder de toestemming gaf om die informatie te verwerken.

  • In de praktijk: je kan ons vragen om je persoonlijke gegevens of die van je klanten permanent te verwijderen en/of terug te bezorgen, na stopzetting van je Forest contract, tenzij het verplicht is de persoonsgegevens te bewaren op basis van Europees of Belgisch recht.

Wel opgelet: indien je daarna graag terug Forest inzet voor dezelfde of een andere administratieve opdracht, dienen we opnieuw alle nodige gegevens beschikbaar te hebben.

Forest contacteren in verband met jouw privacy

Elke gebruiker van de Forest-website en Forest-diensten wiens gegevens worden verwerkt, kan deze persoonlijke gegevens inkijken, ze laten verbeteren, overdragen, beperken, zich tegen de verwerking verzetten of ze laten verwijderen overeenkomstig de bepalingen voorzien in de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer en de Algemene Verordening Gegevensbescherming van 26 april 2016 (AVG/GDPR).

Maar ook indien je vragen of opmerkingen hebt in verband met onze privacyverklaring, of de manier waarop wij jouw persoonsgegevens verwerken, horen wij het graag.

Neem hiertoe contact op via e-mail naar privacy@forestcompany.be of via het privacyformulier.

Indien het antwoord je echter geen voldoening zou verschaffen en je meent dat jouw rechten in verband met de verwerking van jouw persoonsgegevens (of diegene die je aan ons hebt gegeven ter verwerking onder een Forest overeenkomst) worden geschonden, kan je je wenden tot de Toezichthoudende Autoriteit:

Wat kan Forest voor jou, onze klant, betekenen?

Forest neemt de nodige voorzorgen, zodat je als gebruiker van onze Forest-diensten aan de GDPR kan voldoen. Wil je hierover graag meer weten, meer bepaald over hoe Forest jou kan helpen GDPR compliant te zijn? Klik dan hier.