1. Inleiding

Voor de uitvoering van haar activiteiten verwerkt eutronix verschillende gegevens, zowel commerciële gegevens als persoonsgegevens. Dit beleid heeft betrekking op de verwerking van persoonsgegevens door eutronix. Er worden persoonsgegevens verwerkt van verschillende categorieën identificeerbare personen zoals werknemers, klanten en leveranciers, gebruikers van de website, abonnees en andere belanghebbenden.

eutronix begrijpt het belang van de bescherming van persoonsgegevens en de bezorgdheid van haar werknemers, klanten en contactpersonen van klanten, leveranciers en contactpersonen van leveranciers en andere personen met wie zij contact heeft over de verwerking van hun persoonsgegevens. eutronix houdt altijd zorgvuldig rekening met de bescherming van persoonsgegevens tijdens de verschillende verwerkingen van persoonsgegevens.

Verschillende personen binnen de organisatie kunnen toegang hebben tot de persoonsgegevens van de werknemers (de term werknemers omvat: managers en iedereen die voor eutronix werkt, met inbegrip van onafhankelijke dienstverleners en consultants, tijdelijke werknemers zoals uitzendkrachten, stagiairs, jobstudenten, vrijwilligers, ex-werknemers) en andere personen (klanten en leveranciers) tijdens de uitvoering van hun rol. Elk van deze personen binnen eutronix is gebonden aan dit beleid inzake de bescherming van persoonsgegevens.

De toepasselijke wetgeving inzake gegevensbescherming legt eutronix verplichtingen op met betrekking tot de manier waarop zij gegevens moet verwerken. Daarnaast voorziet de wetgeving in rechten voor de personen van wie de gegevens worden verwerkt, zodat zij meer controle hebben over hun eigen persoonsgegevens.

Dit beleid geeft een overzicht van de algemene verplichtingen onder de wetgeving inzake gegevensbescherming die het bedrijf en zijn werknemers moeten naleven. Naleving van dit beleid is belangrijk om de volgende redenen:

• Naleving van de wetgeving inzake gegevensbescherming is een wettelijke verplichting en niet-naleving van deze verplichtingen kan leiden tot aansprakelijkheid, sancties en boetes;
• Naleving van de wetgeving inzake gegevensbescherming leidt tot een meer bevredigende en efficiënte verwerking van persoonlijke gegevens;
• Naleving van de wetgeving op het gebied van gegevensbescherming vormt de basis voor een vertrouwensrelatie tussen eutronix en haar zakelijke relaties, consumenten en medewerkers.

2. Toepassingsgebied

Dit beleid is van toepassing op eutronix die persoonsgegevens verwerkt en bevat de richtlijnen waaraan elke verwerking van persoonsgegevens moet voldoen. Deze verwerking vindt geheel of gedeeltelijk plaats via geautomatiseerde processen die deel uitmaken van een gestructureerd opslagsysteem of deel zullen uitmaken van een gestructureerd opslagsysteem.

3. Data Protection Officer¹ / Contactpersoon voor de bescherming van persoonsgegevens

Het bedrijf heeft een Data Protection Officer (DPO) aangesteld om te zorgen voor de implementatie en naleving van de wetgeving inzake gegevensbescherming en dit beleid.

U kunt contact opnemen met de DPO via e-mail privacy@eutronix.eu of via telefoon +32 10 39 49 32. Raadpleeg artikel 8 van dit beleid om uw rechten uit te oefenen.

4. Definities

De toepasselijke wetgeving inzake gegevensbescherming gebruikt specifieke taal en verwijst naar een abstracte materie. Hieronder vindt u een aantal definities zodat u de terminologie en dus ook dit beleid beter kunt begrijpen.

• Wetgeving gegevensbescherming

Er kunnen verschillende wetgevingen van toepassing zijn, afhankelijk van de concrete toepassing waarin persoonsgegevens worden verwerkt.

De basisprincipes en verplichtingen zijn aangegeven in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. Deze verordening staat ook bekend als de General Data Protection Regulation (GDPR). Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke data in de sector elektronische communicatie is van toepassing in specifieke gevallen (bijv. verwerking van locatiegegevens; gebruik van cookies).

Naast de Europese regelgeving is ook specifieke nationale wetgeving inzake gegevensbescherming van toepassing, zoals de wet van 8 december 1992 tot bescherming van de privacy met betrekking tot de verwerking van persoonsgegevens en de wet van 13 juni 2005 betreffende elektronische communicatie.

• Persoonlijke gegevens

Persoonsgegevens hebben betrekking op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, ook wel de betrokkene genoemd. Een persoon wordt als identificeerbaar beschouwd wanneer een natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychologische, economische, culturele of sociale identiteit van die natuurlijke persoon.

• Controller

De controller is een natuurlijke persoon of rechtspersoon (bijvoorbeeld een bedrijf), een overheidsinstantie, een agentschap of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

eutronix is bijvoorbeeld een rechtspersoon die als verwerkingsverantwoordelijke de persoonsgegevens van zijn werknemers verwerkt in het kader van zijn personeelsbeheer.

• Verwerker

De verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, agentschap of ander orgaan dat persoonsgegevens verwerkt namens en alleen in opdracht van de voor de verwerking verantwoordelijke.

• Verwerking van persoonlijke gegevens

Onder verwerking van persoonsgegevens wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés (zoals software), zoals het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Een voorbeeld van het verwerken van persoonsgegevens is wanneer de organisatie de contactgegevens van de contactpersonen van haar klanten verzamelt en opslaat in het softwaresysteem Client Relationship Management van de organisatie of in een papieren archiefsysteem.

• Archiveringssysteem

Een archiveringssysteem is elk gestructureerd geheel van persoonsgegevens die volgens specifieke criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functionele of geografische basis.

Dit impliceert zowel elektronische gestructureerde archiveringssystemen door middel van software of cloud-toepassingen, als papieren dossiers en archiveringssystemen, op voorwaarde dat deze archiveringssystemen op een logische manier georganiseerd en gestructureerd zijn door ze te koppelen aan personen of die aan personen gekoppeld zijn op basis van criteria.

5. Principes die van toepassing zijn bij het verzamelen en verwerken van persoonlijke gegevens

Naast het gebruik van specifieke taal, kent de wetgeving inzake gegevensbescherming een aantal basisprincipes waaraan elke verwerkingsverantwoordelijke moet voldoen om in overeenstemming met deze wetgeving te zijn. In geval van twijfel over de toepassing van deze principes in een concreet geval, kunt u altijd contact opnemen met de DPO voor verdere uitleg en volgens de procedure beschreven in artikel 8.

De wetgeving inzake gegevensbescherming bepaalt dat persoonlijke gegevens verwerkt moeten worden in overeenstemming met de verschillende basisprincipes en de voorwaarden die daaruit voortvloeien.

• Rechtmatigheid

De wetgeving inzake gegevensbescherming bepaalt dat persoonlijke gegevens eerlijk en rechtmatig ten opzichte van de betrokkene moeten worden verwerkt.

Om persoonsgegevens rechtmatig te kunnen verwerken, moet er een wettelijke basis zijn. In principe kunnen persoonsgegevens alleen worden verwerkt wanneer:

• De betrokkene heeft toestemming gegeven. eutronix informeert de betrokkene uiterlijk voordat de gegevens worden verzameld over het doel waarvoor toestemming is vereist, welke persoonsgegevens voor de verwerking worden verzameld, het recht om de toestemming in te trekken, de mogelijke gevolgen voor de betrokkene in de context van geautomatiseerde individuele besluitvorming en profilering en doorgifte naar derde lande;.
• Verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij partij is of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het aangaan van een contract;
• De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die aan de organisatie wordt opgelegd;
• De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen;
• De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die is opgedragen aan de organisatie die optreedt als de voor de controller;
• Verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de organisatie als controller of de belangen van een derde, behalve wanneer de fundamentele rechten en vrijheden van de betrokkene met betrekking tot de bescherming van zijn of haar persoonsgegevens zwaarder wegen dan deze belangen.

Als u de organisatie toestemming hebt gegeven voor een specifiek verwerkingsdoel om uw gegevens voor dat doel te verwerken, kunt u deze toestemming te allen tijde intrekken. De organisatie zal dan de verdere verwerking van uw gegevens waarvoor u toestemming hebt gegeven stopzetten en u informeren over de mogelijke gevolgen van uw intrekking van de toestemming. Als de organisatie uw persoonsgegevens voor andere doeleinden verwerkt en zich daarvoor op andere rechtsgronden beroept, kan zij uw persoonsgegevens nog steeds verwerken.

De organisatie zorgt ervoor dat zij altijd verwijst naar ten minste één van de bovengenoemde rechtsgrondslagen wanneer zij persoonsgegevens verwerkt. Als u vragen hebt over de toepasselijke rechtsgrondslag waarnaar de organisatie verwijst, kunt u altijd contact opnemen met de DPO volgens de procedure van artikel 8.

Sommige categorieën persoonsgegevens zijn van gevoelige aard en de gegevensbeschermingswetgeving kent ook een strengere regeling voor deze speciale categorieën persoonsgegevens (ook wel 'gevoelige persoonsgegevens' genoemd). Dit zijn gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of vakbondslidmaatschap en de verwerking van genetische gegevens, biometrische gegevens voor de unieke identificatie van een persoon, of gegevens over gezondheid, seksueel gedrag of seksuele geaardheid. Gegevens met betrekking tot strafbare feiten of veroordelingen vormen ook een speciale categorie.

In principe is het verboden om deze gevoelige persoonsgegevens te verwerken, tenzij de organisatie kan verwijzen naar een van de uitzonderingen. In een specifiek beperkt aantal gevallen moet de organisatie gevoelige persoonsgegevens verwerken. In deze gevallen wordt de betrokkene vooraf geïnformeerd. Voor deze specifieke doeleinden zal de organisatie de betrokkene vooraf gedetailleerde informatie verstrekken over de specifieke doeleinden en de rechtsgrondslag van de verwerking. Voor meer informatie over de verwerking van gevoelige persoonsgegevens door de organisatie kunt u altijd contact opnemen met de verantwoordelijke voor gegevensbescherming volgens de procedure beschreven in artikel 8 van dit beleid.

• Eerlijkheid

eeutronix waarborgt dat persoonsgegevens worden verwerkt:utronix ensures that personal data shall be processed:

• Voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de oorspronkelijke doeleinden waarvoor de gegevens zijn verzameld. eutronix zal de doeleinden altijd duidelijk communiceren voordat de verwerking wordt gestart.
• Deze verwerking wordt beperkt tot hetgeen noodzakelijk is voor de doeleinden waarvoor de gegevens zijn verzameld. Indien mogelijk zal eutronix de gegevens anonimiseren of pseudoniemen gebruiken om de impact voor de betrokkene zoveel mogelijk te beperken. Dit betekent dat de naam of identificatiecode wordt vervangen zodat het moeilijk of zelfs onmogelijk is om een individu te identificeren.
• Beperkt in de tijd en alleen als het nodig is voor het specifieke doel.
• Nauwkeurig, en de gegevens worden waar nodig bijgewerkt. eutronix neemt alle redelijke maatregelen om de persoonsgegevens te wissen of bij te werken, rekening houdend met de doeleinden waarvoor ze worden verwerkt.

• Transparantie

eutronix verwerkt persoonsgegevens die zij in beginsel rechtstreeks van de betrokkene heeft ontvangen. De organisatie die de persoonsgegevens van de betrokkene verwerkt, informeert de betrokkene altijd over de volgende zaken:

• Identiteit en contactgegevens van de controller
• Als er een data protection officer is aangesteld, zijn of haar contactgegevens
• Verwerkingsdoeleinden en rechtsgrondslag
• Als de verwerking van persoonsgegevens wordt ondersteund door een gerechtvaardigd belang, een uitleg van dit belang
• Categorieën ontvangers van persoonsgegevens
• Doorgeven van persoonlijke gegevens aan derde landen (buiten de EU) of internationale organisaties (+ op welke basis)
• Tijdslimiet voor de opslag van persoonsgegevens of de criteria die worden gebruikt om de tijdslimiet te bepalen
• Rechten van de betrokkene (inclusief het recht om toestemming in te trekken)
• Het recht om een klacht in te dienen bij de toezichthoudende autoriteit
• Uitleg wanneer de overdracht van persoonsgegevens een contractuele of wettelijke verplichting is
• De logica achter geautomatiseerde besluitvormingsprocessen en de mogelijke juridische gevolgen voor de betrokkene
• Als de organisatie persoonsgegevens ontvangt van een derde partij, informeert zij de betrokkene duidelijk over de categorieën persoonsgegevens die zij van deze derde partij heeft ontvangen en maakt zij deze derde partij ook bekend aan de betrokkene

Wanneer de betrokkene al over alle informatie beschikt, zal de organisatie de betrokkene niet onnodig informeren over de verwerking van zijn of haar persoonsgegevens.

Als eutronix persoonsgegevens verwerkt voor andere doeleinden die onverenigbaar zijn met de oorspronkelijke doeleinden waarvoor de gegevens oorspronkelijk zijn verzameld (het nieuwe doel lijkt niet te zijn beschreven in de oorspronkelijke informatienota en de betrokkene kan er niet van uitgaan dat zijn/haar persoonsgegevens ook voor dit nieuwe doel worden verwerkt), neemt de organisatie alle nodige maatregelen om deze persoonsgegevens rechtmatig te verwerken en informeert zij de betrokkene hierover.

eutronix kan de informatie zowel op collectieve als op individuele basis openbaar maken en zal ervoor blijven zorgen dat deze in duidelijke, begrijpelijke taal is opgesteld.

Specifieke wetgeving kan uitzonderingen bevatten of aanvullende eisen stellen waaraan eutronix moet voldoen met betrekking tot het verstrekken van informatie aan betrokkenen. Deze dwingende wettelijke bepalingen hebben voorrang op dit beleid. may contain exceptions or set additional requirements which eutronix must comply with, with respect to the provision of information to data subjects. These mandatory legal provisions take precedence over this policy.

• Vertrouwelijkheid en integriteit

eutronix neemt de vereiste technische en organisatorische maatregelen om ervoor te zorgen dat de verwerking van persoonsgegevens altijd met de juiste waarborgen plaatsvindt, zodat de gegevens worden beschermd tegen onopzettelijk verlies en tegen onrechtmatige verwerking, vernietiging of beschadiging. eutronix heeft bij de keuze van de juiste beveiligingsmaatregelen rekening gehouden met de aard, context, doel en omvang van de verwerking, de mogelijke risico's bij de verwerking van de persoonsgegevens, de kosten voor het treffen van de maatregelen en de stand van de techniek.

Deze maatregelen zijn van toepassing op de fysieke toegang tot persoonsgegevens, toegang tot de persoonsgegevens via computers, servers, netwerken of andere IT-hardware en softwaretoepassingen en databases. Naast de technische en organisatorische maatregelen zijn de medewerkers van de organisatie die tijdens de uitvoering van hun taken toegang hebben tot persoonsgegevens gebonden aan verschillende verplichtingen om de vertrouwelijkheid en integriteit van persoonsgegevens te waarborgen, zoals samengevat in artikel 9 van dit beleid.

eutronix organiseert trainingen voor de medewerkers die in opdracht van eutronix persoonsgegevens verwerken bij de uitvoering van hun taken. De medewerkers mogen de persoonsgegevens alleen verwerken in opdracht van eutronix of indien de wet hen daartoe verplicht. eutronix zal ook toegangsrechten implementeren, zodat de werknemers alleen toegang hebben tot de gegevens die zij nodig hebben bij het uitvoeren van hun taken. De medewerkers die toegang hebben tot persoonsgegevens ondertekenen een geheimhoudingsverklaring.

eutronix zorgt ervoor dat derden die persoonsgegevens van de organisatie ontvangen, zich houden aan de toepasselijke wetgeving inzake gegevensbescherming en aan dit beleid.

6. Doorgifte van persoonsgegevens

eutronix kan in sommige gevallen genoodzaakt zijn om uw persoonsgegevens door te geven aan derde ontvangers, zowel binnen de ondernemingengroep van de organisatie als daarbuiten. De persoonsgegevens worden in ieder geval enkel op een need-to-know basis overgemaakt aan deze ontvangers die de verwerkingen doorvoeren voor welbepaalde doeleinden. De organisatie neemt steeds de noodzakelijke veiligheidsmaatregelen in acht bij de doorgifte en ten aanzien van de ontvangers om de vertrouwelijkheid en integriteit van de persoonsgegevens te waarborgen.

De doorgifte naar derde partijen kan diverse vormen aannemen zoals hieronder nader omschreven.

• Doorgifte binnen de ondernemingengroep van de organisatie

Het doorgeven van persoonsgegevens binnen de ondernemingengroep van eutronix wordt beschouwd als een doorgifte aan een derde partij. Bijgevolg kan deze doorgifte enkel gebeuren wanneer de organisatie de verschillende principes en verplichtingen van de gegevensbeschermingswetgeving heeft nageleefd. Dit betekent onder andere dat de betrokkene geïnformeerd moet zijn over de doorgifte en de reden van deze doorgifte en dat de doorgevende organisatie zich kan baseren op een juridische grondslag (toestemming van de betrokkene, uitvoering van een overeenkomst, gerechtvaardigd belang, …) voor deze doorgifte. De organisatie dient ook de overige principes zoals opgesomd in artikel 5 van dit beleid na te leven bij deze verdere verwerking.

• Doorgifte aan verwerkers

eutronix kan een derde partij, een verwerker, verzoeken om enkel ten behoeve van en enkel in opdracht van de organisatie persoonsgegevens te verwerken. De verwerker mag deze persoonsgegevens niet verwerken voor eigen doeleinden die losstaan van de doeleinden waarvoor de organisatie beroep doet op de verwerker.

eutronix kan er voor opteren om te werken met deze verwerkers, die diensten leveren op vraag van de organisatie, voor onder andere reisagentschappen, verhuurdiensten, medische en andere professionele adviesverleners, enz.

eutronix zal enkel op verwerkers beroep doen en er persoonsgegevens aan verstrekken wanneer verwerkersovereenkomsten met de verwerkers zijn afgesloten die aan de wettelijke vereisten voldoen. De AVG schrijft onder andere voor dat de overeenkomst een clausule dient te bevatten die aangeeft dat de verwerker de persoonsgegevens enkel kan verwerken op instructie van de organisatie; dat de verwerker bijstand moet verlenen aan de organisatie op haar verzoek; dat gegevens vertrouwelijk moeten blijven; enz.

Een onderdeel van deze verwerkersovereenkomst betreft eveneens de veiligheidsmaatregelen die de verwerker moet implementeren vooraleer de persoonsgegevens te verwerken en tijdens de gehele duur van de verwerking moet hebben om de vertrouwelijkheid en integriteit van de data te waarborgen.

eutronix zal de nodige maatregelen nemen indien zij vaststelt dat haar verwerkers de verplichtingen uit de overeenkomst niet naleven.

Een standaard verwerkersovereenkomst is beschikbaar bij de DPO.

7. Bewaartermijn van persoonsgegevens

eutronix zal persoonsgegevens niet langer bewaren dan noodzakelijk voor het specifieke doeleinde waarvoor de gegevens zijn verzameld. Na verloop van de uiterste bewaartermijn, zal eutronix de 9 persoonsgegevens verwijderen of anonimiseren. eutronix zal de gegevens anonimiseren wanneer zij deze nog wenst te gebruiken voor statistieken. eutronix kan de persoonsgegevens wel langer bewaren voor haar geschillenbeheer, onderzoeken of archiveringsdoeleinden.

8. Rechten van de betrokken individuen

De gegevensbeschermingswetgeving voorziet in verschillende rechten voor de betrokkenen met betrekking tot de verwerking van persoonsgegevens zodat de betrokkene voldoende controle kan blijven uitoefenen over de verwerking van hun persoonsgegevens.

eutronix probeert via huidig beleid reeds zoveel mogelijk informatie te verstrekken aan de betrokkenen om zo transparant mogelijk te zijn wat betreft de verwerking van persoonsgegevens. Dit algemeen beleid dient wel te worden samengelezen met meer specifieke informatienota’s die meer toelichting geven over de specifieke verwerkingsdoeleinden van de organisatie.

eutronix begrijpt dat de betrokkene nog vragen kan hebben of bijkomende verduidelijkingen wenst met betrekking tot de verwerking van zijn persoonsgegevens. De organisatie begrijpt dan ook het belang van de rechten en zal deze rechten dan ook naleven rekening houdende met de wettelijke beperkingen bij de uitoefening van deze rechten. De verschillende rechten worden hieronder nader omschreven.

• Recht op toegang/inzage

De betrokkene heeft het recht om van de organisatie de bevestiging te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens. In het positieve geval kan de betrokkene om inzage van zijn persoonsgegevens vragen.

eutronix zal de betrokkene informeren over de volgende zaken:

• de verwerkingsdoeleinden;
• de betrokken categorieën van persoonsgegevens;
• de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn verstrekt;
• de doorgifte aan ontvangers in derde landen of internationale organisaties;
• indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
• dat de betrokkene het recht heeft de organisatie te verzoeken dat persoonsgegevens worden verbeterd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
• dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
• wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
• het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en nuttige informatie over de onderliggende logica van deze besluitvorming en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

eutronix verstrekt tevens een kopie van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene bijkomende kopieën vraagt, kan eutronix een redelijke vergoeding aanrekenen.

• Recht op verbetering

Wanneer de betrokkene vaststelt dat eutronix onjuiste of onvolledige persoonsgegevens over hem beschikt, heeft de betrokkene steeds het recht om dit te melden aan de organisatie zodat het nodige kan worden gedaan om deze gegevens te verbeteren of aan te vullen. Het is de verantwoordelijkheid van de betrokkene om correcte persoonsgegevens te verstrekken aan de organisatie.

• Recht op vergetelheid

De betrokkene kan de wissing van zijn persoonsgegevens vragen wanneer de verwerking niet in overeenstemming is met de gegevensbeschermingswetgeving en binnen de perken van de wet (art. 17 AVG).

• Recht op beperking van verwerking

De betrokkene kan verzoeken om de verwerking te beperken indien:

• de juistheid van de persoonsgegevens in vraag is gesteld en voor de periode om de juistheid te controleren;
• de verwerking onrechtmatig is en de betrokkene wenst geen wissing van de gegevens;
• eutronix de gegevens niet meer nodig heeft, maar de betrokkene vraagt om ze niet te verwijderen aangezien hij ze nodig heeft bij de uitoefening of onderbouwing van een rechtsvordering;
• bezwaar tegen de verwerking wordt gemaakt in afwachting van de toelichting van de gerechtvaardigde belangen die zwaarder doorwegen dan de belangen van de betrokkene.

• Recht op overdraagbaarheid

De betrokkene heeft het recht om zijn persoonsgegevens die hij aan de organisatie heeft verstrekt te verkrijgen in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. De betrokkene heeft het recht om deze persoonsgegevens (rechtstreeks door eutronix) aan een andere verwerkingsverantwoordelijke over te dragen. Dit kan indien de verwerking berust op de toestemming van de betrokkene en op basis van een verwerking via een geautomatiseerd procedé.

• Recht van bezwaar

Wanneer persoonsgegevens worden verwerkt voor direct marketing doeleinden (met inbegrip van profiling), kan de betrokkene steeds bezwaar maken tegen de verwerking.

De betrokkene kan tevens bezwaar maken tegen de verwerking wegens een specifieke situatie die met de betrokkene verband houden. eutronix zal de verwerking staken tenzij de organisatie dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder doorwegen dan de belangen van de betrokkene of die verband houden met de uitoefening of onderbouwing van een rechtsvordering.

• Geautomatiseerde individuele besluitvorming

De betrokkene heeft het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft zoals het evalueren van persoonlijke aspecten met betrekking tot de uitvoering van werk, betrouwbaarheid, kredietwaardigheid, enz.

Dit recht om niet te worden onderworpen aan dergelijke geautomatiseerde besluitvorming bestaat niet wanneer het besluit is toegestaan door een dwingende wettelijke bepaling.

De betrokkene kan dit recht evenmin inroepen wanneer het besluit noodzakelijk is voor de totstandkoming of de uitvoering van de overeenkomst tussen de betrokkene en de organisatie of berust op de uitdrukkelijke toestemming van de betrokkene. In deze laatste twee gevallen heeft de betrokkene wel het recht op menselijke tussenkomst van iemand van de organisatie en heeft hij het recht om zijn standpunt kenbaar te maken en om het geautomatiseerd besluit aan te vechten.

• Recht op de intrekking van de toestemming

Indien u voor een bepaald verwerkingsdoeleinde uw toestemming hebt gegeven aan eutronix om uw gegevens te verwerken, kan u deze toestemming ten allen tijde intrekken door een e-mail te sturen.

• Procedure voor de uitoefening van de rechten en overige bepalingen

De betrokkene kan zijn rechten uitoefenen door een e-mail te versturen naar de DPO op privacy@eutronix.eu f door telefonisch contact op te nemen met deze laatste op +32 10 39 49 32. De organisatie kan de betrokkene verzoeken om zich te identificeren om te verzekeren dat de uitoefening van de rechten effectief door de betrokkene is gevraagd.

Indien u vragen hebt over de toepassing van de principes of de (wettelijke) verplichtingen die op de organisatie rusten, kan u steeds contact opnemen met de DPO via privacy@eutronix.eu of +32 10 39 49 32.

In principe geeft de organisatie binnen de maand een gevolg aan het verzoek van de betrokkene. Zoniet, zal eutronix de betrokkene informeren waarom het verzoek zonder gevolg is gebleven of niet tijdig kan worden opgevolgd. De organisatie doet de nodige inspanningen om de ontvangers van de persoonsgegevens van de betrokkene te informeren over de uitoefening van het recht van verbetering, recht op wissing of de beperking van verwerking door de betrokkene.

9. Verantwoordelijkheden van de werknemers

eutronix verwacht van haar werknemers dat zij dit beleid respecteren en dat zij waken dat dit beleid wordt nageleefd door diegenen voor wie zij verantwoordelijk zijn.

Het is van cruciaal belang dat de werknemers de doelen van dit beleid begrijpen en er mee vertrouwd raken zodat zij de bepalingen vervat in dit beleid kunnen naleven. De werknemers dienen dan ook:

• De persoonsgegevens van collega-werknemers, klanten, etc. op regelmatige en behoorlijke wijze te verwerken in overeenstemming met de toepasselijke wetgeving, de instructies van de werkgever en het privacybeleid van de onderneming en waarbij persoonsgegevens op vertrouwelijke wijze en met in acht name van de integriteit ervan worden verwerkt;
• Raad te vragen aan hun leidinggevende, de DPO bij twijfel over de toepassing van dit beleid of over de naleving van de gegevensbeschermingswetgeving bij de uitoefening van de functie;
• Persoonsgegevens enkel te verwerken wanneer dit vereist is voor de uitoefening van de functie / in opdracht van de organisatie;
• Trainings te volgen over de vertrouwelijke verwerking van persoonsgegevens en de algemene principes en verplichtingen die voortvloeien uit de gegevensbeschermingswetgeving; Bijstand verlenen aan de DPO;
• Bijstand verlenen aan de DPO;
• Geen kopies van persoonsgegevens te bewaren op de desktop of persoonlijke dragers wanneer er een gecentraliseerde en beveiligde opslag van de organisatie bestaat aangezien het bewaren van eigen bestanden of kopies kan leiden tot onjuiste persoonsgegevens en hogere risico’s op inbreuken.
• De DPO onmiddellijk te informeren wanneer zij een mogelijke of effectieve inbreuk op persoonsgegevens of de gegevensbeschermingswetgeving vaststellen.

10. Naleving

Alle entiteiten die deel uitmaken van de eutronix-groep van de organisatie verzekeren dat dit beleid wordt nageleefd. Iedere persoon die toegang heeft tot persoonsgegevens verwerkt door organisatie dienen dit beleid na te leven. Het niet naleven van dit beleid kan leiden tot disciplinaire maatregelen/sancties zoals een waarschuwing, ontslag of enige andere sanctie die de wet toelaat, onverminderd het recht om burgerlijke of strafrechtelijke vorderingen in te stellen.

11. Audit en herziening

De organisatie behoudt zich het recht voor om dit beleid aan te passen en te herzien wanneer zij dit nodig acht en om in overeenstemming te blijven met de wettelijke verplichtingen en/of aanbevelingen van de bevoegde toezichthoudende autoriteit voor de gegevensbescherming.

eutronix informeert de DPO wanneer het voor haar onmogelijk is om dit beleid na te leven ten gevolge van dwingende wettelijke bepalingen die aan de organisatie worden opgelegd.

12. Inwerkingtreding

Dit beleid is van toepassing vanaf juli 2024

13. Technische en organisatorische veiligheidsmaatregelen

• Organisatorische maatregelen

- Veiligheidsconsultant

- Veiligheids- en risicoplan

- Veiligheidsrichtlijn

- Bewustmaking van het personeel via informatieverstrekking en opleiding

- Procedure voor het melden van fysieke/technische incidenten

- Informatieclassificatie

- Disciplinaire gevolgen bij niet-naleving van een van de maatregelen

- Herstelplan, rampenplan of noodplan in geval van o.a. fysieke/technische incidenten

- Continuïteitsplan

- Plan dat ervoor zorgt dat de doeltreffendheid van de organisatorische/technische maatregelen regelmatig gecontroleerd/geëvalueerd en beoordeeld wordt

- Maandelijkse controle van de geschiktheid van de verwerkingssystemen en diensten

• Technische maatregelen

- Back-upsysteem

- Maatregelen bij brand-, inbraak- of waterschade of fysieke/technische incidenten

- Toegangscontrole (fysiek en logisch)

- Authentificatiesysteem

- Paswoordbeleid

- Gebruikers-ID-beleid

- Loggingsysteem, toegangsdetectie en -analyse

- Patching

- Antivirus

- Firewall

- Netwerkbeveiliging

- Bewaking, onderzoek en onderhoud van de systemen

- Encryptie van Persoonsgegevens

- Pseudonomisering van Persoonsgegevens

1) en Data Protection Officer (DPO) moet worden aangesteld in de volgende gevallen:

• Verwerking door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die rechterlijke taken uitvoeren

• De verwerkingsverantwoordelijke is hoofdzakelijk verantwoordelijk voor verwerkingsactiviteiten die, gezien hun aard, omvang en/of doeleinden, regelmatige en systematische observatie van betrokkenen op grote schaal vereisen
  

De verwerkingsverantwoordelijke is hoofdzakelijk verantwoordelijk voor de grootschalige verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.