GDPR & Forest

GDPR staat voor General Data Protection Regulation in het Engels. In het Nederlands luidt het AVG, of voluit Algemene Verordening Gegevensbescherming. Volgens de GDPR-wetgeving fungeert Forest zowel als verwerkingsverantwoordelijke en als verwerker. Ontdek door middel van het lezen van deze tekst wat dit voor jou als Forest-klant betekent, waarom onze nieuwe maatregelen voor jou positief zijn, en welke verantwoordelijkheden je zelf draagt.

Onderstaande tekst kan je ook beschouwen als een eerste kennismaking met GDPR, mocht je hierin geïnteresseerd zijn en je hierover graag wat meer weet. Wil je echter meer informatie en ondersteuning, meer bepaald over hoe Forest jou kan helpen GDPR compliant te zijn? Klik dan hier.

Disclaimer: deze tekst is een korte toelichting over GDPR, een samenvatting van GDPR-verantwoordelijkheden en een overzicht van de stappen die we nemen om aan de GDPR te voldoen. Dit is echter niet exhaustief en meer info vind je terug in onze Privacyverklaring. Daarnaast vestigen wij ook de aandacht op het feit dat het hier gaat om een summier overzicht over GDPR, dat zeker en vast niet volledig is. De lezer kan er zich wel door laten inspireren om nadien de zoektocht naar meer inzicht en kennis over GDPR verder te zetten, al dan niet met de hulp van Forest.

Algemeen

De GDPR (in de praktijk van kracht vanaf 25 mei 2018) vervangt de databeschermingsrichtlijn uit 1995, die in België werd omgezet middels aanpassing van de Privacywet ter bescherming van de persoonsgegevens uit 1992. Die sloot niet meer aan op de huidige digitale wereld. Deze verordening betreft ook een andere benadering van privacy, namelijk om EU-burgers meer controle over hun persoonlijke gegevens te bieden en om te zorgen voor meer databescherming doorheen Europa. Deze webpagina schetst de rollen en verantwoordelijkheden van Forest binnen dit wettelijk kader.

De wettekst van de Europese unie vind je hier: http://www.privacy-regulation.eu/nl/

 

Verwerkingsverantwoordelijke vs. verwerker: wat is het verschil?

De GDPR stelt dat Forest, als dienstverlener, persoonlijke gegevens van gebruikers beheren en verwerken. Om te begrijpen welke verantwoordelijkheden daarbij komen kijken, is het belangrijk om te weten wat verwerkingsverantwoordelijken en verwerkers zijn.

Dit lezen we in Artikel 4 van de GDPR:

logo Verwerkingsverantwoordelijke: entiteit die het doel en de middelen bepaalt bij het verwerken van persoonlijke gegevens, ook wel controller genaamd.
logo Verwerker: entiteit die data verwerkt ten behoeve van de verwerkingsverantwoordelijke, ook wel processor genaamd.

Een paar praktische voorbeelden:

logo Een verwerkingsverantwoordelijke kan je dokter zijn, die je medisch dossier bijhoudt, een bakker die je adresgegevens voor een klantenkaart gebruikt of bedrijven die gegevens over hun medewerkers opslaan voor bijvoorbeeld de loonadministratie. Wanneer bedrijven klantgegevens opslaan, fungeren ook zij als gegevensbeheerders.

logo Een verwerker kan elke dienstverlener zijn die, net zoals Forest, gegevens verwerkt namens een verwerkingsverantwoordelijke. Forest fungeert dus als verwerker wanneer wij persoonsgegevens verwerken in opdracht van onze klanten.

Op deze manier is Forest een bedrijf dat zowel verwerkingsverantwoordelijke als verwerker is. Net zoals bijvoorbeeld een sociaal secretariaat, is Forest als verwerkingsverantwoordelijke verantwoordelijk over de gegevens van haar eigen personeel, maar treden wij daarnaast op als verwerker voor onze klanten.

De dubbele rol van Forest als verantwoordelijke en verwerker

Forest als verwerkingsverantwoordelijke

Het beheer van gegevens die personen aan Forest geven, waarvoor Forest de doelen en middelen voor verwerking zelf bepaalt.

Met betrekking tot prospecten, zakelijke partners, dienstverleners, freelancers en personeel.

 

Forest als verwerker

Persoonsgegevens die Forest in opdracht van haar klanten moet verwerken.

Met betrekking tot klanten die in dit geval optreden als verwerkingsverantwoordelijke, aangezien Forest voor hen persoonsgegevens verwerkt en dus zelf de doelen en middelen voor verwerking niet mag bepalen.

Verantwoordelijkheden om te voldoen aan de GDPR – zowel voor Forest als voor jou, de Forest-klant

Forest als verwerkingsverantwoordelijke én verwerker heeft een aantal plichten waaraan ze moet voldoen.

Toch is het belangrijk om te benadrukken dat, wanneer jij als Forest-klant persoonlijke gegevens van jouw eigen klanten of personeel bezorgt aan Forest, je ten opzichte van hen nog steeds optreedt als een verwerkingsverantwoordelijke. In dit geval krijg jij dan de exclusieve verantwoordelijkheid om te voldoen aan de GDPR en fungeert Forest enkel als verwerker van deze gegevens.

Onderstaand overzicht is dus ook voor jou als Forest-klant van toepassing. Het geeft je meteen ook een idee van onze acties die we ondernamen om GDPR compliant te zijn en kan voor jou ook als inspiratie dienen om hetzelfde te doen. 
 

Rechtmatige, behoorlijke en transparante verwerking

De gegevens moeten rechtmatig, eerlijk en transparant worden verwerkt ten aanzien van de klant.

  • In de praktijk: de GDPR staat geen gegevensverwerking toe zonder rechtsgrond. Zo is het verboden om persoonsgegevens van klanten aan derden te verkopen. De voornaamste rechtsgrond (wettelijke basis) voor Forest om persoonsgegevens te verwerken, is contractuele verplichting waarbij de verwerking noodzakelijk is voor de uitvoering van een overeenkomst.

 

Juistheid

De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Persoonlijke gegevens moeten dus correct en actueel zijn.

  • In de praktijk: wanneer jouw persoonlijke gegevens wijzigen (bijvoorbeeld wanneer je verhuist), mag je ons vragen om die informatie aan te passen.

 

Integriteit en vertrouwelijkheid

Gegevens moeten verwerkt worden op een manier die de gepaste beveiliging van persoonsgegevens waarborgt, beschermt tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit door gebruik te maken van passende technische en organisatorische maatregelen, passend bij het risico en de categorie van persoonsgegevens.

  • In de praktijk: naast ons antivirussysteem en intern wachtwoordbeleid, gebruiken we ook een intern incidentenregister om eventuele inbreuken op de beveiliging of bepaalde incidenten te documenteren. Eerst en vooral kunnen we hieruit leren om nadien beter te voorkomen, maar ook om dit bij een controle van de toezichthoudende autoriteit (Gegevensbeschermingsautoriteit in België) te kunnen voorleggen.

 

Welbepaald doeleinde, minimale gegevensverwerking & beperkte bewaartermijn

Dit bepaalt dat de persoonsgegevens moeten worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een manier die onverenigbaar is met die doeleinden.

Minimale gegevensverwerking houdt in dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.

De gegevens moeten daarnaast niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

  • In de praktijk: onze bijgewerkte Privacyverklaring zal naar de GDPR verwijzen en informatie bevatten over het type persoonsgegevens dat we verzamelen, hoe we die gebruiken en hoe lang we ze bewaren.

 

Recht om vergeten te worden

Als gebruiker van onze Forest-diensten, sollicitant of potentiële klant heb je het recht (en is het voor de verwerkingsverantwoordelijke de plicht) om je gegevens ten allen tijde te wijzigen of te laten verwijderen, zelfs als je ons eerder de toestemming gaf om die informatie te verwerken.

  • In de praktijk: je kan ons vragen om je persoonlijke gegevens of die van je klanten permanent te verwijderen en/of terug te bezorgen, na stopzetting van je Forest contract, tenzij het verplicht is de persoonsgegevens te bewaren op basis van Europees of Belgisch recht.

Let op (1): indien je daarna graag terug Forest inzet voor dezelfde of een andere administratieve opdracht, dienen we opnieuw alle nodige gegevens beschikbaar te hebben.

Let op (2): dit recht is niet altijd van toepassing. In sommige gevallen is het niet mogelijk om jouw gegevens te verwijderen, maar dit zullen wij duidelijk aangeven.

Forest contacteren in verband met jouw privacy

Elke gebruiker van de Forest-website en Forest-diensten wiens persoonsgegevens worden verwerkt, kan deze data inkijken, ze laten verbeteren, overdragen, beperken, zich tegen de verwerking verzetten of ze laten verwijderen overeenkomstig de bepalingen voorzien in de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer en de Algemene Verordening Gegevensbescherming van 26 april 2016 (AVG/GDPR).

Maar ook indien je vragen of opmerkingen hebt in verband met onze Privacyverklaring, of de manier waarop wij jouw persoonsgegevens verwerken, horen wij het graag.

Neem hiertoe contact op via e-mail naar privacy@forestcompany.be.

Indien het antwoord je echter geen voldoening zou verschaffen en je meent dat jouw rechten in verband met de verwerking van jouw persoonsgegevens (of diegene die je aan ons hebt gegeven ter verwerking onder een Forest overeenkomst) worden geschonden, kan je je wenden tot de Toezichthoudende Autoriteit in België:

logo Gegevensbeschermingsautoriteit
logo Drukpersstraat 35, 1000 Brussel
logo tel: 02 274 48 00
logo e-mail: contact@apd-gba.be
logo website: www.gegevensbeschermingsautoriteit.be

Wat kan Forest voor jou, onze klant, betekenen?

Forest neemt de nodige voorzorgen, zodat je als gebruiker van onze Forest-diensten aan de GDPR kan voldoen. Wil je hierover graag meer weten, meer bepaald over hoe Forest jou kan helpen GDPR compliant te zijn? Klik dan hier.