Technische en organisatorische maatregelen voor de bescherming van persoonsgegevens
Dit document beschrijft hoe [Uw bedrijfsnaam] (hierna: "wij" of "de organisatie") omgaat met de bescherming van persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR) en andere relevante privacywetgeving. Gegevensbescherming is een fundamenteel recht en wij nemen onze verantwoordelijkheid hierin zeer serieus. Dit beleid beschrijft de technische en organisatorische maatregelen die wij hebben getroffen om persoonsgegevens te beschermen.
Dit beleid is van toepassing op: • Alle medewerkers van de organisatie • Alle externe medewerkers en tijdelijk personeel • Alle verwerkers die namens ons persoonsgegevens verwerken • Alle systemen en processen waarbij persoonsgegevens worden verwerkt
3.1 Directie/Management • Eindverantwoordelijk voor naleving van de AVG/GDPR • Stelt middelen beschikbaar voor gegevensbescherming • Borgt het gegevensbeschermingsbeleid in de organisatie 3.2 Data Protection Officer (DPO) / Privacy Officer • Toezicht op naleving van de AVG/GDPR • Adviseert over gegevensbescherming • Aanspreekpunt voor betrokkenen en toezichthouders • Uitvoeren van Data Protection Impact Assessments (DPIA's) 3.3 IT-afdeling • Implementatie van technische beveiligingsmaatregelen • Beheer van toegangsrechten • Monitoring van beveiligingsincidenten • Back-up en herstel procedures 3.4 Alle medewerkers • Naleving van dit beleid en gerelateerde procedures • Melden van (mogelijke) datalekken • Zorgvuldig omgaan met persoonsgegevens • Volgen van security awareness trainingen
Wij verwerken persoonsgegevens alleen op basis van een geldige juridische grondslag: • Toestemming: Expliciete, vrijwillige toestemming van de betrokkene • Contractuele noodzaak: Verwerking noodzakelijk voor uitvoering van een overeenkomst • Wettelijke verplichting: Verwerking verplicht door wetgeving • Vitaal belang: Bescherming van vitale belangen van de betrokkene • Publieke taak: Uitvoering van een taak van algemeen belang • Gerechtvaardigd belang: Gerechtvaardigde belangen die zwaarder wegen dan de belangen van de betrokkene De gekozen grondslag wordt gedocumenteerd in ons verwerkingsregister.
5.1 Privacy by Design Bij de ontwikkeling van nieuwe systemen, processen of diensten wordt privacy vanaf het begin meegenomen: • Data Protection Impact Assessments (DPIA) bij hoog risico verwerkingen • Privacy-vriendelijke systeeminstellingen als standaard • Minimalisatie van gegevensverzameling • Ingebouwde privacyfuncties 5.2 Privacy by Default Standaard worden de meest privacy-vriendelijke instellingen gebruikt: • Alleen noodzakelijke gegevens worden verwerkt • Beperkte toegang tot persoonsgegevens • Beperkte bewaartermijnen • Geen automatische openbaarmaking van persoonsgegevens
6.1 Toegangsbeveiliging • Multi-factor authenticatie (MFA) voor alle systemen met persoonsgegevens • Strikte wachtwoordeisen (minimaal 12 tekens, complexiteit) • Regelmatige review van toegangsrechten • Principle of least privilege (minimale benodigde rechten) • Automatische uitlogfunctie na inactiviteit 6.2 Encryptie • Versleuteling van data in transit (TLS 1.3 of hoger) • Versleuteling van data at rest (AES-256 of equivalent) • Versleutelde back-ups • Veilige sleutelbeheer procedures 6.3 Netwerk- en systeembeveiliging • Firewalls en intrusion detection/prevention systemen • Regelmatige security patches en updates • Segregatie van netwerken • Anti-malware en anti-virus software • Regelmatige vulnerability scans en penetratietests 6.4 Logging en monitoring • Uitgebreide logging van toegang tot persoonsgegevens • Real-time monitoring van verdachte activiteiten • Regelmatige review van logbestanden • Retention beleid voor logbestanden (minimaal 12 maanden) 6.5 Back-up en disaster recovery • Dagelijkse geautomatiseerde back-ups • Off-site opslag van back-ups • Regelmatige test van restore procedures • Disaster recovery plan met RTO/RPO doelstellingen
7.1 Beleid en procedures • Privacybeleid en verwerkingsovereenkomsten • Incident response procedures • Data breach notification procedures • Change management procedures • Toegangsbeheerprocedures 7.2 Bewustwording en training • Verplichte privacy awareness training voor alle medewerkers bij indiensttreding • Jaarlijkse herhalingstraining • Specifieke training voor medewerkers die met gevoelige gegevens werken • Phishing simulaties en security awareness campagnes 7.3 Verwerkersovereenkomsten • Alle verwerkers tekenen een verwerkersovereenkomst conform AVG Art. 28 • Regelmatige audits van verwerkers • Verificatie van beveiligingsmaatregelen bij verwerkers • Due diligence bij selectie van nieuwe verwerkers 7.4 Documentatie • Register van verwerkingsactiviteiten (Art. 30 AVG) • Overzicht van verwerkers en sub-verwerkers • Data Protection Impact Assessments (DPIA's) • Documentatie van datalekken • Privacy notices en toestemmingsformulieren
8.1 Dataminimalisatie • Alleen relevante en noodzakelijke gegevens worden verzameld • Regelmatige evaluatie van de noodzaak van gegevensverzameling • Verwijdering van overbodige gegevens 8.2 Opslagbeperking • Duidelijke bewaartermijnen per categorie persoonsgegevens • Automatische verwijdering na bewaartermijn • Jaarlijkse review van opgeslagen gegevens 8.3 Juistheid • Mogelijkheid voor betrokkenen om gegevens te corrigeren • Regelmatige verificatie van de juistheid van gegevens • Update procedures voor verouderde gegevens 8.4 Vertrouwelijkheid en integriteit • Geheimhoudingsverklaringen voor alle medewerkers • Clean desk en clear screen beleid • Veilige vernietiging van fysieke documenten (shredding) • Beveiligde verzending van persoonsgegevens
Wij faciliteren de volgende rechten van betrokkenen: 9.1 Recht op inzage (Art. 15 AVG) • Procedure voor inzageverzoeken • Reactie binnen 1 maand • Kosteloos (tenzij excessief) 9.2 Recht op rectificatie (Art. 16 AVG) • Correctie van onjuiste gegevens • Aanvulling van onvolledige gegevens 9.3 Recht op verwijdering / 'recht om vergeten te worden' (Art. 17 AVG) • Verwijdering wanneer aan de voorwaarden wordt voldaan • Informeren van derden bij doorgegeven gegevens 9.4 Recht op beperking (Art. 18 AVG) • Beperking van verwerking in specifieke situaties 9.5 Recht op dataportabiliteit (Art. 20 AVG) • Levering van gegevens in gestructureerd, gangbaar formaat • Waar technisch mogelijk: directe overdracht naar andere verwerkingsverantwoordelijke 9.6 Recht van bezwaar (Art. 21 AVG) • Bezwaar tegen verwerking op basis van gerechtvaardigd belang • Opt-out voor direct marketing 9.7 Geautomatiseerde besluitvorming (Art. 22 AVG) • Transparantie over geautomatiseerde beslissingen • Mogelijkheid tot menselijke interventie bij belangrijke beslissingen Alle verzoeken worden behandeld volgens onze procedures en binnen de wettelijke termijnen.
10.1 Detectie en rapportage • Alle medewerkers zijn verplicht (vermoedens van) datalekken te melden bij de DPO • Incident response team wordt geactiveerd • Logging en monitoring voor vroege detectie 10.2 Beoordeling • Vaststellen van aard, omvang en impact van het datalek • Risk assessment voor betrokkenen • Besluit over meldplicht aan toezichthouder en/of betrokkenen 10.3 Melding • Melding aan Gegevensbeschermingsautoriteit binnen 72 uur (indien hoog risico) • Melding aan betrokkenen zonder onnodige vertraging (indien hoog risico) • Documentatie van alle datalekken in het register 10.4 Herstel en evaluatie • Maatregelen om het lek te stoppen en schade te beperken • Evaluatie van het incident • Implementatie van verbetermaatregelen • Update van procedures indien nodig
11.1 Overdracht binnen de EER • Vrije gegevensuitwisseling binnen EER 11.2 Overdracht buiten de EER • Alleen naar landen met adequaatheidsbesluit, of • Met passende waarborgen: - Standaard Contractuele Clausules (SCC's) - Binding Corporate Rules (BCR's) - Goedgekeurde gedragscodes of certificeringen • Transfer Impact Assessment (TIA) voor alle overdrachten naar derde landen • Documentatie van alle internationale overdrachten 11.3 Speciale aandacht voor VS • Extra waarborgen na Schrems II uitspraak • Gebruik van EU-based alternatieven waar mogelijk
12.1 Interne audits • Jaarlijkse audit van gegevensverwerkingsactiviteiten • Review van toegangsrechten en logbestanden • Compliance check met AVG-vereisten • Test van incident response procedures 12.2 Externe audits • Periodieke externe security audits • Penetratietests door gespecialiseerde partijen • Certificeringen (bijv. ISO 27001, ISO 27701) 12.3 Rapportage • Jaarlijkse rapportage aan management over gegevensbescherming • KPI's voor gegevensbescherming • Overzicht van datalekken en responstijden • Aanbevelingen voor verbetering
13.1 Bijzondere categorieën persoonsgegevens Bij verwerking van gevoelige gegevens (gezondheid, strafrechtelijke gegevens, etc.): • Extra beveiligingsmaatregelen • Beperkte toegang (need-to-know basis) • Verplichte DPIA • Extra encryptie 13.2 Verwerking van gegevens van minderjarigen • Verificatie van leeftijd waar relevant • Toestemming ouders/voogd bij kinderen < 16 jaar (of lagere leeftijdsgrens volgens nationaal recht) • Kindvriendelijke privacy notices 13.3 Marketing en profiling • Opt-in voor marketing communicatie • Eenvoudige opt-out mogelijkheden • Transparantie over profiling activiteiten • Recht op menselijke interventie bij geautomatiseerde beslissingen
14.1 Cloud diensten • Due diligence bij selectie cloud providers • Verwerkersovereenkomsten conform AVG • Verificatie van beveiligingsmaatregelen en certificeringen • Duidelijkheid over datalocaties 14.2 Externe dienstverleners • Contractuele verplichtingen voor gegevensbescherming • Regelmatige audits en assessments • Incident notification procedures • Sub-verwerkers alleen met toestemming
15.1 Bewaartermijnen We hanteren de volgende bewaartermijnen (voorbeelden, aan te passen): • Klantgegevens: Duur contractrelatie + 7 jaar (fiscale verplichting) • Sollicitatiegegevens: 4 weken na afwijzing (of met toestemming: 1 jaar) • Factuurgegevens: 7 jaar (wettelijke verplichting) • Marketing opt-ins: Tot intrekking toestemming • Logbestanden: 12 maanden • Back-ups: 30 dagen 15.2 Verwijdering • Geautomatiseerde verwijdering waar mogelijk • Veilige verwijderingsprocedures (degaussing, wiping, shredding) • Documentatie van verwijdering • Verwijdering ook bij verwerkers
16.1 Wanneer verplicht DPIA is verplicht bij: • Grootschalige verwerking van bijzondere persoonsgegevens • Systematische monitoring van openbare ruimtes • Geautomatiseerde besluitvorming met rechtsgevolgen • Gebruik van nieuwe technologieën • Andere hoog-risico verwerkingen 16.2 Uitvoering • Beschrijving van verwerking en doeleinden • Noodzakelijkheidstoets • Risk assessment voor rechten en vrijheden • Mitigerende maatregelen • Consultatie DPO • Consultatie betrokkenen waar relevant 16.3 Voorafgaande raadpleging Bij hoog risico ondanks maatregelen: consultatie toezichthouder
17.1 Dit beleid wordt minimaal jaarlijks geëvalueerd en waar nodig bijgewerkt 17.2 Wijzigingen worden gecommuniceerd aan: • Alle medewerkers • Relevante verwerkers • Betrokkenen (bij materiële wijzigingen) 17.3 Versiecontrole en documentatie van wijzigingen wordt bijgehouden
18.1 Voor vragen over gegevensbescherming: Data Protection Officer / Privacy Officer E-mail: [privacy@uwbedrijf].be Telefoon: [telefoonnummer] Adres: [volledig adres] 18.2 Klachten • Klachten over onze gegevensverwerking kunnen worden ingediend bij de DPO • Wij streven naar oplossing binnen 1 maand • Bij onvrede heeft u het recht een klacht in te dienen bij: Gegevensbeschermingsautoriteit (GBA) Drukpersstraat 35 1000 Brussel Tel: +32 2 274 48 00 E-mail: contact@apd-gba.be Website: www.gegevensbeschermingsautoriteit.be
19.1 Dit Gegevensbeschermingsbeleid is vastgesteld door de directie op 23/3/2026 19.2 Laatste wijziging: 23/3/2026 19.3 Versie: 1.0 19.4 Goedgekeurd door: [Naam directeur/verantwoordelijke] --- [Uw bedrijfsnaam] [Adres] [Postcode en plaats] KVK: [nummer] BTW: [nummer]