Vertrouwelijkheidsbeleid van de onderneming

Herstal Group Confidentialite

1. DOELSTELLING

Dit document omvat het vertrouwelijkheidsbeleid dat door de Herstal Groep, hierna “de onderneming” genoemd, in het kader van haar activiteiten wordt geïmplementeerd. De onderneming bestaat uit de volgende juridische entiteiten:

  • HERSTAL SA
  • FN HERSTAL
  • BROWNING International
  • BROWNING SA
  • HERSTAL Group Services

De bescherming van uw persoonlijke levenssfeer en persoonsgegevens is van het grootste belang voor de onderneming.

Dit vertrouwelijkheidsbeleid is opgesteld om de naleving van de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van dergelijke gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming, of AVG) te waarborgen.

Dit vertrouwelijkheidsbeleid is bedoeld om u te informeren over hoe de onderneming uw persoonsgegevens verzamelt, gebruikt en bewaard.

 

2. Wat is de omvang van dit beleid?

Wat omvat  de «verwerking van uw gegevens» en wie is er verantwoordelijk voor?

Wij verzamelen en gebruiken alleen persoonsgegevens die nodig zijn voor onze activiteiten en die ons in staat stellen om kwaliteitsdiensten aan te bieden.

Wij zijn daarom zowel uw aanspreekpunt als dat van de toezichthoudende autoriteiten (bijvoorbeeld “de Gegevensbeschermingsautoriteit”) voor elke vraag met betrekking tot het gebruik van uw gegevens.

Voor bepaalde diensten maken wij gebruik van gespecialiseerde derde partijen die in bepaalde gevallen optreden als verwerkers. Zij moeten dan onze richtlijnen volgen en ons vertrouwelijkheidsbeleid naleven. In andere gevallen zijn deze derden ook (mede)verwerkingsverantwoordelijken en moeten zij op hun beurt hun wettelijke verplichtingen op dit gebied nakomen.

Wij zorgen ervoor dat deze verwerkers alleen de gegevens ontvangen die strikt noodzakelijk zijn om hun deel van het contract uit te voeren.

Wij komen ook in aanmerking om als verwerker voor andere juridische entiteiten op te treden. In dat geval zijn het deze entiteiten die verantwoordelijk zijn voor de verwerking van persoonsgegevens. Wij volgen dan hun instructies. Welke gegevens vallen onder ons beleid?

De gegevens die onder dit beleid vallen, zijn persoonsgegevens van natuurlijke personen, dat wil zeggen gegevens die een persoon direct of indirect identificeren.

In het kader van uw relaties en interacties met de onderneming, moeten we mogelijk verschillende persoonsgegevens verzamelen, zoals:

  • identificatie- en contactgegevens (bijvoorbeeld: uw titel, naam, adres, geboortedatum en -plaats, rijksregisternummer, rekeningnummer,  telefoonnummer, e-mailadres, IP-adres, beroep);
  • gezinssituatie (bijvoorbeeld: burgerlijke staat, aantal kinderen);
  • bankgegevens, financiële gegevens en transactiegegevens (bijvoorbeeld: contactgegevens van de bank, rekeningnummers, gegevens met betrekking tot overschrijvingen inclusief communicatie, en in het algemeen alle gegevens die bij het uitvoeren van uw bankoverschrijvingen worden geregistreerd);
  • gegevens in verband met uw gedrag en gewoonten met betrekking tot het gebruik van onze kanalen (bijvoorbeeld: onze website) en onze producten;
  • gegevens in verband met uw voorkeuren en interesses, die u ons rechtstreeks of onrechtstreeks meedeelt, bijvoorbeeld door deel te nemen aan onze evenementen of enquêtes, enz.;
  • gegevens die afkomstig zijn van uw interacties op onze speciale pagina’s op sociale netwerken (voorbeelden: Facebook en LinkedIn).

We verwerken nooit gegevens met betrekking tot uw raciale of etnische afkomst, politieke opvattingen, religie, filosofische overtuigingen of lidmaatschap van een vakbond, genetische gegevens, seksleven of seksuele geaardheid, tenzij wettelijk vereist of tenzij dit het gevolg is van wat u met onze producten en diensten doet.

 

3. Leidende principes voor het verwerken van persoONSGEGEVENS

Wij respecteren onder meer de volgende principes bij de verwerking van persoonsgegevens in het kader van het beheer en de uitvoering van onze verbintenissen:

  • Rechtmatige gegevensverwerking: wij verwerken persoonsgegevens op een rechtmatige manier in het kader van onze activiteiten;
  • Bepaalde doeleinden en beperking van doeleinden: wij verzamelen en verwerken persoonsgegevens voor de hieronder vermelde wettige doeleinden;
  • Minimalisering van gegevensverwerking: wij beperken de verwerking van persoonsgegevens tot wat nodig is voor onze activiteiten;
  • Juistheid van persoonsgegevens: wij nemen alle redelijke maatregelen om ervoor te zorgen dat de persoonsgegevens juist zijn en dat deze onmiddellijk worden gerectificeerd en/of gewist indien ze niet langer correct lijken te zijn;
  • Beperking van verwerking en bewaring: wij zullen persoonsgegevens niet langer verwerken en bewaren dan nodig is voor de uitvoering van onze activiteiten;
  • Beveiligingsmaatregelen: wij nemen de nodige en adequate technische en/of organisatorische maatregelen voor de beveiliging van persoonsgegevens.

4. Wanneer worden uw persoonsgegevens verzameld?

De gegevens die wij gebruiken om onze databases te controleren of te verrijken, kunnen rechtstreeks bij u worden verzameld of kunnen worden verkregen uit de volgende bronnen:

  • publicaties/databases die toegankelijk zijn gemaakt door de officiële autoriteiten (bijvoorbeeld: Belgisch Staatsblad);
  • de ondernemingen waaraan wij leveren of onze dienstverleners;
  • websites/sociale netwerkpagina’s met informatie die u openbaar hebt gemaakt (bijvoorbeeld: uw website of sociaal netwerk);
  • databases die openbaar zijn gemaakt door derden.

Sommige van uw gegevens kunnen ook door de onderneming worden verzameld, met name:

  • wanneer u klant of leverancier wordt;
  • wanneer u onze gebouwen moet bezoeken of een bezoek moet aanvragen;
  • wanneer u zich registreert om onze onlinediensten te gebruiken (bij elke identificatie of gebruik);
  • wanneer u de formulieren en contracten invult die wij u voorleggen;
  • wanneer u onze diensten en producten gebruikt na ondertekening van een contract;
  • wanneer u zich abonneert op onze nieuwsbrieven;
  • wanneer u contact met ons opneemt via de verschillende kanalen waarover u beschikt;
  • wanneer uw gegevens worden gepubliceerd of doorgezonden door gemachtigde derden of professionele gegevensproviders;
  • wanneer u wordt gefilmd door onze bewakingscamera’s die zich in en rond onze lokalen/gebouwen bevinden.

De beelden worden alleen opgenomen om de veiligheid van goederen en personen te vrijwaren en om misbruik, fraude en andere overtredingen tegen onze klanten en/of ons personeel te voorkomen (hun aanwezigheid wordt aangegeven door stickers met onze contactgegevens).

 

5. Op welke grond en waarom gebruiken wij uw persoonsgegevens?

Wij verwerken uw persoonsgegevens voor verscheidene doeleinden. Bij elke verwerking worden alleen de gegevens verwerkt die relevant zijn voor het nagestreefde doel.

Over het algemeen gebruiken wij uw persoonsgegevens:

  • in het kader van de uitvoering van een contract of het nemen van precontractuele maatregelen;
  • om te voldoen aan de wettelijke en reglementaire bepalingen waaraan wij zijn onderworpen;
  • om redenen die onder het gerechtvaardigde belang van de onderneming vallen (zie onderstaande illustraties). Wanneer wij dit soort verwerkingen uitvoeren, zorgen wij voor een evenwicht tussen dit gerechtvaardigde belang en de eerbiediging van uw privéleven;
  • wanneer wij uw toestemming hebben verkregen.

De persoonsgegevens worden door de onderneming verwerkt voor onder meer de volgende doeleinden, maar zonder daartoe beperkt te zijn:

  • u informatie verstrekken over onze producten en diensten;
  • u helpen en reageren op uw verzoeken;
  • de goede uitvoering van de aangegane overeenkomsten mogelijk maken;
  • zorgen voor het financiële en boekhoudkundige beheer van de onderneming;
  • zorgen voor een goed beheer van klanten, materieel, naverkoopdiensten en leveranciers;
  • gebruikersprofielen opstellen en voor zover u hiervoor uw toestemming hebt gegeven; informatie- en/of promotieactiviteiten uitvoeren op het vlak van producten en diensten, die van de vennootschappen van haar groep en/of haar zakenpartners;
  • bestaande diensten of diensten in ontwikkeling verbeteren door middel van enquêtes onder klanten of potentiële klanten, statistieken, tests, opmerkingen die u ons rechtstreeks stuurt of die u op onze websites publiceert;
  • voldoen aan de wettelijke en regelgevende verplichtingen, inclusief antwoorden op officiële verzoeken van naar behoren gemachtigde openbare of gerechtelijke autoriteiten;
  • opsporen en voorkomen van misbruik en fraude: wij verwerken en beheren contact- en beveiligingsgegevens (kaartlezer, wachtwoord, enz.) om de veiligheid van transacties en communicatie via onze externe kanalen te valideren, op te volgen en te waarborgen;
  • zorgen voor de dienstverlening door een beroep te doen op verwerkers;
  • zorgen voor de opvolging van onze onderzoeks- en ontwikkelingsactiviteiten;
  • de kwaliteit van de individuele service aan onze klanten en partners verbeteren;
  • prospectieactiviteiten met betrekking tot de ondernemingsdiensten uitoefenen;
  • zorgen voor de beveiliging van onze gebouwen en infrastructuur, evenals de mensen op die plaatsen.

6. Wie heeft toegang tot uw gegevens en aan wie worden ze doorgegeven ?

Alleen gemachtigde gebruikers hebben toegang tot uw persoonsgegevens om de bovengenoemde doeleinden te bereiken. Onder gemachtigde gebruiker worden personen verstaan ​​die in het kader van de uitoefening van hun functie binnen het bedrijf gemachtigd zijn om in het kader van de uitgeoefende activiteiten de persoonsgegevens te verwerken op grond van de richtlijnen van de onderneming.

Om de bovengenoemde doeleinden te bereiken, verstrekt de onderneming uw persoonsgegevens aan de:

  • externe auditor;
  • erkende commissaris;
  • juridisch adviseur;
  • financieel consultant;
  • andere professional en/of dienstverlener/adviseur;
  • bankorganisaties, verzekeraars/fondsen;
  • IT-bedrijven of dienstverleners voor softwareprogramma’s en elektronische gegevensopslag (servers, enz.);
  • gerechtelijke, administratieve of politiële autoriteiten.

7. Hoelang bewaren wij uw gegevens?

Wij bewaren uw persoonsgegevens zo lang als nodig is om te voldoen aan de toepasselijke wet- en regelgeving of voor een andere periode waarbij rekening wordt gehouden met operationele beperkingen zoals een goede boekhouding, doeltreffend beheer van de relatie met de klanten en partners en de antwoorden op rechtsvorderingen of verzoeken van autoriteiten.

Bepaalde gegevens worden voor langere periodes gearchiveerd om te voldoen aan onze wettelijke verplichtingen en voor bewijsdoeleinden, in het bijzonder om uw rechten te vrijwaren. Deze gearchiveerde gegevens zijn alleen toegankelijk met het oog op bewijs in rechtszaken, controle door een gemachtigde autoriteit (bijvoorbeeld door de belastingdienst), om redenen van overlegging van documenten aan gerechtelijke en administratieve autoriteiten of politiediensten.

 

8. Veiligheid en vertrouwelijkHEID

De onderneming verbindt zich ertoe om de technische, fysieke en organisatorische maatregelen te nemen die nodig en adequaat zijn om de persoonsgegevens te beschermen tegen ongeoorloofde toegang, onrechtmatige en ongeoorloofde verwerking, onopzettelijk verlies of onopzettelijke beschadiging en ongeoorloofde vernietiging. Deze maatregelen worden regelmatig geëvalueerd en indien nodig geactualiseerd om een ​​maximale bescherming van de persoonsgegevens van de betrokken personen te garanderen.

In geval van een computerinbraak of -lek, zoals hieronder beschreven, zullen wij de nodige/passende maatregelen nemen om de omvang en de gevolgen vast te stellen, hier zo snel mogelijk een einde aan te maken en, in voorkomend geval, de impact ervan voor de betrokkenen te beperken.

 

9. Welke zijn uw rechten?

Overeenkomstig de toepasselijke regelgeving heeft u verscheidene rechten:

  • het recht om inzage van de persoonsgegevens te vragen (A)
  • het recht om inzage van de persoonsgegevens te vragen (A)
  • het recht om gegevens te wissen (A)
  • het recht om bezwaar te maken tegen verwerking (B)
  • het recht om toestemming in te trekken (B)
  • het recht om beperking van de verwerking te vragen (B)
  • het recht op overdraagbaarheid van gegevens (C)

9.a Recht op inzage, rectificatie en WISSING

Elke betrokkene heeft het recht om inzage te vragen. Als een betrokkene van dit recht gebruik maakt, is de onderneming verplicht hem informatie over dit onderwerp te verstrekken, waaronder:

  • het geven van een beschrijving en een kopie van de persoonsgegevens;
  • het informeren van de betrokkene over de redenen waarom de onderneming deze gegevens verwerkt.

Indien gegevens onjuist of onvolledig zijn, kan de betrokkene vragen om deze te rectificeren.

In bepaalde omstandigheden kan de betrokkene, in overeenstemming met de regelgeving inzake gegevensbescherming verzoeken om wissing van een hem betreffend persoonsgegeven, onder meer indien het persoonsgegeven niet langer nodig is voor de doeleinden waarvoor het is verzameld of verwerkt. De onderneming kan echter weigeren om deze gegevens te wissen, bijvoorbeeld voor de invoering, aanwending of het bewijs van een recht in rechte.

Om uw gegevens perfect up-to-date te houden, vragen wij u om elke wijziging (bijvoorbeeld: wijziging burgerlijke staat, adreswijziging) aan ons mede te delen.

9.b Recht om bezwaar te maken tegen de verwerking van uw gegevens of om de verwerking ervan te beperken en recht om uw toestemming in te TREKKEN

U hebt het recht om bezwaar te maken tegen bepaalde verwerkingen van uw persoonsgegevens die wij graag zouden willen uitvoeren. In het bijzonder hebt u het recht om, zonder verantwoording, bezwaar te maken tegen het gebruik van uw gegevens voor prospectiedoeleinden. U kunt ook verzoeken om de verwerking van uw gegevens te beperken.

Dit recht kan echter alleen onder bepaalde voorwaarden worden uitgeoefend:

  • uw verzoek moet gedateerd en ondertekend zijn;
  • voor andere gevallen dan bezwaar tegen prospectiedoeleinden, moet u ernstige en gerechtvaardigde redenen hebben die verband houden met uw specifieke situatie om bezwaar te maken tegen het plaatsvinden van de verwerking. Bij gerechtvaardigd bezwaar mag de betreffende verwerking geen betrekking meer hebben op deze gegevens.

U kunt echter geen bezwaar maken tegen een verwerking die nodig is voor de uitvoering van een met u gesloten contract of de uitvoering van precontractuele maatregelen die op uw verzoek zijn genomen; noch tegen de naleving van enige wettelijke of reglementaire bepaling waaraan wij zijn onderworpen.

Als u toestemming hebt gegeven voor de verwerking van uw persoonsgegevens, hebt u het recht om deze toestemming te allen tijde in te trekken.

9.c Het recht op overdraagbaaRHEID

Indien nodig en voor zover van toepassing, kan de betrokkene vragen om bepaalde persoonsgegevens die hij aan de onderneming heeft verstrekt in het kader van het beheer en de uitvoering van zijn activiteiten, te ontvangen en deze gegevens over te dragen aan een andere verwerkingsverantwoordelijke. Indien dat technisch mogelijk is, kan de betrokkene de onderneming verzoeken om deze gegevens rechtstreeks aan een andere verwerkingsverantwoordelijke door te geven.

Conform de regelgeving hebt u het recht om een ​​klacht in te dienen bij de bevoegde toezichthoudende autoriteit.

 

10. Doorgifte van gegevens buiten de EER

In geval van internationale doorgiften vanuit de EER aan een derde land waarvoor de Europese Commissie een adequaatheidsbesluit heeft uitgevaardigd waarin aan dat land een niveau van persoonsgegevensbescherming wordt toegekend dat overeenkomt met dat waarin de EER-wetgeving voorziet, worden uw persoonsgegevens op basis daarvan doorgegeven.

Voor doorgiften aan landen buiten de EER waarvoor de Europese Commissie geen adequaatheidsbesluit heeft uitgevaardigd, baseren wij ons ofwel op een afwijking die van toepassing is op de situatie (bijv.: in geval van internationale betaling, is de doorgifte noodzakelijk voor de uitvoering van het contract), ofwel op het feit dat de ontvanger van de gegevens heeft ingestemd met de verwerking van de persoonsgegevens conform de “Standaardcontractbepalingen” die zijn opgesteld door de Europese Commissie voor de verwerkingsverantwoordelijken of verwerkers.

Om een ​​kopie van deze teksten te verkrijgen of om te weten hoe u ze kunt raadplegen, kunt u een schriftelijk verzoek indienen zoals aangegeven in artikel 13.

 

11. Inbreuk in verband met persoonsgegeven

11.1 Vermeldingen in verband met persoonsgegevens

De gemachtigde gebruikers moeten er bij de uitoefening van hun taak voor zorgen dat incidenten (al dan niet opzettelijk) die de privacy van de betrokkenen kunnen schenden, worden vermeden.

Bij een inbreuk in verband met persoonsgegevens worden zo snel mogelijk gepaste maatregelen genomen om het risico op schade voor zowel de betrokkenen als voor de onderneming (reputatieschade, opgelegde sancties, enz.) tot een minimum te beperken.

In elk geval moeten alle gemachtigde gebruikers, evenals alle andere personen die de ondernemingsinformatie raadplegen, gebruiken of beheren, elke inbreuk op de beveiliging en incidenten met betrekking tot informatiebeveiliging onmiddellijk aan de “Privacy-verantwoordelijke” melden zodat er onmiddellijk een analyse kan worden gemaakt, de noodzakelijke maatregelen kunnen worden genomen en om te weten of de inbreuk gemeld dient te worden aan de Gegevensbeschermingsautoriteit of aan de betrokkenen.

Wanneer de melding per e-mail wordt gedaan, is het belangrijk dat deze wordt verzonden naar de “Privacyverantwoordelijke” (zie paragraaf 10.2) en dat in het onderwerp van de e-mail uitdrukkelijk wordt aangegeven dat het een zeer dringend bericht naar aanleiding van een mogelijke inbreuk in verband met persoonsgegevens betreft.

De informatie moet een volledige en gedetailleerde beschrijving van het incident bevatten, inclusief de identiteit van de persoon die de melding doet (achternaam, voornaam, adres, e-mail (in voorkomend geval) en telefoonnummer), het soort incident en hoeveel personen er zijn bij betrokken.

11.2 Risico-onderzoek en -analysE

In principe zal binnen 24 uur nadat het incident of de inbreuk is vastgesteld door de onderneming of gemeld door een verwerker, gemachtigde gebruiker, ontvanger, betrokkene of derde, op initiatief van de onderneming een onderzoek worden ingesteld.

Het onderzoek zal de aard van het incident, het soort beoogde gegevens aangeven en of dit specifiek gevolgen heeft voor de persoonsgegevens (en zo ja, wie de betrokkenen zijn en hoeveel persoonsgegevens hierdoor worden getroffen). Het onderzoek zal bepalen of het om een ​​inbreuk in verband met persoonsgegevens gaat of niet.

Indien het een inbreuk betreft, zal een risicoanalyse worden uitgevoerd om te achterhalen wat de mogelijke gevolgen van de inbreuk (kunnen) zijn, en in het bijzonder de (mogelijke) gevolgen voor de betrokkenen.

De onderneming beslist dan op basis van de aard van de inbreuk of er al dan niet een plicht tot melding aan de Gegevensbeschermingsautoriteit en/of de betrokkene bestaat.

11.3 Documentering van inbreuke

Alle inbreuken worden gedocumenteerd in een register. Het register geeft een gedetailleerd overzicht van de hoofdoorzaak van het incident en bijdragende factoren, de chronologie van de gebeurtenissen, responsacties, aanbevelingen en geleerde lessen om gebieden te identificeren die een verbetering nodig hebben. Aanbevolen wijzigingen aan systemen en procedures worden zo snel mogelijk gedocumenteerd en geïmplementeerd.

Wij onderzoeken de gevolgen die worden gegeven aan de behandeling van de inbreuk die in de melding wordt vermeld.

 

12. Hoe kennisnemen van dit beleid en de wijzigingen ervan?

In een wereld van voortdurende technologische veranderingen zullen wij het vertrouwelijkheidsbeleid regelmatig bijwerken.

Wij nodigen u uit om kennis te nemen van de laatste versie van dit document op onze websites en we zullen u op de hoogte brengen van elke substantiële wijziging via onze sites of via onze gebruikelijke communicatiemiddelen.

 

13. Hoe ons contacteren?

U kunt contact opnemen met de Privacyverantwoordelijke op het e-mailadres rgpd@herstalgroup.com of gdpr@herstalgroup.com, of door een brief te sturen naar het postadres Herstal Group – Voie de Liège 33, 4040 Herstal België.

Zowel onze personeelsleden als de kandidaten voor vacante functies en voormalige werknemers van de onderneming kunnen het “HR-vertrouwelijkheidsbeleid” eveneens raadplegen op het intranet van de Herstal Groep.

 

Dit vertrouwelijkheidsbeleid is sinds 25 mei 2018 van toepassing.