Ekerse Karnavalvereniging "De Bierpruvers" vzw

PRIVACYVERKLARING

DATA PRIVACYVERKLARING

1. Doel van deze VERKLARING

Ekerse Karnavalvereniging De Bierpruvers vzw verwerkt dagelijks persoonsgegevens in het kader van haar dienstverlening voor haar (ere-)leden, (oud-)bestuursleden, sponsors, bevriende federaties, werknemers, artiesten, leveranciers.

Het doel van deze interne verklaring is om de benadering van Ekerse Karnavalvereniging  De Bierpruvers vzw ten aanzien van het verwerken van persoonsgegevens en de bescherming ervan toe te lichten. Deze verklaring beschrijft hoe persoonsgegevens verzameld, verwerkt en opgeslagen dienen te worden teneinde te voldoen aan de gegevensbeschermingsnormen en andere juridische verplichtingen.

In het geval Ekerse Karnavalvereniging De Bierpruvers vzw  geconfronteerd wordt met een datalek, zal het tweede gedeelte van deze verklaring onze aanpak en stappenplan beschrijven teneinde het datalek op te lossen en te voorkomen dat een datalek in de toekomst zich opnieuw zal voordoen.

Deze verklaring is van toepassing op alle personeelsleden, medewerkers, partners, netwerkbeheerders en leveranciers van Ekerse Karnavalvereniging De Bierpruvers vzw.

1. Overzicht van persoonsgegevens

Deze verklaring heeft betrekking op verschillende soorten van persoonsgegevens. Voorbeelden van persoonsgegevens die door  Ekerse Karnavalvereniging De Bierpruvers vzw worden verwerkt in het kader van haar dienstverlening worden hierna weergegeven, doch deze lijst is niet exhaustief:

-          Voor –en achternaam

-          Geslacht

-          Geboortedatum

-          Geboorteplaats

-          Adresgegevens

-          Telefoonnummer/GSM-nummer

-          E-mailadres

-          Rijksregisternummer

1. Toestemming voor het verwerken van gevoelige persoonsgegevens

Elk nieuw lid zal vanaf 25 mei 2018 voorafgaandelijk aan het lidmaatschap een privacyverklaring dienen te ondertekenen. Aan nieuwe leden zal voorafgaandelijk aan hun lidmaatschap toestemming worden gevraagd voor de verwerking van zijn/haar gevoelige persoonsgegevens door Ekerse Karnavalvereniging De Bierpruvers vzw.

In deze privacyverklaring wordt de wijze van verwerking van persoonsgegevens, het doel ervan, alsook de diverse rechten die het lid kan uitoefenen met betrekking tot de verwerking van zijn persoonsgegevens nader toegelicht.

Na de ondertekening van de privacyverklaring kan Ekerse Karnavalvereniging De Bierpruvers vzw pas persoonsgegevens verwerken.

Aan de bestaande leden zal een externe privacyverklaring worden overgemaakt.

De externe privacyverklaring is tevens actueel terug te vinden op www.bierpruvers.be

1. Dataopslag

Ekerse Karnavalvereniging De Bierpruvers vzw maakt gebruik van de beheersoftware ontwikkeld door Google

Alle persoonsgegevens worden elektronisch opgeslagen in een beveiligde cloud. Deze persoonsgegevens zijn enkel toegankelijk voor haar personeelsleden, medewerkers, partners en de netwerkbeheerder die deze toegang nodig hebben voor de uitoefening van hun werk.

De processen en hosting omgeving van de webapplicatie ontwikkeld door Google zijn ISO 27001 gecertificeerd: dagelijkse backups, recovery testen,…

De personeelsleden, medewerkers en partners van Ekerse Karnavalvereniging De Bierpruvers vzw verbinden zich ertoe om hun elektronisch dossier centraal te bewaren in de FEN webapplicatie. Dit impliceert de tijdige verwerking van e-mails die in Mail Apple worden opgeslagen.

De persoonsgegevens zijn slechts toegankelijk na (1) het inloggen van een persoonlijk wachtwoord op de werkcomputer van de personeelsleden, medewerkers of partners van Ekerse Karnavalvereniging De Bierpruvers vzw en (2) het inloggen van persoonlijk wachtwoord in de webapplicatie.

Personeelsleden, medewerkers en partners van Ekerse Karnavalvereniging De Bierpruvers vzw zullen er ook op hun toezien dat hun mobiele toestellen, waaronder begrepen tablets, smartphones, laptops, privédesktops, eveneens voorzien zijn van een persoonlijk wachtwoord.

Personeelsleden, medewerkers, partners of de netwerkbeheerder mogen geen persoonsgegevens van cliënteel van Ekerse Karnavalvereniging De Bierpruvers vzw opslaan op verwijderbare media, behoudens op een versleutelde USB-stick.

Indien persoonsgegevens op papier werd opgeslagen (of elektronisch, maar voor gebruik afgedrukt werden), worden deze opgeslagen in het klassement en/of archief van Ekerse Karnavalvereniging De Bierpruvers vzw waar onbevoegde mensen geen toegang toe hebben. Na gebruik worden afdrukken of notities of papier op een beveiligde manier verwijderd (versnipperd).

1. Gebruik en bekendmaking van persoonsgegevens

Indien personeelsleden, medewerkers, partners of de netwerkbeheerder van Ekerse Karnavalvereniging De Bierpruvers vzw toegang hebben gehad tot persoonsgegevens van haar leden in het kader van de verstrekte dienstverlening wordt dit met de grootste zorg behandeld.

De werkcomputers van personeelsleden, medewerkers, partners van Ekerse Karnavalvereniging De Bierpruvers vzw zullen automatisch vergrendeld worden na 10 minuten inactiviteit.

Het is de personeelsleden, medewerkers, partners of de netwerkbeheerder van Ekerse Karnavalvereniging De Bierpruvers vzw niet toegestaan om persoonsgegevens van haar leden op te slaan op zijn/haar persoonlijke computer. Hij/zij zal slechts persoonsgegevens raadplegen en aanpassen die op de server zijn opgeslagen.

1. Nauwkeurigheid van de persoonsgegevens

Het is de verantwoordelijkheid van de personeelsleden, medewerkers en partners van Ekerse Karnavalvereniging De Bierpruvers vzw die met de persoonsgegevens van haar leden werkt, om de nodige stappen te ondernemen teneinde te verzekeren dat deze persoonsgegevens zo accuraat en up to date mogelijk zijn. Elke opportuniteit om ervoor te zorgen dat de persoonsgegevens geüpdatete zijn, zal genomen worden.

Indien een medewerker of partner van Ekerse Karnavalvereniging De Bierpruvers vzw kennis neemt van niet accurate persoonsgegevens van haar leden, zullen zij onverwijld deze persoonsgegevens bijwerken

Indien een datasubject een verzoek tot wijziging of wissen van haar persoonsgegevens richt tot een personeelslid, medewerker of partner van Ekerse Karnavalvereniging De Bierpruvers vzw , zal de ontvanger dit verzoek binnen 14 dagen vanaf de kennisname ervan doorsturen naar de secretaris. Deze termijn is bindend.

1. Opslagtermijn en verwijderen van persoonsgegevens

Ekerse Karnavalvereniging De Bierpruvers vzw zal alle persoonsgegevens verwijderen na een periode van 5 jaar nadat het lidmaatschap beëindigd werd. Op verzoek van een individu zullen persoonsgegevens onmiddellijk verwijderd worden, tenzij de wet dit verbiedt. In dat geval zal Ekerse Karnavalvereniging De Bierpruvers vzw het lid informeren over de wettelijke verplichtingen.

POLICY INGEVAL VAN EEN GEGEVENSLEK

1. Gegevenslek – algemeen

Een gegevenslek verwijst in het algemeen naar een ongeoorloofde toegang en opvragen van informatie dat zakelijke en/of persoonsgegevens kan bevatten. Data-inbreuken beheren is belangrijk om de persoonsgegevens van onze leden en personeelsleden te beschermen wanneer een gegevenslek zich voordoet.

1. Hoe gegevenslekken kunnen ontstaan

Datalekken kunnen omwille van verschillende redenen gebeuren. Ze kunnen veroorzaakt worden door medewerkers,  personen die niet verbonden zijn aan Ekerse Karnavalvereniging De Bierpruvers vzw of door een systeemfout.

Mogelijke manieren waarom een gegevenslek kan ontstaan, en alle bij Ekerse Karnavalvereniging De Bierpruvers vzw werkzame personen dienen zich hiervan bewust te zijn, zijn:

• Menselijke fouten:
• Verlies van een laptop, telefoon, toestellen die dienen tot dataopslag of papieren dossiers/documenten die persoonsgegevens van de leden bevatten;
• Het verzenden van persoonsgegevens van een lid naar een foutief e-mail –of fysiek adres of het bekendmaken van persoonsgegevens aan een foutieve bestemmeling
• Ongeoorloofde toegang of bekendmaking van persoonsgegevens door personeelsleden, medewerkers of partners van Ekerse Karnavalvereniging De Bierpruvers vzw;
• Onjuiste verwijdering van persoonsgegevens van het lid (bv. harde schijf, opslagmedia of papieren documenten die persoonsgegevens bevatten en die verkocht of weggegooid worden alvorens de persoonsgegevens behoorlijk werden verwijderd).

• Kwaadaardige activiteiten:
  • Hacking / illegale toegang tot databases bevattende persoonsgegevens van leden;
  • Diefstal van laptop, telefoon, toestellen die dienen tot dataopslag of papieren dossiers/documenten die persoonsgegevens van het lid bevatten;
  • Oplichting die organisaties in de val lokken om persoonsgegevens van leden vrij te geven.
• Systeemfouten:
  • Fouten in de programmeercode van websites, databases en andere software die gebruikt worden om zich toegang te verschaffen tot de persoonsgegevens opgeslagen op computersystemen.

1. Management plan ingeval van een gegevenslek

Het beleid van Ekerse Karnavalvereniging De Bierpruvers vzw ingeval een gegevenslek zich voordoet wordt hieronder uiteengezet. Dit management plan – dat vijf stappen telt – dient strikt nageleefd te worden:

Door personeelsleden, medewerkers en partners van Ekerse Karnavalvereniging De Bierpruvers vzw:

• Identificatie en classificatie van het gegevenslek;
• Insluiten en herstel;

Door de secretaris:

• Risicobeoordeling;
• Melding van inbreuk
• Evaluatie van de reactie en herstel om toekomstige gegevenslekken te voorkomen

• Identificatie en classificatie van het gegevenslek

Wanneer een gegevenslek zich voordoet, dienen de personeelsleden, medewerkers of partners van Ekerse Karnavalvereniging De Bierpruvers vzw dit onverwijld doch uiterlijk binnen 24 uur na ontdekking hiervan te melden aan de secretaris van Ekerse Karnavalvereniging De Bierpruvers vzw.

De melding dient volgende gegevens te bevatten:

• Korte beschrijving van het gegevenslek:
  • de aard van het gegevenslek: aantasting van de vertrouwelijkheid (bij verspreiding of niet gemachtigde toegang), aantasting van de integriteit (bij wijziging of vervalsing van gegevens), verminderde beschikbaarheid (bij verlies of vernietiging van de gegevens);
  • de exacte omschrijving van de gegevens die werden gelekt;
  • de omvang van het gegevenslek met de melding van het aantal personen aan wie de gegevens werden gelekt;
  • de vermelding of de gelekte gegevens betrekking hebben op datasubjecten uit andere landen.
• Datum en tijdstip waarop het gegevenslek werd vastgesteld;
• Identiteit van de persoon die het gegevens lek heeft vastgesteld en tevens de vermelding of deze persoon intern of extern is. In het laatste geval dient – indien van toepassing – de organisatie te worden vermeld bij wie deze persoon in dienst is;
• de wijze waarop het gegevenslek is vastgesteld;
• Omschrijving van het informaticasysteem dat aanleiding heeft gegeven tot het gegevenslek, indien van toepassing;
• Beschrijving van de onmiddellijke acties die zijn ondernomen om het gegevenslek te stoppen;
• Beschrijving van de stappen 2 t.e.m. 5 van het management plan die dienen genomen te worden, en derhalve de melding of mededeling of het gegevenslek intussen is afgesloten.

• Insluiten en herstel

Als onderdeel van het management plan ingeval een gegevenslek zich voordoet dienen volgende maatregelen onverwijld genomen te worden, in zoverre van toepassing:

• Sluit het aangetaste informaticasysteem dat aanleiding heeft gegeven tot het gegevenslek af;
• Voorkom verder ongeoorloofde toegang tot het aangetaste informaticasysteem;
• Stel nieuwe wachtwoorden in indien accounts en wachtwoorden aangetast werden;
• Bepaal welke stappen kunnen worden ondernomen om verloren gegevens te herstellen en beperk elke schade die veroorzaakt werd door het gegevenslek (bv. het afstand uitschakelen van een verloren laptop die persoonsgegevens van leden van Ekerse Karnavalvereniging De Bierpruvers vzw bevat);
• Isoleer de oorzaken van het gegevenslek in het informaticasysteem, en verander, indien van toepassing, de toegangsrechten tot het aangetaste informaticasysteem en verwijder externe verbindingen tot het informaticasysteem;
• Meld het gegevenslek aan de politie indien vermoed wordt dat een strafbaar feit aan de grondslag ligt aan het gegevenslek en verzamel bewijsstukken voor verder onderzoek (bv. hacking, diefstal of ongeoorloofde toegang tot het informaticasysteem);
• Meld de hiaten in het informaticasysteem en beëindig de oorzaken die geleid hebben tot het gegevenslek;

• Risicobeoordeling

Ekerse Karnavalvereniging De Bierpruvers vzw zal de risico’s en impact van het gegevenslek in kaart brengen om de gevolgen voor de getroffen organisaties en/of natuurlijke personen vast te stellen.

Voor elk gegevenslek dient te worden beoordeeld:

• Hoeveel personen werden getroffen door het gegevenslek?
• Wiens persoonsgegevens werden hierdoor onrechtmatig verspreid?
• Welke soorten persoonsgegevens werden gelekt?
• Bestaat het risico op identiteitsdiefstal, veiligheid –en/of financieel verlies voor de getroffen organisaties en natuurlijke personen? Zo ja, is het risico onbestaande, verwaarloosbaar, beperkt of groot?
• Hoe gevoelig is de informatie die door het gegevenslek onrechtmatig werd verspreid?
• Dienen er bijkomende maatregelen getroffen te worden om de impact van het gegevenslek te minimaliseren?
• Wat was de oorzaak van het gegevenslek?
• Wanneer en hoe vaak deed het gegevenslek zich voor?
• Wie zou zich toegang kunnen verschaffen tot de aangetaste persoonsgegevens?
• Zullen de aangetaste persoonsgegevens transacties aantasten met andere derde partijen?
• Wie moet hiervan op de hoogte worden gesteld?

• Melding van de inbreuk

Ekerse Karnavalvereniging De Bierpruvers vzw zal leden die getroffen worden door het gegevenslek hiervan in kennis stellen.

Wie moet in kennis gesteld worden?

• De getroffen organisaties en/of natuurlijke personen wiens persoonsgegevens werden aangetast;
• Andere derde partijen, zoals banken, kredietkaartmaatschappijen of de politie, indien van toepassing.

Wanneer dient deze kennisgeving te gebeuren?

• Onmiddellijk indien het gegevenslek gevoelige informatie bevat. Dit stelt de getroffen personen in staat om de noodzakelijke maatregelen te nemen om potentieel misbruik van de aangetaste persoonsgegevens te voorkomen;
• De getroffen organisaties en/of natuurlijke personen worden ook in kennis gesteld wanneer het gegevenslek werd opgelost.

Hoe dient deze kennisgeving te gebeuren?

• De kennisgeving dient op de meest efficiënte wijze te gebeuren, rekening houdend met de spoedeisendheid van de situatie en het aantal aangetaste personen (bv. e-mail, telefoon, brieven).
• De kennisgeving dient eenvoudig begrijpbaar te zijn, specifiek en bevat duidelijke instructies voor het lid over zijn actiemogelijkheden om zichzelf zo goed als mogelijk te beschermen.

Wat moet er gemeld worden?

• Hoe en wanneer het gegevenslek heeft plaatsgevonden, alsook de verschillende soorten persoonsgegevens die aangetast werden door het gegevenslek;
• Welke maatregelen Ekerse Karnavalvereniging De Bierpruvers vzw heeft ondernomen of zal ondernemen als antwoord op de risico’s die door het gegevenslek zijn ontstaan;
• Specifieke feiten van het gegevenslek, indien van toepassing, en actiemogelijkheden die de getroffen leden kunnen ondernemen om het voorkomen dat de persoonsgegevens worden misbruikt;
• Contactgegevens van de Privacy Manager/secretaris waarnaar de getroffen leden van Ekerse Karnavalvereniging De Bierpruvers vzw zich kunnen richten voor verdere informatie en/of bijstand.

• Evaluatie van de reactie en herstel om toekomstige gegevenslekken te voorkomen

Nadat de voorgaande stappen werden genomen om het gegevenslek op te lossen zal de secretaris de nodige stappen ondernemen om de oorzaak van het gegevenslek te evalueren, meer bepaald met oog op de evaluatie of de bestaande bescherming en preventiemaatregelen voldoende zijn om gelijkaardige gegevenslekken in de toekomst te voorkomen.

De secretaris zal beoordelen of:

• Ekerse Karnavalvereniging De Bierpruvers vzw regelmatig audits heeft uitgevoerd op zowel fysieke als ICT-gerelateerde beveiligingsmaatregelen;
• Er procedures zijn die gestroomlijnd of geïntroduceerd kunnen worden om de schade te beperken indien gegevenslekken zich in de toekomst manifesteren of voorkomen dat een terugval zich voordoet;
• Er zwaktes bestaan in het bestaande beveiligingssysteem of in het gebruik van draagbare opslagapparaten of de verbinding met het internet;
• De methodes om toegang te verkrijgen tot en het verzenden van persoonsgegevens voldoende beveiligd zijn;
• De ondersteunende diensten van externe partijen verbeterd moeten worden, zoals deze van leveranciers en andere partners;
• Er een noodzaak bestaat om nieuwe scenario’s m.b.t. het ontstaan van gegevenslekken ontwikkeld moeten worden;
• Er voldoende middelen waren om het gegevenslek te beheren;
• De bevoegde personeelsleden, medewerkers of partners voldoende middelen ter beschikking gesteld kregen om het incident te beheren;
• Het personeel, medewerkers of partners voldoende op de hoogte waren van veiligheidsgerelateerde problemen;
• Er voldoende opleiding werd geboden met betrekking tot de bescherming van persoonsgegevens en het beheren van gegevenslekken;
• het personeel, medewerkers of partners geïnformeerd werden omtrent het gegevenslek en de pijnpunten die daaruit onthouden dienen te worden;
• er een duidelijk verantwoordelijkheid en communicatie was tijdens het beheer van het gegevenslek.

Voor verdere vragen omtrent deze policy, gelieve u te wenden tot één van de medewerkers van Ekerse Karnavalvereniging De Bierpruvers vzw – de_backer_rene@skynet.be