1 Algemeen


Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (GDPR) in werking getreden. Deze Europese verordening legt een aantal strikte verplichtingen en regels op in het kader van de bescherming van persoonsgegevens en moet gezien worden als een verdieping van de bestaande regelgeving inzake gegevensbescherming. 

Intussen is deze verordening ook omgezet in een wet op nationaal niveau, namelijk de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens.

In overeenstemming met de toepasselijke regelgeving in het kader van privacy en de bescherming van persoonsgegevens, waarborgt DataNoVa BV een kwalitatief niveau van data- en gegevensbeveiliging door het nemen van alle noodzakelijke en redelijke technische en organisatorische maatregelen.

DataNoVa BV wil haar klanten, relaties, leveranciers of andere partijen informeren over haar technische en organisatorische maatregelen.

Eventuele aanvullende vragen of verduidelijkingen kunnen altijd worden verkregen door contact op te nemen met de DPO van DataNoVa BV via het volgende e-mailadres: privacy@datanova.be.


2 Organisatorische maatregelen


2.1 Verwerkingsregister


DataNoVa BV beschikt over een actueel verwerkingsregister. Een eigen geschreven analyse- en dashboardtool binnen dit register helpt de DataNoVa BV om beter zicht te krijgen op de mogelijke verwerkingsrisico's. 

In dit register zijn de volgende aspecten / onderwerpen opgenomen:

Activiteit / Doel
Bron Betrokkenen
Categorie persoonsgegevens
Rechtmatige grondslag
Ontvangers van persoonsgegevens
Bewaartermijn
Verwerkers
Software voor verwerking
Beveiligingsmaatregelen

2.2 Privacy & Cookie Policy


DataNoVa BV heeft een uitgebreid privacybeleid opgesteld, waarin zowel extern als intern uitleg wordt gegeven over de verwerking van persoonsgegevens. In deze policy worden de rechten van de betrokkenen, de beveiliging en alle andere metingen met betrekking tot persoonsgegevens gecommuniceerd.

Voor de website is een cookiebeleid en cookie consent management van kracht.

2.3 Training & Awareness


Alle werknemers en medewerkers zijn getraind en bewust gemaakt tijdens trainingssessies. DataNoVa BV heeft een geschreven beleid en procedures. Medewerkers moeten deelnemen aan interne informatiesessies en periodieke trainingen.


2.4 Rechten van de betrokkenen


De betrokkenen hebben een aantal rechten die zij te allen tijde kunnen uitoefenen. Zij kunnen een verzoek tot inzage of verwijdering van hun persoonsgegevens indienen. Betrokkenen hebben ook het recht om het gebruik van hun persoonsgegevens voor direct marketing doeleinden af te wijzen.

DataNoVa BV heeft de nodige processen geïmplementeerd om te verzekeren dat dergelijke verzoeken onmiddellijk, efficiënt en ten laatste binnen de wettelijke termijn worden beantwoord.


2.5 Confidentiality of personal data


Het spreekt voor zich dat de DataNoVa BV vertrouwelijk omgaat met persoonsgegevens. 

Het is geen van de medewerkers of dienstverleners van DataNoVa BV toegestaan om enige vorm van ongeoorloofde verzameling of verwerking van persoonsgegevens uit te voeren. Dit betekent dat toegang tot en verwerking van persoonsgegevens alleen is toegestaan indien dit noodzakelijk is voor de uitoefening van een functie en/of een beroepstaak. Hiervoor hebben wij geheimhoudingsovereenkomsten.

Het is werknemers en dienstverleners van DataNoVa BV uitdrukkelijk verboden persoonsgegevens voor persoonlijk gebruik te gebruiken of te verspreiden. Deze verplichting blijft bestaan, ook wanneer de contractuele relatie met DataNoVa BV wordt beëindigd.


3 Juridische maatregelen


3.1 Arbeidsovereenkomsten


De arbeidscontracten, het arbeidsreglement en ander intern beleid voor onze interne medewerkers bevatten bepalingen over vertrouwelijkheid en privacybescherming met betrekking tot persoonsgegevens.

Deze documenten werden waar nodig bijgewerkt om te voldoen aan de GDPR-vereisten.


3.2 Verwerkingsovereenkomsten


Er zijn verwerkersovereenkomsten opgesteld om gegevens op de juiste wijze over te dragen aan onze leveranciers die verwerker en/of gezamenlijk verwerkingsverantwoordelijke zijn voor de DataNoVa BV.


3.3 Contract clausules


Clausules in verband met privacy, veiligheid en bescherming van persoonsgegevens in contracten en andere documenten die met klanten worden uitgewisseld, werden en worden te allen tijde strikt opgevolgd en geëvalueerd.


3.4 DPIA


Alvorens aan een bepaald project te beginnen, vindt DataNoVa BV het belangrijk om te kijken of belangrijke gegevensbeschermingseisen moeten worden geïmplementeerd en of een Data Privacy Impact Assessment (DPIA) met een hoog risico moet worden uitgevoerd.

DataNoVa BV beschouwt de volgende criteria als belangrijke indicatoren van een hoog risico bij de verwerking van persoonsgegevens:

Het profileren van personen en het voorspellen van hun toekomstige gedrag;
Het combineren van verschillende bronnen van persoonsgegevens voor nieuwe gebruiksdoeleinden;
Het op grote schaal verwerken van persoonsgegevens;
Het verwerken van gevoelige persoonsgegevens.


3.5 Datalekken


Elk datalek, van welke aard dan ook, wordt onmiddellijk gemeld aan de DPO. DataNoVa BV beschikt over een goedgekeurde datalek procedure.

In het geval dat persoonsgegevens verloren, gestolen, beschadigd, vernietigd of misbruikt worden, detecteert DataNoVa BV, reageert en informeert de relevante personen en/of autoriteiten wanneer dit vereist is.


4 Technische maatregelen


Het is van het grootste belang dat persoonsgegevens worden beschermd tegen verlies, wijziging of ongeoorloofde openbaarmaking van of ongeoorloofde toegang tot doorgegeven, opgeslagen of anderszins verwerkte gegevens, ongeacht of dit per ongeluk of onrechtmatig gebeurt. 

DataNoVa BV heeft passende technische maatregelen genomen om deze bescherming te bieden.


Meerdere back-ups per dag die versleuteld worden weggeschreven naar fysiek gescheiden locaties. Dit omvat ook het wegschrijven naar een cloud back-up opslag die ook is gedupliceerd.

Toegang tot interne systemen is beveiligd met een persoonlijk wachtwoord dat regelmatig wordt gewijzigd en aan een bepaalde complexiteit moet voldoen. Ook 2FA is binnen het bedrijf geïmplementeerd. Toegang tot gegevens wordt bepaald aan de hand van de functie en wat effectief nodig is om de functie te kunnen uitvoeren.

Toegang tot het netwerk en de gegevens kan worden verkregen via een VPN-verbinding. Een autorisatie op basis van een persoonlijk wachtwoord - hetzelfde als het vorige punt - is vereist.

Op frequente basis worden alle software en systemen om veiligheids- en performantieredenen geüpdatet.

Elk apparaat is uitgerust met een anti-virus dat actuele bedreigingen en informatie ophaalt uit een wereldwijde database.

E-mail passeert een anti-spam filter voordat het bij de gebruiker wordt afgeleverd. Ook hier wordt gebruik gemaakt van een globale database.

Controle op het invoeren, wijzigen en verwijderen van gegevens via een systeem van logging, zodat achteraf kan worden vastgesteld wie welke wijzigingen in de softwaretoepassingen heeft aangebracht.

Clean desk policy om fysiek verlies van gegevens te voorkomen.