GDPR

Verantwoordingsdocument Pinakes

Doel

Het doel van dit document is om aan te tonen hoe Pinakes de verplichtingen die de GDPR [1] uiteenzet naleeft. Voor meer informatie of bijkomende vragen kan de DPO van Pinakes steeds worden gecontacteerd via dpo@pinakes.be of via Keizerslaan 34, 1000 Brussel.

Hoe respecteert Pinakes de basisbeginselen inzake verwerking van persoonsgegevens?

Pinakes respecteert te allen tijde de basisbeginselen inzake verwerking van persoonsgegevens. Hieronder wordt per beginsel uiteengezet hoe Pinakes elk beginsel naleeft.

a) Hoe garandeert Pinakes de rechtmatigheid, behoorlijkheid en transparantie van verwerkingen?

Rechtmatigheid houdt in dat de verwerkingen in overeenstemming moeten zijn met geldende regels en beginselen. Met behoorlijkheid en transparantie wordt bedoeld dat persoonsgegevens niet worden verwerkt voor doeleinden die, en op een manier die, niet naar behoren aan de betrokkene zijn meegedeeld.

Pinakes informeert betrokkenen op een beknopte, transparante, duidelijke en begrijpelijke wijze via e-mail, een privacyverklaring en een cookieverklaring over de verwerking van hun persoonsgegevens en hun rechten. De DPO van Pinakes fungeert als aanspreekpunt voor betrokkenen wanneer zij vragen hebben over bepaalde verwerkingen. Dit laat toe om betrokkenen maximaal te informeren over de verwerking van hun persoonsgegevens.

b) Hoe houdt Pinakes haar aan het beginsel van doelbinding?

Persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Pinakes verwerkt de persoonsgegevens van betrokkenen niet voor andere doeleinden dan de doeleinden die zijn gecommuniceerd aan de betrokkenen.

Pinakes verwerkt persoonsgegevens enkel en alleen voor de doeleinden die zij duidelijk communiceert aan betrokkenen voorafgaand aan de verwerking.

Zo verwerkt Pinakes bijvoorbeeld gegevens van personen die werkzaam zijn in de publieke sector voor twee welbepaalde doelen, die verenigbaar zijn met elkaar:

Ten eerste verwerkt Pinakes hun persoonsgegevens wanneer zij de Pinakes databank aanbiedt aan haar klanten. De Pinakes databank draagt bij aan een efficiënte communicatie tussen private en publieke instellingen en personen werkzaam in de publieke sector zoals politieke mandatarissen, leidinggevende ambtenaren en beslissingsnemers. Pinakes biedt haar databank tegen betaling aan haar klanten aan en vergemakkelijkt een uitgewerkt communicatieplan, maar draagt ook bij tot een eenvoudige zoektocht naar een specifiek contact met iemand uit de publieke sector.

Ten tweede verwerkt Pinakes hun persoonsgegevens wanneer zij een nieuwsbrief aanbiedt aan mensen die zich voor de databank inschrijven, waarin bijvoorbeeld wordt verwezen naar een benoeming of een nieuwe aanstelling van een bepaalde persoon.

Pinakes legt beperkingen op voor commercieel gebruik van gegevens aan al haar klanten. Klanten mogen nooit zonder toestemming gegevens verwerken van personen die zijn opgenomen in de Pinakes databank.

c) Hoe beantwoordt Pinakes aan het beginsel van minimale gegevensverwerking?

Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit betekent dat enkel persoonsgegevens mogen worden verwerkt die nodig zijn om de doeleinden waarvoor ze zijn verzameld te bereiken. Pinakes kijkt er nauwlettend op toe dat zij enkel persoonsgegevens zal verwerken die nodig zijn om een bepaald doel te bereiken.

Pinakes neemt bijvoorbeeld in de Pinakes databank enkel informatie op die noodzakelijk is om een vlotte communicatie tussen haar klanten en personen werkzaam in publieke sectoren te garanderen. Het betreft basisidentiteitsgegevens, informatie over de tewerkstelling zoals de functie en naam van de organisatie waar de betrokkene werkt, informatie over partijpolitieke aanhorigheid (indien de betrokkene een politieke functie uitoefent) en informatie over welke taal de betrokkene spreekt.

De FOD Volksgezondheid moet bijvoorbeeld informatie hebben over leden van het directiecomité van universitaire ziekenhuizen in Vlaanderen ingeval van dringende medische hulpverlening zoals epidemie. De FOD Volksgezondheid heeft er in dat geval alle belang bij om basisidentiteitsgegevens en informatie over de functie van de leden van dergelijk directiecomité te raadplegen.

d) Hoe garandeert Pinakes de juistheid van haar gegevens?

Persoonsgegevens moeten juist en volledig zijn en zo nodig worden geactualiseerd.

De Pinakes databank is een onmisbaar goed geworden in de vlotte communicatie tussen private en publieke instellingen en personen werkzaam in de publieke sector. Om haar reputatie hoog te houden en een kwaliteitsvolle dienstverlening te garanderen, heeft Pinakes er alle belang bij dat haar databank zo volledig en juist mogelijk is. Om dit te verwezenlijken voert Pinakes regelmatig controles uit om na te gaan of de gegevens die zij verzamelt in de Pinakes databank (nog steeds) accuraat zijn. Pinakes verwezenlijkt dit door op zeer regelmatige basis publicaties/databanken te controleren die beschikbaar zijn gemaakt door officiële instanties zoals het Belgisch Staatsblad, regelmatig de websites of sociale mediakanalen te bekijken van betrokkenen en databanken te raadplegen die door derde partijen publiek gemaakt worden. Bovendien contacteert Pinakes regelmatig openbare instellingen of besturen om te juistheid van de gegevens na te gaan van personen die werkzaam zijn bij een van deze instellingen of besturen. Door deze regelmatige check-ups, kan Pinakes een zeer kwaliteitsvolle en volledige databank aanbieden.

e) Hoe lang houdt Pinakes gegevens bij?

Persoonsgegevens mogen door Pinakes enkel worden (a) verwerkt en bewaard zolang als noodzakelijk voor de verwezenlijking van de doeleinden van de verwerking, en (b) verder verwerkt en bewaard voor doeleinden die verenigbaar zijn met het oorspronkelijk doel van de verwerking. Zodra dergelijk doel niet langer meer bestaat, zal Pinakes de persoonsgegevens de-identificeren.

Wanneer een bepaalde ambtenaar bijvoorbeeld de overstap maakt naar de privésector, zal Pinakes informatie over hem de-identificeren.

f) Hoe beveiligt Pinakes de gegevens?

Pinakes dient te integriteit en vertrouwelijkheid van de persoonsgegevens te garanderen.

Pinakes behandelt persoonsgegevens op dezelfde wijze als vertrouwelijke bedrijfsinformatie. Het is voor Pinakes uitermate belangrijk om de gegevens die zij bezit zo goed mogelijk te beveiligen. Bovendien kiest Pinakes haar dienstverleners nauwkeurig uit en wenst ze enkel samen te werken met partijen die de nodige veiligheidsgaranties bieden en die een confidentialiteitsclausule ondertekenen.

Pinakes neemt de volgende veiligheidsmaatregelen:

verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de verwerking van persoonsgegevens (controle op de toegang tot de apparatuur);
voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen (controle op de gegevensdragers);
verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);
voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur (gebruikerscontrole);
ervoor te zorgen dat degenen die bevoegd zijn een systeem voor automatische gegevensverwerking te gebruiken, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de toegang tot de gegevens);
ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);
ervoor te zorgen dat achteraf kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);
voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de overdracht van persoonsgegevens of het vervoer van gegevensdragers (vervoerscontrole);
ervoor te zorgen dat de gebruikte systemen in geval van storing opnieuw ingezet kunnen worden (herstel);
ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen gegevens niet door verkeerd functioneren van het systeem beschadigd kunnen worden (integriteit).

g) Hoe toont Pinakes de naleving van de beginselen aan?

Pinakes dient de naleving van alle bovenstaande beginselen aan te tonen.

Pinakes documenteert via dit document hoe zij de beginselen naleeft. Pinakes houdt een gedetailleerd register bij die informatie geeft over elke verwerkingsactiviteit waarvoor Pinakes verantwoordelijk is. Bovendien houdt Pinakes adviezen van haar DPO bij, alsook informatie ingeval van een datalek en de daaruit voortvloeiende beslissingen. Pinakes zal ook bijhouden als er een DPIA moet worden uitgehoord.

Op welke Rechtsgrond doet Pinakes beroep?

Om persoonsgegevens te mogen verwerken, moet Pinakes haar kunnen beroepen op een rechtsgrond. De wet beschrijft op een limitatieve wijze deze rechtsgronden, waaronder de toestemming van de betrokkene, de uitvoering van een overeenkomst, het legitieme belang van de voor de verwerkingsverantwoordelijke of van een derde partij of toepasselijke wetgeving.

Hieronder wordt voor de belangrijkste verwerkingsactiviteiten uitgelegd wat de toepasselijke rechtsgrond is.

a) Op welke rechtsgrond doet Pinakes beroep voor de Pinakes databank?

Pinakes is een specialist in overheidscontacten en beschikt over een zeer uitgebreide databank. De Pinakes databank is de hoofdactiviteit van Pinakes en zij draagt bij aan een efficiënte communicatie tussen private en publieke instellingen en personen werkzaam in de publieke sector. Pinakes biedt haar databank tegen betaling aan haar klanten aan. Dit vergemakkelijkt een uitgewerkt communicatieplan, maar draagt ook bij tot een eenvoudige zoektocht naar een specifiek contact met iemand uit de publieke sector.

De Pinakes databank bevat gegevens zoals basisidentiteitsgegevens, informatie over de tewerkstelling zoals de functie en naam van de organisatie waar de betrokkene werkt, informatie over partijpolitieke aanhorigheid wanneer de betrokkene een politieke functie uitoefent en informatie over welke taal de betrokkene spreekt. Bovenstaande informatie is, afhankelijk van geval tot geval, uitermate belangrijk om de juiste personen te contacteren.

Door de Pinakes databank kunnen bijvoorbeeld directiecomités van alle ziekenhuizen in Vlaanderen zeer efficiënt met elkaar en met de FOD Volksgezondheid communiceren ingeval van een epidemie. Daarnaast kan een inrichtingshoofd van een Vlaamse gevangenis zeer spoedig de directeur-generaal van het gevangeniswezen contacteren dankzij het raadplegen van de databank wanneer er een probleem ontstaat met een bepaalde dienst of met een gevangene. Het bestaan van de databank is zowel in het belang van personen die zijn opgenomen in de Pinakes databank als in het belang van de klanten van Pinakes. Zoals bovenstaande voorbeelden aangeven hebben personen werkzaam in de publieke sectoren er alle baat bij dat zij worden opgenomen in de Pinakes databank. Meer nog, zij zijn vaak zelf vragende partij om in de databank te worden opgenomen. Pinakes staat in rechtstreeks contact met iedere betrokkene, door hem of haar steeds te informeren dat hij of zij zal worden opgenomen in de Pinakes databank.

Pinakes verzamelt informatie over personen werkzaam in de publieke sector door publicaties/databanken te controleren die beschikbaar zijn gemaakt door officiële instanties zoals het Belgisch Staatsblad. Daarnaast raadpleegt Pinakes de websites of sociale mediakanalen van deze personen, alsook databanken die door derde partijen publiek gemaakt worden. Bovendien contacteert Pinakes regelmatig openbare instellingen of besturen (bijvoorbeeld algemeen directeurs steden en gemeenten) om de juistheid van de gegevens na te gaan. Dit beperkt enorm het risico dat er personen worden opgenomen in de databank die niet langer een functie in de publieke sector bekleden.

Bovendien staat Pinakes haar klanten niet toe om zonder toestemming de gegevens gebruiken voor commerciële doeleinden. De maatschappelijke component staat voor Pinakes centraal en dat wordt duidelijk gecommuniceerd aan haar klanten.

Pinakes verwerkt deze persoonsgegevens op grond van haar gerechtvaardigd belang, namelijk om de Pinakes databank ter beschikking te stellen aan haar klanten.

Wat betreft de informatie waar de partijpolitieke aanhorigheid van iemand die een politieke functie uitoefent, geldt andere regelgeving. Deze verwerking is in beginsel verboden, maar is in dit kader toch toegestaan. Deze uitzondering vloeit voort uit het feit dat het uitoefenen van een politieke functie automatisch met zich meebrengt dat dergelijke informatie kennelijk openbaar wordt gemaakt door die persoon. Door een positie als politieke mandataris te bekleden, maakt een politieke mandataris automatisch en ontegensprekelijk informatie over zijn/haar partijpolitieke aanhorigheid openbaar.

b) Op welke rechtsgrond doet Pinakes beroep voor andere verwerkingsgronden?

Zoals uitvoerig is beschreven in de Privacyverklaring en de Cookieverklaring, verwerkt Pinakes ook voor andere doeleinden persoonsgegevens. Een aantal verwerkingsgronden worden hieronder toegelicht.

Versturen van nieuwsbrieven

i. Wanneer een betrokkene de Pinakes nieuwsbrief wenst te verkrijgen, verwerkt Pinakes persoonsgegevens van de betrokkene.

Pinakes stuurt betrokkenen enkel nieuwsbrieven indien Pinakes van de betrokkene toestemming krijgt om dat te doen, overeenkomstig het artikel XII.13 (e.v.) van het Wetboek Economisch Recht. Dat artikel bepaalt dat het gebruik van elektronische post voor reclame verboden is zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen.

Pinakes logt de toestemming van de betrokkenen, die worden opgenomen in een mailingbestand.

Bovendien biedt Pinakes klanten de mogelijkheid tot een opt-out. Elke e-mail met een nieuwsbrief biedt de mogelijkheid aan betrokkenen om uit te schrijven. Pinakes logt dit via het verzendingsplatform. Pinakes verstuurt nooit nieuwsbrieven naar mensen die zijn uitgeschreven.

ii. De nieuwsbrief bevat ook persoonsgegevens van politieke mandatarissen, leidinggevende ambtenaren en beslissingsnemers.

Pinakes verwerkt gegevens van politieke mandatarissen, leidinggevende ambtenaren en beslissingsnemers om mensen die zich inschrijven op de nieuwsbrief te informeren over benoemingen (zoals een eedaflegging, een nieuwe aanstelling,…).

Deze verwerking is noodzakelijk voor de behartiging van het gerechtvaardigd belang van Pinakes. De impact op de rechten en vrijheden van betrokkenen is relatief klein is. Vaak hebben mensen die benoemd worden er alle baat bij dat anderen geïnformeerd worden over het feit dat zij nu die nieuwe functie uitoefenen.

iii. Verbeteren van het aanbod

Om het aanbod te verbeteren onderneemt Pinakes de volgende acties: het segmenteren van potentiële klanten en bestaande klanten, het analyseren van gewoontes en voorkeuren van betrokkenen (op basis van de betrokkene zijn gebruik van de Pinakes diensten), het analyseren van interactie met Pinakes via de diverse kanalen zoals via e-mails, sociale media berichten of een bezoek aan de Pinakes website en het vergelijken van de producten en diensten die betrokkenen reeds hebben gebruikt met andere gegevens die Pinakes over de betrokkenen heeft.

Deze verwerking is noodzakelijk voor de behartiging van het gerechtvaardigd belang. De impact op de rechten en vrijheden van de betrokkenen is redelijk klein. Betrokkenen hebben er zelf baat bij dat het aanbod verbetert en meer gepersonaliseerd wordt.

Heeft Pinakes een DPO aangesteld?

In een aantal gevallen is het aanstellen van een DPO verplicht.

De hoofdactiviteit van Pinakes bestaat uit publieke en private instellingen vanuit heel Europa in contact te brengen met personen werkzaam in de publieke sector om hun te kunnen informeren over zaken die hun aanbelangen. Om een vlotte communicatie mogelijk te maken heeft Pinakes een databank opgesteld met contactgegevens en andere informatie die relevant kan zijn over die personen. De Pinakes databank bevat informatie over meer dan 135 000 politieke mandatarissen, ambtenaren en leidinggevenden in België, Luxemburg en de Europese instellingen, waaronder informatie waaruit de partijpolitieke aanhorigheid blijkt van personen die een politieke functie uitoefenen.

Pinakes heeft daarom een DPO aangesteld. De contactgegevens van de DPO van Pinakes zijn dpo@pinakes.be of Keizerslaan 34, 1000 Brussel.

Heeft Pinakes een DPIA uitgevoerd?

De GDPR verplicht in een aantal situaties om een Gegevensbeschermingseffectbeoordeling of een DPIA uit te voeren.

Overweging 171 GDPR stelt dat een verleende toestemming van een privacy autoriteit betreffende een verwerking van het verleden van kracht blijft totdat zij worden gewijzigd, vervangen of ingetrokken. Pinakes heeft in het verleden dergelijke toestemming verkregen van de toenmalige Privacycommissie. De verwerkingen uitgevoerd door Pinakes zijn sinds toen quasi ongewijzigd gebleven. De Artikel 29 Werkgroep bepaalt in haar advies betreffende DPIA’s dat een DPIA niet nodig is voor verwerkingen die door een toezichthoudende autoriteit zijn gecontroleerd, overeenkomstig artikel 20 van de (oude) Richtlijn 95/46/EC.[2]

Op basis van het bovenstaande, heeft Pinakes geen DPIA uitgevoerd. Bovendien is Pinakes ook van mening dat er, zelfs indien het bovenstaande niet van toepassing moest zijn, momenteel geen reden is om aan te nemen dat Pinakes verplicht een DPIA moet uitvoeren. Pinakes zal dus (voorlopig) geen DPIA uitvoeren, tenzij dat, rekening houdend met de uitvoeringsvoorwaarden voor een DPIA, daar in de toekomst aanleiding voor zou bestaan. Pinakes zal waar nodig in samenspraak met haar DPO het al dan niet uitvoeren van een DPIA herzien en beoordelen. Indien Pinakes beslist om geen DPIA uit te voeren, zal zij de reden van die beslissing documenteren.

Hoe informeert Pinakes betrokkenen?

Elke betrokkene moet op een duidelijke, gemakkelijk toegankelijke, beknopte, transparante en begrijpelijke wijze worden geïnformeerd over alle belangrijke elementen van de verwerking van haar persoonsgegevens. Deze informatie moet het doel van de verwerking, de identificatiegegevens van Pinakes, de rechten die de betrokkene worden toegekend, en andere informatie over de verwerking omvatten, voor zover dit noodzakelijk is om de behoorlijkheid te waarborgen.

Pinakes informeert de betrokkenen op passende wijze:

Pinakes voorziet in een algemene Privacyverklaring. De Privacyverklaring is gepubliceerd op de website van Pinakes. Deze verklaring beschrijft de verwerking van bezoekers van de website van Pinakes, klanten van Pinakes en diens werknemers en personen die opgenomen zijn in de Pinakes databank (d.w.z. politieke mandatarissen, leidinggevende ambtenaren en beslissingsnemers). Daarnaast stuurt Pinakes ten laatste 2 weken nadat een (nieuwe) betrokkene is opgenomen in de Pinakes databank een e-mail naar die betrokkene dat diens persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, alvorens de betrokkene op te nemen in de Pinakes databank.
Pinakes voorziet in een Cookieverklaring die gepubliceerd is op de website van Pinakes.
Zowel de Privacyverklaring als de Cookieverklaring zijn beschikbaar in het Nederlands, Frans en Engels. Betrokkenen worden dusdanig geïnformeerd in hun eigen taal of minstens in een taal waarmee zij voldoende vertrouwd zijn.
Pinakes voorziet wanneer zij communiceert met eender wie, in een banner onderaan de e-mailhandtekening, in een link naar de Privacyverklaring die beschikbaar is op de website. Dit laat betrokkenen steeds toe om op een zeer efficiënte wijze de Privacyverklaring te raadplegen.
Pinakes informeert betrokkenen via de Privacyverklaring gedetailleerd uiteen over hun rechten.

Hoe gaat Pinakes om met de rechten van betrokkenen?

Pinakes hecht veel belang aan personen werkzaam in de publieke sectoren en andere betrokkenen van wie zij persoonsgegevens verwerkt. Informatie over beslissingsnemers vormen de hoekstenen voor de Pinakes databank en zijn van uitermate belang voor Pinakes en haar klanten.

Voor Pinakes is het dan ook vanzelfsprekend om betrokkenen voldoende te informeren over hun rechten. De Privacyverklaring van Pinakes zet gedetailleerd uiteen wat elk recht inhoudt.

Bovendien doet Pinakes haar uiterste best om betrokkene zo goed mogelijk bij te staan wanneer zij een recht wensen uit te oefenen met betrekking tot hun persoonsgegevens.

De DPO van Pinakes is aangesteld als aanspreekpunt voor betrokkenen. Ingeval van een verzoek van een betrokkene, zal de DPO het verzoek van de betrokkene opvolgen en afhandelen. De DPO van Pinakes reageert op een dubbele wijze op elk verzoek:

De DPO informeert elke betrokkene onmiddellijk dat zij het verzoek van de betrokkene heeft ontvangen en dat zij binnen de maand de betrokkene zal meedelen welk gevolg aan het verzoek is gegeven;
De DPO informeert elke betrokkene binnen de maand over het gevolg van het verzoek.

Om de privacy van andere betrokkenen te verzekeren en te garanderen dat informatie over betrokkenen niet zal worden misbruikt, zal Pinakes steeds een bewijs van identiteit vragen alvorens zij ingaat op het verzoek. Zo kan de DPO de betrokkene vragen om een kopie van een door de overheid uitgereikt identificatiebewijs, zoals een identiteitskaart, verblijfskaart, sociale zekerheidskaart of rijbewijs, dat nog steeds rechtsgeldig is en waarop ten minste de naam en geboortedatum van de betrokkene vermeld staan.

Wanneer gegevens worden verwerkt met het oog op direct marketing, moet de betrokkene zich kosteloos kunnen verzetten tegen de verwerking van zijn gegevens voor dergelijke doeleinden. In het enquêteformulier wordt onder meer gewezen op het recht van verzet tegen marketing. Betrokkenen krijgen ook steeds een mail waarin dit duidelijk zal worden gecommuniceerd.

Hoe beveiligt Pinakes de persoonsgegevens?

Een verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen nemen om de veiligheid van de persoonsgegevens te garanderen. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Bovendien zijn alle leden van Pinakes gehouden tot het garanderen van vertrouwelijkheid.

Pinakes neemt passende technische en organisatorische maatregelen om persoonsgegevens van betrokkenen te beschermen tegen ongeoorloofde toegang of diefstal, onopzettelijk verlies, vervalsing of vernietiging. Zij wenst enkel samen te werken met derde partijen die hetzelfde niveau van bescherming bieden en sluit een overeenkomst met hen waarin bepalingen zijn opgenomen over veiligheidsmaatregelen en vertrouwelijkheid. Veiligheid en beveiliging zijn inspanningsverbintenissen en er kan nooit met zekerheid worden uitgesloten dat er incidenten zullen plaatsvinden.

Heeft Pinakes de nodige overeenkomsten gesloten?

Met bepaalde derde partijen zoals verwerkers en gezamenlijke verantwoordelijken moet de verwerkingsverantwoordelijke overeenkomsten sluiten.

Pinakes doet voor sommige diensten beroep doen op derde partijen. Zo werkt Pinakes bijvoorbeeld samen met een IT-bedrijf om de website te beheren. Om hun dienst goed te kunnen uitoefenen, verwerken dergelijke partijen namens Pinakes persoonsgegevens. Pinakes kiest haar dienstverleners nauwkeurig uit en wenst enkel samen te werken met partijen die de nodige veiligheidsgaranties bieden. Pinakes sluit met elke derde partij die namens haar persoonsgegevens verwerkt, een overeenkomst die de elementen bevat die artikel 28 van de GDPR haar oplegt. Deze overeenkomst bevat schriftelijke instructies van Pinakes en bepaalt dat derde partijen de veiligheid van de persoonsgegevens moeten garanderen en dat zij gehouden zijn tot confidentialiteit. Pinakes werkt enkel samen met dienstverleners binnen de Europese Economische Ruimte.

Pinakes bevindt zich tot op heden niet in een situatie van gezamenlijk verantwoordelijkheid met een andere organisatie. Moest dit in de toekomst wijzigen, dan zal Pinakes overeenkomstig artikel 26 van de GDPR een overeenkomst van gezamenlijke verantwoordelijkheid afsluiten en deze beschikbaar stellen aan betrokkenen.

Hoe reageert Pinakes op datalekken?

Een inbreuk in verband met persoonsgegevens of een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Pinakes neemt passende technische en organisatorische maatregelen om persoonsgegevens van betrokkenen te beschermen tegen ongeoorloofde toegang of diefstal, onopzettelijk verlies, vervalsing of vernietiging. Zij wenst enkel samen te werken met derde partijen die hetzelfde niveau van bescherming bieden en sluit een overeenkomst met hen waarin bepalingen zijn opgenomen over veiligheidsmaatregelen en vertrouwelijkheid. Veiligheid en beveiliging zijn inspanningsverbintenissen en het is helaas niet mogelijk om datalekken te voorkomen.

Pinakes heeft een procedure opgesteld om tijdig en op een passende wijze te reageren om een datalek en zal de te schade in de mate van het mogelijke pogen te beperken. Waar nodig zal Pinakes de Gegevensbeschermingsautoriteit (binnen de 72 uren) en de betrokkenen informeren.

Register van verwerkingsactiviteiten

Pinakes houdt een register van verwerkingsactiviteiten bij die onder haar verantwoordelijkheid plaatsvinden. Dit register bevat informatie van onder meer het doel van de verwerking, de rechtsgrond van de verwerking, categorieën van persoonsgegevens en betrokkenen enz.

Pinakes houdt het register bij in een Excel lijst en lijst per verwerkingsactiviteit alle verplichte elementen van artikel 30 GDPR op. Pinakes heeft voor het opstellen van het register beroep gedaan op de Excel lijst die de Gegevensbeschermingsautoriteit heeft gepubliceerd. Pinakes vult het register aan wanneer er nieuwe verwerkingsactiviteiten bijkomen of wijzigt bestaande verwerkingsactiviteiten op periodieke basis (minstens 1x per jaar) om het register up-to-date te houden.

[1]: De Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (“GDPR”).

[2]: Zie opinie WP 248 rev.01, “Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679”, 16-17.