Close

1. Inleiding

Wijngaard Natie verzamelt en verwerkt persoonlijke informatie van haar klanten, leveranciers, personeel en andere zakelijke partners. Voor Wijngaard Natie is het beschermen van de privacy een belangrijk strategisch doel en Wijngaard Natie zet zich in voor het respecteren van de privacy en het op gepaste wijze beschermen van de persoonsgegevens.

Het waarborgen van de naleving van de algemene verordening gegevensbescherming vormt de basis van betrouwbare zakelijke relaties en is essentieel voor de reputatie van Wijngaard Natie als een aantrekkelijke zakenpartner en werkgever. Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht en is zij van toepassing op Wijngaard Natie en op iedereen die in opdracht van Wijngaard Natie persoonsgegevens verwerkt.

Het privacy beleid (‘Beleid’) definieert de aanpak van Wijngaard Natie om de bescherming en het beheer van persoonsgegevens in overeenstemming met de AVG te waarborgen en biedt duidelijke richtlijnen voor éénieder die zich bezighoudt met de verwerking van persoonsgegevens in opdracht van Wijngaard Natie.

Het doel van dit Beleid bestaat erin om de persoonsgegevens te beschermen door de betrokkenen instructies te geven over het verzamelen en het verwerken van deze persoonsgegevens. 

Dit Beleid is bijkomstig aan, en vervangt noch vernietigt, specifieke vereisten inzake gegevensbescherming of regels met betrekking tot de vertrouwelijkheid die van toepassing kunnen zijn op een specifiek bedrijfsdomein of functie, ingevolge de hierop van toepassing zijnde wetgeving.

1. Introduction

Wijngaard Natie collects and processes personal information about its customers, suppliers, personnel and other business partners. The protection of privacy is an important strategic objective for Wijngaard Natie and the company makes every effort to ensure the privacy of personal data and to give it appropriate protection.

Guaranteeing compliance with the General Data Protection Regulation is the basis of trustworthy business relationships and essential to the reputation of Wijngaard Natie as an acceptable business partner and employer. On 25 May 2018 the General Data Protection Regulation (GDPR) came into effect and it is applicable to Wijngaard Natie and everybody who processes personal data on behalf of Wijngaard Natie.

The privacy policy (“the Policy”) defines Wijngaard Natie’s approach to the protection and administration of personal information in accordance with GDPR and provides clear guidance to all persons who are involved with the processing of personal data on behalf of Wijngaard Natie.

The purpose of this Policy is to protect personal data by giving the parties concerned guidance about the collection and processing of this personal information.

The Policy is supplementary to and neither replaces nor invalidates any specific requirements regarding data protection and the rules relating to confidentiality that may be applicable to a specific area of business or a job title by reason of the legislation applicable to such.

2. Toepassingsgebied

Dit Beleid is geschreven voor Wijngaard Natie en voor éénieder die persoonsgegevens verwerkt in opdracht van Wijngaard Natie, inclusief werknemers, studenten, stagiaires, uitzendkrachten, zelfstandige medewerkers, onderaannemers, freelancers, partners en vennoten. Dit Beleid is bedoeld voor éénieder uit elke discipline die professionele diensten verstrekt aan klanten alsook voor éénieder die interne diensten verstrekt.

2. Scope of application

This Policy is written for Wijngaard Natie and for all persons who process personal data on behalf of Wijngaard Natie, including employees, students, trainees or interns, interim employees, self-employed associates, subcontractors, freelancers, partners and shareholders. The Policy is intended for all persons of any discipline whatsoever who supply professional services to customers as well as to all persons who supply internal services.

3. Definities

Persoonsgegevens zijn alle gegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’). Als identificeerbaar wordt beschouwd een natuurlijk persoon die  direct of indirect kan worden geïdentificeerd, met name aan de hand van een gegeven zoals een naam, een identificatienummer, locatiegegevens, een online gegeven of één of meerdere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijk persoon.

Gevoelige Persoonsgegevens zijn persoonsgegevens in verband met een natuurlijke persoon waaruit zijn ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, gezondheid, seksueel gedrag, seksuele geaardheid, genetische en biometrische gegevens blijken, enkel en alleen met het doel de persoon te identificeren en met het oog op criminele veroordelingen.

Verwerking betekent een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerkingsverantwoordelijke betekent een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Europa betekent, voor de doeleinden van dit Beleid, “de Europese Economische Ruimte en Zwitserland”.

Gegevensverwerkingsovereenkomst betekent een overeenkomst of elk ander type juridisch instrument dat voorwaarden bevat met betrekking tot de verwerking van persoonsgegevens, als onderdeel van een overeenkomst voor professionele diensten.

Inbreuk in verband met persoonsgegevens betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

3. Definitions

Personal data is all data relating to an identified or an identifiable natural person (“the party concerned”). A natural person is regarded as identifiable when this person can be identified directly or indirectly with reference to information such as a name, an identifying number, location details, online details or one or more elements that are characteristic of the physical, physiological, genetic, mental, economic, cultural or social identity of the natural person.

Sensitive Personal Data is personal data relating to a natural person from which his/her race, ethnic background, political affiliation, religious or philosophical convictions, union membership, health, sexual conduct, sexual preferences, genetic and biometric details are apparent, solely and only with the object of identifying the person and with a view to criminal convictions.

Processing means a treatment or a set of treatments relating to personal data or a set of personal data, whether performed in automated procedures or otherwise, such as the collection, recording, ordering, structuring, storage, updating or amending, requesting, consulting, provision by means of transmission, distribution or any other way of making such available, aligning or combining, blocking, deletion or destruction of data.

Processing Manager means a natural or juristic person, government body, service or other organ who, alone or together with others, determines the purpose of and the means of processing personal data.

The Processor is a natural or juristic person,  government body, service or other organ who processes personal data on behalf of the processing manager.

Europe means, for the purposes of this Policy, the “European Economic Area and Switzerland”.

 Data processing contract means a contract or other every other type of legal instrument that contains conditions relating to the processing of personal data as part of a contract for professional services.

Personal data breach means a breach of the security that results, either by accident or by unlawful act, in the destruction, loss, alteration, or the unauthorized supply of or access to the transmitted, stored or otherwise processed data.

4. Principes voor de verwerking van persoonsgegevens

Zoals hierboven aangehaald, is het doel van dit Beleid om richtlijnen te verschaffen met betrekking tot het correct verwerken van Persoonsgegevens. Ongeacht welk type van Persoonsgegevens wordt verwerkt en ongeacht op welke manier deze Persoonsgegevens worden verwerkt moet éénieder de volgende 8 basisprincipes naleven:

4.1 Persoonsgegevens moeten rechtmatig en behoorlijk verwerkt worden.

Persoonsgegevens moeten verzameld en verwerkt worden op een rechtmatige en behoorlijke wijze. In praktijk betekent dit dat Wijngaard Natie:

  • een gerechtvaardigde en wettelijke basis moet hebben voor het verzamelen en gebruiken van Persoonsgegevens;
  • transparant moet zijn over de manier waarop de Persoonsgegevens verwerkt zullen worden, en natuurlijke personen (klanten, werknemers of andere) voldoende moet inlichten over hun privacy rechten wanneer hun Persoonsgegevens worden verzameld;
  • moet omgaan met Persoonsgegevens op een manier die redelijkerwijze verwacht kan worden;
  • zich ervan moet verzekeren dat de Persoonsgegevens niet op een onwettige manier gebruikt worden.

4.2 Persoonsgegevens moeten verzameld worden voor uitdrukkelijk omschreven doeleinden en niets anders

Persoonsgegevens moeten verzameld worden voor uitdrukkelijk omschreven doeleinden. In de praktijk betekent dit dat Wijngaard Natie:

  • van in het begin duidelijk dient te zijn over welke Persoonsgegevens verzameld worden en voor welke doeleinden deze gebruikt zullen worden;
  • zich ervan moet verzekeren dat, indien de Persoonsgegevens voor andere dan de aanvankelijk omschreven doeleinden gebruikt worden, de betrokken persoon hiervan in kennis wordt gesteld en het gebruik gerechtvaardigd is.

4.3 Persoonsgegevens moeten verzameld worden voor uitdrukkelijk omschreven doeleinden en niets anders

Persoonsgegevens moeten toereikend zijn, ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is. In praktijk betekent dit dat Wijngaard Natie zich ervan moet verzekeren dat:
• er enkel Persoonsgegevens worden gevraagd en verzameld die relevant zijn voor een specifiek doeleinde;
• er niet meer Persoonsgegevens mogen worden bijgehouden dan nodig voor een specifiek doeleinde.

4.4 Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd

Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Onnauwkeurige en verouderde gegevens moeten worden verwijderd of aangepast. In de praktijk betekent dit dat

Wijngaard Natie ;

  • moet zorgen dat de bron van de Persoonsgegevens duidelijk is;
  • redelijke stappen dient te ondernemen om zich ervan te verzekeren dat de verkregen Persoonsgegevens juist zijn;
  • moet nagaan of het nodig is de Persoonsgegevens te actualiseren.

4.5 Persoonsgegevens mogen niet langer bewaard worden dan nodig

Persoonsgegevens mogen niet langer bewaard worden dan nodig is. Van zodra de Persoonsgegevens niet meer nodig zijn voor het doeleinde waarvoor zij verzameld werden, dient deze informatie gewist te worden, tenzij er een andere basis is om deze Persoonsgegevens te bewaren. In de praktijk betekent dit dat Wijngaard Natie:

  • de duur voor het bijhouden van Persoonsgegevens zal moeten nagaan;
  • zal moeten overwegen voor welk doel de Persoonsgegevens worden bijgehouden en hoe lang de Persoonsgegevens hiervoor dienen te worden bijgehouden;
  • de Persoonsgegevens op een veilige manier dient te wissen indien zij niet meer noodzakelijk is voor het vooropgestelde doel.

4.6 Persoonsgegevens moeten verwerkt worden overeenkomstig de individuele rechten

Persoonsgegevens moeten verwerkt worden rekening houdend met de rechten van natuurlijke personen, met name:

  • het recht om geïnformeerd te worden;
  • het recht op inzage;
  • het recht op rectificatie;
  • het recht op wissing van gegevens;
  • het recht op beperkte Verwerking;
  • het recht op gegevensoverdraagbaarheid;
  • het recht om bezwaar te maken;
  • rechten gebaseerd op automatische beslissingen en profilering.

Elke betrokkene waarvan Persoonsgegevens worden verwerkt, heeft deze rechten. Voor verdere verduidelijking in dit verband verwijzen we naar hoofdstuk 6.

4.7 Persoonsgegevens moeten op een veilige wijze bewaard worden

Persoonsgegevens moeten op een veilige wijze bewaard worden. In de praktijk betekent dit dat Wijngaard Natie:

  • de beveiliging dient te organiseren in overeenstemming met de aard van de Persoonsgegevens (werknemers, partners, klanten of andere) die bewaard worden en de mogelijke schade die kan voortvloeien uit een inbreuk op de beveiliging.

4.8 Persoonsgegevens mogen niet overgedragen worden aan derde landen zonder toereikende bescherming

Persoonsgegevens mogen niet overgedragen worden aan andere landen buiten Europa zonder toereikende bescherming. Dit betekent dat Wijngaard Natie:

  • zorgvuldig dient na te gaan of de overdracht naar een land buiten Europa nodig is en of er een toereikende bescherming zal zijn vooraleer de Persoonsgegevens over te dragen.
  • dient te zorgen voor toereikende bescherming bij de overdracht van Persoonsgegevens buiten Europa.

4. Principles for the processing of personal data

As stated above, the purpose of this Policy is to provide guidance relating to the correct processing of Personal data. Regardless of what type of Personal data is being processed and regardless of the way in which this Personal data is processed all persons must comply with the following eight basic principles:

4.1 Personal data must be duly and lawfully processed

Personal data must be duly and lawfully collected and processed. In practice this means that Wijngaard Natie:

  • must have a justified and legal basis for the collection and use of the Personal data;
  • must be transparent about the way in which the Personal data will be processed, must adequately inform natural persons (customers, employees and others) about their rights to privacy when their Personal data is collected;
  • must handle Personal data in a way that can be reasonably expected;
  • must ensure that the Personal data is not used in an unlawful manner.

4.2 Personal data must be collected for expressly defined purposes and for nothing else

Personal data must be collected for expressly defined purposes. In practice this means that Wijngaard Natie:

  • should from the very start be clear about what Personal data is collected and for what purposes it will be used;
  • must ensure that, should the Personal data be used for purposes than those originally defined, the person concerned is informed of such and that the use is justified.

4.3 Personal data must be sufficient, relevant, and limited to what is necessary

Personal data must be sufficient, relevant and limited to what is necessary. In practice this means that Wijngaard Natie must ensure:

  • that only Personal data is requested and collected that is relevant to a specific purpose;
  • that no more Personal data may be retained than necessary for a specific purpose.

4.4 Personal data must be correct and be updated if necessary

Personal data must be correct and be updated if necessary. Inaccurate and out-of-date data must be removed or updated. In practice this means that

Wijngaard Natie;

  • must ensure that the source of the Personal data is clear;
  • should take reasonable steps to ensure that the Personal data received is accurate;
  • must check to see whether the Personal data must be updated.

4.5 Personal data may not be retained longer than necessary

Personal data may not be retained longer than necessary. As soon as the Personal data is no longer necessary for the purpose it was collected, the information should be deleted unless there is another reason for retaining the Personal data. In practice this means that Wijngaard Natie:

  • must assess the duration of retention of the Personal data;
  • must take the purpose for which the Personal data is retained into consideration and determine how long the Personal data must be retained for such purpose;
  • should delete the Personal data in a safe way should it no longer be necessary for the intended purpose.

4.6 Personal data must be processed having regard for individual rights

Personal data must be processed having regard for the rights of natural persons, namely,

  • the right to be informed;
  • the right of access;
  • the right to rectification;
  • the right to the deletion of data;
  • the right to restricted Processing;
  • the right to data portability;
  • the right to make objection;
  • rights based on automatic decisions and profiling.

Every party concerned whose Personal data is processed has these rights. For further clarification in this connection we refer you to Chapter 6.

4.7 Personal data must be stored in a safe way

Personal data must be stored in a safe way. In practice this means that Wijngaard Natie:

  • must organize the protection in accordance with the nature of the Personal data (employees, partners, customers or others) that is stored and the potential damage that may arise from a breach of the protection.

4.8 Personal data may not be transferred to third countries without adequate protection

Personal data may not be transferred outside Europe without adequate protection. This means that Wijngaard Natie:

  • must carefully check whether the transfer to a country outside Europe is necessary or if there is adequate protection there before transferring the Personal data;
  • must ensure that there is adequate protection upon the transfer outside Europe.

5. Persoonsgegevens bij Wijngaard Natie en richtlijnen om deze te beschermen

De meeste Persoonsgegevens die we verwerken zijn deze van onze klanten, leveranciers, sollicitanten, werknemers, zelfstandigen en onderaannemers. Hieronder worden de belangrijkste categorieën van Persoonsgegevens opgelijst die verwerkt worden en de doeleinden waarvoor deze verwerkt worden.

5.1 Klantengegevens

We verzamelen en verwerken de Persoonsgegevens van onze klanten en onderscheiden hierbij 3 types van ‘Verwerking’:

  • om onze diensten te kunnen verstrekken en voor administratieve doeleinden (facturatie, overeenkomsten,…)
  • voor commerciële doeleinden.

Persoonsgegevens verkregen van onze klanten voor het verstrekken van onze diensten

Er worden Persoonsgegevens verwerkt in het kader van de overeenkomst die de klant met ons heeft afgesloten.

Persoonlijke identificatiegegevens:

Naam, adres, telefoonnummer, e-mailadres

Andere identificatiegegevens:

Algemene facturatiegegevens

Alleen verantwoordelijken voor de klant krijgen toegang tot en kunnen de Persoonsgegevens van de klant raadplegen in het kader van de verstrekking van diensten aan de klant. De toegang tot klantgegevens wordt geregistreerd en ‘ongeoorloofde toegang’ tot Persoonsgegevens zal gerapporteerd worden aan de DP coördinator.
Verder dienen we ons ervan te verzekeren dat de Persoonsgegevens zorgvuldig behandeld worden. In concreto betekent dit dat:

  • De gegevens goed beschermd dienen te worden: toereikende beschermingsmaatregelen dienen genomen te worden om ervoor te zorgen dat enkel ‘geautoriseerde’ personen toegang hebben tot de gegevens en dat er geen ongeoorloofde toegang mogelijk is.
  • De gegevens moeten met de nodige zorgvuldigheid behandeld worden, er dienen maatregelen genomen te worden om te voorkomen dat de gegevens verloren geraken (bijvoorbeeld: het verlies van USB stick, laptops, papieren dossiers,…).
  • Gegevens mogen enkel gekopieerd worden op andere systemen, apparaten (bijvoorbeeld laptops) of locaties wanneer dit werkelijk vereist is. Gekopieerde gegevens dienen eveneens beschermd te worden.
  • Wij delen deze gegevens niet met andere partijen (extern of binnen ons netwerk), tenzij met de expliciete toestemming van de klant.
  • Wij vragen en verzamelen enkel Persoonsgegevens van onze klanten die echt nodig zijn voor de te bereiken doeleinden, we informeren de klant over deze doeleinden en zullen de Persoonsgegevens enkel gebruiken voor deze doeleinden.
  • Wij bewaren de Persoonsgegevens enkel zo lang wij deze nodig hebben. Het archiveringsbeleid zal in dit opzicht bekeken worden. Voor sommige product lines wordt dit bepaald door regelgeving en professionele richtlijnen (bijvoorbeeld: audit, accountancy,…).

Het dient opgemerkt te worden dat sommige van deze principes niet alleen relevant zijn voor ‘Persoonsgegevens’ maar voor ‘gegevens in het algemeen’ die we van onze klanten ontvangen.

Persoonsgegevens verzameld voor commerciële doeleinden voor bestaande klanten en prospecten

We bewaren ook klantengegevens voor commerciële doeleinden in ons CRM systeem. Dit omvat gegevens van onze bestaande klanten, ex-klanten en prospecten. Deze gegevens worden gebruikt om commerciële opportuniteiten op te volgen, alsook voor direct marketing en mailings.

 

De klant moet geïnformeerd worden met betrekking tot het gebruik van zijn/haar gegevens voor commerciële doeleinden. Indien de klant het gebruik van zijn/haar gegevens niet toestaat voor commerciële doeleinden kunnen de gegevens hier ook niet langer voor gebruikt worden. De beste praktijk bestaat erin dat de toestemming een positieve actie van de betrokken persoon vereist (bijvoorbeeld: het aanvinken van een vakje in een formulier). Het is niet voldoende indien de toestemming wordt afgeleid uit een gebrek aan actie (bijvoorbeeld het uitvinken van een vakje dat reeds aangevinkt is).

 

Voor bestaande klanten is het toegestaan contactgegevens te gebruiken voor doeleinden van direct marketing aangezien we reeds een contractuele overeenkomst hebben met hen. Het belangrijkste aandachtspunt bestaat erin dat we geen boodschappen aan klanten meer toesturen indien zij er voor geopteerd hebben geen direct marketing boodschappen meer te ontvangen (een zogenaamde ‘opt-out’). Wanneer klanten voor deze ‘opt-out’ opteren mogen zij niet meer gecontacteerd worden.

 

Persoonsgegevens van prospecten en ex-klanten kunnen enkel verwerkt worden op basis van hun toestemming.

 

Persoonsgegevens die worden achtergelaten door individuen op de website mogen verwerkt worden teneinde hen relevante informatie te verstrekken over onze diensten. Indien we hen direct marketing boodschappen willen sturen die niet gelinkt zijn aan hun vragen moeten we hiervoor hun expliciete toestemming verkrijgen.

 

De volgende persoonsgegevens worden bewaard:

 

Persoonlijke identificatiegegevens:

Naam, adres, telefoonnummer, e-mailadres

Andere identificatiegegevens:

Algemene facturatiegegevens

5.2 Leveranciersgegevens

We verzamelen en verwerken de Persoonsgegevens van onze leveranciers en onderscheiden hierbij 2 types van ‘Verwerking’:

  • om onze diensten te kunnen verstrekken;
  • voor administratieve doeleinden (facturatie, overeenkomsten,…);

Persoonsgegevens verkregen van onze leveranciersvoor het verstrekken van onze diensten

Er worden Persoonsgegevens verwerkt in het kader van de overeenkomst die de leverancier met ons heeft afgesloten.

De persoonsgegevens die bewaard worden zijn de volgende:

Persoonlijke identificatiegegevens:

Naam, adres, telefoonnummer, e-mailadres

Andere identificatiegegevens:

Algemene facturatiegegevens

Wanneer we diensten ontvangen van onze leveranciers  ontvangen en verwerken we Persoonsgegevens van hun werknemers, hun leveranciers en hun klanten. Dit is het geval in de meeste product lines. In sommige product lines, worden Persoonsgegevens op regelmatige basis verwerkt. Dit is bijvoorbeeld het geval bij Human Capital, Interim Management, Payroll services, …, waar gegevensbescherming nog meer aandacht verdient.

Alleen verantwoordelijken van de leverancier krijgen toegang tot en kunnen de Persoonsgegevens van de leverancier raadplegen in het kader van de verstrekking van diensten door de leverancier. De toegang tot klantgegevens wordt geregistreerd en ‘ongeoorloofde toegang’ tot Persoonsgegevens zal gerapporteerd worden aan de DP coördinator.

Verder dienen we ons ervan te verzekeren dat de Persoonsgegevens zorgvuldig behandeld worden. In concreto betekent dit dat:

  • De gegevens goed beschermd dienen te worden: toereikende beschermingsmaatregelen dienen genomen te worden om ervoor te zorgen dat enkel ‘geautoriseerde’ personen toegang hebben tot de gegevens en dat er geen ongeoorloofde toegang mogelijk is.
  • De gegevens moeten met de nodige zorgvuldigheid behandeld worden, er dienen maatregelen genomen te worden om te voorkomen dat de gegevens verloren geraken (bijvoorbeeld: het verlies van USB stick, laptops, papieren dossiers,…).
  • Gegevens mogen enkel gekopieerd worden op andere systemen, apparaten (bijvoorbeeld laptops) of locaties wanneer dit werkelijk vereist is. Gekopieerde gegevens dienen eveneens beschermd te worden.
  • Wij delen deze gegevens niet met andere partijen (extern of binnen ons netwerk), tenzij met de expliciete toestemming van de klant.
  • Wij vragen en verzamelen enkel Persoonsgegevens van onze klanten die echt nodig zijn voor de te bereiken doeleinden, we informeren de klant over deze doeleinden en zullen de Persoonsgegevens enkel gebruiken voor deze doeleinden.
  • Wij bewaren de Persoonsgegevens enkel zo lang wij deze nodig hebben. Het archiveringsbeleid zal in dit opzicht bekeken worden. Voor sommige product lines wordt dit bepaald door regelgeving en professionele richtlijnen (bijvoorbeeld: audit, accountancy,…).

Het dient opgemerkt te worden dat sommige van deze principes niet alleen relevant zijn voor ‘Persoonsgegevens’ maar voor ‘gegevens in het algemeen’ die we van onze leveranciers ontvangen.

Persoonsgegevens verzameld van onze leveranciers voor administratieve doeleinden

Voordat wij diensten kunnen ontvangen van onze nieuwe en bestaande leveranciers , zijn wij ingevolge onze acceptatieprocedures verplicht om bepaalde gegevens van de leverancier te verzamelen. Sommige van deze gegevens zijn Persoonsgegevens, zoals contactgegevens, informatie met betrekking tot het bestuur, kopieën van identiteitskaarten (in het kader van anti-witwaswetgeving),… Deze gegevens worden bijgehouden in onze leverancierdossiers. Gelet op de gevoeligheid dienen deze gegevens goed beschermd te worden.

Van zodra wij hun diensten ontvangen, worden deze gegevens gebruikt voor administratieve doeleinden en worden zij bijgehouden in onze interne ERP systemen en databanken.  Onze leveranciers verwachten dat wij deze gegevens bijhouden om met hen volgens afspraak te kunnen samenwerken. Deze gegevens betreffen voornamelijk administratieve gegevens. Het gevoeligheidsniveau is derhalve eerder beperkt. We dienen er echter zorg voor te dragen dat wij deze gegevens up-to-date houden en dienen te voorkomen dat deze publiek beschikbaar worden.

De persoonsgegevens die bewaard worden zijn de volgende:

Persoonlijke identificatiegegevens:

Naam, adres, telefoonnummer, e-mailadres

Andere identificatiegegevens:

Algemene facturatiegegevens

5.3 Gegevens van sollicitanten

We verzamelen en verwerken Persoonsgegevens van potentiële kandidaten voor rekruteringsdoeleinden.

Gegevensverwerking voor rekrutering

In het rekruteringsproces worden Persoonsgegevens van sollicitanten ontvangen (bijvoorbeeld wanneer individuen hun CV uploaden op de website of hun CV via e-mail toesturen). De Persoonsgegevens van sollicitanten zullen bestaan uit identificatiegegevens en gegevens over onderwijs en opleiding. Deze gegevens kunnen verwerkt worden op basis van de toestemming van de sollicitant in kwestie en kan gedeeld worden met personen betrokken bij het  rekruteringsproces binnen Wijngaard Natie. De gegevens mogen niet gedeeld worden met andere partijen buiten Wijngaard Natie tenzij met uitdrukkelijke toestemming van de sollicitant.

Indien de sollicitant wordt aangeworven dienen zijn/haar gegevens verwerkt te worden in het kader van de arbeidsrelatie of de zelfstandige samenwerking. Indien de sollicitant wordt afgewezen, dienen zijn/haar gegevens gewist te worden met inachtneming van de vereiste retentieperiode, tenzij de sollicitant ermee heeft ingestemd dat zijn/haar gegevens bewaard blijven met het oog op toekomstige rekruteringsprocessen.

5.4 Gegevens van werknemers

We verzamelen en verwerken Persoonsgegevens van onze eigen werknemers voor HR doeleinden.

Gegevensverwerking voor HR doeleinden

Alle organisaties, inclusief Wijngaard Natie Groep, beheren Persoonsgegevens van hun werknemers ten behoeve van payroll, evaluatie, loopbaanevolutie,…

De privacy verklaring voor werknemers verduidelijkt de gegevens verwerkt door Wijngaard Natie alsook hun doeleinden en de rechten van de betrokkenen. Specifieke richtlijnen zijn verstrekt aan de interne HR afdeling om deze gegevens op de juiste wijze te beheren.

5. Personal data at Wijngaard Natie and guidelines for its protection

Most Personal data we process is that of customers, suppliers, job applicants, employees, self-employed persons and sub-contractors. The main classes of Personal data which are processed and the purposes for which these are processed are listed below.

5.1 Customer data

We collect and process the Personal data of our customers and in doing so distinguish three types of “Processing”:

  • to provide our services and for administrative purposes (invoicing, contracts, etc.);
  • for commercial purposes.

Personal data obtained from our customers for the provision of our services

Personal data is processed in the context of the contract the customer has agreed with us.

Personal identification data:

Name, address, telephone number, email address

Other identification data:

General invoicing data

Only the customer account managers have access to the Personal data of the customer and can consult same in the context of the provision of services to the customer. Access to customer data is recorded and “unauthorized access” to Personal data is reported to the DP Coordinator.

Apart from this we must ensure that Personal data is handled with care. Specifically this means:

  • The data must be well protected: adequate protective measures must be adopted in order to ensure that only “authorized” persons have access to the data and that no unauthorized access is possible;
  • The data must be treated with the necessary care. Measures must be taken to prevent the data from being mislaid (for example, the loss of USB sticks, laptops, documents, etc.).
  • Data may only be copied to other systems, apparatus (e.g. portables), or locations when this is really necessary. Copied data must also be protected.
  • We do not share this data with other parties (whether external or on the in-house network) unless the customer has given express permission to do so.
  • We only request and collect the Personal data of our customers that is truly necessary for the desired objectives, we inform the customer about these objectives and use the Personal data only for these purposes.
  • We retain the Personal data only as long as we need them. Our archiving policy in this respect will be reviewed. For some product lines this is governed by regulation and professional guidelines (for example auditing, accounting, etc.).

It should be remarked that some of these principles are not only relevant to “Personal data” but also to the “general data” that we receive from our customers.

Personal data collected for commercial purposes for existing and prospective customers 

We also keep customer data in our CRM system for commercial purposes. This system contains data about our existing customers, former customers and prospective customers. This information is used for following up commercial opportunities, as well as for direct marketing and mail shots.

The customer must be informed regarding the use of his/her data for commercial purposes. If the customer does not consent to the use of his/her data for commercial purposes, the data may not be used for such purposes any longer. Best practice consists of requiring a positive action by the party concerned to give consent (for example, checking a box in a form). Deducing consent from a lack of action (for example unchecking a box that has already been checked) is insufficient.

It is permissible to use the contact details of existing customers for direct marketing purposes as we already have a contractual relationship with them. The main area of concern is not to send messages to customers if they have chosen not to receive any more direct marketing messages (the “opt out”). When customers choose for the “opt out” they may no longer be contacted.

The personal data of prospective and former customers may only be processed if they have given permission for such.

Personal data that is left behind by individuals on the website may be processed so that they can be provided relevant information about our services. If we send them direct marketing messages that bear no relation to their questions we must first obtain their explicit consent to such.

The following personal data is kept:

Personal identification data:

Name, address, phone number, email address

Other identification data:

General invoicing data

5.2 Supplier data

We collect and process the Personal data of our suppliers and in doing so distinguish two types of “Processing”:

  • data processing for the provision of our services;
  • for administrative purposes (invoicing, contracts, etc.);

Personal data obtained from our suppliers for the provision of our services

Personal data is processed in the context of the contract the supplier has agreed with us.

The personal data retained is the following:

Personal identification data:

Name, address, telephone number, email address

Other identification data:

General invoicing data

 

When we receive services from our suppliers, we receive and process the Personal data of their employees, suppliers and customers. This is the case for most of the product lines. For some product lines, Personal data is processed on a regular basis. This is for example the case for Human Capital, Interim Management, Payroll services, etc. where data protection requires more attention.

Only an authorized representative of the supplier can be given access to and be allowed to consult the Personal data of the suppliers in the context of the provision of services by the supplier. Any access of customer data is recorded and “unauthorized access” to Personal data is reported to the DP coordinator.

 

Apart from this we must ensure that Personal data is handled with care. To be specific this means that:

  • The data must be properly protected: adequate protective measures must be adopted to ensure that only “authorized persons” have access to the data and that no unauthorized access is possible.
  • The data must be processed with the necessary caution, measures must be taken to stop data from being lost (for example the loss of USB sticks, laptops, documents, etc.).
  • Data may not be copied to other systems, apparatus (e.g. portables), or locations except when strictly necessary. Copied data must also be protected.
  • We do not share this data with other parties (either externally or on our own network) unless we have the express authorization of the customer.
  • We only request and collect that Personal data from our customers which is absolutely essential for our purposes, we inform the customer about our objectives and will only use the Personal data for these purposes.
  • We retain the Personal data only so long as we have need of it. Our archiving policy in this respect will be reviewed. For some product lines this is determined by regulation and professional guidelines (for example: auditing, accounting, etc.).

It should be pointed out that these principles are relevant not just to “Personal data” but also to the “general data” that we receive from our suppliers.

Personal data collected from our suppliers for administrative purposes

Before we can receive services from new and existing suppliers, we are obliged by our acceptance procedures to collect certain details about the supplier. Some of these details are Personal data, such as contact details, information about the management, copies of identity cards (in the context of money-laundering legislation), etc. This data is retained in our supplier account files. In view of their sensitivity this data must be properly protected.

As soon as we receive their services, the data is used for administrative purposes and retained in our internal ERP systems and databases. Our suppliers expect us to retain this data so that we can work with them as agreed. The data retained is primarily of an administrative nature. Their sensitivity is therefore limited. Nonetheless we must ensure that we keep this data up to date and prevent it from becoming publicly accessible.

The personal data retained is the following:

Personal identification data:

Name, address, telephone number, email address

Other identification data:

General invoicing data

5.3 Data of job applications

We collect and process the Personal data of potential employees for recruitment purposes.

Data processing for recruitment

The personal data of job applicants is received as part of the recruitment process (for example when applicants upload their CVs to the website, or submit their CVs by email). The Personal data of job applicants comprises identifying data and details about education and training. This data may be processed further to the consent of the job applicant concerned and may be shared with persons involved in the recruitment process within Wijngaard Natie. The data may not be shared with third parties external to Wijngaard Natie unless the job applicant gives his/her express consent to such.

Should the job applicant be recruited his/her data must be processed in the context of the employment relationship or the self-employed collaboration. Should the applicant be rejected, his/her data must be deleted have regard for the required retention period, unless the applicant has consented to his/her data being retained with a view to future recruitment processes.

5.4 Employee data

We collect and process Personal data concerning our employees for HR purposes.

Data processing for HR purposes

All organizations, including Wijngaard Natie Groep, administer the Personal data of their employees for payroll purposes, for assessment, career guidance, etc.

The privacy statement for employees clarifies the data processed by Wijngaard Natie as well as their purpose and the rights of the parties concerned. Specific directives are given to the internal HR department to ensure that this data is correctly managed

6. Inbreuk in verband met persoonsgegevens

Als organisatie die Persoonsgegevens verwerkt, heeft Wijngaard Natie de verplichting om bepaalde inbreuken met betrekking tot Persoonsgegevens te melden aan de bevoegde toezichthoudende overheid uiterlijk 72 uur nadat zij er kennis van genomen heeft. Wijngaard Natie moet eveneens een register bijhouden met Inbreuken op Persoonsgegevens.

Een inbreuk op Persoonsgegevens bevat meer dan louter het verliezen van Persoonsgegevens. Een inbreuk in verband met Persoonsgegevens betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Voorbeelden van inbreuken op Persoonsgegevens zijn:

  • het verlies van een USB stick, documenten of GSM (gelet op het feit dat u via uw GSM toegang heeft tot uw e-mail, wensen wij dit te weten);
  • het versturen van Persoonsgegevens naar een fout adres (bijvoorbeeld via e-mail);
  • computerapparatuur die Persoonsgegevens bevat en die verloren raakt of wordt gestolen;
  • het verliezen van een hard copy bestand;
  • het openen van een bijlage van een e-mail met virus die ertoe leidt dat de computerapparatuur niet meer beschikbaar is;
  • het verkeerd reageren op fishing pogingen die leiden tot het openbaar maken van paswoorden;
  • ..

Hiervoor hebben wij uw hulp nodig. Indien u op de hoogte bent van een inbreuk in verband met Persoonsgegevens, neem dan zo snel mogelijk contact op met de Data Protection Coördinator van Wijngaard Natie via gdpr@wijngaardnatie.be

6. Inbreuk in verband met persoonsgegevens

As an organization that processes Personal data, Wijngaard Natie is required to report certain breaches relating to Personal data to the authorized supervisory authority at the very latest 72 hours after it has learned of such. Wijngaard Natie is also required to keep a register of Personal Data Breaches.

A Personal data breach is more than the mere loss of Personal data. A Personal data breach constitutes a breach which entails either an accidental or unlawful loss of Personal data, its alteration or an unauthorized access to data that has been transmitted, stored or processed in some other way.

Examples of Personal data breaches are:

  • the loss of a USB stick, documents, or mobile phone (in view of the fact that your mobile phone has access to your email, we need to know should it be lost);
  • the transmission of Personal data to an incorrect address (e.g. by email);
  • computer equipment that contains Personal data and which is either lost or stolen;
  • the loss of a hard copy file;
  • opening an email attachment that contains a virus or a trojan, which results in the computer no longer being available;
  • reaction to phishing attempts resulting in the disclosure of a password;
  • others

To do this we need your help. If you are aware of a breach in connection with Personal data, get in touch as quickly as possible with the Data Protection Coordinator of Wijngaard Natie via gdpr@wijngaardnatie.be

7. Wie te contacteren voor vragen en bedenkingen

Indien u vragen of bedenkingen heeft met betrekking tot dit Beleid kan u contact opnemen met onze DP coördinator via  gdpr@wijngaardnatie.be.

7. Who should you contact with your questions and comments

If you have any questions or comments relating to this Policy, you may contact our DP coordinator via  gdpr@wijngaardnatie.be.