Privacy Statement

1         Vooraf

Wij respecteren de privacy van onze werknemers, van onze klanten en bezoekers van onze website, en van onze leveranciers en partners. We gaan dan ook zorgvuldig om met eenieders persoonsgegevens. Deze privacy policy bespreekt de bedrijfspolitiek die wij, verwerkingsverantwoordelijke, hanteren inzake de verwerking en de bescherming van persoonsgegevens, en die ons toelaat te werken conform de GDPR, de Algemene Verordening tot bescherming van persoonsgegevens, van kracht sedert 25 mei 2018.

2         Belang van persoonsgegevens in onze onderneming

Als vastgoedkantoor bestaat onze rol in het te koop en te huur stellen van panden via verkoop- of verhuuropdrachten, en in een bemiddelingsrol in het kader van deze opdrachten. Persoonsgegevens spelen hierin een heel belangrijke rol. We brengen koper/huurder en verkoper/verhuurder samen, en om dat te doen worden heel wat persoonsgegevens verwerkt. Dat betreft zowel identiteit als contactgegevens, maar ook huurbudget, koopbudget, wensen in verband met het pand, foto’s van het pand etc.

We werken in een concurrentiële sector.  Dat betekent dat onze klant, kandidaat-huurder of kandidaat-koper zal verwachten dat wij zijn of haar persoonsgegevens met respect en conform de GDPR verwerken.

We werken ook in een lokale en heel concurrentiële sector aan de aanbodzijde. Dit betekent dat we rechtstreeks of via lokale contacten op de hoogte kunnen worden gebracht van zaken die op de vastgoedmarkt hangende zijn, én dat we dit nodig hebben om kort op de bal te kunnen spelen bij specifieke gebeurtenissen of verwachte gebeurtenissen. Dit kan tot spanningen leiden die neigen naar “onvoorzichtiger” verwerkingen van persoonsgegevens.

Vandaar het belang van een bedrijfsbeleid rond persoonsgegevens.

3         Doel van deze privacy policy

Deze privacy policy is ons “bedrijfsbeleid inzake persoonsgegevens”. Het is een intern document waarin we uitleggen hoe we de GDPR toepassen op ons kantoor. We leggen ook uit welke keuzes we kunnen maken, welke keuze we effectief maken en waarom (de motivatie). We doen dat zowel voor de opslagperiodes als voor de wettelijke basissen voor de verwerkingen.

Wanneer we persoonsgegevens verzamelen, moeten we de betrokkene informatie geven. We bespreken hier hoe we dit doen.

De GDPR heeft ook impact op documenten (zoals contracten, website, …) die in ons kantoor worden gebruikt, op onze manier van werken met leveranciers en op onze interne organisatie (bijvoorbeeld beveiliging). We bespreken deze kort.

Ten slotte heeft een betrokkene rechten die hij of zij tegenover ons kan uitoefenen. We bespreken hoe we hiermee omgaan.

De privacy policy omvat dus drie grote domeinen:

  • De keuzes die we als onderneming maken over hoe we persoonsgegevens van onze klanten verwerken.
  • De communicatie met onze klanten.
  • De veranderingen op vlak van de interne organisatie.

Het privacy statement bevat in grote lijnen de persoonsgegevens en hun verwerkingen van klanten in ruime zin. We herhalen dit hier niet.

4         Keuzes die we als onderneming maken over hoe we persoonsgegevens van onze klanten verwerken

De GDPR is geen draaiboek dat precies aangeeft welke persoonsgegevens mogen worden verwerkt, hoe lang en waarvoor. We vinden er geen pasklare regels in terug die uitleggen hoe we moeten omgaan met spanningen tussen verwerking en bescherming.

Elke onderneming heeft de verplichting om haar verwerking van persoonsgegevens in overeenstemming te brengen met de GDPR. Soms zal het volstaan de juiste wettelijke basis te bepalen en bvb. de toestemming van betrokkenen te bewaren.  Soms zal het nodig zijn om een goed onderbouwde motivatie te vinden voor bepaalde verwerkingen. Bij het opbouwen van die motivatie kan het zijn dat we aan de verwerkingen interne randvoorwaarden of beperkingen moeten opleggen. Soms kan het nodig zijn om redelijk ingrijpende veranderingen aan bedrijfsprocessen aan te brengen om ze in overeenstemming met de GDPR te brengen.

De keuzes omvatten:

  • Op welke wettelijke basissen baseren we onze verwerking?
  • Welke extra motivaties moeten we geven?
  • Welk processen moeten we aanpassen?
  • Welke opslagperiodes houden we aan en waarom?
  • Wat doen we om risico’s beperkt te houden?

4.1        Hoe bepalen we de wettelijke basis voor onze verwerkingen?

Elke verwerking moet “rechtmatig” gebeuren, dat betekent dat ze een wettelijke basis moet hebben. In onze sector zijn er 4 wettelijke basissen voor de verwerking van persoonsgegevens:

  • De verwerking waartoe we wettelijk verplicht zijn;
  • De persoonsgegevens nodig om een contract te kunnen uitvoeren;
  • De toestemming die een klant geeft om zijn of haar persoonsgegevens te verwerken;
  • Het gerechtvaardigd belang dat wij als onderneming hebben.

Wat betreft de wettelijke verplichting: hier hebben we geen keuze: als de wetgever ons verplicht persoonsgegevens te verzamelen in het kader van de antiwitwaswetgeving, dan moeten we dit doen.

Om een overeenkomst te kunnen uitvoeren moeten bepaalde persoonsgegevens worden verwerkt. Van zodra de klant een overeenkomst (bijvoorbeeld een verkoopopdracht) ondertekent, is hij verplicht de persoonsgegevens mee te delen die voor het uitvoeren van de overeenkomst nodig zijn[1]. Ook in de precontractuele fase kan het nodig zijn dat we bepaalde gegevens moeten verwerken, precies om de overeenkomst te kunnen opstellen[2].

Een klant kan ook toestemming geven om een bepaalde persoonsgegevens te verwerken voor een bepaald doeleinde. Hij of zij moet die toestemming actief geven, dat betekent gewoon dat we niet mogen zeggen: u geeft u toestemming tenzij u expliciet zegt dat u ze niet geeft. De toestemming moet ook voor een bepaald doeleinde zijn[3].

Ten slotte hebben we ons gerechtvaardigd belang. Als vastgoedmakelaar, om ons werk degelijk te kunnen doen, is het nodig dat we bepaalde verwerkingen kunnen doen zonder de toestemming van een klant. Het gaat om die persoonsgegevens en die verwerkingen waarvan de klant kan verwachten dat we ze zullen uitvoeren of gebruiken zonder dat hiervoor een contract of toestemming nodig is.

Voor elke verwerking die we doen moeten we overwegen welke wettelijke basis de beste is. We geven hieronder de kenmerken van elk:

 

Gerechtvaardigd belang

Toestemming

Uitvoering overeenkomst

Wettelijke basis uitvoeren (= de klant meekrijgen)

eenvoudig

 

iets omslachtiger

 

omslachtig

 

Hoe sterk is de wettelijke basis

Dit als ‘vangnet’ gebruiken om geen toestemming te moeten vragen kan misbruik zijn

sterk als bewijs van toestemming sterk is

heel sterk

Voordeel

snel op te zetten

 

Met de juiste toestemming is elke verwerking mogelijk

 

Alle verwerkingen die nodig zijn voor de uitvoering van de overeenkomst zijn toegelaten

Nadeel

Een klant kan gemakkelijk bezwaar hebben tegen de verwerking

Toestemming intrekken is eenvoudig en kan altijd.

 

Een overeenkomst afsluiten is omslachtig; in tegenstelling tot een toestemming hebben wijzelf ook contractuele verplichtingen

 

4.1.1        In welke gevallen gebruiken we “het contract” als wettelijke basis?

We gebruiken het contract als wettelijke basis in het kader van een verhuur- of verkoopopdracht, in onze relatie met de verhuurder of verkoper. In de overgang van ‘prospectie’ naar de ‘precontractuele fase’ wordt dezelfde wettelijke basis gebruikt, zoals de GDPR dit ook aanvaardt.

4.1.2        In welke gevallen gebruiken we “toestemming” of het “gerechtvaardigd belang” als wettelijke basis?

Langs de kant van de kandidaat-huurder of kandidaat-koper, van de loutere bezoeker, van de persoon die gebruik maakt van vrijblijvende diensten is het op vandaag niet wenselijk of is het onnodig met een overeenkomst te werken. Dit zou een te formele samenwerking zijn die deze personen eigenlijk niet willen. In dat geval moeten we bepalen of toestemming dan wel gerechtvaardigd belang de wettelijke basis is voor onze verwerkingen.

Het standpunt dat we innemen is dat we voorrang geven aan de toestemming en dus toestemming gebruiken als dat mogelijk is. Er zijn twee gevallen waar dit niet mogelijk is.

1°) Een pandbezoek door een kandidaat-koper betekent dat wij zijn of haar gegevens zullen doorgeven aan de verkoper bij een niet-succesvolle verkoopopdracht. Hij kan dat na het pandbezoek niet meer weigeren. Daarom is de toestemming hiervoor niet geschikt, want een toestemming kan je intrekken en daarna is verwerking op basis van die toestemming niet meer toegelaten. Het gaat dus om gevallen waar een activiteit een verplichte gegevensverwerking met zich meebrengt later. In dat geval gaat het om een (dwingend) gerechtvaardigd belang.

2°) Als we informatie omtrent een pand of omtrent eigenaars verzamelen buiten hun medeweten om, doen we dit uit een gerechtvaardigd belang. We bespreken verder hoe met de verplichting tot mededeling om te gaan in dit geval.

Enkel voor het triviale, direct marketing, baseren we ons enkel op het gerechtvaardigd belang. Een bezwaar wordt daar automatisch verwerkt.

4.2        Welke extra motivaties moeten we aanpassen?

Voor de meeste verwerkingen blijkt uit de verwerking zelf waarom we die nodig hebben, en is er geen extra motivatie nodig. Voor een beperkt aantal processen is dat wel nodig.

4.2.1        Bewaren van informatie van “informanten” e.a.     

In de vastgoedsector is het cruciaal verkoopsopdrachten binnen te halen. Dit is een lokale en heel concurrentiële markt. Het komt er dus op aan als eerste informatie omtrent panden of eigenaars te verkrijgen. Het is ook informatie die om de paar jaar vernieuwd wordt, en het gaat potentieel om vrij omvangrijke informatie, die eventueel met meerdere medewerkers of collega’s moet worden gedeeld. Deze informatie moet daarom worden vastgelegd in Omnicasa. We hebben duidelijk een gerechtvaardigd belang om dit te doen.

4.2.2        Actieve prospectie

Bij actieve prospectie gebruiken we ofwel de informatie die we in Omnicasa hebben ingegeven, of door de verkoper publiek gemaakte informatie om een (potentiële) verkoper zelf te contacteren.

Het al dan niet contacteren van een verkoper op basis van een door hem of haar gemaakte advertentie, is geen vraagstuk van persoonsgegevens maar van handelspraktijken.

Tijdens het contact zullen we wellicht nieuwe gegevens te weten komen. Om deze gegevens te mogen verwerken en voor verdere contacten hebben we de toestemming van de verkoper nodig. Geeft hij die ons, dan kunnen we verder. Weigert hij die, dan bewaren we enkel nog voor het betreffende pand dat we de eigenaar niet mogen contacteren.

Vraagt de verkoper ons alle gegevens die we van hem hebben te wissen, dan roepen we ons dwingend gerechtvaardigd belang in. Enerzijds (zie verder) hebben we de nodige maatregelen om met deze informatie zorgvuldig om te springen, zodat de betrokkene hier geen risico heeft. Anderzijds hebben we het recht om informatie omtrent afgelopen contacten gedurende een zekere tijd te bewaren, voor zover we met deze gegevens niets anders doen.

4.2.3        Lijst van kandidaat-kopers

Het is om meerdere redenen mogelijk dat de verkoopsopdracht die een verkoper ons heeft toevertrouwd eindigt zonder de verkoop van het pand. In dat geval ontvangt de verkoper na beëindiging van onze opdracht de lijst van de kandidaat-kopers die het pand hebben bezocht of ernstige interesse erin hebben getoond. Deze lijst bevat persoonsgegevens van deze kandidaat-kopers, met name naam en voornaam, e-mailadres en het gsm-nummer, dit laatste eventueel gedeeltelijk afgeschermd.

Deze lijst is nodig in het kader van het no cure no pay verloningssysteem. We worden betaald op commissie, en indien een verkoop plaatsvindt binnen de 6 maand na beëindiging van de opdracht, waarbij de koper op de lijst van de kandidaat-kopers voorkomt, dan is de verkoper ons de contractueel overeengekomen commissie schuldig. Dit is een rechtvaardige en noodzakelijke manier van werken voor een duurzaam vergoedingsmodel en voor de juiste verloning van onze diensten. Het is hierin essentieel dat de verkoper na de beëindiging van de opdracht kennis heeft van de lijst van de kandidaat-kopers. De verkoper wil namelijk zeker zijn dat wij geen namen toevoegen aan de lijst. De verkoper moet over de lijst ook zijn of haar akkoord kunnen geven.

Finaal betekent dit dat een kandidaat-koper die voldoende interesse toont in het te koop aangeboden pand, op die lijst komt te staan, of hij daarmee akkoord is of niet. Het gaat dus om ons dwingend gerechtvaardigd belang.

4.3        Welke processen moeten we aanpassen?

Een beperkt aantal processen zijn niet GDPR-conform en moeten worden aangepast.

4.3.1        Lijst van kandidaat-kopers

Met de invoering van de GDPR moeten we een paar veranderingen uitvoeren bij de opmaak en doorsturen van de lijst van kandidaat-kopers.

1°) De verkoper wordt, ook als particulier, verwerkingsverantwoordelijke van deze lijst. We geven de verkoper op deze lijst niet meer rechten dan nodig om zijn rechten en plichten met betrekking tot de verkoopopdracht te kennen.

In deze lijst worden genoeg persoonsgegevens opgenomen om met 100 % zekerheid te kunnen zeggen of de bepaalde koper al dan niet op de lijst staat, en om een akkoord over de lijst te krijgen. We maskeren het gsm-nummer wel gedeeltelijk.

2°) De kandidaat-koper moet hiervan op de hoogte worden gebracht.

4.3.2        Rapport van activiteiten

Elke verkoper heeft online toegang tot een rapport van activiteiten omtrent het pand. Met de invoering van de GDPR is het moeilijk te verantwoorden dat hierin nog persoonsgegevens worden meegedeeld. Als de verkoop immers doorgaat, dan hoeft de verkoper de identiteit van de overige kandidaat-kopers niet te kennen. En het gedeeltelijk verbergen van naam, e-mailadres en telefoonnummer is voldoende voor de verkoper om de lijst van kandidaat-kopers te kunnen verifiëren, mocht hij die lijst ontvangen.

4.4        Welke opslagperiodes houden we aan + waarom?

We hebben al gezegd dat de GDPR geen receptenboek is dat op elke vraag een eenduidig antwoord heeft.

4.4.1        Wettelijk bepaalde termijnen

Als onze contractuele aansprakelijkheid tien jaar bedraagt, dan moeten we alle persoonsgegevens die betrekking hebben op dit contract tien jaar na hun laatste gebruik bewaren. Wil een klant die al na 5 jaar (dus 5 jaar na het laatste gebruik) absoluut verwijderd zien, dan moet hij ermee instemmen dat hij alle rechten met betrekking tot het contract verliest, dat hij elk verhaal (bvb. voor onze aansprakelijkheid) laat vallen.

Als de mogelijkheid van buitencontractuele aansprakelijkheid bestaat (zoals bij gratis schatting, of bij pre-screening van huurders), dan houden we alle persoonsgegevens minstens vijf jaar bij.

In het kader van de wetgeving inzake BTW, boekhouding, anti-witwas, houden we die gegevens bij die hiervoor nodig zijn, en dit gedurende de tijd bepaald in die wetgeving, zoals die geregeld wijzigt.

4.4.2        Opslagperiodes waarvoor we de keuze hebben

Wat de niet-wettelijk bepaalde opslagperiodes betreft, vraagt de GDPR dat we de persoonsgegevens zo lang opslaan als nodig voor de doeleinden waarvoor ze worden verwerkt, alsook voor de doeleinden die hiermee verenigbaar zijn. Dit laatste geeft wat marge bij de beoordeling van de opslagperiode.

Verwerking

Keuzemogelijkheden

Newsletters

Verwijderen bij uitschrijving

Zoekopdrachten huur

na zes maand zonder activiteit op de website verwijderen (indien activiteit meetbaar is).

Zoekopdrachten koop

na 2 jaar verwijderen.

Kandidaat-huurder

na 6 maand verwijderen.

Kandidaat-koper

na 2 jaar verwijderen.

Huurder

Wettelijk bepaalde (10 jaar)

Koper

30 jaar (lange termijn relatie)

Verkoper

30 jaar (lange termijn relatie)

Verhuurder

30 jaar (lange termijn relatie)

Prospect-verkoper

informatie wordt bewaard zolang we denken dat ze nuttig kan zijn.

 

 

5         De communicatie met onze klanten

Communicatie met de klant is cruciaal. Verwerking van persoonsgegevens moet transparant zijn. Dat betekent dat we open moeten zijn hoe we persoonsgegevens verwerken, en dat we de klant daarvan op beknopte en op begrijpelijke wijze moeten informeren.

Communicatie omvat:

  • De klant op het ogenblik dat we zijn gegevens verzamelen, melden waarvoor we dat doen, en hoe lang we die gegevens zullen verwerken.
  • De klant op het ogenblik dat we zijn gegevens verzamelen, ook uitleg geven over zijn of haar rechten met betrekking tot die verwerking.
  • Bevestiging of bewijs van de toestemming.
  • Hoe omgaan met een klant die zijn of haar rechten wil uitoefenen, en dus: hoe omgaan met een verzoek van een klant?

5.1        Mee te delen informatie op het ogenblik dat we de persoonsgegevens opvragen

Elke verwerking, zowel die waarvoor we de toestemming verkrijgen, als die die we uitvoeren in het kader van een overeenkomst, alsook die waarvoor we een wettelijke verplichting hebben, én waarvoor we ons gerechtvaardigd belang inroepen, moeten we meedelen aan de klant.

De uitleg moet bondig en begrijpelijk zijn. Dat betekent dat we niet alles in detail moeten uitleggen, en het dus vrij algemeen kunnen houden.

5.1.1        Wat delen we mee?

We moeten twee types informatie geven aan de betrokkene:

  • informatie over de verwerking:
    1. “Wij zijn C&D Partners BVBA”.
    2. “We hebben de gegevens nodig om [doeleinde]; we hebben hiervoor uw akkoord nodig”. Als we ons baseren op de toestemming moeten we altijd erbij zeggen dat de toestemming kan worden ingetrokken.
    3. “Normaal bewaren we deze gegevens gedurende [opslagperiode]”.
  • Informatie over de rechten.
5.1.2        Hoe delen we dat mee?
5.1.2.1         Contact per email

Het volstaat dat we in onze reply-e-mail verwijzen naar de privacy statement, met een rechtstreekse link daarnaartoe.

5.1.2.2         Contact via de website

Op de website wordt op die plaatsen waar persoonsgegevens worden ingezameld op een zichtbare plaats verwezen naar de privacy statement. We moeten geen bevestiging vragen dat ze die hebben gelezen.

5.1.2.3         Contact via het kantoor

We hebben de keuze ofwel de privacy statement afgedrukt mee te geven, of de informatie mondeling te verschaffen. Als we de informatie mondeling geven, kunnen we daar kort en duidelijk in zijn. De meeste mensen zijn begripsvol dat we hun gegevens gebruiken voor normale doeleinden. 

Voorbeeld: “U hebt een recht van inzage, het recht de fouten te verbeteren, gegevenswissing te vragen, het recht bezwaar te hebben tegen een verwerking. Als u een klacht hebt, kan u bij de gegevensbeschermingsautoriteit terecht, maar we hebben natuurlijk liever dat u ons direct contacteert om u te kunnen helpen”.

Worden er meer vragen gesteld, dan kunnen we ofwel verwijzen naar het privacy statement, ofwel die zelf ter hand nemen, om wat dieper in te gaan op de vraag.

5.1.2.4         Telefonisch contact

Gebeuren de contacten uitsluitend telefonisch, dan kunnen we opnieuw de informatie en de rechten mondeling meedelen en verwijzen naar de website.

5.1.2.5         Mededeling aan de kandidaat-koper ivm de lijst van kandidaat-kopers

Gebeuren de eerste contacten per e-mail, en bevat onze e-mail een verwijzing naar de privacy statement, dan volstaat dit als mededeling.

Gebeuren de contacten van onze kant uitsluitend per telefoon, dan melden we, ten laatste wanneer een afspraak vastgelegd wordt, dat we deze gegevens bewaren voor onze contractuele verplichtingen met de verkoper, en dat het mogelijk is dat we de naam van de persoon aan de verkoper geven, onder heel strikte voorwaarden.

5.1.2.6         Mededeling bij actieve prospectie

Bij actieve prospectie zal uit de communicatie blijken welke informatie we van de geprospecteerde bewaren. De mededeling gebeurt dan ook in het kader van die bewaarde informatie.

5.1.2.7         Mededeling bij het bewaren van zelf verkregen informatie

De zelf verkregen informatie kan een zakelijk voordeel opleveren, en maakt daarom deel uit van ons zakengeheim. We zijn niet verplicht mee te delen dat we deze informatie verzamelen.

5.2        Bevestiging of bewijs van de toestemming

Als verantwoordelijke moeten we kunnen bewijzen dat een betrokkene zijn toestemming heeft gegeven.

Geeft de betrokkene zijn toestemming per e-mail, dan volstaat dit uiteraard. Bij alle online gegeven toestemmingen versturen we standaard een e-mail die de bevestiging van de toestemming inhoudt.  Gebeurt de toestemming mondeling op kantoor of per telefoon, dan vragen we aan de klant of hij of zij een bevestiging per sms of per e-mail wenst van de toestemming, in welk geval we gsm-nummer of e-mail adres krijgen. Wenst de klant dat niet, dan is daar geen spoor van, wat voor ons acceptabel is omdat toestemming niet voor gevoelige informatie wordt gevraagd.

Als een klant evenwel zelf ras, geloof, seksuele geaardheid of gezondheid als element aangeeft in de zoektocht naar een geschikt pand, is een strenger bewijs van de toestemming nodig. Dan wordt de toestemming ofwel schriftelijk bekomen, ofwel bevestigd door de klant in een reply sms of reply-e-mail.

5.3        Hoe omgaan met het verzoek van een klant?

Elke persoon heeft een aantal rechten met betrekking tot zijn/haar persoonsgegevens. Daartoe richt hij/zij ons een verzoek. We moeten om twee redenen aandacht besteden aan dergelijke verzoeken. Vooreerst zullen mensen normaal op informele wijze vragen wat ze willen vragen. Als het op dergelijke formele manier gebeurt kan er meer aan de hand zijn, en is een goede opvolging hiervan belangrijk. Bovendien moeten we opletten dat diegene die iets vraagt wel diegene is die hij/zij zegt te zijn. Zoniet riskeren we problemen.

We zullen daarom altijd de identiteit checken van diegene die ons iets vraagt, en dit doen op basis van een kopie van de identiteitskaart, per e-mail of via een bezoek aan het kantoor. Bovendien hebben we een maand om op het verzoek te antwoorden. We moeten dus niet overhaast te werk gaan.

Is een verzoek om een of andere reden verdacht of delicaat, dan wordt dat intern besproken en beslist, eventueel na gespecialiseerd extern advies.

5.3.1        Het recht op de hoogte te worden gebracht of persoonsgegevens van een betrokkene worden verwerkt

Elke persoon kan ons vragen of we persoonsgegevens van hem of haar bewaren.

5.3.2        Het recht op inzage

Elke persoon heeft het recht om alle gegevens die we over die persoon hebben in te kijken. Evenwel rust op ons een deontologische discretieplicht (art. 34 van de plichtenleer). Als er reden is om te denken dat de vraag naar inzage verdacht is, of als wij zelf bepaalde informatie hebben bewaard waarmee we discreet willen omgaan, dan behandelen we deze vraag ad hoc, eventueel na extern advies.

5.3.3        Het recht de toestemming in te trekken

Elke persoon heeft onvoorwaardelijk het recht zijn/haar toestemming in te trekken. Daar moet gevolg aan worden gegeven.

5.3.4        Het recht op bezwaar

Elke persoon heeft het recht bezwaar te hebben tegen een verwerking op basis van ons gerechtvaardigd belang. Heeft een persoon bezwaar tegen een verwerking op basis van ons dwingend gerechtvaardigd belang, dan zullen we dat geval per geval intern bespreken en beslissen, eventueel na gespecialiseerd extern advies.

5.3.5        Het recht op beperking

Wordt het recht op beperking ingeroepen, dan wijst dit op een geschil of een geschil in wording. Dit wordt geval per geval intern besproken en beslist, eventueel na gespecialiseerd extern advies.

5.3.6        Het recht op overdraagbaarheid van gegevens

Wij verwerken de persoonsgegevens niet automatisch, maar komen daarin manueel tussen. Het recht op overdraagbaarheid van persoonsgegevens is daarom niet op ons van toepassing.

6         De veranderingen op vlak van de interne organisatie

In de twee voorgaande punten hebben we besproken hoe we intern de verwerking van persoonsgegevens bepalen en onze keuzes motiveren, en hoe we onze klanten daarvan informeren en hoe we met hen communiceren. De GDPR heeft ook gevolgen voor onze interne werking:

  • De documenten die we gebruiken voor onze klanten moeten “GDPR-conform” zijn.
  • In onze relatie met leveranciers en met partners waarmee we persoonsgegevens doorgeven zijn er bijkomende voorwaarden voor de uitwisseling van deze gegevens, en moet dit contractueel worden geregeld.
  • We moeten maatregelen nemen die de beveiliging van de persoonsgegevens versterken. Op z’n minst moeten we de bestaande beveiligingsmaatregelen beschrijven.
  • We moeten weten hoe om te gaan met de volgende gebeurtenissen:
    • We worden gecontacteerd door de gegevensbeschermingsautoriteit.
    • Er treedt een datalek op.

6.1        Overzicht van de documenten waarop de GDPR een impact heeft

We geven hier een kort overzicht van de documenten die we in onze relatie met klanten gebruiken en die door de GDPR worden geïmpacteerd. Als een klant gedetailleerde vragen stelt over een bepaald contract of een bepaalde clausule, verwijzen we naar dit document zelf en de uitleg die bij dit document hoort.

Naam document

Functie

Impact door de GDPR

Privacy policy

Intern document dat beleid rond persoonsgegevens bevat.

Nieuw

Privacy statement

Bevat voor klanten in ruime zin uitleg hoe we met hun persoonsgegevens omgaan en welke rechten zij hebben.

Nieuw

Cooky policy

Algemene uitleg hoe met cookies wordt gewerkt.

Beperkt

Disclaimer

Algemene beperking van de aansprakelijkheid

Beperkt

Verkoopopdracht

Overeenkomst met verkoper

Verwerking van de persoonsgegevens van de verkoper; verplichtingen inzake de lijst van kandidaat-kopers

Verhuuropdracht

Overeenkomst met verhuurder

Verwerking van de persoonsgegevens van de verhuurder

Bod

 

Beperkt (document tussen particulieren)

Compromis

 

Beperkt  (document tussen particulieren)

Huurovereenkomst

 

Rechten en verplichtingen van huurder en verhuurder

E-mails uitgaande van kantoor

 

Bevatten ofwel altijd een link naar de privacy statement, ofwel minstens als om persoonsgegevens wordt gevraagd.

 

6.2        Veiligheidsmaatregelen

Technische beveiligingsmaatregelen, op software en hardwareniveau, besteden we uit aan onze IT-leverancier en softwareleverancier.

De maatregelen die wij nemen in het kader van de bescherming van persoonsgegevens zijn vooral organisatorisch.

We zorgen ervoor dat als externe mensen (klanten) in onze burelen aanwezig zijn, onze PC’s of laptops gelocked zijn in onze afwezigheid.

In alle programma’s waar persoonsgegevens worden verwerkt zorgen we ervoor dat elke persoon haar eigen login heeft (gebruikersnaam en paswoord) en gebruikt.

We vervangen wachtwoorden op regelmatige basis. En als een werknemer of een zelfstandige medewerker het kantoor verlaat, vervangen we meteen alle wachtwoorden.

We zoeken geen persoonsgegevens op als de zoekopdracht geen nut heeft.

Het is van belang dat medewerkers zich bewust zijn van de noodzaak zorgvuldig om te gaan met persoonsgegevens. Daartoe geven wij hun geregeld de nodige opleiding.

6.3        Omgaan met specifieke gebeurtenissen

6.3.1        We worden gecontacteerd door de gegevensbeschermingsautoriteit

De gegevensbeschermingsautoriteit heeft een vrij grote macht: ze heeft een uitgebreide onderzoeksbevoegdheid en kan maatregelen treffen zoals verbod op verwerking of administratieve boetes.

Een contactname door de gegevensbeschermingsautoriteit zal in eerste instantie een vraag zijn. Deze vraag behandelen we met de grootste zorg, ad hoc, en eventueel met extern gespecialiseerd advies.

6.3.2        We worden geconfronteerd met een datalek

Een datalek treedt op wanneer persoonsgegevens die wij beheren in het bezit komen van mensen die deze gegevens niet moeten hebben.

Een deel van de verantwoordelijkheid verplaatsen we naar leveranciers en partners, een deel van de verantwoordelijkheid dragen wij (zie veiligheidsmaatregelen).

Gezien onze grootte is het voor ons heel moeilijk na te gaan of lekken opgetreden zijn of niet, welke pogingen daartoe worden ondernomen.

Worden we ons bewust van een datalek, of van een waarschijnlijk datalek, dan behandelen we dit ad hoc, maar snel en ernstig.

6.4          Relaties per partners en leveranciers, zelfstandige medewerkers

Een aantal leveranciers of dienstverleners verwerken onze persoonsgegevens. Ze doen dit voor ons. Het gaat bijvoorbeeld om ons sociaal secretariaat, onze IT-leverancier, onze softwareleverancier. Met deze dienstverleners hebben we een speciale overeenkomst: DPA (Data Processing Agreement, of verwerkingsovereenkomst). Deze beschrijft onze en hun rechten en plichten.

Met sommige partners wisselen we persoonsgegevens uit, maar behandelen zij die verder onder hun verantwoordelijkheid. Het gaat bijvoorbeeld om notarissen, of EPC-experts. Aan hen melden we onder welke voorwaarden we de persoonsgegevens meedelen.

Met onze zelfstandige medewerkers hebben we een overeenkomst die een paar clausules rond persoonsgegevens bevat: hun rechten in verband met de persoonsgegevens die wij voor de uitvoering van het contract verwerken, hun plicht tot confidentialiteit van de persoonsgegevens waarmee zij in contact komen, en hun plicht om persoonsgegevens enkel te verwerken in het kader van hun opdracht.

6.5        Verwerking van persoonsgegevens van werknemers

Algemeen. De werkgever, zoals vermeld in het arbeidscontract, verwerkt als verwerkingsverantwoordelijke persoonsgegevens in het kader van zijn bedrijfsactiviteiten en beschouwt het van groot belang dat persoonsgegevens van de werknemer worden behandeld met de nodige zorg en confidentialiteit.

Persoonsgegevens. De term persoonsgegevens omvat alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven doeleinden verzameld.

De werkgever verzamelt op heden volgende persoonsgegevens van de werknemer:

  • identificatiegegevens (naam, voornamen, adres, kopie identiteitskaart, kopie rijbewijs, enz.);
  • persoonlijke gegevens (geboortedatum en -plaats, burgerlijke staat, taal, nationaliteit, geslacht, enz.);
  • gegevens m.b.t. de beroepsloopbaan (studies, bekwaamheidsprofiel, beroepservaring, certificaten, enz.);
  • gegevens betreffende de evaluatie van de prestaties;
  • gezinssamenstelling;
  • financiële gegevens (wedde, premies, enz.);
  • karakteristieken eigen aan het beheer van de contractuele voordelen;
  • karakteristieken van de arbeidsovereenkomst;
  • alle gegevens die de werkgever verplicht is te verzamelen op basis van wettelijke, reglementaire en administratieve verplichtingen.

 

Deze informatie wordt in de mate dat dit nodig is om aan de wettelijke bepalingen te voldoen doorgegeven aan het sociaal secretariaat, en aan de betreffende administraties, waaronder de RSZ.

Gronden voor de verwerking van persoonsgegevens. De verwerking van persoonsgegevens is gebaseerd op volgende rechtsgronden van artikel 6.1 van de Algemene Verordening Gegevensbescherming: de uitoefening van de arbeidsovereenkomst, het voldoen aan een wettelijke verplichting en de behartiging van de gerechtvaardigde belangen van de werkgever. De werknemer is verplicht deze persoonsgegevens mee te delen. Occasioneel kan aan de werknemer de toestemming worden gevraagd bepaalde persoonsgegevens te mogen verwerken. De werknemer kan te allen tijde deze toestemming intrekken.

Doeleinden. De verwerking van persoonsgegevens van de werknemer door de werkgever houdt verband met de volgende activiteiten en dient de hiernavolgende doeleinden:

  • de administratie van het personeel met inbegrip van de administratie van de financiële gegevens zoals de lonen, de wedden, de contractuele voordelen (hierbij inbegrepen de eventuele bedrijfswagen), verzekeringen en de terugbetaling van kosten;
  • het beheer van het personeel en het voeren van het personeelsbeleid, met inbegrip van de evaluatie van het personeel, het plannen van de vorming en van de loopbaan, het begeleiden van de loopbaan;
  • het voldoen aan alle wettelijke, reglementaire en administratieve verplichtingen en het naleven en toepassen van de sociale en fiscale wetgeving;
  • de planning van het werk, zowel administratief als organisatorisch, het plannen, opstellen en beheren van de dienstroosters of taken, teneinde de prestaties ten behoeve van en het factureren aan de klanten te kunnen beheren;
  • het beheer van de toegangscontroles (in het bijzonder de gebouwen, hierbij inbegrepen de parkings, alsook de telefoons, de gsm's en het computernetwerk);
  • het onderhouden en het verzekeren van de communicatie tussen de werkgever en haar personeelsleden;
  • het opstellen en bijhouden van statistieken;
  • de ondersteuning, zowel administratief als organisatorisch, van de recruterings- en sollicitatieprocedure.

Contactgegevens kunnen worden doorgegeven aan klanten of aan partners.

Opslagbeperking. De werkgever zal persoonsgegevens niet langer bewaren dan nodig is voor het doel waarvoor de gegevens zijn verzameld of werden verwerkt. De werkgever zal vanaf het ogenblik van de aanwerving van de werknemer en gedurende de volledige duur van de tewerkstelling bij de werkgever de persoonsgegevens bewaren, alsook daarna zolang dit nodig is om aan wettelijke verplichtingen te voldoen.

Rechten van de werknemer bij de verwerking van persoonsgegevens. De werknemer heeft diverse rechten met betrekking tot de over hem/haar verzamelde persoonsgegevens, zoals het recht van inzage, het recht van rectificatie en gegevenswissing (recht op vergetelheid), het recht op beperking van de verwerking, het recht van bezwaar en het recht op overdraagbaarheid van gegevens.

Deze rechten worden opgesomd in artikels 15 tem 22 van de Algemene Verordening Gegevensbescherming. Indien de werknemer op één van deze rechten beroep doet, zal de werkgever de identiteit van de werknemer verifiëren vóór hij het verzoek behandelt. De werkgever zal binnen een redelijke termijn gevolg geven aan het verzoek van de werknemer om één van zijn rechten uit te oefenen.

Wanneer de verzoeken van een werknemer kennelijk ongegrond of buitensporig zijn, zal de werkgever ofwel een redelijke vergoeding aanrekenen in het licht van de gebeurlijke administratieve kosten ofwel weigeren gevolg te geven aan het verzoek.

De werkgever kan de verzoeken van de werknemer tot uitoefening van onderstaande rechten weigeren indien deze strijdig zouden zijn met een andere wettelijke verplichting op voorwaarde dat de weigering de grondrechten en fundamentele vrijheden onverlet laat.

Recht van inzage van de werknemers in diens verwerkte persoonsgegevens. De werknemer kan de werkgever met redelijke tussenpozen inzage vragen van de op hem betrekking hebbende persoonsgegevens. Als een werknemer dergelijk verzoek buitensporig vaak doet, hoeft de werkgever niet te antwoorden.

De werkgever zal in sommige gevallen de inzage tot de gegevens niet toestaan. Dit is bijvoorbeeld het geval bij de schending van de rechten van vrijheden van andere personen.

Recht van rectificatie en gegevenswissing (recht op vergetelheid). De werknemer kan de werkgever verzoeken om zijn of haar gegevens onverwijld te corrigeren. De werknemer moet daarbij de gewenste wijzigingen aangeven.

De werknemer kan de werkgever verzoeken om zijn of haar gegevens zonder onredelijke vertraging te verwijderen indien ze niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, wanneer de werknemer zijn toestemming heeft ingetrokken, wanneer de werknemer bezwaar maakt tegen de verwerking en er geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking zijn en wanneer er sprake is van onrechtmatige verwerking. De werknemer moet daarbij de gewenste verwijdering aangeven. De werkgever kan echter weigeren de persoonsgegevens te wissen in de gevallen voorzien in de Algemene Verordening Gegevensbescherming.

Recht op beperking van de verwerking. De werknemer heeft het recht van de werkgever de beperking van de verwerking te verkrijgen onder de voorwaarden bepaald in de Algemene Verordening Gegevensbescherming. Een werknemer die een beperking van de verwerking heeft verkregen, wordt door de werkgever op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.

Recht van bezwaar. De werknemer heeft het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens indien de verwerking is gebaseerd op het gerechtvaardigd belang van de werkgever of van een derde partij. Indien de verwerking noodzakelijk is voor de uitvoering van een overeenkomst of noodzakelijk is om te voldoen aan een wettelijke verplichting, kan de werknemer zich niet beroepen op zijn recht van bezwaar.

Recht op overdraagbaarheid van gegevens. De werknemer heeft het recht de hem betreffende persoonsgegevens, die hij aan een werkgever heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere werkgever over te dragen, zonder daarbij te worden gehinderd door de werkgever aan wie de persoonsgegevens waren verstrekt, indien:

  • de verwerking berust op zijn toestemming of noodzakelijk is voor de totstandkoming van de overeenkomst; en
  • de verwerking via geautomatiseerde procedés wordt verricht.

Bij de uitoefening van zijn/haar recht op gegevensoverdraagbaarheid heeft de werknemer het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene werkgever naar de andere worden doorgezonden.

Klachtenprocedure en geschillenregeling. De werknemer die meent dat de werkgever de verplichtingen omtrent de verwerking van de persoonsgegevens, voor zover van toepassing en zoals hierboven bepaald, niet correct naleeft, kan hiervoor rechtstreeks zijn of haar werkgever contacteren.

De werknemer kan eveneens een klacht indienen bij de Gegevensbeschermingsautoriteit op het volgende adres:

Gegevensbeschermingsautoriteit
Drukpersstraat 35 1000 BRUSSEL
Tel: +32 (0)2 274 48 00
Fax: +32 (0)2 274 48 35
E-mail: commission@privacycommission.be

Indien de werknemer schade zou lijden als gevolg van de verwerking van de persoonsgegevens, kan hij ook een vordering tot schadevergoeding instellen bij de Rechtbank van Eerste Aanleg van zijn woonplaats.

Voor meer informatie met betrekking tot klachten en mogelijkheden tot verhaal wordt de werknemer aangeraden het volgende webadres van de Gegevensbeschermingsautoriteit te raadplegen: https://www.privacycommission.be/nl/klacht-en-beroep.

Verplichtingen van de werknemer. De werknemer die toegang heeft tot persoonsgegevens verwerkt deze uitsluitend in opdracht van de werkgever. De werknemer verbindt zich er eveneens toe persoonsgegevens waartoe hij/zij toegang krijgt volstrekt vertrouwelijk te behandelen.

6.6        Verwerking van persoonsgegevens van medewerkers van leveranciers en partners

Rechtsgronden. In het kader van een commerciële relatie met leveranciers en andere partners worden een aantal persoonsgegevens van medewerkers van deze leveranciers en partners bewaard. De rechtsgrond hiervoor zijn de uitvoering van een overeenkomst en het gerechtvaardigd belang.

Welke persoonsgegevens bewaren we? We bewaren enkel de volgende soorten persoonsgegevens: contactinformatie en eventueel relatie-informatie.

  • Identificatie en contactgegevens: waaronder naam en voornaam, adres, emailadres, telefoonnummer of andere contactgegevens.
  • Relatie-informatie: Persoonlijke informatie die nuttig kan zijn voor het onderhouden van commerciële relaties.

Overige kenmerken van verwerkingen en rechten. Voor de overige kenmerken van de verwerking alsook voor de rechten van deze betrokkenen verwijzen we naar de betreffende rubrieken voor klanten, prospecten en bezoekers van de website, die ook hier van toepassing zijn.

 

[1] Opgelet : de persoonsgegevens die in het kader van een overeenkomst worden gevraagd moeten proportioneel zijn. We mogen geen gegevens opvragen die niets met de overeenkomst te maken hebben.

[2] Om een vraagprijs in de verkoopopdracht te bepalen moet bijvoorbeeld het pad worden bezocht, moeten voor- en nadelen worden opgesomd.

[3] We mogen aan een klant geen toestemming vragen voor een algemene onbegrensde verwerking. De toestemming mag wel ruim zijn.