Privacy Charter
Inhoudstafel
-
- Algemene Verordening Gegevensbescherming
- Voor wie is dit Charter bestemd?
- Verwerkingsverantwoordelijke
- Ons engagement
- Verwerkte gegevens
- Hoe worden uw persoonsgegevens verzameld?
- Rechtsgrondslagen en doeleinden van de gegevensverwerking
- Rechtsgrondslag: Voor het sluiten, uitvoeren en/of beheren van een overeenkomst op uw verzoek.
- Rechtsgrondslag: Om te voldoen aan onze wettelijke, reglementaire en administratieve verplichtingen.
- Rechtsgrondslag – Wanneer het in ons rechtmatig belang is of dat van derden.
- Rechtsgrondslag – Wanneer wij om uw toestemming hebben gevraagd en u (of uw wettelijke vertegenwoordiger) ons die heeft gegeven.
- Rechtsgrondslag – Wanneer wij u om uw uitdrukkelijke toestemming hebben gevraagd.
- Rechtsgrondslag – Wanneer de verwerking van gegevens nodig is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering; / Beheer van onze eigen wanbetalingen.
- Minimale gegevensverwerking en proportionaliteit
- Transparantie
- Uw rechten
- Recht van inzage
- Recht op rectificatie
- Recht op gegevenswissing (“recht op vergetelheid”)
- Recht op beperking van de verwerking
- Recht op overdraagbaarheid
- Recht op bezwaar
- Recht dat er geen beslissingen over u worden genomen die uitsluitend op geautomatiseerde wijze tot stand komen, als de beslissing rechtsgevolgen voor u heeft of u op vergelijkbare wijze aanmerkelijk treft.
- Recht om uw toestemming in te trekken
- Recht om een klacht in te dienen
- Uitzonderingen op de uitoefening van uw rechten: bijzondere bepalingen inzake het witwassen van geld
- Gegevensbewaring
- Doorgifte van gegevens en ontvangers
- Cookies
- Opleiding en sensibilisering
- Beveiliging en governance: technische en organisatorische maatregelen
- Wijziging van het Charter
- Definities
Inleiding: een juist beheer van uw gegevens is onze prioriteit
In 2016 keurde de Europese Commissie de Algemene Verordening Gegevensbescherming (hierna: “GDPR”) goed. Zij voorziet derhalve in een uniform wetgevingskader voor de gehele Europese Unie met betrekking tot de verwerking van persoonsgegevens. Het doel van de GDPR is voornamelijk tweeledig: zij stelt de instanties die zich bezighouden met gegevensverwerking verantwoordelijk en versterkt de rechten van de personen van wie gegevens worden verwerkt.
De GDPR is op 25 mei 2018 in werking getreden en is van toepassing op elke organisatie of onderneming die al dan niet voor eigen rekening persoonsgegevens verwerkt, zolang zij in de Europese Unie is gevestigd of haar activiteit rechtstreeks op Europese ingezetenen is gericht. De GDPR is dus van toepassing op Ethias Services nv.
Bij Ethias Services nv (hierna “Ethias Services” of “we”), stellen we alles in het werk om ervoor te zorgen dat uw privacy wordt gerespecteerd en dat uw persoonsgegevens worden beschermd. Gegevensbescherming door ontwerp (hierna “privacy by design”) is ook een prioriteit binnen onze onderneming. Dit beginsel houdt in dat reeds in de eerste fase van de ontwikkeling van onze projecten en producten, maar ook tijdens de evolutie ervan, rekening wordt gehouden met de gegevensbescherming.
Wij verwerken uw persoonsgegevens om u een optimale dienstverlening op maat van uw behoeften te kunnen bieden. Deze informatie wordt volledig transparant verwerkt in beschermd.
Om onze inzet voor de persoonlijke levenssfeer te onderstrepen, hebben wij dit Privacy Charter (hierna het “Charter”) opgesteld. Het doel van dit document is u te informeren over de gegevens die Ethias Services verwerkt, over de manier waarop Ethias Services uw persoonsgegevens beschermt en over de rechten die u hebt.
Wij nodigen u uit dit Charter aandachtig te lezen, waarin ook onze fundamentele waarden, met name Menselijkheid en Klanttevredenheid, worden onderstreept. Heeft u nog vragen, dan kunt u ons uiteraard steeds contacteren op het volgende adres: dpo.ethias.services@ethias.be.
Wij wijzen u erop dat onze websites soms links bevatten naar websites van derden waarvan de gebruiksvoorwaarden niet binnen het toepassingsdomein van dit Charter of onder onze verantwoordelijkheid vallen. Wij raden u daarom aan hun Privacy Charter zorgvuldig te lezen om te weten hoe zij uw privacy respecteren.
Privacy charter
Hieronder vindt u een overzicht van de verschillende hoofdstukken in dit Charter.
Voor snelle toegang tot een hoofdstuk, klik op de link van het hoofdstuk. Indien u het Charter in zijn geheel wenst te raadplegen, scroll dan naar beneden.
1. Algemene Verordening Gegevensbescherming
De GDPR is een Europese Verordening die tot doel heeft een uniform kader voor gegevensbescherming tot stand te brengen. Zij is sinds 25 mei 2018 van toepassing in alle Lidstaten van de Europese Unie.
In het Belgische recht is er een wet die een aantal bepalingen van de GDPR aanvult en verduidelijkt. Dit is de wet van 30 juli 2018 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens
Aan het eind van dit Charter (zie “Hoofdstuk 19” hieronder) vindt u een lijst van definities die nuttig zijn om de gebruikte termen te begrijpen. Wij nodigen u uit deze lijst te raadplegen en kennis te nemen van de inhoud ervan.
2. Voor wie is dit Charter bestemd?
Dit handvest is bestemd voor natuurlijke personen van wie Ethias Services persoonsgegevens moet verwerken, zoals:
- prospects;
- klanten, gebruikers en begunstigden van de door Ethias Services aangeboden diensten;
- bezoekers van haar websites en platforms;
- verschillende personen die betrokken zijn bij de sluiting of uitvoering van een dienstverleningsovereenkomst (leveranciers, deskundigen, herstellers, pechverhelpers, dienstverleners, enz.);
- personen die een band hebben met onze klanten zoals hun personeelsleden of aandeelhouders.
De gegevens van rechtspersonen als zodanig vallen niet onder de GDPR of dit Charter.
3. Verwerkingsverantwoordelijke
Ethias Services nv (hierna “Ethias Services” of “we”) is de verwerkingsverantwoordelijke van uw persoonsgegevens die zij verwerkt. Ethias Services is een vennootschap naar Belgisch recht, met maatschappelijke zetel gevestigd in Rue des Croisiers 24, 4000 Liège, BelgiĂ«, ingeschreven bij de Kruispuntbank voor Belgische Ondernemingen onder nummer 0825.876.113.
Als verwerkingsverantwoordelijke bepalen we de doeleinden (het “waarom”) en de middelen (het “hoe”) voor de verwerking van uw persoonsgegevens en zijn we uw eerste aanspreekpunt (alsook dat van de toezichthoudende autoriteiten) voor alle vragen in verband met de verwerking van uw gegevens. Het doel van dit Privacy Charter is u te informeren over de verwerking van uw gegevens waarvoor wij verantwoordelijk zijn.
Onze functionaris gegevensbescherming (hierna “FG”, “Data Protection Officer” of “DPO”) is verantwoordelijk voor het toezicht op het gegevensbeschermingsbeleid. (hoofdstuk 4 is gewijd aan de invoering van een privacygovernancestructuur binnen Ethias Services. U kunt contact met hem opnemen:
- per post naar het volgende adres:
- per e-mail naar dpo.ethias.services@ethias.be.
Ethias Services nv – Rue des Croisiers 24 4000 Liège
4. Ons engagement
We vinden het belangrijk om uw privacy te respecteren en uw persoonlijke gegevens strikt vertrouwelijk en in overeenstemming met de geldende wetgeving te verwerken. Daarom beschikken wij over solide praktijken op het vlak van privacy governance. Deze verbintenis vertaalt zich in de volgende maatregelen:
- het bijhouden van een verwerkingsregister van persoonsgegevens wanneer wij optreden als verwerkingsverantwoordelijke;
- het invoeren van een privacygovernancestructuur binnen Ethias Services. We hebben een Data Protection Officer aangesteld., Zoals hierboven uitgelegd is hij het unieke aanspreekpunt voor alle vragen over de gegevensbescherming. We hebben ook een netwerk opgezet van “GDPR-medewerkers” die speciaal opgeleid zijn in privacykwesties. Zij treden op als tussenpersoon tussen de DPO en de interne diensten, zorgen voor de naleving van de GDPR en beantwoorden specifieke vragen over gegevensbescherming;
- de uitvoering van een projectbeheersproces dat het “privacy by design”-beginsel waarborgt. Het doel hiervan is ervoor te zorgen dat de projecten in ontwikkeling en de bestaande verwerkingen voldoen aan de huidige wetgeving en best practices inzake privacy. Het GDPR-netwerk wordt vanaf het begin betrokken bij alle nieuwe Ethias Services-projecten of -producten. Bovendien oefent de DPO controle uit;
- het uitvoeren van een gegevensbeschermingseffectbeoordeling (hierna “Data Protection Impact Assessment” of “DPIA” genoemd) voor alle verwerkingen die een groot risico inhouden voor uw rechten en vrijheden en, wanneer dit risico is vastgesteld, het uitwerken en uitvoeren van maatregelen om dit risico te beperken. Het doel van deze DPIA’s is ervoor te zorgen dat Ethias Services de risico’s van “risicovolle” verwerkingen voor de gegevens- en privacybescherming adequaat beheert. Door een gestructureerde gedachtewisseling aan te bieden over de risico’s voor de betrokkenen en hoe die te beperken, helpt de DPIA ons te voldoen aan de “privacy by design”-vereiste.
5. Verwerkte gegevens
We verwerken uw gegevens op transparante wijze voor de doeleinden die bij het verzamelen van de gegevens zijn aangegeven.
De verwerkte persoonsgegevens behoren tot de hieronder beschreven categorieën.
- Persoonsgegevens
- identificatiegegevens (naam, voornaam, adres, enz.);
- contactgegevens (adres, e-mailadres, telefoonnummer, enz.);
- gezinssamenstelling (burgerlijke staat, aantal kinderen, enz.);
- financiële gegevens en financieel overzicht (uw bankrekeningnummer, enz.);
- kenmerken van de woning, van het voertuig;
- beroep (beklede functie, opleiding, enz.);
- locatiegegevens met betrekking tot de dienstverleningsprestatie;
- hobby’s en interesses;
- Beeldopnames zoals films, foto’s, video-opnames.
- Gevoelige gegevens
- Gegevens over strafrechtelijke veroordelingen en overtredingen
- wanneer een wet die adequate waarborgen biedt dit toestaat;
- wanneer we deze gegevens nodig hebben om onze eigen geschillen te beheren;
- Gegevens verwerkt in de hoedanigheid van gegevensverwerker
- identificatiegegevens (naam, voornaam, adres, enz.);
- contactgegevens (adres, e-mailadres, telefoonnummer, enz.);
- financiële gegevens (bankrekeningnummer, loon, enz.);
- beroep (beklede functie, opleiding, enz.);
- gezinssamenstelling (burgerlijke staat, aantal kinderen, enz.);
- kenmerken van de woning;
- gegevens met betrekking tot de lichamelijke en/of geestelijke gezondheid;
- gegevens over strafrechtelijke veroordelingen en overtredingen.
Deze categorie omvat gegevens die u direct (bijvoorbeeld uw voor- of achternaam) of indirect (bijvoorbeeld uw telefoonnummer of kentekennummer) kunnen identificeren.
Afhankelijk van het soort dienst kunnen de volgende gegevens worden verzameld:
Sommige persoonsgegevens genieten, omwille van hun bijzonder gevoelige aard, bijzondere bescherming. Het gaat met name over persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, alsook de genetische gegevens, de biometrische gegevens, of de gegevens over gezondheid, of de gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
Uw gevoelige gegevens worden in geen geval verwerkt zonder uw uitdrukkelijke voorafgaande toestemming, wanneer die vereist is. Ze worden nooit verwerkt voor prospectiedoeleinden.
Wij verwerken gegevens met betrekking tot strafrechtelijke veroordelingen en overtredingen alleen in de volgende gevallen:
In sommige gevallen kan Ethias Services uw persoonsgegevens ook verwerken in de hoedanigheid van gegevensverwerker voor rekening van een verwerkingsverantwoordelijke. Dit is bijvoorbeeld het geval wanneer Ethias Services wettelijke pensioentoezeggingen (1e pijler) of de betalingen van de arbeidsongevallenrentes beheert voor rekening van een verwerkingsverantwoordelijke, of wanneer zij voor rekening van haar klanten diensten verleent op het gebied van psychosociale risico’s, brandpreventie of risicobeheer.
Ethias Services zal uw gegevens uitsluitend verwerken in overeenstemming met de instructies van de verwerkingsverantwoordelijke. Tussen Ethias Services en de verwerkingsverantwoordelijke wordt een gegevensverwerkingsovereenkomst gesloten waarin de voorwaarden zijn vastgelegd op grond waarvan Ethias Services zich ertoe verbindt voor rekening van de verwerkingsverantwoordelijke persoonsgegevens te verwerken. In het kader van de zijn informatieverplichting uit hoofde van de GDPR verstrekt de verwerkingsverantwoordelijke u alle gedetailleerde informatie over de verwerking van uw persoonsgegevens.
De gegevens die wij in de hoedanigheid van gegevensverwerker verwerken, kunnen onder meer, maar niet uitsluitend, betrekking hebben op de volgende categorieën:
6. Hoe worden uw persoonsgegevens verzameld?
We verzamelen uw persoonsgegevens rechtstreeks bij u of via een derde partij.
- Rechtstreeks bij u verzamelde gegevens
- u klant wordt;
- u de desbetreffende formulieren invult die wij u voorleggen;
- u gebruikmaakt van onze diensten en producten;
- u inschrijft op onze nieuwsbrieven, reageert op onze uitnodigingen (conferenties, enz.), deelneemt aan onze wedstrijden, enz.;
- u contact met ons opneemt via de verschillende communicatiekanalen die u ter beschikking staan;
- uw gegevens worden doorgegeven door personen die u daartoe opdracht hebt gegeven of die daartoe wettelijk gemachtigd zijn;
- u gegevens verstrekt bij het gebruik van onze websites, onze platforms en onze mobiele applicaties, bijvoorbeeld wanneer:
- u ons uw gegevens geeft wanneer u zich inschrijft op onze nieuwsbrief;
- u een toegangsaccount aanmaakt op een van onze platforms;
- u online een dienstenofferte aanvraagt;
- u online intekent op diensten;
- u uw gegevens invult in de “privĂ©-gedeelten” van de websites;
- • u een van onze websites bezoekt of een van onze platforms of mobiele applicaties gebruikt die cookies en andere soortgelijke technologieën bevatten. Voor meer informatie over de cookies die wij gebruiken, verwijzen wij u naar ons Cookiebeleid: https://solutions.ethias.be/nl/cookiebeleid/
- Gegevens verzameld via derden
- een werkgever die persoonsgegevens van zijn personeelsleden doorgeeft met het oog op de goede uitvoering van de dienst (bijvoorbeeld voor facturatiedoeleinden) of met het oog op het houden van tevredenheidsonderzoeken;
- van de commerciële partners van Ethias Services in het kader van de promotieactiviteiten van Ethias Services.
We verzamelen uw persoonsgegevens rechtstreeks bijvoorbeeld wanneer:
Wanneer wij u vragen om persoonsgegevens te verstrekken, hebt u het recht om niet te antwoorden. Een dergelijke weigering zou echter het ontstaan van een contractuele relatie kunnen verhinderen, de aard ervan kunnen veranderen of het beheer ervan kunnen beĂŻnvloeden.
We verzamelen uw persoonsgegevens via derden derden die ons deze hebben verstrekt in het kader van de contractuele relatie die is aangegaan met Ethias Services of in het kader van onze promotieactiviteiten die worden georganiseerd overeenkomstig de toepasselijke regelgeving inzake e-privacy en de bescherming van persoonsgegevens.
Dit is met name het geval van:
We verzamelen ook uw gegevens die gepubliceerd worden (Belgisch Staatsblad).
7. Rechtsgrondslagen en doeleinden van de gegevensverwerking
Overeenkomstig de GDPR is elke gegevensverwerking gebaseerd op een rechtsgrondslag en voldoet zij aan (een) specifiek(e) doeleinde(n).
Ze is gebaseerd op Ă©Ă©n enkele rechtsgrondslag. Deze laatste wordt bepaald op basis van de volgende elementen:
- de aard van de persoonsgegevens; en
- het specifieke doeleinde (het doel of het “waarom”) waarvoor wij uw gegevens willen verwerken.
- Rechtsgrondslag: Voor het sluiten, uitvoeren en/of beheren van een overeenkomst op uw verzoek.
Uw gegevens kunnen worden verzameld voor:
- het beheer van de klantrelatie;
- de beoordeling of er een dienstverleningsovereenkomst moet worden gesloten en/of welke voorwaarden daaraan moeten worden verbonden;
- de dienstverlening;
- het beheer en de behandeling van klachten;
- de opstelling en inning van facturen;
- de opvolging van commerciële besprekingen en geschillen met onze klanten en het beantwoorden van eventuele vragen;
- het verlenen van technische bijstand;
- het beheer van de dienstverleningsovereenkomsten
- Rechtsgrondslag: Om te voldoen aan onze wettelijke, reglementaire en administratieve verplichtingen.
Uw gegevens kunnen worden verzameld voor:
- Voorkomen van het witwassen van geld en de financiering van terrorisme;
- de bestrijding van fiscale fraude;
- de nakoming van de sociale en fiscale verplichtingen van Ethias Services;
- de nakoming van onze verplichting om de vragen te beantwoorden van de toezichthoudende of overheidsinstanties, zoals de gegevensbeschermingsautoriteit (GBA), sector- of consumentenorganisaties, enz.
- Rechtsgrondslag – Wanneer het in ons rechtmatig belang is of dat van derden.
In dat geval maken wij een zorgvuldige afweging tussen ons rechtmatige belang of dat van de derde en uw privacy.
Uw gegevens kunnen worden verzameld voor:
- opsporing en voorkoming van misbruik en fraude;
- bescherming van de goederen van de onderneming;
- veiligheid van goederen en personen, alsook van onze netwerken en IT-systemen;
- bescherming van haar eigen belangen en die van onze klanten verzekerden;
- onthulling van enig misbruik dat onze financiële status, onze resultaten en/of onze reputatie ernstig schaadt of zou kunnen schaden;
- bewijsvergaring;
- opvolging van onze activiteiten en administratieve kennis van de verschillende personen waarmee Ethias Services contacten onderhoudt, die het mogelijk maken de dossiers en andere betrokkenen te identificeren;
- uitvoering van tevredenheidsonderzoeken;
- beheer van klantenbestanden met het oog op een meer globale visie (bijvoorbeeld het opstellen van statistieken om te weten wie onze klanten zijn en hoe we ze beter kunnen leren kennen);
- uitvoeren van tests voor risicobeoordeling, vereenvoudiging, optimalisering en/of automatisering;
- implementatie van louter interne Ethias Services-processen om deze efficiënter te maken;
- implementatie van onlinesystemen om uw gebruikerservaring te verbeteren (bijv. oplossen van bugs op onze websites en mobiele applicaties, contact met u opnemen om technische problemen op te lossen wanneer we opmerken dat u online uw gegevens bent beginnen invullen om een dienst te ontvangen, maar dit proces niet hebt kunnen voortzetten, enz.);
- optimalisering en beheer van de distributiekanalen van Ethias Services.
Op basis van ons rechtmatig belang kunnen we uw persoonsgegevens verwerken voor prospectiedoeleinden.
Tenzij u bezwaar maakt kunnen we aanbiedingen toesturen
– per gewone post, per telefoon
– Per e-mail voor onze producten en diensten die vergelijkbaar zijn met deze die u reeds heeft onderschreven.We zien erop toe dat deze commerciĂ«le aanbiedingen een meerwaarde hebben vergeleken met de producten en diensten die u reeds heeft om een goed evenwicht tussen onze respectievelijke belangen te verzekeren.
We gebruiken uw gevoelige gegevens (d.w.z. de gegevens bedoeld in hoofdstuk 5, punt b) en c), zoals uw gezondheidsgegevens) nooit voor prospectiedoeleinden. Bovendien zullen we, zonder uw voorafgaande toestemming, uw gegevens niet aan derden doorgeven of meedelen voor hun eigen prospectiedoeleinden.
We richten geen reclame voor producten en diensten rechtstreeks aan kinderen jonger dan 16 jaar, tenzij de persoon die de ouderlijke verantwoordelijkheid draagt, daarmee instemt.
- Rechtsgrondslag – Wanneer wij om uw toestemming hebben gevraagd en u (of uw wettelijke vertegenwoordiger) ons die heeft gegeven.
In dat geval worden uw persoonsgegevens verwerkt voor het(de) specifieke doeleinde(n) waarmee u via onze contractuele documenten of onze standaardformulieren heeft ingestemd.
We herinneren u eraan dat u uw toestemming kunt intrekken wanneer u wilt.
We vragen met name uw toestemming:
- om de meest voordelige tarieven te genieten;
- om u producten en diensten aan te bieden die beter op uw gezins- of beroepssituatie zijn afgestemd op basis van een meer verfijnde profilering waarmee we beter kunnen anticiperen op uw gedragingen en behoeften.
- voor alle aanbiedingen via e-mail voor onze producten en diensten die vergelijkbaar zijn met deze die u reeds heeft onderschreven.
- Rechtsgrondslag – Wanneer wij u om uw uitdrukkelijke toestemming hebben gevraagd.
Uw gevoelige gegevens kunnen worden verzameld met name om:
- het verlenen van een dienst met betrekking tot gezondheidsgegevens.
- Rechtsgrondslag – Wanneer de verwerking van gegevens nodig is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering; / Beheer van onze eigen wanbetalingen
Het is mogelijk dat we uw persoonsgegevens, met inbegrip van gezondheidsgegevens en/of persoonsgegevens in verband met strafrechtelijke veroordelingen en overtredingen, in de volgende gevallen moeten verwerken: hetzij voor de vaststelling, de uitoefening of de onderbouwing van eventuele rechtsvorderingen, hetzij voor het beheer van onze eigen geschillen.
8. Minimale gegevensverwerking en proportionaliteit
Er worden alleen persoonsgegevens verzameld die passend, relevant en beperkt zijn tot hetgeen noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (beginsel van minimale verwerking). Voor elke gegevensverwerking gaan we na of zij noodzakelijk is om het beoogde doel te bereiken en of zij de minst ingrijpende maatregel is in vergelijking met de andere middelen om hetzelfde doel te bereiken.
09. Transparantie
We stellen alles in het werk om u beknopte en duidelijke informatie te verstrekken over de uitgevoerde gegevensverwerking en de doeleinden ervan. We passen de taal alsook de gebruikte termen en communicatiemiddelen aan het doelpubliek aan.
10. Uw rechten
Behalve in gevallen waarin de GPDR of een in België geldende wettelijke bepaling zich hiertegen verzet, heeft u de volgende rechten:
- recht van inzage;
- recht op rectificatie;
- recht op gegevenswissing (“recht op vergetelheid”);
- recht op beperking van de verwerking;
- Recht op overdraagbaarheid van gegevens;
- Recht op bezwaar, met name tegen commerciële prospectie;
- Recht om niet te worden onderworpen aan een uitsluitend op een geautomatiseerde verwerking, met inbegrip van profilering, gebaseerde beslissing die rechtsgevolgen voor u heeft of die op vergelijkbare wijze aanmerkelijk treft.
- recht om uw toestemming in te trekken
We implementeren procedures die u in staat stellen uw rechten met betrekking tot de verwerking van persoonsgegevens op doeltreffende wijze uit te oefenen. Deze procedures moeten er ook voor zorgen dat uw verzoeken zo snel mogelijk worden behandeld. Ethias Services kan niet het risico nemen in te gaan op een verzoek dat niet van een bevoegd persoon komt.
Daarom moeten we de identiteit van onze contactpersoon controleren en vragen we u ons een kopie van beide zijden van uw identiteitskaart te bezorgen.
Om uw rechten uit te oefenen, kunt u uw gedateerd en ondertekend verzoek, samen met een kopie van beide zijden van uw identiteitskaart, per post versturen naar het volgende adres: Ethias Services nv, DIM-Spoc GDPR, Rue des Croisiers 24 te 4000 Liège of mailen naar: dpo.ethias.services@ethias.be.
- Recht van inzage
U heeft het recht om uw persoonsgegevens die in ons bezit zijn in te kijken. Dit recht geeft u ook het recht om informatie te bekomen die kenmerkend is voor de verwerking, namelijk:
- het doeleinde van de gegevensverwerking;
- de categorieën van verwerkte persoonsgegevens;
- de ontvangers aan wie uw gegevens worden meegedeeld;
- indien mogelijk, de bewaartermijn ervan of, in voorkomend geval, de criteria die zijn gebruikt om die termijn te bepalen;
- het bestaan van geautomatiseerde beslissing (met inbegrip van profilering) en, in dat geval, de logica die daaraan ten grondslag ligt, alsook de betekenis en de gevolgen van deze beslissing (zie “deel 10 g)”).
Voor de inzage van medische gegevens geldt een termijn van Ă©Ă©n maand vanaf de ontvangst van het verzoek of van twee maanden indien de gevraagde gegevens meer dan 5 jaar oud zijn.
- Recht op rectificatie
Het is belangrijk dat u de controle over uw gegevens behoudt. Indien u dus vaststelt dat de gegevens waarover wij beschikken onjuist zijn, kunt u ons op ieder ogenblik verzoeken deze aan te vullen of te corrigeren.
Nadat u de wijzigingen heeft bevestigd, worden uw gegevens binnen een termijn van maximum een maand, te rekenen vanaf het moment dat uw identiteit gecontroleerd is, bijgewerkt. - Recht op gegevenswissing (“recht op vergetelheid”)
U hebt het recht om de verwijdering van de persoonsgegevens waarover we beschikken te vragen. In bepaalde specifieke gevallen laat de wetgeving u toe uw persoonsgegevens te verwijderen. Dit is het geval indien:
- uw persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor we ze verzameld hebben;
- de verwerking van uw gegevens enkel berust op uw toestemming en u beslist deze in te trekken;
- u bezwaar maakt tegen de verwerking van uw gegevens en er aan onze kant geen gerechtvaardigde gronden zijn die zwaarder wegen dan de uwe;
- u van mening bent dat de verwerking onrechtmatig is en voor zover dit aangetoond wordt.
Dit recht is echter niet absoluut Wij kunnen uw gegevens bewaren wanneer dat nodig is voor onder andere:
- de nakoming aan een wettelijke verplichting;/li>
- de uitvoering van onze contractuele verplichtingen;
- statistische doeleinden, met dien verstande dat we in dergelijke gevallen alle technische en organisatorische maatregelen nemen om ervoor te zorgen dat het beginsel van minimale gegevensverwerking in acht wordt genomen;
- voor de vaststelling, uitoefening of verdediging van rechten in rechte.
Nadat u de verwijdering van uw gegevens heeft bevestigd, worden ze binnen een termijn van maximum een maand, te rekenen vanaf het moment dat uw identiteit gecontroleerd is, verwijderd.
- Recht op beperking van de verwerking
De wet bepaalt de gevallen waarin u de beperking van de verwerking van uw persoonsgegevens kunt vragen. Het betreft de volgende hypothesen:
- u betwist de juistheid van de persoonsgegevens, gedurende een periode die we nodig hebben om de juistheid van de gegevens te controleren;
- de verwerking is onwettig en u maakt bezwaar tegen het wissen ervan en eist in plaats daarvan een beperking van het gebruik ervan;
- u stelt vast dat uw persoonsgegevens niet langer noodzakelijk zijn voor ons en wenst de verwerking ervan te beperken tot de vaststelling, uitoefening of onderbouwing van uw rechtsvordering;
- u hebt bezwaar gemaakt tegen de verwerking van uw persoonsgegevens bij de controle of onze gerechtvaardigde redenen voor de verdere verwerking zwaarder wegen dan de uwe. In deze gevallen wordt u erop attent gemaakt dat uw gegevens nog steeds kunnen worden verwerkt indien:
- u met deze verwerking instemt; of
- de verwerking van uw gegevens noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van rechten in rechte; of
- de verwerking noodzakelijk is voor de bescherming van de rechten van een andere natuurlijke of rechtspersoon; of
- de verwerking noodzakelijk is om zwaarwegende redenen van algemeen belang.
- Recht op overdraagbaarheid
Wanneer uw persoonsgegevens worden verwerkt op basis van uw toestemming of omdat zij noodzakelijk zijn voor de uitvoering van een overeenkomst, hebt u een recht op overdraagbaarheid. Met dit laatste kunt u een deel van uw persoonsgegevens recupereren in een gestructureerde, algemeen gebruikte en machineleesbare vorm.
Bovendien kunt u ons op grond van dit recht vragen om uw gegevens aan een andere verwerkingsverantwoordelijke door te geven, indien dit technisch mogelijk is.
- Recht op bezwaar
Wanneer we uw persoonsgegevens verwerken op grond van ons rechtmatig belang, hebt u het recht bezwaar te maken tegen deze verwerking om redenen die verband houden met uw specifieke situatie. Wij kunnen uw bezwaar afwijzen wanneer er dwingende gerechtvaardigde redenen voor verdere verwerking zijn of wanneer de verwerking gerechtvaardigd is voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering. Wij wijzen u erop dat u altijd het recht hebt om bezwaar te maken tegen de verwerking van uw persoonsgegevens voor profilering of voor prospectie- of direct marketingdoeleinden.
- Recht dat er geen beslissingen over u worden genomen die uitsluitend op geautomatiseerde wijze tot stand komen, als de beslissing rechtsgevolgen voor u heeft of u op vergelijkbare wijze aanmerkelijk treft.
Om u een kwaliteitsvolle dienstverlening te kunnen aanbieden, automatiseren wij bepaalde gegevensverwerkingen om de besluitvorming te vergemakkelijken. Deze geautomatiseerde verwerkingen moeten aan strikte voorwaarden voldoen, zij moeten ofwel:
- noodzakelijk zijn voor het sluiten of uitvoeren van een overeenkomst;
- gebaseerd zijn op uw uitdrukkelijke toestemming;
- wettelijk toegestaan zijn.
In het kader van deze geautomatiseerde beslissing heeft u de volgende rechten:
- om ervan in kennis te worden gesteld dat er over u een volledig geautomatiseerde beslissing is genomen die rechtsgevolgen voor u heeft of die u op vergelijkbare wijze aanmerkelijk treft;
- om te vragen en geĂŻnformeerd te worden over de logica achter een dergelijke beslissing, de betekenis ervan en de gevolgen die eruit voortvloeien;
- om de beslissing aan te vechten en uw zienswijze te geven;
- om menselijke inmenging te vragen om de beslissing te herbekijken.
- Recht om uw toestemming in te trekken
Als de verwerking van uw persoonsgegevens uitsluitend berust op uw toestemming, kunt u deze op ieder ogenblik intrekken. We zullen ervoor zorgen dat de gegevens worden gewist, tenzij er een andere wettelijke reden is om ze te verwerken (bv. wanneer de verwerking noodzakelijk is om een contract na te komen). Indien de gewiste gegevens voor verschillende doeleinden worden verwerkt, mogen wij die gegevens niet gebruiken voor het deel van de verwerking waarvoor uw toestemming is ingetrokken, of voor alle doeleinden, afhankelijk van de aard van de intrekking van de toestemming.
We wijzen er evenwel op dat, wanneer uw verzoek gezondheidsgerelateerde gegevens betreft, deze noodzakelijk kunnen zijn voor het verlenen van de gevraagde dienst. Als gevolg daarvan kunnen we misschien geen gevolg geven aan uw verzoek of het contract niet uitvoeren.
Het uitoefenen van dit recht doet geen afbreuk aan de rechtmatigheid van de verwerking van persoonsgegevens in de periode die aan uw verzoek voorafgaat.
- Recht om een klacht in te dienen
Indien u van mening bent dat de verwerking van uw persoonsgegevens een inbreuk vormt op uw privacy, hebt u ook het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit (hierna “GBA”) :
- via hun website: www.gegevensbeschermingsautoriteit.be
- • per post naar het volgende adres:
Gegevensbeschermingsautoriteit – Drukpersstraat 35 – 1000 Brussel Tel : +32 2 274 48 00 - per e-mail: contact@apd-gba.be
- Uitzonderingen op de uitoefening van uw rechten: bijzondere bepalingen inzake het witwassen van geld
Krachtens de bepalingen inzake het witwassen van geld, is Ethias verplicht witwasoperaties te voorkomen, op te sporen en te melden aan de overheden. Daartoe verwerken wij zowel persoonsgegevens die wij van u ontvangen hebben als deze afkomstig van andere kanalen zoals World-Check van Thomson Reuter of andere internetzoekmachines. Na deze verschillende controles, kunnen we bepaalde transacties blokkeren en deze melden bij de Cel voor Financiële Informatieverwerking (CFI). De hierboven vermelde rechten kunnen dan niet worden uitgeoefend en moet u contact opnemen met de GBA.
11. Gegevensbewaring
Uw persoonsgegevens worden niet langer bewaard dan nodig is om deze doeleinden te verwezenlijken; in het algemeen worden uw gegevens bewaard tot het einde van de uitvoering van uw contract en soms daarna, zoals hieronder uitgelegd. De bewaringstermijn varieert naargelang het soort gegevens en de ter zake geldende wet wetgeving. Na deze periode worden uw gegevens gewist.
Sommige van uw gegevens worden echter bewaard om:
- te voldoen aan onze wettelijke bewaarplicht;
- te voldoen aan onze verplichtingen die voortvloeien uit de sociale wetgeving;
- de uitvoering van contractuele vorderingen tot het verstrijken van de toepasselijke verjaringstermijn te garanderen;
- te reageren op potentiële of feitelijke geschillen.
Het opslaan van uw gegevens brengt risico’s met zich mee. Er kunnen bepaalde middelen worden aangewend om de bewaring ervan te beperken, namelijk:
- de normale toegangsrechten tot de opgeslagen gegevens beperken;
- middelen voor het opslaan/archiveren van gegevens;
- scheiding van gegevens;
- door het gebruik van versleutelingstechnieken of cryptografie zijn de opgeslagen gegevens ontoegankelijk via de standaardinstellingen van de toegangsrechten van de gebruiker en voor alle verwerkingsverrichtingen.
We zien erop toe dat onze partners en leveranciers die namens ons persoonsgegevens verwerken (onze gegevensverwerkers) deze bewaringsvereisten eveneens naleven.
Voor meer informatie over hoe lang we uw persoonsgegevens bewaren, kunt u mailen naar het volgende e-mailadres: dpo.ethias.services@ethias.be.
12. Doorgifte van gegevens en ontvangers
Soms zijn we verplicht uw persoonsgegevens aan derden mee te delen om onze opdrachten uit te voeren, om te reageren op uw dienstverleningsaanvragen, om te voldoen aan onze wettelijke verplichtingen of in het kader van onze promotionele activiteiten. Deze derden kunnen gevestigd zijn binnen de Europese Economische Ruimte (hierna “EER” genoemd), maar ook daarbuiten.
- Doorgifte van gegevens binnen de EER – Ontvangers
Binnen de EER kunnen uw persoonsgegevens worden meegedeeld aan:
- onze medewerkers en adviseurs;
- de andere entiteiten van de groep, hun medewerkers en adviseurs;
- online betaaldienstverleners;
- alle medische of technische experten, advocaten, technisch adviseurs, professionals in de gezondheidszorg, herstellers, die betrokken zijn bij het verlenen van diensten;
- verzekeringsmaatschappijen waarmee we samenwerken;
- privédetectives voor eventuele onderzoeken in fraudezaken;
- onze IT-dienstverleners (NRB, enz.);
- onze commerciële partners (onder voorbehoud van uw toestemming) zoals bijvoorbeeld Ethias nv ;
- marketing- en communicatiebureaus;
- bedrijven die belast zijn met het beheer van documenten (scannen, archiveren, verzenden van poststukken, enz.);
- de bij wet bepaalde sociale, fiscale en administratieve autoriteiten;
- de toezichtautoriteiten.
Overeenkomstig de standaardpraktijken inzake gegevensbescherming en -beveiliging zorgen wij ervoor dat wij alleen gegevens doorgeven die noodzakelijk zijn voor de uitvoering van hun taken, voor het nakomen van een contractuele/wettelijke verplichting, of voor het rechtmatige belang dat deze doorgifte rechtvaardigt. Deze derden hebben zich er tevens toe verbonden deze gegevens vertrouwelijk te behandelen en binnen de grenzen van het doeleinde waarvoor zij zijn doorgegeven.
Wat onze gegevensverwerkers betreft, sluiten wij systematisch met elk van hen een gegevensverwerkingsovereenkomst. Zij moeten de beginselen van dit Charter naleven. Wij voeren audits uit om ervoor te zorgen dat de toepasselijke contractuele en wettelijke verplichtingen worden nageleefd. Onze gegevensverwerkers zijn ook verplicht deze nalevingsverplichtingen aan hun eigen onderaannemers op te leggen.
Wij wijzen u erop dat uw gegevens niet zonder uw toestemming kunnen worden doorgegeven voor commerciële doeleinden.
- Doorgifte van gegevens aan derden buiten de EER – Ontvangers
Indien wij uw persoonsgegevens buiten de EER doorgeven, zullen wij nagaan of in het betrokken land hetzelfde beschermingsniveau geldt als binnen de EER, of er passende waarborgen zijn ingebouwd (encryptie, pseudonimisering, standaard contractclausules, enz.), of dat er afwijkingen kunnen worden ingeroepen. In het geval van beheer van de contractuele relatie kan het, afhankelijk van de situatie, nodig zijn dat wij persoonsgegevens buiten de EER doorgeven met het oog op de juiste uitvoering van ons contract met de klant.
13. Cookies
Wij gebruiken cookies op onze websites.
Voor meer informatie over ons cookiebeleid verwijzen we u naar de volgende pagina: https://solutions.ethias.be/nl/cookiebeleid/
14. Opleiding en sensibilisering
We vinden het belangrijk om de medewerkers die de opdrachten van Ethias Services uitvoeren bewust te maken van gegevensbescherming en de GDPR-beginselen. Daarom is er voor hen een opleidingsprogramma dat is afgestemd op hun functies en de gegevensverwerkingsactiviteiten die zij verrichten.
Bovendien zorgt ons netwerk van GDPR-medewerkers (zie “Hoofdstukken 3 en 4”) voor de bewustmaking van het personeel en voor de bevordering van de privacybescherming binnen al onze departementen.
15. Beveiliging en governance: technische en organisatorische maatregelen
Op het vlak van beveiliging implementeren we passende technische en organisatorische maatregelen om ons te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of toegang tot doorgezonden, opgeslagen of verwerkte persoonsgegevens.
Om het passende beveiligingsniveau voor onze organisatie te bepalen, beoordelen wij de risico’s die verbonden zijn aan elk van de gegevensverwerkingsverrichtingen die wij uitvoeren naargelang hun context (aard, doel, reikwijdte, categorieĂ«n van verwerkte gegevens) en de beschikbare technologische middelen.
Op het vlak van governance hanteren wij de nodige procedures om ervoor te zorgen dat aan de verplichtingen en vereisten van de GDPR wordt voldaan, namelijk:
- gegevensbeschermingseffectbeoordelingen (GBE) ofData Protection Impact Assessment (DPIA) ;
- methodologieĂ«n voor risicobeoordeling, met name in het kader van doorgiften buiten de EER (“Transfer Impact Assessments” of “TIA”);
- methoden voor gegevensbescherming door ontwerp en door standaardinstellingen (“Privacy by design and Privacy by default”).
Deze procedures stellen ons in staat te bepalen of de verwerking van de gegevens rechtmatig is, of er risico’s aan verbonden zijn en, zo ja, welke technische en organisatorische maatregelen moeten worden genomen om deze risico’s te beperken.
16. Wijziging van het Charter
Dit Charter kan op ieder ogenblik en zonder voorafgaande kennisgeving van wijziging worden bijgewerkt. Raadpleeg het regelmatig op onze website.
Laatste update: 24/06/2024
17. Definities
Termen | Definities |
Gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment – DPIA) | Een gegevensbeschermingseffectbeoordeling is een onderzoek die moet worden uitgevoerd wanneer een verwerking van persoonsgegevens waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van de betrokkenen. |
Gegevensbeschermingsautoriteit (GBA) | De onafhankelijke overheidsinstantie die belast is met het toezicht op de toepassing van de toepasselijke wet- en regelgeving inzake gegevensbescherming. |
Cookies | Een cookie is een klein bestand dat door een server wordt opgeslagen in de terminal van een gebruiker (computer, telefoon, enz.) en dat wordt geassocieerd met een webdomein (d.w.z. in de meeste gevallen met alle pagina’s van dezelfde website). Dit bestand wordt automatisch teruggestuurd wanneer later contact wordt opgenomen met hetzelfde domein. Het kan een natuurlijke persoon identificeren op basis van de persoonsgegevens die het verzamelt. |
Functionaris gegevensbescherming (FG) Data Protection Officer (DPO) | De functionaris gegevensbescherming, Data Protection Officer of “DPO” is verantwoordelijk voor de tenuitvoerlegging van de naleving van de GDPR binnen de organisatie die hem/haar heeft aangesteld voor alle verwerkingsactiviteiten die door die organisatie worden uitgevoerd. In sommige gevallen is zijn benoeming verplicht. |
Persoonsgegevens of persoonlijke gegevens | Persoonsgegevens zijn gegevens die betrekking hebben op een geĂŻdentificeerde of identificeerbare natuurlijke persoon door een combinatie van informatie. |
Gevoelige gegevens | Gevoelige gegevens omvatten informatie waaruit vermeend ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid. |
Rechtmatig belang | Het rechtmatige belang is een van de rechtsgrondslagen van de GDPR waarop de verwerking van persoonsgegevens kan worden gebaseerd. Het gebruik van deze rechtsgrondslag veronderstelt dat de belangen (commerciële, veiligheid van goederen, enz.) die worden nagestreefd door de instantie die de gegevens verwerkt, niet leiden tot een verstoring van het evenwicht ten nadele van de rechten en belangen van de personen van wie de gegevens worden verwerkt. |
Minimale gegevensverwerking (Beginsel van) | Het beginsel van de minimale gegevensverwerking bepaalt dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt. |
Betrokkene (betrokken persoon) | Alle natuurlijke personen van wie Ethias Services de gegevens verwerkt. |
Profilering | Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij deze gegevens worden gebruikt om bepaalde persoonlijke aspecten van een individu te beoordelen, met name om diens gedrag te analyseren of te voorspellen. |
Verwerkingsverantwoordelijke | Een natuurlijke of rechtspersoon (zoals Ethias Services) die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking vaststelt. |
Gegevensverwerker | De natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. |
Derden | Een derde is elke persoon (natuurlijke of rechtspersoon), overheids- of andere instantie die gemachtigd is persoonsgegevens te verwerken. |