Privacy policy

Ga naar oplossingen

Algemeen

Dit beleid wordt door Traxgo bvba uitsluitend ter informatie verstrekt, zonder enige vorm van vertegenwoordiging of garantie, en Traxgo bvba is niet aansprakelijk voor fouten of weglatingen met betrekking tot dit beleid. De enige garanties voor producten en diensten van Traxgo bvba zijn die welke zijn uiteengezet in de garantiecertificaten die de producten en diensten vergezellen, indien van toepassing. Niets in deze policy mag worden beschouwd als een aanvullende garantie.

Introductie

Traxgo bvba is gebonden aan de reglementering en wetgeving rond databeveiliging en privacy. Traxgo respecteert en beschermt de rechten van individuen, in bijzonder het recht op data beveiliging en privacy tijdens het processen, gebruik en opslag van informatie alsook het recht op privacy. De bescherming van informatie omvat de persoonlijke gegevens van medewerkers, klanten, leveranciers, partners en alle andere personen vallen onder de verantwoordelijkheid van Traxgo. Om dit zeker te stellen heeft Traxgo een Data beveiliging en privacy beleid ontwikkeld wat regelmatig herzien wordt.
Traxgo bvba heeft zijn maatschappelijke zetel in België, lidstaat van de EU. Daarom zijn de basisprincipes van de Europese databescherming en privacywetgeving, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 over de bescherming van natuurlijke personen m.b.t. het gebruik van persoonlijke data en vrije beweging van deze data en de Directive 95/46/EC (General Data Protection Regulation). Indien er striktere wetgeving van toepassing is, t.o.v. deze policy voor specifieke gevallen dan gelden de striktste regels.
Vragen hierover kunnen rechtstreeks aan de CEO, die de rol van data protection and privacy (DPPO) officer vervult gesteld worden privacy@traxgo.be.

Toepassingsgebied

Deze policy is van toepassing voor alle activiteiten waarbij persoonlijke gegevens verwerkt worden. Het legt de eisen vast voor de operationele processen alsook duidelijker verantwoordelijkheden en structuur. Het is de verantwoordelijkheid van alle medewerkers binnen Traxgo om de regels en afspraken die binnen dit beleid vastgelegd worden te volgen wanneer ze persoonlijke gegevens behandelen tijdens hun dagtaak.
Persoonlijke data omvat gegevens van medewerkers, vroegere medewerkers, sollicitanten, klanten, geïnteresseerde partijen, leveranciers, partners, gebruikers van producten en diensten van Traxgo en alle andere betrokkenen.
Traxgo is gegevensbeheerder (controller) voor de persoonlijke gegevens van zijn eigen medewerkers, sollicitanten, vroegere medewerkers, klanten, leveranciers, partners en andere belanghebbenden. Dit wil zeggen dat Traxgo bepaald wat met deze data gebeurt en hoe dit behandeld wordt.
Traxgo is altijd gegevensverwerker (data processor) daar waar ze producten en diensten aan hun klanten levert. De klant is gegevensbeheerder (data controller) voor de persoonlijke informatie die zij in de systemen van Traxgo invoert. Traxgo kan enkel de persoonlijke gegevensverwerker in plaats van de klant en volgens zijn instructies indien er een ‘processor – controller’ contract opgemaakt werd.

Definitie

De terminologie gebruikt in deze policy heeft dezelfde betekenis zoals beschreven in REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL van 27 April 2016 over de bescherming van natuurlijke personen met betrekking tot het behandelen van persoonlijke data en op vrij gebruik van zulke data en gelinkte Directive 95/46/EC (General Data Protection Regulation).
5 Principes van het beheer van persoonlijke dataprivacy en bescherming

Traxgo bvba heeft zich geëngageerd om te voldoen aan de Eisen van de data protection prinicipes zoals beschreven in REGULATION (EU) 2016/679, persoonlijke gegevens zullen :

  • rechtmatig, eerlijk en op transparante wijze verwerkt met betrekking tot de betrokkene ("wettigheid, billijkheid en transparantie");
  • verzameld voor specifieke, expliciete en legitieme doeleinden en niet verder verwerkt op een manier die onverenigbaar is met die doeleinden; verdere verwerking voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden worden niet beschouwd als onverenigbaar met de oorspronkelijke doeleinden ("doelbinding");
  • adequaat, relevant en beperkt tot wat nodig is met betrekking tot de doeleinden waarvoor ze worden verwerkt ('gegevensminimalisatie');
  • nauwkeurig en, waar nodig, up to date gehouden; elke redelijke stap moet worden gezet om ervoor te zorgen dat persoonsgegevens die onnauwkeurig zijn, rekening houdend met de doeleinden waarvoor zij worden verwerkt, onverwijld worden gewist of rechtgezet ("nauwkeurigheid");
  • bewaard in een vorm die identificatie van betrokkenen toelaat, niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; persoonsgegevens kunnen gedurende langere perioden worden opgeslagen voor zover de persoonsgegevens uitsluitend voor archiveringsdoeleinden, in het algemeen belang, zullen worden verwerkt, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden, mits de nodige technische en organisatorische maatregelen worden genomen om de rechten en vrijheden van de betrokkene te garanderen ("opslagbeperking"). Dit vereist in het bijzonder dat de periode waarvoor de persoonlijke gegevens worden opgeslagen, tot een strikt minimum wordt beperkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan nodig is, moet de verantwoordelijke tijdslimieten vaststellen voor het wissen of voor een periodieke beoordeling. Elke redelijke stap moet worden gezet om ervoor te zorgen dat persoonsgegevens die onjuist zijn, worden gecorrigeerd of verwijderd;
  • verwerkt op een manier die een gepaste beveiliging van de persoonlijke gegevens garandeert, inclusief bescherming tegen ongeoorloofde of onwettige verwerking en tegen accidenteel verlies, vernietiging of beschadiging, met passende technische of organisatorische maatregelen ('integriteit en vertrouwelijkheid');
  • verwerkt in overeenstemming met de rechten van Data Subjects;
  • niet getransfereerd naar een land buiten de Europese economische unie tenzij de nodige bescherming is uitgevoerd

Traxgo bvba zal geen persoonlijke informatie verkopen aan derden.

Traxgo zal uw persoonsgegevens niet openbaar maken aan derden, tenzij wanneer het noodzakelijk is in kader van de uitvoering van de overeenkomst en de optimalisering daarvan. In dit geval zal Traxgo met de derde partij een contract afsluiten dat de bepalingen die deze Privacy Policy bevat.

Verdere details hoe Traxgo de Eisen van deze principes toepast worden verder beschreven in dit document. Er wordt een onderscheid gemaakt tussen Traxgo als gegevensverwerker en gegevensbeheerder.

Traxgo handelt enkel als gegevensbeheerder voor klanten enkel en alleen op de instructies van de klant. Daar waar deze zouden ontbreken worden de interne processen van Traxgo toegepast.

Adequate Organisatorische en technische maatregelen

Organisatorische eisen

De wettelijke verantwoordelijkheid voor het verzamelen, verwerken en gebruiken van persoonlijke gegevens binnen Traxgo bvba ligt bij de leidinggevenden van het bedrijf dat de persoonlijke gegevens verzamelt, verwerkt of gebruikt voor haar eigen bedrijfsdoeleinden. Binnen Traxgo bvba worden de verantwoordelijkheden gedelegeerd langs de organisatiestructuur door middel van specifieke functies en rollen, afgedwongen door beleid, processen en gedocumenteerde instructies van management tot managers op verschillende niveaus en werknemers, aangevuld met opleiding en training.
De CEO zorgt voor awareness m.b.t. gebruik van de persoonsgegevens in alle rollen en functies die binnen Traxgo bestaan.

Maatregelen voor gegevensbeveiliging

"ISO 27001: 2013 Informatiebeveiligingsbeheer" is het kader dat Traxgo bvba implementeert om de middelen te bieden voor een adequate gegevensbeveiliging. Naast de goedgekeurde technische controles, gestructureerde documentatie, monitoring en continue verbetering, bevordert de implementatie van ISO 27001 een cultuur en bewustzijn van gegevensbescherming in Traxgo bvba.
Een niet-limitatieve lijst van ISO 27001-controles wordt vermeld, die van toepassing zijn op persoonlijke gegevens, evenals op de andere informatie activa waar Traxgo bvba verantwoordelijk voor is.

Risico Assessment & Behandeling

De wetgeving voor privacy en gegevensbescherming definieert persoonlijke gegevens en speciale categorieën van persoonsgegevens (ISO-controle A.8.2.1: Classificatie van informatie), hiermee wordt rekening wordt gehouden in de informatie classificatie. (Confidential, internal, public) De wetgeving inzake privacy en gegevens-bescherming bepaalt ook wat moet worden beschouwd als verwerking met hoog risico.
Op basis van de gegevensclassificatie en de verwerking van hoog risico gegevens worden de nodige beoordelingen uitgevoerd voorafgaand aan de verwerking, deze worden gevalideerd door de CEO.
Onze klanten, die optreden als controller, verstrekken de informatie over de classificatie van hun persoonlijke gegevens, het risico van gegevensverwerking en zijn volgens de wet op de privacy en gegevensbescherming verplicht om een deze beoordeling uit te voeren, die door de Traxgo in aanmerking wordt genomen voor de bepaling van de technische en organisatorische maatregelen.

Compliance

Het is verplicht om een lijst met relevante wettelijke, wettelijke, regelgevende en contractuele vereisten te hebben (ISO-controle A.18.1.1: identificatie van toepasselijke wetgeving en contractuele vereisten), inclusief de gegevens: privacy- en beschermingswetgeving (ISO-controle A.18.1 .4 (Privacy en bescherming van persoonlijk identificeerbare informatie).
Traxgo bvba verwerkt alleen persoonsgegevens waarvoor het een legitieme wettelijke basis kan aantonen. De naleving van de wetgeving inzake privacy en gegevensbescherming kan worden aangetoond door een passend framework, geïnstalleerde organisatorische en technische maatregelen en ook aanvullend de ISO 27001: 2013-certificering.

Asset Management

ISO 27001-controle A.8 (Asset Management) leidt tot het beheer van assets die persoonlijke gegevens bevatten. Er werd een asset management systeem opgezet om zeker te stellen dat de nodige beveiliging aanwezig is voor opslag, toegang en verwijdering.

Privacy by Design & default

Traxgo bvba neemt privacy by design & default over bij de ontwikkeling van producten en systemen als onderdeel van een integraal onderdeel van informatiesystemen gedurende de gehele levenscyclus van producten en diensten. Privacy by design & default wordt ook toegepast bij het ontwerpen van nieuwe processen en procesactiviteiten, ondersteund door informatiesystemen. De ISO 27001-controle A.14 (Systeemaankoop, ontwikkeling en onderhoud) zorgt ervoor dat "informatiebeveiliging" een vereiste is als functionele en technische vereisten voor het ontwerp en de bouw van informatiesystemen.

Data Breach notification

Traxgo bvba heeft een procedure voor inbreuken op gegevensbeveiliging, behandeling en kennisgeving geïmplementeerd, waardoor een consistente en effectieve aanpak van het beheer van informatiebeveiligingsincidenten, inclusief communicatie, wordt gewaarborgd.

De CEO van Traxgo bvba is de contactpersoon voor alle communicatie i.v.m. Datalekken (privacy@traxgo.be), alsook de contactpersoon voor autoriteiten en betrokkenen.

Leveranciers en onderaannemers

Traxgo bvba informeert de klanten, handelend als controller, over de gebruikte leveranciers en onderaannemers die data verwerken in opdracht. De eisen in de gegevens verwerkingsovereenkomsten tussen Traxgo bvba en de klanten worden gehandhaafd in al de afspraken met onze onderaannemers en toeleveranciers

Dataopslag

Alle persoonlijke gegevens waar Traxgo bvba optreedt als verantwoordelijke voor de verwerking of persoonlijke gegevens, in opdracht van de klanten als controller, worden op een veilige manier opgeslagen binnen de EER en worden niet overgedragen buiten de EER. Dit wordt ook gehandhaafd door de leveranciers en in opdracht werkende onderaannemers van Traxgo bvba. Alleen na formeel schriftelijk verzoek en met akkoord van de verantwoordelijke voor de verwerking, worden territoriale overschrijvingen buiten de EER afgehandeld zoals overeengekomen met de ‘controller’ , terwijl de ‘controller’ dient erop toe te zien dat de nodige transfer overeenkomsten, contractbepalingen en bindende eisen afgesloten worden met de partij waaraan de gegevens moeten worden overgedragen.

Het bewaren van persoonlijke gegevens waar Traxgo bvba optreedt als controller, wordt afgedwongen door het interne beleid voor retentie en verwijdering gegevens. Het bewaren van persoonsgegevens die eigendom zijn van de klanten en worden opgeslagen door Traxgo bvba vallen onder het retentiebeleid van de klant (controller). Als een dergelijk retentiebeleid niet wordt voorzien door de controller in de processorovereenkomst, wordt het interne beleid voor retentie en verwijdering van Traxgo bvba toegepast.

Rechten van data subject

In de activiteiten waarin Traxgo bvba de verwerkingsverantwoordelijke (controller) van de persoonlijke gegevens is, hebben wij een beleid, richtlijnen, normen, procedures en instructies ingevoerd en geïmplementeerd zodat alle rechten van betrokkenen en vrijheidsrechten worden gerespecteerd.

Recht op informatie

Betrokkenen hebben recht op informatie over de identiteit van de verwerkingsverantwoordelijke, de redenen voor de verwerking van hun persoonsgegevens en andere relevante informatie die nodig is om een eerlijke en transparante verwerking van persoonsgegevens te waarborgen. Betrokkenen, waarbij Traxgo bvba optreedt als verantwoordelijke voor de persoonlijke gegevens, worden op basis van verschillende kanalen op de hoogte gebracht, afhankelijk van het type gegevenssubject (bijvoorbeeld privacyverklaring, privacy kennisgevingen op digitale punten, gegevensbescherming voor werknemers en kennisgeving van bescherming).

Recht op inzage

Betrokkenen hebben het recht om het volgende te verkrijgen:

  • bevestiging van de vraag of, en waar, de verantwoordelijke zijn persoonsgegevens verwerkt;
  • informatie over de doeleinden van de verwerking;
  • informatie over de categorieën gegevens die worden verwerkt;
  • informatie over de categorieën ontvangers waarmee de gegevens kunnen worden gedeeld;
  • informatie over de periode waarvoor de gegevens worden opgeslagen (of de criteria die zijn gebruikt om die periode te bepalen);
  • informatie over het bestaan van de rechten op verwijdering, rectificatie, beperking van verwerking en bezwaar tegen verwerking;
  • informatie over het bestaan van het recht om een klacht in te dienen bij de gegevensbeschermingsautoriteit;
  • waar de gegevens niet bij de betrokkene zijn verzameld, informatie over de bron van de gegevens;
  • informatie over het bestaan van en een verklaring van de logica die betrokken is bij geautomatiseerde verwerking die een significant effect heeft op betrokkenen.

Daarnaast kunnen betrokkenen een kopie van de verwerkte persoonsgegevens aanvragen.

Recht op rectificatie, vervolledigen of update van persoonsgegevens

Betrokkenen hebben het recht om een verwerkingsverantwoordelijke te vragen om fouten in hun persoonlijke data recht te zetten, te corrigeren.

Recht op schrapping (the "right to be forgotten")

Betrokkenen hebben het recht om van een verantwoordelijke voor de verwerking te eisen dat deze hun persoonlijke gegevens verwijdert als de verdere verwerking van die gegevens niet gerechtvaardigd is. Betrokkenen hebben het recht om persoonlijke gegevens te wissen (het "recht om te worden vergeten") als:

  • de gegevens zijn niet langer nodig voor hun oorspronkelijke doel (en er bestaat geen nieuw wettig doel);
  • de wettelijke basis voor de verwerking door toestemming van de betrokkene is en de betrokkene zijn toestemming intrekt en er geen andere wettelijke grond bestaat;
  • de betrokkene bezwaar aantekent en de voor de verwerking verantwoordelijke heeft geen doorslaggevende redenen om door te gaan met de verwerking;
  • de gegevens onrechtmatig zijn verwerkt;
  • verwijdering is noodzakelijk om aan de EU-wetgeving of de nationale wetgeving van de betrokken lidstaat te voldoen.

Recht op beperking van de verwerking van uw persoonsgegevens

Betrokkenen hebben het recht om de verwerking van persoonsgegevens te beperken (wat betekent dat de gegevens alleen door de verantwoordelijke mogen worden bewaard en alleen voor beperkte doeleinden mogen worden gebruikt) als:

  • de juistheid van de gegevens wordt betwist (en alleen zolang als nodig is om die nauwkeurigheid te verifiëren);
  • de verwerking onwettig is en de betrokkene verzoekt om beperking (in tegenstelling tot het uitoefenen van het recht op verwijdering);
  • de verantwoordelijke de gegevens niet langer nodig heeft voor het oorspronkelijke doel, maar de gegevens worden nog steeds door de verantwoordelijke vereist voor het vaststellen, uitoefenen of verdedigen van wettelijke rechten;
  • verificatie van dwingende redenen hangende is, in het kader van een verzoek tot uitwissing.

Recht van bezwaar/ verzet tegen verwerking van uw persoonsgegevens

Betrokkenen hebben het recht om bezwaar te maken, om redenen die verband houden met hun specifieke situatie voor:

  • verwerking van persoonsgegevens, waarbij de basis voor die verwerking ofwel het openbaar belang is; of legitieme belangen van de verantwoordelijke;
  • verwerking met het oog op direct marketing;
  • verwerking voor wetenschappelijke, historische of statistische doeleinden, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak die om redenen van openbaar belang wordt uitgevoerd.

Recht op overdraagbaarheid van uw gegevens

Betrokkenen hebben het recht om:

  • een kopie te ontvangen van hun persoonlijke gegevens in een gestructureerd, veel gebruikt, leesbaar formaat dat hergebruik ondersteunt;
  • hun persoonlijke gegevens van de ene controller naar de andere over te brengen;
  • hun persoonlijke gegevens te bewaren voor verder persoonlijk gebruik op een privé-apparaat; en
  • hun persoonlijke gegevens direct tussen de controllers door te geven, zonder hinder.

Klachten procedure

Indien U vragen heeft of een klacht heeft mbt deze privacy policy of het behandelen van uw persoonsgegevens kan u de CEO van Traxgo contacteren : privacy@traxgo.be.