Privacy statement

Algemeen

EASYPAY GROUP hecht een groot belang aan de bescherming van privacy en persoonsgegevens. Als onderneming zal EASYPAY GROUP alle redelijke inspanningen leveren om de persoonsgegevens die haar door de klant werden toevertrouwd op een behoorlijke en zorgvuldige wijze te verwerken. EASYPAY GROUP neemt hiertoe naar best vermogen de hierna beschreven redelijke, passende technische en organisatorische beveiligingsmaatregelen.

Identificatie van de persoonsgegevens

Diverse persoonsgegevens worden op rechtstreekse wijze verzameld. Het gaat hierbij onder meer om standaardidentificatiegegevens zoals naam, voornaam en functie binnen een bedrijf, om contactgegevens zoals telefoonnummer, faxnummer, e-mailadres en om gegevens voor facturatiedoeleinden zoals bankrekeningnummer. In voorkomend geval worden deze gegevens rechtstreeks overhandigd door het invullen van documenten, het elektronisch of telefonisch meedelen ervan of het overhandigen van visitekaartjes. Hierbij wordt verondersteld dat er uitdrukkelijke toestemming wordt gegeven voor het opslaan van de aangeleverde persoonsgegevens.

Diverse persoonsgegevens worden eveneens onrechtstreeks verzameld. Het kan hierbij gaan om publieke gegevens die onderworpen zijn aan publicatieplicht (cf. benoemingen) of gegevens die door de betrokkene zelf publiekelijk zijn gemaakt (cf. publicatie website). Dergelijke publiek toegankelijke persoonsgegevens kunnen desgevallend worden opgeslagen. Toestemming hiervoor wordt verondersteld gezien deze gegevens uitdrukkelijk publiekelijk werden gemaakt.

Er worden geen bijzondere categorieën van persoonsgegevens bijgehouden zonder bijkomende toestemming.

Verantwoording van de verwerking

Om bepaalde diensten op kwalitatieve wijze te kunnen aanbieden heeft EASYPAY GROUP diverse specifieke persoonsgegevens nodig, dit onder meer met het oog op het correct kunnen uitvoeren van de vooropgestelde dienstverlening, om te voldoen aan wettelijke vereisten, in het kader van risicobeheer en kwaliteitscontrole of in het kader van relatiebeheer en beheer van klantendossiers. EASYPAY GROUP verbindt er zich toe om uw persoonsgegevens niet door te geven aan derde partijen zonder uitdrukkelijke toestemming. Uw persoonsgegevens worden minstens gedurende de wettelijk verplichte bewaartermijnen bewaard of desgevallend zolang als nodig is om de vooropgestelde doelen te verwezenlijken.

Rechten van de betrokkene

In de mate dat het beantwoorden van verzoeken om uitoefening van de rechten van betrokkenen, zoals bepaald in de AVG, dit vereist, zal EASYPAY GROUP, in zoverre men niet zelf over de mogelijkheid beschikt, op schriftelijk verzoek naar best vermogen overgaan tot het schriftelijk verstrekken van alle benodigde informatie, voor zover beschikbaar, en tot het verbeteren, aanvullen, verwijderen, overdragen of afschermen van persoonsgegevens, dit voor zover dit redelijkerwijze mogelijk is en binnen een redelijke termijn, rekening houdende met de wettelijke bepalingen van de AVG. Voor zover deze dienstverlening toepasselijk, passend en mogelijk is, zullen de betrokken partijen de modaliteiten en desgevallend vergoeding hiervan overeenkomen.

Overzicht technische en organisatorische maatregelen

Hieronder vindt u een niet-limitatief overzicht van reeds uitgevoerde en in uitvoering zijnde maatregelen waarmee EASYPAY GROUP de bescherming van privacy en persoonsgegevens nastreeft.

Op technisch-infrastructureel vlak:

1. Een systeem van logische beveiliging op basis van een firewall, proxy server en virusscanner overeenkomstig de geldende industrienormen
2. Het hanteren van een paswoordpolicy nl. unieke logincodes en persoonlijk wachtwoord dat regelmatig wordt aangepast
3. Systematisch maken van beveiligde back-ups om te beschermen tegen dataverlies
4. Afscherming van fysieke toegang tot persoonsgegevens voor personen die hier uit hoofde van hun takenpakket geen toegang toe moeten hebben
5. Geen gebruik maken van onbeveiligde harde schijven
6. Gebruik maken van encryptietechnieken bij de opslag van persoonsgegevens
7. Controle op de toegang van lokalen en bedrijfsruimten via een beveiligd toegangsbeheer en alarmsystemen
8. Fysieke beveiliging van computerlokalen en serverlokalen waar software en data zich bevinden. De concrete beveiliging omvat onder meer een beveiligd toegangsbeheer, alarmsysteem, stroomonderbrekingsinstallatie en brandbeveiligingssyteem
9. Het automatisch overschakelen naar een andere server op basis van redundante systemen op fysiek gescheiden locaties met gescheiden internetconnectiviteit. Daarbij worden regelmatige “fail-over testen” voorzien
10. Gebruik van technieken voor identiteitscontrole op basis van dubbele authenticatie of gebruik van eID
11. Maatregelen die ervoor zorgen dat de transmissie van persoonsgegevens op een beveiligde manier verloopt en dat deze gegevens bij de elektronische transmissie of tijdens hun transport of opslag op gegevensdragers niet door onbevoegden gelezen, gekopieerd, gewijzigd of verwijderd kunnen worden
12. Een geformaliseerd releasemanagement bij de ontwikkeling van nieuwe software en bij wijzigingen aan de softwareapplicaties via releaseplanning, change management, testing met scheiding van ontwikkelings-, acceptatie- en productieomgevingen
13. Opmaak van een dataverwerkingsregister met alle verwerkingsactiviteiten van persoonsgegevens volgens het model ter beschikking gesteld door de Gegevens Beschermingsautoriteit
14. Aanduiding van een Data Protection Officer (DPO) die zal toezien en waken over de toepassing van de regels opgelegd door GDPR

Op organisatorisch vlak:

1. Het hanteren van een algemeen informatiebeleid voor personeel i.v.m. privacy
2. Het organiseren van periodieke trainingen & awareness voor het personeel omtrent het omgaan met persoonsgegevens
3. Het opstellen van interne procedures i.v.m. indienst en uitdienst van medewerkers die persoonsgegevens beheren
4. Het vastleggen van vertrouwelijkheidsclausules met medewerkers die persoonsgegevens beheren
5. Het opstellen van een interne policy en richtlijnen i.v.m. het vertrouwelijk omgaan met persoonsgegevens
6. Het opstellen van interne procedures in geval van incidenten (gegevenslek, …)
7. Het toepassen van een persoonlijke registratie en identificatiesystemen voor het monitoren van toegang tot de gebouwen zodat onbevoegden geen toegang krijgen tot de lokalen van de onderneming
8. Het aanduiden van een verantwoordelijke voor informatiebeveiliging
9. Het op regelmatige tijdstippen plannen en uitvoeren van interne veiligheidscontroles en –audits
10. Het hanteren van een clean desk-policy binnen de onderneming waarbij vertrouwelijke gegevens maximaal worden afgeschermd voor onbevoegde personen
11. Het gebruik van papierversnipperaars of andere middelen om vertrouwelijke gegevens desgevallend te vernietigen
12. Het toepassen van een vastgelegde procedure omtrent het verwijderen van persoonsgegevens die zich bevinden op afgedankte apparatuur en opslagmedia (bv. op laptops en smartphones) en op apparatuur die terug ingediend wordt door medewerkers die de onderneming verlaten

Op juridisch vlak:

1. Toepassing van een procedure van Data Breach Notification waarbij eventuele datalekken op een geformaliseerde en correcte wijze – conform GDPR – gecommuniceerd worden aan de juiste partijen. Daarbij worden ook de nodige maatregelen voorzien opdat eventuele schade zoveel mogelijk kan beperkt worden
2. In de arbeidsovereenkomsten, in het arbeidsreglement e.a. interne policies voor onze interne medewerkers zijn bepalingen opgenomen met betrekking tot de geheimhouding en bescherming van de persoonlijke levenssfeer inzake gegevens die ons in het kader van onze opdracht werden toevertrouwd. Deze documenten worden bijgewerkt waar nodig om te voldoen aan GDPR vereisten
3. Opmaak van een verwerkingsovereenkomst die volledig voldoet aan de vereisten vooropgesteld door GDPR
4. Herziening van alle clausules die betrekking hebben op privacy, beveiliging en bescherming van persoonsgegevens in contracten en andere documenten die met klanten uitgewisseld worden