GDPR-ZELFTEST Deze GDPR-zelftest is een handig instrument m je bewust te maken van de verschillende aspecten van GDPR en af te tetsen in heverre je hiermee bezig bent in je bedrijf. Het helpt je nadien k bij de pmaak van een verwerkingsregister en privacyverklaring (waar je verplicht bent aan te vlden). Deel 1 gaat ver de verwerking van persnsgegevens (van wie, welke gegevens, waarm, ). Deel 2 gaat ver de beveiliging ervan. Lees vraf k zeker de infbrchure vr heveprducenten. Deze vind je p nze website www.steunpuntkrteketen.be/advies/wetgeving Heb je als heveprducent een apart ndernemingsnummer, m.a.w. ben je een apart bedrijf, ls van het hfdbedrijf in land- en tuinbuw, verlp dan deze zelftest als heveprducent. Behren de krte keten- f verbredingsactiviteiten echter tt het hfdbedrijf, neem dan alle verwerkingen (van hfdbedrijf + krte keten /verbredingsactiviteit) in beschuwing. DEEL 1 VERWERKING PERSOONSGEGEVENS 1. ALGEMENE INFORMATIE ORGANISATIE Naam bedrijf: Naam cntactpersn: 2. VAN WIE HOUDT JE BEDRIJF PERSOONSGEGEVENS BIJ? Deelnemers / bezekers Klanten Cllega-landbuwers Kinderen (niet van eigen gezin) Persneel (bv. i.k.v. Dimna) Vrijwilligers Partners (waarmee je samenwerkt) Freelancers Overheidscntacten Overige (geef nadere telichting): 3. WELKE CATEGORIEËN VAN PERSOONSGEGEVENS HOUDT JE BEDRIJF BIJ? Persnlijke identificatiegegevens (naam, adres, telefnnummer, e-mailadres) Identificatiegegevens (identiteitskaart-, rijksregister- f rijbewijsnummer, nummerplaat) Financiële identificatiegegevens (bankrekeningnummers, nummer credit- f debetkaart) Persnlijke kenmerken (geslacht, gebrtedatum, burgerlijke staat, natinaliteit) Fysieke beschrijving (grtte, gewicht, haarkleur, ) Sciale cntacten (vrienden, ) Facturatiegegevens Gevelige gegevens: Lidmaatschappen Gegevens ver de gezndheid Psychische eigenschappen Raciale f etnische gegevens Geaardheid Elektrnische identificatiegegevens (IP-adressen) Elektrnische lcatiegegevens (via gps, gsm, ) KVLV vzw Remylaan 4b, 3018 Wijgmaal 016/24 39 99 kvlv@ns.be
Ft's Filmpjes Overige (geef nadere telichting): 4. DUID DE VERWERKINGSACTIVITEITEN AAN DIE JE BEDRIJF VERRICHT Klantenadministratie: het bedrijf registreert persnsgegevens van haar klanten in het kader van haar dienstverlening f activiteiten. Klanten infrmeren: het bedrijf registreert persnsgegevens van haar klanten zdat ze hen p de hgte kan huden ver de werking en activiteiten (.a. nieuwsbrieven via e-mail f pst). Activiteiten: het bedrijf registreert persnsgegeven vr de rganisatie van activiteiten en registratie van betaling. Gebruikerslijsten: het bedrijf registreert persnsgegevens van de gebruikers van het aanbd van het bedrijf. Persneelsadministratie: het bedrijf registreert persneelsgegevens van medewerkerspersneelsleden m te vlden aan de wettelijke verplichtingen inzake persneelsbeheer. Vrijwilligersvereenkmsten: het bedrijf registreert persnsgegevens van haar vrijwilligers m te vlden aan de vrijwilligerswetgeving. Cntacten met freelancers: het bedrijf registreert persnsgegevens van de freelancers met wie ze samenwerkt. Leveranciersbekhuding: het bedrijf registreert persnsgegevens van de leveranciers vr de betaling van facturen en de crrecte verwerking in de bekhuding. Cntactlijsten: het bedrijf registreert persnsgegevens van de cntacten die de rganisatie heeft gehad f kan hebben m hen p een efficiënte manier te kunnen cntacteren. Sciale media: de rganisatie registreert de mensen die de Facebk-pagina van de rganisatie vlgen. Overige (geef nadere telichting): 5. IS HET NODIG OM AL DEZE PERSOONSGEGEVENS OP TE VRAGEN EN TE VERWERKEN VOOR DE BEOOGDE DOELEINDEN VAN DE VERWERKING? Ja Neen, vlgende gegevens zijn niet ndzakelijk en kunnen geschrapt wrden:. 6. OP BASIS VAN WELKE RECHTSGRONDEN VERWERKT JE BEDRIJF PERSOONSGEGEVENS? De verwerking is ndzakelijk vr de uitvering van een (verkps)vereenkmst (bv. als een klant nline betaalt, mag je de kredietkaartgegevens verwerken m betaling te verkrijgen). De verwerking is ndzakelijk m te vlden aan een wettelijke verplichting (bv. drgeven van persnsgegevens van medewerkers aan de sciale zekerheid). De verwerking gebeurt vanuit een gerechtvaardigd belang van de rganisatie (bv. mdat anders de delstelling van je bedrijf niet gerealiseerd kan wrden, bv. adresgegevens pvragen vr levering aan huis; direct marketing t.a.v. bestaande klanten p vrwaarde dat je als bedrijf de klant infrmeert dat hij zich kan verzetten en dit k makkelijk kan den). De betrkkene heeft testemming gegeven. 7. VRAAGT JE BEDRIJF OP EEN CORRECTE MANIER TOESTEMMING? Neen. Ja, je laat vrijwillige keuze. Ja, je licht betrkkenen in ver je deleinden. Ja, er gebeurt geen stilzwijgende testemming. Ja, er is de mgelijkheid tt intrekken testemming. Ja, de testemming is cntrleerbaar. Ja, je rganisatie vreg in het verleden k al testemming. Ja, je bedrijf vraagt testemming vr het nemen van beeldmateriaal (ft's, filmpjes). Ja, je bedrijf vraagt testemming vr het publiceren van (ft's, filmpjes) p (sciale) media. KVLV vzw Remylaan 4b, 3018 Wijgmaal 016/24 39 99 kvlv@ns.be
8. HEEFT JE BEDRIJF EEN PRIVACYVERKLARING VOOR ELKE ACTIVITEIT WAARBIJ ZE PERSOONSGEGEVENS VRAAGT AAN DE BETROKKENE? ZO JA, WAT WORDT ER IN VERMELD? Neen, mijn bedrijf heeft geen privacyverklaring vr elke activiteit waarbij ze persnsgegevens vraagt aan de betrkkene. Ja, mijn bedrijf heeft een privacyverklaring vr elke activiteit waarbij ze persnsgegevens vraagt aan de betrkkene. De privacyverklaring vermeldt de identiteit van de rganisatie (naam en adres) en de cntactpersn. De privacyverklaring vermeldt he de infrmatie wrdt verzameld. De privacyverklaring vermeldt de deleinden waarvr de gegevens wrden verwerkt (zijn er meerdere deleinden, dan met je die allemaal telichten). De privacyverklaring vermeldt de wettelijke grndslag vr gegevensverwerking. De privacyverklaring vermeldt de termijnen waarbinnen de infrmatie wrdt bijgehuden. De privacyverklaring vermeldt f de gegevens aan derden bezrgd wrdt (en al dan niet uitgewisseld buiten de Eurpese Unie). De privacyverklaring vermeldt de mgelijkheid vr de betrkkene m een klacht in te dienen bij de Privacycmmissie als hij/zij meent dat zijn/haar persnsgegevens niet crrect wrden verwerkt. De privacyverklaring vermeldt de rechten van de betrkkene (bv. recht p tegang en verbetering, recht van verzet, ). 9. DE PRIVACYVERKLARING (OF DE PLAATS WAAR MEN ZE KAN VINDEN) STAAT VERMELD OP: De website van mijn bedrijf. Elke arbeidsvereenkmst en/f het arbeidsreglement. De vrijwilligersvereenkmst. De cntracten met leveranciers. In de hevewinkel. De klantenkaart. Overige (geef nadere telichting): KVLV vzw Remylaan 4b, 3018 Wijgmaal 016/24 39 99 kvlv@ns.be
GDPR-ZELFTEST DEEL 2 BEVEILIGING PERSOONSGEGEVENS 1. ALGEMENE INFORMATIE VAN HET BEDRIJF: Naam bedrijf: Adres bedrijf: Naam cntactpersn: Tel cntactpersn: Email cntactpersn: Visie bedrijf: Missie bedrijf: Srten activiteiten van het bedrijf: Naam verantwrdelijke GDPR in je bedrijf (als die er is): 2. WELKE HARDWARE GEBRUIKT JE BEDRIJF? laptps p het bedrijf (al dan niet mbiel gebruikt). laptps van werknemers. laptps van vrijwilligers. desktpcmputers in stand alne. desktpcmputers in een netwerk. smartphnes en tablets van het bedrijf. smartphnes en tablets van medewerkers. archiefkasten / papieren archief. archivering p harddisks. archivering p usb-sticks. Overige (geef nadere telichting): 3. WELKE SOFTWARE GEBRUIKT JE BEDRIJF? Wrd f pages. Excel f numbers. PwerPint f keynte. Outlk f ander mailprgramma. Sftware vr persneelsadministratie. Bekhudingpakket. Lgistiek pakket. Financiële verrichtingen. Welke andere sftware gebruik je ng? (CRM f klantenpvlgsysteem, Publisher, Skype, Acrbat reader, Firefx, Internet Explrer (Edge):.. 4. WAAR WORDEN PERSOONSGEGEVENS OPGESLAGEN? Laptp van het bedrijf. Laptp van medewerkers. Laptp van externe bekhuder f leveranciers. Laptp van freelancers f vrijwilligers. Cmputer subsidiërende verheid. Gsm bedrijf. Gsm medewerkers. Gsm freelancer f vrijwilliger. Betalingen wrden manueel ingegeven in pc-banking. Lnsverwerking gebeurt via website sciaal secretariaat. Overige (geef nadere telichting): KVLV vzw Remylaan 4b, 3018 Wijgmaal 016/24 39 99 kvlv@ns.be
5. WAAR SLAAT JE BEDRIJF GEGEVENS OP? Op de lkale PC f laptp. Op eigen netwerkschijf. Clud. Server in België. Server in Eurpa. Server buiten Eurpa (bv. als je met Ggle analytics werkt, ). Benem het cludsysteem waar je bedrijf mee werkt: 6. KRIJGT JE BEDRIJF (INDIRECT) PERSOONSGEGEVENS VAN DERDEN? Neen. Ja. Ja, en de betrkkenen wrden (practief) ingelicht dat deze gegevens werden verkregen. Z ja, welke gegevens krijgt je bedrijf en van wie? 7. WELKE ORGANISATORISCHE MAATREGELEN TREFT JE BEDRIJF OM DE BEVEILIGING EN VERTROUWE- LIJKHEID VAN DE GEGEVENS TE WAARBORGEN, OM ONGEOORLOOFDE TOEGANG EN GEBRUIK, ONOPZETTELIJK VERLIES, VERNIETIGING, BESCHADIGING OF KWALITEITSVERLIES TE VOORKOMEN? Beperkte tegang vr bepaalde persnen (.a. dr inlgprcedure waarbij alle gebruikers van de cmputer een andere gebruikersnaam en wachtwrd hebben). Gebruik van paswrden p bestanden. De medewerkers / gebruikers zijn verplicht m de wachtwrden regelmatig te wijzigen. De medewerkers / gebruikers p het bedrijf zijn geïnfrmeerd ver het belang van de bescherming van persnsgegevens. Er zijn duidelijke instructies naar medewerkers / gebruikers, vrijwilligers en partners ver het gebruik van internet, installeren van sftware, penen van e-mails. Er is een prcedure in geval van datalekken. Overige (geef nadere telichting): 8. WELKE TECHNISCHE MAATREGELEN TREFT JE BEDRIJF OM DE BEVEILIGING EN VERTROUWELIJKHEID VAN DE GEGEVENS TE WAARBORGEN, OM ONGEOORLOOFDE TOEGANG EN GEBRUIK, ONOPZETTELIJK VERLIES, VERNIETIGING, BESCHADIGING OF KWALITEITSVERLIES TE VOORKOMEN? Fysieke beveiliging van infrmaticamateriaal (.a. laptps). We gebruiken altijd de laatste versie van de sftware, virusscan, tepassingen f app s. Mijn bedrijf maakt gebruik van cryptgrafie (encryptie 1 ). Mijn bedrijf neemt regelmatig back-up van bestanden. He vaak neemt je bedrijf back ups en p heveel verschillende plaatsen wrden die bewaard? Overige (geef nadere telichting): 9. DUUR VAN BEWARING PERSOONSGEGEVENS: Bestanden, archieven en e-mails wrden regelmatig gewist f pgekuist. Mijn bedrijf heeft een duidelijk zicht en mtivatie ver de bewaartermijn van persnsgegevens. He lang is het ndzakelijk m de persnsgegevens te bewaren vr de begde deleinden van de verwerking? 1 Binnen de cryptgrafie staat encryptie vr het cderen (versleutelen) van gegevens.b.v. een bepaald algritme. Deze versleutelde gegevens kunnen nadien weer gedecrypteerd (ntcijferd f gedecdeerd) wrden zdat men de riginele infrmatie weer terugkrijgt. Dit prces wrdt decryptie genemd. KVLV vzw Remylaan 4b, 3018 Wijgmaal 016/24 39 99 kvlv@ns.be