GDPR

Om te voldoen aan de vernieuwde AVG / GDPR wetgeving heeft GPS enkele overeenkomsten opgesteld.

Verwerkersovereenkomst. Deze overeenkomst is verplicht omdat GPS persoonsgegevens verwerkt voor en in opdracht van de klant.  

GPS vertrouwt erop dat u de verwerkingsovereenkomst grondig doorneemt en bewaart. En dat u vervolgens de contactpersoon bij datalek instelt via de klantenportal > mijn gegevens > organisatiegegevens. Deze persoon zal door ons bij een datalek binnen 48u op de hoogte gesteld worden van de situatie en de te nemen maatregelen.

Algemeen gegevensverwerkingsbeleid / Privacybeleid. Dit beleid beschrijft hoe uw persoonsgegevens en die van uw collega's verzameld, verwerkt en gebruikt worden.

GPS vertrouwt erop dat u het gegevensverwerkingsbeleid grondig doorneemt en bewaart.

 

 

Verwerkersovereenkomst

1) Algemeen

GPS verwerkt onder andere persoonsgegevens voor en in opdracht van de klant. GPS en de klant zijn daarom verplicht, volgens de Algemene Verordening Gegevensbescherming (AVG), om een Verwerkersovereenkomst te sluiten. Volgens de AVG is GPS "verwerker" en de klant "verwerkingsverantwoordelijke".

GPS en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven.

Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. GPS zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant om uitvoering te geven aan de overeenkomst gesloten tussen beide partijen. GPS heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal GPS de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag. GPS zal de klant, wat in redelijkheid van hem verwacht kan worden, bijstaan bij het vervullen van de plicht om aan de verzoeken van de betrokkenen te voldoen.

GPS neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met GPS tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. Tevens verplicht GPS de subverwerker, zoals hieronder benoemd, eveneens te voldoen aan een dergelijk verzoek. De klant zal alle kosten in verband met deze controle dragen.

De AVG wet- en regelgeving wordt gehandhaafd door de gegevensbeschermingsautoriteit waar inbreuken gemeld kunnen worden. Deze instantie zal vervolgens de klant als verwerkingsverantwoordelijke een bindende aanwijzing geven voordat ze een bestuurlijke boete oplegt. De klant dient GPS daarvan direct op de hoogte stellen. GPS zal daarna er alles aan doen wat in redelijkheid van hem verwacht kan worden om de naleving mogelijk te maken. Als GPS niet doet wat in redelijkheid van hem gevraagd kan worden waardoor er een boete volgt, of als de gegevensbeschermingsautoriteit direct een boete oplegt omdat er sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van GPS, dan geldt de toepasselijke aansprakelijkheidsbeperking als hierna genoemd in het hoofdstuk 'Aansprakelijkheid' niet.

Beschrijving en doel van de verwerking van persoonsgegevens

GPS verwerkt persoonsgegevens namens de klant met als doel te voldoen aan de gesloten overeenkomst. GPS helpt hiermee de klant met het verwerken en hosten (indien gebruik gemaakt wordt van de cloud hosting) van gegevens uit tijdsregistratie, personeelsplanning, toegangscontrole en camerabewaking.      In dat verband krijgt GPS toegang tot de persoonsgegevens van (potentiële) medewerkers en bezoekers van de klant.

De overeenkomst regelt de volgende verwerking van persoonsgegevens in het kader van helpdesk en consultancy: raadplegen, vastleggen, ordenen, verzamelen, opslaan, gebruiken, structureren, opvragen, wissen en wijzigen. Enkel primaire persoonsgegevens zoals naam, adres, e-mailadres, telefoonnummer, foto’s in de personeelsfiche, geboortedatum, rijksregisternummer, locatie gegevens en gegevens over gezondheid (d.m.v. ziekte aanvragen en attesten) kunnen verwerkt worden.

Subverwerker

Indien de klant de cloud hosting diensten van GPS gebruikt, zal er gebruik gemaakt worden van een subverwerker. GPS is aansprakelijk voor schade door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk 'Aansprakelijkheid' geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid, opzettelijk wangedrag of in geval van overmacht (zoals gedefinieerd in het hoofdstuk 'Aansprakelijkheid') aan de kant van de subverwerker.

In deze context is de subverwerker de partij die in opdracht van GPS persoonsgegevens verwerkt voor de klant. GPS verwacht van de subverwerker dat deze ook passende technische en organisatorische maatregelen zal toepassen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

GPS heeft gekozen voor datacenters van goforcloud.eu en deze is hiermee de subverwerker. De datacenters waar de servers gehuisvest zijn bevinden zich in Amsterdam (NL) en Delft (NL). Ze vallen onder de Nederlandse wet- en regelgeving en voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn bovendien ook ISO 27001 gecertificeerd. De persoonsgegevens worden door GPS en de subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.

GPS zal geen gegevens laten verwerken door nieuwe subverwerkers zonder de klant daarover tijdig te informeren. De klant kan indien hij dat nodig acht, bezwaar maken bij GPS tegen de subverwerker en in het uiterste geval heeft de klant de mogelijkheid om de overeenkomst te beëindigen.

2) Privacy en geheimhouding

GPS is zich ervan bewust dat de informatie die de klant deelt en opslaat in GPS een geheim en bedrijfsgevoelig karakter heeft. Alle medewerkers van GPS zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

Medewerkers met toegang tot persoonsgegevens

Consultants, helpdesk medewerkers en andere technische medewerkers van GPS hebben volledige toegang tot de persoonsgegevens van de klant voor (1) het plaatsen van een nieuwe softwareversie, (2) het doorvoeren van patches en hotfixes, (3) het maken van een back-up, (4) het verplaatsen van een omgeving en (5) het aanpassen van de rekenregels, planningen, uren en persoonsgegevens waar zij toestemming voor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.

3) Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de gegevensbeschermingsautoriteit door de verwerkingsverantwoordelijke van de data. Uiteraard zal GPS als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen.

Bepaling datalek

Voor het bepalen van een datalek, gebruikt GPS de AVG als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan over het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malware besmetting of een calamiteit zoals brand in een datacenter.

Indien de klant een (voorlopige) melding verricht bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) over een datalek bij GPS, terwijl zonder meer voor de klant duidelijk is dat bij GPS geen sprake is van een datalek dan is de klant aansprakelijk voor alle door GPS geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.

Melding aan de klant

Indien blijkt dat bij GPS sprake is van een datalek dat door de klant gemeld moet worden aan de gegevensbeschermingsautoriteit en/of de betrokkene(n), dan zal GPS de klant daarover zo spoedig mogelijk informeren. Om dit te realiseren zorgt GPS ervoor dat alle medewerkers in staat zijn en blijven om een datalek te constateren. En daarnaast verwacht GPS van zijn opdrachtnemers ook dat zij GPS in staat stellen om er aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van GPS, dan meldt GPS dit uiteraard ook. GPS is steeds het contactpunt voor de klant. De klant hoeft nooit contact op te nemen met de leveranciers van GPS.

  • Informeren klant

In eerste instantie zal GPS de contactpersoon die gekoppeld is aan de login-gegevens van de klantenportal informeren over een datalek. Indien het gewenst is een andere persoon als contactpersoon in te stellen, dan kan dat via de klantenportal (https://portal.gps-time.be/login).

  • Informatie verstrekken

GPS tracht de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door GPS wordt onderzocht, dan zal GPS de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de gegevensbeschermingsautoriteit en/of de betrokkene(n) te kunnen verrichten. Dit bevat in ieder geval (1) de aard van de inbreuk, (2) een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en (3) de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

  • Termijn van informeren

De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de gegevensbeschermingsautoriteit zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. GPS informeert de klant daarom zo snel mogelijk, uiterlijk 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de gegevensbeschermingsautoriteit.

  • Voortgang en maatregelen

GPS zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. GPS maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt GPS de klant op de hoogte over een wijziging van de situatie, het bekend worden van nadere informatie en de maatregelen die getroffen worden.

  • Juist, tijdig en volledig

GPS registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.

4) Aansprakelijkheid

GPS garandeert dat Emprova voldoet aan alle specificaties die zij opgeeft. In geval van fouten zal GPS deze altijd zo snel mogelijk herstellen. GPS besteedt grote zorg aan een juiste werking van Emprova en een correcte uitvoering van zijn dienstverlening. Ondanks deze inspanningen kunnen er toch dingen verkeerd gaan die voor de klant tot schade kunnen leiden. GPS streeft daarbij in overleg met de klant steeds naar een passende oplossing.

GPS sluit haar aansprakelijkheid uit voor indirecte schade (dit is onder andere, maar niet beperkt tot: gederfde omzet, gederfde winst en gemiste kansen). De aansprakelijkheid van GPS is ook uitgesloten als de klant of door de klant ingeschakelde derden wijzigingen in producten van GPS hebben aangebracht, wat niet is toegestaan.

GPS en de klant zijn niet aansprakelijk ten opzichte van elkaar als er sprake is van overmacht. Onder overmacht wordt verstaan: Overmacht in de zin van de wet, ook bij toeleveranciers van partijen, ondeugdelijke nakoming van verplichtingen van toeleveranciers die door de klant aan GPS zijn voorgeschreven, storingen in het elektriciteitsnet en storingen die dataverkeer belemmeren voor zover de oorzaak daarvan niet te wijten is aan de partijen zelf.

GPS leeft de toepasselijke wet- en regelgeving inzake de bescherming van persoonsgegevens na. GPS is daarbij enkel aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer (1) bij de verwerking niet is voldaan aan de specifieke tot verwerkers gerichte verplichting van de AVG of (2) buiten dan wel in strijd met de rechtmatige instructies van de klant is gehandeld.

GPS vrijwaart de klant van enige vordering door een derde partij op grond van een schending van de toepasselijke regelgeving en/of deze overeenkomst waarvoor GPS verantwoordelijk is.

GPS zal zijn aansprakelijkheid naar behoren verzekeren. Op verzoek kan GPS de polis aan de klant voorleggen.

5) Duur

Deze overeenkomst neemt een aanvang op 25/05/2018 en blijft van kracht voor onbepaalde duur, behoudens beëindiging deze overeenkomst.

Elke partij mag deze overeenkomst beëindigen door aan de andere partij een schriftelijke kennisgeving daartoe te bezorgen. Daarbij moet rekening worden gehouden met een opzeggingstermijn die niet minder dan 30 dagen mag bedragen. De kennisgeving begint te lopen op de eerste dag van de maand volgend op die waarin ze is gegeven.

De klant mag deze overeenkomst onmiddellijk beëindigen, zonder zich te wenden tot een rechtbank, door aan GPS een schriftelijke kennisgeving van beëindiging te overhandigen, als:

  • GPS een inbreuk pleegt op deze overeenkomst en deze inbreuk niet kan worden ongedaan gemaakt.
  • GPS een inbreuk pleegt op deze overeenkomst en deze inbreuk weliswaar ongedaan kan worden gemaakt, maar GPS er niet in slaagt de inbreuk ongedaan te maken binnen een periode van een redelijke termijn na overhandiging van een schriftelijke ingebrekestelling aan GPS om de inbreuk ongedaan te maken.
  • GPS failliet gaat of betrokken is in een vereffening of ontbinding.

GPS bewaart de persoonsgegevens niet langer dan dat noodzakelijk is voor de uitvoering van deze overeenkomst. Na afloop van de verwerkingsdiensten zal GPS de persoonsgegevens wissen of aan de klant terugbezorgen, naargelang de keuze van de klant.

Tevens zal GPS ook bestaande kopieën van de persoonsgegevens vernietigen. Op verzoek van de klant zal GPS het uitwissen van alle kopieën van de persoonsgegevens bevestigen.

Indien de opslag van persoonsgegevens verplicht is op basis van de toepasselijke wet- en regelgeving zal GPS de klant hiervan informeren, tenzij die wet- en regelgeving deze informatie verbiedt.

6) Diversen

Deze overeenkomst omvat de volledige overeenkomst tussen de partijen en houdt geenszins een verplichting in tot het ter beschikking stellen van persoonsgegevens aan GPS.

Als één of meerdere bepalingen van deze overeenkomst nietig of onhaalbaar worden verklaard, dan vervangen de partijen de genoemde bepalingen door geldige en haalbare bepalingen die zoveel mogelijk de economische, commerciële of andere beoogde doelstellingen van de nietig of onhaalbaar verklaarde bepalingen realiseren. De overige bepalingen van deze overeenkomst blijven onverminderd van kracht.

Het loutere feit dat een partij niet aandringt op strikte naleving van een bepaling van de overeenkomst of dat niet afdwingt, kan niet worden geïnterpreteerd als afstand of opgave van de rechten van die partij, tenzij zulks schriftelijk wordt bevestigd.

 

Algemeen gegevensverwerkingsbeleid

GPS neemt uw rechten bij gegevensverwerking ernstig. In deze verklaring legt GPS uit hoe uw persoonsgegevens verzameld, verwerkt en gebruikt worden. Deze verklaring vormt aldus het algemene beleid van GPS op het vlak van gegevensverwerking.

De verantwoordelijke voor de verwerking is GPS nv, Oosterring 9 te 3600 Genk.

Indien u vragen heeft bij deze verklaring of het beleid, dan kan u steeds contact opnemen met onze Data Protection Officer via dpo@gps-time.be. Als deze vragen verder gaan dan een algemene vraag om inlichtingen, dan dient u zich te identificeren. Zodoende is GPS zeker de gevraagde informatie en gegevens aan de juiste persoon verstrekt wordt.

Vervolgens vindt u een uitgebreid overzicht van hoe GPS uw gegevens verzamelt, verwerkt en gebruikt.

1) Wanneer vindt de verzameling en verwerking plaats?

Bent u klant of prospect? Dan verzamelt GPS uw gegevens wanneer u:

  • zich contractueel aan ons verbindt;
  • beroep doet op onze helpdesk;
  • zich inschrijft op onze nieuwsbrief;
  • een contactformulier invult;
  • een brochure downloadt van onze website;
  • op een andere manier met ons contact opneemt.

Bent u leverancier? Dan verzamelt GPS uw gegevens wanneer u:

  • zich contractueel aan ons verbindt.

Deze gegevens verzamelt GPS zowel via papieren als ook via digitale formulieren en documenten.

Tenslotte maakt de website van GPS gebruik van cookies. Hiermee worden enkel anoniem gegevens verzameld over de activiteiten op onze website. Meer informatie hierover kan u terugvinden in het cookiebeleid.

2) Over welke gegevens gaat het?

Gegevens die u meedeelt en die GPS nodig heeft voor de uitvoering van de diensten waarvoor u op GPS beroep doet. Deze gegevens zijn:

  • uw naam;
  • uw e-mailadres;
  • een telefoon en gsm-nummer;
  • uw functie;
  • de bedrijfsnaam;
  • het adres van het bedrijf;
  • het telefoonnummer van het bedrijf;
  • het btw-nummer;
  • bankgegevens (enkel indien u leverancier bent).

Meestal krijgt GPS deze gegevens rechtstreeks door van u als contactpersoon, maar het is ook mogelijk dat deze verkregen worden via andere partijen.

3) Voor welke doeleinden worden uw gegevens verzameld en verwerkt?

De verzamelde gegevens verwerkt GPS in het kader van klantenbeheer (het verlenen van diensten of producten; dus de uitvoering van het contract dat GPS met u verbindt), direct marketing (om u te informeren over de diensten en evenementen), leveranciersbeheer, boekhouding, referenties en public relations.

Wat de website betreft, stemt GPS de inhoud en het gebruiksgemak hiervan zoveel mogelijk af op u als gebruiker. Daarnaast verwerkt GPS uw gegevens om te voldoen aan de verplichtingen die voortvloeien uit het ter beschikking stellen van een online klantenportal en de inhoud ervan.

4) Wat zijn de grondslagen voor de verwerking van gegevens?

In beginsel verzamelt en verwerkt GPS uw gegevens op basis van de contractuele relatie die GPS met u heeft als gevolg van uw of onze opdracht.

Waar de verwerking niet noodzakelijk is om de contractuele relatie uit te voeren, zoals bij direct marketing, is ze gebaseerd op onze gerechtvaardigde belangen als onderneming, in het bijzonder de vrijheid van onderneming en informatie. Daarbij zorgt GPS er steeds voor dat er tussen onze en uw belangen een evenwicht bestaat, bijvoorbeeld door u een recht van verzet toe te kennen.

5) Worden de gegevens meegedeeld aan derden?

Uw gegevens worden hoofdzakelijk intern verwerkt in het kader van klantenbeheer en boekhouding. Voor bepaalde punctuele diensten of opdrachten kunnen ze worden doorgegeven aan onderaannemers waar GPS beroep op doet. Zij het altijd onder controle van GPS.

In het kader van referenties zal de bedrijfsnaam en logo gepubliceerd worden op onze website (www.gps-time.be).

In uitzonderlijke gevallen kan GPS genoodzaakt zijn om uw gegevens door te geven. Dat is met name het geval wanneer wij hiertoe wettelijk verplicht worden of overheidsinstanties het recht hebben bij ons gegevens op te vragen.

Uw gegevens worden in beginsel niet doorgegeven aan derde landen of internationale organisaties.

6) Welke rechten heeft u?

Als GPS uw gegevens verwerkt met het oog op direct marketing en referenties, kan u zich hiertegen te allen tijde verzetten. Daartoe volstaat het contact op te nemen met onze marketingafdeling.

U kan uw gegevens die GPS verwerkt steeds inkijken, en indien nodig laten verbeteren of wissen. Daartoe volstaat het dit te vragen aan onze Data Protection Officer. GPS vraagt enkel een bewijs van uw identiteit. Dit om te verhinderen dat uw gegevens worden meegedeeld aan iemand die daar geen recht op heeft.

Indien u het niet eens bent met de manier waarop GPS uw gegevens verwerkt, kan u steeds een klacht indienen bij de Gegevensbeschermingsautoriteit (www.privacycommission.be), Drukpersstraat 35 te 1000 Brussel.

7) Wijzigingen

GPS behoudt zich het recht voor om deze verklaring en/of dit beleid te wijzigen. Wijzigingen zullen via onze website aan gebruikers worden gemeld.