Privacy Policy

ALGEMENE PRIVACY POLICY – Natra Malle nv en Natra Chocolate Belgium nv

• Doelstelling

 

Deze Algemene Privacy Policy beoogt passende waarborgen te bepalen voor de verwerking van persoonsgegevens (zoals hieronder gedefinieerd) door:

 

Natra Malle nv Nijverheidsstraat 13 2390 Malle Ondernemingsnummer: 0417.570.350

Natra Chocolate Belgium nv Nijverheidsstraat 13 2390 Malle Ondernemingsnummer: 0523.950.745

 

Deze policy bepaalt alle relevante informatie en instructies voor iedereen die in de uitoefening van zijn functie bij Natra Malle nv of Natra Chocolate Belgium nv persoonsgegevens verwerkt zoals omschreven in deze policy, en dit naast andere relevante policies in dat verband zoals onder andere de ICT-policy.

 

Deze Privacy Policy is opgesteld om de naleving te verzekeren van de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van richtlijn 95/46/EG (Algemene Verordening inzake Gegevensbescherming, of AVG).

 

Deze policy beoogt geen sterkere bescherming te voorzien dan wat vereist wordt door de toepasselijke wetgeving.

 

 

• Toepassingsgebied

 

Deze policy is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van Natra Malle nv en Natra Chocolate Belgium nv. Zij is opgesteld om naleving met de AVG en de (Belgische) uitvoeringswetgeving te verzekeren.

 

Deze policy werd opgesteld voor iedere afdeling en iedere persoon die in de uitoefening van zijn functie bij Natra Malle nv of Natra Chocolate Belgium nv persoonsgegevens verwerkt. Deze werknemers worden verwacht de bepalingen van deze Algemene Privacy Policy strikt na te leven.

 

Persoonsgegevens zijn gegevens betreffende natuurlijke personen, zoals bijvoorbeeld:

 

• Huidig personeel
• Potentieel personeel (sollicitanten)
• Voormalig personeel
• Contractors/consultants/freelancers
• Uitzendkrachten
• Bestuurders en aandeelhouders
• Contactpersonen bij klanten
• Contactpersonen bij leveranciers
• Prospecten
• Familieleden van werknemers

 

• Definities

 

De AVG bevat een lijst met definities, waarvan de belangrijkste hieronder worden uiteengezet:

 

• ”Verwerkingsverantwoordelijke” betekent een natuurlijke persoon of rechtspersoon die, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van deze policy zijn Natra Malle nv en Natra Chocolate Belgium nv Verwerkingsverantwoordelijken;

 

In bepaalde gevallen zullen zij optreden als afzonderlijke verwerkingsverantwoordelijken. In andere gevallen zullen zij optreden als gezamenlijke verwerkingsverantwoordelijken met elkaar dan wel met andere entiteiten van de Natra groep.

 

• ”Werknemer”: Omwille van praktische redenen wordt ‘werknemer’ in deze policy in een ruime zin begrepen en omvat het iedere tegenwoordige of voormalige werknemer, uitzendkracht, vrijwilliger, expat, stagiair of iedere andere tijdelijke werknemer;

 

• ”Europees Economische Ruimte (“EER”)” omvat momenteel de volgende landen: België, Bulgarije, Cyprus, Denemarken, Duitsland, Estland, Finland, Frankrijk, Griekenland, Hongarije, Ierland, IJsland, Italië, Kroatië, Letland, Liechtenstein, Litouwen, Luxemburg, Malta, Nederland, Noorwegen, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Slowakije, Spanje, Tsjechië, Verenigd Koninkrijk, Zweden.

 

• “Persoonsgegevens” omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”);

 

• “Betrokkene” betekent een identificeerbaar persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

 

• ”Gevoelige persoonsgegevens” omvatten persoonsgegevens waaruit volgende gegevens over iemand blijken:
  • raciale of etnische afkomst;
  • politieke overtuiging;
  • godsdienst of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • gegevens over gezondheid of seksueel gedrag;
  • gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

 

• ”Verwerking” wordt in de AVG omschreven als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Dit duidt op een ruime opvatting van de term ‘verwerking’.

 

• “Inbreuk in verband met persoonsgegevens” wordt in de AVG omschreven als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.

 

• Beginselen betreffende de verwerking van persoonsgegevens

 

Natra Malle nv en Natra Chocolate Belgium nv eerbiedigen de persoonlijke levenssfeer van de hierboven vermelde betrokkenen van wie persoonsgegevens worden verwerkt, en zetten zich in om hun persoonsgegevens te beschermen in overeenstemming met de AVG. De naleving van de AVG ligt in de lijn met de wens van Natra Malle nv en Natra Chocolate Belgium nv om hun werknemers en iedere andere betrokkene te informeren over de verwerking van hun persoonsgegevens, en hun privacyrechten te erkennen en eerbiedigen.

 

Natra Malle nv en Natra Chocolate Belgium nv nemen volgende beginselen in acht bij de verwerking van persoonsgegevens:

 

• Persoonsgegevens moeten ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant worden verwerkt;
• Persoonsgegevens moeten voor welbepaalde en gerechtvaardigde doeleinden worden verzameld; de persoonsgegevens mogen niet verder verwerkt worden op een wijze die onverenigbaar is met die doeleinden;
• De persoonsgegevens zullen toereikend, terzake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt;
• De persoonsgegevens moeten juist zijn en indien nodig geactualiseerd worden. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die onjuist of onvolledig zijn, onverwijld te verbeteren of te wissen;
• De persoonsgegevens mogen enkel worden bewaard zolang als nodig is voor de doeleinden waarvoor ze worden verwerkt. Deze doeleinden worden in deze policy uiteengezet;
• De persoonsgegevens zullen worden verwijderd of aangepast volgend op een gegrond verzoek van de betrokkene;
• De persoonsgegevens zullen worden verwerkt in overeenstemming met de wettelijke rechten van de betrokkene zoals omschreven in deze policy of zoals wettelijk wordt voorzien;
• Er moeten passende technische en organisatorische maatregelen worden genomen om ongeoorloofde toegang, onrechtmatige verwerking en ongeoorloofd of onopzettelijk verlies, vernietiging of beschadiging van de persoonsgegevens te vermijden. Bij een niet naleving zoals omschreven in voorgaande zin, en/of in geval van een onopzettelijk informatielek, zullen Natra Malle nv en Natra Chocolate Belgium nv passende maatregelen nemen om de schending te beëindigen/informatielek weg te werken en verantwoordelijkheden vast te stellen in overeenstemming met de AVG en zal indien nodig meewerken met de bevoegde autoriteiten, voor zover deze betrokken zouden worden bij een dergelijke schending of informatielek.

 

Werknemers worden geacht in hun dagdagelijkse bezigheden deze principes na te leven.

 

Concreet betekent dit dat werknemers te allen tijde:

• de juistheid van persoonsgegevens moeten verifiëren en deze moeten verbeteren waar nodig;
• enkel persoonsgegevens kunnen verwerken voor zover noodzakelijk in de uitvoering van taken;
• geen persoonsgegevens mogen doorgeven aan derden tenzij deze persoon daartoe gemachtigd is;
• zich geen toegang mogen verschaffen tot informatie waartoe ze niet gerechtigd zijn of geen toegang hebben gekregen;
• geen persoonsgegevens bewaren buiten het netwerk van de onderneming tenzij mits toelating van de werkgever en voor zover noodzakelijk.

 

• Informatie over de verwerkingen onder de verantwoordelijkheid van Natra Malle nv en/of Natra Chocolate Belgium nv

 

Natra Malle nv en Natra Chocolate Belgium nv verwerken de persoonsgegevens van de hierboven vermelde betrokkenen enkel indien zij daartoe over een rechtsgrond beschikken.

 

Natra Malle nv en Natra Chocolate Belgium nv zullen elk persoonsgegevens op rechtmatige wijze verwerken en dit op basis van één van de volgende (relevante) rechtsgronden:

• omdat het noodzakelijk is voor de uitvoering van de overeenkomst waarbij de betrokkene partij is of met het oog op het nemen van maatregelen op het verzoek van de betrokkene voorafgaand aan de sluiting van een overeenkomst, bijvoorbeeld de arbeidsovereenkomst met werknemers; ;
• omdat het noodzakelijk is om te voldoen aan de wettelijke verplichtingen van Natra Malle nv en/of Natra Chocolate Belgium nv ;
• omdat het noodzakelijk is voor de doeleinden van de nagestreefde legitieme belangen door van Natra Malle nv en/of Natra Chocolate Belgium nv of door een derde partij, uitgezonderd wanneer zulke belangen worden opgeheven door de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen, in het bijzonder wanneer de betrokkene een kind is.
• Deze laatste rechtsgrond, die veel zal moeten worden gebruikt, vereist daarom een afweging tussen de belangen van de enerzijds en de belangen van de personen wiens gegevens worden verwerkt anderzijds.

 

Natra Malle nv en Natra Chocolate Belgium nv kunnen ook andere rechtsgronden gebruiken, maar deze zijn minder relevant:

• Wanneer de betrokkene zijn vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor één of meerdere specifieke doeleinden;
• In gevallen waar er een reëel of potentieel mogelijk nadeel is doordat een betrokkene zijn toestemming niet verleent, is de toestemming niet geldig, aangezien deze niet vrij is en ook niet vrij kan worden gegeven (bijv. gedurende een arbeidsrelatie);
• Wanneer de verwerking noodzakelijk is teneinde de vitale belangen van de betrokkene te beschermen of van een andere natuurlijke persoon (dat beperkt moet worden geïnterpreteerd) bijv. in het geval van een medische urgentie.

 

Natra Malle nv en Natra Chocolate Belgium nv zullen in beginsel voor elke verwerkingsactiviteit zich slechts op één rechtsgrond beroepen.

Occasioneel zullen Natra Malle nv en Natra Chocolate Belgium nv ook gevoelige gegevens moeten verwerken, bijv. in het kader van de arbeidsrelatie. De verwerking van Gevoelige persoonsgegevens is in beginsel verboden. Beperkte uitzonderingen bestaan zoals:

1. de betrokkene heeft expliciete toestemming gegeven voor de verwerking van deze persoonsgegevens voor één of meerdere specifieke doeleinden, uitgezonderd wanneer de wet vooropstelt dat het verbod niet kan worden opgeheven door de betrokkene (wat vaak het geval is in de arbeidsrelatie waar verschillende lokale wetten voorzien dat toestemming enkel kan worden gegeven wanneer dit in het voordeel is van de werknemer);
2. de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van Natra Malle nv en/of Natra Chocolate Belgium nv of van de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht voor zover het is toegestaan door de wet of een collectieve overeenkomst die passende waarborgen biedt voor fundamentele rechten en de belangen van de betrokkene;
3. de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
4. de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
5. de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van iemands arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen of het beheer van systemen van gezondheidszorg of sociale diensten en diensten op basis van de wet of overeenkomstig een overeenkomst met een professionele gezondheidswerker en onder de verantwoordelijkheid van een beroepsbeoefenaar die onderworpen is aan het beroepsgeheim.

 

Voor meer informatie over de concrete categorieën van persoonsgegevens en de doeleinden waarvoor Natra Malle nv en Natra Chocolate Belgium nv persoonsgegevens verwerken, wordt verwezen naar:

 

• de privacy kennisgeving voor sollicitanten;
• de privacy kennisgeving voor werknemers
• de privacy verklaring op de website van de Natra groep (natra.es).

 

• Beveiliging/vertrouwelijkheid

 

Natra Malle nv en Natra Chocolate Belgium nv verbinden zich ertoe om passende technische, fysieke en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen de ongeoorloofde toegang, onrechtmatige verwerking, onopzettelijk verlies of aantasting en ongeoorloofde vernietiging ervan.

 

• Apparatuur en informatiebeveiliging

 

Om ongeoorloofde toegang tot persoonsgegevens door derden te voorkomen, worden alle elektronische persoonsgegevens in handen van Natra Malle nv en/of Natra Chocolate Belgium nv bewaard in systemen die beschermd zijn met veilige up-to-date netwerkarchitectuur, uitgerust met firewalls en toegangsdetectieapparatuur. Er bestaat een “back up” van de gegevens opgeslagen op de servers zodat de gevolgen van een onopzettelijke verwijdering, vernietiging of verlies vermeden kunnen worden. De servers bevinden zich in inrichtingen met een hoge graad van beveiliging, waarbij toegang door onbevoegden vermeden wordt en er branddetectie- en reactiesystemen in werking zijn. Slechts een beperkt aantal personen heeft toegang tot deze servers.

 

 

 

 

• Toegangsbeveiliging

 

De beveiliging van persoonsgegevens in verband met Natra Malle nv en/of Natra Chocolate Belgium nv is van groot belang. Natra Malle nv en Natra Chocolate Belgium nv verbinden zich ertoe om de integriteit van persoonsgegevens te vrijwaren en de ongeoorloofde toegang tot informatie in de databanken van Natra Malle nv en Natra Chocolate Belgium nv te voorkomen. Deze maatregelen zijn ontworpen en bedoeld om gegevensfraude te voorkomen, om onbekende en ongeoorloofde toegang tot onze computersystemen en informatie af te weren, en om passende bescherming te bieden aan persoonsgegevens in handen van Natra Malle nv en/of Natra Chocolate Belgium nv. Alle personeelsdossiers worden op vertrouwelijke wijze in de HR-afdeling bijgehouden in beveiligde en vergrendelde dossierkasten of ruimten. Toegang tot de geautomatiseerde databanken wordt gecontroleerd door inloggegevens en vereist de identificatie door middel van een paswoord vooraleer toegang wordt verleend. Gebruikers hebben toegang tot gegevens in de mate van het nodige om hun functie uit te voeren. De veiligheidsaspecten van onze software en ontwikkelde procedures worden gebruikt om persoonsgegevens te beschermen tegen verlies, misbruik, en ongeoorloofde toegang, verstrekking, wijziging of vernietiging.

 

Van werknemers van beide ondernemingen wordt dan ook steeds verwacht om:

• kasten af te sluiten waarin persoonlijke gegevens bewaard worden;
• de computer af te sluiten en te beveiligen met een sterk paswoord conform de interne procedure;
• het paswoord regelmatig te veranderen conform de interne procedure;
• gedrukte/geprinte documenten die persoonsgegevens bevatten onmiddellijk weg te nemen van de printer en niet ergens in de gebouwen te laten liggen noch mee naar huis te nemen en daar te bewaren.

 

 

• Opleiding

 

Natra Malle nv en Natra Chocolate Belgium nv zijn verantwoordelijk om passende opleidingen te geven over de opgesomde rechtmatig voorgehouden doeleinden om persoonsgegevens te verwerken, over de noodzaak om nauwkeurige en geactualiseerde gegevens te houden, over de rechtmatige doeleinden voor het verzamelen, behandelen en verwerken van persoonsgegevens die doorgestuurd worden vanuit de EER naar een derde land, en tenslotte over de noodzaak om gegevens waartoe werknemers toegang hebben, vertrouwelijk te houden. Gemachtigde gebruikers zullen deze policy naleven en Natra Malle nv en Natra Chocolate Belgium nv zullen passende maatregelen nemen in overeenstemming met de toepasselijke wetgeving indien Persoonsgegevens werden geraadpleegd, verwerkt of gebruikt op een manier die in strijd is met de vereisten van deze policy.

 

8           Gegevensbescherming door ontwerp (‘By Design’) en door standaardinstellingen (‘By Default’)

 

8.1        Algemeen beginsel

 

Bij het werken aan nieuwe initiatieven of lopende projecten (bedrijfsinitiatieven, nieuwe systemen, hulpmiddelen of applicaties) hebben Natra Malle nv en Natra Chocolate Belgium nv een verantwoordelijkheid om te verzekeren dat gegevensbeschermingsvereisten worden geïntegreerd vanaf de ontwerpfase (zogenaamd ‘Privacy by Design’) tot de werking (zogenaamd ‘Privacy by Default’). Verder moeten Natra Malle nv en Natra Chocolate Belgium nv verzekeren en kunnen aantonen dat gegevens worden verwerkt in overeenstemming met de vereisten van de gegevensbeschermingswetgeving.

 

8.2        Gegevensbeschermingseffectbeoordeling (‘GEB’)

 

Indien de verwerking waarschijnlijk gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, zullen Natra Malle nv en Natra Chocolate Belgium nv een gegevensbeschermingseffectbeoordeling uitvoeren om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de beoordeling zal rekening worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen. Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de bevoegde toezichthoudende autoriteit plaats te vinden.

 

In het algemeen kunnen Natra Malle nv en Natra Chocolate Belgium nv ervan uitgaan dat wanneer een verwerking beantwoordt aan 2 van de 9 hieronder vermelde criteria een GEB moet worden uitgevoerd:

 

• Evaluatie of scoretoekenning, waaronder profilering en voorspelling, in het bijzonder m.b.t. de beoordeling van een betrokkene op het werk, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of beweging;
• Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg: verwerking die tot doel heeft beslissingen te nemen over betrokkenen die “rechtsgevolgen hebben met betrekking tot de natuurlijke persoon” of die “op vergelijkbare wijze aanzienlijk de natuurlijke persoon beïnvloeden”;
• Stelselmatige monitoring; verwerking gebruikt om betrokkenen te observeren, te monitoren of te controleren, met inbegrip van gegevens verzameld door netwerken of “een stelselmatige monitoring van een publiek toegankelijke ruimte”
• Gevoelige persoonsgegevens of gegevens van zeer persoonlijke aard;
• Verwerking van persoonsgegevens op grote schaal;
• Matching of samenvoeging van datasets, bijvoorbeeld afkomstig van twee of meerdere gegevensverwerkingsactiviteiten uitgevoerd voor verschillende doeleinden en/of door verschillende gegevensverwerkingsverantwoordelijken op een manier dat het de redelijke verwachtingen van de betrokkene te buiten zou gaan;
• Gegevens m.b.t. kwetsbare betrokkenen, zoals werknemers;
• Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen, zoals een combinatie van het gebruik van vingerafdruk en gezichtsherkenning voor een verbeterde toegangscontrole; enz;
• Wanneer de verwerking zelf “de betrokkene verhindert een recht uit te oefenen of een dienst of contract te gebruiken”.

 

De lokale toezichthoudende autoriteiten kunnen een lijst uitvaardigen van verwerkingsactiviteiten waarvoor wel en geen GEB vereist is. De lijst van de Gegevensbeschermingsautoriteit in België kan hier worden geraadpleegd: https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_01_2018.pdf

 

 

9           Rechten van betrokkenen

 

9.1        Procedure

 

Natra Malle nv en Natra Chocolate Belgium nv moeten de uitoefening van de rechten van de betrokkenen wiens persoonsgegevens het verwerkt, faciliteren.  De verzoeken van de betrokkenen zullen worden behandeld door het departement Human Resources.

 

Natra Malle nv en Natra Chocolate Belgium nv kunnen, wanneer zij redenen hebben om te twijfelen aan de identiteit van de natuurlijke persoon die een verzoek indient, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

 

Natra Malle nv en Natra Chocolate Belgium nv moeten onverwijld informatie bezorgen aan de betrokkene over het gevolg dat aan een verzoek is gegevens onder deze bepalingen en in ieder geval binnen 1 maand na ontvangst van het verzoek. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens 2 maanden worden verlengd. Natra Malle nv en Natra Chocolate Belgium nv moet de betrokkene binnen 1 maand na ontvangst van het verzoek in kennis stellen van een dergelijke verlenging, samen met de redenen voor de vertraging.

 

Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

 

Het treffen van de maatregelen bedoeld in de deze artikelen geschiedt kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mogen Natra Malle nv en Natra Chocolate Belgium nv ofwel: a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel b) weigeren gevolg te geven aan het verzoek.

 

9.2        Welke rechten?

 

Betrokkenen hebben recht op/om:

 

1. Toegang tot en kopiëren van persoonsgegevens: uitsluitsel te verkrijgen over het al dan niet verwerken van hem of haar betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de hierboven vermelde informatie. Natra Malle nv en Natra Chocolate Belgium nv verstrekken eveneens een kopie van de gegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kunnen Natra Malle nv en Natra Chocolate Belgium nv op basis van de administratieve kosten een redelijke vergoeding aanrekenen.

 

Dit recht mag geen afbreuk doen aan de rechten en vrijheden van anderen. Informatie met betrekking tot andere natuurlijke personen kan daarom niet (volledig) worden opgevraagd of gekopieerd. De rechten van Natra Malle nv en Natra Chocolate Belgium nv kunnen ook van belang zijn: zij kunnen niet worden verplicht om vertrouwelijke bedrijfsinformatie te verstrekken.

 

1. Persoonsgegevens te laten rectificeren: onverwijld rectificatie van hem of haar betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht het vervolledigen van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken;

 

1. Persoonsgegevens te laten wissen: Een betrokkene kan Natra Malle nv en/of Natra Chocolate Belgium nv verzoeken om gegevens te wissen in de volgende gevallen:

 

• de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
• de betrokkene trekt de toestemming waarop de verwerking berust, in, en er is geen andere rechtsgrond voor de verwerking;
• de betrokkene maakt bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;
• de persoonsgegevens zijn onrechtmatig verwerkt;
• de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting.

 

Dit recht op wissing is niet van toepassing voor zover verwerking nodig is:

 

• voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
• voor het nakomen van een wettelijke verplichting of
• voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

 

1. Toestemming in te trekken: Indien Natra Malle nv en Natra Chocolate Belgium nv zich uitsluitend hebben gebaseerd op toestemming als een rechtsgrond voor verwerking, kan de betrokkene op ieder moment zijn toestemming intrekken. Dit beïnvloedt echter niet de rechtmatigheid van de verwerkingsactiviteiten die hebben plaatsgevonden voor deze intrekking;

 

1. Verwerking van persoonsgegevens te beperken, indien bijvoorbeeld de juistheid van de persoonsgegevens wordt betwist;

 

1. Gegevensoverdraagbaarheid: een betrokkene kan de hem of haar betreffende persoonsgegevens verkrijgen, die hij of zij aan Natra Malle nv en/of Natra Chocolate Belgium nv heeft verstrekt, in een gestructureerde, gangbare en machine leesbare vorm, en heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door Natra Malle nv en/of Natra Chocolate Belgium nv, indien de verwerking berust op toestemming of op een overeenkomst en de verwerking via geautomatiseerde procedés wordt verricht. Dit recht mag geen afbreuk doen aan de rechten en vrijheden van andere personen.

 

1. Bezwaar te maken tegen verwerking van hem of haar betreffende persoonsgegevens op basis van de legitieme belangen, met inbegrip van profilering op basis van die bepalingen. In het geval van een gerechtvaardigd bezwaar zullen Natra Malle nv en Natra Chocolate Belgium nv onmiddellijk de verwerking moeten staken, tenzij er dwingende gronden voor de verwerking zijn of wanneer Natra Malle nv en Natra Chocolate Belgium nv de gegevens nodig heeft voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

 

1. Niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, w.z. een besluitvorming die uitsluitend is gebaseerd op geautomatiseerde verwerking, waaronder profilering, waaraan voor hem of haar rechtsgevolgen zijn verbonden of dat hem of haar anderszins in aanmerkelijke mate treft, tenzij dit is toegestaan door de wet of dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, in welk geval ten minste het recht op menselijke tussenkomst door Natra Malle nv en Natra Chocolate Belgium nv moeten worden verstrekt.

 

Indien een betrokkene klachten heeft in verband met de verwerking van zijn/haar persoonsgegevens, moet de betrokkene dit vooreerst aankaarten bij:

 

Natra Malle nv	Natra Chocolate Belgium nv
Karen Hendrickx hr.nma@natra.com 03 312 95 74	Karen Hendrickx hr.nma@natra.com 03 312 95 74

 

 

 

De betrokkene kan ook bezwaren maken bij de Belgische toezichthoudende autoriteit:

 

Gegevensbeschermingsautoriteit
Drukpersstraat 35, 1000 Brussel
+32 (0)2 274 48 00
+32 (0)2 274 48 35
contact@apd-gba.be

10         Bewaring van persoonsgegevens

 

Natra Malle nv en Natra Chocolate Belgium nv zullen persoonsgegevens niet langer bewaren dan noodzakelijk voor de doeleinden waarvoor ze verwerkt worden. Met het oog daarop hebben Natra Malle nv en Natra Chocolate Belgium nv een retentiebeleid uitgewerkt, gebaseerd op de in kaart gebrachte verwerkingsactiviteiten. Als bijlage bij deze Algemene Privacy Policy wordt een overzicht van de vastgelegde bewaartermijnen bepaald, rekening houdend met wettelijke minimum- of maximum bewaartermijnen en verjaringstermijnen.

 

Elke werknemer die de controle heeft over persoonsgegevens met inbegrip van gegevens die de werknemer verwerkt of creëert, ontvangen en verzonden e-mails, gearchiveerde e-mails, persoonlijke files en files die geüploade werden naar gedeelde drives, is verantwoordelijk voor de naleving van dit retentiebeleid en dient bijgevolg gegevens en bestanden te verwijderen van zodra de toepasselijke bewaartermijn is verstreken.

 

11         Overdracht van gegevens

 

11.1      Binnen de Natra groep en tussen afdelingen

 

Natra Malle nv en Natra Chocolate Belgium nv maken deel uit van de Natra groep. Binnen de Natra groep kunnen de entiteiten verschillende rollen uitoefenen:

 

• Elke entiteit is een verantwoordelijke voor de verwerking met betrekking tot bepaalde verwerkingsactiviteiten;
• Een entiteit kan ook samen met andere entiteit(en) optreden als gezamenlijke verantwoordelijke (bv. bij gebruik van gezamenlijke databestanden). Zo worden HR-processen bv. verleend als een shared service voor Natra Malle nv en Natra Chocolate Belgium nv;
• Een entiteit kan optreden als een verwerker voor een andere Natra entiteit (bv. in geval van een gedeelde dienstverlening).

Deze rolverdeling kan met zich brengen dat bepaalde persoonsgegevens worden doorgegeven van de ene entiteit naar de andere.

Gelet op de bovenstaande principes (zie 6), verwerken werknemers van Natra Malle nv en Natra Chocolate Belgium nv alleen persoonsgegevens in verband met hun werk voor de doeleinden waarvoor de gegevens werden gemaakt of verkregen. Gegevens worden niet gebruikt in een andere context of voor andere redenen en worden niet overgedragen aan collega’s of andere afdelingen of entiteiten zonder duidelijke professionele redenen. Persoonsgegevens worden geanonimiseerd wanneer dit mogelijk is.

 

Voorbeelden:

• Persoonlijk identificeerbare gegevens zullen enkel worden overgedragen naar vakbonden, de ondernemingsraad, het comité voor preventie en bescherming op het werk of de vakbondsafvaardiging op basis van een wettelijke verplichting is. In het algemeen zullen gegevens worden geanonimiseerd of geglobaliseerd en enkel waar nodig worden gegevens op naam doorgegeven.
• Werknemersgegevens zullen worden geanonimiseerd wanneer vereist door de Financiële afdeling met het oog op het berekenen van budgetten.

 

 

11.2      Doorgifte van gegevens buiten de EER

 

Natra Malle nv en Natra Chocolate Belgium nv geven geen persoonsgegeven door aan ontvangers die zich bevinden in landen buiten de Europese Economische Ruimte (EER) waarvan de wetgeving niet dezelfde graad van gegevensbescherming biedt.

 

11.3      Doorgifte aan verbonden entiteiten of externe dienstverleners

 

Persoonsgegevens mogen worden doorgegeven aan verbonden entiteiten (bv. andere Natra ondernemingen) of externe dienstverleners indien de bekendmaking ervan kadert binnen één van de verwerkingsdoeleinden waarop de gegevensverwerking wordt gebaseerd en indien de bekendmaking rechtmatig en eerlijk wordt geacht voor de betrokkene. Meer bepaald kunnen Natra Malle nv en Natra Chocolate Belgium nv gegevens bekendmaken indien dit noodzakelijk is voor hun rechtmatige belangen als onderneming of voor de belangen van een derde (maar zij zullen zich hier alsnog van onthouden wanneer de privacy rechten van de betrokken zwaarder doorwegen).

 

Natra Malle nv en Natra Chocolate Belgium nv kunnen ook persoonsgegevens bekendmaken:

• indien de betrokkene zijn/haar toestemming geeft;
• indien dit wettelijk verplicht is; en
• in verband met strafrechtelijke onderzoeken of andere onderzoeken door de overheid.

 

HR-gerelateerde omstandigheden waarin persoonsgegevens openbaar kunnen worden gemaakt, omvatten de bekendmaking aan:

• organisaties die namens Natra Malle nv en Natra Chocolate Belgium nv persoonsgegevens verwerken, zoals het sociaal secretariaat, verzekeringsmaatschappijen en andere dienstverleners;
• externe ontvangers van elektronische communicatie (zoals e-mails) die persoonsgegevens van betrokkenen bevatten.

 

Indien de bekendmaking aan een externe dienstverlener vereist is, zullen Natra Malle nv en Natra Chocolate Belgium nv enkel beroep doen op verwerkers die voldoende waarborgen bieden om passende technische en organisatorische maatregelen te implementeren waardoor de gegevensverwerking in overstemming met de AVG wordt uitgevoerd en de rechten van de betrokkenen worden beschermd. Hierbij zullen in toepassing van de AVG overeenkomsten worden gesloten tussen Natra Malle nv en/of Natra Chocolate Belgium nv en eender welke externe dienstverlener.

 

Elke werknemer die verantwoordelijk is voor het aangaan van dergelijke diensten, moet advies inwinnen bij het departement Human Resources die zal instaan voor het afsluiten van de juiste contractuele afspraken.

 

• Inbreuk in verband met persoonsgegevens

 

• Melding van inbreuken in verband met persoonsgegevens

 

Iedereen die in de uitoefening van zijn/haar functie bij Natra Malle nv of Natra Chocolate Belgium nv persoonsgegevens (van collega’s, sollicitanten, klanten, derden enzovoort) verwerkt, moet er zorg voor dragen om (opzettelijke of onopzettelijke) incidenten te vermijden die de privacy van de betrokkenen kunnen aantasten.

 

In geval van een inbreuk op persoonsgegevens zoals hieronder omschreven en zoals opgenomen in de lijst met definities in deze Algemene Privacy Policy, is het van fundamenteel belang dat er zo snel mogelijk passende maatregelen worden genomen om het risico op schade voor de betrokkene en uiteindelijk ook voor Natra Malle nv en Natra Chocolate Belgium nv zelf (reputatieschade, opgelegde sancties,…) te minimaliseren.

 

Natra Malle nv en Natra Chocolate Belgium nv zijn verplicht om onmiddellijk de bevoegde nationale toezichthoudende autoriteit in kennis te stellen van elke inbreuk in verband met persoonsgegevens waarbij er ernstige negatieve gevolgen zijn of kunnen zijn betreffende de bescherming van persoonsgegevens. Natra Malle nv en Natra Chocolate Belgium nv moeten een inbreuk in verband met persoonsgegevens binnen de 72 uur nadat zij er kennis van heeft genomen melden aan de toezichthoudende autoriteit. In sommige gevallen zullen Natra Malle nv en Natra Chocolate Belgium nv ook de betrokkene(n) die geïmpacteerd zijn door de inbreuk, moeten inlichten.

 

• Wat is een inbreuk op persoonsgegevens?

 

Een inbreuk op persoonsgegevens is een inbreuk op de beveiliging. Echter niet elke inbreuk op de beveiliging vormt ook een inbreuk in verband met persoonsgegevens. In het algemeen kunnen inbreuken op persoonsgegevens onderverdeeld worden als volgt:

• “Breuk op de vertrouwelijkheid” – in geval van een niet geautoriseerde of toevallige verspreiding of toegang tot persoonsgegevens;
• “Breuk op beschikbaarheid” – in geval van een toevallige of niet geautoriseerd verlies van toegang tot, of beschadiging van persoonsgegevens;
• “Breuk op integriteit” – in geval van een toevallige of niet geautoriseerde wijziging van persoonsgegevens.

 

In sommige gevallen kan een inbreuk op persoonsgegevens zowel betrekking hebben op de vertrouwelijkheid, de beschikbaarheid en de integriteit tegelijkertijd of in combinatie. Er is bijvoorbeeld sprake van een inbreuk op de beveiliging bij de diefstal of het verlies van een USB-stick, mobiel toestel of een laptop of bij indringing door een hacker van ongeacht welk systeem dat persoonsgegevens bevat.

 

12.3      Interne rapportering

 

In ieder geval zijn alle individuen die informatie van Natra Malle nv en/if Natra Chocolate Belgium nv raadplegen, gebruiken of beheren verantwoordelijk om iedere inbreuk op de beveiliging en incidenten in verband met informatiebeveiliging onmiddellijk te melden aan de Human Resources Manager, zodat er onmiddellijk geanalyseerd kan worden of de inbreuk gemeld moet worden.

 

Het verslag dient een volledige en gedetailleerde beschrijving te bevatten van het incident, met inbegrip van de identiteit van de persoon die melding maakt, om welk soort incident het gaat, of de gegevens betrekking hebben op personen en hoeveel personen erbij betrokken zijn. Een formulier voor het rapporteren van inbreuken kan teruggevonden worden bij Human Resources.

 

• Onderzoek en risicoanalyse

 

Afhankelijk van het type incident zal de onderneming het incident onderzoeken. Indien mogelijk zal er binnen de 24 uur nadat het incident gemeld is, een onderzoek worden opgestart.

 

Het onderzoek zal uitwijzen wat de aard van het incident is, het type van betrokken gegevens en of er persoonsgegevens bij betrokken zijn (en zo ja, wie de betrokkenen zijn en hoeveel persoonlijke bestanden werden getroffen).

 

Het onderzoek zal analyseren in welke mate het systeem werd aangetast of wat de gevoeligheid van de betrokken gegevens is en er zal een risicoanalyse worden uitgevoerd over wat de mogelijke gevolgen van het incident kunnen zijn, bijvoorbeeld of betrokkenen benadeeld zijn of de toegang tot gegevens of IT diensten verstoord zijn.

 

• Beheer en herstel

 

Het departement Human Resources bepalen het passende verloop en de vereiste middelen om de impact van het incident te beperken. Dit vereist mogelijk het afzonderen van een deel van het netwerk, het verwittigen van relevante medewerkers of het uitschakelen van bepaalde apparatuur.

 

Er worden passende maatregelen genomen om het verlies van systemen of gegevens te herstellen en de normale operationele werkzaamheden te hervatten. Dit omvat mogelijk het trachten te herstellen van verloren apparatuur, het terugvallen op “back up” mechanismen om aangetaste of gestolen gegevens te herstellen en het wijzigen van aangetaste paswoorden.

 

Advies van (externe) experten kan worden ingewonnen om het incident onverwijld en gepast op te lossen.

 

• Melding

 

Vervolgens zal de onderneming op basis van de ernst van de inbreuk een beslissing nemen of de verantwoordelijke Toezichthoudende Autoriteit wettelijk in kennis moeten worden gesteld.

 

Wanneer de beslissing wordt genomen om de Toezichthoudende Autoriteit op de hoogte te brengen van een bepaald incident, en eventueel de betrokkene(n) zelf ook, zal de volgende beoordeling worden gemaakt:

 

• Beoordeling

 

Eenmaal het incident is afgehandeld moet er een grondige analyse plaatsvinden. Het verslag beschrijft de oorsprong van het incident en de elementen die ertoe hebben bijgedragen, het chronologisch verloop van de gebeurtenissen, de reactieve maatregelen, aanbevelingen en geleerde lessen om domeinen te identificeren die verbeterd moeten worden. Aanbevolen wijzigingen aan systemen, policies en procedures zullen zo snel mogelijke daarna gedocumenteerd en geïmplementeerd worden.

 

 

 

• Handhaving van deze policy, sancties

 

Natra Malle nv en Natra Chocolate Belgium nv zorgen ervoor dat deze Algemene Privacy Policy in acht wordt genomen en behoorlijk wordt geïmplementeerd. Alle personen die toegang hebben tot persoonsgegevens moeten deze Policy naleven.

 

Schending van de toepasselijke wetgeving betreffende gegevensbescherming in de EER kunnen ertoe leiden dat Natra Malle nv of Natra Chocolate Belgium nv boetes of schadeclaims kan opgelegd krijgen door de toezichthoudende autoriteiten of door de bevoegde rechtbank. Indien deze schade rechtstreeks voortvloeit uit een schending van deze policy door een werknemer, dan zal dit kunnen gesanctioneerd worden met de nodige disciplinaire maatregelen, zoals vermeld in het arbeidsreglement, met inbegrip van, maar niet beperkt tot ontslag.

 

 

• Kennisgeving van deze policy

 

Natra Malle nv en Natra Chocolate Belgium nv zullen periodieke opleidingen voorzien over deze Algemene Policy. Hiervoor geldt een verplichte aanwezigheid.

 

Bovendien zullen Natra Malle nv en Natra Chocolate Belgium nv deze Policy meedelen aan de huidige en nieuwe werknemers door deze op het intranet te plaatsen.

 

 

• Wijzigingen aan het beleid

 

Natra Malle nv en Natra Chocolate Belgium nv behouden zich het recht voor om indien nodig deze policy te wijzigen, bijvoorbeeld om te voldoen aan nieuwe wettelijke verplichtingen, richtlijnen of eisen gesteld door de toezichthoudende autoriteiten. Natra Malle nv en Natra Chocolate Belgium nv zullen de betrokkenen informeren over iedere materiële wijziging aan deze Privacy Policy.