GDPR statement


1. Wat is GDPR?

GDPR staat voluit voor General Data Protection Regulation. Het gaat om de “Europese regelgeving rond databescherming van persoonsgegevens” die op 25 mei 2018 van kracht werd. De naleving van deze regelgeving gebeurt in België door de privacycommissie.

GDPR gaat om het beschermen van persoonsgegevens van alle inwoners van de Europese Unie. Persoonsgegevens zijn alle data aan de hand waarvan een persoon op een bepaalde manier geïdentificeerd kan worden, bv naam, telefoonnummer, e-mailadres, etnische achtergrond…, maar ook locatiegegevens, cookies, logins en IP-adressen.

Aangezien Benison persoonsgegevens van Europese burgers verzamelt, opslaat en verwerkt willen we deze nieuwe regelgeving tot in het hart van onze onderneming te laten doordringen. We scharen ons dan ook achter de twee nieuwe privacyconcepten die GDPR introduceert.

Privacy by design Privacy by design houdt in dat Benison als organisatie al tijdens de ontwikkeling van producten en diensten aandacht besteedt aan privacy verhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd.

Privacy by default Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk zijn.

2. Hoe gaat Benison transparant om met persoonsgegevens?

Om GDPR compliant te zijn heeft Benison in aanloop naar 25 mei 2018 tal van zaken op orde gebracht. De persoonsgegevens die Benison bezit zijn gecentraliseerd in een database die wordt beveiligd volgens de gangbare industrie-standaarden.

Benison verzamelt persoonsgegevens voor drie doeleinden:

  • Facturatie
  • Marketing
  • Support

Enkel de noodzakelijke gegevens voor facturatie en support zijn vereist om een Benisonaccount te verkrijgen. Gegevens voor marketingdoeleinden (bv. Leeftijd of geslacht) zullen steeds optioneel door de gebruiker worden verstrekt via de “opt-in” methode en er wordt steeds voldoende informatie verstrekt wat er met deze gegevens zal gebeuren.

3. Verschil tussen persoonsgegevens die Benison gebruikt voor haar klanten, en data van klanten

Door de aard van de diensten die Benison aanbiedt, staan er op de virtuele servers van de klant wellicht een hoop persoonsgegevens die worden verzameld door de klant. Benison zal deze data nooit inkijken, laat staan gebruiken. Al de data van de klant worden opgeslagen en gebackupped volgens de gangbare industrie-standaarden. De data staan in Belgische datacenters en zullen het Belgische grondgebied niet op initiatief van Benison verlaten zonder uitdrukkelijk medeweten van de klant. Voor de data die op de virtuele servers van de klant worden opgeslagen is de klant zelf verantwoordelijk om GDPR compliant te zijn. Benison verbindt zich enkel tot het niet gebruiken van deze data en het zorgvuldig omgaan met de opslag en backup ervan.

Naast data “van” de klant heeft Benison ook gegevens nodig “over” de klant en zijn gebruikers. De verplichte gegevens over de klant worden tot het minimum beperkt om te kunnen voldoen aan de wettelijke normen inzake facturatie, en verder om de klant de beloofde support te kunnen bieden.

4. Retentie periode van persoonsgegevens

Persoonsgegevens die nodig zijn voor de boekhouding moeten minimaal 10 jaar worden bijgehouden (wettelijke verplichting). Dus als een klant stopt met het gebruiken van de diensten die Benison aanbiedt, zullen in de boekhouding de nodige gegevens nog de tien volgende boekjaren worden bijgehouden.

Persoonsgegevens die nodig zijn voor het verlenen van support worden verwijderd binnen de 180 kalenderdagen na het definitief stopzetten van de afgenomen Benison dienst. Opmerking hierbij is dat voor gebruikers die hun dienst tijdelijk stoppen (bv. door zwangerschapsverlof) de persoonsgegevens worden bijgehouden, omdat er een grote kans is dat de dienst na de periode van afwezigheid wordt verder gezet.

Wanneer een klant stopt met het gebruiken van Benison diensten, kunnen zijn data nog maximaal 40 dagen bestaan in onze backups. Deze backups worden na die periode automatisch vernietigd. De data in de backups zal door Benison niet worden gebruikt, enkel indien de klant hierom vraagt.

5. De keten van personen die toegang hebben tot persoonsgegevens

Om de persoonsgegevens te kunnen beschermen is het noodzakelijk om de hele keten van personen/bedrijven die toegang heeft tot deze gegevens in kaart te brengen én af te dwingen dat zij deze gegevens behandelen volgens de regels van GDPR.

Met volgende personen/bedrijven heeft Benison een contract afgesloten over de vertrouwelijkheid van onze data en de manier waarop zij er mee horen om te gaan:

  • Boekhoudkantoor (het boekhoudkantoor staat op haar beurt in voor GDPR compliancy naar haar werknemers, leveranciers en onderaannemers)
  • Tigron bvba (Tigron staat op haar beurt in voor GDPR compliancy naar haar werknemers, leveranciers en onderaannemers)
  • Uw reseller (indien u uw facturen niet rechtstreeks via Benison ontvangt, heeft uw reseller ook toegang tot uw persoonsgegevens om mee support te kunnen leveren). Wij vragen uw reseller om minstens voor onze gemeenschappelijke klanten GDPR compliant te zijn.

Naast bovenstaande kunnen mogelijk de bedrijven die onze telecommunicatie (telefoon en internettoegang) faciliteren (Proximus, Telenet e.d.) stukjes van persoonsgegevens distilleren uit ons gebruik. Zij zijn gebonden door de wetgeving betreffende telecommunicatie, en we gaan er van uit dat zij deze gegevens niet verspreiden en GDPR conform behandelen.

6. Verwerkingsverantwoordelijke

Omdat de GDPR wetgeving nog nieuw is en de komende tijd wellicht om bijsturing vraagt, heeft Benison beslist om Bert Oris te benoemen tot verwerkingsverantwoordelijke. Hij zal blijven waken over uw gegevens en waar nodig aanpassingen doen om te verzekeren dat uw data GDPR compliant worden beheerd. Voor vragen kan je hem steeds per email bereiken op privacy@benison.be

7. Hoe beschermt Benison uw data?

De GDPR wetgeving vraag om transparant weer te geven hoe uw data worden beschermd. Dit is een vraag die stuit op enkele barrières. Benison zal hieronder in het algemeen weergeven hoe zij de verschillende onderdelen van haar data beschermt, zonder daarbij evenwel in detail te treden. Het kan niet de bedoeling zijn van de wetgever om personen met slechte bedoelingen onnodig inzicht te geven in de beveiligings-strategieën die Benison hanteert. Benison heeft haar data in vier categorieën opgedeeld. We geven hieronder kort en bondig weer hoe deze data worden beschermd. Wil u hierover meer details weten, neem dan contact via privacy@benison.be of +32 89 44 00 60.

Data op de virtuele servers

De gegevens op de virtuele server van de klant (zoals omschreven in punt 3) zijn eigendom van de klant. De klant is dan ook verantwoordelijk voor het GDPR compliant omgaan met deze data. Benison zorgt dat de data enkel bereikbaar zijn via een hostname (van de virtuele server), een gebruikersnaam en een wachtwoord dat voldoet aan de complexiteitsvereisten. Indien de klant dit wenst kan de veiligheid worden verhoogd met o.a. een VPN tunnel of tweeweg authenticatie.

Benison beheert de data en de backups van de klant, en doet dit steeds via een intern netwerk en nooit via internet (uitgezonderd toegang via VPN tunnels). De achterliggende infrastructuur van Benison is niet via het gewone publieke internet bereikbaar. De routers en switchen die we gebruiken worden geconfigureerd en onderhouden door Tigron bvba volgens de gangbare industrie-standaarden.

Persoonsgegevens in onze database

Alle persoonsgegevens die nodig zijn voor het leveren van support en facturatie worden slechts bijgehouden in een enkele database. Dit heeft tot doel om alles centraal te kunnen beheren en om het afschermen van deze gegevens te vereenvoudigen. Alle infrastructuur die benodigd voor deze database en haar backups is slechts bereikbaar via extern internet voor zover noodzakelijk voor de gebruikers om hun persoonsgegevens te controleren of bij te sturen. Deze database is afgeschermd met een gebruikersnaam en een wachtwoord dat voldoet aan de complexiteitsvereisten.

Persoonsgegevens in telecommunicatie-apps

Voor telefoon en e-mail houden we enkel de noodzakelijke adressen in ons bestand. Voor onze mailboxen gebruiken we een gebruikersnaam en een wachtwoord dat voldoet aan de complexiteitsvereisten. Voor onze mobiele telefoon gebruiken we een wachtwoord dat voldoet aan de complexiteitsvereisten en/of fingerprints om ongeoorloofde toegang te voorkomen.

GDPR compliant omgaan met persoonsgegevens in telecommunicatie-apps is het moeilijkste onderdeel van GDPR en we blijven onderzoeken hoe we dit onderdeel naar de toekomst verder kunnen beveiligen. We blijven vooral uitkijken welke tools de markt hiervoor zal bieden.

Persoonsgegevens in onze boekhouding

In onze boekhouding wordt enkel de noodzakelijke informatie opgenomen. Naast de wettelijk vereiste gegevens zijn dat enkel de mailadressen waar de factuur naar wordt verzonden. Deze adressen zullen voor geen enkel ander doeleinde worden gebruikt vanuit ons facturatiepakket. Van zowel onze boekhouder als de leverancier van ons boekhoudpakket vereisen we dat ze GDPR compliant met deze data omgaan.

Toegang tot de persoonsgegevens die Benison over u bezit

Elke persoon die gebruikt maakt van de diensten van Benison heeft het recht om deze in te zien, te wijzigen of te verwijderen. Toegang tot alle persoonsgegevens die van u werden opgeslagen kan je opvragen via privacy@benison.be. Het wijzigen of verwijderen van gegevens kan tot gevolg hebben dat de diensten van Benison die u gebruikt per onmiddellijke ingang worden afgesloten. Dit zal u op de betreffende webpagina worden duidelijk gemaakt vooraleer de wijzigingen van kracht worden.

Naast uzelf kunnen ook uw werkgever (en/of uw lokale DPO), uw reseller, Benison en de onder punt vijf beschreven personen/bedrijven toegang hebben tot deze gegevens.

8. Stappenplan bij datalek

Ondanks alle voorzorgen zou het toch kunnen gebeuren dat er een datalek ontstaat. Benison zal dan meteen de volgende stappen ondernemen:

  • Het lek dichten
  • De gebruikers, onderneming (en mogelijk reseller) van wie de data mogelijk gelekt zijn verwittigen, en de nodige acties ondernemen om de gebruikersaccounts en/of virtuele servers terug veilig te stellen
  • De privacy commissie inlichten (commission@privacycommission.be)
  • De nodige stappen ondernemen om te voorkomen dat zulk een lek nogmaals ontstaat