Gegevensbeschermingsbeleid
Europese Reanimatie Raad vzw
Bij de Europese Reanimatie Raad (ERC), bekommeren we ons sterk over uw
privacy. Ter bescherming van de veiligheid en vertrouwelijkheid van uw
gegevens, hebben we onze gegevensbescherming met de professionele hulp en
continue ondersteuning van onze leveranciers-Processors (zie hieronder)
opgesteld.
Hun hoge standaarden en eisen voor informatiebeveiliging laten ons toe
om uw gevoelige en persoonlijke gegevens van onze informatiesystemen te
beheren. Zo voorkomen we dat uw persoonlijke gegevens worden gecompromitteerd,
gewijzigd, verloren gaan, vernietigd worden, gepubliceerd of doorgegeven zonder
de juiste autorisatie.
De ERC is klaar om de uitdagingen van het algemeen
reglement van de Data bescherming ("GDPR") aan te gaan.
Laat ons dit nader uitleggen
De Beheerder van uw gegevens
in de ERC-databases is de Europese Reanimatie Raad vzw, Emile Vanderveldelaan
35, 2845 Niel (België), Tel. + 32 3 246 46 66, secretariat@erc.edu,
geregistreerd in België onder bedrijfsnummer BE0461.204.217.
De Europese Onderzoeksraad, is afhankelijk van de voortdurende steun van
de Behandelaars zoals vermeld in Bijlage (1). De ERC heeft
overeenkomsten met deze Behandelaars (art. 28 en 29 GDPR verordening) en houdt
het toezicht op dat deze Behandelaars voldoen aan de voorschriften van de GDPR.
Noch de Beheerder, noch de Behandelaar zijn betrokken bij de verkoop van
persoonlijke gegevens van hun gebruikers aan derden.
Om aan bepaalde contractuele overeengekomen diensten in het kader van de
ERC te voldoen, heeft de Behandelaar de derde partij diensten zoals vermeld in Bijlage (2) als ontvangers van bepaalde handelingen worden wellicht persoonlijke
gegevens gedeeld met dergelijke derde partijen. Deze derden mogen
persoonsgegevens verwerken voor de genoemde doeleinden en binnen de gegeven
beperkingen.
In geval van overdracht van persoonsgegevens naar een derde land, wordt
dergelijke toegang alleen verleend op het besluit van het Comité of de adequate
of geschikte waarborgers als omschreven in art. 45-46 GDPR verordening.
Elk geregistreerd persoon kan zijn CoSy gegevens inzien door in te
loggen op https://cosy.erc.edu. U kunt de meeste
van de gebruikersgegevens bijwerken in uw account; voor correcties van namen
kan de Beheerder echter vragen om aanvullende ondersteunende documentatie.
Alle leveranciers worden grondig gescreend voordat deze worden
aangesteld door de ERC voor hun diensten. Naleving van de toepasselijke
wetgeving inzake gegevensbescherming (met inbegrip van de naleving van de GDPR)
is opgenomen in de screening vereisten voor alle dergelijke leveranciers. De
samenwerking met leveranciers en de voorwaarden van deze samenwerking worden
jaarlijks herzien, met inbegrip van de voortdurende naleving van elke
toepasselijke wettelijke en bestuursrechtelijke voorschriften. Samenwerking kan
worden stopgezet wanneer een leverancier niet langer aan deze vereisten
voldoet.
Voor zover toegestaan door toepasselijk recht, kan de Beheerder of de Behandelaar
uw persoonlijke gegevens aan de volgende partijen openbaren:
●
Overheid/regelgevende instanties en instanties voor
rechtshandhaving.
●
(Intern/extern) auditors.
●
In antwoord op dagvaardingen, of andere wettelijke,
regelgevende of rechterlijke macht; te stellen of de juridische rechten voor de
Beheerder of de Behandelaar; te verdedigen tegen juridische claims; of als
anderszins vereist door wet.
●
Als de Beheerder of de Behandelaar het noodzakelijk
acht te onderzoeken, te voorkomen of maatregelen met betrekking tot illegale
activiteiten te nemen; te beschermen en verdedigen van de rechten, eigendommen
of veiligheid van Behandelaars, hun gebruikers, of anderen.
●
In het kader van een zakelijke transactie, zoals
afstoting, fusie, consolidatie, of verkoop van activa, of in de
onwaarschijnlijke gebeurtenis van faillissement.
●
Met leden van de Beheerder of de Behandelaar.
●
De Beheerder of Behandelaar kunnen alleen verzamelde
of anonieme informatie delen met derden, met inbegrip van adverteerders,
partners en investeerders.
Gegevens worden verwerkt voor juridische redenen of gerechtvaardigde
belangen door de ERC (art. 6, eerste alinea, punt
(f) AVG Verordening), zoals vermeld in de onderstaande tabel.[1]
Tijdens het ontwerpproces van de toepassingen, heeft de Beheerder een
gegevensinventaris opgesteld. Wij willen enkel de gegevens verwerven en
verwerken die strikt noodzakelijk zijn voor de vervulling van de doeleinden die
hieronder worden beschreven.
Bijlage (3) bevat de informatie die verzameld (niet-limitatieve lijst) kan worden en hun belangen/doeleinden.[2]
Als u de gedetailleerde inventaris wilt raadplegen of meer informatie
wilt krijgen over het doel van de gegevensverwerking, neem contact op met de
DPO.
Zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming
streeft de Beheerder er naar uw persoonlijke gegevens te verwijderen zodra het
niet langer nodig is om het doel te bereiken waarvoor zij oorspronkelijk zijn
verzameld. Met het oog op dit beginsel gelden de volgende bewaartermijnen
(uitgevoerd op jaarbasis):
- Cursussen en
certificaten gegevens: anonimisering 5 jaar na het verstrijken van een bepaalde
kwalificatie (wordt gehouden: land, resultaat van de beoordeling, geboortejaar,
beroep).
- Lidmaatschap
gegevens: anonimisering 5 jaar na de datum van de laatste lidmaatschap (wordt
gehouden: land, geboortejaar, beroep)
- Boekhoudkundige
gegevens: gegevens die ouder dan 10 jaar zijn worden verwijderd.
- Persoonsgegevens:
anonimisering 5 jaar na de laatste login (wordt gehouden: land, het jaar van
geboorte, beroep, cursussen/certificaten (zie hierboven), lidmaatschap gegevens
(zie hierboven)).
- Ondersteuning
vragen: verwijdering 2 jaar na het sluiten van supportticket.
- De gegevens
zullen volledig worden verwijderd uit de back-ups binnen 180 dagen na de
back-up.
Zie: verwijderen van uw gegevens
De volgende beveiligingsmaatregelen zijn uitgevoerd ter bescherming van
persoonsgegevens die worden verwerkt door onze toepassingen tegen onbevoegde
toegang, wijziging, verlies of vernietiging (niet-limitatieve lijst):
●
Alle data is versleuteld zowel in rust als in transit
tussen de service en uw browser.
●
Persoonsgegevens zijn alleen toegankelijk na inloggen
met een persoonlijke – unieke – gebruikersnaam en wachtwoord.
●
Wachtwoorden zijn niet zichtbaar en niet zijn
meegedeeld via e-mail, noch toegankelijk voor eenieder, met inbegrip van de
Behandelaar en de medewerkers.
●
Alle data wordt volledig ondersteund.
●
Onze CoSy applicatie biedt ondersteuning voor twee
factor-verificatie.
●
Acties in uw persoonlijke gegevens worden geregistreerd
met de identiteit van de persoon, de tijdstempel en het IP-adres die de actie
uitvoert.
●
Voor geadresseerden die toegang hebben tot informatie
die zij zelf niet in hebben gevoerd, is de twee factor verificatie verplicht.
●
Wij bieden geen export faciliteiten van
gebruikersgegevens naar ontvangers; alleen cursus centra zijn geschikt voor het
produceren van een export van cursisten van een bepaalde cursus met als doel de
verzending cursus handleidingen.
In het geval van een inbreuk op persoonsgegevens die mogelijk een risico
vormt voor uw rechten en vrijheden, stelt de Beheerder ook – binnen 72
uur na het feit zich bewust geworden van het – de toezichthoudende
autoriteit op de hoogte[3].
In geval van een hoog risico – en zonder afbreuk te doen aan de
bepalingen van art. 34, lid 3 GDPR verordening - de Beheerder zal u op de
hoogte stellen over dergelijke inbreuk op persoonsgegevens, met informatie over
de aard, de te verwachten gevolgen en een contactpersoon, contactpunt voor
verdere informatie.
Tenzij uw verzoek redelijk buitensporig of ongegrond
geacht wordt, mag u de volgende rechten uitoefenen met betrekking tot uw
persoonsgegevens die worden verwerkt door onze
toepassingen:
● Informatie opvragen betreffende de verwerking
van uw persoonsgegevens.
● Een verzoek indienen bij de Beheerder om uw
persoonlijke gegevens te wijzigen of te corrigeren als ze verkeerd zijn.
● Uw persoonlijke gegevens laten wissen in
bepaalde omstandigheden als omschreven in de toepasselijke wetgeving inzake
gegevensbescherming.
● Een verzoek indienen om de beperking van
bepaalde verwerkingsactiviteiten in bepaalde omstandigheden als omschreven in
de toepasselijke wetgeving inzake gegevensbescherming.
● Aanvragen van een kopie van al uw gegevens in
bezit van de Beheerder en de Behandelaar in een standaardindeling, evenals het
verzoek om gegevens draagbaarheid.
● Uw toestemming intrekken.
Voor een volledig overzicht van uw rechten als betrokkene, raadpleeg de algemene
verordening van de bescherming van de gegevens.
U kunt gemakkelijk uw rechten uitoefenen door het invullen en indienen
van ons online formulier [koppeling toevoegen aan formulier].
De Beheerder behoudt zich het
recht voor een redelijke vergoeding in het geval dat uw verzoek buitensporige
aan onze enige discretie wordt geacht.
CoSy staat betrokkenen toe de verwerkte persoonsgegevens zelf te
beheren. Als u de wijzigingen of correcties op de gegevens niet kunt voltooien,
kunt u de Beheerder een verzoek indienen voor het uitvoeren van deze actie via onze support widget in CoSy.
De volgende procedure zal worden toegepast wanneer een verzoek om
opheffing van de gegevens van de betrokkene is voorgelegd aan de ERC:
Vanwege de onomkeerbaarheid
van een dergelijke maatregel; om een verzoek voor een verwijdering van
persoonlijke gegevens in te dienen, moet de betrokkene deze aanvraag indienen
door in te loggen op CoSy en een kopie van hun ID/paspoort toevoegen voor
identificatiedoeleinden. De Beheerder kan mogelijk eerst de e-mail beantwoorden
om echtheid van het verzoek te controleren, voordat de actie wordt uitgevoerd.
De Beheerder zal zonder
onnodige vertraging de aard van het verzoek beoordelen en controleren welke
gegevens moeten worden verwijderd en uit welke database, overeenkomstig met de
voorschriften van de GDPR.
Als de persoonlijke gegevens
in de toepassing aanwezig zijn, zal de Beheerder de persoonlijke gegevens
verwijderen uit de database van de toepassing/het systeem en de anonimisering
procedures binnen 30 kalenderdagen volgend op de aanvraag voor de verwijdering
van persoonsgegevens toepassen. De Beheerder meldt (via e-mail) de betrokkene
over verwijdering binnen 30 kalenderdagen.
Als de Beheerder het verzoek
tot verwijdering niet kan verlenen, stuurt de DPO de betrokkene over een
dergelijk besluit en de motivatie binnen 30 dagen na de aanvraag voor de
verwijdering van gegevens een bericht.
Alle persoonlijke gegevens die u hebt geselecteerd om te verwijderen
worden volledig verwijderd uit de back-ups binnen 180 dagen.
Waarschuwing: het verwijderen van persoonlijke gegevens kan leiden
tot onherroepelijk verlies van een
persoonlijke link of spoor van lidmaatschap, opleidingen, certificaten of
diploma's. De Beheerder zal echter een gedrukte versie van het verzoek van
verwijdering behouden om redenen van bewijs en aansprakelijkheid van de Beheerder.
Dergelijke afgedrukte records niet worden verwerkt door het geautomatiseerde
middelen en in een archiefsysteem of met de bedoeling om deel uit te maken van
een archiveringssysteem, vandaar de GDPR-verordening is niet van toepassing.[4]
Een toegewijde CoSy pagina van het account van de betrokkene geeft de
mogelijkheid tot het individueel inschrijven of afmelden voor de verschillende
nieuwsbrieven, groepen en andere communicatietypen. Wijzigingen door de
betrokkene worden uiterlijk binnen één week toegepast.
Abonnementen opzeggen van e-mails met nieuws, feiten, gebeurtenis of
diensten die door de kan als alternatief worden uitgevoerd met behulp van de
knop abonnement opzeggen of de hyperlink opgenomen in elke e-mail nieuwsbrief
of groep.
Echter, wanneer geregistreerd voor een cursus en totdat de cursus
administratief wordt gesloten, kunnen identiteit en contactgegevens worden
gedeeld met het cursus centrum. Aangezien een cursus zonder de mogelijkheid om
contact op te nemen met de deelnemers niet kan worden uitgevoerd door het
cursus centrum, is deze machtiging verplicht om in te kunnen schrijven voor een
cursus.
Bijlage (1) hier ziet u hoe een betrokkene een overzicht kan maken van alle
beschikbare gegevens in CoSy.
De betrokkene kan een export in een elektronisch formaat van zijn
persoonlijke gegevens en de diploma's, voor gegevens draagbaarheid aanmaken. De
Beheerder is niet verantwoordelijk voor het format van deze gegevens om te
worden geüpload in andere systemen.
U hebt te allen tijde het recht uw toestemming in te trekken. De
opzegging heeft echter geen invloed op de rechtmatigheid van verwerking op
basis van de toestemming vóór zijn terugtrekking.
In het geval dat u niet eens bent met beslissingen van de Beheerder of
in andere situaties, kan u een klacht indienen bij de Belgische toezichthoudende
autoriteit:
Gegevensbeschermingsautoriteit
Drukpersstraat 35
1000 Brussel
https://www.privacycommission.be/en/contact-us
commision@privacycommission.be
Of bij de toezichthoudende autoriteit van uw eigen land die kan worden
gevonden op http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
Door het aanvaarden van deze privacyverklaring en de inrichting
persoonsgegevens via CoSy, geeft u uitdrukkelijk toestemming aan de Beheerder
voor het verwerken van de gegevens voor de genoemde doeleinden.
Alleen op uw individuele toestemming, zal de Beheerder specifieke
persoonlijke gegevens doorgeven aan derden. Het bovenstaande ook geldt voor de
verwerking van persoonsgegevens buiten de EU, zowel in landen of erkend en niet
erkend door de Europese Commissie om adequate gegevensbescherming te bieden.
Indien nodig, een gegevens overdracht overeenkomst zal worden aangegaan,
overeenkomstig de contractuele clausules in de EU Commissie besluit C (2010)
593 modelcontractbepalingen (processors) voor de toepassing van artikel 26, lid
2 van Richtlijn 95/46/EG).
Als u vragen over dit privacybeleid hebt, of als
u de boven bepaalde rechten van de betrokkene wilt uitoefenen, neem contact op
met de Beheerder via de support widget in CoSy.
Goedgekeurd door de GPC op 17.05.2018
[1] Behalve waar dergelijke belangen worden overschreven door de belangen
van de fundamentele rechten en vrijheden van de betrokkene die aanspraak van de
bescherming van persoonsgegevens, met name waar de betrokkene een kind is.
[2] Maar jaarlijks
geactualiseerd
[3] Beschreven in art. 55
GDPR verordening
[4] Art. 2, lid 1 GDPR
Reglement.