GEDRAGSCODE VRYDAGH & BORIAU NV MET BETREKKING TOT HET GEGEVENSBESCHERMINGSBELEID

Inleiding

De bescherming van de persoonlijke levenssfeer is uiterst belangrijk. We willen onze klanten en debiteuren zoveel mogelijk informeren en meticuleus de vigerende Europese (onder meer de Algemene Verordening Gegevensbescherming, verder “AVG” genoemd) en nationale wetgeving (vooral 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna “WVP”) maar ook de wet van 13 juni 2005 (“Wet op de Elektronische Communicatie”, verder WEC genoemd)) naleven. Vrydag & Boriau verbindt er zich toe de gegevens veilig, wettelijk en als een goede huisvader te beheren en te gebruiken, om zo een correcte behandeling van de dossiers te garanderen.

Hieronder wordt de informatie weergegeven over welke gegevens wij verzamelen, waarom, hoelang en in welke mate betrokkenen hierover controle hebben.

1. DEFINITIE VAN “GEGEVENSVERWERKING”

De AVG geeft een definitie van zowel “verwerking” als van “persoonsgegevens”:

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Zoals de wet voorschrijft, verwerken we geen gevoelige gegevens zoals onder andere gegevens over

je raciale of etnische afkomst, politieke opvattingen, seksuele voorkeuren en gezondheid (zie ook punt 3 verder, wat dit laatste punt betreft).

De verwerkingsverantwoordelijke is Vrydagh & Boriau NV (verder genoemd V&B), Kerkskenhoek 72, 9450 Haaltert.

Zowel bij incasso na subrogatie, als bij incasso op mandaat bepaalt V&B zelf welke gegevens ze verwerkt, waarbij ze zelf gedurende een mandaat gegevens verzamelt met haar eigen middelen en met een door haar te bepalen doel (bv. het verrijken van ontvangen data via zowel interne verrijking alsook via externe data quality partners; het zelf instaan voor het beantwoorden van vragen van betrokken debiteuren; het zelf afhandelen van klachten komende van overheidsinstanties of consumentenorganisaties, edm).

2. DE DOOR DEZE CODE BESCHERMDE PERSONEN

Deze gedragscode geldt voor zowel particuliere debiteuren alsook klanten van V&B voor zover het natuurlijke personen betreft. Dit betreft dus zowel consumenten- debiteuren als zakelijke debiteuren als klanten, voor zover over natuurlijke personen gaat.

Deze gedragscode is ook van toepassing wanneer je een bezoek brengt aan onze kantoren of burelen, bij gebruik van onze websites en eventuele apps.

V&B zal haar verplichtingen nakomen en de rechten van betrokkenen eerbiedigen telkens wanneer zij gegevens verwerkt.

3. FINALITEIT VAN DE GEGEVENSVERWERKING

We verwerken enkel de persoonsgegevens die noodzakelijk zijn om het beoogde doel te realiseren. Wat invorderingsdossiers betreft, betreft dit de gegevens die noodzakelijk zijn om een vordering dienstig te innen, desgevallend via een insolventieprocedure dan wel gerechtelijke procedure (zoals adres en telefoonnummer van betrokkene of diens gemandateerde en bvb. niet de uiterlijke kenmerken van iemand). Ook is de verwerking van een aantal gegevens verboden zoals m.b.t. de gezondheidstoestand van betrokkene: de enkele informatie opnemen dat iemand “gehospitaliseerd” is en daardoor tijdelijk een betaalplan niet kan nakomen of een ziekenhuisfactuur innen waarop voornamelijk betaalgegevens staan, kan wel; verwerken dat iemand lijdt aan kanker is dan weer te concreet en kan niet.

Het gebruik ervan is -meer concreet- in volgende gevallen toegestaan:

  • In het kader van de voorbereiding of uitvoering van een contract, zoals in het geval waarbij wij gesubrogeerd worden in de rechten en plichten van de oorspronkelijke schuldeiser. In dit geval treden wij op in de rechten en plichten van de oorspronkelijke schuldeiser, waardoor wijzelf schuldeiser worden;

OF

  • Om te  voldoen  aan  de  wettelijke  bepalingen  (in  de  ruime  zin)  waaraan  wij  zijn onderworpen;

OF

  • Wanneer wij daarvoor een gerechtvaardigd belang hebben, waar dit steeds proportioneel dient toegepast te worden. Een voorbeeld hiervan is het geval waarbij wij een dossier op mandaat beheren. Een mandaat (ook volmacht of lastgeving genoemd) is een overeenkomst waarbij de opdrachtgever ons belast met het verrichten van rechtshandelingen (bv. het afsluiten van betaalplannen mbt een vordering van de opdrachtgever-schuldeiser).

OF

  • Wanneer wij toestemming hebben gekregen om de gegevens op te slaan en/of te verwerken (hetgeen bij een incassorelatie in principe niet het geval is, tenzij betrokkene tijdens het beheer zelf persoonsgegevens meedeelt met verzoek deze gegevens te willen gebruiken).

4. WIJZE WAAROP DE GEGEVENS BEVEILIGD WORDEN

  1. Wijzelf leiden onze medewerkers op om correct om te gaan met vertrouwelijke gegevens.
  1. Ook wordt bij privacygevoelige projecten een inschatting gemaakt op het vlak van veiligheid en de bescherming van persoonsgegevens.
  1. Voor informatiebeveiligingsbeleid zijn specifieke personen bevoegd.
  1. Wij doen beroep op interne  en/of  externe  gespecialiseerde  partners die instaan  voor de veiligheid van ons netwerk, onze infrastructuur en onze informatiesystemen. Ook gebruiken wij technische en organisatorische maatregelen om je persoonsgegevens te beschermen, zoals: beveiliging met een paswoord, firewalls, antivirus, intrusie- en anomaliedetectie en toegangscontroles voor onze werknemers en leden.
  1. In het geval  er  beroep  wordt  gedaan  op  een  verwerker  van  persoonsgegevens  (bv.  een zelfstandige die huisbezoeken verricht, een IT-support onderneming, edm) dan zal V&B een verwerkingsovereenkomst aangaan met de betreffende verwerker, waarin vermeld staat dat de verwerker enkel zal handelen na instructie van V&B en aan dezelfde verplichtingen onderworpen is.
  1. Mocht er zich  een  inbreuk  voordoen  op  de  verwerking  van  persoonsgegevens  van  een betrokkene, dewelke waarschijnlijk een hoog risico inhoudt voor deze zijn/haar rechten en vrijheden, dan zal V&B, als verwerkingsverantwoordelijke, de betrokkene -in een duidelijke en eenvoudig begrijpbare taal- informeren over de aard van de inbreuk, de waarschijnlijke gevolgen ervan alsook over de getroffen of nog te nemen maatregelen en het contactpunt waar meer informatie kan verkregen worden.

In dit geval, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en,

indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Gegevensbeschermingsautoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

  1. Wij hanteren een risicogebaseerde benadering: dit houdt in wij beschermende maatregelen nemen in verhouding met het risiconiveau van onze gegevensverwerkingsactiviteiten. Daarom zijn de te leveren inspanningen voor een lid dat veel gegevens verwerkt zwaarder dan voor een lid dat een kleine hoeveelheid gegevens verwerkt.

5. GEGEVENSBESCHERMINGSEFFECTBEOORDELING

Wanneer een voorgenomen verwerking van persoonsgegevens gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, wordt er een voorafgaande gegevensbeschermingseffectbeoordeling (DPIA genoemd, naar “data protection impact assessment”) uitgevoerd.

Het gebruik van nieuwe technologieën kan een aanwijzing zijn dat er weleens sprake zou kunnen zijn van een dergelijk hoog risico. Dit is temeer het geval indien men een verschillende behandeling (bv. incassotrajecten; rappelsystemen) ontwikkelt dewelke gelinkt zijn aan een groep van personen (bv. verschillend incassotraject naar gelang van de regio of leeftijd van betrokkenen of antecedenten bij deze of gene invorderingsmaatschappij of het al dan niet voordien hebben doorlopen van  een insolventieprocedure).

Zulke gegevensbeschermingseffectbeoordeling houdt meer bepaald in:

  • een  systematische    beschrijving    van    de    beoogde    verwerkingen    en    de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  • een  beoordeling  van  de  noodzaak  en  de  evenredigheid  van  de  verwerkingen  met

betrekking tot de doeleinden;

  • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
  • de beoogde  maatregelen  om  de  risico’s  aan  te  pakken,  waaronder  waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
  • deze gedragscode wordt bij de gegevensbeschermingseffectbeoordeling in acht genomen.

6. FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING (DPO)

V&B heeft een “functionaris voor de gegevensbescherming” aangeduid (DPO verder genoemd, zijnde het gebruikelijke Engelstalige acroniem “data protection officer”).

Hij informeert en adviseert het bedrijf en de werknemers over hun verplichtingen die voortvloeien uit de AVG en andere gegevensbeschermingsbepalingen.

Hij ziet toe op de naleving van de gegevensbeschermende maatregelen en is de contactpersoon bij de toezichthoudende autoriteiten.

7. COMMUNICATIE VAN GEGEVENS NAAR DERDEN TOE

Wij geven geen persoonsgegevens door aan derden, tenzij :

  • Dit nodig is voor onze dienstverlening binnen het kader van ons doel

(aanzuivering van het dossier).

Voor sommige aspecten van onze diensten werken wij met derde partijen of schakelen wij mandatarissen in. Denk bijvoorbeeld aan externe IT-diensten die ons informaticasysteem onderhouden, printing partners, mandatarissen die huisbezoeken verrichten of advocaten en gerechtsdeurwaarders waarop we beroep doen. Wij zien erop toe dat zij, net zoals wij, de gegevens veilig, respectvol en als goede huisvader beheren. Bovendien vallen zij eveneens onder hun respectievelijke deontologieën.

  • Er een wettelijke verplichting is. Het meest voorkomende voorbeeld hiervan betreft de inbeslagname van stukken door inspecteurs van de F.O.D. Economie die hiertoe gemachtigd zijn in het kader van onderzoeken naar de naleving van de wet consumentenkrediet, thans VII titel 4 hoofdstuk 1 WER, alsook in het kader van de wet minnelijke invordering (WMI).
  • Wij de toelating ervoor kregen. Een veel voorkomend geval betreft advocaten van betrokkenen (die wettelijk geacht worden een mandaat van betrokkene te hebben) of O.CM.W.’s en CAW’s dewelke een mandaat van betrokkene toevoegen en een stand van zaken vragen (saldo en stavingsstukken meestal) teneinde de zaak met hun cliënt te kunnen bespreken.
  • Voor onderzoeken:  In  sommige  gevallen  gebruiken  wij  anonieme  gegevens  voor onderzoek en desgevallend rapportering naar de overheid of voor persberichten. Deze gegevens zijn nooit terug te brengen naar een bepaald individu.

8. DE  RECHTEN     EN     ACTIEMOGELIJKHEDEN    VAN BETROKKENEN

 

Het recht van inzage en copie

Betrokkenen hebben het recht op (gratis) inzage tot de gegevens die henzelf betreffen. Deze zijn opvraagbaar:

  • Of wij persoonsgegevens verwerken;
  • Waarvoor wij die verwerken;
  • Welke categorieën van persoonsgegevens wij verwerken;
  • Met welke categorieën van derden wij persoonsgegevens delen;
  • Wat de oorsprong is van de verwerkte gegevens; en
  • Welke logica wij gebruiken als wij bepaalde persoonsgegevens automatisch verwerken.

Men kan het recht van inzage schriftelijk uitoefenen via een schrijven naar de verwerkingsverantwoordelijke. Om het recht van inzage uit te oefenen, en om elke ongeoorloofde openbaarmaking van persoonsgegevens te voorkomen, dienen we een identiteitsbewijs te ontvangen. Wij vragen dan ook om een kopie van de voorzijde van de identiteitskaart van aanvrager-betrokkene toe te voegen aan de aanvraag.

V&B zal onverwijld, en ten laatste binnen een maand, op een verzoek van betrokkene reageren. Houd er rekening mee dat deze periode begint te lopen wanneer de aanvraag schriftelijk ontvangen werd en alle dienstige informatie om te voldoen aan de aanvraag in handen van de verwerkingsverantwoordelijke is.

De verwerkingsverantwoordelijke verstrekt de betrokkene eveneens een kopie van de persoonsgegevens die worden verwerkt.

Voor de volledigheid informeren wij dat, indien er niet gereageerd wordt op de aanvraag, er geweigerd wordt te reageren of indien het antwoord niet voldoet aan de verwachtingen, men steeds het recht heeft een klacht neer te leggen bij de Gegevensbeschermingsautoriteit, die dan zal tussenkomen.

Recht op verbetering, verwijdering en recht om niet uitsluitend te worden beoordeeld op basis van geautomatiseerde verwerking

Betrokkenen hebben het recht om onvolledige, foutieve, ongepaste of verouderde persoonsgegevens te laten verwijderen of wijzigen. Daarvoor kan V&B gecontacteerd worden. Zij zal deze informatie vervolgens, indien de aanvraag correct is, aanpassen of verwijderen.

V&B waakt over de bijwerking van haar gegevens, opdat deze actueel en correct blijven.

9. REGISTER VAN DE VERWERKINGSACTIVITEITEN

V&B houdt een register van haar verwerkingsactiviteiten bij. In dit register wordt opgenomen: welke gegevens worden verwerkt,  met welk doel deze gegevens worden verwerkt, wie de ontvangers van de gegevens zijn, waar ze bewaard worden, hoe ze beveiligd worden en welke hun bewaartermijn is.

10. BEWAARTERMIJN VAN PERSOONSGEGEVENS

De persoonsgegevens worden enkel bijgehouden voor zover als, en zolang als, nodig voor het doel waarvoor ze verzameld werden (invordering van onbetaalde vorderingen).

Daar de gemeenrechtelijke bevrijdende verjaring 10 jaar betreft (art. 2262bis B.W.) en dat in die periode zowel het dossier nog kan betwist worden als eventuele aansprakelijkheden, wordt in een maximale bewaartermijn van 10 jaar na aanzuivering of einde mandaat voorzien.

De betrokkenen hebben, rekening houdend met de hierboven vermelde paragraaf, het recht op gegevenswissing indien het bewaren van de gegevens niet meer noodzakelijk is gelet op het doel van de verwerking, onrechtmatig is of indien dit dient te gebeuren op grond van een wettelijke plicht.

Die gearchiveerde gegevens zijn gedurende die laatstgenoemde bewaarperiode slechts beperkt toegankelijk.

WEBSITES

Onze website kan bezocht worden zonder persoonsgegevens mee te delen.

12. CONTROLE EN WIJZIGINGEN

De persoonsgegevens die we via deze diverse kanalen verzamelen (bvb. via schriftelijke of telefonische reacties van betrokkene, via huisbezoek conform art. 7 wet minnelijke invordering, naar aanleiding van adresgegevens medegedeeld via de gemeente conform art. 45 § 1 B.W.) worden opgenomen in onze bestanden.

V&B kan deze gedragscode aanpassen. Betrokkenen kunnen steeds de laatste versie ervan opvragen of consulteren op de websites van V&B.

Onze laatste gedragscode heeft, in geval van tegenstrijdigheid, voorrang op oudere