De verwerking bij GCF is rechtmatig als, de cliënt:
De overeenkomst waarin onder meer de privacy bepaling is opgenomen, is opgesteld in een transparante, begrijpelijke, gemakkelijke en toegankelijke vorm.
Inkomende aanvragen voor het verwerken van persoons- en biometrische gegevens zullen binnen de maand na het binnenkomen van de aanvraag een gevolg krijgen.
Indien de verwerkingsverantwoordelijke beslist om geen gevolg te geven aan het verwerken van persoons-en biometrische gegevens zal deze dat aan de betrokkenen binnen de maand melden.
Indien er in het kader van de wetgevingen, die betrekking hebben op betalingsinstellingen, nieuwe of bijkomende persoons- of biometrische gegevens moeten verwerkt worden dan is en kan de cliënt hiertoe verplicht worden deze aan te leveren alvorens de samenwerking kan verdergezet worden.
Voorwaarden toestemming van de cliënt
- de pseudonimisering en versleuteling van persoonsgegevens.
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking
De toegangscontrole tot de persoonsgegevens binnen de GCF systemen, data en programma’s worden op verschillende niveaus beheerd:
- Netwerk niveau:
Toegang tot het GCF systeem is ENKEL mogelijk wanneer er een verbinding wordt gemaakt via het interne LAN netwerk van de hoofdzetel of cash center van GCF.
Toegang buiten deze LAN omgeving is strikt beperkt tot de zaakvoerders van GCF en is enkel mogelijk via een beveiligde SSL VPN verbinding. Deze geëncrypteerde VPN verbinding is uniek per gebruiker.
- Toegang tot de GCF bestanden:
Via de Windows active directory en group policies is een duidelijke toegangscontrole ingesteld per GCF gebruiker, waarbij een strikte scheiding is tussen:
o Boekhouding
o Administratie
o Cash Center
o Management
Er worden GEEN data opgeslagen op de lokale werkstations van de GCF medewerkers. Alle data wordt centraal opgeslagen in een beveiligde datacenter gebruikt door GCF.
- Toegang tot de GCF backoffice applicatie voor de opvolging van de klanten, aanmaken van de facturen (aankoop/verkoop) en opvolgen van de orders gebeurd via een beveiligde login/wachtwoord. Deze login en wachtwoord is uniek per GCF medewerker. Iedere gebruiker heeft enkel toegang tot het deel van het programma die voor hem/haar van toepassing is. Het GCF backoffice programma houdt ook per gebruiker bij wie welke gegevens heeft aangemaakt en wie deze laatste ook heeft gewijzigd. Dit gebeurd voornamelijk voor de modules klantenbeheer en facturatie aankoop/verkoop.
- Betalingsopdrachten:
worden hoofdzakelijk verwerkt en opgevolgd via het online Isabel6 platform en aanverwante online bank toepassing. De online toegang alsook de uitvoering van de betalingsopdrachten via het online Isabel6 platform wordt gecontroleerd door een unieke Isabel6 betalingskaart die op basis van beveiligde certificaten, een kaartlezer en toegangscode de nodige toegang/rechten verleent aan de bevoegde verwerkingspersonen binnen GCF.
- Beveiligingsmaatregelen:
Alle toegang tot de GCF data en programma’s gebeurd via een geëncrypteerde verbinding en unieke certificaten. Op een maandelijkse basis worden alle Microsoft security OS updates toegepast op de GCF server omgeving. De veiligheid van de antivirus toepassing wordt regelmatig getest.
Personen met toegang tot gevoelige gegevens:
Aangestelde medewerkers van GCF zijn de verwerkers van persoonsgegevens. Niet alle persoonsgegevens zijn toegankelijk voor alle ontvangers. Toegankelijkheid wordt bepaald door de beroepsfunctie van de ontvangers. De ontvangers zijn in het bezit van unieke codes , binnen de beveiligde “Cloud”. Zij zullen hun codes niet misbruiken noch doorgeven aan derden. Hieronder omschreven kan men de gegevens terugvinden die waar de ontvanger, afhankelijk van zijn beroepsfunctie, recht op heeft:
Klanten
Bij cliëntacceptatie worden gegevens ingevoerd onder het veld info. Alle onvermelde, schuin gedrukte woorden kunnen gebruikt worden als filter voor een zoekopdracht en kunnen dus gegevens persoonsgegevens bevatten. Het aantal van de overeenkomstige zoekopdracht wordt weergegeven. De weergave kan als formulier, lijst of tabel worden ingesteld.
Klanten:
Particulieren: Iedere cliënt krijgt een uniek klantnummer toegewezen waaraan een benaming wordt gekoppeld. In geval van het type particulieren, zal dit naam en voornaam zijn. De benaming wordt vermeld op de facturatie alsook straatnaam, nummer, postcode, gemeente, land. Bijkomend wordt onder adres ook telefoonnummer en het emailadres genoteerd. Via deze weg kan me op een snelle en efficiënte manier de cliënt contacteren. Particulieren die titularis zijn van een rekening bij GCF hebben niet enkel adresverplichting maar dienen zich kenbaar te maken aan de hand van een identiteitskaart of paspoort. Gegevens als ID-nummer, geboortedatum, vervaldatum van de ID, geboorteplaats worden hieronder bijgehouden. Wanneer de identiteitskaart of paspoort vervallen is, wordt dit digitaal weergegeven. Alle verplichte en vereiste gegevens worden onder het veld bestanden geregistreerd. Overeenkomst, ID/paspoort, adresbewijs, KYC, World check documenten vallen onder het luik bijlage. Onder het luik compliance worden maand-, trimestriële-, A-typische verslagen, Worldcheck documenten geregistreerd. GCF kent zijn cliënt een 916- rekeningnummer toe. Onder het veld rekening vinden we de rekeningen terug die gelinkt zijn aan zijn benaming.
Entiteiten: Iedere cliënt krijgt een uniek klantnummer toegewezen waaraan een benaming wordt gekoppeld. In geval van het type financiële instelling, overheid of andere onderneming , zal dit de ondernemingsnaam zijn. De registratiedatum wordt ook vermeld. Belangrijke bijkomende gegevens, als rechtsvorm, locatie UBO, oprichtingsdatum, locatie van de maatschappelijk zetel, ondernemingsnummer, link naar KBO, activiteit, link naar staatsblad vallen onder het luik organisatie. De benaming wordt vermeld op de facturatie alsook straatnaam, nummer, postcode, gemeente, land. Bijkomend onder adres wordt ook telefoonnummer en het emailadres genoteerd. Via deze weg kan me op een snelle en efficiënte manier de entiteit contacteren. Aandeelhouders die meer dan 25% van de aandelen bezitten van de entiteit, afgevaardigde bestuurders, gevolmachtigde personen van de entiteit van een rekening bij GCF hebben niet enkel adresverplichting maar dienen zich kenbaar te maken aan de hand van een identiteitskaart of paspoort. Gegevens als ID-nummer, geboortedatum, vervaldatum van de ID, geboorteplaats worden hieronder bijgehouden. Wanneer de identiteitskaart of paspoort vervallen is, wordt dit digitaal weergegeven. Alle verplichte en vereiste gegevens worden onder het veld bestanden geregistreerd. Overeenkomst, ID/paspoort, adresbewijzen, risicobepaling, organisatiestructuur, jaarrekeningen, statuten, KBO, volmacht, World check documenten vallen onder het luik bijlage. Onder het luik compliance worden maand-, trimestriële-, A-typische verslagen, World-check documenten en printscreens geregistreerd. GCF kent zijn cliënt een 916- rekeningnummer toe. Onder het veld rekening vinden we de rekeningen terug die gelinkt zijn aan zijn benaming. Eén rekeningnummer kan gelinkt zijn aan verschillende entiteiten maar die behoren tot één klantengroep.
Producten:
Alle producten waarvoor particulieren en entiteiten zich kunnen richten tot Gold Commodities Forex kan je hier terugvinden. Alle onvermelde, schuin gedrukte woorden kunnen gebruikt worden als filter voor een zoekopdracht. Het aantal van de overeenkomstige zoekopdracht wordt weergegeven. De weergave kan als formulier, lijst of tabel worden ingesteld. Aan ieder product is een unieke ID-Code toegekend waaronder de productomschrijving staat, alsook de iso-code en tot welke categorie het behoord. Er bestaan 4 verschillende categorieën namelijk deviezen, rekening, zilver en goud. Een overzicht van aankoopvolume, verkoopvolume en de tegenwaarde in euro wordt weergegeven, alsook een referentiekoers die altijd de laatste werkende dag van de maand wordt ingegeven. Daarnaast is een lijst zichtbaar van aankopen en verkopen voor het betreffende product met een link naar het desbetreffende factuur.
Facturatie:
Commerciële medewerkers verwerken hierin orders van cliënten. Alle producten waarvoor particulieren en entiteiten zich kunnen richten tot Gold Commodities Forex kan je hier terugvinden. Alle onvermelde, schuin gedrukte woorden kunnen gebruikt worden als filter voor een zoekopdracht. Het aantal van de overeenkomstige zoekopdracht wordt weergegeven. De weergave kan als formulier, lijst of tabel worden ingesteld. Facturen omvatten een unieke factuurnummer die afhankelijk is van het type( aankoop of verkoop),munteenheid en categorie(deviezen, rekening, goud, zilver). Op de facturen staat de naam, straatnaam, nummer, postcode, gemeenten, land en voor de entiteiten het btw-nummer vermeld. Anderzijds is er een uitgebreide productomschrijving van de ID- en ISO-code, de hoeveelheid, het detail van de coupures, de koers en de eurowaarde. Onderaan wordt het totaalfactuur in Euro weergegeven. Logistieke medewerkers valideren facturen onder orderprint. Op deze manier is er ten allen tijd overzicht over aankoop-of verkoopfacturen die nog geleverd moeten worden.
Rapporten:
Deze velden zijn essentieel voor het rapporteren van de bevoegde instantie. Alle onvermelde, schuin gedrukte woorden kunnen gebruikt worden als filter voor een zoekopdracht. De gevraagde gegevens van de overeenkomstige zoekopdracht worden hier weergegeven. De weergave kan als formulier, lijst of tabel worden ingesteld. De rapporten geven een cijferoverzicht van het zakencijfer binnen een specifieke periode omtrent omzet, volume, winst, verlies, categorie, dag-basis, klantentype, producttype.
Overheidsinstellingen hebben altijd het recht tot toegang van de persoonsgegevens.
De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om nakoming van de in deze overeenkomst neergelegde verplichtingen aan te tonen en audits – waaronder inspecties – door de verwerkingsverantwoordelijke of een daartoe gemachtigde controleur mogelijk maakt en eraan bijdraagt.
Daar de verplichting van de Nationale bank van België en diens wetten hieromtrent, is het onmogelijk om persoon- en biometrische gegevens te wissen. Het verzamelen en verwerken van persoonsgegevens is een wettelijke verplichting van de Nationale Bank. GCF heeft bewaarverplichting van de Nationale Bank België. Gegevens kunnen wel gerectificeerd worden, in de lijn dat dit dan ook reglementair blijft aan de Belgische en Europese wetgevingen.
Het wissen, staken van gegevens is onmogelijk daar GCF onder de bewaarverplichting van de Nationale Bank vallen.
De verwerker waarborgt dat de tot verwerking gemachtigde personen zich ertoe hebben verbonden de vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
De informatie die vertrouwelijk dient te worden gehouden is alle informatie, mondeling of geschreven, in om het even welke vorm, die door de verwerkingsverantwoordelijke wordt meegedeeld/ overgemaakt/ter kennis gesteld aan de verwerker, waarbij inbegrepen, doch niet beperkt tot teksten, codes, cijfers, structuren, visies, gegevens, software, prototypes en interne documentatie. Ook indien de verwerkingsverantwoordelijke de gegevens niet als vertrouwelijk aanmerkt, geldt deze vertrouwelijkheidsverplichting.
De persoonsgegevens mogen in geen geval vrijgegeven worden aan een derde partij (inclusief onderaannemers) tenzij de verwerkingsverantwoordelijke hiervoor zijn schriftelijke toestemming verleent. In dat laatste geval dient een overeenkomst opgesteld te worden met deze derde partij, waarin dezelfde verplichtingen vastgelegd worden als in onderhavige overeenkomst en waarin gestipuleerd wordt dat de toegang tot en het gebruik van de persoonsgegevens door deze derde partij automatisch eindigen wanneer onderhavige overeenkomst een einde neemt.
De vertrouwelijkheidsverplichting van de verwerker zal niet geschonden zijn wanneer de informatie publiek bekend wordt zonder enige fout van de verwerker, wanneer de informatie publiekelijk wordt gemaakt door een schriftelijke handeling van de verwerkingsverantwoordelijke of wanneer derde partijen de informatie op een wettige wijze hebben bekomen. Wanneer de openbaarmaking van de informatie door de verwerker verplicht is door de wet, een andere regelgeving of een gerechtelijk bevel waaraan gevolg dient te worden gegeven, is de verwerker hiervoor niet aansprakelijk.
De gegevens waarover in dit artikel sprake, blijven daarnaast ook steeds eigendom van de verwerkingsverantwoordelijke.
De verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet nakomen van deze overeenkomst, dan wel handelen in strijd met wet- en regelgeving op het gebied van bescherming van persoonsgegevens.
Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker t.a.v. de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
De verwerker zal de verwerkingsverantwoordelijke vrijwaren van alle claims en aansprakelijkheid in verband met verliezen, kosten en uitgaven (inclusief redelijke gerechtskosten) die de verwerkingsverantwoordelijke oploopt door een inbreuk op onderhavige overeenkomst en/of elke handeling of nalatigheid. De verwerker verleent de verwerkingsverantwoordelijke bijstand bij enige burgerlijke, administratieve of strafrechtelijke procedures tegen de verwerkingsverantwoordelijke.
De verwerker zal de persoonsgegevens in geen geval doorzenden naar een derde land, dat niet gebonden is door de Verordening. In geval van doorgifte naar een land van de Europese Unie, zal de verwerker eerst de schriftelijke toestemming van de verwerkingsverantwoordelijke dienen te verkrijgen.
De verwerking vangt aan bij ondertekening van deze overeenkomst en is van onbepaalde duur daar dit een lidstaatrechtelijke verplichting is.
Na afloop van de verwerkingsactiviteiten mag de verwerker in geen geval persoonsgegevens wissen omdat de opslag van de gegevens Unierechtelijk of lidstaatrechtelijk verplicht is. Het wissen van de gegevens gebeurt op een vertrouwelijke en veilige wijze.
De partijen komen overeen dat wanneer er zich veranderingen voordoen in het wetgevende kader omtrent bescherming van persoonsgegevens, waardoor deze overeenkomst aangepast dient te worden, deze aanpassingen onderling te goeder trouw besproken zullen worden.