Privacy verklaring

Deze “data protection policy” geeft aan op welke manier de onderneming omgaat met de verwerking
van persoonsgegevens: welke persoonsgegevens worden verwerkt, met welk doel, aan wie worden
ze  doorgegeven,  rechten  van  de  betrokkenen,…  Het  geeft  het  beleid  weer  van  de  onderneming
inzake gegevensbescherming. 

Data Protection Policy 

1. Inleiding 

Bij  de  uitoefening  van  de  activiteiten  van  LAG  Trailers  N.V.  verwerkt  zij  verschillende  gegevens,  zowel 
commerciële gegevens als persoonsgegevens. Dit beleid betreft de verwerking van persoonsgegevens door 
LAG Trailers N.V. De persoonsgegevens van verschillende categorieën van identificeerbare personen worden 
verwerkt, zoals werknemers, klanten en leveranciers, gebruikers van de website en andere stakeholders. 
LAG Trailers N.V. begrijpt het belang van de bescherming van persoonsgegevens en de bezorgheden van haar 
werknemers, (contactpersonen van) klanten, (contactpersonen van) leveranciers en andere personen waar zij 
contact  mee  heeft  wat  betreft  de  verwerking  van  hun  persoonsgegevens.  LAG  Trailers  N.V.  neemt  het 
beschermen van persoonsgegevens steeds zorgvuldig in overweging bij de verschillende verwerkingen van 
persoonsgegevens. 
Verschillende personen binnen de organisatie kunnen toegang hebben tot de persoonsgegevens van haar 
werknemers (onder de term werknemers wordt onder andere begrepen: managers en elkeen die werkt voor 
LAG Trailers N.V., daarbij inbegrepen zelfstandige dienstverleners en consultants, tijdelijke werkkrachten zoals 
interims,  stagiairs,  jobstudenten,  vrijwilligers,  ex-werknemers)  en  van  andere  individuen  (klanten  en 
leveranciers)  tijdens  de  uitoefening  van  hun  functie.  Elk  van  deze  personen  binnen  LAG  Trailers  N.V.  is 
gebonden door dit beleid betreffende de bescherming van persoonsgegevens. 
De toepasselijke gegevensbeschermingsregelgeving legt verplichtingen op aan LAG Trailers N.V. betreffende 
de  wijze  waarop  zij  gegevens  dient  te  verwerken.  Bovendien  voorziet  de  regelgeving  in  rechten  voor  de 
personen  van  wie  hun  gegevens  worden  verwerkt  zodat  zij  meer  controle  hebben  over  hun  eigen 
persoonsgegevens. 
Dit beleid geeft een overzicht van de algemene verplichtingen onder de gegevensbeschermingsregelgeving 
die  de  onderneming  en  haar  werknemers  moet  naleven.  De  naleving  van  dit  beleid  is  belangrijk  voor  de 
volgende redenen :  
o  De  naleving  van  de  gegevensbeschermingsregelgeving  is  een  wettelijke  verplichting  en  het  niet 
respecteren van deze plichten kan leiden tot aansprakelijkheid, sancties en boetes; 
o  De naleving van de gegevensbeschermingsregelgeving leidt tot een meer behoorlijke en efficiëntere 
verwerking van persoonsgegevens; 
o  De naleving van de gegevensbeschermingsregelgeving is de basis voor een vertrouwensrelatie tussen 
LAG Trailers N.V. en haar zakenrelaties, haar stakeholders en haar werknemers. 
   

2. Toepassingsgebied 

Dit  beleid  is  toepasselijk  op  LAG  Trailers  N.V.  dat  persoonsgegevens  verwerkt  en  omvat  de  richtsnoeren 
waaraan iedere verwerking van persoonsgegevens moet voldoen die al dan niet via geheel of gedeeltelijk 
geautomatiseerde procedés worden uitgevoerd en die deel uitmaken van een gestructureerd bestand of die 
deel zullen uitmaken van een gestructureerd bestand. 
Dit  beleid  is  zo  opgesteld  dat  het  een  uniforme  minimumstandaard  voor  de  bescherming  van 
persoonsgegevens betreft die toepasselijk is op de gehele groep van ondernemingen van LAG Trailers N.V.. Dit 
beleid  zal  worden  toegepast  binnen  de  ondernemingengroep  behoudens  wanneer  andere  dwingende 
gegevensbeschermingswetgeving toepasselijk is die strengere verplichtingen en voorwaarden inhoudt. 

3.  Contactpunt voor de bescherming van persoonsgegevens

De onderneming heeft een verantwoordelijke aangesteld, bijgestaan door een team, om de implementatie en
de naleving van de gegevensbeschermingswetgeving en dit beleid te verzekeren.  

De verantwoordelijke voor de gegevensbescherming is bereikbaar per e-mail gdpr@lag.be Voor de uitoefening 
van uw rechten, kan u terecht in artikel 8 van dit beleid. 

 4.  Definities  

De toepasselijke gegevensbeschermingswetgeving heeft een eigen taalgebruik en het betreft een abstracte 
materie. Hieronder zijn enkele definities opgenomen om u toe te laten om de terminologie en, bij uitbreiding, 
dit beleid beter te begrijpen. 

a.  Gegevensbeschermingswetgeving

Verschillende wetgevingen kunnen van toepassing zijn afhankelijk van het concrete toepassingsgeval waarbij
persoonsgegevens worden verwerkt. 

 De basisprincipes en verplichtingen zijn opgenomen in Verordening 2016/679 van het Europees Parlement en 
de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking 
van  persoonsgegevens  en  betreffende  het  vrije  verkeer  van  die  gegevens  en  tot  intrekking  van  Richtlijn 
95/46/EG. Deze regelgeving wordt ook de Algemene Verordening Gegevensbescherming (AVG) of General 
Data Protection Regulation (GDPR) genoemd. De Richtlijn 2002/58/EG van het Europees Parlement en de Raad 
van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke 
levenssfeer in de sector elektronische communicatie is in bijzondere gevallen van toepassing  (vb. verwerken 
van locatiegegevens; gebruik van cookies). 
 
Naast  de  Europese  regelgeving,  is  ook  de  specifieke  nationale  gegevensbeschermingswetgeving  van 
toepassing zoals de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte 
van  de  verwerking  van  persoonsgegevens  en  de  Wet  van  13  juni  2005  betreffende  de  elektronische 
communicatie. 

b.  Persoonsgegevens 

Persoonsgegevens betreffen alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, 
ook de betrokkene genoemd. Een persoon wordt als identificeerbaar beschouwd wanneer een natuurlijke 
persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een 
naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die 
kenmerkend  zijn  voor  de  fysieke,  fysiologische,  genetische,  psychische,  economische,  culturele  of  sociale 
identiteit van die natuurlijke persoon. 

c.  Verwerkingsverantwoordelijke  

De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon (bijvoorbeeld een bedrijf), een 
overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de 
middelen voor de verwerking van persoonsgegevens vaststelt.  
Bijvoorbeeld,  LAG  Trailers  N.V.  is  een  rechtspersoon  die  de  verwerkingsverantwoordelijke  is  voor  het 
verwerken van persoonsgegevens van haar werknemers in het kader van haar personeelsbeheer. 

d.  Verwerker 

De verwerker is een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan 
die/dat  ten  behoeve  van  en  louter  in  opdracht  van  de  verwerkingsverantwoordelijke  persoonsgegevens 
verwerkt. 

e.  Verwerken van persoonsgegevens 

Een verwerking van persoonsgegevens is een bewerking of een geheel van bewerkingen met betrekking tot 
persoonsgegevens  of  een  geheel  van  persoonsgegevens,  al  dan  niet  uitgevoerd  via  geautomatiseerde 
procedés  (vb.  software),  zoals  het  verzamelen,  vastleggen,  ordenen,  structureren,  opslaan,  bijwerken  of 
wijzigen,  opvragen,  raadplegen,  gebruiken,  verstrekken  door  middel  van  doorzending,  verspreiden  of  op 
andere  wijze  ter  beschikking  stellen,  aligneren  of  combineren,  afschermen,  wissen  of  vernietigen  van 
gegevens.  
Een voorbeeld van het verwerken van persoonsgegevens is wanneer de organisatie de contactgegevens van 
de  contactpersonen  bij  haar  klanten  verzamelt  en  opslaat  in  het  Client  Relationship  Management 
softwaresysteem van de organisatie of in een papieren klantenbestand. 

f.  Bestand

Een bestand is elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn,
ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden
is verspreid. 

Dit impliceert dus zowel elektronische gestructureerde bestanden door middel van het gebruik van software 
of Cloud toepassingen, als papieren dossiers en bestanden voor zover deze bestanden op een logische wijze 
zijn georganiseerd en gestructureerd door deze te koppelen aan individuen of die op basis van criteria zijn 
gekoppeld aan individuen. 

5.  Toepasselijke principes bij het verzamelen en verwerken van persoonsgegevens 

Naast  een  eigen  taalgebruik,  beschikt  de  gegevensbeschermingswetgeving  over  enkele  basisprincipes  die 
iedere verwerkingsverantwoordelijke moet naleven om in overeenstemming te zijn met deze regelgeving. In 
geval van twijfel over de toepassing van deze principes in een concreet geval, kan u steeds contact opnemen 
met de contactpersoon voor bescherming van persoonsgegevens (zie punt 3)  voor verdere toelichting en 
volgens de procedure omschreven in Artikel 8. 
De  gegevensbeschermingswetgeving  schrijft  voor  dat  persoonsgegevens  moeten  worden  verwerkt  in 
overeenstemming met de verschillende basisprincipes en de daaruit voortvloeiende voorwaarden. 

a.  Rechtmatigheid 

De gegevensbeschermingswetgeving schrijft voor dat persoonsgegevens moeten worden verwerkt op een 
wijze die ten aanzien van de betrokkene rechtmatig en behoorlijk is.  
Om  persoonsgegevens  rechtmatig  te  verwerken  zal  er  steeds  een  juridische  grondslag  moeten  bestaan. 
Persoonsgegevens kunnen in principe pas worden verwerkt wanneer : 
 

  • De  betrokkene  zijn  toestemming  heeft  gegeven.  De  organisatie  zal  de  betrokkene  minstens 
    voorafgaandelijk informeren over het doeleinde waarvoor de toestemming wordt gevraagd, welke 
    persoonsgegevens zullen worden verzameld voor de verwerking, het recht om de toestemming in te 
    trekken, de mogelijke gevolgen voor de betrokkene in het kader van geautomatiseerde individuele 
    besluitvorming en profiling, en de doorgifte naar derde landen,  
  • De verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij 
    is of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; 
  •  De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die is opgelegd aan de 
    organisatie; 
  •  De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke 
    persoon te beschermen; 
  • De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in 
    het  kader  van  de  uitoefening  van  het  openbaar  gezag  dat  aan  de  organisatie  die  als 
    verwerkingsverantwoordelijke optreedt, is opgedragen 
  • De  verwerking  is  noodzakelijk  voor  de  behartiging  van  de  gerechtvaardigde  belangen  van  de 
    organisatie als verwerkingsverantwoordelijke of van een derde, behalve wanneer de fundamentele 
    rechten  en  vrijheden  van  de  betrokkene  betreffende  de  bescherming  van  zijn  persoonsgegevens 
    zwaarder wegen dan die belangen.  

Indien u voor een bepaald verwerkingsdoeleinde uw toestemming hebt gegeven aan de organisatie om uw 
gegevens voor dat doeleinde te verwerken, kan u deze toestemming ten allen tijde intrekken. De organisatie 
zal dan stoppen om uw gegevens, waarvoor u uw toestemming hebt gegeven, nog te verwerken en zal zij u 
informeren over de mogelijke gevolgen van de intrekking van uw toestemming. Indien de organisatie uw 
persoonsgegevens  verwerkt  voor  andere  doeleinden  en  zich  daarvoor  op  andere  juridische  grondslagen 
beroept, zal zij uw persoonsgegevens nog steeds kunnen verwerken. 
De  organisatie  verzekert  dat  zij  zich  steeds  beroept  op  minstens  één  van  de  bovenvermelde  juridische 
grondslagen wanneer zij persoonsgegevens verwerkt. Indien u vragen hebt over de toepasselijke juridische 
grondslag waarop de organisatie zich beroept, kan u steeds contact opnemen in overeenstemming met de 
procedure zoals voorgeschreven in Artikel 8. 
 
Sommige categorieën van persoonsgegevens zijn van gevoelige aard en de gegevensbeschermingswetgeving 
heeft  dat  ook  een  strenger  regime  voor  deze  bijzondere  categorieën  van  persoonsgegevens  (ook  wel 
‘gevoelige persoonsgegevens’ genoemd). Het gaat om gegevens betreffende ras of etnische afkomst, politieke 
opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, 
en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van 
een  persoon,  of  gegevens  over  gezondheid,  of  gegevens  met  betrekking  tot  iemands  seksueel  gedrag  of 
seksuele gerichtheid. Ook gegevens met betrekking tot strafrechtelijke inbreuken of veroordelingen vormen 
een bijzondere categorie. 
 
Het is in principe verboden om deze gevoelige persoonsgegevens te verwerken, tenzij de organisatie zich op 
één van de uitzonderingen kan beroepen. In bepaalde beperkt aantal gevallen, dient de organisatie gevoelige 
persoonsgegevens te verwerken.  In deze gevallen zal de betrokkene voorafgaandelijk worden geïnformeerd. 
Voor  deze  specifieke  doeleinden  zal  de  organisatie  de  betrokkene  vooraf  uitgebreid  informeren  over  de 
specifieke  doeleinden  en de  grondslag  van  de  verwerking. Voor meer  informatie  over  de  verwerking  van 
gevoelige persoonsgegevens door de organisatie, kan u steeds contact op nemen volgens de procedure zoals 
omschreven in artikel 8 van dit beleid. 

b.  Behoorlijkheid 

De organisatie verzekert dat persoonsgegevens zullen worden verwerkt: 

  • Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en zullen niet verder 
    worden verwerkt voor doeleinden die niet verenigbaar zijn met het initiële doeleinde waarvoor de 
    gegevens  werden  verzameld.  De  organisatie  zal  de  doeleinden  steeds  duidelijk  communiceren 
    vooraleer de verwerking te starten. 
  • Op  beperkte  wijze  tot  wat  noodzakelijk  is  voor  de  doeleinden  waarvoor  de  gegevens  werden 
    verzameld. Indien mogelijk, zal de organisatie de gegevens anonimiseren of pseudonimiseren om de 
    impact voor de betrokkene zoveel als mogelijk te beperken. Dit betekent dat de naam of identificator 
    zal worden vervangen zodat het moeilijk of zelfs onmogelijk wordt om een individu te identificeren. 
  • Beperkt in de tijd en voor zover nodig voor het bepaalde doeleinde.  
  • Op accurate wijze en de gegevens zullen zo nodig ge-updatet worden. De organisatie zal alle redelijke 
    maatregelen nemen om de persoonsgegevens, rekening houdende met de doeleinden waarvoor zij 
    worden verwerkt, te wissen of te verbeteren.  

c.  Transparantie

De organisatie verwerkt persoonsgegevens die zij in principe rechtstreeks van de betrokkene heeft ontvangen. 

De organisatie die de persoonsgegevens van de betrokkene verwerkt, zal de betrokkenen steeds informeren 
over de volgende zaken: 

  • identiteit verwerkingsverantwoordelijke en contactgegevens  
  • indien er een data protection officer werd aangesteld, zijn contactgegevens 
  • verwerkingsdoeleinden en wettelijke grondslag  
  • indien  er  gesteund  wordt  op  een  gerechtvaardigd  belang  voor  het  verwerken  van
    persoonsgegevens, een toelichting van dit belang 
  • (categorieën van) ontvangers van de persoonsgegevens 
  • Doorgifte van de persoonsgegevens aan derde landen (buiten de EU) of internationale organisaties 
    (+ op welke basis) 
  • Bewaartermijn van de persoonsgegevens of de criteria op basis van dewelke de bewaartermijn wordt bepaald 
  • Rchten van de betrokkene (incl. het recht om toestemming in te trekken) 
  • Recht om klacht in te dienen bij de toezichthoudende autoriteit 
  • Toelichting  wanneer  de  verstrekking  van  persoonsgegevens  een  contractuele  of  wettelijke 
    verplichting is 
  • De logica achter geautomatiseerde besluitvormingsprocedés en de mogelijke rechtsgevolgen voor 
    de betrokkene 
  • Indien  de  organisatie  persoonsgegevens  ontvangt  van  een  derde  partij,  zal  zij  de  betrokkenen 
    duidelijk informeren over de categorieën persoonsgegevens die zij van deze derde partij heeft 
    ontvangen en zal zij deze derde partij ook kenbaar maken aan de betrokkene. 

 
Wanneer de betrokkene reeds over alle informatie beschikt, zal de organisatie de betrokkene niet nodeloos 
informeren over de verwerking van zijn persoonsgegevens.  
Indien de organisatie persoonsgegevens verwerkt voor andere doeleinden die niet verenigbaar zijn met de 
doeleinden  waarvoor  de  persoonsgegevens  initieel  werden  verzameld  (het  nieuwe  doeleinde  blijkt  niet 
omschreven  te  zijn  in  de  initiële  informatienota  en  de  betrokkene  kan  er  niet  van  uitgaan  dat  zijn 
persoonsgegevens  ook  voor  dit  nieuwe doeleinde  zullen  worden  verwerkt),  zal de  organisatie  alle  nodige 
maatregelen nemen om deze persoonsgegevens rechtmatig te verwerken en zal zij de betrokkenen hierover 
informeren. 
De organisatie kan de informatie zowel op collectieve als op individuele basis verstrekken en zal er steeds op 
toezien dat deze in een begrijpelijke en eenvoudige taal is opgesteld. 
Bijzondere  wetgeving  kan  uitzonderingen  bevatten  of  bijkomende  eisen  stellen  met  betrekking  tot  de 
informatieverstrekking aan betrokkenen waar de organisatie aan dient te voldoen. Deze dwingende wettelijke 
bepalingen hebben voorrang op dit beleid.  

d.  Vertrouwelijkheid en integriteit 

De onderneming neemt de vereiste technische en organisatorische maatregelen  om te verzekeren dat de 
verwerking van persoonsgegevens steeds met de gepaste waarborgen gebeurt zodat de gegevens beschermd 
zijn tegen ongeoorloofde toegang of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of 
beschadiging. De organisatie heeft bij de keuze van de gepaste veiligheidsmaatregelen rekening gehouden 
met de aard, context, doeleinde en omvang van de verwerking, de mogelijke risico’s bij de verwerking van de 
persoonsgegevens, de uitvoeringskosten van de maatregelen en de stand van de techniek. 
 
Deze  maatregelen  zijn  van  toepassing  op  de  fysieke  toegang  tot  persoonsgegevens,  de  toegang  tot  de 
persoonsgegevens via computers, servers, netwerken of andere IT-hardware en software toepassingen en 
databases. Naast de technische en organisatorische maatregelen, zijn de werknemers van de onderneming, 
die bij de uitoefening van hun functie toegang hebben tot persoonsgegevens, gehouden aan verschillende 
verplichtingen  om  de  vertrouwelijkheid  en  integriteit  van  persoonsgegevens  te  waarborgen  en  zoals 
opgesomd in artikel 9 van dit beleid. 
 
De  organisatie  zal  opleidingen  organiseren  voor  de  werknemers  die  bij  de  uitoefening  van  hun  functie 
persoonsgegevens  zullen  verwerken  in  opdracht  van  de  organisatie.  De  werknemers  mogen  de 
persoonsgegevens enkel verwerken op instructie van de organisatie of indien de wet hen oplegt om dit te 
doen. De organisatie zal tevens toegangsrechten implementeren zodat de werknemers enkel toegang hebben 
tot die gegevens die zij nodig hebben bij de uitoefening van hun functie. De werknemers die toegang hebben 
tot persoonsgegevens zullen een vertrouwelijkheidsovereenkomst ondertekenen. 
 
De organisatie zal er op toezien dat derde partijen die persoonsgegevens ontvangen van de organisatie de 
toepasselijke gegevensbeschermingswetgeving en dit beleid zullen naleven.  

6.  Doorgifte van persoonsgegevens 

De organisatie kan in sommige gevallen genoodzaakt zijn om uw persoonsgegevens door te geven aan derde 
ontvangers, zowel binnen de ondernemingengroep van de organisatie als daarbuiten. De persoonsgegevens 
worden in ieder geval enkel op een need-to-know basis overgemaakt aan deze ontvangers die de verwerkingen 
doorvoeren  voor  welbepaalde  doeleinden.  De  organisatie  neemt  steeds  de  noodzakelijke 
veiligheidsmaatregelen in acht bij de doorgifte en ten aanzien van de ontvangers om de vertrouwelijkheid en 
integriteit van de persoonsgegevens te waarborgen. 
De doorgifte naar derde partijen kan diverse vormen aannemen zoals hieronder nader omschreven. 
a.  Doorgifte binnen de ondernemingengroep van de organisatie 
Het doorgeven van persoonsgegevens binnen de ondernemingengroep van de organisatie wordt beschouwd 
als een doorgifte aan een derde partij. Bijgevolg kan deze doorgifte enkel gebeuren wanneer de organisatie 
de  verschillende  principes en  verplichtingen  van de  gegevensbeschermingswetgeving  heeft  nageleefd.  Dit 
betekent onder andere dat de betrokkene geïnformeerd moet zijn over de doorgifte en de reden van deze 
doorgifte en dat de doorgevende organisatie zich kan baseren op een juridische grondslag (toestemming van 
de  betrokkene,  uitvoering  van  een  overeenkomst,  gerechtvaardigd  belang,  …)  voor  deze  doorgifte.  De 
organisatie dient ook de overige principes zoals opgesomd in artikel 5 van dit beleid na te leven bij deze 
verdere verwerking. 
Wanneer uw persoonsgegevens worden doorgegeven aan ondernemingen binnen de groep, maar die zich 
buiten  de  Europese  Economische  Ruimte  bevinden  (d.i.  de  Europese  Unie,  Noorwegen,  IJsland  en 
Liechtenstein) voorziet de ondernemingengroep in bindende bedrijfsvoorschriften die werden goedgekeurd 
door de bevoegde toezichthoudende autoriteiten (art. 47 AVG) OF de passende waarborgen zoals omschreven 
onder punt c.  

b.  Doorgifte aan verwerkers 

De organisatie kan een derde partij, een verwerker, verzoeken om enkel ten behoeve van en enkel in opdracht 
van  de  organisatie  persoonsgegevens  te  verwerken.  De  verwerker  mag  deze  persoonsgegevens  niet 
verwerken voor eigen doeleinden die losstaan van de doeleinden waarvoor de organisatie beroep doet op de 
verwerker. 
De organisatie kan er voor opteren om te werken met deze verwerkers, die diensten leveren op vraag van de 
organisatie,  voor  onder  andere  reisagentschappen,  verhuurdiensten,  medische  en  andere  professionele 
adviesverleners, enz. 
De  organisatie  zal  enkel  op  verwerkers  beroep  doen  en  er  persoonsgegevens  aan  verstrekken  wanneer 
verwerkersovereenkomsten met de verwerkers zijn afgesloten die aan de wettelijke vereisten voldoen. De 
AVG schrijft onder andere voor dat de overeenkomst een clausule dient te bevatten die aangeeft dat de 
verwerker  de  persoonsgegevens  enkel  kan  verwerken  op  instructie  van  de  organisatie;  dat  de  verwerker 
bijstand moet verlenen aan de organisatie op haar verzoek; dat gegevens vertrouwelijk moeten blijven; enz. 
 
 Een  onderdeel  van  deze  verwerkersovereenkomst  betreft  eveneens  de  veiligheidsmaatregelen  die  de 
verwerker moet implementeren vooraleer de persoonsgegevens te verwerken en tijdens de gehele duur van 
de verwerking moet hebben om de vertrouwelijkheid en integriteit van de data te waarborgen.  
De organisatie zal de nodige maatregelen nemen indien zij vaststelt dat haar verwerkers de verplichtingen uit 
de overeenkomst niet naleven. 
Een standaard verwerkersovereenkomst is beschikbaar. Zie contactgegevens. 
c.  Doorgifte naar derde landen – buiten de Europese Economische ruimte 
Het is ook mogelijk dat de organisatie uw persoonsgegevens doorgeeft aan partijen die zijn gevestigd in derde 
landen, dit zijn landen buiten de Europese Economische Ruimte (d.i. de Europese Unie, Noorwegen, IJsland en 
Liechtenstein). 
Zo’n doorgifte is mogelijk als het land waar de ontvanger is gevestigd, voldoende wettelijke waarborgen biedt 
ter bescherming van uw persoonsgegevens en die de Europese Commissie als adequaat heeft beoordeeld. In 
de  andere  gevallen,  heeft  de  organisatie  met  de  ontvanger  een  modelcontract  gesloten  zodat  een 
gelijk(w)aardige bescherming is geboden als in Europa.  
Voor de gevallen waarin dat niet is gebeurd of niet kan, kan de  organisatie de persoonsgegevens van de 
betrokkene altijd doorgeven mits het bekomen van een toestemming van de betrokkene, binnen de grenzen 
van de relatie die de betrokkene met de organisatie heeft. Om ook in die gevallen doorgifte en dus verwerking 
mogelijk  te  maken,  zal  de  organisatie  de  betrokkene  in  voorkomend  geval  dan  ook  vragen  of  met  deze 
occasionele doorgifte naar derde landen kan worden ingestemd. 
Indien er meer informatie of een kopie is gewenst van de waarborgen bij deze internationale doorgiften van 
persoonsgegevens, kan steeds de procedure zoals omschreven onder artikel 8 worden gevolgd. 

7.  Bewaartermijn van persoonsgegevens 

De  organisatie  zal  persoonsgegevens  niet langer  bewaren  dan noodzakelijk  voor  het  specifieke  doeleinde 
waarvoor  de  gegevens  zijn  verzameld.  Na  verloop  van  de  uiterste  bewaartermijn,  zal  de  organisatie  de 
persoonsgegevens verwijderen of anonimiseren. De organisatie zal de gegevens anonimiseren wanneer zij 
deze nog wenst te gebruiken voor statistieken. De organisatie kan de persoonsgegevens wel langer bewaren 
voor haar geschillenbeheer, onderzoeken of archiveringsdoeleinden. 

8.  Rechten van de betrokken individuen 

De gegevensbeschermingswetgeving voorziet in verschillende rechten voor de betrokkenen met betrekking 
tot de verwerking van persoonsgegevens zodat de betrokkene voldoende controle kan blijven uitoefenen over 
de verwerking van hun persoonsgegevens.  
De  organisatie  probeert  via  het  huidige  beleid  reeds  zoveel  mogelijk  informatie  te  verstrekken  aan  de 
betrokkenen  om  zo  transparant  mogelijk  te  zijn  wat  betreft  de  verwerking  van  persoonsgegevens.  Dit 
algemeen  beleid  dient  wel  te  worden  samen  gelezen  met  meer  specifieke  informatienota’s  die  meer 
toelichting geven over de specifieke verwerkingsdoeleinden van de organisatie. 
De organisatie begrijpt dat de betrokkene nog vragen kan hebben of bijkomende verduidelijkingen wenst met 
betrekking tot de verwerking van zijn persoonsgegevens. De organisatie begrijpt dan ook het belang van de 
rechten  en  zal  deze  rechten  dan  ook  naleven  rekening  houdende  met  de  wettelijke  beperkingen  bij  de 
uitoefening van deze rechten. De verschillende rechten worden hieronder nader omschreven. 

a.  Recht op toegang/inzage 

De  betrokkene  heeft  het  recht  om  van  de  organisatie  de  bevestiging  te  verkrijgen  over  het  al  dan  niet 
verwerken  van  zijn  persoonsgegevens.  In  het  positieve  geval  kan  de  betrokkene  om  inzage  van  zijn 
persoonsgegevens vragen. 
De organisatie zal de betrokkene informeren over de volgende zaken: 

  • de verwerkingsdoeleinden;  
  • de betrokken categorieën van persoonsgegevens;  
  • de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn verstrekt; 
  • de doorgifte aan ontvangers in derde landen of internationale organisaties;  
  • indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden 
    opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; 
  • dat  de  betrokkene  het  recht  heeft  de  organisatie  te  verzoeken  dat  persoonsgegevens  worden 
    verbeterd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, 
    alsmede het recht tegen die verwerking bezwaar te maken;  
  • dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; 
  •  wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie 
    over de bron van die gegevens;  
  • het bestaan van geautomatiseerde besluitvorming, met inbegrip van profiling, en nuttige informatie 
    over de onderliggende logica van deze besluitvorming en het belang en de verwachte gevolgen van 
    die verwerking voor de betrokkene. 

De  organisatie  verstrekt  tevens  een  kopie  van  de  persoonsgegevens  die  worden  verwerkt.  Wanneer  de 
betrokkene bijkomende kopieën vraagt, kan de organisatie een redelijke vergoeding aanrekenen. 

b.  Recht op verbetering 

Wanneer  de  betrokkene  vaststelt  dat  de  organisatie  onjuiste  of  onvolledige  persoonsgegevens  over  hem 
beschikt, heeft de betrokkene steeds het recht om dit te melden aan de organisatie zodat het nodige kan 
worden gedaan om deze gegevens te verbeteren of aan te vullen.  Het is de verantwoordelijkheid van de 
betrokkene om correcte persoonsgegevens te verstrekken aan de organisatie. 

c.  Recht op vergetelheid 

De  betrokkene  kan  de  wissing  van  zijn  persoonsgegevens  vragen  wanneer  de  verwerking  niet  in 
overeenstemming is met de gegevensbeschermingswetgeving en binnen de perken van de wet (art. 17 AVG). 
d.  Recht op beperking van verwerking 
De betrokkene kan verzoeken om de verwerking te beperken indien  

  • de  juistheid  van  de  persoonsgegevens  in  vraag  is  gesteld  en  voor  de  periode  om  de  juistheid  te 
    controleren; 
  • de verwerking onrechtmatig is en de betrokkene wenst geen wissing van de gegevens; 
  • de  organisatie  de  gegevens  niet  meer  nodig  heeft,  maar  de  betrokkene  vraagt  om  ze  niet  te 
    verwijderen aangezien hij ze nodig heeft bij de uitoefening of onderbouwing van een rechtsvordering; 
  • bezwaar  tegen  de  verwerking  wordt  gemaakt  in  afwachting  van  de  toelichting  van  de 
    gerechtvaardigde belangen die zwaarder doorwegen dan de belangen van de betrokkene. 

 e.  Recht op overdraagbaarheid  

De  betrokkene  heeft  het  recht  om  zijn  persoonsgegevens  die  hij  aan  de  organisatie  heeft  verstrekt  te 
verkrijgen in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen. De betrokkene heeft het 
recht  om  deze  persoonsgegevens  (rechtstreeks  door  de  organisatie)  aan  een  andere 
verwerkingsverantwoordelijke over te dragen. Dit kan indien de verwerking berust op de toestemming van de 
betrokkene en op basis van een verwerking via een geautomatiseerd procedé.

f.  Recht van bezwaar 

Wanneer persoonsgegevens worden verwerkt voor direct marketing doeleinden (met inbegrip van profiling), 
kan de betrokkene steeds bezwaar maken tegen de verwerking. 
De betrokkene kan tevens bezwaar maken tegen de verwerking wegens een specifieke situatie die met de 
betrokkene  verband  houden.  De  organisatie  zal  de  verwerking  staken  tenzij  de  organisatie  dwingende 
gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder doorwegen dan de belangen van de 
betrokkene of die verband houden met de uitoefening of onderbouwing van een rechtsvordering. 

g.  Geautomatiseerde individuele besluitvorming 

De betrokkene heeft het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde 
verwerking, waaronder profiling, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat 
hem anderszins in aanmerkelijke mate treft zoals het evalueren van persoonlijke aspecten met betrekking tot 
de uitvoering van werk, betrouwbaarheid, kredietwaardigheid, enz. 
Dit  recht  om  niet  te  worden  onderworpen  aan  dergelijke  geautomatiseerde  besluitvorming  bestaat  niet 
wanneer het besluit is toegestaan door een dwingende wettelijke bepaling.  
 
 | 13
De betrokkene kan dit recht evenmin inroepen wanneer het besluit noodzakelijk is voor de totstandkoming of 
de uitvoering van de overeenkomst tussen de betrokkene en de organisatie of berust op de uitdrukkelijke 
toestemming  van  de  betrokkene.  In  deze  laatste  twee  gevallen  heeft  de  betrokkene  wel  het  recht  op 
menselijke tussenkomst van iemand van de organisatie en heeft hij het recht om zijn standpunt kenbaar te 
maken en om het geautomatiseerd besluit aan te vechten. 
h.  Recht op de intrekking van de toestemming 
Indien u voor een bepaald verwerkingsdoeleinde uw toestemming hebt gegeven aan de organisatie om uw 
gegevens te verwerken, kan u deze toestemming ten allen tijde intrekken door een e-mail te sturen. 
i.  Procedure voor de uitoefening van de rechten en overige bepalingen 
De  betrokkene  kan  zijn  rechten  uitoefenen  door  een  e-mail  te  versturen  naar  gdpr@lag.be  
De organisatie kan de betrokkene verzoeken om zich te identificeren om te verzekeren dat de uitoefening van 
de rechten effectief door de betrokkene is gevraagd. 
Indien u vragen hebt over de toepassing van de principes of de (wettelijke) verplichtingen die op de organisatie 
rusten, kan u steeds contact opnemen door een e-mail te versturen naar gdpr@lag.be  
In principe geeft de organisatie binnen de maand een gevolg aan het verzoek van de betrokkene. Zo niet, zal 
de organisatie de betrokkene informeren waarom het verzoek zonder gevolg is gebleven of niet tijdig kan 
worden opgevolgd. De organisatie doet de nodige inspanningen om de ontvangers van de persoonsgegevens 
van de betrokkene te informeren over de uitoefening van het recht van verbetering, recht op wissing of de 
beperking van verwerking door de betrokkene. 

9.  Verantwoordelijkheden van de werknemers 

De organisatie verwacht van haar werknemers dat zij dit beleid respecteren en dat zij waken dat dit beleid 
wordt nageleefd door diegenen voor wie zij verantwoordelijk zijn. 
Het is van cruciaal belang dat de werknemers de doelen van dit beleid begrijpen en er mee vertrouwd raken 
zodat zij de bepalingen vervat in dit beleid kunnen naleven. De werknemers dienen dan ook: 

  • de persoonsgegevens van collega-werknemers, klanten, etc. op regelmatige en behoorlijke wijze te 
    verwerken in overeenstemming met de toepasselijke wetgeving, de instructies van de werkgever en 
    het privacy beleid van de onderneming en waarbij persoonsgegevens op vertrouwelijke wijze en met 
    in acht name van de integriteit ervan worden verwerkt; 
  • Raad te vragen aan hun leidinggevende, de verantwoordelijke voor de gegevensbescherming bij twijfel 
    over de toepassing van dit beleid of over de naleving van de gegevensbeschermingswetgeving bij de 
    uitoefening van de functie; 
  • Persoonsgegevens enkel te verwerken wanneer dit vereist is voor de uitoefening van de functie / in 
    opdracht van de organisatie;  
  • Trainingen  te  volgen  over  de  vertrouwelijke  verwerking  van  persoonsgegevens  en  de  algemene 
    principes en verplichtingen die voortvloeien uit de gegevensbeschermingswetgeving; 
  • Bijstand verlenen aan de verantwoordelijke voor de gegevensbescherming; 
  • Geen kopies van persoonsgegevens te bewaren op de desktop of persoonlijke dragers wanneer er een 
    gecentraliseerde en beveiligde opslag van de organisatie bestaat aangezien het bewaren van eigen 
    bestanden of kopies kan leiden tot onjuiste persoonsgegevens en hogere risico’s op inbreuken; 
  • De  verantwoordelijke  voor  de  gegevensbescherming  onmiddellijk  te  informeren  wanneer  zij  een 
    mogelijke  of  effectieve  inbreuk  op  persoonsgegevens  of  de  gegevensbeschermingswetgeving 
    vaststellen.  

10. Naleving 

Alle entiteiten die deel uitmaken van de ondernemingengroep van de organisatie verzekeren dat dit beleid 
wordt  nageleefd.  Iedere  persoon  die  toegang  heeft  tot  persoonsgegevens,  verwerkt  door  de  organisatie, 
dienen dit beleid na te leven. Het niet naleven van dit beleid kan leiden tot disciplinaire maatregelen/sancties 
zoals een waarschuwing, ontslag of enige andere sanctie die de wet toelaat, onverminderd het recht om 
burgerlijke of strafrechtelijke vorderingen in te stellen. 

11. Audit en herziening 

De organisatie behoudt zich het recht voor om dit beleid aan te passen en te herzien wanneer zij dit nodig 
acht  en  om  in  overeenstemming  te  blijven  met  de  wettelijke  verplichtingen  en/of  aanbevelingen  van  de 
bevoegde toezichthoudende autoriteit voor de gegevensbescherming.  
De  organisatie  informeert  de  verantwoordelijke  voor  de  gegevensbescherming  wanneer  het  voor  haar 
onmogelijk is om dit beleid na te leven ten gevolge van dwingende wettelijke bepalingen die aan de organisatie 
worden opgelegd. 

12. Inwerkingtreding 

Dit beleid is van toepassing vanaf 25/05/2018. 

13. Technische en organisatorische veiligheidsmaatregelen 

 Organisatorische maatregelen 
 

  • Veiligheids- en risicoplan 
  • Bewustmaking van het personeel via informatieverstrekking en opleiding 

 
Technische maatregelen 

  • Back-upsysteem 
  • Authentificatiesysteem  
  • Paswoordbeleid 
  • Gebruikers-ID-beleid 
  • Loggingsysteem, toegangsdetectie en -analyse  
  • Patching 
  • Antivirus 
  • Firewall  
  • Netwerkbeveiliging 
  • Bewaking, onderzoek en onderhoud van de systemen