Databeveiligingsbeleid

Sky-tours.com (Juridische Naam: Big Sky Group S.A.) moet bepaalde informatie over individuen verzamelen en gebruiken.

Dit kunnen klanten, leveranciers, zakelijke contacten, werknemers en andere personen zijn waarmee het bedrijf een relatie heeft of wellicht moet contacteren.

Dit beleid beschrijft hoe deze persoonlijke gegevens verzameld, verwerkt en bewaard moeten worden om de databeveiligingsnormen van het bedrijf na te leven — en om de wet na te leven.

Waarom bestaat dit beleid

Dit databeveiligingsbeleid zorgt ervoor dat Sky-tours.com:

  • De databeveiligingswet naleeft en zich aan goede procedures houdt 
  • De rechten van personeel, klanten en partners beschermt
  • Open is over hoe het data van individuen bewaart en verwerkt
  • Zichzelf beschermt tegen de risico's van inbreuken op data.

Databeveiligingswet

De Databeveiligingswet Act 1998 beschrijft hoe bedrijven — inclusief Sky-tours.com— persoonlijke gegevens moeten verzamelen, verwerken en bewaren. 

Deze regels zijn van toepassing ongeacht of data elektronisch, op papier of op ander materiaal bewaard worden.

Om de wet na te leven moeten persoonlijke gegevens eerlijk verzameld en gebruikt worden, veilig bewaard worden en niet illegaal vrijgegeven worden.

De Databeveiligingswet wordt onderbouwd door acht belangrijke principes. Deze stellen dat persoonlijke gegevens moeten:

  1. Eerlijk en legaal verwerkt worden
  2. Enkel verkregen mogen worden voor specifieke, wettelijke doeleinden
  3. Toereikend, relevant en niet bovenmatig moeten zijn
  4. Nauwkeurig en bijgewerkt moeten zijn
  5. Niet langer dan noodzakelijk bijgehouden moeten worden
  6. Verwerkt moeten worden in overeenstemming met de rechten van de betrokkenen
  7. Op gepaste manieren beschermd moeten worden
  8. Niet overgedragen mogen worden buiten de Europese Economische Regio (EER), tenzij dat land of die regio ook een toereikend niveau van beveiliging verzekert

            Beleidsdoel

            Dit beleid is van toepassing op:

            • Het hoofdkantoor van Sky-tours.com
            • Alle filialen van Sky-tours.com
            • Alle personeel en vrijwilligers van Sky-tours.com
            • Alle aannemers, leveranciers en andere personen die werken namens Sky-tours.com

            Het is van toepassing op alle gegevens, die het bedrijf bewaart, met betrekking tot identificeerbare individuen, zelfs wanneer deze informatie technisch gezien buiten de Databeveiligingswet 1998 valt. Dit kan het volgende omvatten:

            • Namen van individuen
            • Postadressen
            • E-mailadressen
            • Telefoonnummers
            • plus mogelijke overige informatie met betrekking tot individuen.

            Databeveiligingsrisico's

            Dit beleid helpt Sky-tours.com beschermen tegen enkele zeer reële databeveilingsrisico's, inclusief:

            • Schendingen van vertrouwelijkheid. Bijvoorbeeld informatie die op ongepaste manier vrijgegeven wordt.
            • Geen keuze bieden. Bijvoorbeeld alle individuen moeten vrij zijn in de keuze hoe het bedrijf gegevens, met betrekking tot hen, gebruikt.
            • Imagoschade. Bijvoorbeeld het bedrijf kan schade lijden wanneer hackers met succes toegang verkregen hebben tot gevoelige gegevens.

            Verantwoordelijkheden

            Iedereen die werkt voor of met Sky-tours.com draagt wat verantwoordelijkheid bij het verzekeren dat gegevens op gepaste manier verzameld, bewaard en verwerkt worden.

            Elk team, dat persoonlijke gegevens verwerkt, moet ervoor zorgen dat het in regel met dit beleid en databeveiligingsprincipes verwerkt wordt. 

            Deze personen dragen echter sleutelgebieden van verantwoordelijkheid:

            • De raad van bestuur is uiteindelijk verantwoordelijk bij het verzekeren dat Sky-tours.com diens wettelijke verplichtingen naleeft.
            • De databeveiligingschef, Elisabeth Quezada, is verantwoordelijk voor:

                      De raad geüpdatet houden over databeveiligingsverantwoordelijkheden, risico's en kwesties.

                      Herzien van alle databeveiligingsprocedures en gerelateerd beleid, volgens een afgesproken schema.

                      Plannen van opleiding en advies voor databeveiliging voor personen die onder dit beleid vallen.

                      Beantwoorden van databeveiligingsvragen van personeel en alle anderen die onder dit beleid vallen.

                      Verwerken van aanvragen van individuen om de gegevens te zien die Sky-tours.com over hen bijhoudt (ook ‘toegangsaanvragen van personen’ genoemd).

                      Controleren en goedkeuren van contracten of overeenkomsten met derden die de gevoelige gegevens van het bedrijf kunnen verwerken.

            • De IT-manager, Raman Deep, is verantwoordelijk voor:

                      Verzekeren dat alle systemen, diensten en materiaal, gebruikt voor het bewaren van gegevens, aanvaardbare beveiligingsnormen naleven.

                      Uitvoeren van regelmatige controles en scans om te verzekeren dat beveiligingshardware en -software op correcte wijze werkt.

                      Evalueren van diensten van derden, die het bedrijf overweegt te gebruiken om data op te slaan of verwerken. Bijvoorbeeld, cloud computing-diensten.

            • De marketing manager, Elisabeth Cardus, is verantwoordelijk voor:

                      Goedkeuren van databeveiligingsverklaringen, bijgevoegd aan communicaties zoals e-mails en brieven.

                      Beantwoorden van mogelijke databeveiligingsvragen van journalisten of mediakanalen zoals kranten.

                      Waar nodig werken met ander personeel om te verzekeren dat marketinginitiatieven zich houden aan deze beveiligingsprincipes.

            Algemene richtlijnen personeel

            • De enige personen met mogelijke toegang tot gegevens, die onder dit beleid vallen, moeten diegenen zijn die het voor hun werk nodig hebben.
            • Gegevens mogen niet informeel gedeeld worden. Wanneer toegang tot vertrouwelijke informatie vereist is, kunnen werknemers dit aanvragen bij hun lijnmanagers.
            • Sky-tours.com zal opleiding bieden aan alle werknemers bij het helpen hun verantwoordelijkheden bij het verwerken van gegevens te begrijpen.
            • Werknemers moeten alle gegevens veilig houden, door zinvolle voorzorgsmaatregelen te nemen en de ondrstaande richtlijnen te volgen.
            • Meer specifiek moeten sterke wachtwoorden gebruikt worden en deze mogen nooit gedeeld worden.
            • Persoonlijke gegevens mogen niet vrijgegeven worden aan onbevoegde personen, hetzij binnen of buiten het bedrijf.
            • Gegevens moeten regelmatig herzien en geüpdatet worden wanneer blijkt dat deze out of date zijn. Wanneer niet langer vereist, moet dit verwijderd en weggewerkt worden.
            • Werknemers moeten hulp vragen van hun lijnmanager of de databeveiligingschef wanneer ze zich onzeker voelen over enig aspect van databeveiliging.

            Dataopslag

            Deze regels beschrijven hoe en waar data veilig bewaard moeten worden. Vragen over het veilig bewaren van data kunnen gericht worden naar de IT-manager of databeheerder.

            Wanneer data bewaard worden op papier, moeten ze op een veilige plaats bewaard worden waar niet-bevoegde personen ze niet kunnen zien.

            Deze richtlijnen zijn ook van toepassing op data die gewoonlijk elektronisch bewaard worden maar voor een bepaalde reden afgedrukt werden:

            • Wanneer niet vereist moet het papier of de bestanden bijgehouden worden in een afgesloten lade of archiefkast.
            • Werknemers moeten ervoor zorgen dat papier en uitdraaien niet achtergelaten worden waar niet-bevoegde personen ze zouden kunnen zien, zoals op een printer.
            • Data-uitdraaien moeten versnipperd worden en veilig weggegooid worden wanneer niet langer vereist.

            Wanneer data elektronisch bewaard worden, moeten ze beschermd worden tegen niet-bevoegde toegang, toevallige verwijdering en kwaadwillige hackingpogingen:

            • Data moeten beveiligd worden door sterke wachtwoorden, die regelmatig gewijzigd worden en nooit tussen werknemers gedeeld worden.
            • Wanneer data bewaard worden op verwijderbare media (zoals een CD of DVD), moeten deze veilig weggestopt worden wanneer ze niet gebruikt worden.
            • Data mogen enkel bewaard worden op  aangeduide drives en servers, en mogen enkel op goedgekeurde cloud computing diensten opgeladen worden.
            • Servers met persoonlijke gegevens moeten geplaatst worden op een veilige locatie, verwijderd van algemene kantoorruimte.
            • Van de data moet regelmatig een back-up gemaakt worden. Die back-ups moeten regelmatig getest worden, volgens de standaard back-up procedures van het bedrijf.
            • Data mogen nooit rechtstreeks bewaard worden op laptops of andere mobiele toestellen zoals tablets of smartphones.
            • Alle servers en computers met data moeten beveiligd worden door erkende beveiligingssoftware en een firewall.

            Datagebruik

            Persoonlijke gegevens zijn van geen waarde Sky-tours.com tenzij het bedrijf het kan gebruiken. Het is echter, wanneer er toegang wordt genomen tot persoonlijke gegevens en ze gebruikt worden, dat dit kan gebeuren met het grootst risico van verlies, corruptie of diefstal:

            • Bij het werken met persoonlijke gegevens moeten werknemers verzekeren dat de schermen van hun computers steeds geblokkeerd zijn wanneer ze onbeheerd achtergelaten worden.
            • Persoonlijke gegevens mogen niet informeel gedeeld worden. Meer specifiek mogen ze nooit via e-mail verstuurd worden daar deze vorm van communicatie niet veilig is.
            • Data moeten gecodeerd worden voordat ze elektronisch overgedragen worden. De IT-manager kan uitleggen hoe data te verzenden naar bevoegde externe contacten.
            • Persoonlijke gegevens mogen nooit overgedragen worden buiten de Europese Economische Regio.
            • Werknemers mogen geen kopieën bewaren van persoonlijke gegevens op hun eigen computers. Steeds toegang tot en update van de centrale kopie van mogelijke data.

            Datanauwkeurigheid

            De wet vereist dat Sky-tours.com redelijke stappen zet om te verzekeren dat data accuraat en up-to-date gehouden worden.

            Hoe belangrijker het is om de persoonlijke gegevens accuraat te houden, hoe groter de moeite die Sky-tours.com moet plaatsen in het verzekeren van diens accuraatheid.

            Het is de verantwoordelijkheid van alle werknemers, die met gegevens werken, om redelijke stappen te zetten om ervoor te zorgen dat ze zo accuraat en up-to-date mogelijk gehouden worden.

            • Data zullen op zo min mogelijk plaatsen als mogelijk gehouden worden. Personeel mag geen onnodige bijkomende datasets creëren.
            • Personeel moet elke kans grijpen om ervoor te zorgen dat data geüpdatet worden. Bijvoorbeeld door details van een klant te bevestigen wanneer ze bellen.
            • Sky-tours.com zal het gemakkelijk maken voor de betrokkenen om de informatie te updaten die Sky-tours.com over hen heeft. Bijvoorbeeld via de bedrijfswebsite.
            • Data moeten geüpdatet worden naarmate onnauwkeurigheden ontdekt worden. Bijvoorbeeld wanneer een klant niet langer bereikt kan worden op het bewaard telefoonnummer, moet dit uit de database verwijderd worden.
            • Het is de verantwoordelijkheid van de marketing manager om ervoor te zorgen dat marketing databases elke zes maanden gecontroleerd worden tegen industrie afschaffingsbestanden.

            Toegangsverzoeken personen

            Alle individuen, die het onderwerp zijn van persoonlijke gegevens, bijgehouden door Sky-tours.com, hebben recht op:

            • Vraag welke informatie het bedrijf heeft over hen en waarom.
            • Vraag hoe er toegang toe te krijgen.
            • Wees geïnformeerd over hoe het up-to-date te houden. 
            • Wees geïnformeerd over hoe het bedrijf tegemoetkomt aan diens verplichtingen rond databeveiliging.

            Wanneer een individu het bedrijf contacteert, verzoekend om deze informatie, wordt dit een toegangsaanvraag van een persoon genoemd. 

            Toegangsverzoeken voor personen van individuen moeten gedaan worden via e-mail, gericht aan de data controller bij eliq@sky-tours.com. De data controller kan een standaard aanvraagformulier leveren, hoewel individuen dit niet moeten gebruiken.

            Individuen zullen EUR 10 aangerekend worden per toegangsaanvraag voor personen. De data controller zal trachten de relevante data binnen 14 dagen te leveren.

            De Data Controller zal steeds de identiteit verifiëren van iedereen die een toegangsaanvraag voor personen indient, alvorens enige informatie te overhandigen.

            Vrijgeven van data voor andere redenen

            In bepaalde omstandigheden staat de Databeveiligingswet toe persoonlijke gegevens vrij te geven aan ordehandhavingsagentschappen zonder instemming van de betrokkene.

            Onder deze omstandigheden zal Sky-tours.com de aangevraagde data vrijgeven. De Data Controller zal echter verzekeren dat de aanvraag legitiem is, waar nodig assistentie vragend bij de raad en van de juridische raadgevers van het bedrijf.

            Informatie geven

            Sky-tours.com tracht ervoor te zorgen dat individuen ervan bewust zijn dat hun data verwerkt worden en dat ze het volgende begrijpen:

            • Hoe de data gebruikt worden
            • Hoe hun rechten uitoefenen 

            Hiervoor heeft het bedrijf een privacyverklaring, stellend hoe data, met betrekking tot individuen, door het bedrijf gebruikt worden.