Beleid inzake de bescherming van persoonsgegevens
1. Wat is de doelstelling van dit beleid?
Dit beleid heeft tot doel u te informeren (als betrokken natuurlijk persoon) over de wijze waarop het Centrum voor Cybersecurity België (hierna “het CCB”) uw persoonsgegevens verwerkt (hierna “de persoonsgegevens”), alsook over de redenen waarom wij ze gebruiken en delen, de bewaartermijn ervan en de regels voor de uitoefening van uw rechten met betrekking tot die gegevens.
Deze informatie wordt u verstrekt overeenkomstig de geldende wettelijke bepalingen inzake gegevensbescherming en privacy, met inbegrip van de Algemene Verordening gegevensbescherming (EU) 2016/679 “AVG”.
In het kader van een specifiek project of een specifieke applicatie dient men, in voorkomend geval, te verwijzen naar het beleid inzake de bescherming van persoonsgegevens betreffende dat project of die applicatie (zie bijlage II – voor het cookiebeleid).
2. Wie is de verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke van uw gegevens is het Centrum voor Cybersecurity België (CCB), met kantoren in de Wetstraat 18 te 1000 Brussel.
Het CCB bepaalt de doeleinden waarvoor uw gegevens worden verwerkt, de gebruikte middelen en alle kenmerken van de verwerking. Deze worden in dit beleid toegelicht.
3. Voor welke doeleinden verwerken wij uw persoonsgegevens?
De verwerkingsdoeleinden van uw persoonsgegevens vloeien met name voort uit de verschillende wettelijke opdrachten die het CCB zijn toevertrouwd (zie bijlage I: tabel met de doeleinden).
Het koninklijk besluit van 10 oktober 2014 tot oprichting van het Centrum voor Cybersecurity België vermeldt enkele van de wettelijke doeleinden waarvoor het CCB uw persoonsgegevens mogelijk moet verwerken:
- opvolgen en coördineren van en toezien op de uitvoering van de Belgische strategie inzake cybersecurity;
- vanuit een geïntegreerde en gecentraliseerde aanpak de verschillende projecten op het vlak van cybersecurity beheren;
- de coördinatie verzekeren tussen de betrokken diensten en overheden, en de overheden en de private of wetenschappelijke sector;
- formuleren van voorstellen tot aanpassing van het regelgevend kader op het vlak van cybersecurity;
- het crisisbeheer bij cyberincidenten verzekeren;
- opstellen, verspreiden en toezien op de uitvoering van standaarden, richtlijnen en veiligheidsnormen voor de verschillende informatiesystemen van de administraties en publieke instellingen;
- coördineren van de Belgische vertegenwoordiging in internationale fora voor cybersecurity, van de opvolging van internationale verplichtingen en van voorstellen van het nationale standpunt op dit vlak;
- coördineren van de evaluatie en certificering van de beveiliging van informatie- en communicatiesystemen;
- informeren en sensibiliseren van gebruikers van informatie- en communicatiesystemen;
- optreden als nationaal coördinatiecentrum in de zin van artikel 6 van de Europese verordening (EU) 2021/887 van het Europees Parlement en de Raad van 20 mei 2021 tot oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cybersecurity en het netwerk van nationale coördinatiecentra.
Krachtens de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (“NIS-wet”) is het CCB, als nationaal computer security incident response team (“nationaal CSIRT”), ook met de volgende wettelijke taken belast:
- monitoren van incidenten op nationaal en internationaal niveau, met inbegrip van de verwerking van persoonsgegevens met betrekking tot het monitoren van deze incidenten;
- ten behoeve van de betrokken belanghebbende partijen zorgen voor vroegtijdige waarschuwingen, alarmmeldingen, aankondigingen en verspreiding van informatie over risico's en incidenten;
- reageren op incidenten;
- zorgen voor een dynamische risico- en incidentanalyse en situatiekennis;
- computerbeveiligingsproblemen opsporen, observeren en analyseren;
- stimuleren van de vaststelling en het gebruik van gemeenschappelijke of gestandaardiseerde praktijken op het gebied van procedures voor de behandeling van incidenten en risico's, en van systemen voor de classificatie van incidenten, risico's en informatie;
- zorgen voor op samenwerking gerichte contacten met de particuliere sector en met andere administratieve diensten of overheden;
- deelnemen aan het CSIRT-netwerk;
- kwetsbaarheden in netwerk- en informatiesystemen melden.
In overeenstemming met EU-Verordening 2021/887, heeft het CCB de rol van Cybersecuritycoördinatiecentrum voor België (hierna "NCC-BE") gekregen. Het NCC-BE is onder andere verantwoordelijk voor:
- De industrie, de publieke sector en de onderzoeksgemeenschap te betrekken en met hen te interageren om een lokale gemeenschap op te bouwen;
- Op te treden als contactpunten op nationaal niveau om het Europees competentiecentrum voor cybersecurity te ondersteunen;
- expertise te leveren en bij te dragen aan de strategische planningsactiviteiten van het Europees kenniscentrum voor cybersecurity;
- de deelname van de industrie, onderzoeksinstellingen en andere actoren aan grensoverschrijdende projecten bevorderen, aanmoedigen en vergemakkelijken;
- synergieën tot stand brengen met relevante activiteiten op nationaal niveau in het kader van nationaal beleid zoals vastgelegd in de nationale strategieën voor cybersecurity;
- de resultaten van de werkzaamheden van het netwerk, de competentiegemeenschap voor cybersecurity en het competentiecentrum op nationaal niveau promoten en verspreiden, met specifieke verwijzing naar het certificeringskader voor cybersecurity;
- assistentie verlenen bij verzoeken van entiteiten om deel uit te maken van de EU-Competentiegemeenschap voor cybersecurity;
- pleiten voor en bevorderen van de betrokkenheid van entiteiten bij de activiteiten die voortvloeien uit het ECCC, het netwerk en de Gemeenschap;
- overleg voeren met nationale autoriteiten over mogelijke bijdragen aan de bevordering en verspreiding van onderwijsprogramma's op het gebied van cyberbeveiliging;
- technische bijstand verlenen aan belanghebbenden door hen te ondersteunen in de aanvraagfase voor door het kenniscentrum beheerde projecten die verband houden met zijn missie en doelstellingen;
- specifieke acties uitvoeren waarvoor subsidies zijn toegekend.
Krachtens de wet van 20 juli 2022 inzake de certificering van de cybersecurity van informatie- en communicatietechnologie en tot aanwijzing van een nationale cybersecurityscertificeringsautoriteit (“CSA-wet”) vervult het CCB, als nationale cybersecuritycertificeringsautoriteit, de volgende wettelijke taken:
- instaan voor de afgifte van Europese cybersecurityscertificaten en het klachtenbeheer;
- toezicht uitoefenen op houders van Europese cybersecurityscertificaten, afgevers van EU-conformiteitsverklaringen en conformiteitsbeoordelingsinstanties en, in voorkomend geval, sancties opleggen;
- deelnemen aan de Europese Groep voor cybersecurityscertificering (EGC);
- samenwerken met andere overheden.
Als federale overheidsinstelling kan het CCB, voor zover het niet over een wettelijke basis in bovenvermelde bepalingen beschikt, uw gegevens met name ook verwerken:
- voor het gebruik van zijn websites;
- voor het gebruik van zijn applicaties of tools;
- voor het onthaal van zijn bezoekers;
- voor de deelname aan een van zijn evenementen (fysiek of online);
- om op uw vragen te antwoorden, u te helpen of u te contacteren;
- voor zijn personeelsadministratie;
- voor het beheer van zijn overheidsopdrachten, overeenkomsten, enz.
4. Op basis van welke rechtsgronden gebruiken wij uw persoonsgegevens?
Wij verzamelen en gebruiken uw persoonsgegevens als dit noodzakelijk is:
- om te voldoen aan een wettelijke verplichting of om een van onze wettelijke opdrachten uit te voeren;
- voor het vervullen van taken van algemeen belang of bij de uitoefening van het openbaar gezag dat ons is verleend;
- in het kader van een contractuele of precontractuele relatie;
- op basis van uw toestemming voor verwerkingen die u worden voorgesteld buiten onze wettelijke opdrachten.
5. Welke persoonsgegevens verwerken wij?
De informatie die wij verwerken kan het volgende omvatten:
- uw identificatiegegevens (uw naam, voornaam, foto, identiteitskaart, rijksregisternummer, naam van uw organisatie, KBO-nummer, enz.);
- uw contactgegevens (uw post- en e-mailadres, telefoonnummer, adres van uw organisatie, enz.);
- uw gezinssituatie (uw burgerlijke staat, aantal kinderen, enz.);
- informatie met betrekking tot uw opleiding en tewerkstelling (uw functie, CV, enz.);
- gegevens over uw interacties met ons via onze websites, onze applicaties, telefoongesprekken, e-mails, interviews (uw IP-adres, IP-adresbereik, domeinnamen, taal, cookies, metagegevens, enz.);
- uw gegevens met betrekking tot videobewaking van besloten, niet voor het publiek toegankelijke plaatsen (om veiligheidsredenen wanneer u onze kantoren bezoekt);
- uw gegevens met betrekking tot administratieve sancties.
De door ons verwerkte gegevens kunnen rechtstreeks bij u zijn opgevraagd of bij andere bronnen om onze databanken te controleren of aan te vullen.
6. Met wie delen wij eventueel uw persoonsgegevens?
De gegevens die op u betrekking hebben, worden vertrouwelijk en veilig verwerkt om uw persoonsgegevens te beschermen.
Wij doen soms een beroep op dienstverleners die voor ons werken als onderaannemers en die als dusdanig ook de AVG en onze contractuele bepalingen moeten respecteren. Deze dienstverleners mogen uw gegevens niet voor andere doeleinden verwerken dan deze bepaald door het CCB.
Uw gegevens kunnen eventueel met andere overheden en overheidsinstellingen worden gedeeld als dit noodzakelijk is voor het vervullen van hun taken van algemeen belang.
7. Hoe beschermen wij uw gegevens?
Het CCB en zijn onderaannemers nemen passende technische en organisatorische maatregelen om ervoor te zorgen dat het beveiligingsniveau van uw persoonsgegevens op de risico’s is afgestemd.
Uw gegevens worden met name beschermd tegen ongeoorloofde toegang, onrechtmatig gebruik, verlies en ongeoorloofde wijzigingen.
8. Hoe lang bewaren wij uw persoonsgegevens?
Wij bewaren uw persoonsgegevens niet langer dan nodig is voor de doeleinden waarvoor de gegevens worden verwerkt, tenzij de bewaring ervan nodig is voor andere fundamentele doeleinden, met inbegrip van maar niet uitsluitend de naleving van onze wettelijke verplichtingen, klachtenbehandeling of geschillenregeling.
In principe bedraagt de maximale bewaartermijn:
- van uw IP-adres: 24 uur, behalve wanneer uw IP-adres in het kader van een phishingpoging door het CCB wordt verwerkt om de malafide site te identificeren en de nodige maatregelen te nemen voor de veroordeling ervan. In dat geval kan uw IP-adres worden bewaard tijdens een periode van één (1) week tot één (1) maand, volgens de gebeurtenissen (bijv.: moeilijkheid om de website te identificeren, groot aantal phishingpogingen voor eenzelfde website en voor verschillende gebruikers, enz.);
- van cookies: deze termijn is uitgebreid beschreven in bijlage II: cookiebeleid;
- van uitwisselingen via het contactformulier en via e-mail: 12 maanden vanaf de laatste uitwisseling;
- van logbestanden: 13 maanden vanaf de aanmaak ervan.
In het kader van het gebruik van het platform Safeonweb@Work bedraagt de maximale bewaartermijn:
- van uw identificatiegegevens (naam, voornaam, e-mailadres, adres, telefoonnummer, functie, naam van de organisatie, KBO-nummer van de organisatie, postadres van de organisatie): deze termijn loopt zolang u het platform gebruikt;
- van uw rijksregisternummer: 5 jaar vanaf uw laatste gebruik van het platform;
- van uw IP-adres en het IP-adresbereik: 5 jaar vanaf uw laatste gebruik van het platform,
- van uw domeinnaam: 5 jaar vanaf uw laatste gebruik van het platform;
- van cookies: 13 maanden vanaf de aanmaak van het cookie;
- van logbestanden: 13 maanden vanaf de aanmaak ervan.
Als uw persoonsgegevens moeten worden bewaard voor fundamentele doeleinden, met inbegrip van maar niet uitsluitend de naleving van onze wettelijke verplichtingen, geschillenregeling en klachtenbehandeling, dan kunnen ze langer worden bewaard dan hierboven vermeld.
Als federale overheidsinstelling zijn wij ook onderworpen aan de archiefwet van 24 juni 1955 en mogen wij de documenten in ons bezit dus niet vrij vernietigen. Bovendien kunnen documenten van een openbaar bestuur die geen administratief en/of juridisch nut meer hebben, wel nog een historisch, wetenschappelijk of statistisch belang hebben. Ze worden dan aan het Rijksarchief bezorgd. Vanuit dat oogpunt worden de administratieve documenten in ons bezit voor een bepaalde tijd in samenwerking met het Rijksarchief bewaard.
9. Wat zijn uw rechten en hoe kan u ze uitoefenen?
Overeenkomstig de toepasselijke regelgeving en behoudens wettelijke afwijkingen beschikt u over de volgende rechten:
- Recht van inzage: u kan informatie verkrijgen over de verwerking van uw persoonsgegevens en een kopie van die gegevens.
- Recht op rectificatie: als uw persoonsgegevens waarover we beschikken onjuist of onvolledig zijn, kan u die gegevens dienovereenkomstig laten aanpassen.
- Recht op gegevenswissing: u kan vragen dat uw persoonsgegevens worden gewist. Uw verzoek zal evenwel niet worden ingewilligd als de verwerking van uw gegevens voor ons noodzakelijk is in het kader van onze wettelijke opdrachten, voor het vervullen van een van onze taken van openbaar belang of bij de uitoefening van het openbaar gezag dat ons is verleend, of nog voor de uitvoering van een overeenkomst of van precontractuele maatregelen.
- Recht op beperking van de verwerking: u kan vragen dat de verwerking van uw persoonsgegevens wordt beperkt als u uw recht van bezwaar uitoefent, u de juistheid van de gegevens betwist, de verwerking ervan u onrechtmatig lijkt, of als u ze nodig hebt voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Behalve in uitzonderlijke gevallen zal de verwerking van uw gegevens dus worden opgeschort gedurende de tijd die nodig is om uw verzoek te verwerken.
- Recht van bezwaar: u kan eventueel bezwaar maken tegen de verwerking van uw persoonsgegevens om redenen die verband houden met uw specifieke situatie.
- Recht op het intrekken van uw toestemming: als uw persoonsgegevens uitsluitend worden verwerkt op basis van uw toestemming, hebt u het recht deze toestemming op elk ogenblik in te trekken.
Om de rechten op uw persoonsgegevens uit te oefenen, verzoeken wij u een kopie (scan of foto) bij te voegen van uw identiteitskaart, paspoort of soortgelijk document, met uw handtekening, waarop u de gegevens die niet relevant zijn om uw identiteit als betrokken persoon te controleren, kan verbergen. U kan op deze kopie ook de naam van de organisatie, de datum en het voorwerp van uw verzoek vermelden, zodat die later niet kan worden gebruikt voor andere doeleinden. Indien u echter een algemene vraag hebt, is het niet nodig om ons dit bewijs te leveren.
U kan onze functionaris voor gegevensbescherming een e-mail of brief sturen. Hieronder vindt u de gegevens:
CENTRUM VOOR CYBERSECURITY BELGIE
Ter attentie van de functionaris voor gegevensbescherming (FGB)
Wetstraat 18
1000 Brussel
E-mail: privacy@ccb.belgium.be
Meer informatie over de bescherming van persoonsgegevens vindt u op de website van de Gegevensbeschermingsautoriteit: https://www.gegevensbeschermingsautoriteit.be.
10. Welke uitzonderingen gelden op het uitoefenen van uw rechten?
De uitoefening van sommige van uw rechten (zie vorig punt) kan, op gemotiveerde wijze, worden beperkt of kan u worden geweigerd door het CCB, met name wanneer de verwerking van uw gegevens noodzakelijk is voor de toepassing van sommige wettelijke bepalingen en de uitoefening van die rechten daarmee onverenigbaar is.
11. Klachten
Indien u, na contact te hebben opgenomen met onze functionaris voor gegevensbescherming, van mening bent dat het Centrum voor Cybersecurity België uw persoonsgegevens niet zou hebben verwerkt in overeenstemming met de geldende regelgeving, hebt u het recht om klacht in te dienen bij de Gegevensbeschermingsautoriteit:
Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35
1000 Brussel
Tel. +32 2 274 48 00
Fax +32 2 274 48 35
E-mail: contact@apd-gba.be
Website: https://www.gegevensbeschermingsautoriteit.be
12. Wie contacteren in verband met uw persoonsgegevens?
Voor meer informatie over ons gegevensbeschermingsbeleid kan u contact opnemen met onze functionaris voor gegevensbescherming: privacy@ccb.belgium.be.
13. Kan dit beleid worden aangepast?
Wij evalueren regelmatig ons beleid en behouden ons het recht voor om het op elk ogenblik aan te passen rekening houdend met wijzigingen van onze activiteiten of met nieuwe wettelijke voorschriften.
Om u te informeren over die aanpassingen, zullen wij de bijgewerkte versies van ons beleid op onze verschillende websites publiceren: “www.ccb.belgium.be”, “www.cert.be”, “www.safeonweb.be”, “atwork.safeonweb.be” of “https://community.ncc.belgium.be/”.
U kan de datum van de “laatste bijwerking” terugvinden bovenaan dit beleid zodat u kan nagaan wanneer het beleid het laatst is herzien.
Bijlage II: cookiebeleid
Wij gebruiken cookies op onze websites (“www.ccb.belgium.be”, “www.cert.be”, “www.safeonweb.be”, “atwork.safeonweb.be” of “https://community.ncc.belgium.be/”) of op onze applicaties om een optimale service te kunnen bieden. Een cookie is een klein bestand dat op uw computer of telefoon wordt opgeslagen. Het cookie kan worden opgehaald wanneer u dezelfde site op een later tijdstip bezoekt.
Deze cookies worden niet langer bewaard dan nodig is om het nagestreefde doeleinde te bereiken (hieronder vindt u meer informatie hierover).
De websites en applicaties van het CCB gebruiken de volgende cookies:
1. Essentiële en functionele cookies
Cookies worden als “essentieel” of “functioneel” beschouwd als ze noodzakelijk zijn om een bericht te verzenden via een elektronische-communicatienetwerk of om een uitdrukkelijk door de gebruiker gevraagde dienst te verlenen (bijvoorbeeld het cookie dat de taal van de gebruiker onthoudt voor de duur van een sessie).
Voor het gebruik van deze cookies is de toestemming van de gebruiker niet vereist.
Naam
Doeleinde
Bewaartermijn
language
Om de taalkeuze van de bezoeker van onze websites te onthouden.
Sessiecookie
cookie_compliance
Om te weten of u al dan niet cookies aanvaardt.
13 maanden
TS0 of TSa (tekens na TS … variabel)
Wijst de verwerking van zoekopdrachten van eenzelfde gebruiker toe aan een server.
Sessiecookie
access_token_cookie
Toegang tot het NCC-BE gemeenschapsportaal
geldig 1 dag vanaf het moment van aanmelden
refresh_token_cookie
Toegang tot het NCC-BE gemeenschapsportaal
365 dagen geldig vanaf het moment van aanmelden
klaro
Beheer van de cookiebanner
30 dagen
2. Statistische cookies
Cookies worden als “statistisch” beschouwd als ze het gebruik van een website of applicatie meten. U kan onderstaande cookies weigeren als u onze website wil bezoeken.
Naam
Doeleinde
Bewaartermijn
_pk_id
Analyse van de bezoeken
13 maanden
_pk_ref
Analyse van de bezoeken
6 maanden
_pk_ses, _pk_cvar, _pk_hsr
Analyse van de bezoeken
30 minuten
_hj*
Analyse van de bezoeken
13 maanden
3. Externe links
Onze websites of applicaties vermelden soms externe links om bepaalde informatie te documenteren. De gebruiker is verantwoordelijk voor de activering van deze links. We raden evenwel aan om de privacyverklaring en het cookiebeleid van de betrokken site te raadplegen.
4. Hoe kan ik nagaan welke cookies geïnstalleerd zijn op mijn toestel en hoe kan ik ze verwijderen?
Als u wil weten welke cookies op uw toestel geïnstalleerd zijn en als u die wil verwijderen, kan u een parameter van uw browser gebruiken. U vindt meer uitleg over de werkwijze via onderstaande links.
Firefox
Chrome
Safari
Internet Explorer
Firefox (mobile)
Chrome (mobile)
Safari (mobile)
Microsoft Edge
Gebruikt u een andere browser? Controleer dan of de procedure voor uw browser vermeld is op de website www.allaboutcookies.org/manage-cookies. Deze site is enkel beschikbaar in het Engels.