www.belgium.be Logo of the federal government

Beleid inzake de bescherming van persoonsgegevens

1. Wat is de doelstelling van dit beleid?

Dit beleid heeft tot doel u te informeren (als betrokken natuurlijk persoon) over de wijze waarop het Centrum voor Cybersecurity België (hierna “het CCB”) uw persoonsgegevens verwerkt (hierna “de persoonsgegevens”), alsook over de redenen waarom wij ze gebruiken en delen, de bewaartermijn ervan en de regels voor de uitoefening van uw rechten met betrekking tot die gegevens.

Deze informatie wordt u verstrekt overeenkomstig de geldende wettelijke bepalingen inzake gegevensbescherming en privacy, met inbegrip van de Algemene Verordening gegevensbescherming (EU) 2016/679 “AVG”.

In het kader van een specifiek project of een specifieke applicatie dient men, in voorkomend geval, te verwijzen naar het beleid inzake de bescherming van persoonsgegevens betreffende dat project of die applicatie (zie bijlage II – voor het cookiebeleid).

2. Wie is de verwerkingsverantwoordelijke?

De verwerkingsverantwoordelijke van uw gegevens is het Centrum voor Cybersecurity België (CCB), met kantoren in de Wetstraat 18 te 1000 Brussel.

Het CCB bepaalt de doeleinden waarvoor uw gegevens worden verwerkt, de gebruikte middelen en alle kenmerken van de verwerking. Deze worden in dit beleid toegelicht.

3. Voor welke doeleinden verwerken wij uw persoonsgegevens?

De verwerkingsdoeleinden van uw persoonsgegevens vloeien met name voort uit de verschillende wettelijke opdrachten die het CCB zijn toevertrouwd (zie bijlage I: tabel met de doeleinden).

Het koninklijk besluit van 10 oktober 2014 tot oprichting van het Centrum voor Cybersecurity België vermeldt enkele van de wettelijke doeleinden waarvoor het CCB uw persoonsgegevens mogelijk moet verwerken:

  1. opvolgen en coördineren van en toezien op de uitvoering van de Belgische strategie inzake cyberbeveiliging;
  2. vanuit een geïntegreerde en gecentraliseerde aanpak de verschillende projecten op het vlak van cyberbeveiliging beheren;
  3. de coördinatie verzekeren tussen de betrokken diensten en overheden, en de overheden en de private of wetenschappelijke sector;
  4. formuleren van voorstellen tot aanpassing van het regelgevend kader op het vlak van cyberbeveiliging;
  5. het crisisbeheer bij cyberincidenten verzekeren;
  6. opstellen, verspreiden en toezien op de uitvoering van standaarden, richtlijnen en veiligheidsnormen voor de verschillende informatiesystemen van de administraties en publieke instellingen;
  7. coördineren van de Belgische vertegenwoordiging in internationale fora voor cyberbeveiliging, van de opvolging van internationale verplichtingen en van voorstellen van het nationale standpunt op dit vlak;
  8. coördineren van de evaluatie en certificering van de beveiliging van informatie- en communicatiesystemen;
  9. informeren en sensibiliseren van gebruikers van informatie- en communicatiesystemen;
  10. optreden als nationaal coördinatiecentrum in de zin van artikel 6 van de Europese verordening (EU) 2021/887 van het Europees Parlement en de Raad van 20 mei 2021 tot oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging en het netwerk van nationale coördinatiecentra.

Krachtens de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (“NIS-wet”) is het CCB, als nationaal computer security incident response team (“nationaal CSIRT”), ook met de volgende wettelijke taken belast:

  1. monitoren van incidenten op nationaal en internationaal niveau, met inbegrip van de verwerking van persoonsgegevens met betrekking tot het monitoren van deze incidenten;
  2. ten behoeve van de betrokken belanghebbende partijen zorgen voor vroegtijdige waarschuwingen, alarmmeldingen, aankondigingen en verspreiding van informatie over risico's en incidenten;
  3. reageren op incidenten;
  4. zorgen voor een dynamische risico- en incidentanalyse en situatiekennis;
  5. computerbeveiligingsproblemen opsporen, observeren en analyseren;
  6. stimuleren van de vaststelling en het gebruik van gemeenschappelijke of gestandaardiseerde praktijken op het gebied van procedures voor de behandeling van incidenten en risico's, en van systemen voor de classificatie van incidenten, risico's en informatie;
  7. zorgen voor op samenwerking gerichte contacten met de particuliere sector en met andere administratieve diensten of overheden;
  8. deelnemen aan het CSIRT-netwerk;
  9. kwetsbaarheden in netwerk- en informatiesystemen melden.

Krachtens de wet van 20 juli 2022 inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot aanwijzing van een nationale cyberbeveiligingscertificeringsautoriteit (“CSA-wet”) vervult het CCB, als nationale cyberbeveiligingscertificeringsautoriteit, de volgende wettelijke taken:

  1. instaan voor de afgifte van Europese cyberbeveiligingscertificaten en het klachtenbeheer;
  2. toezicht uitoefenen op houders van Europese cyberbeveiligingscertificaten, afgevers van EU-conformiteitsverklaringen en conformiteitsbeoordelingsinstanties en, in voorkomend geval, sancties opleggen;
  3. deelnemen aan de Europese Groep voor cyberbeveiligingscertificering (EGC);
  4. samenwerken met andere overheden.

Krachtens verordening (EU) 2021/887 van het Europees Parlement en de Raad van 20 mei 2021 tot oprichting van het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging en het netwerk van nationale coördinatiecentra vervult het CCB, als nationaal coördinatiecentrum, de volgende wettelijke taken:

  1. optreden als contactpunt op nationaal niveau in het kader van voornoemde verordening;
  2. verstrekken van deskundig advies en actief bijdragen aan de strategische taken als bedoeld in voornoemde verordening;
  3. bevorderen, stimuleren en vergemakkelijken op nationaal niveau van de deelname van het maatschappelijk middenveld, de industrie, met name starters en kmo’s, de academische en onderzoeksgemeenschap en andere stakeholders aan grensoverschrijdende projecten en aan acties op het gebied van cyberbeveiliging die uit de betreffende Unieprogramma’s gefinancierd worden;
  4. verlenen van technische bijstand aan stakeholders door hen te ondersteunen in de aanvraagfase voor door het kenniscentrum beheerde projecten met betrekking tot zijn opdracht en doelstellingen;
  5. streven naar synergieën met relevante activiteiten op nationaal, regionaal en lokaal niveau, zoals nationaal beleid inzake onderzoek, ontwikkeling en innovatie op het gebied van cyberbeveiliging, met name het beleid dat in de nationale cyberbeveiligingsstrategieën is uiteengezet;
  6. uitvoeren van specifieke acties waaraan het kenniscentrum subsidies heeft toegekend;
  7. overleggen met de nationale autoriteiten over mogelijke bijdragen aan de bevordering en verspreiding van onderwijsprogramma’s op het gebied van cyberbeveiliging;
  8. bevorderen en verspreiden van de betreffende resultaten van de werkzaamheden van het netwerk, de kennisgemeenschap en het kenniscentrum op nationaal, regionaal of lokaal niveau;
  9. beoordelen van verzoeken van in België gevestigde entiteiten om deel uit te maken van de kennisgemeenschap;
  10. pleiten voor en bevorderen van de betrokkenheid van relevante entiteiten bij de activiteiten van het kenniscentrum, het netwerk en de kennisgemeenschap en, indien nodig, toezicht houden op de mate van betrokkenheid bij en het bedrag aan publieke financiële steun voor onderzoek, ontwikkeling en uitrol op het gebied van cyberbeveiliging.

Als federale overheidsinstelling kan het CCB, voor zover het niet over een wettelijke basis in bovenvermelde bepalingen beschikt, uw gegevens met name ook verwerken:

  • voor het gebruik van zijn websites;
  • voor het gebruik van zijn applicaties of tools;
  • voor het onthaal van zijn bezoekers;
  • voor de deelname aan een van zijn evenementen (fysiek of online);
  • om op uw vragen te antwoorden, u te helpen of u te contacteren;
  • voor zijn personeelsadministratie;
  • voor het beheer van zijn overheidsopdrachten, overeenkomsten, enz.
  •  

4. Op basis van welke rechtsgronden gebruiken wij uw persoonsgegevens?

Wij verzamelen en gebruiken uw persoonsgegevens als dit noodzakelijk is:

  • om te voldoen aan een wettelijke verplichting of om een van onze wettelijke opdrachten uit te voeren;
  • voor het vervullen van taken van algemeen belang of bij de uitoefening van het openbaar gezag dat ons is verleend;
  • in het kader van een contractuele of precontractuele relatie;

op basis van uw toestemming voor verwerkingen die u worden voorgesteld buiten onze wettelijke opdrachten.

5. Welke persoonsgegevens verwerken wij?

De informatie die wij verwerken kan het volgende omvatten:

  • uw identificatiegegevens (uw naam, voornaam, foto, identiteitskaart, rijksregisternummer, naam van uw organisatie, KBO-nummer, enz.);
  • uw contactgegevens (uw post- en e-mailadres, telefoonnummer, adres van uw organisatie, enz.);
  • uw gezinssituatie (uw burgerlijke staat, aantal kinderen, enz.); 
  • informatie met betrekking tot uw opleiding en tewerkstelling (uw functie, CV, enz.);
  • gegevens over uw interacties met ons via onze websites, onze applicaties, telefoongesprekken, e-mails, interviews (uw IP-adres, IP-adresbereik, domeinnamen, taal, cookies, metagegevens, enz.);
  • uw gegevens met betrekking tot videobewaking van besloten, niet voor het publiek toegankelijke plaatsen (om veiligheidsredenen wanneer u onze kantoren bezoekt);
  • uw gegevens met betrekking tot administratieve sancties.

De door ons verwerkte gegevens kunnen rechtstreeks bij u zijn opgevraagd of bij andere bronnen om onze databanken te controleren of aan te vullen.

6. Met wie delen wij eventueel uw persoonsgegevens?

De gegevens die op u betrekking hebben, worden vertrouwelijk en veilig verwerkt om uw persoonsgegevens te beschermen.

Wij doen soms een beroep op dienstverleners die voor ons werken als onderaannemers en die als dusdanig ook de AVG en onze contractuele bepalingen moeten respecteren. Deze dienstverleners mogen uw gegevens niet voor andere doeleinden verwerken dan deze bepaald door het CCB.

Uw gegevens kunnen eventueel met andere overheden en overheidsinstellingen worden gedeeld als dit noodzakelijk is voor het vervullen van hun taken van algemeen belang.

7. Hoe beschermen wij uw gegevens?

Het CCB en zijn onderaannemers nemen passende technische en organisatorische maatregelen om ervoor te zorgen dat het beveiligingsniveau van uw persoonsgegevens op de risico’s is afgestemd.

Uw gegevens worden met name beschermd tegen ongeoorloofde toegang, onrechtmatig gebruik, verlies en ongeoorloofde wijzigingen.

8. Hoe lang bewaren wij uw persoonsgegevens?

Wij bewaren uw persoonsgegevens niet langer dan nodig is voor de doeleinden waarvoor de gegevens worden verwerkt, tenzij de bewaring ervan nodig is voor andere fundamentele doeleinden, met inbegrip van maar niet uitsluitend de naleving van onze wettelijke verplichtingen, klachtenbehandeling of geschillenregeling.

In principe bedraagt de maximale bewaartermijn:

  • van uw IP-adres: 24 uur, behalve wanneer uw IP-adres in het kader van een phishingpoging door het CCB wordt verwerkt om de malafide site te identificeren en de nodige maatregelen te nemen voor de veroordeling ervan. In dat geval kan uw IP-adres worden bewaard tijdens een periode van één (1) week tot één (1) maand, volgens de gebeurtenissen (bijv.: moeilijkheid om de website te identificeren, groot aantal phishingpogingen voor eenzelfde website en voor verschillende gebruikers, enz.);
  • van cookies: deze termijn is uitgebreid beschreven in bijlage II: cookiebeleid;
  • van uitwisselingen via het contactformulier en via e-mail: 12 maanden vanaf de laatste uitwisseling;
  • van logbestanden: 13 maanden vanaf de aanmaak ervan.

In het kader van het gebruik van het platform Safeonweb@Work bedraagt de maximale bewaartermijn:

  • van uw identificatiegegevens (naam, voornaam, e-mailadres, adres, telefoonnummer, functie, naam van de organisatie, KBO-nummer van de organisatie, postadres van de organisatie): deze termijn loopt zolang u het platform gebruikt;
  • van uw rijksregisternummer: 5 jaar vanaf uw laatste gebruik van het platform;
  • van uw IP-adres en het IP-adresbereik: 5 jaar vanaf uw laatste gebruik van het platform,
  • van uw domeinnaam: 5 jaar vanaf uw laatste gebruik van het platform;
  • van cookies: 13 maanden vanaf de aanmaak van het cookie;
  • van logbestanden: 13 maanden vanaf de aanmaak ervan.

Als uw persoonsgegevens moeten worden bewaard voor fundamentele doeleinden, met inbegrip van maar niet uitsluitend de naleving van onze wettelijke verplichtingen, geschillenregeling en klachtenbehandeling, dan kunnen ze langer worden bewaard dan hierboven vermeld.

Als federale overheidsinstelling zijn wij ook onderworpen aan de archiefwet van 24 juni 1955 en mogen wij de documenten in ons bezit dus niet vrij vernietigen. Bovendien kunnen documenten van een openbaar bestuur die geen administratief en/of juridisch nut meer hebben, wel nog een historisch, wetenschappelijk of statistisch belang hebben. Ze worden dan aan het Rijksarchief bezorgd. Vanuit dat oogpunt worden de administratieve documenten in ons bezit voor een bepaalde tijd in samenwerking met het Rijksarchief bewaard.

9. Wat zijn uw rechten en hoe kan u ze uitoefenen?

Overeenkomstig de toepasselijke regelgeving en behoudens wettelijke afwijkingen beschikt u over de volgende rechten:

  • Recht van inzage:u kan informatie verkrijgen over de verwerking van uw persoonsgegevens en een kopie van die gegevens.
  • Recht op rectificatie:als uw persoonsgegevens waarover we beschikken onjuist of onvolledig zijn, kan u die gegevens dienovereenkomstig laten aanpassen.
  • Recht op gegevenswissing:u kan vragen dat uw persoonsgegevens worden gewist. Uw verzoek zal evenwel niet worden ingewilligd als de verwerking van uw gegevens voor ons noodzakelijk is in het kader van onze wettelijke opdrachten, voor het vervullen van een van onze taken van openbaar belang of bij de uitoefening van het openbaar gezag dat ons is verleend, of nog voor de uitvoering van een overeenkomst of van precontractuele maatregelen.
  • Recht op beperking van de verwerking:u kan vragen dat de verwerking van uw persoonsgegevens wordt beperkt als u uw recht van bezwaar uitoefent, u de juistheid van de gegevens betwist, de verwerking ervan u onrechtmatig lijkt, of als u ze nodig hebt voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Behalve in uitzonderlijke gevallen zal de verwerking van uw gegevens dus worden opgeschort gedurende de tijd die nodig is om uw verzoek te verwerken.
  • Recht van bezwaar:u kan eventueel bezwaar maken tegen de verwerking van uw persoonsgegevens om redenen die verband houden met uw specifieke situatie.
  • Recht op het intrekken van uw toestemming:als uw persoonsgegevens uitsluitend worden verwerkt op basis van uw toestemming, hebt u het recht deze toestemming op elk ogenblik in te trekken.

Om de rechten op uw persoonsgegevens uit te oefenen, verzoeken wij u een kopie (scan of foto) bij te voegen van uw identiteitskaart, paspoort of soortgelijk document, met uw handtekening, waarop u de gegevens die niet relevant zijn om uw identiteit als betrokken persoon te controleren, kan verbergen. U kan op deze kopie ook de naam van de organisatie, de datum en het voorwerp van uw verzoek vermelden, zodat die later niet kan worden gebruikt voor andere doeleinden. Indien u echter een algemene vraag hebt, is het niet nodig om ons dit bewijs te leveren.

U kan onze functionaris voor gegevensbescherming een e-mail of brief sturen. Hieronder vindt u de gegevens:

CENTRUM VOOR CYBERSECURITY BELGIE

Ter attentie van de functionaris voor gegevensbescherming (FGB)

Wetstraat 16

1000 Brussel

E-mail: [email protected]

Meer informatie over de bescherming van persoonsgegevens vindt u op de website van de Gegevensbeschermingsautoriteit: https://www.gegevensbeschermingsautoriteit.be.

 

10. Welke uitzonderingen gelden op het uitoefenen van uw rechten?

De uitoefening van sommige van uw rechten (zie vorig punt) kan, op gemotiveerde wijze, worden beperkt of kan u worden geweigerd door het CCB, met name wanneer de verwerking van uw gegevens noodzakelijk is voor de toepassing van sommige wettelijke bepalingen en de uitoefening van die rechten daarmee onverenigbaar is.

11. Klachten

Indien u, na contact te hebben opgenomen met onze functionaris voor gegevensbescherming, van mening bent dat het Centrum voor Cybersecurity België uw persoonsgegevens niet zou hebben verwerkt in overeenstemming met de geldende regelgeving, hebt u het recht om klacht in te dienen bij de Gegevensbeschermingsautoriteit:

Gegevensbeschermingsautoriteit (GBA)

Drukpersstraat 35

1000 Brussel

Tel. +32 2 274 48 00

Fax +32 2 274 48 35

E-mail: [email protected]

Website: https://www.gegevensbeschermingsautoriteit.be

 

12. Wie contacteren in verband met uw persoonsgegevens?

Voor meer informatie over ons gegevensbeschermingsbeleid kan u contact opnemen met onze functionaris voor gegevensbescherming: [email protected]

13. Kan dit beleid worden aangepast?

Wij evalueren regelmatig ons beleid en behouden ons het recht voor om het op elk ogenblik aan te passen rekening houdend met wijzigingen van onze activiteiten of met nieuwe wettelijke voorschriften.

Om u te informeren over die aanpassingen, zullen wij de bijgewerkte versies van ons beleid op onze verschillende websites publiceren: “www.ccb.belgium.be”, “www.safeonweb.be” of "atwork.safeonweb.be”.

U kan de datum van de “laatste bijwerking” terugvinden bovenaan dit beleid zodat u kan nagaan wanneer het beleid het laatst is herzien.

Bijlage II: cookiebeleid

Wij gebruiken cookies op onze websites (“www.ccb.belgium.be”, “www.safeonweb.be” of “atwork.safeonweb.be”) of op onze applicaties om een optimale service te kunnen bieden. Een cookie is een klein bestand dat op uw computer of telefoon wordt opgeslagen. Het cookie kan worden opgehaald wanneer u dezelfde site op een later tijdstip bezoekt.

Deze cookies worden niet langer bewaard dan nodig is om het nagestreefde doeleinde te bereiken (hieronder vindt u meer informatie hierover).

De websites en applicaties van het CCB gebruiken de volgende cookies:

1. Essentiële en functionele cookies

Cookies worden als “essentieel” of “functioneel” beschouwd als ze noodzakelijk zijn om een bericht te verzenden via een elektronische-communicatienetwerk of om een uitdrukkelijk door de gebruiker gevraagde dienst te verlenen (bijvoorbeeld het cookie dat de taal van de gebruiker onthoudt voor de duur van een sessie).

Voor het gebruik van deze cookies is de toestemming van de gebruiker niet vereist.

 

Naam

Doeleinde

Bewaartermijn

language

Om de taalkeuze van de bezoeker van onze websites te onthouden.

 Sessiecookie

cookie_compliance

Om te weten of u al dan niet cookies aanvaardt.

13 maanden

TS0 of TSa (tekens na TS … variabel)

Wijst de verwerking van zoekopdrachten van eenzelfde gebruiker toe aan een server.

Sessiecookie

 

2. Statistische cookies

Cookies worden als “statistisch” beschouwd als ze het gebruik van een website of applicatie meten. U kan onderstaande cookies weigeren als u onze website wil bezoeken.

 

Naam

Doeleinde

Bewaartermijn

_pk_id

 

Analyse van de bezoeken

13 maanden

_pk_ref

 

Analyse van de bezoeken

6 maanden

_pk_ses, _pk_cvar, _pk_hsr

Analyse van de bezoeken

30 minuten

 3. Externe links

Onze websites of applicaties vermelden soms externe links om bepaalde informatie te documenteren. De gebruiker is verantwoordelijk voor de activering van deze links. We raden evenwel aan om de privacyverklaring en het cookiebeleid van de betrokken site te raadplegen.

4. Hoe kan ik nagaan welke cookies geïnstalleerd zijn op mijn toestel en hoe kan ik ze verwijderen?

Als u wil weten welke cookies op uw toestel geïnstalleerd zijn en als u die wil verwijderen, kan u een parameter van uw browser gebruiken. U vindt meer uitleg over de werkwijze via onderstaande links.

Firefox

Chrome

Safari

Internet Explorer

Firefox (mobile)

Chrome (mobile)

Safari (mobile)

Microsoft Edge

Gebruikt u een andere browser? Controleer dan of de procedure voor uw browser vermeld is op de website www.allaboutcookies.org/manage-cookies. Deze site is enkel beschikbaar in het Engels.