Deze policy bevat de richtlijnen, die RCF Accountants hanteert bij de verwerking van persoonsgegevens, conform de doelstellingen en verplichtingen voortvloeiende uit de Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens van 30 juli 2018 en andere relevante wet- en regelgeving.

• De besloten vennootschap met beperkte aansprakelijkheid ‘RCF Accountants’, met maatschappelijke zetel te 8400 Oostende, Torhoutsesteenweg 302 ingeschreven in het rechtspersonenregister te Brugge, Nederlandstalige afdeling en met btw-nummer BE 0806.746.921.

Hierna ‘RCF genoemd.

RCF wenst u te vragen deze privacy policy aandachtig te lezen, daar dit document essentiële informatie bevat over de wijze waarop uw persoonsgegevens worden verwerkt. Als verwerkingsverantwoordelijke staan wij in voor de verwerking van heel wat gegevens. Een deel van deze gegevens hebben betrekking op uw persoonsgegevens en in dit kader delen wij U het volgende mee.

Doeleinden van verwerking van persoonsgegevens

Hieronder wordt opgesomd voor welke doeleinden RCF uw persoonsgegevens verwerkt op en welke grondslag de verwerking steunt. De verwerking van persoonsgegevens heeft betrekking op uw hoedanigheid als cliënt van het kantoor maar ook op de zakelijke relatie van onze cliënten (zoals de situatie waarin u leverancier of klant bent van onze cliënt).

Dienstverlening

In het kader van de dienstverlening worden persoonsgegevens door RCF verwerkt. Het gaat onder meer om de volgende categorieën persoonsgegevens: (digitale) identificatiegegevens, contactgegevens, financiële gegevens, ...

Dit om RCF ertoe te brengen om haar diverse dienstverlening ten aanzien van haar cliënten uit te voeren. Voor een uitgebreid overzicht van al onze dienstverlening verwijzen wij naar Diensten - RCF-Accountants.

Niet-limitatief kan dit bijvoorbeeld zijn het opnemen van het auditmandaat, het voeren van de boekhouding, fiscale adviezen, juridische adviezen, bijstand op maat, …

RCF is tevens onderhevig aan verschillende wettelijke verplichtingen. Opnieuw kan hier niet-limitatief onder meer verwezen worden naar het cliëntenonderzoek in de anti witwaswet en de wettelijke verplichting inzake het bijhouden van sociale, fiscale en boekhoudkundige documenten.

Ook is RCF binnen haar business lines audit en accountancy gebonden aan de specifieke bepalingen en beroepscodes van het IBR en het ITAA.

Voor de verbetering van onze dienstverlening maken wij tot slot continu werk van optimalisatie van onze (interne) processen en het exploreren van nieuwe services.

De door ons verstrekte consultancy maakt de verwerking van persoonlijke gegevens afhankelijk van de dienst(en) waarvan de cliënt gebruik maakt.

Zo verwerken wij bijvoorbeeld in sommige gevallen ook persoonlijke gegevens van de werknemers van onze cliënten. Tevens verwerken wij persoonsgegevens van werknemers en klanten van onze cliënten tijdens de uitvoering van een audit.  Tot slot verwerken wij persoonsgegevens van cliënten tijdens het bijhouden van accounts en persoonsgegevens van familieleden van cliënten in kader van adviesverlening op gebied van vermogensplanning.

Website

In het kader van de toegang die u zichzelf verleent tot en het gebruik dat u maakt van onze website, worden volgende persoonsgegevens verwerkt:

• Uw IP-adres
• Uw surfgedrag (Google Analytics)
• Cookies

RCF verwerkt bovenstaande gegevens met het oog op het optimaliseren van de inhoud en de werking van de website, overeenkomstig de behoeften van de bezoeker daarvan. Voor deze verwerking beroepen wij ons op het gerechtvaardigd belang dat wij hebben bij het aanbieden van een vlot toegankelijke, begrijpelijke, adequate, volledige en relevante website.

Voor meer informatie aangaande het gebruik van onze website, wordt verwezen naar de cookie policy.

Direct marketing

Bij het bezorgen van nieuwsbrieven en folders (elektronisch of per post), worden volgende persoonsgegevens verwerkt:

• Uw naam en voornaam
• Uw adres
• Uw e-mailadres

Bovenstaande gegevens worden verwerkt met het oog op de personalisatie van onze nieuwbrief en onze folders, alsook om u op de hoogte te brengen van voor uw onderneming relevante en interessante informatie. Dit betekent dat wij u informatie opsturen waarvan wij denken dat u dit interessant kan vinden en/of de informatie u kan helpen bij de zoektocht naar een geschikte kandidaat of werkgever. Meer specifiek kan dit gaan over promoties, aanbiedingen, netwerk- en klantenevenementen, rapporten, vacatures.

RCF doet dit op basis van het gerechtvaardigd belang. Wij besteden immers grote zorg aan het op maat aanbieden van deze direct marketing, zodat dit zeer nauw aansluit bij de interesses of toekomstperspectieven van de ontvangers.

RCF zal steevast voorzien in een opt-out mogelijkheid.

U kan te allen tijde en kosteloos uw bezwaar tegen het gebruik van uw persoonsgegevens voor direct marketing-doeleinden kenbaar maken. U richt daartoe een eenvoudig verzoek tot het RCF webteam, te bereiken via het e-mailadres rcf@rcfaccountants.be.

Geen verplichting om gegevens over te maken

U bent niet verplicht uw persoonsgegevens over te maken aan RCF. U bent zich er evenwel van bewust dat de weigering van een aantal basisgegevens tot gevolg kan hebben wij in de onmogelijkheid verkeren bepaalde diensten te verlenen.

Bewaartermijnen

Uw persoonsgegevens die door RCF worden verwerkt, worden bewaard conform de wettelijke verplichting die RCF daartoe heeft of tot zolang deze gegevens nodig zijn om een kwalitatieve dienstverlening te garanderen. Persoonsgegevens die bewaard worden krachtens de wet van 18 september 2017 (identificatiegegevens, afschrift van bewijsstukken, interne en externe lasthebbers, alsmede de uiteindelijke begunstigden) worden, in overeenstemming met de wet, bewaard tot uiterlijk tien jaar na het einde van de zakelijke relatie met de cliënt of te rekenen vanaf de datum van een occasionele verrichting.

Andere persoonsgegevens dan hierboven vermeld worden slechts bewaard gedurende de termijnen voorzien in de toepasselijke wetgeving, zoals de boekhoudwetgeving, de fiscale wetgeving, de sociale wetgeving, en tenzij een langere bewaartermijn gerechtvaardigd is ter indekking van mogelijke rechtsvorderingen.

Rechten

Als betrokkene wiens persoonsgegevens worden verwerkt, beschikt u over een aantal rechten, aangaande de verwerkingen die door ons worden verricht.

Om uw rechten uit te oefenen, dient u zich te wenden tot het RCF webteam, te bereiken via het e-mailadres rcf@rcfaccountants.be of via het online contactformulier

RCF is verplicht op dit verzoek te reageren binnen een termijn van één maand. Slechts wanneer u uw verzoek tot uitoefening van uw rechten via voormelde procedure aan de bevoegde dienst overmaakt, zal een gepaste reactie volgen binnen de gestelde termijn.

U beschikt over volgende rechten:

Recht op inzage en toegang

U heeft een recht op toegang tot uw persoonsgegevens, alsook het recht het gebruik ervan te raadplegen via het e-mailadres rcf@rcfaccountants.be. U kan te allen tijde op eenvoudig verzoek een kosteloze kopie verkrijgen van uw beschikbare persoonsgegevens.

Recht op verbetering, wissing en beperking

Behoudens voor die persoonsgegevens die noodzakelijkerwijs verwerkt moeten worden in het kader van antiwitwaswetgeving en klantenacceptatieprocedure of in het kader van de bewaring krachtens een wettelijke verplichting, kan u zelf aangeven welke persoonsgegevens geheel niet of slechts voor een beperkt aantal verwerkingen verwerkt mogen worden. U kan daarenboven vragen om die persoonsgegevens, die geheel of gedeeltelijk niet verwerkt mogen worden, te verwijderen. U kan eveneens vragen uw persoonsgegevens te verifiëren en, indien nodig, te verbeteren.

Recht van bezwaar, geautomatiseerde besluiten en profiling

U kan zich te allen tijde verzetten tegen de verwerking van uw persoonsgegevens, wanneer dit bezwaar steunt op ernstige en legitieme redenen. Indien u zich wenst te verzetten tegen het gebruik van uw persoonsgegevens voor direct marketing-doeleinden, hoeft u hiervoor geen reden op te geven.

De verwerking van persoonsgegevens gebeurt niet op basis van geautomatiseerde beslissingen, met andere woorden niet zonder enige menselijke tussenkomst. Profiling gebeurt niet op basis van de beschikbare persoonsgegevens.

Recht op het intrekken van toestemming

Indien een verwerking van uw persoonsgegevens is gesteund op de toestemming die u daartoe hebt gegeven, kan u deze toestemming op ieder ogenblik weer intrekken.

Recht op overdraagbaarheid

Onder de voorwaarden bepaald in de AVG heeft u het recht om uw persoonsgegevens op een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. U kan vragen uw gegevens op deze wijze over te dragen aan een andere Verwerkingsverantwoordelijke.

Doorgifte aan derden

RCF verbindt zich ertoe uw persoonsgegevens niet te verkopen, te verhuren, te verdelen of op enige andere wijze ter beschikking te stellen aan derden, tenzij de mededeling aan de derde geschiedt in het kader van een wettelijke verplichting. In uitzonderlijke gevallen verplicht dwingende wetgeving ons ertoe uw persoonsgegevens over te maken aan de bevoegde overheidsinstanties. Hetzelfde geldt wanneer een gerechtelijk bevel aan RCF de verplichting oplegt om persoonsgegevens mee te delen aan een aantal personen die krachtens het gerechtelijk bevel bevoegd zijn om van de betreffende persoonsgegevens kennis te nemen.

RCF maakt echter een voorbehoud voor de gedeeltelijke of gehele reorganisatie of een overdracht van de activiteiten van de onderneming. In dit geval worden met de bedrijfsactiviteiten ook uw persoonsgegevens overgedragen aan die derden, die betrokken zijn bij de overdracht en de vertrouwelijke onderhandelingen voorafgaandelijk aan de overdracht.

In de mate van het mogelijke zal u op de hoogte gesteld worden van de doorgifte aan voormelde derden.

Ontvangers van gegevens

Uw persoonsgegevens worden intern doorgegeven op basis van een “need to know”-principe.

Overeenkomstig wat voorafgaat en behoudens in de mate dat de mededeling van persoonsgegevens aan organisaties of entiteiten wiens tussenkomst als third service providers voor rekening en onder de controle van de verantwoordelijke vereist is, zal RCF de in dit kader verzamelde persoonsgegevens niet meedelen, verkopen, verhuren of uitwisselen met enige andere organisatie of entiteit, tenzij u daar op voorhand van op de hoogte werd gebracht en hier uitdrukkelijk mee instemde.

RCF doet een beroep op third service providers:

•     RCF maakt gebruik van een e-boekhoudsoftware en een bijhorend portaal;

•     RCF schakelt andere softwareleveranciers in voor het uitvoeren van haar dienstverlening;

•     RCF doet een beroep op externe medewerkers voor het uitvoeren van bepaalde taken of specifieke opdrachten (bedrijfsrevisor, notaris, …)

In de overeenkomsten met al deze third service providers werden de nodige garanties ingebouwd om de overdracht in overeenstemming te brengen met de relevante data protectie regelgeving, zij het het door middel van een verwerkersovereenkomst, zij het het door middel van het bepalen van de respectievelijke hoedanigheden.

Veiligheid en vertrouwelijkheid

RCF garandeert dat de verwerking van uw persoonsgegevens op een adequate, correcte en veilige wijze gebeurt. Hieronder wordt u op een transparante wijze geïnformeerd over de verwerkingsprocedures en de genomen passende, technische en organisatorische maatregelen om enig verlies, vervalsing of onrechtmatige wijziging van, alsook onrechtmatige toegang tot de persoonsgegevens te voorkomen.

Organisatorische maatregelen

1.  Er werd door RCF een uitgebreide privacy policy opgesteld, waarbij zowel extern als intern uitleg wordt verschaft omtrent de door RCF verwerkte persoonsgegevens. In deze privacy policies werden onder meer de rechten van de betrokkenen, de beveiliging en het retentiebeleid uitgebreid vooropgesteld.
2.  Alle medewerkers werden door RCF geïnformeerd en gesensibiliseerd. De vinger wordt bijkomend aan de pols gehouden door het opstellen van policies en procedures en doordat medewerkers worden gevraagd deel te nemen aan interne infosessies en periodieke opleidingen.
3.  Er werd een Data Protection Officer aangeduid binnen RCF, te bereiken via rcf@rcfaccountants.be.
4.  RCF verbindt zich ertoe om bij de implementatie of het uitwerken van elk nieuw project grondig de rechten van de betrokkenen te overwegen en indien nodig een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren.

Juridische maatregelen  

1. In de arbeidsovereenkomsten, in het arbeidsreglement e.a. interne policies voor onze interne medewerkers zijn bepalingen opgenomen met betrekking tot de geheimhouding en bescherming van de persoonlijke levenssfeer inzake gegevens die ons in het kader van onze opdracht werden toevertrouwd. Deze documenten werden bijgewerkt waar nodig om te voldoen aan GDPR vereisten;
2.  Er werden verwerkersovereenkomsten opgesteld teneinde de gegevensoverdracht naar onze leveranciers die verwerkers zijn in de zin van GDPR correct in te kapselen.
3.  Clausules die betrekking hebben op privacy, beveiliging en bescherming van persoonsgegevens in contracten en andere documenten die met klanten uitgewisseld worden, werden en worden strikt opgevolgd en te allen tijde geëvalueerd.
4.  RCF dringt bij eventuele wederpartijen die ook verwerkingsverantwoordelijke zijn, er tevens op aan om een GDPR statement over te maken, zodat ook in deze relatie garanties worden geboden in verband met het GDPR conform verwerken van persoonsgegevens.

Technische maatregelen

1.  Controle op fysieke toegang tot het datacenter, waarbij identificatie via identiteitskaart verplicht is.
2.  Fysieke beveiliging van de infrastructuur in het datacenter omvat ook redundante koelsystemen, alarmsystemen en internetlijnen
3.  In ons kantoor zijn redundante internetlijnen voorzien, waarbij een automatische omschakeling naar de back-up lijn – van een andere provider – voorzien is.
4.  Redundante omgeving waarbij automatisch omgeschakeld wordt als een van de fysieke toestellen problemen heeft. Dit geldt o.a. voor servers, gateways, firewalls, switches en storage.
5.  Meerdere back-ups per dag die geëncrypteerd worden weggeschreven naar fysiek afgescheiden locaties. Hierbij wordt ook naar een cloud back-up opslag weggeschreven die ook nog eens ontdubbeld is.
6.  Een firewall die de toegang verzekert en controleert voor slechts een aantal toegestane regio’s en IP-adressen. Dit voor services die extern bereikbaar zijn. Hiervoor gebruiken we achterliggend nog reversed proxies als extra beveiliging.
7.  Toegang tot interne systemen is beveiligd met een persoonlijk wachtwoord dat op regelmatige basis verplicht gewijzigd wordt en aan een bepaalde complexiteit moet voldoen. Toegang tot data is bepaald in kader van functie en wat effectief nodig is om de functie uit te kunnen oefenen.
8.  Via een VPN-verbinding kan toegang verkregen worden tot het RCF-netwerk en data. Hierbij is een autorisatie op basis van een persoonlijk wachtwoord – zelfde als punt 7 – nodig.
9.  Een volledige testomgeving waarbij alle softwares eerst in test geïnstalleerd worden en achteraf uitvoerig getest worden.
10.  Op frequente basis worden alle softwares en systemen geüpdatet in kader van beveiliging en performantie.
11.  Elk toestel is uitgerust met een anti-virus die actuele bedreigingen en info ophaalt uit een globale database.
12.  Gebruikers hebben geen administrator rechten, waardoor enkel aangeboden en goedgekeurde bedrijfssoftware op de pc’s aanwezig is.
13.  E-mail gaat eerst door een anti-spam filter alvorens e-mail afgeleverd wordt bij de gebruiker. Ook hier wordt gebruik gemaakt van een globale database.
14.  Controle op de invoer, wijziging en schrapping van gegevens via een systeem van logging zodat achteraf kan vastgesteld worden wie welke wijzigingen heeft aangebracht in de software-applicaties.
15.  Clean desk policy om fysiek dataverlies tegen te gaan.
16.  Aangeboden WiFi in de kantoren is volledig afgescheiden van het RCF-netwerk, zodat toegang tot ons netwerk via deze weg niet mogelijk is voor derden.

Klachten

Indien u meent dat uw rechten als betrokkene worden geschaad door of bij de verwerking van uw persoonsgegevens, beschikt u over het recht een klacht in te dienen bij de Toezichthouder (Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel, e-mail:  contact@apd-gba.be, tel. +32 (0)2 274 48 00, fax +32 (0)2 274 48 35), onverminderd elke andere mogelijkheid tot het aantekenen van een administratief beroep of het instellen van een voorziening in rechte.

Wijzigingen

RCF behoudt zich het recht voor onderhavige policy te wijzigen.

Indien wezenlijke aanpassingen worden doorgevoerd, nemen wij alle redelijke maatregelen om u op de hoogte te stellen, voordat de wijzigingen van kracht worden.