Registratie van verwerkingsactiviteiten
EITCA Academy-registratie van verwerkingsactiviteiten
Het European IT Certification Institute houdt het register van verwerkingsactiviteiten bij, een document dat de verwerking van persoonsgegevens door de organisatie beschrijft. Het is vereist onder de Algemene Verordening Gegevensbescherming (AVG) van de EU en is bedoeld om het begrip van gegevensverwerkingsactiviteiten te ondersteunen en naleving van de AVG aan te tonen.
De ROPA bevat basisinformatie over de naam en contactgegevens van de organisatie, de doeleinden van de gegevensverwerking, de categorieën van verwerkte persoonsgegevens, de ontvangers van de persoonsgegevens en de bewaartermijnen van de persoonsgegevens. Het bevat ook informatie over eventuele externe verwerkers die namens de organisatie persoonsgegevens verwerken.
Het bijhouden van het register van verwerkingsactiviteiten door het European IT Certification Institute maakt deel uit van haar Data Subject Rights Requests Management en GDPR-beleid. De ROPA wordt regelmatig bijgewerkt en is een levend document dat veranderingen weergeeft in de gegevensverwerkingsactiviteiten van het Europees IT-certificeringsinstituut ter ondersteuning van het opbouwen van vertrouwen bij betrokkenen. De laatste update van het EITCI-record van verwerkingsactiviteiten vond plaats op 10 januari 2023.
1. Gegevensverwerker
1.1. Naam gegevensverwerker
European Information Technologies Certification Institute (afkorting: EITCI)
1.2. Juridische status van gegevensverwerker
Vereniging zonder winstoogmerk (association sans but lucratif, ASBL) in België
1.3. Registratienummer gegevensverwerker
0807397811 in het Belgische KBO/BCE Register
1.4. Rol van gegevensverwerker
Certificatie-instelling
1.5. Gegevensverwerker Registratiedatum
17th oktober 2008
1.6. Contactgegevens gegevensverwerker
Europees IT-certificeringsinstituut
Seizoenslaan 100-102
1050 Brussel, België
Telefoon: + 32 2 588 73 51
E-mail: [email protected]
1.7. Contactgegevens functionaris gegevensbescherming (DPO).
E-mail: [email protected]
2. Doel van en details van verwerkingsactiviteiten van persoonsgegevens
2.1. Certificering van vaardigheden en competenties in de EITC/EITCA-certificeringsprogramma's
2.1.1. Verzamelde persoonlijke gegevens
Naam, adres, e-mailadres, telefoonnummer, functietitel, naam van de organisatie, testen en beoordelen van vaardigheden en kwalificaties, betalingsinformatie
2.1.2. Wettelijke basis voor verwerking
Contractuele verplichting
2.1.3. Categorieën van gegevenssubjecten
Klanten, medewerkers van klanten
2.1.4. Ontvangers van persoonlijke gegevens
Intern personeel, regelgevende instanties, exploitanten van hosting- en clouddatacenters, klanten, externe belasting- en accountantskantoren
2.2. Certificering van oplossingen, producten en diensten voor naleving van industriestandaarden
2.2.1. Verzamelde persoonlijke gegevens
Naam, adres, e-mailadres, telefoonnummer, functietitel, naam van de organisatie, betalingsinformatie, informatie over oplossing/product/dienst
2.2.2. Wettelijke basis voor verwerking
Contractuele verplichting
2.2.3. Categorieën van gegevenssubjecten
Klanten, medewerkers van klanten
2.2.4. Ontvangers van persoonlijke gegevens
Intern personeel, regelgevende instanties, exploitanten van hosting- en clouddatacenters, klanten, externe belasting- en accountantskantoren
2.3. Marketing en promotie van certificeringsdiensten
2.3.1. Verzamelde persoonlijke gegevens
Naam, adres, e-mailadres, telefoonnummer, functietitel, naam van de organisatie, informatie over oplossing/product/dienst
2.3.2. Wettelijke basis voor verwerking
Toestemming
2.3.3. Categorieën van gegevenssubjecten
Potentiële klanten
2.3.4. Ontvangers van persoonlijke gegevens
Intern personeel, regelgevende instanties, exploitanten van hosting- en clouddatacenters, externe marketingbedrijven
2.4. Personeelsbeheer
2.3.1. Verzamelde persoonlijke gegevens
Naam, adres, e-mailadres, telefoonnummer, functietitel, salarisinformatie, prestatiebeoordelingen, testen en beoordelen van vaardigheden en kwalificaties
2.3.2. Wettelijke basis voor verwerking
Contractuele verplichting
2.3.3. Categorieën van gegevenssubjecten
Werknemers
2.3.4. Ontvangers van persoonlijke gegevens
Intern personeel, regelgevende instanties, exploitanten van hosting- en clouddatacenters, externe payrollbedrijven, externe belasting- en boekhoudbedrijven
3. Gegevensoverdracht
3.1. Doorgifte van persoonsgegevens naar datacenters (hosting, datacloud) buiten de EU
Passende waarborgen: standaardcontractbepalingen
3.2. Doorgifte van persoonsgegevens aan IT-, marketing-, belasting- en accountantskantoren
Passende waarborgen: Verwerkersovereenkomst met Modelcontractbepalingen
4. Bewaartermijnen
4.1. Certificering gegevens
Bewaard gedurende 10 jaar na het verlopen van de certificering.
4.2. Werknemer gegevens
Na beëindiging van het dienstverband 8 jaar behouden.
4.3. Marketinggegevens
Behouden tot intrekking van de toestemming.
5. Beveiligingsmaatregelen
- Toegangscontroles tot persoonsgegevenssystemen.
- Versleuteling van persoonlijke gegevens tijdens verzending en in rust.
- Regelmatige security awareness training voor medewerkers.
- Regelmatige beveiligingsaudits en risicobeoordelingen.
- Naleving van het EITCI-informatiebeveiligingsbeleid.
6. Bekijk en update
Dit register van verwerkingsactiviteiten wordt periodiek herzien en bijgewerkt, ook wanneer er een belangrijke wijziging is in de gegevensverwerkingsactiviteiten van het European IT Certification Institute.
Het European IT Certification Institute zet zich in voor het handhaven van de hoogste normen met betrekking tot de bescherming van persoonsgegevens en naleving van de Algemene Verordening Gegevensbescherming, en zorgt ervoor dat wordt voldaan aan alle toepasselijke wet- en regelgeving met betrekking tot deze kwesties, evenals aan toonaangevende industrienormen en best practices, waaronder het ISO 27701 Privacy Information Management System.