Algemene voorwaarden
Versie 15/05/2025
Deze algemene voorwaarden zijn van toepassing op de diensten en applicaties die op of via het DPA-platform beschikbaar zijn (hierna de “Webapplicaties” genoemd). Deze diensten worden aangeboden door:
- DPA cv, Koningsstraat 146, 1000 Brussel (RPR BE 057 674 145) (“DPA”)
- Orde van Vlaamse Balies, Staatsbladstraat 8, 1000 Brussel, RPR: 0267.393.267 ("OVB");
- L'Ordre des Barreaux Francophones et Germanophones, Hoogstraat 139 bte 20, 1000 Brussel, RPR: 0850.260.032 ("OBFG");
- Orde van advocaten bij het Hof van Cassatie van België (“A(D)VOCASS”), 1000 Brussel, RPR: 0240.714.012
Hierna gezamenlijk of individueel aangeduid als de “Dienstverlener”.
DPA is technische leverancier van de verschillende diensten die beschreven zijn in deze algemene voorwaarden ten behoeve van OVB, OBFG, A(D)VOCASS. Deze laatsten handelen als aanbieder van deze diensten.
Toegang tot het platform via websites en derden
- De Webapplicaties die via dit platform beschikbaar zijn, kunnen geïntegreerd of gehost worden op een website (de “Website”) waarvan de voorwaarden verschillend kunnen zijn.
Toegang tot deze Webapplicaties kan eveneens worden verschaft via een door de Dienstverlener toegestane aanbieder van software of door derden die, met toestemming van de Dienstverlener, een integratie hebben gedaan met de software of diensten van Dienstverlener (de “Derden-Integrators”). Dergelijke toegang wordt dan in de regel verschaft na activatie met de unieke code gegenereerd in het profiel van de gebruiker op het platform. De gebruiker verbindt zich ertoe deze code (activatiesleutel) vertrouwelijk te houden en slechts te gebruiken voor de integratie van het platform in door de Dienstverlener toegestane software.
De door de Dienstverlener toegestane aanbieder van software en Derden-Integrators kunnen bijkomende voorwaarden opleggen. Behoudens andersluidend en expliciet schriftelijk akkoord van de Dienstverlener blijven deze Algemene Voorwaarden onverminderd van toepassing tussen de Dienstverlener en de gebruiker.
Toegang tot diensten en informatiebronnen en voorrang van specifieke voorwaarden
- De Dienstverlener kan via het DPA-platform toegang verlenen tot andere diensten of informatiebronnen die al dan niet onder de controle van de Dienstverlener vallen en waarop afzonderlijke voorwaarden van toepassing zijn of die onderworpen zijn aan specifieke wettelijke bepalingen.
- Eventuele specifieke voorwaarden van een applicatie die afwijken van deze algemene voorwaarden van het DPA-platform hebben voorrang op deze algemene voorwaarden. Het is noodzakelijk om deze algemene voorwaarden en de toepasselijke specifieke voorwaarden aandachtig door te nemen voordat u de Webapplicaties en de Website gebruikt.
Aanvaarding voorwaarden en toegestane gebruikers
Na aanvaarding van de toepasselijke voorwaarden en mits naleving van de wettelijke bepalingen mogen de Webapplicaties gebruikt worden door de toegestane gebruikers. Deze zijn:
- Alle advocaten die lid zijn van een Orde die deel uitmaakt van de Orde van Vlaamse Balies (OVB), de Ordre des Barreaux Francophones et Germanophone (Avocats.be), of de Orde van advocaten bij het Hof van Cassatie van België (A(D)VOCASS) en die niet geschorst zijn of tegenover wie geen maatregel is genomen die hen de toegang tot de Webapplicaties of de informatie die toegankelijk is via de Webapplicaties opschort of ontneemt;
- De administratieve medewerkers die door bovenvermelde advocaten zijn gemachtigd om de aanvragen in hun naam en voor hun rekening te gebruiken, en dit uitsluitend als onderdeel van hun mandaat voor deze gebruikers (hierna de “Gemachtigende(n))” genoemd); en
- Andere gebruikers die worden aangeduid als toegestane gebruikers in de specifieke voorwaarden van de Webapplicaties.
De advocaten, hun administratieve medewerkers of andere toegestane gebruikers worden in deze algemene voorwaarden aangeduid met de term “Gebruiker(s)”.
- Gebruikers moeten ervoor zorgen dat hun Gemachtigde(n) onderworpen is/zijn aan passende vertrouwelijkheidsregels, (die wanneer het gaat over Advocaten o.m. het beroepsgeheim waarborgt en) waardoor de wettelijke bepalingen met betrekking tot de bescherming van de privacy en de bescherming van persoonsgegevens, van de personen wiens gegevens via de aanvragen worden verwerkt, worden nageleefd. De handelingen die de Gemachtigden stellen gebeuren steeds voor rekening van de Gebruikers in kwestie, die volledig aansprakelijk zijn bij eventuele inbreuken.
Een overzicht van de algemene en specifieke voorwaarden die de Gebruiker heeft aanvaard is beschikbaar op het DPA-platform. Op het platform is eveneens een overzicht beschikbaar van de machtigingen die een Gebruiker heeft verleend.
- Door de Webapplicaties te gebruiken, bevestigen de Gebruikers dat zij deze algemene voorwaarden hebben gelezen en begrijpen en dat ze het ermee eens zijn dat deze voorwaarden op hen van toepassing zijn. De Gebruikers zullen derden niet toestaan om de Webapplicaties te gebruiken als deze derden niet voldoen aan de voorwaarden, zoals in deze algemene voorwaarden en in de toepasselijke specifieke voorwaarden. Gebruikers zijn in ieder geval verplicht om derden te informeren over de inhoud van deze algemene voorwaarden.
Betalende diensten, facturatie en betaling
Het gebruik van het DPA-platform, de Elektronische Advocatenhandtekening, en de diensten waartoe de Webapplicaties toegang geeft, kan betalend zijn. Als dit het geval is, zullen deze kosten duidelijk worden meegedeeld via de Webapplicatie en zal de Gebruiker ze op voorhand moeten aanvaarden. Kosten die op een andere locatie worden meegedeeld zijn louter indicatief.
De Gebruikers bevestigen dat zij de kosten aanvaarden wanneer zij de betalende diensten gebruiken. Van de bestelde betaalde diensten wordt op het DPA-platform een schriftelijke samenvatting in elektronische vorm bewaard gedurende 90 dagen. In functie van de bestelde diensten, zijn de facturen van Dienstverlener ofwel op voorhand, ofwel binnen een termijn van 30 dagen betaalbaar.
De kosten worden alleen in rekening gebracht indien de bestelde dienst met succes is geleverd, tenzij het falen van de dienst geheel of gedeeltelijk te wijten is aan een foutieve of onvolledige opgave van gegevens door de Gebruiker, of tenzij essentiële onderdelen van de dienst nog steeds met succes uitgevoerd kunnen worden.In principe worden de facturen uitgegeven door DPA. De Gebruikers aanvaarden om facturen te ontvangen in elektronische vorm op hun geregistreerd e-mailadres dat is gelinkt met hun account op het DPA-platform en vanaf 1 januari 2026 via het Europese Peppol-netwerk.
Indien de Gebruiker de vorige facturen van de Dienstverlener niet volgens de op de factuur vermelde betalingsvoorwaarden heeft voldaan, kan hem de toegang ontzegd worden tot een of meerdere diensten van de Webapplicaties.
De Gebruiker, die advocaat is of die optreedt namens een advocaat, erkent dat de punctuele betaling van de facturen een verplichting is die deel uitmaakt van de confraternele uitoefening van het beroep van advocaat en dat, in geval van aanhoudende niet-betaling van onbetwiste facturen van de Dienstverlener, de Dienstverlener maatregelen zal nemen voor de invordering hiervan, en daarnaast de bevoegde stafhouder van de advocaat hiervan in kennis zal stellen voor eventuele tuchtrechtelijke maatregelen.
Identificatie en authenticatie tot diensten of informatiebronnen van derden
Teneinde gebruik te maken van de diensten en/of informatiebronnen van derden, die via de Webapplicaties toegankelijk zijn, dienen Gebruikers zich betrouwbaar te identificeren en te authenticeren. Hiertoe staat de Gebruiker de Dienstverlener toe om zijn identiteit, zijn hoedanigheid (als advocaat, mandaathouder of andere) en zijn vergunning te controleren en zal de Gebruiker alle dienstige gegevens meedelen die de Dienstverlener vereist. De Dienstverlener verwerkt hiervoor de gegevens zoals beschreven in de Privacyverklaring DPA Access.
De Gebruiker stemt ermee in dat de Dienstverlener de Gebruiker identificeert door (a) voor niet-advocaten (zoals bv. administratieve medewerkers, het uitlezen van een identiteitsdocument (eID, ITSME of andere authenticatiemethode aangeboden door de Federal Authentication Service van de FOD BOSA), (b) voor Gebruikers-advocaten, door het verwerken van identificitiegegevens uit de elektronische lijsten zoals bepaald in art. 434/1 Ger. W., die gelden als authentieke bron voor advocatengegevens, aangevuld met het uitlezen van een identiteitsdocument zoals bepaald in de Privacyverklaring DPA Access.
Na identificatie en authenticatie zullen Gebruikers toegang krijgen tot de diensten of informatiebronnen indien zij voldoen aan de daartoe voorziene voorwaarden van deze diensten of informatiebronnen. Dit veronderstelt dat zij de toepasselijke (specifieke of aanvullende) voorwaarden aanvaarden en respecteren.
- De diensten en/of informatiebronnen kunnen toegang verschaffen tot elektronische registers, waarvoor de wetgever, de overheid of derden een beheerder voor hebben aangesteld, zoals bijvoorbeeld de Orde van Vlaamse Balies (‘OVB’), Ordre des Barreaux Francophones et Germanophone (‘AVOCATS.BE’), (hierna, de ‘Beheerder’). De Gebruiker zal de diensten en/of informatiebronnen niet gebruiken of consulteren voor andere doeleinden dan toegelaten door de wet, de specifieke gebruiksvoorwaarden en, in geval van de Gebruikers- advocaten, de deontologische regels die op hem/haar van toepassing zijn.
Aanmaak en gebruik elektronische advocatenhandtekening (DPA-Sign)
- De Dienstverlener biedt de Gebruiker-advocaat de mogelijkheid om een elektronische handtekening te activeren, die de hoedanigheid als advocaat bevestigt (de ‘Elektronische Advocatenhandtekening’). De Elektronische Advocatenhandtekening kan worden geactiveerd met ITSME en het persoonlijke gekwalificeerde handtekencertificaat van de Gebruiker. De Elektronische Advocatenhandtekening linkt het persoonlijke gekwalificeerde elektronische handtekencertificaat van de Gebruiker aan de volgende gegevens uit de elektronische lijsten zoals bepaald in art. 434/1 Ger. W., die gelden als authentieke bron voor advocatengegevens:
- de naam, voornaam
- het unieke advocaten-ID van de Gebruiker (UU-ID)
zonder het rijksregisternummer of BIS-nummer van de Gebruiker weer te geven. De Elektronische Advocatenhandtekening zal volgende gegevens bevatten en weergeven:
- de naam en voornaam van de advocaat zoals gekend in het gebruikersprofiel van de Gebruiker-advocaat,
- de hoedanigheid "advocaat", en
- de UUID van de Gebruiker-advocaat.
De Elektronische Advocatenhandtekening is niet verplicht. Elke advocaat kiest zelf om deze te activeren. De verwerking van persoonsgegevens die hiervoor noodzakelijk is, vindt u terug in de Privacyverklaring DPA Access. Deze vindt u hier terug: https://dp-a.be/nl/privacyverklaring. Om de Elektronische Advocatenhandtekening te activeren en te gebruiken dient de Gebruiker-advocaat te beschikken over een recente smartphone, een actieve account op ITSME en een account op de externe diensten van door de Dienstverlener toegelaten handtekenplatformen (“Handtekenplatformen”).
De Gebruiker-advocaat die de Elektronische Advocatenhandtekening activeert en gebruikt garandeert enkel gebruik te maken van zijn/haar ITSME en zijn/haar persoonlijke smartphone. De Gebruiker-advocaat verklaart de gebruiksvoorwaarden van ITSME en van het Handtekenplatform te hebben aanvaard en te respecteren. Deze vindt u hier terug: https://www.itsme-id.com/nl-BE/legal/terms-of-use
- De Elektronische Advocatenhandtekening kan enkel worden geplaatst in Handtekenplatformen na toegangscontrole via het DPA-Platform. De Handtekenplatformen kunnen specifieke gebruiksvoorwaarden opleggen, die de Gebruiker moet aanvaarden alvorens gebruik te kunnen maken van de Elektronische Advocatenhandtekening.
DPA kan niet aansprakelijk worden gesteld voor enige storingen, pannes of fouten van ITSME en/of van het Handtekenplatform.
- De Gebruiker-advocaat kan de dienst Elektronische Advocatenhandtekening van DPA op ieder moment deactiveren. DPA zal de elektronische advocatenhandtekeningsdienstautomatisch deactiveren als een advocaat niet meer actief is (bijvoorbeeld bij weglating of overlijden). Dit heeft geen enkele impact op de geldigheid van de geplaatste handtekeningen. Deze moet de Gebruiker valideren op het moment van plaatsen van de handtekening.
Invoer van correcte en volledige informatie
- Bij gebruik van Webapplicaties en diensten die toegankelijk zijn via Webapplicaties, zorgen Gebruikers ervoor dat alle gegevens die zij zelf invoeren correct, volledig en waarheidsgetrouw zijn. Indien de gegevens die zij zelf invoeren niet correct, volledig en waarheidsgetrouw zijn, kan de goede werking van de Webapplicatie en de diensten die via de Webapplicatie beschikbaar worden gesteld, niet worden gegarandeerd. In dergelijke situaties geeft de Dienstverlener geen garanties van welke aard dan ook met betrekking tot het gebruik van de Webapplicaties en de diensten die toegankelijk zijn via de Webapplicaties.
In geen geval kan de Dienstverlener aansprakelijk worden gesteld voor de inhoud van de gedeelde documenten, correspondentie of onderdelen die door de Gebruiker via de Webapplicaties worden verstrekt.
Beperking van aansprakelijkheid
- Onverminderd de voorgaande uitsluiting van garanties, is de aansprakelijkheid van de Dienstverlener voor het niet functioneren of het slecht functioneren van de aanvragen en voor eventuele daaruit voortvloeiende schade in ieder geval beperkt tot een maximumbedrag van 2 500 EUR per incident, ongeacht de oorzaak van het incident of de aard van de schade, behalve in het geval van fraude, fysieke schade of overlijden, of wanneer de wet een dergelijke beperking van de aansprakelijkheid verbiedt. Onrechtstreekse of gevolgschade kan op geen enkele wijze aanleiding geven tot enige schadevergoeding.
- In geen geval is de Dienstverlener aansprakelijk voor enige schade die geheel of gedeeltelijk aan derden kan worden toegerekend, inclusief maar niet beperkt tot technische storingen of technische onderbrekingen van de diensten, informatiebronnen of infrastructuren die niet onder de exclusieve controle van de Dienstverlener vallen. Dit omvat, maar is niet beperkt tot, incidenten waarbij elektronische communicatie met gerechtshoven of rechtbanken wordt verhinderd of vertraagd als gevolg van technische storing of technische verstoring van de computersystemen van Justitie waarop de Webapplicaties zijn aangesloten.
Toegestaan gebruik
- Geen enkel ander gebruik van de Webapplicaties dan beschreven in deze algemene voorwaarden en de toepasselijke specifieke voorwaarden, is toegestaan. De Gebruiker verbindt zich ertoe zich te onthouden van elk gedrag dat niet voldoet aan deze algemene voorwaarden, de toepasselijke specifieke voorwaarden, de toepasselijke wetten en de geldende ethische en deontologische regels. Bovendien zal de Gebruiker niets ondernemen (ook niet uit nalatigheid) dat de werking van de Webapplicaties, van andere applicaties of diensten waarmee de Webapplicaties samenwerken, van de gegevensstroom en -opslag via de Webapplicaties verstoort of onderbreekt, of dat de belangen van de Dienstverlener en die van andere Gebruikers van de Webapplicaties schaadt. Schending van deze regels kan leiden tot burgerrechtelijke of strafrechtelijke aansprakelijkheid en tot tijdelijke of permanente uitsluiting van toegang tot de Webapplicaties.
Controle door de Dienstverlener
- De Dienstverlener heeft het recht om te allen tijde na te gaan of de informatie die door de Gebruikers wordt ingevoerd in de Webapplicaties of diensten die via de Webapplicaties toegankelijk zijn, juist, volledig en waarheidsgetrouw is. Indien er fouten worden aangetroffen, is de Dienstverlener gerechtigd om aanspraak te maken op betaling van niet-aangerekende kosten en schadevergoeding. In dat geval en/of wanneer het verder aanbieden van de diensten een veiligheidsrisico inhoudt, is de Dienstverlener gerechtigd om bewarende maatregelen te nemen, waaronder de diensten op te schorten tot betaling van de openstaande kosten, schadevergoeding en tot zolang het verder aanbieden van de diensten een veiligheidsrisico of een redelijkerwijze niet-betwistbaar of niet-betwiste inbreuk op de toepasbare wetgeving (waaronder de Algemene Verordening Gegevensbescherming (AVG)) inhoudt. In geval van indicaties van opzettelijke fouten, zoals, zonder daartoe te zijn beperkt, een ongerechtvaardigd verzoek om Pro-Deo-tarieven, kan ook een onderzoek naar de eerbiediging van de ethische en deontologische regels worden uitgevoerd, wat voor betrokkenen die onderworpen zijn aan deontologische regels (zoals advocaten) kan leiden tot een tuchtonderzoek en tuchtstraffen.
Veiligheidsmaatregelen
- Het gebruik van de Webapplicaties vereist het bezit en het gebruik van de middelen van identificatie en ondertekening. Gebruikers van de Webapplicaties bevestigen en garanderen dat (i) alleen zij toegang hebben tot (a) de middelen die dienen ter identificatie en/of om een elektronische handtekening te plaatsen, (b) elke Gebruikerscode of bijbehorende pincode; (ii) zij de benodigde software op hun computer correct hebben geïnstalleerd. De Dienstverlener geeft geen garanties en aanvaardt geen aansprakelijkheid voor het niet naleven van deze verplichting door de Gebruiker.
- De Gebruikers van de webapplicaties bevestigen als een voorzichtig en redelijk persoon voor de veiligheid van hun eigen IT-systeem te zullen zorgen, akkoord te gaan met de minimale technische en organisatorische vereisten terzake (zie hieronder) en garandeert deze maatregelen te allen tijde te zullen respecteren, voor zover op hen van toepassing.
Beschikbaarheid van de diensten
- De Webapplicaties zijn ontworpen, beheerd en ter beschikking gesteld met redelijke zorgvuldigheid, en de Dienstverlener streeft ernaar om de beschikbaarheid en de permanente bruikbaarheid 24 uur per dag, elke werkdag (gedefinieerd als alle dagen met uitzondering van zaterdagen, zondagen en Belgische feestdagen) te waarborgen. De Gebruiker erkent en aanvaardt dat de Dienstverlener de authenticatiedienst die toegang biedt tot de Webapplicaties slechts 99% garandeert tijdens werkdagen van 08:00 tot 22:00 (de operationele periode, dagelijks gemeten gedurende deze uren). De Webapplicaties kunnen voorzien in andere garanties wat betreft hun beschikbaarheid en werking. Indien de Gebruiker de applicaties wenst te gebruiken op een ander tijdstip dan tijdens de gebruiksperiode, zal hij dit volledig op eigen risico doen en zonder enige garantie van beschikbaarheid of gebruik.
- De beschikbaarheid en operationaliteit van de Webapplicaties kan omwille van onderhoud, updates of interventies opgeschort of beëindigd worden. De Gebruiker begrijpt en stemt ermee in dat de Webapplicaties of de Website kunnen evolueren en dat dit gevolgen kan hebben op de beschikbaarheid en functionaliteit. Dienovereenkomstig is elk gebruik van de Webapplicaties onderworpen aan de algemene voorwaarden en specifieke die van toepassing zijn op het moment van gebruik. Deze algemene voorwaarden kunnen worden gewijzigd door de Dienstverlener indien nodig en zijn niet betwistbaar.
Verwerking van persoonsgegevens
- Het gebruik van de Webapplicaties vereist de verwerking van bepaalde persoonsgegevens. Persoonsgegevens die via de Webapplicaties worden verwerkt, mogen enkele verwerkt worden in overeenstemming met de wettelijke bepalingen met betrekking tot de bescherming van persoonsgegevens, de Privacyverklaring(en) van de Dienstverlener (“Privacyverklaring(en)”), deze algemene voorwaarden en de specifieke voorwaarden van elke Webapplicatie. Deze Privacyverklaring(en)zijn beschikbaar op de Website. Het gebruik van de diensten van de Dienstverlener impliceert ook de aanvaarding van de Privacyverklaring(en). De Gebruiker bevestigt daarmee dat hij de Privacyverklaring(en) heeft gelezen en begrepen en stemt ermee in dat de Privacyverklaring(en) van toepassing is.
- De begrippen zoals Betrokkene, Verwerker, Verwerkingsverantwoordelijke, Verwerken, Inbreuk inzake Persoonsgegevens en Persoonsgegevens hebben dezelfde betekenis zoals uiteengezet in de AVG en de andere huidige en toekomstige bepalingen van dwingend recht met betrekking tot de Verwerking van Persoonsgegevens (" Wetgeving Gegevensbescherming").
Een Gebruiker mag zich slechts toegang verschaffen tot de DPA Applicaties mits hij/zij voldoet aan alle voorwaarden hiertoe. De toegang tot deze applicaties wordt pas verstrekt na aanvaarding van deze voorwaarden en instemming om de informatie slechts te gebruiken voor de wettige finaliteiten, de modaliteiten waarvan desgevallend ook nog verder worden beschreven in de specifieke voorwaarden van elke Webapplicatie, en/of in de Privacyverklaring(en).
De Gebruiker geldt hierbij als zelfstandige verantwoordelijke voor de verwerking en zijn toegang moet telkens afdoende gemotiveerd worden en uitdrukkelijk beperkt worden tot rechtmatige verwerkingen die gebeuren voor de in de specifieke voorwaarden vermelde doeleinden. De Dienstverlener en de Beheerders hebben het recht om hieromtrent periodieke controle uitoefenen en bij de Gebruiker zo nodig bijkomende informatie op te vragen.
- De Gebruiker garandeert dat hij/zij (i) voldoet aan zijn verplichtingen onder de Wetgeving Gegevensbescherming; (ii) zelfstandig verantwoordelijk is voor het verzamelen en (verder) verwerken van Persoonsgegevens in overeenstemming met de vereisten van de Wetgeving Gegevensbescherming, met inbegrip van het verstrekken van alle vereiste kennisgevingen en het verkrijgen van alle vereiste toestemmingen. De Gebruiker garandeert verder dat deze verwerkingen van persoonsgegevens Dienstverlener rechtmatig zijn, en naast de Wetgeving Gegevensbescherming ook in lijn met de respectievelijke geldende wetgeving, de deontologie en de algemene en specifieke voorwaarden die gelden voor deze diensten; (iii) alle redelijke voorzorgsmaatregelen neemt om geen Persoonsgegevens te verwerken noch openbaar te maken, anders dan toegestaan door de toepasselijke Wetgeving Gegevensbescherming; en (iv) niets doet dat ertoe kan leiden dat hijzelf, de Dienstverlener of de Beheerders, de Wetgeving Gegevensbescherming schenden.
- De Gebruiker zal alle redelijke bijstand verlenen aan de Dienstverlener en de Beheerders wanneer deze hierom verzoeken in het kader van hun eigen verplichtingen inzake de Wetgeving Gegevensbescherming. Andersom zal de Dienstverlener ook alle redelijke bijstand verlenen aan de Gebruiker, wanneer deze hierom verzoekt, in het kader van zijn/haar eigen verplichtingen inzake de Wetgeving Gegevensbescherming voor het gebruik van de DPA-Webapplicaties.
- De Dienstverlener treedt in de sommige gevallen op als zelfstandige verantwoordelijke voor de verwerking, en in andere gevallen als verwerker van de OVB en OBFG en/of desbetreffende Beheerder en in uitzonderlijke gevallen als verwerker van de Gebruiker. Deze kwalificatie hangt af van de Webapplicatie. Meer informatie hieromtrent vindt u in de Privacyverklaring(en), alsook in de specifieke voorwaarden van de desbetreffende Webapplicatie.
- Zonder limitatief te zijn, veronderstelt het naleven van de Wetgeving Gegevensbescherming dat de partijen o.m. het volgende:
- niet meer Persoonsgegevens verzamelen dan strikt noodzakelijk is voor het betreffende doeleinde en deze enkel te verwerken voor rechtmatige doeleinden ;
- het houden van een schriftelijk (ook in elektronische vorm) register van de verwerkingsactiviteiten die voor eigen rekening of als verwerker worden uitgevoerd en die ten minste de gegevens bevatten onder artikel 30 van de GDPR;
- indien een Verwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, een Gegevensbeschermingseffectbeoordeling (GEB) uitvoeren;
- de verplichtingen die voortvloeien uit de Wetgeving Gegevensbescherming ook contractueel doorzetten t.a.v. de partijen (waaronder verwerkers) die onder de instructie of het gezag Persoonsgegevens verwerken.
- de transparantie verplichtingen nakomen, waaronder desgevallend het publiceren van een privacyverklaring.
- het treffen van passende technische en organisatorische maatregelen ten aanzien van de Persoonsgegevens die worden verwerkt en de doeltreffendheid van deze maatregelen te testen, beoordelen en evalueren en te actualiseren.
- prompt tegemoet komen aan de verzoeken van een betrokkene die zich beroept op een of meer van de hierna vermelde rechten: Het recht van inzage, en onder meer om een kopie van de persoonsgegevens die worden verwerkt te bekomen; Het recht op rectificatie van de persoonsgegevens; Het recht op gegevenswissing (“recht op vergetelheid”); Het recht op beperking van de verwerking; Het recht op overdraagbaarheid van de persoonsgegevens; Het recht van bezwaar; Het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming waaronder profilering. Indien een betrokkene zich rechtstreeks wendt tot de ene Partij om zich te beroepen op één van de voormelde rechten, zal deze Partij de betrokkene doorverwijzen naar de andere Partij voor de verwerkingen waarvoor de andere Partij verantwoordelijk is.
- prompt de andere partij informeren van zodra zij kennis heeft genomen van een inbreuk op de beveiliging van de Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
- desgevallend, met het oog op de melding van de inbreuk aan de bevoegde toezichthoudende autoriteit en aan de betrokkene, de volgende gegevens meedelen aan de andere Partij: De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; De waarschijnlijke gevolgen van de inbreuk in verband met de Persoonsgegevens; De maatregelen die werden genomen of kunnen worden genomen om de inbreuk in verband met de Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Intellectuele rechten
- Auteursrechten en andere intellectuele eigendomsrechten van de Webapplicaties, met inbegrip van afbeeldingen, grafische elementen, teksten of andere auteursrechtelijk beschermde werken, tekeningen, modellen, handelsnamen, of merken zijn ofwel het eigendom van de Dienstverlener of worden gebruikt met de toestemming van de eigenaar van intellectuele-eigendomsrechten. Geen enkel deel van de Website of Webapplicaties, met inbegrip van, maar niet beperkt tot, teksten, afbeeldingen of beschermd ontwerp, tekening, model, handelsnaam of merk mag op enigerlei wijze of voor welk doel dan ook worden gebruikt zonder de uitdrukkelijke schriftelijke toestemming van de Dienstverlener, met uitzondering van de doeleinden beschreven in deze algemene voorwaarden, de toepasselijke specifieke voorwaarden of het Privacyverklaring(en).
- Elk ongeoorloofd gebruik van de intellectuele eigendomsrechten van de Dienstverlener of haar partners, of enig onderdeel of aspect daarvan, kan u blootstellen aan sancties of boetes, met inbegrip van, maar niet beperkt tot, sancties op basis van schendingen van handelsmerken, auteursrechten, octrooien, persoonsgebonden rechten en eerlijke marktpraktijken. Het gebruik van de Webapplicaties heeft geen invloed op de intellectuele-eigendomsrechten waarvan de Gebruikers eigenaar kunnen zijn door de informatie die zij verzenden of verwerken via de Webapplicaties. De Gebruikers zorgen ervoor dat het verzenden of een andere verwerking van deze informatie wettelijk is, en stellen de Dienstverlener hiertoe schadeloos tegen eisen van enig derde partij.
Overzicht van sancties
Schending van deze Algemene Voorwaarden (met in begrip van het Privacyverklaring(en) en de minimale technische en organisatorische maatregelen) en/of specifieke voorwaarden van een webapplicatie kan leiden tot burgerrechtelijke of strafrechtelijke aansprakelijkheid en tot tijdelijke of permanente uitsluiting van toegang tot de Webapplicaties.
De Dienstverlener heeft het recht om, zonder voorafgaande ingebrekestelling, de diensten op te schorten wanneer wordt vastgesteld dat de Gebruiker deze Algemene Voorwaarden (met in begrip van het Privacyverklaring(en) en de minimale technische en organisatorische maatregelen) en/of specifieke voorwaarden van een webapplicatie niet naleeft.
De Dienstverlener zal overgaan tot tijdelijke opschorting of permanente uitsluiting van toegang wanneer zij daartoe instructie krijgt van de OVB, de OBFG, of een Beheerder of de desbetreffende stafhouder.
Onverminderd het recht van DPA op schadevergoeding, kan DPA op eigen initiatief overgaan tot permanente uitsluiting van toegang wanneer DPA een herhaalde of voortdurende schending vaststelt van deze Algemene Voorwaarden (met in begrip van het Privacyverklaring(en) en de minimale technische en organisatorische maatregelen) en/of specifieke voorwaarden van een webapplicatie en de Gebruiker in gebreke blijft na te zijn aangemaand door DPA om zijn of haar schending te staken.De Wet 2 AUGUSTUS 2002 betreffende de bestrijding van de betalingsachterstand bij handelstransacties is onverminderd op de diensten van de DPA van toepassing. Vanaf het verstrijken van de betalingstermijn zullen derhalve van rechtswege en zonder voorafgaande ingebrekestelling interesten verschuldigd zijn aan de wettelijke intrestvoet, verhoogd met een forfaitaire vergoeding van 40 EUR en verhoogd met de redelijke schadeloosstelling voor de invorderingskosten die ontstaan door de laattijdige betaling.
- Een schending van deze Algemene Voorwaarden (met in begrip van het Privacyverklaring(en) en de minimale technische en organisatorische maatregelen) en/of specifieke voorwaarden kan een schending uitmaken van wetsregels, deontologische regels en tuchtregels. Wanneer DPA mogelijke schendingen vaststelt, dan kan DPA de betrokken instanties (waaronder de bevoegde Stafhouder, de OVB, de OBFG en Beheerder) hierover informeren en hen verzoeken een onderzoek te voeren naar de eerbiedinging door de Gebruiker van de op hem of haar toepasselijke regels (zoals ethische en deontologische regels). Voor betrokkenen die onderworpen zijn aan deontologische regels (zoals advocaten) kan dit leiden tot een tuchtonderzoek en tuchtstraffen.
Wijzigingen
- Deze Algemene Voorwaarden (inclusief het Privacyverklaring(en)) kunnen worden aangevuld, herzien of bijgewerkt. De Gebruikers aanvaarden dat het gebruik van de identificatie-en autorisatie-dienst en de Webapplicaties steeds onderworpen is aan de versie van de Algemene Voorwaarden die bekendgemaakt en van toepassing is op het moment van het gebruik.
Toepasselijk recht en geschillenbeslechting
Deze algemene voorwaarden en het gebruik van de Webapplicaties zijn onderworpen aan het Belgisch recht, en elk geschil met betrekking tot de Webapplicaties of de algemene voorwaarden is onderworpen aan de exclusieve bevoegdheid van de ondernemingsrechtbank van Brussel, België.
MINIMALE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
ALGEMEEN
DPA cv (DPA) is een dienstenleverancier, die Gebruikers identificeert en authenticeert teneinde hen op een gecontroleerde manier toegang te verschaffen tot diverse informatiebronnen en webapplicaties, DPADPAwaarbij DPA soms de technische leverancier is, aangesteld door de OVB en OBFG of de Beheerder voor taken, die haar wettelijk zijn opgedragen.
In dit document worden de maatregelen, rollen en verantwoordelijkheden beschreven, met betrekking tot de minimale technische en organisatorische maatregelen voor Gebruikers van de DPA Applicaties .
Deze maatregelen zijn van toepassing op elk computersysteem dat wordt gebruikt om informatie te produceren, te verwerken, te verzamelen, te openen, uit te wisselen of op te slaan. Iedere Gebruiker die bevoegd is om de IT-middelen van de DPA Applicaties te gebruiken, te ontwikkelen en te integreren, moet zich houden aan de maatregelen en regels die in dit document zijn uiteengezet.
Informatieveiligheid, zoals beschreven in dit document, dient in de breedste zin van het woord te worden bekeken en niet louter in termen van informatietechnologie. Praktijkervaring uit de bedrijfswereld leert dat ongeveer 35% van de veiligheidsincidenten het gevolg zijn van menselijke fouten en niet van doelbewuste aanvallen.
Meer dan de helft van de resterende 65% van de veiligheidsincidenten die het resultaat waren van een doelbewuste aanval, hadden vermeden kunnen worden indien de medewerkers op een veiligere manier met de informatie waren omgegaan.
Dit geeft duidelijk aan dat informatieveiligheid moet worden beschouwd als een combinatie van mensen, processen en technologie. Het is dus belangrijk te beseffen dat informatiebeveiliging een bekommernis is voor de ganse organisatie en niet een loutere IT-aangelegenheid is. De invoering van beveiligingsmaatregelen moet doordringen tot alle geledingen van de organisatie.
Informatiebeveiliging is het geheel van beheersmaatregelen dat ervoor zorgt dat de vertrouwelijkheid, de integriteit en de beschikbaarheid van alle vormen van informatie behouden blijven:
- Vertrouwelijkheid: dit is de mate waarin de toegang tot gegevens of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn. Dit wordt ook wel eens 'exclusiviteit' genoemd, omdat de toegang wordt beperkt tot een bepaalde groep gerechtigden die inzage mag hebben in die welbepaalde data. Alle gegevens en programma's moeten worden beschermd tegen ongeoorloofde publicatie (intern of extern).
- Integriteit: dit is de mate waarin gegevens of functionaliteiten juist en volledig ingevuld zijn. Het betreft de bescherming tegen ongeautoriseerde modificatie van data in soft- en hardware. Integriteit van gegevens heeft betrekking op de oorspronkelijke authenticiteit, nauwkeurigheid en volledigheid van gegevens.
- Beschikbaarheid: dit is de mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn voor de Gebruikers. Beschikbaarheid garandeert dat de computersystemen beschikbaar zijn op het moment dat ze nodig zijn om de werkprocessen te kunnen uitvoeren, en dat de beveiligingsmaatregelen daadwerkelijk naar behoren functioneren. De term beschikbaarheid verwijst naar de behoefte aan continuïteit van de dienstverlening.
Het doel is om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van informatiebeveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Om een goede beveiliging te verzekeren voor het DPA platformDPA, inbegrepen alle databases die hiermee kunnen geconsulteerd en/of bijgewerkt worden (zoals het de CBB en het Rijksregister …), is het van uitermate groot belang dat alle Gebruikers van deze systemen doordrongen zijn van het belang van het strikt toepassen van een afdoend informatieveiligheidsbeleid.
Dit document omvat een aantal maatregelen, regels en aanbevelingen die een onderdeel zijn van een dergelijk beleid. Dit beleid dient onderschreven en toegepast te worden door alle Gebruikers die op enige wijze betrokken zijn bij het gebruik en/of de technische ondersteuning van de lokale systemen bij de Gebruikers waartoe ze behoren. Dit is ook de reden waarom via de DPA Applicaties aan alle Gebruikers gevraagd wordt om de kennisneming en aanvaarding van de inhoud van dit document te bevestigen.
Dit document is strikt vertrouwelijk en mag niet aan derden worden meegedeeld zonder voorafgaande toestemming van de Dienstverlener. Het bevat alleen informatie voor intern gebruik. Door het louter ontvangen van dit document aanvaardt de geadresseerde dat alle informatie in dit document als strikt vertrouwelijk wordt beschouwd en bijgevolg niet aan derden mag worden meegedeeld, tenzij uitdrukkelijk schriftelijke toestemming van de Dienstverlener. Dit document zal met dezelfde zorg worden behandeld als de vertrouwelijke informatie van de ontvanger.
Elke afwijking van dit beveiligingsbeleid moet uitdrukkelijk en schriftelijk door de Dienstverlener worden aanvaard.
GEBRUIKERS GERELATEERD VEILIGHEIDSBELEID
Dit beleid heeft als doelstelling het zo goed mogelijk benutten en op het vereiste niveau houden van de kennis en ervaring van de Gebruikers ter bevordering van de beveiliging, alsmede het verminderen van de risico's van al dan niet opzettelijk menselijk handelen.Initiële toegang tot de DPA-Applicaties kan en mag enkel worden aangevraagd door advocaten. Elke advocaat-gebruiker mag de initiële toegang tot de DPA Applicaties enkel aanvragen via de identificatie- en authenticatiediensten “Federal Authentication Service’ (FAS) van de FOD BOSA en dit met zijn eigen elektronische certificaten en daaraan gekoppelde ITSME-applicatie of zijn eID (de normale inlogprocedure). Na een initiële toegang volgens de normale inlogprocedure kan de Gebruiker de toegangscontrole koppelen aan een door de Dienstverlener alternatieve toegestane inlogprocedure, zoals bv. het gebruik van ITSME of eID door een administratief medewerker. Dergelijke alternatieve inlogprocedure zal steeds gebonden zijn aan specifieke gebruiksvoorwaarden en veiligheidsmaatregelen. Het is de plicht van de Gebruiker om toe te zien op de strikte naleving van deze algemene en specifieke regels voor zowel de normale als de alternatieve inlogprocedure. De Gebruikers aanvaarden dat de Dienstverlener op ieder moment strengere regels kan opleggen om de veiligheid van de inlogprocedure te waarborgen.
De Gebruikers moeten zich bewust zijn van de risico’s met betrekking tot, en het belang van, informatiebeveiliging en moeten daartoe de juiste middelen, kennis en vaardigheden tot hun beschikking hebben.
Het personeelsbeleid van Gebruikers draagt hiertoe bij, bijvoorbeeld door veiligheidsaspecten op te nemen in functiebeschrijvingen, door vertrouwelijkheidsverklaringen, door opname in het arbeidsreglement of het arbeidscontract van de verantwoordelijkheid van de werknemer op het gebied van informatiebeveiliging, of door het beschrijven van gedragscodes.
Elke Gebruiker heeft de plicht beveiligingsrisico's en beveiligingsincidenten te melden.
Gebruikers worden gewezen op hun verantwoordelijkheid voor het handhaven van een effectieve toegangsbeveiliging, met name met betrekking tot het gebruik van wachtwoorden en beveiliging van gebruikersapparatuur.
Gebruikers worden gewezen op de veiligheidsrisico's die elektronische kantoorsystemen met zich meebrengen (vb. computers, mobiele computers, telefoons, mobiele telefoons, e-mail, post, voicemail, postdiensten, fax, ...): deze systemen houden een risico in voor de vertrouwelijkheid van bedrijfsgegevens.
Gebruikers worden gewezen op hun verantwoordelijkheid bij het gebruik van e-mail:
- verantwoordelijkheid om de organisatie niet te compromitteren door het verzenden van ongepaste e-mails
- alertheid bij het openen van e-mails en e-mail bijvoegsels.
Op apparatuur die direct aangesloten wordt op de infrastructuur van de Gebruiker (vb. pc's) mag alleen software geïnstalleerd worden en configuraties ingesteld worden door de door de organisatie aangestelde bevoegde diensten.
Bij het verlaten van de dienst of bij wijziging van functie-inhoud worden toegangsrechten en autorisaties zo vlug mogelijk ingetrokken en wordt fysiek materiaal gerecupereerd.
De schending van het beveiligingsbeleid en de beveiligingsprocedures van de organisatie wordt middels een formeel proces afgehandeld.
NALEVEN VAN DE RICHTSNOEREN GBA en EDPB
De Gebruikers verbinden zich ertoe om erop toe te zien dat binnen hun organisatie alle relevante richtsnoeren en referentiemaatregelen aanbevolen door de Gegevensbeschermingsautoriteit (GBA) en het Europees Comité voor gegevensbescherming ("European Data Protection Board", "EDPB") worden nageleefd, zowel op het vlak van systemen, organisatie als personen.De richtsnoeren van de GBA en de EDPB moeten enerzijds een duidelijke en geharmoniseerde interpretatie bieden van alle bepalingen in de GDPR en anderzijds aanbevelingen geven gestoeld op de praktijken inde EU-lidstaten. Deze richtlijnen zijn bijgevolg het resultaat van een intensieve samenwerking met diverse betrokken actoren.
De Gegevensbeschermingsautoriteit (GBA) heeft eveneens een infobrochure gepubliceerd omtrent 'cybersurveillance' in verband met de controle op het mailverkeer van werknemers op de werkvloer; dit document is eveneens terug te vinden op de website van de GBA (https://www.gegevensbeschermingsautoriteit.be).
ANTIVIRUS EN MALWARE
De Gebruiker verbindt zich ertoe om op alle computers (servers en individuele PC's, ook laptops en tablets, enz.) die een verbinding kunnen maken met de DPA Applicaties een degelijk antivirusprogramma te installeren. De term VIRUS heeft betrekking op alle schadelijke software die verborgen zit in een andere uitvoerbare software en schade kan aanrichten aan de apparatuur waarop zij werd geïnstalleerd, ongeacht of dit zich voordoet in de software, de gegevens of de hardware zelf, door zich te verbreiden via reproductie of verspreiding van zichzelf, ongeacht de drager die voor deze verspreiding wordt gebruikt.De Gebruiker dient zich voldoende te informeren ten einde een kwalitatief pakket te kunnen selecteren. Bovendien is het absoluut noodzakelijk dat deze pakketten geregeld worden bijgewerkt (automatische update dient geactiveerd te zijn).
De Gebruiker verbindt er zich eveneens toe om in voorkomend geval DPA onmiddellijk te verwittigen van zodra hij kennis heeft van het feit dat een virus zou kunnen geïntroduceerd zijn in zijn materiaal.
BROWSERS VOOR INTERNET NAVIGATIE
Het is sterk aanbevolen van enkel door Dienstverlener goedgekeurde webbrowsers te gebruiken, die voldoen aan de huidige normen van internetveiligheid. Het werken met verouderde versies wordt ten sterkste afgeraden. Men dient te allen tijde gebruik te maken van een browser welke actief ondersteund wordt en voorzien wordt van beveiligingsupdates.Het is daarbij uitermate belangrijk van steeds de laatste versie van de gebruikte browser(s) te installeren. De producenten van deze browsers werken continu hun software bij om de gaten in hun beveiliging te dichten. Het kan voorkomen dat een welbepaalde versie van een browser gedurende een tijd bijzonder kwetsbaar is totdat een oplossing geboden wordt om dat veiligheidsprobleem op te lossen, waarbij soms deze oplossing lang op zich laat wachten. In dergelijk geval zal de Dienstverlener alle advocaten informeren om tijdelijk het gebruik van die bepaalde browser stop te zetten en over te schakelen naar een andere browser.
Het gebruik van bepaalde 'add-ons' in browsers, wordt afgeraden , aangezien zij een werkelijke bedreiging vormen voor de veiligheid. Indien add-ons voor bepaalde taken noodzakelijk zijn, dan dienen deze geïnstalleerd te worden op aan aparte PC die niet aan het lokale netwerk is verbonden.
NETWERK BEVEILIGING
De Gebruiker verbindt zich ertoe om het/de netwerk(en) die aangewend worden om connectie te maken met de DPA Applicaties afdoende te beveiligen. De geïnstalleerde firewall dient daarbij te voldoen aan de eisen gesteld bij het werken met vertrouwelijke persoonsgegevens. Het is tevens aanbevolen van de firewall uit te rusten met een degelijk antivirus/antimalware programma.WiFi is enkel toegelaten indien de WiFi-router op een afdoende wijze is beveiligd door middel van een voldoende beveiligde encryptiemethode. Bovendien dient de firmware van de componenten die instaan voor de internet toegang steeds up-to-date gehouden te worden met de laatst beschikbare versie.
Het gebruik van de DPA Applicaties via openbare WiFi netwerken (via laptop, tablet of smartphone) is ten stelligste verboden zonder bijhorende beveiligingsmaatregel (bv. veilige VPN).
Indien mobiele toestellen (laptop, tablet, …) gebruikt worden voor toegang tot de DPA Applicaties, dan dienen deze eveneens voorzien te zijn van de nodige security software, net zoals de vaste werkstations.
De toegang tot de DPA Applicaties mag niet geschieden vanuit een thuiscomputer waartoe buitenstaanders/kinderen op werken of spelen. Kinderen hebben meestal onvoldoende kennis van de gevaren van het internet. Zij bezoeken mogelijks gevaarlijke websites die bijvoorbeeld een virus of malware kunnen opladen op de computer/laptop van de advocaat/medewerker (bv. een laptop ter beschikking gesteld door het kantoor). Wanneer deze Gebruiker zich vervolgens op het netwerk van het kantoor aansluit, zal hij dat netwerk kunnen besmetten.
- BESTURINGSSYSTEMEN EN AANVERWANTE SOFTWARE
De Gebruiker verbindt zich ertoe om enkel gebruik te maken van afdoende beveiligde besturingssysteem. De besturingssystemen dienen steeds voorzien te worden van de laatste updates van de producent, i.e. automatische updates dient geactiveerd te zijn en ook toegepast te worden. Hetzelfde geldt voor alle aanverwante software, zoals bijvoorbeeld Adobe PDF Reader.
AUTHENTICATIE
De toegang tot de DPA Applicaties is enkel mogelijk via sterke authenticatie (ITSME, eID of gelijkgestelden die de DPA ter beschikking stelt).
Indien de computer of laptop van de Gebruiker beveiligd wordt door een paswoord, dan moet een dergelijk paswoord voldoende adequaat zijn. Hieromtrent gelden de volgende aanbevelingen:Elk paswoord moet minstens 10 tekens bevatten waaronder minstens:
- een kleine letter
- een hoofdletter
- een cijfer
- een speciaal teken zoals *,$, !, (, ),%,?, enz.
- een paswoord niet gelijk zijn aan vorige, reeds gebruikte paswoorden
- De maximale lengte van het paswoord niet groter zijn dan 50 tekens. Dit laat de Gebruiker toe van als paswoord een zin aan te wenden, waarin ook wel de hierboven opgesomde tekens dienen voor te komen.
- Een paswoord moet gemakkelijk te onthouden zijn zodat men het niet op een document dient weg te schrijven.
- Het moet ook niet gemakkelijk kunnen geraden worden door iemand die de medewerker goed kent of via informatie die te vinden is op sociale media (social engineering).
- Indien men verdenkt dat een paswoord gecompromitteerd is of bekend is geworden, dient het onmiddellijk veranderd te worden.
- De Gebruiker mag nooit zijn paswoorden laten opslagen door de browsers die hij gebruikt.
- Een paswoord is strikt persoonlijk; het mag nooit gedeeld worden door meerdere Gebruikers. Het mag ook niet aan andere personen worden medegedeeld.
- Een paswoord mag nooit worden neergeschreven op een post-it dat men op een scherm, of waar dan ook, plakt.
- Een paswoord mag nooit bestaan uit:
- Een woord uit een woordenboek, zelfs niet uit woordenboeken van vreemde talen
- Hetzelfde paswoord als dat gebruikt om in te loggen in de computer
- Enige informatie betreffende de Gebruiker, zoals voornaam, naam, bijnaam, geboortedatum, enz.
Bovendien mag:
Bij het aanmaken van een nieuw paswoord dienen volgende regels nageleefd te worden:
Een eenvoudige manier om tot een goed paswoord te komen bestaat er in het eerste teken van alle woorden van een zin te nemen en vervolgens het verkregen resultaat ingewikkelder te maken door het toevoegen van voor- of achtervoegsels, het omvormen van sommige letters naar kleine en hoofdletters, het toevoegen van cijfers en speciale tekens.
Het is tevens aanbevolen om op plaatsen waar een zwakke authenticatie wordt gebruikt, de paswoorden minimaal om de 6 maanden te vernieuwen.
- BEWUSTMAKING VAN GEBRUIKERS
De Gebruiker verbindt zich ertoe om alle medewerkers in zijn organisatie bewust te maken van de risico's van het gebruik van internet en e-mail. Men dient in het bijzonder bewust te zijn van de gevaren van praktijken zoals phishing, malware, spam en meer specifiek ook ransomware
PHISHING is een vorm van internetfraude waarbij het slachtoffer een mail ontvangt waarin hem of haar wordt gevraagd een account bij een bank of een service-provider te checken en te bevestigen. Soms wordt er ook telefonisch contact opgenomen. Doorgaans zijn de daders van phishing moeilijk te achterhalen en daarom is het van belang om alert te zijn en nooit in te gaan op een mailverzoek waarin wordt gevraagd geld over te maken of persoonlijke/financiële gegevens vrij te geven.
MALWARE is een samentrekking van de woorden 'malicious' (kwaadaardig) en 'software' en vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een standaard maatregel hiertegen is het gebruik van antivirusscanners en een firewall. Menselijk handelen staat nog steeds hoog op de lijst van oorzaken van virusuitbraken. Vaak ontstaat een virusinfectie doordat een Gebruiker een bijlage in een e-mail opent waarna blijkt dat deze niet alleen het beloofde document bevat maar ook een virus. Het is dus niet aan te raden om verdachte e-mails of e-mails van een onbekende afzender te openen of de bijlagen te openen.
SPAM is een verzamelnaam voor ongewenste berichten. Meestal wordt met de term "ongewenste" mail bedoeld, maar ook ongewenste reclameboodschappen op websites vallen onder deze term. Het is aan te raden om spamberichten nooit te beantwoorden of door te sturen en terughoudend zijn in het verspreiden van e-mailadressen is iets wat we zelf kunnen doen (door gebruik te maken van de Bcc-functie).
RANSOMWARE is een chantagemethode op internet door middel van malware, waarbij de computer volledig geblokkeerd wordt totdat men een bepaald bedrag heeft betaald aan de chantagepleger. Het is tevens uitermate nuttig om hierop voldoende voorbereid te zijn.
ANDERE AANBEVELINGEN
Alle werkposten dienen zo ingesteld te zijn dat ze de toegang afsluiten na een periode van inactiviteit van meer dan 5 minuten.
Vooraleer de werkpost te verlaten voor langere tijd dient de toegang tot de werkpost afgesloten te worden, door ofwel uit te loggen of naar beveiligingsmodus over te schakelen.Het dient ten stelligste vermeden te worden om confidentiële gegevens te kopiëren op informatiedragers zoals USB-sticks en deze buiten het kantoor mee te nemen, behalve als ze geëncrypteerd worden.
Hetzelfde geldt voor laptops, d.w.z. alle confidentiële gegevens op de harde schijf dienen geëncrypteerd te worden vooraleer de laptop buiten het kantoor mee te nemen.
ALLE software die niet absoluut vereist is voor het gebruik van de applicaties die op geregelde basis gebruikt worden, dienen best verwijderd te worden van de werkposten (vaste PC's, laptops, iPads en andere computers die op één of andere manier gebruikt worden voor toegang tot de applicaties).
BYOD- AANBEVELINGEN
Steeds meer Gebruikers willen hun eigen smartphone, tablet of laptop op kantoor gebruiken. BYOD of Bring Your Own Device is een echte trend aan het worden. Maar opgelet, het kan ook uitdraaien op Bring Your Own Disaster. Daarom is het belangrijk op voorhand te weten waar je rekening moet mee houden als u BOYD in uw organisatie gaat toelaten, zeker als er veel persoonsgegevens worden verwerkt.
BYOD is niet alleen een ICT-vraagstuk, maar het is veel breder: het gaat namelijk ook over houding en gedrag en de wens van medewerkers om zijn werkplek meer in te richten zoals hij/zij dat wil. Het gaat dus over werkplekbeleid in de brede zin van het woord.BYOD gebeurt steeds op de uitsluitende verantwoordelijkheid van de Gebruikers.
De Dienstverlener geeft de uitdrukkelijke aanbeveling om dit slechts toe te laten, mits er minstens een antwoord is op de volgende vragen:
- Mogen Gebruikers al hun eigen devices meenemen en welke zijn de randvoorwaarden?
- Mogen Gebruikers data opslaan op public cloudoplossingen of faciliteert de organisatie een private cloudoplossing? Of is een hybride model mogelijk? Is hiermee dan nog voldaan aan de GDPR?
- Hoe zit het met de informatiebeveiliging? Hoe zit het met virussen op tablets? Hoe ga je om met gegevensbeheer van vertrouwelijke gegevens, back-up- en restore, verlies en diefstal?
- Waar ligt dan precies de financiële verantwoordelijkheid bij schade, verlies of diefstal?
- Hoe regel je het beheer van de verschillende devices, eigen apps en bedrijfsapps?
- Hoe ga je om met devices met verschillende besturingssystemen binnen één organisatie?
- Welke juridische aspecten zitten eraan vast? (bvb. licenties)?
- Er moet een visie zijn op de BYOD binnen de dienstverlening, omdat deze de kaders bepaalt voor de wijze van werken en het benaderen van de klanten;
- Er moet ook een duidelijke visie zijn omtrent de impact van BYOD op de organisatie en de bedrijfsvoering zodat duidelijk is welke doelen er aan de organisatie worden gesteld, hoe er wordt gewerkt, of flexibiliteit mogelijk of gewenst is, hoe er wordt aangestuurd
- Er moet ook een duidelijk HR-beleid zijn zodat de Gebruikers weten hoe om te gaan met flexibiliteit door tijd- en plaatsonafhankelijk te werken, er moeten gebruikersovereenkomsten worden opgesteld voor de in gebruik te nemen mobile devices, er moeten algemene gedragsregels opgesteld worden voor het gebruik van software en de vertrouwelijkheid van persoonsgegevens en documenten, welke verplichtingen gelden er voor de medewerkers inzake BYOD, hoe gaat men de scheiding privé-zakelijk bewaken;
- Het moet ook duidelijk zijn hoe er zal worden omgegaan met het beheer en de beveiliging van de mobile devices en wat er technisch al dan niet mogelijk is.
BYOD-policy's kunnen sterk verschillen van organisatie tot organisatie, afhankelijk van de eigen prioriteiten en aandachtspunten en ze worden bij voorkeur opgesteld in nauw overleg met HR, ICT, Finance en Directie. Een succesvol BYOD-initiatief combineert eenvoud voor de Gebruikers met doeltreffende veiligheid-, controle- en beheer-functionaliteit voor de IT-afdeling. Om een organisatie optimaal te beschermen tegen gevaren, dataverlies en niet-conform gebruik moet de IT-afdeling van de Gebruiker zich in eerste instantie afvragen hoe ze Gebruikers veilige toegang kunnen bieden tot data en applicaties, met inbegrip van DPA Authentic Sources.
Daarbij komt dan het rolgebaseerde beheer en de configuratie en veiligheid van persoonlijke en goedgekeurde devices.
INCIDENTENBEHEER & BEHEER VAN GEGEVENSLEKKEN
Incidentenbeheer is het proces van het beheer en de bescherming van informatiesystemen en de daarin opgeslagen informatie. De Gebruiker moet zich goed bewust zijn van zijn verantwoordelijkheden als het gaat om de bescherming van de informatie ten behoeve van de betrokkenen en de Dienstverlener. Incidentenbeheer is een set van activiteiten die een proces definieert en implementeert, die de organisatie kan gebruiken om zijn eigen welzijn en de veiligheid van alle betrokken actoren te bevorderen.Incidentenbeheer is samen met risicobeheer en continuïteitsbeheer één van de belangrijkste deelgebieden van informatiebeveiliging. Incidentenbeheer is belangrijk omdat absolute informatieveiligheid en absolute privacy niet bestaan en omdat incidenten niet te voorkomen zijn. Het is niet de vraag of er iets gaat gebeuren maar wanneer. De Gebruiker dient de belangrijkste te verwachte incidenten van tevoren in te schatten en de bijpassende reactie- en escalatieprocedure dient van tevoren te worden uitgewerkt en geoefend.
Het incidentenbeheer geeft richting aan de wijze waarop de organisatie van de Gebruiker wenst om te gaan met alle incidenten en 'bijna incidenten' op het gebied van informatieveiligheid en privacy. De Gebruiker onderschrijft het belang van een adequate behandeling van incidenten en de reactie daarop om daarmee de gevolgen op de werking van de organisatie te minimaliseren. Incidenten dienen gestructureerd te worden behandeld en er moeten procedures worden vastgesteld om de reactie op incidenten doeltreffend en ordelijk te laten plaatsvinden. Het is de bedoeling dat de Gebruiker en zijn medewerkers leren van incidenten en daarom moeten incidenten geëvalueerd en gedocumenteerd worden.
Sommige incidenten kunnen ook een "gegevenslek" uitmaken. De verantwoordelijke voor de verwerking moet hierbij beoordelen of de inbreuk in verband met persoonsgegevens waarschijnlijk de rechten en vrijheden van de betrokkene zal schenden door de beoordeling van de gevolgen voor de betrokkene uit te voeren.
Indien een risico voor de betrokkene(n) waarschijnlijk is, moet de verantwoordelijke voor de verwerking de inbreuk in verband met persoonsgegevens onverwijld en uiterlijk 72 uur aan de gegevensbeschermingsautoriteit (de "GBA") melden, onder toezicht van de DPO en door het crisis-managementteam.
Indien een gegevenslek plaatsvindt, en u of wij hiervan kennis krijgen, dienen wij onverwijld met elkaar te communiceren en dus onderling af te stemmen.
Een gegevenslek moet aan de GBA worden gemeld door de verantwoordelijke voor de verwerking, door middel van een elektronisch formulier dat, na te zijn ingevuld, via een internetportaal moet worden ingediend (https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/datalek-van-persoonsgegevens). Formulieren die per e-mail worden ingediend, worden niet in behandeling genomen.
Indien de melding van het gegevenslek aan de toezichthoudende autoriteit niet binnen 72 uur wordt gedaan, dient de verantwoordelijke voor de verwerking, dit, na raadpleging van de DPO schriftelijk, elektronisch in te dienen, met een motivering van de redenen van de vertraging. Indien het niet mogelijk is alle noodzakelijke informatie tegelijkertijd te verstrekken, dient men de informatie zonder onnodige vertraging verstrekken.
De volgende informatie wordt dan aan de toezichthoudende autoriteit verstrekt:
- Een beschrijving van de aard van de inbreuk.
- De toegekende categorieën persoonsgegevens.
- Het geschatte aantal betrokken personen.
- Het geschatte aantal persoonsgegevensrecords.
- De naam en de contactgegevens van de voor de verwerking verantwoordelijke.
- Gevolgen van de inbreuk.
- Alle maatregelen die zijn genomen om de inbreuk te verhelpen.
- Alle informatie met betrekking tot de inbreuk in verband met de gegevens.
CONTINUITEITSBEHEER (BCM)
De voornaamste doelstelling van continuïteitsbeheer is de kritische bedrijfsprocessen beschermen tegen de gevolgen van ernstige incidenten of rampen en ervoor te zorgen dat alle noodzakelijke componenten aanwezig zijn zodat de organisatie gepast kan reageren op ernstige incidenten of rampen en een tijdig herstel kan bewerkstelligen.Continuïteitsbeheer is hoe dan ook breder dan ICT: het uitvallen van medewerkers (ziekte, ontslag, dood) of het verdwijnen van een kritische leverancier kan een reële bedreiging zijn. Bij de inrichting van continuïteitsbeheer dienen alle relevante aspecten te worden meegenomen die de continuïteit in gevaar kunnen brengen.
Voor alle kritische bedrijfsprocessenprocessen en essentiële informatiesystemen moet er een continuïteitsplan (BCP) zijn, waarin activiteiten, maatregelen en belangrijke gegevens van alle kritische processen worden beschreven, die tot doel hebben de onderbrekingstijd tot een aanvaardbaar niveau te beperken.
Informatieveiligheid en privacy zijn een integraal onderdeel van het continuïteitsbeheer van de Gebruiker.
RISICOMANAGEMENT
Informatiesystemen en de informatie daarin staan voortdurend bloot aan verschillende bedreigingen. Dit impliceert dat de Gebruiker die diverse informatiesystemen en informatie nodig heeft, risico's loopt. Het ligt voor de hand dat de Gebruiker deze risico's inperkt door het treffen van adequate beveiligingsmaatregelen.Om de risico's op een evenwichtige wijze te kunnen beheersen moet bekend zijn welke risico's er gelopen worden en hoe groot deze zijn. Op basis van deze kennis kunnen dan beveiligingsmaatregelen worden getroffen om deze risico's tot aanvaardbare proporties terug te dringen (= risicomanagementproces). Het risicomanagementproces heeft betrekking op de identificatie van de risico's, de beoordeling van het risicoprofiel en de toepassing van een risicomanagementstrategie.
Binnen een integrale toepassing van risicomanagement wordt het risicomanagementproces organisatiebreed toegepast. Om het risicomanagementproces op een consistente wijze uit te voeren is het van cruciaal belang dat iedereen binnen de organisatie die bij de gegevensverwerking betrokken is, een uniform raamwerk hanteert voor het risico-managementproces.
Vertrekpunt voor de inhoudelijke uitvoering van het risicomanagementproces is de inventarisatie en beoordeling van de mogelijke risico's. Het consolideren en groeperen van risico's vormt de tweede stap binnen het risicomanagement-proces. De derde stap binnen dit proces is bepalen op welke wijze het management wenst om te gaan met geïdentificeerde risico's. Dat hangt nauw samen met de risicohouding van het management.
Strategische risico's hebben veelal betrekking op externe factoren die het realiseren van strategische doelstellingen kunnen bedreigen. Welke externe factoren een invloed kunnen hebben volgt doorgaans logischerwijze uit het bedrijfsmodel van de onderneming en de gerelateerde databanken. Het is aangewezen dat de ondernemingen van de Gebruiker nagaan welke factoren een invloed kunnen hebben op de IT-infrastructuur.
Procesrisico's zijn vaak gerelateerd aan operationele transacties en kunnen betrekking hebben op operationele, rapportage- en toezichtsdoelstellingen. Wat de IT-infrastructuur betreft kunnen operationele risico's zich bevinden in o.a. volgende aspecten/ aangelegenheden:
- persoonsgegevensbeveiliging/informatiebeveiliging;
- te verstrekken informatie en toegang tot persoonsgegevens;
- Disaster Recovery Procedure;
- paswoordenbeleid;
- monitoring van de hard- en software-infrastructuur;
- passende organisatorische en technische controlemaatregelen;
- toegangs- en gebruikersbeheer;
- Business Continuity Procedure;
- Incident Response Procedure;