Privacy policy

Deze policy bevat de richtlijnen, die VGD Accountants & Belastingconsulenten, VGD Bedrijfsrevisoren en VGD Xperity hanteren bij de verwerking van persoonsgegevens, conform de doelstellingen en verplichtingen voortvloeiende uit de Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens van 30 juli 2018 en andere relevante wet- en regelgeving.

  • De besloten vennootschap met beperkte aansprakelijkheid ‘VGD Accountants & Belastingconsulenten’, met maatschappelijke zetel te 1780 Wemmel, Neerhoflaan 2 ingeschreven in het rechtspersonenregister te Brussel, Nederlandstalige afdeling en met btw-nummer BE 0875 430 542.
  • De besloten vennootschap met beperkte aansprakelijkheid ‘VGD Bedrijfsrevisoren’, met maatschappelijke zetel te 1780 Wemmel, Neerhoflaan 2, ingeschreven in het rechtspersonenregister te Brussel, Nederlandstalige afdeling en met btw-nummer BE 0875.430.443.
  • De besloten vennootschap met beperkte aansprakelijkheid ‘VGD Xperity’, met maatschappelijke zetel te 9090 Melle, Brusselsesteenweg 94/bus 101, ingeschreven in het rechtspersonenregister te Gent, en met btw-nummer BE 0696.968.655.

Hierna allen samen ‘VGD’ genoemd.

VGD wenst u te vragen deze privacy policy aandachtig te lezen, daar dit document essentiële informatie bevat over de wijze waarop uw persoonsgegevens worden verwerkt. Als verwerkingsverantwoordelijke staan wij in voor de verwerking van heel wat gegevens. Een deel van deze gegevens hebben betrekking op uw persoonsgegevens en in dit kader delen wij U het volgende mee.

Doeleinden van verwerking van persoonsgegevens

Hieronder wordt opgesomd voor welke doeleinden VGD uw persoonsgegevens verwerkt op en welke grondslag de verwerking steunt. De verwerking van persoonsgegevens heeft betrekking op uw hoedanigheid als cliënt van het kantoor maar ook op de zakelijke relatie van onze cliënten (zoals de situatie waarin u leverancier of klant bent van onze cliënt).

Dienstverlening

In het kader van de dienstverlening worden persoonsgegevens door VGD verwerkt. Het gaat onder meer om de volgende categorieën persoonsgegevens: (digitale) identificatiegegevens, contactgegevens, financiële gegevens, ...

Dit om VGD ertoe te brengen om haar diverse dienstverlening ten aanzien van haar cliënten uit te voeren. Voor een uitgebreid overzicht van al onze dienstverlening verwijzen wij naar https://be.vgd.eu/nl/diensten.

Niet-limitatief kan dit bijvoorbeeld zijn het opnemen van het auditmandaat, het voeren van de boekhouding, fiscale adviezen, juridische adviezen, bijstand op maat, …

VGD is tevens onderhevig aan verschillende wettelijke verplichtingen. Opnieuw kan hier niet-limitatief onder meer verwezen worden naar het cliëntenonderzoek in de anti witwaswet en de wettelijke verplichting inzake het bijhouden van sociale, fiscale en boekhoudkundige documenten.

Ook is VGD binnen haar business lines audit en accountancy gebonden aan de specifieke bepalingen en beroepscodes van het IBR en het ITAA.

Voor de verbetering van onze dienstverlening maken wij tot slot continu werk van optimalisatie van onze (interne) processen en het exploreren van nieuwe services.

De door ons verstrekte consultancy maakt de verwerking van persoonlijke gegevens afhankelijk van de dienst(en) waarvan de cliënt gebruik maakt.

Zo verwerken wij bijvoorbeeld in sommige gevallen ook persoonlijke gegevens van de werknemers van onze cliënten. Tevens verwerken wij persoonsgegevens van werknemers en klanten van onze cliënten tijdens de uitvoering van een audit.  Tot slot verwerken wij persoonsgegevens van cliënten tijdens het bijhouden van accounts en persoonsgegevens van familieleden van cliënten in kader van adviesverlening op gebied van vermogensplanning.

Rekruteringsdoeleinden

Persoonsgegevens worden verzameld met het oog op rekrutering van nieuwe werknemers. Dit gebeurt via onze employer branding website www.werkenbijvgd.be.

Deze verwerking vindt haar rechtsgrond enerzijds in de precontractuele fase bij de uitvoering van de overeenkomst (indien de rekrutering leidt tot een arbeids-of dienstenovereenkomst) en anderzijds in het gerechtvaardigd belang (indien de rekrutering niet leidt tot een arbeids- of dienstenovereenkomst). Het is voor VGD immers essentieel om een geschikte kandidaat voor een geschikte positie aan te werven. Wij benadrukken dat wij u enkel zullen contacteren in het kader van rekrutering indien wij ervan overtuigd zijn dat wij een eventuele, passende functie voor u in de aanbieding hebben.

Website

In het kader van de toegang die u zichzelf verleent tot en het gebruik dat u maakt van onze website, worden volgende persoonsgegevens verwerkt:

  • Uw IP-adres
  • Uw surfgedrag (Google Analytics)
  • Cookies

VGD verwerkt bovenstaande gegevens met het oog op het optimaliseren van de inhoud en de werking van de website, overeenkomstig de behoeften van de bezoeker daarvan. Voor deze verwerking beroepen wij ons op het gerechtvaardigd belang dat wij hebben bij het aanbieden van een vlot toegankelijke, begrijpelijke, adequate, volledige en relevante website.

Voor meer informatie aangaande het gebruik van de website be.vgd.eu, wordt verwezen naar de cookie policy.

Direct marketing

Bij het bezorgen van nieuwsbrieven en folders (elektronisch of per post), worden volgende persoonsgegevens verwerkt:

  • Uw naam en voornaam
  • Uw adres
  • Uw e-mailadres

Bovenstaande gegevens worden verwerkt met het oog op de personalisatie van onze nieuwbrief en onze folders, alsook om u op de hoogte te brengen van voor uw onderneming relevante en interessante informatie. Dit betekent dat wij u informatie opsturen waarvan wij denken dat u dit interessant kan vinden en/of de informatie u kan helpen bij de zoektocht naar een geschikte kandidaat of werkgever. Meer specifiek kan dit gaan over promoties, aanbiedingen, netwerk- en klantenevenementen, rapporten, vacatures.

VGD doet dit op basis van het gerechtvaardigd belang. Wij besteden immers grote zorg aan het op maat aanbieden van deze direct marketing, zodat dit zeer nauw aansluit bij de interesses of toekomstperspectieven van de ontvangers.

VGD zal steevast voorzien in een opt-out mogelijkheid.

U kan te allen tijde en kosteloos uw bezwaar tegen het gebruik van uw persoonsgegevens voor direct marketing-doeleinden kenbaar maken. U richt daartoe een eenvoudig verzoek tot het VGD-privacy team, te bereiken via het e-mailadres privacy.be@vgd.eu.

Geen verplichting om gegevens over te maken

U bent niet verplicht uw persoonsgegevens over te maken aan VGD. U bent zich er evenwel van bewust dat de weigering van een aantal basisgegevens tot gevolg kan hebben wij in de onmogelijkheid verkeren bepaalde diensten te verlenen.

Bewaartermijnen

Uw persoonsgegevens die door VGD worden verwerkt, worden bewaard conform de wettelijke verplichting die VGD daartoe heeft of tot zolang deze gegevens nodig zijn om een kwalitatieve dienstverlening te garanderen. Persoonsgegevens die bewaard worden krachtens de wet van 18 september 2017 (identificatiegegevens, afschrift van bewijsstukken, interne en externe lasthebbers, alsmede de uiteindelijke begunstigden) worden, in overeenstemming met de wet, bewaard tot uiterlijk tien jaar na het einde van de zakelijke relatie met de cliënt of te rekenen vanaf de datum van een occasionele verrichting.

Andere persoonsgegevens dan hierboven vermeld worden slechts bewaard gedurende de termijnen voorzien in de toepasselijke wetgeving, zoals de boekhoudwetgeving, de fiscale wetgeving, de sociale wetgeving, en tenzij een langere bewaartermijn gerechtvaardigd is ter indekking van mogelijke rechtsvorderingen.

Rechten

Als betrokkene wiens persoonsgegevens worden verwerkt, beschikt u over een aantal rechten, aangaande de verwerkingen die door ons worden verricht.

Om uw rechten uit te oefenen, dient u zich te wenden tot het VGD-privacy team, te bereiken via het e-mailadres privacy.be@vgd.eu of via het online contactformulier

VGD is verplicht op dit verzoek te reageren binnen een termijn van één maand. Slechts wanneer u uw verzoek tot uitoefening van uw rechten via voormelde procedure aan de bevoegde dienst overmaakt, zal een gepaste reactie volgen binnen de gestelde termijn.

U beschikt over volgende rechten:

Recht op inzage en toegang

U heeft een recht op toegang tot uw persoonsgegevens, alsook het recht het gebruik ervan te raadplegen via het e-mailadres privacy.be@vgd.eu. U kan te allen tijde op eenvoudig verzoek een kosteloze kopie verkrijgen van uw beschikbare persoonsgegevens.

Recht op verbetering, wissing en beperking

Behoudens voor die persoonsgegevens die noodzakelijkerwijs verwerkt moeten worden in het kader van antiwitwaswetgeving en klantenacceptatieprocedure of in het kader van de bewaring krachtens een wettelijke verplichting, kan u zelf aangeven welke persoonsgegevens geheel niet of slechts voor een beperkt aantal verwerkingen verwerkt mogen worden. U kan daarenboven vragen om die persoonsgegevens, die geheel of gedeeltelijk niet verwerkt mogen worden, te verwijderen. U kan eveneens vragen uw persoonsgegevens te verifiëren en, indien nodig, te verbeteren.

Recht van bezwaar, geautomatiseerde besluiten en profiling

U kan zich te allen tijde verzetten tegen de verwerking van uw persoonsgegevens, wanneer dit bezwaar steunt op ernstige en legitieme redenen. Indien u zich wenst te verzetten tegen het gebruik van uw persoonsgegevens voor direct marketing-doeleinden, hoeft u hiervoor geen reden op te geven.

De verwerking van persoonsgegevens gebeurt niet op basis van geautomatiseerde beslissingen, met andere woorden niet zonder enige menselijke tussenkomst. Profiling gebeurt niet op basis van de beschikbare persoonsgegevens.

Recht op het intrekken van toestemming

Indien een verwerking van uw persoonsgegevens is gesteund op de toestemming die u daartoe hebt gegeven, kan u deze toestemming op ieder ogenblik weer intrekken.

Recht op overdraagbaarheid

Onder de voorwaarden bepaald in de AVG heeft u het recht om uw persoonsgegevens op een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. U kan vragen uw gegevens op deze wijze over te dragen aan een andere Verwerkingsverantwoordelijke.

Doorgifte aan derden

VGD verbindt zich ertoe uw persoonsgegevens niet te verkopen, te verhuren, te verdelen of op enige andere wijze ter beschikking te stellen aan derden, tenzij de mededeling aan de derde geschiedt in het kader van een wettelijke verplichting. In uitzonderlijke gevallen verplicht dwingende wetgeving ons ertoe uw persoonsgegevens over te maken aan de bevoegde overheidsinstanties. Hetzelfde geldt wanneer een gerechtelijk bevel aan VGD de verplichting oplegt om persoonsgegevens mee te delen aan een aantal personen die krachtens het gerechtelijk bevel bevoegd zijn om van de betreffende persoonsgegevens kennis te nemen.

VGD maakt echter een voorbehoud voor de gedeeltelijke of gehele reorganisatie of een overdracht van de activiteiten van de onderneming. In dit geval worden met de bedrijfsactiviteiten ook uw persoonsgegevens overgedragen aan die derden, die betrokken zijn bij de overdracht en de vertrouwelijke onderhandelingen voorafgaandelijk aan de overdracht.

In de mate van het mogelijke zal u op de hoogte gesteld worden van de doorgifte aan voormelde derden.

Ontvangers van gegevens

Uw persoonsgegevens worden intern en tussen de verschillende entiteiten van VGD doorgegeven op basis van een “need to know”-principe.

Overeenkomstig wat voorafgaat en behoudens in de mate dat de mededeling van persoonsgegevens aan organisaties of entiteiten wiens tussenkomst als third service providers voor rekening en onder de controle van de verantwoordelijke vereist is, zal het VGD-kantoor de in dit kader verzamelde persoonsgegevens niet meedelen, verkopen, verhuren of uitwisselen met enige andere organisatie of entiteit, tenzij u daar op voorhand van op de hoogte werd gebracht en hier uitdrukkelijk mee instemde.

VGD doet een beroep op third service providers:

     VGD maakt gebruik van een e-boekhoudsoftware en een bijhorend portaal;

      VGD schakelt andere softwareleveranciers in voor het uitvoeren van haar dienstverlening;

     VGD doet een beroep op externe medewerkers voor het uitvoeren van bepaalde taken of specifieke opdrachten (bedrijfsrevisor, notaris, …)

In de overeenkomsten met al deze third service providers werden de nodige garanties ingebouwd om de overdracht in overeenstemming te brengen met de relevante data protectie regelgeving, zij het het door middel van een verwerkersovereenkomst, zij het het door middel van het bepalen van de respectievelijke hoedanigheden.

Veiligheid en vertrouwelijkheid

VGD garandeert dat de verwerking van uw persoonsgegevens op een adequate, correcte en veilige wijze gebeurt. Hieronder wordt u op een transparante wijze geïnformeerd over de verwerkingsprocedures en de genomen passende, technische en organisatorische maatregelen om enig verlies, vervalsing of onrechtmatige wijziging van, alsook onrechtmatige toegang tot de persoonsgegevens te voorkomen.

Organisatorische maatregelen

  1.  Er werd door VGD een uitgebreide privacy policy opgesteld, waarbij zowel extern als intern uitleg wordt verschaft omtrent de door VGD verwerkte persoonsgegevens. In deze privacy policies werden onder meer de rechten van de betrokkenen, de beveiliging en het retentiebeleid uitgebreid vooropgesteld.
  2.  Alle medewerkers werden door VGD geïnformeerd en gesensibiliseerd. De vinger wordt bijkomend aan de pols gehouden door het opstellen van policies en procedures en doordat medewerkers worden gevraagd deel te nemen aan interne infosessies en periodieke opleidingen.
  3.  Er werd een Data Protection Officer aangeduid binnen VGD en een intern privacy team samengesteld. Te bereiken via privacy.be@vgd.eu.
  4.  VGD verbindt zich ertoe om bij de implementatie of het uitwerken van elk nieuw project grondig de rechten van de betrokkenen te overwegen en indien nodig een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren.

Juridische maatregelen  

  1. In de arbeidsovereenkomsten, in het arbeidsreglement e.a. interne policies voor onze interne medewerkers zijn bepalingen opgenomen met betrekking tot de geheimhouding en bescherming van de persoonlijke levenssfeer inzake gegevens die ons in het kader van onze opdracht werden toevertrouwd. Deze documenten werden bijgewerkt waar nodig om te voldoen aan GDPR vereisten;
  2.  Er werden verwerkersovereenkomsten opgesteld teneinde de gegevensoverdracht naar onze leveranciers die verwerkers zijn in de zin van GDPR correct in te kapselen.
  3.  Clausules die betrekking hebben op privacy, beveiliging en bescherming van persoonsgegevens in contracten en andere documenten die met klanten uitgewisseld worden, werden en worden strikt opgevolgd en te allen tijde geëvalueerd.
  4.  VGD dringt bij eventuele wederpartijen die ook verwerkingsverantwoordelijke zijn, er tevens op aan om een GDPR statement over te maken, zodat ook in deze relatie garanties worden geboden in verband met het GDPR conform verwerken van persoonsgegevens.

Technische maatregelen

  1.  Controle op fysieke toegang tot het datacenter, waarbij identificatie via identiteitskaart verplicht is.
  2.  Fysieke beveiliging van de infrastructuur in het datacenter omvat ook redundante koelsystemen, alarmsystemen en internetlijnen
  3.  In alle kantoren zijn redundante internetlijnen voorzien, waarbij een automatische omschakeling naar de back-up lijn – van een andere provider – voorzien is.
  4.  Redundante omgeving waarbij automatisch omgeschakeld wordt als een van de fysieke toestellen problemen heeft. Dit geldt o.a. voor servers, gateways, firewalls, switches en storage.
  5.  Meerdere back-ups per dag die geëncrypteerd worden weggeschreven naar fysiek afgescheiden locaties. Hierbij wordt ook naar een cloud back-up opslag weggeschreven die ook nog eens ontdubbeld is.
  6.  Een firewall die de toegang verzekert en controleert voor slechts een aantal toegestane regio’s en IP-adressen. Dit voor services die extern bereikbaar zijn. Hiervoor gebruiken we achterliggend nog reversed proxies als extra beveiliging.
  7.  Toegang tot interne systemen is beveiligd met een persoonlijk wachtwoord dat op regelmatige basis verplicht gewijzigd wordt en aan een bepaalde complexiteit moet voldoen. Toegang tot data is bepaald in kader van functie en wat effectief nodig is om de functie uit te kunnen oefenen.
  8.  Via een VPN-verbinding kan toegang verkregen worden tot het VGD-netwerk en data. Hierbij is een autorisatie op basis van een persoonlijk wachtwoord – zelfde als punt 7 – nodig.
  9.  Een volledige testomgeving waarbij alle softwares eerst in test geïnstalleerd worden en achteraf uitvoerig getest worden.
  10.  Op frequente basis worden alle softwares en systemen geüpdatet in kader van beveiliging en performantie.
  11.  Elk toestel is uitgerust met een anti-virus die actuele bedreigingen en info ophaalt uit een globale database.
  12.  Gebruikers hebben geen administrator rechten, waardoor enkel aangeboden en goedgekeurde bedrijfssoftware op de pc’s aanwezig is.
  13.  E-mail gaat eerst door een anti-spam filter alvorens e-mail afgeleverd wordt bij de gebruiker. Ook hier wordt gebruik gemaakt van een globale database.
  14.  Controle op de invoer, wijziging en schrapping van gegevens via een systeem van logging zodat achteraf kan vastgesteld worden wie welke wijzigingen heeft aangebracht in de software-applicaties.
  15.  Clean desk policy om fysiek dataverlies tegen te gaan.
  16.  Aangeboden WiFi in de kantoren is volledig afgescheiden van het VGD-netwerk, zodat toegang tot ons netwerk via deze weg niet mogelijk is voor derden.

Klachten

Indien u meent dat uw rechten als betrokkene worden geschaad door of bij de verwerking van uw persoonsgegevens, beschikt u over het recht een klacht in te dienen bij de Toezichthouder (Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel, e-mail:  contact@apd-gba.be, tel. +32 (0)2 274 48 00, fax +32 (0)2 274 48 35), onverminderd elke andere mogelijkheid tot het aantekenen van een administratief beroep of het instellen van een voorziening in rechte.

Wijzigingen

VGD behoudt zich het recht voor onderhavige policy te wijzigen.

Indien wezenlijke aanpassingen worden doorgevoerd, nemen wij alle redelijke maatregelen om u op de hoogte te stellen, voordat de wijzigingen van kracht worden.