Contact
Support

Trust

Informatieveiligheid

Security en informatiebeveiliging zijn voor Cevi Group van strategisch belang. Met het ISO27001-certificaat voldoen we aan de internationale norm voor informatiebeveiliging en garanderen we de bescherming van jouw data. Onze processen, systemen en data-opslag zijn onafhankelijk beoordeeld en goedgekeurd. Wij streven voortdurend naar verbetering van ons informatiebeveiligingsniveau.

Privacy verklaring

Bij Cevi behandelen we persoonsgebonden gegevens met de grootste zorg en volgens de AVG.

1.       Toepassingsgebied

Deze privacyverklaring is van toepassing op de verwerking van persoonsgegevens door Groep CEVI, met haar verbonden vennootschappen in de zin van artikel 1:20 van het Wetboek van Vennootschappen en Verenigingen (hierna samen: “CEVI”, “wij” of “ons”). CEVI is gevestigd te Bisdomplein 3, 9000 Gent en is ingeschreven in de Kruispuntbank van Ondernemingen onder ondernemingsnummer BE 0860.972.295.

CEVI is actief als ICT-partner, gespecialiseerd in het bouwen en leveren van moderne en betrouwbare informaticasystemen en totaaloplossingen (o.m. software, dienstverlening en ondersteuning), vooral voor overheidsinstellingen. Deze privacyverklaring beschrijft uitsluitend de externe verwerkingen waarbij CEVI optreedt als verwerkingsverantwoordelijke, zoals bij het gebruik van onze websites en communicatiekanalen, het behandelen van vragen en contactaanvragen, het beheer van professionele relaties met klanten en leveranciers, en rekrutering en sollicitaties.

CEVI treedt bovendien, in het kader van haar kernactiviteiten, vaak op als verwerker in opdracht van klanten (vb. een lokaal bestuur) die zelf verwerkingsverantwoordelijke zijn (bijvoorbeeld wanneer een bestuur persoonsgegevens verwerkt in een toepassing of dienst die CEVI voor dat bestuur beheert). Dergelijke verwerkingen vallen buiten het toepassingsgebied van deze privacyverklaring en worden geregeld door de privacyverklaring van de betrokken klant. Deze privacyverklaring is ook niet van toepassing op websites, diensten of toepassingen van anderen, ook niet wanneer deze toegankelijk zijn via onze websites (bijvoorbeeld via links of ingesloten functionaliteiten). In dat geval geldt de privacyverklaring van die derde partij en is die derde partij verantwoordelijk voor haar eigen verwerkingen.

Wij kunnen deze privacyverklaring aanpassen wanneer onze verwerkingen wijzigen of wanneer wetgeving dit vereist. De meest recente versie is steeds beschikbaar via onze website(s) en vermeldt de datum van de laatste update. U kunt contact opnemen met onze functionaris voor gegevensbescherming (“DPO”) per e-mail via dpo@cevi.be of per post op Bisdomplein 3, 9000 Gent.

2         Welke categorieën persoonsgegevens verwerken wij en waarom?

2.1        Klant- en leveranciersrelatie (contractbeheer en dienstverlening)

Voor het beheren van onze professionele relaties met klanten en leveranciers en voor het leveren van onze producten en diensten (inclusief administratie, facturatie en opvolging) verwerken wij de identificatie- en contactgegevens van contactpersonen, evenals afspraken- en contractgegevens, bestel- en leveringsgegevens, facturatiegegevens en relevante communicatie in het kader van de dienstverlening. De verwerking gebeurt omdat dit nodig is voor de uitvoering van de overeenkomst en/of op basis van ons gerechtvaardigd belang om onze samenwerking correct te organiseren en op te volgen.

2.2        Helpdesk en ondersteuning

Wanneer u onze helpdesk contacteert, een ticket aanmaakt of een melding doet, verwerken wij uw identificatie- en contactgegevens en de gegevens die u opneemt in uw ticket of melding (zoals de inhoud, relevante context en bijlagen). Waar noodzakelijk voor diagnose en opvolging kunnen ook technische gegevens worden verwerkt die relevant zijn voor het gemelde probleem (bijvoorbeeld log- of configuratie-informatie). Deze verwerking is nodig voor de uitvoering van de overeenkomst en/of steunt op ons gerechtvaardigd belang om onze dienstverlening veilig, stabiel en kwalitatief te houden.

2.3        Rekrutering en selectie

Wanneer u solliciteert, verwerken wij de persoonsgegevens die u in dat kader aanlevert om uw sollicitatie te behandelen en de selectieprocedure te organiseren, zoals identificatie- en contactgegevens, uw cv, opleiding, werkervaring, motivatie en andere relevante informatie. Deze verwerking steunt in de regel op ons gerechtvaardigd belang om kandidaten te selecteren en aan te werven, en waar passend op uw toestemming (bijvoorbeeld wanneer wij uw gegevens langer willen bewaren voor een wervingsreserve).

2.4        Contact en communicatie

Om uw vragen te beantwoorden en met u te communiceren via onze contactkanalen (o.m. e-mail, telefoon en contactformulieren), verwerken wij identificatie- en (professionele) contactgegevens zoals naam, voornaam, functie, organisatie, e-mailadres en telefoonnummer, aangevuld met de inhoud van uw bericht of aanvraag en eventuele bijlagen die u ons bezorgt. Wij doen dit op basis van de uitvoering van (pre)contractuele maatregelen op uw verzoek en/of op basis van ons gerechtvaardigd belang om vragen efficiënt te behandelen en onze bereikbaarheid te organiseren.

2.5        Opleidingen, infosessies en events

Wanneer u zich inschrijft voor of deelneemt aan een opleiding, infosessie of event, verwerken wij de persoonsgegevens die nodig zijn om dit praktisch te organiseren en op te volgen, zoals identificatie- en contactgegevens, inschrijvingsgegevens, aanwezigheidsgegevens en praktische communicatie in dat verband. Deze verwerking gebeurt omdat zij noodzakelijk is voor de uitvoering van de overeenkomst (inschrijving/deelname) en/of op basis van ons gerechtvaardigd belang om onze opleidingen en events vlot te organiseren.

2.6        Marketing en nieuwsberichten (waar van toepassing)

Om u te informeren over updates, opleidingen, events of diensten van CEVI en om onze professionele relatie te onderhouden, kunnen wij uw identificatie- en (professionele) contactgegevens en uw communicatievoorkeuren verwerken. Dit gebeurt op basis van ons gerechtvaardigd belang voor B2B-relatiebeheer en/of op basis van uw toestemming voor elektronische marketing wanneer dat wettelijk vereist is. U kan zich steeds uitschrijven via de daartoe voorziene mogelijkheid in onze communicatie of door ons te contacteren.

2.7        Enquêtes en bevragingen

Om feedback te verzamelen over onze dienstverlening, opleidingen of communicatie en zo onze werking te verbeteren, kunnen wij enquêtes of bevragingen organiseren. In dat kader verwerken wij uw antwoorden en opmerkingen en, wanneer u die opgeeft of wanneer de bevraging eraan gekoppeld is, ook identificatie- en contactgegevens. Waar nodig verwerken wij daarnaast beperkte technische metadata om de bevraging correct te laten verlopen (bijvoorbeeld het tijdstip van deelname). Deze verwerking steunt op ons gerechtvaardigd belang om onze kwaliteit te evalueren en te verbeteren en/of op uw toestemming wanneer de bevraging daarom vraagt.

2.8        Verwerken van een toepassingsverklaring (Statetement of Applicability, SOA)-aanvraag

Voor het ontvangen, beoordelen en verwerken van een toepassingsverklaring-aanvraag en voor de communicatie en administratieve opvolging daarvan, verwerken wij identificatie- en (professionele) contactgegevens en de gegevens die nodig zijn om de aanvraag inhoudelijk te behandelen (zoals referentie- of dossierinformatie en de elementen die u aanlevert), evenals de correspondentie in dat verband. Dit gebeurt omdat het noodzakelijk is voor de uitvoering van (pre)contractuele maatregelen op uw verzoek en/of voor de uitvoering van de overeenkomst, en waar relevant op basis van ons gerechtvaardigd belang om aanvragen correct te registreren en op te volgen.

2.9        Websitegebruik, beveiliging en cookies

Bij het gebruik van onze websites kunnen wij technische en gebruiksgegevens verwerken om de website correct te laten functioneren, te beveiligen en te verbeteren, en om uw cookievoorkeuren te beheren. Het gaat onder meer om IP-adres, loggegevens, toestel- en browsergegevens en cookie- en voorkeurgegevens, voor zover wettelijk toegestaan. Voor strikt noodzakelijke verwerking baseren wij ons op ons gerechtvaardigd belang (werking en beveiliging van de website); voor niet-essentiële cookies of vergelijkbare technologieën vragen wij uw toestemming waar vereist. Meer informatie hierover vindt u in ons cookiebeleid(+hyperlink).

2.10     Veiligheid en beveiliging

Om de veiligheid van onze bezoekers, medewerkers en andere personen te waarborgen en om onze eigendommen te beschermen, nemen wij passende veiligheids- en beveiligingsmaatregelen in onze fysieke omgevingen (zoals gebouwen en terreinen) en in onze digitale omgevingen (zoals onze IT-systemen en netwerken). In dat kader kunnen wij, afhankelijk van de situatie, persoonsgegevens verwerken zoals identificatie- en contactgegevens (bijvoorbeeld bij bezoekersregistratie of toegangsbeheer waar van toepassing), gegevens in veiligheids- of incidentmeldingen, en technische gegevens en loggegevens die nodig zijn om misbruik te detecteren, incidenten te onderzoeken en de integriteit en beschikbaarheid van onze systemen te bewaken. Wij baseren deze verwerking in de regel op ons gerechtvaardigd belang om veiligheid en beveiliging in de brede zin na te streven en om personen, informatie en systemen te beschermen, en waar relevant ook op een wettelijke verplichting

CEVI verwerkt in principe geen bijzondere categorieën van persoonsgegevens (zoals gezondheidsgegevens of gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische of biometrische gegevens blijken). Als u dergelijke gegevens toch uitdrukkelijk en op eigen initiatief meedeelt en dit noodzakelijk is om uw vraag of dossier te behandelen, beperken wij de verwerking tot wat strikt nodig is en enkel waar dit wettelijk is toegestaan, bijvoorbeeld op basis van uitdrukkelijke toestemming of wanneer dit noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

3         Met wie deelt CEVI uw gegevens?

CEVI gaat zorgvuldig om met uw persoonsgegevens en deelt deze enkel wanneer dat nodig is voor de doeleinden in deze privacyverklaring. Uw gegevens kunnen intern worden gedeeld binnen Groep CEVI en haar verbonden vennootschappen, voor zover dit nodig is voor een correcte organisatie van onze dienstverlening, ondersteuning, administratie en opvolging. Daarnaast doen wij voor bepaalde activiteiten beroep op externe dienstverleners die in onze opdracht persoonsgegevens verwerken, zoals leveranciers van IT- en hostingdiensten, onderhoud en support, beveiliging, communicatie- en mailingtools, enquêteplatformen en andere partijen die ons technisch of organisatorisch ondersteunen. Deze partijen treden op als (sub)verwerker en mogen uw gegevens uitsluitend verwerken volgens onze instructies en met passende contractuele en technische waarborgen.

In sommige gevallen delen wij persoonsgegevens met derden die zelf verwerkingsverantwoordelijke zijn. Dat kan bijvoorbeeld gebeuren met rechtbanken, gerechtelijke instanties en bevoegde autoriteiten wanneer dit wettelijk is vereist, wanneer wij daartoe rechtsgeldig worden verzocht, of wanneer dit noodzakelijk is om onze belangen te beschermen of onze rechten te waarborgen (bijvoorbeeld in het kader van een (dreigend) geschil, een audit, fraude- of beveiligingsincidenten). Ook kunnen wij persoonsgegevens delen met overheidsinstanties wanneer wij wettelijk verplicht zijn bepaalde gegevens te verstrekken.

Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) gebeurt enkel wanneer dit noodzakelijk is en wanneer daarvoor passende waarborgen bestaan. Waar van toepassing maken wij gebruik van erkende mechanismen, zoals een adequaatheidsbesluit of standaardcontractbepalingen en aanvullende maatregelen, om een passend beschermingsniveau te garanderen.

Tot slot kunnen wij uw gegevens ook met anderen delen wanneer u ons daartoe hebt verzocht, wanneer dit noodzakelijk is voor de uitvoering van onze overeenkomst, of wanneer wij hier wettelijk toe worden verplicht. In alle gevallen beperken wij de gegevensdeling tot wat noodzakelijk is, en zorgen wij waar nodig voor de passende afspraken en beveiligingsmaatregelen.

4          Hoe lang worden uw gegevens bewaard?

CEVI bewaart uw persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor wij ze verwerken, zoals beschreven in deze privacyverklaring. De concrete bewaartermijn hangt af van de aard van de gegevens, het doel van de verwerking en onze wettelijke of contractuele verplichtingen. Waar mogelijk hanteren wij vaste termijnen; in andere gevallen beoordelen wij periodiek of gegevens nog nodig zijn en verwijderen of anonimiseren wij ze. In bepaalde situaties kunnen wij gegevens langer bewaren wanneer dit noodzakelijk is om te voldoen aan een wettelijke bewaarplicht, om onze administratie correct te voeren, of om onze rechten uit te oefenen, te onderbouwen of te verdedigen (bijvoorbeeld in het kader van een (dreigend) geschil).

In de praktijk betekent dit onder meer dat wij gegevens in het kader van onze klant- en leveranciersrelatie en contractuele dienstverlening bewaren zolang de samenwerking loopt en daarna gedurende een redelijke periode die nodig is voor opvolging, boekhoudkundige verplichtingen en eventuele betwistingen.

Wanneer de toepasselijke bewaartermijn is verstreken, anonimiseren of verwijderen wij uw persoonsgegevens. Dit gebeurt echter niet wanneer er in een concreet dossier een zwaarder doorwegend belang bestaat voor CEVI of voor een derde om uw gegevens langer te bewaren (bijvoorbeeld in het kader van een (dreigend) geschil), of wanneer een wettelijke verplichting of een rechterlijk of administratief bevel ons verplicht om uw persoonsgegevens te blijven bewaren, dan wel ons verhindert om uw persoonsgegevens te anonimiseren of te verwijderen.

5         Beveiliging van uw gegevens

CEVI neemt passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen verlies, ongeoorloofde toegang, ongeoorloofde wijziging, openbaarmaking of vernietiging. Daarbij houden wij rekening met de aard van de gegevens, de doeleinden van de verwerking en de mogelijke risico’s. In de praktijk betekent dit dat wij onder meer werken met toegangs- en autorisatiebeheer (alleen wie de gegevens nodig heeft, krijgt toegang), beveiligde systemen en netwerken, logging en monitoring, en waar aangewezen versleuteling en back-ups. We evalueren onze maatregelen regelmatig en passen ze aan wanneer onze systemen, processen of risico’s wijzigen.

Ook onze medewerkers en dienstverleners worden geacht zorgvuldig met persoonsgegevens om te gaan. Waar wij beroep doen op externe partijen die persoonsgegevens in onze opdracht verwerken, leggen wij passende afspraken vast en verwachten wij dat zij vergelijkbare beveiligingsmaatregelen nemen.

Wij leveren commercieel redelijke inspanningen om ervoor te zorgen dat uw persoonsgegevens op een passende manier beveiligd worden en dat onrechtmatige verwerking zoveel mogelijk wordt voorkomen. Als zich toch een beveiligingsincident voordoet, nemen wij de nodige stappen om de impact te beperken en het incident te onderzoeken. Wanneer de wet dit vereist, melden wij een datalek aan de bevoegde toezichthouder en, waar nodig, informeren wij ook de betrokkenen.

6         Wat zijn uw rechten bij het verwerken van uw gegevens?

U heeft rechten met betrekking tot de persoonsgegevens die CEVI over u verwerkt. Hieronder vindt u een overzicht van deze rechten, voor zover ze in uw situatie van toepassing zijn.

  • Recht op inzage: u kan opvragen welke persoonsgegevens wij over u verwerken en waarom. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn (bijvoorbeeld bij herhaalde verzoeken), kunnen wij een redelijke administratieve kost aanrekenen of uw verzoek weigeren, zoals wettelijk toegestaan.
  • Recht op verbetering: u kan vragen om onjuiste persoonsgegevens te corrigeren en onvolledige gegevens aan te vullen. We kunnen u vragen om de nodige informatie of bewijsstukken te bezorgen om de aanpassing correct te kunnen uitvoeren.
  • Recht om toestemming in te trekken: wanneer wij uw persoonsgegevens verwerken op basis van uw toestemming, kan u die toestemming op elk moment intrekken. Dit heeft geen invloed op verwerkingen die al gebeurden vóór uw intrekking.
  • Recht op wissing: in bepaalde gevallen kan u vragen om uw persoonsgegevens te verwijderen. Wij beoordelen dan of wij uw gegevens mogen of moeten bijhouden, bijvoorbeeld omwille van een wettelijke verplichting, een rechterlijk of administratief bevel, of omdat wij uw gegevens nodig hebben om onze rechten te waarborgen.
  • Recht op beperking: in bepaalde omstandigheden kan u vragen om de verwerking tijdelijk te beperken, bijvoorbeeld wanneer u de juistheid van gegevens betwist of wanneer u de gegevens nog nodig heeft in het kader van een juridische procedure.
  • Recht op bezwaar: wanneer wij uw persoonsgegevens verwerken op basis van ons gerechtvaardigd belang, kan u bezwaar maken om redenen die verband houden met uw specifieke situatie. U kan bovendien altijd bezwaar maken tegen verwerkingen voor direct marketing.
  • Recht op gegevensoverdraagbaarheid: wanneer de verwerking gebeurt op basis van uw toestemming of voor de uitvoering van een overeenkomst en via geautomatiseerde processen, kan u vragen om de persoonsgegevens die u aan ons bezorgde te ontvangen in een gestructureerde, gangbare en machineleesbare vorm, en/of om ze te laten overdragen aan een andere verwerkingsverantwoordelijke.
  • Recht m.b.t. geautomatiseerde besluitvorming: u heeft het recht om niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit dat voor u rechtsgevolgen heeft of u op vergelijkbare wijze aanzienlijk treft, behalve in de gevallen die de wet toelaat. CEVI past op dit moment geen dergelijke uitsluitend geautomatiseerde besluitvorming toe.

U kan deze rechten uitoefenen door contact op te nemen met onze DPO via dpo@cevi.be of per post op Bisdomplein 3, 9000 Gent. Om misbruik te voorkomen kunnen wij u vragen om uw identiteit te bevestigen. Wij behandelen uw aanvraag binnen de wettelijke termijnen. Indien u van mening bent dat CEVI uw persoonsgegevens niet correct verwerkt, kan u ook een klacht indienen bij de Gegevensbeschermingsautoriteit, per post te Drukpersstraat 15, 1000 Brussel, per e-mail via contact@apd-gba.be, of telefonisch op +32 2 274 48 00.

16 januari 2026

Beleid voor gecoördineerde bekendmaking van kwetsbaarheden

Vanuit de bekommernis om het prestatievermogen en de beveiliging van onze netwerk- en informatiesystemen te verbeteren, hebben wij ervoor gekozen een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden in te voeren. Zo kunnen deelnemers met goede bedoelingen mogelijke kwetsbaarheden in de systemen, uitrusting en producten van onze organisatie opsporen of ons elke ontdekte informatie over een kwetsbaarheid bezorgen.

1. Organisatie

Benaming: Cevi NV

Adres/maatschappelijke zetel:
Bisdomplein 3
9000 GENT

Inschrijvingsnummer bij de Kruispuntbank van Ondernemingen (KBO): BE 0860.972.295

Vertegenwoordigd door: Christoph Verheecke, afgevaardigd bestuurder

Hierna de “organisatie” genoemd,

2. Toepassingsgebied van het beleid

Vanuit de bekommernis om het prestatievermogen en de beveiliging van onze netwerk- en informatiesystemen te verbeteren, hebben wij ervoor gekozen een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden in te voeren. Zo kunnen deelnemers met goede bedoelingen mogelijke kwetsbaarheden in de systemen, uitrusting en producten van onze organisatie opsporen of ons elke ontdekte informatie over een kwetsbaarheid bezorgen.

De toegang tot onze informaticasystemen en -uitrusting wordt evenwel uitsluitend verleend met de bedoeling de beveiliging ervan te verbeteren en ons te informeren over bestaande kwetsbaarheden, met strikte inachtneming van de andere voorwaarden bepaald in dit document.

Ons beleid betreft beveiligingskwetsbaarheden die kunnen worden misbruikt door derden of die de goede werking van onze producten, diensten, netwerk- of informatiesystemen kunnen verstoren.

De deelnemer is eveneens gemachtigd om informaticagegevens in ons informaticasysteem in te voeren of dit te proberen, met inachtneming van de doeleinden en voorwaarden van dit beleid.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van de Cevi Group. Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via dpo@cevi.group.

Het onderzoek van de deelnemer met betrekking tot informatiesystemen die niet uitdrukkelijk onder dit beleid vallen, kan leiden tot de gerechtelijke vervolging van deze deelnemer.

3. Wederzijdse verplichtingen van de partijen

3.1 Evenredigheid

De deelnemer verbindt zich ertoe om bij al zijn activiteiten het evenredigheidsbeginsel nauwgezet na te leven, dat wil zeggen de beschikbaarheid van de door het systeem geleverde diensten niet te verstoren en geen gebruik te maken van de kwetsbaarheid buiten wat strikt noodzakelijk is voor het aantonen van het beveiligingsprobleem. Zijn houding moet evenredig blijven: indien het probleem op kleine schaal is aangetoond, moet niet verder worden gegaan.

Ons beleid heeft niet tot doel de opzettelijke kennisneming van de inhoud van informatica-, communicatie- of persoonsgegevens mogelijk te maken en een dergelijke kennisneming mag slechts toevallig plaatsvinden in het kader van het opsporen van kwetsbaarheden.

3.2 Verboden acties

De volgende acties zijn niet toegestaan voor de deelnemer:

  • het kopiëren of wijzigen van gegevens van het informaticasysteem of het verwijderen van gegevens uit dat systeem;
  • het wijzigen van de parameters van het informaticasysteem;
  • de installatie van malware: virus, worm, Trojaans paard enz.;
  • “denial of service”-aanvallen (Distributed Denial Of Service – DDOS);
  • “social engineering”-aanvallen;
  • phishing-aanvallen;
  • aanvallen via ongewenste mails (spamming);
  • diefstal van paswoorden of “brute force”-aanvallen;
  • de installatie van een toestel dat het mogelijk maakt om niet voor het publiek toegankelijke communicatie of elektronische communicatie te onderscheppen, op te slaan of er kennis van te nemen;
  • het met opzet onderscheppen, opslaan of kennisnemen van niet voor het publiek toegankelijke communicatie of van elektronische communicatie;
  • het met opzet gebruiken, bijhouden, meedelen of verspreiden van de inhoud van niet voor het publiek toegankelijke communicatie of van gegevens van een informaticasysteem waarvan de deelnemer redelijkerwijze had moeten weten dat ze onwettig werden verkregen;

Indien de deelnemer hulp van een derde wenst om zijn onderzoek uit te voeren, dient hij zich ervan te vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid na te leven.

3.3 Vertrouwelijkheid

Zonder onze voorafgaande en uitdrukkelijke toestemming mag de deelnemer in geen geval informatie die hij heeft verzameld in het kader van ons beleid delen met derden of verspreiden onder derden.

Het is evenmin toegestaan informatica-, communicatie- of persoonsgegevens mee te delen aan derden of te verspreiden onder derden.

Indien de kwetsbaarheid ook andere organisaties in België kan treffen, kunnen de deelnemer of de verantwoordelijke organisatie dit niettemin melden aan het CCB (vulnerabilityreport@cert.be).

3.4 Uitvoering te goeder trouw

Onze organisatie verbindt zich ertoe dit beleid te goeder trouw uit te voeren en de deelnemer die de voorwaarden ervan naleeft noch burgerrechtelijk noch strafrechtelijk te vervolgen.

In hoofde van de deelnemer mag er geen sprake zijn van bedrieglijk opzet, het oogmerk om te schaden, of de wil om gebruik te maken van of schade te veroorzaken aan het bezochte systeem of aan de gegevens ervan. Dat geldt ook voor derde systemen in België of in het buitenland.

In geval van twijfel over bepaalde voorwaarden van ons beleid moet de deelnemer ons aanspreekpunt vooraf raadplegen en diens schriftelijke toestemming verkrijgen alvorens te handelen.

3.5 Verwerking van persoonsgegevens

Een CVDP heeft niet tot doel om intentioneel persoonsgegevens te verwerken. Het is echter wel mogelijk dat de deelnemer, zelfs toevallig, persoonsgegevens moet verwerken in het kader van zijn onderzoek naar kwetsbaarheden.

De verwerking van persoonsgegevens heeft een ruime betekenis en omvat met name het opslaan, wijzigen, opvragen, raadplegen, gebruiken of verstrekken van elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het “identificeerbare” karakter van de persoon hangt niet af van de loutere wil tot identificatie van de gegevensverwerker, maar van de mogelijkheid om de persoon direct of indirect te identificeren aan de hand van deze gegevens (bijvoorbeeld: een e-mailadres, identificatienummer, online identificator, IP-adres of nog, locatiegegevens).

Zo is het mogelijk dat de deelnemer op beperkte wijze persoonsgegevens verwerkt. Dat moet dan gebeuren conform de GDPR-regelgeving [1].

De deelnemer mag een beroep doen op een derde voor zijn onderzoek. Hij moet zich ervan vergewissen dat die derde vooraf kennisneemt van dit beleid en erin toestemt om, bij het verlenen van hulp, de voorwaarden van het beleid na te leven, met inbegrip van de vertrouwelijkheid en de uitvoering van passende beveiligingsmaatregelen. De deelnemer erkent dat hij volledig aansprakelijk blijft ten aanzien onze organisatie indien de derde op wie hij een beroep doet zijn verplichtingen inzake gegevensbescherming niet nakomt.

Indien de deelnemer persoonsgegevens die door onze organisatie worden opgeslagen en/of op enige andere wijze worden verwerkt, verwerkt op een manier die in strijd is met dit beleid of voor andere doeleinden dan het opsporen van mogelijke kwetsbaarheden in de systemen, producten en uitrusting van onze organisatie, erkent hij dat hij zal worden beschouwd als een verwerkingsverantwoordelijke en zal hij volledig aansprakelijk zijn voor de verwerking die hij uit dien hoofde heeft uitgevoerd.

3.6 Toekenning van een beloning

Als dank voor elke melding van een voor Cevi nog onbekend beveiligingsprobleem, bieden we de mogelijkheid aan om vermeld te worden in onze “Hall of Fame” op deze pagina.

[1] Europese Verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG Algemene verordening gegevensbescherming).

4. Hoe meld je beveiligingskwetsbaarheden?

4.1 Aanspreekpunt

U moet de ontdekte informatie uitsluitend naar het volgende e-mailadres sturen: dpo@cevi.group

Na contactname zal er een beveiligd communicatiemiddel afgesproken worden om onderling informatie over de vulnerability uit te wisselen.

U kunt eveneens contact opnemen met de dienst of de persoon die verantwoordelijk is voor het beleid, op het (de) volgende telefoonnummer(s): +32 9 264 07 01

4.2 Te bezorgen informatie

Stuur ons zo snel mogelijk na uw ontdekking de hieraan verbonden informatie met behulp van dit pdf-invuformulier.

5. Procedure

5.1 Ontdekking

Wanneer een deelnemer informatie over een mogelijke kwetsbaarheid ontdekt, moet hij voor zover mogelijk vooraf controles uitvoeren om het bestaan van de kwetsbaarheid te bevestigen en eventuele risico’s te identificeren.

5.2 Melding

De deelnemer verbindt zich ertoe om de technische informatie over de mogelijke kwetsbaarheden zo snel mogelijk te bezorgen aan het aanspreekpunt [of aan de coördinator (optioneel)] vermeld in punt 3 a) van dit beleid, met behulp van de vermelde beveiligde communicatiemiddelen.

Onze organisatie verbindt zich ertoe om, wanneer ze een melding ontvangt, de deelnemer zo snel mogelijk een bericht van ontvangst te sturen en de volgende stappen van de procedure.

5.3 Communicatie

De partijen verbinden zich ertoe alles in het werk te stellen om een permanente en doeltreffende communicatie te garanderen. De door de deelnemer verstrekte inlichtingen kunnen immers heel nuttig zijn om de kwetsbaarheid te identificeren en er een oplossing voor te vinden.

Indien na een redelijke termijn een reactie van een van de partijen van het CVDP uitblijft, kunnen de partijen een beroep doen op het Centrum voor Cybersecurity België (CCB) (vulnerabilityreport@cert.be) als (standaard-) coördinator.

5.4 Onderzoek

Tijdens de onderzoeksfase zal onze organisatie de omgeving en de gesignaleerde handelwijze reproduceren om de meegedeelde informatie te controleren.

Onze organisatie verbindt zich ertoe om de deelnemer regelmatig op de hoogte te houden van de resultaten van het onderzoek en van het gevolg dat aan zijn melding wordt gegeven.

Tijdens deze procedure zullen de partijen ervoor zorgen dat ze de link leggen met gelijkaardige of aanverwante meldingen, dat ze het risico en de ernst van de kwetsbaarheid beoordelen en dat ze eventuele andere getroffen producten of systemen identificeren.

5.5 Ontwikkeling van een oplossing

Het bekendmakingsbeleid heeft tot doel de ontwikkeling van een oplossing mogelijk te maken om de kwetsbaarheid van het informaticasysteem weg te werken vooraleer schade wordt aangericht.

Rekening houdend met de stand van de techniek, de uitvoeringskosten, de ernst van de risico’s voor de gebruikers en de technische beperkingen zal onze organisatie proberen om uiterlijk binnen de 90 kalenderdagen een oplossing te ontwikkelen.

In deze fase verbinden onze organisatie en haar partners zich ertoe enerzijds positieve testen uit te voeren om na te gaan of de oplossing correct werkt en anderzijds negatieve testen om er zeker van te zijn dat de oplossing de goede werking van de andere bestaande functionaliteiten niet verstoort.

5.6 Eventuele openbare bekendmaking

Onze organisatie zal, in overleg met de deelnemer, beslissen op welke wijze het bestaan van de kwetsbaarheid eventueel openbaar wordt gemaakt. Deze openbare bekendmaking mag ten vroegste tegelijk met de toepassing van een oplossing en de verspreiding van een beveiligingsbericht voor de gebruikers plaatsvinden.

Indien een kwetsbaarheid ook andere organisaties treft, moet de verantwoordelijke organisatie dit in ieder geval melden aan het Centrum voor Cybersecurity België (vulnerabilityreport@cert.be), zelfs als ze niet wil dat de kwetsbaarheid openbaar wordt gemaakt. 

Onze organisatie verbindt zich er eveneens toe opmerkingen van gebruikers over de toepassing van de oplossing te verzamelen en de nodige corrigerende maatregelen te nemen om eventuele problemen veroorzaakt door de oplossing te regelen, onder meer inzake compatibiliteit met andere producten of diensten.