TUSSEN
GEGEVENSVERWERKINGSOVEREENKOMST - KampAdmin
TUSSEN
Met maatschappelijke zetel te , Geregistreerd onder bedrijfsnummer , Wettelijk vertegenwoordigd door , Hierna aangewezen als de "Verwerkingsverantwoordelijke"
EN
KampAdmin BV
Met maatschappelijke zetel te Xxxxxxxxxxxxxxxxxx 000, 0000 Xxxxxxx, Geregistreerd onder bedrijfsnummer 0785.482.640 ,
Wettelijk vertegenwoordigd door Xxxxxxxxx Xxxxxx , Hierna aangewezen als de "Gegevensverwerker "
De Verwerkingsverantwoordelijke en de Verwerker kunnen hierna individueel worden aangeduid als een "Partij" en gezamenlijk als de "Partijen".
WAARBIJ
1. De Verwerkingsverantwoordelijke is een klant van één of meerdere van de producten of diensten van KampAdmin BV.
2. De Verwerker biedt het product of de dienst aan, samen met extra support.
3. De Verwerkingsverantwoordelijke wil zijn activiteiten in verband met de producten of diensten van KampAdmin BV toevertrouwen aan de Verwerker. Deze activiteiten vereisen de verwerking van Persoonsgegevens, zodat de Verwerker, in het kader van het verlenen van de Diensten, ook Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.
4. De diensten geleverd door de Verwerker (de “Diensten”) maken deel uit van de Gebruikersovereenkomst (de “Overeenkomst”) tussen de Verwerkingsverantwoordelijke en de Verwerker.
5. Dit Addendum voor gegevensverwerking (het of dit "Addendum") is bedoeld om de verwerking van persoonsgegevens te regelen die nodig is om de Diensten tussen Partijen uit te voeren. Dit Addendum maakt daarom deel uit van de Overeenkomst tussen Partijen.
1. DEFINITIES
1.1. "Gegevensbeschermingswetgeving" betekent: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, en tot intrekking van Richtlijn 95/46 / EG ("GDPR"), evenals alle bijbehorende regelgeving of Belgische wetgeving die de GDPR implementeert.
1.2. Alle termen en definities met betrekking tot gegevensbescherming die in dit addendum worden gebruikt, zoals persoonlijke gegevens, gegevensverwerker, gegevensbeheerder, verwerking, enzovoort, hebben dezelfde betekenis als en worden geïnterpreteerd in overeenstemming met de Gegevensbeschermingswetten.
2. VERWERKING VAN PERSOONSGEGEVENS
2.1. Partijen erkennen en komen overeen dat met betrekking tot de verwerking van persoonsgegevens de Verwerkingsverantwoordelijke is en KampAdmin BV de Verwerker.
2.2. Als de Verwerkingsverantwoordelijke persoonlijke gegevens opneemt of autoriseert om op te nemen in de inhoud die wordt ingevoerd in de diensten of als persoonlijke gegevens worden gegenereerd ter uitvoering van de diensten, verklaart de Verwerkingsverantwoordelijke dat hij de Verwerkingsverantwoordelijke is van die persoonlijke gegevens of dat hij deze heeft, voorafgaand aan akkoord te gaan met de bepalingen van dit addendum of het voordeel van de diensten uit te breiden tot een nieuwe gegevensbeheerder, geïnstrueerd door of verkregen toestemming van de relevante gegevensbeheerder (s) om akkoord te gaan met de toezeggingen in dit addendum.
2.3. Verwerkingsverantwoordelijke bepaalt het doel en de wijze van verwerking van persoonsgegevens die KampAdmin BV namens Klant verwerkt.
2.4. Verwerker zal persoonsgegevens uitsluitend verwerken in overeenstemming met het Addendum en de schriftelijke instructies van Klant met betrekking tot het Addendum.
2.5. Verwerker mag geen persoonsgegevens verwerken voor eigen rekening of voor andere doeleinden dan die vermeld in het Addendum of schriftelijke instructies van Verwerkingsverantwoordelijke.
2.6. Verwerker zorgt ervoor dat al zijn personeel dat met de verwerking werkt of zich er anderszins mee bezighoudt, volledig bevoegd is om de verwerking correct uit te voeren.
2.7. Indien Verwerker van mening is dat instructies die nodig zijn om de verwerking uit te voeren in overeenstemming met de bepalingen van het Addendum of anderszins in overeenstemming met de Voorschriften ontbreken, zal hij Verwerkingsverantwoordelijke hiervan onverwijld informeren en wachten op verdere instructies van Verwerkingsverantwoordelijke.
3. VERWERKING GEDEKT DOOR HET ADDENDUM
3.1. Onderwerp van verwerking.
Het onderwerp van de verwerking van de persoonsgegevens van Verwerkingsverantwoordelijke door de Verwerker is de uitvoering van de Diensten op grond van de Overeenkomst.
3.2. Doel van verwerking.
De Verwerker verwerkt persoonlijke gegevens indien nodig om de Diensten te leveren in overeenstemming met de Overeenkomst en zoals verder schriftelijk geïnstrueerd door de Verwerkingsverantwoordelijke bij het gebruik van de Service.
3.3. Duur van verwerking.
Verwerker verwerkt persoonsgegevens voor de duur van het Addendum, tenzij schriftelijk anders is overeengekomen.
3.4. Verwerkingen en aard van de verwerking.
De door de Verwerker verwerkte persoonsgegevens van de Verwerkingsverantwoordelijke zijn onderworpen aan de volgende basisverwerkingsactiviteiten: (1) het gebruik van de persoonsgegevens van de Verwerkingsverantwoordelijke om de Diensten te verlenen en om technische ondersteuning te bieden, (2) de opslag en back-up van de persoonsgegevens van de Verwerkingsverantwoordelijke in gegevenscentra, (3) computerverwerking van de persoonsgegevens van Verwerkingsverantwoordelijke, inclusief datatransmissie, ophalen van gegevens, gegevenstoegang en (4) statistische analyse van de geanonimiseerde persoonsgegevens van Verwerkingsverantwoordelijke.
3.5. Categorieën betrokkenen.
Verwerkingsverantwoordelijke kan persoonlijke gegevens verstrekken aan de Diensten, waarvan de mate naar eigen goeddunken wordt bepaald en gecontroleerd door Verwerkingsverantwoordelijke, en die kan omvatten, maar is niet beperkt tot, persoonlijke gegevens met betrekking tot de volgende categorieën betrokkenen: leden van de organisaties van Verwerkingsverantwoordelijke, contactpersonen, gebruikers van Verwerkingsverantwoordelijke die door Verwerkingsverantwoordelijke zijn geautoriseerd om de Diensten te gebruiken en andere personen.
3.6. Soort persoonsgegevens.
Verwerkingsverantwoordelijke bepaalt de soorten gegevens die worden verwerkt in de Diensten. De gegevensvelden van de Verwerkingsverantwoordelijke kunnen worden geconfigureerd als onderdeel van de implementatie van de diensten of zoals anderszins toegestaan in de diensten. Geïdentificeerde vertegenwoordigers van Verwerkingsverantwoordelijke bepalen welke persoonlijke gegevens worden verwerkt op basis van hun gebruik van de Diensten. De persoonsgegevens die via de Diensten worden verwerkt, hebben doorgaans betrekking op, maar zijn niet beperkt tot, de volgende categorieën gegevens: contactgegevens, antwoorden op peilingen / enquêtes / stemmen en systeemtoegang / gebruik / autorisatiegegevens.
3.7. Gevoelige persoonsgegevens.
Verwerkingsverantwoordelijke mag geen gevoelige persoonsgegevens aan de Diensten verstrekken, tenzij schriftelijk anders is overeengekomen. In dat geval is de Verantwoordelijke als enige verantwoordelijk om de gegevens te verwerken in overeenstemming met de artikelen 9 en 10 van de AVG en, naargelang het geval, zoals verder geregeld door de toepasselijke nationale wetgeving.
3.8. Instructies.
De volledige en definitieve instructies van de Verwerkingsverantwoordelijke voor de verwerking van zijn persoonsgegevens worden bepaald door: (1) het gebruik en de configuratie van de functies van de service door de klant en zijn geautoriseerde gebruikers, (2) de overeenkomst en (3) het addendum. Eventuele aanvullende of alternatieve instructies moeten afzonderlijk schriftelijk worden overeengekomen.
3.9. Aanvullende instructies die nodig zijn om te voldoen aan verplichte wettelijke vereisten.
Als een aanvullende instructie nodig is om te voldoen aan verplichte wettelijke vereisten en de Verwerkingsverantwoordelijke niet in staat is om de gevraagde wijzigingen door te voeren, kan de Verwerkingsverantwoordelijke de Service door de KampAdmin BV hiervan schriftelijk op de hoogte te stellen.
4. VERPLICHTINGEN VAN DE Gegevensverwerker
4.1. Verwerker bevestigt dat hij, rekening houdend met de stand van de techniek, de kosten indien uitvoering en de aard, omvang, context en doeleinden van verwerking, alsmede het risico van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, heeft passende technische en organisatorische maatregelen hebben genomen om een op het risico afgestemd beveiligingsniveau te waarborgen.
De Verwerker verbindt zich er in het bijzonder toe om de Persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of ongeoorloofde toegang, ongeacht of deze per ongeluk of onwettig is.
4.2. Verwerker zorgt ervoor dat hij, rekening houdend met de aard van de verwerking,
Verwerkingsverantwoordelijke door passende technische en organisatorische maatregelen zal helpen bij het beantwoorden van de verzoeken tot uitoefening van de rechten van de betrokkene zoals vastgelegd in Hoofdstuk III van de AVG, zoals het recht op toegang, rectificatie en wissen. Als er kosten zijn verbonden aan deze hulp, kan hij Verwerkingsverantwoordelijke vragen om deze op redelijke basis terug te betalen. In dit verband zal Verwerker Verwerkingsverantwoordelijke onmiddellijk informeren indien hij rechtstreeks contact heeft met een betrokkene. Hij zal niet op dat verzoek reageren, tenzij hij daarvoor toestemming of mandaat heeft gekregen van de Verwerkingsverantwoordelijke.
4.3. Verwerker garandeert dat hij, rekening houdend met de aard van de verwerking en de informatie waarover hij beschikt, Verwerkingsverantwoordelijke assisteert bij het waarborgen van de naleving van de verplichtingen met betrekking tot de beveiliging van Persoonsgegevens (zoals beschreven in artikelen 32 tot en met 34 AVG), met betrekking tot gegevensbeschermingseffectbeoordeling (zoals beschreven in artikel 35 GDPR) en voorafgaand overleg (zoals beschreven in artikel 36 GDPR). Als er kosten zijn verbonden aan deze hulp, kan hij Verwerkingsverantwoordelijke vragen om deze op redelijke basis terug te betalen.
5. VERTROUWELIJKHEID
5.1. Verwerker zorgt ervoor dat de onder haar leiding werkzame personen, die persoonsgegevens verwerken of op een andere manier toegang krijgen tot persoonsgegevens, de vertrouwelijkheid bewaren zoals omschreven in artikel 5.2.
5.2. Persoonsgegevens en andere informatie, instructies, systeemoplossingen, beschrijvingen of andere documenten waartoe de Verwerker toegang heeft na het Addendum, mogen niet worden bekendgemaakt of gebruikt voor enig ander doel dan specifiek vermeld in het Addendum, noch direct noch indirect , zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Dit geldt echter niet voor informatie waarvan Verwerker aantoont dat deze algemeen bekend was of die door een derde ter kennis van Verwerkingsverantwoordelijke is gekomen zonder inbreuk op het Addendum.
5.3. De Verwerker informeert het relevante personeel over de inhoud van de vertrouwelijkheidsverplichtingen zoals uiteengezet in dit Addendum en zorgt ervoor dat al het personeel dat zich bezighoudt met de verwerking van persoonsgegevens gebonden is aan gelijkwaardige Vertrouwelijkheidsverplichtingen.
5.4. Na beëindiging van het Addendum blijven de geheimhoudingsverplichtingen van kracht.
6. SUBGegevensverwerker EN EN OVERDRACHTEN VAN DERDE LANDEN
6.2. Verwerker stelt Verwerkingsverantwoordelijke vooraf op de hoogte van eventuele wijzigingen in de lijst van Subverwerkers, door gebruik te maken van reguliere communicatiemiddelen zoals nieuwsbrieven van klanten, websites en portals. Als de Verwerkingsverantwoordelijke redelijkerwijs bezwaar maakt tegen de toevoeging van een nieuwe subverwerker (bijvoorbeeld als een dergelijkewijziging ertoe leidt dat de Verwerkingsverantwoordelijke niet voldoet aan de toepasselijke wetgeving inzake gegevensbescherming), moet de Verwerkingsverantwoordelijke de Gegevensverwerker binnen 15 werkdagen na ontvangst van een dergelijke kennisgeving schriftelijk op de hoogte stellen van zijn specifieke bezwaren.
Indien de Klant niet binnen deze periode of bezwaren bezwaar maakt, maar de Dienst niet beëindigt, wordt de toevoeging van de nieuwe Subverwerker als geaccepteerd beschouwd. Als de Verwerkingsverantwoordelijke bezwaar maakt tegen de toevoeging van nieuwe gegevens, kan de
subverwerker en de Gegevensverwerker het bezwaar van de Verwerkingsverantwoordelijke niet inwilligen, de Verwerkingsverantwoordelijke kan de service beëindigen.
6.3. De Verwerker staat een nieuwe Subverwerker nooit toe om persoonsgegevens te verwerken totdat de Klant de Subverwerker accepteert of de Dienst wordt beëindigd, in overeenstemming met Sectie 7.2.
6.4. Indien Verwerker een Subverwerker inschakelt, wordt tussen Verwerker en de Verwerker een schriftelijke verwerkersovereenkomst opgesteld waarin staat dat de Verwerker dezelfde verplichtingen heeft als de Verwerker jegens Verwerkingsverantwoordelijke.
6.5. Verwerker zorgt ervoor dat Verwerkingsverantwoordelijke weet welke Subverwerkers persoonsgegevens verwerken door ze op zijn website te vermelden. Op eenvoudig verzoek van de verwerkingsverantwoordelijke communiceert de verwerker volledige, correcte en bijgewerkte informatie over alle subverwerkers. Dit kan een kopie zijn van de subverwerkingsovereenkomsten, al naargelang het geval het financiële reglement tussen Verwerker en Subverwerker uitsluit.
6.6. Indien een Subverwerker zijn verplichtingen niet nakomt, blijft Verwerker jegens Verwerkingsverantwoordelijke volledig aansprakelijk voor de door de Subverwerker (s) uitgevoerde verwerkingen.
7. OVERDRACHT NAAR DERDE LANDEN
7.1. Verwerker zorgt ervoor dat hij geen Persoonsgegevens overdraagt of anderszins beschikbaar stelt of toegankelijk maakt voor landen of internationale organisaties buiten de Europese Economische Ruimte, tenzij hij daartoe instructies van de Verwerkingsverantwoordelijke heeft ontvangen of de voorwaarden zoals uiteengezet in de artikelen 44 tot en met 49 AVG van toepassing zijn.
7.2. Als een subverwerker persoonsgegevens verwerkt in een derde land waarvoor de Europese Commissie niet over een adequaatheidsbesluit beschikt, kan de verwerker de verwerker toestemming geven om namens hem een gegevensverwerkingsovereenkomst te ondertekenen, in overeenstemming met de vereisten voor doorgifte naar het derde land, zoals gespecificeerd in de wetgeving inzake
gegevensbescherming.
8. AUDIT EN TOEZICHT
8.1. Verwerkingsverantwoordelijke heeft het recht om te controleren of Verwerker de bepalingen van het Addendum en eventuele aanvullende instructies van Verwerkingsverantwoordelijke naleeft. Deze controle wordt uitgevoerd door middel van een audit, controle of inspectie door de Verwerkingsverantwoordelijke of, direct of indirect, uitgevoerd door een persoon of organisatie die door de Verwerkingsverantwoordelijke is gemachtigd.
8.2. Verwerker geeft Verwerkingsverantwoordelijke toegang tot zijn gebouwen / infrastructuur voor de verwerking van gegevens.
8.3. In dit geval onthult Xxxxxxxxx, op verzoek van de Verwerkingsverantwoordelijke, onder meer alle informatie die nodig is om aan te tonen dat de verplichting met betrekking tot de tussenkomst van een verwerker, zoals beschreven in artikel 28 AVG, wordt nageleefd. Dit betreft met name de informatie over de verwerking van persoonsgegevens en de genomen veiligheidsmaatregelen.
8.4. Audits vinden plaats tijdens de gewone kantooruren van Verwerker of bij bijzondere overeenkomst. Audits zijn mogelijk niet opdringeriger voor de Gegevensverwerker dan nodig is. De interne kosten verbonden aan deze Audits worden gedragen door de Verwerker, tenzij ze uitzonderlijk zijn.
9. BEKENDMAKING VAN INFORMATIE
9.1. Indien de betrokkene, de toezichthoudende autoriteit of een andere derde partij bij Verwerker informatie opvraagt over de verwerking van persoonsgegevens, verwijst Verwerker naar Verwerkingsverantwoordelijke. Verwerker mag geen persoonsgegevens of andere informatie over de verwerking openbaar maken zonder eerst schriftelijke toestemming van Verwerkingsverantwoordelijke te hebben verkregen. Indien de Verwerker, naar Belgisch of Europees recht of een instructie van een overheidsinstantie, verplicht is om persoonsgegevens bekend te maken, wordt dit niet beschouwd als een inbreuk op het Addendum, op voorwaarde dat de Verwerker in verband met de openbaarmaking vraagt dat de gegevens worden behandeld als vertrouwelijk en stelt de verwerkingsverantwoordelijke onmiddellijk op de hoogte van de openbaarmaking, tenzij de Verwerker in overeenstemming met de Belgische of Europese wetgeving of de instructie van een overheidsinstantie dit verhinderd wordt.
9.2. Verwerker stelt Verwerkingsverantwoordelijke onverwijld schriftelijk op de hoogte van alle contacten van de toezichthoudende autoriteit die betrekking hebben op, of van belang kunnen zijn voor, de verwerking van persoonsgegevens.
9.3. Verwerker heeft niet het recht om Verwerkingsverantwoordelijke te vertegenwoordigen of namens hem op te treden jegens de toezichthoudende autoriteit.
10. VERGOEDING VOOR BIJKOMENDE KOSTEN
10.1. Partijen komen overeen dat in het geval van extra kosten die voortvloeien uit aanpassingen in schriftelijke instructies, veiligheidsvoorschriften of andere verzoeken die het gevolg zijn van interne beslissingen van de Verwerkingsverantwoordelijke, de Verwerkingsverantwoordelijke deze extra kosten zal dragen. Deze kosten worden na overleg tussen partijen op redelijke basis berekend.
11. AANSPRAKELIJKHEID
11.1. Verwerker is bij het toepassen van toepasselijke wetgeving met betrekking tot de bescherming van persoonsgegevens alleen aansprakelijk voor de schade veroorzaakt door verwerking (1) wanneer hij niet heeft voldaan aan de verplichtingen van de AVG die specifiek gericht zijn op verwerkers of
(2) waar hij buiten of onder in strijd met de wettelijke instructies van de Verwerkingsverantwoordelijke.
11.2. Indien van toepassing, komen de partijen overeen dat geschillen of aansprakelijkheid onder dit addendum onderhevig zijn aan de beperking en uitsluitingen van aansprakelijkheid in de overeenkomst.
12. GELDIGHEIDSDUUR EN BEËINDIGING VAN DE VERWERKING
12.1. Het addendum is van toepassing zolang verwerkingsverantwoordelijke persoonsgegevens namens verwerkingsverantwoordelijke verwerkt.
12.2. Verwerker bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van deze overeenkomst.
12.3. Tenzij anders vereist door de toepasselijke wetgeving, zal Verwerker bij beëindiging of afloop van de Diensten de persoonsgegevens van Verwerkingsverantwoordelijke binnen een redelijke termijn verwijderen. De Verwerker zal de persoonsgegevens van de Verwerkingsverantwoordelijke echter binnen een redelijke termijn in een redelijk en gebruikelijk formaat teruggeven na schriftelijke instructies van de Verwerkingsverantwoordelijke voorafgaand aan beëindiging of afloop. Verwerker is niet verplicht om persoonsgegevens van Klant aan Verwerkingsverantwoordelijke te retourneren als deze gegevens beschikbaar zijn voor Verwerkingsverantwoordelijke.
12.4. Verwerker zal alle bestaande kopieën van persoonsgegevens verwijderen en op verzoek van de Verwerkingsverantwoordelijke deze verwijdering bevestigen. Indien de toepasselijke wetgeving echter een verplichting bevat om de persoonsgegevens te bewaren, zal Verwerker de Verantwoordelijke hiervan op de hoogte stellen, tenzij die wetgeving het verstrekken van die informatie verbiedt.
13. DIVERSEN
13.1. Deze Overeenkomst bevat de volledige overeenkomst tussen Partijen en bevat geenszins de verplichting om persoonsgegevens aan Verwerker ter beschikking te stellen.
13.2. Indien een of meer bepalingen van deze overeenkomst ongeldig of niet-afdwingbaar worden verklaard, zullen de partijen de genoemde bepaling (en) vervangen door (een) geldige en afdwingbare bepaling (en) die de economische, commerciële of andere beoogde doelstellingen van de bepalingen die ongeldig of niet-uitvoerbaar zijn verklaard. De overige bepalingen van deze overeenkomst blijven van kracht.
13.3. Het enkele feit dat een partij niet aandringt op de strikte toepassing van een bepaling van de overeenkomst of dat niet afdwingt, kan niet worden geïnterpreteerd als een verklaring van afstand van de rechten van die partij, tenzij dit schriftelijk wordt bevestigd.
14. TOEPASSELIJK RECHT EN RECHTSGEBIED
Deze overeenkomst wordt beheerst door het Belgische recht. Elk geschil tussen de partijen wordt beslecht door de rechtbank van het district waar de hoofdvestiging van de Verwerkingsverantwoordelijke is gevestigd.
Door hieronder te ondertekenen, erkent Verwerkingsverantwoordelijke dat hij dit addendum op zijn website uitvoert voor eigen rekening als verwerkingsverantwoordelijke en, indien van toepassing, namens haar gelieerde ondernemingen of derden als gegevens Verwerkingsverantwoordelijkes die het heeft geautoriseerd om de Diensten te gebruiken:
Namens Verwerkingsverantwoordelijke Plaats: Datum: Naam: Positie: Bedrijfnummer: | Namens Gegevensverwerker Plaats: Hasselt, België Datum: 01/05/2022 Naam: Xxxxxxxxx Xxxxxx Positie: Eigenaar & oprichter Bedrijfnummer: 0785.482.640 |
Handtekening: | Handtekening: |