ADDENDUM BIJ EXTRANETCONTRACT
ADDENDUM BIJ EXTRANETCONTRACT
OVEREENKOMST BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS
INHOUDSTAFEL
2. TOTSTANDKOMING, DUUR EN BEËINDIGING VAN DIT ADDENDUM. 2
3. VERWERKEN PERSOONSGEGEVENS 3
4. BEVEILIGEN VAN PERSOONSGEGEVENS 3
8. VERWIJDEREN PERSOONSGEGEVENS EN BEWAARTERMIJN 4
BIJLAGE 1: OVERZICHT MET VERWERKINGEN VAN PERSOONSGEGEVENS EN VERWERKINGSDOELEN 5
BIJLAGE 2: OVERZICHT MET BEVEILIGINGSMAATREGELEN VAN DE CLUBS 7
BIJLAGE 3: PROCES RONDOM HET MELDEN VAN DATALEKKEN EN DE TE VERSTREKKEN INFORMATIE 8
Deze Overeenkomst betreffende het verwerken van persoonsgegevens (hierna ook het “Addendum” genoemd) maakt integraal deel uit van de ‘Overeenkomst inzake toegang tot het extranet van de
KBVB’ (hierna ook de “Hoofdovereenkomst” genoemd) tussen:
Koninklijke Belgische Voetbalbond vzw
Met maatschappelijke zetel te Xxxxx xx Xxxxxxxxxxxx 000, 0000 Xxxxxxx Ondernemingsnummer: 0403.543.160
zijnde de verantwoordelijke voor de verwerking van de persoonsgegevens door de Club,
hierna ook “KBVB” genoemd, enerzijds,
en
de Club zoals geïdentificeerd in de Hoofdovereeenkomst, zijnde de verwerker van de persoonsgegevens op verzoek van de KBVB, hierna ook de “Club” genoemd, anderzijds.
Samen de “Partijen” genoemd.
De begrippen dewelke in dit Addendum gebruikt worden, zullen de betekenis hebben die aan deze begrippen worden toegewezen in dit Addendum of in de toepasselijke regelgeving.
Dit Addendum bevat aanvullende bepalingen op de Hoofdovereenkomst (zijnde het Extranet contract gesloten tussen de KBVB en de Club), bij tegenstrijdige bepalingen hebben de bepalingen van dit Addendum voorrang op deze van de Hoofdovereenkomst. Verder blijven de bepalingen van de Hoofdovereenkomst onverminderd gelden.
Dit Addendum bevat drie bijlagen, die er integraal deel van uitmaken.
1. Definities
1.1 In dit Addendum, zullen de volgende begrippen de betekenis hebben zoals in dit artikel en de toepasselijke wetgeving opgenomen:
1.1.1 “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene");1.
1.1.2 “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot
persoonsgegevens of een geheel van persoonsgegevens2;
1.1.3 “Verwerker”: een natuurlijke persoon of rechtspersoon, in casu de Club, die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
1.1.4 “Betrokkene”: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de
verwerkte persoonsgegeven betrekking hebben (leden, trainers, vrijwilligers,…).
1.1.5 “Datalek”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
1.1.6 “Gegevensbeschermingsautoriteit”: de onafhankelijke overheidsinstantie die in België verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens.
2. Totstandkoming, duur en beëindiging van dit Addendum.
2.1 Dit Addendum treedt in werking op 1 mei 2018.
2.2 Dit Addendum is onderdeel van de Hoofdovereenkomst en zal gelden voor zolang de Hoofdovereenkomst duurt.
2.3 Indien de Hoofdovereenkomst eindigt, eindigt dit Addendum automatisch; dit Addendum kan niet afzonderlijk worden opgezegd.
2.4 Bij beëindiging van dit Addendum zullen de lopende verplichtingen voor de club, zoals het melden van Datalekken en de plicht tot geheimhouding blijven voortduren. De wettelijke bepalingen inzake persoonsgegevens zullen desgevallend eveneens van toepassing blijven op de Club.
1 als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
2 al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
3. Verwerken Persoonsgegevens
3.1 In het kader van haar werking als sportfederatie en de organisatie van voetbalcompetities verwerkt de KBVB Persoonsgegevens van aangesloten leden. Voor de verzameling van deze persoonsgegevens dient de KBVB beroep te doen op de Club. De Club volgt de instructies van de KBVB hierover op (oa via kickoff/e-kickoff) en zal de Persoonsgegevens niet op een andere manier verwerken, tenzij de KBVB de Club daar van te voren toestemming of opdracht voor geeft, of de Club hiertoe de specifieke voorafgaandelijke toestemming van de betrokkene bekomt.
3.2 In Bijlage 1 wordt opgenomen welke Persoonsgegevens de Club verwerkt namens de KBVB alsmede de verwerkingsdoeleinden.
3.3 De KBVB houdt zich aan de wettelijke bepalingen en verwerkt de gegevens op een behoorlijke, zorgvuldige en transparante wijze in lijn met de privacy statement van de KBVB.
3.4 De Club mag zonder voorafgaande schriftelijke toestemming van de KBVB geen andere personen of organisaties inschakelen bij het verwerken van de Persoonsgegevens voor doeleinden bepaald door de KBVB.
3.5 Wanneer de Club een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, moet de Betrokkene doorverwezen worden naar de KBVB, die verantwoordelijke is van de verwerking op xxxxxxx@xxxxxxx.xxx Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens.
4. Beveiligen van Persoonsgegevens
4.1 De Club zorgt voor voldoende beveiliging van Persoonsgegevens. Om Datalekken te voorkomen neemt de Club passende technische en organisatorische maatregelen.
4.2 Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het minimumbeleid daarover wordt opgenomen in Bijlage 2 bij dit Addendum.
4.3 De KBVB mag ten allen de Club om een evaluatie vragen, dan wel een inspectie uitvoeren bij de Club om te bepalen of het verwerken van de Persoonsgegevens aan de wet en de bepalingen van dit Addendum voldoet. Hierbij zal de Club medewerking verlenen, waaronder het toegang verlenen tot gebouwen en systemen en het ter beschikking stellen van alle relevante informatie.
5. Geheimhouding
5.1 De Club zal de voor de KBVB verzamelde Persoonsgegevens confidentieel houden, in die zin dat deze niet met derden worden gedeeld, tenzij op basis van een wettelijke verplichting of mits voorafgaand uitdrukkelijk akkoord van de Betrokkenen.
5.2 De Club zal ervoor zorgen dat ook het personeel, stafleden, vrijwilligers en andere ingeschakelde hulppersonen van de Club zich aan deze geheimhouding houden.
6. Datalekken
6.1 In geval van een mogelijk Datalek zal de Club de KBVB hierover zonder uitstel informeren via xxxxxxx@xxxxxxx.xxx en de KBVB de informatie verstrekken die is aangegeven in Bijlage 3, zodat de KBVB indien nodig een melding bij de Gegevensbeschermingsautoriteit of aan de Betrokkenen kan doen.
6.2 Na de melding van een Datalek aan de KBVB, zal de Club de KBVB op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de genomen maatregelen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
6.3 Eventuele kosten die gemaakt worden om het Datalek op te lossen en in de toekomst te voorkomen, komen voor rekening van degene namens wie deze kosten worden gemaakt.
7. Aansprakelijkheid
7.1 Als de Club haar verplichtingen in het kader van dit Addendum niet nakomt, kan de KBVB de Club hiervoor aansprakelijk stellen, onverminderd de mogelijke aanspraken van Xxxxxxxxxxx en de Gegevensbeschermingsautoriteit.
7.2 De Club is aansprakelijk en dient de KBVB te vrijwaren voor alle kosten, met inbegrip van administratieve boetes en andere aanspraken die het gevolg zouden zijn van onrechtmatig of nalatig handelen door de Club wat het verwerken van Persoonsgegevens betreft.
7.3 Bovendien staat de Club volledig zelf in voor de rechtmatigheid van de verwerking van Persoonsgegevens die niet opgelegd zijn door de KBVB en die buiten het toepassingsgebied van onderhavig Addendum blijven.
8. Verwijderen Persoonsgegevens en bewaartermijn
8.1 Bij het beëindigen van dit Addendum zullen de Persoonsgegevens op verzoek van de KBVB hetzij op een zorgvuldige en veiliger manier ter beschikking van de KBVB dienen gesteld te worden, dan wel door de Club op een zorgvuldige en veilige manier vernietigd te worden.
9. Slotbepaling
9.1 Afwijkingen van dit Addendum zijn slechts geldig wanneer de Partijen dit samen schriftelijk overeenkomen.
Bijlage 1: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoelen
Deze bijlage 1 bevat bepaalde details inzake de verwerkingen van persoonsgegevens en de verwerkingsdoelen, zoals vereist door Artikel 28 (3) van de AVG.
Het onderstaande schema geeft een volledig overzicht van de persoonsgegevens die verwerkt zullen worden en waarom. Dit maakt het makkelijker om aan te kunnen tonen waar, door wie en voor welk doel de persoonsgegevens worden verwerkt. De verplichtingen en rechten van de Partijen zijn opgenomen in de Hoofdovereenkomst en de Verwerkersovereenkomst (Addendum).
Verwerkingsactiviteit | Aansluitingen, desaffectaties en transfers |
Verwerkingsdoel | Aansluiten, desaffectaties en beheer van spelers, trainers, staf, stewards,... bij een club |
Types Persoonsgegevens | Naam, geboortedatum en -plaats, contactgegevens, nationaliteit, geslacht, identiteitskaart (eID) of vreemdelingenkaart, bewijs van inschrijving in wachtregister of vreemdelingenregister, tewerkstellingsvergunning, rijksregisternummer (voor leden Voetbal Vlaanderen), discipline, club, team, wettelijke vertegenwoordiger (voor kinderen), gezinssamenstelling (voor buitenlandse kinderen tussen 10 en 18 jaar) |
Categorieën van Betrokkenen | Aangeslotenen (en ouders indien < 18 jaar) |
Verwerkingsverantwoordelijke | KBVB en vleugels |
Verwerker | Club (gerechtigd correspondent) |
Subverwerkers | / |
Locatie verwerkingen | e-Kickoff |
Datatermijn | 5 seizoenen |
Verwerkingsactiviteit | Invoeren van digitale wedstrijdbladen |
Verwerkingsdoel | Registratie van line-ups, uitslag en wedstrijdverslag |
Types Persoonsgegevens | Naam en aansluitingsnummer, discipline, club, team, wedstrijdgebeurtenissen, identiteitskaart |
Categorieën van Betrokkenen | Spelers, staf en scheidsrechters |
Verwerkingsverantwoordelijke | KBVB en vleugels |
Verwerker | Club, scheidsrechters |
Subverwerkers | / |
Locatie verwerkingen | Digitale Wedstrijdbladen |
Verwerkingsactiviteit | Schadedossiers |
Verwerkingsdoel | Indienen van ongevallenaangifte, genezingsattest en bewijsstukken medische onkosten; opvolgen van schadedossier en betaling van uitkering |
Types Persoonsgegevens | Naam, geboortedatum, fysiek adres, club, beroep, medische uitgaven, rijksregisternummer, locatie en beschrijving van ongeval, bankrekeningnummer, ongevallenformulier, genezingsattest |
Categorieën van Betrokkenen | Aangeslotenen (spelers en trainers) en stewards |
Verwerkingsverantwoordelijke | KBVB en vleugels / Arena |
Verwerker | Club (gerechtigde correspondent) |
Subverwerkers | / |
Locatie verwerkingen | Fysieke post; e-Kickoff |
Datatermijn | Ongevallenaangifte 3 jaar; schadedossier 10 seizoenen; medische uitgaven en genezingsattest 4 maanden |
Verwerkingsactiviteit | Communicatie met KBVB |
Verwerkingsdoel | Communicatie met de KBVB omtrent administratieve zaken, zoals ontslagen van bestuursleden, betekening van contracten en optielichtingen, (verzet tegen) transfers, klasseverlaging in de Beker van België, vroegtijdige ontbinding, neutralisatie van het contract, klachten, oproepingen voor zittingen, tuchtprocedure, (beroep tegen) disciplinaire beslissingen, betekening van spelerslijsten |
Types Persoonsgegevens | De minimaal noodzakelijke persoonsgegevens zoals opgevraagd in het Bondsreglement |
Categorieën van Betrokkenen | Aangeslotenen |
Verwerkingsverantwoordelijke | KBVB en vleugels |
Verwerker | Club |
Subverwerkers | / |
Locatie verwerkingen | Fysieke post; e-Kickoff |
Datatermijn | 3 seizoenen |
Verwerkingsactiviteit | ... |
Verwerkingsdoel | |
Types Persoonsgegevens | |
Categorieën van Betrokkenen | |
Verwerkingsverantwoordelijke | |
Verwerker | |
Subverwerkers | |
Locatie verwerkingen | |
Datatermijn |
Bijlage 2: Overzicht met beveiligingsmaatregelen van de Clubs
Deze bijlage 2 geeft een overzicht van de beveiligingsnormen die de KBVB aan de Club oplegt.
Om vast te stellen wat passende beveiligingsmaatregelen zijn moet een afweging worden gemaakt op
basis van de risico’s van de verwerking aan de hand van onder meer de volgende punten:
• Het soort persoonsgegevens dat verwerkt wordt (normaal, bijzonder of gevoelig) en eventueel de daarbij behorende (risico)classificatie die de club zelf aan de gegevens heeft gegeven.
• De hoeveelheid betrokkenen van wie gegevens worden verwerkt. Hoe meer betrokkenen er zijn hoe meer eisen er worden gesteld aan de beveiliging van de gegevens.
• Het doel waarvoor gegevens worden verwerkt.
• De duur en de wijze waarop gegevens bewaard moeten worden. Er kan vervolgens onderscheid gemaakt worden tussen organisatorische beveiligingseisen, zoals het voorkomen van diefstal van een laptop met daarop persoonsgegevens uit de auto, en technische beveiligingseisen, zoals een uitgebreide IT omgeving die beveiligd wordt tegen virussen en waar encryptie van de gegevens wordt toegepast. Van een grote club wordt meer verwacht ten aanzien van de te nemen beveiligingseisen.
Minimaal te nemen technische beveiligingsmaatregelen:
• Up to date anti-virus software met regelmatige scans;
• Fysieke beveiliging van documenten en gegevensbestanden (bv. in afgesloten ruimtes of kasten) zodat deze enkel toegankelijk zijn voor bevoegde personen;
• Geen illegale, verouderde of onbekende software op computers waarop persoonsgegevens worden geraadpleegd of verwerkt;
• Beveiligde logische toegangscontrole: unieke en persoonlijke logins met voldoende sterke paswoorden (minimaal 8 tekens, cijfers en hoofdletter) die niet worden opgeschreven of meegedeeld aan collega’s of derde partijen;
• Harde schijven van toestellen wissen en liefst vernietigen bij recyclage of verkoop van toestellen;
• Onleesbaar maken van fysieke documenten met persoonsgegevens (bv. door middel van een versnipperaar);
• Toestellen niet onbemand achterlaten zonder schermvergrendeling;
• Zorvuldig gebruik van gegevensdragers (PC’s, laptops, smartphones, USB’s, externe hard
disks,...);
• Clean desk policy (geen persoonsgegevens vergeten op printers, kopieermachines, in vergaderzalen,...).
Aanbevolen extra technische beveiligingsmaatregelen:
• Encryptie van harde schijven van PC’s, geëncrypteerde back-ups en externe gegevensdragers
zoals USB’s of externe harde schijven;
• Regelmatig aanpassen van paswoorden;
• Geëncrypteerde e-mails;
• Geen documenten op privé-toestellen bewaren.
Bijlage 3: Proces rondom het melden van Datalekken en de te verstrekken informatie Wat is een beveiligingsincident en wanneer moet dit gemeld worden?
Een datalek is een beveiligingsincident waarbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot, namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP adressen of identificerende gegevens van computers of telefoons.
Hieronder zijn een aantal voorbeelden van beveiligingsincidenten die moeten worden gemeld bij de Gegevensbeschermingsautoriteit:
- E-Kickoff of een ander systeem is gehackt of is toegankelijk voor derden.
- Logingegevens zijn gestolen.
- Verlies van een laptop of USB-stick met persoonsgegevens.
- Contracten zijn per ongeluk naar verkeerde personen gestuurd.
- Brieven of e-mails worden naar een verkeerd adres gestuurd.
- De persoonsgegevens zijn gekopieerd en in verkeerde handen terecht gekomen.
- Een (ex-)clubmedewerker met toegang tot de persoonsgegevens gebruikt deze voor andere doeleinden dan bepaald door de KBVB (bv. marketing van eigen bedrijf).
- Een aanval van een hacker op het ICT systeem.
- Een verloren of gestolen telefoon waar persoonsgegevens op aanwezig zijn.
Wat te doen bij twijfel?
Als op basis van bovenstaande het niet duidelijk is of er sprake is van een beveiligingsincident, kunnen de volgende vragen dienen als hulpmiddel:
- Is er een technisch of fysiek beveiligingsprobleem?
- Gaat het probleem over de beveiliging van Persoonsgegevens? Ook IP-adressen, telefoonnummers of identificerende gegevens, bijvoorbeeld van hardware, kunnen hieronder vallen.
- Gaat het om gevoelige gegevens zoals ras, gezondheidsgegevens, informatie over iemands financiële situatie, zoals salaris of gegevens waar (identiteits)fraude mee kan worden gepleegd, zoals een Burgerservicenummer.
- Zijn er grote hoeveelheden persoonsgegevens onbedoeld toegankelijk geworden voor derden?
- Gaat het om gegevens van kwetsbare groepen zoals kinderen?
- Worden de persoonsgegevens beheerd door een leverancier?
Ook bij twijfel, dient de Club het zekere voor het onzekere te nemen en neemt altijd contact op met xxxxxxx@xxxxxxx.xxx.
Waar meld je het beveiligingsincident?
Indien een beveiligingsincident wordt ontdekt, neemt de Club direct contact op met: TEL: (+32) (0)0 000 00 00
In de e-mail of via telefoon, beantwoordt de Club de onderstaande vragen:
1. Geef een samenvatting van het beveiligingslek / beveiligingsincident / datalek: wat is er gebeurd? Xxxxxxx hier ook de naam van het betrokken systeem.
2. Welke typen persoonsgegevens zijn betrokken bij het beveiligingsincident? Zoals, maar niet beperkt tot, naam, adres, e-mailadres, aansluitingsnummer, pasfoto en ieder ander tot een persoon te herleiden gegeven.
3. Van hoeveel personen zijn de persoonsgegevens betrokken bij het beveiligingsincident? Geef a.u.b. een minimum en maximum aantal personen.
4. Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om spelers, vrijwilligers, stafleden, enz.. Bijzondere aandacht verdienen gegevens van een kwetsbare groepen personen zoals kinderen.
5. Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen we deze personen in dat geval bereiken?
6. Wat is de oorzaak (root cause) van het beveiligingsincident? Heeft u een idee hoe het beveiligingsincident heeft kunnen ontstaan?
7. Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit
a.u.b. zo specifiek mogelijk aan.