Bijlage 3 Addendum inzake Gegevensverwerking

Bijlage 3

Addendum inzake Gegevensverwerking

1. Algemeen

1.1. Dit addendum inzake gegevensverwerking (hierna: “Addendum”) zal gevoegd worden bij de tussen Partijen gesloten Overeenkomst om er integraal deel van uit te maken. In geval van tegenstrijdigheid tussen de Overeenkomst en huidig Addendum zullen de bepalingen uit het Addendum steeds voorrang hebben. De bepalingen van de Overeenkomst(en) die niet worden getroffen door dit Addendum blijven ongewijzigd en onverkort van toepassing.

1.2. De bepalingen van dit Addendum zijn enkel van toepassing indien en voor zover NP in het kader van de Overeenkomst Persoonsgegevens van Betrokkenen Verwerkt ten behoeve van en op instructie van de Klant, waarbij NP kwalificeert als “verwerker” en de Klant als “verwerkingsverantwoordelijke” in de zin van artikel 4 AVG. Dit Addendum is niet van toepassing op gegevensverwerkingen waarvoor NP zelf verantwoordelijk is en waarvan zij zelf het doel en/of de middelen bepaalt.

1.3. Dit Addendum wordt aangegaan voor een duur gelijk aan de duur van de tussen Partijen gesloten Overeenkomst(en) of zolang de Diensten worden uitgevoerd.

1.4. De eventuele nietigheid of niet-toepasbaarheid van een of meerdere bepalingen van dit Addendum, leidt niet tot de nietigheid van het gehele Addendum. In geval één van de clausules van dit Xxxxxxxx enige wettelijke beperking overschrijdt, zal de betreffende bepaling of het gedeelte ervan niet nietig zijn, maar worden Partijen geacht te zijn overeengekomen dat deze bepaling of het strijdige gedeelte ervan wordt verminderd of beperkt tot het maximum dat is toegestaan onder het toepasselijke recht en zal elke bepaling of het gedeelte ervan die/dat deze limieten overschrijdt, van rechtswege worden aangepast of vervangen door een geldige clausule die zo nauw mogelijk aansluit bij de bedoeling van Partijen.

1.5. Dit Addendum is uitsluitend onderworpen aan het Belgische recht. Enkel de rechtbanken van Veurne (afdeling(en) Veurne) zijn bevoegd om kennis te nemen van enig geschil betreffende de geldigheid, interpretatie of uitvoering ervan.

2. Definities

2.1. In dit Addendum zullen volgende woorden of uitdrukkingen, wanneer met hoofdletter geschreven, de volgende betekenis hebben (in aanvulling op en onverminderd de definities zoals bepaald in artikel 1 van de Algemene Voorwaarden):

“AVG”: Verordening (EU) 2016/679 van 27 april 2016 (Algemene Verordening Gegevensbescherming). “Diensten”: de door NP aangeboden en/of in opdracht van de Klant uitgevoerde Diensten zoals bepaald in de Overeenkomst, met inbegrip van, maar niet beperkt tot, woon- en interieuradvies, interieur- en meubelontwerp, uitwerking van ideeën a.d.h.v. 3D-schetsen en tekeningen, coördinatie van en ondersteuning bij renovatieprojecten en/of andere ondersteunende activiteiten en diensten in dit verband.

“Wetgeving inzake gegevensbescherming”: de AVG, samen met andere wetgeving die voortvloeit uit de AVG en/of alle andere wetgeving van elk ander land met

betrekking tot de bescherming van persoonsgegevens of privacy.

2.2. “Persoonsgegevens”, “Verwerking”, “Verwerken” of “Verwerkt”, “Verwerkingsverantwoordelijke”, “Verwerker” en “Betrokkene(n)” zullen de betekenis hebben zoals gedefinieerd in artikel 4 AVG en zoals nader omschreven in artikel 3 hieronder. “Datalek” heeft de betekenis van een “inbreuk in verband met persoonsgegevens” in de zin van artikel 4, 12) AVG.

3. Omschrijving van de Verwerking

3.1. Onderwerp - aard: voor de uitvoering van de Diensten kan NP op instructie en ten behoeve van de Klant bepaalde Persoonsgegevens van Betrokkenen Verwerken. Dit gebeurt via de door NP gebruikte systemen, software en tools in het kader van de uitvoering van de Diensten.

3.2. Persoonsgegevens: de Persoonsgegevens die worden Verwerkt, zijn de Persoonsgegevens van Betrokkenen die door de Klant worden overgemaakt aan NP in het kader van de Overeenkomst, om de uitvoering van de betreffende Diensten mogelijk te maken of te vergemakkelijken. Dit kunnen o.m. de volgende Persoonsgegevens zijn: identificatiegegevens (naam, voornaam, adres, e-mail en telefoonnummer), persoonlijke kenmerken (leeftijd, geslacht, geboortedatum, geboorteplaats etc.), foto’s / beelden, elektronische (identificatie- en lokalisatie)gegevens, gegevens inzake beroep en betrekking (werkgever, informatie over functies, opleidingen, organisatie van het werk etc.), financiële gegevens.

3.3. Betrokkenen: de Betrokkenen kunnen onder meer zijn: klanten, aannemers, architecten, aangestelden of personeel, leveranciers of dienstverleners van de Klant dan wel andere personen waarmee de Klant gedurende of naar aanleiding van zijn bedrijfsvoering of activiteiten mee te maken krijgt.

3.4. Doel: het doel van de Verwerking van Persoonsgegevens door NP bestaat erin de Diensten te (kunnen) verlenen aan de Klant, het optimaliseren van haar Diensten, het naleven van toepasselijke wetgeving of andere doeleinden zoals nader bepaald in de Overeenkomst.

3.5. Duur: de Persoonsgegevens worden in de regel enkel Verwerkt door NP tijdens de duur van de Overeenkomst en/of dit Addendum en worden niet langer bewaard dan noodzakelijk voor de doeleinden van de Verwerking, tenzij op de bewaring of Verwerking ervan bijzondere wettelijke bepalingen van toepassing zijn.

4. Instructies van de Klant

4.1. NP Verwerkt de Persoonsgegevens uitsluitend op basis van de (gedocumenteerde of schriftelijke) instructies van de Klant, behoudens afwijkende wettelijke verplichtingen in welk geval NP de Klant daarvan voorafgaand aan de Verwerking zal in kennis stellen, tenzij dergelijke kennisgeving wettelijk verboden is. De Klant machtigt en geeft hierbij instructies aan NP om Persoonsgegevens te Verwerken in overeenstemming met dit Addendum en de Overeenkomst. Dit Addendum en de Overeenkomst behelzen samen de volledige instructies van de Klant

aan NP in verband met de Verwerking van Persoonsgegevens. Alle aanvullende of alternatieve instructies moeten afzonderlijk en schriftelijk gegeven worden en door Partijen overeengekomen.

4.2. De Klant verklaart en garandeert dat hij gemachtigd is en blijft om voormelde instructies te geven in naam van elke met hem verbonden onderneming die, in voorkomend geval, de verantwoordelijke voor de Verwerking van Persoonsgegevens van Betrokkenen is of kan zijn (al dan niet gezamenlijk met de Klant).

5. Verplichtingen van de Klant

5.1. De Klant zal de Wetgeving inzake gegevensbescherming naleven. Hij zal alle passende en organisatorische maatregelen treffen opdat de Verwerking van Persoonsgegevens van Betrokkenen voldoet aan de AVG. Inzonderheid zal de Klant de vereiste maatregelen nemen met betrekking tot componenten die de Klant voorziet, beheert of controleert, gebruikte systemen voor gegevensoverdracht en t.a.v. zijn personeel of aangestelden (met inbegrip van werknemers, onderaannemers en zelfstandige medewerkers).

5.2. De Klant is verantwoordelijk voor de wettigheid van de (verzameling en/of Verwerking van de) Persoonsgegevens die Verwerkt worden door NP in het kader van de Overeenkomst. De Klant zal alle nodige maatregelen treffen om de Persoonsgegevens te actualiseren en onvolledige of onjuiste Persoonsgegevens te wissen en/of te verbeteren.

5.3. De Klant verklaart en garandeert dat:

- hij bij het inzamelen en Verwerken van Persoonsgegevens van Betrokkenen de toepasselijke Wetgeving inzake gegevensbescherming heeft nageleefd;

- hij de Betrokkenen afdoende geïnformeerd heeft over hun rechten en plichten (overeenkomstig artikelen 13- 14 AVG), inzonderheid over de Verwerking door NP (of een categorie van dienstverleners zoals NP) ten behoeve van en op instructie(s) van de Klant;

- de Verwerking van Persoonsgegevens in het kader van de Overeenkomst rechtmatig is;

- zijn personeel en aangestelden (met inbegrip van werknemers, onderaannemers en zelfstandige medewerkers) de verplichtingen op basis van de Overeenkomst en de Wetgeving inzake gegevensbescherming kennen en zullen naleven.

5.4. Indien de naleving van de Wetgeving inzake gegevensbescherming enige actie of maatregel vanwege NP vereist, naast de verplichtingen krachtens de Overeenkomst en/of dit Addendum, zal NP dergelijke actie of maatregel stellen na voorafgaandelijk overleg met en akkoord van de Klant. Deze laatste zal NP in ieder geval voorafgaandelijk in kennis stellen van de vereiste acties of maatregelen, hierbij volledige medewerking en bijstand verlenen aan NP en NP vergoeden krachtens de in de Overeenkomst bepaalde prijzen voor prestaties in dit verband die bijkomende diensten, investeringen of aanpassingen van de Diensten vereisen.

5.5. NP is evenwel niet verantwoordelijk voor de naleving van enigerlei op de Klant of zijn activiteiten van toepassing zijnde wetgeving die niet algemeen of specifiek van toepassing is op NP.

6. Doorgifte van Persoonsgegevens buiten de Europees Economische Ruimte (EER)

6.1. Elke eventuele doorgifte van Persoonsgegevens aan ((groeps)vennootschappen, derden, dienstverleners of servers in) landen buiten de EER, zal gebeuren in overeenstemming met de Wetgeving inzake gegevensbescherming.

6.3. NP houdt geen controle op en is niet verantwoordelijk voor de locatie van waaruit de Klant of zijn eindgebruikers Persoonsgegevens (kunnen) Verwerken. In ieder geval zal de Klant NP integraal (in hoofdsom, interesten en kosten) schadeloos stellen en vrijwaren voor enige schade geleden door derden in dit verband.

7. Doorgifte   of   bekendmaking   van Persoonsgegevens

7.1. NP zal geen Persoonsgegevens doorgeven of overdragen aan derden, behoudens:

- op instructie(s) van de Klant;

- indien vereist voor Verwerking van Persoonsgegevens door een subverwerker overeenkomstig artikel 9 hieronder;

- indien wettelijk verplicht.

7.2. In geval van doorgifte of overdracht van Persoonsgegevens aan een derde op instructie(s) van de Klant, is enkel deze laatste verantwoordelijk om met deze derde schriftelijke overeenkomsten te sluiten inzake bescherming van Persoonsgegevens. In ieder geval zal de Klant NP integraal schadeloos stellen en vrijwaren voor enige schade ontstaan uit dergelijke doorgifte of overdracht door NP aan een derde, tenzij voormelde schade enkel te wijten is aan een bewezen tekortkoming van NP.

7.3. NP waarborgt dat haar personeel (indien van toepassing), handelend onder haar gezag, dat gemachtigd is Persoonsgegevens te verwerken en daar toegang tot heeft, de vertrouwelijkheid van de Persoonsgegevens in acht zal nemen.

8. Beveiligingsmaatregelen

8.1. NP neemt alle overeenkomstig artikel 32 AVG vereiste passende technische en organisatorische maatregelen inzake beveiliging van de Verwerking. Deze beveiligingsmaatregelen zullen een beschermingsniveau waarborgen dat passend is voor de risico’s verbonden aan de Verwerking en de aard van de te beschermen Persoonsgegevens, rekening houdend met de stand van de technologie en de kosten van hun implementatie.

8.2. Op verzoek van de Klant kan NP een bijgewerkte beschrijving van de geïmplementeerde beveiligingsmaatregelen bezorgen.

9. Inschakelen subverwerkers

9.1. De Klant erkent en laat uitdrukkelijk toe dat NP voor de Verwerking van Persoonsgegevens subverwerkers (bv. partners, dienstverleners of onderaannemers) kan inschakelen en Persoonsgegevens aan hen kan doorgeven.

9.2. NP zal de Klant vooraf informeren over alle subverwerkers die Persoonsgegevens zullen Verwerken in het kader van de uitvoering van de Diensten. NP zal de Klant ook informeren over iedere wijziging van subverwerker(s). Indien de Klant niet akkoord gaat met Verwerking van Persoonsgegevens door een of meerdere subverwerkers, zal de Klant NP hiervan schriftelijk informeren binnen vijftien (15) kalenderdagen na het ontvangen van voormelde

kennisgeving. Desgevallend zal NP redelijke inspanningen doen om wijzigingen voor te stellen aan de Klant met het oog op het vermijden van Verwerking van Persoonsgegevens door de subverwerkers(s) in kwestie.

9.3. NP zal met elke dergelijke subverwerker schriftelijke overeenkomsten sluiten die verplichtingen bevatten die niet minder beschermd zijn dan de verplichtingen van NP op basis van deze Overeenkomst en in het bijzonder met betrekking tot de verplichting voor het nemen van passende beveiligingsmaatregelen opdat de Verwerking aan de Wetgeving inzake gegevensbescherming voldoet.

9.4. In ieder geval blijft NP te allen tijde het aanspreekpunt voor de Klant in dit verband. In geval de betreffende subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft NP verantwoordelijk voor de naleving door dergelijke subverwerker van de verplichtingen van NP krachtens deze Overeenkomst.

10. Rechten van de Betrokkenen

10.1. Rekening houdend met de aard van de Verwerking van Persoonsgegevens en voor zover mogelijk, zal NP bijstand en medewerking verlenen aan de Klant bij het (doen) nakomen van zijn verplichtingen op grond van de Wetgeving inzake gegevensbescherming, inzonderheid opdat de Klant gevolg kan geven aan zijn verplichting(en) om verzoeken te beantwoorden van Betrokkenen die hun rechten uitoefenen. De Klant zal de Betrokkenen in de mogelijkheid stellen hun rechten uit te oefenen. De Klant zal alle nodige informatie over de Verwerking van Persoonsgegevens aan de Betrokkenen bezorgen overeenkomstig artikelen 13-14 AVG.

10.2. Indien een Betrokkene rechtstreeks contact zou opnemen met NP om inzage/kopie, verbetering of verwijdering van of een beperking van de Verwerking van zijn/haar Persoonsgegevens te bekomen, dan zal NP de Betrokkene in kwestie doorverwijzen naar de Klant. NP zal zelf niet verder ingaan op het verzoek. NP kan slechts ter ondersteuning de basiscontactgegevens van de Klant verstrekken aan de Betrokkene in kwestie. De Klant zal Betrokkenen informeren dat zij hun rechten enkel kunnen uitoefenen jegens de Klant. De Klant zal elk dergelijk verzoek van een Betrokkene beantwoorden en voldoen aan zijn verplichtingen dienaangaande krachtens de Wetgeving inzake gegevensbescherming.

11. Kennisgevingen, controles en audits

11.1. Tenzij wettelijk verboden, zal NP de Klant zonder onredelijke vertraging op de hoogte brengen indien NP of enige van haar subverwerkers een vraag, dagvaarding of verzoek tot inspectie of audit van een bevoegde overheidsinstantie of toezichthoudende autoriteit ontvangt in verband met de Verwerking van Persoonsgegevens. Tevens zal NP de Klant informeren wanneer NP de intentie heeft Persoonsgegevens te verstrekken aan een bevoegde overheidsinstantie of toezichthoudende autoriteit buiten het kader van de Diensten. NP zal de Klant ten slotte onmiddellijk in kennis stellen indien naar haar mening een instructie of opdracht van de Klant inbreuk oplevert op de Wetgeving inzake gegevensbescherming.

11.2. Op verzoek van de Klant zal NP alle informatie verschaffen aan eerstgenoemde opdat hij aan zijn verplichtingen o.g.v. artikel 28 AVG kan voldoen.

11.3. De Klant heeft het recht om de naleving van de Wetgeving inzake gegevensbescherming te controleren. Hiertoe kan de Klant op schriftelijk verzoek, éénmaal elke twaalf (12) maanden - tenzij (i) de audit wordt verzocht door een bevoegde toezichthoudende autoriteit overeenkomstig de Wetgeving inzake gegevensbescherming of (ii) na een Datalek - en met inachtname van een voorafgaandelijke schriftelijke kennisgeving van dertig (30) kalenderdagen, een audit of controle laten uitvoeren door een expert.

11.4. Voorafgaand aan dergelijke audit of controle zal de Klant NP informeren over de omvang en doorlooptijd ervan en de modaliteiten ervan steeds in onderling overleg met NP afstemmen.

11.5. NP zal de nodige redelijke bijstand en medewerking verlenen aan dergelijke controles of audits. Alle bijstand in dit verband zal worden vergoed door de Klant krachtens de in de Overeenkomst bepaalde prijzen.

11.6. Partijen komen overeen dat de uitvoering van dergelijke controles of audits de bedrijfsactiviteiten van NP en/of de uitvoering van de Diensten niet onnodig mag vertragen, verstoren of beperken. In geval van dergelijke vertraging, verstoring of beperking, zal NP de Klant hiervan in kennis stellen en zullen Partijen zo snel mogelijk en in gezamenlijk overleg een oplossing trachten te vinden.

11.7. De Klant zal NP onmiddellijk schriftelijk op de hoogte brengen van enige tijdens een controle of audit vastgestelde tekortkomingen. De Klant zal kosteloos een ontwerp van (audit)rapport bezorgen aan NP. Dit rapport, alsook enige andere informatie waartoe de Klant of de aangewezen expert toegang krijgen in het kader van een controle of audit, zijn en blijven strikt vertrouwelijk.

11.8. De kosten voortvloeiende uit een controle of audit door de Klant zijn integraal voor rekening van de Klant. De Klant kan van NP geen enkele vergoeding vragen voor deze kosten.

12. Datalekken

12.1. NP zal de Klant zonder onredelijke vertraging informeren van zodra zij kennis heeft genomen van een Datalek, ongeacht de oorzaak ervan.

12.2. De Klant zal NP onmiddellijk in kennis stellen van elk beveiligingsincident of veiligheidskwestie, met inbegrip van een Datalek, die op enigerlei wijze verband houdt met de Diensten.

12.3. De Partij die verantwoordelijk is voor het Datalek zal het Datalek verder onderzoeken en de andere Partij op de hoogte houden van nieuwe ontwikkelingen alsook van de maatregelen die worden getroffen en zullen worden getroffen om de gevolgen van het Datalek te beperken en herhaling ervan te voorkomen.

12.4. Beide Partijen zullen meewerken aan dergelijk onderzoek en wederzijds bijstand verlenen bij het (doen) nakomen van hun verplichtingen krachtens de Wetgeving inzake gegevensbescherming, inzonderheid de verplichting om op grond van artikel 33 AVG een Datalek te melden aan de Gegevensbeschermings- autoriteit.

12.5. Een kennisgeving of melding op grond van huidig artikel 12 en/of de Wetgeving inzake gegevensbescherming geschiedt steeds zonder

(nadelige) erkenning van enige fout of aansprakelijkheid met betrekking tot het Datalek.

13. Data Protection Impact Assessments (DPIAs)

In geval de Klant verplicht is om krachtens artikel 33 AVG een DPIA (vertaling: “gegevensbeschermings- effectbeoordeling”) uit te voeren, zal NP de nodige medewerking en bijstand verlenen aan de Klant opdat de Klant zijn verplichtingen ter zake kan naleven. Dergelijke bijstand wordt vergoed aan de in de Overeenkomst bepaalde prijzen.

14. Verwijderen   en   teruggave   van Persoonsgegevens

14.1. In geval van beëindiging van de Overeenkomst en/of huidig Addendum, zal NP binnen de zestig (60) dagen na voormelde beëindiging alle Persoonsgegevens op haar systemen (behoudens enige back-up of archieven) verwijderen of anonimiseren, tenzij de Klant anders instrueert of (verdere) opslag of bewaring van de Persoonsgegevens wettelijk verplicht is, noodzakelijk is in het kader van een gerechtelijke procedure of wordt opgelegd door (gerechtelijke of toezichthoudende) autoriteiten.

14.2. Indien de Klant hierom schriftelijk verzoekt niet later dan dertig (30) dagen vóór beëindiging van de Overeenkomst en/of huidig Addendum, zal NP hem een kopie van de Persoonsgegevens op haar systemen bezorgen, dit op (integrale) kosten van de Klant.

15. Intellectuele eigendomsrechten

Alle intellectuele eigendomsrechten, waaronder auteursrechten, databankrechten, merkenrechten, handelsnamen, domeinnamen en softwarerechten, op of in verband met de Diensten of verwerkingsactiviteiten in dit verband (met uitsluiting van de Persoonsgegevens op zich), alsook op of in verband met kopieën of bewerkingen daarvan, blijven te allen tijde toebehoren aan NP en/of haar licentiegever(s). Geen enkele bepaling van deze Overeenkomst kan worden opgevat als een volledige of gedeeltelijke overdracht van de rechten, zowel in eigendom als in (sub)licentie, aan de Klant. Dit artikel geldt onverminderd artikel 12 van de Algemene Voorwaarden.

16. Aansprakelijkheid

16.1. De Klant is aansprakelijk en vrijwaart NP integraal in hoofdsom, interesten en (advocaten)kosten voor alle schade (met inbegrip van door toezichthoudende autoriteiten (zoals de Gegevensbeschermingsautoriteit) opgelegde sancties (zoals administratieve boetes) en schade geleden door Xxxxxxxxxxx of NP) die het gevolg is van het niet naleven door de Klant van zijn verplichtingen op basis van deze Overeenkomst, interne policies, procedures en/of best practices van NP

i.v.m. verwerking van persoonsgegevens en/of de Wetgeving inzake gegevensbescherming.

16.2. Behoudens in geval van bedrog, opzettelijke of daarmee gelijk te stellen zware fout, is NP jegens de Klant op geen enkele wijze aansprakelijk voor indirecte schade of gevolgschade, bijvoorbeeld doch niet beperkt tot tijdverlies, verlies van cliënteel, winstderving, verlies van inkomsten, verlies van kansen of zakelijke opportuniteiten, verlies aan goodwill of enige andere vorm van economische schade.

16.3. Voor het geval NP aansprakelijk zou worden gesteld door de Klant, is haar totale aansprakelijkheid, zelfs in geval van materiële schade, alleszins beperkt cfr. artikel 9 van de Algemene Voorwaarden. Huidig artikel 16 geldt tevens onverminderd artikel 8 van de Algemene Voorwaarden.