TUSSEN

TUSSEN

De “Inschrijver“

EN

De naamloze vennootschap van publiek recht A.S.T.R.I.D. met maatschappelijke zetel te 0000 Xxxxxxx, Xxxxxxxxxx 00, Vertegenwoordigd door Xxxxxxxx Xxxxx, in zijn hoedanigheid van directeur-generaal,

Hierna “A.S.T.R.I.D.” genoemd,

DIE

Elk afzonderlijk de “Partij“ en samen de “Partijen” worden genoemd,

IN HET KADER VAN DE VOORLIGGENDE OVERHEIDSOPDRACHT

Hierna de “Prestaties” genoemd,

OVERWEGENDE DAT VOLGENS DE BEPALINGEN VAN DE VOORLIGGENDE UITGEBREIDE GEHEIMHOUDINGSOVEREENKOMST

1. De voorliggende Overeenkomst legt de voorwaarden vast van de uitwisseling van Informatie tussen de Partijen;

2. De volgende definities gelden:

Overeenkomst: De voorliggende Uitgebreide Geheimhoudingsovereenkomst;

Community: Groep personen die gemeenschappelijke belangen delen;

Informatie: Alle aan A.S.T.R.I.D. toebehorende of toevertrouwde informatie of gegevens, ongeacht de vorm of aard ervan, die van belang zijn voor A.S.T.R.I.D. en haar gebruikers, met inbegrip van persoonsgegevens, technische kennis, specificaties, plannen, modellen, software, technieken, tekeningen, schema's, procedures, alsook industriële en intellectuele eigendomsrechten, bedrijfsgegevens, Informatie over de leveranciers en klanten van A.S.T.R.I.D. en in het algemeen alle informatie die aan de Inschrijver wordt meegedeeld of bekendgemaakt en alle informatie die door de Inschrijver wordt verwerkt voor rekening van A.S.T.R.I.D., haar werknemers, haar derden of haar onderaannemers; Infrastructuur: De systemen van A.S.T.R.I.D. of elke infrastructuur waarin deze systemen worden ingezet, met inbegrip van cloud- oplossingen, geëxploiteerd, ontwikkeld, onderhouden of moeten worden geïnstalleerd, samengesteld, aangepast of uitgebreid en waarin Informatie wordt opgeslagen, verwerkt, behandeld, aangevuld of beschikbaar gemaakt;

Klant: Elke dienst, instelling, vennootschap of vereniging zoals bepaald in artikel 3 §1 van de wet van 8 juni 1998 betreffende de radiocommunicatie van de hulp- en veiligheidsdiensten;

Gebruiker: Elk (personeels)lid van de klant dat een beroep doet op de systemen en diensten van A.S.T.R.I.D.; Derden: Personen of groepen van personen die niet betrokken zijn bij de voorliggende Overeenkomst; Partners: Personen of groep van verenigde personen voor de verwezenlijking van een project; Onderaannemers: Personen die een opdracht uitvoeren voor rekening van een van de Partijen;

Inschrijver: De Inschrijver, met inbegrip van zijn werknemers en desgevallend zijn Derden en Onderaannemers;

Eigenaar van de Informatie: Partij die over de intellectuele eigendom beschikt;

3. A.S.T.R.I.D. is de operator van de veiligheids- en noodnetwerken (cf. de artikelen 102 en 103 van het Koninklijk Besluit van 16 januari 2017 tot vaststelling van het derde beheerscontract van A.S.T.R.I.D.). Via deze netwerken wordt Informatie doorgestuurd die in geval van incidenten zou kunnen worden vrijgegeven, in welke vorm of aard dan ook;

4. De “Wet 98“ verwijst naar de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen evenals zijn toepasselijke koninklijke en ministeriële besluiten, met inbegrip van alle wijzigingen die de wetgever heeft aangebracht;

5. Informatie die als “VERTROUWELIJK - Wet 11.12.1998”, “GEHEIM - Wet 11.12.1998” of “ZEER GEHEIM – Wet 11.12.1998” geclassificeerd is, mag worden uitgewisseld tussen A.S.T.R.I.D. en de Inschrijver volgens de nadere regels bepaald door de Wet 98;

6. A.S.T.R.I.D. classificeert haar Informatie in overeenstemming met de Traffic Light Protocol (TLP, xxxxx://xxx.xxxxx.xxx/xxx/) standaard: TLP:CLEAR : De bestemmelingen mogen de informatie wereldwijd verspreiden, er staat geen beperking op de verspreiding ervan; TLP:GREEN : Beperkte bekendmaking, de bestemmelingen mogen deze informatie verspreiden in hun community;

TLP:AMBER : Beperkte bekendmaking, de bestemmelingen mogen deze informatie slechts verspreiden op basis van de ‘need to know’ in hun organisatie en van haar klanten;

TLP:RED : Enkel voor de ogen en oren van de individuele bestemmelingen, geen enkele andere verspreiding;

7. De Algemene Verordening Gegevensbescherming (EU 2016/679) (AVG) en de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (EU 2016/680) zijn strikt van toepassing;

8. De volgende informatie valt niet onder de voorliggende Overeenkomst:

- Informatie die considerans 9 van de voorliggende Overeenkomst naleeft;

- De Informatie waarvoor A.S.T.R.I.D. als Eigenaar haar formele goedkeuring tot bekendmaking ervan geeft;

- Informatie die geheel of gedeeltelijk moet worden bekendgemaakt bij rechterlijke beslissing;

9. Maakt geen deel uit van de Informatie:

- Informatie die reeds in het bezit is van de Inschrijver – zonder schending van een geheimhoudingsplicht – vóór deze door A.S.T.R.I.D. is meegedeeld;

- Informatie die reeds openbaar is op het moment van de ondertekening van de onderhavige Overeenkomst;

- Informatie die na ontvangst ervan openbaar wordt zonder dat een van de partijen erbij betrokken is;

- Informatie die de Inschrijver verkrijgt van een derde die deze te goeder trouw in zijn bezit had en die gemachtigd was deze informatie aan de Inschrijver te verstrekken;

- Informatie die door de Inschrijver onafhankelijk is ontwikkeld en die niet gebaseerd is op of gebruik maakt van door X.X.X.X.X.X. xxxxxxxxxxx of bekendgemaakte gegevens of Informatie;

10. De Inschrijver zou kennis (moeten) kunnen nemen van de Informatie die door A.S.T.R.I.D., haar werknemers, haar Derden of haar Onderaannemers of eventueel haar Gebruikers wordt meegedeeld;

11. De Inschrijver zou toegang (moeten) kunnen krijgen tot de Infrastructuur;

12. De Inschrijver die toegang krijgt tot de Informatie of tot de Infrastructuur dient de onderstaande prestatievoorwaarden strikt na te leven;

DE VOLGENDE PRESTATIEVOORWAARDEN ZIJN STRIKT VAN TOEPASSING

13. De Inschrijver erkent de vertrouwelijke aard van de Infrastructuur met betrekking tot de Prestaties;

14. De Inschrijver erkent de vertrouwelijke aard van de Informatie waarvan hij rechtstreeks of onrechtstreeks kennis heeft of heeft gehad met uitzondering van de Informatie vermeld in de considerans 8 en met betrekking tot de Prestaties;

15. De Inschrijver moet alle Europese reglementeringen en Belgische wetten naleven die van toepassing zijn op de Prestaties;

16. De Inschrijver dient, voor elk van zijn Belgische werknemers die worden tewerkgesteld in het kader van de Prestaties en die gemachtigd zijn in de zin van de Wet 98, aan de Veiligheidsofficier van A.S.T.R.I.D. alle inlichtingen (referenties, datums, veiligheidsniveaus …) te verstrekken met betrekking tot de veiligheidsmachtigingen van zijn werknemers die betrokken zijn bij de Prestaties evenals hun persoonsgegevens;

17. Met de Veiligheidsofficier van X.X.X.X.X.X. xxx contact worden opgenomen via e-mail (🖅 xxx.xxxxxx@xxxxxx.xx)

18. De Inschrijver moet, voor elk van zijn Belgische werknemers die worden tewerkgesteld in het kader van de Prestations en die niet gemachtigd zijn in de zin van de Wet 98 en die houder zijn van een rijksregisternummer en die al meer dan 5 jaar ononderbroken in België een vaste woonplaats hebben, via A.S.T.R.I.D. een veiligheidsadvies in de zin van de Wet 98 verkrijgen bij de Belgische Nationale Veiligheidsoverheid (NVO);

19. De Inschrijver moet, voor elk van zijn Belgische werknemers die worden tewerkgesteld in het kader van de Prestaties en die niet beantwoorden aan de voorwaarden van punt 18. hierboven, een veiligheidsmachtiging in de zin van de Wet 98 verkrijgen bij de Belgische NVO. Hij moet aan de Veiligheidsofficier van A.S.T.R.I.D. alle inlichtingen (referenties, datums, veiligheidsniveaus …) verstrekken met betrekking tot de veiligheidsmachtigingen die werden verkregen voor zijn werknemers, evenals hun persoonsgegevens;

20. Indien nodig moet de Inschrijver de nodige stappen zetten bij de Belgische NVO voor het laten machtigen van zijn onderneming in de zin van de Wet 98 met een niveau dat minstens gelijkwaardig is aan het niveau dat door A.S.T.R.I.D. wordt opgelegd in het kader van de uitvoering van de Prestaties;

21. Indien nodig moet de Inschrijver een Veiligheidsofficier in de zin van de Wet 98 aanduiden bij de Belgische NVO en moet hij aan de Veiligheidsofficier van A.S.T.R.I.D. de contactgegevens van deze persoon meedelen;

22. Indien de Inschrijver een niet-Belgische werknemer tewerkstelt, dient hij contact op te nemen met de lokale NVO van de werknemer en voor deze persoon een machtiging te verkrijgen van het niveau dat door A.S.T.R.I.D. wordt opgelegd in het kader van de uitvoering van de Prestaties;

23. Enkel de veiligheidsmachtigingen die worden verleend door de Nationale Veiligheidsoverheid van een lidstaat van de Europese Unie of van de NAVO, door de Europese Unie of door de NAVO en van een niveau gelijk aan of hoger dan ‘vertrouwelijk’ worden toegestaan door de Belgische NVO, het niveau ‘restricted/restreint’ is niet toegestaan;

24. De bedragen met betrekking tot het verkrijgen van een veiligheidsadvies zijn volledig ten laste van de Inschrijver;

25. De bedragen met betrekking tot het verkrijgen van een veiligheidsmachtiging voor natuurlijke of rechtspersonen zijn volledig ten laste van de Inschrijver;

26. De Inschrijver is verantwoordelijk voor het melden aan de veiligheidsofficier van A.S.T.R.I.D. van elke wijziging met betrekking tot de veiligheidsmachtigingen en veiligheidsadviezen die werden gevraagd en ontvangen voor zijn werknemers die betrokken zijn bij de Prestaties, zoals de schrapping of de intrekking van een veiligheidsmachtiging of veiligheidsadvies;

27. De Inschrijver is verantwoordelijk voor de tijdige hernieuwing van de veiligheidsmachtigingen en veiligheidsadviezen van zijn werknemers die betrokken zijn bij de Prestaties;

28. De onderaannemers van de Inschrijver mogen zich enkel wenden tot de veiligheidsofficier van de Inschrijver. De veiligheidsofficier van A.S.T.R.I.D. zal alle aanvragen weigeren die rechtstreeks tot hem worden gericht door de onderaannemers van de Inschrijver;

29. Elke uitwisseling van persoonsgegevens buiten de Europese Economische Ruimte moet formeel worden goedgekeurd door de functionaris voor gegevensbescherming van A.S.T.R.I.D. (DPO, 🖅 xxx@xxxxxx.xx) en dient te beantwoorden aan de vereisten van de Algemene Verordening Gegevensbescherming (EU 2016/679) (AVG), van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (EU 2016/680) en aan de Contractuele Typebepalingen van de Europese Commissie die beschikbaar zijn op site van de Belgische Gegevensbeschermingsautoriteit: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx;

30. Onverminderd het voorgaande mag er uitzonderlijk, en strikt beperkt qua volume en tijd, Informatie worden bekendgemaakt buiten de Europese Economische Ruimte op voorwaarde dat de Inschrijver de voorafgaande formele goedkeuring van de Eigenaar van de Informatie heeft en dat hij ervoor zorgt dat er een NDA (Non-Disclosure Agreement) of een andere gelijkwaardige overeenkomst die de voorliggende Overeenkomst dekt, bestaat tussen hem en de partij die de Informatie ontvangt die hij bekendmaakt;

31. Rekening houdend met de Infrastructuur, met de aard en de inhoud van de Informatie, wordt aan de Inschrijver die op enig ogenblik in de loop van de Prestaties te maken zouden kunnen krijgen met Infrastructuur en/of Informatie, gevraagd de bijbehorende organisatorische en technische maatregelen voor Informatieveiligheid op te zetten zoals degene die worden vermeld in de norm ISO27001 Code van goede praktijken voor het beheer van de informatieveiligheid (of alle gelijkwaardige normen of standaarden) die van kracht zijn op het ogenblik van de ondertekening door de Partijen van de voorliggende Overeenkomst;

32. De Inschrijver verbindt zich ertoe om aan de Chief Information Security Officer (CISO, 🖅 xxxx@xxxxxx.xx) van A.S.T.R.I.D. op diens verzoek de bewijzen te verstrekken met betrekking tot de organisatorische en technische veiligheidsmaatregelen die werden genomen;

33. De Inschrijver verbindt zich ertoe zich te onderwerpen aan een audit door of op verzoek van A.S.T.R.I.D., en dit telkens als A.S.T.R.I.D. dit noodzakelijk zal achten. De kosten met betrekking tot de primaire audit zijn ten laste van A.S.T.R.I.D., de kosten die gepaard gaan met de eventuele controle- audits in het kader van de Prestaties zijn ten laste van de Inschrijver;

34. De Inschrijver komt overeen en aanvaardt dat, met uitzondering van de rechten waarin de voorliggende Overeenkomst uitdrukkelijk voorziet, het meedelen en verstrekken van exclusieve Informatie door A.S.T.R.I.D. uit hoofde van deze Overeenkomst niet mag worden uitgelegd als het verlenen aan de Inschrijver van uitdrukkelijke of stilzwijgende rechten, door licentie of anderszins, op de bedrijfsactiviteiten, de uitvindingen of de ontdekkingen waartoe de exclusieve Informatie behoort, noch als het verlenen van auteursrechten, handelsmerken of rechten op handelsgeheimen;

35. De Inschrijver verbindt zich ertoe de Informatie die hem wordt meegedeeld door A.S.T.R.I.D., haar werknemers, haar Derden of haar Onderaannemers, niet te gebruiken voor andere doeleinden of bedoelingen dan die welke voor de Prestaties zijn gedefinieerd;

36. De Inschrijver verbindt zich tot teruggave aan A.S.T.R.I.D., zodra de Prestaties zijn beëindigd en volgens de nadere regels die tussen de Partijen moeten worden bepaald, van alle Informatie met betrekking tot de Prestaties met uitzondering van de Informatie die gedekt wordt door de considerans 8 en tenzij anders en formeel bepaald door A.S.T.R.I.D.;

37. De Inschrijver verbindt zich op formeel en officieel verzoek van A.S.T.R.I.D. tot de definitieve en onherstelbare vernietiging van alle Informatie met betrekking tot de Prestaties die zij in hun bezit hebben, met uitsluiting van de Informatie waarvan sprake in considerans 8, ongeacht de plaats waar deze Informatie wordt verwerkt, opgeslagen, behandeld enz. met inbegrip van de kopieën en back-ups, en de Informatie op een fysieke drager (papier, USB-stick, externe schijf, enz.). De effectieve vernietiging van de Informatie moet worden aangetoond en meegedeeld aan de CISO en aan de DPO van A.S.T.R.I.D. (foto, video, attest, enz.) evenals de gebruikte protocollen. De Inschrijver moet gebruik maken van de middelen en protocollen die zijn aangepast aan de gevoeligheid van de te vernietigen Informatie;

38. De Inschrijver verbindt zich ertoe om in het kader van de Prestaties ethisch te werk te gaan en om, zonder beperking in de tijd, geen Informatie bekend te maken aan derden die geen band hebben met de Prestaties;

39. De Inschrijver staat ervoor in dat de bovengenoemde personen ook gebonden zullen zijn aan de voorliggende Overeenkomst en/of een andere gelijkwaardige geheimhoudingsplicht;

40. De Inschrijver mag, indien hij dat wenst, zijn eigen Geheimhoudingsovereenkomst voorstellen aan A.S.T.R.I.D.;

41. De voorliggende Overeenkomst omvat alle verbintenissen van de Partijen met betrekking tot de geheimhouding en vervangt alle eerdere verplichtingen tussen de Partijen hieromtrent;

42. De voorliggende Overeenkomst is onderworpen aan het Belgisch recht;

43. Alle geschillen tussen de Partijen die uit deze Overeenkomst zouden kunnen voortvloeien, zullen uitsluitend worden beslecht door de bevoegde hoven en rechtbanken van Brussel;

44. Het geheel van de in het voorliggende document vermelde vereisten vormt de Overeenkomst;

45. De Inschrijver is in naam van zijn werknemers/werkneemsters, derden en onderaannemers verantwoordelijk voor de strikte naleving van de voorliggende Overeenkomst.