Verwerkingsovereenkomst
Verwerkingsovereenkomst
Deze Verwerkingsovereenkomst wordt gesloten tussen:
Gemeenschappelijke Gemeenschapscommissie (GGC), gevestigd te 0000 Xxxxxxx, Belliardstraat 71, bus 1, ingeschreven in de Kruispuntbank van Ondernemingen met ondernemingsnummer 0240.682.833, en vertegenwoordigd door Xxxxxxxx Xxxx, leidend ambtenaar van de Diensten van het Verenigd College
hierna: “Verwerkingsverantwoordelijke”, zoals bedoeld in artikel 4, 7° van AVG;
en de gemeente Sint-Xxxx-Molenbeek gevestigd te 0000 Xxxx-Xxxx-Xxxxxxxxx, Graaf Van Vlanderen 20, ingeschreven in de Kruispuntbank van Ondernemingen met ondernemingsnummer 0207 366 501 en vertegenwoordigd door Xx. Xxxxxxx XXXXXXX, Adjunct Secretaris
hierna: “Verwerker”, zoals bedoeld in artikel 4, 8° van de AVG;
De Verwerkingsverantwoordelijke en de Verwerker worden hieronder ook wel afzonderlijk
aangeduid als een “Partij” of gezamenlijk als de “Partijen”;
TUSSEN DE PARTIJEN WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Definities
Begrippen die in deze Verwerkingsovereenkomst met hoofdletter worden gebruikt, moeten worden geïnterpreteerd zoals in dit artikel of elders in de Verwerkingsovereenkomst gedefinieerd.
AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming); |
Betrokkene | De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft; |
Datalek | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; |
Derden | Elke natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan andere dan de Verwerker, de Verwerkingsverantwoordelijke en hun personeelsleden of aangestelden; |
Opdracht | De opdracht zoals omschreven in deze Verwerkingsovereenkomst; |
Persoonsgegevens | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals ook gedefinieerd in artikel 4, 1) AVG, die de Verwerker in het kader van de Opdracht Verwerkt; |
Subverwerker | Xxxxxx derde partij die door de Verwerker wordt ingeschakeld om ten behoeve van de Verwerker Persoonsgegevens te Verwerken, zonder aan het rechtstreeks gezag van de Verwerker te zijn onderworpen; |
Unierechtelijke of lidstaatrechtelijke bepaling | Een bepaling opgelegd door Unierechtelijke of (EU) lidstaatrechtelijke wetgeving; |
Verwerken / Verwerking | Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals ook gedefinieerd in artikel 4, 2) AVG; |
Deze overeenkomst. |
Artikel 2: Voorwerp (art. 28, lid 3.a AVG)
2.1. De Verwerker Verwerkt Persoonsgegevens voor de Verwerkingsverantwoordelijke uitsluitend zoals omschreven in de Opdracht en overeenkomstig de in deze Verwerkingsovereenkomst vastgelegde verplichtingen.
2.2. De Opdracht wordt als volgt omschreven: burgers met een RR-nummer of een BIS-nummer, gedomicilieerd in een van de negentien gemeenten van het tweetalige gebied Brussel-Hoofdstad die niet over de digitale tools (zoals een printer, een computer of een smartphone) beschikken om het EU Digitaal COVID Certificaat (vaccinatiecertificaat) te genereren, of die het niet naar hun postadres kunnen laten sturen, kunnen zich wenden tot het gemeentebestuur van de gemeente waar ze gedomicilieerd zijn om een kopie van hun vaccinatiecertificaat te bekomen. Het certificaat kan worden gegenereerd met behulp van de Xxxxx Online-applicatie. Allereerst dient de gemeentemedewerker zich te identificeren in de tool. De burger moet dan een identiteitsbewijs voorleggen aan de gemeenteambtenaar die de identiteit van de burger verifieert en het vaccinatiecertificaat via de tool ophaalt/laat ophalen aan de hand van het RR-nummer of BIS-nummer dat zich op het identiteitsbewijs bevindt. Het RR-nummer of BIS-nummer wordt alleen gebruikt om het certificaat te zoeken, te genereren, af te drukken en aan de burger te geven. Noch het RR-nummer of BIS-nummer, noch een kopie van het vaccinatiecertificaat worden door de Gemeente bewaard."
De Verwerkte Persoonsgegevens in het kader van deze Opdracht door de Verwerker zijn de volgende:
- Het RR-nummer
- Het BIS-nummer
2.3. Elke Verwerking anders dan omschreven in de Opdracht is strikt verboden, met inbegrip van de doorgifte van Persoonsgegevens aan Derden, behoudens indien één van de hieronder opgesomde voorwaarden vervuld is:
- de Verwerkingsverantwoordelijke heeft schriftelijke instructies gegeven om bijkomende Verwerkingen uit te voeren; of
- een Unierechtelijke of lidstaatrechtelijke bepaling verplicht de Verwerker tot deze bijkomende Verwerking. De Verwerker zal de Verwerkingsverantwoordelijke desgevallend binnen een redelijke termijn voorafgaand aan de bijkomende Verwerking op de hoogte stellen van voornoemd wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. De Verwerker doet dat binnen een termijn zodat het voor de Verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de Verwerking van de Persoonsgegevens in te stellen.
2.4. Personen die betrokken zijn bij de Verwerking: Voor de Verwerkingsverantwoordelijke:
Voor de Verwerker:
- Verantwoordelijke voor dit systeem bij de Gemeente: Xxxxxx Xxxxx Xxxx
- Personen die een toegang tot Magda Online ontvangen en het vaccinatiecertificaat kunnen genereren en afprinten (naam en functie): Xxxxxx Xxxxx Xxxx Diensthoofd Sociale Actie, Xxxxxxx Xxxxx, Xxxxxxxx Xxxxx, Xxxxx Xxxxxx, Xxxx Xxxxxxx, Xxxxx Xxxxxxxxxx, Xxxxxxxxx Xxxxxxx - Xxxxxxxxx
- Personen die in contact zijn met de burgers en het certificaat aan de burgers kunnen geven (naam en functie): Xxxxxx Xxxxx Xxxx Diensthoofd Sociale Actie, Xxxxxxx Xxxxx, Xxxxxxxx Xxxxx, Xxxxx Xxxxxx, Xxxx Xxxxxxx, Xxxxx Xxxxxxxxxx, Xxxxxxxxx Xxxxxxx - Xxxxxxxxx
Van de personen van de Verwerker die toegang dienen te krijgen tot Magda Online, dient de Verwerkingsverantwoordelijke volgende gegevens te ontvangen met als enige doel toegang te verschaffen tot Magda Online:
- Rijksregisternummer
- GSM nummer
De verantwoordelijke voor dit systeem binnen de gemeente bepaalt welke personen deel uitmaken van het systeem.
De verantwoordelijke voor dit systeem binnen de gemeente ziet erop toe dat de personen die bij dit systeem betrokken zijn het passende profiel hebben voor de beoogde tussenkomsten, die van gevoelige aard zijn, en dat zij gebonden zijn aan het beroepsgeheim.
2.5. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien de Verwerking naar zijn mening een instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen.
Artikel 3: Beveiliging (art. 28, lid 3.c AVG)
3.1. De Verwerker treft alle passende technische en organisatorische beveiligingsmaatregelen die nodig zijn om de Persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en de kost voor beveiliging, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. In het bijzonder zal de Verwerker de Persoonsgegevens beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onwettige Verwerking. De minimale maatregelen die de Verwerker moet treffen, worden in Bijlage 1 toegevoegd.
Artikel 4: Verwerking door Subverwerkers (art. 28 lid 4 AVG)
4.1. Voor de Verwerking van de Persoonsgegevens kan de Verwerker geen beroep doen op Subverwerkers tenzij met de voorafgaande specifieke schriftelijke toestemming van de Verwerkingsverantwoordelijke.
4.2. De Verwerker verschaft de Verwerkingsverantwoordelijke een duidelijk overzicht van de Verwerkingen die een Subverwerker zal uitvoeren in het kader van deze Verwerkingsovereenkomst. Dit overzicht moet ter goedkeuring worden voorgelegd aan de Verwerkingsverantwoordelijke en wordt, na goedkeuring, toegevoegd in Bijlage 2.
4.3 Indien de Verwerker een nieuwe Subverwerker wil aanstellen of een bestaande Subverwerker wil vervangen, dan vraagt hij telkens tien (10) kalenderdagen voordat de Subverwerker zou worden aangesteld, de schriftelijke toestemming van de Verwerkingsverantwoordelijke, via het e-mailadres xxxxxxxxxxxxxx@xxx.xxxxxxxx.
4.4 De Verwerker zal bij schriftelijke overeenkomst aan de Subverwerker dezelfde verplichtingen inzake gegevensbescherming opleggen als deze die worden opgelegd aan de Verwerker in deze Verwerkingsovereenkomst, opdat de Verwerking zou voldoen aan de vereisten van de AVG.
4.5. De Verwerker blijft ten opzichte van de Verwerkingsverantwoordelijke de verantwoordelijkheid dragen voor het naleven van de verplichtingen uit de AVG, uit toepasselijke nationale wetgeving en zoals vastgesteld door deze Verwerkingsovereenkomst door zijn Subverwerkers.
4.6. Op eenvoudig verzoek verstrekt de Verwerker aan de Verwerkingsverantwoordelijke onmiddellijk een kopie van eventuele subverwerkingscontracten, desgevallend met uitzondering van de financiële regeling tussen Verwerker en Subverwerker.
Artikel 5: Bijstand (art. 28, lid 3.e en f AVG)
5.1. Algemeen
De Verwerker zal, rekening houdend met de aard van de Verwerking, en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of redelijkerwijze mag worden verwacht opdat de Verwerkingsverantwoordelijke in staat zou zijn, zijn verplichtingen als verwerkingsverantwoordelijke uit hoofde van de artikelen 32 tot en met 36 AVG na te komen en van deze nakoming het bewijs te leveren.
5.2. Bijstand bij verzoeken van de betrokkenen
De Verwerker zal alle mogelijke maatregelen nemen opdat de Verwerkingsverantwoordelijke kan tegemoetkomen aan de verzoeken van een betrokkene die zich beroept op de hierna vermelde rechten en de Verwerker zal, in voorkomend geval, de Verwerkingsverantwoordelijke daarbij alle medewerking verlenen wat betreft, indien van toepassing:
• het recht van inzage, en onder meer om een kopie van de Persoonsgegevens die worden Verwerkt te bekomen;
• het recht op rectificatie van de Persoonsgegevens;
• het recht op gegevenswissing (“recht op vergetelheid”);
• het recht op beperking van de Verwerking;
• het recht op overdraagbaarheid van de Persoonsgegevens;
• het recht van bezwaar;
• het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming waaronder profilering.
Indien een betrokkene zich rechtstreeks wendt tot de Verwerker om zich te beroepen op één van de voormelde rechten, zal de Verwerker dit onmiddellijk melden aan de Verwerkingsverantwoordelijke op het e-mailadres xxxxxxxxxxxxxx@xxx.xxxxxxxx en alleen tegemoetkomen aan het verzoek van de betrokkene na akkoord van de Verwerkingsverantwoordelijke.
5.3. Bijstand bij de nakoming van de verplichting tot gegevensbeschermingseffectbeoordeling (GEB – art. 35 AVG)
De Verwerker zal rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, alle bijstand verlenen aan de Verwerkingsverantwoordelijke bij de verplichting tot gegevensbeschermingseffectbeoordeling (GEB), en inzonderheid om te komen tot een volwaardige en correcte risicobeoordeling en –beheersing. Wanneer een reeds bestaande Verwerking van Persoonsgegevens volgens een nieuw technologisch proces zal worden uitgevoerd, zal de Verwerkingsverantwoordelijke nagaan of een GEB moet worden uitgevoerd en de Verwerker daarvan op de hoogte brengen om zijn bijstand te vragen.
Indien nodig en op verzoek van de Verwerkingsverantwoordelijke, zal de Verwerker de Verwerkingsverantwoordelijke bijstaan om ervoor te zorgen dat de verplichtingen ingevolge de uitvoering van een GEB worden nagekomen. Indien uit een GEB blijkt dat de Verwerking een hoog risico voor de gegevensbescherming zou opleveren, zal de Verwerker op verzoek van de Verwerkingsverantwoordelijke of de toezichthoudende autoriteit alle informatie verstrekken die noodzakelijk is in het kader van de voorafgaande raadpleging.
Artikel 6: Vertrouwelijkheid (artikel 28, lid 3.b AVG)
6.1. De Verwerker verbindt zich er uitdrukkelijk toe het vertrouwelijk karakter en de veiligheid van de Persoonsgegevens die zij in het kader van de Opdracht Verwerkt, te waarborgen.
6.2. De Verwerker maakt zich sterk dat alle personeelsleden of aangestelden die toegang hebben tot de Persoonsgegevens het vertrouwelijk karakter en de veiligheid van deze Persoonsgegevens zullen respecteren. De Verwerker zal erop toezien dat personeelsleden of aangestelden enkel toegang verkrijgen tot Persoonsgegevens nadat ze behoorlijk gebonden zijn door een wettelijke of contractuele vertrouwelijkheidsverplichting.
6.3. De Verwerker bevestigt uitdrukkelijk dat hij geen enkel Persoonsgegeven in het kader van deze Verwerkingsovereenkomst of daaruit afgeleide informatie, bekend zal maken aan enige derde partij, dat hij op geen enkel moment de Persoonsgegevens voor eigen behoeften of doeleinden zal gebruiken en/of Verwerken en dat hij deze Persoonsgegevens niet zal kopiëren (tenzij dat strikt noodzakelijk is voor de uitvoering van deze Verwerkingsovereenkomst).
6.4.
Artikel 7: Register van de verwerkingsactiviteiten (artikel 30 lid 2 AVG)
De Verwerker houdt, in overeenstemming met artikel 30, lid 2 AVG, een register bij van alle categorieën van Verwerkingen die hij ten behoeve van de Verwerkingsverantwoordelijke (heeft) verricht. Dit register – dat in schriftelijke (waaronder elektronische) vorm is opgesteld – vermeldt:
- de naam en de contactgegevens van de Verwerker en de Verwerkingsverantwoordelijke (in voorkomend geval van de vertegenwoordiger van de Verwerkingsverantwoordelijke of de Verwerker), en van de functionaris voor gegevensbescherming of de verantwoordelijke voor gegevensbescherming;
- de categorieën van Verwerkingen die voor rekening van de Verwerkingsverantwoordelijke zijn uitgevoerd;
- indien van toepassing, doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, en in voorkomend geval (zie artikel 49, lid 1 AVG) de documenten inzake de passende waarborgen;
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, lid 1 AVG.
Artikel 8. Plaats van Verwerking en doorgiften (art. 28, lid 3.a en art. 48 AVG)
8.1. Het Verwerken van Persoonsgegevens kan enkel gebeuren op het grondgebied van één van de lidstaten van de Europese Economische Ruimte (EER), ongeacht of de Verwerking wordt uitgevoerd door de Verwerker of een Subverwerker. De Verwerker waarborgt dat hij geen enkel Persoonsgegeven doorgeeft of anderszins beschikbaar of toegankelijk maakt aan landen of organisaties buiten de EER, tenzij hij hiertoe instructie heeft gekregen vanwege de Verwerkingsverantwoordelijke.
8.2. Op een verzoek tot doorgifte of het verstrekken van Persoonsgegevens aan een land buiten de EER, gebaseerd op een rechterlijke uitspraak of een besluit van een administratieve autoriteit, kan enkel worden ingegaan indien die rechterlijke uitspraak of dat besluit gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde land en de Unie of een lidstaat (onverminderd de andere gronden voor doorgifte aan een derde land vastgesteld in hoofdstuk V van de AVG). In voorkomend geval zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk en voorafgaand aan de doorgifte op de hoogte brengen van het verzoek op het e-mailadres xxxxxxxxxxxxxx@xxx.xxxxxxxx.
Artikel 9: Melding van een inbreuk in verband met de Persoonsgegevens (art. 33 – 34 AVG)
De Verwerker informeert de Verwerkingsverantwoordelijke op het e-mailadres xxxxxxxxxxxxxx@xxx.xxxxxxxx onmiddellijk zodra - en uiterlijk binnen 4 uur nadat - hij kennis heeft genomen van een Datalek. De Verwerker zal in dat kader, met het oog op de melding van de inbreuk door de Verwerkingsverantwoordelijke aan de toezichthoudende entiteit (artikel 33 AVG) en aan de betrokkene (artikel 34 AVG), de volgende gegevens meedelen aan de Verwerkingsverantwoordelijke:
• de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
• de waarschijnlijke gevolgen van de inbreuk in verband met de Persoonsgegevens;
• de maatregelen die werden genomen of kunnen worden genomen om de inbreuk in verband met de Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 10: Aansprakelijkheid (art. 82 AVG)
10.1. De Verwerker is aansprakelijk voor de schade die door Verwerking is veroorzaakt wanneer (1) bij de Verwerking niet is voldaan aan de specifiek tot Verwerker gerichte verplichtingen van de AVG, de Verwerkingsovereenkomst en andere wet- en regelgeving of (2) buiten dan wel in strijd met de instructies van de Verwerkingsverantwoordelijke is gehandeld.
10.2. De Verwerker kan van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
Artikel 11: Audits (art. 28 lid 3.h AVG)
11.1. De Verwerker verbindt er zich uitdrukkelijk toe elke audit, controle of onderzoek, rechtstreeks dan wel onrechtstreeks, via een daartoe gemachtigde persoon of organisatie, door de Verwerkingsverantwoordelijke om na te gaan of de Verwerker zijn verplichtingen nakomt, mogelijk te maken en eraan bij te dragen.
In dat geval verstrekt de Verwerker, op verzoek van de Verwerkingsverantwoordelijke, onder andere alle informatie die nodig is om aan te tonen dat de verplichtingen die verbonden zijn aan de tussenkomst van een verwerker, zoals omschreven door artikel 28 AVG en in deze Verwerkingsovereenkomst, worden nagekomen. Dit betreft met name de informatie met betrekking tot zijn Verwerking van de Persoonsgegevens en de genomen veiligheidsmaatregelen.
11.2 In dit kader verbindt de Verwerker zich er ook toe om aan de Verwerkingsverantwoordelijke toegang te geven tot zijn lokalen voor Verwerking om de naleving van deze Verwerkingsovereenkomst te kunnen nagaan. De Verwerkingsverantwoordelijke verbindt zich er toe een kopie van het auditrapport over te maken aan de Verwerker.
Artikel 12. Duur van de Verwerkingsovereenkomst
13.1. Deze Verwerkingsovereenkomst neemt een aanvang op de datum van ondertekening van deze Verwerkingsovereenkomst en blijft van kracht tot 30 juni 2022.
13.2. Bij een contract van onbepaalde duur mag elke Partij deze Verwerkingsovereenkomst beëindigen door aan de andere Partij een schriftelijke gemotiveerde kennisgeving daartoe te bezorgen.
Indien de Verwerkingsverantwoordelijke de Verwerkingsovereenkomst wenst te beëindigen, deelt zij dit schriftelijk aan de Verwerker mee op het e-mailadres van haar DPO Xxxxxxx Xxxxx en haar vertegenwoordiger Xxxxxxx XXXXXXX. De Verwerkingsovereenkomst zal één maand na deze kennisgeving effectief worden beëindigd.
Indien de Verwerker de Verwerkingsovereenkomst wenst te beëindigen, deelt zij dit schriftelijk mee aan de Verwerkingsverantwoordelijke via het e-mailadres van de DPO xxxxxxxxxxxxxx@xxx.xxxxxxxx en de Leidend Ambtenaar van de Diensten van het Verenigd College xxxxx@xxx.xxxxxxxx. De Verwerkingsovereenkomst zal één maand na deze kennisgeving effectief worden beëindigd.
13.3. De Verwerkingsverantwoordelijke mag deze Verwerkingsovereenkomst onmiddellijk beëindigen, zonder zich te wenden tot een rechtbank, door aan de Verwerker een schriftelijke kennisgeving van beëindiging te overhandigen, als:
1) de Verwerker inbreuk pleegt op deze Verwerkingsovereenkomst en deze inbreuk niet kan worden ongedaan gemaakt;
2) de Verwerker inbreuk pleegt op deze Verwerkingsovereenkomst en deze inbreuk weliswaar ongedaan kan worden gemaakt, maar de Verwerker er niet in slaagt de inbreuk ongedaan te maken binnen een periode van 30 dagen na overhandiging van een schriftelijke ingebrekestelling aan de Verwerker om de inbreuk ongedaan te maken;
3) de Verwerker failliet gaat of betrokken is in een vereffening of ontbinding.
Artikel 13: Toepasselijk recht en geschillen
14.1 Deze Verwerkingsovereenkomst wordt beheerst door het Belgisch recht.
14.2 In geval van enig geschil in verband met de interpretatie, toepassing en/of de uitvoering van deze Verwerkingsovereenkomst, wordt bepaald dat de Partijen de voorrang geven aan onderhandeling om te proberen het geschil op te lossen.
14.3 In geval van mislukking van de onderhandelingen, verklaren de Partijen dat het geschil onder de exclusieve bevoegdheid van de rechtbanken van het gerechtelijk arrondissement Brussel zal vallen.
Artikel 14: Kosten
Alle diensten die in het kader van de Opdracht worden geleverd, zijn gratis, behoudens anders wordt afgesproken.
Artikel 15: Varia
16.1. Indien een bepaling van deze Verwerkingsovereenkomst geheel of gedeeltelijk ontoepasselijk, onwettig of nietig wordt bevonden, heeft dit geen enkele invloed op de geldigheid, wettigheid en afdwingbaarheid van de overige clausules.
De partijen zullen vervolgens te goeder trouw onderhandelen om deze bepaling te vervangen door een geldige clausule, waarvan de betekenis en het doel zo dicht mogelijk bij die van de ongeldig gemaakte clausule liggen.
16.2. Wijzigingen in de clausules van de Verwerkingsovereenkomst dienen schriftelijk te worden aangebracht door middel van een wijzigingsclausule die bij deze Verwerkingsovereenkomst wordt gevoegd en die door de beide partijen aanvaard moet worden.
Deze Verwerkingsovereenkomst werd op 29/09/2021 te Sint-Xxxx-Molenbeek opgesteld in evenveel exemplaren als er Partijen zijn. Aan elke Partij wordt één ondertekend exemplaar van de Verwerkingsovereenkomst overhandigd.
Namens de Gemeenschappelijke Gemeenschapscommissie, Verwerkingsverantwoordelijke:
Naam: Xxxxxxxx Xxxx
Functie: Leidend ambtenaar van de DVC Handtekening:
Namens Gemeentebestuur Sint-Xxxx-Molenbeek, Verwerker:
Naam: Xxxxxxx XXXXXXXXX, Xxxxxxxxx XXXXXXXX
Functie: Secretaris F.F. Burgemester
Handtekening:
BIJLAGE 1: TECHNISCHE EN ORGANISATORISCHE MAATREGELEN GENOMEN
DOOR DE VERWERKER
De Verwerker neemt volgende organisatorische en technische beveiligingsmaatregelen voor de Verwerking van Persoonsgegevens:
- Hij is verplicht ervoor te zorgen dat alleen gemeentepersoneel dat geautoriseerd is om toegang te krijgen tot de Magda Online-tool, na identificatie, het vaccinatiecertificaat kan genereren;
-Gezien het gevoelige karakter van de verwerkte informatie, zal Xxxxx Online slechts toegankelijk mogen zijn voor een beperkt aantal mensen die binnen de gemeente werken en de toegang zal beperkt zijn in de tijd en alleen mogelijk zijn gedurende de tijd die nodig is om de opdracht (zie 2.2) uit te voeren. Vooraf zal moeten worden vastgelegd welke personen en welke functies deze personen uitoefenen (zie 2.4). De groep mensen die toegang hebben moet stabiel zijn;
-Toegang tot Magda Online vereist persoonlijke toegang (identificatie gebeurt via Itsme/EID) en acties die worden uitgevoerd in Magda Online worden gelogd;
-De vaccinatiecertificaten worden rechtstreeks vanuit Magda Online afgedrukt waarvan de toegang beschermd is;
-Zodra de vaccinatiecertificaten zijn gegenereerd, afgedrukt en aan de burgers zijn gegeven, moeten ze van de servers worden verwijderd;
-Zodra de vaccinatiecertificaten zijn gegenereerd, afgedrukt en aan de burgers gegeven, moeten de gebruikte RR-nummer- en BIS-nummer worden verwijderd;
-De gegevens van het personeel van de Verwerker om toegang te krijgen tot Magda Online mogen niet langer worden bewaard dan nodig is om de opdracht uit te voeren.
BIJLAGE 2: SUBVERWERKERS AANGESTELD DOOR DE VERWERKER
Voeg hier de Subverwerkers toe die u als Verwerker wilt aanstellen voor de Verwerking van Persoonsgegevens in het kader van deze Verwerkingsovereenkomst.