VERWERKINGSOVEREENKOMST [DATUM]

Verwerkingsovereenkomst Stad / Gemeente [X] – Vastgoedinformatieplatform (V7)

VERWERKINGSOVEREENKOMST

[DATUM]

tussen

[Lokaal bestuur], met zetel [adres van de maatschappelijke zetel], vertegenwoordigd door het college van burgemeester en schepenen, voor wie tekenen:

[OPTIE 1 zonder agendering] naam, functie en naam, functie

[OPTIE 2 via agendering] [de burgemeester of de bevoegde schepen] en [de algemeen directeur] in uitvoering van het gemeenteraadsbesluit/collegebesluit d.d. [datum van het desbetreffende besluit];

[ALL] Contactgegevens: [contactgegevens functionaris voor gegevensbescherming]

Hierna: de “Verwerkingsverantwoordelijke”;

en

De naamloze vennootschap het Vlaams Datanutsbedrijf met merknaam xxxxxx, zijnde een privaatrechtelijk vormgegeven extern verzelfstandigd agentschap, vertegenwoordigd door transitiemanager Xxxxx Xx Xxxxx, ingeschreven in het KBO met nummer 0795.547.478, waarvan de administratieve zetel zich bevindt te Xxxxxxxxx 00 xxx X, 0000 Xxxxxxx

Contactgegevens: xxxxxxx.xxxxxxxxxxxxxxx@xxxxxxxxxx.xx;

OF¹

Agentschap Digitaal Vlaanderen met maatschappelijke zetel gelegen te Xxxxxxxxx 00/x, 0000 Xxxxxxx en met ondernemingsnummer 0316.380.841, hierbij rechtsgeldig vertegenwoordigd door Xxx Xxxxxx;

Contactgegevens: xxxxxxx@xxxxxxxx.xxxxxxxxxx.xx;

Hierna: de “Verwerker”;

De Verwerkingsverantwoordelijke en de Verwerker worden hieronder ook wel afzonderlijk aangeduid als een “Partij” of gezamenlijk als de “Partijen”;

na te hebben uiteengezet

1. Overwegende dat notarissen en vastgoedmakelaars informatie over onroerende goederen bij de gemeente kunnen aanvragen;

2. Overwegende dat de gemeente het belangrijk vindt dat potentiële kopers met kennis van zaken een beslissing kunnen nemen over een onroerend goed;

3. Overwegende dat gemeenten op zoek zijn naar mogelijkheden om informatie over onroerende goederen efficiënter en veiliger te delen;

4. Overwegende dat gemeenten samenwerken met Digitaal Vlaanderen/Vlaams Datanutsbedrijf (athumi)¹ om een Vastgoedinformatieplatform te ontwikkelen en om in een testfase te onderzoeken hoe informatie over onroerende goederen op een efficiënte wijze kan worden ter beschikking gesteld;

5. Overwegende dat het Vastgoedinformatieplatform een elektronisch informatiesysteem is voor de ontsluiting, samenvoeging en veilige gegevensdeling van vastgoedinformatie en producten tussen bronhouders en aanvragers, zoals in eerste instantie notarissen en vastgoedmakelaars;

6. Overwegende dat de gemeente via het Vastgoedinformatieplatform de door aanvragers, zoals in eerste instantie notarissen en vastgoedmakelaars, aangevraagde vastgoedinformatie kan verzamelen en het product kan ontsluiten (de “Opdracht”);

[OPTIE met agendering]

7. Op [datum] heeft Stad/Gemeente [X] bij gemeenteraadsbesluit (hierna genoemd het “Gemeenteraadsbesluit”) bevestigd dat de Stad/Gemeente [X] in het kader van de verzameling en ontsluiting van vastgoedinformatie en het product, zoals algemeen omschreven in het Gemeenteraadsbesluit en zoals nader gepreciseerd in Bijlage 1 in de MVP-fase een beroep zal doen op een door de Verwerker verder te ontwikkelen Vastgoedinformatieplatform, hierna genoemd de “Opdracht”;

[ALL]

8. In het kader van de Opdracht zal de Verwerker bepaalde Persoonsgegevens Verwerken in opdracht en voor rekening van de Verwerkingsverantwoordelijke;

9. De partijen wensen nu hun afspraken met betrekking tot de uitvoering en organisatie van deze Verwerking van Persoonsgegevens te formaliseren in deze Verwerkingsovereenkomst.

wordt overeengekomen wat volgt

Artikel 1: Definities

Begrippen die in deze Verwerkingsovereenkomst met hoofdletter worden gebruikt, moeten worden geïnterpreteerd zoals in dit artikel of elders in de Verwerkingsovereenkomst gedefinieerd.

Aanvrager	de notaris of vastgoedmakelaar die in het kader van zijn beroepsactiviteiten of taken van algemeen belang die bij of krachtens een supranationale of wetskrachtige norm bepaalde vastgoedinformatie nodig heeft en daartoe een aanvraag via het VIP doet;
AVG	Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
Betrokkene	De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
Centrale gegevensbron	vastgoedinformatie die een Vlaamse instantie of een externe overheid beheert;
Datalek	Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
Derden	Elke natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan andere dan de Verwerker, de Verwerkingsverantwoordelijke en hun personeelsleden of aangestelden;
Lokale gegevensbron	vastgoedinformatie die een gemeente of de rechtspersonen die ervan afhangen, beheert;
Opdracht	De opdracht zoals omschreven in bijlage 1;
Persoonsgegevens Unierechtelijke of lidstaatrechtelijke bepaling	Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals ook gedefinieerd in artikel 4, 1) AVG, die de Verwerker in het kader van de Opdracht Verwerkt; Een bepaling opgelegd door Unierechtelijke of (EU) lidstaatrechtelijke wetgeving;
Product	een welbepaalde combinatie van vastgoedinformatie over één perceel, of een onderdeel ervan, die vooraf door het Vlaams Datanutsbedrijf is vastgelegd, die op aanvraag wordt ontsloten door de aanleverende entiteiten, die wordt samengevoegd via het VIP, en die ter beschikking wordt gesteld aan de aanvrager via het VIP;
Vastgoedinformatie	gebouw-, grond- of omgevingsgebonden gegevens inzake een onroerend goed, inclusief informatie met betrekking tot het juridische, administratieve of fysieke statuut van dit onroerend goed;
Vastgoedinformatieplatform	elektronisch informatiesysteem voor de ontsluiting, samenvoeging en veilige gegevensdeling van vastgoedinformatie tussen aanleverende entiteiten en aanvragers;
Vlaamse instantie	elk van de volgende overheidsinstanties: de instanties van de Vlaamse overheid, vermeld in artikel I.3, 1°, van het Bestuursdecreet van 7 december 2018; de instellingen met een publieke taak, vermeld in artikel I.3, 6°, van het Bestuursdecreet van 7 december 2018, voor zover ze afhangen van de Vlaamse overheid of van een of meer andere instellingen met een publieke taak die afhangen van de Vlaamse overheid; de instanties van de Vlaamse overheid, vermeld in artikel I.3, 7°, van het Bestuursdecreet van 7 december 2018;
Verwerken / Verwerking	Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals ook gedefinieerd in artikel 4, 2) AVG;
Verwerkingsovereenkomst	Deze overeenkomst.

Artikel 2: algemene werking van het Vastgoedinformatieplatform

De gemeente [X] verzamelt de opgevraagde vastgoedinformatie uit lokale gegevensbronnen. De gemeente [X] doet een beroep op het VIP om vastgoedinformatie uit centrale gegevensbronnen op te halen en samen te voegen in het product. De gemeente [X] stelt het product via het Vastgoedinformatieplatform aan de aanvrager ter beschikking.

In de mate dat persoonsgegevens zouden worden verwerkt in het kader van het product, verwerkt de gemeente die gegevens met als doeleinde om aanvragers samengevoegde vastgoedinformatie uit centrale en lokale gegevensbronnen ter beschikking te stellen in het kader van hun beroepsactiviteiten of in het kader van taken van algemeen belang die bij of krachtens een supranationale of wetskrachtige norm zijn bepaald.

Artikel 3: Voorwerp (art. 28, lid 3 en 4 AVG)

3.1. De Verwerker Verwerkt Persoonsgegevens voor de Verwerkingsverantwoordelijke uitsluitend zoals omschreven in de Opdracht, voor de duurtijd van de Opdracht, en overeenkomstig de in deze Overeenkomst vastgelegde verplichtingen. De Opdracht wordt nader omschreven in bijlage 1.

3.2. Elke Verwerking anders dan omschreven in de Opdracht is strikt verboden, met inbegrip van de doorgifte van Persoonsgegevens aan Derden, een derde land of een internationale organisatie, behoudens indien één van de hieronder opgesomde voorwaarden vervuld is:

• de Verwerkingsverantwoordelijke heeft schriftelijke instructies gegeven om bijkomende Verwerkingen uit te voeren; of

• een Unierechtelijke of lidstaatrechtelijke bepaling verplicht de Verwerker tot deze bijkomende Verwerking. De Verwerker zal de Verwerkingsverantwoordelijke desgevallend binnen een redelijke termijn voorafgaand aan de bijkomende Verwerking op de hoogte stellen van voornoemd wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Als de Verwerker een verzoek krijgt om Persoonsgegevens ter beschikking te stellen door een daartoe bevoegde instantie overeenkomstig een Unierechtelijke of lidstaatrechtelijke bepaling, beoordeelt zij eerst of het verzoek bindend is en of zij op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de Verwerker de Verwerkingsverantwoordelijke op de hoogte van het verzoek. De Verwerker doet dat binnen een termijn dat het voor de Verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen.

3.3. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

Artikel 4: Duur (art. 28, lid 3, g)

4.1. De Verwerkingsovereenkomst gaat in op de dag van de ondertekening van deze Verwerkingsovereenkomst

[OPTIE met agendering] en na inwerkingtreding van het Gemeenteraadsbesluit

en eindigt van rechtswege na afloop van de bewaartermijn van de Persoonsgegevens die tijdens de duurtijd van de Opdracht in de MVP-fase van het Vastgoedinformatieplatform zijn ingevoerd.

4.2. Artikels 4.3, 6, 7, 8, 10 en 13 blijven van kracht na beëindiging van de Verwerkingsovereenkomst.

4.3. Na beëindiging van de Verwerkingsovereenkomst dient de Verwerker aan de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en onverwijld op verzoek, een kopie te bezorgen van alle Persoonsgegevens die door haar in het kader van de Opdracht Verwerkt worden, in gestructureerd, gangbaar en machine leesbaar formaat. Als alle Persoonsgegevens zijn bezorgd, stelt de Verwerker onmiddellijk een einde aan elke verwerking van de Persoonsgegevens en vernietigt hij elke kopie en back-up van de Persoonsgegevens die hij nog zou bezitten, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.

Artikel 5: Beveiliging (art. 32 AVG)

5.1. De Verwerker treft alle passende technische en organisatorische beveiligingsmaatregelen die nodig zijn om de Persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen omvatten minstens, maar zijn niet beperkt tot de maatregelen zoals omschreven in artikel 32 (1) AVG. Bij vaststelling van deze maatregelen houdt de Verwerker rekening met de stand van de techniek en de kost voor beveiliging, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. In het bijzonder zal de Verwerker de Persoonsgegevens beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onwettige Verwerking. De Verwerkingsverantwoordelijke kan in bijlage 3 het overzicht van de genomen technische en organisatorische beveiligingsmaatregelen terugvinden.

5.2. De Verwerker wijst een functionaris voor gegevensbescherming aan en heeft tenminste een actueel veiligheidsbeleid- en plan.

Artikel 6: Vertrouwelijkheid (art. 29 AVG)

5.1. De Verwerker verbindt zich er uitdrukkelijk toe het vertrouwelijk karakter en de veiligheid van de Persoonsgegevens die zij in het kader van de Opdracht Verwerkt, te waarborgen.

5.2. De Verwerker verbindt zich ertoe dat alle personeelsleden of aangestelden die toegang hebben tot de Persoonsgegevens behoorlijk gebonden zijn door een wettelijke, statutaire of contractuele vertrouwelijkheidsverplichting.

Artikel 7: Onderaanneming en subverwerkers (art. 28 lid 4 AVG)

7.1. Het is aan de Verwerker toegestaan andere verwerkers aan te stellen om Persoonsgegevens in het kader van de Opdracht te Verwerken (hierna: de “Subverwerker”). De Verwerkingsverantwoordelijke gaat akkoord met de lijst van Subverwerkers opgesomd in bijlage 2. Binnen een redelijke termijn voor het aannemen van een andere Subverwerker dan de lijst van Subverwerkers opgesomd in bijlage 2 licht de Verwerker de Verwerkingsverantwoordelijke in over de toevoeging of verandering. De Verwerkingsverantwoordelijke kan vervolgens bezwaar maken tegen het aannemen van de voorgestelde Subverwerker.

7.2. Extern ingehuurde medewerkers worden voor deze Verwerkingsovereenkomst niet als Subverwerker beschouwd. De Verwerker zal er op toezien dat deze extern ingehuurde medewerkers dezelfde vertrouwelijkheidsclausule, zoals beschreven in artikel 5 van deze Verwerkingsovereenkomst naleven zoals dit voor de eigen werknemers van de Verwerker het geval is.

7.3. De Verwerker en de Subverwerker sluiten een overeenkomst waarin dezelfde verplichtingen inzake gegevensbescherming opgelegd worden als die welke in de voorliggende Verwerkingsovereenkomst zijn opgenomen. De Verwerker zal de Subverwerkers ook dezelfde geheimhoudingsverplichting opleggen. De Verwerker zal op eenvoudig verzoek van de Verwerkingsverantwoordelijke het nodige bewijs voorleggen om aan te tonen dat de overeenkomsten met haar Subverwerkers voldoen aan de in dit artikel gestelde voorwaarden.

7.4. De Verwerker houdt een actueel overzicht bij van de overeenkomsten met Subverwerkers en kan deze binnen redelijke termijn op eenvoudig verzoek bezorgen aan de Verwerkingsverantwoordelijke.

7.5. Indien een Subverwerker haar gegevensbeschermingsverplichtingen niet vervult, zal de Verwerker volledig aansprakelijk blijven ten opzichte van de Verwerkingsverantwoordelijke voor de naleving van deze verplichtingen.

Artikel 8: Bijstand (art. 28, lid 3, e - f)

8.1. Algemeen

De Verwerker zal de Verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht opdat de Verwerkingsverantwoordelijke in staat zou zijn om haar verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.

8.2. Bijstand bij verzoek van een Betrokkene

De Verwerker verleent aan de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene, te beantwoorden.

Indien een Betrokkene zich rechtstreeks wendt tot de Verwerker om zich te beroepen op één van de rechten die hem ingevolge hoofdstuk III van de AVG zijn toegekend, zal de Verwerker dit onverwijld melden aan de Verwerkingsverantwoordelijke en alleen tegemoet komen aan het verzoek van de Betrokkene na schriftelijk akkoord van de Verwerkingsverantwoordelijke.

8.3. Bijstand bij Datalekken

De Verwerker verbindt zich ertoe elk Datalek en alle ernstige pogingen tot onrechtmatige of ongeautoriseerde Verwerkingen of toegangen tot Persoonsgegevens zonder onredelijke vertraging, en uiterlijk 24 uur na kennisname, te melden aan de Verwerkingsverantwoordelijke conform artikel 33.3 van de AVG. De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade te voorkomen of te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig of nodig acht, verschaffen.

Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, verleent de Verwerker bovendien bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen betreffende:

• het melden van een Datalek aan de toezichthoudende autoriteit conform artikel 33 van de AVG;

• het mededelen van een Datalek aan de betrokkene conform artikel 34 van de AVG.

Het is de Verwerker evenwel niet toegestaan om het Datalek zelf te melden aan de bevoegde toezichthoudende autoriteit of de mededeling aan de betrokkene zelf te verrichten. Dit is uitsluitend de bevoegdheid van de Verwerkingsverantwoordelijke.

8.4. Andere bijstandsverplichtingen

De Verwerker zal - rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie - de Verwerkingsverantwoordelijke bijstand verlenen bij het nakomen van diens verplichtingen betreffende:

• het beveiligen van de verwerking conform artikel 32 van de AVG;

• het uitvoeren van een gegevensbeschermingseffectbeoordeling conform artikel 35 van de AVG;

• het voorafgaand aan een voorgenomen verwerking raadplegen van de toezichthoudende autoriteit, wanneer dit na een gegevensbeschermingseffectbeoordeling nodig zou blijken, conform artikel 36 van de AVG.

Artikel 9: Plaats van Verwerking (art. 3, art. 28, lid 3))

De Verwerker verwerkt de Persoonsgegevens alleen binnen de Europese Economische Ruimte, tenzij hierover met de Verwerkingsverantwoordelijke andere afspraken zijn gemaakt. Deze afspraken leggen de Partijen gezamenlijk schriftelijk vast in bijlage 2.

Artikel 10: Controle (art. 28, lid 3, h)

10.1. De Verwerkingsverantwoordelijke of zijn daartoe aangestelde heeft op elk ogenblik het recht om de naleving van deze Verwerkingsovereenkomst te controleren. Daartoe heeft zij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de Verwerking uitvoert. De Verwerkingsverantwoordelijke zal de Verwerker minstens tien dagen voorafgaand aan het uitvoeren van de controle schriftelijk inlichten. De Verwerkingsverantwoordelijke zal de controles, tenzij dwingend anders vereist, enkel op werkdagen tijdens kantooruren uitvoeren.

10.2. Op eenvoudig verzoek van de Verwerkingsverantwoordelijke is de Verwerker ertoe gehouden alle inlichtingen die van toepassing zijn bij de uitvoering van deze Verwerkingsovereenkomst mee te delen en bijstand te verlenen bij het uitvoeren van de audits of bij het vervullen van de verplichting om verzoeken om uitoefening van de in de AVG vastgestelde rechten van de Betrokkene te beantwoorden.

Artikel 11: Aansprakelijkheid (art. 82)

11.1. De Verwerker is aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor schade die voortvloeit uit een handeling of een nalatigheid wanneer bij de Verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, dan wel uit een handeling of nalatigheid in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke.

11.2. De aansprakelijkheid van de Verwerker is beperkt zoals voorzien in de Opdracht, zonder evenwel afbreuk te doen aan art 82 van de AVG.

Artikel 12: Beëindiging

12.1. Indien de Verwerker zijn verplichtingen onder deze Verwerkingsovereenkomst niet naleeft, kan de Verwerkingsverantwoordelijke, onverminderd het recht om een schadevergoeding te bekomen, na schriftelijke gemotiveerde ingebrekestelling de Opdracht geheel of gedeeltelijk beëindigen indien de Verwerker nalaat passende maatregelen te treffen binnen een termijn van 6 maanden.

Artikel 13: Overige

13.1. Deze Verwerkingsovereenkomst is onderworpen aan het Belgisch recht. Alle geschillen in verband met deze Verwerkingsovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Verwerkingsverantwoordelijke gevestigd is.

13.2. Indien een bepaling in de Verwerkingsovereenkomst geheel of gedeeltelijk ongeldig, onwettig of nietig zou worden verklaard, tast dit op geen enkele wijze de geldigheid, wettigheid en toepasbaarheid van de andere bepalingen aan. De Partijen zullen vervolgens te goeder trouw onderhandelen om de ongeldige, onwettige of nietige bepaling te vervangen door een geldige bepaling die zoveel als mogelijk de gevolgen heeft van de ongeldige, onwettige of nietige bepaling.

13.3. Aanvullingen en wijzigingen op deze Verwerkingsovereenkomst dienen schriftelijk te gebeuren door middel van een addendum dat als bijlage aan deze Verwerkingsovereenkomst zal worden gehecht.

Deze Verwerkingsovereenkomst werd op ___________________[DATUM] te ____________________[PLAATS] opgesteld in evenveel exemplaren als er Partijen zijn. Aan elke Partij wordt één ondertekend exemplaar van de Verwerkingsovereenkomst overhandigd.

Voor de Verwerkingsverantwoordelijke Voor de Verwerker²

____________________________________ _________________________

[Naam stad of gemeente] Vlaams datanutsbedrijf (athumi)

[naam vertegenwoordiger] Xxxxx Xx Xxxxx

[Functietitel] Transitiemanager

Voor de Verwerker²

____________________________________

Digitaal Vlaanderen

Xxx Xxxxxx

Administrateur-Generaal

BIJLAGEN

• Bijlage 1: omschrijving Opdracht

• Bijlage 2A: opsomming van Subverwerkers ingeval het besluit van de Vlaamse Regering inzake het overgaan van rechten en plichten van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf nog niet in verwerking is getreden

• Bijlage 2B: opsomming van Subverwerkers ingeval het besluit van de Vlaamse Regering inzake het overgaan van rechten en plichten van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf in verwerking is getreden

• Bijlage 3: technische en organisatorische maatregelen

BIJLAGE 1

In het kader van Verwerkingsovereenkomst voert de Verwerker op de onderstaande Persoonsgegevens de Verwerkingen uit waarvan per gegevenssoort de aard van de verwerking, alsmede het doel ervan en de categorieën van betrokkenen, de classificatie (*optioneel) worden vermeld.

1. Doel 1: terbeschikkingstelling van het product

Soort persoonsgegeven	Aard van de verwerking	Doel van de verwerking	Categorie(ën) van betrokkenen	Classificatie (*)
Contact- en identificatiegegevens	Verzamelen en verstrekken van vastgoedinformatie en opmaak product	Terbeschikkingstelling van product via het VIP	Aanvragers	/
Vastgoedinformatie	Verzamelen en verstrekken van vastgoedinformatie en opmaak product	Terbeschikkingstelling van product via het VIP	Houders van rechten op een perceel, of een onderdeel, waarvoor het product wordt aangevraagd	/
Gegevens in het kader van stedenbouwkundige en milieumisdrijven en inbreuken	Verzamelen en verstrekken van vastgoedinformatie en opmaak product	Terbeschikkingstelling van product via het VIP	Houders van rechten op een perceel, of een onderdeel, waarvoor het product wordt aangevraagd	/

2. Doel 2: facturatie / inning gemeenteretributie

Contact- en identificatiegegevens	Gebruik e-mailadres voor verstrekken informatie en doorsturen facturen m.o.o. de inning van de retributie	Facilitering van de facturatie van de gemeenteretributie Inning van de gemeenteretributie	Aanvragers	/
Financiële gegevens	Overmaken facturen voor aanvraag vastgoedinformatie	Facilitering van de facturatie van de gemeenteretributie Inning van de gemeenteretributie	Aanvragers	/

3. Doel 3: toegangscontrole

BIJLAGE 2A

Opsomming van Subverwerkers ingeval het besluit van de Vlaamse Regering inzake het overgaan van rechten en plichten van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf nog niet in verwerking is getreden

In het kader van de hosting doet de Verwerker een beroep op volgende Subverwerkers:

Subverwerker	Beschrijving van de Verwerkingsactiviteiten door de Subverwerker	Categorieën van Persoonsgegevens	Vindt er een gegevensdoorgifte naar derde landen plaats? Indien ja, welke maatregelen zijn er genomen in het licht van hoofdstuk V AVG?	Heeft de Verwerker met de Subverwerker een overeenkomst gesloten op grond van art. 28 AVG?3
Naam: Cronos Public Services NV Adres: Xxxxxxxx 00x, 0000 Xxxxxxx Data Protection Officer, incl. contactgegevens: xxx@xxxxxx.xx	Hosting (servers in een privaat datacenter beheerd door Cronos in België) van het Vastgoedinformatieplatform dat er onder meer voor zorgt dat gegevens uit centrale authentieke bronnen (open-data) automatisch worden opgehaald. Lokale besturen vullen het product verder aan met de eigen lokale vastgoedinformatie. Opslag van het product gebeurt eveneens op deze omgeving.	Contact- en identificatiegegevens Vastgoedinformatie Gegevens in het kader van stedenbouwkundige- en milieumisdrijven en -inbreuken Financiële gegevens Identificatienummer van het Rijksregister/KBO-nummer.	☒ Neen. ☐ Ja, in/naar de volgende landen:	☒ Ja. ☐ Neen, want:

BIJLAGE 2B

Opsomming van Subverwerkers ingeval het besluit van de Vlaamse Regering inzake het overgaan van rechten en plichten van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf in verwerking is getreden

In het kader van de hosting doet de Verwerker een beroep op volgende Subverwerkers:

Subverwerker	Beschrijving van de Verwerkingsactiviteiten door de Subverwerker	Categorieën van Persoonsgegevens		Vindt er een gegevensdoorgifte naar derde landen plaats? Indien ja, welke maatregelen zijn er genomen in het licht van hoofdstuk V AVG?	Heeft de Verwerker met de Subverwerker een overeenkomst gesloten op grond van art. 28 AVG?4
Naam : Digitaal Vlaanderen5, Adres: Xxxxxxxxx 00/x, 0000 Xxxxxxx Data Protection Officer: xxxxxxx@xxxxxxxx.xxxxxxxxxx.xx;	Gebruik van de infrastructuur en hosting componenten Gebruik van Veiligheidsbouwstenen voor de toegangscontrole tot het Vastgoedinformatieplatform	Contact- en identificatiegegevens Identificatienummer van het Rijksregister/KBO-nummer Vastgoedinformatie Gegevens in het kader van stedenbouwkundige- en milieumisdrijven en -inbreuken Financiële gegevens	☒ Neen. ☐ Ja, in/naar de volgende landen:			☒ Ja. ☐ Neen, want:
Subverwerker Naam: Cronos Public Services NV Adres: Xxxxxxxx 00x, 0000 Xxxxxxx Data Protection Officer, incl. contactgegevens: xxx@xxxxxx.xx	Hosting (servers in een privaat datacenter beheerd door Cronos in België) van het Vastgoedinformatieplatform dat er onder meer voor zorgt dat gegevens uit centrale authentieke bronnen (open-data) automatisch worden opgehaald. Lokale besturen vullen het product verder aan met de eigen lokale vastgoedinformatie. Opslag van het product gebeurt eveneens op deze omgeving.	Contact- en identificatiegegevens Vastgoedinformatie Gegevens in het kader van stedenbouwkundige- en milieumisdrijven en -inbreuken Financiële gegevens Identificatienummer van het Rijksregister/KBO-nummer.		☒ Neen. ☐ Ja, in/naar de volgende landen:	☒ Ja. ☐ Neen, want:

BIJLAGE 3

Technische en organisatorische maatregelen

1. Veiligheidskader

Het Vlaams Datanutsbedrijf maakt gebruik van de informatieclassificatie van de Vlaamse overheid als kompas voor het implementeren van de nodige technische en organisatorische maatregelen om het beveiligingsniveau van de verwerking te waarborgen, hierbij rekening houdende met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen:

De classificatie die van toepassing is, is de hoogste classificatie die uit de inventaris van alle geïdentificeerde persoonsgegevens kan afgeleid worden. Het is die classificatie die de informatieclassificatie van het volledige platform bepaalt. De gegevens die via het Vastgoedinformatieplatform verwerkt worden, zijn na analyse volgens dit model ingedeeld in informatieklasse 4.

Om de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens tijdens de verwerking te garanderen worden, op basis van deze indeling, de hierna beschreven technische en organisatorische veiligheidsmaatregelen genomen.

Meer informatie omtrent deze minimale maatregelen is beschikbaar op : xxxxx://xxx.xxxxxxxxxx.xx/xxxxxxxx-xxxxxxxxxx/xxxx-xxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxx-xxxxxxxxxx-xx-xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxx-xx-xxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

2. Organisatorische veiligheidsmaatregelen

Op niveau van het Vlaams Datanutsbedrijf

• Er is een functionaris voor gegevensbescherming aangesteld. De functionaris voor gegevensbescherming controleert of de verwerkingen gebeuren in overeenstemming met de bepalingen van de algemene verordening gegevensbescherming (AVG), met de bepalingen van de federale en Vlaamse regelgeving over de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens en met de verwerkersopdracht.

• Het Vlaams Datanutsbedrijf beschikt over een informatieveiligheidsbeleid en –plan.

• Conform de AVG:

  • Xxxxx een geheimhoudingsverklaring ondertekend door alle relevante interne en externe medewerkers, inclusief onderverwerkers;

  • Is er een incidentenbeheerprocedure opgesteld en naar alle relevante medewerkers gecommuniceerd;

  • Zijn er procedures opgesteld en gecommuniceerd naar alle relevante medewerkers met betrekking tot volgende aspecten:

    • Recht van inzage,

    • Recht op rectificatie,

    • Recht op gegevenswissing,

    • Recht op beperking van de verwerking,

    • Recht op overdraagbaarheid van de persoonsgegevens,

    • Recht van bezwaar;

• Maatregelen zijn getroffen voor de fysieke beveiliging van de omgeving.

• Is een register van verwerkingen opgesteld zoals bedoeld in art 30 AVG

Op niveau Vastgoedinformatieplatform

• Conform de AVG:

  • Beschikt de privacylogging over een auditfunctionaliteit die toegankelijk is voor de functionaris voor gegevensbescherming van het Vlaams Datanutsbedrijf.

  • Processen zijn geïmplementeerd met betrekking tot het toegangsbeheer, het loggingsbeheer, het security event management.

• In lijn met de verwerkersovereenkomst zijn verplichtingen inzake de verwerking van persoonsgegevens contractueel vastgelegd met de respectieve onderverwerkers.

• Het Vastgoedinformatieplatform is uitvoering gedocumenteerd voor interne doeleinden op Confluence, Azure Devops en SharePoint

• Conform de AVG:

  • Is er een register van verwerkingen opgesteld;

  • Beschikt de privacylogging over een auditfunctionaliteit die toegankelijk is voor de functionaris voor gegevensbescherming van de opdrachtgevende instantie.

  • Processen zijn uitgeschreven en geïmplementeerd met betrekking tot het toegangsbeheer, het loggingsbeheer, het security event management.

• In lijn met de verwerkersovereenkomst zijn verplichtingen inzake de verwerking van persoonsgegevens contractueel vastgelegd met de respectieve onderverwerkers.

3. Technische veiligheidsmaatregelen

• De componenten worden gehost in een privaat datacenter onder beheer van Cronos public services. Het operationeel beheer van dit datacenter voldoet aan de algemene informatieveiligheidsvoorschriften die het Vlaams Datanutsbedrijf vereist voor haar systemen.

• Geen anonieme toegang tot vastgoedplatform componenten. Least privileged principe bij het toekennen van functioneel noodzakelijke toegangen wordt gehanteerd op basis van persoonlijke credentials.

1. Het Least privileged principe wordt bewaakt door een aangestelde toegangsbeheerder.

1. Systeembeheerder

• Het toegangsbeheer voor infrastructuur componenten wordt ingeregeld door middel van een security matrix. Deze maakt onderscheid tussen de verschillende componenten, rollen en granulariteit van toegangen (lezen, schrijven, wijzigen).

• De toegangen worden per rol bepaald op basis van de minimale autorisatie noodzakelijk in functie van de uitvoering van de taak.

2. Applicatie

• De applicatie heeft dedicated credentials nodig om toegang te vragen tot externe bronnen. Deze credentials worden met de nodige veiligheidsmaatregelen beheerd (secretsmanagment) en de toegang tot deze credentials is op basis van least privileged principe.

2. Encryptie ter afscherming van de persoonsgegevens

• Communicatie tussen partijen verloopt steeds over een beveiligde en versleutelde verbinding (HTTPS) .

• De toegangsbeveiliging voor externe applicaties is ingeregeld via de Autorisatie server van het Vlaams Datanutsbedrijf en de controles via een Policy Enforcement Point van het API-beheerplatform APIGEE onder het beheer van onderverwerker Cronos public services.

• Communicatie tussen het Policy Enforcement Point (PEP) en het Vastgoedinformatieplatformverloopt steeds via een beveiligde site-to-site VPN-tunnel (IPSEC).

• Alle data, documenten en metadata, inclusief hun backup’s die door het Vastgoedinformatieplatform worden behandeld zijn altijd in een versleutelde opslag bewaard.

3. Logging

• Diverse aspecten van het Vastgoedinformatieplatform worden gelogd om verschillende redenen:

  • Technische logging van de beschikbaarheid en performantie van de onderliggende infrastructuur met het oog op bedrijfszekerheid;

  • Traffic logging van alle transacties die via het Vastgoedinformatieplatform verlopen met het oog op probleem- en incidentanalyse;

  • Privacylogging voor auditing doeleinden van alle transacties die via het Vastgoedinformatieplatform verlopen in lijn met de wettelijke bepalingen en best practices (wie heeft welk gegeven op welk tijdstip geraadpleegd over wie en met welke finaliteit). Deze privacy logging wordt apart van de andere logs beheerd in een afgeschermd auditregister.

4. Veiligheidscontroles

• Geautomatiseerde testen

  • Continue code vulnerability testen zijn ingeregeld via code build & release pipelines.

  • Security testing zal op regelmatige basis worden ingepland

1 Rechten en plichten in het kader van het Vastgoedinformatieplatform worden overgedragen van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf bij een Besluit van de Vlaamse regering, zoals bedoeld in artikel 37 van het Decreet van 2/12/2022 houdende machtiging tot oprichting van het privaatrechtelijk vormgegeven extern verzelfstandigd agentschap Vlaams Datanutsbedrijf in de vorm van een naamloze vennootschap, in de periode waarin deze overeenkomst ondertekend wordt. De verwerkingsovereenkomst wordt aangegaan door (i) Digitaal Vlaanderen als het besluit nog niet in werking getreden is (ii) of Vlaams Datanutsbedrijf zodra het BVR in werking getreden is.

2 Rechten en plichten in het kader van het Vastgoedinformatieplatform worden overgedragen van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf bij een Besluit van de Vlaamse regering, zoals bedoeld in artikel 37 van het Decreet van 2/12/2022 houdende machtiging tot oprichting van het privaatrechtelijk vormgegeven extern verzelfstandigd agentschap Vlaams Datanutsbedrijf in de vorm van een naamloze vennootschap, in de periode waarin deze overeenkomst ondertekend wordt. De verwerkingsovereenkomst wordt aangegaan door (i) Digitaal Vlaanderen als het besluit nog niet in werking getreden is (ii) of Vlaams Datanutsbedrijf zodra het BVR in werking getreden is.

3 De Verwerkingsverantwoordelijke behoudt zich het recht voor om een kopie van dergelijke overeenkomst op te vragen bij de Verwerker.

4 De Verwerkingsverantwoordelijke behoudt zich het recht voor om een kopie van dergelijke overeenkomst op te vragen bij de Verwerker.

5 Rechten en plichten in het kader van het Vastgoedinformatieplatform worden overgedragen van Digitaal Vlaanderen naar het Vlaams Datanutsbedrijf bij een Besluit van de Vlaamse regering in de periode waarin deze overeenkomst ondertekend wordt. De verwerkingsovereenkomst wordt ondertekend door (i) DV als het besluit nog niet is gepubliceerd (ii) DNB zodra het BVR gepubliceerd is. Afhankelijk daarvan treedt Digitaal Vlaanderen op als een verwerker (indien BVR nog niet gepubliceerd is) of als een subverwerker (indien BRV getekend is)

15