Contract
5 MEI 2023
Overeenkomst tussen gezamenlijke verwerkingsverantwoordelijken het Vlaamse Energie- en Klimaatagentschap en de Energiehuizen
In het kader van MijnVerbouwLening
1
Gezamenlijke verwerkingsverantwoordelijken overeenkomst (‘GVO’) DEZE GVO WORDT AANGEGAAN TUSSEN
HET VLAAMS GEWEST, vertegenwoordigd door de Vlaamse Regering, bij delegatie, in de persoon van de leidend ambtenaar van het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid het Vlaams Energie- en Klimaatagentschap, xxx. Xxx Xxxxxxx, administrateur- generaal, ingeschreven in het KBO met nummer 0316.380.841, gevestigd te Xxxxxx Xxxxxx XX xxxx 00, 0000 Xxxxxxx (‘XXXX’);
EN
DE ENERGIEHUIZEN, zoals verder omschreven in bijlage 1.
Het VEKA en de Energiehuizen worden gezamenlijk ook aangeduid als de ‘Partijen’ of individueel als een ‘Partij’.
2
OVERWEGENDE DAT
A MijnVerbouwLening (‘MVL’) vervangt sedert 1 september 2022 de Energielening en de Energielening+. MVL impliceert naast een aanzienlijke uitbreiding van leningsbedrag en looptijd eveneens een maximale afstemming inzake doelgroepen, toegestane werkzaamheden en in aanmerking komende gebouwen met MijnVerbouwPremie (‘MVP’). Het achterliggende idee is wederzijdse versterking van beide beleidsinstrumenten.
In het kader van de toekenning van de MVP is het MVP-Loket ontwikkeld. De in dit kader ontwikkelde IT-applicatie maakt een automatische check van een aantal authentieke gegevensbronnen mogelijk, waardoor de dossierbehandelaar snel over de nodige correcte informatie beschikt, om een beslissing mb.t. de toekenning van een MVP te kunnen nemen.
De energiehuizen behandelen de kredietaanvragen in het kredietbeheersysteem GALOP, dat op vraag van VEKA door PMV/z-Leningen ter beschikking wordt gesteld. De energiehuizen zijn momenteel genoodzaakt de voorwaarden om een MVL te kunnen bekomen, te beoordelen op documenten en papieren die de kredietaanvragers hier en daar moeten verzamelen en voorleggen. Dit is niet klantvriendelijk, maar daarnaast zeer arbeidsintensief, en impliceert een risico op fouten.
Teneinde tot een eenduidige toepassing van de toekenningscriteria van MVP en MVL te komen, is het dus aangewezen dat de energiehuizen ook toegang krijgen tot de IT-applicatie. Dit zal leiden tot een eenvoudigere toekenningsprocedure van de MVL, een verminderde werklast bij de energiehuizen, een bevordering van de klantvriendelijkheid, en een vermindering van het risico op fouten.
Een bijkomend element waarom de integratie van de MVL in het MVP-Loket aangewezen is, is de verplichting die ingevolge het Energiebesluit aan de energiehuizen is opgelegd, om bij aanvraag van een MVL te zorgen voor de aanvraag van de MVP, waarna deze als vervroegde afbetaling op het uitstaand kapitaal wordt aangewend. Een gezamenlijke registratie van MVL en MVP in het loket kan bij de dossierbehandelaar bij aanvang duidelijk maken dat aan een bepaalde premie-aanvraag een leningsaanvraag voorafgaat.
B Volgens artikel 7.9.1 van het Besluit van de Vlaamse Regering houdende algemene bepalingen over het energiebeleid van 19 november 2010 (‘Het Energiebesluit’) kan een energiehuis enkel erkend worden indien er een samenwerkingsovereenkomst (‘SWO’) is afgesloten. Deze samenwerkingsovereenkomst regelt de verhouding tussen het VEKA en de energiehuizen en bepaalt bij deze ieders verantwoordelijkheden.
C In het kader van MVL zullen ook bepaalde persoonsgegevens van de betrokkenen verwerkt worden. Partijen hebben gezamenlijk de doeleinden en de middelen van deze verwerking van persoonsgegevens bepaald en treden derhalve op als gezamenlijke verwerkingsverantwoordelijken in de zin van artikel 26 van de Algemene Verordening Gegevensbescherming (‘AVG’).
D Partijen hebben hierbij de nodige afspraken gemaakt, onder meer met betrekking tot hun respectieve verantwoordelijkheid voor de nakoming van de verplichtingen uit hoofde van de AVG, met name
3
met betrekking tot de uitoefening van de rechten van de betrokkene en de transparantieverplichting. Deze afspraken worden in voorliggende GVO geformaliseerd.
WORDT OVEREENGEKOMEN WAT VOLGT:
ARTIKEL 1. NALEVING WETGEVING
Artikel 1.1. Algemene bepalingen
Partijen verbinden zich er toe om de wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens na te leven.
Indien een Partij van oordeel is dat een of meerdere verwerkingen waarvoor Partijen gezamenlijk verantwoordelijk zijn, niet of niet meer in overeenstemming is met de relevante wet- of regelgeving inzake persoonsgegevensbescherming, licht ze de andere Partijen daarover in. Elke Partij zal hieromtrent advies vragen aan hun DPO en vervolgens gezamenlijk beslissen of deze verwerkingen al dan niet tijdelijk of permanent dienen te worden stopgezet.
Artikel 1.2. Organiseren de bescherming van de gegevensuitwisseling
Beide partijen zijn verplicht om de passende technische en organisatorische maatregelen correct te implementeren en toe te passen, en doorlopend te actualiseren waar nodig.
Artikel 1.3. Controle van de bescherming en gegevensuitwisseling
Op vraag van een van de partijen moeten controleverslagen beschikbaar gesteld worden om erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.
ARTIKEL 2. RELATIES TUSSEN DE PARTIJEN EN VERANTWOORDELIJKHEDEN
Artikel 2.1. Geplande gegevensstromen
Binnen MVL wordt aan de partijen een rol toegekend:
- VEKA: verantwoordelijk voor het operationeel beheer van het loket waar betrokkenen de kredietaanvraag kunnen indienen.
- Energiehuizen: elk verantwoordelijk voor de toekenning van de MVL die aangevraagd is binnen hun territoriaal werkingsgebied.
Iedere partij treedt binnen haar rol op als afzonderlijke verwerkingsverantwoordelijke.
Artikel 2.2 Overzicht van de te verwerken persoonsgegevens
4
Gegevensstroom 1: van VEKA naar het Energiehuis
Gegeven 1 | De gegevens over de toekenning van een rentesubsidie |
Verantwoording proportionaliteit | Dit is noodzakelijk om te bepalen of er een verbouwlening kan worden toegekend of niet. De verbouwlening is namelijk niet cumuleerbaar met een renteloos renovatiekrediet (artikel 7.9.2/0/7, §7, Energiebesluit). |
Gegevensstroom 2: van het Energiehuis naar VEKA
Gegeven 1 | De identificatiegegevens van de kredietnemers | ||
Verantwoording proportionaliteit | De gegevens zijn noodzakelijk om de identiteit van de kredietnemers te controleren. | ||
Gegeven 2 | De identificatiegegevens en het type van het gebouw of de gebouweenheid | ||
Verantwoording proportionaliteit | De gegevens zijn noodzakelijk controletaak van VEKA. | voor | de |
Gegeven 3 | De voorwaarden en kenmerken energielening | van | de |
Verantwoording proportionaliteit | De gegevens zijn noodzakelijk controletaak van VEKA. | voor | de |
Gegeven 4 | Het certificaatnummer van energieprestatiecertificaat (EPC) | het | |
Verantwoording proportionaliteit | De gegevens zijn noodzakelijk controletaak van VEKA. | voor | de |
Gegeven 5 | De datum van de authentieke akte van verwerving, de datum van de aangifte van nalatenschap of, bij gebrek daaraan, de datum van het aanslagbiljet van de erfbelasting dat de Vlaamse Belastingdienst heeft opgemaakt. | ||
5
Verantwoording proportionaliteit | De gegevens zijn noodzakelijk voor de controletaak van VEKA. |
De meegedeelde gegevens zullen door de verschillende partijen gedurende een periode van maximaal dertig jaar bewaard worden. De gegevens worden niet langer bewaard dan noodzakelijk. Deze bewaartermijn kan worden verantwoord gezien de afbetalingstermijn voor een lening kan lopen tot 25 jaar en na afloop kunnen de gegevens nog verder bewaard worden voor vijf jaar voor de reden van aansprakelijkheid.
ARTIKEL 3. TRANSPARANTIE
Partijen zijn elk verantwoordelijk voor het opstellen, bijwerken en eventueel corrigeren van hun privacyverklaring waarin informatie verschaft wordt aan de betrokkene met betrekking tot de verwerking van persoonsgegevens overeenkomstig arts. 13 en 14 van de AVG.
ARTIKEL 4. AFSPRAKEN TUSSEN DE PARTIJEN
Artikel 4.1. De uitoefening van de rechten van de betrokkenen
Partijen communiceren op een duidelijke en eenvoudige wijze met de betrokkenen overeenkomstig artikel 12 AVG.
Partijen spreken af dat de contacten met de betrokkenen verlopen volgens de in artikel 2.1. beschreven toegekende rol. Dit wilt zeggen dat het VEKA in eerste instantie het aanspreekpunt is voor het loket en de Energiehuizen het aanspreekpunt zijn voor de gegevens die verwerkt worden in kader van de krediet toekenning.
Artikel 4.2. Contacten met derden
Partijen spreken af dat de contacten met derden in het kader van verwerking van persoonsgegevens in eerste instantie verlopen via het VEKA die de coördinatie van de activiteiten voor haar rekening neemt. Indien blijkt dat het concreet gaat om de verwerking van persoonsgegevens die behoren tot de bevoegdheid van een andere partij, maakt het VEKA de vraag of het verzoek binnen redelijk termijn over aan de andere partij.
Artikel 4.3. Relaties met en aanduiding van verwerker(s)
Partijen komen overeen dat de relaties met de verwerker(s) die instaan voor de concrete uitvoering van de verwerkingen in het kader van MVL, in eerste instantie toekomen aan het VEKA.
Partijen komen overeen om PMV/z-Leningen, meer bepaald de dochtervennootschap van Participatiemaatschappij Vlaanderen (PMV) met ondernemingsnummer 0553.802.890, waarvan de
6
administratieve zetel zich bevindt te Xxxx Xxxxxxxxxx 00, 0000 Xxxxxxx, als verwerker aan te stellen. Het VEKA sluit hiervoor een verwerkersovereenkomst af met PMV/z-Leningen.
Het VEKA gaat namens alle partijen na of de verwerker de passende technische en organisatorische maatregelen neemt om de verwerking te beveiligen.
Het VEKA waakt er over dat de verwerker enkel andere verwerkers (‘subverwerkers’) aanstelt om persoonsgegevens in het kader van MVL te verwerken na uitdrukkelijke, specifieke goedkeuring van het VEKA.
Artikel 4.3. Machtigingen en protocollen
Partijen spreken af dat in geval een machtiging aangevraagd moet worden of een protocol afgesloten moet worden, het (DPO-team van) het VEKA optreedt als coördinator en facilitator van de werkzaamheden, met dien verstaande dat alle partijen bij de procedure betrokken worden. Het VEKA is als coördinator en facilitator bevoegd de machtigingsaanvragen en protocollen te onderhandelen en te ondertekenen.
Artikel 4.4. Het verrichten van een gegevensbeschermingseffectbeoordeling
De gemeenschappelijke verwerking door de partijen vergt het opstellen van een gegevensbeschermingseffectbeoordeling. Deze wordt verricht door alle partijen gezamenlijk, zij het dat de partijen, vanuit overwegingen inzake efficiëntie, overeenkomen dat het VEKA hierbij het initiatief neemt. Als zodanig kan het VEKA de risico’s die zich kunnen stellen als gevolg van de verwerking, algemeen omschrijven, alsook, aan de verwerker die concreet het aanbieden van het kredietbeheersysteem van de tool op zich neemt, de maatregelen voorstellen en opleggen die nodig zijn om die risico’s te beheren en te beheersen. De andere partijen ondersteunen het VEKA met het opmaken van een gegevensbeschermingseffectbeoordeling, waar mogelijk, door het overhandigen van de technische en organisatorische maatregelen waar zij over beschikken.
Artikel 4.5. Werkwijze bij een datalek
Partijen spreken af dat de melding van datalekken in het licht van artikel 33 AVG verloopt volgens de in artikel 2.1. beschreven toegekende rol. Dit wilt zeggen dat het VEKA verantwoordelijk is indien een datalek zich voordoet bij het loket en de Energiehuizen indien de datalek zich voordoet bij de verwerking van de aanvragen. Partijen zullen elk alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade te voorkomen of te beperken.
Echter, verbinden de partijen zich ertoe om elkaar zonder onredelijke vertraging op de hoogte te stellen van elke gegevenslek met betrekking tot de meegedeelde gegevens dat impact heeft op beide partijen. In voorkomend geval verschaffen de partijen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
7
De vaststellende partij zal zonder onredelijke vertraging, en indien mogelijk uiterlijk 72 uur, na het vaststellen van een inbreuk in verband met persoonsgegevens een melding doen bij de toezichthoudende entiteit in overeenstemming met artikel 33 AVG.
Deze melding bevat volgende elementen:
- De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
- De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Alle partijen zullen elkaar onmiddellijk op de hoogte stellen van de melding aan de toezichthoudende entiteit.
Alle partijen zullen samenwerken met de toezichthoudende entiteit in verband met eventuele verzoeken om informatie en assistentie in verband met deze melding.
Artikel 4.6 Contacten met toezichthouders
De contacten met de toezichthoudende autoriteit verlopen in eerste instantie via de DPO van het VEKA.
Betreft het een vraag of verzoek in het kader van de opvolging van een klacht die door de betrokkene bij de toezichthoudende autoriteit is ingediend, wordt de vraag of het verzoek voor overleg overgemaakt aan de partij tegen wie de klacht is ingediend.
Betreft het een vraag of een verzoek in het kader van het beheer van het loket, wordt de vraag of het verzoek behandeld door het VEKA. In voorkomend geval verschaffen de Energiehuizen op vraag van het VEKA alle informatie die ze nuttig of nodig om de vraag of het verzoek te behandelen.
Artikel 4.7. Vertrouwelijkheid
De partijen verbinden zich er uitdrukkelijk toe het vertrouwelijk karakter en de beveiliging van de persoonsgegevens die zij in het kader van deze overeenkomst verwerken, te waarborgen.
De partijen waken erover dat alle medewerker(s) of aangestelde(n) die toegang hebben tot de persoonsgegevens, contractueel en of/statutair tot vertrouwelijkheid gebonden zijn.
ARTIKEL 5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Partijen nemen elk voor de verwerking waarvoor zij verantwoordelijk zijn volgens artikel 2.1 van deze overeenkomst gepaste technische en organisatorische maatregelen in overeenstemming met artikel 32 AVG om de persoonsgegevens en de verwerking ervan te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onrechtmatige verwerking.
8
Partijen komen overeen dat het VEKA als operationeel beheerder verantwoordelijk is voor de uitvoering van de technische en organisatorische maatregelen op het loket en de ondersteunende infrastructuur. De specifieke maatregelen die genomen moeten worden, zijn opgenomen in een bijlage die aan deze overeenkomst is toegevoegd. VEKA is alsook verantwoordelijk voor het toegangs- en gebruikersbeheer met betrekking tot de lokale administrators die te werk gesteld zijn bij de energiehuizen. De energiehuizen zijn verantwoordelijk voor het uitvoeren van gepaste maatregelen op de toestellen onder hun beheer. De aangestelde administrators verstrekken lokale medewerkers de benodigde rechten en toegang, waarbij zij het principe van minimale toegang toepassen. Alleen medewerkers die toegang nodig hebben tot het loket om hun taken uit te voeren, krijgen deze rechten toegewezen.
Op éénvoudig verzoek van één van de partijen, bezorgen de andere partijen extra verduidelijking over de technische en organisatorische maatregelen aan de desbetreffende DPO.
De partijen zullen op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking, testen, beoordelen en evalueren. Indien nodig zullen de technische en organisatorische maatregelen worden geactualiseerd.
ARTIKEL 6. PLAATS VAN DE VERWERKING EN DOORGIFTE
Partijen komen overeen dat de verwerkingen van de persoonsgegevens enkel binnen de Europese Economische Ruimte zal gebeuren. Het VEKA neemt de taak op zich om daarover te waken jegens de (sub)verwerker(s).
ARTIKEL 7. AANSPRAKELIJKHEID
Partijen zijn elk aansprakelijk voor de schade die het gevolg is van inbreuken op de AVG door de verwerking die zij uitvoeren binnen hun in artikel 2.1. beschreven toegekende rol.
ARTIKEL 8. INWERKINGTREDING, DUUR EN BEËINDIGING
Deze GVO treedt in werking op datum van ondertekening en is van onbepaalde duur. Ze eindigt van rechtswege na beëindiging van MVL.
ARTIKEL 9. OVERIGE
Deze overeenkomst is onderworpen aan het Belgisch recht. Alle geschillen in verband met deze overeenkomst zullen worden voorgelegd aan de bevoegde Nederlandstalige rechter in het gerechtelijk arrondissement Brussel.
9
Indien een bepaling in deze overeenkomst geheel of gedeeltelijk ongeldig, onwettig of nietig zou worden verklaard, tast dit op geen enkele wijze de geldigheid, wettigheid en toepasbaarheid van de andere bepalingen aan.
10
Deze GVO werd opgemaakt te Brussel en elektronisch ondertekend
Namens het VEKA Namens IOK
Xxx. Xxxx Xxxxx
Directeur – voorzitter directieteam
Getekend door:Xxx Xxxxxxx (Signature) Getekend op:2023-06-03 12:35:52 +02:00
Reden:Ik keur dit document goed
Xxx. Xxx Xxxxxxx Administrateur-generaal
Bijlagen
- Contactgegevens Energiehuizen
11
Bijlage 1: Contactgegevens Energiehuizen
3WPLUS, ingeschreven in het KBO met nummer 0447.628.472 waarvan de administratieve zetel zich bevindt te Z.5 Mollem 250, 1730 Mollem;
EN
IGO, ingeschreven in het KBO met nummer 0465.458.953 waarvan de administratieve zetel zich bevindt te Xx Xxxx 00, 0000 Xxxxxxxx.
EN
Energiecentrale Gent ingeschreven in het KBO met nummer 0207.451.227 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxx 0, 0000 Xxxx;
EN
Energiehuis Antwerpen ingeschreven in het KBO met nummer 0207.500.123 waarvan de administratieve zetel zich bevindt te Xxxxx Xxxxx 0, 0000 Xxxxxxxxx;
EN
VZW BEA ingeschreven in het KBO met nummer 0831.481.030 waarvan de administratieve zetel zich bevindt te Xxxx 0, 0000 Xxxxx;
EN
IOK ingeschreven in het KBO met nummer 0204.212.714 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxx 0, 0000 Xxxx;
EN
Energiehuis Limburg ingeschreven in het KBO met nummer 0807.760.273 waarvan de administratieve zetel zich bevindt te Xxxxx xxx Xxxxxxxxxx 00/0, 0000 Xxxxxxxx;
EN
WarmerWonen (W13) ingeschreven in het KBO met nummer 0630.835.639 waarvan de administratieve zetel zich bevindt te Xxxxxxxxx Xxxxxxxxxxx 00, 0000 Xxxxxxxx;
EN
12
WVI ingeschreven in het KBO met nummer 0205.157.869 waarvan de administratieve zetel zich bevindt te Baron Xxxxxxxxxxx 00, 0000 Xxxxxx;
EN
Energiepunt Mechelen ingeschreven in het KBO met nummer 0843.922.170 waarvan de administratieve zetel zich bevindt te Xxxxx Xxxxx 00, 0000 Xxxxxxxx;
EN
Energiehuis Oostende ingeschreven in het KBO met nummer 0890.616.188 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxxx 0, 0000 Xxxxxxxx;
EN
IGEAN ingeschreven in het KBO met nummer 0206.767.574 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxxxx 00, 0000 Xxxxxxxxx;
EN
Interwaas ingeschreven in het KBO met nummer 0206.460.639 waarvan de administratieve zetel zich bevindt te Xxxxxxxxx 000, 0000 Xxxx-Xxxxxxx;
EN
SOLVA ingeschreven in het KBO met nummer 0200.305.493 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxxx 0X, 0000 Xxxx-Xxxxxxx-Xxxxxx;
EN
Stadsregio Turnhout ingeschreven in het KBO met nummer 0862.959.114 waarvan de administratieve zetel zich bevindt te Xxxxx Xxxxx 0, 0000 Xxxxxxxx;
EN
Stekr ingeschreven in het KBO met nummer 0213.349.124 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxxx 0, 0000 Xxxxxxxx;
EN
Veneco ingeschreven in het KBO met nummer 0200.065.765 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxx 0, 0000 Xxxxxxxxxxxx ;
EN
Energiehuis Westhoek ingeschreven in het KBO met nummer 0695.496.928 waarvan de administratieve zetel zich bevindt te Xxxxx Xxxxx(X) 0, 0000 Xxxxxxxxx;
EN
13
Klimaathuis Leuven ingeschreven in het KBO met nummer 0207.521.503 waarvan de administratieve zetel zich bevindt te Xxxxxxxxx Xxx Xxxxxxxxxxxxxxxxx 0, 0000 Xxxxxx;
14