Leiedal, IGEMO en Stad Gent

Bijlage 3

Afspraken tussen gezamenlijke

verwerkingsverantwoordelijken

    Leiedal, IGEMO en Stad Gent   

Artikel 1. Definities

Persoonsgegevens zijn, zoals vermeld in artikel 4.1 van de Algemene Verordening Gegevens- bescherming1 (hierna AVG te noemen): “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”;

De Verwerkingsverantwoordelijke is, zoals vermeld in artikel 4.7 van de AVG, “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen”.

De bedoelde Verwerkingen zijn verwerkingen in de zin van artikel 4.2 van de AVG: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.

1 VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (xxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL).

De drie Partijen (stad Gent, Intercommunale IGEMO en intercommunale Leiedal) nemen elke de rol van renovatiebegeleider in hun werkingsgebied op.

De partij Leiedal is daarenboven de Xxxxx-contractspartij en staat in voor de rapportage naar Europa. Hiervoor reiken de stad Gent en IGEMO elk voor hun respectievelijk werkingsgebied de nodige data op een correcte manier aan Leiedal aan.

De Gegevens hebben betrekking op de volgende categorieën van “Individuen” en kunnen onder meer volgende vormen van persoonsgegevens bevatten:

- De naam, functie en professionele contactgegevens (e-mailadres(sen), telefoonnummer(s),…

) van zowel vertegenwoordigers, werknemers, medewerkers, managers of adviseurs van een Partij;

- De naam, functie en professionele contactgegevens (e-mailadres(sen), telefoonnummer(s),…

) van leveranciers, dienstverrichters of onderaannemers van dienstverrichters van een Partij zoals gecommuniceerd door de dienstverrichter aan de Partijen in het kader van de uitvoering van de samenwerkingsovereenkomst SUPRA.

- De naam, (professionele of private) contactgegevens (adres, e-mailadres(sen), telefoonnummer(s),… ) van afnemers van diensten van een rPartijzoals gecommuniceerd door de afnemers aan de Partij in het kader van de uitvoering van de samenwerkingsovereenkomst SUPRA.

- (Financiële) gegevens omtrent de renovatiewerken uitgevoerd of gepland in de woningen (facturen, datum, investeringsbedrag, premiebedrag, …) van de particulieren

Artikel 2. Voorwerp

Deze afspraken worden overeengekomen naar aanleiding van en in bijlage bij de samenwerkingsovereenkomst SUPRA.

De Partijen werken samen in het kader van bovenstaande doeleinden. Hiervoor zullen onderling tussen de Xxxxx-contractspartij en de Partijende nodige persoonsgegevens uitgewisseld worden. Het gaat om gegevens die noodzakelijk zijn om tegemoet te komen aan de in huidige samenwerkingsovereenkomst SUPRA opgenomen verplichtingen alsook aan deze voortvloeiende uit de Subsidieovereenkomst SUPRA tussen Leiedal en Europa.

De verwerkingen van deze persoonsgegevens hebben als rechtmatigheidsgrond de uitvoering van een overeenkomst met de inwoners van het werkingsgebied van de renovatiebegeleider die beroep doen op de door de renovatiebegeleider aangeboden renovatiebegeleiding.

Artikel 3. Duur

Deze afspraken zijn geldig voor de periode zoals bepaald in artikel 3 van huidige samenwerkingsovereenkomst SUPRA.

Gelet op de bepalingen voorzien in de Subsidieovereenkomst SUPRA dient specifiek gewezen te worden op de bewaartermijn van deze Gegevens. De termijn voorzien in de Subsidieovereenkomst SUPRA dient in deze nageleefd te worden.

Artikel 4. Verwerking

De Partijen en al wie onder hun verantwoordelijkheid of gezag handelen en toegang hebben tot de Gegevens, verwerken de Gegevens volgens de doeleinden vastgelegd in artikel 2 van dit document. De Partijen treffen maatregelen om dit te waarborgen.

Artikel 5. Verbintenissen van de Partijen

§ 1. De Partijen verbinden zich er toe om alle huidige en toekomstige op de verwerking van persoonsgegevens van toepassing zijnde wet- en regelgeving na te leven, zoals de Algemene Verordening Gegevensbescherming en alle daaruit voortvloeiende wetgeving.

§ 2. De Partijen zijn gezamenlijke verwerkingsverantwoordelijken voor de verwerkingen van persoonsgegevens voor de doeleinden in artikel 2.

§ 3. De Partijen waarborgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe verbonden hebben de vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid gebonden zijn (art. 28 punt 3 b AVG).

§ 4. De Partijen nemen alle passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de “betrokkene” (= de persoon op wie de persoonsgegevens betrekking hebben) is gewaarborgd (art. 28, punt 3 c AVG). Zie ook artikel 5 van deze afspraken.

§ 5. De Partijen zullen, rekening houdend met de aard van de verwerking, door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, elkaar bijstand verlenen bij het vervullen van hun plichten om verzoeken te beantwoorden van betrokkenen die zich beroepen op de door de AVG aan hen toegekende rechten (art. 28 punt 3 e AVG). Zie ook artikel 6 van deze afspraken.

§ 6. De Partijen zullen elkaar bijstand verlenen bij eventuele audits.

§ 7. De Partijen verbinden zich ertoe niet te handelen, en zullen ook niemand toelaten te handelen, op een manier die strijdig is met de verbintenissen die in deze afspraken worden bepaald of met de wettelijke verbintenissen die van toepassing zijn;

Artikel 5. Technische en organisatorische maatregelen

§ 1. De Partijen zullen rekening houdend enerzijds met de stand van de techniek ter zake en de uitvoeringskosten en anderzijds met de aard, de omvang, de context van de verwerking, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en de vrijheden van personen, de passende technische en organisatorische maatregelen nemen. Deze zijn onder meer nodig:

I. voor de bescherming van de persoonsgegevens tegen vernietiging, verlies of om welke reden dan ook het niet raadpleegbaar zijn en in het geval van een fysiek of technisch incident, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen (beschikbaarheid);

II. voor de bescherming van de persoonsgegevens tegen ongeoorloofde wijziging (integriteit);

III. voor de bescherming van de persoonsgegevens tegen ongeoorloofde toegang of inzage door derden (vertrouwelijkheid);

IV. opdat “de betrokkene” steeds kan navragen welke gegevens over hem worden verwerkt, door wie en voor welke doeleinde (transparantie);

V. opdat de (verwerking van) persoonsgegevens steeds kan worden overgedragen naar een andere dienstverlener (overdraagbaarheid en interoperabiliteit);

VI. opdat steeds kan worden nagegaan wie toegang had tot de persoonsgegevens en wat de aard is van de verwerkingen die werden verricht (transparantie);

VII. opdat de persoonsgegevens op een veilige manier en permanent kunnen worden verwijderd of geanonimiseerd waar de persoonsgegevens zich ook bevinden.

§ 2. Op eenvoudig verzoek van één van de Partijen, bezorgt de andere Partij extra verduidelijking over de technische en organisatorische maatregelen aan de desbetreffende functionaris voor gegevensbescherming.

§ 3. De Partijen zullen op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking testen, beoordelen en evalueren. Indien nodig zullen de technische en organisatorische maatregelen worden geactualiseerd.

Artikel 6. Bijstand bij de nakoming van de verplichtingen uit de AVG door de

Verwerkingsverantwoordelijke

§ 1. De Partijen zullen elkaar alle informatie verstrekken en alle bijstand verlenen die noodzakelijk en/of die redelijkerwijze mag worden verwacht opdat de Partijen in staat zouden zijn, hun verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.

§ 2. De Partijen zullen alle mogelijke maatregelen nemen opdat de Partijen tegemoet kunnen komen aan de verzoeken van een betrokkene die zich beroept op de hierna vermelde rechten:

I. Het recht van inzage zoals bedoeld in artikel 15 AVG, en onder meer om een kopie van de persoonsgegevens die worden verwerkt te bekomen;

II. Het recht op rectificatie van de persoonsgegevens zoals bedoeld in art. 16 AVG;

III. Het recht op gegevenswissing (“recht op vergetelheid”) zoals bedoeld in artikel 17 AVG;

IV. Het recht op beperking van de verwerking zoals bedoeld in artikel 18 AVG;

V. Het recht op overdraagbaarheid van de persoonsgegevens zoals bedoeld in artikel 20 AVG;

VI. Het recht van bezwaar bedoeld in artikel 21 AVG;

VII. Het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming waaronder profilering zoals bedoeld in artikel 22 AVG.

§3. Iedere Partij is het eerste aanspreekpunt voor de betrokkenen van zijn eigen werkingsgebied. De Elena-contractspartij kan in tweede instantie, indien relevant, aangesproken worden.

Artikel 7. Melding van een inbreuk in verband met de persoonsgegevens

§ 1. De Partijen informeren elkaar onmiddellijk zodra zij kennis hebben genomen van een inbreuk op de beveiliging van de persoonsgegevens behorend tot de doeleinden als bepaald in artikel 2 die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

§ 2. De Partijen zullen, met het oog op de melding van de inbreuk aan de bevoegde toezichthoudende autoriteit en aan de betrokkene, de volgende gegevens aan elkaar meedelen:

I. De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

II. De waarschijnlijke gevolgen van de inbreuk in verband met de persoonsgegevens;

III. De maatregelen die werden genomen of kunnen worden genomen om de inbreuk in verband met de persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

Artikel 8. Verantwoordelijkheden en waarborgen

§ 1. De Partijen zijn aansprakelijk voor de veiligheid en het goede gebruik van de toegangscodes, gebruikersnamen en wachtwoorden van de personen onder hun rechtstreeks gezag om toegang te hebben tot de gegevens en ze te verwerken. De Partijen verbinden zich ertoe alles in het werk te stellen opdat al wie toegang heeft tot de gegevens de vertrouwelijkheid van zijn codes en wachtwoorden zou bewaren.

§ 2. Indien een Partij door een derde aangesproken wordt voor fouten of nalatigheden die alleen de andere Partij toerekenbaar zijn, dient deze laatste de eerste te vrijwaren. De aangesproken Partij zal daartoe de Partij die beweerdelijk in gebreke is gebleven onmiddellijk informeren en alles in het werk stellen om de nodige info ter beschikking te stellen.

Artikel 9. Vertrouwelijkheid

De vertrouwelijkheidsverbintenissen die door deze verwerking ontstaan, duren voort na het verstrijken van deze verwerking.