OVEREENKOMST INZAKE GEGEVENSVERWERKING
OVEREENKOMST INZAKE GEGEVENSVERWERKING
Hierna de “overeenkomst” genoemd.
TUSSEN DE ONDERGETEKENDEN
1/ De verwerker:
De vereniging zonder winstoogmerk “GIAL / i-City” met maatschappelijke zetel te 0000 Xxxxxxx, Emile Jacqmainlaan 95, BTW BE-0449.971.914, RPR Brussel Franstalig, vertegenwoordigd door Mevr. Xxxx-Xxxxx Xxxxxxx, gemachtigd voor het dagelijks bestuur;
Hierna de “verwerker” genoemd
2/ De verwerkingsverantwoordelijke:
De Stad Brussel, waarvan de maatschappelijke zetel gevestigd is te 0000 Xxxxxxx, Xxxxxxxxxxx 0, hier geldig vertegenwoordigd door ;
hierna de “verwerkingsverantwoordelijke” genoemd
De verwerker en de verwerkingsverantwoordelijke worden hierna samen de “partij(en)” genoemd.
OVERWEGENDE DAT
In het kader van de uitvoering van bepaalde activiteiten voor de verwerkingsverantwoordelijke, zal de verwerker enerzijds toegang hebben tot persoonsgegevens en/of anderzijds persoonsgegevens moeten verwerken, waarvoor de verwerkingsverantwoordelijke verantwoordelijk is in de zin van (i) de Europese Verordening (EU) 2016/679 van 27 april 2016 (Algemene Verordening Gegevensbescherming die in werking is getreden op 25 mei 2018 - de “AVG”) en (ii) de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
Door middel van deze overeenkomst wensen de partijen hun wederzijdse afspraken met betrekking tot de verwerking van persoonsgegevens en de naleving van de verplichtingen van de privacywetgeving schriftelijk vast te leggen. Er wordt uitdrukkelijk overeengekomen dat de partijen in het kader van deze overeenkomst eerder van gedachten hebben gewisseld over (i) de persoonsgegevens die de partijen voornemens zijn te verwerken, (ii) de categorieën van betrokkenen wier persoonsgegevens de partijen voornemens zijn te verwerken, (iii) het gebruik (d.w.z. de verwerkingsmethode(n) van de persoonsgegevens, de doeleinden en de middelen van de verwerking(en) (iv) de periode(n) van gebruik en opslag van (verschillende soorten) persoonsgegevens. Evenzo is de beschrijving van de door de verwerker genomen beveiligingsmaatregelen het voorwerp van een gedetailleerd beveiligingsbeleid dat vooraf is meegedeeld aan en goedgekeurd door de verwerkingsverantwoordelijke.
WORDT HET VOLGENDE OVEREENGEKOMEN
1 DEFINITIES
Voor de toepassing van deze overeenkomst hebben de volgende termen de hieronder omschreven betekenis:
Opdracht: Alle activiteiten die de verwerker ten behoeve van de verwerkingsverantwoordelijke verricht, en elke andere vorm van samenwerking waarbij de verwerker ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, ongeacht de juridische aard van de overeenkomst op grond waarvan dit geschiedt. Deze opdrachten worden nader omschreven in de tussen de partijen gesloten beheersovereenkomst;
Betrokkene: Persoon op wie de persoonsgegevens betrekking
hebben;
Datalekken: Zonder toestemming, de publicatie, de toegang,
het misbruik, het verlies, de diefstal of de toevallige of onwettige vernietiging van persoonsgegevens die de verwerker namens de verwerkingsverantwoordelijke verwerkt;
Diensten: Alle diensten die de verwerker in het kader van de uitvoering van de opdracht aan de verwerkingsverantwoordelijke verleent en die de verwerking van persoonsgegevens door de verwerker met zich meebrengen;
Persoonsgegevens : Alle gegevens die kunnen worden gebruikt om
een natuurlijke persoon geïdentificeerd of identificeerbaar te maken;
Privacywetgeving: (i) de Europese verordening van 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG en/of (ii) de Belgische wet van
30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
Verdere verwerker: Xxxx verwerker die door de verwerker wordt
aangesteld overeenkomstig de overeenkomst;
Verwerking/verwerken: Elke handeling of elk geheel van handelingen met
betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, met inbegrip van, maar niet beperkt tot: het verzamelen, vastleggen, archiveren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van een mailing, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen van persoonsgegevens, alsmede het beschermen, wissen of vernietigen van persoonsgegevens.
2 GEBRUIK VAN DIENSTEN
2.1 Gelet op de verschillende taken waarvoor de verwerkingsverantwoordelijke de verwerker machtigt, zal deze laatste de persoonsgegevens namens de verwerkingsverantwoordelijke moeten verwerken overeenkomstig de ontvangen instructies (welke gegevens worden verwerkt, wie heeft toegang tot deze gegevens, enz.) en mag hij in geen geval verder gaan dan de verstrekte instructies, behalve in geval van afwijkende wettelijke verplichtingen. De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk op de hoogte
indien hij van mening is dat een van de instructies in strijd is met een bepaling inzake gegevensbescherming.
2.2 In het algemeen zal de verwerker persoonsgegevens op behoorlijke en zorgvuldige wijze verwerken, en in overeenstemming met de privacywetgeving en eventuele andere toepasselijke regelgeving met betrekking tot de verwerking van persoonsgegevens.
2.3 De verwerkingsverantwoordelijke erkent uitdrukkelijk dat de verwerker uitsluitend optreedt als facilitator van de diensten, zodat alleen de verwerkingsverantwoordelijke de aansprakelijkheid draagt voor de manier waarop hij de diensten gebruikt. De verwerkingsverantwoordelijke is als enige aansprakelijk voor de naleving van alle wet- en regelgeving, inclusief de naleving van de privacywetgeving, die van toepassing is als gevolg van het gebruik van de diensten.
3 VOORWERP
3.1 De verwerkingsverantwoordelijke erkent dat als gevolg van zijn gebruik van de diensten van de verwerker, de verwerker de persoonsgegevens zal verwerken zoals die door de verwerkingsverantwoordelijke/de verwerker namens de verwerkingsverantwoordelijke zijn verzameld.
3.2 In die hoedanigheid heeft en behoudt de verwerkingsverantwoordelijke de volledige controle over onder meer (i) de verwerking van persoonsgegevens, (ii) welke persoonsgegevens worden verzameld, (iii) het doel van de verwerking en (iv) de vraag of de verwerking evenredig is.
3.3 Daarnaast is de verwerkingsverantwoordelijke als enige verantwoordelijk voor de nakoming van alle op hem rustende (wettelijke) verplichtingen, alsmede voor de juistheid, kwaliteit en rechtmatigheid van de persoonsgegevens, die in het kader van de uitvoering van de opdracht aan de verwerker worden meegedeeld, en voor de wijze waarop hij de persoonsgegevens heeft verkregen.
3.4. Geen van de partijen kan ooit aansprakelijk worden gesteld voor een vordering van een betrokkene en/of een derde ten gevolge van een door de andere partij gepleegd misbruik. De controle en aansprakelijkheid voor persoonsgegevens die in het kader van deze overeenkomst worden verstrekt, berusten derhalve nooit bij de verwerker.
4. VEILIGHEIDSMAATREGELEN
4.1 De verwerker zal, rekening houdend met de stand van de techniek, alle redelijkerwijs passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen en de beveiliging daarvan afdoende in stand te houden – waaronder het beveiligen tegen elke vorm van onzorgvuldig, niet-deskundig, niet- bevoegd of onrechtmatig gebruik en/of verwerking en het beveiligen tegen verlies, vernietiging of beschadiging – alsmede om de vertrouwelijkheid en integriteit van de persoonsgegevens te beschermen.
4.2. De hierboven bedoelde technische en organisatorische maatregelen zijn vooraf bij de partijen bekend en worden ten minste vóór de aanvang van de opdracht tussen de partijen meegedeeld.
5. VERDERE VERWERKERS
5.1 De verwerkingsverantwoordelijke erkent en aanvaardt dat de verwerker het recht heeft om voor de uitvoering van de opdracht een beroep te doen op verdere verwerkers. In dat geval zorgt de verwerker ervoor dat de verdere verwerkers door ten minste dezelfde verplichtingen zijn gebonden als die waaraan de verwerker op grond van deze overeenkomst is gebonden.
5.2. De verwerker is aansprakelijk voor de daden en nalatigheden van zijn verdere verwerkers in dezelfde mate als wanneer hij zelf rechtstreeks de diensten had
verricht overeenkomstig de voorwaarden van deze overeenkomst.
6. FUNCTIONARIS VOOR GEGEVENSBESCHERMING
De verwerker heeft een functionaris voor gegevensbescherming (“DPO”) aangesteld in overeenstemming met artikel 37 van de AVG. Deze is bereikbaar op het volgende e-mailadres: xxxxxxxxxxx@x-xxxx.xxxxxxx.xx.
7. DOORGIFTE VAN GEGEVENS BUITEN DE EER
7.1 Voor zover mogelijk, en rekening houdend met de risico's van de doorgifte, zal de verwerker elke doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) vermijden.
7.2 Elke doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER ) aan een ontvanger die gevestigd is in een land dat niet onder het toepassingsgebied van een door de Europese Commissie uitgevaardigd adequaatheidsbesluit valt, wordt beheerst door de voorwaarden van een gegevensverwerkingsovereenkomst, die (i) de modelcontractbepalingen bevatten zoals opgenomen in het “Besluit van de Europese Commissie van 5 februari 2010 (Besluit 2010/87/EG)”, of (ii) een ander mechanisme op basis van de Privacywet en/of andere toepasselijke regelgeving met betrekking tot de verwerking van persoonsgegevens.
8. VERTROUWELIJKHEID
8.1. De verwerker waarborgt de vertrouwelijkheid van de persoonsgegevens. Daarom zal hij de persoonsgegevens niet ter beschikking stellen van derden, noch overdragen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke, behalve in het geval van afwijking door deze overeenkomst of wanneer de bekendmaking/openbaarmaking bij wet of door een rechterlijk bevel is voorgeschreven. In een dergelijk geval bespreekt de verwerker met de verwerkingsverantwoordelijke, voorafgaand aan de publicatie en/of mededeling, de reikwijdte en de wijze van publicatie/mededeling.
8.2 De verwerker garandeert dat de toegang tot persoonsgegevens beperkt is tot personeel dat verantwoordelijk is voor de uitvoering van de opdracht in overeenstemming met deze overeenkomst.
9. KENNISGEVING
De verwerker streeft ernaar de verwerkingsverantwoordelijke binnen een redelijke termijn op de hoogte te stellen wanneer hij:
✓ een verzoek om informatie, een dagvaarding of een verzoek om inspectie of controle ontvangt van een andere bevoegde overheidsinstantie, in verband met de verwerking van persoonsgegevens;
✓ voornemens is de persoonsgegevens ter beschikking te stellen van een andere bevoegde overheidsinstantie;
✓ constateert of redelijkerwijs vermoedt dat een datalek heeft plaatsgevonden met betrekking tot persoonsgegevens. In geval van een datalek verbindt de verwerker zich ertoe de verwerkingsverantwoordelijke na de ontdekking van het datalek zonder onnodige vertraging en binnen de wettelijke termijn van 72 uur op de hoogte te brengen en, voor zover mogelijk, de gegevensverantwoordelijke bijstand te verlenen in het kader van zijn meldingsplicht op grond van de privacywetgeving. Zo snel als redelijkerwijs mogelijk is, verbindt de verwerker zich ertoe passende en corrigerende maatregelen te nemen om het datalek te stoppen en om een potentieel datalek in de toekomst te voorkomen en/of te beperken.
10. RECHTEN VAN DE BETROKKENE
10.1 De verwerker verbindt zich ertoe, rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke bij te staan wanneer de betrokkene zijn rechten krachtens de privacywetgeving wenst uit te oefenen.
10.2 Voor zover de verwerkingsverantwoordelijke - in het kader van zijn gebruik van de diensten - niet in staat is persoonsgegevens te corrigeren, te wijzigen, te blokkeren of te wissen zoals vereist door de privacywetgeving, zal de verwerker gehoor geven aan een redelijk verzoek van de verwerkingsverantwoordelijke om dergelijke handelingen toe te staan.
10.3 De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis, voor zover wettelijk toegestaan, wanneer hij van een betrokkene een verzoek ontvangt om inzage, correctie, wijziging of verwijdering van diens persoonsgegevens.
10.4 De verwerker verleent de verwerkingsverantwoordelijke redelijke commerciële medewerking en bijstand bij de verwerking van een verzoek van de betrokkene om toegang tot, correctie, wijziging of wissen van zijn persoonsgegevens, voor zover dit bij wet is toegestaan en op kosten van de verwerkingsverantwoordelijke.
10.5 Indien de verwerker de persoonsgegevens van een betrokkene moet wissen – als onderdeel van de bovengenoemde bijstand – erkent de verwerkingsverantwoordelijke dat de verwerker niet aansprakelijk is indien de verwerker de persoonsgegevens van de betrokkene na het wissen opnieuw moet verwerken op grond van een overeenkomst die hij met de verwerkingsverantwoordelijke heeft gesloten.
11. VERWIJDERING OF TERUGGAVE VAN GEGEVENS
11.1 Na het einde van de opdracht en/of in geval van beëindiging van de overeenkomst, zal de verwerker de verwerkingsverantwoordelijke op de hoogte brengen van het feit dat hij de mogelijkheid heeft, gedurende de periode zoals meegedeeld in de voormelde kennisgeving, om de persoonsgegevens te exporteren door middel van de beschikbare exporttools.
11.2 Na het verstrijken van de voornoemde exporttermijn zal de verwerker de persoonsgegevens definitief wissen of anonimiseren.
12. CONTROLE
12.1 De verwerker zal alle informatie beschikbaar stellen die nodig is om de verwerkingsverantwoordelijke in staat te stellen te controleren of de verwerker de bepalingen van de overeenkomst naleeft.
12.2 In dit verband moet de verwerker de verwerkingsverantwoordelijke (of een door hem ingeschakelde derde) ook toestaan een jaarlijkse controle – zoals een audit – uit te voeren en voor de daartoe vereiste medewerking te zorgen. De verwerkingsverantwoordelijke verbindt zich ertoe alle kosten in
verband met dergelijke inspecties – zoals audits – te dragen, met inbegrip van de door de verwerker gemaakte kosten.
13. DUUR
13.1 Deze overeenkomst geldt voor de duur van de opdracht en kan niet voor het einde van de opdracht worden beëindigd.
13.2 De bepalingen van deze overeenkomst blijven van toepassing voor zover dit nodig is voor de werking van deze overeenkomst en voor zover zij bedoeld zijn om na de beëindiging van deze overeenkomst van kracht te blijven.
14. SLOTBEPALINGEN
14.1 De eventuele ongeldigheid van één of meer bepalingen van deze overeenkomst of een gedeelte daarvan heeft geen invloed op de geldigheid en de afdwingbaarheid van de overige bepalingen en/of de rest van de desbetreffende bepaling. Indien een of meer bepalingen ongeldig zijn, onderhandelen de partijen over de vervanging van de ongeldige bepaling door een gelijkwaardige bepaling die beantwoordt aan de geest van die bepaling. Indien de partijen er niet in slagen tot overeenstemming te komen, kan de bevoegde rechter de ongeldige bepaling matigen voor zover dat (wettelijk) is toegestaan.
14.2 Afwijkingen, wijzigingen en/of aanvullingen op deze overeenkomst zijn slechts geldig en bindend indien zij door beide partijen zijn aanvaard.
14.3 Deze overeenkomst en de rechten en verplichtingen van de partijen op grond van deze overeenkomst zijn, direct noch indirect, overdraagbaar zonder voorafgaande schriftelijke toestemming van de andere partij.
14.4 De eventuele of zelfs herhaalde niet-toepassing van een recht door de partijen kan slechts worden beschouwd als tolerantie van een bepaalde situatie en leidt niet tot verval van rechten.
15. TOEPASSELIJK RECHT EN JURISDICTIE
15.1 Alle discussies, vragen en geschillen betreffende de geldigheid, interpretatie, naleving, uitvoering en/of beëindiging van deze overeenkomst worden beheerst door en geïnterpreteerd volgens het Belgische recht.
15.2 Alle geschillen en moeilijkheden die in verband met de uitvoering van deze overeenkomst kunnen rijzen, vallen onder de uitsluitende bevoegdheid van de rechtbanken van het arrondissement waar de verwerker zijn maatschappelijke zetel heeft.
******
Opgesteld te , op / / in twee (2) exemplaren, waarbij elk van de partijen de ontvangst bevestigt van een door beide partijen ondertekend exemplaar.
DE VERWERKER DE VERWERKINGSVERANTWOORDELIJKE
GIAL / i-City VZW
Vertegenwoordigd door
Mevrouw Xxxx-Xxxxx Xxxxxxx, gedelegeerde voor het dagelijks beheer
Op / /
De Stad Brussel vertegenwoordigd door
[functie]
[datum]