contract voor de verwerking van Persoonsgegevens

Verwerkersovereenkomst

bij beheer door de Verwerker

contract voor de verwerking van Persoonsgegevens

TUSSEN (naam, adres, ondernemingsnummer en vertegenwoordiger)

hierna “de Verwerkingsverantwoordelijke” genoemd, enerzijds

met als functionaris voor gegevensbescherming:

contactgegevens van de functionaris voor gegevensbescherming:

EN Het Vlaams Gewest, vertegenwoordigd door haar regering bij delegatie in de persoon van xx. Xxxxx Xxxxxxxxxxxxxxxxx, Administrateur-Generaal van het Agentschap Wegen en Verkeer (AWV), Xxxxxx Xxxxxx XX-xxxx 00 xxx 0, 0000 Xxxxxxx, hierna genoemd “ Het Vlaams Gewest”

hierna “de Verwerker” genoemd, anderzijds

met als functionaris voor gegevensbescherming: Xxxxx Xxxxxxxx

contactgegevens van de functionaris voor gegevensbescherming: xxx.xxxxxxx@xxxxxxxxxxxxxx.xx

hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen”

Overwegen het volgende:

1. Partijen hebben op <datum> de <titel basisovereenkomst>, hierna Opdracht, afgesloten, op grond waarvan de Verwerker de volgende dienst levert aan de Verwerkingsverantwoordelijke: <specificatie dienst>.

2. De dienst behelst ofwel:

   1. het leveren van toegang tot een product, website of andere waarbij de Verwerker alle controle over het platform behoudt en de Verwerkingsverantwoordelijke enkel als gebruiker optreedt. De dienst kan geleverd worden in een On Premises- of Cloud-omgeving.

   2. het uitvoeren van een opdracht waarbij de Verwerker instaat voor het verzamelen, beheer en gebruik van gegevens verkregen van natuurlijke personen.

3. Deze basisovereenkomst leidt ertoe dat Verwerker in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

4. Op de verwerking van de Persoonsgegevens door de Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Privacywet van 30 juli 2018 van toepassing;

5. Partijen wensen, mede gelet op het bepaalde in artikel 28 §3 van de AVG, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Komen het volgende overeen:

Artikel 1: Definities

1. Begrippen uit de AVG en de Privacywet van 30 juli 2018 die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.

2. Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die deel uitmaken van deze Verwerkersovereenkomst.

3. Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt of kan leiden tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

4. Subverwerker: een andere Verwerker die door Verwerker wordt ingeschakeld ten behoeve van de Verwerking van Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de basisovereenkomst

5. Verwerkersovereenkomst: Deze overeenkomst

6. Wetgeving Gegevensbescherming: de Algemene Verordening Gegevensbescherming, andere Europese regelgeving waarin bepalingen met betrekking tot gegevensbescherming en privacy worden opgenomen, evenals de toepasselijke nationale wetgeving inzake gegevensbescherming en privacy in de lidstaten met haar wijzigingen en uitvoeringsbesluiten, met inbegrip van voor de sector toepasselijke goedgekeurde gedragscodes.

Artikel 2: Onderwerp en verhouding met de basisovereenkomst

1. De Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. De opdracht wordt nader omschreven in Bijlage 2.

2. Deze Verwerkersovereenkomst maakt integraal deel uit van de Basisovereenkomst gesloten tussen de Verwerkingsverantwoordelijke en de Verwerker. De bepalingen uit deze Verwerkersovereenkomst zijn onverkort van toepassing op alle verwerkingen van Persoonsgegevens die de Verwerker verricht in het kader van de uitvoering van de verwerkingen opgenomen in Bijlage 2..

3. De bepalingen uit deze Verwerkersovereenkomst, met inbegrip van de bijlagen, gaan voor op de eventueel andersluidende bepalingen inzake gegevensbescherming en -verwerking en vertrouwelijkheid van gegevens in de Basisovereenkomst en vervangen deze.

Artikel 3: Ingangsdatum en duur

1. Deze Verwerkersovereenkomst gaat in op dezelfde startdatum als de Opdracht.

2. De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Opdracht, of zolang nog niet is voldaan aan de bepalingen van artikel 15 van de Verwerkersovereenkomst (“Einde van de overeenkomst”).

Artikel 4: Rolverdeling

1. Partijen zullen bij de Verwerking van Persoonsgegevens in kader van deze overeenkomst handelen in overeenstemming met de toepasselijke wet- en regelgeving. Partijen verstrekken elkaar alle benodigde informatie teneinde een goede naleving van de relevante wetgeving gegevensbescherming mogelijk te maken.

2. Verwerker zal de Verwerkingsverantwoordelijke bijstaan om aan alle wettelijke verplichtingen inzake gegevensbescherming te voldoen.

3. Indien de Verwerker in strijd met de wetgeving gegevensbescherming de doeleinden en middelen van de verwerking bepaalt, wordt de Verwerker onverminderd de artikelen 82, 83 en 84, AVG met betrekking tot die verwerking als de Verwerkingsverantwoordelijke beschouwd.

Artikel 5: Gebruik Persoonsgegevens

1. Alleen de Persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de Opdracht mogen door de Verwerker worden verwerkt. De Verwerkingsverantwoordelijke stelt de Persoonsgegevens onverwijld ter beschikking van de Verwerker voor de verwerking ervan in het kader van de Opdracht.

2. De te verwerken categorieën van persoonsgegevens, alsook de categorieën van betrokkenen, de uit te voeren verwerking, doel van de verwerking en plaats van de verwerking worden in Bijlage 2 opgelijst.

3. De Verwerker verwerkt de Gegevens alleen binnen de Europese Economische Ruimte, tenzij hierover met de Verwerkingsverantwoordelijke andere afspraken zijn gemaakt. Deze afspraken leggen de Partijen gezamenlijk schriftelijk vast.

4. De Partijen zien erop toe dat voor zover Persoonsgegevens buiten de EER worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op de beide Partijen rusten. Indien gegevens buiten de EER worden verwerkt, wordt dit in Bijlage 2 aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt en de waarborgen.

5. Het derde en vierde lid zijn niet van toepassing wanneer een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

6. De Verwerker en al wie onder zijn verantwoordelijkheid of gezag handelt en toegang heeft tot de Persoonsgegevens, verwerkt de Persoonsgegevens uitsluitend volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke zoals opgenomen in Bijlage 2. De Verwerker treft maatregelen om dit te waarborgen.

Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan. Indien Verwerker meent dat een gegevensverwerking, in strijd is met de AVG, licht hij Verwerkingsverantwoordelijke hierover onverwijld in.

7. Indien de schriftelijke instructies niet duidelijk zijn of indien naar de mening van de Verwerker een instructie inbreuk oplevert op de wetgeving gegevensbescherming, meldt de Verwerker dit schriftelijk aan de Verwerkingsverantwoordelijke waarop in onderling overleg de instructies worden verduidelijkt.

8. Persoonsgegevens die, in het kader van de Opdracht die door meerdere Partijen waaronder de Verwerker wordt uitgevoerd, door de Verwerker moeten worden meegedeeld aan één of meerdere andere Partijen, mogen alleen na een schriftelijke toestemming van de Verwerkingsverantwoordelijke daartoe, aan die andere Partij(en) worden meegedeeld.

Artikel 6: Bewaartermijnen en vernietiging Persoonsgegevens

1. De Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig de bewaartermijnen die in Bijlage 2 opgenomen zijn.

2. De Verwerker is verplicht om de in opdracht van de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens na het verstrijken van de bewaartermijn of bij de beëindiging van de basisovereenkomst te (doen) vernietigen en dit op alle locaties, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van wettelijke verplichtingen. In het geval van verdere bewaring, worden de gegevens door de Verwerker in machine-leesbaar formaat overgedragen aan de Verwerkingsverantwoordelijke, met zo weinig mogelijk verlies van gegevens en dit met het oog op continuïteit binnen de entiteit. Hiervoor worden onderlinge afspraken gemaakt.
   Deze acties gebeuren binnen een overeengekomen, redelijke termijn.

3. De Verwerker zal de Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft plaatsgevonden.

Artikel 7: Beveiliging en vertrouwelijkheid

1. De Partijen verbinden, waar vereist, zich ertoe om alle huidige en toekomstige op de verwerking van Persoonsgegevens van toepassing zijnde wet- en regelgeving na te leven, waar van toepassing, én van deze naleving het bewijs te leveren.

2. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de Verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treft de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. (de referentiemaatregelen en minimale normen waarnaar verwezen wordt in punten Bijlage 3 gelden als minimum)

3. De door de Verwerker genomen maatregelen worden vermeld in Bijlage 3 alwaar de van toepassing zijnde regelgeving ook wordt vermeld alsook het al dan niet verplichte karakter van een maatregel.

Indien de Verwerker niet voldoet aan een verplichte maatregel dient hij te rechtvaardigen hoe dit tekort gecompenseerd wordt.

4. De Verwerker zal zich richten naar de normen van goedgekeurde gedragscodes en certificeringsmechanismen zoals die gelden binnen de relevante sector.

Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40, AVG of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42, AVG kan worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in artikel 28, AVG worden geboden.

5. Wanneer de Verwerker ISO 270xx gecertificeerd is, mag dit gezien worden als pluspunt maar het certificaat kan niet in de plaats van deze Verwerkersovereenkomst, of delen daarvan, gesteld worden.

De Verwerker voegt certificaten of andere stukken als bewijs daarvan als bijlage bij deze Verwerkersovereenkomst.

6. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de Verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Xxxxxxxx, hetzij per ongeluk hetzij onrechtmatig.

7. De Verwerker mag niets beslissen over de Persoonsgegevens die hij heeft ontvangen voor de uitvoering van de Opdracht. Zo neemt hij geen beslissingen over de ontvangst en het gebruik van deze gegevens, de verstrekking aan derden en de duur van de opslag van gegevens.

8. Onder voorbehoud van uitzonderingen die het zakengeheim rechtvaardigen, geeft de Verwerker de Verwerkingsverantwoordelijke in Bijlage 3 kennis van alle veiligheidsmaatregelen die hij neemt om de wettelijke bepalingen na te komen.

Indien de Verwerker niet voldoet aan een verplichte maatregel dient hij te rechtvaardigen hoe dit tekort gecompenseerd wordt.

9. De Verwerker rapporteert op eigen initiatief aan de Verwerkingsverantwoordelijke de wijzigingen die aan de maatregelen, zoals uiteengezet in Bijlage 3, worden doorgevoerd en dit binnen een termijn van veertien dagen na het aanbrengen van de wijzigingen.

10. De Verwerker zal ervoor zorgen dat de plaatsen waar de Persoonsgegevens worden Verwerkt niet toegankelijk zijn voor onbevoegden. Daartoe zal zij onder meer de nodige organisatorische en technische maatregelen nemen. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd door de Verwerker. De Verwerker stelt een procedure op om een eventuele inbreuk af te handelen, met inbegrip van informatie aan de Verwerkingsverantwoordelijke.

11. De Verwerker verbindt zich ertoe de noodzakelijke software en uitrustingen te verwerven, te onderhouden en regelmatig bij te werken – evenals de licenties die vereist zijn voor hun wettelijk gebruik – opdat hij beschikt over een systeem dat conform is aan de laatste stand van de techniek teneinde zijn verbintenissen krachtens dit contract na te komen.

12. Als de Verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling, of een audit wil uitvoeren en de hulp van de Verwerker daarbij nodig heeft, dan maken Partijen daarover afspraken.

13. Het is de Verwerker toegelaten om in het kader van de Opdracht een kopie van de Gegevens te maken als dit noodzakelijk is voor het uitvoeren van de Opdracht. De Verwerker kan ook overgaan tot het nemen van een back-up. Voor het gebruik van kopieën en back-ups gelden dezelfde regels als voor het gebruik van de originele Gegevens.

14. De Verwerker bezorgt de Verwerkingsverantwoordelijke, telkens wanneer die erom verzoekt, een kopie van de Gegevens die in het kader van dit contract worden verwerkt in een onderling te bepalen formaat.

Artikel 8: Onderaanneming

1. De Verwerker neemt geen andere Verwerker (“Subverwerker”) in dienst zonder voorafgaande algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. Wanneer deze toestemming gegeven is, licht de Verwerker de Verwerkingsverantwoordelijke in over alle beoogde veranderingen inzake de toevoeging of vervanging van andere Verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

2. De Verwerker houdt een actueel overzicht bij van de overeenkomsten met Subverwerker en kan deze binnen redelijke termijn op eenvoudig verzoek bezorgen aan de Verwerkingsverantwoordelijke.

3. Wanneer een Verwerker een Subverwerker in dienst neemt om voor rekening van de Verwerkingsverantwoordelijke specifieke Verwerkingsactiviteiten te verrichten, worden aan deze Subverwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze Verwerkersovereenkomst en de AVG voldoet.

4. Wanneer de Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van de Subverwerker.

5. Extern ingehuurde medewerkers worden voor deze Verwerkersovereenkomst niet als Subverwerker beschouwd. De Verwerker zal er op toezien dat deze extern ingehuurde medewerkers dezelfde vertrouwelijkheidsclausule naleven zoals dit voor de eigen werknemers van de Verwerker het geval is.

Artikel 9: Verantwoordelijkheden en waarborgen

1. De Verwerkingsverantwoordelijke verzekert dat alle Persoonsgegevens die hij in het kader van deze Verwerkersovereenkomst aan de Verwerker bezorgt aan de Verwerker mogen worden meegedeeld conform de wetgeving Gegevensbescherming.

2. De Verwerker verbindt zich ertoe niet te handelen, en zal ook niemand toelaten te handelen, op een manier die strijdig is met de verbintenissen die in deze Verwerkersovereenkomst worden bepaald of die strijdig is met de toepasselijke wetgeving;

3. De Verwerker waarborgt, voor zover dit technisch mogelijk is, de integriteit, de beschikbaarheid en het bijwerken van alle Persoonsgegevens die hij in het kader van deze Verwerkersovereenkomst verwerkt.

4. De Verwerker verzekert dat geen enkele uitrusting of software die hij in het kader van dit contract gebruikt een inbreuk uitmaakt op het intellectuele eigendomsrecht van een derde (zoals het auteursrecht, octrooi, recht sui generis, merk, …).

Artikel 10: Bijstand

1. Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie verleent de ververwerker de Verwerkingsverantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36.

2. De tijd en middelen die de Verwerker spendeert voor het verlenen van de bijstand eigen aan de verantwoordelijkheden van de Verwerker, zijn voor eigen rekening van de Verwerker.

3. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van de Verwerker ingevolge dit contract aan te tonen. De Verwerker maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk en draagt eraan bij.

Daartoe heeft deze het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de Verwerking uitvoert. De Verwerkingsverantwoordelijke zal de Verwerker minstens tien dagen voorafgaand aan het uitvoeren van de controle schriftelijk inlichten.

Artikel 11: Incidenten en inbreuken

1. De Verwerker licht de Verwerkingsverantwoordelijke omstandig en onmiddellijk in over een (vermoedelijke) inbreuk in verband met Persoonsgegevens alsook over iedere datalek (ook bij de Subverwerker) zodra de Verwerker hiervan kennis heeft genomen.

De melding gebeurt op een dergelijke wijze dat de Verwerkingsverantwoordelijke tijdig kan voldoen aan haar verplichtingen onder de Wetgeving Gegevensbescherming.

Voor de melding gebruikt de Verwerker het meldingsformulier in Bijlage 4.

2. De Verwerker verstrekt ingeval van een Inbreuk in verband met Persoonsgegevens alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot deze Inbreuk, waaronder de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en Persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en aantal Persoonsgegevens in kwestie; de waarschijnlijke gevolgen van de inbreuk in verband met Persoonsgegevens; de maatregelen die de Verwerker heeft voorgesteld of genomen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

3. De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade te voorkomen of te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig of nodig acht, verschaffen.

4. De Verwerker levert tevens bijstand in het onderzoek naar en de beperking en remediëring van een inbreuk in verband met een verwerking van Persoonsgegevens. Daarbij zal hij onder meer ook bijstand verlenen met het oog op het documenteren van maatregelen zoals gegevensbescherming door ontwerp en door standaardinstellingen.

5. De Verwerker heeft een gedegen plan van aanpak over de omgang met en de afhandeling van Inbreuken en zal de Verwerkingsverantwoordelijke, op zijn verzoek, dat plan laten zien.

6. De Verwerker heeft een gedetailleerd logboek van alle Inbreuken en de maatregelen die op Inbreuken zijn genomen. De Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.

7. De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis van enige gemaakte klacht, beschuldiging of aanvraag (ook indien afkomstig van een toezichthoudende autoriteit) met betrekking tot de verwerking van Persoonsgegevens door de Verwerker. De Verwerker biedt alle nodige medewerking en ondersteuning die de Verwerkingsverantwoordelijke redelijkerwijze kan verwachten met betrekking tot dergelijke klacht, beschuldiging of aanvraag, onder meer door volledige informatie te verstrekken over dergelijke klacht, beschuldiging of aanvraag samen met een kopie van de Persoonsgegevens betreffende de betrokkene in het bezit van de Verwerker.

Artikel 12: Rechten van de betrokkene

1. Rekening houdend met de aard van de verwerking, verleent de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen bijstand bij het vervullen van de plicht van de Verwerkingsverantwoordelijke om verzoeken tot uitoefening van de rechten van de betrokkene, zoals bepaald in de AVG, te beantwoorden.

2. De tijd en middelen die de Verwerker spendeert voor het verlenen van de bijstand binnen de verantwoordelijkheden eigen aan de Verwerker, zijn voor eigen rekening van de Verwerker.

3. Indien een Betrokkene (of een Derde handelend voor rekening van een Betrokkene) zich rechtstreeks wendt tot de Verwerker om zich te beroepen op één van de rechten die hem ingevolge hoofdstuk III van de AVG zijn toegekend, zal de Verwerker dit onverwijld melden aan de Verwerkingsverantwoordelijke.

4. De Verwerker beantwoordt de verzoeken en aanvragen van de betrokkenen niet zelf, behoudens eventuele andersluidende schriftelijke afspraken tussen de Verwerkingsverantwoordelijke en de Verwerker.

Artikel 13: Aansprakelijkheid

1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. De in dit artikel geregelde aansprakelijkheid heeft uitsluitend betrekking op de aansprakelijkheid ten gevolge van een inbreuk op de Wetgeving Gegevensbescherming en op deze Verwerkersovereenkomst.

2. De Verwerker is slechts aansprakelijk voor de schade die door de Verwerking is veroorzaakt wanneer bij de Verwerking niet is voldaan aan de specifiek tot Verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke is gehandeld. De Verwerkingsverantwoordelijke of de Verwerker kan vrijgesteld worden van deze aansprakelijkheid indien ze bewijst dat ze op geen enkele wijze verantwoordelijk is voor het schadeveroorzakend feit.

3. De aansprakelijkheid van de Verwerker is verder beperkt zoals voorzien in de Basisovereenkomst, zonder evenwel afbreuk te doen aan art 82 van de AVG.

4. Wanneer een Verwerkingsverantwoordelijke of Verwerker de schade geheel heeft vergoed, kan deze Verwerkingsverantwoordelijke of Verwerker op andere Verwerkingsverantwoordelijken of Verwerkers die bij de Verwerking waren betrokken, het deel van de schade verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in punten 13.2 en 13.3 gestelde voorwaarden.

5. De Partijen dragen zorg voor een afdoende dekking van hun aansprakelijkheid.

Artikel 14: Tegenstrijdigheid en wijziging Verwerkersovereenkomst

1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de basisovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.

2. In het geval enige bepaling van deze Verwerkersovereenkomst in strijd is met de regelgeving, en bij gevolg vernietigbaar is, dan blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om deze bepaling(en) te vervangen door een bepaling die zo goed mogelijk de initiële bedoeling van de Partijen weergeeft en die in overeenstemming is met de regelgeving. De vervanging gebeurt met instemming van beide Partijen.

3. Indien de Partijen in onderlinge overeenstemming aanpassingen aan deze Verwerkings-overeenkomst wensen, worden die aanpassingen – in zoverre zij in overeenstemming zijn met de Wetgeving Gegevensbescherming en onder de contractuele vrijheid van de Partijen vallen – onder opgave van de reden geregistreerd in Bijlage 1 bij dit contract.

Wijzigingen bij Bijlage 1 zijn enkel geldig indien ze door beide Partijen zijn ondertekend en gedateerd.

Artikel 15: Einde van de overeenkomst

1. Deze Verwerkersovereenkomst eindigt van rechtswege wanneer de Basisovereenkomst een einde neemt.

2. Ingeval de Basisovereenkomst een einde neemt, blijven de bepalingen van deze Verwerkersovereenkomst evenwel gelden voor zover nodig voor de afwikkeling van de verplichtingen conform de AVG of die uit hun aard worden geacht ook na beëindiging voort te duren.

3. De vertrouwelijkheidsverbintenissen die door dit contract ontstaan, duren voort gedurende een termijn van 99 jaar na het verstrijken van dit contract.

4. Indien de Verwerker de verplichtingen uit deze Verwerkersovereenkomst niet correct vervult en nalaat passende maatregelen te treffen binnen een termijn van maximaal twee maanden, kan de Verwerkingsverantwoordelijke – onverminderd andere beëindigingsgronden zoals voorzien in de Basisovereenkomst – de Basisovereenkomst na voormelde termijn van twee maanden onmiddellijk verbreken en/of de Verwerkingsopdracht stopzetten.

5. Wanneer deze Verwerkersovereenkomst een einde neemt, bezorgt de Verwerker aan de Verwerkingsverantwoordelijke of aan al wie de Verwerkingsverantwoordelijke aanstelt een actuele kopie van de Persoonsgegevens en van de databank(en) met de Persoonsgegevens die het resultaat zijn van de verwerking waarmee de Verwerker werd belast in een gestructureerd, gangbaar en machineleesbaar formaat. Hij bezorgt de Verwerkingsverantwoordelijke ook gelijk welke informatie of documenten die nodig zijn voor de latere verwerking van de Persoonsgegevens. Deze overdrachten gebeuren zonder extra kosten en op een wijze die de Verwerkingsverantwoordelijke bepaalt. De Verwerker zal zorgen dat alle Persoonsgegevens en databanken in het formaat dat door de Verwerkingsverantwoordelijke wordt bepaald, worden doorgegeven naar het informaticasysteem dat door de Verwerkingsverantwoordelijke wordt aangewezen.

6. Als alle Persoonsgegevens en databases zijn doorgegeven, stelt de Verwerker onmiddellijk een einde aan elke verwerking van de Persoonsgegevens en vernietigt hij elke kopie en back-up (zie punt 5.i) van de Persoonsgegevens en databases die hij nog zou bezitten zonder extra kosten voor de Verwerkingsverantwoordelijke en op een wijze die de Verwerkingsverantwoordelijke bepaalt, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.

Artikel 16: Overige

1. Alle rechten van intellectuele eigendom op de Persoonsgegevens en op de databanken met deze Persoonsgegevens behoren toe aan de Verwerkingsverantwoordelijke, tenzij dit anders overeengekomen wordt tussen de Partijen.

2. Deze Verwerkersovereenkomst is onderworpen aan het Belgisch recht. Alle geschillen in verband met deze Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het gerechtelijk arrondissement waar de Verwerkingsverantwoordelijke gevestigd is.

3. Alle rechten en verplichtingen uit de Basisovereenkomst, waaronder begrepen de van toepassing zijnde algemene voorwaarden, zijn voor het overige aanvullend van toepassing op de verwerking van de Persoonsgegevens.

Gedaan te __________________ op __________________ in evenveel exemplaren als er Partijen zijn, waarbij elke Partij verklaart haar exemplaar te hebben ontvangen.

Naam vertegenwoordiger Xx. Xxxxx Xxxxxxxxxxxxxxxxx

Functie Administrateur-generaal

Voor de Verwerkingsverantwoordelijke Voor de Verwerker

Bijlage 1: aanpassingen aan de Verwerkersovereenkomst bij contractuele vrijheid van de Partijen

Bijlage 2: de Verwerkingsopdracht en -instructies zoals bepaald door de Verwerkingsverantwoordelijke

Bijlage 3: Technische en Organisatorische maatregelen in het kader van de AVG

Bijlage 4: Modelformulier melding datalekken

Bijlage 5: Voorbeeld vertrouwelijkheidscontract personeel Verwerker

Bijlage 6: Versiegeschiedenis

Bijlage 1 – Aanpassingen aan de Verwerkersovereenkomst bij contractuele vrijheid van de partijen

Deze Verwerkersovereenkomst bevat een standaard tekst die uitvoering geeft aan de verplichtingen uit de Wetgeving Gegevensbescherming. Bepaalde aspecten vallen (binnen bepaalde limieten) onder de contractuele vrijheid van de partijen.

Indien de Partijen bepaalde aspecten anders of specifieker wensen te regelen of bepaalde zaken wensen toe te voegen, worden zij in deze bijlage expliciet bepaald.

Tot de contractuele vrijheid kunnen bijvoorbeeld behoren:

• de termijnen waarbinnen de Verwerker de Verwerkingsverantwoordelijke moet inlichten of bijstand moet verlenen (maar in ieder geval binnen de termijn waarbinnen de Verwerkingsverantwoordelijke zelf aan de toezichthoudende overheid of de betrokkene dient te melden);

• specificatie of met een specifieke dan wel algemene toestemming wordt gewerkt voor de Subverwerker(s);

• …

De wijzigingen in deze Bijlage zijn enkel geldig en afdwingbaar indien deze Bijlage door beide partijen is ondertekend en gedagtekend.

Artikel Tekst die (eventueel) vervalt Vervangende of toegevoegde tekst Reden

Aldus overeengekomen en in tweevoud opgemaakt te ………………………………………….. op …………………………………….. .

Vertegenwoordiger Xx. Xxxxx Xxxxxxxxxxxxxxxxx

Functie Administrateur-generaal

[De Verwerkingsverantwoordelijke] Agentschap Wegen en Verkeer

Bijlage 2 - De Verwerkingsopdracht- en instructies zoals bepaald door de Verwerkingsverantwoordelijke

Begeleidende nota

In deze Bijlage worden de specifieke verwerkingen door de Verwerker beschreven waartoe de Verwerkingsverantwoordelijke opdracht geeft op het ogenblik van het sluiten van de Basisovereenkomst dan wel bij ondertekening van bijlage 1.

De standaard in deze bijlage opgenomen instructies hebben enkel als doel te dienen ter inspiratie voor het formuleren van de specifiek tot deze opdracht behorende instructies.

Zij hebben geen ander doel en dienen zeker niet als definitief of limitatief aanzien te worden.

Wijzigingen en/of aanvullingen van deze Bijlage 2 gebeuren telkens via een afzonderlijk document dat als annex bij deze Bijlage 2 wordt gevoegd (Annex 1 bij Bijlage 2; Annex 2 bij Bijlage 2, enz.), dat wordt gehandtekend en gedateerd, en waaruit de expliciete en schriftelijke instructie en/of instemming van de Verwerkingsverantwoordelijke blijkt.

I. Het doel van de verwerking van persoonsgegevens

De verwerking van Persoonsgegevens door de Verwerker gebeurt in het kader van de uitvoering van de Basisovereenkomst inzake het ter beschikking stellen van het Dossierbeheersysteem onteigeningen.

Beschrijving van de diensten onder de Basisovereenkomst en van de aard en het doel van de verwerking van persoonsgegevens in het kader van de diensten:

Doel: door gebruik te maken van het Dossierbeheersysteem onteigeningen kan de onteigenende instantie:

• een onteigeningsdossier administratief opmaken en opvolgen volgens de wettelijke procedure (indien gebruik gemaakt wordt van het uitgebreid dossierbeheersysteem)

• kadastrale informatie opvragen (inclusief eigenaarsgegevens)

• digitaal communiceren met de burger via het uitwisselingsplatform

II. De categorieën van persoonsgegevens die de Verwerkingsverantwoordelijke laat verwerken door de Verwerker (aanduiden wat van toepassing is en zo nodig aanvullen) :

Identificatiegegevens Financiële bijzonderheden Persoonlijke kenmerken Fysieke gegevens Leefgewoonten Psychische gegevens Samenstelling van het gezin Vrijetijdsbesteding en interesses Lidmaatschappen Gerechtelijke gegevens betreffende… Consumptiegewoonten Contactgegevens onteigende Woningkenmerken Kadastrale info Zakelijk recht (+ aandeel) Plannummer + innemingsnummer Gegevens authentieke akte

Medische gegevens betreffende… Opleiding en vorming Beroep en betrekking Rijksregisternummer Raciale of etnische gegevens Gegevens over het seksuele leven Politieke opvattingen Lidmaatschap van een vakvereniging Filosofische of religieuze overtuigingen Beeldopnamen Geluidsopnamen

• Gegevens over het gebruik door de Verwerkingsverantwoordelijke van de diensten en bijhorende producten van de Verwerker

III. De categorieën van betrokkenen van wie de persoonsgegevens verwerkt worden:

• burgers (o.a. eigenaars, houders van zakelijk recht, houders van persoonlijke rechten, indieners van een bezwaarschrift)

• wettelijke vertegenwoordigers van onteigende ondernemingen

• medewerkers van de Verwerkingsverantwoordelijke

• medewerkers van andere entiteiten van de Vlaamse Overheid, andere overheden of steden, gemeenten of provincies

• onderhandelaars en akteverlijders van de onteigenende partij

IV. De verwerking van de persoonsgegevens:

De Verwerkingsverantwoordelijke geeft hierbij de volgende instructies tot verwerking van de persoonsgegevens (onverminderd de instructies die rechtstreeks voortvloeien uit de bepalingen van de Basisovereenkomst of deze Bijlage of die redelijkerwijs vereist zijn voor de juiste uitvoering door de Verwerker van zijn verplichtingen):

• Persoonsgegevens raadplegen

Het gaat om diensten van de Verwerker waarbij de persoonsgegevens van de Verwerkingsverantwoordelijke bekeken kunnen worden door medewerkers of Onderaannemers van de Verwerker, waaronder maar niet beperkt tot, servicedesk Diensten, (remote) monitoring Diensten, system management Diensten, technisch applicatie management, vulnerability scanning Diensten, rapporting Diensten in governance en software asset management Diensten

• Persoonsgegevens opslag

Het gaat om diensten van de Verwerker waarbij de persoonsgegevens van de Verwerkingsverantwoordelijke opgeslagen worden in een door de Verwerker geleverd opslagsysteem zoals onder meer maar niet beperkt tot cloud storage Diensten, cloud backup Diensten, file Diensten, directory Diensten, managed file transfer, mail & calendaring and logfile processing.

• Persoonsgegevens doorzenden

Het betreft diensten van de Verwerker waarbij persoonsgegevens van de Verwerkingsverantwoordelijke verzonden worden van, naar of tussen applicaties op een door de Verwerker beheerd platform zoals onder meer maar niet beperkt tot LAN Diensten, Wide Area Network Diensten, data center interconnectiviteitsdiensten, Loadbalancing, SAN switch interconnects en Diensten die geleverd worden over de Voice over Internet Protocol (VoIP).

• Software testen

Het gaat om diensten van de Verwerker waarbij databanken van de Verwerkingsverantwoordelijke die persoonsgegevens bevatten (persoonsgegevens die niet geanonimiseerd zijn), worden gebruikt buiten de productie omgeving (in test, acceptatie,…) als onderdeel van het testproces van de software applicatie.

• Support

Het betreft hier de ondersteuning van de onteigenende instanties bij allerhande vragen en problemen, waarbij raadpleging van de onder punt II vermelde categorieën van persoonsgegevens mogelijk zijn. Deze gegevens worden hierbij niet systematisch opgeslagen, verzameld, gewijzigd of gewist.

V. De bewaartermijnen van de (verschillende categorieën) persoonsgegevens:

De Verwerker bewaart de verwerkte persoonsgegevens op adequaat beveiligde wijze gedurende de periode die nodig is voor het uitvoeren van de schriftelijke instructies van de Verwerkingsverantwoordelijke, en voor alle categorieën van persoonsgegevens gedurende een periode van 30 jaar.

VI. Plaats van verwerking:

De Verwerker verwerkt de Gegevens alleen binnen de Europese Economische Ruimte.

VII. Gebruik van subverwerkers:

De Verwerker neemt geen andere Verwerker (“Subverwerker”) in dienst zonder voorafgaande algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. Wanneer deze toestemming gegeven is, licht de Verwerker de Verwerkingsverantwoordelijke in over alle beoogde veranderingen inzake de toevoeging of vervanging van andere Verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

Dit zijn de Subverwerkers zoals deze aan het begin van de opdracht gekend zijn:

• AWS voor dossierbeheersysteem van alle categorieën van gegevens.

VIII. De functionaris voor gegevensbescherming of andere verantwoordelijke contactpersonen voor gegevensbescherming en -verwerking (vul aan) :

Voor de Verwerkingsverantwoordelijke

Naam:

Contactgegevens:

Voor de Verwerker

Naam: Xxxxx Xxxxxxxx

Contactgegevens:xxx.xxxxxxx@xxxxxxxxxxxxxx.xx

BIJLAGE 3 - Technische en Organisatorische maatregelen in het kader van de AVG

1. Van toepassing zijnde regelgeving

1. de AVG;

2. de Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens van 30 juli 2018 (Kaderwet aka nieuwe privacywet)¹

3. de Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens die door de Gegevensbeschermingsautoriteit worden opgelegd;²

4. de Minimale normen informatieveiligheid en privacy³ voor sociale zekerheidsinstellingen die toegang willen bekomen en behouden tot het netwerk van de Kruispuntbank;

5. de Algemene Referentiemaatregelen Veiligheid⁴ die door de Vlaamse Toezichtcommissie worden opgelegd,

6. de bepalingen van de Wet tot regeling van een Rijksregister van de natuurlijke personen van 8 augustus 1983.⁵

2. Bepalingen art 32 AVG

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de Verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de Verwerkingsverantwoordelijke en de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De Verwerker is eraan gehouden om maatregelen te treffen die onder meer het volgende omvatten:

• de pseudonimisering en versleuteling van persoonsgegevens

• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Verwerkingssystemen en diensten te garanderen

• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen

• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking

3. Technische en organisatorische maatregelen betreffende het platform waar de Verwerkingsverantwoordelijke mee werkt

Onderstaande lijst is op te vatten als een afchecklijst. Gevraagd wordt dat de Verwerker aangeeft in de tweede kolom – door aan te vinken - of deze maatregelen al dan niet worden genomen.

Indien in de derde kolom de maatregel als verplicht wordt aangegeven en de maatregel is niet aanwezig, dient de Verwerker in de vierde kolom de reden hiervoor te verantwoorden.

	Aanwezig	Verplicht
Maatregel			Verantwoording
De aanwezigheid van automatische anonimisering of pseudonimisering van de persoonsgegevens nadat het doeleinde van de verwerking (of wettelijke opgelegde bewaartermijnen) zijn overschreden		√	Is er nog niet. Door de lange opslagtermijn (10j, 30j) is dit nog niet ontwikkeld.
De aanwezigheid van een degelijk uitgebouwd gebruikersbeheer	√	√
De aanwezigheid van een degelijk uitgebouwde audit log module	√	√
Mogelijkheid tot extractie (export) van gegevens / back-up mogelijkheid	√	√
De webapplicatie is uitgerust met een bescherming tegen een brute force aanval. Na X keer foutief inloggen wordt de gebruiker geblokkeerd.	√	√	Login gebeurt via ACM.
Persoonsgegevens worden aan de Verwerkingsverantwoordelijke ter beschikking gesteld via een beveiligde verbinding (https, VPN, IPSEC, FTPs)	√	√	Webapplicatie maakt gebruik van HTTPS-protocol.
Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Verwerkingssystemen en diensten te garanderen;	√	√	operationeel team is beschikbaar
Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;	√	√
Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.	√	√	Er is geen vaste procedure voor systematisch testing.

4. Technische en organisatorische maatregelen betreffende de interne werking en organisatie van AWV.

Onderstaande lijst is op te vatten als een afchecklijst. Gevraagd wordt dat de Verwerker aangeeft in de tweede kolom of deze maatregelen al dan niet worden genomen.

	Aanwezig	Verplicht
Maatregel			Verantwoording
ALGEMEEN BEVEILIGINGSBELEID EN ORGANISATIE VAN INFORMATIEBEVEILIGING
Verantwoordelijke voor informatiebeveiliging: AWV heeft informatieveiligheidsconsulent aangesteld die verantwoordelijk is voor de data beveiliging contactgegevens: Xxxxxx Xxx Xxxxx	√	√	xxxxxxxx@xxxxxxxxxxxxxx.xx
Verantwoordelijke voor gegevensbescherming: AWV heeft een Data Protection Officer aangewezen die verantwoordelijk is voor het coördineren, opvolgen en controleren van de beveiligingsregels en -procedures. Contactgegevens: Xxxxx Xxxxxxxx	√	√	xxx.xxxxxxx@xxxxxxxxxxxxxx.xx
Informatieveiligheidsbeleid: AWV beschikt over een goedgekeurd informatieveiligheidsbeleid.	√	√	Update in opmaak.
Informatieveiligheidsplan: AWV beschikt over een eigen informatieveiligheidsplan dat in de concrete uitwerking van de verschillende voornoemde maatregelen voorziet;	√	√
Verantwoordelijkheden op vlak van informatiebeveiliging en gegevensbescherming: De verantwoordelijkheden van de medewerkers van AWV zijn formeel gedocumenteerd en gepubliceerd in een privacy- en security policy.	√	√	Update in opmaak.
Risico analyse, beheer en controle: AWV voert periodiek risicoanalyses uit van de genomen beveiligingsmaatregelen en doet controles voor wat betreft de naleving van de verschillende informatiebeveiligingsprocedures	√	√

VEILIG PERSONEELSBELEID
Training over belang van beveiliging en omgang met persoonsgegevens: AWV voorziet opleidingen om alle medewerkers te sensibiliseren voor wat betreft de beveiligingsrichtlijnen- en beveiligingsprocedures en hun rol daarbij.		√	Op de planning 2023.
Aanduiding personeel: AWV wijst de personen aan die de persoonsgegevens kunnen verwerken, waarbij hun hoedanigheid ten opzichte van de verwerking van de persoonsgegevens nauwkeurig wordt omschreven. AWV garandeert dat deze personen uitsluitend toegang hebben tot de Gegevens die ze nodig hebben om hun taak of opdracht in het kader van deze Verwerkersovereenkomst uit te voeren.	√	√
Lijst personeel: AWV houdt de lijst van personen, vermeld in in het vorige punt ter beschikking van de Gegevensbeschermingsautoriteit;	√	√
Verplichting tot vertrouwelijkheid: AWV zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contactuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken Gegevens in acht te nemen. AWV deelt de Verwerkingsverantwoordelijke schriftelijk mee op welk van de genoemde wijzen de vertrouwelijkheid gewaarborgd is. Een mogelijk voorbeeld van een vertrouwelijkheidscontract is terug te vinden in Bijlage 6.	√	√
Toegangsautorisatie: AWV implementeert en handhaaft een autorisatiebeheersysteem dat de toegang controleert tot systemen die persoonsgegevens bevatten. AWV staat in voor de veiligheid en het goede gebruik van de toegangscodes, gebruikersnamen en wachtwoorden, alsook voor het regelmatig wijzigen van deze codes en wachtwoorden, om toegang te hebben tot de persoonsgegevens.	√	√
Segregatie: AWV heeft een segregatie ingevoerd om te vermijden dat personen toegang krijgen tot gegevens waarvoor ze geen toegang nodig hebben voor de uitoefening van hun taak.	√	√

FYSIEKE BEVEILIGING
Fysieke toegang tot productie- en bureauruimtes: AWV beperkt de toegang tot haar ruimtes waar persoonsgegevens verwerkt worden in kader van haar opdracht, strikt tot geïdentificeerde en geautoriseerde personen. Hiervoor werden badge-lezers geïnstalleerd, werd de lift uitgerust met codes en werden sloten voorzien op deuren waar nog nodig, dit alles om ongeoorloofde toegang te vermijden.	√	√	Wordt afgedekt door de VO
Beveiliging van de omgeving: Naast badge-lezers is het volledige gebouw uitgerust met - camerabewaking - een alarm- en branddetectie systeem.	√	√	Wordt afgedekt door de VO
Fysieke toegang tot het Data Center: AWV centraliseerde alle data die nodig is in kader van haar opdracht in een beveiligd data center conform de industrienormen. Fysieke toegang tot het data center wordt gecontroleerd / beheerd.		√	Geen fysieke datacenter, enkel cloud.
Noodherstel: AWV beschikt over een noodherstelplan in geval van calamiteiten met haar servers in het Data Center waarop persoonsgegevens staan	√	√
Redundantie: AWV bewaart kopieën van persoonsgegevens alsook haar gegevensherstelprocedures welke opgeslagen staan in het primaire data center in een tweede data center. => Deze kopieën zijn extra versleuteld met specifieke encryptie sleutels die enkel nodig zijn indien het primaire data center zou falen.	√	√

BESCHERMING TEGEN ONGEREGELDHEDEN, PANNES EN INCIDENTEN
Firewall: AWV is uitgerust met een geavanceerde firewall en controlemechanismen die zijn interne netwerk op gepaste wijze beschermt tegen ongeoorloofde toegang tot zijn interne netwerk.	√	√
Monitoring: AWV monitort en beheert het netwerk en de informatiesystemen op een actieve wijze. AWV beschikt over een procedure op om een eventuele inbreuk af te handelen, met inbegrip van informatie aan de Verwerkingsverantwoordelijke.		√	netwerk is afgeschermd achter reverse proxy’s. 2023: sterkere authenticatie tussen applicaties.

DIGITALE GEGEVENS
Versleuteling van gegevens: alle digitale gegevens die verwerkt worden door AWV in kader van haar opdracht worden centraal in het data center op een versleutelde manier bewaard op de harde schijven	√	√
Anti-virus en beveiligingsupdates: AWV voorziet al zijn systemen van de laatste updates. Beveiligingsupdates worden opgevolgd en geïnstalleerd volgens haar patchmanagementproces		√	Werken in Kubernetes met immutable containers.
Kwaadaardige Software: AWV voert anti-malwarecontroles uit om te helpen voorkomen dat kwaadaardige software ongeautoriseerde toegang tot klantengegevens krijgt.	√	√
Logging van toegangen. AWV voorziet een continue logging op de server van alle toegangen tot haar systemen die persoonsgegevens bevatten met inbegrip van welke gebruiker, de tijd en activiteit. Alle logbestanden worden gedurende 90 dagen bijgehouden.	√	√

BEVEILIGDE VERBINDINGEN
Versleuteling van verbindingen: AWV maakt gebruikt van beveiligde verbindingen voor de toegang tot haar gegevens in het datacenter. Alle data die verzonden wordt over publieke netwerken gebeurt dan ook aan de hand van encryptie mechanismen. https VPN	√	√

AUTHENTICATIE
Two-factor authenticatie: AWV maakt gebruik van een combinatie van gebruikers/wachtwoord en een dynamisch token waarvan de geldigheid iedere 30 second vervalt. Wachtwoorden dienen steeds te bestaan uit minimaal acht tekens en zowel uit minimaal één hoofdletter, letter, cijfer.	√	√	ACM/IDM

ONDERHOUD EN EVOLUTIE VAN INFORMATIESYSTEMEN
Controle over systeem updates en evoluties: AWV heeft een formeel wijzigingsbeheerproces geïmplementeerd om ervoor te zorgen dat wijzigingen in operationele systemen en toepassingen plaatsvinden op een gecontroleerde wijze.	√	√
Beveiligingsvereisten: De vereisten voor de bescherming van gegevens en systemen worden geanalyseerd en gespecificeerd in samenwerking met onze IT leverancier(s).	√	√	Raamcontracten VO

INCIDENTEN
Incident response: AWV houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, de naam van de melder en van degene aan wie de inbreuk werd gemeld.	√	√
Notificatie van incidenten: In geval van een gegevensbeveiligingsincident dat impact heeft op de vertrouwelijkheid of integriteit van persoonsgegevens van klanten, zal AWV , zonder onredelijke vertraging, de Verwerkingsverantwoordelijke hiervan informeren.	√	√

Bijlage 4 – Modelformulier melding datalekken

Gegevens contactpersoon van de Verwerkingsverantwoordelijke (bereikbaar 24/7):

Dienst:

Telefoonnummer

Datum :

Bedrijfsnaam :

Adres:

Postcode:

BTW-nummer

Wie heeft de inbreuk geconstateerd?

Naam:

Functietitel:

Wanneer is de inbreuk geconstateerd:

Datum:

Tijd:

Omschrijf het beveiligingsincident waarbij de inbreuk op de beveiliging van persoonsgegevens zich heeft voorgedaan:

Wanneer heeft de inbreuk plaatsgevonden?

1. Op (datum + tijd)

2. Tussen (datum + tijd) en (datum + tijd)

3. Is nog niet vastgesteld

4. Er is sprake van een anonieme melding door een derde

Vastleggen context van de data betrokken bij de inbreuk :

Classificatie van de data :

1. Geen, de gegevens zijn niet herleidbaar tot een individu

2. NAW-gegevens

3. Telefoonnummers

4. E-mailadressen, Facebook ID’s, Twitter ID’s etc.

5. Gebruikersnamen, wachtwoorden of andere inloggegevens, klantnummers

6. Financiële gegevens : rekeningnummers, creditcardnummers

7. rijksregisternummer

8. Kopieën van identiteitsbewijzen

9. Geslacht, geboortedatum, en/of leeftijd

10. Gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid of lidmaatschap van een vakvereniging

11. Gegevens over iemands gezondheid of seksuele geaardheid

12. Strafrechtelijke persoonsgegevens of persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag

13. Gegevens over iemand financiële of economische situatie, gegevens over schulden, salaris- en betalingsgegevens

14. Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit)

15. Lifestyle kenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken (leeftijd, geslacht, nationaliteit, beroep, onderwijs)

16. Data verkregen uit (openbare) sociale profielen (Facebook-, LinkedIn- en Twitteraccounts, …)

17. Overig, namelijk :

Classificatie van de context betrokken bij de inbreuk :

Van hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?

1. Geen, de gegevens zijn niet herleidbaar tot een individu

2. Nog niet vastgesteld

3. Ten minste …………………………………… (aantal), maar niet meer dan …………………………..(aantal) betrokkenen

Omschrijf de groep mensen waarvan persoonsgegevens zijn betrokken bij de inbreuk:

Omstandigheden van de gegevenslek :

1. Alleen lezen (een niet geautoriseerde derde heeft (vertrouwelijke) data kunnen inzien. Verwerker heeft de data nog in zijn bezit.) - confidentialiteit is in gevaar

2. Kopiëren (een niet-geautoriseerde derde heeft data kunnen kopiëren. De data is ook nog in het bezit van Verwerker.) - confidentialiteit is in gevaar

3. Wijzigen (een niet-geautoriseerde derde heeft data (kunnen) wijzigen in systemen van Verwerker - Integriteit is in gevaar

4. Verwijderen of vernietigen (een niet-geautoriseerde derde heeft data verwijderd uit de systemen van Verwerker of data vernietigd.) - Beschikbaarheid is in gevaar

5. Diefstal - Beschikbaarheid is in gevaar

6. Nog niet bekend

Zijn de Persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor ongeautoriseerde derden, bijvoorbeeld door encryptie en hashing ?

Ja

Nee

Deels, namelijk

Zo ja, op welke manier zijn de Persoonsgegevens versleuteld:

Heeft de inbreuk betrekking op personen uit andere EU-landen?

Ja

Nee

Zo ja, welke EU-landen:

Welke beveiligingsmaatregelen (technisch en organisatorisch) zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?

Wie kan benaderd worden voor meer informatie over de inbreuk?

Naam contactpersoon van de Verwerker:

E-mail :

Telefoonnummer:

Bijlage 5 – Voorbeeld vertrouwelijkheidscontract personeel Verwerker

Vertrouwelijkheidscontract

Mevrouw / De heer ……………………………………………………………………...(naam en voornaam), ……………………………………………………………. (functie), hierna “de Werknemer” genoemd, heeft, in het raam van de missie die haar/hem door ………… (naam bedrijf, adres, bedrijfsnummer) werd toevertrouwd (hierna “de Verwerker” genoemd), toegang tot (bepaalde) persoonsgegevens (hierna “de Gegevens” genoemd).

De Werknemer verbindt er zich hiermee toe:

• zich alleen toegang te verschaffen tot de Gegevens die noodzakelijk zijn voor het uitvoeren van de haar/hem toevertrouwde opdracht in het kader van de verwerking van persoonsgegevens;

• de Gegevens waarvan zij/hij kennis heeft genomen, alleen toe te vertrouwen aan anderen in de mate dat dit voor de uitvoering van haar/zijn opdracht in het kader van de verwerking van persoonsgegevens noodzakelijk is en op voorwaarde dat de persoon aan wie deze Gegevens kenbaar worden gemaakt gemachtigd is er kennis van te nemen;

• de toegangscodes en/of wachtwoorden om zich toegang tot de Gegevens te verschaffen niet kenbaar te maken;

• haar/zijn wachtwoord dat toegang biedt tot de Gegevens regelmatig te wijzigen.

De Werknemer erkent (*schrappen wat niet past):

• van de Verwerker alle informatie te hebben gekregen voor het uitvoeren van de haar/hem toevertrouwde opdracht in het kader van de verwerking van persoonsgegevens;

• zich ingeschreven te hebben en de bedoeling te hebben om de opleiding die door de Verwerker georganiseerd wordt van …………… [datum invoegen] te volgen / hebben gevolgd m.b.t. de verbintenissen die zij/hij moet nakomen in overeenstemming met de vigerende wetgeving en normering, zijnde:

1. VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (“algemene verordening gegevensbescherming”);

2. de Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens die door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer worden opgelegd;

3. de Minimale normen informatieveiligheid en privacy voor sociale zekerheidsinstellingen die toegang willen bekomen en behouden tot het netwerk van de Kruispuntbank;

4. de Wet tot regeling van een Rijksregister van de natuurlijke personen van 8 augustus 1983;

5. de Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens van 8 december 1992 (hierna Privacywet te noemen), zolang deze wet van kracht blijft.

Deze vertrouwelijkheidsplicht blijft ook na beëindiging van het contract tussen de Verantwoordelijke voor de Verwerking en de Verwerker voortbestaan, en ook na het verstrijken van het contract tussen de Werknemer en de Verwerker.

Opgemaakt te ………………………………………., op ……………………………………… in evenveel exemplaren als er Partijen zijn. Elke Partij verklaart haar exemplaar te hebben ontvangen.

De Werknemer Voor de Verwerker

1 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxxxxxxxx/xxxxx/xxxxxxxxx/Xxx_Xxx_00_00_0000.xxx

2xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxxxxxxxx/xxxxx/xxxxxxxxx/xxxxxxxxxxxxxxxxxxxxx_xxxx_xx_xxxxxxxxxxx_xxx_xxxx_xxxxxxxxxx_xxx_xxxxxxxxxxxxxxxx_0.xxx

3 xxxxx://xxx.xxx-xxxx.xxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxx/xxxxxxxxxx_xx_xxxxxxx/xxx_xxxxxxxx_xxxxxx_x0000.xxx

4 xxxx://xxx.xxxx.xx/xxxx/XXX_Xxxxxxxxxx_xxxxxxxxxxxxxxxxxxxxx.xxx

5xxxx://xxx.xxxxxxxx.xxxx.xxxx.xx/xxx_xxx/xxx_x.xx?xxxxxxxxxxx&xxxxxxxxxxx&xxx0000000000&xxxx&xxxxxxxxxxx&xxxxxxx%00xxx%00&xxxxxxxxxxxxxx&xxxxx0&xxxxxxx0

Versie: 3.3 / 07/09/2022 Pagina 11 van 4