Addendum gegevensverwerking
Addendum gegevensverwerking
1. Verwerkingshandelingen en definities
(1) Dit Addendum gegevensverwerking (“AGV”) is van toepassing op alle Verwerkingshandelingen met betrekking tot Persoonsgegevens en dit wanneer Schindler (“Verwerker”), zijn werknemers of onderaannemers (indien van toepassing) in contact kunnen komen met Persoonsgegevens die door de Verwerker namens de Klant (“Verwerkingsverantwoordelijke”) worden verwerkt als onderdeel van de geleverde diensten onder het Contract. Dit omvat onder meer het onderwerp, de duur, de aard en doeleinden van de Verwerking, de soorten Persoonsgegevens en de categorieën van Gegevensonderwerpen zoals vermeld in Bijlage 1 bij dit AGV, en kunnen verschillen naargelang de geleverde dienst of het geleverde product.
(2) Alle met een hoofdletter geschreven termen die in dit AGV worden gebruikt en die zijn gedefinieerd in de Algemene Verordening Gegevensbescherming (EU 2016/679 – “AVG”) maar niet in dit AGV of elders in het Contract, hebben de betekenis zoals uiteengezet in de AVG.
2. Verwerking namens de Verwerkingsverantwoordelijke
(1) De Verwerker verwerkt uitsluitend Persoonsgegevens binnen de reikwijdte van het Contract en volgens de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij wettelijke verplichtingen vereisen om de Persoonsgegevens anders te verwerken.
(2) De instructies van de Verwerkingsverantwoordelijke maken deel uit van het Contract. Bijkomende instructies worden gegeven door middel van het gebruik van overeengekomen technische middelen en configuratie opties van de producten en diensten verleend door de Verwerker. Indien bijkomende instructies verleend door de Verwerkingsverantwoordelijke leiden tot bijkomende inspanningen van de Verwerker, zullen deze inspanningen worden vergoed volgens de dan geldende tarieven van de Verwerker, op basis van tijd en materiaal.
(3) Bijkomende instructies moeten schriftelijk of in elektronische vorm (tekstvorm) worden gegeven. Mondelinge bijkomende instructies moeten door de Verwerkingsverantwoordelijke onmiddellijk schriftelijk of in tekstvorm worden bevestigd.
(4) Als de Verwerker van mening is dat een instructie de toepasselijke wetgeving inzake gegevensbescherming schendt, dient hij de Verwerkingsverantwoordelijke onmiddellijk op de hoogte te brengen en heeft hij het recht om de uitvoering van de betreffende instructies op te schorten tot de Verwerkingsverantwoordelijke ze bevestigt of wijzigt.
3. Verplichtingen van de Verwerker
(1) De Verwerker zal de Persoonsgegevens van de Verwerkingsverantwoordelijke binnen het toepassingsgebied van dit Addendum niet gebruiken voor andere doeleinden dan deze beschreven in het Contract en om te voldoen aan zijn verplichtingen onder het Contract.
(2) De Verwerker dient de Persoonsgegevens tijdens de verwerking ervan binnen de reikwijdte van dit AGV te
corrigeren, verwijderen of blokkeren wanneer de Verwerkingsverantwoordelijke hem dit opdraagt.
(3) Het personeel van de Verwerker dat verwerkingshandelingen uitvoert onder dit AGV, is gehouden tot vertrouwelijkheid of heeft een geldige wettelijke verplichting tot vertrouwelijkheid.
(4) De Verwerker meldt de Verwerkingsverantwoordelijke wie het contactpunt is voor alle kwesties met betrekking tot gegevensprivacy en -bescherming binnen de reikwijdte van het Contract.
(5) De Verwerker controleert periodiek de interne processen en de technische en organisatorische maatregelen om ervoor te zorgen dat de verwerking onder zijn verantwoordelijkheid in overeenstemming is met de toepasselijke wetgeving inzake gegevensbescherming.
(6) De Verwerker zal de Verwerkingsverantwoordelijke op diens kosten (volgens de dan geldende tarieven van de Verwerker op basis van tijd en materiaal) bijstaan om te kunnen voldoen aan zijn verplichtingen volgens art. 32 tot 36 van de AVG of gelijkaardige verplichtingen overeenkomstig andere wetgeving inzake de bescherming van persoonsgegevens.
(7) De Verwerker mag de Persoonsgegevens verwerken binnen of buiten een lidstaat van de Europese Unie (“EU”) of de Europese Economische Ruimte (“EER”). Een overdracht van Persoonsgegevens aan een staat die geen lidstaat is van de EU of EER mag uitsluitend gebeuren indien is voldaan aan de specifieke voorwaarden van art. 44 en volgende van de AVG of gelijkaardige verplichtingen overeenkomstig andere wetgeving inzake de bescherming van persoonsgegevens. Daartoe kan de Verwerker – indien nodig, als agent voor en namens de Verwerkingsverantwoordelijke – standaardclausules voor gegevensbescherming aangaan die door de Commissie zijn goedgekeurd op grond van EU-richtlijn 95/46/EG of de AVG (“SCC”) met subverwerkers in derde landen (zonder garantie op een adequaat niveau van gegevensbescherming) die Persoonsgegevens verwerken op grond van dit AGV. Een SCC kan zo nodig worden aangevuld om te voldoen aan de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, waaronder art. 28 (3) van de AVG, zolang de aanvulling niet in tegenspraak is met het Contract (met inbegrip van het AGV) of de SCC in haar oorspronkelijke vorm. De Verwerker heeft het recht om de instructies en controles van de Verwerkingsverantwoordelijke krachtens de SCC in diens naam uit te voeren.
4. Verplichtingen van de Verwerkingsverantwoordelijke
(1) De Verwerkingsverantwoordelijke zorgt ervoor dat de wettelijke bepalingen van de toepasselijke wetgeving inzake gegevensbescherming worden nageleefd, met name de rechtmatigheid van de verwerking van persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke.
(2) De Verwerkingsverantwoordelijke dient de Verwerker uiterlijk binnen achtenveertig (48) uur op de hoogte te brengen van fouten of onregelmatigheden in de Verwerkingshandelingen die een invloed hebben op de naleving van de toepasselijke wetgeving inzake gegevensbescherming.
5. Rechten van de Betrokkene
(1) De Verwerker is niet verplicht om rechtstreeks te reageren op vragen van Xxxxxxxxxxx en mag hen doorverwijzen naar de Verwerkingsverantwoordelijke, indien de door de Betrokkene verstrekte informatie volstaat om de Verwerkingsverantwoordelijke op wie de vraag betrekking heeft aan te duiden. Het voorgaande is eveneens van toepassing wanneer een Betrokkene de Verwerker verzoekt om gegevens te corrigeren, verwijderen of blokkeren.
(2) Als de Verwerkingsverantwoordelijke een vraag van een Betrokkene over de verwerking van Persoonsgegevens moet beantwoorden, dient de Verwerker hem te ondersteunen bij het verstrekken van de vereiste informatie. De Verwerker is enkel verplicht om de informatie te verstrekken indien de Verwerkingsverantwoordelijke hem daartoe gedocumenteerde instructies geeft en hem vergoedt (volgens de geldende tarieven van de Verwerker op basis van tijd en materiaal) voor de kosten en uitgaven die hij maakt voor het verlenen van de ondersteuning. De Verwerker is niet aansprakelijk als de Verwerkingsverantwoordelijke niet of niet correct of tijdig reageert op het verzoek van de Betrokkene.
(3) Als de Betrokkene op grond van art. 82 AVG of gelijkaardige verplichtingen overeenkomstig andere wetgeving inzake de bescherming van persoonsgegevens. een vordering instelt tegen de Verwerker, verbindt de Verwerkingsverantwoordelijke zich ertoe om de Verwerker redelijkerwijs bij te staan in zijn verdediging.
6. Technische en organisatorische maatregelen
(1) De Verwerker implementeert en handhaaft de technische en organisatorische maatregelen uiteengezet in Bijlage 2 bij dit AGV, die kunnen verschillen naargelang de geleverde dienst of het geleverde product.
(2) De technische en organisatorische maatregelen zijn onderhevig aan de technische vooruitgang en verdere ontwikkelingen. De Verwerker kan de technische en organisatorische maatregelen wijzigen, op voorwaarde dat de nieuwe maatregelen voldoen aan het beveiligingsniveau dat door de gespecificeerde maatregelen wordt geboden. Wezenlijke veranderingen moeten worden gedocumenteerd.
7. Communicatie bij een inbreuk op Persoonsgegevens
De Verwerker dient de Verwerkingsverantwoordelijke zonder verwijl op de hoogte te stellen bij een inbreuk op de Persoonsgegevens van de Verwerkingsverantwoordelijke en levert alle redelijkerwijs beschikbare informatie die de Verwerkingsverantwoordelijke nodig heeft om zijn verplichtingen te vervullen aangaande de notificatie aan de Betrokken Persoon en/of de melding aan de overheden bevoegd voor de Bescherming van Persoonsgegevens.. De Verwerkingsverantwoordelijke geeft de Verwerker de opdracht om alle maatregelen te nemen die hij nodig of nuttig acht om de Persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt te beveiligen en nadelige gevolgen voor de Betrokkene tot een minimum te beperken.
8. Onderaanneming
(1) De Verwerker mag de verwerking van Persoonsgegevens noch deels, noch in haar geheel
uitbesteden aan subverwerkers zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke stemt er hierbij specifiek mee in dat de Verwerker subverwerkers inschakelt voor de verwerking van Persoonsgegevens namens hem, zoals vermeld in Bijlage 3 bij dit AGV, die kunnen verschillen naargelang de geleverde dienst of het geleverde product. De Verwerkingsverantwoordelijke staat in het algemeen toe dat de Verwerker beroep doet op andere subverwerkers, voor zover deze voldoende garanties bieden om technische en organisatorische maatregelen te nemen zodat de Verwerking van Persoonsgegevens beantwoordt aan de vereisten van de AVG of gelijkaardige verplichtingen overeenkomstig andere wetgeving inzake de bescherming van persoonsgegevens. Als de Verwerkingsverantwoordelijke een SCC is aangegaan zoals beschreven in paragraaf 3(7) hierboven, vormt de bovenstaande toestemming de voorafgaande schriftelijke toestemming voor de onderaanneming van de verwerking van Persoonsgegevens namens de Verwerkingsverantwoordelijke op grond van de SCC.
(2) De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte brengen van elke toevoeging van subverwerkers vooraleer beroep te doen op de algemene toestemming om andere Subverwerkers in te schakelen en zal ook duiden wat het gevolg is van een gebrek aan antwoord, hiermee de mogelijkheid biedende aan de Verwerkingsverantwoordelijke om zich tegen de aanstelling van een Subverwerker te verzetten. De Verwerkingsverantwoordelijke dient de Verwerker binnen veertien (14) dagen na ontvangst van diens kennisgeving schriftelijk te informeren indien en om welke redenen hij bezwaar maakt tegen de vervangende of toegevoegde subverwerker.
(3)
Als de Verwerkingsverantwoordelijke geen tijdig bezwaar
Maakt wordt hij geacht te verzaken aan zijn rechten. Indien de Verwerkingsverantwoordelijke tijdig bezwaar maakt tegen een vervangende of toegevoegde onderaannemer, heeft de Verwerker het recht om dit AGV te beëindigen mits dertig (30) dagen voorafgaande schriftelijke kennisgeving aan de Verwerkingsverantwoordelijke. Anderzijds kan hij redelijke inspanningen leveren om hem een wijziging van de verwerkingshandelingen voor te stellen en te vermijden dat Persoonsgegevens worden verwerkt door de toegevoegde of vervangende subverwerker. De voorgestelde wijziging mag de Verwerkingsverantwoordelijke niet onredelijk belasten.
Als de Verwerker een wijziging van de verwerkingshandelingen voorstelt maar deze niet binnen een redelijke termijn kan uitvoeren, of als de Verwerkingsverantwoordelijke de voorgestelde wijziging niet goedkeurt wegens gegronde redenen, kan elke partij het AGV beëindigen mits schriftelijke kennisgeving aan de andere partij dertig (30) dagen voorafgaand aan de beëindiging.
(4) Wanneer de Verwerker subverwerkers inschakelt voor de verwerking van Persoonsgegevens namens de Verwerkingsverantwoordelijke, moet hij ervoor zorgen dat aan de volgende voorwaarden wordt voldaan:
• het subverwerkingscontract moet de bepalingen inzake gegevensbescherming weerspiegelen die tussen de Verwerkingsverantwoordelijke en de Verwerker zijn overeengekomen in dit AGV;
• de Verwerker is verantwoordelijk voor het gedrag en de prestaties van elke goedgekeurde subverwerker en is voor de Verwerkingsverantwoordelijke het enige aanspreekpunt met betrekking tot de verwerking van Persoonsgegevens door de subverwerker.
9. Recht op audit
(1) De Verwerker dient op voorafgaand schriftelijk verzoek van de Verwerkingsverantwoordelijke te bewijzen dat hij voldoet aan dit AGV aan de hand van adequaat bewijsmateriaal. Dit bestaat uit de resultaten van een eigen audit, interne gedragsregels met externe bewijsstukken van naleving, certificaten inzake gegevensbescherming en/of informatiebeveiliging (bijv. ISO 27001), goedgekeurde gedragscodes of andere relevante certificaten. Bewijs van de implementatie van maatregelen die niet specifiek zijn voor dit AGV kan worden geleverd in de vorm van recente attesten, rapporten of rapportuittreksels van onafhankelijke instanties (bijv. externe accountants, interne audit, functionaris voor gegevensbescherming, IT-beveiliging of kwaliteitscontroleurs) of geschikte certificering door een IT-beveiligings- of gegevensbeschermingsaudit.
(2) De Verwerkingsverantwoordelijke heeft het recht om te controleren of de Verwerker het AGV naleeft, indien hij op basis van redelijke motieven van oordeel is dat de rechten op grond van paragraaf 1 in een bepaald geval niet volstaan of indien een bevoegde gegevensbeschermingsautoriteit om een audit verzoekt. De audit zal worden uitgevoerd tijdens de normale kantooruren, zonder de bedrijfsactiviteiten van de Verwerker te verstoren en rekening houdend met een redelijke doorlooptijd die minstens dertig (30) dagen bedraagt. De Verwerker kan de audit verbinden aan de ondertekening van een geheimhoudingsovereenkomst met betrekking tot de gegevens van andere klanten en de technische en organisatorische maatregelen die zijn getroffen.
(3) De Verwerkingsverantwoordelijke mag geen derde auditeur aanwijzen die zich in een concurrentiële positie bevindt ten aanzien van de Verwerker of diens gelieerde ondernemingen of die onvoldoende gekwalificeerd is om de audit uit te voeren. De Verwerkingsverantwoordelijke mag zijn recht op audit slechts één keer in een periode van twaalf (12) maanden uitoefenen, behalve (i) indien gevraagd door een bevoegde autoriteit voor gegevensbescherming of een andere regelgevende instantie met jurisdictie over de
Verwerkingsverantwoordelijke of (ii) wanneer de Verwerkingsverantwoordelijke van mening is dat een andere audit nodig is wegens schending of vermoedelijke schending van de beveiliging door de Verwerker.
(4) De Verwerker kan een vergoeding eisen voor zijn inspanningen om de audits van de Verwerkingsverantwoordelijke mogelijk te maken, volgens de geldende tarieven van de Verwerker op basis van tijd en materiaal.
(5) De Verwerker is niet verplicht om de volgende gegevens vrij te geven of toegankelijk te maken: (i) gegevens betreffende andere klanten van (x) de Verwerker, (y) zijn gelieerde ondernemingen of (z) eventuele subverwerkers, (ii) gegevens van de interne boekhouding, financiële informatie of bedrijfsgeheimen van de Verwerker, zijn gelieerde ondernemingen of subverwerkers of (iii) informatie die de veiligheid van de systemen of gebouwen van de Verwerker, zijn gelieerde ondernemingen of subverwerkers in gevaar zou kunnen brengen.
10. Aansprakelijkheid en schade
De aansprakelijkheidsbepalingen zoals overeengekomen tussen de partijen in het Contract zijn eveneens van toepassing op elke aansprakelijkheid die voortvloeit uit of verband houdt met een SCC die is aangegaan namens de Verwerkingsverantwoordelijke in overeenstemming met paragraaf 3(7) hierboven. Schadevergoeding die door een partij van het Contract (waaronder dit AGV) of een gerelateerde SCC is ingevorderd, wordt meegerekend in overeenkomstige vorderingen van die partij onder een van de andere bovengenoemde overeenkomsten.
11. Teruggave of vernietiging van de Persoonsgegevens
Bij beëindiging van dit AGV zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, de Persoonsgegevens vernietigen dan wel terug bezorgen met vernietiging van alle kopijen, tenzij in het geval en voor zover de toepasselijke wetgeving een bewaring van deze gegevens voorziet.
12. Varia
In geval van tegenstrijdigheden hebben de bepalingen van dit AGV voorrang op de andere bepalingen van het Contract.
BIJLAGE 1 BIJ HET AGV
INFORMATIE OVER BEPAALDE PERSOONSGEGEVENS EN VERWERKING
Voorwerp van de verwerking van Persoonsgegevens | Verlening van diensten aan de Verwerkingsverantwoordelijke op grond van het Contract. |
Aard van de verwerking van Persoonsgegevens | Verwerking van persoonsgegevens voor het verlenen van diensten op grond van het Contract en in overeenstemming met de voorwaarden ervan, met inbegrip van de handelingen beschreven in art. 4 nr. 2 AVG. |
Soorten Persoonsgegevens | Gegevens met betrekking tot personen die door de Verwerkingsverantwoordelijke of door hem gemachtigde personen worden verstrekt aan de Verwerker door middel van diensten onder het Contract. Het kan gaan om de volgende gegevens: naam, telefoon- en faxnummers, e-mailadres, IP adres, postadres, gebruikersnaam, systeemtoegang/gebruik/voorkeuren/autorisatie, tijdzone, taal, bedrijfsnaam en andere informatie over rechtspersonen. |
Doel van de verwerking van Persoonsgegevens | Verlening van diensten onder het Contract en in overeenstemming met de voorwaarden ervan. |
Categorieën van Betrokkenen op wie de Persoonsgegevens betrekking hebben | Personen over wie aan de Verwerker gegevens worden verstrekt door de Verwerkingsverantwoordelijke of door hem gemachtigde personen door middel van diensten onder het Contract. Voorbeelden zijn onder meer : de Verwerkingsverantwoordelijke, , zijn leveranciers, dienstverleners of andere contractuele partners, hun respectieve werknemers en andere personen, zoals gebruikers van het onroerend goed van de verantwoordelijke voor de verwerking |
Duur van de verwerking van Persoonsgegevens | De duur van het Contract en de periode vanaf het verstrijken van het Contract tot het verwijderen van de Persoonsgegevens door de Verwerker in overeenstemming met de Contractvoorwaarden. |
BIJLAGE 2 BIJ HET AGV
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
De administratieve, fysieke, organisatorische en technische maatregelen van de Verwerker omvatten minstens het volgende:
1. Vertrouwelijkheid
• Fysieke toegangscontrole
De Verwerker handhaaft normen voor fysieke toegangscontrole om de ongeautoriseerde fysieke toegang tot gegevensopslag en verwerkingsfaciliteiten te beperken. Toegangspunten worden geregeld door elektronische en mechanische sloten. Verder is er beveiliging van de faciliteiten aanwezig. Het interne reglement van de Verwerker garandeert dat bij beëindiging van het dienstverband de toegangsrechten van de medewerkers worden ingetrokken en toegangskaarten en/of sleutels worden teruggegeven.
• Elektronische toegangscontrole
De elektronische toegang tot alle gegevensopslag- en verwerkingssystemen wordt beveiligd met een veilig wachtwoord. De vervaldatum en sterkte van het wachtwoord (minimaal 10 alfanumerieke tekens) worden bepaald door de interne voorschriften van de Verwerker. Toegang van buiten het netwerk van de Verwerker is alleen mogelijk via Virtual Private Networks (VPN), met behulp van twee-factor-authenticatie. Wachtwoorden voor toegang op afstand worden ingetrokken wanneer de toegang niet meer nodig is.
• Interne toegangscontrole
Voor alle gegevensverwerkings- en opslagsystemen is een op behoeften gebaseerd autorisatieconcept en -mechanisme aanwezig om onbevoegde toegang tot persoonsgegevens te voorkomen. Toegangsautorisaties worden regelmatig gevalideerd zoals uiteengezet in de interne voorschriften van de Verwerker.
2. Integriteit
• Beheer van gegevensoverdracht
Alle persoonsgegevens die worden overgedragen van apparatuur die de gegevens verzamelt naar de systemen van de Verwerker, worden gecodeerd en overgedragen via een beveiligd kanaal.
• Beheer van gegevensinvoer
De Verwerker logt en controleert of en door wie persoonsgegevens worden ingevoerd in gegevensopslag- en verwerkingssystemen, wanneer ze worden gewijzigd of verwijderd.
3. Beschikbaarheid en veerkracht
• Beschikbaarheidscontrole
Er wordt een back-up gemaakt van alle persoonsgegevens. Er worden regelmatig reservekopieën gemaakt en getest van informatie en software, in overeenstemming met de interne voorschriften van de Verwerker.
• Snel herstel
Er zijn gegevensherstelprocedures voor de verschillende opslag- en verwerkingssystemen aanwezig die ook regelmatig opnieuw worden gevalideerd. De procedures en maatregelen om de bedrijfscontinuïteit te waarborgen zijn vastgelegd in het interne reglement van de Verwerker. Er worden regelmatig controles van de bedrijfscontinuïteit uitgevoerd. Subverwerkers die namens de Verwerker gegevens verwerken, worden door een derde partij gecertificeerd om volledige redundantie en maximale uptime te garanderen.
4. Procedures voor regelmatig testen, beoordelen en evalueren
• Beheer van gegevensbescherming
Procedures voor incidenten, wijzigingen en testen, waaronder automatische testprocedures, zijn aanwezig en worden regelmatig opnieuw gevalideerd. Er worden tijdens het ontwikkelingsproces bijkomende beveiligings- en veiligheidstests aan specifieke kwaliteitspoorten uitgevoerd door de Cyber Security-afdeling van de Verwerker en op verzoek van derden. Bij elke uitrol en wijziging worden toepassingen gescand op verschillen in reikwijdte.
5. Gegevensbescherming door ontwerp en door standaardinstellingen
Om te garanderen dat de systemen zijn ontworpen voor de conformiteit en beveiliging van gegevensbescherming, worden alle beveiligingsvereisten geïdentificeerd en gedocumenteerd tijdens de ontwerpfase van een project, in overeenstemming met de interne voorschriften van de Verwerker.
6. Orderbeheer en controle van subverwerkers
• Orderbeheer
De Persoonsgegevens worden uitsluitend verwerkt namens de Verwerkingsverantwoordelijke binnen de reikwijdte van het Contract en volgens de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. De volledige en definitieve instructies van de Verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens worden bepaald door de manier waarop de Verwerkingsverantwoordelijke en door hem gemachtigde gebruikers de diensten onder het Contract aanwenden.
• Controle van subverwerkers
De Verwerker schakelt pas een derde partij in voor de verwerking van persoonsgegevens namens de Verwerkingsverantwoordelijke na voorafgaande toestemming van de Verwerkingsverantwoordelijke en op basis van duidelijke contractuele afspraken met betrekking tot beveiliging, vertrouwelijkheid en privacy.
BIJLAGE 3 BIJ HET ADDENDUM GEGEVENSVERWERKING LIJST VAN SUBVERWERKERS
Zie de afzonderlijke lijst in bijlage 3.