Bijlage 7: Gegevensverwerking

Bijlage 7: Gegevensverwerking

Overeenkomst bescherming persoonsgegevens

Aangezien:

- de Toegangshouder een Toegangscontract is aangegaan met de Distributienetbeheerder om de voorwaarden te bepalen voor het verlenen van Toegang tot het net voor de Toegangshouder.

- partijen in het kader van deze Overeenkomst bepaalde Persoonsgegevens verwerken in uitvoering van decretaal bepaalde taken.

- de Toegangshouder en de Distributienetbeheerder in deze bijlage de principes en bepalingen wensen vast te leggen die gelden wanneer zij Persoonsgegevens verwerken onder of in het kader van onderhavig Toegangscontract

Wordt overeen gekomen dat:

Artikel 1: Interpretatie

Deze Bijlage wordt beheerst door de voorwaarden uiteengezet in onderhavig Toegangscontract. Begrippen met een hoofdletter die niet zijn gedefinieerd in deze Bijlage krijgen de betekenis zoals aangegeven in het Toegangscontract.

In deze Bijlage Gegevensverwerking betekent:

• Gegevensbeschermingswetgeving: enige wet, normatieve handeling, regelgeving, regelgevingsbeleid, ordonnantie en secundaire wet- en regelgeving betreffende de verwerking, de privacy en het gebruik van Persoonsgegevens, voor zover van toepassing op de Toegangshouder en/of de Distributienetbeheerder, inclusief:

a) De Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens; en

b) De Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (AVG), en elke overeenstemmende of gelijkaardige nationale wetgeving en regelgeving in België

In ieder geval, zoals van kracht en van toepassing, en zoals gewijzigd, aangevuld of vervangen van tijd tot tijd;

• Bijlage Gegevensverwerking: de huidige bijlage inzake gegevensverwerking, inclusief enige bijlagen aan deze bijlage inzake gegevensverwerking;

• Persoonsgegevens: de persoonsgegevens die [Toegangshouder] en/of [DNB] verwerken onder of in het kader van de Overeenkomst. “Verwerking” van persoonsgegevens en “persoonsgegevens” zullen de betekenis krijgen die hieraan wordt gegeven in de Gegevensbeschermingswetgeving.

De Partijen erkennen en komen overeen dat deze Bijlage Gegevensverwerking integraal deel uitmaakt van het Toegangscontract. Indien er enig conflict of tegenstrijdigheid bestaat tussen een bepaling in deze Bijlage Gegevensverwerking en het Toegangscontract (en diens overige bijlagen), dan zal de bepaling in deze Bijlage Gegevensverwerking voorrang hebben op de bepaling in het Toegangscontract (en diens overige bijlagen).

Artikel 2: Naleving van wet- en regelgeving en wederzijdse bijstand

De Partijen erkennen dat zij, in het kader van de Overeenkomst, Persoonsgegevens, waaronder technische gegevens, meetgegevens en relationele gegevens, met elkaar kunnen delen.

Iedere Partij, wanneer zij Persoonsgegevens verwerkt onder of in het kader van onderhavig Toegangscontract, bepaalt alleen (en niet samen met de andere Partij) het doel en de middelen van de verwerking, overeenkomstig haar wel omlijnde decretaal omschreven opdracht. Iedere Partij treedt dus op als afzonderlijke verwerkingsverantwoordelijke.

Bij de verwerking van Persoonsgegevens zullen de Partijen te allen tijde hun respectieve verplichtingen onder alle toepasselijke Gegevensbeschermingswetgeving naleven.

Iedere Partij verbindt zich ertoe:

a) niets te doen of toe te staan waardoor de andere Partij enige aansprakelijkheid zou oplopen onder de toepasselijke Gegevensbeschermingswetgeving;

b) te allen tijde haar verplichtingen onder de toepasselijke wet- en regelgeving en normering inzake de beveiliging van netwerk- en informatiesystemen na te leven;

c) de technische en organisatorische maatregelen in bijlage 1 bij deze Bijlage Gegevensverwerking te treffen ten einde de veiligheid van de Persoonsgegevens te waarborgen;

d) de andere Partij redelijke bijstand en informatie te verlenen indien zij hierom verzoekt, inclusief:

▪ wanneer dit naar het redelijke oordeel van de andere Partij noodzakelijk is om de naleving van de toepasselijke Gegevensbeschermingswetgeving te garanderen;

▪ bij de behandeling van verzoeken van betrokkenen bij de uitoefening van hun rechten of bij enig onderzoek of handhavingsactiviteit door een toezichthoudende autoriteit of andere regelgevende instantie, indien en voor zover deze betrekking hebben op de verwerking van Persoonsgegevens onder of in het kader van de uitvoering van het Toegangscontract;

e) de andere Partij:

▪ onmiddellijk in kennis te stellen van enige klacht ingesteld bij en/of onderzoek door de toezichthoudende autoriteit of andere regelgevende instantie, indien en voor zover deze klacht en/of dit onderzoek betrekking heeft op de verwerking van Persoonsgegevens onder of in het kader van de uitvoering van het Toegangscontract;

▪ onmiddellijk in kennis te stellen van enige klacht ingesteld door of namens een betrokkene waarvan zij kennis krijgt, indien en voor zover deze klacht betrekking heeft op de verwerking van Persoonsgegevens onder of in het kader van de uitvoering van het Toegangscontract; en

▪ zo snel als redelijkerwijze mogelijk, en in elk geval binnen de drie [3] kalenderdagen na hier kennis van te hebben genomen, te informeren over enige inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot de Persoonsgegevens verwerkt onder of in het kader van de uitvoering van het Toegangscontract.

Artikel 3: Aansprakelijkheid

Niettegenstaande enige andersluidende bepaling in het Toegangscontract, stelt iedere Partij (de Vrijwarende Partij) de andere Partij (de Gevrijwaarde Partij) schadeloos met betrekking tot alle bewezen schade (inclusief verliezen en kosten) opgelopen door de Gevrijwaarde Partij ingevolge de niet-naleving door de Vrijwarende Partij , diens aangestelden of onderaannemers van:

a) de toepasselijke Gegevensbeschermingswetgeving;

b) de verplichting in het Toegangscontract om de Persoonsgegevens vertrouwelijk te behandelen; en

c) deze Bijlage Gegevensverwerking (inclusief bijlage 1 bij deze Bijlage Gegevensverwerking).

In voorkomend geval vrijwaart de Vrijwarende Partij de Gevrijwaarde Partij tegen alle acties, aanspraken of vorderingen van derden tegen de Gevrijwaarde Partij indien – en in de mate dat – deze het gevolg zijn van de niet-naleving door de Vrijwarende Partij van de in dit artikel 3 opgesomde verplichtingen.

Voor de doeleinden van artikel 3 wordt de term “derden” gedefinieerd als zijnde eender welke persoon die geen partij is bij het Toegangscontract.

De verbintenis tot schadeloosstelling en vrijwaring in artikel 3 is niet van toepassing op het bedrag van de administratieve of strafrechtelijke geldboetes die aan de Gevrijwaarde Partij worden opgelegd door een gegevensbeschermingsautoriteit, een toezichthouder of een gerechtelijke instantie ingevolge een door dergelijke instantie vastgestelde niet-naleving in hoofde van de Gevrijwaarde Partij zelf.

De Partijen verbinden zich ertoe de nodige verzekeringen af te sluiten bij een internationaal erkende verzekeringsmaatschappij teneinde hun aansprakelijkheid ten aanzien van de andere Partij onder de bepalingen van deze Bijlage Gegevensbescherming te dekken.

Iedere Partij is verantwoordelijk voor de verwerker(s) die hij inschakelt met betrekking tot de Persoonsgegevens.

De Partijen komen overeen dat de aansprakelijkheidsbeperkingen- en uitsluitingen in artikel 12 van het Toegangscontract niet van toepassing zijn op de aansprakelijkheid van de Partijen voor de niet-naleving van de in dit artikel 3 van deze Bijlage Gegevensverwerking opgesomde verplichtingen.

Bijlage 1 bij de Bijlage Gegevensverwerking Technische en organisatorische maatregelen

Standaardpraktijken in de sector moeten toegepast worden om een veilige omgeving te creëren voor alle hardware of software die betrekking heeft op Persoonsgegevens die in het kader van de uitvoering van het Toegangscontract verwerkt worden, ter bescherming tegen o.a. ongeoorloofde of onrechtmatige verwerking, overdracht, doorgifte, vernietiging of beschadiging, gebruik, wijziging of openbaarmaking.

De Partijen verbinden zich ertoe om passende organisatorische, administratieve, technische en fysieke beveiligingsmaatregelen door te voeren en te handhaven om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Persoonsgegevens te beschermen. Dit alles moet gebaseerd zijn op best practices.

Met name verbinden de Partijen zich ertoe:

a) een adequaat informatiebeveiligingsbeleid voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven;

b) Persoonsgegevens te hosten in gecertificeerde gegevenscentra (bijvoorbeeld ISO 27001) of gelijkwaardig. De gelijkwaardigheid wordt aangetoond door de Partij die zich hierop beroept;

c) passende technologische middelen in te zetten om zowel opgeslagen als verstuurde Persoonsgegevens te beschermen tegen o.a. ongeoorloofde of onrechtmatige verwerking, overdracht, doorgifte, vernietiging of beschadiging, gebruik, wijziging of openbaarmaking;

d) passende systeem- en netwerkbeheerprocedures voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven;

e) fysieke toegangscontroles voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven;

f) logische toegangscontroles voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven.