VERWERKERSOVEREENKOMST HEAT-BOX
VERWERKERSOVEREENKOMST HEAT-BOX
Deze Verwerkersovereenkomst is van toepassing op het gebruik van Heat-Box, ontwikkeld door Logi-Cal bvba, met maatschappelijke zetel te 0000 Xxxxxxx, Xxxxxxxxxxxxxx 0 en met ondernemingsnummer 0649.860.309, (hierna genoemd: “Logi-Cal”) die ter beschikking wordt gesteld aan een wederpartij aan wie zij diensten levert (hierna genoemd: ‘Verwerkingsverantwoordelijke’).
Logi-Cal en de Verwerkingsverantwoordelijke worden hierna gezamenlijk de “Partijen” en afzonderlijk een “Partij” genoemd.
DEFINITIES
Heersende Wetgeving: de Algemene Verordening Gegevensbescherming (GDPR), de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zoals gewijzigd) (hierna ‘de Wet van 8 december 1992’) en de andere relevante vigerende wettelijke voorschriften.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (hierna genoemd de ‘Betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het EU-recht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkings- verantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk Persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het EU-recht of het lidstatelijke recht gelden echter niet als Ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.
Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken.
Toestemming van de Betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de Betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de Verwerking van zijn Persoonsgegevens aanvaardt.
Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
OVERWEGENDE DAT
A. Logi-Cal Heat-Box, een software-module om warmteverliesberekeningen uit te voeren, heeft ontwikkeld. Heat-Box wordt door Logi-Cal en/of derden gehost op een server die in een beveiligde omgeving is geplaatst. Via een netwerk kan Heat-Box ter beschikking worden gesteld aan derden in de vorm van een SaaS-dienst.
B. Logi-Cal Heat-Box ter beschikking stelt van de Verwerkingsverantwoordelijke. Logi-Cal treedt op als Verwerker van de aangeleverde Persoonsgegevens door de Verwerkingsverantwoordelijke.
C. De Verwerkingsverantwoordelijke verantwoordelijk is voor de aan Logi-Cal verstrekte en te verstrekken Persoonsgegevens. Logi-Cal verwerkt de Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke.
D. Logi-Cal de passende technische en organisatorische maatregelen biedt opdat de Verwerking aan de vereisten van de heersende wetgeving voldoet en de bescherming van de rechten van de Betrokkene worden gewaarborgd.
E. Partijen de tussen hen onafhankelijke samenwerking wensen te formaliseren middels onderhavige overeenkomst (hierna de ‘Verwerkersovereenkomst’). Deze Overeenkomst is een bijlage van de hoofdovereenkomst (hierna de “Hoofdovereenkomst”). De samenwerking kenmerkt zich door de afwezigheid van enige band van ondergeschiktheid, en dit overeenkomstig de volgende voorwaarden en modaliteiten.
WORDT HET VOLGENDE OVEREENGEKOMEN
1. Voorwerp
1.1 De Verwerkingsverantwoordelijke gaat met Logi-Cal een Verwerkersovereenkomst aan en de Partijen zullen elkaar in het kader van deze Verwerkersovereenkomst ondersteunen en bijstaan bij de Verwerking van Persoonsgegevens via Heat-Box (hierna de ‘Opdracht’). Heat-Box is software om warmteverliesberekeningen te maken die via het internet als een onlinedienst wordt aangeboden op een website. Heat-Box wordt niet verkocht, maar in licentie gegeven aan professionals in de bouwsector en particulieren.
1.2 Deze overeenkomst is aanvullend op de Algemene Voorwaarden van Logi-Cal. Bij tegenstrijdigheden tussen deze overeenkomst en de Algemene Voorwaarden heeft deze overeenkomst voorrang. De Opdrachtgever kan zich nooit op een stilzwijgende aanvaarding van haar voorwaarden beroepen.
1.3 Logi-Cal kan de persoonsgegevens van de volgende betrokkenen verwerken (bv: klanten, klantcontactpersonen van de Verwerkingsverantwoordelijke, etc). Logi-Cal kan de volgende persoonsgegevens van de betrokkene (bv. naam, voornaam, telefoonnummer, adres, e-mailadres, etc.) verwerken op basis van volgende rechtsgronden (toestemming van de betrokkene, noodzakelijkheid voor de uitvoering van de overeenkomst, wettelijke verplichting, bescherming van
xxxxxx xxxxxxxx, taak van algemeen belang of gerechtvaardigd belang) voor volgende doeleinden (bv. om te voldoen aan wettelijke verplichtingen (klantenbeheer, etc.), om de overeenkomst te kunnen uitvoeren, om de betrokkene te voorzien van informatieve nieuwsberichten m.b.t. de onderneming, om de kwaliteit van diensten of informatie te verbeteren, etc.):
Betrokkenen | Persoons- gegevens | Rechtsgrond | Doeleinde | Type verwerking |
(Eind-)gebruikers die door de Verwerkingsvera ntwoordelijke in staat is gesteld Heat-Box te gebruiken | Naam, voornaam, e-mailadres, accountgege vens | Noodzakelijk voor de uitvoering van een overeenkomst | Uitvoering van de eerder tussen Partijen gesloten overeenkomst: Toegang tot Heat-Box verschaffen aan de (eind-)gebruiker | Opslag (hosting) + delen met Verwerkingsv erantwoordelij ke |
(Potentiële) (eind-)klanten van de Verwerkingsvera ntwoordelijke | Naam, voornaam, adres, projectgegev ens, technische gebouwpara meters | Noodzakelijk voor de uitvoering van een overeenkomst | Uitvoering van de eerder tussen Partijen gesloten overeenkomst: het uitvoeren van warmte- verliesberekeningen voor het gebouw van de (potentiële) (eind-)klant van de Verwerkings- verantwoordelijke en hosting van de daaruit voortvloeiende informatie | Opslag (hosting) + delen met Verwerkingsv erantwoordelij ke |
1.4 De Verwerkingsverantwoordelijke zorgt ervoor dat de Persoonsgegevens van de Betrokkene(n) op geldige wijze zijn verkregen en hij Toestemming van de Betrokkene(n) voor de Verwerking heeft verkregen. Logi-Cal gaat de geldigheid van de Toestemming niet na en kan dan ook niet aansprakelijk worden gehouden voor enig frauduleus handelen van de Verwerkingsverantwoordelijke.
1.5 De Persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op Logi-Cal van toepassing zijnde EU- rechtelijke of lidstaatrechtelijke bepaling hem tot Verwerking verplicht; in dat geval stelt Logi-Cal de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
1.6 De omschrijving van de Opdracht is niet limitatief en kan, mits onderling akkoord tussen de Partijen, herzien worden in functie van de behoeften van de Partijen. Hiertoe zal een addendum bij deze Verwerkersovereenkomst worden opgesteld en ondertekend.
2. Duur en beëindiging
2.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten overeenkomst(en). In het geval dat de dienstverlening van Logi-Cal aan de Verwerkingsverantwoordelijke of de Verwerking van de Persoonsgegevens (nog) voortduurt na de officiële looptijd van de tussen Partijen gesloten overeenkomst(en), loopt deze Verwerkersovereenkomst door.
2.2 Na beëindiging van de Verwerkersovereenkomst, en/of na beëindiging van de dienstverlening aan de Verwerkingsverantwoordelijke, is Logi-Cal gehouden om na een verzoek daartoe van de Verwerkingsverantwoordelijke en uiterlijk binnen 30 dagen na beëindiging van de Verwerkers- overeenkomst de door de Verwerkingsverantwoordelijke verstrekte (Persoons)gegevens terug te
geven (dan wel om de Verwerkingsverantwoordelijke in de gelegenheid te stellen deze gegevens digitaal te verkrijgen). Eventuele resterende (kopieën van) (Persoons)gegevens en/of backups dienen volgend op de beëindiging door Logi-Cal binnen 90 dagen te worden vernietigd tenzij opslag van de Persoonsgegevens EU-rechtelijk of lidstaatrechtelijk is verplicht.
3. Beveiligingseisen
3.1 Logi-Cal zal zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De te nemen maatregelen sluiten aan bij de stand van de techniek.
3.2 Logi-Cal heeft op heden volgende passende technische en organisatorische maatregelen genomen ten voordele van de Verwerkingsverantwoordelijke:
▪ Gebruik van SSL certificaten en communicatie via het HTTPS protocol;
▪ Automatische web filter (tegenhouden SQL injecties, brute force attacks, ...);
▪ Server uitgerust met malware scanner;
▪ Server uitgerust met firewall (Juniper SRX3400);
▪ 24/7 beveiliging tegen DDoS aanvallen.
3.3 De veiligheidsmaatregelen bieden een passend beveiligingsniveau gelet op de risico's die de Verwerking en de aard van te beschermen gegevens met zich meebrengen.
3.4 De veiligheidsmaatregelen zijn adequaat en voldoen aan de relevante standaarden en kwaliteitseisen.
3.5 Op verzoek van de Verwerkingsverantwoordelijke zal Logi-Cal documentatie overleggen waarin de getroffen maatregelen staan beschreven en zal Logi-Cal audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk maken en eraan bijdragen.
3.6 Logi-Cal biedt een systeem dat in technisch opzicht adequaat beveiligd is. Het is aan de Verwerkingsverantwoordelijke om op de juiste en passende wijze gebruik te maken van het systeem.
4. Inbreuk in verband met Persoonsgegevens
4.1 Enig (vermoeden van een) datalek zal onverwijld aan de andere Partij worden gemeld teneinde de vervolgstappen te bespreken. Een en ander moet worden afgesproken in het kader van de meldingsplicht die de Verwerkingsverantwoordelijke heeft. Een dergelijk (vermoeden van een) datalek moet niet alleen door Logi-Cal aan de Verwerkingsverantwoordelijke worden gemeld, maar tevens zo spoedig mogelijk door de Verwerkingsverantwoordelijke aan de toezichthoudende autoriteit. Dit is in het belang van het stoppen van een eventueel datalek.
4.2 Logi-Cal zal als Verwerker binnen de 24 uren na vaststelling van een (vermoedelijk) datalek de Verwerkingsverantwoordelijke hiervan op de hoogte stellen en indien mogelijk de reeds genomen stappen toelichten. Logi-Cal heeft geen plicht tot melding aan de toezichthoudende autoriteit.
4.3 De Verwerkingsverantwoordelijke zal op zijn beurt binnen de 72 uren na vaststelling van een (vermoedelijk) datalek de toezichthoudende autoriteit hiervan op de hoogte stellen en indien mogelijk de reeds genomen stappen toelichten. Indien er sprake is van gevoelige data dient eveneens de Betrokkene op de hoogte te worden gesteld.
5. Geheimhouding
5.1 Op Logi-Cal rust ingevolge de Heersende Wetgeving een wettelijke geheimhoudings-verplichting. Logi- Cal is gehouden de ontvangen Persoonsgegevens als vertrouwelijk te behandelen.
5.2 Logi-Cal verplicht zijn (oud-)werknemers en/of onderaannemers tot geheimhouding met betrekking tot alle Persoonsgegevens waarvan zij in het kader van de levering van haar diensten kennisnemen.
5.3 De verstrekte Persoonsgegevens worden door Logi-Cal niet zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke aan Derden ter beschikking gesteld, tenzij de Verwerkingsverantwoordelijke daartoe krachtens enige wetsbepaling, voorschrift of andere regelgeving verplicht is.
5.4 Indien Logi-Cal een verzoek of een bevel van een Belgische of buitenlandse toezichthouder of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) (Persoons)gegevens te verschaffen, waaronder maar niet beperkt tot een verzoek op grond van de USA Patriot Act, zal Logi-Cal de Verwerkingsverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Logi-Cal alle redelijke verzoeken van de Verwerkingsverantwoordelijke in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan de Verwerkingsverantwoordelijke over te laten) en alle redelijkerwijs benodigde medewerking verlenen. In het geval er sprake is van een verplichting van een overheid tot geheimhouding van een verzoek of bevel zal Logi-Cal trachten zo veel mogelijk in het belang van de Verwerkingsverantwoordelijke te handelen.
6. Andere verwerkers
6.1 Logi-Cal doet voor de uitvoering van haar diensten beroep op Combell NV (BE 0541.977.701) als sub- verwerker.
6.2 Logi-Cal neemt geen andere Verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht Logi-Cal de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere Verwerkers, waarbij de Verwerkings-verantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
6.3 Wanneer Logi-Cal een andere Verwerker in dienst neemt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een overeenkomst of een andere rechtshandeling krachtens EU-recht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst of andere rechtshandeling tussen de Verwerkingsverantwoordelijke en Logi- Cal zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de Verwerking aan de Heersende Wetgeving voldoet.
6.4 Wanneer de andere Verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Logi- Cal ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere Verwerker.
7. Betrokkene
7.1 Logi-Cal zal handelen naar de aanwijzingen van de Verwerkingsverantwoordelijke met betrekking tot een verzoek van een Betrokkene omtrent diens Persoonsgegevens.
7.2 In het geval een Betrokkene enig verzoek doet met betrekking tot zijn of haar Persoonsgegevens aan Logi-Cal, zal Logi-Cal een dergelijk verzoek onverwijld doorwijzen naar de Verwerkingsverantwoordelijke in diens rol als verantwoordelijke.
8. Ontbinding
8.1 Elke Partij heeft het recht om de Verwerkersovereenkomst en de tussen Partijen gesloten initiële overeenkomst te allen tijde, met onmiddellijke ingang, zonder voorafgaande rechterlijke machtiging of ingebrekestelling en zonder betaling van enige schadevergoeding, te ontbinden in de volgende gevallen: (i) indien de andere Partij, ondanks schriftelijke ingebrekestelling waarbij een termijn van tenminste 7 kalenderdagen in acht wordt genomen, in gebreke blijft met de (tijdige en behoorlijke) nakoming van één of meer uit de Verwerkersovereenkomst voortvloeiende verplichtingen; (ii) bij staking van betaling of (de aanvraag van) een faillissement of enige reorganisatie onder de Wet van 31 januari 2009 door de andere Partij; (iii) bij vereffening of stopzetting van de activiteiten van de andere Partij;
(iv) indien beslag wordt gelegd op (een deel van) de vermogensbestanddelen van de andere Partij; of
(v) indien deze Partij goede redenen heeft om eraan te twijfelen dat de andere Partij zijn verplichtingen jegens haar zal nakomen.
9. Aansprakelijkheid
9.1 Tenzij uitdrukkelijk anders overeengekomen, zijn al de verbintenissen van Logi-Cal onder deze Verwerkersovereenkomst middelenverbintenissen. Onverminderd afwijkende dwingende wettelijke bepalingen, is Logi-Cal slechts aansprakelijk voor schade veroorzaakt wegens de niet-naleving van deze verbintenissen, indien en voor zover die schade is veroorzaakt door een opzettelijke of zware fout of door bedrog. Voor overige fouten is Logi-Cal niet aansprakelijk.
9.2 Ingeval Logi-Cal aansprakelijk wordt gehouden voor enigerlei schade, is deze aansprakelijkheid beperkt tot maximaal de factuurwaarde van de bestelling van de Verwerkingsverantwoordelijke, althans tot dat gedeelte van de bestelling waarop de aansprakelijkheid betrekking heeft. Logi-Cal is uitsluitend aansprakelijk voor directe schade. Logi-Cal is nooit aansprakelijk voor indirecte schade, met inbegrip van doch niet uitsluitend gevolgschade, gederfde winst, gemiste besparingen of schade aan Derden.
9.3 Ingeval van overmacht worden de verplichtingen van Logi-Cal opgeschort en is Logi-Cal van rechtswege bevrijd en niet gehouden tot nakoming van enige verbintenis jegens de Verwerkingsverantwoordelijke. Overmacht in hoofde van de Verwerkingsverantwoordelijke wordt hierbij uitdrukkelijk uitgesloten.
10. Toepasselijk recht en bevoegdheid
10.1 Deze Verwerkersovereenkomst wordt exclusief beheerst door en geïnterpreteerd overeenkomstig het Belgisch recht. De rechtbanken van Limburg zijn exclusief bevoegd voor elk geschil betreffende deze Verwerkers-overeenkomst.
11. Slotbepalingen
11.1 Partijen verbinden zich ertoe niets bekend te maken met betrekking tot deze Verwerkersovereenkomst, tenzij in geval van (i) een wettelijke of reglementaire verplichting, (ii) een gerechtelijk onderzoek, of (iii) een gerechtelijke procedure. In dit geval dient de andere Partij op voorhand ingelicht te worden over de timing en de inhoud van de mededeling.
11.2 Geen enkele Partij bij deze Verwerkersovereenkomst kan geacht worden afstand te hebben gedaan van een recht of aanspraak die zij heeft onder of ten gevolge van deze Verwerkersovereenkomst tenzij deze afstand schriftelijk is meegedeeld.
11.3 Indien enige verbintenis of modaliteit in deze Verwerkersovereenkomst onafdwingbaar zou zijn of strijdig met een bepaling van dwingend recht, zal deze onafdwingbaarheid of ongeldigheid de geldigheid en afdwingbaarheid niet beïnvloeden van andere bepalingen in de Verwerkersovereenkomst, en evenmin van dat deel van de desbetreffende bepaling dat niet strijdig is met dwingend recht. De onwettige, ongeldige of onafdwingbare bepaling zal automatisch geacht worden vervangen te zijn door een bepaling die wettig, geldig en afdwingbaar is en zo nauw mogelijk aansluit bij de intentie die aan de onwettige, ongeldige of onuitvoerbare bepaling ten grondslag lag en zal deze in gewijzigde vorm worden toegepast.
11.4 De Verwerkingsverantwoordelijke mag haar rechten of verplichtingen uit deze Verwerkers- overeenkomst niet overdragen zonder de voorafgaande schriftelijke toestemming van Logi-Cal.
* * *
Opgesteld op 05/10/2018 te Hasselt.