van de VREG van 12/11/2019
Beslissing
van de VREG van 12/11/2019
met betrekking tot een wijziging aan het toegangscontract (Bijlage 7: Gegevensverwerking)
BESL-2019-84
Gelet op het decreet van 8 mei 2009 houdende algemene bepalingen betreffende het energiebeleid (hierna: “Energiedecreet”);
Gelet op het Technisch Reglement Distributie Elektriciteit van 20 september 20191 (hierna: “TRDE”);
Gelet op het Technisch Reglement Distributie Gas van 20 september 20192 (hierna: “TRDG”);
Gezien de vraag van Fluvius System Operator cvba (hierna: Fluvius) in naam en voor rekening van de door de VREG op basis van artikel 4.1.1 van het Energiedecreet aangewezen distributienetbeheerders actief in het Vlaamse Gewest dd. 25/10/2019 om goedkeuring van een wijziging aan het contract, gesloten tussen de elektriciteits- en aardgasdistributienetbeheerder en de toegangshouder actief in het Vlaamse gewest, dat de rechten en plichten met betrekking tot de toegang tot het elektriciteits- en gasdistributienet bepaalt (hierna: “Toegangscontract”);
Gezien de nieuwe “Bijlage 7 Gegevensverwerking”, waarvan voorgesteld wordt om deze als nieuwe bijlage toe te voegen aan het Toegangscontract, en aldus het voorwerp uitmaakt van de wijziging van het Toegangscontract (hierna: “Bijlage 7”);
Overwegende dat de VREG overeenkomstig de artikelen 4.2.1, §2, 6° van het Energiedecreet en het artikel 1.2.4 van zowel het TRDE als het TRDG bevoegd is om wijzigingen aan modelcontracten inzake toegang goed te keuren;
Overwegende dat de Bijlage 7 in overleg tussen Febeg en Fluvius werd opgesteld;
Overwegende dat door Xxxxxxx van 15/07/2019 tot en met 15/09/2019 een publieke consultatie hierover werd georganiseerd;
Dat er evenwel geen opmerkingen van marktpartijen werden ontvangen;
Overwegende dat de Bijlage 7 bepaalt dat de contractpartijen bij de verwerking van persoonsgegevens te allen tijde hun respectieve verplichtingen onder alle toepasselijke gegevensbeschermingswetgeving dienen na te leven;
Overwegende dat de Bijlage 7 bijkomende verplichtingen inzake gegevensverwerking tussen contractpartijen bevat (o.a. bijstandsverplichting);
Overwegende dat de Bijlage 7 een bijlage m.b.t. technische en organisatorische maatregelen bevat; Overwegende dat de Bijlage 7 voorziet in een vrijwaringsregeling tussen contractpartijen;
Dat deze regeling inhoud dat contractpartijen elkaar schadeloos moeten stellen met betrekking tot alle bewezen schade (inclusief verliezen en kosten) opgelopen ingevolge acties, aanspraken of vorderingen van derden als gevolg van de niet-naleving van een contractpartij, diens aangestelden of onderaannemers van de toepasselijke gegevensbeschermingswetgeving, de verplichting in het toegangscontract om de persoonsgegevens vertrouwelijk te behandelen en de Bijlage 7;
―
1 Goedgekeurd via beslissing dd. 23 september 2019 (BESL-2019-60), xxxxx://xxx.xxxx.xx/xx/xxxxxxxx/xxxx-0000-00
2 Goedgekeurd via Beslissing dd. 23 september 2019 (BESL-2019-61), xxxxx://xxx.xxxx.xx/xx/xxxxxxxx/xxxx-0000-00
3 xxxxx://xxx.xxxx.xx/xx/xxxxxxxxxx-xxxxxxxx
BESL-2019-84 12/11/2019 2/4
Dat de Bijlage 7 stelt dat de aansprakelijkheidsbeperkingen- en uitsluitingen van het toegangscontract niet van toepassing zijn op de aansprakelijkheid van de contractpartijen voor de niet-naleving van de in de voorliggende Bijlage opgesomde verplichtingen;
Overwegende dat er met betrekking tot de thans voorliggende Bijlage 7 en de gevolgde wijzigingsprocedure geen strijdigheden met de hogere regelgeving zijn vastgesteld;
Overwegende dat er geen bijkomende opmerkingen van marktpartijen tijdens de consultatie werden ontvangen.
BESL-2019-84 12/11/2019 3/4
Beschikkend gedeelte
De VREG beslist:
Artikel 1. De door Fluvius System operator cvba voorgestelde wijziging, zijnde de toevoeging van een nieuwe “Bijlage 7 Gegevensverwerking” aan het Toegangscontract, zoals overgemaakt aan de VREG bij brief van 25 oktober 2019, wordt goedgekeurd.
Artikel 2. De beslissing treedt in werking op 14 november 2019, zijnde de dag van de publicatie van deze beslissing.
Voor de XXXX
Xxxxxxx, 00 november 2019
Xxxxxxxxx Xxxxxx Algemeen Directeur
Bijlage: “Bijlage 7 Gegevensverwerking”
BESL-2019-84 12/11/2019 4/4
Bijlage 7: Gegevensverwerking
Overeenkomst bescherming persoonsgegevens
Aangezien:
- de Toegangshouder een Toegangscontract is aangegaan met de Distributienetbeheerder om de voorwaarden te bepalen voor het verlenen van Toegang tot het net voor de Toegangshouder.
- partijen in het kader van deze Overeenkomst bepaalde Persoonsgegevens verwerken in uitvoering van decretaal bepaalde taken.
- de Toegangshouder en de Distributienetbeheerder in deze bijlage de principes en bepalingen wensen vast te leggen die gelden wanneer zij Persoonsgegevens verwerken onder of in het kader van onderhavig Toegangscontract
Wordt overeen gekomen dat:
Artikel 1: Interpretatie
Deze Bijlage wordt beheerst door de voorwaarden uiteengezet in onderhavig Toegangscontract. Begrippen met een hoofdletter die niet zijn gedefinieerd in deze Bijlage krijgen de betekenis zoals aangegeven in het Toegangscontract.
In deze Bijlage Gegevensverwerking betekent:
• Gegevensbeschermingswetgeving: enige wet, normatieve handeling, regelgeving, regelgevingsbeleid, ordonnantie en secundaire wet- en regelgeving betreffende de verwerking, de privacy en het gebruik van Persoonsgegevens, voor zover van toepassing op de Toegangshouder en/of de Distributienetbeheerder, inclusief:
a) De Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens; en
b) De Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (AVG), en elke overeenstemmende of gelijkaardige nationale wetgeving en regelgeving in België
In ieder geval, zoals van kracht en van toepassing, en zoals gewijzigd, aangevuld of vervangen van tijd tot tijd;
• Bijlage Gegevensverwerking: de huidige bijlage inzake gegevensverwerking, inclusief enige bijlagen aan deze bijlage inzake gegevensverwerking;
• Persoonsgegevens: de persoonsgegevens die [Toegangshouder] en/of [DNB] verwerken onder of in het kader van de Overeenkomst. “Verwerking” van persoonsgegevens en “persoonsgegevens” zullen de betekenis krijgen die hieraan wordt gegeven in de Gegevensbeschermingswetgeving.
De Partijen erkennen en komen overeen dat deze Bijlage Gegevensverwerking integraal deel uitmaakt van het Toegangscontract. Indien er enig conflict of tegenstrijdigheid bestaat tussen een bepaling in deze Bijlage Gegevensverwerking en het Toegangscontract (en diens overige bijlagen), dan zal de bepaling in deze Bijlage Gegevensverwerking voorrang hebben op de bepaling in het Toegangscontract (en diens overige bijlagen).
Artikel 2: Naleving van wet- en regelgeving en wederzijdse bijstand
De Partijen erkennen dat zij, in het kader van de Overeenkomst, Persoonsgegevens, waaronder technische gegevens, meetgegevens en relationele gegevens, met elkaar kunnen delen.
Iedere Partij, wanneer zij Persoonsgegevens verwerkt onder of in het kader van onderhavig Toegangscontract, bepaalt alleen (en niet samen met de andere Partij) het doel en de middelen van de verwerking, overeenkomstig haar wel omlijnde decretaal omschreven opdracht. Iedere Partij treedt dus op als afzonderlijke verwerkingsverantwoordelijke.
Bij de verwerking van Persoonsgegevens zullen de Partijen te allen tijde hun respectieve verplichtingen onder alle toepasselijke Gegevensbeschermingswetgeving naleven.
Iedere Partij verbindt zich ertoe:
a) niets te doen of toe te staan waardoor de andere Partij enige aansprakelijkheid zou oplopen onder de toepasselijke Gegevensbeschermingswetgeving;
b) te allen tijde haar verplichtingen onder de toepasselijke wet- en regelgeving en normering inzake de beveiliging van netwerk- en informatiesystemen na te leven;
c) de technische en organisatorische maatregelen in bijlage 1 bij deze Bijlage Gegevensverwerking te treffen ten einde de veiligheid van de Persoonsgegevens te waarborgen;
d) de andere Partij redelijke bijstand en informatie te verlenen indien zij hierom verzoekt, inclusief:
▪ wanneer dit naar het redelijke oordeel van de andere Partij noodzakelijk is om de naleving van de toepasselijke Gegevensbeschermingswetgeving te garanderen;
▪ bij de behandeling van verzoeken van betrokkenen bij de uitoefening van hun rechten of bij enig onderzoek of handhavingsactiviteit door een toezichthoudende autoriteit of andere regelgevende instantie, indien en voor zover deze betrekking hebben op de verwerking van Persoonsgegevens onder of in het kader van de uitvoering van het Toegangscontract;
e) de andere Partij:
▪ onmiddellijk in kennis te stellen van enige klacht ingesteld bij en/of onderzoek door de toezichthoudende autoriteit of andere regelgevende instantie, indien en voor zover deze klacht en/of dit onderzoek betrekking heeft op de verwerking van Persoonsgegevens onder of in het kader van de uitvoering van het Toegangscontract;
▪ onmiddellijk in kennis te stellen van enige klacht ingesteld door of namens een betrokkene waarvan zij kennis krijgt, indien en voor zover deze klacht betrekking heeft op de verwerking van Persoonsgegevens onder of in het kader van de uitvoering van het Toegangscontract; en
▪ zo snel als redelijkerwijze mogelijk, en in elk geval binnen de drie [3] kalenderdagen na hier kennis van te hebben genomen, te informeren over enige inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot de Persoonsgegevens verwerkt onder of in het kader van de uitvoering van het Toegangscontract.
Artikel 3: Aansprakelijkheid
Niettegenstaande enige andersluidende bepaling in het Toegangscontract, stelt iedere Partij (de Vrijwarende Partij) de andere Partij (de Gevrijwaarde Partij) schadeloos met betrekking tot alle bewezen schade (inclusief verliezen en kosten) opgelopen door de Gevrijwaarde Partij ingevolge de niet-naleving door de Vrijwarende Partij , diens aangestelden of onderaannemers van:
a) de toepasselijke Gegevensbeschermingswetgeving;
b) de verplichting in het Toegangscontract om de Persoonsgegevens vertrouwelijk te behandelen; en
c) deze Bijlage Gegevensverwerking (inclusief bijlage 1 bij deze Bijlage Gegevensverwerking).
In voorkomend geval vrijwaart de Vrijwarende Partij de Gevrijwaarde Partij tegen alle acties, aanspraken of vorderingen van derden tegen de Gevrijwaarde Partij indien – en in de mate dat – deze het gevolg zijn van de niet-naleving door de Vrijwarende Partij van de in dit artikel 3 opgesomde verplichtingen.
Voor de doeleinden van artikel 3 wordt de term “derden” gedefinieerd als zijnde eender welke persoon die geen partij is bij het Toegangscontract.
De verbintenis tot schadeloosstelling en vrijwaring in artikel 3 is niet van toepassing op het bedrag van de administratieve of strafrechtelijke geldboetes die aan de Gevrijwaarde Partij worden opgelegd door een gegevensbeschermingsautoriteit, een toezichthouder of een gerechtelijke instantie ingevolge een door dergelijke instantie vastgestelde niet-naleving in hoofde van de Gevrijwaarde Partij zelf.
De Partijen verbinden zich ertoe de nodige verzekeringen af te sluiten bij een internationaal erkende verzekeringsmaatschappij teneinde hun aansprakelijkheid ten aanzien van de andere Partij onder de bepalingen van deze Bijlage Gegevensbescherming te dekken.
Iedere Partij is verantwoordelijk voor de verwerker(s) die hij inschakelt met betrekking tot de Persoonsgegevens.
De Partijen komen overeen dat de aansprakelijkheidsbeperkingen- en uitsluitingen in artikel 12 van het Toegangscontract niet van toepassing zijn op de aansprakelijkheid van de Partijen voor de niet-naleving van de in dit artikel 3 van deze Bijlage Gegevensverwerking opgesomde verplichtingen.
Bijlage 1 bij de Bijlage Gegevensverwerking Technische en organisatorische maatregelen
Standaardpraktijken in de sector moeten toegepast worden om een veilige omgeving te creëren voor alle hardware of software die betrekking heeft op Persoonsgegevens die in het kader van de uitvoering van het Toegangscontract verwerkt worden, ter bescherming tegen o.a. ongeoorloofde of onrechtmatige verwerking, overdracht, doorgifte, vernietiging of beschadiging, gebruik, wijziging of openbaarmaking.
De Partijen verbinden zich ertoe om passende organisatorische, administratieve, technische en fysieke beveiligingsmaatregelen door te voeren en te handhaven om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Persoonsgegevens te beschermen. Dit alles moet gebaseerd zijn op best practices.
Met name verbinden de Partijen zich ertoe:
a) een adequaat informatiebeveiligingsbeleid voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven;
b) Persoonsgegevens te hosten in gecertificeerde gegevenscentra (bijvoorbeeld ISO 27001) of gelijkwaardig. De gelijkwaardigheid wordt aangetoond door de Partij die zich hierop beroept;
c) passende technologische middelen in te zetten om zowel opgeslagen als verstuurde Persoonsgegevens te beschermen tegen o.a. ongeoorloofde of onrechtmatige verwerking, overdracht, doorgifte, vernietiging of beschadiging, gebruik, wijziging of openbaarmaking;
d) passende systeem- en netwerkbeheerprocedures voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven;
e) fysieke toegangscontroles voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven;
f) logische toegangscontroles voor aanvang van het Toegangscontract door te voeren en tijdens de duur van het Toegangscontract te handhaven.