Toetredingovereenkomst voor de verwerking van persoonsgegevens in het kader van de Documentendienst

Toetredingovereenkomst voor de verwerking van persoonsgegevens in het kader van de Documentendienst

Agentschap Digitaal Xxxxxxxxxx Xxxxxxxxx 00, 0000 Xxxxxxx

KBO nummer: 0316.380.841

Telefoonnummer: 09 276 15 00

e-mailadres: xxxxxxxx.xxxxxxxxxx@xxxxxxxxxx.xx

Functionaris voor gegevensbescherming - e-mailadres xxx.xxxxxxxx@xxxxxxxxxx.xx

OVERWEGENDE DAT,

A. Digitaal Vlaanderen is een intern verzelfstandigd agentschap van de Vlaamse overheid met onder meer de taak om instanties te ondersteunen in hun contacten met burgers, ondernemingen en organisaties en hun digitalisering en vereenvoudiging van dienstverlening en processen, dit overeenkomstig artikels 4,6° en 4,8° van het besluit van de Vlaamse regering van 18 maart 2016 houdende de oprichting van het intern verzelfstandigd agentschap Digitaal Vlaanderen en de vaststelling van de werking, het beheer en de boekhouding van het Eigen Vermogen Digitaal Vlaanderen.

B. In dat kader biedt Digitaal Vlaanderen een dienstverlening aan waarbij ze de aansluiting voorziet met het door de opdrachtgevende instantie (de entiteit die digitaal documenten wenst te versturen) gewenste kanaal, zijnde hetzij een beveiligde elektronische brievenbus (de eBox voor natuurlijke personen en/of de eBox voor ondernemingen), hetzij een print- en leverdienstenleverancier om digitale documenten via een analoge postdienst te verzenden. Daarnaast biedt Digitaal Vlaanderen een dienstverlening aan waarbij ze als document provider eBox-documenten gedurende een door de opdrachtgevende instantie bepaalde termijn voor ontsluiting ter beschikking stelt aan de HIP’s.

Wanneer de opdrachtgevende instantie gebruik maakt van de Documentendienst, treedt Digitaal Vlaanderen op als verwerker en de opdrachtgevende instantie als verwerkingsverantwoordelijke. De verbintenissen die Digitaal Vlaanderen als verwerker opneemt, worden opgelijst in deze overeenkomst. De opdrachtgevende instantie treedt als verwerkingsverantwoordelijke toe door bijlage 1 in te vullen en te ondertekenen.

C. De partijen dienen, in overeenstemming met art. 28 van de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) (hierna: AVG), hun afspraken met betrekking tot de uitvoering en organisatie van deze verwerking van persoonsgegevens te formaliseren in deze toetredingsovereenkomst voor de verwerking van persoonsgegevens (hierna: verwerkersovereenkomst).

1

WORDT OVEREENGEKOMEN WAT VOLGT,

1. Verwerkingsopdracht

1.1. Digitaal Vlaanderen verwerkt de persoonsgegevens uitsluitend overeenkomstig de verwerkingsopdracht, de in deze verwerkersovereenkomst vastgelegde verplichtingen en de toepasselijke wetgeving. Digitaal Vlaanderen verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de opdrachtgevende instantie. Digitaal Vlaanderen beschouwt de verwerkingsopdracht als de volledige instructie van de opdrachtgevende instantie.

1.2. De verwerkingsopdracht wordt nader omschreven in bijlage 2 bij deze overeenkomst. Deze bijlage omschrijft de eigenlijke verwerkingsopdracht, met name: het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegeven en de categorieën van betrokkenen.

2. Naleving van de wetgeving

2.1. Digitaal Vlaanderen verbindt zich ertoe om de wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens na te leven.

2.2. De opdrachtgevende instantie verbindt er zich toe de wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens na te leven. Dit houdt onder meer in dat wanneer Xxxxxxxx Vlaanderen optreedt als verwerker van een opdrachtgevende instantie in het kader van deze verwerkersovereenkomst, deze opdrachtgevende instantie er steeds op zal toezien dat er een gepaste rechtsgrond voor de verwerking bestaat en dat deze, indien noodzakelijk, een gegevensbeschermingseffectbeoordeling opstelt.

2.3. Indien Digitaal Vlaanderen van oordeel is dat de verwerkingsopdracht niet of niet meer in overeenstemming is met de relevante wet- of regelgeving, licht ze de opdrachtgevende instantie daarover in en kan ze de verwerking tijdelijk of permanent stopzetten. De opdrachtgevende instantie onderzoekt de melding door Digitaal Vlaanderen. Indien dit onderzoek uitwijst dat de verwerking toch nog steeds conform de relevante wet- of regelgeving verloopt, kan de opdrachtgevende instantie Digitaal Vlaanderen opdragen om de verwerking te hervatten. In het tegenovergestelde geval zal ze Digitaal Vlaanderen bevestigen dat de verwerking opgeschort blijft tot wanneer de vereisten van de regelgeving zijn voldaan.

2.4. Indien opdrachtgevende instantie van oordeel is dat de verwerkingsopdracht niet of niet meer in overeenstemming is met de relevante wet- of regelgeving, licht ze Digitaal Vlaanderen daarover in en draagt ze hem onmiddellijk op om de verwerking per direct al dan niet tijdelijk stop te zetten.

3. Doorgifte

Digitaal Vlaanderen zal de persoonsgegevens die verwerkt worden niet doorgeven aan enige derde partij anders dan noodzakelijk voor de uitvoering van de verwerkingsopdracht, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting. In dat geval zal Digitaal Vlaanderen de opdrachtgevende instantie voorafgaandelijk aan de doorgifte in kennis stellen van dat wettelijk

2

voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4. Vertrouwelijkheid personeel

Alle medewerkers van Digitaal Vlaanderen, zowel intern als extern, gemachtigd tot het uitvoeren van de verwerkingsopdracht, zijn gehouden tot een wettelijke dan wel contractuele vertrouwelijkheidsverplichting.

5. Onderverwerking

5.1. De opdrachtgevende instantie gaat akkoord met het gebruik van de onderverwerker(s) zoals vermeld in bijlage 3.

5.2. Digitaal Vlaanderen kan onderverwerkers toevoegen of vervangen. Digitaal Vlaanderen zal beroep doen op subverwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. De opdrachtgevende instantie krijgt ten minste dertig (30) kalenderdagen voor een wijziging van de onderverwerker een notificatie.

5.3. De opdrachtgevende instantie kan gedurende deze dertig (30) kalenderdagen gemotiveerd bezwaar aantekenen tegen een aanstelling van een nieuwe onderverwerker. In dat geval zullen Digitaal Vlaanderen en de opdrachtgevende instantie gezamenlijk tot een oplossing proberen komen en zal derhalve overeengekomen worden dat:

- de onderverwerker alsnog zal worden ingeschakeld; of

- de onderverwerker zal worden vervangen door een andere door Digitaal Vlaanderen voorgestelde onderverwerker; of

- de onderverwerker die Digitaal Vlaanderen heeft voorgesteld, niet zal worden aangesteld.

Bij gebrek aan enig akkoord heeft de opdrachtgevende instantie het recht om de verwerkingsopdracht kosteloos te beëindigen.

5.4. Indien Digitaal Vlaanderen beroep doet op een onderverwerker, is het volgende altijd van toepassing:

- de aanstelling van een onderverwerker doet geen afbreuk aan de verplichtingen die op Digitaal Vlaanderen rusten overeenkomstig de verwerkingsopdracht of deze verwerkersovereenkomst ;

3

- Digitaal Vlaanderen zal met haar aangestelde onderverwerkers een overeenkomst afsluiten waarin minstens de verplichtingen inzake gegevensbescherming van deze verwerkersovereenkomst zijn opgenomen; en

Digitaal Vlaanderen blijft ten aanzien van de opdrachtgevende instantie volledig verantwoordelijk voor de verplichtingen waarvoor zij beroep doet op een onderverwerker.

6. Technische en organisatorische maatregelen

Digitaal Vlaanderen treft alle passende technische en organisatorische maatregelen om het beveiligingsniveau van de verwerking te waarborgen, hierbij rekening houdende met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

De technische en organisatorische maatregelen die door Digitaal Vlaanderen worden getroffen kunnen door de opdrachtgevende instantie op éénvoudig verzoek opgevraagd worden via de MAGDA Service Desk via xxxxx://xxx.xxxxxxxxxx.xx/xxxxx/xxxxxxx. Indien Digitaal Vlaanderen zou oordelen dat bijkomende technische en organisatorische maatregelen dienen te worden getroffen, licht ze de opdrachtgevende instantie hierover in.

7. Rechten betrokkene

Digitaal Vlaanderen staat de opdrachtgevende instantie bij in haar verplichting te antwoorden op verzoeken van een betrokkene tot uitoefening van zijn rechten zoals vastgesteld in de toepasselijke wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dit houdt in dat Digitaal Vlaanderen de betrokken opdrachtgevende instantie zo snel mogelijk op de hoogte zal stellen indien zij dergelijk verzoek ontvangt en op vraag van de betrokken opdrachtgevende instantie de nodige verwerkingshandelingen zal stellen die volgen uit de uitoefening van deze rechten.

8. Inbreuken

8.1. In geval van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (hierna: de ‘inbreuk in verband met persoonsgegevens’) brengt Digitaal Vlaanderen de opdrachtgevende instantie daarvan zonder onredelijke vertraging op de hoogte.

8.2. De melding omvat, voor zover deze informatie voor Digitaal Vlaanderen beschikbaar is:

- de aard van de inbreuk in verband met persoonsgegevens, indien mogelijk met vermelding van de categorieën van betrokkenen en, bij benadering, het aantal betrokkenen;

- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

4

- de maatregelen die Digitaal Vlaanderen voorstelt te nemen en/of reeds heeft genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan;

- de naam en de contactgegevens van de functionaris voor gegevensbescherming van Digitaal Vlaanderen.

8.3. De melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en eventueel aan de betrokkene blijft uitsluitend de verantwoordelijkheid van de opdrachtgevende instantie. Digitaal Vlaanderen zal hier wel indien gevraagd de nodige bijstand bij verlenen.

9. Audits

Digitaal Vlaanderen zal op vraag van een opdrachtgevende instantie alle informatie ter beschikking stellen die redelijkerwijs is vereist in het kader van een audit of inspectie door de opdrachtgevende instantie of een door de opdrachtgevende instantie gemachtigde controleur. Elke audit die door een opdrachtgevende instantie gevraagd of uitgevoerd wordt, zal volledig op kosten van deze opdrachtgevende instantie gebeuren, tenzij uit de bevindingen van de audit blijkt dat Digitaal Vlaanderen ernstig is tekort geschoten in de naleving van de bepalingen uit deze overeenkomst. In dat geval komen de kosten voor rekening van Digitaal Vlaanderen.

10. Internationale doorgifte van de gegevens

10.1. Digitaal Vlaanderen is niet gerechtigd om persoonsgegevens in een land buiten de Europese Economische Ruimte (hierna: de “E.E.R.”) te verwerken, tenzij de opdrachtgevende instantie aan de Digitaal Vlaanderen expliciet schriftelijk toestemming verleent of om te voldoen aan een specifieke eis uit hoofde van het Unierecht of lidstatelijk recht waaraan de verwerker is onderworpen. In dat geval stelt de verwerker de opdrachtgevende instantie, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Met behoud van bovenstaande, ziet Xxxxxxxx Vlaanderen ziet er tevens op toe dat geen van haar onderverwerkers persoonsgegevens in een land buiten de E.E.R. verwerkt.

10.2. Indien Digitaal Vlaanderen de persoonsgegevens, na daartoe verkregen schriftelijke toestemming van opdrachtgevende instantie , verwerkt in een land buiten de E.E.R., gaan de partijen hierbij aanvullend op deze overeenkomst akkoord met de ongewijzigde versie van de door de Europese Commissie goedgekeurde “Standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen” en/of nemen de partijen kennis van eventuele Bindende Bedrijfsvoorschriften die van toepassing zouden zijn op de internationale doorgifte van persoonsgegevens.

5

10.3. De opdrachtgevende instantie gaat bij aanvang van deze overeenkomst akkoord met de eventuele gegevensdoorgifte die gepaard gaat met het gebruik van de onderverwerkers of verwerkers van onderverwerkers zoals opgenomen in bijlage 3

11. Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Digitaal Vlaanderen zal – rekening houdende met de aard van de verwerking en de ter haar beschikking staande informatie – de opdrachtgevende instantie desgevallend bijstaan in haar verplichting tot het opstellen van een gegevensbeschermingseffectbeoordeling, inzonderheid om te komen tot een volwaardige en correcte risicobeoordeling en -beheersing. Dit met name door een overzicht te geven van de technische en organisatorische maatregelen die getroffen werden. In het bijzonder zal de opdrachtnemer alle maatregelen die genomen zijn in het kader van informatieveiligheid ter beschikking stellen aan de opdrachtgever. Desgevallend zal Digitaal Vlaanderen eveneens haar bijstand verlenen bij een voorafgaande raadpleging aan de toezichthoudende autoriteit.

12. Inwerkingtreding, duur en beëindiging

12.1. Deze verwerkersovereenkomst treedt in werking op datum van ondertekening en is van onbepaalde duur. Ze eindigt van rechtswege na beëindiging van de verwerkingsopdracht.

12.2. Na beëindiging van de verwerkingsopdracht zal Digitaal Vlaanderen, naar keuze van de opdrachtgevende instantie, alle persoonsgegevens met betrekking tot de verwerkingsopdracht verwijderen of terugbezorgen en bestaande kopieën verwijderen. Digitaal Vlaanderen kan kopieën bewaren indien de opslag van persoonsgegevens verplicht is ingevolge een wettelijke verplichting.

13. Aansprakelijkheid

Digitaal Vlaanderen kan alleen aansprakelijk worden gesteld voor de bewezen schade die door een toerekenbare fout van Digitaal Vlaanderen of een onderverwerker van Digitaal Vlaanderen werd veroorzaakt ingevolge het bij de verwerking niet voldoen aan de specifiek tot verwerkers gerichte verplichtingen van de AVG, deze verwerkersovereenkomst of ingevolge het buiten dan wel in strijd met de rechtmatige instructies van de opdrachtgevende instantie handelen.

14. Diversen

14.1. In geval van betwisting is het Belgische recht van toepassing en zijn de hoven en rechtbanken van het gerechtelijk arrondissement Brussel, bevoegd.

14.2. Indien een bepaling van deze verwerkersovereenkomst geheel of gedeeltelijk ongeldig of niet- afdwingbaar wordt geacht, wordt deze (voor zover deze ongeldig of niet-afdwingbaar is) als

6

xxxxxxxxxx beschouwd en wordt de geldigheid van de andere bepalingen van deze verwerkersovereenkomst niet aangetast.

14.3. Met behoud van de bepalingen van de artikelen 3, 6 en 7 van deze overeenkomst, kan Digitaal Vlaanderen de overeenkomst eenzijdig wijzigen, overeenkomstig de volgende procedure:

- De opdrachtgevende instantie ontvangt minstens dertig (30) kalenderdagen op voorhand een notificatie van de voorgenomen wijzigingen;

- De opdrachtgevende instantie kan gedurende deze dertig (30) kalenderdagen opmerkingen met betrekking tot de voorgenomen wijziging schriftelijk aan Digitaal Vlaanderen bezorgen;

- Digitaal Vlaanderen zal vervolgens de opmerkingen in overweging nemen;

- Digitaal Vlaanderen zal uiteindelijk – rekening houdende met de opmerkingen – de definitieve wijzigingen dertig (30) kalenderdagen vooraleer dat ze van toepassing zijn meedelen aan de opdrachtgevende instantie. De opdrachtgevende instantie kan gedurende deze periode de overeenkomst eenzijdig beëindigen. Digitaal Vlaanderen voorziet een opzegperiode van maximaal 6 maanden.

14.4. Deze overeenkomst omvat alle afspraken met betrekking tot de MAGDA Documentendienst en vervangt alle overeenkomsten hieromtrent die deze overeenkomst predateren.

Deze overeenkomst werd elektronisch opgesteld en ondertekend.

Voor Digitaal Vlaanderen

Getekend door:Xxx Xxxxxx (Signature) Getekend op:2023-11-15 08:02:06 +01:0

Reden:Ik keur dit document goed

Xxx Xxxxxx Administrateur-generaal Digitaal Vlaanderen

Bijlagen:

- Bijlage 1: Instructie en toetreding opdrachtgevende instantie

- Bijlage 2: Toelichting verwerkingsopdracht

- Bijlage 3: Onderverwerkers

7