VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
TUSSEN Corilus NV, met maatschappelijke zetel te 5032 Gembloux, Rue Xxxxxxx Xxxxxx 23, met KBO-nummer 0428.555.896;
Hier rechtsgeldig vertegenwoordigd door haar bijzonder gevolmachtigde;
Hierna ‘Corilus’ of de ‘Verwerker’.
EN
(Naam) (Rechtsvorm)
(Adresgegevens)
(KBO-nummer) (RIZIV- nummer)
Tel.: / E-mail:
Hierna de ‘Klant’ of de ‘Verwerkingsverantwoordelijke’
OVERWEGENDE DAT
(a) Corilus en de Klant zijn vanaf 25 mei 2018 onderworpen aan de Algemene Verordening Gegevensbescherming (‘AVG’).
(b) Corilus en de Klant zijn verbonden door een contractuele relatie of een overeenkomst (beide hierna de Xxxxxxxxxxxxxxxxx) waarbij Corilus, als Verwerker van Persoonsgegevens, in opdracht van de Verwerkingsverantwoordelijke optreedt.
(c) In het kader van hun contractuele relatie, xxxxxx Xxxxxxx en de Klant in deze Verwerkersovereenkomst hun respectievelijke rechten en plichten te regelen inzake de Verwerking van Persoonsgegevens.
WORDT OVEREENGEKOMEN HETGEEN VOLGT
De in deze Overeenkomst in hoofdletter geschreven woorden zijn afkortingen, begrippen en verduidelijkingen die voor deze Overeenkomst de volgende betekenis hebben:
• AVG: De Algemene Verordening Gegevensbescherming, met name de verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens.
• Betrokkene(n): Identificeerbare of geïdentificeerde natuurlijke perso(o)n(en) wiens Persoonsgegevens verwerkt worden.
• Derde: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken. In het kader van deze Overeenkomst is een Subverwerker geen Derde.
• Inbreuk in verband met Persoonsgegevens: Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de Betrokkene”). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
• Subverwerker: Een natuurlijke persoon of rechtspersoon die rechtstreeks of onrechtstreeks onder de verantwoordelijkheid werkt van de Verwerker, met uitzondering van personen die in dienstverband voor de Verwerker werken.
• Toepasselijke Wetgeving: De Algemene Verordening Gegevensbescherming, andere Europese regelgeving waarin bepalingen met betrekking tot gegevensbescherming en privacy worden opgenomen, evenals de toepasselijke nationale wetgeving inzake gegevensbescherming en privacy in de lidstaten met haar wijzigingen en uitvoeringsbesluiten
• Toezichthoudende autoriteit: Een door een lidstaat ingestelde onafhankelijke overheidsinstantie, verantwoordelijk voor het toezicht op de toepassing van de AVG (België: Gegevensbeschermingsautoriteit).
• Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
• Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren,
opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
• Verwerkingsverantwoordelijke: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt. Wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het recht van de lidstaten worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
• WBP: De wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van Persoonsgegevens, alsmede het KB van 13 februari 2001.
Artikel 1. Toepassingsgebied
1.1. Deze overeenkomst is opgesteld in het kader van de AVG.
1.2. De bepalingen uit de Verwerkersovereenkomst zijn onverkort van toepassing op alle Verwerkingen van Persoonsgegevens die de Verwerker verricht in het kader van de uitvoering van de verwerkingsactiviteiten bepaald in Bijlage 1 van de Verwerkersovereenkomst.
Artikel 2. Schriftelijke instructies van de Verwerkingsverantwoordelijke
2.1 Bij de Verwerking van Persoonsgegevens handelen de Partijen in overeenstemming met de Toepasselijke Wetgeving.
2.2 De Verwerker wendt de Persoonsgegevens enkel aan voor de uitvoering van zijn verplichtingen in overeenstemming met de Verwerkersovereenkomst en volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke. De schriftelijke instructies worden opgenomen in Bijlage 1 van de Verwerkersovereenkomst. Indien de schriftelijke instructies niet duidelijk zijn, meldt de Verwerker dit schriftelijk aan de Verwerkingsverantwoordelijke waarop in onderling overleg de instructies zullen worden verduidelijkt.
2.3 Behoudens andersluidende bepalingen in de Verwerkersovereenkomst zal de Verwerker de Persoonsgegevens (i) niet gebruiken voor eigen doeleinden, (ii) niet doorsturen naar een land gelegen buiten de Europese Economische Ruimte, zonder daartoe een schriftelijke instructie te hebben ontvangen van de Verwerkingsverantwoordelijke.
2.4 Indien Europese of nationale regelgeving de Verwerker tot een bepaalde Verwerking verplicht, stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij die regelgeving deze kennisgeving om gewichtige reden van algemeen belang verbiedt.
2.5 De Verwerkingsverantwoordelijke geeft instructies aan de Verwerker in overeenstemming met de Toepasselijke Wetgeving en waarborgt dat alle Persoonsgegevens die aan de Verwerker worden toevertrouwd rechtmatig werden verkregen en kunnen worden verwerkt in het kader van de Hoofdovereenkomst.
2.6 De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie een inbreuk oplevert op de Toepasselijke Wetgeving.
Artikel 3. Technische en organisatorische beveiligingsmaatregelen
3.1 De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
3.2 Bij het bepalen van de maatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen. De maatregelen omvatten, waar passend, onder meer het volgende:
a) Pseudonimisering en versleuteling van Persoonsgegevens;
b) Het vermogen om op permanente basis de vertrouwelijkheid, integriteit en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
d) Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de Verwerking.
3.3 Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3.4 De Verwerker verbindt zich er toe de passende technische en organisatorische maatregelen die door hem worden getroffen op te sommen in Bijlage 2 van deze Verwerkersovereenkomst. Hij rapporteert op eigen initiatief aan de Verwerkingsverantwoordelijke de wijzigingen die aan de maatregelen worden doorgevoerd en dit binnen een termijn van veertien dagen na het aanbrengen van de wijzigingen.
3.5 Op vraag van de Verwerkingsverantwoordelijke beantwoordt de Verwerker alle vragen met betrekking tot de genomen technische en organisatorische maatregelen die van toepassing zijn op de verwerkte of te verwerken gegevens. Verder zal de Verwerker op eenvoudig verzoek van de Verwerkingsverantwoordelijke bewijs voorleggen dat de gepaste technische en organisatorische maatregelen effectief zijn genomen.
Artikel 4. Verwerking door Subverwerkers en werknemers
4.1 De Verwerker waarborgt dat de bepalingen van de Verwerkersovereenkomst worden nageleefd door zijn werknemers, vertegenwoordigers, agenten en onderaannemers. De Verwerker waarborgt dat de tot het verwerken van Persoonsgegevens gemachtigde personen zich contractueel ertoe hebben verbonden om de vertrouwelijkheid in acht te nemen dan wel door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. De Verwerker maakt zich sterk dat elke Subverwerker die hij toegang geeft tot de Persoonsgegevens de bepalingen van deze Verwerkersovereenkomst zal naleven.
4.2 Indien de Verwerker een beroep doet op een Subverwerker, garandeert hij dat deze contractueel onderworpen wordt aan minstens dezelfde verplichtingen als deze waartoe de Verwerker is gehouden ten aanzien van de Verwerkingsverantwoordelijke onder deze Verwerkersovereenkomst.
4.3 Wanneer de Verwerker verwerkingsactiviteiten van Persoonsgegevens toevertrouwt aan Subverwerkers zal de Verwerker ten aanzien van de Verwerkersverantwoordelijke volledig aansprakelijk blijven voor het nakomen van de verplichtingen van de Subverwerker.
Artikel 5. Bijstand met betrekking tot het gegevensbeschermingsbeleid
5.1 Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, verbindt de Verwerker zich ertoe bijstand te verlenen aan de Verwerkingsverantwoordelijke bij het naleven van de wettelijke verantwoordelijkheid van de Verwerkingsverantwoordelijke om volgende verplichtingen in het kader van gegevensbescherming na te leven:
a) Het treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen;
b) Het melden van een Inbreuk in verband met Persoonsgegevens aan de toezichthoudende autoriteit;
c) Het melden van een Inbreuk in verband met Persoonsgegevens aan de Betrokkene;
d) Het uitvoeren van een gegevensbeschermingseffectbeoordeling;
e) Het voorafgaand raadplegen van de toezichthoudende autoriteit indien uit de gegevensbeschermingseffectbeoordeling blijkt dat de Verwerking een hoog risico zou opleveren indien de Verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken.
5.2 In het verlengde van artikel 5.1, licht de Verwerker de Verwerkingsverantwoordelijke omstandig en onmiddellijk in over een (vermoedelijke) Inbreuk in verband met Persoonsgegevens alsook over iedere gegevenslek (ook bij de Subverwerker) zodra de Verwerker hiervan kennis heeft genomen. De kennisgeving gebeurt op een dergelijke wijze dat de Verwerkingsverantwoordelijke tijdig kan voldoen aan haar wettelijke verplichtingen als verwerkingsverantwoordelijke onder de Toepasselijke Wetgeving. Voor de melding zal de Verwerker het meldingsformulier van Bijlage 3 gebruiken.
5.3 De Verwerker levert tevens bijstand in het onderzoek naar en de beperking en remediëring van een Inbreuk in verband met Persoonsgegevens. Daarbij zal hij onder meer ook bijstand verlenen met het oog op het documenteren van maatregelen zoals gegevensbescherming door ontwerp en door standaardinstellingen.
5.4 De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis van enige gemaakte klacht, beschuldiging of aanvraag met betrekking tot de Verwerking van Persoonsgegevens door de Verwerker. De Verwerker biedt alle nodige medewerking en ondersteuning die de Verwerkingsverantwoordelijke redelijkerwijze kan verwachten met betrekking tot dergelijke klacht, beschuldiging of aanvraag, onder meer door volledige informatie te verstrekken over dergelijke klacht, beschuldiging of aanvraag.
Artikel 6. Bijstand met betrekking tot de verzoeken van de Betrokkene
6.1 De Verwerker zal elk verzoek of vraag die hij van een Betrokkene ontvangt in verband met de (Verwerking van) Persoonsgegevens onverwijld doorgeven aan de Verwerkingsverantwoordelijke, die beslist welke gevolgen hieraan zullen worden gegeven.
a) Dat de Verwerker alle door de Verwerkingsverantwoordelijke opgevraagde Persoonsgegevens bezorgt, binnen de door de Verwerkingsverantwoordelijke verzochte (redelijke) tijdsspanne, in ieder geval met inbegrip van de volledige details en kopieën van de klacht, mededeling of aanvraag en enige Persoonsgegevens in zijn bezit met betrekking tot een Betrokkene;
b) Dat de Verwerker zulke technische en organisatorische maatregelen implementeert die de Verwerkingsverantwoordelijke toelaten doeltreffend en tijdig te antwoorden op relevante klachten, mededelingen of aanvragen.
6.3 In het verlengde van artikel 6.2 verbindt de Verwerker zich ertoe de Verwerkingsverantwoordelijke onverwijld in te lichten indien hij van een Betrokkene een van de volgende verzoeken krijgt:
a) Een aanvraag tot inzage tot de Persoonsgegevens die van de Betrokkene worden verwerkt;
b) Een aanvraag tot rectificatie van onjuiste Persoonsgegevens;
c) Een aanvraag tot wissing van Persoonsgegevens;
d) Een aanvraag tot beperking van de Verwerking van Persoonsgegevens;
e) Een aanvraag tot het verkrijgen van een draagbare kopie van de Persoonsgegevens, of tot overdracht van een kopie aan een Derde;
f) Een bezwaar tegen enige Verwerking van Persoonsgegevens;
g) Elke andere aanvraag, klacht of mededeling met betrekking tot de verplichtingen van de Verwerkingsverantwoordelijke onder de Toepasselijke Wetgeving.
6.4 De Verwerker beantwoordt de verzoeken en aanvragen van de Betrokkenen niet zelf, behoudens eventuele andersluidende schriftelijke afspraken tussen de Verwerkingsverantwoordelijke en de Verwerker.
Artikel 7. Recht op controle
7.1 De Verwerkingsverantwoordelijke heeft steeds het recht om de naleving door de Verwerker van de Verwerkersovereenkomst te controleren. De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen in het kader van de Toepasselijke Wetgeving aan te tonen.
7.2 De Verwerkingsverantwoordelijke heeft de mogelijkheid om een onafhankelijke audit te laten uitvoeren door een onafhankelijke derde die door hem wordt aangeduid. De Verwerker kan redelijke bezwaren laten gelden met betrekking tot deze derde, behoudens indien deze derde de auditafdeling van KPMG, PWC, DELOITTE en ACCENTURE zou zijn.
7.3 Deze audit zal op kosten van de Verwerkingsverantwoordelijke geschieden en zal de normale werking van de Verwerker niet storen. De door de Verwerkingsverantwoordelijke aangestelde auditor zal vooraf een vertrouwelijkheidsovereenkomst met de Verwerker ondertekenen. Het door hem te voeren onderzoek en op te stellen verslag zal enkel betrekking hebben op het nazicht van de naleving van passende technische en organisatorische maatregelen die nodig zijn om de nakoming van de verplichtingen in het kader van de Toepasselijke Wetgeving en deze Verwerkersovereenkomst te waarborgen.
7.4 De Verwerker zal aan de aangestelde auditor eveneens inzage verlenen in de overeenkomsten die hij heeft gesloten met alle Subverwerkers die betrokken zijn bij de Verwerking van Persoonsgegevens.
7.5 De Verwerker verleent volledige medewerking met betrekking tot een dergelijke audit en levert, op vraag van de Verwerkingsverantwoordelijke, het bewijs van de naleving van zijn verplichtingen onder de Verwerkersovereenkomst.
Artikel 8. Functionaris voor de gegevensbescherming
8.1 De Verwerker zal conform artikel 37 AVG handelen wat betreft het aanstellen van een functionaris voor de gegevensbescherming.
8.2 De Verwerker zal de identiteit- en contactgegevens van de functionaris voor de gegevensbescherming bezorgen aan de Verwerkingsverantwoordelijke door middel van Bijlage 1 van de Verwerkersovereenkomst. Indien tijdens de duurtijd van deze Overeenkomst er een andere functionaris voor de gegevensbescherming wordt aangesteld, brengt de Verwerker de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte.
Artikel 9. Aansprakelijkheid
9.1 Deze bepalingen inzake aansprakelijkheid hebben uitsluitend betrekking op de eventuele aansprakelijkheid ten gevolge van een inbreuk op de Toepasselijke Wetgeving inzake gegevensbescherming en/of op deze Verwerkersovereenkomst.
9.2 De bepalingen van deze verwerkersovereenkomst hebben niet tot doel om de mogelijke aansprakelijkheid van de Verwerker te beperken of uit te sluiten (i) ingevolge overlijden of lichamelijk letsel ten gevolge van een fout van de Verwerker (ii) ingevolge een opzettelijke fout of bedrog (iii) op enige andere wijze wanneer die ingevolge een wettelijke bepaling niet kan.
9.3 Indien de Verwerker aangesproken wordt door de Verwerkingsverantwoordelijke tot schadevergoeding ingevolge de niet naleving van deze Verwerkersovereenkomst of de Toepasselijke Wetgeving, dan zal de totale aansprakelijkheid van de Verwerker beperkt zijn tot de vergoeding van de materiele schade geleden door de Verwerkingsverantwoordelijke van het maximum van ofwel 10.000 euro ofwel het totaal van de gefactureerde software en diensten (uitgesloten aankoop van hardware) in het vorige kalenderjaar, per gebeurtenis en per kalenderjaar. Een reeks van samenhangende feiten wordt voor de toepassing van dit artikel als één gebeurtenis beschouwd.
9.4 De Verwerker is niet aansprakelijk voor elke vorm van indirecte schade zoals, maar niet beperkt tot ondernemingsstagnatie, verminderde goodwill, gemiste besparingen, gederfde winst, reputatieschade of enige andere vorm van indirecte, incidentele of gevolgschade, ongeacht de aard van de handeling.
Artikel 10. Duur en Beëindiging
10.1 Deze Verwerkersovereenkomst treedt in werking op datum van ondertekening.
10.2 Deze Verwerkersovereenkomst blijft van kracht zolang de Hoofdovereenkomst van kracht blijft. Indien de Hoofdovereenkomst een einde neemt, dan wordt deze Verwerkersovereenkomst eveneens beëindigd.
10.3 Na de beëindiging van deze Verwerkersovereenkomst zal de Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen of deze terug aan de Verwerkingsverantwoordelijke bezorgen, en bestaande kopieën ervan verwijderen, tenzij de opslaan van de Persoonsgegevens verplicht is op basis van een Unierechtelijke of nationaalrechtelijke regelgeving.
Artikel 11. Kennisgeving
11.1. Behalve indien anders vermeld in deze Verwerkersovereenkomst, kan iedere kennisgeving die de Verwerker doet, rechtsgeldig gebeuren:
(i) Per brief;
(ii) Via e-mail op een door de Verwerkingsverantwoordelijke gebruikt e-mailadres;
(iii) Via het online platform van de Verwerker.
11.2. Elektronische communicatie van de Verwerker aan de Verwerkingsverantwoordelijke heeft dezelfde bindende kracht als een kennisgeving per gewone brief.
11.3. Ieder aangetekend schrijven uitgaande van de Verwerkingsverantwoordelijke moet, om ontvankelijk te zijn, gebeuren met een kopie per e-mail naar xxxxxxxxxxx@xxxxxxx.xx.
11.4. De Verwerkingsverantwoordelijke doet woonplaatskeuze op het adres vermeld op de eerste pagina van deze Verwerkersovereenkomst. Iedere wijziging hieraan zal ingaan drie (3) dagen na de kennisgeving ervan.
Artikel 12. Diverse bepalingen
12.1 Deze Verwerkersovereenkomst is deelbaar. Indien één of meer bepalingen die niet de essentie van de Verwerkersovereenkomst aanbelangen, geheel of gedeeltelijk ongeldig, nietig of onuitvoerbaar worden verklaard, dan zal dit de geldigheid en uitvoerbaarheid van de overige bepalingen niet aantasten. De Verwerkersovereenkomst zal in dat geval blijven bestaan tussen de Verwerker en de Verwerkingsverantwoordelijke. De ongeldig, nietig of onuitvoerbaar verklaarde bepaling zal dan als niet geschreven worden beschouwd. De Verwerker en de Verwerkingsverantwoordelijke zullen onderhandelingen aanknopen en de kwestieuze bepaling vervangen door een rechtsgeldige bepaling die de oorspronkelijke bepaling zo dicht als mogelijk benadert.
12.2 Wanneer de Verwerker de Verwerkingsverantwoordelijke bijstaat zoals beschreven in artikel 5, 6 en 7 kan de Verwerker hiervoor een redelijke vergoeding vragen aan de Verwerkingsverantwoordelijke.
12.3 De Verwerker heeft het recht om wijzigingen aan deze Verwerkersovereenkomst aan te brengen, met uitzondering van Bijlage 1, middels voorafgaandelijke kennisgeving aan de Verwerkingsverantwoordelijke.
De aldus gewijzigde Verwerkersovereenkomst gaat in op de eerste dag van de maand volgend op deze kennisgeving, zonder dat deze termijn korter kan zijn dan vijftien (15) kalenderdagen.
Indien de Verwerkingsverantwoordelijke zich niet binnen de vijftien (15) kalenderdagen na deze kennisgeving verzet tegen de inwerkingtreding, zal de wijziging geacht worden aanvaard te zijn.
Het verder beroep blijven doen door de Verwerkingsverantwoordelijke op de Verwerker geldt als een aanvaarding door de Verwerkingsverantwoordelijke van de aldus gewijzigde Verwerkersovereenkomst.
12.4 Deze Verwerkersovereenkomst wordt geregeld door en uitgelegd in overeenstemming met het Belgisch recht. Alle geschillen die voortvloeien uit deze Verwerkersovereenkomst behoren uitsluitend tot de bevoegdheid van de hoven en rechtbanken van het gerechtelijk arrondissement waar de Verwerker zijn maatschappelijke zetel zich bevindt.
Gedaan te op / /
In twee originele exemplaren, waarvan iedere Partij erkent haar origineel ondertekend exemplaar te hebben ontvangen.
Voor de Verwerkingsverantwoordelijke, Voor de Verwerker,
Naam ondertekenaar: Bijzonder gevolmachtigde
Functie ondertekenaar: Naam ondertekenaar: Functie ondertekenaar:
BIJLAGE 1: VERWERKINGSOPDRACHT EN INSTRUCTIES BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS VAN DE VERWERKINGSVERANTWOORDELIJKE
In deze Bijlage worden de specifieke verwerkingen door de Verwerker beschreven waartoe de Verwerkingsverantwoordelijke opdracht geeft op het ogenblik van het sluiten van de Hoofdovereenkomst. Wijzigingen en/of aanvullingen van deze Bijlage gebeuren telkens via een afzonderlijk document als bijvoegsel bij deze Bijlage dat wordt gedateerd en waaruit de expliciete en schriftelijke instructies van de Verwerkingsverantwoordelijke blijkt.
1. Het doel van de verwerking van Persoonsgegevens
De Verwerking van Persoonsgegevens door de Verwerker gebeurt in het kader van de uitvoering van de Hoofdovereenkomst.
Beschrijving van de diensten onder de Hoofdovereenkomst en van de aard en het doel van de verwerking van Persoonsgegevens in het kader van: leveren van software, hardware en bijhorende onderhouds- en interventiediensten. Meer bepaald: het onder licentie geven van software, het hosten van software en data, de installatie van de software en hardware en het leveren van bijstand voor deze software en hardware.
…………………………………………………………………………………………………….......
2. De categorieën van Persoonsgegevens die de Verwerkingsverantwoordelijke mogelijks laat verwerken door de Verwerker:
- Identificatiegegevens;
- Financiële bijzonderheden;
- Persoonlijke kenmerken;
- Fysieke gegevens;
- Leefgewoonten;
- Psychische gegevens;
- Samenstelling van het gezin;
- Vrijetijdsbesteding en interesses;
- Consumptiegewoonten;
- Woningkenmerken;
- Gegevens betreffende de gezondheid;
- Opleiding en vorming;
- Beroep en betrekking;
- Rijksregisternummer/Identificatienum mer van de sociale zekerheid;
- Raciale of etnische gegevens;
- Gegevens over het seksuele leven;
- Beeldopnamen;
- Geluidsopnamen;
- Genetische gegevens;
- Locatiegegevens.
3. De categorieën van Betrokkenen van wie de Persoonsgegevens verwerkt worden:
- Patiënten/cliënten en ex-patiënten/cliënten van de Verwerkingsverantwoordelijke
- Personen vermeld door patiënten en relevant voor opvolging van de patiënt/cliënt door de Verwerkingsverantwoordelijke
- Medewerkers van de Verwerkingsverantwoordelijke
- Andere zorgverleners en hun medewerkers in relatie met de Verwerkings- verantwoordelijke of de patiënten/ex-patiënten of cliënten/ex-cliënten.
4. De verwerking van de Persoonsgegevens
De Verwerkingsverantwoordelijke geeft hierbij de volgende instructies tot Verwerking van de Persoonsgegevens:
- Persoonsgegevens raadplegen
Het gaat om diensten van de Verwerker waarbij de persoonsgegevens van de Verwerkingsverantwoordelijke bekeken kunnen worden door medewerkers of Subverwerkers van de Verwerker, waaronder maar niet beperkt tot, servicedesk diensten, (remote) monitoring diensten, system management diensten, technisch applicatie management, vulnerability scanning diensten, rapporteringsdiensten in governance en software asset management diensten.
- Persoonsgegevens opslag
Het gaat om diensten van de Verwerker waarbij de Persoonsgegevens van de Verwerkingsverantwoordelijke opgeslagen worden in een door de Verwerker geleverd opslagsysteem zoals onder meer maar niet beperkt tot cloud storage diensten, cloud backup diensten, file diensten, directory diensten, managed file transfer, mail & calendring en logfile verwerking.
- Persoonsgegevens doorzenden
Het betreft diensten van de Verwerker waarbij Persoonsgegevens van de Verwerkingsverantwoordelijke verzonden worden van, naar of tussen applicaties op een door de Verwerker beheerd platform zoals onder meer maar niet beperkt tot LAN diensten, Wide Area Network diensten, data center interconnectiviteitsdiensten, Loadbalancing, SAN switch interconnects en diensten die geleverd worden over de Voice over Internet Protocol (VoIP).
- Persoonsgegevens bijwerken of wijzigen
Het betreft diensten van de Leverancier waarbij Persoonsgegevens van de Verwerkingsverantwoordelijke aangepast kunnen worden zowel op manuele, als op geautomatiseerde wijze zoals bij een geautomatiseerde job flow die ondersteund wordt door een job scheduling system.
- Software testen
Het gaat om diensten van de Verwerker waarbij databanken van de Verwerkingsverantwoordelijke die Persoonsgegevens bevatten (Persoonsgegevens die niet geanonimiseerd zijn), worden gebruikt buiten de productie omgeving (in test, acceptatie,…) als onderdeel van het testproces van de softwareapplicatie gebruikt door de Verwerkingsverantwoordelijke.
5. Geschatte duur van de verwerking
De hele duur van de Hoofdovereenkomst verlengd met drie maanden.
6. Doorgifte van Persoonsgegevens buiten de EER door de Verwerker
- Tunesië (100% Corilus entiteit voor ondersteunende diensten, helpdesk, data-conversie, softwareontwikkeling en mogelijks andere activiteiten)
- Israël (in het geval van beeldverwerking voor tandartsen, gedekt door het adequaatsheidbesluit:
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXX/?xxxxXXXXX:00000X0000&xxxxxXX)
7. De bewaartermijnen van de Persoonsgegevens
De Verwerker bewaart de verwerkte Persoonsgegevens op adequaat beveiligde wijze gedurende de periode die nodig is voor het uitvoeren van de schriftelijke instructies van de Verwerkingsverantwoordelijke, en voor wat de onderstaande categorieën Persoonsgegevens betreft gedurende de hierna bepaalde periode
- Voor het hosten van gegevens gedurende de hele duur van de Hoofdovereenkomst en tot 3 maanden na de beëindiging van de overeenkomst.
- Voor interventies en assistentie gedurende de tijd nodig voor de interventie en assistentie. De gegevens worden ten laatste één week na het beëindigen van de interventie en assistentie verwijderd van al de systemen.
- Voor het maken van testen, voor een termijn die onderling in een aparte schriftelijke (e- mail, brief of het online platform van de Verwerker) overeenkomst wordt gedefinieerd.
8. De contactgegevens van de Data Protection Officer (DPO)
- Voor de Verwerker:
De contactgegevens van onze DPO kunnen geraadpleegd worden via de volgende link: xxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van Corilus.
- Voor de Verwerkingsverantwoordelijke:
De gegevens van de DPO van Verwerkingsverantwoordelijke worden specifiek gecommuniceerd aan Corilus en bijgehouden in het klantenbeheerssysteem van Corilus. De Verwerkingsverantwoordelijke houdt Corilus op de hoogte van elke wijziging van DPO of de contactgegevens ervan. Indien Corilus niet over deze specifieke gegevens beschikt, zal het de ondertekenaar van de Hoofdovereenkomst beschouwen als contactpersoon.
BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Naam van de organisatie | Benaming: Corilus NV Adres: 5032 Gembloux, Xxx Xxxxxxx Xxxxxx 00 Xxxxxxxxxxxxxxxxxx (XXX): 0428.555.896 |
Voornaam, naam & email adres van de verantwoordelijke voor informatieveiligheid | De contactgegevens van de verantwoordelijke voor de informatieveiligheid (intern genaamd “CISO”) kunnen geraadpleegd worden via de volgende link: xxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van Corilus. |
Voornaam, naam & email adres van het aanspreekpunt voor informatieveiligheid | De contactgegevens van het aanspreekpunt voor de informatieveiligheid (intern genaamd “adjunct CISO”) kunnen geraadpleegd worden via de volgende link: xxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van Corilus. |
Voornaam, naam & email adres van de functionaris voor gegevensbescherming | De contactgegevens van onze DPO kunnen geraadpleegd worden via de volgende link: xxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van Corilus. |
Voornaam, naam & email adres van het lokale aanspreekpunt voor gegevensbescherming | De contactgegevens van het lokale aanspreekpunt voor gegevensbescherming (intern genaamd “adjunct DPO”) kunnen geraadpleegd worden via de volgende link: xxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van Corilus. |
Corilus biedt de Verwerkingsverantwoordelijke een tabel aan met individuele maatregelen die Corilus neemt als antwoord op vragen van de Verwerkersverantwoordelijke. Corilus evolueert op dit vlak nog sterk en communiceert de komende maanden de voortgang op xxxx://xxx.xxxxxxxxxxx.xxx/xxxxxxx/xxxxxxxxxxxxxxx.
BIJLAGE 3: MODELFORMULIER MELDING GEGEVENSLEKKEN
Identiteit van de Verwerker: Adres:
Postcode: Stad: Land:
BTW-nummer:
Contactpersoon / DPO: Tel. nummer:
E-mail:
Type van melding
❑ Volledige melding
❑ Gedeeltelijke melding:
❑ Initiële melding
❑ Aanvullende melding (initiële melding op / / )
Samenvatting van de inbreuk op de beveiliging van Persoonsgegevens
A. Algemene beschrijving van de inbreuk i.v.m. Persoonsgegevens (bv. plaats van inbreuk, afdeling, hardware/software, …)
i) Omschrijf het beveiligingsincident waarbij de inbreuk i.v.m. Persoonsgegevens zich heeft voorgedaan
ii) Wie heeft de inbreuk geconstateerd?
Naam:
Functietitel / afdeling:
B. Tijd van de inbreuk i.v.m. Persoonsgegevens
i) Datum en uur van de inbreuk i.v.m. Persoonsgegevens
/ / (DD/MM/JJ) : (UU:MM)
ii) Datum en uur van de vaststelling van de inbreuk i.v.m. Persoonsgegevens
/ / (DD/MM/JJ) : (UU:MM)
C. Omstandigheden van de inbreuk i.v.m. Persoonsgegevens
❑ Vertrouwelijkheid (Persoonsgegevens werden gecomprimeerd)
❑ Integriteit (Persoonsgegevens werden gewijzigd)
❑ Beschikbaarheid (Persoonsgegevens zijn niet meer beschikbaar)
D. Aard van de inbreuk i.v.m. Persoonsgegevens
i) Welke categorieën Persoonsgegevens?
❑ NAW-gegevens (bv. naam, adres, woonplaats)
❑ Contactgegevens (bv. telefoonnummer, e-mailadres)
❑ Authenticatiegegevens (bv. gebruikersnamen,wachtwoorden, inloggegevens)
❑ Financiële gegevens (bv. rekeningnummers, bankaccountnummers)
❑ Medische gegevens
❑ Gevoelige gegevens
❑ Andere:
❑ Niet gekend (verifieer in aanvullende melding)
ii) Hoeveel personen zijn Persoonsgegevens zijn betrokken bij de inbreuk?
iii) Zijn de Verwerkers of derde partijen ingelicht over de inbreuk?
E. Maatregelen genomen tegen de inbreuk i.v.m. Persoonsgegevens
i) Wat zijn de risico’s voor de betrokkenen wat betreft hun Persoonsgegevens?
❑ Niet gekend (verifieer in aanvullende melding)
❑ Geen risico
❑ Laag risico
❑ Gemiddeld risico
❑ Hoog risico
❑ Kritiek risico
Verduidelijk: ………………………………………………………………………………………
ii) Wat zijn de waarschijnlijke gevolgen van de inbreuk i.v.m. Persoonsgegevens?
iii) Wat zijn de genomen maatregelen om de inbreuk te remediëren?
iv) Werden er maatregelen genomen om zulke inbreuken in de toekomst te vermijden?