Contract
Protocol voor de elektronische uitwisseling van gegevens tussen VLAIO en Stad Kortrijk in het kader van de controle van coronasteunmaatregelen aan ondernemingen
31 mei 2022
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
Agentschap Innoveren & Ondernemen, intern verzelfstandigd agentschap opgericht bij het besluit van de Vlaamse Regering van 7 oktober 2005 aangaande het Agentschap Innoveren en Ondernemen, ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0316.380.841, waarvan de maatschappelijke zetel gelegen is te Koning Xxxxxx XX-laan 35 bus 12, 1030 Brussel, rechtsgeldig vertegenwoordigd door Xxxx Xxxxxxx, administrateur-generaal.
hierna: “VLAIO”;
EN
Stad Kortrijk, ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0212.189.676, waarvan de maatschappelijke zetel gelegen is te Xxxxx Xxxxx 00, 0000 Xxxxxxxx, rechtsgeldig vertegenwoordigd door Xxxx Xxxxxxxxxxxx, burgemeester en Xxxxx Xxxxxxxx, waarnemend algemeen directeur.
hierna: “Stad Kortrijk”;
VLAIO en Stad Kortrijk worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. De functionaris voor gegevensbescherming (FG) van VLAIO heeft op 13 april 2022 een positief advies met betrekking tot een ontwerp van dit protocol gegeven. De FG van VLAIO is Xxxx Xxxxxxx, te bereiken op xxx@xxxxx.xx.
B. De functionaris voor gegevensbescherming (FG) van Stad Kortrijk heeft op 31 mei 2022 een positief advies met betrekking tot een ontwerp van dit protocol gegeven. De FG van Stad Kortrijk is Xxxx Xxxxxxxxxx, te bereiken op xxxxxxx@xxxxxxxx.xx.
C. In het kader van dit protocol is VLAIO te bereiken op xxxx@xxxxx.xx en Stad Kortrijk op xxxxxxxxxxxxxxxxxxx@xxxxxxxx.xx
D. De partijen publiceren dit protocol op hun website.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische uitwisseling van de gegevens zoals omschreven in artikel 3 tussen de partijen uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
De beoogde gegevensverwerking door Stad Kortrijk gebeurt op grond van de noodzakelijkheid om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust in de zin van artikel 6, eerste lid, c), van de algemene verordening gegevensbescherming.
VLAIO heeft de opgevraagde gegevens oorspronkelijk verzameld voor de selectie en controle van haar coronasteunmaatregelen aan ondernemers zoals omschreven in:
• Besluit van de Vlaamse Regering van 20 maart 2020 tot toekenning van steun aan ondernemingen die verplicht moeten sluiten ten gevolge van de maatregelen genomen door de Nationale Veiligheidsraad vanaf 12 maart 2020 inzake het coronavirus (hierna: BVR CHP);
• Besluit van de Vlaamse Regering van 10 april 2020 tot toekenning van steun aan ondernemingen die een omzetdaling hebben ten gevolge van de exploitatiebeperkingen opgelegd door de maatregelen genomen door de Nationale Veiligheidsraad vanaf 12 maart 2020 inzake het coronavirus (hierna: BVR CCP).
Stad Kortrijk zal de opgevraagde gegevens verwerken voor de controle van haar coronasteunmaatregelen aan ondernemingen zoals omschreven in:
• Stedelijk reglement ter ondersteuning van ondernemingen tijdens de coronacrisis, goedgekeurd door de gemeenteraad van Stad Kortrijk in zitting van 11 mei 2020 en gewijzigd in zitting van 6 juli 2020.
De ondernemingen die voormelde steun van Stad Kortrijk aanvroegen, moesten een bewijsstuk voorleggen dat het één van de voormelde coronasteunmaatregelen van VLAIO toegekend had gekregen.
Het doeleinde van de verdere verwerking van deze gegevens door Stad Kortrijk is verenigbaar met de doeleinden waarvoor VLAIO de gegevens oorspronkelijk heeft verzameld, gezien Stad Kortrijk hierdoor een meer zorgvuldig beheer van haar publieke middelen kan toepassen.
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende gegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Stad Kortrijk deelt het gegeven 1 mee aan VLAIO, waarop VLAIO het gegeven 2 meedeelt aan Stad Kortrijk.
Gegeven 1 | Het ondernemingsnummer van de onderneming waaraan Stad Kortrijk een van haar coronasteunmaatregelen, vermeld in artikel 2, toekende. |
Verantwoording proportionaliteit | VLAIO is door dit gegeven in staat om de ondernemingen te identificeren die de betrokken steun van Stad Kortrijk toegekend kregen. |
Gegeven 2 | De status van het dossier of de dossiers van de onderneming, vermeld in het gegeven 1, binnen de coronasteunsteunmaatregelen van VLAIO als vermeld in artikel 2. |
Verantwoording proportionaliteit | Stad Kortrijk is door dit gegeven in staat om na te gaan of • VLAIO de steun toekende aan de onderneming; • VLAIO de terugvordering van de steun, al dan niet gedeeltelijk, aan de onderneming vroeg; • de onderneming bezwaar indiende tegen de vraag tot terugvordering van de steun door VLAIO; • de onderneming de steun, al dan niet gedeeltelijk, terugbetaalde aan VLAIO. |
Stad Kortrijk bewaart de ontvangen gegevens gedurende de bewaartermijn van de categorie van bestuursdocumenten waarin de betrokken gegevens worden opgenomen. De selectieregel, vermeld in artikel III.87 van het Bestuursdecreet van 7 december 2018, bevat de voormelde bewaartermijn van de categorie van bestuursdocumenten. De voormelde bewaartermijn wordt gepubliceerd in het centrale register, vermeld in artikel III.82, §2, van het Bestuursdecreet van 7 december 2018.
VLAIO bewaart de ontvangen gegevens niet langer dan nodig voor het uitvoeren van de gevraagde verwerkingen.
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
VLAIO zal de opgevraagde gegevens kunnen meedelen aan volgende categorieën van ontvangers:
• De medewerkers van de dienst Coronasteun van VLAIO;
• De medewerkers van VLAIO die instaan voor het verwerken van de ontvangen gegevens of de opmaak en het onderhoud van de toepassingen waarin de ontvangen gegevens geraadpleegd kunnen worden door voormelde ontvangers;
• De medewerkers van een verwerker, in het geval VLAIO voor de verwerking van de opgevraagde gegevens beroep doet op een verwerker.
Stad Kortrijk zal de opgevraagde gegevens kunnen meedelen aan volgende categorieën van ontvangers:
• De medewerkers van de diensten Economie en Financiën van Stad Kortrijk;
• De medewerkers van Stad Kortrijk die instaan voor het verwerken van de ontvangen gegevens of de opmaak en het onderhoud van de toepassingen waarin de ontvangen gegevens geraadpleegd kunnen worden door voormelde ontvangers;
• De medewerkers van een verwerker, in het geval Stad Kortrijk voor de verwerking van de opgevraagde gegevens beroep doet op een verwerker.
Elke eventuele mededeling van de gegevens door een partij moet voorafgaandelijk aan de andere partij worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De uitwisseling van de gegevens, vermeld in artikel 3, gebeurt 1 maal per kwartaal gedurende de looptijd van dit protocol aangezien VLAIO nog tot die einddatum haar coronasteunmaatregelen kan terugvorderen van een onderneming (zie artikel 9 en 9/1 van het BVR CHP en artikel 10 en 11 van het BVR CCP).
Een partij kan daarnaast ad hoc de gegevens, vermeld in artikel 3, van een beperktere, variabele set van de betrokken ondernemingen bij de andere partij opvragen om haar vermoeden(s) over de kwaliteit van de gegevens als vermeld in artikel 8 te dubbelchecken.
Artikel 6: Beveiligingsmaatregelen
De partijen delen de gegevens, vermeld in artikel 3, mee via OneDrive. De toegang tot deze gegevens is enkel mogelijk via de professionele e-mailadressen toegekend door een partij of een verwerker aan een ontvanger als vermeld in artikel 4.
De partijen treffen ten minste volgende organisatorische en technische beveiligingsmaatregelen ter beveiliging van de opgevraagde persoonsgegevens bij verdere verwerking:
• Ze hebben een functionaris voor gegevensbescherming aangewezen;
• Ze hebben een actueel informatieveiligheidsbeleid en een informatieveiligheidsplan dat jaarlijks wordt herzien;
• Enkel medewerkers van een partij die omwille van hun functieprofiel de ontvangen gegevens nodig hebben voor de uitvoering van hun taken, krijgen toegang tot deze gegevens. De partijen hebben hiervoor een gebruikers- en toegangsbeheer met loggings en auditing opgezet;
• Het netwerk van de partijen is beveiligd opgezet.
De partijen moeten kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van een partij moet de andere partij hiervan het bewijs overmaken.
In het geval een partij voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet die partij uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene
verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Een partij sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. De partijen bezorgen elkaar een overzicht van de verwerkers die de opgevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Vertrouwelijkheid van de gegevens
De ontvangers als vermeld in artikel 4 die toegang verkregen tot de opgevraagde gegevens zijn ertoe gehouden deze gegevens strikt vertrouwelijk te behandelen en nooit in eigen voordeel of met het oog op een persoonlijk voordeel te gebruiken of te verspreiden.
Artikel 8: Kwaliteit van de persoonsgegevens
Zodra een partij één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de gegevens, vermeld in artikel 3, vaststelt meldt zij dat onmiddellijk aan de andere partij die na onderzoek van de voornoemde vaststellingen de gepaste maatregelen binnen een redelijke termijn treft en de meldende partij daarvan vervolgens op de hoogte brengt.
Artikel 9: Sanctie bij niet-naleving
Onverminderd hun recht om een schadevergoeding te vorderen, kunnen de partijen dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling eenzijdig beëindigen indien een partij deze persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 10: Meldingsplichten
De partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
De partijen brengen elkaar onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval van wijzigingen omtrent de verwerkers.
Artikel 11: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht. Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Brussel.
Artikel 12: Inwerkingtreding en opzegging
Dit protocol treedt in werking op de datum van ondertekening en eindigt op 30 juni 2026.
De partijen kunnen in onderling overleg dit protocol te allen tijde schriftelijk aanpassen of beëindigen. Dit protocol eindigt tevens van rechtswege voor een partij wanneer er geen rechtsgrond meer bestaat voor de uitwisseling van de gegevens.
Opgemaakt in een digitaal exemplaar en ter beschikking van elke partij,
Getekend door:Xxxx Xxxxxxx (Signature)
Getekend op:2022-06-27 09:29:37 +02:0 Xxxx
Digitally signed by Xxxx Xxxxxxxxxxxx
Xxxxx Xxxxxxxx
Digitally signed by Xxxxx Xxxxxxxx
Reden:Ik keur dit document goed
Vandenbergh (Signature)
e (Signature) Date: 2022.08.18
(Authentication)
(Authenticatio
Date: 2022.08.16
11:31:37 +02'00'
n) 17:51:46 +02'00'
Xxxx Xxxxxxx | Xxxx Xxxxxxxxxxxx | Xxxxx Xxxxxxxx |
administrateur-generaal | burgemeester | wnd. algemeen directeur |
VLAIO | Stad Kortrijk | Stad Kortrijk |